25 secinājumi Vispārējās datu aizsardzības regulas ieviešanas procesā (1)

Lasīšanas laiks: 7 min

2016. gada 27. aprīlī Eiropas Parlaments un ES Padome pieņēma Vispārējo datu aizsardzības regulu Nr. 2016/679 (turpmāk – Regula), kas ir piemērojama Eiropas Savienības dalībvalstīs no 2018. gada 25. maija. Ņemot vērā, ka Regula Latvijā ir piemērojama jau vairāk nekā 4 mēnešus, ir pagājis pietiekami ilgs laiks, lai izdarītu pirmos nopietnos secinājumus par to, kā Latvijas iestādēm un uzņēmumiem ir izdevies šo Regulu ieviest.

No Regulas izriet, ka uzņēmumam ir jāspēj uzskatāmi pierādīt atbilstību Regulai (tā saucamais, “pārskatatbildības princips”). Uzņēmums var 72 stundu laikā neziņot Datu valsts inspekcijai par personas datu aizsardzības pārkāpumu, ja uzņēmums spēj saskaņā ar pārskatatbildības principu uzskatāmi parādīt, ka personas datu aizsardzības pārkāpums, visticamāk, nerada risku fizisku personu tiesībām un brīvībām. Viens no veidiem, kā ievērot minēto pārskatatbildības principu un uzskatāmi pierādīt veiktās datu apstrādes atbilstību Regulai, ir veikt datu apstrādes auditu.

Raksta autoram, kurš darbojas datu aizsardzības jomā jau aptuveni 10 gadus, ir bijusi iespēja piedalīties vairāk nekā 60 iestāžu un uzņēmumu auditos, izvērtējot attiecīgo iestāžu un uzņēmumu personas datu apstrādes atbilstību Regulai. Līdz ar to ir izveidojusies pietiekami liela bāze, lai izdarītu turpmāk aprakstītos secinājumus.

1. Lielākajai daļai auditēto uzņēmumu mājaslapās bez tiesiska pamata tiek izvietota ne tikai darbinieku kontaktinformācija (vārds, uzvārds, amats, tālrunis, e-pasts), bet arī šo darbinieku fotogrāfijas. Tāpat bieži vien bez tiesiska pamata mājaslapās, kā arī sociālo tīklu profilos tiek ievietotas klientu fotogrāfijas no uzņēmumu rīkotajiem pasākumiem (semināri, loterijas, klientu dienas, utt).
2. Mājaslapās nereti tiek vākti mājaslapu apmeklētāju dati (personai ir iespējams izveidot savu profilu vai kontaktformas veidā sniegt informāciju), kā arī tiek vāktas sīkdatnes, taču mājaslapu apmeklētājiem netiek sniegta Regulas 13. un 14. pantā noteiktā informācija (piemēram, mājaslapā netiek izvietota atbilstoša privātuma politiku).
3. Pirms publisku pasākumu organizēšanas, personas netiek pienācīgi informētas, ka šis pasākums tiks fotografēts un/vai filmēts un attiecīgās fotogrāfijas un/vai video mārketinga nolūkiem var tikt izvietoti uzņēmuma mājaslapā vai sociālajos tīklos.
4. Mēdz būt situācijas, kad personām nav iespējas atteikties no jaunumu saņemšanas e-pasta vai sms formā, kas ir pretrunā ar Informācijas sabiedrības pakalpojumu likuma 8. panta nosacījumiem.
5. Mājaslapas visbiežāk atbilst HTTP, nevis HTTPS standartam (nav derīgs SSL sertifikāts, kas nodrošina savienojuma šifrēšanu), līdz ar to, pastāv iespēja, ka dati, ko datu subjekts mājaslapā nodod uzņēmumam, var nešifrētā veidā nonākt trešo personu rīcībā.
6. No Regulas 28. panta izriet, ka apstrādi, ko veic apstrādātājs, reglamentē ar līgumu vai ar citu juridisku aktu, kurā norāda līguma priekšmetu un apstrādes ilgumu, apstrādes raksturu un nolūku, personas datu veidu un datu subjektu kategorijas, kā arī pārziņa pienākumus un tiesības. Diemžēl, liela daļa uzņēmumu šo nosacījumu neievēro, un ārpakalpojumu sniedzējiem datus nodod, neatrunājot pušu pienākumus un tiesības attiecībā uz datu apstrādi.
7. Nereti mēdz būt situācijas, ka personas datus saturoši dokumenti (piemēram, līgumi) glabājas neslēdzamās telpās un neslēdzamos skapjos, kā rezultātā praktiski jebkurš uzņēmuma darbinieks tiem var piekļūt, kaut arī tas nemaz nav nepieciešams konkrētās personas darba vajadzībām.
8. Ir gadījumi, kad personas datus saturoši dokumenti tiek nepareizi un nepilnīgi iznīcināti (piemēram, izmetot papīrgrozā, nevis ievietojot dokumentu smalcinātājā).
9. Mēdz būt situācijas, ka, lai piekļūtu datu apstrādes sistēmai, piemēram, grāmatvedības programmai, divas vai vairākas personas lieto vienus un tos pašus piekļuves rekvizītus (lietotājvārds un parole), vai arī piekļuves rekvizītus nelieto vispār.
10. Bieži vien lietvedības datorprogrammās ievadītie personas dati glabājas mūžīgi vai daudz ilgāk, kā tas ir nepieciešams. Personas datu saturošu dokumentu elektroniskās sagataves tiek saglabātas arī pēc tiesisko attiecību pārtraukšanas bez termiņa ierobežojuma. Tāpat uzņēmumu sadarbības partneru kontaktpersonu dati (vārdi, uzvārdi, amati, e-pasti, tālruņu numuri) iekšējā sistēmā glabājas bez termiņa ierobežojuma.
11. Darba tiesisko attiecību ietvaros darbinieku lietās tiek glabāti dati un dokumenti, kurus glabāt nebūtu tiesiska pamata (piemēram, dati par ģimenes stāvokli, tautību vai pilsonību, kā arī personas apliecinošu dokumentu, bērnu dzimšanas apliecību, kā arī laulības apliecību kopijas).
12. Ja personas dati tiek nodoti uz valsti, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstis, vai starptautiskajai organizācijai, bieži vien nav izstrādāti iekšējie noteikumi un skaidra kārtība šo datu nodošanai.
13. Uzņēmumu un iestāžu darbinieki nereti netiek rakstveidā vai kādā citā veidā informēti par pienākumu neizpaust personas datus (tostarp pēc darba, dienesta vai citu tiesisko attiecību izbeigšanās).
14. Uzņēmumu klientiem, aizpildot noteikta satura veidlapas, ir iespēja saņemt klienta karti un dažādus atlaižu līmeņus atbilstoši iepirkšanās apmēriem. Anketā bieži tiek prasīts nesamērīgi plašs datu apmērs (piemēram, personas kods, ģimenes stāvoklis, darbavieta), kas nav nepieciešams datu apstrādes mērķa sasniegšanai.
15. Lai veiktu darbinieku apmācību, mācību centriem tiek nosūtīti darbinieku vārdi, uzvārdi, personas kodi. Darbinieki dažkārt par to netiek informēti. Tas pats attiecas uz darbinieku apdrošināšanu, kad arī apdrošināšanas pakalpojumu sniedzējiem tiek nosūtīti darbinieku vārdi, uzvārdi un personas kodi.
16. Darbinieku iekšējās informatīvajās sistēmās vai arī birojā pie sienas ir pieejami jubilāru saraksti, kuros norādītas darbinieku dzimšanas dienas, bet apaļu jubileju gadījumos – arī konkrēts vecums. Darbinieki visbiežāk nav rakstveidā piekrituši šādu datu apstrādei un publicēšanai.
17. Darbā nepieņemto darbinieku CV parasti tiek glabāti bez termiņa ierobežojuma, kas nav nepieciešams personas datu apstrādes mērķa (darba līguma izpilde) sasniegšanai, jo beidzoties darbinieku atlasei un pārbaudes laikam, šādu dokumentu glabāšanai nav tiesiska pamata.
18. Arī IT jomā ir līdz galam nesakārtoti jautājumi. Piemēram, mēdz būt situācijas, kurās uzņēmuma serveris atrodas visiem darbiniekiem pieejamās koplietošanas telpās. Tāpat daudzos uzņēmumos vēl tiek lietota operētājsistēma Windows XP, kurai jau 2015. gadā tika pārtraukts Microsoft drošības atbalsts.
19. Rezerves kopijas – tās dažkārt vispār netiek nodrošinātas vai arī tiek nodrošinātas neregulāri. Tāpat, datu nesējs, uz kuru tiek kopēti dati, nereti atrodas tieši blakus tam datu nesējam, no kura dati tiek kopēti, neievērojot pamatprincipu, ka datiem jāatrodas uz vismaz 2 dažādiem datu nesējiem, kuri atrodas ģeogrāfiski dažādās vietās. Līdz ar to, piemēram, ugunsgrēka gadījumā var tikt iznīcināti visi dati. Mēdz būt situācijas, ka dati no darbstacijām kopēti netiek, bet darbiniekiem rakstveidā nav noteikts, ka dati glabājami tikai serverī.
20. Ne vienmēr ir noteiktas prasības lietotāju kontu parolēm vai citiem kontu aizsardzības rīkiem, vai arī ir noteiktas nesamērīgi zemas prasības attiecībā uz paroles garumu un nomaiņas biežumu.
21. Tāpat, uzņēmumos ļoti reti ir izstrādāti informācijas sistēmu (turpmāk – IS) drošības noteikumi, kuros būtu noteiktas par IS drošības pārvaldību atbildīgās personas, risku analīzes kārtība, piekļuves kontroles procedūras, prasības lietotāju kontu parolēm, pienākumi IS lietotājiem, personāla apmācības veikšanas kārtība, IS uzturēšanas kārtība, notikumu reģistrēšanas kārtība, datu rezerves kopiju veidošanas kārtība, incidentu pārvaldības kārtība un procedūras, utt.
22. Lielākajā daļā auditu tika konstatēts, ka uzņēmumiem nav izstrādāti arī personas datu apstrādes aizsardzības noteikumi, kuros būtu atrunātas svarīgākās datu aizsardzības nianses (piemēram, personas datu veidi, datu apstrādes sistēmas un to klasifikācija, drošības pasākumi, rīcība bīstamās un ārkārtas situācijās, personas datu apstrādes informācijas un tehniskie resursi, atbildīgās personas par resursiem, personas datu lietotāju tiesības un pienākumi).
23. Attiecībā uz videonovērošanu biežākie auditos konstatētie pārkāpumi ir audioieraksta veikšana, nesamērīgi plaša publiskās ārtelpas novērošana, darbinieku privāto telpu novērošana. Tāpat, pārsvarā tika konstatēts, ka uzņēmumiem norādes par videonovērošanu nav vispār, vai arī tās neatbilst Regulas 13. un 14. pantam – nav atrunāti apstrādes nolūki, apstrādes juridiskais pamats, personas datu kategorijas, datu saņēmēju kategorijas, datu subjektu kategorijas, datu nodošana ārpus Latvijas, datu glabāšanas ilgums, datu subjekta piekļuve personas datiem, tiesības iesniegt sūdzību uzraudzības iestādei, utt.).
24. Saskaņā ar Regulas 30. pantu katram pārzinim, pie kura strādā vairāk nekā 250 darbinieki, ir jāveido datu apstrādes reģistrs, taču ne vienmēr šis reģistrs tiek veidots.
25. Saskaņā ar Regulas 37. pantu, ir noteikti gadījumi, kad iestādēm ir jāieceļ datu aizsardzības speciālists, piemēram, gadījumā, kad datu apstrādi veic publiska iestāde, vai arī iestādes pamatdarbība sastāv no apstrādes darbībām, kurām to būtības, apmēra un/vai nolūku dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana plašākā mērogā. Tomēr, bieži vien ir nācies konstatēt, ka iestādes nav iecēlušas datu aizsardzības speciālistu.

Rezumējot iepriekš minēto, secināms, ka lielākā daļa uzņēmumu Latvijā vēl nav pilnībā gatavi regulas ieviešanai un ievērošanai, tomēr ir vērojama arī pozitīva tendence – aizvien vairāk uzņēmumu aizdomājas par personas datu aizsardzību un ar saviem, vai piesaistīto speciālistu spēkiem veic iekšējos auditos un novērš konstatētās neatbilstības.

Arī pirms Regulas piemērošanas personas datu aizsardzība Latvijā tika regulēta ar Fizisko personu datu aizsardzības likumu, kuras pamatprincipi un definīcijas būtiski neatšķīrās no Regulas principiem un definīcijām, tomēr minētajam likumam komplektā nenāca pietiekami iespaidīgas sodu sankcijas. Līdz ar to var droši apgalvot, ka Regula ar savu sodu bardzību ir daudziem uzņēmumiem likusi aizdomāties gan par savu darbinieku, gan par klientu personas datu pastiprinātu aizsardzību.