16.02.2021

KURŠ BŪS NĀKAMAIS LURSOFT VAI HAUSMASTER?

Elīna Girne, vadošā juriste datu tehnoloģiju uzņēmumā SQUALIO

Aizvadītajā nedēlā ziņu lentēs noteikti uzmanību piesaistīja ziņas:

“Datu valsts inspekcija 2020. gada nogalē uzlikusi 65 000 eiro sodu SIA “Lursoft IT” par prettiesisku personas datu apstrādi, publiskojot tīmekļa vietnē “www.lursoft.lv” personas datus saturošus dokumentus [..] “Lursoft IT” pārsūdzēja Datu valsts inspekcijas lēmumu tiesā, kas nozīmē, ka piemērotais sods nav uzskatāms par galēju.” *

un

“Latvijā noticis plaša mēroga datu incidents. Vairāki Latvijas iedzīvotāji ir saņēmuši paziņojumus no uzņēmumiem, kuru klienti tie ir, ka hakeri, iespējams, piekļuvuši viņu personu datiem. Datu valsts inspekcija no saņemtajiem pārkāpuma paziņojumiem ir apkopojusi, ka konkrētajā gadījumā aptuvenais personu skaits, uz kurām attiecas notikušais incidents (piekļuve apstrādātāja serveriem) ir vairāk nekā 30 000 dažādu uzņēmumu klienti, nodarbinātie, sadarbības partneri (fiziskas personas).” **

Par to, kurai pusei SIA “Lursoft IT” piemērotā soda gadījumā ir taisnība, vēl lems tiesa, taču skaidrs, ka abos gadījumos ir iesaistīts liels datu daudzums. Ko šādi gadījumi kopumā mums parāda?

DATI

Mūsu ikdienas procesos tiek radīti, apstrādāti un nodoti lieli datu apjomi. Procesi noris arvien ātrāk un manuāla, bet vienlaikus efektīva katra jautājuma apstrāde fiziski nav vairs iespējama. Covid-19 pandēmijas apstākļi ir pierādījuši visiem sen zināmo Raiņa vārdu patiesumu – “pastāvēs, kas pārvērtīsies”, jeb, tam piešķirot mūsdienu kvintesenci – pastāvēs, kas digitalizēsies. Un tas ir neizbēgami.

Vispārīgās datu aizsardzības regulas ieviešana pacēla datu nozīmīgumu jaunā līmenī. Kamēr pārcilājām uz galda klades no vienas kaudzītes otrā, tas bija konkrēts datu daudzums, kas ieslēgts klades biezajos vākos. Taču digitālā vidē dati zināmā mērā ir ārpus mūsu kontroles, tie dzīvo savu dzīvi, tāpēc ir nepieciešami rīki un procesi datu plūsmu kontrolei.

Tiesa, joprojām vērojama tendence, ka cilvēkus uztrauc viņu personīgo fotogrāfiju publicēšana sociālajos tīklos, kamēr, pildot savus amata pienākumus, netiek domāts par uzņēmuma datu drošības risinājumiem.

TEHNOLOĢIJAS

Var apgalvot, ka uzņēmums darbojas tikai bezsaistē, taču pilnīga atrautība no ārējās digitālās pasaules šodien ir utopija. IT vide kļūst arvien komplicētāka, un pareiza IT risinājumu izvēle, kā arī sinerģija starp uzņēmuma IT rīkiem ir ļoti svarīga. Darbā ar mūsu klientiem pārliecināmies, ka IT speciālistiem profesionālie izaicinājumi pieaug, nereti nepieciešama papildu IT profesionāļu palīdzība. Faktiski IT infrastruktūra šodien ir jaunais uzņēmumu darbības centrs – tā ir centrālā datu glabātuve, procesu uzturētāja un virzītāja, kā arī centrālais uzņēmuma resursu un datu drošības vairogs, vai gluži pretēji – vājā vieta.

Taču ir svarīgi ņemt vērā, ka uzņēmuma IT speciālistiem šodien nepieciešams kolēģu atbalsts. IT risinājumu ražotāju līgumu noteikumi nav tikai formalitāte (ķeksītis), tā ir reāla līgumiska apņemšanās vai, gluži pretēji, – izvairīšanās no atbildības. Lai gan pagaidām liela daļa ražotāju spēlē spēli “mēs un jūs”, IT risinājuma kvalitatīvai ieviešanai jau šodien nepieciešams ražotāja juridisko noteikumu novērtējums, potenciālo risku konstatācija un IT risinājumu izpratnes, datu drošības prasību un uzņēmuma procesu vadības zināšanu sinerģija.

PROCESU PĀRVALDĪBA

Neatkarīgi no tā, cik liels vai mazs ir uzņēmums, tā pārvaldības procesiem ir vieni un tie paši izaicinājumi – katrs darbinieks pārzina savu profesionālo jomu, taču viņa kompetence ne vienmēr ir pietiekama, lai kvalitatīvi izprastu kolēģa darbības jomu un izaicinājumus.

Piemēram, jūsu komandā ir datu aizsardzības speciālists, jurists, atbilstības procesu pārraugs, IT speciālists un risku uzraudzības speciālists. Kuram jūs uzdotu sakārtot uzņēmuma datu apstrādes, aizsardzības un privātuma jautājumus? Visticamāk, ka šie jautājumi nonāks uz jurista vai datu aizsardzības speciālista galda. Piekrītat?

Taču, ja paraugāmies uz datu apstrādes un privātuma tematu, tā kopainu veido daudz vairāk elementu, ne tikai juridiskais:

  • Datu aizsardzības speciālists kopā ar juristu varēs uzrakstīt procedūras, izveidot datu apstrādes līgumus un izglītot pārējo komandu par datu apstrādes un privātuma juridiskajām prasībām un riskiem.
  • Savukārt IT speciālists ieguldīs laiku un enerģiju uzņēmuma digitālās attīstības nodrošināšanā un ērtāko IT rīku apguvē. Nenoliedzami, tā ir būtiska uzņēmējdarbības digitalizācijas sastāvdaļa, bet jāņem vērā, ka šeit izvēles notiek samērā tehniski.
  • Arī atbilstības un risku speciālisti sniedz artavu uzņēmuma procesu izstrādē. Redzot visu ainu kopumā, tie šķietami apvieno visus mazos procesu elementus vienotā sistēmā.

Tomēr sadarbībā ar mūsu klientiem esam novērojuši, ka klientu darbinieku sarunās bieži vien viens runā par māti, otrs par meitu, un pat tad, ja visi vienoti virzās uz uzņēmuma izvirzīto procesu atbilstības un drošības mērķi, tad tieši starpdisciplināro prasmju un zināšanu trūkums neļauj ieraudzīt dažkārt izšķirošus riskus un drošības aspektus.

Nav apstrīdams, ka visiem visu pārzināt un zināt nav iespējams, un nav arī nepieciešams. Taču tas, kas šajā digitalizācijas laikmetā ir būtiski – katram darbiniekam jāspēj palūkoties, kur un kā digitalizācija ienāk tieši viņa profesionālajā darbības laukā, kā uzņēmuma digitālie procesi un IT risinājumi savstarpēji integrējas un sadarbojas, un vai visi uz papīra uzrakstītie procesi vispār ir savienojami arī praktiski vienotā uzņēmuma digitālo procesu un pārraudzības kartē. Pilnvērtīgai uzņēmuma procesu izpratnei un praktiskai vienotībai ir izšķiroša nozīme uzņēmuma ilgtspējīgas darbības nodrošināšanā. Nedrīkst būt tā, ka viens raksta papīrus, cits pieskata darbiniekus un vēl kāds ievieš tehniskus risinājumus. Digitālie risinājumi ir centrs, vienota uzņēmuma asinsrites sistēma, ko var ietekmēt gan iekšējie, gan ārējie faktori. Taču šī sistēma ir komplicēta, informācijas aprite tajā ir strauja, datu daudz un vienīgais, kas var palīdzēt uzņēmumam kvalitatīvi šo visu saimniecību uzturēt, ir mainīt uzņēmuma centra uzsvarus, proti, būvēt uzņēmuma procesus ap IT infrastruktūru.

AR KO SĀKT?

Pārdomāti izvēlēties IT rīku ražotājus – tikai uzticams partneris var tikt uzskatīts par ilgtermiņa sadarbības garantu. Pat, ja IT risinājumu iegādājaties ar piegādātāja starpniecību, attiecībā uz IT rīka lietošanu noteicošais spēks būs jūsu uzņēmuma un ražotāja savstarpējās juridiskās un praktiskās attiecības. Piegādātājs jums var palīdzēt novērtēt ražotāju un izdomāt, kā IT risinājumu lietot droši. Taču piegādātājs nespēs jūs glābt, ja esat ignorējuši ražotāja noteikumos pateikto vai noklusēto.

Veiciet pārdomātu un kvalitatīvu rīku iegādi – uzņēmums nav izklaides vieta, tā pamatnolūks ir veikt saimniecisko darbību – ražot, radīt, piegādāt un, protams, pelnīt. Tāpēc digitālajā laikmetā nav pieņemams, ka uzņēmuma IT infrastruktūrā tiek lietota nelegāla programmatūra, novecojuši IT rīki, torentu un spēļu platformas. Diemžēl tādas ainas nākas redzēt itin bieži. Savukārt katrs nepārdomāti lietotais IT rīks ir potenciāls drauds jūsu uzņēmuma datu drošībai.

Piesaistīt palīdzību – neatkarīgi no tā, vai IT speciālists, jurists, datu drošības speciālists jūsu uzņēmumā ir labākais savā jomā, iespējams, ka viņam tomēr trūkst starpdisciplināru zināšanu un spējas saskatīt savos ikdienas procesos digitalizācijas izaicinājumus. Nav iespējams visu zināt, bet ir ļoti svarīgi, lai šai komandai veidojas dialogs un ir skaidrs, kādus jautājumus uzdot saviem kolēģiem citās jomās, lai darbs uzņēmuma procesu pārvaldībā nebūtu paveikts tikai no viena profesionālā aspekta raugoties, bet tajā jau no paša sākuma būtu integrētas citu jomu nianses, apzināti riski un meklēti risinājumi. Un tas iespējams, darbojoties kopā.

Tāpat ir būtiski pieaicināt palīdzību tur, kur trūkst resursu vai zināšanu situācijas risinājumam. “Nav jēgas lasīt IT ražotāju noteikumus, jo tāpat neko nevar mainīt” – šodien šāda atbilde vairs nav arguments. Jums ir jāpasargā savs uzņēmums un tā dati no drošības un privātuma apdraudējuma, tātad tieši jūs lemjat, ar kādu attieksmi situāciju risināt. Katra riska reāla, nevis formāla izvērtēšana kopsakarā ar jūsu uzņēmuma vajadzībām ir solis pretī drošai un pārdomātai IT videi, drošiem datiem un ilgtspējīgai uzņēmuma darbībai. Pretējai attieksmei var būt dārga cena – ne tikai naudas sods, bet arī jūsu partneru un klientu uzticības zaudēšana.

Riskēt noteikti nav vērts. Ir vērts veidot jaunus sadarbības un partnerības modeļus, un jēgpilni risināt digitālos izaicinājumus.

*Datu valsts inspekcija uzlikusi 65 000 eiro sodu ‘Lursoft IT’ – DELFI

**Latvijā noticis plaša mēroga datu incidents, var būt iesaistīti 30 000 personu – DELFI