Mūsu desmit padomus par gatavošanos vispārīgajai datu aizsardzības regulai lasiet šeit

FROM THE AGENCY Laicīgi sagatavojieties ES Vispārīgās datu aizsardzības regulas ieviešanai. Tālāk ir sniegti desmit ieteikumi darba sākšanai.

gada maijā ES izdeva Vispārīgo datu aizsardzības regulu. Pašlaik ir zināms, ka 2018. gada maijā pēc divu gadu pārejas perioda jaunie noteikumi stāsies spēkā līdz ar ko uzņēmumiem jāievieš jaunas darba prasības attiecībā uz darbībām ar personas datiem.

Tā kā jēdziens “personas dati” ir plašs, faktiski tas tiks attiecināts uz gandrīz visiem uzņēmumiem. Ņemot vērā, ka  līdz datu aizsardzības noteikumu īstenošanai ir atlicis tikai mazliet vairāk par 300 darba dienām, esam apkopojuši desmit ieteikumus tūlītējai darba sākšanai.


1. Demonstrējiet noteikumu ievērošanu
Jaunās regulas ietvaros personas datu apstrādes sistēmas glabātāja pienākums ir pierādīt spēju darboties ar personas datiem atbilstošā veidā.

Praksē tas nozīmē, ka jums ir jāuztur tās datu apstrādes sistēma, par kurām atbildat, lai varētu pierādīt, ka šīs darbības tiek veiktas atbilstoši noteikumiem. 

2. Pārliecinieties, vai ir saņemta piekrišana
Ja ar personas datiem veicamo darbību pamatā ir personas piekrišana, jums ir jāspēj pierādīt, ka esat saņēmis šādu piekrišanu.

Turklāt ar piekrišanu saistītās prasības turpmāk būs stingrākas, kā aprakstīts tālāk.

- Piekrišanai ir jābūt skaidri sniegtai rakstiskā, elektroniskā vai mutiskā paziņojumā.
- Piekrišanai ir jāliecina par to, ka persona ir brīvprātīgi, individuāli, apzināti un skaidri paudusi vēlmi piekrist savu personas datu apstrādei.
- Parasti tas var izpausties kā piekrišanai atbilstošas izvēles rūtiņas atzīmēšana.

3. Īstenojiet tiesības tikt aizmirstam
Ar Regulu tiek ieviests jauns termins — tiesības tikt aizmirstam. Praksē tas nozīmē personas tiesības personas datu dzēšanai no uzņēmuma datu bāzēm un personas datu apstrāde neturpināšanu.

Šāda situācija var rasties, ja persona atsauc iepriekš sniegtu piekrišanu savu personas datu izmantošanai. Tomēr, ja personas datu izmantošanai ir cits juridisks pamats, jums nav pienākuma dzēst datus.

Ja jums ir pienākums dzēst datus, jums ir jāinformē visas juridiskās un fiziskās personas, kas ir saņēmušas vai publicējušas šos datus. Tas ir nepieciešas, lai gādātu, ka tiek dzēstas arī visas ar konkrētu personu saistītās saites, dublikāti un kopijas.

4. Īstenojiet tiesības pārvietot datus
Pašlaik visām personām ir tiesības saņemt savus datus mašīnlasāmā formātā un tos pārsūtīt citam datu apstrādes sistēmas glabātājam.

Šīs tiesības attiecas arī uz personas datiem, ko persona ir jums nodrošinājusi, sniedzot piekrišanu, vai vienošanās ietvaros. Personas tiesībām nosūtīt vai saņemt personas datus par sevi nebūtu jārada Jums pienākums ieviest vai uzturēt apstrādes sistēmas, kas ir tehniski saderīgas ar citām datu apstrādes sistēmām.

5. Jūs var ietekmēt profilēšanas aizliegums
Jebkurai personai ir tiesības nekļūt par tāda lēmuma subjektu, kura pamatā ir automātiska datu apstrāde un, kas var juridiski vai citādi būtiski ietekmēt attiecīgo personu. Citiem vārdiem sakot, tas nozīmē, ka nedrīkstat pieņemt svarīgu lēmumu, kas ietekmē personu, ja šī lēmuma pamatā ir automātiska datu apstrāde.

Iepriekš minētā “profilēšanas aizlieguma” izņēmums ir situācija, kad šāds lēmums ir nepieciešams, lai slēgtu līgumu starp personu un jūsu uzņēmumu. Jums ir jāgādā par to, lai jūsu profilēšanas un lēmumu pieņemšanas modeļi atbilstu likumam un tajos tiktu veiktas jebkādas nepieciešamās izmaiņas. 

Bieži sastopams profilēšanas aizlieguma piemērs ir ar kreditēšanu saistītu lēmumu pieņemšana. Šo lēmumu pamatā bieži ir automatizētas klasifikācijas sistēmas un lēmumu pieņemšanas ieteikumi.

6. Informējiet par datu drošības pārkāpumiem
Turpmāk jums būs pienākums informēt valsts iestādi, kas nodrošina personas datu aizsardzības pārkāpumu uzraudzību un datu apstrādes sistēmā iekļautās personas par jebkādiem datu drošības pārkāpumiem. Tas ietver situācijas, kurās tiek pārkāptas jebkura indivīda tiesības un brīvības. Šādās situācijās ir jāveic tālāk norādītās darbības.

- ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms par to jāinformē personas datu aizsardzības pārkāpumu uzraudzības iestāde,
- Jums ir jāinformē visas ietekmētās personas par pārkāpumu, līdzko drošība var ievērojami apdraudēt šo personu tiesības un brīvības.

Lai varētu pildīt šos pienākumus, ir jāizstrādā iekšējie norādījumi un procedūras efektīva un pareiza procesa nodrošināšanai.

7. Informējiet par datu apstrādi
Pašlaik uzņēmumi visā pasaulē apkopo vairāk personas datu nekā jebkad agrāk. Lai turpmāk nodrošinātu atbilstību ES regulai, jums ir jāsniedz vairāk informācijas par Jūsu rīcībā esošo datu apstrādi nekā iepriekš.

Tas nozīmē, ka jums ir jānorāda personas datu glabāšanas laiks. Ja tas nav iespējams, jums ir jāinformē par kritērijiem, kas tiek izmantoti, lai noteiktu glabāšanas laiku.

Praksē tas nozīmē nepieciešamību, piemēram, atjaunināt datu apstrādes sistēmas un datu drošības dokumentus, kā arī datu apstrādes sistēmā iekļauto personu turpmākās informēšanas plāna izstrādi.

8. Jaunā datu aizsardzības speciālista loma
Ņemot vērā, ka  datu aizsardzībai tiek pievērsta arvien lielāka uzmanība, iespējams, jums būs jānorīko darbā datu aizsardzības speciālists, kurš veiks darbības ar personas datiem. Piemēram, datu aizsardzības speciālista pakalpojumi ir nepieciešami tādām organizācijām, kurās tiek veikta plaša diapazona, regulāra un sistemātiska personu pārraudzība vai kuru pamata darbību pamatā ir šāda pārraudzība.  Tādēļ ir ieteicams novērtēt, vai prasība izmantot datu aizsardzības speciālista pakalpojumus attiecas uz jūsu uzņēmumu.

9. Ja izmantojat ārpakalpojumu darbībām ar personas datiem, jums būs jāveic aizsardzības pasākumi
Ja ārpakalpojuma sniedzējs veic jebkādu datu apstrādes daļu un veic darbības ar personas datiem jūsu uzņēmuma vārdā, jums būs jāveic tālāk norādītās darbības.

- Jums ir jānodrošina atbilstoši tehniski un organizatoriski aizsardzības pasākumi, kas atbilst noteikumu prasībām.
- Jums ir jāgādā par datu apstrādes sistēmās iekļauto personu tiesību aizsardzību.

Praksē tas nozīmē, ka jums ir jāidentificē tās situācijas, kurās ārpakalpojuma izmantošana ir piemērota, un jāgādā par pareizu līgumu izstrādi. Piemēram, datu glabāšana mākoņpakalpojumos tiek uzskatīta par ārpakalpojuma izmantošanu arī tad, ja pakalpojumu sniedzējs neveic datu aktīvu apstrādi.

10. Par pārkāpumiem var tikt piemērots ievērojams naudas sods
Par datu aizsardzības regulas pārkāpumu var tikt piemērots ne tikai brīdinājums, bet arī ievērojams naudas sods. Naudas soda apmērs var būt līdz pat 20 miljoniem EUR vai 4 procentiem no uzņēmuma kopējā apgrozījuma.