2017. gada 29.martā Digital Mind kopā ar partneriem IBM, ALSO Latvija un Dienas Bizness organizēja konferenci “Organizācijas un dati: Viss, kas vadītājiem jāzina par jauno ES Vispārīgo datu aizsardzības regulu (GDPR).” Apmeklētāju atsaucība bija būtiski lielāka nekā paredzējām – teju 200 interesentu no visdažādākajām nozarēm pilnā zālē uzmanīgi klausījās ekspertu prezentācijas un aktīvi iesaistījās diskusijās. Lūk, kādi secinājumi pēc konferences radušies vienam no tās iniciatoriem un lektoriem – Digital Mind vadītājam Rinaldam Sluckim.
Klausoties un vērtējot gan konferences runātāju uzstāšanās, gan diskutējot ar konferences apmeklētājiem, esmu formulējis šobrīd aktuālas piecas ‘pēckonferences’ atziņas:
- Zināšanu un informētības līmenis par personas datu aizsardzības un GDPR definētajiem aspektiem organizāciju vidū ļoti atšķiras. Konferencē bija dzirdami gan apgalvojumi ‘uzzinājām par šo regulu tikai pirms diviem mēnešiem, mums pilnīgs jaunums’, gan arī Swedbank stāsts, kā darbs pie regulas prasību ievērošanas ir uzsākts jau pirms gada. Uzņēmēji sagaida izskaidrojošu informācijas kampaņu un atbalstu no Tieslietu ministrijas un Datu Valsts inspekcijas, kas palīdzēs labāk izprast un vienkāršāk ieviest nepieciešamās izmaiņas GDPR atbilstībai. Kā noderīgus avotus izpratnes veidošanai un zināšanu papildināšanai es varu ieteikt IT Governance blogu, žurnāla Jurista Vārds lapu, IBM GDPR tēmai veltīto resursu, kā arī mūsu uzņēmuma blogu.
- Regula nedefinē radikāli jaunus principus un prasības personas datu aizsardzībā. Tā vienādo praksē eksistējošās datu aizsardzības prasības visā Eiropas Savienībā, padarot tās saprotamas un vienādi interpretējamas jebkuram uzņēmumam, kas darbojas vienā vai vairākās ES valstīs. Regulā ietvertie noteikumi sniedz papildus instrumentus un iespējas privātpersonām iegūt kontroli pār to datu izmantošanu. Savukārt, organizācijām (datu operatoriem) tiek pārdefinēti pienākumi sadarbības nodrošināšanai ar datu subjektiem (personas datu īpašniekiem).
- Saskaņā ar Tieslietu ministrijas pārstāvju apgalvojumu, 90% no regulas prasībām ir 1:1 piemērojamas un ieviešamas jau šodien. Tikai 10% no regulas apjoma tiks regulēti ar normatīvajiem aktiem, kas aizstās šobrīd spēkā esošo Fizisko personu datu aizsardzības likumu un būs specifiski tikai Latvijai. Tas, g.k., būs regulējums, kas skar valsts iestāžu darbu un personas datu apstrādi specifiskos gadījumos, Datu valsts inspekcijas statusu, pilnvaras un tiesības, kā arī iestāžu sadarbību datu apstrādē. Tas nozīmē, ka jau šodien ikviens var veikt regulas prasību izvērtējumu un veikt nepieciešamās darbības tās atbilstības ievērošanai – ieguldītais darbs un radītais rezultāts noderēs gan šodien, gan 2018. un 2020. gadā.
- Organizācijas biznesa procesu un informācijas apstrādes principu pārskatīšana, izvērtējot atbilstību GDPR prasībām, var sniegt dažus ieguvumus (ne tikai formālo atbilstības nodrošināšanu). Organizācijas apzina un saprot, kāds ir patiesais personas datu un informācijas apjoms, kas ir to rīcībā (ir daudz t.s. ‘dark data’, par ko rakstīju iepriekš). Izvērtējot katra datu tipa izmantošanu biznesa procesos, tiek apzināts, kādus datus organizācijas vienkārši uzglabā, nemaz tos neizmantojot. Šos datus rekomendēju dzēst, samazinot gan operacionālos riskus, gan informācijas pārvaldības izmaksas, ja vien to uzglabāšanu nenosaka kāda cita prasība. Šī ir laba iespēja pārskatīt organizācijas procesus un izvērtēt iespējas tos pilnveidot.
- Pirmais solis, ar ko sākt, izvērtējot atbilstību regulas prasībām, ir datu un procesu audits. Apziniet visus personas datu veidus, kas var būt organizācijas rīcībā (Digital Mind datu auditā identificējām 140 iespējamos personas datu veidus), un kādā kapacitātē jūsu tos izmantojat (darbinieku dati, kontraktoru dati, jūsu organizācija kā datu operators utt.). Veiciet biznesa procesu un datu sasaisti – kādos procesos katrs no identificētajiem datu tipiem tiek izmantots, ar kādu mērķi, kuri darbinieki šiem datiem piekļūst. Atbildiet uz jautājumu, vai šos datus šajā procesā šiem darbiniekiem tiešām ir nepieciešams apstrādāt. Izvērtējiet datu noplūdes riskus un juridisko formulējumu līgumos, uz kuru pamata jūs datus iegūstat un apstrādājat. Šāds audits ļaus jums identificēt nepilnības un nepieciešamos uzlabojumus personas datu apstrādes procesos un jūsu organizācijas informācijas pārvaldības sistēmās kopumā. Vēlāk sekos procesu pilnveide un nepieciešamo IT risinājumu ieviešana.
Komersantiem un iestādēm regulas prasību ievērošana prasīs papildu uzmanību un ieguldījumus, taču tie ir veicami un attaisnojami, jo, manuprāt, mērķis ir pareizs – nodrošināt privātpersonām (katram mums individuāli) lielāku kontroli pār to datu izmantošanu.
