Nedaudz ievadam par Vispārīgo datu aizsardzības regulu un tās nepieciešamību

Dzīvojot digitālajā laikmetā, vērtība un pieprasījums pēc personu datiem strauji aug, un tieši tāpēc ir nepieciešami jauni, preventīvi pasākumi, lai nodrošinātu drošu datu apstrādi. Vispārīgā datu aizsardzības regula (General Data Protection Regulation – GDPR) ieviesīs būtiskas pārmaiņas datu drošības jomā. Tā skars ne tikai uzņēmumus, bet arī valsts un pašvaldības iestādes. Regulā noteiktās prasības tiks piemērotas no šā gada 25.maija, un tā aizvietos šobrīd spēkā esošo Eiropas Savienības Direktīvu (95/46/EK) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti, kas Latvijā ieviesta ar Fizisko personu datu aizsardzības likumu. Jāatzīmē, ka Direktīva ir stājusies spēkā 1995. gadā, un tās noteiktās prasības nenodrošina šī brīža situācijai pietiekamu fizisko personu datu aizsardzību.

Kāda ir situācija šobrīd?

Tuvojoties 25. maijam ar datu regulā noteiktajām sankcijām, arī pieaug neizpratne un satraukums to uzņēmumu vidū, kuri līdz šim ir veikuši datu ievākšanu un to apstrādi lielos apjomos.
Aizvien vairāk uzņēmumu strādā pie savu datu bāžu atjaunošanas, papildus drošības pasākumu ieviešanas, cookies un privacy policy paziņojumu izvietošanas mājaslapā, līgumu pārslēgšanas ar klientiem un sadarbības partneriem, kā arī klientu informēšanas, lūdzot sniegt piekrišanu par jaunumu un īpašu piedāvājumu saņemšanu. Bet joprojām ir tik daudz neatbildētu jautājumu. Vai tā tam vajadzētu būt, ja regula stājas spēkā pavisam drīz?

Atzinīgi ir vērtējams tas, ka regula izstrādāta tā, lai būtu viegli lasāma jebkuram interesentam. Tomēr mazāk pozitīvi ir vērtējams fakts, ka regula atstāj pārāk plašu telpu normu interpretācijai, kas no vienas puses datu apstrādātājus neierobežo un ļauj pašiem izvērtēt un izstrādāt drošus datu apstrādes procesus, taču, no otras puses, māc lielas šaubas, vai pieņemtie lēmumi izrādīsies tie pareizākie. Šobrīd garantijas nedod neviens, tajā skaitā arī IT un juridiskie uzņēmumi, kuri sniedz pakalpojumus, lai Jūsu uzņēmums atbilstu GDPR prasībām.

Vai pēc atbildēm var vērsties Datu valsts inspekcijā?

Teorētiski tā tam vajadzētu būt, jo Datu valsts inspekcija (turpmāk - DVI) ir uzraugošā iestāde Latvijā un būs tā institūcija, kas piemēros lielās sankcijas. Prakse gan rāda, ka DVI ir liels kapacitātes trūkums, un jāapbruņojas ar lielu pacietību, lai izdotos to sazvanīt, lai saņemtu telefona konsultāciju, kur nu vēl saņemt atbildi uz e-pastu. Lielākoties jums skaidras atbildes nesniegs, ja vien tās nebūs atrodamas 29. panta darba grupas vadlīnijās, vai atrodamas jau esošajos “case studies”. Jāpiebilst, ka ir jau gandrīz februāra vidus un likumprojekts "Personas datu apstrādes likums", kas noteiks regulas piemērošanu Latvijā, vēl nav pieņemts.

Kā sagatavot savas mārketinga aktivitātes GDPR regulai

It īpaši lieliem uzņēmumiem jaunā regula var sagādāt lielus izaicinājumus un pat galvassāpes, jo ir jānodrošina visu iesaistīto pušu izpratne un iesaiste regulā noteikto prasību piemērošanas procesos. Tas nozīmē - ir pēdējais laiks kopīgi sēsties pie viena galda uzņēmuma vadībai, IT, juridiskajam, mārketinga un personāla vadības departamentam, lai kopīgi identificētu problēmas un rastu labākos risinājumus.

Visbiežāk pieļautā kļūda ir problēmu un jautājumu risināšanas nodošana katram departamentam atsevišķi, tādā veidā zem riteņiem pagrūžot, piemēram, mārketinga departamentu, kas lielākoties būs vismazāk dzirdējis par datu regulu un to ietekmi uz mārketinga aktivitāšu veikšanu. Labākajā gadījumā mārketinga departaments lūgs akceptu juridiskajam departamentam pirms veiks konkrētas aktivitātes, tomēr nojauta saka, ka juridiskais departaments arī būs pietiekami piesardzīgs un nevēlēsies uzņemties nekādu atbildību. Mārketinga departament – you're in a big trouble!

  1. Izvērtē, kādi dati ir nepieciešami, lai sasniegtu konkrēto mērķi. Vai tiešām ir nepieciešams zināt klienta personas kodu, lai izsniegtu klienta karti? Vai veicot aptauju par produkta lietošanu vai apkalpošanas servisa kvalitāti ir nepieciešams zināt personas vārdu un uzvārdu? (Datu minimizēšanas princips).

  2. Vai saņemat no potenciālā klienta ar aktīvu darbību sniegtu piekrišanu datu apstrādei? Zinu jau zinu, nav viegli šādas piekrišanas saņemt, tomēr ieteiktu šim jautājumam pieiet daudz radošāk. Regula nenosaka, kādam ir jābūt paziņojumam, galvenais, lai no tā var nolasīt, kas apstrādā personas datu, kādiem mērķiem, cik ilgi un kā savu piekrišanu var atsaukt. (Piekrišanas princips).

Latvijas tirgū labus piemērus ir grūti atrast, tāpēc iesaku idejas smelties no uzņēmumiem citās valstīs.

Piemēram, slavenā Anglijas futbola komanda Mančestras "United" ir piegājusi šim jautājumam pavisam nopietni un radoši, izveidojot veselu kampaņu.

Manchester-united-1

  1. Vai iegūtos datus izmantojat tikai konkrētam mērķim? Līdz šim ierastā prakse uzņēmumu datu bāžu papildīšanai ir bijusi organizēt dažādas loterijas un konkursus, lūdzot klientiem norādīt sekojošu informāciju: vārdu, uzvārdu, e-pastu un telefona numuru. Jā, lai varētu identificēt un sazināties ar konkursa uzvarētāju šī informācija ir nepieciešama. Bet, kas ar datiem notiek pēc tam, kad loterija ir noslēgusies? Mēs zinām atbildi...Jaunā regula paredz datu dzēšanu pēc konkrētā mērķa sasniegšanas. Organizējot konkursus, organizatori var tās dalībniekiem lūgt sniegt atsevišķu piekrišanu par datu apstrādi, piemēram, lai izsūtītu īpašos piedāvājumus un jaunumus. (Godprātības princips)
    Atceries, klientu datu iegūšana nedrīkst notikt apmaiņā pret atlaidēm, dāvanām un citiem labumiem.

  2. Izvērtē savas datu bāzes kvalitāti. Vai tiešām ir tā vērts turēt datu bāzēs to cilvēku informāciju, kuri pēdējo reizi ir iegādājušies jūsu pakalpojumus pirms vairākiem gadiem? Vai ir vērts glabāt to cilvēku datus, kuri nevēlas no jums saņemt jaunumus un īpašos piedāvājumus? Varbūt klientu sniegtā informācija jau ir mainījusies? Ieteikums - atjaunojiet savas datu bāzes.

  3. Izvērtē savu sadarbības partneru atbilstību regulas prasībām. Uzņēmumam ir jābūt zinošam par visām izmantotajām platformām un rīkiem, kas veic jūsu klientu personas datu apstrādi, tajā skaitā profilēšanu. Kad informācija par šiem rīkiem ir zināma, ir nepieciešams izvērtēt to nepieciešamību un atbilstību jaunās regulas prasībām.
    Uzņēmumiem ir jāpārdomā savu komunikācijas platformu izmantošana, it īpaši, ja, apkalpojot klientus, ir nepieciešama personas identificējoša informācija. Jā, runāju par visiem zināmo un plaši izmantoto "Messenger". Piekrītu, ērts veids kā klientam komunicēt ar pakalpojuma sniedzēju un otrādi, taču uzņēmums ir atbildīgs par izmantotajiem komunikācijas kanāliem, lai tie būtu droši un atbilstu regulas prasībām.

Un vēl, ieviešot GDPR prasības, ņem vērā, ka izstrādes stadijā ir E-privātuma regula. Vēl viens likums, kas stāsies spēkā 2018. gadā un būs tieši piemērojams visām ES dalībvalstīm. E-privātuma regulas mērķis ir nodrošināt augstu privātās dzīves aizsardzības līmeni elektroniskajos sakaros, tostarp, runājot gan par noteikumu atvieglošanu attiecībā uz cookies ievākšanu, lielāku aizsardzību pret nevēlamo komerciālo saziņu, un privātumu attiecībā uz elektroniskās komunikācijas saturu un metadatiem.

Nobeigumā, ieteiktu pirms katrs mārketinga aktivitātes atcerēties par trīs galvenajiem datu apstrādes principiem - godprātība, datu minimizēšana un piekrišana, kā arī uzdod sev sekojošus jautājumus:
"Kā es gribētu, lai mani dati tiktu apstrādāti?"
"Vai ir tā vērts riskēt ar lielajiem sodiem un uzņēmuma reputāciju?"