2018. gada maija beigās spēkā stāsies jaunā ES Vispārīgā datu aizsardzības regula / General Data Protection Regulation (GDPR). Vispārinot, regula nosaka personas (gan klienta, gan darbinieka) datu apstrādes mērķus, procesus un tehnoloģiju pielietojumu, un ir saistoša visām organizācijām, kuras apstrādā ES pilsoņu datus.
Šī šobrīd ir karsta tēma gan uzņēmumos, gan iestādēs, gan arī medijos. Publiski izskanējuši kā viedokļi par tuvojošos “pasaules galu”, tā arī to paudējiem pārmesta nepamatota panikas celšana, tādēļ šodien iespējami vienkārši par to, kas ir šī regula un kam jāgatavojas Latvijas organizācijām.
Vispārīgās datu aizsardzības regulas ieviešanas mērķi ir vienādot fizisko personu datu aizsardzību regulējošās normas visās ES dalībvalstīs, kā arī pa palielināt indivīda kontroli pār ar sevi saistīto informāciju. Regula arī konstatē, ka, šobrīd dalībvalstīs eksistējošās likuma normas līdz šim nav tikušas konsekventi ievērotas un no dalībvalstu puses kontrolētas. Tādēļ, lai arī patiesībai atbilst apgalvojums, ka daudzas no regulā atrunātajām normām Latvijā formāli ir spēkā jau šobrīd, Tieslietu ministrijas pārstāvji Digital Mind apstiprināja, ka nākamajā gadā tiks būtiski palielināta Datu Valsts inspekcijas (DVI) kapacitāte, un šo normu ievērošana tiks kontrolēta daudz striktāk.
Salīdzinot ar šobrīd Latvijā spēkā esošo Fizisko personu datu aizsardzības likumu, regula vairāk koncentrējas uz labās prakses principiem personas datu apstrādē (piemēram, nepieciešama skaidri izteikta vecāku piekrišana nepilngadīgas personas datu apstrādei), kā arī nosaka striktākus pienākumus visām personas datu apstrādes procesā iesaistītajām pusēm (pārraugiem, datu turētājiem, datu aizsardzības speciālistiem). Tāpat draudīgi pieaugs ir iespējamo sodu apmērs – tas tagad būs līdz pat 20 miljoniem eiro vai 4% no uzņēmuma grupas (!) apgrozījuma, atkarībā no pieļautā pārkāpuma.
Būtiskākie uzlabojumi privātpersonām – tiesības pieprasīt ‘tikt aizmirstam’ (datu apstrādātājam ir pienākums dzēst visus personas datus); tiesības uzzināt visu, ko datu apstrādātājs plāno darīt vai dara ar personas datiem (datu apstrādes mērķis, datu iegūšanas veids, uzglabāšanas ilgums, kādi datu aizsardzības līdzekļi tiek izmantoti). Datu apstrādātājiem, pirms iegūt personas datus (piemēram, no reģistrācijas formas weblapā), ir jānorāda precīza, viennozīmīgi uztverama un saprotama informācija par datu apstrādes nolūkiem, un jāpierāda fiziskās personas nepārprotama, brīvprātīgi izteikta piekrišana datu apstrādei.
Šis regulējums, vismaz teorētiski, katram no mums dos iespēju pieprasīt ‘televīzijas pakalpojuma’ vai ‘50% atlaide otrajai pasūtītajai picai’ piedāvātājiem nekavējoties pārtraukt zvanīt un sūtīt īsziņas, un dzēst mūsu datus, kas šobrīd, ļoti bieži, nemaz nav iespējams. Tāpat, mainot, piemēram mobilo sakaru, interneta, vai banku pakalpojumu sniedzēju, varēsim pieprasīt, lai par mums uzkrātā informācija tiek nodota jaunajam pakalpojumu sniedzējam jebkurā ES valstī, un tad dzēsta no līdzšinējām datubāzēm.
Organizācijām, savukārt, GDPR prasīs pārskatīt savus procesus, investēt juristu un konsultantu pakalpojumos un IT sistēmās. Lielākie izaicinājumi būs organizācijām, kuras līdz šim datu ieguves un apstrādes procesu legālajam aspektam nav pievērsušas īpašu vērību – es pieļauju, ka šādu kompāniju rīcībā ir ievērojams, t.s. ‘dark data’ apjoms, kas rada nozīmīgus atbilstības riskus.
Ikvienai organizācijai (uzņēmumam, NVO vai valsts iestādei) būs pienākums pierādīt atbilstību regulas prasībām, ne vien uzrādot formāli aprakstītas procedūras, bet arī veicot ļoti praktiskas darbības – piemēram, nodrošināt datu apstrādes darbību reģistrēšanu, datu pseidonimizāciju, kā arī ziņojumu sniegšanu uzraugošajai iestādei un datu īpašniekam datu noplūdes gadījumos. Lielai daļai organizāciju būs nepieciešams algot datu aizsardzības speciālistus un veikt obligātus datu aizsardzības auditus.
Regulas nosaka ‘data minimization and privacy by default’ principus, kas nozīmē, ka kompānijām, pirms izstrādāt produktus un pakalpojumus, kuru sniegšanai nepieciešami personas dati, būs precīzi jāizvērtē un jāparedz datu iegūšanas un apstrādes mērķi un veidi. Salīdzinājumam, šodien daudzas organizācijas vadās pēc principa – iegūstam pēc iespējas vairāk datu, lai analītiķi un produktu vadītāji paši izlemj, kas viņiem nepieciešams.
Apzinoties GDPR regulas radīto iespaidu uz organizāciju biznesa procesiem, kā arī ievērojamo sodu apmēru, datu ieguves un aizsardzības jautājumam būtu jānonāk ikviena valdes priekšsēdētāja vai izpilddirektora dienas kārtībā. Šis vairs nav tikai datu aizsardzības speciālista un datubāzes administratora jautājums. 2018. gada maijs tuvojas un, ņemot vērā nepieciešamās investīcijas un izmaiņas organizācijas procesos, nodrošināt atbilstību regulas prasībām būs iespējams vienīgi ar augstākās vadības apzinātu atbalstu.
Noslēgumā noderīga infografika no IT Governance:
