Pirmais solis būtu identificēt, kur un kādi personas dati tiek glabāti uzņēmumā:

Vispirms ir jāsaprot, ka personas dati ir jebkādi dati, pēc kuriem var atpazīt noteiktu personu, piemēram, vārds, e-pasta adrese, bankas dati, IP adrese, ieraksti sociālajos tīklos. Pastāv arī īpašo kategoriju personas dati un tie būtu – dokumenti, rases un etniskās piederības dati, politiskie uzskati, reliģiskā un filozofiskā pārliecība, dalība arodbiedrības, kā arī ģenētiskie, biometriskie un veselības dati, dati par dzimumdzīvi un seksuālo orientāciju.

Datu glabāšanas vietas var būt dažādas, sākot ar darba galda atvilktni un beidzot ar IT sistēmu rezerves kopijām. Atceries, ka dati var atrasties e-pastos, dokumentos, vizītkartēs, datu bāzēs, pārnēsājamos datu nesējos u.c.

Kad dati ir atklāti, tos ir nepieciešams pārvaldīt, proti, noteikt, kā personu dati tiek lietoti un kā tiem piekļūt. Jāievieš datu apstrādes noteikumi, kuros detalizēti ir aprakstīta datu apstrādes procedūra un citi svarīgi noteikumi.

Pēc atklāšanas un pārvaldības definēšanas, dati ir jāaizsargā – ir jāuzstāda drošības kontroles mehānismi, lai varētu novērst, atklāt un atbildēt uz ievainojamībām, kā arī citiem pārkāpumiem.

Datu apstrādes noteikumos ir svarīgi iekļaut šādu informāciju:
  • Datu apstrādes pamatojumu un mērķi – kāpēc dati tiek ievākti un uz kāda pamata. Pamats apstrādei var būt: līgums; likumiskās tiesības un pienākumi; leģitīmās intereses; pašas personas piekrišana viņa datu apstrādei; vitālas intereses; sabiedrības intereses vai juridiskais pienākums.
  • Datu apstrādes termiņulai nodrošinātu, ka personas datus neglabā ilgāk nekā nepieciešams, pārzinim ir jānosaka termiņi, kad dati tiek dzēsti, vai termiņi periodiski jāpārskata.
  • Piekļuves tiesības datiem – kas, kā un kad piekļūst datiem. Katram datu veidam ir jānosaka atbildīgā persona, kurai/kurām ir tiesības piekļūt datiem. Datus nedrīkst ļaut izmantot personām, uz kurām tie neattiecas.
Darbības varētu iedalīt sekojošās kategorijās:
  • preventīvas darbības – šeit ietilpst jau iepriekš minētie soļi – datu atklāšana un pārvaldība, kā arī organizācijas tehnisko un organizatorisko risinājumu nodrošinājums un regulāri izstrādāto noteikumu atjaunojumi un to caurskate. Turklāt, ir jāapsver datu aizsardzības speciālista pieaicināšana.
  • darbinieku apmācība – ir svarīgi informēt darbiniekus par jaunu darba kārtību un viņu pienākumiem, kā arī noteikumiem, kuri jāievēro, strādājot ar personu datiem;
  • pārkāpumu noteikšana un reakcijas laiks, kas ietver: sistēmu uzraudzību, pārkāpuma atpazīšanu, ietekmes aprēķinu, plānotu reakciju, ārkārtas datu atkopšanu. Jaunā regula paredz, ka pēc pārkāpuma konstatēšanas par to 72 stundu laikā ir jāziņo valsts uzraudzības iestādei.
  • uzbrukumu novēršana – datu aizsardzība, kas sevī ietver datu centra fizisko drošību, tīkla drošību, glabātuves drošību, skaitļošanas drošību, identitātes pārvaldību, pieeju kontroli, kā arī šifrēšanu un riska mazināšanu.

Ziņot – šis punkts ietver personu pieprasījumu pārvaldību un ziņojumus par iespējamiem pārkāpumiem, ko var nodrošināt speciāli izstrādāti ziņošanas rīki un sistēmas. Jāpievērš uzmanība, ka organizācijās, kuras strādā ar lielu personas datu apjomu, sistēmām ir jābūt labi izstrādātām, lai tās ļautu kvalitatīvi un ātri atlasīt personas pieprasītos datus un visu saistošo informāciju, kā arī ļauj organizācijām pildīt savu pienākumu – ziņot par pārkāpumiem 72 stundu laikā.

Ar ko sākt?

Nodarbība 5 no 5


Jautājums 1 no 2

1. Vai personas pieprasījums dzēst viņa datus nozīmē, ka dati jādzēš no visām sistēmām?

Kuri dati ir uzskatāmi par īpašu kategoriju personas datiem?

Uzvara!

Apsveicam! Esi veiksmīgi izturējis testu!
Saņemt virtuālo sertifikātu

Tests neveiksmīgs

Diemžēl kaut kur esi kļūdījies.