2018. gada 25. maijā stāsies spēkā Eiropas Savienības (ES) Vispārīgā datu aizsardzības regula (GDPR), kas pilnībā mainīs veidu, kā starptautiska mēroga uzņēmumi pārvalda datus. Regula ir izstrādāta, reaģējot uz bažām, kas paustas par personas datu drošību un to izmantošanu. GDPR būs piemērojama datu apstrādes darbībām, kas saistītas ar personas datiem Eiropas mērogā, kā arī datu nosūtīšanu ES robežās un starp ES valstīm un valstīm, kas nav ES valstis. Iespējams, ka šī regula kļūs par globālu kritēriju personas datu aizsardzībā.
Uzņēmumiem gatavojoties GDPR prasību izpildei, juridisko konsultantu komandas strādā bez atelpas, un uz spēles ir likts daudz. Tiem, kuriem neizdosies izpildīt prasības, var draudēt soda nauda 4% apmērā no globālā apgrozījuma vai 20 miljoni EUR – atkarībā no tā, kura summa ir lielāka. Regulatori jau ir skaidri norādījuši, ka izmantos visas savas pilnvaras, lai regulu īstenotu.
Ja arī nebūtu jāievēro GDPR prasības, neviens uzņēmums nevēlas apdraudēt savu reputāciju tāpēc, ka tas nespēj aizsargāt savu klientu personīgo informāciju, kā ir noticis ar WannaCry, Cambridge Analytica un pārāk daudzos citos gadījumos.
Kā juridiskie profesionāļi strādā ar uzņēmumiem, lai sagatavotu tos jaunajam režīmam, un vai viņi ir pārliecināti, ka būs gatavi? To noskaidrot KPMG International uzdeva The Legal 500.
Ziņojuma aprakstītie 448 juridisko konsultantu aptaujas rezultāti un padziļinātas intervijas ar vairāk nekā 30 vecākajiem vispārējiem konsultantiem piedāvā ieskatu tajā, kāda situācija pasaulē ir vērojama GDPR ieviešanas jomā. Šajā aptaujā apskatītās valstis, reģioni un jurisdikcijas ir Austrālija, Brazīlija, Vācija, Īrija, Itālija, Krievija, Spānija, Taivāna, Apvienotajā Karaliste un Amerikas Savienotās Valstis. Tās aptver būtiskākos tirgus Eiropā un ārpus tās.
Šo pētījumu rezultāti rāda, ka juridiskās komandas saskaras ar būtiskām problēmām, mēģinot ieviest datu aizsardzības pārvaldības sistēmu, kas ļauj turpināt darbības un kapitalizēt vērtīgos datus, kas atrodas to īpašumā. Lūk, daži no lielākajiem sarežģījumiem, kuriem pakļauti respondenti:
-
GDPR ietekmē visas organizācijas daļas, tādējādi apgrūtinot iespēju sadalīt atbildības jomas. Apmēram viens no pieciem respondentiem norādīja, ka vislielākais izaicinājums bija ieviest politikas visas organizācijas mērogā.
-
Lai gan par sagatavošanās darbiem galvenokārt ir atbildīgas juridiskās komandas, tomēr to panākumi ir atkarīgi no spējas sadarboties ar citām nodaļām, lai saprastu problēmas un rastu risinājumus.
-
GDPR režīms ir balstīts uz principiem, nevis aprakstošiem noteikumiem, turklāt juridisko prasību un pienākumu interpretāciju var apgrūtināt precedentu vai papildu norāžu trūkums.
-
Lai izpildītu GDPR prasības, ir nepieciešama sapratne un kontrole pār visām IT sistēmām un procesiem, kas nepieciešami personas datu vākšanai, tai skaitā dati, kas var būt apslēpti novecojošā arhitektūrā un sistēmās.
-
Tikai nedaudzas organizācijas ir centušās saprast riskus, kas izriet no trešo pušu piegādātāju un citu sadarbības partneru rīcības; tikai 10% ir mēģinājuši noskaidrot no trešajām pusēm, vai tās atbilst GDPR prasībām.
-
Visbeidzot – daudzām organizācijām grūtības ir sagādājuši centieni identificēt visas datu apstrādes darbības vai gūt plašāku pārskatu par saviem procesiem. Tādējādi juriskonsultiem atbilstības ievērošana ir nebeidzami kustīgs mērķis.
Saskaroties ar šādiem sarežģījumiem tikai neliela daļa aptaujāto juriskonsultu ir pārliecināti, ka to organizācija ir izdarījusi pietiekami, lai izpildītu atbilstības prasības. Mazāk nekā puse (46%) respondentu uzskata, ka viņu organizācijas ir gatavas GDPR, savukārt mazāk nekā 10% respondentu uzskata, ka viņu organizācijas darbinieki pilnībā apzinās savus datu aizsardzības pienākumus saskaņā ar GDPR un valsts likumdošanu.
Šajā ziņojumā ir aprakstīts, kā juridiskie konsultanti risina GDPR radītos izaicinājumus, un identificētas vairākas vadošās prakses, kā panākt, lai organizāciju sistēmas un procesi atbilst GDPR prasībām. Kā kāds no juridiskajiem konsultantiem ir minējis intervijā, labākais risinājums būtu koncentrēties uz iespējām. Piemēram:
-
Demonstrējot atbilstību GDPR prasībām, var rasties laba iespēja parādīt, ka uzņēmums ir atšķirīgs, un iegūt lielāku patērētāju uzticību un līdz ar to – arī konkurences priekšrocību.
-
GDPR prasību izpilde var sniegt pozitīvu ieguldījumu uzņēmuma kultūrā, jo spēcīgākas pārvaldības struktūras datu apstrādes nolūkā var palīdzēt mazināt citus riskus (piem., drošības, kukuļošanas, korupcijas).
-
Disciplinētāka klientu datu vadība var radīt iespējas veidot uzticības pilnas attiecības ar klientiem un iegūt labākus rezultātus.
Uztverot GDPR kā iespēju ieguldīt līdzekļus pasaulē vadošas datu aizsardzības sistēmas iegādē, KPMG tīkla juristi palīdzēs klientiem iegūt lielāku kontroli pār datiem un izmantot datus stratēģiskas vērtības radīšanai.
Pilnu ziņojuma kopsavilkumu iespējams apskatīt šeit.
Ziņojuma PDF failu varat lejuplādēt šeit:
