01.12.2017

Seši ieteikumi no Tieslietu ministrijas ceļā uz atbilstību vispārīgajai personas datu aizsardzības regulai (GDPR)

Vispārīgā datu aizsardzības regula (GDPR) tika izstrādāta 2016. gadā un katrai organizācijai, uzņēmumam un iestādei bija divi gadi, lai veiktu personas datu apstrādes kritisku pārskatīšanu un novērstu konstatētās neatbilstības. Šobrīd uzņēmējiem ir seši mēneši, lai šo darbu pabeigtu.

Ar ko sākt? Pavisam vienkārši – ar Latvijas Republikas Tieslietu ministrijas izstrādāto sešu ieteikumu apzināšanu un ievērošanu, kas būs pirmie soļi pretī gaidāmajām izmaiņām, kas notiks 2018. gada 25. maijā.

 

Darbinieku izglītošana – lielākoties Latvijā trūkst pareizas izpratnes par to, kas ir personas dati, kādi ir personas datu aizsardzības pamatprincipi. Šos jautājumus vispārējā personas datu aizsardzības regula būtiski nemaina. Līdz ar to, pirms sākt gatavoties Regulas prasību izpildei, ir nepieciešams apmācīt darbiniekus – gan tos, kuru darba pienākumi jau šobrīd ir saistīti ar personas datu izmantošanu, gan tos, kuri iesaistīsies Regulas ieviešanā

Esošās situācijas apzināšana, datu apjoma mazināšana – pēc tam, kad procesā iesaistītajiem ir skaidrs, kādu darbību veikšanas kārtību Regula nosaka, ir nepieciešams apzināt visas datu plūsmas. Jāidentificē, no kurām personām, kādi dati un kādam mērķim tiek iegūti, kā arī kādi dati, kurām personām un ar kādu mērķi tiek nodoti. Šis ir priekšnosacījums, lai saprastu, vai un kādas anketas, līgumi, iesniegumu formas ir jāmaina.  Tas ļaus arī secināt, vai tiek apstrādāti personas dati, kuri nav nepieciešami vai vairs nav nepieciešami tiesiska mērķa sasniegšanai. Piemēram, darba devējam nav nepieciešamības no darbinieka iegūt gan deklarētās, gan faktiskās dzīvesvietas adresi. Līdz ar to šos liekos personas datus vajadzētu dzēst, tādā veidā samazinot aizsargājamo personas datu apjomu.

Jāmaina anketas, iesniegumu formas, zīmes par videonovērošanas veikšanu – datu aizsardzības regula paredz stingrākas prasības piekrišanai kā personas datu apstrādes pamatam. Līdz ar to izmaiņas būs jāveic dažādās iesniegumu formās, piemēram, anketās, kuras tiek izmantotas klienta kartes iegūšanai, anketās, ar kurām persona izsaka piekrišanu piedalīties klientu pētījumā vai saņemt reklāmu.

Izmaiņas līgumos ar pakalpojumu sniedzējiem un to sniegto garantiju pārbaude – lai izpildītu Regulas prasības, būs jāmaina arī līgumi, kuri tiek slēgti ar ārpakalpojumu sniedzējiem, ja šie pakalpojumi ietver personas datu apstrādi, jo Regula nosaka, kādam ir jābūt šī līguma saturam. Piemēram, ja tiek  izmantoti cita uzņēmuma servera pakalpojumi, cits uzņēmums veic jūsu uzņēmuma darbinieku algu aprēķinu, sagatavo un izsūta jūsu klientiem rēķinus vai veic jūsu uzņēmuma dokumentu iznīcināšanu, tad šie līgumi būs jāpapildina ar Regulā noteikto saturu.

Personas datu aizsardzības pasākumiem ir jābūt atbilstošiem riskiem – fizisko personu datu aizsardzības regula paredz, ka tehniski un organizatoriski personas datu aizsardzības pasākumi un procedūras ir jāievieš atbilstoši iespējamajiem riskiem fizisko personu tiesībām un brīvībām, un to pakāpei. Līdz ar to pēc datu plūsmas apzināšanas vajadzētu novērtēt riskus (dažādas iespējamības un smaguma pakāpes riskus), ko rada datu apstrāde. Īpaša vērība jāpievērš nejauši vai nelikumīgi nosūtītu, uzglabātu vai citādi apstrādātu personas datu iznīcināšanai, nozaudēšanai, pārveidošanai, neatļautai izpaušanai vai piekļuvei tiem. Ir jāapzina riska iestāšanās iespējamība, negatīvo seku veidi un apmēri, un jānodrošina to pārvaldība.

Datu aizsardzības ieviešanas organizēšana – ņemot vērā to, ka jauno prasību ieviešana ir visai laikietilpīgs un atbildīgs process, uzņēmumiem un iestādēm jau šobrīd vajadzētu nozīmēt par Regulas ieviešanu atbildīgos darbiniekus. Vislietderīgāk ir veidot dažādu kompetenču darbinieku grupu, tajā apvienojot gan juristus un IT speciālistus, gan personāla vadības speciālistus un darbiniekus ar riska novērtēšanas, vadības un projektu vadīšanas pieredzi. Protams, ir lietderīgi izvērtēt kompetentu speciālistu piesaisti no malas, kas ātri un, iespējams, daudz efektīvāk varētu palīdzēt sagatavoties jauno personas datu aizsardzības prasību izpildei.

Vairāk informācijas par fizisko personu datu aizsardzības regulu: doties uz rakstu.

Ja vēlies sagatavoties jaunajai datu aizsardzības regulai, tad lejupielādē Squalio sagatavoto bezmaksas dokumentu paku: doties uz lejupielādes lapu.