30.11.2017

Katram uzņēmumam pēc iespējas ātrāk kritiski jāizvērtē veiktā datu apstrādes atbilstība Regulai

Trešdien, 29. novembrī, Tieslietu ministrijas valsts sekretārs Raivis Kronbergs piedalījās Latvijas Tirdzniecības un rūpniecības kameras (LTRK) un informācijas tehnoloģiju uzņēmuma “Squalio” rīkotajā seminārā “Kā mazajam biznesam sagatavoties personu datu aizsardzības regulai (GDPR)”, lai iezīmētu Vispārīgās datu aizsardzības regulas (turpmāk – Regula) nozīmi un stāstītu par izmaiņām pēdējo 20 gadu laikā fizisko personu datu aizsardzības jomā.

Tieslietu ministrijas valsts sekretārs R. Kronbergs atzīmē: “Pēc Regulas spēkā stāšanas 2016.gadā katrai organizācijai bija 2 gadi, lai uzņēmuma iekšienē veiktu personas datu apstrādes kritisku pārskatīšanu un konstatētās neatbilstības novērstu. Šobrīd uzņēmējiem ir 6 mēneši, lai šo darbu pabeigtu. Esmu pilnīgi drošs un pārliecināts, ka veicot atbilstošus priekšdarbus un ievērojot zemāk minētos ieteikumus, ikviens uzņēmums, organizācija vai iestāde var pietiekami labi sagatavoties jaunās Regulas ieviešanai. Būtiski minēt arī, ka atbildīgo iestāžu, Tieslietu ministrijas un Datu valsts inspekcijas (DVI), nostāja šajā jautājumā ir vispirms konsultēt un tikai pēc tam sodīt, tomēr jautājumam jāpieiet atbildīgi, tāpēc aicinu uzņēmumus pēc iespējas ātrāk izvērtēt, vai to veiktā datu apstrāde atbilst Regulas noteikumiem”.

  • Darbinieku izglītošana – lielākoties Latvijā trūkst pareizas izpratnes par to, kas ir personas dati, kādi ir personas datu aizsardzības pamatprincipi. Šos jautājumus Regula būtiski nemaina. Līdz ar to, pirms sākt gatavoties Regulas prasību izpildei, ir nepieciešams apmācīt darbiniekus – gan tos, kuru darba pienākumi jau šobrīd ir saistīti ar personas datu izmantošanu, gan tos, kuri iesaistīsies Regulas ieviešanā.
  • Esošās situācijas apzināšana, datu apjoma mazināšana – pēc tam, kad procesā iesaistītajiem ir skaidrs, kādu darbību veikšanas kārtību Regula nosaka, ir nepieciešams apzināt visas datu plūsmas. Jāidentificē, no kurām personām, kādi dati un kādam mērķim tiek iegūti, kā arī kādi dati, kurām personām un ar kādu mērķi tiek nodoti. Šis ir priekšnosacījums, lai saprastu, vai un kādas anketas, līgumi, iesniegumu formas ir jāmaina.  Tas ļaus arī secināt, vai tiek apstrādāti personas dati, kuri nav nepieciešami vai vairs nav nepieciešami tiesiska mērķa sasniegšanai. Piemēram, darba devējam nav nepieciešamības no darbinieka iegūt gan deklarētās, gan faktiskās dzīvesvietas adresi. Līdz ar to šos liekos personas datus vajadzētu dzēst, tādā veidā samazinot aizsargājamo personas datu apjomu.
  • Jāmaina anketas, iesniegumu formas, zīmes par videonovērošanas veikšanu – Regula paredz stingrākas prasības piekrišanai kā personas datu apstrādes pamatam. Līdz ar to izmaiņas būs jāveic dažādās iesniegumu formās, piemēram, anketās, kuras tiek izmantotas klienta kartes iegūšanai, anketās, ar kurām persona izsaka piekrišanu piedalīties klientu pētījumā vai saņemt reklāmu.
  • Izmaiņas līgumos ar pakalpojumu sniedzējiem un to sniegto garantiju pārbaude – lai izpildītu Regulas prasības, būs jāmaina arī līgumi, kuri tiek slēgti ar ārpakalpojumu sniedzējiem, ja šie pakalpojumi ietver personas datu apstrādi, jo Regula nosaka, kādam ir jābūt šī līguma saturam. Piemēram, ja tiek izmantoti cita uzņēmuma servera pakalpojumi, cits uzņēmums veic Jūsu uzņēmuma darbinieku algu aprēķinu, sagatavo un izsūta Jūsu klientiem rēķinus vai veic Jūsu uzņēmuma dokumentu iznīcināšanu, tad šie līgumi būs jāpapildina ar Regulā noteikto saturu.
  • Aizsardzības pasākumiem ir jābūt atbilstošiem riskiem – Regula paredz, ka tehniski un organizatoriski datu aizsardzības pasākumi un procedūras ir jāievieš atbilstoši iespējamajiem riskiem fizisko personu tiesībām un brīvībām, un to pakāpei. Līdz ar to pēc datu plūsmas apzināšanas vajadzētu novērtēt riskus (dažādas iespējamības un smaguma pakāpes riskus), ko rada datu apstrāde. Ir jāapzina riska iestāšanās iespējamība, negatīvo seku veidi un apmēri, un jānodrošina to pārvaldība.

Īpaša vērība jāpievērš nejauši vai nelikumīgi nosūtītu, uzglabātu vai citādi apstrādātu personas datu iznīcināšanai, nozaudēšanai, pārveidošanai, neatļautai izpaušanai vai piekļuvei tiem.

  • Regulas ieviešanas organizēšana – ņemot vērā to, ka jauno prasību ieviešana ir visai laikietilpīgs un atbildīgs process, uzņēmumiem un iestādēm jau šobrīd vajadzētu nozīmēt par Regulas ieviešanu atbildīgos darbiniekus. Vislietderīgāk ir veidot dažādu kompetenču darbinieku grupu, tajā apvienojot gan juristus un IT speciālistus, gan personāla vadības speciālistus un darbiniekus ar riska novērtēšanas, vadības un projektu vadīšanas pieredzi. Protams, ir lietderīgi izvērtēt kompetentu speciālistu piesaisti no malas, kas ātri un, iespējams, daudz efektīvāk varētu palīdzēt sagatavoties jauno prasību izpildei.

Papildu informācija:

2018. gada 25. maijā tiks uzsākta Regulas piemērošana, kas paredz vienotu regulējumu visā ES teritorijā. Ja šobrīd spēkā ir Direktīva 95/46, kas katrā valstī ir ieviesta ar nacionāliem tiesību aktiem, tad Regula ir tieši piemērojama un tai ir tāds pats spēks kā jebkuram citam Latvijas likumam. Regulas noteikumus piemēro vienlīdzīgi gan valsts, gan privātajam sektoram.

Datu aizsardzības prasības eksistē Latvijas nacionālajā regulējumā jau tagad. Kopš 2000. gada darbojas Fizisko personu datu aizsardzības likums, kas nosaka pienākumus pārziņiem (kompānijas un organizācijas, kuri apstrādā, (t.i. vāc, glabā, izmanto, nodot, apmainās) personas datus (vārds, uzvārds, adrese, personas kods, tālruņa numurs, ģimenes stāvoklis, dati par veselību, īpašumu u.c.)) un tiesības datu subjektiem (cilvēkiem, kuru dati tiek apstrādāti). Regula precizē eksistējošos noteikumus un pielāgo tos jaunām tehnoloģijām, ļaujot cilvēkam daudz vairāk kontrolēt, kas notiek ar viņa datiem.

Bezmaksas seminārā “Kā mazajam biznesam sagatavoties personu datu aizsardzības regulai (GDPR)” bija iespēja uzzināt, kas ir Vispārējā datu aizsardzības regula, kādas jaunas prasības tā uzliek uzņēmumiem un ko darīt, lai tām atbilstu un aizsargātu darbu ar personu datiem.