Viedokļi
Lasītāju viedokļi

Viedoklis: Nesen sertificēta personas datu aizsardzības speciālista pārdomas par regulu6

Foto – LETA

Autore – Ieva Keiča, Mg. iur., sertificēta personas datu aizsardzības speciāliste

Ar brīnišķīgu maiju apveltītajā Latvijā tai pašā mēnesī stājusies spēkā Vispārīgā datu aizsardzības regula jeb VDAR. Kā papildus dāvana vasarai. Ko ar šo dāvanu iesākt, kā rīkoties? Kādu ieskatu privātuma aizsardzībā mūsu valsts pilsonim piedāvā plašsaziņas līdzekļi? Kādu attieksmi pret regulu pauž politiķi? Kā šaubu atmosfērā darboties personas datu aizsardzības speciālistam? Vēlētos padalīties ar savu – nesen sertificēta personas datu aizsardzības speciālista – viedokli par šiem jautājumiem.

Iespaidi par masu informācijas līdzekļos apspriesto regulas ietekmi raisa dažādas emocijas: no prieka par lietpratīgiem skaidrojumiem līdz satraukumam par kategoriskiem apgalvojumiem. Lūk, daži no tiem: regulas ieviešana nozīmē pilnīgi jaunus nosacījumus; atbildīgā iestāde par datu aizsardzību tikai aptuveni saprot, kā regula piemērojama; personas datu aizsardzības speciālisti ir apmācīti pēc veca likuma; personas datu aizsardzības speciālistu juridiskā vai informācijas tehnoloģiju izglītība ir problēma, kas traucē ieviest regulu citās nozarēs; regula paver iespējas juristiem iebaidīt uzņēmumus un izspiest naudu.

Maija ziedoņa un jūnija vēju pārsteigtajā, taču tādēļ ne mazāk skeptiskajā Latvijas sabiedrībā šādi izteikumi var radīt vissliktākos priekšstatus par regulas darbību un vajadzību. Minētie vērtējumi var tikt (un diemžēl jau tiek) uztverti dramatiski: regula mums uzkritusi kā sniegs uz galvas, paši uzraudzītāji neko nesaprot un neskaidro, no datu aizsardzības speciālistiem jēga maza – šie juristi ir kārtējie liekēži un izspiedēji, uzņēmējiem jāpacieš kārtējais smagais administratīvais slogs.

Regulas ieviešana nenozīmē pilnīgi jaunus nosacījumus. Līdzšinējais Fizisko personu datu aizsardzības likums izrietēja no Eiropas Savienības datu aizsardzības noteikumiem – direktīvas 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti. Direktīva, kas pieņemta 1995.gada oktobrī, bija galvenais fizisko personu datu aizsardzību regulējošais starptautiskais akts. Internets pirms vairāk nekā 20 gadiem vēl bija “bērna autiņos”, bet direktīva jau noteica vienoto fizisko personu datu aizsardzības izpratni Eiropas Savienības dalībvalstīs. Tātad fizisko personu datu aizsardzība Latvijas Republikā pastāv jau 18 gadus.

Atbildīgā iestāde par datu aizsardzību Latvijā no 2001.gada ir Datu valsts inspekcija. Neraugoties uz nelielo nodarbināto skaitu un Tieslietu ministrijas nabadzību, inspekcijas speciālisti iespēju robežās un pāri saviem spēkiem tomēr spēja un turpina sniegt skaidrojumus par regulu. Jautājums, vai šie skaidrojumi un analīze tiek izprasti un sadzirdēti.

Regula ir tieši piemērojama, nevis transponējama. Jaunais regulējums uzsver datu aizsardzības jautājumu risināšanu pēc iespējas agrīnākā posmā un uzņēmuma vadības iesaisti, prognozējot nākotnes vajadzības visos datu apstrādes jautājumos. Praksē tas nozīmē, ka, piemēram, uzņēmums – taksometru pakalpojumu sniedzējs vispirms nopietni apsvērs nepieciešamību nosūtīt visiem pagājušā gada klientiem SMS ar uzaicinājumu uz mazpazīstamas estrādes zvaigznes koncertu.

Vēl labāk būtu, ja šis uzņēmums apķertos un steigšus izdzēstu visus klientu “sakrājušos” tālruņa numurus. Tad neviens klients “spamus” nesaņems. Tātad uzņēmumu vadībai ir jāapspriežas vismaz par to, kādus personas datus uzņēmums apstrādās, kā, kādam nolūkam un uz cik ilgu laiku. Patiešām, katrs gadījums ir individuāls, lai kā cienījamā auditorija nedusmotos par to, ka inspekcija nesniedz ātras un vienkāršas atbildes. No regulas būtības izriet sava uzņēmuma kultūras mainīšana, visiem kopīgi domājot par datu aizsardzību un savstarpēji apmainoties ar šīm domām.

Personas datu aizsardzības speciālista kvalifikācijas eksāmens bija grūts. Tajā nedrīkstēja būt nevienas nepareizas atbildes. Lai kļūtu par speciālistu un sagatavotos kvalifikācijas pārbaudījumam, pirms tam jāapgūst obligātā mācību programma 42 akadē­miskās stundas. Arī es tiku apmācīta pēc “vecā likuma”.

Likuma, kurš izriet no direktīvas, kas ir šodienas regulas pamatu pamats un loģisks turpinājums datu aizsardzības principu piemērošanai jaunākajām tehnoloģijām. Turpinājums (nevis iesākums) pēckara Eiropas cilvēktiesību aktīvai attīstībai. Starp citu, “vecais” Fizisko personu datu aizsardzības likums Saeimas nespējas dēļ vēl ir spēkā. Regulas projekts tika publiskots 2012.gadā un tā stājās spēkā 2016.gadā ar noteikumu, ka regulas piemērošana notiks no 2018.gada 25.maija.

No šī pēdējā datuma jaunajam nacionālajam likumam, kas nosaka datu uzraudzības iestādes statusu, soda naudas maksāšanas kārtību, personas datu aizsardzības speciālista statusu, bija jau jābūt pilnīgi iedarbinātam. Šobrīd tas Saeimā ir ticis skatīts tikai 1.lasījumā.

Tas nozīmē, ka visā valstī tie uzņēmumi, kuriem personas datu aizsardzības speciālista iecelšana ir obligāta, un iestādes (visām speciālista iecelšana ir obligāta) ir neziņā par nepieciešamo personas datu aizsardzības speciālista izglītību un sertifikāciju. Iznākumā ne jau regulas prasību, bet likumdevēja neizdarības dēļ uzņēmējiem un iestādēm jāpacieš liekais slogs – tiesiskā nenoteiktība. Un kur tad vēl iespējamais politiskais teātris – jautājums par Datu valsts inspekcijas direktoru, kas Saeimai būs jāieceļ.
Pašlaik personas datu aizsardzības speciālista kvalifikācijas eksāmenu ir tiesīgas kārtot personas ar iegūtu augstāko izglītību tiesību zinātņu, informācijas tehnoloģiju vai līdzīgā jomā. Regula nosaka, ka datu aizsardzības speciālists tiek pienācīgi un laikus iesaistīts visos jautājumos saistībā ar personas datu aizsardzību.

Viens no datu aizsardzības speciālista galvenajiem uzdevumiem ir būt par uzraudzības iestādes kontaktpunktu. Tātad speciālistam ir jāpilda “sarunu galvenā vedēja” un “vietējās datu aizsardzības inspekcijas” loma vienlaicīgi. Minētais vispārīgā veidā jau ir noteikts Fizisko personu datu aizsardzības likumā. Regulu dažādās nozarēs diemžēl traucē ieviest ne jau datu aizsardzības speciālista kā ārsta vai skolotāja diploma trūkums, bet reālas komunikācijas trūkums starp datu aizsardzības speciālistu, organizācijas vadību un darbiniekiem. Datu aizsardzība no uzņēmumu un iestāžu vadītāju puses līdz šim labākajā gadījumā uztverta kā “papīru sakārtošana”, ignorējot jebkādu datu apstrādes jēgpilnu apspriešanu.

Savas pamatdarbības un līdz ar to arī personas datu apstrādes saturā ieinteresētam uzņēmumam nebūtu jābaidās no reketieriem, kas konfrontētu uzņēmēju ar regulas prasību neizpildi. Regulā ir seši vispārīgi principi, kas jāievēro, apstrādājot personas datus: taisnīgums, mērķa ierobežojums, datu minimizēšana, precizitāte, uzglabāšanas ierobežojumi un drošība. Normālā situācijā datu pārzinis – uzņēmums savus galvenos pienākumus jau ir izpildījis pirms izspiedēju ierašanās. Pārzinis visu jau izdarījis: minimizējis risku datu drošībai, ievērojis minētos datu apstrādes principus, informējis datu subjektu un noteiktos gadījumos iecēlis personas datu aizsardzības speciālistu.

Kaut kas ir pazudis visos šajos vārdu plūdos…. Ak, jā, tas vien “datu subjekts” – kāds iedzīvotājs pasaulē, ko veido viedtālruņi, sociālie plašsaziņas līdzekļi un internetbankas. Kāds neaizsargāts bērns, kāds no darba atlaists invalīds vai arodbiedrības biedrs. Vai Latvijā spēsim pilnvērtīgi izmantot regulas piedāvātās unikālās iespējas beidzot cienīt cilvēku (1)?

(1) Giovanni Buttarelli, Eiropas datu aizsardzības uzraugs, 2018. gada 12. aprīlī, no runas Piektajā pasaules zinātniskās pētniecības brīvības kongresā Briselē.

LA.lv