Aldis Maldups, zvērināts advokāts un datu aizsardzības speciālists
Foto: Aivars Siliņš
Žurnāla “Bilance” konferencē “Kam gatavoties grāmatvedim 2026. gadā?” zvērināts advokāts un datu aizsardzības speciālists Aldis Maldups pievērsās MI, tā rīku izmantošanai un to radītajiem juridiskajiem un tehnoloģiskajiem izaicinājumiem attiecībā uz personas datiem un drošu rīcību ar tiem.
Jāņem vērā, ka spēkā ir stājies Mākslīgā intelekta akts — tieši piemērojama regula ES, kas nav jātransponē nacionālajā likumdošanā. MI akts neaizstāj citus esošos normatīvos aktus. Joprojām ir spēkā viss, kas attiecas uz personas datiem, pirmkārt, Vispārīgā datu aizsardzības regula (VDAR) un Fizisko personu datu apstrādes likums.
VDAR definē personas datus ļoti plaši — tā ir faktiski jebkura informācija, kas ļauj identificēt kādu fizisko personu. Turklāt VDAR attieksies arī tad, ja datu apstrāde notiek fonā pilnīgi automatizēti. «Arī grāmatvedim var būt klientu darbinieku dati, sadarbības partneru dati — pietiekami daudz informācijas, kuru var kvalificēt kā personas datus, un tas jāņem vērā, arī izmantojot dažādus MI rīkus,» brīdināja A. Maldups.
MI rīku izmantošanā bieži vien nevar pilnvērtīgi kontrolēt un nodrošināt, kā tālāk tiks ievērota konfidencialitāte. Nevar skaidri pateikt, kur tieši dati nonāk un vai tie joprojām atrodas EEZ drošajā telpā, vai arī nokļūst trešajās valstīs, kur dati vairs netiks droši aizsargāti.
Īpaša uzmanība jāpievērš pilnībā automatizētiem lēmumiem — tiem, kuru pieņemšanā cilvēks nepiedalās un kuriem ir pietiekami būtiskas sekas pašam indivīdam, piemēram, naudas maksājumu vai bonusu aprēķināšana. Datu subjektam (darbiniekam) ir tiesības netikt pakļautam šādam lēmumam vai iebilst pret to. Viņam ir tiesības saņemt informāciju par to, kādi automatizēti lēmumi par viņu tiek pieņemti. Ja cilvēks prasa kontroli, tā ir jāizpilda. Procesā jābūt integrētam cilvēkam, kurš skatās un pārbauda MI rīka rezultāta pareizību. Ja šāda informēšana netiek izpildīta, nevar uzskatīt, ka rīkojamies tiesiski un pareizi, uzsvēra A. Maldups.
Lai samazinātu riskus, kas saistīti ar MI rīku izmantošanu, jāievēro vairāki pamatprincipi:
Iekšējā dokumentācija. Jāsakārto iekšējo dokumentāciju, ievērojot pārskatatbildības principu. Dokumentācijā jāidentificē, kādi MI rīki un kādiem mērķiem tiek izmantoti, vai tajos tiek ievadīti personas dati vai klientu konfidenciāla informācija. Ir skaidri jādefinē, ko nedrīkst darīt ar šiem rīkiem, it sevišķi, ja tie ir publiski rīki, kā arī paredzēt rīcību incidentu gadījumos, ja kaut kas nogājis greizi.
Datu neievadīšana. Nekādā gadījumā publiskajos rīkos nedrīkst ievadīt pilnus dokumentus ar darbinieku sarakstiem, algu sarakstiem, līgumiem vai komercnoslēpumiem.
Pseidonimizācija. Šis atslēgas vārds dažreiz var glābt situāciju. Ja var aizklāt identifikatorus ar kodiem vai numuriem, ko vēlāk var atšifrēt, MI rīks apstrādes brīdī nezinās, ka tie ir, piemēram, Jāņa vai Annas dati. Tas ļauj efektīvi izmantot rīkus, neapdraudot datu drošību.
Klientu informēšana. Ja grāmatvedības uzņēmums darbojas kā apstrādātājs attiecībā pret klienta datiem, tam var būt pienākums vērtēt, vai klients ir informēts par to, kādus MI rīkus izmanto datu apstrādes darbībām.
Rīka izvēle un kontrole. Pārbaudiet, vai MI rīks tālāk izmanto jūsu datus treniņiem. Labākais risinājums bieži vien ir sistēmas, kas uzstādītas uz uz paša uzņēmuma resursiem, jo tas dod lielāku kontroli. Vēlams izmantot rīkus, kas nesaglabā pieprasījumus un neveido vēsturi.
MI var būt lielisks rīks efektivitātes celšanai, bet tas noteikti jāizmanto piesardzīgi, pārbaudot rezultātus un sagatavojot iekšējo dokumentāciju. Darbinieku apmācība, lai viņi spētu identificēt personas datus un pareizi formulēt pieprasījumus, ir vitāli svarīga risku mazināšanai un atbilstības nodrošināšanai.
Publicēts žurnāla “Bilance” 2026. gada janvāra (529.) numurā.
Ievadiet savu e-pasta adresi, lai mēs Jūs varam informēt par aktuālo biznesā, nodokļu jautājumos un citās nozarēs.
