Vairāk nekā 60% Latvijas uzņēmumu riskē saņemt sodu par datu aizsardzības regulas neievērošanu

GDPR ir visā Eiropas Savienībā saistoša regula, kas nosaka juridiskos principus, kā uzglabāt, nodot, izmantot un iznīcināt jebkurus personu identificējošus datus, kas ir vai var atrasties uzņēmuma īpašumā. GDPR regulai ir pakļauti tādi dati, ar kuru palīdzību ir iespējams precīzi identificēt konkrētu personu, piemēram, vārds, uzvārds, adrese, kontaktinformācija.

“Uzņēmēju vidū joprojām valda maldīgs priekšstats, ka GDPR attiecas vien uz lieliem uzņēmumiem, kas nodarbina lielu skaitu darbinieku vai uzglabā lielas klientu datubāzes. Tomēr šī regula patiesībā attiecas uz jebkura izmēra uzņēmumiem, pat tādiem, kuros strādā vien daži cilvēki, kuru darbība nav saistīta ar lielu informācijas apjomu uzglabāšanu un kuru klienti ir juridiskās personas. Šie uzņēmumi automātiski kļūst par GDPR subjektu,” pauž datu aizsardzības biroja “Protectum” valdes priekšsēdētājs Zigmunds Vīķis.

Pēc SKDS decembrī veiktā pētījuma datiem, kurā tika aptaujāti Latvijas uzņēmēji un uzņēmumu vadītāji, ir atklājies, ka 34,4% uzņēmēju nav izpratnes par GDPR ieviešanu un tās juridiskajām saistībām. No aptaujātajiem respondentiem 25,6% uzskata, ka šī regula uz viņiem neattiecas, savukārt vien 39,3% uzskata, ka tās ieviešanā ir izdarīts viss nepieciešamais. Tas nozīmē, ka 60,7% uzņēmumu potenciāli ir pakļauti riskam saņemt sodu, kas var sasniegt 4% apmēru no apgrozījuma, ja tiks identificētas kādas juridiskās nepilnības vai pārkāpumi.

“Situācija Latvijā ir kritiska. Joprojām lielākā daļa uzņēmumu neapzinās, ko drīkst un ko nedrīkst darīt ar datiem, un bieži vien uzņēmumi pat neapzinās, kādi dati ir to rīcībā. Šodienas biznesa vide ir cieši sasaistīta ar mūsu rīcībā esošo informāciju, un tā būtībā ir tikpat vērtīga kā nauda. Tā arī atbilstoši ir jāuzglabā,” norāda Vīķis.

Datu valsts inspekcijas (DVI) pārstāvji kopš pagājušā gada 25. maija ir saņēmuši lielu skaitu sūdzību par uzņēmumiem, kuru darbība neatbilst regulas principiem, un proporcionāli liela daļa no saņemtajām sūdzībām esot pamatota.

“Šogad beidzas pārejas posms, kurā DVI bija ieņēmusi galvenokārt konsultanta lomu, un uzņēmumiem patiešām ir nopietni jāizvērtē vai ir izdarīts viss nepieciešamais, lai panāktu regulas ieviešanu dzīvē. Izvērtējot uzņēmumu gatavību regulas ieviešanā, var paredzēt, ka administratīvo pārkāpumu un noteikto sodu skaits praksē pieaugs. Arī pārejas posmā mēs veicām rūpīgu uzņēmumu uzraudzību, skaidrojot regulas principus un saistītās procedūras, tomēr ir uzņēmēji, kas par rupjiem pārkāpumiem jau ir sodīti,” komentē DVI direktore Daiga Avdejanova.

Arī Avdejanova norāda, ka lielākais risks saņemt sodus ir tiem uzņēmumiem, kuru vadītāji uzskata, ka GDPR neattiecas uz viņiem. Tāpat arī vidēji lielos un mazos uzņēmumos, kuros juridiskās lietas, kas saistītas ar datu apstrādi, nereti veic nekvalificēti darbinieki, piemēram, biroja vadītājs vai administrators, kurš nav izgājis piemērotas apmācības.

“GDPR ir pietiekami sarežģīts process, kura ieviešanai ir vajadzīgas specifiskas zināšanas un visbiežāk šādu procesu nodrošināšanā ir jāpiesaista sertificēts datu aizsardzības speciālists. Šī regula nebeidzas vien ar ieviestām jaunām procedūrām, atjaunotiem mājaslapas lietošanas noteikumiem vai sakārtotiem dokumentu arhīviem. Tā ir kompleksa procedūra, kuras rezultātā uzņēmumiem ir ieviesti ne vien praktiski principi, bet arī juridiskā dokumentācija,” uzsver Vīķis.

Jebkurai personas datu apstrādei ir jābūt atbilstošai, godprātīgai un pārredzamai. Tieši pārredzamības un kontroles mehānismu neesamība ir galvenie aspekti, kuros Latvijas uzņēmumu procedūras ir klasificējamas kā neatbilstošas.

“Balstoties uz regulas tiesiskajām prasībām, tie uzņēmumi, kuros tiks atklāti pārkāpumi, var saņemt pietiekami bargus sodus, un Latvijā šobrīd jau ir sāktas vairāk nekā trīsdesmit administratīvo pārkāpumu lietas,” norāda Avdejanova.