2018. gada sākumā aptuveni 50-60% uzņēmumu Eiropā neatbilda Vispārīgajai datu aizsardzības regulai (GDPR). Savukārt, kopš regulas piemērošanas šī gada 25. maijā Latvijas Datu valsts inspekcija (DVI) trīs mēnešu laikā saņēmusi 880 sūdzības par pretlikumīgām darbībām ar fizisko personu datiem.
Saskaņā ar DVI statistiku, vidēji mēnesī tā saņem 787 dažādus pieprasījumus ieskaitot sūdzības, iesniegumus, precizējumus un paziņojumus par pārkāpumiem. Lattelecom GDPR eksperti apkopojuši biežāk sastopamos uzņēmumu pārkāpumus, kas novēroti, strādājot ar klientiem un partneriem.
Viena no acīmredzamākajām lietām, ko var pamanīt jebkurš interneta lietotājs, ir datu subjekta neinformēšana par datu apstrādes nolūku mājaslapās – trūkst apstrādes juridiskais pamats un bieži vien netiek norādīts, kurš par to ir atbildīgs. Piemēram, ja mājaslapā nav pieejama sīkdatņu politika, tad tas jau ir pārkāpums.
“Šobrīd biežāk sastopamos pārkāpumus var iedalīt četrās grupās: uzņēmumā nav atbildīgās personas par datu apstrādes kontroli; nav izstrādāti datu aizsardzības noteikumi un procedūras darbiniekiem; personas dati tiek apstrādāti ilgāk un lielākā apjomā nekā nepieciešams; līgumos nav iekļautas personas datu aizsardzības prasības,” stāsta Lattelecom datu aizsardzības projektu vadītājs, sertificēts fizisko personu datu aizsardzības speciālists Dainis Lukaševičs.
“Starp citiem biežāk izplatītajiem grēkiem var minēt to, ka netiek nodrošināta datu apstrādes infrastruktūras atbilstība minimālajām drošības prasībām, darbinieku personu apliecinošu dokumentu kopiju glabāšana, konfidenciālo izdruku brīva pieejamība darba galdos, brīdinājumu neesamība par foto un video filmēšanu vai novērošanu, žurnālfailu neesamība vai to nedroša glabāšana, personas datu glabāšana bez mērķa un termiņa,” – skaidro D.Lukaševičs. Piemēram, maldīgs ir uzskats, ka datu glabāšana nav apstrāde.
Pēc Lattelecom speciālistu novērojumiem, galvenais izaicinājums uzņēmējiem joprojām ir esošās situācijas apzināšana, kam seko datu apjoma samazinājums, datu aizsardzības dokumentu sinhronizācija ar citiem dokumentiem un līgumu papildināšana ar datu aizsardzības noteikumiem. “Viena no atziņām par GDPR, ko uzsver paši uzņēmēji – trūkst vienotas izpratnes par regulu, kas izpaužas pārspīlējumos vai pārliekā labticībā, apstrādājot un izpaužot personu datus. Vienlaikus uzņēmēji saprot – droša datu apstrāde, tas nav tikai mērķis, bet gan nepārtraukts process. To mēs redzam, ne tikai komunicējot ar klientiem, bet arī rīkojot GDPR seminārus sadarbībā ar Latvijas tirdzniecības un rūpniecības kameru (LTRK). Nesenāko semināru, ko organizējām kopā ar LTRK, apmeklēja vairāk nekā 100 uzņēmumu pārstāvji – šī tēma joprojām ir aktuāla un savu aktualitāti nezaudēs tik drīz,” norāda D. Lukaševics.
Lattelecom arī turpmāk rīkos informatīvus pasākumus uzņēmējiem, par ko ziņos atsevišķi. Savukārt, klientiem uzņēmums piedāvā GDPR atbilstības novērtējumu, tostarp juridisko dokumentu, iekšējo procesu un IT infrastruktūras novērtējumu un sakārtošanu atbilstoši regulas prasībām.