Mani personas dati — mans zelts (Papildināts 17.05.)
Pārfrāzējot visiem labi zināmo teicienu, šādi varētu ne tikai pārnestā nozīmē, bet arī gluži vai burtiski raksturot fizisku personu datu un to aizsardzības arvien pieaugošo nozīmi. Tam, ka šie dati ir aizsargājami, nevajadzētu būt jaunumam un nevajadzētu jau sen nevienu Latvijā nepatīkami, nesagatavotu v.tml. pārsteigt. Apmēram 15 gadus un 1 mēnesi Latvijā ir spēkā Fizisko personu datu aizsardzības likums, un šī likuma un uz tā pamata izdoto Ministru kabineta noteikumu ievērošanu un izpildi uzrauga Datu valsts inspekcija. Pie šī likuma normatīvā regulējuma šoreiz nepakavēšos (ja lasītājiem radīsies jautājumi, labprāt atbildēšu ierastajā rubrikā), jo ir kāds cits jaunums, kuru der zināt un ņemt vērā.
Proti, nesen tika apstiprināta un jau ceļā pie Eiropas Savienības dalībvalstu likumdevējiem, visām (!) ES fiziskajām personām, lielākās daļas juridisko personu, kā arī visām (!) valstu un pašvaldību institūcijām ir devusies — saīsināti saucot — Vispārīgā datu aizsardzības regula. Fiziskajām personām šī Regula nodrošinās vēl lielāku kontroli pār saviem personas datiem. Līdz ar to nenoliedzami pieaugs pienākumu apjoms visiem personas datu apstrādātājiem un par datu apstrādi atbildīgajiem.
Regula būs saistoša pēc diviem gadiem, proti, 2018. gadā. Šie divi gadi ir paredzēti Regulas ieviešanai — datu apstrādes procesu nodrošināšanai atbilstoši Regulas prasībām. Arī uzņēmējiem tas ir tāds kā «iesildīšanās» periods, kuru tad nu arī lieti noderētu šim nolūkam izmantot. Lai šo divu gadu laiku lietderīgi izmantotu, tiem, kuru uzņēmumi apstrādā fizisko personu datus (un salīdzinoši maz jau ir tādu, kas to vispār nedara), vajadzētu visupirms sākt lasīt un līdz galam izlasīt Regulu, iepazīties ar tās prasībām un sagatavoties tās pilnvērtīgai ieviešanai. Uzņēmumos nāksies veidot un pilnveidot atbilstošus procesus, dokumentāciju un tehnoloģiskos līdzekļus.
Dažas no Regulas ieviestajām nosacītajām novitātēm:
1) Regulā ir noteikts, ka pārziņiem (tiem, kas ir atbildīgi par datu apstrādi) ir pienākums datu subjektiem sniegt pārredzamu un viegli pieejamu informāciju par viņu datu apstrādi;
2) Regulā ir plaši aprakstīti pārziņu un to, kas viņu vārdā apstrādā personas datus (apstrādātāju), vispārīgie pienākumi, tostarp — īstenot pienācīgus drošības pasākumus atbilstīgi to veikto datu apstrādes darbību riska pakāpei («uz risku balstīta pieeja»);
3) pārziņiem noteiktos gadījumos ir arī pienākums paziņot personai par tās datu aizsardzības pārkāpumiem vai iespējamo apdraudējumu;
4) ne tikai visām publiskajām iestādēm, bet arī uzņēmumiem, kas veic riskantas datu apstrādes darbības, būs jāieceļ datu aizsardzības «inspektors» (atbildīgais speciālists).
Uzņēmējiem der paturēt prātā arī līdz šim pastāvošo «datu minimizācijas principu», proti, personas dati apstrādājami noteiktiem, izsmeļošiem un leģitīmiem mērķiem, adekvātā apjomā un nepārsniedzot šādai to apstrādei nepieciešamo laika periodu.
Tas, kas šai Regulai līdz šim, vēl tās tapšanas vairāk nekā teju piecu gadu laikā, pievērš vislielāko uzmanību, ir — Regulā paredzētās ļoti bargās sankcijas pret tiem datu pārziņiem un apstrādātājiem, kas pārkāpj datu aizsardzības noteikumus. Regula paredz tiešām iespaidīgus administratīvos naudas sodus, atkarībā no pārkāpuma būtības, smaguma un citiem saskaņā ar Regulas prasībām vērtējamiem apstākļiem un apsvērumiem. Bargākais iespējamais administratīvā naudas soda apmērs uzņēmuma gadījumā ir — 20 miljoni eiro vai 4% no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma (atkarībā no tā, kuras summas apmērs ir lielāks). Tas neapšaubāmi nav pat salīdzināms ar Latvijas Administratīvo pārkāpumu kodeksā pašlaik spēkā esošo juridiskām personām noteikto naudas soda maksimālo apmēru — 14 tūkstošiem eiro... Un tie ir «tikai» administratīvie naudas sodi. Regulas 82. pants bez tam paredz jebkurai personai, kurai šīs Regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, tiesības saņemt no pārziņa vai apstrādātāja par to kompensāciju.
Regula iezīmē arī centienus mazināt administratīvo slogu uzņēmumiem. Piemēram, tiek ieviests «vienas pieturas aģentūras» princips, saskaņā ar kuru uzņēmumiem, kuriem ir meitas uzņēmumi vairākās ES dalībvalstīs, ar datu aizsardzību saistītie jautājumi būs jākārto tikai ar tās dalībvalsts datu aizsardzības iestādi, kurā ir uzņēmuma galvenā uzņēmējdarbības vieta. Regula būs jāpiemēro arī tiem uzņēmumiem, kas atrodas ārpus ES, ja tie piedāvā preces vai pakalpojumus ES tirgū.
Regulas nozīme būtu stipri pārspīlēta, ja apgalvotu, ka ar to tiek nodibināta kāda jauna, agrāk nebijusi «pasaules kārtība». Tiem personu datus apstrādājošiem uzņēmumiem, kuri arī līdz šim ir pievēruši šādu datu aizsardzībai krietna un rūpīga saimnieka cienīgu uzmanību, īsti nav, par ko uztraukties. Savukārt tiem, kuri bija vieglprātīgi «atmetuši ar roku» arī līdzšinējam, jau pieminētajam Latvijas tiesiskajam regulējumam personu datu aizsardzības sfērā un savu saimniecību šajā ziņā atstājuši likteņa varā, der jau laikus padomāt — varbūt tomēr ir vērts pamainīt savu attieksmi? Pats galvenais, ar ko uzņēmējam vajadzētu sākt vai turpināt savu «iesildīšanos», ir — sevis un sava uzņēmuma izglītošana. Personīgās sarunās ar Latvijas uzņēmējiem, uzstājoties ar izglītojošiem priekšlasījumiem uzņēmumos un lielākos pasākumos (konferencēs un semināros), es joprojām nereti saskaros ar nezināšanu vai neizpratni šķietami pavisam elementāros jautājumos. Pat ar Fizisko personu datu aizsardzības likuma 2. pantā minēto pamata terminu un jēdzienu neizpratni, proti, kas vispār ir «personas dati» un «personas datu apstrāde».
Nevēloties iezīmēt Latvijā kopumā esošo fizisko personu datu aizsardzības līmeni pārāk drūmās krāsās, tomēr esmu spiests secināt — Latvijas uzņēmumos un vispār sabiedrībā tas joprojām nav visai augsts. Riskēšu apgalvot — ja būtu iespējams īstenot attiecīgus «auditus» vienlaikus visos uzņēmumos, kuros notiek personas datu apstrāde, šāda «audita» rezultāti liecinātu par problēmām krietni vairāk nekā 2/3 visu šo uzņēmumu. Jau no labu laiku spēkā esošā Fizisko personu datu aizsardzības likuma pareizas un pilnīgas piemērošanas un ievērošanas viedokļa. Domāju, ka ierobežoto administratīvo resursu dēļ Datu valsts inspekcijas veiktās pārbaudes un piemērotās «represijas» līdz šim lielākoties ir īstenotas uz saņemto sūdzību pamata.
Nenoliedzami, personas datu aizsardzības prasību ieviešana un izpildes kontrole nav vienkārša. Fizisko personu datu aizsardzības speciālistu un vispār šo jomu pārzinošo juristu loma neapšaubāmi tikai pieaugs. Ņemot vērā fizisko personu datu aizsardzības prasību strauji pieaugošo nozīmi, aicinu uzņēmējus laikus pievērst un pastāvīgi uzturēt uzmanību attiecībā uz visām aktualitātēm šajā jomā. Iesaku (pēc principa «uzticies, bet pārbaudi») ārpakalpojuma kārtībā, tas ir — pieaicinot no malas neatkarīgus šīs jomas speciālistus, veikt uzņēmumu pašreizējā personas datu aizsardzības prasību ievērošanas stāvokļa izvērtēšanu, padziļinātu izpēti. Šim mērķim izlietotie naudas līdzekļi jau īstermiņā var izrādīties vērtīga investīcija uzņēmuma nākotnē, palīdzot laikus identificēt un labot līdzšinējos trūkumus.
Pilno versiju par maksu ir iespējams aplūkot adresē www.news.lv