“Ja runājam pavisam atklāti, šobrīd es novēroju, ka atsevišķi darbinieki ir uz izdegšanas robežas,” saka DVI direktore Daiga Avdejanova. Laikā, kad visi organizē pasākumus un mēģina saprast, kā rīkoties VDAR kontekstā, kuras tieša piemērošana jāuzsāk 2018. gada 25. maijā, DVI mēģina saprast savu struktūru un to, kā tad praktiski notiks regulas ieviešanas uzraudzīšanas darbs.
“Jau pirms diviem gadiem, kad regula tika apstiprināta, mēs jutām nepieciešamību pēc papildu resursiem. Tie mums netika piešķirti.
Valdībā šobrīd, skatot jauno likumprojektu - Personu datu apstrādes likumu, kurā mēs paredzējām papildu finansējumu un papildu amata vietas, anotācijā tas netiek piešķirts. Šobrīd resursi ir maksimāli novirzīti uz izpratnes veicināšanu sabiedrībā par VDAR. Ļoti minimāls stundu skaits mums atliek savu iekšējo procesu pārskatīšanai un pielāgošanai, lai kontroles un uzraudzības funkcija būtu efektīva. Nenoteiktība par papildu finansējumu un papildu amata vietu piešķiršanu šobrīd mums rada papildu stresu, jo mēs nesaprotam, kāda mums būs struktūra un ar ko rēķināties. Līdz ar to mūsu jaunā struktūra vēl pat netop. Skatīsimies, kāda būs virzība, bet visas izmaiņas būs jāveic ļoti ātrā tempā un saspringtā darba grafikā,” saka Avdejanova, piebilstot, ka tiks meklēti risinājumi nepieciešamā finansējuma piesaistīšanai.
Visā Eiropā strādās vienā līmenī
Latvijas kontrolējošajai institūcijai būs jāspēj strādāt tādā pašā līmenī kā kontrolējošajai institūcijai jebkurā Eiropas Savienības dalībvalstī. “Par noteiktiem jautājumiem ir izstrādātas vadlīnijas, kas mums, protams, atvieglo dzīvi, skaidrojot atsevišķos regulā noteiktos gadījumus un pantus. Taču ne visas vadlīnijas ir jau izstrādātas. Daudzas vēl top,” stāsta Avdejanova. “Protams, arī darbiniekiem ir jābūt atbilstoši sagatavotiem, lai atbildētu gan uz telefona zvaniem par VDAR, gan arī klātienē nodrošinātu konsultācijas un ieteikumus. Pieprasījumi ar katru dienu kļūst aizvien sarežģītāki un situācijas - komplicētākas. Uz tām ir pilnvērtīgi jāreaģē. Tam visam ir nepieciešams laiks un resursi, kā arī iekšējās apmācības, kas notiek, taču skar tikai dažus jautājumus.”
Kāpēc tad valsts struktūrai nav šobrīd iespējams nodrošināt atbilstošu gatavības pakāpi? “Es negribētu apgalvot, ka pietrūkst politiskās gribas,” saka Avdejanova.
“Politiskā līmenī, manuprāt, skaidrība ir un griba arī ir, bet sabiedrība nebija gatava ziņu par VDAR nopietni uztvert 2016. gadā, tāpēc sagatavošanās ir atlikta uz pēdējo brīdi.
Un šajā virpulī ir ierauta arī DVI. Pastiprinātā interese, ko mēs novērojām, sākās 2017. gada vidū, kad uzņēmēji un sabiedrība kopumā saprata šī dokumenta nopietnību. Visi pēkšņi atskārta, ka regula attiecas uz visiem, jo datu apstrāde notiek jebkurā uzņēmumā. Un tad sākās panika par piemērojamajiem naudas sodiem. Vai nebūs tā, ka uzraudzības iestāde atnāks 25. maijā un piemēros 20 miljonu eiro naudas sodu? Pirmkārt, nebija izpratne par to, kādos gadījumos piemēro šo lielo naudas sodu - tas tiek diferencēts. Un lielai daļai nav izpratnes par līdzšinējo datu aizsardzības regulējumu un personas datu apstrādi - gan par tiesiskajiem pamatiem, gan par pamatprincipiem. Līdz ar to mēs šobrīd skaidrojam arī jau spēkā esošo regulējumu un salīdzinām to ar nākotnes regulējumu. Pašlaik mēs darām vēsturisko darbu, kad personas datu aizsardzībai vispār nebija pievērsta uzmanība. Es nezinu nevienu citu tādu situāciju, kad iestādei būtu gan jāstrādā esošā regulējuma ietvaros, gan jāraugās uz nākotni un turklāt vēl jāpielāgo gan savi iekšējie, gan ārējie procesi jaunajam regulējumam bez papildu resursu piesaistes jaunajiem papildu uzdevumiem,” pārslogotību skaidro Avdejanova.
Kāpēc ir vajadzīga regula?
“Regula pēc būtības ir laba lieta. Tā uzliek par pienākumu datu vācējiem un apstrādātājiem būt godprātīgiem pret tiem, kuru dati tiek vākti - izstāstīt un informēt par nosacījumiem.
Pieļauju, ka regula piespiedīs īpaši jau lielos datu vācējus - "Twitter", "Facebook", "Google", "Microsoft" un citus - kļūt godīgākiem un caurspīdīgākiem pret saviem klientiem.
Viņu biznesa modelis ir tieši balstīts uz datu savākšanu un pārdošanu, jo dati ir “baltā nafta”, ar ko var pelnīt,” saka Latvijas Sertificēto personas datu aizsardzības speciālistu asociācijas vadītāja Agnese Boboviča.
“Manuprāt, tas ir ļoti labs izaicinājums arī katram uzņēmējam - pārbaudīt savu gatavību 21. gadsimta digitālajai ekonomikai. Tā ir iespēja pārkārtoties. Daudzi regulas ieviešanu uztver skeptiski, lamājot “muļķīgās” Eiropas prasības. Iespējams, tas ir arī tāpēc, ka šodien pat kokapstrādes uzņēmumi sevi dēvē par “regulas ekspertiem” un piedāvā savus pakalpojumus šajā kontekstā. Tādējādi tiek radīta lieka un nereti pat nevajadzīga panika. Jā, regula liek nedaudz mainīt domāšanu un pat padomāt par riskiem, par ko nebijām iedomājušies iepriekš. Taču, veicot šo inventarizāciju, rezultātam vajadzētu organizācijas padarīt sakārtotākas un pārdomātākas, nevis tādas, kur “viena roka nezina, ko dara otra”. Regula nav par aizliegumu apstrādāt datus. Regula ir par jēgpilnu, pārdomātu rīcību ar tiem. Salīdzinot ar pašreizējo Fizisko personu datu aizsardzības likumu, tā pat atsevišķās vietās ir elastīgāka”
Avdejanova piebilst, ka dati netiks nodoti bez tiesiska pamata, kas līdz šim tiek novērots itin bieži: “Līdz šim, ja mēs iesniedzām datus jebkuram uzņēmumam, tad tas uzskatīja, ka personas dati ir viņa aktīvs, ar ko var rīkoties, kā labpatīkas, un atsevišķos gadījumos pat nodot datu masīvus lielā apjomā bez tiesiska pamata citiem uzņēmumiem. Vienīgais pamatojums - viņu funkciju veikšanai šāda darbība ir nepieciešama. Tagad, veicot šādas darbības, var rasties nepatīkama situācija un arī iestāties administratīvā vai atsevišķos gadījumos pat kriminālatbildība.”
Ticība labajam vai loterija var neizglābt
Pēc būtības jau 2018. gada 25. maijā nekas nesāksies un nekas nebeigsies - datu aizsardzība ir process. “Mēs šobrīd runājam tikai un vienīgi par personas datu drošību - jautājumu, par ko organizācijām ir jādomā informācijas aizsardzības kontekstā. Jebkurš uzņēmējs apzinās, cik būtiski ir sargāt, piemēram, komercnoslēpumu par cenām vai sadarbības veidošanas principiem. Tas ir tāpat, kā mēs tomēr aizslēdzam biroja telpas un uzliekam signalizāciju, lai nepiederošas vai nelūgtas personas nevarētu saimniekot mūsu īpašumā, kamēr mēs tur neesam. Tie visi ir pasākumi, lai pārliecinātos, ka informācija ir drošībā. Taču realitātē 21. gadsimtā būtisku vietu mūsu ikdienā aizņem virtuālā telpa, tāpēc ir jādomā par virtuālajām atslēgām, lai nepiederošas personas nesaimnieko tur,” situāciju raksturo Boboviča.
“Mēs nevaram runāt par datu drošību, ja organizācija nerūpējas par drošību kopumā - atjauninājumiem, datu noplūdi, šifrēšanu, piekļuves kontroli, mobilo ierīču un klēpjdatoru drošību, datu nesējiem, mākoņiem, ievainojamības pārbaudēm, darbinieku izglītošanu utt.
Drīzumā varēsim runāt arī par ledusskapjiem lietu interneta kontekstā. Vienalga, kas tu esi – uzņēmums vai valsts organizācija, ir jāsaprot un jāapzinās riski. Ir uzņēmumi, kas nepārtraukti veic dažādas pārbaudes, lai izvērtētu tostarp arī kiberapdraudējumu riskus un izglītotu darbiniekus par informācijas tehnoloģijām un datu drošības jautājumiem. Organizācijām, kas to dara regulāri, mājasdarbu tieši regulas kontekstā ir mazāk. Uzņēmumos, kas to visu nedara un tic labajam vai loterijai, ka “ar mani nekas nenotiks” – es ieteiktu nopietni pārskatīt procesu atbilstību.”
Liela daļa uzņēmumu joprojām nav iedziļinājušies VDAR prasībās - par regulu zina, bet uzskata, ka ar to jānodarbojas kādam citam, piemēram, juristiem. “Kāpēc mums, pārdošanas departamentam vai biznesa vadītājiem, par to domāt? Kāds pieklauvēs un pateiks, kas mums jādara. Kādā brīdī visi nonāk līdz tam, ka nezina, kas jādara, kurā vietā kas atrodas. Ir būtiski saprast, ka regulas kontekstā personas datiem ir paplašināts mērogs. Tas nenozīmē tikai līgumus un finanšu datus. Tas nozīmē arī klientu datu bāzes un informāciju sistēmas, kur lielākais slogs gulstas uz procesu, kā kas tiek organizēts un realizēts. Jēdziens ir paplašinājies, un tagad tas ir visa biznesa jautājums,” uzsver Boboviča.
Liela interese par sertificēta speciālista amatu
“Ņemot vērā, kādas prasības regula paredz, lielam uzņēmumam noteikti iesaku pieņemt darbā savu personas datu aizsardzības speciālistu. Regulāri būs jāuzrauga personas datu apstrāde, tās atbilstība regulas prasībām, kā arī jānodrošina saziņa ar iedzīvotājiem, darbiniekiem un jābūt par padomdevēju uzņēmuma valdei. Tas ir veiksmīgs instruments uzņēmuma iekšienē, kā nodrošināt atbilstību regulai,” iesaka Avdejanova. Un pieprasījums pēc šāda amata pēdējā gada laikā ir dramatiski pieaudzis. DVI mājas lapā internetā ir saraksts ar tiem personas datu aizsardzības speciālistiem, kuri ir piekrituši publicēt savu kontaktinformāciju. Speciālista konsultācija, protams, ir maksas pakalpojums. Speciālisti ir apguvuši 42 stundu apmācību programmu. Šobrīd obligāta prasība ir arī augstākā akadēmiskā izglītība informācijas tehnoloģiju (IT) vai tiesību jomā, vai līdzīgā jomā. Neskatoties uz to, interese ir ārkārtīgi liela - šogad katru mēnesi obligāto eksāmenu kārto 50 - 60 pretendenti. DVI apmācības organizē katru mēnesi uz savas iniciatīvas pamata bez papildu resursiem, lai mazinātu pārrāvumu starp piedāvājumu un pieprasījumu.
Tiem, kuri speciālistus nepiesaistīs, taču būs nolēmuši uzzināt ko vairāk, būs tāda iespēja oficiālajā VDAR ieviešanas dienā - 2018. gada 25. maijā. DVI sadarbībā ar Tieslietu ministriju, Latvijas Sertificēto personas datu aizsardzības speciālistu asociāciju un kiberdrošības uzņēmumu "Data Security Solutions" organizēs Baltijas valstīs lielāko forumu "Digitālā ēra". Organizatori sola, ka katras nozares pārstāvim, kuru skars regulas nosacījumi, būs iespēja uzzināt, kas mainīsies nākotnē viņu dzīvē.
