Lasīšanas laiks: 4 min
Gatavošanās 25.maijam, kad stājas spēkā Vispārīgā datu aizsardzības regula (GDPR), atklāj ne vienu vien “robu” uzņēmēju zināšanās par personas datu apstrādi. Aptauja, kas veikta pēc zvērinātu advokātu biroja “Sorainen” un IT uzņēmuma “Squalio” pasūtījuma, liek secināt, ka trūkst izpratnes par ļoti svarīgiem GDPR aspektiem.
Tieši tādēļ “Sorainen” un “Squalio” ir sagatavojis apkopojumu par izplatītākajiem mītiem, kas saistās ar Vispārīgo datu aizsardzības regulu un personas datu apstrādi.
Mīts: Mūsu uzņēmumā personas datus neviens neapstrādā
Patiesība: Lai uzņēmums veiksmīgi darbotos, nepieciešami darbinieki, tādēļ personas dati personālvadības vajadzībām tiek apstrādāti teju ikvienā uzņēmumā, tostarp arī atlasot jaunus darbiniekus. Taču aptaujā, ko veica pētījumu kompānija “Norstat Latvija”, 41% aptaujāto uzņēmumu norādīja, ka personas datus neapstrādā, kad tiem tika taujāts par darbībām, kas veiktas, lai sagatavotos GDPR. Vienlaikus tikai katrs otrais uzņēmējs (52%) norādīja, ka personas datus apstrādā personālvadības vajadzībām, bet tikai katrs divpadsmitais (8%) minēja rekrutēšanas un atlases procesus.
“Darbinieku pieņemšana, atlaišana, darba laika uzskaite šķiet tik pašsaprotamas norises, ka, iespējams, nemaz neiedomājamies par to detaļām, proti, par uzkrāto informāciju par cilvēkiem, kuri strādā vai vēlas strādāt mūsu uzņēmumā. Tādēļ ikvienam uzņēmējam līdz 25.maijam ir vērts pārdomāt to, kādus personas datus un kur glabājam, kam tie pieejami, kādiem nolūkiem tos izmantojam,” uzsver “Sorainen” pārstāve, zvērināta advokāte Ieva Andersone.
Mīts: par GDPR pārkāpumiem īpaši lielu sodu nav
Patiesība: Vispārīgā datu aizsardzības regula paredz ļoti bargus sodus par personas datu apstrādes pārkāpumiem, proti, tie var sasniegt 4% no uzņēmuma globālā apgrozījuma vai 20 miljonus eiro. Veiktajā aptaujā tikai katrs ceturtais uzņēmējs (25%) pareizi norādīja maksimālo soda apmēru.
“Manuprāt, ir visai satraucoši, ka 60% no mūsu aptaujātajiem uzņēmējiem bija grūti sniegt atbildi par GDPR noteiktajiem maksimālajiem sodiem. Jo tas nozīmē, ka netiek novērtēta personas datu izmantošanas nopietnība un problēmu gadījumā finansiālās sekas var būt ļoti nepatīkamas,” uzsver “Squalio” pārstāvis Mareks Gruškevics.
Mīts: Par datu apstrādes pārkāpumiem atbildēs valde, uzņēmuma vadītājs un īpašnieks
Patiesība: Likuma priekšā pilna atbildība ir datu pārzinim, proti, uzņēmumam, no kura līdzekļiem būs sedzami arī visai ievērojamie sodi par GDPR pārkāpumiem. No aptaujātajiem Latvijas uzņēmumiem tikai 16% pilnīgi pareizi norādīja, ka vispirms par pārkāpumu atbildīgs ir uzņēmums, bet katram piektajam (18%) nebija zināms, kurš atbildēs par GDPR pārkāpumiem.
“Katram, kurš uzņēmumā apstrādā personas datus, jārūpējas, lai tas tiktu darīts droši un atbilstoši GDPR prasībām. Lai arī uzņēmums samaksās sodu par datu apstrādes pārkāpumiem, valdes loceklis var būt atbildīgs par radītajiem zaudējumiem Komerclikumā paredzētajā kārtībā, bet darbiniekiem iespējama disciplināratbildība. Ja rūp uzņēmuma drošība un reputācija, svarīgi arī turpmāk regulāri pārskatīt datu apstrādes politiku, IT risinājumus un izglītot darbiniekus par drošu personas datu apstrādi,” atgādina Andersone.
Mīts: Piederība arodbiedrībām nav sensitīvi personas dati, bet maksājumu kartes numurs – ir
Patiesība: Atbilstoši GDPR, sensitīvi dati ir informācija par cilvēka rasi, etnisko izcelsmi, reliģisko, filozofisko vai politisko pārliecību, dalību arodbiedrībās, kā arī ar veselību vai seksuālo dzīvi saistītas ziņas. Nenoliedzami, maksājumu kartes numurs tāds nav. Tā ir vienkārši rūpīgi glabājama personīgā informācija, kuras nozaudēšana var radīt nopietnas finanšu sekas.
Savukārt ziņas par piederību arodbiedrībai tieši tāpat kā politiskie uzskati, ticība, seksuālā orientācija noteiktās situācijās var pakļaut cilvēku diskriminācijai vai atšķirīgai attieksmei darba tirgū, tādēļ šie ir īpašas kategorijas dati, kuru apstrāde tiek ierobežota. Pārkāpumu gadījumā var tikt piemērots arī bargāks sods.
“Uzņēmējiem ir ļoti svarīgi pārzināt konkrētas īpašo datu kategorijas, lai pat nejauši neizdarītu kādu pārkāpumu, piemēram, attiecībā pret darbiniekiem. Ieteiktu arī par sensitīviem dēvēt vien tādus datus, kas tādi ir arī normatīvo aktu izpratnē, nevis jebkuru privātu, svarīgu un sargājamu personisko informāciju. Tad nebūs pārpratumu ne par maksājumu kartēm, ne arī par personas kodiem,” skaidro zvērināta advokāte.
Mīts: digitālajā vidē personas dati “neceļo”
Patiesība: lielākā daļa cilvēku digitālajā apritē esošo informāciju, pēc kuras var identificēt konkrētu personu, neuztver līdzīgi kā telefona numuru, adresi vai personas kodu. Tā šķiet bezpersoniska, kaut arī patiesībā ir pat ļoti personiska, skaidro Mareks Gruškevics. Proti, arī interneta protokola (IP) adrese, sīkfailu (cookies) identifikācijas numurs datorā, atrašanās vietas dati mobilajā tālrunī, e-pasts ir personas dati, kuru apstrādi regulē GDPR.
“Interesanta situācija veidojas ar e-pastiem. Adreses info@uznemums.lv, firma@firma.com nav personas dati, jo pēc tām nevar identificēt nevienu konkrēti cilvēku. Savukārt adrese vards.uzvards@uznemums.lv ir informācija, kas identificē konkrētu cilvēku, tādēļ uz šo datu izplatīšanu var attiekties Vispārīgās datu aizsardzības regulas normas,” uzsver Gruškevics.
Aptauja tika veikta laikā no 2018.gada 19.marta līdz 9.aprīlim. Aptaujā piedalījās 820 Latvijas uzņēmumu, un iegūtie dati ir reprezentatīvi.