Šā gada maijā Eiropas personas datu aizsardzības mehānismi piedzīvos vienas no lielākajām izmaiņām pēdējo gadu desmitu laikā. Paredzēts, ka 25. maijā sāks piemērot 2016. gadā apstiprināto Eiropas Vispārīgo datu aizsardzības regulu (GDPR). Stingrākas prasības attieksies ne tikai uz tādiem interneta milžiem kā «Facebook» vai «Google», bet arī, piemēram, uz nelieliem mežsaimniecības uzņēmumiem, kuru rīcībā ir dati par saviem darbiniekiem.
Regulas mērķis ir aizsargāt Eiropas Savienības (ES) pilsoņus no privātuma un datu drošības pārkāpumiem, kā arī unificēt visās dalībvalstīs spēkā esošo jomas likumdošanu. Līdzšinējie normatīvie akti, kas ES regulē minēto jomu, ir pieņemti 1995. gadā un tādējādi daudzos aspektos ir novecojuši. Jaunā regula attieksies uz visiem ES strādājošiem uzņēmumiem, kuri izmanto personas datus, pat tad, ja tie ir reģistrēti ārpus savienības.
Uzņēmumiem jau jūnijā vajadzēs nodrošināt to, ka ar datu aizsardzību strādā īpaši apmācīti un speciāli sagatavoti cilvēki. Tiks ierobežota personas datu apstrādāšana un uzglabāšana, kā arī ES mērogā ieviestas tiesības cilvēkam uzzināt to, kas par viņu ir citiem zināms, un tiesības tikt aizmirstam. Prasot no lietotāja piekrišanu viņa personas datu apstrādei, uzņēmumam turpmāk būs jānodrošina saprotama un skaidra informācija, iztiekot bez sarežģītiem un gariem juridiskiem terminiem.
Saskaņā ar regulu datu turētājiem vai apstrādātājam atsevišķos gadījumos būs 72 stundu laikā jāinformē Datu valsts inspekcija un savi klienti par gadījumiem, kad tikusi atklāta to noplūde. Par personas datu aizsardzības pārkāpumiem tiks piespriesti bargi sodi, piemēram, globāli strādājošiem uzņēmumiem nāksies rēķināties ar to, ka īpaši smagos gadījumos tie var tikt sodīti ar soda naudu līdz 4% apmērā no globālā apgrozījuma, vai arī līdz 20 miljoniem eiro.
Attieksies uz bāriņtiesām un mežsaimniecības uzņēmumiem
Latvijas sertificēto personas datu aizsardzības speciālistu asociācijas valdes līdzpriekšsēdētāja Agnese Boboviča atzīst, ka ir tuvredzīgi regulu saistīt tikai ar informācijas un komunikāciju tehnoloģiju (IKT) jomu, jo personas datus uzkrāj gan valsts iestādes, gan arī daudzas citas nozares. «Katrā uzņēmumā ir darbinieku dati. Tas, ka tie nav tik sensitīvi, nenozīmē, ka uz viņiem neattiecas datu aizsardzības prasības. Tehnoloģijas ir rīks, tādēļ nevajadzētu koncentrēties tikai uz IKT nozari. Datu aizsardzības principi attiecas uz uzņēmumiem un valsts iestādēm - bāriņtiesām, sociālās aprūpes centriem vai skolām,» sacīja Boboviča.
Datu aizsardzības eksperte arī atzina, ka saistībā ar regulas prasībām Latvijā līdz šim tikusi īstenota «strausa politika». Regulai 2016. gadā tika noteikts pārejas periods, bet «visi izlikušies, ka gan jau paies garām». «Tagad, kad ūdens smeļas mutē, tad sāk kaut ko darīt. Ja būtu mērķtiecīgi, jēgpilni un tālredzīgi darīts - nevajadzētu būt nekādam stresam,» uzsvēra Boboviča. Viņa norādīja, ka Latvijā nacionālā līmenī spēkā esošais Fizisko personu datu aizsardzības likums jau daudzus gadus paredz tādus pašus datu apstrādes pamatprincipus, kā ir paredzēti arī regulā" taču organizācijas ir izvēlējušās tos ignorēt. Būtiskā atšķirība ir tieši apstāklī, ka organizācijām ir jākļūst daudz caurspīdīgākām un jāizstāsta datu subjektiem kādi dati ir to rīcībā un kāpēc, kā rezultātā, trešajām personām ir vieglāk «uzraudzīt» to, cik godprātīgi un pārdomāti organizācija strādā ar datiem.
Pēdējo mēnešu laikā Latvijā sākusies strauja datu aizsardzības speciālistu apmācība - Boboviča stāstīja, ka novembrī eksāmenus kārtojuši aptuveni 100 cilvēki, no kuriem teju puse tos izturējusi. Savukārt jau nākamajā nedēļā DVI organizēs nākamo eksāmenu, kur kārtot gribētāju, visticamākais, būs tik pat daudz. Eksperti to salīdzina ar tādu kā panikas vilni, kura rezultātā cilvēki masveidā tiek apmācīti par datu aizsardzības speciālistiem. Tas liek uzdot jautājumus par kvalitāti. «[Datu aizsardzība] nav joma, kur var būt par speciālistu neiedziļinoties, izlasot regulu vai likumu. Regula pati par sevi ir ar deklaratīvām frāzēm, kuras bez satura izpratnes nevar aizpildīt,» skaidroja Boboviča.
Arī pati datu aizsardzības sistēma sastāv no vairākiem slāņiem. Uzņēmumu gadījumos par datiem būs atbildīga valde, kas pieņems noteiktus lēmumus. Ja uzņēmums izvēlēsies kvalitatīvu speciālistu, kurš norādīs uz noteiktiem datu aizsardzības riskiem, tas vēl nenozīmē, ka komersanta lēmumu pieņēmēji rīkosies saskaņā ar ieteikumiem. «Ja uzņēmums izdara nevis tā, kā iesaka speciālists, bet gan kā ir vajadzīgs biznesam, tad speciālistam tur nav nekādas ietekmes,» teica Boboviča.
IKT nozare izveidojusi darba grupu un izstrādā rīcības kodeksu
Pēdējo gadu desmitu realitāte ir tāda, ka milzīgs daudzums datu tiek apstrādāts ar IKT nozares uzņēmumu starpniecību. Lai sagatavotos gaidāmajai datu aizsardzības jomas harmonizācijai starp visām ES dalībvalstīm, Latvijas Informācijas un komunikācijas tehnoloģiju asociācija (LIKTA) ir izveidojusi speciālu darba grupu.
LIKTA prezidente Signe Bāliņa skaidroja, ka darba grupa elektronisko saturu apakšnozarē izstrādā regulas piemērošanas vadlīnijas jeb rīcības kodeksu. Tāpat darba grupa organizējot seminārus, diskusijas un pieredzes apmaiņas pasākumus. «Datu aizsardzības regulējuma harmonizācija visās 28 ES dalībvalstīs ļaus uzņēmumiem, kuri darbojas starptautiski, vieglāk orientēties datu aizsardzības jautājumos, mazinot nepieciešamību konsultēties par regulējuma piemērošanu atsevišķās ES dalībvalstīs,» teica Bāliņa. To, cik lielas summas IKT nozares uzņēmumiem gaidāmās izmaiņas varētu izmaksāt, LIKTA neprognozē, norādot, ka tās katram komersantam var atšķirties, ņemot vērā darbības virzienu, izmantotās sistēmas un programmatūru.
Latvijā par e-pārvaldes attīstību, tostarp par valsts pārvaldes pakalpojumu portālu «Latvija.lv», atbild vides ministra Kaspara Gerharda padotībā strādājošā Valsts reģionālās attīstības aģentūra (VARAA). Aģentūra uzskata, ka jau šobrīd nodrošina personas datu aizsardzību atbilstoši normatīvajos aktos noteiktajam. Datu regulas prasības aģentūras ieskatā nav nekāds jaunums, bet loģiski attīstīti un izvērsti pamatprincipi, kas noteikti 1995. gada Eiropas Parlamenta un Padomes direktīvā un tās realizācijā nacionālajā Fizisko personu datu aizsardzības likumā.
«Līdz ar to pašlaik Valsts pārvaldes pakalpojumu portālā «Latvija.lv» iestrādātie risinājumi un to uzturēšana ir organizēti atbilstoši šīm prasībām. Šobrīd VRAA strādā pie regulas ieviešanas aktivitātēm, lai sagatavotu visu portāla darbībā iesaistīto resursu atbilstību regulai,» skaidroja VRAA. Aģentūra pieļauj, ka pēc izmaiņām stāšanās spēkā būtiskas izmaiņas nav gaidāmas, drīzāk būs aktivitātes, kuras realizē vienu vai otru regulas norādīto niansi.
Komentējot nepieciešamību pēc papildu datu aizsardzības speciālistiem, aģentūra norādīja, ka tas būs katras valsts iestādes pastāvīgs lēmums, jo jaunais likumdošanas akts pieļauj dažādus risinājumus personas datu speciālista norīkošanai. «Tāpat kā visām pārējām datu apstrādē iesaistītajām publiskajām iestādēm, arī VRAA ir jāpilda regulas prasība par personas datu speciālistu. VRAA šo jautājumu risinās esošā budžeta un finansējuma ietvaros, neveidojot jaunu amatu un nepalielinot štata vietu skaitu,» pauda VRAA.
Datu aizsardzības galveno inspektoru iecels Saeima, bet amatpersonas par pārkāpumiem tiks sodītas
Lai Latvijā iedzīvinātu atsevišķas regulas prasības, top jaunais Personas datu apstrādes likums. Tas aizvadītā gada oktobrī tika izsludināts Valsts sekretāru sanāksmē. Tieslietu ministrijā tapušā likumprojekta anotācijā norādīts, ka par atbildīgo uzraudzības iestādi regulas ieviešanā tiks noteikta Datu valsts inspekcija (DVI), kas jau arī patlaban veic personas datu uzraudzību. Tajā pašā laikā, lai izvairītos no iespējamas izpildvaras ietekmes, DVI vadītāja iecelšanu paredzēts uzticēt Saeimai. Tādā veidā tiek plānots izpildīt regulas prasības pēc atbildīgās iestādes neatkarības.
Jaunais likums noteiks DVI tiesības veikt pārbaudes uz vietas, ierodoties uzņēmumā vai iestādē, kur notiek personas datu apstrāde. Tāpat DVI būs atbildīga par datu aizsardzības speciālistu eksamināciju un saraksta uzturēšanu. Savukārt attiecībā uz pašiem mazākajiem interneta lietotājiem Latvijā paredzēts noteikt vismaz 13 gadu vecumu, kurš jāsasniedz, lai piekrišana datu apstrādei tiktu uzskatīta par likumīgu, piemēram, atverot e-pasta kontu vai reģistrējoties kādā sociālajā tīklā. Līdz attiecīgā vecuma sasniegšanai piekrišanu varēs sniegt vecāki, vai citi likumiskie aizbildņi.
Likumprojektā paredzēts noteikt arī amatpersonas atbildību personas datu aizsardzības jomā. Par jebkurām nelikumīgām darbībām ar fiziskās personas datiem amatpersonai varēs tikt piespriests sods līdz 1000 eiro. To, ka amatpersonas varētu nelikumīgi rīkoties ar fiziskās personas datiem, prognozē arī likuma autori, kas 2019. gadā un turpmākajos gados ieņēmumus no naudas sodiem paredz teju 500 tūkstošu eiro apmērā.
Gatavojoties regulas ieviešanai, DVI šonedēļ savā interneta vietnē publicējusi arī atbildes uz biežāk uzdotajiem jautājumiem. Savukārt Saeimas deputāti sākuši diskusijas par to, vai publiskajā pārvaldē strādājošo algu publicēšana internetā neveicinās tiesvedības ar Briseli. Nedēļas sākumā Saeimas Valsts pārvaldes un pašvaldību komisija noraidīja priekšlikumu publicēt internetā Latvijas Bankas darbinieku algas, bet Saeimas Juridiskais birojs sēdē pauda bažas, ka algu publicēšana varētu būt pretrunā ar regulu.
