Vispārīgā datu aizsardzības regula ir spēkā jau vairāk nekā mēnesi. Liela daļa uzņēmēju turpina ieviest visus nepieciešamos organizatoriskos pasākumus, meklējot finansiāli izdevīgākos risinājumus, lai ieviestu visas regulas prasības. Regula citstarp uzliek datu pārzinim pienākumu īstenot atbilstošus tehniskos un organizatoriskos pasākumus, taču nepiedāvā tiem detalizētu aprakstu, tāpēc praksē uzņēmēji saskaras ar būtiski atšķirīgām prasībām, kas vienam ir pieņemamas, bet citam – nesamērīgas, dārgas un liekas. Kā pārliecināties, vai ieviestie drošības pasākumi ir pietiekami un vai sadarbības partneru izvirzītās prasības ir tiešām nepieciešamas?
Kas ir droša personas datu apstrāde?
Lai gan regula nemaina līdzšinējos personas datu aizsardzības principus, tā paredz plašākas datu subjekta tiesības, līdz ar to arī jaunus datu apstrādātāja un pārziņa pienākumus, kas galvenokārt varētu būt saistāmi ar jauniem organizatoriskiem pasākumiem un tehniskiem risinājumiem, it īpaši saistībā ar fizisko drošību darba vidē un IT sistēmu pielāgošanu.
No dažādās nozarēs izmantotajiem drošības standartiem (tostarp ISO) izriet, ka personas dati ir jāapstrādā drošā veidā, ievērojot šādus trīs principus:
- konfidencialitāte (piemēram, šifrēšana, anonimizēšana);
- pieejamība (piemēram, ierobežota piekļuve datiem);
- integritāte (piemēram, datu ievades un aprites uzraudzība, datu nepārtrauktība un precizitāte).
Jāmin, ka personas datu apstrāde nenozīmē tikai to aktīvu lietošanu (vākšanu, reģistrēšanu, ierakstīšanu, izpaušanu, nosūtīšanu u.c.). Apstrāde ir arī datu dzēšana un glabāšana papīra formā skapī vai elektroniski uz servera, pat ilgstoši tos neizmantojot. Tāpēc minētie principi ir svarīgi gan gadījumos, kad personas datus nodod trešajām personām, gan sakārtojot sava uzņēmuma darba un elektronisko vidi.
Samērīgi organizatoriskie pasākumi un tehniskie risinājumi
Regula nosaka, ka veicamie pasākumi ir īstenojami ar samērīgām izmaksām, lai tie būtu piemēroti un vajadzīgi, vērtējot katru gadījumu atsevišķi. Tas nozīmē, ka uzņēmumam ir jāatrod vispiemērotākais un ekonomiski pamatotākais risinājums. Piemēram, nebūtu pieļaujams, ka datu pārzinis kā lielāks uzņēmums pieprasa datu apstrādātājam nodrošināt nesamērīgus IT drošības pasākumus. Vienlaikus pārziņi, kas apstrādātājiem nodod lielus datu apjomus vai īpašu kategoriju datus, var izvirzīt daudz stingrākas prasības par tām, ko piemēro mazu apjomu apstrādei.
Īsumā par veicamajiem pasākumiem
Lai saprastu, kādus drošības pasākumus uzņēmumam ieviest, vispirms ir jāatbild uz šādiem jautājumiem:
- Kādus personas datus apstrādā (piemēram, vārds, uzvārds, personas kods, privātpersonas dzīvesvietas adrese, IP adrese, e-pasts, tautība)?
- Kādiem nolūkiem (piemēram, komerciālu paziņojumu/jaunumu/piedāvājumu sūtīšanai, pārskaitījumu veikšanai, preču un pakalpojumu pārdošanai, piegādei, sniegšanai)?
- Kam datus nodod (piemēram, personāldaļas speciālistam, apdrošināšanas sabiedrībām, bankām, sadarbības partneriem)?
Pēc šīs informācijas apkopošanas ir nepieciešams izvērtēt riskus, kas saistīti ar personas datu apstrādi, piemēram, izvērtējot, vai un kā uzņēmums nodrošina piekļuves kontroli, kāda ir iespējamība, ka informācijas sistēmu, kurā apstrādā personas datus, var uzlauzt, vai uzņēmuma darba vide ir tik droša, lai novērstu nepilnvarotu personu piekļūšanu telpām un personas datiem u.tml.
Uzņēmums pats var izvēlēties, kādus drošības pasākumus ieviest atbilstoši identificētajiem riskiem.
Ieteikumi turpmākām darbībām
Nekas vēl nav nokavēts
Ja ieviešanas pasākumi nav uzsākti vai pabeigti, nav pamata lielam satraukumam, jo uzņēmumi vēl var veikt nepieciešamos priekšdarbus. Šaubu gadījumā vienmēr var konsultēties ar sertificētu datu aizsardzības speciālistu, kurš sniegs personas datu apstrādes atbilstības novērtējumu atbilstoši regulas prasībām.
“Konsultē vispirms!”
Datu valsts inspekcija ir vairākkārt publiski paudusi, ka piemēros principu “Konsultē vispirms!” Tātad iestāde apņemas sākotnēji uzņēmējiem skaidrot jaunās regulas prasības. Turklāt regula paredz iespēju naudas soda vietā izteikt rājienu, ja naudas sods radītu nesamērīgu slogu.
Ieguvums pašam uzņēmējam
Lai gan daļa uzņēmēju uzskata, ka regulas īstenošanas pasākumi ir apgrūtinoši un lieki, aicinām tomēr regulu uzskatīt par motivāciju sakārtot savu darba vidi, iekšējos procesus un līgumsaistības, jo dokumentu un procesu pārskatīšana nozīmē iespēju uzlabot un atvieglot sava uzņēmuma darbību (arī samazināt izdevumus).
