Datu pārpilnība – ne vienmēr bagātība, secina eksperte 0
Katrīne Pļaviņa, GDPR un regulēto nozaru prakses vadītāja, ZAB “Vilgerts”
Jau trīs ar pusi mēnešus spēkā ir stājusies Vispārīgā datu aizsardzības regula, kas visā Eiropā nodrošina vienotu regulējumu personas datu apstrādei un aizsardzībai.
Vistiešākajā mērā tā skar ikvienu komersantu, kas uzglabā un apstrādā fizisko personu datus, un, jo vairāk šo datu ir komersanta rīcībā, jo lielāki ir datu apstrādes riski.
Nodrošinot regulai atbilstošu uzņēmuma darbību, faktiski notiek šo risku apzināšana, preventīvi parūpējoties par to novēršanu. Un, lai arī liekas, ka šis process uzņēmējam sagādā virkni papildus rūpju, ilgtermiņā tas sniegs arī daudz ieguvumu.
Ērtāka starptautiskā darbība, apgūstot jaunus Eiropas tirgus, zinošāki darbinieki un sakārtotas datu bāzes – ir tikai daļa no tiem. Un, protams, arī izvairīšanās no sodiem, kas var tikt piemēroti regulas pārkāpšanas gadījumos.
Vairums pašmāju uzņēmumu vēl ir ceļā uz šo risku apzināšanu un novēršanu, saprotot, ka datu pārpilnība ne vienmēr ir bagātība – dažkārt tā var būt arī nasta.
Regulai visgatavākie ir lielie uzņēmumi
Ja pavērtē, cik gatavi regulas prasību ievērošanai ir Latvijas uzņēmumi, jāteic, ka visnopietnāk šī jautājuma sakārtošanai savlaicīgi pievērsās lielie uzņēmumi jeb tie, kuru kopējais apgrozījums sasniedz vismaz vienu miljonu eiro.
Tikmēr datu apstrādes risku apzināšanas un novēršanas process vēl priekšā ir lielai daļai vidējo un mazo uzņēmumu. Šī tendence, protams, nepārsteidz – lielajiem uzņēmumiem ir lielākas datu saimniecības, kas pastiprina datu apstrādes riskus un liek arī nopietnāk paraudzīties uz šo risku novēršanu.
Līdz ar to teju visi lielie uzņēmumi ir parūpējušies par auditu, kas ļāvis pa soļiem saprast tālāko rīcību un saplānot aktivitātes uzglabājamo datu aizsardzības nodrošināšanai.
Tiklīdz esam sapratuši, kādus personas datus uzglabājam un apstrādājam un kā uz tiem attiecas regula, varam ķerties pie šiem sagatavošanās darbiem – cik laika un līdzekļu ietilpīgs būs šis process, ir ļoti atkarīgs no uzņēmuma darba specifikas.
Vērtējot datu apstrādes riskus uzņēmumā, varu ieteikt iepazīties ar tehnoloģiju uzņēmuma “Datakom” risku klasifikatoru, kas tapa sadarbībā ar zvērinātu advokātu biroju “Vilgerts”, tas pieejams uzņēmuma mājaslapā. Novērtējuma klasifikatorā sagatavoti deviņi jautājumi, uz kuriem atbildot noteikti radīsies izpratne par potenciālo risku lielumu.
Var cerēt, ka riski neiestāsies, taču regulu tas neatceļ
Ikvienam uzņēmējam ir tiesības cerēt, ka datu apstrādes riski neiestāsies, klienti nerakstīs sūdzības Datu valsts inspekcijai un iespējamie sodi par regulas neievērošanu ies secen.
Arī Pļaviņas pieredzē klienti, interesējoties par viņu biznesam nepieciešamajiem risinājumiem, sagatavojoties regulai, atteikušies no laikietilpīgiem un apjomīgiem līdzekļu ieguldījumiem, tos novirzot citām uzņēmuma tā brīža vajadzībām, sagatavošanos datu regulas ieviešanai atstājot otrā plānā.
“Mēs bieži nevēlamies pieņemt, ka šie procesi arī ir ieguldījums uzņēmuma attīstībā, savlaicīgi parūpējoties, ka turpmāk bez bažām par sodiem varam strādāt atbilstoši normatīvajiem aktiem, papildus iegūstot sakārtotu datu saimniecību. Jāsaka, ka absolūti lielākā daļa uzņēmumu uzglabā pilnīgi visus datus, kas nonāk viņu rīcībā, neizvērtējot, kura informācija patiesībā nemaz netiek izmantota un tikai aizņem vietu arhīvos,” skaidroja Pļaviņa.
Tas, ka gadiem uzkrātā informācija nav apkopota pārskatāmās datu bāzēs, ir otrs novērojums. Pirmkārt, var izrādīties, ka, uzglabājot šo informāciju pašreizējā veidā, tiek pārkāpta regula, otrkārt – pavisam noteikti šāda pieeja neveicina efektīvu uzņēmuma darbību.
Novērots, ka ne tikai personas dati, bet arī komercnoslēpumi tiek uzglabāti datoros bez parolēm un šifrēšanas funkcijas – tā ir ļoti nevīžīga attieksme pret vērtīgu informāciju un tās uzglabāšanas drošību, un, ja regulas stāšanās spēkā veicinās šādu absurdu situāciju novēršanu, tas ir tikai paša komersanta interesēs.
Tāpēc, domājot par sagatavošanos regulas prasībām, ieteiktu uzņēmējiem to darīt pirmkārt sevis dēļ, nevis tāpēc, ka to pēkšņi pieprasa spēkā stājusies regula.
Tieši ar šādu attieksmi sanācis sastapties Ziemeļvalstīs, kur uzņēmēji nevis jautā “kāpēc vajag?”, bet gan “ko vajag darīt?”, lai parūpētos, ka netiek aizskarts viņu klientu privātums. Regula ir stājusies spēkā, nav vajadzības uzdot retoriskus jautājumus par tās lietderību, labāk šo enerģiju ieguldīt uzņēmuma procesu efektivizācijā.
Izmantot iespēju atbrīvoties no liekas nastas
Nevaram noliegt, ka mūsdienās datiem ir izteikti liela vērtība. Un tomēr tikai tiem datiem, kurus likumīgi un racionāli izmantojam un kas ir nepieciešami organizācijas darbībai.
Regula paredz dažādus izņēmumus, piemēram, attiecībā uz īpašas kategorijas datiem, ko uzglabā dažādas slimnīcas, jo šie dati ir nepieciešami personas ārstniecības vajadzībām – detalizēta slimību vēsture utt.
Tomēr arī šajā gadījumā tiek uzglabāts daudz liekas informācijas. Piemēram, uzglabājot informāciju par konkrētā vecumā personai veiktu vakcīnu, visticamāk, nebūs svarīgi zināt, kā sauca medmāsiņu, kas šo poti veica.
Un šis vārds/uzvārds ir personas dati, kam jābūt aizsargātiem un nav nepieciešamības tos nepamatoti apkopot.
Datu pārpilnība ne vienmēr ir bagātība, un līdz ar regulu ir pienācis laiks atbrīvoties no tās informācijas, kas drīzāk jau gadiem bijusi kā nasta, bet slinkuma vai citu iemeslu dēļ līdz šim nav sanācis no tās atbrīvoties.
Kad reiz šī nasta var rezultēties arī nepatīkamos sodos, – ir vērts saņemties un tikt no tās vaļā, rosina Pļaviņa.
