Pirms trim gadiem 25. maijs daudziem bija nozīmīga diena – visas Eiropas Savienības (ES) dalībvalstis sāka piemērot Vispārīgo datu aizsardzības regulu (Regula). Uzņēmēji bija satraukti, jo Regulā ietvertās prasības likās kā milzīgs apgrūtinājums ikdienas darbam ar klientiem un biznesa attīstībai, datu speciālisti berzēja rokas priecīgā satraukumā, jo beidzot tik būtiskam jautājumam kā personas datu aizsardzība tika pievērsta nepieciešamā uzmanība, savukārt uzraugi ļoti aktīvi strādāja, lai pēc iespējas palielinātu personas datu apstrādē iesaistīto informētības līmeni.
Trīs gadu laikā mācījušies ir visi. Uzņēmēji sekoja kā uzraugu rīcībai, tā arī datu speciālistu padomiem un šo gadu laikā ir apjautuši korektas personas datu apstrādes sniegtās priekšrocības. Datu speciālisti ir guvuši skaidrojumus iepriekš neskaidriem jautājumiem un šobrīd jau lūkojas citādas nākotnes perspektīvās. Uzraugiem bija iespēja sekot savu kolēģu darbam citās ES valstīs un ar nepacietību gaidīt ES Tiesas nolēmumos ietvertās atziņas. Vai Regula vēl joprojām ir uzskatāma par "bubuli" biznesam, vai tomēr tās piemērošana jau kļuvusi par ikdienu?
Gūtās mācības
Gribētos ticēt, ka Regulas piemērošana ir kļuvusi par ikdienu. Ja palūkojamies uz Latvijas uzrauga – Datu valsts inspekcijas – uzliktajiem sodiem, noteikti vēlreiz jāvērš uzņēmēju uzmanība uz pienākumu sniegt atbilstošu informāciju saviem klientiem un neapstrādāt vairāk personas datu, kā patiešām ir nepieciešams konkrētajam nolūkam. Ja analizējam citu valstu uzraugu uzliktos sodus, tad papildus jāpievērš uzmanību arī nepieciešamībai nodrošināt personas datu apstrādei piemērotus organizatoriskos un tehniskos līdzekļus, lai personas dati tiktu apstrādāti droši.
Viens no interesantākajiem ES Tiesas nolēmumiem ar būtiskām sekām daudziem uzņēmējiem, protams, ir "Schrems II" lietā (2020. gada 16. jūlija nolēmums lietā C-311/18), kur ES Tiesa faktiski lēma, ka ES–ASV privātuma vairogs (EU-US Privacy Shield) nenodrošina pietiekamu personas datu aizsardzību. Diemžēl minētais nolēmums ir radījis vairāk jautājumu nekā atbilžu, turklāt uzliekot uzņēmējiem papildu pienākumus veikt risku novērtēšanu par personas datu nosūtīšanu trešajām valstīm. Piemērotāk būtu šādu pienākumu uzlikt valstu uzraudzības iestādēm vai Eiropas Datu aizsardzības kolēģijai, kas spēj labāk novērtēt attiecīgās valsts personas datu apstrādes normatīvo aktu atbilstību Regulas prasībām. Īpaši apgrūtinoša šāda ES pozīcija ir uzņēmējiem, kuru organizatoriskajā struktūrā ir arī trešo valstu uzņēmumi, kuri var piekļūt ES personas datiem. Šobrīd izteikti var novērot, ka šādas uzņēmumu grupas ieņem nogaidošu pozīciju, cerot uz jebkādām rekomendācijām vai vadlīnijām, vai arī citu valstu uzraugu darbībām, kas ļautu saprast atbilstošāko rīcību gadījumos, ja notiek personas datu nosūtīšana uz trešajām valstīm. Diemžēl tam ir tieša un negatīva ietekme gan uz uzņēmumu ikdienas darbībām, gan arī uz nākotnes plāniem.
Tikpat interesantas sekas ir ES Tiesas nolēmumiem un atsevišķu starptautisku un plaši zināmu uzņēmumu rīcībai attiecībā uz trešo personu sīkdatņu izmantošanu, kā rezultātā arī citi uzņēmēji sāk izvērtēt, vai trešo personu sīkdatņu izmantošana ir atbilstošākais veids, kā sasniegt cilvēkus. Mēdz teikt, ka ieradumam ir liels spēks – uzņēmumiem bija ērti iegūt nepieciešamo informāciju par cilvēku darbībām un ieradumiem, lai plānotu vai pielāgotu savu komercdarbību. Vienlaikus valstu uzraugu tendence uzlikt atbildību par korektu tādu personas datu apstrādi, kas iegūti ar šādām trešo personu sīkdatnēm, spiež uzņēmējus aktīvāk pašiem veidot savus mehānismus personas datu iegūšanai, tādējādi paturot kontroli pār šādas datu apstrādes atbilstību Regulas prasībām.
Kas mūs sagaida nākotnē?
Nav šaubu, ka ES līmenī personas datu korekta apstrāde ir kļuvusi par būtisku apsvērumu, kas tiek ņemts vērā, ne tikai vērtējot uzņēmēju rīcību, bet arī plānojot nākotnes attīstības iespējas. Piemēram jāmin mākslīgā intelekta regulas projekts, kura viens no izstrādes iemesliem bija nepieciešamība nodrošināt atbilstošu personas datu apstrādi. Mūsdienu attīstības tempi un tendences liecina, ka personas datu apstrādes jautājumi nepazudīs no ES centrālās skatuves. Tieši otrādi – cilvēku gaidas attiecībā uz pakalpojumu un preču kvalitāti ir tieši saistītas ar personas datu apstrādes apjomu pieaugumu, proti, lai nodrošinātu prasībām atbilstošu kvalitāti, būs nepieciešams apstrādāt arvien vairāk personas datu. Labs piemērs tam ir pandēmijas laikā radusies nepieciešamība iegādāties apģērbu attālināti, kur pircēji sagaida, ka arī šādi iegādāts apģērbs derēs tiem nevainojami, kas savukārt pārdevējiem rada nepieciešamību apstrādāt vairāk personas datu nekā iepriekš, lai šādu kvalitāti varētu nodrošināt.
Šobrīd grūti prognozēt, cik veiksmīgi arī turpmāk izdosies atrast līdzsvaru starp nepieciešamību nodrošināt Regulas prasībām atbilstošu personas datu apstrādi un uzņēmēju dažbrīd pārspīlētajām bailēm no Regulā ietvertajām prasībām, bet jebkurā gadījumā uzņēmējiem ir jāņem vērā, ka šobrīd korekta personas datu apstrāde jau rada priekšrocības biznesa attīstībai, un šāda tendence tikai pastiprināsies. Tāpēc varbūt ir vērts paskatīties uz Regulu kā uz vienu no biznesa attīstības dzinuļiem?
Seko "Delfi" arī Instagram vai YouTube profilā – pievienojies, lai uzzinātu svarīgāko un interesantāko pirmais!
