Par Eiropas institūciju rosību personu datu apstrādes un aizsardzības jomā bija zināms jau pirms laba laika – taču joma piņķerīga, un valsts pārvaldes institūcijas tāpat kā komersanti labprātāk par to nelikās zinis. Jau tagad skaidrs, ka uz jaunās datu aizsardzības regulas spēkā stāšanās brīdi – 25. maiju – nacionālie normatīvi nebūs atbilstoši sakārtoti. Toties sodanaudas par personu datu neatbilstošu apstrādi jau ieplānotas budžetā.
Jaunās regulas pilns nosaukums ir šāds: EIROPAS PARLAMENTA UN PADOMES REGULA (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula). Garš dokuments ar 99 pantiem. Pat bez speciālām juridiskām priekšzināšanām, izlasot to pa diagonāli, kļūst skaidrs, ka pienākumu datu aizsardzības jomā kļūs nesalīdzināmi vairāk jebkurai institūcijai, uzņēmumam vai organizācijai, kas uzkrāj datus par saviem klientiem, biedriem vai darbiniekiem. Īpaša uzglabāšana, ierobežotas tiesības tos apstrādāt, datu īpašnieka tiesības uzzināt, kas par viņu ir citiem zināms, tiesības tikt aizmirstam un daudz kas cits.
Dati ir viss zināmais
Brīdī, kad jau trešo reizi zvana telefonmārketinga cilvēks, lai pavaicātu, kādai zivju eļļai tu dod priekšroku, patiešām gribas, lai tavs numurs un personas dati tiktu izdzēsti no visām pasaules datu bāzēm. Tomēr šīs vēlmes īstenošana galu galā var visiem izrādīties daudz dārgāka nekā iegūtais labums. Tostarp finansiālā ziņā.
Arī līdz šim normatīvie akti aizliedza pavirši strādāt ar cilvēku datiem, un par to personīgi bija atbildīgs iestādes vai uzņēmuma vadītājs. Savukārt turpmāk ar personu datiem būs jāstrādā speciāli apmācītiem un sertificētiem cilvēkiem - datu drošības speciālistiem.
Jāpaskaidro, ka personas dati ir faktiski jebkura informācija, pēc kuras personu iespējams identificēt - vārds, adrese, personas kods, mašīnas numurs, ārsta recepte, seksuālā orientācija, informācija par ienākumiem un pat bilde sociālajā tīklā.
Kas ir datu drošības speciālisti, priekšstats ir daudz miglaināks, jo tādus algot līdz šim nebija obligāti. Tikpat labi biroja sistēmadministratoru varēja pilnvarot darbu savienošanas kārtībā. Bet tagad šim speciālistam jābūt sertificētam un neatkarīgam. Tāpat kā neatkarīgai jākļūst datu aizsardzību uzraugošajai iestādei. Latvijas gadījumā tā būs Datu valsts inspekcija. Tātad valsts pārvaldē plānotā mazo iestāžu likvidācija šim kantorim nedraud, gluži otrādi - tikai funkciju un budžeta pieaugums. Speciālisti jāražo lielākā skaitā. Inspekcija vēsta, ka līdz 2017. gada 12. decembrim 220 personām piešķīrusi personas datu aizsardzības speciālista kvalifikāciju un izsniegusi personas datu aizsardzības speciālista apliecību. Speciālistu reģistrā vakar gan bija atrodami tikai 164 ieraksti.
Būs kosmiski sodi
Latvijas Pašvaldību savienības padomnieks informācijas tehnoloģiju jautājumos Guntars Krasovskis atzīst, jau tagad skaidrs, ka datu aizsardzības speciālisti būs uz izķeršanu. Elitāri darbinieki ar elitāru algu, vienalga - štatā ņemot vai pērkot kā ārpakalpojumu. Tas tāpēc, ka iestāžu un personu loks, uz ko attiecas regula, ir ļoti plašs, un visiem viņus vajadzēs. 37. pantā ir paredzēts obligāts pienākums iecelt personas datu aizsardzības speciālistu šādos gadījumos: ja apstrādi veic publiska iestāde vai struktūra; ja datu pārziņa vai apstrādātāja pamatdarbība sastāv no apstrādes darbībām, kurām to būtības, apmēra un/vai nolūku dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana plašā mērogā; ja apstrādāti tiek sensitīvi dati un ziņas par personu noziegumiem.
Tātad speciālista pakalpojumi nepieciešami teju visiem - sākot no veikalniekiem, kuri īsteno lojalitātes programmas, un beidzot ar pedofilu reģistra uzturētājiem. Sods, kas paredzēts par regulas pārkāpšanu, ir astronomisks - līdz 4% no uzņēmuma gada apgrozījuma vai īpaši turīgiem datu apstrādātājiem līdz pat 20 miljoniem eiro!
Un nesamērīgs slogs
Valsts un pašvaldību institūciju gadījumā tās sodīt gan nebūtu loģiski - sanāktu, ka valsts uzliek pati sev naudassodu un ieskaita atpakaļ budžetā. Tāpēc sodu 1000 eiro apmērā saņems atbildīgā amatpersona. To paredz topošais Personas datu apstrādes likums, ar ko Latvijā tiks iedarbināta regula. Anotācijā jau prognozēts, ka 2019. gadā naudas sodi par nepareizi apstrādātiem datiem tiks iekasēti 491 292 eiro apmērā.
Likumprojekts uzsaukts valsts sekretāru sanāksmē, taču tā pieņemšana Saeimā jau līdz maija beigām būtu neredzēts likumdošanas sprints. Un vēl jau arī jāsacer pakārtotie Ministru kabineta noteikumi. Ierēdņiem un politiķiem vēl jāapstrādā daudz datu.
Kāds no tā ieguvums? IT jomas speciālists Guntars Krasovskis spriež - cilvēkiem, kuru dati tiek apstrādāti, būs vairāk iespēju aizsargāt ziņas par sevi, iespējas sūdzēties, iespējas liegt izmantot datus, pieprasīt atskaites par datu izmantošanu.
Savukārt tiem, kam regula jāpilda, jaunās prasības uzliks nopietnu finansiālu un administratīvu slogu, par ko galu galā maksās visi: «Tas slogs būs nesamērīgs. Mēs pārvērtējam šo datu nozīmīgumu. Tās naudas summas nav tā vērtas, lai tikai varētu pateikt, ka datus apstrādājam likumīgi.