Biežākās kļūdas datu aizsardzības prasību piemērošanā

Iepriekšējos rakstos jau pētījām vairākas biežāk pieļautās kļūdas, kas rodas saistībā ar Eiropas Parlamenta un Padomes regulu 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ direktīvu 95/46/EK jeb Vispārīgo datu aizsardzības regulu (Regula). Šajā noslēdzošajā rakstā aplūkosim vēl citas izplatītas neatbilstības Regulai vai rīcības, kas rada risku to pārkāpt, ar ko nereti sastopamies, veicot auditus / novērtējumus par uzņēmumu veikto personas datu apstrādi vai sniedzot uzņēmumiem Regulas prasību ieviešanas pakalpojumus.

Datu minimizēšanas principa neievērošana

Joprojām personas dati tiek iegūti bez konkrēta nolūka, ar domu “iespējams kaut kam nākotnē noderēs”. Īpaši bieži tas notiek attiecībā uz klientu un bijušo klientu personas datiem CRM (client relationship management)sistēmās. Uzņēmumi pēc iespējas vairāk vēlas uzzināt un saglabāt informāciju par klientu, to paradumiem, interesēm, veiktajiem pirkumiem vai iepriekš izmantotajiem pakalpojumiem, lai, pamatojoties uz šo informāciju, varētu nākotnē piedāvāt tam, iespējams, interesējošus pakalpojumus. Tomēr lielākoties datu vākšanas un saglabāšanas brīdī uzņēmumiem vēl nav tieši skaidrs un tie nespēj pierādīt, ka un kādā veidā konkrētais personas datu veids nodrošinās likumīgā nolūka sasniegšanu. Šādā situācijā, pirms personas datu iegūšanas un saglabāšanas, ir iespēja pakonsultēties ar datu analītikas ekspertiem, kuri varētu ieteikt, vai un kādus tieši datu veidus un kādā veidā var izmantot, kādus secinājumus var veikt, pamatojoties uz konkrētajiem datiem. Konstatējot, ka pastāv konkrēts un sasniedzams nolūks, kam personas dati ir noderīgi, jāizvērtē, vai un kādā veidā nodrošināt to iegūšanas, saglabāšanas un izmantošanas tiesisko pamatu (lielākoties uz piekrišanas vai leģitīmo interešu pamata).

Vairākos gadījumos datus par klientiem un darbiniekiem uzņēmumi iegūst nolūkam neatbilstošā apjomā, jo konkrēto datu norādīšanu un saglabāšanu pašam uzņēmumam pieprasa tā izmantotā sistēma un tās funkcionalitāte, uzstādījumi. Daudzas uzņēmumu izmantotās sistēmas ir veidotas sen, neintegrējot to funkcionalitātē privātuma aizsardzības prasības, bet gluži pretēji - tās darbojas pēc principa “jo vairāk, jo labāk”.  Piemēram, no klienta tiek pieprasīta dažāda veida kontaktinformācija, nedodot iespēju klientam izvēlēties vēlamāko komunikācijas veidu. Jāatceras, ka sistēmas uzbūve pati par sevi nevar būt attaisnojums datu iegūšanai un saglabāšanai, līdz ar to ir jāveic uzlabojumi sistēmā vai arī gadījumā, ja tas nav iespējams vai ir komplicēti, jārod cits risinājums. Piemēram, ja sistēma obligāti pieprasa visu datu lauku aizpildīšanu, konkrētie sistēmas “pieprasītie”, bet uzņēmumam esošajos apstākļos nevajadzīgie, datu lauki jāaizpilda ar nejaušu burtu vai simbolu kombināciju, kas nesniedz nekāda veida informāciju par konkrēto fizisko personu.

Atsevišķos gadījumos datus var izmantot anonimizētā veidā. Datu anonimizēšana nozīmē to, ka personas datus padara anonīmus, no datu kopas dzēšot tos datu veidus, kuri identificē konkrēto fizisko personu, šo informāciju, aizstājot ar mākslīgi izveidotu identifikatoru. Piemēram, parādu piedziņas uzņēmums vēlas saprast, kuri parādnieki ātrāk veic parāda atmaksu, lai turpmāk attiecībā uz šāda veida parādniekiem aktīvāk veiktu parāda piedziņas darbības. Šādam nolūkam nav nepieciešams analizēt bijušo parādnieku personas datus. Proti, šie personu dati vispirms ir jāanonimizē un tikai tad jāveic analīze, jo šajā gadījumā būtiski ir konkrētās cilvēku grupas parametri - piemēram, parādu atmaksu visātrāk veic vīrieši, vecumā līdz 50 gadiem, kuri dzīvo Rīgā un tās apkārtnē, un kuru parāda summa nepārsniedz 1000 EUR. Šādu secinājumu izdarīšanai konkrētu personu vārdi un uzvārdi nav nepieciešami.  Analizējot un veicot citas darbības ar anonīmiem datiem, nevis personas datiem, personas datu apstrāde netiek veikta un līdz ar to Vispārīgās datu aizsardzības regulas prasības  nav piemērojamas. Tas nozīmē, ka vienmēr ir svarīgi izvērtēt, vai nolūka sasniegšanai ir nepieciešami personas dati, un iespējams nolūku var sasniegt, izmantojot anonimizētus datus, tādā veidā atbrīvojot sevi no regulas stingro prasību ievērošanas pienākuma. Atsevišķu lojalitātes programmu uzturētājiem ir vērts padomāt, vai tiešām lojalitātes kartes izsniegšanai obligāti jāpieprasa personas dati, piemēram, vārds, uzvārds, ja kartes izsniegšanas un lietošanas brīdī netiek pārbaudīta šo personas datu pareizība un konkrētās personas tiesības lietot karti. Iespējams iecerēto nolūku var sasniegt karti identificējot pēc unikāla numura, labumus nodrošinot kartes uzrādītājam.  

Bieži uzņēmumi domā, ja darbiniekam vai klientam ir brīva izvēle konkrēta veida personas datus iesniegt vai neiesniegt, tad arī uzņēmumam ir tiesības šos datus brīvi glabāt, ja tie tiek iesniegti. Tomēr šis ir kļūdains uzskats, jo arī gadījumā, kad personas dati ir iesniegti brīvprātīgi, uzņēmums tos drīkst saglabāt un izmantot, ja to iegūšanai un izmantošanai pastāv visi priekšnoteikumi. Piemēram, ja klientu vai darbinieku aicinām brīvprātīgi norādīt informāciju par saviem hobijiem un ģimeni vai papildu kontaktinformāciju, tad arī attiecībā uz šīs informācijas iegūšanu jānodrošina gan tiesisks pamats (piemēram, piekrišana, izpildot visus tās iegūšanas priekšnoteikumus), gan tiesisks nolūks.

Joprojām daudzos gadījumos uzņēmumi nav iekšēji noteikuši personas datu glabāšanas termiņus un tos glabā pārāk ilgi vai neierobežotu laiku. Piemēram, konkrēts maksimālais personas datu glabāšanas ilgums iekšējā dokumentā ir jānosaka ne tikai videonovērošanas ierakstam, bet arī e-pasta sarakstei, auditācijas pierakstiem (informācija par personas rīcību automatizētās informācijas sistēmās), datiem par darbinieku ierašanos vai došanos prom no biroja, ja šie dati iegūti magnētisko karšu izmantošanas rezultātā. Ievērojot to, ka likums tikai atsevišķiem gadījumiem nosaka datu saglabāšanas maksimālo termiņu, katram uzņēmumam pašam iekšēji ir jānosaka šis termiņš visiem personas datu apstrādes procesiem.

Pēc termiņa iestāšanās ir jāveic personas datu pilnīga iznīcināšana vai anonimizēšana. Tas ir jādara tādā veidā, lai nevienam vairs nebūtu iespēja atjaunot, iegūt vai piekļūt šiem personas datiem. Daudzos gadījumos arī šis pienākums netiek pildīts atbilstoši. Piemēram, uzņēmumi domā, ka personas datu šifrēšana, arhivēšana, padarot tos pieejamus tikai atsevišķiem uzņēmuma darbiniekiem, vai personas datu pseidonimizēšana ir pielīdzināma personas datu iznīcināšanai, kaut gan šāds uzskats ir nepareizs. Nepareizi un regulai neatbilstoši tas ir tāpēc, ka visi iepriekš minētie procesi nenodrošina neatgriezenisku personas datu iznīcināšanu vai pārveidošanu par anonīmiem datiem, jo uzņēmumam joprojām ir pieejama atslēga, lai pseidonimizētos, šifrētos vai arhivētos datus pārvērstu un izmantotu kā personas datus.

Norādījumu darbiniekiem trūkums vai neatbilstoša to kvalitāte

Saskaņā ar Vispārīgo datu aizsardzības regulu uzņēmumiem ir pienākums nodrošināt, lai to darbinieki personas datu apstrādi veic, pamatojoties uz šo uzņēmumu norādījumiem. Līdz ar to regula uzsvaru liek nevis uz darba devēja darbiniekiem noteiktiem aizliegumiem datu apstrādes jomā, bet gan uz darba devēja pienākumu noteikt, kādu personas datu apstrādi, kādiem nolūkiem un kādā veidā konkrētais darbinieks ir tiesīgs veikt. Šāda atļauto un uzdoto darbību ar datiem noteikšana praksē vēl nav izplatīta. Bieži darba devēji šo pienākumu nepilda, aprobežojoties labākajā gadījumā ar darbiniekiem dotiem norādījumiem datu drošības ziņā, piemēram, aizliedzot personas datus apstrādāt, izmantojot darbinieka personīgās iekārtas, aizliedzot personas datus nepamatoti izpaust un nosakot pienākumu personas datus šifrēt, ja tie tiek sūtīti e-pastā.

Norādījumu došana drošības jomā ir svarīga, un tas ir pienākums saskaņā ar regulu. Tomēr atbilstoši regulas prasībām norādījumi ir jādod krietni plašākā un konkrētākā veidā. Piemēram, norādījumi tiek doti, ja uzņēmums ir izstrādājis un apstiprinājis personas datu iegūšanas anketu (piemēram, anketa, kas jāaizpilda jaunajam darbiniekam, uzsākot darba attiecības, vai anketa, kas jāaizpilda klientam, piesakoties klientu lojalitātes programmai), un iekšējā procedūrā ir noteicis darbiniekam pienākumu personas datus iegūt tikai konkrētajā anketā noteiktajā apjomā. Ārstniecības iestādēm gan no datu regulas, gan ārstniecību regulējošo normatīvo aktu prasību viedokļa svarīgi ir dot norādījumus, nosakot konkrētu procesu, kā pacientu identificēt pirms vizītes vai pirms datu izsniegšanas pacientam. Ja uzņēmums ir noteicis, ka pirms līguma slēgšanas ar klientu ir jāveic klienta pārbaude, piemēram, pārbaudot tā kredītvēsturi un kredītspēju, kā arī personu apliecinošos dokumentus, tad viennozīmīgi uzņēmumam ir jāizstrādā detalizēta procedūra par šīs pārbaudes veikšanu. Procedūrā cita starpā ir jāparedz, no kādiem avotiem informācija pārbaudei ir jāiegūst, kādā apjomā, kāda veida informācija, cik ilgi un kādā formātā ir jāsaglabā (piemēram, informāciju norakstot vai saglabājot dokumenta kopiju). Nedrīkst atstāt darbinieku ziņā datu apjoma un ieguves veida noteikšanu, procedūrā nosakot tikai mērķi, kas darbiniekam ir jāsasniedz. Nav arī atbilstoši, piemēram, iekšējā procedūrā vispārīgi noteikt, ka ikviens darbinieks pats var izlemt personas datus saglabāt ilgāk nekā to ir noteicis darba devējs, ja darbinieks šādai rīcībai saskatītu likumīgu mērķi. Neatbilstoši tas ir tāpēc, ka ne katram darbiniekam būs pietiekamas zināšanas, lai šo termiņu noteiktu, kā arī nav nodrošināts, ka visos gadījumos, pastāvot vienādiem faktiskajiem apstākļiem, darbinieki pieņems vienādu lēmumu, līdz ar to netiks nodrošināta vienveidīgas personas datu aizsardzības prakses pastāvēšana viena uzņēmuma ietvaros.

Bieži vispārīgas instrukcijas, lēmuma pieņemšanu atstājot darbinieka ziņā, uzņēmumi pieņem arī attiecībā uz drošības prasībām. Piemēram, neatbilstoši ir noteikt, ka darbinieks ir tiesīgs izmantot savu privāto mobilo telefonu, datoru darba pienākumu izpildei, ja nodrošina, ka šīs iekārtas atbilst uzņēmumā noteiktajām drošības prasībām. Neatbilstoši tas ir tāpēc, ka arī šajā gadījumā darbiniekiem visdrīzāk nebūs pietiekamas zināšanas, lai novērtētu un nodrošinātu, ka darbinieka personīgās iekārtas nodrošina vismaz tikpat lielu drošību, kādu nodrošina darba devēja iekārtas.

Šajos gadījumos, kad lēmuma pieņemšanu uzņēmums ir atstājis darbinieku ziņā, bet nav nodrošinājis, ka konkrētais darbinieks ir pietiekami zinošs, lai šādu lēmumu varētu pieņemt, pārkāpuma gadījumā (piemēram, ja notiks personas datu noplūde no darbinieka personīgā datora vai telefona, vai darbinieks būs nepamatoti noteicis pārāk garu datu glabāšanas ilgumu) atbildība par pārkāpumu varētu būt uzņēmumam, darba devējam, nevis darbiniekam. Šāds rezultāts varētu būt tāpēc, ka saskaņā ar Vispārīgās datu aizsardzības regulas prasībām, pārziņa, tas ir darba devēja, uzņēmuma, pienākums ir ieviest efektīvus, nevis formālus, personas datu aizsardzības pasākumus.  

Attiecībā uz drošību būtiski ir arī darbiniekiem gan iekšējās procedūrās, gan mācībās, skaidrot, izmantojot konkrētus piemērus, kas ir personas datu aizsardzības pārkāpums vai iespējams pārkāpums, un kādas var būt tā sekas. Nozīmīgi tas ir tādēļ, ka tieši darbinieki ir tie, kas visbiežāk izdara pārkāpumu vai ir liecinieki pārkāpumam, piemēram, gadījumā, kad tiek pazaudēts vai nozagts telefons, e-pasta vēstule tiek nosūtīta nepareizam adresētam, vai pakalpojuma sniedzējam tiek nosūtīti personas dati, kaut gan pietiekama būtu anonimizētu datu nosūtīšana. Līdz ar to darbinieki visātrāk iegūst informāciju par pārkāpumu un var to nodot darba devējam, kuram savukārt pārkāpuma gadījumā ir jāveic konkrēti, Vispārīgajā datu aizsardzības regulā noteiktie pienākumi. Piemēram, dara devējam var būt pienākums 72 stundu laikā paziņot par pārkāpumu uzraudzības iestādei un fiziskajām personām, kuras pārkāpums skar. Līdz ar to ļoti svarīgi ir, lai darbinieki spētu atpazīt pārkāpumu, būtu motivēti par to ziņot darba devējam, kurš savukārt, laicīgi saņemot šo informāciju, varētu ne tikai izpildīt regulas prasības, bet atsevišķos gadījumos arī mazināt pārkāpuma sekas vai pārtraukt to, atjaunojot ne tikai aizsardzību personas datiem, bet arī savam komercnoslēpumam.

Datu aizsardzība nav vienreizējs projekts

Uzņēmumi reizēm personas datu aizsardzību uztver kā projektu, ar konkrētu sākuma un beigu punktu. Tomēr personas datu aizsardzība ir nepārtraukta darbība, tās nodrošināšana būtu jāintegrē uzņēmuma ikdienas darbībā gan tādēļ, ka personas datu izmantošanas procesi mainās, gan tādēļ, ka darbinieki, vienreiz piedaloties mācībās, ikdienas gaitā ātri aizmirst par datu aizsardzības prasībām, ieviestajiem datu aizsardzības procesiem un mācībās apgūto. Līdz ar to regulāri ir jāveic darbinieku apmācības un zināšanu pārbaude, jāpārbauda, vai ieviestie un procedūrās noteiktie pasākumi darbojas, tiek ievēroti un ir efektīvi. Darbinieku mācību plānā un auditu plānā jāparedz  tieši personas datu aizsardzības mācības un auditi. Tāpat nozīmīgi ir pārskatīt ,un nepieciešamības gadījumā precizēt, personas datu apstrādes darbību reģistru, piemēram, precizējot informāciju par kādu no procesiem, kādu procesu dzēšot vai ierakstot kā jaunu. Ik pa laikam jāpārskata arī iekšējie noteikumi un procedūras, pārbaudot, vai tās atbilst faktiskajām vajadzībām un procesiem.

Ieviešot jaunus personas datu apstrādes procesus vai veicot tajos izmaiņas, ieteicams ir jau procesa plānošanas stadijā to veidot atbilstošu personas datu aizsardzības regulējumam. Piemēram, uzsākot videonovērošanu birojā vai ražošanas telpās, pirms videonovērošanas uzsākšanas jāizvērtē, vai iecerētā procesa ietvaros tiks ievērotas privātuma aizsardzības prasības, un jāveic attiecīgi priekšdarbi, tai skaitā sagatavojot un izvietojot videonovērošanas zīmes un privātuma atrunu, sagatavojot un iepazīstinot darbiniekus ar iekšējo videonovērošanas procedūru. Atsevišķu augsta riska procesu gadījumā varētu būt pienākums pirms procesa uzsākšanas veikt novērtējumu par konkrētā procesa ietekmi uz privātumu, kas nozīmē, ka attiecībā uz konkrēto procesu ir jānovērtē un jādokumentē tas ar kādiem tehniskiem un organizatoriskiem pasākumiem tiks nodrošināta Vispārīgās datu aizsardzības regulas prasību izpilde, procesa radīto risku mazināšana. Piemēram, šāds novērtējums varētu būt obligāts, ja tiek plānots videonovērošanu attiecībā uz darbiniekiem veikt visu darba laiku vai, ja, lai izlemtu, vai un ar kādiem noteikumiem tiks slēgts līgums, pirms līguma slēgšanas ar klientu tiek pārbaudīta klienta kredītspēja.

Katram uzņēmumam ieteikums ir laicīgi izveidot līgumiskas attiecības ar uzticamu un profesionālu ārējo personas datu aizsardzības ekspertu par iespējamu atbalstu nākotnē. Iespējams, daļai uzņēmumu nekad nebūs vajadzīga šāda palīdzība. Tomēr ir labāk, ja gadījumā, kad ir nepieciešama ātra rīcībā – piemēram, ir saņemta sūdzība, pieprasījums attiecībā uz personas datiem, noticis persona datu aizsardzības pārkāpums, neizdodas vienoties ar pakalpojuma sniedzēju, klientu vai sadarbības partneri par datu aizsardzības un apstrādes jautājumiem, vai pat uzraudzības iestāde jau ir pieņēmusi nelabvēlīgu lēmumu -  nav jātērē ierobežotais laiks konsultanta meklēšanai un līguma ar to noslēgšanai. Jāņem vērā, ka pat tad, kad, piemēram, uzraudzības iestāde ir konstatējusi pārkāpumu, viss vēl nav zaudēts un svarīga ir pareiza rīcība šādā gadījumā, lai mazinātu iespējamās nelabvēlīgās sekas uzņēmuma interesēm.

Neskatoties uz ārējā konsultanta esamību, arī uzņēmuma iekšienē ir jābūt vienai vai vairākām personām, kuras ir atbildīgas par personas datu aizsardzību un apstrādi, nodrošinot gan konsultāciju sniegšanu kolēģiem, gan to, ka noteiktie procesi datu aizsardzības jomā darbojas. Tomēr atcerieties, ka nepietiek tikai kādam no esošajiem darbiniekiem kā papildu pienākumu noteikt datu aizsardzības nodrošināšanu. Šim darbiniekam ir jānodrošina gan laiks, gan apmācība, lai viņš varētu efektīvi veikt savus pienākumus.   

Noslēgumā aicinām ņemt vērā, ka, šobrīd galvenokārt lielākie un skaļākie sodi tiek piemēroti par personas datu aizsardzības pamatprincipu neievērošanu, tas ir par personas datu apstrādi bez atbilstoša tiesiskā pamata, par nepienācīgu informēšanu, par datu apstrādi neatbilstošā apjomā un termiņā, kā arī par drošības pasākumu neveikšanu. Tās ir regulas prasības, kuras daudzus gadus pirms regulas jau bija saistošas. Tomēr tagad, kad jau pagājis vairāk kā viens gads no jauno prasību obligātas piemērošanas dienas un vairāk kā trīs gadi kopš regulas spēkā stāšanās dienas, vairs nevarēsim paļauties uz uzraudzības iestādes iecietību attiecībā uz visu regulas prasību izpildi.  

Lasīt vairāk