25 secinājumi Vispārējās datu aizsardzības regulas ieviešanas gaitā

2016. gada 27. aprīlī Eiropas Parlaments un Eiropas Savienības (ES) Padome pieņēma Vispārējo datu aizsardzības regulu Nr. 2016/679, kas ir piemērojama ES dalībvalstīs no 2018. gada 25. maija.

No regulas izriet, ka uzņēmumam ir jāspēj uzskatāmi pierādīt atbilstību regulai (tā saucamais pārskatatbildības princips). Uzņēmums var 72 stundu laikā neziņot Datu valsts inspekcijai par personas datu aizsardzības pārkāpumu, ja tas spēj saskaņā ar pārskatatbildības principu uzskatāmi parādīt, ka personas datu aizsardzības pārkāpums, visticamāk, nerada risku fizisku personu tiesībām un brīvībām. Viens no veidiem, kā ievērot minēto pārskatatbildības principu un uzskatāmi pierādīt veiktās datu apstrādes atbilstību regulai, ir veikt datu apstrādes auditu.

Raksta autoram, kurš darbojas datu aizsardzības jomā jau aptuveni 10 gadus, ir bijusi iespēja piedalīties vairāk nekā 60 iestāžu un uzņēmumu auditos, izvērtējot attiecīgo iestāžu un uzņēmumu personas datu apstrādes atbilstību regulai. Līdz ar to ir izveidojusies pietiekami liela bāze, lai izdarītu turpmāk aprakstītos secinājumus.

1. Lielākajai daļai auditēto uzņēmumu mājaslapās bez tiesiska pamata tiek izvietota ne tikai darbinieku kontaktinformācija (vārds, uzvārds, amats, tālrunis, e-pasts), bet arī šo darbinieku fotogrāfijas. Tāpat bieži vien bez tiesiska pamata mājaslapās, kā arī sociālo tīklu profilos tiek ievietotas klientu fotogrāfijas no uzņēmumu rīkotajiem pasākumiem (semināri, loterijas, klientu dienas utt.).
2. Mājaslapās nereti tiek vākti to apmeklētāju dati (personai ir iespējams izveidot savu profilu vai kontaktformas veidā sniegt informāciju), kā arī tiek vāktas sīkdatnes, taču mājaslapu apmeklētājiem netiek sniegta regulas 13. un 14. pantā noteiktā informācija (piemēram, mājaslapā netiek izvietota atbilstoša privātuma politika).
3. Pirms publisku pasākumu organizēšanas personas netiek pienācīgi informētas, ka šis pasākums tiks fotografēts un/vai filmēts un attiecīgās fotogrāfijas un/vai video mārketinga nolūkiem var tikt izvietoti uzņēmuma mājaslapā vai sociālajos tīklos.
4. Mēdz būt situācijas, kad personām nav iespējas atteikties no jaunumu saņemšanas e-pasta vēstules vai īsziņas formā, kas ir pretrunā ar Informācijas sabiedrības pakalpojumu likuma 8. panta nosacījumiem.
5. Mājaslapas visbiežāk atbilst HTTP, nevis HTTPS standartam (nav derīgs SSL sertifikāts, kas nodrošina savienojuma šifrēšanu), līdz ar to pastāv iespēja, ka dati, ko datu subjekts mājaslapā nodod uzņēmumam, var nešifrētā veidā nonākt trešo personu rīcībā.
6. No regulas 28. panta izriet, ka apstrādi, ko veic apstrādātājs, reglamentē ar līgumu vai ar citu juridisku aktu, kurā norāda līguma priekšmetu un apstrādes ilgumu, apstrādes raksturu un nolūku, personas datu veidu un datu subjektu kategorijas, kā arī pārziņa pienākumus un tiesības. Diemžēl liela daļa uzņēmumu šo nosacījumu neievēro un ārpakalpojumu sniedzējiem datus nodod, neatrunājot pušu pienākumus un tiesības attiecībā uz datu apstrādi.
7. Nereti mēdz būt situācijas, ka personas datus saturoši dokumenti (piemēram, līgumi) glabājas neslēdzamās telpās un neslēdzamos skapjos, kā rezultātā jebkurš uzņēmuma darbinieks tiem var piekļūt, kaut arī tas nemaz nav nepieciešams konkrētās personas darba vajadzībām.
8. Ir gadījumi, kad personas datus saturoši dokumenti tiek nepareizi un nepilnīgi iznīcināti (piemēram, izmetot papīrgrozā, nevis ievietojot dokumentu smalcinātājā).
9. Mēdz būt situācijas, ka, lai piekļūtu datu apstrādes sistēmai, piemēram, grāmatvedības programmai, divas vai vairākas personas lieto vienus un tos pašus piekļuves rekvizītus (lietotājvārds un parole), vai arī piekļuves rekvizītus nelieto vispār.
10. Bieži vien lietvedības datorprogrammās ievadītie personas dati glabājas mūžīgi vai daudz ilgāk, nekā tas ir nepieciešams. Personas datus saturošu dokumentu elektroniskās sagataves tiek saglabātas arī pēc tiesisko attiecību pārtraukšanas bez termiņa ierobežojuma. Tāpat uzņēmumu sadarbības partneru kontaktpersonu dati (vārdi, uzvārdi, amati, e-pasta adreses, tālruņa numuri) iekšējā sistēmā glabājas bez termiņa ierobežojuma.
11. Darba tiesisko attiecību ietvaros darbinieku lietās tiek glabāti dati un dokumenti, kurus glabāt nebūtu tiesiska pamata (piemēram, dati par ģimenes stāvokli, tautību vai pilsonību, kā arī personu apliecinošu dokumentu, bērnu dzimšanas apliecību, laulības apliecību kopijas).
12. Ja personas dati tiek nodoti valstij, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts, vai starptautiskai organizācijai, bieži vien nav izstrādāti iekšējie noteikumi un skaidra kārtība šo datu nodošanai.
13. Uzņēmumu un iestāžu darbinieki nereti netiek rakstveidā vai kādā citā veidā informēti par pienākumu neizpaust personas datus (tostarp pēc darba, dienesta vai citu tiesisko attiecību izbeigšanās).
14. Uzņēmumu klientiem, aizpildot noteikta satura veidlapas, ir iespēja saņemt klienta karti un dažādus atlaižu līmeņus atbilstoši iepirkšanās apmēriem. Anketā bieži tiek prasīts nesamērīgi plašs datu apmērs (piemēram, personas kods, ģimenes stāvoklis, darbavieta), kas nav nepieciešams datu apstrādes mērķa sasniegšanai.
15. Lai veiktu darbinieku apmācību, mācību centriem tiek nosūtīti darbinieku vārdi, uzvārdi, personas kodi. Darbinieki dažkārt par to netiek informēti. Tas pats attiecas uz darbinieku apdrošināšanu, kad arī apdrošināšanas pakalpojumu sniedzējiem tiek nosūtīti darbinieku vārdi, uzvārdi un personas kodi.
16. Darbinieku iekšējās informatīvajās sistēmās vai arī birojā pie sienas ir pieejami jubilāru saraksti, kuros norādītas darbinieku dzimšanas dienas, bet apaļu jubileju gadījumos – arī konkrēts vecums. Darbinieki visbiežāk nav rakstveidā piekrituši šādu datu apstrādei un publicēšanai.
17. Darbā nepieņemto darbinieku CV parasti tiek glabāti bez termiņa ierobežojuma, kas nav nepieciešams personas datu apstrādes mērķa (darba līguma izpilde) sasniegšanai, jo, beidzoties darbinieku atlasei un pārbaudes laikam, šādu dokumentu glabāšanai nav tiesiska pamata.
18. Arī IT jomā ir līdz galam nesakārtoti jautājumi. Piemēram, mēdz būt situācijas, kurās uzņēmuma serveris atrodas visiem darbiniekiem pieejamās koplietošanas telpās. Tāpat daudzos uzņēmumos vēl tiek lietota operētājsistēma “Windows XP”, kurai jau 2015. gadā tika pārtraukts “Microsoft” drošības atbalsts.
19. Rezerves kopijas – tās dažkārt vispār netiek nodrošinātas vai arī tiek nodrošinātas neregulāri. Tāpat datu nesējs, uz kuru tiek kopēti dati, nereti atrodas tieši blakus tam datu nesējam, no kura dati tiek kopēti, neievērojot pamatprincipu, ka datiem jābūt vismaz divos dažādos datu nesējos, kuri atrodas ģeogrāfiski dažādās vietās. Līdz ar to, piemēram, ugunsgrēka gadījumā var tikt iznīcināti visi dati. Mēdz būt situācijas, ka dati no darbstacijām kopēti netiek, bet darbiniekiem rakstveidā nav noteikts, ka dati glabājami tikai serverī.
20. Ne vienmēr ir noteiktas prasības lietotāju kontu parolēm vai citiem kontu aizsardzības rīkiem, vai arī ir noteiktas nesamērīgi zemas prasības attiecībā uz paroles garumu un nomaiņas biežumu.
21. Tāpat uzņēmumos ļoti reti ir izstrādāti informācijas sistēmu (IS) drošības noteikumi, kuros būtu noteiktas par IS drošības pārvaldību atbildīgās personas, risku analīzes kārtība, piekļuves kontroles procedūras, prasības lietotāju kontu parolēm, pienākumi IS lietotājiem, personāla apmācības veikšanas kārtība, IS uzturēšanas kārtība, notikumu reģistrēšanas kārtība, datu rezerves kopiju veidošanas kārtība, incidentu pārvaldības kārtība un procedūras utt.
22. Lielākajā daļā auditu tika konstatēts, ka uzņēmumiem nav izstrādāti arī personas datu apstrādes aizsardzības noteikumi, kuros būtu atrunātas svarīgākās datu aizsardzības nianses (piemēram, personas datu veidi, datu apstrādes sistēmas un to klasifikācija, drošības pasākumi, rīcība bīstamās un ārkārtas situācijās, personas datu apstrādes informācijas un tehniskie resursi, atbildīgās personas par resursiem, personas datu lietotāju tiesības un pienākumi).
23. Attiecībā uz videonovērošanu biežākie auditos konstatētie pārkāpumi ir audioieraksta veikšana, nesamērīgi plaša publiskās ārtelpas novērošana, darbinieku privāto telpu novērošana. Tāpat pārsvarā tika konstatēts, ka uzņēmumiem norāžu par videonovērošanu nav vispār, vai arī tās neatbilst regulas 13. un 14. pantam – nav atrunāti apstrādes nolūki, apstrādes juridiskais pamats, personas datu kategorijas, datu saņēmēju kategorijas, datu subjektu kategorijas, datu nodošana ārpus Latvijas, datu glabāšanas ilgums, datu subjekta piekļuve personas datiem, tiesības iesniegt sūdzību uzraudzības iestādei utt.
24. Saskaņā ar regulas 30. pantu katram pārzinim, pie kura strādā vairāk nekā 250 darbinieku, ir jāveido datu apstrādes reģistrs, taču ne vienmēr šis reģistrs tiek veidots.
25. Saskaņā ar regulas 37. pantu ir noteikti gadījumi, kad iestādēm ir jāieceļ datu aizsardzības speciālists, piemēram, gadījumā, kad datu apstrādi veic publiska iestāde, vai arī iestādes pamatdarbība sastāv no apstrādes darbībām, kurām to būtības, apmēra un/vai nolūku dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana plašākā mērogā. Tomēr bieži vien ir nācies konstatēt, ka iestādes nav iecēlušas datu aizsardzības speciālistu.

Rezumējot secināms, ka lielākā daļa uzņēmumu Latvijā vēl nav pilnībā gatava regulas ieviešanai un ievērošanai, tomēr ir vērojama arī pozitīva tendence – aizvien vairāk uzņēmumu aizdomājas par personas datu aizsardzību un ar saviem vai piesaistīto speciālistu spēkiem veic iekšējos auditos un novērš konstatētās neatbilstības.

Arī pirms regulas piemērošanas personas datu aizsardzība Latvijā tika regulēta ar Fizisko personu datu aizsardzības likumu, kura pamatprincipi un definīcijas būtiski neatšķīrās no regulas principiem un definīcijām, tomēr minētajam likumam komplektā nenāca pietiekami iespaidīgas soda sankcijas. Līdz ar to var droši apgalvot, ka regula ar savu sodu bardzību daudziem uzņēmumiem likusi aizdomāties gan par savu darbinieku, gan par klientu personas datu pastiprinātu aizsardzību.