Viens no haosa teorijas pionieriem Edvards Nortons Lorencs (Edward Norton Lorenz) savulaik ieviesa terminu „tauriņa efekts” (Butterfly effect), kas nosaka savstarpējo atkarību starp sākotnējiem apstākļiem un maza starpnotikuma rezultātā radītajām izmaiņām situācijas gala rezultātā. Prozaiski jautājot, vai tauriņu spārnu vēzieni Meksikā var radīt orkānu Ķīnā? Haoss kā pārsteigumu un neparedzamā zinātne pierāda, ka var.

Caur haosa teoriju paskatoties uz Vispārīgās datu aizsardzības regulas¹ (turpmāk – regula) prasībām, ir skaidrs, ka:

• katrai darbībai un bezdarbībai var iestāties konkrētas sekas, tātad arī regulas noteiktās soda sankcijas;
• atsaukties uz haosu kā māksliniecisko kreativitāti datu apstrādes gadījumā nedrīkst, jo kārtība ir instruments, ar kuru sevi pasargāt no “orkāna”.

Daudzi uzņēmēji jautā – vai tiešām arī man būs jāievēro regulas prasības? Man ir mazs uzņēmums, rīkoju tikai dažus publiskus pasākumus gadā, dažreiz publicēju bildes no saviem pasākumiem Facebook. Neiešu taču vākt speciāli tagad visādus papīrus, vadīt reģistrus. Piemēram, regula paredz, ka prasību pēc datu reģistra piemēro uzņēmumam, kas nodarbina vairāk nekā 250 personas², tātad tas neattiecas uz mani.

Šajā publikācijā apskatīsim datu apstrādes darbību reģistram (turpmāk – datu reģistrs) izvirzītās regulas prasības un to, kāpēc šāds reģistrs būs noderīgs jebkuram uzņēmumam.

Datu apstrādes pamatprincipi

Lai vieglāk saprastu, kāpēc datu apstrādes procesu sakārtošana ir svarīga ikvienam uzņēmumam neatkarīgi no tā izmēra, ir nepieciešams zināt, uz kādiem principiem ir būvēta datu aizsardzības ideja Eiropas Savienībā.

Regula nosaka, ka personas datu apstrādē ir jāievēro šādi principi:

• dati tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā (likumīgums, godprātība un pārredzamība);

• dati tiek vākti konkrētos, skaidros un likumīgos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā (nolūka ierobežojumi);

• dati ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos (datu minimizēšana);

• dati ir precīzi un, ja vajadzīgs, atjaunināti; ir jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti (precizitāte);

• dati tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā (glabāšanas ierobežojums);

• dati tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus (integritāte un konfidencialitāte).

Datu apstrādes pārzinis ir atbildīgs par datu apstrādes atbilstību šiem principiem un datu pārzinim ir regulā noteikts pienākums spēt to uzskatāmi parādīt (pierādīt, ka ir ievērota tā sauktā pārskatatbildība)³. Attiecīgi secināms, ka pārskatatbildība ir ikvienam, kas rīkojas ar fizisko personu datiem, un fizisko personu dati ir lielākā vai mazākā mērā ikviena uzņēmuma rīcībā.

Kopumā pārskatatbildība nav nekas jauns uzņēmumu dzīvē, taču troksnis, kas sacelts ap regulas noteikumu ienākšanu ikdienā, ir tik liels, ka, šķiet, uzņēmumi zaudē dažkārt spēju skaidru galvu paskatīties uz savu saimniecību un novērtēt sevi regulas prasību griezumā. Pēkšņi šķiet, ka visa uzņēmuma saimniecība būs jāpārkārto, jāraksta no jauna kaudze dokumentu un jāpieņem darbinieks, kas noteikti ir sertificēts datu aizsardzības speciālists, jo cits neviens uzņēmumam nevarēs palīdzēt. Taču, ja apstāsimies uz mirkli un paskatīsimies sev apkārt, izrādīsies, ka informācijas aprites/ drošuma politika jau uzņēmumā ir ieviesta pirms vairākiem gadiem; uzņēmumā ir IT sistēmas, kas pēc noklusējuma pasaka priekšā, kādus datus tajās jāievada un kādam nolūkam. Ir sadalīti pilnvarojumi darbiniekiem - kurš, par kādām sistēmām un dokumentiem atbild. Un, galu galā, atbildīgās personas uzņēmumā seko tam, lai dokumenti, kuriem normatīvajos aktos noteiktais glabāšanas termiņš ir 15 gadi, nepazustu un tiktu pienācīgi glabāti.

Tāpēc katram uzņēmumam:

• jāsakārto sava saimniecība, jāizskata, kādus datus uzņēmums ievāc, kādam nolūkam, kur tos glabā, vai nav savāktas pilnīgi nevajadzīgas dokumentu kopijas u.tml. Vienā vārdā sakot, jāveic iekšējais audits. Vislabāk šo auditu veikt pašiem, jo tieši uzņēmuma darbinieki/vadība spēs visprecīzāk novērtēt, cik pamatotas, samērīgas un biznesa vajadzībām atbilstošas ir darbības ar dokumentiem un datiem, ko uzņēmums veic;

• vajadzīgs kāds cilvēks, kas saprot ar datu aizsardzību saistīto tematiku un spēs atbildēt uz uzņēmuma vadības jautājumiem. Sertificētam datu aizsardzības speciālistam uzņēmumā jābūt tikai tad, ja tāda prasība izriet no regulas;

• iekšējā audita rezultātus ir nepieciešams fiksēt dokumentos un pārskatāmību nodrošinošos reģistros. Šādi pieraksti palīdzēs uzņēmumam sekot, kad un kādu iemeslu dēļ kādi biznesa procesi un kādas datu apstrādes sistēmas un iekšējie noteikumi ir mainīti;

• datu apstrādes un aizsardzības procesu sakārtošana nav vienreizējs pasākums, tas būs process, kas uzņēmumam būs jāuztur un jāpārrauga neierobežotu laiku nākotnē. Tāpēc tad, kad iekšējais audits ir paveikts, trūkstošie procesi un dokumenti sakārtoti, uzņēmums var iecelt vienu darbinieku kā atbildīgo personu par šīs saimniecības uzturēšanu.

Kas ir datu reģistrs

Regula nosaka, ka katram pārzinim⁴ un pārziņa pārstāvim ir pienākums reģistrēt tā pakļautībā veiktās datu apstrādes darbības.

Pēc būtības datu reģistrs ir uzskaites grāmata. Tas var būt Excel tabula vai kāds no šobrīd Eiropas tirgū pieejamiem datu reģistru portāliem. Galvenais, lai instruments, ko uzņēmums izvēlas izmantot kā datu reģistru, ir ērts un par datu apstrādi uzņēmumā ieceltajai personai saprotams. Jo, būsim godīgi, lielā skaitā Latvijas uzņēmumu datu apstrādes uzraudzības funkciju uzticēs grāmatvedim vai sekretārei.

Regula prasa, lai datu reģistrā būtu ietverta visa šeit uzskaitītā informācija:

• pārziņa (ja piemērojams, visu kopīgo pārziņu), pārziņa pārstāvja un datu aizsardzības speciālista, vārds un uzvārds vai nosaukums un kontaktinformācija;

• datu apstrādes nolūki;

• datu subjektu kategoriju un personas datu kategoriju apraksti;

• to datu saņēmēju kategorijas, kuriem personas dati ir izpausti vai kuriem tos izpaudīs, tostarp saņēmēji trešās valstīs;

• attiecīgā gadījumā informācija par personas datu nosūtīšanu uz trešo valsti, tostarp šīs trešās valsts personas identifikācija;

• ja iespējams, paredzētie termiņi dažādu kategoriju datu dzēšanai;

• ja iespējams, regulā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts⁵.

Tāpat katram datu apstrādātājam (ja piemērojams, apstrādātāja pārstāvim) ir pienākums uzturēt visu pārziņa vārdā veikto apstrādes darbību kategoriju reģistru, ietverot šādu informāciju:

• apstrādātāja/ apstrādātāju vārdi un uzvārdi vai nosaukumi un kontaktinformācija;

• katra tā pārziņa vārds un uzvārds vai nosaukums un kontaktinformācija, kura vārdā apstrādātājs darbojas;

• ja piemērojams, pārziņa vai apstrādātāja pārstāvja un datu aizsardzības speciālista vārds un uzvārds un kontaktinformācija;

• katra pārziņa vārdā veiktās datu apstrādes kategorijas;

• attiecīgā gadījumā informācija par personas datu nosūtīšanu uz trešo valsti, tostarp šīs trešās valsts personas identifikācija;

• ja iespējams, regulā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.⁶

Reģistrs ar šeit minēto saturu ir vedams rakstiski, tajā skaitā elektroniski⁷.

Apkopojot datu reģistram izvirzītās satura prasības, ir skaidrs, ka tā ir informācija, ko uzņēmums iegūs iekšēji veiktā audita rezultātā, papildinot to ar jauno, papildus procesu aprakstu.

Kā datu reģistrs var palīdzēt uzņēmumam

Datu reģistra vešanai ir vairākas praktiskas pievienotās vērtības.

Pirmkārt, datu apstrādes uzraudzība ir viens no uzņēmuma efektīvas komercdarbības pārvaldības elementiem. Datu apstrāde ir tieši vai netieši saistīta ar visiem uzņēmuma procesiem, un, sākot ar šā gada 25. maiju, pilna sapratne uzņēmumā par to, kādus datus uzņēmums ievāc, kādam mērķim, kā tos klasificē, kur šie dati atrodas un kāds ir datu dzīves cikls, kļūst par būtisku risku vadības elementu.

Otrkārt, kā jau minēts iepriekš, reģistrā uzņēmums var fiksēt datu apstrādes procesu saturu un to izmaiņas. Vēsturisku datu saglabāšana šādā reģistrā jo īpaši palīdzēs kādā trauksmainā brīdī, kad uzņēmumam jāspēj saprast notikumu secība un atbildīgās personas. Tāpat tas būs noderīgs, lai saprastu, kurās uzņēmuma struktūrvienībās datus meklēt.

Treškārt, tā kā regula paredz, ka pārzinim vai apstrādātājam pēc pieprasījuma jānodrošina reģistra pieejamība uzraudzības iestādei⁸ – Datu valsts inspekcijai, tad jau patlaban, izveidojot un turpmāk uzturot šādu reģistru, uzņēmums jau ir daļēji gatavs reaģēt uz uzraudzības iestādes pieprasījumiem.

Ja gadījumā datu apstrādes ķēdē piedalās vairāki uzņēmumi un viens nav rīkojies godprātīgi, tad jebkurš uzņēmums, kurš šādā situācijā var tikt uzskatīts par likumpārkāpuma līdzdalībnieku, varēs daudz vieglāk un konstruktīvi risināt dialogu ar Datu valsts inspekciju un aizstāvēt savu pozīciju. Datu apstrādes kārtības kvalitatīva uzraudzība uzņēmumā noteikti palīdzēs samazināt saskaņā ar normatīvajiem aktiem piemērojamo atbildības/sodu apmēru.

Ceturtkārt, datu reģistra esamība un sakāroti procesi palīdzēs arī uzņēmumā par datu aizsardzību ieceltajam atbildīgajam darbiniekam vadīt datu apstrādes procesus, veikt starpniecības funkciju uzņēmuma saziņā ar valsts un pašvaldību iestādēm (tajā skaitā Datu valsts inspekciju), kā arī jebkurām fiziskām un juridiskām personām jautājumos, kas skar datu apstrādi uzņēmumā. Šis cilvēks savu darba pienākumu ietvaros arī varētu veikt personas datu apstrādes atbilstības novērtēšanu un risku vadību.

Piektkārt, regula nosaka, ka pārzinim bez nepamatotas kavēšanās un jebkurā gadījumā mēneša laikā pēc pieprasījuma saņemšanas ir pienākums datu subjektu informēt par darbībām, kas uzņēmumā veiktas ar attiecīgā datu subjekta datiem⁹. Lai arī regula paredz, ka vajadzības gadījumā minēto laikposmu var pagarināt vēl uz diviem mēnešiem, ņemot vērā pieprasījumu sarežģītību un skaitu, vismaz pirmā, starpatbilde uz datu subjekta pieprasījumu ir jāsniedz mēneša laikā, lai datu subjektam darītu zināmu, ka ar viņa pieprasījumu tiek strādāts. Datu reģistra vešana attiecīgi var palīdzēt uzņēmumam ātri noteikt, kur dati, par kuriem jāsniedz atbildi, ir meklējami un kas ar tiem tiek darīts. Ja datu reģistrā ir skaidri paredzēti un fiksēti datu dzēšanas procesi, arī tas atvieglos detalizētākas atbildes sniegšanu. Uzņēmumam ir jāapzinās, ka, ignorējot datu subjekta pieprasījumu, uzņēmums uzņemas risku, ka pārkāpj regulas prasības, kā arī ka neapmierinātais datu subjekts var vērsties Datu valsts inspekcijā.

Sestkārt, regula nosaka, ka, tiklīdz datu pārzinim ir kļuvis zināms, ka noticis personas datu aizsardzības pārkāpums, pārzinim ne vēlāk kā 72 stundu laikā būtu jāpaziņo par personas datu aizsardzības pārkāpumu Datu valsts inspekcijai. Ja šādu paziņojumu nevar paveikt 72 stundu laikā, paziņojumam būtu jāpievieno informācija par kavēšanās iemesliem, un informāciju var sniegt pa posmiem bez nepamatotas turpmākas kavēšanās¹⁰. Racionāli izvērtējot regulas prasību reaģēt, tas ir iespējams tikai tad, ja uzņēmumā ir pilna skaidrība par datu apstrādi, ko tas veic un kā. Tātad sākuma punkts uzņēmuma atbildības apstrīdēšanai būtu reģistrs un sakārtota datu aprites un apstrādes pārraudzība.

Un visbeidzot – centrālais jebkuras kļūdas elements ir cilvēks. Darbinieki, kam nav skaidri procesu vadības un norises noteikumi, ir viens no augsta riska rašanās iemesliem. Turklāt uzņēmumu kā darba devēju centrālā problēma ir, kā pierādīt, ka darbinieks ir pārkāpis noteikto darba kārtību un darba devējam ir pamats izbeigt darba tiesiskās attiecības. Datu reģistrs var palīdzēt arī šajā nolūkā, jo, ievadot un uzturot reģistrā informāciju par procesiem uzņēmumā, piekļuves tiesībām noteiktām datu kategorijām, nelikumīgu darbību (tajā skaitā datu noplūdes) gadījumā darba devējs var izsekot, kam bijusi pieeja datiem, kopā ar informāciju no citām sistēmām, ko uzņēmums lieto, noteikt, kādas darbības ar datiem/informāciju ir veiktas un kurš ir atbildīgs par uzņēmumam radītajām sekām.

Apkopojot iepriekš aprakstīto, katram uzņēmumam ir svarīgi spēt izsekot tā iekšējiem procesiem un uzņēmumā notiekošajam.