Pirms gada sociālajos tīklos ceļoja sekojošs redzējums par GDPR: "... in many cases, it's like the guy who jumped from the top of a skycraper and someone asks him at the 70th floor: " how are you?", and he answer: " so far so good...." Until some companies start getting fines everything is great... and GDPR seems not to be such thing after all
Tagad ir pagājis GDPR pirmais gads un tiešām ir jūtams atslābums. Varētu pat teikt, ka nekas nenotiek, vismaz Latvijā. Lai gan ikdienā strādājot ar Vispārīgās datu aizsardzības regulas piemērošanu un ieviešanu dzīvē, jāsecina, ka tas ir tāds mānīgs miers. Šāds viedoklis balstīts arī uz apstākli, ka datu subjekti tiešām izmanto savas tiesības uzzināt, kas ar viņu datiem notiek vienā vai otrā organizācijā. Pašreiz šķiet, ka ir izdevies korekti un pilnvērtīgi izskaidrot datu apstrādes etapus un pamatojumus un datu subjektam nevajadzētu iet uz Datu valsts inspekciju un sūdzēties, ka ir aizskartas tā tiesības, bet kā ir patiesībā, to tikai laiks rādīs. Jā, Latvijā tas ir lielākais risks, jo arī pati Datu valsts inspekcija ir norādījusi, ka viņi pamatā reaģē uz sūdzībām. Tātad tā laikam būtu vislielākā rekomendācija ko šodien varētu dot - dariet visu, lai datu subjektam nav vēlme vērsties pēc palīdzības Datu valsts inspekcijā vai tiesā. Jā, arī mūsu tiesa jau ir paspējusi tulkot regulas nosacījumus un skaidri norādījusi, ka datu subjektam nav pienākums vispirms rakstīt sūdzību Datu valsts inspekcijai un tikai pēc tam uz tiesu (protams, iespējams, vieglāk būs pierādīt kaitējumu, ja arī Datu valsts inspekcija būs atzinusi pārkāpuma esamību). 22.02.2019. Administratīvo lietu departaments lēmumā lietā Nr. SKA-921/2019 norāda, ka " [..] No Vispārīgās datu aizsardzības regulas (Regula Nr. 679/2019) 79.panta 1.punkta izriet, ka vēršanās tiesā un uzraudzības iestādē ir alternatīvi tiesību aizsardzības līdzekļi, un datu subjektam ir tiesības izmantot kā vienu, tā otru."
Pavērtējot GDPR notikumus Eiropā ir jāsecina, ka īstenība nav nemaz tik daudz jāuztraucās par administratīvajiem sodiem, bet gan par netiešajām izmaksām, kuras nevar prognozēt un, iespējams, ir pat daudz sāpīgākas kā vienkārši samaksāt sodu. Proti, arī mūsu Datu valsts inspekcija ir norādījusi - sods ir galējais līdzeklis, vispirms aicinam sadarboties. Un par šo "sadarbību" laikam ir jāuztraucas vairāk, proti, par izmaksām, kas veidojas, kad uzraudzības iestāde ir izrādījusi interesi un, iespējams, jau uzlikusi tiesisko pienākumu novērst pārkāpumu. Tādus secinājumus noteikti varam izdarīt raugoties kā darbojas citas Eiropas uzraudzības iestādes. Tā tas bija 2018.gadā Vācijas gadījumā, kur administratīvais sods bija "tikai" 20 000 EUR apmērā, kas ir salīdzinoši niecīgs, lai gan vairāk kā 300'000 platformas lietotāju personas dati bija brīvi pieejami dēļ nepietiekamiem tehnoloģiskajiem risinājumiem. Atslēgas apsvērums, saskaņā ar preses relīzē norādīto, bija apstāklis, ka uzņēmums veica operatīvus organizatoriskos un tehnoloģiskos pasākumus, lai novērstu pārkāpuma atkārtošanos, ieguldot šajā procesā sešciparu skaitli. Cik daudzām organizācijām ir "ārkārtas" budžets, lai veiktu operatīvos pasākumus?
Ok, iespējams, Vācijas pieminētais gadījums nav tik izteiksmīgs kā Polijas gadījums. Šajā gadījumā, saskaņā ar Polijas uzraudzības iestādes preses relīzē minēto, uzņēmums tika sodīts ( ar aptuveni 220'000 EUR sodu) par to, ka tas bija formāli izpildījis datu subjektu informēšanas pienākumu - proti, jā, bija ielicis savā mājas lapā privātuma paziņojumus, bet pēc lietas apstākļiem tika secināts, ka ievērojot attiecīgā uzņēmuma, kas darbojas digitālā mārketinga jomā, darbības specifiku (apkopo informāciju no publiski pieejamām datu bāzēm, tajā skaitā, valsts uzturētā datu bāzēm), veiktais pasākums bija parāk "pasīvs". Runājot par informēšanas pienākuma izpildi (Regulas 13./14.pants) Pārzinim ir jārīkojas proaktīvi un jāmeklē risinājumi, kas der konkrētai organizācijai, ievērojot datu subjekta kategorijas, veidus, kā pārzinis iegūst datus utt. Lai arī Polijas gadījumā stāsts vēl nav beidzies un uzņēmums ir paziņojis, ka pārsūdzēs uzraudzības iestādes lēmumu, skaidra ir ziņa no uzraudzības iestādes - dārgas izmaksas nav arguments, lai nepildītu Regulas prasības.
Attiecīgo Polijas gadījumu raksturo:
a) datu bāze, kur tika apstrādāti gandrīz seši milioni datu subjektu dati (tajā skaitā uzņēmumu vadītāju dati utml., kas it kā ir publiskāki, kā vienkāršas privātpersonas dati);
b) Uzņēmumam bija 679'000 datu subjektu e-pasta adreses, šiem arī uzņēmums bija nosūtījis informatīvos e-pastus (pēc uzņēmuma pārstāvja teiktā), citos avotos minēts, ka informatīvie e-pasti tika nosūtīti aptuveni 900'000 datu subjektiem;
c) 12 tūkstoši datu subjekti, kas saņēma informatīvos e-pasta sūtījumus iebilda pret datu apstrādi, kas, protams, uzraudzības iestādei radīja papildus bažas;
d) uzņēmums "atteicās" veikt papildus pasākumus, lai nodrošinātu informēšanas pienākumu,piemēram, ziņu nosūtīšana izmantojot SMS pakalpojumus vai pasta sūtījumus. Uzņēmums argumentēja, ka šo pasākumu veikšana tam izmaksās vairāk kā sešus milionus EUR un tas ir nesamērīgi dārgi. Uzraudzības iestāde nepiekrita un savā lēmumā noteica 3 mēnešu termiņu tiesiskā pienākuma izpildei.
Pavērtējot GDPR notikumus Eiropā ir jāsecina, ka īstenība nav nemaz tik daudz jāuztraucās par administratīvajiem sodiem, bet gan par netiešajām izmaksām, kuras nevar prognozēt un, iespējams, ir pat daudz sāpīgākas kā vienkārši samaksāt sodu. Proti, arī mūsu Datu valsts inspekcija ir norādījusi - sods ir galējais līdzeklis, vispirms aicinam sadarboties. Un par šo "sadarbību" laikam ir jāuztraucas vairāk, proti, par izmaksām, kas veidojas, kad uzraudzības iestāde ir izrādījusi interesi un, iespējams, jau uzlikusi tiesisko pienākumu novērst pārkāpumu. Tādus secinājumus noteikti varam izdarīt raugoties kā darbojas citas Eiropas uzraudzības iestādes. Tā tas bija 2018.gadā Vācijas gadījumā, kur administratīvais sods bija "tikai" 20 000 EUR apmērā, kas ir salīdzinoši niecīgs, lai gan vairāk kā 300'000 platformas lietotāju personas dati bija brīvi pieejami dēļ nepietiekamiem tehnoloģiskajiem risinājumiem. Atslēgas apsvērums, saskaņā ar preses relīzē norādīto, bija apstāklis, ka uzņēmums veica operatīvus organizatoriskos un tehnoloģiskos pasākumus, lai novērstu pārkāpuma atkārtošanos, ieguldot šajā procesā sešciparu skaitli. Cik daudzām organizācijām ir "ārkārtas" budžets, lai veiktu operatīvos pasākumus?
Ok, iespējams, Vācijas pieminētais gadījums nav tik izteiksmīgs kā Polijas gadījums. Šajā gadījumā, saskaņā ar Polijas uzraudzības iestādes preses relīzē minēto, uzņēmums tika sodīts ( ar aptuveni 220'000 EUR sodu) par to, ka tas bija formāli izpildījis datu subjektu informēšanas pienākumu - proti, jā, bija ielicis savā mājas lapā privātuma paziņojumus, bet pēc lietas apstākļiem tika secināts, ka ievērojot attiecīgā uzņēmuma, kas darbojas digitālā mārketinga jomā, darbības specifiku (apkopo informāciju no publiski pieejamām datu bāzēm, tajā skaitā, valsts uzturētā datu bāzēm), veiktais pasākums bija parāk "pasīvs". Runājot par informēšanas pienākuma izpildi (Regulas 13./14.pants) Pārzinim ir jārīkojas proaktīvi un jāmeklē risinājumi, kas der konkrētai organizācijai, ievērojot datu subjekta kategorijas, veidus, kā pārzinis iegūst datus utt. Lai arī Polijas gadījumā stāsts vēl nav beidzies un uzņēmums ir paziņojis, ka pārsūdzēs uzraudzības iestādes lēmumu, skaidra ir ziņa no uzraudzības iestādes - dārgas izmaksas nav arguments, lai nepildītu Regulas prasības.
Attiecīgo Polijas gadījumu raksturo:
a) datu bāze, kur tika apstrādāti gandrīz seši milioni datu subjektu dati (tajā skaitā uzņēmumu vadītāju dati utml., kas it kā ir publiskāki, kā vienkāršas privātpersonas dati);
b) Uzņēmumam bija 679'000 datu subjektu e-pasta adreses, šiem arī uzņēmums bija nosūtījis informatīvos e-pastus (pēc uzņēmuma pārstāvja teiktā), citos avotos minēts, ka informatīvie e-pasti tika nosūtīti aptuveni 900'000 datu subjektiem;
c) 12 tūkstoši datu subjekti, kas saņēma informatīvos e-pasta sūtījumus iebilda pret datu apstrādi, kas, protams, uzraudzības iestādei radīja papildus bažas;
d) uzņēmums "atteicās" veikt papildus pasākumus, lai nodrošinātu informēšanas pienākumu,piemēram, ziņu nosūtīšana izmantojot SMS pakalpojumus vai pasta sūtījumus. Uzņēmums argumentēja, ka šo pasākumu veikšana tam izmaksās vairāk kā sešus milionus EUR un tas ir nesamērīgi dārgi. Uzraudzības iestāde nepiekrita un savā lēmumā noteica 3 mēnešu termiņu tiesiskā pienākuma izpildei.
Nobeigumā laikam jāatgriežas pie sākumā norādītās tēzes - so far so good! Jā, līdz šim labi, bet atslābums un neiedziļināšanās (un jā, tā nav tikai mapīte, vai formāla privātuma politika mājas lapā, bet atsevišķos gadījumos visas organizācijas kultūras maiņa, gadu gadiem pierasto iestrāžu maiņa) šajos jautājumos var izmaksāt daudz dārgāk kā tad, ja tas būtu plānveidīgi un pēc būtības ikdienā risinot personas datu aizsardzības un datu drošības jautājumus.
***
Gribējās jau likt treknu punktu pārdomām par to, ka šobrīd valda maldīga drošības sajūta (Datu valsts inspekcija taču nesoda!), bet tad atcerējot vēl vienu gadījumu, kas zināmā mērā līdzinājās neiespējamai misijai un jasaka, ka neapskaužu darbiniekus Google, kuriem ar to visu bija jātiek galā. Proti, 2019.gada 18.janvārī Zviedrijas datu valsts inspekcija sagatavoja informācijas pieprasījumu Googlei par atrašanās vietas datu apstrādi (https://www.datainspektionen.se/globalassets/dokument/ovrigt/google---request-for-reply-and-further-clarification---skrivelse-till-tillsynsobjekt.pdf) . It kā varētu teikt - nekas īpašs. Bet bija. Īpašs bija atbildes sniegšanas termiņš - ne vēlāk kā līdz 01.februārim!!! Nepilnas divas nedēļas. Atkal varētu jau teikt, kas tur tik īpašs, mums taču valsts iestādes pieradušas mēnesi gatavot atbildes, biznesam jāspēj operatīvi reaģēt.Bet nē, ja iepazīstamies ar to, ko vēlējās redzēt Zviedrijas datu valsts inspekcija, tad, ja pieņemam, ka Google nevarēja no mapītes izvilkt jau gatavas atbildes, tad jānovēl tik veiksme un, lai visi svētie stāv klāt :).
Un ko tad vēlējās uzraudzības iestāde:
a) datu apstrādes reģistru atbilstoši regulas 30.pantam, aprobežojoties ar tām apstrādēm, kur tiek apstrādāti Zviedrijas datu subjektu atrašanās vietas dati;
b) Privātuma politika šim pakalpojumam;
c) Personas datu aizsardzības ietekmes novērtējumu (NIDA), kas sagatavots atbilstoši Regulas 35.pantam un ir attiecināms uz attiecīgo periodu, kad tika apstrādāti Zviedrijas datu subjektu atrašanās vietas dati;
kā arī, protams, paskaidrojumi uz papildus 11 jautājumiem, kur uzraudzības iestāde sagaida, ka tiks paskaidrots kādiem mērķiem dati tiks apstrādāti, kā Google ir izpildījusi informēšanas pienākumu, kāds ir datu apstrādes tiesiskais pamats un ja tas ir "piekrišana", tad pierādījumus, ka ir izpildītas Regulā paredzētās prasības, ka piekrišana ir sniegta brīvi, konkrēti, apzināti un tā ir viennozīmīga norāde uz datu subjekta vēlmēm, kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā ir sniedzis, savukārt, ja datu apstrādes tiesiskais pamats ir "leģitīmā interese", tad būtībā lūdz izsniegt tā saucamo "līdzsvara testu", kas pamato, ka atrašanās vietas datu apstrāde ir samērīga ar datu subjekta tiesību un brīvību iespējamo aizskārumu (starp citu, pārskatāmatbildības principa ietvaros jebkuram pārzinim būtu jāspēj šo līdzsvara testu izsniegt datu subjektam pēc tā pieprasījuma, ja tas savu datu apstrādi ir balstījis uz "leģitīmo interesi"). Visbeidzot, jāpaskaidro kāpēc uzņēmums uzskata, ka tas ir ievērojis Regulas 5.panta pirmā punkta a) apakšpunkta nosacījumus un kā izpaužas uzņēmuma prakse, izpildot privātums pēc noklusējuma prasības (regulas 25.pants).
Protams, kāds teiks, ka tas nav nekas īpašs tik un tā, bet, piemēram, mazam uzņēmumam, lai uztaisītu novērtējumu par ietekmi uz datu aizsardzību (tā pati izplatītā videonovērošana, pirkstu nospiedumu sistēma iekļūšanai telpās utt. vai ,piemēram, mārketinga aktivitātes) ir diezgan liels izaicinājums un ja vēl ir nepieciešamība, ka tas novērtējums ir vērtējums pēc būtības un nevis aizpildīts papīrs, tad divas nedēļas ir ļoti ierobežots laiks, kad tādu novērtējumu var vispār sagatavot. Ok, var arī sagatavot, bet jautājums - vai uzņēmumam būs drosme tādu iesniegt uzraudzības iestādei un vai iesniedzot nepārdomātu novērtējumu uzņēmums sev neiešauj kājā? :)
***
Gribējās jau likt treknu punktu pārdomām par to, ka šobrīd valda maldīga drošības sajūta (Datu valsts inspekcija taču nesoda!), bet tad atcerējot vēl vienu gadījumu, kas zināmā mērā līdzinājās neiespējamai misijai un jasaka, ka neapskaužu darbiniekus Google, kuriem ar to visu bija jātiek galā. Proti, 2019.gada 18.janvārī Zviedrijas datu valsts inspekcija sagatavoja informācijas pieprasījumu Googlei par atrašanās vietas datu apstrādi (https://www.datainspektionen.se/globalassets/dokument/ovrigt/google---request-for-reply-and-further-clarification---skrivelse-till-tillsynsobjekt.pdf) . It kā varētu teikt - nekas īpašs. Bet bija. Īpašs bija atbildes sniegšanas termiņš - ne vēlāk kā līdz 01.februārim!!! Nepilnas divas nedēļas. Atkal varētu jau teikt, kas tur tik īpašs, mums taču valsts iestādes pieradušas mēnesi gatavot atbildes, biznesam jāspēj operatīvi reaģēt.Bet nē, ja iepazīstamies ar to, ko vēlējās redzēt Zviedrijas datu valsts inspekcija, tad, ja pieņemam, ka Google nevarēja no mapītes izvilkt jau gatavas atbildes, tad jānovēl tik veiksme un, lai visi svētie stāv klāt :).
Un ko tad vēlējās uzraudzības iestāde:
a) datu apstrādes reģistru atbilstoši regulas 30.pantam, aprobežojoties ar tām apstrādēm, kur tiek apstrādāti Zviedrijas datu subjektu atrašanās vietas dati;
b) Privātuma politika šim pakalpojumam;
c) Personas datu aizsardzības ietekmes novērtējumu (NIDA), kas sagatavots atbilstoši Regulas 35.pantam un ir attiecināms uz attiecīgo periodu, kad tika apstrādāti Zviedrijas datu subjektu atrašanās vietas dati;
kā arī, protams, paskaidrojumi uz papildus 11 jautājumiem, kur uzraudzības iestāde sagaida, ka tiks paskaidrots kādiem mērķiem dati tiks apstrādāti, kā Google ir izpildījusi informēšanas pienākumu, kāds ir datu apstrādes tiesiskais pamats un ja tas ir "piekrišana", tad pierādījumus, ka ir izpildītas Regulā paredzētās prasības, ka piekrišana ir sniegta brīvi, konkrēti, apzināti un tā ir viennozīmīga norāde uz datu subjekta vēlmēm, kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā ir sniedzis, savukārt, ja datu apstrādes tiesiskais pamats ir "leģitīmā interese", tad būtībā lūdz izsniegt tā saucamo "līdzsvara testu", kas pamato, ka atrašanās vietas datu apstrāde ir samērīga ar datu subjekta tiesību un brīvību iespējamo aizskārumu (starp citu, pārskatāmatbildības principa ietvaros jebkuram pārzinim būtu jāspēj šo līdzsvara testu izsniegt datu subjektam pēc tā pieprasījuma, ja tas savu datu apstrādi ir balstījis uz "leģitīmo interesi"). Visbeidzot, jāpaskaidro kāpēc uzņēmums uzskata, ka tas ir ievērojis Regulas 5.panta pirmā punkta a) apakšpunkta nosacījumus un kā izpaužas uzņēmuma prakse, izpildot privātums pēc noklusējuma prasības (regulas 25.pants).
Protams, kāds teiks, ka tas nav nekas īpašs tik un tā, bet, piemēram, mazam uzņēmumam, lai uztaisītu novērtējumu par ietekmi uz datu aizsardzību (tā pati izplatītā videonovērošana, pirkstu nospiedumu sistēma iekļūšanai telpās utt. vai ,piemēram, mārketinga aktivitātes) ir diezgan liels izaicinājums un ja vēl ir nepieciešamība, ka tas novērtējums ir vērtējums pēc būtības un nevis aizpildīts papīrs, tad divas nedēļas ir ļoti ierobežots laiks, kad tādu novērtējumu var vispār sagatavot. Ok, var arī sagatavot, bet jautājums - vai uzņēmumam būs drosme tādu iesniegt uzraudzības iestādei un vai iesniedzot nepārdomātu novērtējumu uzņēmums sev neiešauj kājā? :)