10.05.2018

Vispārīgā datu aizsardzības regula (VDAR jeb GDPR) – septiņu soļu ceļvedis jaunās datu aizsardzības regulas atbilstībai

 

Nesen publicētā aptauja liecina, ka tikai 10% Latvijas uzņēmumu ir pilnībā gatavi izpildīt visas VDAR jeb GDPR noteiktās prasības. Taču 25. maijs teju ir klāt – ir pēdējais brīdis rast risinājumu un atbilst jaunajai fizisko personu datu aizsardzības regulai. Jāatzīst, ka atbilstība datu aizsardzības likumam pieprasa milzīgu darbu, kas ietver sevī jauna personāla piesaisti, izmaiņas uzņēmuma procesos un tehnoloģiju ieviešanu. Lai Jūsu uzņēmums spētu koncentrēties uz veicamajām darbībām, nevis raizētos par datu aizsardzības izaicinājumiem, mēs esam sagatavojuši septiņu soļu ceļvedi, lai atbilstība Vispārīgajai datu aizsardzības regulai būtu pārdomāta un iedarbīga.

Noskaidrojiet, vai GDPR prasības attiecas uz Jūsu uzņēmumu

GDPR (no angļu General Data Protection Regulation) ir Eiropas Savienībā izstrādāta regula, tādēļ pastāv maldīgs priekšstats, ka GDPR attiecas tikai uz uzņēmumiem Eiropas Savienībā. Taču regula attiecas uz visiem uzņēmumiem, kas apkopo vai apstrādā Eiropas Savienības pilsoņu un arī nepilsoņu datus, piedāvājot viņiem preces un pakalpojumus. Piemēram, Amerikā esošajam Facebook ir jāievēro personas datu apstrādes prasības, jo uzņēmuma pakalpojumi tiek piedāvāti arī Eiropas Savienībā mītošiem lietotājiem.

Ja uz Jūsu uzņēmumu neattiecas šie noteikumi, Jūs varat atviegloti uzelpot. Visiem pārējiem – iesakām turpināt lasīt.

 

Apgūstiet datu apstrādes pamatus

GDPR mērķis ir nodrošināt patērētājiem lielāku kontroli pār to, kā tiek izmantoti viņu personas dati. GDPR personas datus definē samērā plaši, salīdzinot ar personiski identificējamu informāciju, kas tika minēta agrākos tiesību aktos. GDPR kontekstā personas dati ir plašs informācijas klāsts, kas var ietvert ierakstus sociālajos tīklos, fotoattēlus, dzīvesstila izvēli, darījumu vēsturi un pat IP adreses.

PADOMS: IGNORĒJIET PANIKAS CĒLĒJUS

Daudzi GDPR konsultanti nemitīgi piesauc maksimālo sodu par neatbilstību datu aizsardzības regulai – 20 miljonus eiro vai 4% no uzņēmuma gada ieņēmumiem pasaulē. Patiesībā šāda mēroga sodi ir paredzēti uzņēmumiem, kas atkārtoti veic nopietnus pārkāpumus. Sākotnējie sodi būs mazi vai tiks izteikti brīdinājuma formā. Patiesais risks ir tāds, ka pietiekami nesagatavojušies uzņēmumi tērēs laiku, lai juceklīgi atbildētu uz regulatora jautājumiem, novēršot uzmanību no svarīgiem uzņēmuma mērķiem.

 

Koncentrējieties uz galvenajiem regulas pantiem

GDPR sastāv no 11 nodaļām un 99 pantiem, taču ir daži panti, kuriem ieteicams uzmanību pievērst vispirms.

30. pants: datu apstrādes reģistrs

Datu apstrādes reģistra pamatā ir izpratne par to, kur personas dati tiek apstrādāti, kurš tos apstrādā un kādā veidā tie tiek apstrādāti. Ir svarīgi noteikt visus personas datu repozitorijus, ne tikai CRM sistēmas.

32. pants: datu apstrādes drošība

32. pantā ir noteikts, ka uzņēmumiem ir jāievieš atbilstoši tehniskie un organizatoriskie pasākumi, lai nodrošinātu riskam atbilstošu drošības līmeni. Kaut arī regulā nav definēts tas, ko nozīmē “atbilstošs”, daži no vienkāršiem pasākumiem ir pretvīrusu programmatūras instalēšana visās ierīcēs un zināmo apdraudējumu identificēšana un novēršana.

35. pants: datu aizsardzības dokumentācija

35. pantā ir noteikta prasība, ka uzņēmumiem ir jāidentificē datu apstrādes darbības, kas ir īpaši sensitīvas, un jāpārliecinās, vai tiek veikti īpaši piesardzības pasākumi, lai datus aizsargātu. Lai gan regulā ir maz informācijas par to, uz ko ir attiecināma datu apstrādes pasākumu dokumentācija, ir minēti konkrēti datu apstrādes piemēri: datu apstrāde saistībā ar juridiskiem jautājumiem, piemēram, kriminālsodāmību, datu apstrāde, izmantojot kādu jaunu tehnoloģiju, datu apstrāde ļoti lielā apjomā.

PADOMS: IZVĒRTĒJIET SITUĀCIJU

Vispārīgajā datu aizsardzības regulā nav minēts, ka Jūsu uzņēmumam ir jābūt bez apdraudējumiem vai jāizmanto kāds noteikts drošības risinājums. Patiesībā datu aizsardzības regulā ir norādītas vien dažas specifiskas prasības attiecībā uz drošības pasākumiem. Detalizētāka informācija visdrīzāk ir gaidāma pirmajos gados pēc regulas stāšanās spēkā. Taču jau tagad ir pilnīgi skaidrs, ka uzņēmumiem ir jādara viss iespējamais, lai aizsargātu personas datus, un jāizstrādā dokumentācija, kas šīs darbības pierāda.

 

Nozīmējiet datu aizsardzības speciālistu

Ne visiem uzņēmumiem ir nepieciešams datu aizsardzības speciālists. Saskaņā ar GDPR datu aizsardzības speciālists ir nepieciešams visām valsts iestādēm, uzņēmumiem, kas regulāri apstrādā personu datus lielā apjomā vai arī apstrādā sensitīvus datus. Datu aizsardzības speciālisti ir nepieciešami uzņēmumiem, kuriem personu datu apstrāde ir daļa no to pamatdarbības, bet ne tad, ja apstrāde tiek veikta atbalsta darbībām, piemēram, algu izmaksai vai IT vajadzībām. Datu aizsardzības speciālisti būs nepieciešami arī tiem uzņēmumiem, kas veic vai apstrādā jebkāda veida izsekošanu vai profilēšanu internetā, tostarp uz lietotāja uzvedību balstītu reklāmu nolūkā.

PADOMS: NEKĀDU PAPILDPIENĀKUMU

Datu aizsardzības speciālistam ir jābūt iesaistītam visos ar datu aizsardzību saistītajos jautājumos, un viņa galvenais pienākums ir pārraudzīt atbilstību GDPR prasībām. Lai to veiksmīgi īstenotu, viņam ir jāpaliek neatkarīgam. Papildus tam datu aizsardzības speciālista pienākumus nedrīkst sadalīt vairāku cilvēku starpā. Nozīmētajam datu aizsardzības speciālistam ir jābūt atbildīgam par visām datu apstrādes darbībām, ko veic uzņēmums.

 

Redziet datu apstrādes procesu kopumā 

Vairums uzņēmumu, kuriem ir aktuāla personas datu aizsardzība, izprot personas datu repozitoriju atrašanās vietas noteikšanas svarīgumu. Tomēr daudzi kļūdās, pārlieku koncentrējoties uz redzamākajām sistēmām, piemēram, SAP, Oracle datu bāzēm un starpprogrammatūru, Marketo un Salesforce. Taču šīs sistēmas nereti ir tikai daļa no citām sistēmām – lielākā daļa lietojumprogrammu gluži kā aisbergs bieži vien paliek neredzamas. Viens no šīs nepamanāmības iemesliem nereti ir SaaS lietojumprogrammas, ko uzņēmumi iegādājas, nemaz nekonsultējoties ar IT nodaļu. Iespējams, Jūs pat domājat, ka neizmantojat daudz šāda veida SaaS lietojumprogrammu un attiecīgi arī personas datu repozitoriju. Bet vai Jūs par to esat droši? Izšķiroša nozīme ir būt lietas kursā par visām lokālajām un mākoņdatošanas lietojumprogrammām, ko uzņēmums izmanto. Bez pilnīgas pārredzamības jebkuras prasības attiecībā uz atbilstību datu aizsardzības regulas prasībām ir tukšas, rada mānīgu priekšstatu par drošību un pakļauj uzņēmumu datu apstrādes revīzijai.

 

Novērsiet personas datu apstrādes neredzamās zonas

Pieņemot to, ka Jums, visticamāk, nav pilnas pārredzamības pār lokālajām un mākoņdatošanas lietojumprogrammām, nākamais solis ir izveidot sistēmas un procesus, lai novērstu neredzamās zonas. Pilnai pārredzamībai ir nepieciešama automātiska daudzplatformu IT resursu noteikšana, kas aptver mobilās ierīces, galda datorus, datu centrus un mākoņdatošanu. Efektīvi risinājumi spēj atrast un identificēt visus resursu veidus, tostarp SaaS abonementus, IaaS virtuālās mašīnas, PaaS konteinerus, mobilās ierīces, datu centru lietojumprogrammas un virtualizētu vidi.

PADOMS: PADOMĀJIET PAR MOBILAJĀM IERĪCĒM

Jaunais datu aizsardzības likums regulē mobilās ierīces gluži tāpat kā visas pārējās tehnoloģijas, kuras izmanto personas datu apstrādei. Šīs ierīces ne vien saglabā personas datus, bet arī apstrādā informāciju par lietotāju. Turklāt tās ir īpaši uzņēmīgas pret pazaudēšanu un potenciāliem GDPR pārkāpumiem.

 

Izveidojiet savu datu apstrādes procesu arsenālu

Nav radikāla risinājuma, kā panākt atbilstību datu aizsardzības regulas prasībām. Nav universālas programmas vai speciālista. Atbilstība GDPR prasībām ietver cilvēku, procesu un tehnoloģiju kopumu.

Cilvēki. Izveidojiet daudzfunkcionālu datu pārvaldības komandu, kurā ietilpst datu aizsardzības speciālists, IT un uzņēmuma vadītāji, kas pārstāv dažādas jomas. Šī komanda būs atbildīga par atbilstību GDPR prasībām. Viņiem būs dokumentēti procesi un lēmumi, viņi izstrādās politikas un veiks regulārus pārskatus par politikām, procesiem un tehnoloģiju izvēli.

Procesi. Līdzko datu pārvaldības komanda būs definējusi, ko nozīmē personas dati, šī definīcija ir jāizziņo visam uzņēmumam. Turklāt konfidencialitātes noteikumi ir jādokumentē un jānodrošina visām uzņēmējdarbības līnijām. Tas pasargās no datu aizsardzības prasību pārkāpumiem attiecībā uz neatļautu personu piekļuvi personu datiem.

Tehnoloģijas. Ir pieejami vairāki risinājumi, kas var paātrināt un uzturēt atbilstību GDPR prasībām, tostarp:

  • pārvaldības sistēmas datu subjektu pieprasījumu apstrādei;
  • datu sistēmas lietojumprogrammu, strukturētu un nestrukturētu datu atrašanai;
  • pārvaldības sistēmas, kas seko piekrišanas gaitai;
  • identitātes un piekļuves pārvaldība, kas seko līdzi lomu pārvaldībai un tam, kurām personām ir piekļuve noteiktiem datiem;
  • dažādu sistēmu un drošības rīku kopums, tostarp pretvīrusu un droša mākoņrisinājumu programmatūra;
  • īpaši noderīgs risinājums, jo sevišķi GDPR atbilstības īstenošanas sākumposmā, ir programmatūras resursu pārvaldība jeb SAM, kas var palīdzēt izveidot sistēmas, lietotāju un ierīču redzamību. Tā ir nepieciešama, lai veicinātu pilnīgu izpratni par atbilstību personas datu aizsardzības prasībām.
  • IT audits, kas palīdzēs iegūt priekšstatu par uzņēmuma IT vidi.