Šī gada pavasaris daudziem uzņēmējiem ir īpaši karsts gadalaiks, jo tuvojas brīdis, kad spēkā stāsies vispārīga datu aizsardzības regula. Pēc mūsu klientu aktivitātes šajos jautājumos, ir sajūta, ka liela daļa uzņēmumu īpašnieku un vadītāju kā īsti studenti, atliks visus darbus uz pēdējo brīdī vai pat sāks rīkoties maija beigās. Iespējams, ka dažās nozarēs uzņēmumi plāno vērot viens otra darbības, lai neizdarītu kaut ko lieku.
Vēlamies uzsvērt, ka šis jautājums nav kārtējā Latvijas likumdošanas nejēdzība, kuru varētu ignorēt. Vispārīgā datu aizsardzības regula (GDPR), ir normatīvais akts, kas jāievēro ikvienai organizācijai pasaulē, kas apstrādā Eiropas iedzīvotāju personas datus. Mēs ticam, ka vispārīgā datu aizsardzības regula un tās ievērošana pēc vairākiem gadiem būs tikpat pašsaprotama, kā daudzi procesi, kas šodien šķiet ikdienišķa rutīna.
Lai vēl labāk saprastu datu nozīmi biznesa turpmākajā ikdienā, uz īsu sarunu aicinājām sertificētu datu aizsardzības speciālistu, zvērinātu advokātu Aldi Maldupu.
Kāpēc ir nepieciešama Datu regula?
Lai arī jau šobrīd ar direktīvu 95/46/EK un likumu ir noteiktas prasības fizisko personu datu aizsardzībai, Vispārīgās datu aizsardzības regula paplašina datu subjektu tiesības un pastiprina to aizsardzību. Jārēķinās ar plašākiem pienākumiem tiem, kas veic datu apstrādi un nepieciešamību turpmāk aktīvi kontrolēt datu apstrādes procesus, kā arī pārskatīt līdzšinējo datu ievākšanas un apstrādes kārtību. Tā kā jaunā Datu regula izlīdzinās datu aizsardzības prasību atšķirības starp Eiropas Savienības valstīm, uzņēmējiem būs skaidrāki nosacījumi paplašinot savu darbību citās Eiropas Savienības valstīs.
Ko uzņēmums iegūst veicot datu apstrādes auditu?
Risku novērtējuma par ietekmi uz datu aizsardzību jeb datu audita veikšana palīdzēs identificēt esošos datu apstrādes riskus, kā arī nodrošināt atbilstību Datu regulas prasībām. Prakse apstiprina, ka samērā bieži tiek uzkrāti lieki un dažkārt pat neapzināti dati, kuri nav nepieciešami. Gadījumos, kad iepriekš nav bijusi izveidota uzņēmuma datu aizsardzības sistēma, Datu audits var palīdzēt noteikt prioritātes un augstākos riskus, lai sagatavotu pārskatāmu rīcības plānu Datu regulas ieviešanai.
Vai ir kādas nozares, kurām būtu jāpievērš īpaša uzmanība Datu regulai?
Mainot attieksmi pret datu aizsardzības noteikumiem, jāņem vērā, ka datu aizsardzības prasības būs jāievēro arī tiem uzņēmējiem, kas galvenokārt darbojas tā saucamajā B2B segmentā, kuru lielākā sadarbības partneru daļa ir juridiskās personas. Arī šiem uzņēmumiem jābūt gataviem Datu regulas izaicinājumiem. Tomēr īpaša uzmanība būtu jāpievērš tiem uzņēmējiem, kuru pārziņā ir lielāks personu datu apjoms (piemēram, klientu lojalitātes programmas, mārketinga nolūkiem izveidota kontaktinformācijas datu bāze, laika gaitā uzkrāts ievērojams vēsturisko datu skaits u.c.), kā arī tiem, kuru pamatdarbība saistās ar datu apstrādi vai personu profilēšanu (piemēram, dažādu IT pakalpojumu sniedzējiem).
Vai Jūsu praksē var novērot, ka uzņēmumi nepievērš uzmanību kādiem noteiktiem jautājumiem, kas saistīti ar datu apstrādi?
Būtiski ņemt vērā, ka datu aizsardzība nav sastindzis process, bet gan uzņēmuma darbībā ieviests un mainīgs uzdevums pastāvīgi nodrošināt saprātīgu datu aizsardzību un personu pietiekamu informētību par savām tiesībām. Uzņēmumam arī pēc iekšējo procedūru ieviešanas jāseko līdzi iespējamām izmaiņām. Tāpat būtisks aspekts no datu aizsardzības viedokļa ir darbinieku zināšanas. Lai nodrošinātu pareizu un pienācīgu datu aizsardzību, darbiniekiem regulāri jāpapildina savas zināšanas, turklāt šī nepieciešamība attiecas ne tikai uz uzņēmuma vadību, bet visiem darbiniekiem, kuru darbs var būt saistīts ar personu datiem.