Apritējis gads, kopš "lielā bubuļa" - Vispārīgās datu aizsardzības regulas piemērošanas starta dienas. Daudziem šis gads ir pagājis, pašu spēkiem vai ar konsultantu palīdzību ieviešot regulas prasības, bet citi vēl nav apzinājušies, ka regula attiecas arī uz viņiem. Lai arī šķiet, ka šis gads Latvijā bijis samērā mierīgs un par skaļiem pašmāju datu pārkāpumiem nav dzirdēts, nevarētu teikt, ka uzraugošā institūcija ir snaudusi.
Saskaņā ar Datu valsts inspekcijas datiem, 2018. gada laikā saņemtas vairāk kā 1200 sūdzības un iesniegumi, veiktas vairāk kā 300 pārbaudes un pieņemti vairāk kā 20 lēmumi par personas datu aizsardzības pārkāpumiem, par kuriem piemērots sods. Biežākie pārbaužu veikšanas gadījumi bijuši par videonovērošanas veikšanu publiskās vietās, privātīpašumos un iestādēs; informācijas par dzīvokļa parādiem izvietošanu koplietošanas telpās; personas datu apstrādi interneta vietnēs; datu apstrādi izglītības iestādēs.
Biežākās kļūdas
Lai arī regulas ieviešana ilgst jau vairāk kā trīs gadus (iepriekš divi gadi bija noteikti kā pārejas periods tieši prasību ieviešanai), joprojām ir izplatītas kļūdas attiecībā uz regulējumā noteikto prasību izpildi.
Bieži piekrišanas datu apstrādei tiek izmantotas neatbilstošos gadījumos vai arī tās netiek iegūtas regulai atbilstošā veidā. Piemēram, darba tiesiskajās attiecībās darbinieka piekrišana datu apstrādei ir nepieciešama atsevišķos izņēmuma gadījumos, nevis vienmēr, kā arī piekrišanas ne vienmēr tiek iegūtas ar personas aktīvu darbību, ne vienmēr tās ir brīvas un pirms to iegūšanas personām ir sniegta visa obligāti sniedzamā informācija.
Neatbilstoši tiek veikta personu informēšana par datu apstrādi. Piemēram, privātuma politika ir izstrādāta, bet datu nodošanas brīdī tā nav viegli pieejama vai arī tajā ietvertā informācija ir pārāk vispārīga un neļauj personai saprast, kādas sekas radīsies konkrētajā datu nodošanas gadījumā.
Datu valsts inspekcija ir uzsvērusi, ka joprojām daudziem nav skaidrs un kļūdas tiek pieļautas, neieceļot datu aizsardzības speciālistu un neveicot novērtējumu par procesa ietekmi uz datu aizsardzību tajos gadījumos, kad tas ir obligāti saskaņā ar regulu. Arī mēs savos konsultāciju projektos esam konstatējuši neatbilstības attiecībā uz šo prasību izpildi.
Savukārt pati galvenā un visizplatītākā kļūda ir tā, ka iestādes un uzņēmumi datu aizsardzību uztver kā vienreizēju pasākumu un neintegrē datu aizsardzības prasības procesu izstrādes stadijā un savā ikdienas darbībā. Piemēram, uzņēmumi izstrādā instrukcijas darbiniekiem attiecībā uz personas datu aizsardzību, bet neveic darbinieku apmācīšanu par šo instrukciju piemērošanu un nozīmību, kā arī neveic darbinieku zināšanu un informētības par datu aizsardzību pārbaudi. Tas savukārt rada risku, ka instrukcijas netiek ievērotas vai tiek nepareizi piemērotas.
Datu aizsardzības prasību integrēšana ikdienas procesos nozīmē arī to, ka regulāri ir jāveic pārbaudes (iekšēji vai ārēji auditi) par to, vai ieviestie datu aizsardzības pasākumi darbojas, tiek ievēroti un ir efektīvi. Piemēram, vai darbinieki pilda tiem procedūrās noteiktos pienākumus un iznīcina personas datus procedūrā noteiktā termiņā un veidā, vai neglabā personas datus un citu svarīgu informāciju tikai datora cietajā diskā, kas procedūrā ir aizliegts, jo šai informācijai netiek veidotas rezerves kopijas un incidenta gadījumā nav iespējams atjaunot pieeju šai informācijai. Efektīvs faktiskās gatavības pārbaudes veids ir, veicot tā saukto "MOCK DAWN RAIDS" testu – uzraugošās iestādes pārbaudes simulāciju ar ārējo konsultantu palīdzību iepriekš neinformējot darbiniekus.
Joprojām problēmas un kļūdas rodas attiecībā uz datu glabāšanas termiņu noteikšanu un savlaicīgu datu iznīcināšanu. Bieži uzņēmumi uzskata, ka nav nepieciešams iekšēji noteikt datu glabāšanas termiņus, jo šīs prasības ir noteiktas likumā. Tomēr tas ir kļūdaini, jo daudzos gadījumos likums neparedz datu glabāšanas ilgumu, piemēram, nav noteikts, cik ilgi jāglabā kandidātu CV darbinieku atlases procesā, cik ilgi jāglabā e-pasta sarakste. Līdz ar to gan iestādēm, gan uzņēmumiem iekšēji jānosaka tieši saviem procesiem atbilstoši datu glabāšanas termiņi un jāveic droša to iznīcināšana termiņa iestāšanās gadījumā.
Skaļākie skandāli un bargākie sodi
Vērienīga datu noplūde notika britu aviokompānijai British Airways. Kiberdrošības eksperti lēš, ka tā visticamāk notika laikā, kad klienti interneta vietnē vadīja savus datus, lai veiktu lidojuma rezervāciju. Turklāt incidents ilga 15 dienas. Sods šajā lietā vēl nav piemērots, bet tas varētu sasniegt pat 579 tūkstošus eiro. Arī viesnīcu tīkls Marriott piedzīvoja milzīgu datu noplūdes gadījumu. Iespējams tā skāra 383 miljonu klientu visā pasaulē. Datu noplūde tika atklāta 2018. gada septembrī, bet uzraudzības iestādei par incidentu tika ziņots tikai novembra beigās, kas būtiski pārsniedz Vispārīgajā datu aizsardzības regulā noteiktos šādu gadījumu paziņošanas termiņus. Joprojām šajā lietā tiek risināts jautājums, kuras jurisdikcijas likumus ir jāpiemēro šāda veida datu noplūdei un kas ir vainīgs incidentā. Šie ir datu drošības pārkāpumi (datu konfidencialitātes, pieejamības vai integritātes nepamatota pārkāpšana), par kuriem uzņēmumam vai iestādei ir nekavējoties jāziņo uzraudzības iestādei un neziņošanas gadījumā var tikt piemērots sods gan par neziņošanu, gan par drošības incidentu.
Var būt arī cita veida pārkāpumi – varētu teikt, ka tie ir nevis tehnisko, bet juridisko prasību pārkāpumi, par kuriem nav jāziņo, bet sods par kuriem arī var būt nozīmīgs. Piemēram, ar bardzību izcēlusies Francijas nacionālā datu aizsardzības komisija, kas interneta milzim Google piemēroja 50 miljonus eiro lielu sodu par regulai neatbilstošu personu informēšanu un neatbilstošu piekrišanu iegūšanu no šīm personām attiecībā uz personas datu iegūšanu personalizētas reklāmas nosūtīšanas nolūkā.
Kas gaidāms nākamgad
Latvijā lieli sodi vēl nav piemēroti, bet ir jāpatur prātā, ka Latvijas uzraudzības iestāde šobrīd uzsver, ka attiecībā uz Vispārīgās datu aizsardzības regulas uzraudzību tā pagaidām aktīvi piemēro principu "konsultē vispirms". Tas savukārt var liecināt par to, ka klusais un mierīgais periods Latvijā drīz var beigties. Visticamāk jau tuvākajā laikā uzraudzības iestādes visā Eiropas Savienībā būs "uzaudzējušas muskuļus" un liks tos lietā, arvien aktīvāk veicot pārbaudes. Papildus tam Latvijas uzņēmējiem vai iestādēm būtu jābaidās ne tikai no Latvijas Datu valsts inspekcijas, bet arī no citu valstu uzraudzības iestāžu iesaistes pārbaudēs, ja Latvijas uzņēmums vai iestāde būs apstrādājusi citas valsts, piemēram, Vācijas iedzīvotāja personas datus un šis iedzīvotājs būs ar sūdzību vērsies Vācijas uzraudzības iestādē.
Šī ir jauna, ar Vispārīgo datu aizsardzības regulu ieviesta, datu subjektu iespēja ar sūdzību vērsties savas dzīvesvietas uzraudzības iestādē, pretēji "vecajam" regulējumam, kad vienīgā iespēja bija ar sūdzību par Latvijas uzņēmuma veikto rīcību vērsties ar sūdzību latviešu valodā Latvijas Datu valsts inspekcijā, kas noteikti daudzos gadījumos atturēja personas no sūdzību iesniegšanas.
Raugoties uz Datu valsts inspekcijas iepriekšējo gadu pieredzi un prioritātēm, var secināt, ka arī turpmāk visdrīzāk īpašu uzmanību tā varētu pievērst videonovērošanas procesiem, veselības datu, biometrisko datu izmantošanas gadījumiem. Tomēr jāņem vērā, ka no uzraudzības iestādes pārbaudes pasargāts nav neviens, ievērojot to, ka fiziskās personas – gan klienti, gan darbinieki – arvien aktīvāk izmanto savas tiesības personas datu aizsardzības jomā un arvien vairāk ar sūdzībām vēršas uzraudzības iestādē. Līdz ar to ikvienam Latvijas uzņēmumam un iestādei ieteikums ir sagatavoties un izpildīt mājas darbu, ieviešot regulas prasības.
