Vispārīgās datu aizsardzības regulas ekonomiskā ietekme uz valsts pārvaldi un uzņēmējdarbību: personas datu “biznesa vērtības indekss”?

Cik vērtīgi ir uzņēmuma rīcībā esošie personas dati? Kaut arī Eiropas tiesību sistēmas izpratnē tiesību uz savu personas datu aizsardzību, kā cilvēka tiesību nevar atsavināt, tāpat pastāv jautājums par personas datu iegūšanas un uzturēšanas vērtību uzņēmumā. Līdz šim gan valsts, gan privātā sektorā pamatā dominē izpratne, ka personas datiem finansiālā nozīmē nav īpaši liela vērtība. Kāpēc?

Pirmkārt, pirms Vispārīgās datu aizsardzības regulas Nr.2016/679 (turpmāk – Regula) piemērošanas paredzētā sankciju sistēma un tās piemērošanas intensitāte Latvijā neveidoja priekšstatu, ka par normu neievērošanu uzņēmums var kaut kādā veidā ciest. Tādā veidā iegūt personas datus varēja arī pārkāpjot likuma prasības un šādā veidā neiestātos nekādi zaudējumi.

Otrkārt, savu personas datu vērtību neapzinās arī fiziskās personas, tāpēc to bija un vēl joprojām ir diezgan viegli iegūt. Var izsludināt konkursu, rīkot aptauju un liela daļa no reklāmai vajadzīgajiem personas datiem jau ir iegūti.

Treškārt, nav zināms neviens tiesas process Latvijā ar spēkā stājušos tiesas spriedumu (ja neskaita tiesāšanos ar masu medijem), ka personas datu izmantošana uzņēmumā novestu līdz kompensācijai datu subjektam.

Rezultātā uzņēmumiem Latvijā ir bijusi iespēja diezgan vienkārši iegūt vajadzīgos personas datus un galvenais to iegūšanas nosacījums ir pieejamie tehniskie risinājumi un intereses piesaistīšana. Tātad, līdz šim personas datu biznesa vērtības indeksa kritēriji ir a) vājās sankcijas un zema sankciju iespējamība b) mazas datu iegūšanas izmaksas un salīdzinošā vienkāršība.

Situācijai varētu mainīties uz to, ka: a) sankciju iespējamība ir vidēja vai augsta, bet to ietekme liela b) personas datus iegūt legāli ir grūti un dārgi c) iegūtie personas dati pēc iespējas tiek izmantoti ilgtermiņā d) personas dati, kļūst par uzņēmuma nemateriālo aktīvu atbilstoši grāmatvedības standartiem.

Daudzkārt Regulas ieviešana tiek saistīta ar izmaksām, kuras pat ne vienmēr ir tik lielas, kā to mēģina pateikt. Tomēr neviens nav uzdevis jautājumu – vai Regulas ieviešanai nevar būt ieguvumi? Ilgtermiņā pareizi apstrādāta personiska informācija kļūtu par biznesa aktīvu, kas tiktu novērtēts no visām iesaistītajām pusēm.

Personas datu vērtību biznesā vislabāk ataino sociālie tīkli, kuriem tas ir faktiski vienīgais aktīvs, jo daudzkārt arī datu serveri tiek lietoti tikai uz nomas principa. Bez lietotājiem un attiecīgi viņu personas datiem sociālais tīkls nevar pastāvēt. Šeit ir vēl viena būtiska nianse. Milzīgs datu apjoms sniedz vēl lielākas iespējas, tāpēc par pamatmērķi izvirzās jautājums ne tikai par šo datu vienreizēju izmantošanu (kā tas daudz kur ir Latvijā), bet gan klientu nepārtrauktas uzmanības noturēšanu un piesaisti ilgtermiņā. Šāda pieeja nevar realizēties, ja Jūsu pakalpojumam nav uzticības. Tāpēc nākotnē personas datu vērtība pieaugs un daudz kur personas datu iegūšana un “noturēšana” veidos būtisku uzņēmuma izmaksu daļu (kura daudzkārt saplūda ar kopējām mārketinga izmaksām, kas pamatā bija reklāmas izdevumi).

Ja būs pareizi jāpiemēro Regula, personas dati paliks dārgi un ne katrs tos varēs iegūt un uzturēt. Izpildot visas regulas prasības, personas datu būs mazāk, jo ne visi gribēs, piemēram, sniegt piekrišanu datu apstrādei. Savukārt, uzņēmums izlikties, ka piekrišana ir dota, vairs nevarēs, jo tad būs liels sods. Ja nevarēs iegūt personas datus, būs jādomā, vai iecerētais informācijas bizness vispār būs iespējams. Tādā veidā pašreiz var īstenoties, un pasaulē tas jau sen notiek, – konkurences saasināšanās, kā arī biznesa koncentrēšanās, veidojot dominējošos stāvokļus datu apstrādē. Savukārt, valstij, tas patiesībā īstermiņā ir izdevīgāk. Jo, no viena liela uzņēmuma iegūt datus ir vienkāršāk, nekā no desmit maziem. Bet, vai šāds scenārijs ir izdevīgs ilgtermiņā valstij?

Būtībā par datu bāzi (bez servera un datorprogrammas) var runāt, kā par nemateriālo aktīvu, kas gan reti tiek iekļauts uzņēmuma Latvijas gada pārskatos. Saskaņā ar 38. Starptautiskā grāmatvedības standarta  16.punktu – uzņēmumam var būt klientu kopums vai tirgus daļa, un tas sagaida, ka, ja uzņēmums pieliek pūles, lai izveidotu attiecības ar klientiem un nostiprinātu to lojalitāti, klienti arī turpmāk uzturēs darījumu attiecības ar uzņēmumu. Tomēr, ja nav juridisku tiesību, kas aizsargātu attiecības ar klientiem un klientu lojalitāti pret uzņēmumu, vai cits veids, kā uzņēmums varētu tās kontrolēt, uzņēmuma kontrole pār saimnieciskajiem labumiem, kas nāk no attiecībām ar klientiem un to lojalitātes, parasti nav pietiekama, lai šie posteņi (piemēram, klientu kopums, tirgus daļas, attiecības ar klientiem un klientu lojalitāte) atbilstu nemateriālo aktīvu definīcijai.[1]

Lai personas dati kļūtu par nemateriālo aktīvu grāmatvedības izpratnē, nepieciešama tiesiski noformēta attiecība ar klientu, tātad jāievieš arī Regula. Katram uzņēmumam jau šogad būtu ļoti kritiski jānovērtē Regulas ieviešanas gatavība, jo vienā brīdī svaru kauss pārsvērsies par labu tai uzņēmumu grupai, kurā Regulas prasības drīzāk ir izpildītas.

Tomēr arī valstij ir jāapzinās, ka uzņēmēja rīcībā esošie personas dati ir būtiska uzņēmuma kapitāla sastāvdaļa, kurai valsts nevar “pieskarties” bez īpaša pamata.

Pati valsts nesniedz informāciju privātajam sektoram vienkārši tāpat, jo par dažādu reģistru izziņām ir noteiktas vai nu valsts nodevas, vai citi maksas tarifi. Piemēram, regulāra informācijas izsniegšana no Latvijas Republikas Uzņēmumu reģistra vestajiem reģistriem saskaņā ar Ministru kabineta noteikumiem (tai skaitā regulāra atjauninātas informācijas izsniegšana) pašreiz vienai informācijas sistēmai un viena juridiskajai personai maksā EUR 88 869. Un šis nav vienīgais piemērs. Tas ir, neskatoties uz to, ka par minēto datu uzturēšanu nodokļu maksātāji jau maksā, jo valsts neveido šos reģistrus no biznesa procesā iegūtiem finanšu līdzekļiem!

Pēdējā laikā valsts diezgan spēcīgi vēlas iegūt dažādus datus, gan veidojot dažādus likuma grozījumus, gan izdodot administratīvos aktus. Katra nepieciešamība iegūt personas datus ir jāvērtē individuāli, ne tikai fokusējoties uz leģitīmo mērķi, bet arī uz nepieciešamību, piemērotību un samērīgumu.

Latvijas valsts pašreiz rīkojas tā, it kā starptautiskās saistības privātuma un personas datu aizsardzībai uz pašu valsti nemaz neattiektos:

  1. Latvijas Republikas Ministru kabineta 02.07.2019. atbildes projekts Latvijas Republikas tiesībsargam (uz 23.05.2019.vēstuli Nr.1-5/81) par Latvijas normatīvo aktu saskaņošanu ar Vispārīgo datu aizsardzības regulu Nr.2016/679, saskaņā ar kuru daudzas ministrijas uzskata, ka nekādas izmaiņas normatīvajos aktos nav jāveic;
  2. Latvijas pašvaldību savienības un Latvijas lielo pilsētu asociācijas lobisms, kura ietvaros pašreiz par pašvaldības personas datu aizsardzības speciālistu bieži vien ir nozīmēts gandrīz jebkurš esošais darbinieks. Kaut arī šādam pašvaldības darbiniekam saskaņā ar esošā likuma prasībām juridiski nav jābūt obligāti sertificētam, vai šāds speciālists vienmēr strikti atbilst Regulas 37.panta 5.punkta prasībām?
  3. Saistībā ar Administratīvā pārkāpuma procesa likuma spēkā stāšanos no 2020.gada 1.janvāra nevienā likumā nebūs noteikta valsts vai pašvaldības, kā pārziņa (izņemot personas datu apstrādi kriminālprocesa vai administratīvā pārkāpuma procesa mērķiem) amatpersonu administratīvā atbildība par Regulas pārkāpumiem.
  4. līdz 13.Saeimas sasaukumam nemazinājās parlamenta prakse pieņemt dažādus likuma grozījumus, iesniedzot papildu priekšlikumus 2. un pat 3.lasījuma gaitā, kad tos nevar paspēt izdiskutēt. Neizsvērtu likuma grozījumu prakses rezultāts gan redzams Latvijas Republikas Satversmes tiesas 06.03.2019. spriedumā lietā Nr.2018-11-01 par Valsts un pašvaldību institūciju amatpersonu un darbinieku atlīdzības likuma 3.panta 9.2 daļas 1. un 2.punkta atbilstību Latvijas Republikas Satversmes 96.pantam.

Varētu atrast arī citus piemērus. Bet, kādus secinājumus varam izdarīt šeit?

Pirmkārt, Regula attiecas ne tikai uz privātiem uzņēmumiem bet arī valsts un pašvaldību iestādēm!!!

Otrkārt, ja privātā puse apzināsies personas datu vērtību un piekritīs segt Regulas ieviešanas izmaksas (kuras veido kaut vai juristu, personas datu aizsardzības speciālistu izmaksas), personas datu tiesiskas iegūšanas un uzturēšanas izmaksas pieaugs. Taču uzņēmumam nav vērts censties pildīt Regulas prasības, ja to nedara pati valsts un, ignorējot Regulas principus piespiež sniegt informāciju valstij nesamērīgā apjomā vai gadījumos, kad tas reāli nemaz nav nepieciešams. Mūsdienu situācijā par investīciju vidi atbild ne tikai dažādi korupcijas indeksi, doing business indeksi, bet, tēlaini runājot, arī personas datu vērtības indekss.

Jāņem vērā, ka datu aizsardzība un datu apstrādes apjoms, ko no uzņēmuma prasa valsts, turpmāk var kļūt par būtisku kritēriju kopējās uzņēmējdarbības klimata novērtējumā. Piemēram, ar Ministru kabineta 22.05.2019. rīkojumu Nr.247 apstiprinātājā Uzņēmējdarbības vides pilnveidošanas pasākumu plānā 2019.-2022. gadam nav paredzēts neviens rīcības virziens, kas stiprinātu uzņēmumu datu bāzes vai komercnoslēpuma aizsardzības vidi pret valsts rīcību. Par konkrētiem pasākumiem būtu jādomā, taču šeit, piemēram, varētu būt iekļauti datu apstrādes un datu pieprasījumu minimizēšanas pasākumi noteiktu valsts iestāžu darbā.

Var izdarīt diezgan drošu citu secinājumu: ja, piemēram, kāda datu centra klients saprot, ka valsts viņa personas datus var iegūt arī tad, kad tas nav nepieciešams, uzņēmumam būs grūti ilgtermiņā noturēt arī savu klientu Latvijā, kā rezultātā, gan pakalpojumu sniedzējs, gan klients pārcelsies aiz robežām un mūsdienu informācijas sistēmu attīstībai lokālie aspekti tam nav liels šķērslis. Ja tāds ir scenārijs, tad Regula uzņēmumam varbūt arī būs jāievieš, taču jau ne sadarbībā ar Latvijas iestādēm. Un ne jau maksājot nodokļus Latvijas iestādēm…

 

SIA “E-sabiedrības risinājumi” valdes loceklis,

personas datu aizsardzības speciālists

Māris Ruķers

[1] Apstiprināts ar Eiropas Komisijas 2008.gada 3.novembra Regulu Nr.1126/2008, ar ko pieņem vairākus starptautiskos grāmatvedības standartus saskaņā ar Eiropas Parlamenta un Padomes Regulu Nr.1606/2002

image_pdf