«Pasaules zirnekļtīklu» gaida lielas pārmaiņas. 25. maijā stājas spēkā Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (General Data Protection Regulation (GDPR); Vispārīgā datu aizsardzības regula).
Tā nosaka jaunus personīgās informācijas saņemšanas, uzglabāšanas, apstrādes un izmantošanas noteikumus. Neapšaubāmi tas skars kā on-line tirgotājus, tā arī meklēšanas sistēmas, sociālos tīklus un, protams, arī datu apstrādes uzņēmumus.
Ja runā ļoti īsi: ES rezidenti iegūs plašu savu personīgo datu pilnas kontroles iespēju loku. Vienkāršāk sakot, šiem datiem faktiski tiek piemērotas subjekta īpašuma tiesības.
Iepriekš līdzīga veida funkcijas Eiropas Savienībā nodrošināja 1995. gada ES direktīva. Pirmkārt, direktīvas atšķirības no reglamenta (regulas) ir tajā, ka regula – tas ir tiešās darbības dokuments. Tas ir, ja direktīva paredz nepieciešamību ieviest izmaiņas ES dalībvalstu nacionālajā likumdošanā, kā rezultātā katra valsts risina šo jautājumu savā veidā, tad regula ir attiecināma un darbojas visās 28 Eiropas Savienības valstīs. Un ne tikai.
Ja uzņēmuma darbībā tiek izmantoti ES rezidentu personas dati – pat gadījumā, ja pats uzņēmums atrodas ārpus Savienības, – tam ir jāplāno sava darbība saskaņā ar GDPR. Vēl vairāk: šīm prasībām ir jābūt atbilstošām arī visai uzņēmuma biznesa partneru ķēdītei.
Piemēram, tagad jebkuram ķīniešu interneta veikalam, kas savā darbībā mērķtiecīgi piedāvā ES rezidentiem savas preces un pakalpojumus, ir jāstrādā saskaņā ar GDPR. Te vajag uzsvērt vārdu «mērķtiecīgi». Tas nozīmē, ka uzņēmums aktīvi strādā tieši ar Eiropas mērķauditoriju, piedāvājot tai savu produktu auditorijai saprotamās nacionālajās valodās, nacionālajā valūtā vai eiro, kā arī, uzņēmums veic savu darbību, izmantojot Eiropas Savienības augšējā līmeņa nacionālos domēnus.
Ja šis pats ķīniešu veikals formāli ir orientēts tikai uz Ķīnu, pat tad, ja tā mājaslapā ir pieejama arī angļu valodas versija, GDPR ievērošana nav nepieciešama. Jebkurš eiropietis pēc paša izvēles var vērsties pie šāda uzņēmuma. Iespējams, viņš saņems kvalitatīvus pakalpojumus un preces, taču šajā gadījumā klientam nekādu tiesību rīkoties ar saviem iesniegtajiem personas datiem nebūs.
Taču arī šāds uzņēmums de facto zaudēs konkurentu sacensībās. Pirmkārt, tāpēc, ka tam nebūs tiešas piekļuves Eiropas tirgum. Otrkārt, tāpēc, ka šāds uzņēmums pazaudēs potenciālos biznesa partnerus, kas strādā, ievērojot jaunā reglamenta nosacījumus.
Tieši tāpat GDPR noteikumi ir jāievēro, ja kāda struktūra ES rezidentu vidū vai tā teritorijā, tostarp arī tā interneta segmentā veic socioloģisko, mārketinga vai citu monitoringu, kas paredz personīgās informācijas izmantošanu.
Tas ir, dokumentam faktiski ir eksteritoriāls raksturs, un beigu galā tas neizbēgami ietekmēs on-line specifiku visā pasaulē. Par tā pārkāpšanu ir paredzētas ļoti būtiskas soda sankcijas – līdz 20 miljoniem eiro vai līdz pat 4% no uzņēmuma gada apgrozījuma.
«Personas dati» ir pietiekami plašs jēdziens. Pirmkārt, tā ir informācija, kas identificē personu. Otrkārt, tā ir informācija, kas ar lielu varbūtību padara šādu identifikāciju iespējamu. Treškārt, tā ir informācija, kas attiecas uz identificējamo cilvēku (piemēram, ziņas par materiālo stāvokli un personīgo dzīvi). Tāpat uz šo var attiecināt arī informāciju par finanšu operācijām, par izglītību, pārliecībām, seksuālo orientāciju un tā tālāk – līdz pat e-pasta adresei.
Pagaidām nav skaidrs, kā GDPR tiesiskā regulējuma prakse traktēs šo jēdzienu. Gluži tāpat kā pagaidām ir grūti pateikt, kas notiks ar mākslīgā pseidointelekta sistēmām, kuru pamatā ir veidota daudziem jau tik ierastā un ērtā BIG DATA sistēma.
Saskaņā ar jauno regulu uzņēmumam tagad būs pienākums:
- Saņemt iepriekš skaidri izteiktu subjekta piekrišanu viņa personīgās informācijas apstrādei. Turklāt cilvēkam ir jābūt informētam par to, kādā veidā šī informācija tiks izmantota.
- Ievākt informāciju par cilvēku minimāli nepieciešamā apjomā un izmantot to tikai un vienīgi noteiktajiem mērķiem.
- Veidot tādas informācijas uzglabāšanas formas, lai datu subjektu būtu iespējams identificēt tikai šo mērķu sasniegšanas procesa laikā.
- Uzglabāt informāciju, kas ļauj identificēt cilvēka personību, atsevišķi no tā pārējās personīgās informācijas.
- Datubāzes uzlaušanas vai jebkuras citas datu nozagšanas gadījumā ir pienākums paziņot par šādu notikumu valsts orgāniem un lietotājiem 72 stundu laikā.
- Katrā lielā organizācijā ieviest Data Protection Officer (Datu aizsardzības inspektors) amatu.
- Katrā valstī tiek veidota atbilstoša struktūra: nacionālais regulators personīgo datu jomā. Ar visu ES valstu nacionālo regulatoru sarakstu jau var iepazīties internetā.
Savukārt datu subjektam (privātpersonai, ES rezidentam) turpmāk ir tiesības:
- Saņemt informāciju par to, kur, kādā veidā, cik ilgā laikposmā un ar kādu mērķi tiek apstrādāti viņa dati, kā arī par to, kādām trešajām personām šie dati ir pieejami.
- Precizēt, no kurienes uzņēmums ir ieguvis cilvēka personas datus, un nepieciešamības gadījumā ieviest tajos izmaiņas.
- Tālākā attīstība ieguva arī «tiesības būt izdzēstam» (right to erasure, right to be forgotten), kas eksistēja jau iepriekš spēkā esošajā Direktīvā. Tas ir, pēc eiropieša pieprasījuma visai viņa personīgajai informācijai ir jābūt izdzēstai no datubāzēm un meklēšanas sistēmu darba rezultātiem. Taču tikai tajā gadījumā, ja šī informācija nav sabiedrībai būtiska, un tās izdzēšana nepārkāpj cilvēka pamattiesības.
Procesinga uzņēmuma, tostarp arī Bilderlings darbībā šīm tiesībām ir sava, šaurāka specifika. Piemēram, informācijai par klientu ir jābūt izdzēstai no esošās datubāzes līguma termiņa izbeigšanās vai tā laušanas gadījumā. Tieši tāpat arī jebkādu aizdomu rašanās gadījumā klients var pieprasīt, kāda informācija par viņu eksistē mūsu datubāzē, kā tā ir tikusi iegūta un kam tā varētu būt nodota. Atbildes mums ir jāsniedz 30 dienu laikā.
Viens no GDPR jaunumiem ir Tiesības pārnest datus (right to data portability). Pēc personīgās informācijas subjekta pieprasījuma viņa dati ir jānodrošina trešajai personai bez maksas. Procesinga uzņēmuma gadījumā tas mēdz būt nepieciešams, piemēram, gadījumos, ja klients pāriet uz citu uzņēmumu.
Dokumentā īpaši tiek atrunāta nepilngadīgo personu tiesību aizsardzība. Vecuma robežu katra valsts nosaka patstāvīgi, parasti tie ir 13 – 16 gadi. Līdz šim vecumam nepilngadīgo personu datu apstrāde ir iespējama tikai ar vecāku vai šo personu aizgādņu piekrišanu.
Kopumā regulā ir 260 lapas, un detalizēti aplūkot visus tās aspektus nelielā rakstā nav iespējams. Neapšaubāmi – daudziem uzņēmumiem būs nepieciešama ļoti nopietna savu programmnodrošinājumu pārstrāde.
Taču procesinga uzņēmumi jau tradicionāli pievērš lielu uzmanību savu klientu personīgās un finanšu informācijas aizsardzības pasākumiem. Eksistē PCI DSS standarts, kas apstiprina augstāko informācijas aizsardzības līmeni. Faktiski tas garantē visu GDPR prasību izpildi, un mēs esam priecīgi atzīt, ka Bilderlings atbilst šim standartam.
Tajā pašā laikā kopš GDPR pieņemšanas pagājušo divu gadu laikā arī softa izstrādātāji nav sēdējuši, salikuši rokas klēpī. Tā, piemēram, Microsoft uzņēmums savā biznesa klases programmatūras produktā Office 365, kas izmanto mākoņu tehnoloģijas, ieviesa GDPR Compliance Manager.
Šis pielikums, kā var secināt no tā nosaukuma, ir paredzēts, lai pārbaudītu organizācijā veiktā darba ar datiem prakses atbilstību ES regulas prasībām. Tas ir pieejams Office 365 lietotājiem, tostarp arī mūsu uzņēmumam. Pielikumā ir pieejami visi nepieciešamie instrumenti, un tas veic tajā iekopēto dokumentu analīzi. Galarezultātā tiek iegūts ieteikumu saraksts vai arī apstiprinājums tam, ka jūsu biznesa struktūra atbilst GDPR prasībām.
Protams, jaunie drošības pasākumi sarežģī to uzņēmumu darbību, kas strādā ar finansēm. Ja iepriekš mēs galvenokārt raizējāmies par klienta naudu, un viss pārējais bija sava veida papildu garantija no mūsu puses, tad tagad mūsu obligātās atbildības zona ir paplašinājusies. Nauda un klienta personīgā informācija kļūst praktiski vienlīdz svarīgas. Taču mēs jau bijām tam gatavi.
