KOMENTĀRS

Vispārīgā datu aizsardzības regula. Laika ieviešanai maz, gaidāmie sodi – ievērojami

Arnis Puksts, Latvijas Sertificēto personas datu aizsardzības speciālistu asociācijas valdes līdzpriekšsēdētājs16.05.2017
"ĪSUMĀ"
  • Ja pārzinis šobrīd 100% ievēro Fizisko personu datu aizsardzības likuma prasības, tad Vispārīgai datu aizsardzības regulai atkarībā no jomas specifikas šis pārzinis ir gatavs tikai par 80–90%.
  • Regula paredz pārziņa obligātu pienākumu konstatēt datu aizsardzības incidentus, tāpēc lielā daļā gadījumu ir nepieciešami papildu ieguldījumi dažādos monitoringa un aizsardzības rīkos, kuru ieviešanai nepieciešams aptuveni viens gads.
  • Maksimālais sods par dažiem personas datu aizsardzības pārkāpumu veidiem var sasniegt un pat pārsniegt 20 000 000 (divdesmit miljonus) eiro. Par citiem, mazākiem, pārkāpumiem tas ir "tikai" 10 000 000 (desmit miljoni) eiro.
Latvijas uzņēmēju samērā relaksētā (no angļu valodas relax – atslābt, atpūsties) attieksme pret faktu, ka jau pēc gada tiks piemērots viens no šā gadsimta nozīmīgākajiem normatīvajiem aktiem, kas ļoti lielā mērā mainīs fizisko personu datu aizsardzības jomu, ir pārsteidzoša. Pārsteidzoša tādēļ, ka informācijas par to, ka, sākot ar 2018. gada 25. maiju, visiem būs jāievēro un jāpiemēro Vispārīgā datu aizsardzības regula, arī latviešu valodā un Latvijas informatīvajā telpā, ir samērā daudz.

Jau kopš 2014. gada ir notikuši lielāki un mazāki maksas un bezmaksas informatīvie semināri un konferences, kurās ir stāstīts par Vispārīgās datu aizsardzības regulas prasībām, par to, kādas ir izmaiņas, kas jāņem vērā, gatavojoties tās ieviešanai u. tml. Tomēr, ja jāvērtē attieksme kopumā, tad pagaidām tā nav īpaši nopietna. Taču palicis tikai gads. Gads, kura laikā ir jāsaprot: cik laba vai slikta situācija ar datu aizsardzību ir uzņēmumā? Kas ir tas, kā pietrūkst? Kā to, kā pietrūkst, ieviest? Cik šie risinājumi maksās, un kur šīm investīcijām tiks ņemti līdzekļi?

Likumu pēc būtības neievēro     

Jā, tā ir taisnība! Ja pārzinis šobrīd 100% ievēro Fizisko personu datu aizsardzības likuma prasības, tad Vispārīgai datu aizsardzības regulai atkarībā no jomas specifikas šis pārzinis ir gatavs tikai par 80–90%. Taču nelaime ir tā, ka lielākā daļa pārziņu Fizisko personu datu aizsardzības likumu pēc būtības šobrīd neievēro.

Piemēram, viens no izplatītākajiem tiesiskajiem pamatiem datu apstrādei – datu subjekta piekrišana – bieži ir noformēts neatbilstoši normatīvo aktu prasībām. Savukārt Vispārīgā datu aizsardzības regula paredz ļoti nopietni reorganizēt piekrišanas iegūšanas algoritmu. Piebildīšu, ka tās piekrišanas, kuras būs dotas pirms 2018. gada 25. maija un neatbildīs Vispārīgās datu aizsardzības regulas prasībām, būs spēkā neesošas. Tātad arī datu apstrāde, kura pamatojas uz šādu piekrišanu, būtībā būs prettiesiska un, izrietoši, izbeidzama. Ļoti ceru, ka šī ziņa beidzot kādam liks aktīvāk rīkoties.

"Speciālistu šobrīd darba tirgū nav pietiekami daudz. Līdz ar to pārziņiem būtu pēdējais laiks meklēt sadarbības partnerus vai apmācīt speciālistu no iekšējiem resursiem."

Ir arī citas būtiskas izmaiņas, kurām sākt gatavoties ir pats pēdējais brīdis. Viena no tām – sākotnējā informācija, kura jāizpauž datu subjektam, ir būtiski plašāka nekā šobrīd (šobrīd jānorāda tikai pārziņa nosaukums, adrese un datu apstrādes mērķis).

Paredzēta arī obligāta fizisko personu datu aizsardzības speciālista iecelšana situācijās, kurās tiek veikta sensitīvo datu apstrāde un datu subjektu profilēšana (profilēšana nozīmē dažādu kritēriju analīzi, pamatojoties uz kuriem tiek pieņemts lēmums par datu subjektu, piemēram, kreditēšanas joma, apdrošināšana u. tml.) kā pamata darbības veids, kā arī publiskajā sektorā. Šis ir obligāts pienākums, par kura neizpildi paredzēti bargi sodi, bet speciālistu šobrīd darba tirgū nav pietiekami daudz. Līdz ar to pārziņiem būtu pēdējais laiks meklēt sadarbības partnerus vai apmācīt speciālistu no iekšējiem resursiem.

"Godīgi sakot, lielākā daļa pārziņu Fizisko personu datu aizsardzības likumu pēc būtības neievēro. Tikmēr Vispārīgā datu aizsardzības regula paredz ar vairākām nullēm rakstāmas soda sankcijas."

Jaunajā regulējumā ietverta pilnīga fizisko personu datu aizsardzības ievērošana pēc noklusējuma, tostarp arī informācijas drošības nodrošināšana. Piemēram, Vispārīgā datu aizsardzības regula paredz gadījumos, kad tas ir samērīgi un pamatoti, datu subjektu pseidonimizēšanu [personas datiem tiek noņemti personas identifikatori, taču ir saglabāta saikne uz šiem personas identifikatoriem tā, ka datus ar datu subjektu var sasaistīt ikviens, kam ir piekļuve sasaistes kodiem. Red. piezīme], šifrēšanas izmantošanu un ļoti detalizētus līgumus ar personas datu operatoriem jeb apstrādātājiem (jebkuriem ārējiem resursiem, kas iesaistīti datu apstrādē).

Svarīgs aspekts – paredzēta uzraudzības iestādes un datu subjektu informēšana par drošības incidentiem, sniedzot detalizētu informāciju 72 stundu (!) laikā pēc incidenta. Tātad, ja incidents notiek 23. decembrī, incidenta izvērtēšanā iesaistītajiem Ziemassvētku svinēšana būs diezgan sarežģīta. Tas nozīmē, ka nepieciešamas nopietnas izmaiņas iespējamo incidentu izmeklēšanai būtisko darbinieku darba līgumos, vai arī jāmeklē attiecīgs pakalpojumu sniedzējs. Svarīgi atzīmēt, tā kā Vispārīgā datu aizsardzības regula paredz pārziņa obligātu pienākumu konstatēt datu aizsardzības incidentus, lielā daļā gadījumu ir nepieciešami papildu ieguldījumi dažādos monitoringa un aizsardzības rīkos (piemēram, DLP – datu zudumu novēršanas sistēma, SIEM – drošības informācijas un notikumu pārvaldības sistēma, u. tml.), kuri ir ne tikai jānopērk, bet arī jāievieš. Parasti pilnvērtīga šādu sistēmu ieviešana aizņem aptuveni gadu, līdz ar to, atliekot šo prasību izpildi, tās nebūs iespējams laikā ieviest.

Par ko vajadzētu aizdomāties

Šīs nebūt nav visas izmaiņas, taču jau ar šo uzskaitījumu vajadzētu pietikt, lai uzņēmēji saprastu, ka ir pats pēdējais laiks sākt rīkoties. Iespējams, nav labais tonis biedēt ar sankcijām, tomēr ir dažas nianses, par kurām vajadzētu aizdomāties:

  1. Maksimālais sods par dažiem personas datu aizsardzības pārkāpumu veidiem var sasniegt un pat pārsniegt 20 000 000 (divdesmit miljonus) eiro. Par citiem, mazākiem, pārkāpumiem tas ir "tikai" 10 000 000 (desmit miljoni) eiro.
  2. Regula – tas ir tieši piemērojams normatīvais akts, kura prasības un sankcijas ir vienādas gan turīgajā Vācijā, gan ne tik turīgajā Latvijā, tātad analogu pārkāpumu gadījumā – analogi sodi.
  3. Uzraudzības iestādei – Latvijas gadījumā Datu valsts inspekcijai – ir obligāti jāpalielina gan sava kapacitāte (darbinieku skaits), gan kompetence, gan arī jābūt pilnībā neatkarīgai (šobrīd – Tieslietu ministrijas pārraudzībā esoša iestāde). Tas nozīmē, ka iespēja, ka pārkāpums tiks konstatēts, pieaugs. Turklāt arī datu subjekti kļūst aizvien informētāki par savām tiesībām.

Rezumējot – šis ir patiešām pats pēdējais brīdis, lai nopietni sāktu gatavoties 2018. gada 25. maijam. Ja tas netiek darīts, pienākot minētajam datumam un saņemot iespaidīgu sodu, kas rakstāms ar vairākām nullēm, nevajag sākt publiski raudāt par slikto Eiropu, valdību un netaisnīgo pasauli.

Kritērijus, kas jāņem vērā uzņēmējam, izvērtējot, vai uz viņu attiecas prasība obligāti ieviest personas datu aizsardzības speciālista amatu, esmu izklāstījis priekšlasījumā konferencē "Digitālā ēra" 2017. gada 26. aprīlī, kas pieejams tiešsaistē.

KOMENTĀRI
9


drošības attēls
LVANTIGLOBALISTI
Iesaka:  +0 -0
Tad lūk.Izrakstot kaut vai čeku par pakalpojumu čekā nedrīkst būt ne klienta personas kods ,ne adrese- kā to pieprasa VID.Tātad VID prasību ir jāignorē.Ja Tu no kāda pašnodarbinātā kaut ko pērc viņš savukārt Tev izraksta čeku par darījumu ,bet šī pašnodarbinātā persona pārdevēja ailītē ieraksta tikai savu vārdu un uzvārdu ,jo pašnodarbinātā personas kods ir ar likumu aizsargājams, kā datu aizsardzība .Tātad jūs nezināt kas patiesībā ir pārdevējs.Tātad VID naudas,mantas izcelsmi nevar kontrolēt.
20.05.2017 15:20:03
Nepatīk
Patīk
divlitrene
Iesaka:  +5 -0
Jurka, a ko reklamē?
17.05.2017 16:56:53
Nepatīk
Patīk
Jurka
Iesaka:  +2 -4
Bla, bla, bla... Kārtējais reklāmraksts ar baidīšanas elementiem no wanna be jurista
17.05.2017 15:47:09
Nepatīk
Patīk
Piekrītu
Iesaka:  +4 -0
Jā, arī vēl tas. Šīs prasības un sodi attiecas arī uz valsts iestādēm - visiem reģistriem, datubāzēm utt. Nav ne jausmas, vai valsts pārvaldes iestādes ir gatavas. Cik zināms, nepieciešamās izmaiņas normatīvajos aktos skatīs tikai rudenī.
16.05.2017 18:48:43
Nepatīk
Patīk
LIKTA
Iesaka:  +5 -0
Tā nu gluži nav, ka neviens neliekas ne zinis. Piemēram, LIKTA-s biedri jau sen nāca kopā, uzaicinot TM speciālistus, lai gūtu lielāku skaidrību. Kaut ko drusciņ ieguva,bet problēma tāda, ka arī TM speciālists neko īsti precīzi nevarēja atbildēt - tikai "lasiet regulu" :)
16.05.2017 13:09:13
Nepatīk
Patīk
Elitai
Iesaka:  +7 -0
Nav runa tikai par to, ko valsts iestāde kontrolēs un ieteiks. Rakstā nav minēts, ka saskaņā ar Regulu par sīkākajiem pārkāpumiem jebkura persona, jebkurā ES dalībvalstī, ja tas būs skāris viņa datus, varēs vērsties tiesā pret uzņēmumu vai pakalpojumu sniedzēju, kas nodrošina šim uzņēmumam datu drošības pakalpojumus, ar kompensācijas prasību, kas būs rakstāmas ar četrām un piecām nullēm un varbūt pat vairāk. Un nevienu neinteresēs, ka varbūt kaut kāda picērijas tīkla, kas glabā klientu karšu datus Excel tabulās, apgrozījums ir tikai viens miljons vai mazāk. Lielie sodi attieksies uz visiem. Runa ir par to, ka Latvijā personas datus prasa un uzglabā dažādās situācijās, kādas tik var iedomāties (restorānu, veikalu lientu kartes, klientu anketas utt.) un trūkst datu drošības speciālistu, jo īpaši IT jomā, un pagaidām neviens nekustina ne ausu, lai sāktu risināt problēmu. Un jāņem vērā, ka būs privātas personas, kuras jau berzē rokas, kā varēs nopelnīt no "snaudošu" juristu neizdarības.
16.05.2017 09:24:50
Nepatīk
Patīk
nekonsultants
Iesaka:  +3 -4
Atvainojiet, bet vai tik svarīgos jautājumos nevēršas pie juristiem, nevis bezmaksas konsultantiem? Lūk, par to jau ir runa. Skopais maksā divreiz jeb šajā gadījumā - vēl daudz vairāk.
16.05.2017 09:14:31
Nepatīk
Patīk
ai_bi
Iesaka:  +0 -0
Varbūt labāk vajadzēja prasīt uzziņu par tiesībām (sk.APL)? Būtība ir tāda, ka uzdod jautājumu valsts iestādei, vai par to un to, pienākas sods?
16.05.2017 09:14:05
Nepatīk
Patīk
Elita
Iesaka:  +7 -0
Uzņēmēji nesekjot līdzi... Kad nosūtīju vēstuli konsultantiem ar jautājumiem, kas man šķita neskaidri, vajadzēja precīzi mēnesi laika, lai saņemtu atbildi no konsultanta- lasiet likumu! Vieglāk ir nebūt uzņēmējam un strādāt par šādu konsultantu...
16.05.2017 09:05:39
Nepatīk
Patīk
JAUNĀKIE

Par ko medijiem nerakstīt

Laiku pa laikam gan publiskās diskusijās, gan sociālajos medijos parādās pārmetumi ...

Viedokļi/Komentārs 1
Bruņinieku 41, Tālr.: 673-106-75
Rīgā, LV-1011 E-pasts: portals@lv.lv