Raksta attēls

GDPR stājies spēkā – kas mainās uzņēmumiem?

25. maijā stājās spēkā Vispārīgā datu aizsardzības regula jeb GDPR (General Data Protection Regulation). Kādi ir regulas pamatprincipi un ko tā mainīs? – Tas bija galvenais temats seminārā Latvijas uzņēmējiem, kurā Swedbank eksperti dalījās savā pieredzē un piemēros par GDPR ieviešanas praksi. Rakstā apkopojām galvenās atziņas un ieteikumus uzņēmumiem, bet visu semināra ierakstu varat noskatīties šeit.

Evolūcija datu aizsardzībā

 “Vispārīgā datu aizsardzības regula radīta tādēļ, lai ļautu cilvēkiem justies droši, ka viņu dati ir pasargāti. Tā nav nozares revolūcija, bet gan evolūcija, jo klientu datu aizsargāšana vienmēr bijusi viens no uzņēmumu darbības stūrakmeņiem,” stāsta Swedbank GDPR ieviešanas projekta vadītāja Baltijā Elīna Smilga. Viņa uzskata, ka tie uzņēmumi, kuri darbojušies saskaņā ar līdzšinējām prasībām, neizjutīs krasas izmaiņas.

“Tiek lēsts, ka tie uzņēmumi, kuri jau nodrošinājuši atbilstību līdz šim pastāvējušajam regulējumam, par 70% ir gatavi arī jaunajai regulai,” saka Swedbank personas datu aizsardzības speciāliste Latvijā Veronika Sajadova.

 

Elīna Smilga uzsver, ka regulas pamata stūrakmens ir caurskatāmība. Tas nozīmē, ka cilvēkam, kuram dati pieder, ir tiesības zināt, kāpēc un kādā veidā tie tiek apstrādāti. Otrs princips ir konfidencialitāte un drošība: ja dati uzņēmumam uzticēti, tad par tiem jārūpējas atbildīgi. Un trešais princips – datu apstrādei jāsniedz labums to īpašniekam.

Kas ir dati

Personas dati ir jebkura informācija, ko iespējams tiešā vai netiešā veidā sasaistīt ar privātpersonu. Tas attiecas gan uz uzņēmuma klientiem, gan darbiniekiem. Dati ir, piemēram, personas vārds, adrese, tālruņa numurs, informācija par ienākumiem un datora IP adresi. Pat datorspēlē izmantots segvārds un cilvēka balss ieraksts var būt personas dati.

“Personas dati ir informācija, kas ļauj mums saprast, ka aiz šīs konkrētās datu vienības ir konkrēts cilvēks,” skaidro Elīna Smilga.

Noteiktas datu kategorijas GDPR aizsargā īpaši. Tās ir rase vai etniskā piederība, politiskie uzskati, reliģiskie vai filozofiskie uzskati, piederība arodbiedrībām, informācija par cilvēka veselības stāvokli un seksuālo orientāciju, ģenētiskie un biometriskie dati, sodāmība. Tādēļ īpaši stingri noteikumi ir tiem uzņēmumiem, kuri strādā ar šīm datu kategorijām.

Swedbank Juridiskās pārvaldes vadītāja Agnese Garda uzsver, ka līdz ar GDPR uzņēmumiem jāpatur prātā arī citi aktuālie normatīvie akti. Piemēram, finanšu jomā viens no tādiem ir Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma finansēšanas novēršanas likuma jeb AML/KYC prasības, kā arī Otrā maksājumu pakalpojumu direktīvas jeb PSD2 regulējums. “Tiem attiecībā uz datu aizsardzību zināmā mērā ir pretējs vektors, tādēļ uzņēmumam būtiski saprast, kā visatbilstošāk šīs prasības salāgot,” norāda Agnese Garda.

Pamatprincipi darbam ar personas datiem pēc 25. maija

Lai sakārtotu darbu ar personas datiem, uzņēmumam būtu jāpārdomā trīs būtiski bloki, stāsta Veronika Sajadova. Tie ir, pirmkārt, uzņēmuma iekšējie dokumenti un komunikācija, otrkārt, ārējie dokumenti un komunikācija un, treškārt, komunikācija ar uzraudzības iestādi – Datu valsts inspekciju.

Speciālistes ieteiktie tālākie soļi

  • I Iekšējie dokumenti un komunikācija

1. Izstrādājiet Privātuma politiku

Ja uzņēmumam vēl nav sagatavots Privātuma politikas (Privacy Policy) dokuments, tad tāds būtu jāizstrādā. Tas ir iekšējs dokuments, viens no galvenajiem dokumentiem uzņēmumā, un tas nosaka to, kāda ir uzņēmuma izpratne par regulas prasībām un kā tās plānots ieviest. Pēc Privātuma politikas izstrādes būtiski par to paziņot uzņēmuma darbiniekiem, lai visā uzņēmumā nodrošinātu vienotu izpratni par regulas prasībām.

2. Izstrādājiet iekšējās procedūras

Pēc Privātuma politikas dokumenta izstrādāšanas šī “jumta” dokumenta galvenās vadlīnijas ieteicams iestrādāt detalizētākos zemāka līmeņa dokumentos, piemēram, iekšējās procedūrās, procesu aprakstos, instrukcijās utt.

3. Nodrošiniet tehnisko atbalstu jaunajām prasībām

Uzņēmumam ir būtiski pārbaudīt, cik lielā mērā tas tehniski var nodrošināt atbilstību regulas prasībām un saviem izstrādātajiem dokumentiem. Pārbaudiet savas IT sistēmas, tehniskā atbalsta kapacitāti – tieši šis solis ļaus uzņēmumam saprast, vai dokumentos paustā apņemšanās ir tuvu realitātei un plānotās ieceres var īstenot dzīvē.

4. Izstrādājiet Datu apstrādes reģistru

Lai varētu kvalitatīvi sagatavot Privātuma politiku un iekšējās procedūras, uzņēmumam būtu jāizstrādā arī Datu apstrādes reģistrs. Tā formāts nav noteikts – reģistrs var būt gan vienkāršas tabulas veidā, gan arī radīts, izmantojot sarežģītāku IT sistēmu piedāvātās iespējas. Par piemēru var kalpot Latvijas Komercbanku asociācijas izstrādātais dokuments, kas atrodams asociācijas ieteikumos Vispārējās datu aizsardzības regulas piemērošanai. Datu valsts inspekcija atzinusi, ka tas ir labs praktisks paraugs, ko varētu ņemt par pamatu arī citi uzņēmumi.

Kādos gadījumos jāievieš datu apstrādes reģistrs? Tas nav obligāts solis visiem uzņēmumiem, taču Datu apstrādes reģistra izveidošana varētu būt noderīga, jo tā uzturēšana ļauj saprast, kādus datus apstrādājat, kādiem mērķiem un ar ko dalāties ar datiem, kā notiek datu plūsma. Atbildes uz šiem jautājumiem uzņēmumam palīdzēs arī vēlāk kvalitatīvi atbildēt uz datu subjektu pieprasījumiem. Šī soļa laikā jānoskaidro arī tas, vai dati tiek nodoti ārpus Eiropas Savienības un Eiropas Ekonomiskās zonas, jo šajos gadījumos attiecināmi daudz striktāki noteikumi.

Datu reģistrs obligāti jāveido tiem uzņēmumiem, kur darbinieku skaits ir lielāks par 250 un kuri apstrādā īpašas datu kategorijas – piemēram, veselības datus –, kā arī veic regulāru datu apstrādi.

Taču arī tad, ja uzņēmums ir mazs vai vidējs un apstrādā tikai savu darbinieku datus, būtu nepieciešams ieviest un uzturēt datu apstrādes reģistru.

5. Veiciet leģitīmo interešu novērtējumu

Reģistrā ieteicams iekļaut arī informāciju par datu apstrādes tiesisko pamatu. Ja uzņēmums saprot, ka konkrētajā gadījumā vēlas paļauties nevis uz noslēgto līgumu vai klienta doto piekrišanu, bet gan uz savām tiesiskajām interesēm, tad papildus jāveic tiesisko interešu novērtējums, kas jāapkopo vienā vai vairākos dokumentos. Tajos uzņēmumam jāizvērtē un jāsabalansē uzņēmuma intereses un tiesības pretstatus klientu tiesībām, interesēm un brīvībām.

6. Veiciet novērtējumu par ietekmi uz datu aizsardzību

Ja, veicot tiesisko interešu novērtējumu saistībā ar jaunas procedūras izstrādi, jauna produkta vai pakalpojuma sniegšanu, konstatē, ka datu apstrāde klientiem rada augstu risku, uzņēmumam jāveic vēl viens novērtējums – par ietekmi uz datu aizsardzību. Plānots, ka Datu valsts inspekcija nāks klajā ar sarakstu par tām datu apstrādes darbībām, kurām obligāti jāveic šāds novērtējums. Pašlaik tas nav jāveic tiem datu apstrādes mērķiem, kas jau ir reģistrēti Datu valsts inspekcijā.

7. Pārskatiet sadarbības līgumus un noslēdziet datu apstrādes līgumus

Nākamais uzdevums ir pārskatīt sadarbības līgumus. Uzņēmumam jāsaprot, kāda ir tā datu plūsma un vai dati tiek nodoti kādiem sadarbības partneriem ārpus Eiropas Savienības, kad paredzētas stingrākas prasības.

Ja esošie līgumi nosaka arī personas datu apstrādi, jānoskaidro jūsu uzņēmuma statuss tajos. Situācijā, kad uzņēmums pats nosaka datu apstrādes mērķus, tas ir datu pārzinis. Savukārt, ja uzņēmums strādā cita uzņēmuma noteikto mērķu ietvaros, tas ir datu apstrādātājs. Starp pārzini un apstrādātāju ir jānoslēdz datu apstrādes līgums vai arī jāparedz izmaiņas sadarbības līgumos. Ja tas nav izdarīts, datu apstrāde ir prettiesiska.

8. Ja regula to pieprasa, ieceliet datu aizsardzības speciālistu

Regula nosaka, ka datu aizsardzības speciālista norīkošana nav obligāta visos gadījumos. Tas nepieciešams, ja uzņēmums veic sistemātisku un regulāru datu apstrādi plašā mērogā. Pārējos gadījumos speciālistu var iecelt pēc paša uzņēmuma izvēles.

Datu aizsardzības speciālists ir cilvēks, kurš uzņēmumam var palīdzēt sakārtot datu apstrādes procesus – pārskatīt sadarbības līgumus, sagatavot novērtējumus vai datu apstrādes reģistru.

Būtiski, ka šim speciālistam nevajadzētu pašam rakstīt iekšējās procedūras vai politikas, lai neizveidotos iekšējais interešu konflikts – proti, situācija, ka pats speciālists gan sagatavo dokumentus un procedūras, gan arī seko to izpildei.

Datu aizsardzības speciālists var būt vai nu uzņēmuma darbinieks, vai arī ārpakalpojumu sniedzējs. Speciālistam būtu jābūt neatkarīgam no biznesa lēmumiem.

9. Apmāciet darbiniekus un veiciniet privātuma kultūru

Arī regulāra darbinieku apmācība un vienotas privātuma kultūras veicināšana ir būtisks solis. Tas nav vienreizējs pasākums, bet gan pastāvīga informācijas sniegšana un apmācības par dažādām datu apstrādes tēmām. Atbildību par datu apstrādi nes nevis konkrēti darbinieki, bet gan viss uzņēmums kopumā. Tādēļ ir būtiska vienota izpratne visu darbinieku vidū, kā arī darbinieku motivācija ieviest jaunās prasības. Svarīgi: jaunajām procedūrām jābūt tādām, ko uzņēmums var reāli ieviest.

10. Veiciet regulāru pārbaudi

Biznesa vajadzības pastāvīgi mainās, tādēļ ieteicams veikt iepriekšminēto soļu – procedūru un līgumu – regulāru pārbaudi. Tas nozīmē, ka process ir ciklisks. Pēc katra no soļiem nav jāliek punkts, bet gan komats, jo datu apstrādes pilnveide ir nepārtraukts process.

  • II Ārējie dokumenti un komunikācija

1. Izstrādājiet un nopublicējiet Privātuma paziņojumu

Privātuma paziņojums (Privacy Notice) ir ārējās komunikācijas dokuments, kas atbild uz šādiem jautājumiem: Kas jūs esat? Kādus datus ievācat? Kā plānojat šos datus izmantot? Kam jūs nododat datus? Sniedziet saviem datu subjektiem pēc iespējas vairāk informācijas, lai viņiem ir zināmas atbildes uz šiem jautājumiem. Dokumentu sagatavo, domājot par regulā pausto pārredzamības principu. Arī Swedbank ir publicējusi savu Privātuma paziņojumu, nosakot galvenos principus datu apstrādē.

2. Pārskatiet līgumus ar klientiem un klientu pieteikumus

Ir būtiski pārskatīt esošos līgumus ar klientiem un pieteikumus, jo regula paredz, ka piekrišanai jābūt sniegtai pirms datu apstrādes uzsākšanas. Tāpat tai jābūt brīvi sniegtai, konkrētai, informētai, nepārprotamai un aktīvai. Ja agrāk uzņēmumi savos līgumos bieži vien rakstīja “Parakstot šo līgumu, es piekrītu savu datu apstrādei”, tad pēc 25. maija šāds formulējums vairs nederēs.

Šobrīd formulējumā skaidri jānorāda, kādai datu apstrādei persona piekrīt.

Tas nozīmē – ja klients piekrišanu sniedzis esošajā līgumā, tad tas ir jāpārskata, jo līdzšinējā kārtība vairs nedarbosies. Iespējams, uzņēmumam ir jāsagatavo jaunas piekrišanas formas. Tās var būt ne tikai papīra formā, bet arī elektroniskā vai kādā citā formātā.

Piekrišanai jābūt brīvi sniegtai. Klientam ir jāpiedāvā iespēja pašam atzīmēt, kam viņš piekrīt un kam – ne, nevis jāakceptē jau atzīmētas izvēles.

Piemēram, līgumā var paredzēt formulējumu “piekrītu / nepiekrītu”, ļaujot klientam atzīmēt savu izvēli.

Ir būtiski dokumentēt gan klientu piekrišanu, gan arī tās atsaukumus, lai nepieciešamības gadījumā varētu pierādīt, ka uzņēmumam ir bijis tiesiskais pamats konkrētai datu apstrādei.

3. Iepazīstieties ar datu subjektu tiesībām

Klientu jeb uzņēmuma datu tiesības ir saņemt informāciju, atsaukt iepriekš dotās piekrišanas, labot novecojušu vai nepareizu informāciju, pieprasīt datu dzēšanu, iebilst datu apstrādei un saņemt datu kopiju pārnēsājamā formā. Šīs tiesības klienti var realizēt brīvi un bez maksas, neparedzot nekādas sankcijas par piekrišanas atsaukšanu.

Šīs tiesības attiecas arī uz uzņēmuma darbiniekiem.

Taču ieteikums ir izvairīties prasīt piekrišanu no darbiniekiem, jo attiecībām starp vienu un otru līgumslēdzēju pusi jābūt līdzvērtīgām, bet darba tiesiskajās attiecībās šis balanss nav ievērots. Jāizvairās no situācijas, kad darbinieki būtu spiesti dot piekrišanu, ja sankcija ir, piemēram, to atlaišana.

Regulas kontekstā datu dzēšana ir papildināta ar jaunu konceptu – tiesībām būt aizmirstam. Tomēr šīs tiesības nav absolūtas un jāizvērtē, vai uzņēmumam nav cits pamats datu glabāšanai, piemēram, jau minētās AML prasības. Tāpat jauninājums ir tiesības uz datu pārnesamību. Šīs tiesības potenciāli palīdzēs veicināt konkurenci, jo klients varēs savus datus no viena pārziņa nodot citam.

  • III Komunikācija ar uzraudzības iestādi

Svarīgi atcerēties, ka par personas datu aizsardzības pārkāpumiem nekavējoties, bet ne vēlāk kā 72 stundu laikā jāziņo Datu valsts inspekcijai. Par pārkāpumiem jāziņo datu pārzinim, bet par tiem pārzinis var uzzināt no darbiniekiem, klientiem, piegādātājiem vai jebkuras citas personas.

Datu valsts inspekcija ir izstrādājusi Personas datu apstrādes aizsardzības pārkāpuma paziņojuma iesniegšanas veidlapu, kas pārkāpuma gadījumā jāaizpilda un jāiesniedz Datu valsts inspekcijā. Ja pārkāpums ir radījis augstu risku datu subjektiem, piemēram, klientiem vai darbiniekiem, tie ir jāinformē atsevišķi.

Problemātiskie jautājumi jārisina nozares līmenī

Sarežģītos jautājumus, kas rodas, ieviešot regulas prasības, Agnese Garda iesaka risināt nozares vai asociāciju līmenī, kas mazākiem uzņēmumiem varētu būt efektīvs ceļš šādu problēmu risināšanā. Kā piemēru viņa min Latvijas Komercbanku asociācijas izstrādātos ieteikumus Vispārīgās datu aizsardzības regulas piemērošanai, kurus pielāgojot var izmantot arī citu nozaru uzņēmumi.