Vairums uzņēmumu un iestāžu Latvijā joprojām nav gatavi Eiropas Savienības (ES) Vispārīgās datu aizsardzības regulas ieviešanai, kura stāsies spēkā jau 25.maijā, atzina auditorkompānijas KPMG juriste un sertificēta datu aizsardzības speciāliste Sanita Pētersone.
"Regulas prasību ieviešanai mums bija doti divi gadi. Tagad ir redzams, ka daudzi visu cer izdarīt pēdējā brīdī,” pauda Pētersone.
Kā galveno iemeslu, kādēļ regulas prasību ieviešana ir novilcināta, viņa minēja to, ka gan uzņēmumi, gan iedzīvotāji šajā jomā ir diezgan nezinoši. Arī valsts varēja vairāk darīt informēšanā. Tāpat daudzi ir paļāvušies uz to, ka tiks izstrādāts Latvijas likums, lai gan šī regula ir piemērojama tiešā veidā un atsevišķi vietējie likumdošanas akti nav nepieciešami.
Pētersone arī atgādināja, ka regula uzraugiem no 25.maija ļauj ierasties ikvienā uzņēmumā un iestādē un pieprasīt parādīt, kādā veidā tiek ievērota Vispārīgā datu aizsardzības regula, arī tad, ja nav nevienas sūdzības vai aizdomu par datu noplūdi vai nozaudēšanu.
Ievērojami augs arī sodi par datu nepienācīgu lietošanu. "Sodi ir motivējoši. Pašlaik maksimālais sods par neatbilstošu datu apstrādi ir līdz 14 tūkstošiem eiro. No 25.maija sodi būs daudz lielāki. Maksimālais sods ir 20 miljoni eiro vai 4% no uzņēmuma iepriekšējā gada apgrozījuma pasaulē. Piemērojot tiek vērtēts, kurš ir lielāks. Tie tiešām ir lieli sodi, un tiem vajadzētu motivēt domāt par datu aizsardzību,” sacīja Pētersone.
Kā galveno prasību, ko uzņēmumiem un iestādēm līdz 25.maijam ir jāpaspēj ieviest, Pētersone minēja fizisko personu informēšanu regulā noteiktajā apmērā. Nododot savus datus, cilvēkiem ir tiesības automātiski pretī saņemt informāciju, kas ir šo datu apstrādes pārzinis, kura juridiska persona šos datus saņems un kāds ir datu ieguves mērķis, lai persona varētu saprast un paredzēt datu nodošanas sekas.
"Vēl viena kritiska lieta, kuru skar regula, ir ārpakalpojumu lietošana. Piemēram, uzņēmumi datus nereti glabā nevis uz saviem, bet kāda cita uzņēmuma serveriem. Līdz ar to citam uzņēmumam ir iespēja piekļūt datubāzēm. Arī dokumentu iznīcināšanā nereti tiek izmantoti ārpakalpojumi. Mārketinga kompānijas citu uzņēmumu vārdā veic reklāmas kampaņas, iegūstot to klientu kontaktinformāciju. Visos šajos gadījumos uzņēmums nodod savus datus par darbiniekiem vai klientiem citam uzņēmumam. Regula pasaka, ka mēs nevaram nodot datus jebkuram ārpakalpojuma sniedzējam. Mēs varam izvēlēties tikai tādu, kurš sniedz garantijas, ka arī tas ievēro datu aizsardzības prasības,” norādīja KPMG eksperte, piebilstot, ka tas attieksies ne tikai uz jauniem līgumiem ar ārpakalpojumu sniedzējiem, bet arī uz spēkā esošajiem.
Pētersone pieļāva, ka problēmu Latvijā ar regulas piemērošanu varētu būt diezgan daudz, jo līdz šim datu aizsardzība nereti ir uzlūkota tikai no drošības aspekta.
"Es domāju, ka problēmas var būt ar to, lai pareizi tiek formulēta klienta piekrišana. Arī datu subjektu informēšana varētu kļūt par problēmu. Regula informāciju, kura ir jāsniedz datu subjektam, krietni palielina, bet vienlaikus pasaka, ka šī informācija ir jāsniedz viegli uztveramā un saprotamā veidā. Saprast, kā to apvienot, ir diezgan liels izaicinājums. Arī ārpakalpojumu sniegšanas jomā - mēs neesam īsti pieraduši domāt, kāda ir ārpakalpojumu sniedzēja loma, kā mēs pārbaudām tā sniegtās garantijas par datu aizsardzību,” sacīja Pētersone.
KPMG juriste arī uzsvēra, ka Vispārīgās datu aizsardzības regula visvairāk attieksies uz uzņēmumiem, kuriem ir daudz klientu fizisko personu un attiecīgi to rīcībā ir lielas to datu bāzes. Tāpat datu aizsardzība ir svarīga uzņēmumos un iestādēs, kuru rīcībā ir īpaši jutīgi dati - informācija par personas veselību, finanšu stāvokli, bērniem. Tāpat par regulas ievērošanu pastiprināti būs jādomā valsts un pašvaldību iestādēm, kuru rīcībā arī ir milzīgs datu apjoms par fiziskām personām un ar šiem datiem notiek regulāra savstarpēja apmaiņa.
Būs jādomā arī par to, ka datu ieguve ir jāspēj pareizi pamatot. Turklāt jāatceras, ka dati tiek iegūti arī veicot videonovērošanu un fotografējot.
24.aprīlī Latvijas Nacionālajā bibliotēkā notiks KPOMG rīkotais Rīgas forums „Datu drošība un aizsardzība”, kurš būs veltīts Eiropas Savienības Vispārīgās datu aizsardzības regulas ieviešanai un kurā eksperti diskutēs par regulas ieviešanas gaitu un izaicinājumiem.