Pirmie naudas sodi par datu regulas pārkāpumiem
Ne vienmēr pārkāpuma fakta konstatēšana saistās ar sodu, jo regula paredz, ka uzraudzības iestādēm ir pieejami vairāki korektīvie līdzekļi, lai panāktu pārziņu rīcības atbilstību regulai, un sods ir tikai viens no līdzekļiem. "Līdz šim naudas sods piemērots 12 gadījumos un tā intervāls ir no 1400 līdz 7000 eiro," saka Lāsma Dilba, Datu valsts inspekcijas (DVI) direktora vietniece.
Regula pieņemta 2016. gada aprīlī un ir spēkā jau kopš 2016. gada maija. Tās tiešas piemērošanas termiņš bija noteikts 2018. gada 25. maijs, lai būtu iespējams pārkārtot procesus atbilstoši tās prasībām. Pirmo pusotru gadu pēc regulas tiešas piemērošanas sākšanas DVI strādāja pie informēšanas un preventīvās darbības, īstenojot principu "konsultē vispirms". L. Dilba norāda, ka tiesiskais regulējums ir jauns, iespējams, ne vienmēr pietiekami skaidrs, tāpēc vispirms iestāde brīdināja par iespējamajiem pārkāpumiem un aicināja novērst, ja tādi bija pieļauti. Apzinoties iespējamās grūtības, DVI strādāja saudzīgā režīmā. Tomēr pakāpeniski notiek pāreja uz vairāk kontrolējošu un uzraugošu režīmu, jo sagatavošanās laiks bija diezgan garš.
Lāsma Dilba,
Datu valsts inspekcijas (DVI) direktora vietniece.
Lielajos uzņēmumos pārkāpumi tiek konstatēti retāk, jo tiem ir vairāk resursu un, iespējams, arī augstāka motivācija, jo to apgrozījums un iespējamais sods ir lielāks.
Biežāk grēko mazie
Līdz šim DVI biežāk saskārusies ar pārkāpumiem no mazo un vidējo uzņēmumu puses. "Lielajos uzņēmumos pārkāpumi tiek konstatēti retāk, jo tiem ir vairāk resursu un, iespējams, arī augstāka motivācija, jo to apgrozījums un iespējamais sods ir lielāks. Maziem un vidējiem uzņēmumiem nepietiek resursu, varbūt tā ir arī nezināšana un orientēšanās uz savu biznesu. Taču domāju, ka arī mazajos uzņēmums šis jautājums sakārtosies," pauž L. Dilba.
Arī SIA Datakom biznesa attīstības direktors Edijs Tanons teic, ka ir uzņēmumi, kam viss ir vislabākajā kārtībā un kas plānveidīgi ievieš uzlabojumus datu aizsardzībai, jo īpaši lielāki uzņēmumi, piemēram, bankas un telekomunikāciju kompānijas. "Liela daļa mazo un vidējo uzņēmumu ir uztaisījuši "juridiskas atrunas" dokumentos, kuros min, ka strādās un izpildīs visas prasības, kuras piesauktas regulas visos punktos. Taču, kolīdz sāc uzdot kādus vienkāršākus jautājumus, piemēram, vai ir pieeja tiesību kontrolei personu datiem un cik ilgi glabā rezerves kopijas, tad jau atbildi vairs var nesaņemt. Līdzībās runājot – daudzi uzņēmēji šobrīd uzskata, ka viss ir kārtībā, jo durvis ir aizslēgtas, bet to, ka ir vaļā logi un māja uzbūvēta no salmiem, uzreiz nevar pamanīt," saka E. Tanons.
L. Dilba stāsta, ka DVI īsteno ES līdzfinansētu projektu, kas vērsts uz maziem un vidējiem uzņēmumiem un nepilngadīgām personām. Tā ietvaros būs desmit bezmaksas semināru cikls, kur tiks skaidrota regula un jautājumi, kas katram ir jāzina. Pēc tam, kad iegūta pamatinformācija, var izsvērt, vai ir nepieciešams piesaistīt speciālistu vai arī ir iespējams iztikt pašu spēkiem.
Visu paši
"Mēs jau no paša sākuma visus procesus sakārtojām atbilstoši Vispārējai datu aizsardzības regulai. Esam izdarījuši visu iespējamo, lai cilvēki saprot, kāpēc mēs kaut ko prasām, lai viss ir konfidenciāli un dati tiek droši glabāti. Piemēram, varētu lietotājus pārbaudīt pēc pases kopijas, bet esam atteikušies no šādas idejas un prasām pārskaitīt lietotājam vienu eiro uz mūsu bankas kontu, ko pēc tam uzreiz nosūtām atpakaļ, lai pārliecinātos, ka cilvēks ir tas, par ko uzdodas. Ir gadījumi, kad klients uzskata, ka darbs ir izdarīts slikti un prasa mums meistara personas kodu, lai vērstos policijā. Mēs nekad nesniedzam šādu informāciju – to varam sniegt tikai policijai pēc tās pieprasījuma," saka Jurijs Fridkins, sludinājumu portāla uzturētāja SIA Getapro līdzīpašnieks.
Saldumu ražotāja SIA Taste Caps! īpašniece Ilze Garanča teic, ka ņem vērā regulā noteikto, tomēr nav līdz galam pārliecināta, vai ir absolūti precīza to izpildē. Kā jau mazā uzņēmumā, regulas ieviešana notikusi pašu spēkiem un tam nealgoja ārēju speciālistu. "Nesen saņēmu e-pastu ar piedāvājumu uzlabot mūsu mājaslapu atbilstoši noteikumiem. Pabrīnījos, jo, manuprāt, mēs veicām nepieciešamās korekcijas. Tas vien liecina par to, ka vienmēr ir, kur "piesieties"," viņa norāda.
Tūrisma aģentūras Avanti Ceļojumi direktore Karīna Saulīte-Zvaigzne teic, ka datu aizsardzības regula tūrisma jomā ir ieviesta. Ar vajadzīgo dokumentu kopumu palīdzēja Latvijas Tūrisma aģentu asociācija ALTA, pielāgojot to tūrisma jomai. "Pašlaik nekādi starpgadījumi saistībā ar regulu nav bijuši," saka K. Saulīte-Zvaigzne.
Ne vienmēr ļaunprātīgi
L. Dilba norāda, ka biežāk konstatēti pārkāpumi saistībā ar datu subjekta tiesību ievērošanu uz informācijas saņemšanu. Jebkurai personai ir tiesības iegūt informāciju no datu pārziņa, kurš veic personas datu apstrādi, par to, kā dati ir iegūti, kā tos apstrādā, kāds ir tiesiskais pamatojums. Bieži vien atbildes uz datu subjekta pieprasījumiem netiek sniegtas. Viņa gan norāda, ka iemesli ir dažādi un ne vienmēr ļaunprātīgi, piemēram, ieinteresētā persona nosūta pieprasījumu uz nepareizo adresi vai uz juridisko adresi, kur to neviens nesaņem. Var gadīties, ka uzņēmumā ir iekšēji noteikts, ka, lai identificētu datu subjektu, vajadzīgs drošs elektroniskais paraksts, var būt arī tehniskas problēmas. "Mēģinām informēt pārzini, lai sniedz paskaidrojumu. Tas tiek darīts, un datu subjekts ir apmierināts. Pakāpeniski šie jautājumi sakārtojas," atzīst L. Dilba.
Vēl DVI ir saskārusies ar situāciju, ka netiek nodrošinātas atbilstošas tehniskās un organizatoriskās prasības, proti, dokumentiem ir pieeja neautorizētām personām vai informācijas sistēmām. Ir arī pārkāpumi saistībā ar apstrādes pamatprincipu neievērošanu. Dati tiek apstrādāti, bet tam nav tiesiska pamata, piemēram, DVI nesen sodīja uzņēmumu, kas apstrādāja personas datus, lai gan cilvēks bija atsaucis savu piekrišanu, kā rezultātā zuda tiesiskais pamats šai darbībai.
Attieksmes jautājums
Datu aizsardzības biroja Protectum partneris un datu aizsardzības speciālists Ivo Krievs uzskata, ka uzņēmumu komforts un skaidrība par to, kas un kā ir jāievieš, ir ciešā saistībā ar to, vai komersants vēlas regulu ieviest un sācis ir ko darīt saistībā ar to. Šobrīd lielākoties neskaidrie jautājumi, kas varbūt bija aktuāli pirms diviem gadiem, ir novērsti un nav acīmredzamu neskaidrību, kas uzņēmumiem būtu šķērslis regulas ieviešanā. "Protams, ir vēl dažādi teorētiski, diskutabli jautājumi, kas saistīti ar regulu, taču tās jau ir detaļas, un tādas ir jebkurā nozarē. Ja uzņēmums vēlas atbilst regulai, šobrīd nekādu būtisku šķēršļu nav, tas ir attieksmes jautājums," viņš pauž.