Kopš 2018. gada 25. maija Latvijā uzņēmumiem ir jāievēro Vispārīgo datu aizsardzības regulu jeb GDPR, tomēr tās ieviešana dzīvē notiek ļoti lēni un lielākā daļa uzņēmumu tai joprojām nav gatava. Pētījumu kompānijas SKDS aptaujas dati parāda, ka pilnīgu juridisko atbilstību GDPR prasībām ir nodrosinājuši vien 39,3%.
Situācija ar regulas ieviešanu Latvijā ir kritiska
GDPR ir visā Eiropas Savienībā saistoša regula, kas nosaka juridiskos principus, kā uzglabāt, nodot, izmantot un iznīcināt jebkurus personu identificējošus datus, kas ir vai var atrasties uzņēmuma īpašumā. GDPR regulai ir pakļauti tādi dati, ar kuru palīdzību ir iespējams precīzi identificēt konkrētu personu, piemēram, vārds, uzvārds, adrese, kontaktinformācija.
“Uzņēmēju vidū joprojām valda maldinošs priekšstats, ka GDPR attiecas vien uz lieliem uzņēmumiem, kas nodarbina lielu skaitu darbinieku vai uzglabā lielas klientu datubāzes. Tomēr šī regula patiesībā attiecas uz jebkura izmēra uzņēmumiem, pat tādiem, kuros strādā vien daži cilvēki, kuru darbība nav saistīta ar lielu informācijas apjomu uzglabāšanu un kuru klienti ir juridiskās personas. Šie uzņēmumi automātiski kļūst par GDPR subjektu,” pauž datu aizsardzības biroja “Protectum” valdes priekšsēdētājs Zigmunds Vīķis.
Pēc SKDS decembrī veiktā pētījuma datiem, kurā tika aptaujāti Latvijas uzņēmēji un uzņēmumu vadītāji, ir atklājies, ka 34,4% uzņēmēju nav izpratnes par GDPR ieviešanu un tās juridiskajām saistībām. No aptaujātajiem respondentiem 25,6% uzskata, ka šī regula uz viņiem neatteicas, savukārt vien 39,3% uzskata, ka tās ieviešanā ir izdarīts viss nepieciešamais. Tas nozīmē, ka 60,7% uzņēmumu potenciāli ir pakļauti riskam saņemt sodu, kas var sasniegt 4% apmēru no apgrozījuma, ja tiks identificētas kādas juridiskās nepilnības vai pārkāpumi.
“Situācija Latvijā ir kritiska. Joprojām lielākā daļa uzņēmumu neapzinās, ko drīkst un ko nedrīkst darīt ar datiem, un bieži vien uzņēmumi pat neapzinās, kādi dati ir to rīcībā. Šodienas biznesa vide ir cieši sasaistīta ar mūsu rīcībā esošo informāciju un tā būtībā ir tik pat vērtīga kā nauda. Tā arī atbilstoši ir jāuzglabā,” norāda Vīķis.
GDPR ieviešanas pārejas periods ir beidzies un uzņēmumi sāks saņemt sodus
Datu valsts inspekcijas (DVI) pārstāvji kopš pagājušā gada 25. maija ir saņēmuši lielu skaitu sūdzību par uzņēmumiem, kuru darbība neatbilst regulas principiem, un proporcionāli liela daļa no saņemtajām sūdzībām esot pamatota.
“Šogad beidzas pārejas posms, kurā DVI bija ieņēmis, galvenokārt, konsultantu lomu un uzņēmumiem patiešām ir nopietni jāizvērtē vai ir izdarīts viss nepieciešamais, lai panāktu regulas ieviešanu dzīvē. Izvērtējot uzņēmumu gatavību regulas ieviešanā, var paredzēt, ka administratīvo pārkāpumu un noteikto sodu skaits praksē pieaugs. Arī pārejas posmā mēs veicām rūpīgu uzņēmumu uzraudzību, skaidrojot regulas principus un saistītās procedūras, tomēr ir uzņēmēji, kas par rupjiem pārkāpumiem jau ir sodīti,” komentē DVI direktore Daiga Avdejanova.
Arī Avdejanova norāda, ka lielākais risks saņemt sodus ir tiem uzņēmumiem, kuru vadītāji uzskata, ka GDPR neattiecas uz viņiem. Tāpat arī vidēji lielos un mazos uzņēmumos, kuros juridiskās lietas, kas saistītas ar datu apstrādi, nereti veic nekvalificēti darbinieki, piemēram, biroja vadītājs vai administrators, kurš nav izgājis piemērotas apmācības.
“GDPR ir pietiekami sarežģīts process, kura ieviešanai ir vajadzīgas specifiskas zināšanas un visbiežāk šādu procesu nodrošināšanā ir jāpiesaista sertificēts datu aizsardzības speciālists. Šī regula nebeidzas vien ar ieviestām jaunām procedūrām, atjaunotiem mājaslapas lietošanas noteikumiem vai sakārtotiem dokumentu arhīviem. Tā ir kompleksa procedūra, kuras rezultātā uzņēmumiem ir ieviesti ne vien praktiski principi, bet arī juridiskā dokumentācija,” uzsver Vīķis.
Latvijā ir uzsāktas vairāk nekā 30 administratīvo pārkāpumu lietas
Jebkurai personas datu apstrādei ir jābūt atbilstošai, godprātīgai un pārredzamai. Tieši pārredzamības un kontroles mehānismu neesamība ir galvenie aspekti, kuros Latvijas uzņēmumu procedūras ir klasificējamas kā neatbilstošas.
“Balstoties uz regulas tiesiskajām prasībām, tie uzņēmumi, kuros tiks atklāti pārkāpumi, var saņemt pietiekami bargus sodus, un Latvijā šobrīd jau ir uzsākatas vairāk nekā trīsdesmit administratīvo pārkāpumu lietas,” norāda Avdejanova.