Drīzumā tiks ieviesta jauna datu aizsardzības regula

Laicīgi sagatavojieties ES Vispārīgās datu aizsardzības regulas ieviešanai. Desmit ieteikumi darba uzsākšanai.
EU’s General Data Protection Regulation will affect many companies in Europe. Are you ready for the changes?

 

2016 gada maijā ES izdeva Vispārīgo datu aizsardzības regulu. Pašlaik zināms, ka 2018. gada maijā, pēc divu gadu pārejas perioda, jaunie noteikumi stāsies spēkā un uzņēmumiem būs jāievieš jaunas prasības attiecībā uz darbībām ar personas datiem.

Tā kā jēdziens “personas dati” ir plašs, faktiski tas tiks attiecināts uz gandrīz visiem uzņēmumiem. Esam apkopojuši desmit ieteikumus tūlītējai darba sākšanai.


1. Demonstrējiet noteikumu ievērošanu

Jaunās regulas ietvaros personas datu apstrādes sistēmas glabātāja pienākums ir pierādīt spēju darboties ar personas datiem atbilstošā veidā.

Praksē tas nozīmē, ka Jums jāuztur tā datu apstrādes sistēma, par kuru atbildat, lai varētu pierādīt, ka šīs darbības veiktas atbilstoši noteikumiem.

2. Pārliecinieties, vai ir saņemta piekrišana

Ja ar personas datiem veicamo darbību pamatā ir personas piekrišana, Jums ir jāspēj pierādīt, ka šādu piekrišanu esat saņēmis.

Ar piekrišanu saistītās prasības turpmāk būs stingrākas, proti,

- Piekrišanai ir jābūt skaidri sniegtai rakstiskā, elektroniskā vai mutiskā paziņojumā.

- Piekrišanai ir jāliecina par to, ka persona ir brīvprātīgi, individuāli, apzināti un skaidri paudusi vēlmi piekrist savu personas datu apstrādei.

Parasti tas var izpausties kā piekrišanai atbilstošas izvēles rūtiņas atzīmēšana.

3. Īstenojiet tiesības tikt aizmirstam

Ar Regulu tiek ieviests jauns termins — tiesības tikt aizmirstam. Praksē tas nozīmē personas tiesības datu dzēšanai no uzņēmuma datu bāzēm un personas datu apstrādes neturpināšanu.

Šāda situācija var rasties, ja persona atsauc iepriekš sniegtu piekrišanu savu personas datu izmantošanai. Tomēr, ja personas datu izmantošanai ir cits juridisks pamats, Jums nav pienākuma dzēst datus.

Ja Jums ir pienākums dzēst datus, jāinformē visas juridiskās un fiziskās personas, kas saņēmušas vai publicējušas šos datus. Tas nepieciešas, lai gādātu, ka tiek dzēstas arī visas ar konkrētu personu saistītās saites, dublikāti un kopijas.

4. Īstenojiet tiesības pārvietot datus

Pašlaik visām personām ir tiesības saņemt savus datus mašīnlasāmā formātā un tos pārsūtīt citam datu apstrādes sistēmas glabātājam.

Šīs tiesības attiecas arī uz personas datiem, ko persona ir Jums nodrošinājusi, sniedzot piekrišanu, vai vienošanās ietvaros. Personas tiesībām nosūtīt vai saņemt personas datus par sevi nebūtu jārada Jums pienākums ieviest vai uzturēt apstrādes sistēmas, kas ir tehniski saderīgas ar citām datu apstrādes sistēmām.

5. Jūs var ietekmēt profilēšanas aizliegums

Jebkurai personai ir tiesības nekļūt par tāda lēmuma subjektu, kura pamatā ir automātiska datu apstrāde un, kas var juridiski vai citādi būtiski ietekmēt attiecīgo personu. Tas nozīmē, ka nedrīkstat pieņemt svarīgu lēmumu, kas ietekmē personu, ja šī lēmuma pamatā ir automātiska datu apstrāde.

Iepriekš minētā “profilēšanas aizlieguma” izņēmums ir situācija, kad šāds lēmums nepieciešams, lai slēgtu līgumu starp personu un Jūsu uzņēmumu. Jums jāgādā par to, lai Jūsu profilēšanas un lēmumu pieņemšanas modeļi atbilstu likumam un tajos tiktu veiktas jebkādas nepieciešamās izmaiņas.

Bieži sastopams profilēšanas aizlieguma piemērs ir ar kreditēšanu saistītu lēmumu pieņemšana. Šo lēmumu pamatā bieži ir automatizētas klasifikācijas sistēmas un lēmumu pieņemšanas ieteikumi.

6. Informējiet par datu drošības pārkāpumiem

Turpmāk Jums būs pienākums informēt valsts iestādi, kas nodrošina personas datu aizsardzības pārkāpumu uzraudzību un datu apstrādes sistēmā iekļautās personas par jebkādiem datu drošības pārkāpumiem. Tas ietver situācijas, kurās tiek pārkāptas jebkura indivīda tiesības un brīvības. Šādās situācijās ir jāveic tālāk norādītās darbības.

- ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums kļuvis zināms, par to jāinformē personas datu aizsardzības pārkāpumu uzraudzības iestāde,

- Jums ir jāinformē visas ietekmētās personas par pārkāpumu, līdzko drošība var ievērojami apdraudēt šo personu tiesības un brīvības.

Lai varētu pildīt šos pienākumus, ir jāizstrādā iekšējie norādījumi un procedūras efektīva un pareiza procesa nodrošināšanai.

7. Informējiet par datu apstrādi

Pašlaik uzņēmumi visā pasaulē apkopo vairāk personas datu nekā jebkad agrāk. Lai turpmāk nodrošinātu atbilstību ES regulai, jums ir jāsniedz vairāk informācijas par Jūsu rīcībā esošo datu apstrādi nekā iepriekš.

Jums ir jānorāda personas datu glabāšanas laiks. Ja tas nav iespējams, Jums ir jāinformē par kritērijiem, kas tiek izmantoti, lai noteiktu glabāšanas laiku.

Praksē tas nozīmē nepieciešamību, piemēram, regulāri atjaunināt datu apstrādes sistēmas un datu drošības dokumentus, kā arī datu apstrādes sistēmā iekļauto personu turpmākās informēšanas plāna izstrādi.

8. Jaunā datu aizsardzības speciālista loma

Ņemot vērā, ka datu aizsardzībai tiek pievērsta arvien lielāka uzmanība, iespējams, Jums būs jānorīko darbā datu aizsardzības speciālists, kurš veiks darbības ar personas datiem. Piemēram, datu aizsardzības speciālista pakalpojumi ir nepieciešami tādām organizācijām, kurās tiek veikta plaša diapazona, regulāra un sistemātiska personu pārraudzība vai kuru pamata darbību pamatā ir šāda pārraudzība.  Tādēļ ir ieteicams novērtēt, vai prasība izmantot datu aizsardzības speciālista pakalpojumus attiecas uz Jūsu uzņēmumu.

9. Ja izmantojat ārpakalpojumu darbībām ar personas datiem, jāveic aizsardzības pasākumi

Ja ārpakalpojuma sniedzējs veic jebkādu datu apstrādes daļu un veic darbības ar personas datiem Jūsu uzņēmuma vārdā, Jums:

- ir jānodrošina atbilstoši tehniski un organizatoriski aizsardzības pasākumi, kas atbilst noteikumu prasībām.

- ir jāgādā par datu apstrādes sistēmās iekļauto personu tiesību aizsardzību.

Praksē tas nozīmē, ka Jums ir jāidentificē situācijas, kurās ārpakalpojuma izmantošana ir piemērota, un jāgādā par pareizu līgumu izstrādi. Piemēram, datu glabāšana mākoņpakalpojumos tiek uzskatīta par ārpakalpojuma izmantošanu arī tad, ja pakalpojumu sniedzējs neveic datu aktīvu apstrādi.

10. Par pārkāpumiem var tikt piemērots ievērojams naudas sods

Par datu aizsardzības regulas pārkāpumu var tikt piemērots ne tikai brīdinājums, bet arī ievērojams naudas sods. Naudas soda apmērs var būt līdz pat 20 miljoniem eiro vai 4 procentiem no uzņēmuma kopējā apgrozījuma.