Kas ir GDPR jeb VDAR?
Viss, kas Tev jāzina par jauno datu aizsardzības regulējumu
Vispārīgās datu aizsardzības regulas (no angļu “GDPR”, turpmāk arī – VDAR) stājās spēkā 2018. gada 25. maijā. Izlasi šeit, kā tas ietekmē personas un uzņēmumus.
Kas ir VDAR jeb GDPR?
Vispārīgā datu aizsardzības regula
Kā tā radās?
2012. gada janvārī Eiropas Komisija izstrādāja datu aizsardzības reformas plānu ar mērķi “pielāgot Eiropu digitālajam laikmetam”. Pēc gandrīz pieciem gadiem tika panākta vienošanās par to, ko tajā iekļaut un kā tas tiks izpildīts.
Viena no reformas daļām ir tieši Vispārīgās datu aizsardzības regulas ieviešana. Jaunais Eiropas Savienības normatīvais regulējums attiecas uz tās dalībvalstīm, tomēr tā sekas ir visā Eiropā un ārpus tās.
Andrus Ansips, “Digital Single Market” viceprezidents, runājot par reformām, uzsvēra: “Digitalizācijas nākotne Eiropā var veidoties vienīgi uzticībā. Ar stingru un vienotu izpratni par datu aizsardzību.”
Kas ir VDAR un kā tas strādā?
Savā būtībā VDAR ir noteikumu kopums, kas paredzēts, lai Eiropas Savienības pilsoņiem piešķirtu lielākas iespējas kontrolēt savus personas datus. Tās mērķis ir vienkāršot un radīt mehānismu, kā pilsoņi un uzņēmumi Eiropas Savienībā var iegūt no digitālā laikmeta.
Reformas ir paredzētas ar mērķi pielāgoties videi, kādā mēs dzīvojam šobrīd, un paredz noteikumus un pienākumus – tostarp, kas attiecas uz personas datiem, privātumu un piekrišanu – visā Eiropā.
Būtībā gandrīz katrā personas dzīves jomā ir iesaistīti kādi personas dati. Sākot no sociālajiem tīkliem, bankām, tirgotājiem un valsts – gandrīz katrs pakalpojums, ko izmantojam, uzkrāj mūsu personas datus. Vārds, adrese, kredītkartes dati un vēl citi, kas tiek apkopoti, analizēti un varbūt vissvarīgakais – tie tiek glabāti.
Kāda ir VDAR būtība?
Datu apstrādes pārkāpumi neizbēgami notiek. Informācija tiek pazaudēta, nozagta vai citādi nonāk to personu rokās, kuriem sākotnēji šo informācija nemaz nebija paredzēts iegūt – un šiem cilvēkiem bieži var būt arī ļaunprātīgs nodoms.
Saskaņā ar VDAR noteikumiem organizācijām ne tikai būs jānodrošina, ka personas dati tiek apkopoti likumīgi un saskaņā ar stingriem nosacījumiem, bet arī tiem, kas tos vāc un apstrādā, būs pienākums tos aizsargāt no ļaunprārtīgas izmantošanas un ekspluatācijas, tāpat arī ievērot personas datu īpašnieku tiesības – vai arī noteikt sodu tiem, kas šo neievēro.
Uz ko attiecas VDAR?
VDAR (GDPR) attiecas uz jebkuru organizāciju, kura darbojas Eiropas Savienībā, tāpat arī uz tādām organizācijām, kas darbojas ārpus Eiropas Savienības, bet piedāvā savus pakalpojumus Eiropas Savienības pilsoņiem. Tas nozīmē, ka gandrīz katram lielam uzņēmumam visā pasaulē ir jābūt gatavam pielāgoties VDAR prasībām.
Ir divu veidu datu apstrādātāji, uz kuriem regula attiecas: “apstrādātāji” un “pārziņi”. Abiem šiem definīcija tiek sniegta Vispārīgās datu aizsardzības regulas 4. pantā.
Pārzinis ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja šādas apstrādes nolūkus un līdzekļus nosaka ar Savienības vai dalībvalsts tiesību aktiem, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt Savienības vai dalībvalsts tiesību aktos.
Savukārt apstrādātājs ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus.
“Jums būs ievērojami lielāka juridiskā atbildība, ja būsiet atbildīgs par pārkāpumu. Šie pienākumi apstrādātājiem ir jauna prasība, kas ieviesta ar VDAR” ir teikusi UK’s Information Commissioners Office, proti, iestāde, kas atbildīga par datu apstrādātāju reģistrāciju, datu aizsardzības pasākumu veikšanu un nepieciešamo apstrādes problēmu risināšanu.
VDAR uzreiz noteic pienākumu apstrādātājiem saglabāt personas datu ierakstus un to, kā tie tiek apstrādāti, nodrošinot daudz augstāku juridisko atbildību, ja tiek konstatēti pārkāpumi.
Arī pārziņiem būs jānodrošina, lai visi līgumi ar apstrādātājiem atblst VDAR.
Kas ir personas dati VDAR izpratnē?
Normatīvā regulējuma izpratnē personas dati var būt vārds, adrese un fotogrāfijas. VDAR ietverta personas datu definīcija, tāpēc arī kaut kas tāds kā IP adrese var tikt identificēts kā perosnas dati. Tas arī ietver personas sensitīvo informāciju tādu kā ģenētisko informāciju – informācija, pēc kuras var identificēt konkrētu personu.
Kad VDAR stājas spēkā?
Eiropas Savienībā VDAR stājās spēkā 2018. gada 25. maijā un ir paredzēts, ka dalībvalstis nacionālajos normatīvajos aktos VDAR prasību izpildi būs ieviesušas līdz 2018. gada 6. maijam.
Pēc četru gadu sagatavošanās un diskusijām, VDAR tika apstiprināta Eiropas Parlamentā 2016. gada aprīlī un tās regulējums 2016. gada maijā tika iztulkots visās Eiroas Savienības oficiālajās valodās.
Kāds ir VDAR piemērošanas termiņš?
Ņemot vērā, ka regula stājās spēkā 2018. gada 25. maijā, tiek paredzēts, ka no šī laika tā ir piemērojama visiem tās subjektiem.
Kā Brexit ietekmē VDAR?
Ir noteikts, ka Lielbritānija no Eiropas Savienības varētu izstāties 2019. gada 29. martā, mazliet vairāk kā 10 mēnešus pēc tam, kas spēkā būs stājusies VDAR. Vienlaikus gan Lielbritānijas valdība ir atzinusi, ka tas neietekmēs VDAR spēkā stāšanos un piemērojamību valstī. Tā joprojām būs piemērojama arī Lielbritānijai, kaut arī Lielbritānija nebūs Eiropas Savienības dalībvalsts.
Ko VDAR nozīmē uzņēmējiem?
VDAR izveido vienotu normatīvo regulējumu, kas piemērojams visā kontinentā un vienotus nosacījumus uzņēmumiem, kuri nodarbojas ar uzņēmējdarbību Eiropas Savienības dalībvalstīs. Tas nozīmē, ka normatīvā regulējuma darbības joma paplašinās tālāk par Eiropas robežām, jo kaut arī uzņēmums atrodas ārpus tās robežām, lai strādātu ar Eiropas Savienības dalībvalstīm, tām šie noteikumi būs jāievēro.
Tiek cerēts, ka no VDAR, uzņēmēji tikai iegūs. Eiropas Komisija norāda, ka, izveidojot vienotu datu apstrādes un uzraudzības mehānismu visā Eiropas Savienībā, uzņēmējdarbībai tiks radīta lētāka un vienkāršāka vide. Turklāt Komisija uzskata, ka VDAR Eiropā ļaus katru gadu ietaupīt 2,3 miljardus eiro.
Ko tas nozīmē. Tiek uzskatīts, ka šīs regulējums ļaus nodrošināt personas datu aizsardzību jau sākotnējā produkta izstrādes stadijā. Piedāvājot jaunus produktus un tehnoloģijas jau ievērojot personas datu aizsardzības prasības.
Organizācijas tiek arī mudinātas izstrādāt metodes kā anonimizācijai, lai iegūtu personas datus un analīzētu, tomēr nodrošinot to klientu privātumu.
Ko VDAR nozīmē patērētājiem/iedzīvotājiem?
Ņemot vērā pēdējo gadu laikā notikušos datu apstrādes pārkāpumus un neizbēgamo realitāti, ka personas dati – vai tā būtu e-pasta adrese, paroles, vai dati par medicīnas stāvokli – nokļuvuši internetā. Viena no lielākajām pārmaiņām, kas ienāk līdz ar VDAR spēkā stāšanos, ir nodrošināt patērētājiem tiesības zināt, kad notikusi pretlikumīga piekļuve to datiem. Organizācijām tiks noteikts pienākums ziņot attiecīgajām iestādēm, cik vien ātri tas iespējams, lai Eiropas Savienības pilsoņi var nodrošināt, ka to dati netiek izmantoti tālāk un pārkāpums novērsts.
Patērētājiem arī tiek solīts, ka tiem būs iespējams pašiem daudz vieglāk piekļūt saviem personas datiem un zināt, kā tie tiek apstrādāti. Tiks noteikts, ka organizācijām jārada apstākļi, lai patērētāja informācija tiek izmantota tam skaidrā un saprotamā veidā.
Dažas no organizācijām jau tagad ir izveidojušas mehānismu un pieņēmušas regulas prasības, pat, ja tā ir tikai e-pasta vēstule norādot informāciju, kā tiek izmantoti viņu dati un vienlaikus nodrošinot viņiem iespēju atteikties šos datus sniegt. Jau tagad uzņēmēji ir sazinājušies ar klientiem, lai noskaidrotu, vai viņi vēlas, lai konkrētā informācija par viņiem tiek uzturēta datubāzē.
Pie šādiem apstākļiem, patērētājam ir jābūt ērtam un vienkāršam veidam, kā atteikties no tā personas datu izmantošanas. Jau šobrīd daudzas nozares ir brīdinātas par to, ka tām ir vēl daudz darāmā, lai nodrošinātu atbilstību VDAR – īpaši tad, ja ir iesaistīta personas piekrišana.
VDAR ir arī skaidri noteikts process “tiesībām tikt aizmirstam”, kas nodrošina papildu tiesības tām personām, kuras vairs nevēlas, lai viņu personas dati tiktu izmantoti, tiesības, ka tie tiek izdzēsti un netiek saglabāti.
Pie VDAR spēkā stāšanās šīs patērētāju tiesības ir jāievēro.
Vai šī privātuma e-pasta vēstule tiešām ir no īsta uzņēmuma?
Uzņēmumi visās nozarēs izsūta saviem klientiem e-pasta vēstules, lūdzot viņus izvēlēties un izšķirties, vai turpināt saņemt ziņas vai citus uzņēmuma piedāvājumus. Lielākoties, ja patērētājs to vēlas, viņam tikai jāuzklikšķina saite, tādējādi informējot uzņēmumu.
Tomēr šī ir arī iespēja šīs e-pasta vēstules izmantot ļaunprātīgiem nolūkiem, jo īpaši tāpēc, ka šobrīd cilvēki ir pieraduši saņemt vairāk e-pasta vēstules kā parasti. Viena no shēmām, kurai jau pat tiek piešķirtas noziedzīgas pazīmes, tiek saistīta ar Airbnb. Proti, vēstulē norādot, ka nevar tikt veiktas jaunas rezervācijas līdz netiek izstrādāta jauna privātuma politika. Lai gan īstā Airbnb ziņa norāda, ka tiek lūgti viņu personas dati, tostarp maksājumu kartes informācija.
Neapšaubāmi, ka šī ir arī iespēja sarosīties tiem, kas ļaunprātīgi iegūst informāciju, īpaši, ja vēstule tiek sūtīta it kā no kāda pazīstama uzņēmuma.
Kas ir VDAR pārkāpumu paziņojumi?
Līdz ar VDAR spēkā stāšanos, organizācijām būs pienākums ziņot par konstatētajiem personas datu pārkāpumiem, kas saistīti ar neatļautu to izmantošanu, saglabāšanu vai zaudēšanu attiecīgajai uzraudzības iestādei. Tāpat var būt pienākums informēt pašas personas par šiem pārkāpumiem.
Šī pienākuma pildīšana tiek motivēta ar iespējamu negatīvu ietekmi uz šo personu reputāciju, finansiāliem zaudējumiem vai citiem sociāli un ekonomiski neizdevīgākiem apstākļiem.
Proti, ja konstatēti pārkāpumi attiecībā uz personas vārda, adreses, dzimšanas datu, veselības stāvokļa, maksājumu karšu informācijas izmantošanu, organizācijai ir pienākums ziņot visiem iesaistītajiem, kā arī pēc iespējas samazināt iespējamu kaitējumu. Tāpat šāda ziņa tiek tieši paziņota pašai skartajai personai.
Atbilstoši VDAR, kad organizācijai ir pienākums ziņot par pārkāpumu?
Organizācijai ir pienākums ziņot 72 stundu laikā pēc tam, kad pirmo reizi šāds personas datu pārkāpums ir konstatēts. Tikmēr, redzot, ka pārkāpums, iespējams, ir nopietns, organizācijai tuvākajā laikā tas jāpaziņo patērētājiem vai plašākai sabiedrības daļai.
Kādi ir sodi par VDAR prasību neievērošanu?
VDAR pārkāpums var nozīmēt no 10 miljoni eiro lielu naudas sodu līdz pat četriem procentiem no uzņēmuma gada apgrozījuma, kas lieliem uzņēmumiem var nozīmēt daudz, daudz vairāk.
Naudas sods vienlaikus būs atkarīgs no konstatētā pārkāpuma rakstura un tā, vai uzņēmums ir veicis darbības un pieņēmis regulējumu, lai nodrošinātu datu drošību.
Maksimālais naudas sods varēs tikt piemērots par tādiem personas datu pārkāpumiem, kas saistīti ar neatļautu personas datu starptautisku pārsūtīšanu vai par to, ka nav ieviesta kārtība, kādā notiek piekļuve un personas datu pieprasīšana.
Organziācijām, kas datus nepareizi apstrādā citos veidos, tiks piemērots mazāks naudas sods. Piemēram, nepaziņošana par datu pārkāpumu, nespēja nodrošināt datu aizsardzību, uzsākot projektu, vai projektam noslēdzoties.
Kas ir VDAR atbilstošs pārkāpuma paziņojums?
Gadījumā, ja uzņēmums zaudē personas datus, tas varbūt saistīts ar kiberuzbrukumu vai citādu neatļautu “ielaušanos”. Uzņēmumam ir pienākums ziņot par pārkāpumu.
Tam jāietver aptuvenā informācija par pārkāpumu, ieskaitot šis informācijas kategoriju, kā arī norādot iespējamo iesaistīto cilvēku skaitu. Jāņem vērā, ka var būt arī vairāki personas datu veidi, kas attiecas tikai uz vienu konkrētu personu.
Tāpat uzņēmumam ir iespējami jāapzina sekas, kādas var radīt šis pārkāpums, piemēram, naudas zādzību vai identitātes iegūšanu, tādējādi pēc iespējas novēršot šo negatīvo ietekmi, kas varētu rasties tieši pašai personai.
Tāpat jānorāda kontatktinformācija un tā persona, kas uzņēmumā nodarbojas ar šādiem pārkāpumiem.
Kad uzņēmumā ir nepieciešams iecelt datu aizsardzības speciālistu?
Saskaņā ar VDAR, uzņēmumam ir nepieciešams datu aizsardzības speciālists, ja uzņēmuma rīcībā ir liels dažādu datu apstrādes apjoms par personām, piemēram, kas ļauj paredzēt personas uzvedībau vai arī tā ir publiska persona (valsts sektorā).
Valsts sektorā tā var būt arī viena persona, kas ir atbildīga par vairākām iestādēm. Vienlaikus kaut arī ne visiem uzņēmumiem ir nepieciešams iecelt datu aizsardzības speciālistu, tiem tāpat ir jānodrošina, ka tiek ievērota VDAR.
Nav noteiktu kritēriju un prasības šim datu aizsardzības speciālistam, tomēr viņam vajadzētu būt pieredzei, strādājot ar personas datu aizsardzības tiesībām, samērojot to ar konkrētā uzņēmuma specifiku un darbības jomu.
Ja VDAR noteic datu aizsardzības speciālistu, tad šādas personas neesamība uzņēmumā vai kādā iestādē, var būt pamats konstatēt VDAR pārkāpumu un piemērot naudas sodu.
Kā pārliecināties par atbilstību VDAR?
VDAR var likties sarežģīta, tomēr pamatprincipi joprojām ir tie paši, kas jau pazīstami personas datu aizsardzības jomā.
Vienlaikus, neapšaubāmi, ir nianses, kā, piemēram, pārkāpuma paziņošana un tas, ka ir konkrēta persona, kas atbild par personas datu drošību, kuru pārkāpšana var radīt VDAR pārkāpumu.
Tomēr jāatzīst, ka nav vienotas visiem derīgas formulas, kā sagatavoties VDAR, tā vietā katram uzņēmumam ir jānodefinē nepieciešamie personas dati, kā arī jāmonitorē to pareiza izmantošana, saglabāšana un dzēšana.
Lielbritānijas ICO ir norādījis, ka ar samērīgiem personas datu pārvaldības pasākumiem, vajadzētu samazināt iespējamu pārkāpumu risku, kā arī uzturēt personas datu aizsardzību. Vienlaikus, atzinīgi novērtējot, ka jau tagad daudziem uzņēmumiem ir atbilstošs personas datu aizsardzības mehānisms.
Tā var būt viena persona, tāpat kā arī mazs uzņēmums vai viena starptautiska uzņēmuma departaments, jebkurā gadījumā tie ir papildu budžeta līdzekļi, atbilstoša sistēma, personāls, kam ir jāpanāk, lai viss atbilst VDAR.
Saskaņā ar VDAR, uzņēmumiem var būt jāveic papildu pasākumi, piemēram, personāla apmācība, datu apstrādes politikas pārskatīšana, iekšējo normatīvo aktu grozījumu veikšana, lai panāktu atbilstību VDAR prasībām. Vēl uzņēmumi var pārskatīt izmantojamo datu apjomu, anonimizēt tos, tāpat ļaut personām gūt priekšstatu par to apstrādi.
Uzņēmumiem sagatavošanās darbi bija jāveic līdz 2018. gada 25. maijam.
Kas mainās ar VDAR spēkā stāšanos?
Līdz ar VDAR spēkā stāšanos, jau kādu laiku pirms tam uzņēmumi izsūtīja e-pasta ziņojumus ar jauno privātuma un personas datu aizsardzības politiku.
Tāpat gadījumā, ja uzņēmums nav nodrošinājis VDAR ieviešanu, tostarp arī ārvalstu uzņēmumi, kas darbojas ar Eiropas Savienībā, var kādu laiku nenodrošināt savus pakalpojumus. Tādējādi atsevišķi pakalpojumi jau šobrīd var nebūt pieejami, kamēr šī atbilstība tiek nodrošināta. Šādā veidā uzņēmumi izvairās no iespējamiem naudas sodiem.
Raksta Autors: Elīna Kursisa speciāli priekš Yoursite Latvia