Personāla vadības speciālistiem ikdienas darbos turpmāk pastiprināta uzmanība būs jāpievērš personu datu glabāšanas mērķim, apjomam un ilqumam. Sākot ar 2018. gada 25. maiju būs jāievēro jauna Vispārīgā datu aizsardzības regula (General Data Protection Regulation - GDPR), kuras mērķis ir novērst nepamatotu personas datu lietošanu.
KPMG Zvērinātu advokātu biroja Latvijā vecākā juriste Sanita Pētersone stāsta, ka vistiešāk regula ietekmēs tos uzņēmumus, kuru klienti ir fiziskas personas, izmaiņas skars arī personāla vadības speciālistu darbu. Gatavojoties šim brīdim, Sanita Pētersone iesaka pārskatīt uzņēmuma rīcībā esošo informāciju, nosakot mērķim atbilstošu datu apjomu un apstrādes veidu.
Datu apstrādes mērķim jābūt samērīgam, un to nedrīkst mainīt, savukārt datu apstrādes apjomam, ilgumam un veidam jāatbilst uzstādītajam mērķim, atzīmē S. Pētersone. "Informāciju nedrīkst glabāt neierobežoti ilgi, personālvadības speciālistu ikdienas darbā tas vistiešākajā mērā saistās, piemēram, ar CV glabāšanu. Parasti CV tiek iesniegti, lai pretendētu uz kādu konkrētu amatu, tāpēc aktuāls varētu būt jautājums, cik ilgi šo informāciju drīkst apstrādāt. Ir darba devēji, kas CV glabā arī pēc konkursa beigām ar mērķi izmantot tos citiem konkursiem, taču tā darīt nedrīkst. Tā ir datu izmantošana citam mērķim," skaidro Sanita.
Lai gan jaunā regula nenosaka konkrētu informācijas uzglabāšanas termiņu, tajā skaidri noteikts princips, ka datus ļauts apstrādāt tikai tik ilgi, kamēr pastāv mērķis. "Darba devējam šie termiņi ir jānosaka pašam. Tas attiecas gan uz uzņēmuma rīcībā esošajiem CV, gan citiem darbinieku un klientu datiem," pauž S. Pētersone. Viņa atzīst, ka reizēm uzņēmums nepelnīti aizmirst par saviem darbiniekiem, vairāk koncentrējoties uz klientu datu aizsardzību un nepadomājot, ka jebkurš darba devējs apstrādā arī savu darbinieku datus. "Tie ir ļoti vērtīgi, jo ietver informāciju par finanšu stāvokli, atalgojuma apmēru un veselību, kas pārsvarā ir tāda informācija, ko darbinieks nevēlas izpaust, un šīs informācijas nekontrolēta un neierobežota izmantošana var radīt būtiski nelabvēlīgas sekas darbiniekam," atklāj S. Pētersone.
Datu aizsardzība Latvijā šobrīd ir diezgan zemā līmenī, uzskata S. Pētersone. "Veicot auditus, esam konstatējuši, ka daudzi uzņēmēji neievēro arī pašlaik spēkā esošās prasības, kaut gan tas būtu jādara jau vairāk nekā desmit gadus." Ja pašlaik būtu jādomā tikai par jaunās regulas izpildi, darba būtu mazāk, taču reālā situācija ir tāda, ka jānodrošina atbilstība gan vecajam, gan jaunajam regulējumam. "Iespējams, iepriekš uzraudzības iestādei bijusi pārāk maza iespēja kontrolēt procesus, bet uzņēmējiem trūka zināšanu par nepieciešamību nodrošināt personu datu aizsardzību. Arī sabiedrība kopumā ir pārāk maz informēta, taču tagad situācija mainās - cilvēki arvien vairāk zina par savām tiesībām un aktīvi tās izmanto," vērtē S. Pētersone, norādot, ka par datu aizsardzību citā līmenī liek domāt arī lielie sodi. "Šobrīd maksimālais sods ir līdz 14 tūkstošiem eiro, savukārt regula paredz sodu līdz 20 miljoniem eiro vai līdz 4% no iepriekšējā gada apgrozījuma. Tas daudzus motivē. Paredzu, ka šī iemesla dēļ datu aizsardzības līmenis uzlabosies," uzsver juriste.
Regulas izpildi Latvijā uzraudzīs Datu valsts inspekcija. S. Pētersone stāsta, ka teorētiski šī iestāde var atnākt pie jebkura uzņēmuma vai iestādes un lūgt pierādīt, ka tā ievēro regulu, pat tādā gadījumā, ja nav nekādu aizdomu vai sūdzību par pārkāpumiem. "Tas ir viens no būtiskajiem jaunumiem regulā - ir jābūt gataviem pierādīt atbilstību tai," pauž S. Pētersone. Šī iemesla dēļ būtiski ir visus procesus un pasākumus dokumentēt.
Pilna raksta versija publicēta "Dienas Bizness" 2018. gada 25. aprīlī, autore: Armanda Vilcāne.