Jebkurš uzņēmums, valsts vai pašvaldības iestāde vai pat individuālais komersants, kas apstrādā ES/EEZ iedzīvotāju personas datus, kuri ļauj identificēt fiziskās personas, ir pakļauts ES Vispārīgās datu aizsardzības regulas (“VDAR”) prasībām. Tās attiecas arī uz uzņēmumiem ārpus ES/EEZ, kuri piedāvā preces vai pakalpojumus ES/EEZ iedzīvotājiem. Ar šo rakstu noslēdzam pērn aizsākto tēmu.
Lai uzņēmums ievērotu Vispārīgās datu aizsardzības regulas (“VDAR”) 5. pantā noteiktos datu apstrādes principus, svarīgākais ir nodrošināt likumīgu, godprātīgu un datu subjektam pārredzamu apstrādi. Fizisko personu datus var apstrādāt tikai tad, ja ievēroti visi 5. pantā noteiktie principi. Tātad uzņēmumam jābūt godīgam pret datu subjektu (fizisko personu) un apstrādes veidam jābalstās uz nepārprotamu saziņu ar datu subjektu.
Seši likumīgi pamati, lai uzņēmums varētu apstrādāt (apkopot, uzglabāt, izmantot utt.) fizisko personu datus, ir uzskaitīti VDAR 6. pantā. Saskaņā ar tā 1. punkta a) apakšpunktu datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem. Piekrišana jāiegūst nepārprotami un pēc fiziskajai personai viegli saprotama un pilnīga skaidrojuma par uzņēmuma plānoto apstrādi, tātad –
VDAR 6. panta 1. punkta f) apakšpunkts nosaka, ka personas datu apstrāde ir nepieciešama datu pārziņa vai trešās personas leģitīmo interešu ievērošanai, tātad uzņēmums veic apstrādi atbilstoši savām likumīgajām interesēm. Tomēr šī tiesiskā pamata izmantošanas gadījumā jāatceras, ka datu subjekta pamattiesības un brīvības var būt augstākas par uzņēmuma likumīgajām interesēm, tādēļ šis tiesiskais pamats var nebūt piemērojams un datu apstrāde nebūs iespējama.
Ievērojot savas likumīgās intereses, uzņēmums drīkst sūtīt komerciālus paziņojumus uz juridiskās personas e-pasta adresi bez iepriekš saņemtas piekrišanas, taču lietojot derīgu e-pasta adresi, uz kuru paziņojuma saņēmējs var sūtīt pieprasījumu pārtraukt komunikāciju. Šāda kārtība jāievēro arī, sūtot komerciālus paziņojumus fiziskām personām, turklāt to saturam jāatbilst Informācijas sabiedrības pakalpojumu likuma 8. panta prasībām.
VDAR nekādā veidā neaizliedz sūtīt komerciālus paziņojumus e-pastā un izmantot fizisko personu e-pasta adreses mārketinga aktivitātēm. Taču laba mārketinga gadījumā paziņojuma saņēmējs vēlēsies savā e-pastā atkārtoti saņemt informāciju, piemēram, par uzņēmuma sniegtajiem pakalpojumiem. VDAR padara skaidrākus piekrišanas noteikumus, pieprasot uzņēmumiem lūgt apstiprinošu izvēli, lai varētu nosūtīt komerciālus paziņojumus. Uzņēmums pārkāpj VDAR prasības tikai tad, ja patērētājam nav iespējas atteikties no komerciālu paziņojumu saņemšanas vai arī uzņēmums ignorē šādu atteikšanos vai sūta informāciju personai, kura nav piekritusi to saņemt un iepriekš nav izmantojusi līdzīgus pakalpojumus.
Saskaņā ar VDAR 5. panta 1. punkta f) apakšpunktu personas dati jāapstrādā tā, lai nodrošinātu atbilstošu personas datu drošību, tostarp aizsardzību pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus.
E-pasta šifrēšana ir viens no tehniskajiem pasākumiem, ko var veikt, lai e-pastā apstrādātie dati būtu drošībā. Organizatoriskie pasākumi savukārt ir saistīti ar uzņēmuma iekšējās kārtības noteikumiem un instrukcijām, kā arī apmācību organizēšanu. Ar pikšķerēšanas e-pastiem hakeri mēģina piekļūt lietotāja kontam vai ierīcei, izmantojot maldināšanu vai ļaunatūru. Ja e-pasta saņēmējs klikšķina vai lejuplādē kādu pievienoto datni, šī darbība var ļaut uzbrucējam piekļūt ierīcei un bieži vien arī citām uzņēmuma ierīcēm un e-pastu lietotāju kontiem, tātad viena darbinieka kļūda var apdraudēt lielu datu apjomu. Nespējot pierādīt uzraudzības iestādei atbilstošu tehnisko un organizatorisko pasākumu ieviešanu, uzņēmumam var nākties samaksāt būtisku sodu par VDAR neievērošanu, kā arī maksāt kompensācijas fiziskām personām (datu subjektiem) par to tiesību neievērošanu.
Lai mazinātu pārkāpumu risku, uzņēmumam ir svarīgi izglītot savus darbiniekus par e-pasta drošību, vienlaikus ieviešot tādus tehniskos un organizatoriskos pasākumus, kas vislabāk aizsargā personas datus, lai iespējamais sods būtu pēc iespējas mazāks.
Ja Jums ir kāds komentārs par šo rakstu, lūdzu, iesūtiet to šeit lv_mindlink@pwc.com
Uzdot jautājumuJebkurš uzņēmums, valsts vai pašvaldības iestāde vai pat individuālais komersants, kas apstrādā ES/EEZ iedzīvotāju personas datus, kuri ļauj identificēt fiziskās personas, ir pakļauts ES Vispārīgās datu aizsardzības regulas (“VDAR”) prasībām. Tās attiecas arī uz uzņēmumiem ārpus ES/EEZ, kuri piedāvā preces vai pakalpojumus ES/EEZ iedzīvotājiem. Šajā rakstā – par VDAR prasībām un to ievērošanu datu apstrādē e-pastos.
Mēs izmantojam sīkdatnes vietnes funkcionalitātes nodrošināšanai un satura kvalitātes uzlabošanai. Sīkdatnes bez kurām vietne nespēj funkcionēt ir vienmēr ieslēgtas, pārējās var brīvi ieslēgt/izslēgt izmantojot šo konfigurācijas paneli. PwC nepārdod Tavus datus trešajām personām.
Noklikšķinot uz “Apstiprināt visas sīkdatnes”, Tu piekrīti visu sīkdatņu veidu izmantošanai.
Plašāka informācija par sīkdatnēm pieejama sīkdatņu izmantošanas politikā..
Šīs sīkdatnes ir nepieciešamas lietotāju autentifikācijas nodrošināšanai. Tās var bloķēt izmantojot pārlūka uzstādījumus, taču šādā gadījumā nebūs iespējams autentificēties.
Šīs sīkdatnes ļauj mums analizēt tīmekļa vietnes apmeklējumu, datu plūsmu avotus un mērtīt vietnes veiktspēju. Šīs sīkdatnes neuzglabā personiski identificējamu informāciju.
Sīs sīkdatnes palīdz mums pielāgot vietnes saturu Jūsu interesēm un uzlabo reklāmu kvalitāti (neļauj tām nepārtraukti atkārtoties, utt).