Bilances Juridiskie Padomi (Nr.12), Numura intervija
Datu aizsardzība ir arī uzņēmuma reputācijas jautājums
Pagājis vairāk nekā pusgads, kopš šā gada 25. maijā spēkā stājās Vispārējā datu aizsardzības regula1 (turpmāk – regula). Jau ilgi pirms minētā datuma uzņēmēji tika aicināti tai gatavoties laikus, ieviešot dažādus fizisko personas datu aizsardzības pasākumus un pārskatot līdzšinējo datu apstrādes un uzglabāšanas praksi. Kādi ir galvenie secinājumi par dzīvi pēc regulas spēkā stāšanās, vaicājām Katrīnei Pļaviņai, LL.M, zvērinātu advokātu biroja VILGERTS vecākajai juristei, sertificētai personas datu aizsardzības speciālistei. Kā zinoša eksperte datu aizsardzības jomā viņa auditējusi daudzu uzņēmumu atbilstību jaunajām datu aizsardzības prasībām un sniedz personas datu aizsardzības speciālista pakalpojumus.
Par datu aizsardzību atbildīgā Datu valsts inspekcija nav nākusi klajā ar paziņojumiem, ka aizvadītajā periodā būtu konstatēti kādi nopietni regulas pārkāpumi. Taču nav arī bijuši plaši skaidrojumi, kas palīdzētu izprast regulas piemērošanas īpatnības.
Datu valsts inspekcija ir pieturējusies pie “Konsultē vispirms” principa, kā tā bija solījusi. Tas, protams, ir vērtējams atzinīgi, Taču jāpiekrīt arī novērojumam par konsultēšanas kvalitāti – ne vienmēr uzņēmēji sagaidījuši tādas atbildes, kādas bija cerējuši. Personas datu aizsardzības sakarā bieži rados visai specifiski jautājumi. Tā, piemēram, var tikt uzdots nevis jautājums, vai drīkst filmēt bērnus, bet jau daudz konkrētāks: “Esam pirmsskolas iestāde, vai pie mums drīkst filmēt bērnus?”. Varēja rasties arī šāds jautājums: “Ziemassvētku pasākumā filmējām darbinieku bērnus, vai uzfilmēto materiālu drīkst izmantot uzņēmuma mārketinga vajadzībām?”.
Uz šādiem un līdzīgiem specifiskiem jautājumiem Datu valsts inspekcijas sniegtās atbildes, cik nu man gadījies lasīt, vairāk ir bijušas kā regulas pārstāsts, ne tieša atbilde uz uzdoto jautājumu. Tāpēc uzņēmējiem pašiem jāizsecina, kā regula attiecas uz viņu konkrēto darbības jomu. Līdz ar to būtiskas izmaiņas inspekcijas darbā pirms un pēc regulas spēkā stāšanās, nav pamanāmas.
Vienlaikus jānovērtē, ka šādas konsultācijas vispār notiek, neskatoties uz ierobežotajiem Datu valsts inspekcijas resursiem. Spriežot pēc publiski paustās informācijas, pēdējā pusgadā inspekcija saņēmusi ap 500 sūdzību, kas ir jāizskata un attiecīgi jāsagatavo atbildes. Tas ir ļoti daudz! Cerības vieš fakts, ka inspekcijai tiek piešķirts papildu finansējums un mainās arī darbinieku atalgojuma sistēma.
Saprotu, ka uzņēmējiem datu aizsardzības jautājumos ir iespēja vērsties arī pie juridiskajiem birojiem un vaicāt, kā konkrētā situācijā rīkoties, lai viss atbilstu personas datu aizsardzības prasībām.
Jā, protams, arī mēs konsultējam un sniedzam datu aizsardzības speciālistu pakalpojumus tiem uzņēmumiem, kam to paredz regula, vai kas vēlas parūpēties par savu reputāciju šajā jomā. Tāpat auditējam klientu uzņēmumus par to darbības atbilstību datu regulai.
Ko praksē izsaka – “auditēt uzņēmumu par atbilstību datu regulai”? Pieņemsim, ka pie jums vēršas firma, kas sniedz grāmatvedības pakalpojumus. Ko jūs galvenokārt pārbaudīsiet?
Grāmatvedības uzņēmumi atrodas salīdzinoši labā situācijā, jo fizisko personu datu apjoms, kas iziet caur grāmatvedības programmai, nav ļoti liels. Parasti tie ir uz noslēgtā līguma pamata saņemtie viņu klientu un to darbinieku personas dati, kas jāapstrādā. Bet tā kā grāmatvedības firma parasti sniedz ārpakalpojumu, tad galvenā atbildība par datu drošību ir uzņēmumam, kurš šos datus ir iesniedzis.
Svarīgi arī, lai datu bāze neglabātos tikai vienā datorā, lai tai būtu izveidota rezerves kopija. Ja nu notiek kāda neparedzēta nelaime, piemēram, izceļas ugunsgrēks un datorā uzglabātā pamatkopija tiek bojāta vai kļūst nepieejama, tad svarīgi, lai šos datus būtu iespējams atjaunot no tā dēvētās back up kopijas. Tā ne tikai personas datu, bet klienta darbība kopumā netiktu apdraudēta. Papildus grāmatvedības uzņēmumiem jāseko tam, kādus drošības pasākumus prasa ievērot klienti – paroles visām sistēmām un ierīcēm ar noteiktu simbolu skaitu, pretielaušanās programmatūra, datu dzēšanas termiņi pēc pakalpojuma sniegšanas utt.
Grāmatvedības uzņēmumiem atbilstoši regulas prasībām jāapstrādā arī savu darbinieku dati. Šai sakarā jāņem vērā, vai grāmatvedības ārpakalpojuma sniedzējs strādā kā individuālais uzņēmums, vai arī tā ir kapitālsabiedrība, kas nodarbina lielāku skaitu darbinieku. Attiecīgi no tā var atšķirties arī regulas izvirzītās prasības datu apstrādei. Lielākoties grāmatveži strādā ar speciālajām grāmatvedības programmām, kurās jau patlaban vajadzētu būt iebūvētām funkcijām, kas nepieciešamas datu aizsardzībai, piemēram, lai katrs lietotājs programmai var piekļūt ar savu individuālo paroli. Protams, jāseko, lai grāmatvedības programmatūra ir atjaunināta. Tad nevajadzētu rasties situācijai, ka nav iespējams noteikt, kurš piekļuvis klientu datu bāzei un varbūt ko tajā izmainījis.
Jebkuram uzņēmumam, neatkarīgi no tā darbības profila – vai tā ir grāmatvedības firma vai darbojas pavisam citā jomā, ir jāspēj darbiniekiem paskaidrot, kādi dati par viņiem tiek apstrādāti uzņēmumā, kāpēc un uz kāda pamata. Varētu pietikt, ja tas jau būtu norādīts atsevišķā sadaļā darba līgumā, bet šos skaidrojumu var izvērstākā formā iekļaut, piemēram, darba kārtības noteikumos.
Klientiem vienmēr aktuāli ir arī noskaidrot, kas datu aizsardzības sakarā būtu rakstāms līgumā ar apakšuzņēmēju, lai datu apstrādātājs būtu atbildīgs par viņam izsniegtajiem personu datiem. Vienlaikus klientiem ir jānodrošina dažādas tiesības un pienākumi. Ja, piemēram, uzņēmums izmanto grāmatvedības programmatūru, tad svarīgi, lai tā būtu sertificēta. Tad, ja tiek veikts datu audits, atliek gūt apstiprinājumu, ka uzņēmums strādā ar šādām sertificētām un drošām programmām. Taču tas vairāk ir nākotnes redzējums, jo patlaban vēl daudzi programmu nodrošinātāji strādā ar dažādām izmaiņām programmatūrās, lai ieviestu nepieciešamās datu aizsardzības prasības. Cerams, ka tuvākajā nākotnē šo programmu izmantotājiem nevajadzēs vairs šaubīties, vai programmas tik tiešām atbilst datu aizsardzības prasībām visaugstākajā līmenī.
Praksē ir dažādas situācijas, kas raisa pārdomas, kā drīkst notikt apmaiņa ar personas datiem. Ja, piemēram, ir jāsastāda līgums, vai var lūgt, lai personas datus, tostarp personas kodu, deklarēto adresi, bankas konta numuru atsūta e-pastā? Varbūt to drīkst darīt tikai šifrētā veidā, jo e-pastu var arī uzlauzt? Vai arī drošāk būs lūgt līgumā ierakstīt datus un tos sūtīt vēstulē pa pastu?
Līgumu slēgšana datu aizsardzības ziņā ir viena no vienkāršākajām darbībām. Regula skaidri pasaka, ka datus, kas nepieciešami līguma noslēgšanai, ir visas tiesības izmantot un apstrādāt. Protams, pārzinim, pie kura dati glabāsies, ir pienākums pēc iespējas ātrāk informēt par to, kā šos datus paredzēts izmantot un uzglabāt. Interneta veikalos, piemēram, parasti līdzās formai, kur tiek prasīta pircēja datu ievade, tiek izvietota saite uz privātuma politiku, kurā šie jautājumi ir izskaidroti.
Ja personas dati nepieciešami, piemēram, autoratlīdzības līguma sastādīšanai, tad datu ieguve notiek jau uz grāmatvedību regulējošā likuma pamata, jo personas dati tiek izmantoti grāmatvedības dokumentācijas noformēšanai. Jāatceras, ka ar līguma noslēgšanu nevar attaisnot visas iespējamās informācijas prasīšanu, piemēram, kopēt pases, diplomus, pētīt personas profilu Facebook.
Tomēr jautājums, kā šos datus nosūtīt attālināti? Vai tos vienmēr nepieciešams šifrēt? Piemērs tam ir ārstniecības iestādes, kas veic laboratoriskos izmeklējumus un izsniedz atsevišķi kodu, ar kuru var atvērt e-pastā atsūtīto izmeklējumu rezultātus.
Jāatgādina, ka regula izdala īpašu kategoriju datus, kādi ir arī dati par personas veselību, sodāmību u.tml. Pirms regulas tos mēdza dēvēt par sensitīvajiem datiem. Taču IT speciālisti norāda, ka par sensitīviem uzskata jebkurus datus, kurus uzņēmums nevēlas pazaudēt. Datu regula paredz pienākumu īpašu kategoriju datus sargāt daudz rūpīgāk. Tāpēc arī ārstniecības iestādēm kā minimums jārūpējas, lai ar veselību saistītu informāciju tiktu sūtīta šifrētā veidā.
Dati, kas neietilpst šajās īpašajās kategorijās, var tikt pārsūtīti e-pastā arī bez šifrēšanas. Mēs sakām, ka ar personu datiem var apmainīties, ja šādu datu nav īpaši daudz, piemēram, tā ir informācija par ne vairāk kā desmit cilvēkiem. Pieņemsim, ka uzņēmumam vajag nosūtīt piecu personu datus apdrošināšanas kompānijai, lai iegādātos ceļojuma apdrošināšanas polises. Tas nebūs datu aizsardzības pārkāpums, ja šos datus uzņēmums nosūtīs ar e-pasta starpniecību. Taču, ja darbinieku skaits ir lielāks, varbūt pat nepieciešams nosūtīt visu uzņēmuma darbinieku sarakstu, tad labāk to sūtīt šifrētā failā, bet šifra atslēgu nosūtīt pa citu kanālu, piemēram, izmantojot kādu no tiešsaistes rīkiem. Tad nebūs riska, ka personas dati kāda iemesla dēļ varētu noplūst un tādējādi tiktu aizskartas šo personu intereses. Iedomāsimies gadījumu, ka uzņēmums nosūta parādu piedzinējam savu klientu – privātpersonu – sarakstu. Ja šādi dati noplūdīs, tas jau var skart šo personu reputāciju, kas būs uzskatāms par personas datu aizsardzības pārkāpumu.
Tāpat jebkurš maksājuma uzdevums, ko mēs izveidojam internetbankā, satur mūsu datus. Attiecīgi bankas savā starpā apmainās ar mūsu datiem. Taču mums par to nav jāuztraucas, jo kanāli, pa kuriem bankas sazinās, ir šifrēti. Regula paredz, ka pat tad, ja šādi dati pazustu, tas nebūtu pārkāpums. Bankai gan būtu par to jāziņo Datu valsts inspekcijai, bet tai tas nebūtu jāziņo visiem klientiem, kuru datus saturēja pazaudētā informācija. Datu šifrēšana nodrošina, ka pat tad, ja informācija nonāktu pie ļaundariem, viņi to nespētu atvērt un attiecīgi arī nespētu piekļūt personu datiem.
Auditējot uzņēmumus, jūs noteikti pamanāt vēl arī citus “zemūdens akmeņus”, par kuriem varbūt datu apstrādātāji nav nojautuši?
Tipiskākā kļūda, ko pieļauj mazi un vidēju uzņēmumi – privātuma politika vai sīkdatņu politiku ir no kaut kurienes internetā nokopēta, nedomājot, kāds tām ir sakars ar attiecīgo biznesu. Tuvojoties 25. maijam, daudziem uzņēmumiem šķita, ka jānodrošinās un kaut vai formāli jāievieš pieprasītā informācija par uzņēmuma privātumu. Taču nu pienācis brīdis, kad jāparaugās uz šiem dokumentiem kritiski – vai tie atbilst uzņēmuma darba specifikai. Ja arī mums šķiet, ka klienti tāpat šajās privātuma un sīkdatņu politikās neiedziļinās, tad tā tomēr nav. Varbūt klientus tas neinteresē, kad viņi labā ticībā ir gatavi sadarboties, taču tam noteikti pievērsīs uzmanību, ja būs ar kaut ko neapmierināti, aizkaitināti vai dusmīgi. Ir, kas šīs atrunas lasa un pēdējā pusgada laikā Datu valsts inspekcija ierosinājusi 74 pārkāpuma lietas.
Harvard Business Review kādā no viedokļiem publicēja tēzi, ka dusmīgam klientam atvainošanās neinteresē. Tāpēc iesaku rūpīgāk pārlasīt un koriģēt šo politiku saturu atbilstīgi uzņēmuma specifikai. Ieteiktu iepazīties ar līdzīgiem dokumentiem, ko izmanto vietējie konkurenti, kā arī paraudzīties uz industrijas līderiem, kas strādā ārpus Latvijas. Tā būs iespēja paraudzīties uz datu aizsardzību plašāk un pārmantot labākos piemērus. Var pieaicināt speciālistu, kurš palīdzētu sagatavot kvalitatīvu dokumentu. Tas ir arī jautājums par uzņēmuma tēlu un reputāciju.
Lielākiem uzņēmumiem varētu būt izaicinājums saprast, kādā veidā atbildēt uz klientu datu pieprasījumu, proti, jebkuram no mums ir tiesības palūgt sagatavot informāciju par to, kādus datus par mums uzņēmums ir ievācis un kādam nolūkam tos uzglabā. Ja dati tiek uzglabāti daudzās informācijas sistēmās, ne vienmēr ir viegli salikt tos vienkopus. Tāpēc lielie uzņēmumi jau regulas ieviešanas laikā strādāja pie datu apvienošanas, lai tajā brīdī, kad ierodas datu subjekts, uzņēmums spētu reaģēt operatīvi. Regula gan pieļauj, ka atbilde sniedzama mēneša laikā, taču ne visos uzņēmumos ir attiecīgi cilvēkresursi, kam būs laiks un zināšanas ar šiem jautājumiem nodarboties, ja iepriekš tam nebūs gatavojušies.
Kā uzņēmumiem sokas ar personas datu aizsardzību, ieviešot klientu video novērošau?
Regulas izpratnē klientu un darbinieku novērošana ir plašāks jēdziens nekā tikai filmēšanu ar videokameru, piemēram, veikala telpās. Pieaug tendence arvien vairāk izmantot dažādus atrašanās vietas reģistratorus, tāpat dažās nozarēs populāri kļūst arī video reģistratori. Grāmatveži izmanto šīs reģistratoru atskaites, kas ir nepieciešams, lai pārliecinātos par autotransporta maršrutu un degvielas izmaksām.
Taču regulas komentāros norādīts, ka novērošana nedrīkst notikt, piemēram, darbinieku brīvajā laikā. Piemēram, darbiniekam ir atļauts izmantot auto privātām vajadzībām. Esam jautājuši klientiem, vai viņi izslēdz vai aptur reģistratora darbību šādā darbinieku privātām vajadzībām izmantotā laikā, taču izrādījies, ka daudziem reģistratoriem nemaz nav šādu funkciju. Līdz ar to uzņēmums nostādīts neērtā situācijā – viņa darba specifika prasa izmantot šo izsekošanas funkciju, bet vienlaikus nav iespēja ievērot regulas prasību attiecībā uz darbinieku privātumu.
Novērošana notiek arī interneta vidē – kad uzņēmums novēro savu klientu rīcību. Ar to saprot gan uzņēmuma mājaslapu analīzi – kā lietotāji uzvedušies, kam pievēruši vairāk uzmanību. Ja lietotāju dati ir anonīmi, tad šāda izsekošana problēmas nerada. Taču vairums vēlas fiksēt jau konkrētu lietotāju uzvedību, piemēram, cik daudz laika tie veltījuši, pētot noteiktas produktu grupas u.tml. Mūsdienās gribam būt proaktīvi un sekot patērētāju ieražām, lai jau varētu viņam piemērot individuālu preču vai pakalpojumu reklāmu. Izmantojot dažādus rīkus klientu novērošanai, kā, piemēram, sīkdatnes, rūpīgi jāpārdomā, kāda būs turpmākā komunikācija ar klientu, lai netiktu pārkāpts viņa privātums. Ir ļoti maz lietu, ko regula aizliedz, taču galvenais vadmotīvs, ko regula paredz – uzņēmumam jābūt atklātam, tam jāinformē cilvēks, kas attiecībā uz viņu tiek veikts.
Sanāk, ka datu regula liek pārskatīt līdzšinējās mārketinga darbības? Līdz šim viens no mārketinga uzdevumiem bija atrast veidu, kā uzrunāt klientu tieši, zinot viņa intereses un vajadzības, nevis vērsties ar reklāmu pie bezpersoniskas auditorijas.
Patiesi, tā vien šķiet, ka mārketingā esam kļuvuši daudz slinkāki. Semināros, runājot ar auditoriju, dzirdu, ka mārketinga nozarē valda uzskats, ka tad, ja cilvēkam nevar nosūtīt e-pastu, nekādas citas mārketinga aktivitātes nestrādās. Taču tā nav – turpina pastāvēt televīzijas un radio reklāmas, arī internetā, tostarp sociālajos tīklos, tiek izvietotas reklāmas. Tāpat neviens nav atcēlis pasta sūtījumus. Tas viss joprojām eksistē, un e-pasts nav vienīgais kanāls, kā piekļūt klientam. Regula rada tirgvežiem veco labo izaicinājumu – kā piedāvāt cilvēkiem iedot uzņēmumam e-pastu? Šo mākslu, šķiet, bijām piemirsuši.
Ar ko personas datu sakarā pa pastu piesūtīti drukāti reklāmas materiāli atšķiras no e-pastā atsūtītas digitālas reklāmas? Atšķirīgi jau ir tikai kanāli, kas šo reklāmu piegādā.
Pasta sūtījuma saņemšanas brīdī nevar izsekot, kādas darbības ar šo sūtījumu tiek veiktas. Nav arī iespējams pārliecināties, vai sūtījums ir ticis atvērts. Ja tas ir reklāmas buklets, tad nevar uzzināt, ko tieši tajā sūtījuma saņēmējs ir apskatījies, kam pievērsis vairāk uzmanības.
E-pasta izsūtītāji klienta izsekošanu uzskata par viņu pakalpojumu pievienoto vērtību, jo tā var noteikt, kurš no produktiem e-pasta saņēmēju ir ieinteresējis vairāk. Ar reklāmu saturošu e-pastu izsūtīšanas pakalpojumu sniedzējiem mums ir bijušas pārrunas, ka klientam jāļauj atslēgt izsekošanas funkciju, ja nav saņemta adresāta piekrišana tieši izsekošanas darbībai.
Tas nenozīmē, ka regula aizliedz sazināties ar klientu e-pastā. Informācijas sabiedrības pakalpojumu likumā, kas bija spēkā vēl pirms datu regulas pieņemšanas, noteikts, ka pakalpojuma sniedzējam, kas savu komercdarījumu ietvaros ieguvis no klientiem e-pasta adreses, ir atļauts tās izmantot arī citiem komerciāliem paziņojumiem, ja vien tie tiek sūtīti par līdzīgām precēm vai pakalpojumiem un ja klients nav iebildis par turpmāku e-pasta adreses izmantošanu. Tāpat pakalpojuma saņēmējam ir jābūt radītai iespējai jebkurā laikā atteikties no turpmākas viņa e-pasta adreses izmantošanas, kas nozīmē, ka paziņojums vairs nedrīkst piesūtīt. Lielbritānijā, piemēram, par šādu klienta atteikuma neievērošanu ir jau tikuši piemēroti sodi. Jāatzīmē, ka šī iespēja tuvāko divu gadu laikā visdrīzāk mainīsies.
Gadās, ka neapzināti vai aiz neuzmanības iznāk pieļaut kļūdas personas datu aizsardzībā, piemēram, ja konkrētai personai sagatavotu līgumu nosūti e-pastā citai personai. Tā ir izpausti personas dati. Ko šādā gadījumā darīt, neskaitot to, ka sūtījuma saņēmējam lūdz kļūdas pēc adresēto līgumu neņemt vērā, izdzēst līguma failu u.tml.?
Ja kļūdījies ir uzņēmums, tad vispirms vajadzētu šo negadījumu dokumentēt, piemēram, saglabāt kļūdaini nosūtīto e-pasta vēstuli, kā arī saglabāt lūgumu adresātam, kurš vēstuli saņēmis, e-pastu neņemt vērā un dzēst. Tāpat vajag saglabāt apstiprinājuma vēstuli, kurā adresāts sola šādi rīkoties.
Regula arī paredz, ka par datu aizsardzības pārkāpumiem jāziņo Datu valsts inspekcijai, kā arī jāinformē par notikušo pašu datu subjektu. Tāpat jāveic visi iespējamie pasākumi, lai kļūdaino situāciju novērstu un iespējamās kaitīgās sekas nevarētu iestāties. Tam atvēlētas līdz pat 72 stundas, lai maksimāli censtos situāciju nosacīti “pavērst atpakaļ”, piemēram, lai nauda vēl kļūdas dēļ netiktu no konta izskaitīta u.tml.
Ja persona, kura saņēma līgumu, to neparakstīja vai nedevās uz šī līguma pamata saņemt naudu vai kādu citu labumu, var uzskatīt, kaitējums personai nav radīts. Datu regulas preambulā ir ierakstīts, kas ir tās sekas, kas varētu tikt uzskatītas kā personai nodarītais kaitējums. Man pašai bija situācija, kad nozaga naudasmaku ar tajā esošu autovadītāja apliecību un kāds bija manus datus izmantojis, lai noslēgtu līgumu par mobilā telefona un pieslēguma iegādi. Kad parāds nebija nomaksāts, sakaru operators vērsās pie manis. Tas man varēja radīt ne tikai finansiālus zaudējumus, bet arī kaitēt reputācijai, jo es jau bijusi nokļuvusi parādnieku datubāzē, pašai par to pat nenojaušot.
Attiecīgi par kaitējumu var atzīt arī situāciju, kas personai rada lielu kaunu. Tāds piemēram, bija gadījums, kad publiski internetā tika izvietotas personas intīma rakstura privātās fotogrāfijas, kā rezultātā tas radīja lielu kaunu un arī reputācijas aizskārumu. Ja šādu gadījumu vērtē pēc datu apstrādes prasībām, tad tas viennozīmīgi ir pārkāpums.
Latvijā patlaban nav bijuši skaļi tiesas procesi par pārkāpumiem datu aizsardzības jomā. Varbūt jums ir zināmi piemēri no citām Eiropas Savienības valstīm?
Dažu valstu uzņēmuši jau ir saņēmuši apjomīgus sodus par to, ka nav brīdinājuši, ka pie viņiem notiek videonovērošana. Latvijā šī prasība, manuprāt, tiek ievērota, jo brīdinājuma zīmes par videonovērošanu tiek izliktas
Savdabīgs bijis Lielbritānijas Informācijas komisāres aicinājums uzņēmējiem nesūtīt daudzos paziņojumus par personas datu aizsardzības pārkāpumiem, ja, piemēram, radušās aizdomas par nesakcionētu piekļuvi uzņēmuma datu bāzēm. Kā norādīja komisāre, ja šādi gadījumi nemitīgi atkārtojas, tas var radīt pamatotas šaubas, vai uzņēmumā IT jomā ieviestie pasākumi datu aizsardzībā ir bijuši pietiekami. Ja šādi datu noplūdes gadījumi ir regulāri, tas var raisīt bažas par citas regulas, kas attiecas uz IT drošību, neievērošanu. Tāpēc komisāre aicināja pārdomāt, vai šī aktīvā ziņošana tiešām pasargās personas datus.
Mums kā datu aizsardzības speciālistiem interesanta šķita situācija ar Krievijas taksometru pakalpojumu sniedzēju Yandex.Taxi. Latvijas Aizsardzības ministrijai pakļautais Nacionālais kiberdrošības centrs šovasar norādīja, ka konstatēta uzņēmuma datu apmaiņa ar serveriem, kas atrodas Krievijas Federācijā. Tika veikta pārbaude, vai tas kaut kādā veidā neapdraud mūsu valsts drošību. Rezultāti to neapstiprināja, taču radās jautājums, cik droši šai kompānijai ir uzticēt personas datus, ņemot vērā, ka Yandex.Taxi mobilā lietotne pieprasa piekļuvi lielam daudzumam lietotāju datu. Attiecīgi interesanti būtu uzzināt Datu valsts inspekcijas nostāju par šādu lietotņu darbību un saistību ar personas datu aizsardzības prasībām.
Interneta laikmetā daudzi privātie uzņēmumi izvēlas glabāt informāciju ārvalstīs izvietotos serveros. Iespējams, tas tiek darīts tāpēc, lai valsts iestādes nevarētu atslēgt domēnu vai mājaslapu, ja konstatē kādus pārkāpumus, kā, piemēram, tas bija gadījumā ar sludinājumu portālu ss.lv. Kā šādos gadījumos var garantēt personas datu drošību?
Jebkuram uzņēmumam, kurš strādā Eiropas Savienības tirgū, neatkarīgi no tā, kurā valstī uzņēmums ir reģistrēts, ir pienākums ievērot regulas prasības- nodrošināt augstu personas datu aizsardzības līmeni. Ja personas datus uzņēmums nodod ārpus Eiropas Ekonomiskās zonas (EEZ), tad tā pienākums ir saglabāt šo augsto aizsardzības līmeni ne tikai tad, kad dati tiek nodoti, bet arī visā periodā, kad tie glabājas ārpus EEZ. Ja dati nonāk ārvalstīs esošas uzņēmumu grupas pārziņā, tad tiem piemērojamas tās pašas augstās prasības, kas mātes uzņēmumā, vai arī spēkā ir līgums, kurš veidots pēc Eiropas Komisijas parauga un kura saturs garantē: ja iestāsies noteikta veida apdraudējums, datus būs iespēja atgūt, kā arī veikt citus pasākumus, kas nodrošina datu uzglabāšanas augstos standartus. Ja uzņēmumam ir šaubas, vai tas spēs parūpēties par datu drošību, ieteiktu tomēr izmantot vietējos vai starptautiskos pakalpojumu sniedzējus, kuru piedāvājumā jau ietilpst datu aizsardzība, kādu to paredz regula.
1 Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti, ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula).
Ar Katrīni Pļaviņu sarunājas Vineta Vizule
Decembris 5, 2018 Gints Vilgerts, Managing Partner
Ielādēt vēl
Ielādēt vēl
Ielādēt vēl
