Daudzi cilvēki un uzņēmumi joprojām pret savu datu aizsardzību izturas nevērīgi (2)

- Vispārējā datu aizsardzības regula (GDPR) Eiropas Savienībā ir spēkā kopš 2018. gada maija. Kas Somijā ir mainījies pēdējā gandrīz pusotra gada laikā?

- Pēdējo divu gadu laikā ir notikušas vairākas pārmaiņas. Joprojām ir uzņēmumi, kas neko nedara, lai ieviestu regulu dzīvē. Šo kompāniju vadītāji uzskata, ka GDPR viņus vispār neietekmē. Pēdējo divu – trīs gadu laikā ir bijušas daudzas diskusijas par iespējamajām sankcijām attiecībā uz datu pārkāpumiem, taču tas tā arī ir palicis diskusiju līmenī. Un to daudzi uzņēmumi arī redz, ka nekas nenotiek, un tas attiecas arī uz Baltijas reģionu, kur nav daudz precedentu, kad tiktu noteikts sods par datu aizsardzības pārkāpumiem. Daudziem uzņēmējiem ir kļūdains uzskats, ka tieši tāpēc nekas nav jādara.

Diemžēl arī mediji un laikraksti par iespējamajām sankcijām, kas var tikt noteiktas par datu regulas pārkāpumiem, nerunā. Tāpat netiek runāts arī par piemēriem citās valstīs, kur uzņēmumi ir sodīti. Tas ir kā tāds burbulis, kurā cilvēki domā - “nekas jau nenotiek”. Kopš GDPR pieņemšanas ir kompānijas, kas ir izdarījušas ļoti daudz darba, piemēram, telekomunikāciju operatori. Viņi dara visu iespējamo, lai klientu dati būtu drošībā. Savukārt pretējā pusē ir vēl citas organizācijas, kas nav darījušas pilnībā neko. Šī situācija ir gluži kā koks ar diviem galiem.

- Ja kompānijas tomēr saņem kaut kādu sodu – tās maina attieksmi pret datu aizsardzību?

- Viens no skaļākajiem gadījumiem ir “British Airways” sodīšana par datu regulas pārkāpumiem. Kas notiek pēc regulas pārkāpuma konstatēšanas? Vietējās varasiestādes var noteikt soda mēru pret uzņēmumu – kaut kādu naudas sodu, un pēc tam uzņēmumam ir jāveic “mājasdarbs” - jāveic uzlabojumi, lai pārkāpumi neatkārtotos turpmāk. Tā, piemēram, “British Airways” šo mājasdarbu neizpildīja. Vairāk nekā pusmiljona klientu dati bija pieejami publiski.

Šāda pārkāpuma dēļ viņiem tika piespriests aptuveni 300 miljonu eiro liels naudas sods. Šeit nav jārunā tikai par vietējām varasiestādēm, bet arī par cilvēkiem, kuru dati ir nonākuši nepareizās vietās. Ir situācija, kad situācijas attīstās – situācija ir jālabo, lai novērstu iespējamu datu noplūšanu. 300 miljoni eiro – tā tomēr ir ļoti milzīga nauda...

- Kādi biznesā ir lielākie riski, kas saistīti ar datu aizsardzību?

- Lielākie riski ir cieņas, reputācijas un klientu zaudēšana. Ja zaudē klienta uzticību, ja klients vairs netic tavam uzņēmumam, ar laiku nāksies zaudēt arī naudu, un, iespējams, arī pašu kompāniju. Tas ir lielākais risks.

Ja skatāmies uz citām lietām, piemēram, “Facebook”, kas ir ierauts skaļā skandālā saistībā ar datu aizsardzību – viņu tirgus vērtība gan ir būtiski kritusies, tāpat arī kompānijas un reklāmdevēji maksā mazākas naudas summas. Daļa cilvēku iet prom, jo vairs nespēj uzticēties “Facebook”. Tomēr ļoti svarīgi ir arī tas, cik daudz informācijas par mums ir publicēts – var gadīties, ka tā informācija ir tik nenozīmīga, ka nav vērts uztraukties par to, ja arī kādi dati ir nopludināti.

Tomēr jāņem vērā, ka daudzi cilvēki savos sociālajos tīklos publicē ļoti daudz personiskas informācijas, kas vēlāk var radīt sāpīgas sekas pret sociālā tīkla lietotājiem. Īsumā sakot - uzņēmums zaudē uzticību, klientus un naudu.

- Ko uzņēmēji var darīt, lai padarītu datu aizsardzību efektīvāku?

- Pirmkārt, ja datu aizsardzības regulas ievērošanu vada juristi vai informācijas tehnoloģiju (IT) nodaļas cilvēki, tā ir nepareiza pieeja. Datu aizsardzība ir jāvada uzņēmuma vadībai, kur jānosaka konkrēti uzdevumi katrai nodaļai, to vidū arī juridiskajai un IT nodaļām. Ir jānosaka uzdevumi arī cilvēkresursu vadībai, jāizveido veids, kā apstrādāt informāciju par klientiem un uzņēmumā nodarbinātajiem. Tās ir divas galvenās grupas, kā personas dati uzņēmumā ir jāapstrādā.

- Par sociālajiem medijiem - jūs iepriekš minējāt “Facebook”. Vai, jūsuprāt, sociālais tīkls ir kaut ko darījis, lai uzlabotu datu aizsardzību?

- Tas ir mans personiskais viedoklis, nevis plaši zināms fakts, - “Facebook” cenšas izvairīties no atsevišķiem datu regulas punktiem, pārvietojot datu centrus. Otrkārt, sociālais tīkls sniedz iespēju lietotājiem pašiem pārskatīt, kāda informācija par viņiem ir pieejama. Ir iespējams sazināties ar “Facebook” un pieprasīt, kāda informācija viņiem ir pieejama par konkrēto lietotāju.

Organizācija ir kļuvusi atklātāka – ja lietotājs individuāli nāk klajā ar pieprasījumu sniegt atskaiti par sociālajam tīklam pieejamo informāciju, tad organizācijai ir jāatbild un jāsniedz konkrēti dati. “Facebook” ir viena no kompānijām, kas ir gatava nekavējoties reaģēt uz šādiem pieprasījumiem.

Šajā gadījumā jārunā plašāk, ne tikai par “Facebook” - organizācijām ir jābūt gatavām nekavējoties reaģēt gadījumā, ja klients izdara pieprasījumu atklāt visu informāciju, kas ir uzņēmuma rīcībā par klientu. Tās var uzskatīt par visnotaļ lielām pārmaiņām. Vēl pirms GDPR ieviešanas kompānijas varēja atbildēt, ka “lietotāju informācija ir uzņēmuma privātīpašums – konfidenciāla informācija, ko nedrīkst izsniegt”. Tomēr tagad tas ir ievērojami mainījies.

- Tagad pievērsīsimies nevis biznesam, bet parastajiem cilvēkiem. Vai pēdējā pusotra gada laikā ir vērojams, ka cilvēki paši pievērš uzmanību savu datu drošībai?

- Daļēji. Situācija gan kļūst labāka. Mūsu uzņēmums nesen bija vienā vizītē kādā kompānijā. Kad mēs ieradāmies tās kompānijas ražotnē, tās vārti bija atvērti. Tur bija biroja ēka, un arī tās durvis bija atvērtas. Cilvēki nesaprot, kādi riski pastāv, ja tiek pazaudēti svarīgi dati, to vidū arī tie, kas saistīti ar uzņēmuma darbību.

Uzskatām, ka situācija gan kļūst labāka un cilvēki pievērš lielāku uzmanību, tomēr daudzi saka - “Mūs tas neinteresē, jo vienkārši – tas mūs nekādi neskar”. Šādi cilvēki it kā paši ir gatavi izpaust informāciju par sevi – par veselības aprūpi un citām svarīgām lietām, kas citiem nav jāzina. Tomēr jāsaprot, ka cilvēki ir dažādi, un arī attieksme pret datiem atšķiras.

- Iepriekš, vēl pirms datu regulas stāšanās spēkā daudzi cilvēki, iespējams, neapzināti varēja atstāt savus personas datus trešajām personām. Kas notiks ar tiem datiem, kas tika iesniegti vēl pirms 2018. gada maija?

- Kopumā, datu aizsardzības regula sedz visus datus no jebkura laika. Ja, piemēram, tev ir kompānija, kas darbojas 50 gadus, un datu regula aizsargā visus datus, arī tos, kas sniegti pirms 50 gadiem. Kā piemēru vēlos minēt vienu baznīcu Zviedrijā. Viņi ir publicējuši video saistībā par šo tēmu. Baznīca, kā zinām, pastāv simtiem gadu. Un pirms vairākiem simtiem gadu vēl nebija iedomājamas sarunas, kur būtu jautājums – vai drīkstam uzglabāt jūsu datus? Baznīca uzskaitīja lietas, ko tā var darīt ar datiem, un arī iemeslus, kāpēc tai ir svarīgi uzglabāt cilvēku datus. Baznīca ir sena organizācija, taču tā arī neizplata informāciju par cilvēku datiem.

- Nākotnes perspektīvas – kas varētu mainīties datu aizsardzības jomā?

- Mēs redzam, ka organizācijas, kā arī jaunuzņēmumi, kas veido savas lietotnes, pret GDPR prasībām attiecas ļoti nopietni. Viņi veido izpratni par to, kādi dati ir patiesi nepieciešami, kādus datus var izmantot, ko uzglabāt. Pārmaiņas notiek. Cilvēki ar katru gadu arvien labāk saprot, ka viņu personiskie dati ir vērtība, kas jāaizsargā. Pārmaiņas notiek, taču jāatceras, ka joprojām ir ļoti daudz cilvēku, kuriem nav ne mazākās izpratnes, kāpēc ir svarīgi aizsargāt savus datus un personisko informāciju.

- Vai nākotnē vispārīgā datu aizsardzības regula tiks integrēta tehnoloģiskajā attīstībā?

- Diezgan bieži cilvēki jautā – kādas lietotnes lietojam. Tas nav jautājums par lietotnēm, bet process, atsevišķa arhitektūra, kā veidojas datu aizsardzības sistēma. Tas nav vienkāršs jautājums, jo datu aizsardzība ir ļoti komplicēta sfēra. Mūsu uzdevums ir saprast praktiskā līmenī, kā mēs veidosim izpratni un reāli aizsargāsim datus.

Joprojām ir daudzas nozares, piemēram, mārketings, kur ir nepieciešams izveidot efektīvākus datu aizsardzības risinājumus, taču organizācijas saprot to, ka tas ir ļoti svarīgi.

Viens piemērs – mums bija viens klients, kurš izmantoja novecojušu sistēmu datu uzglabāšanai. Biznesa partneri aicināja šo uzņēmumu atjaunot sistēmu. Datu uzglabāšanas sistēmas, loģiski, maksā zināmu naudu. Tāpēc dažās vietās ir jārēķinās, ka pāreja uz modernākām datu uzglabāšanas un apstrādes sistēmām aizņems laiku. Šajā gadījumā – datu sistēmas nomaiņa var prasīt pat divus gadus, kā arī izmaksas, kas ar to saistītas.

- Paldies par sarunu!

- Paldies!

Juha Salinens ir viens no 8. Baltijas biznesa tehnoloģiju izstādes un konferences “RIGA COMM” lektoriem. Izstāde un konferences “RIGA COMM 2019” norisināsies Starptautisko izstāžu centrā Ķīpsalā 10. un 11. oktobrī.