11.01.2021
English Русский
Lejupielādēt Drukāt
Citas iespējas
Lejupielādēt Drukāt

Darbs no mājām un droša e-pastu sūtīšana (2) 3/2/21

Juridiskie jautājumi Nodokļi Personāls

Jebkurš uzņēmums, valsts vai pašvaldības iestāde vai pat individuālais komersants, kas apstrādā ES/EEZ iedzīvotāju personas datus, kuri ļauj identificēt fiziskās personas, ir pakļauts ES Vispārīgās datu aizsardzības regulas (“VDAR”) prasībām. Tās attiecas arī uz uzņēmumiem ārpus ES/EEZ, kuri piedāvā preces vai pakalpojumus ES/EEZ iedzīvotājiem. Ar šo rakstu noslēdzam pērn aizsākto tēmu.

Mārketinga aktivitātes un komerciālu paziņojumu sūtīšana

Lai uzņēmums ievērotu Vispārīgās datu aizsardzības regulas (“VDAR”) 5. pantā noteiktos datu apstrādes principus, svarīgākais ir nodrošināt likumīgu, godprātīgu un datu subjektam pārredzamu apstrādi. Fizisko personu datus var apstrādāt tikai tad, ja ievēroti visi 5. pantā noteiktie principi. Tātad uzņēmumam jābūt godīgam pret datu subjektu (fizisko personu) un apstrādes veidam jābalstās uz nepārprotamu saziņu ar datu subjektu.

Seši likumīgi pamati, lai uzņēmums varētu apstrādāt (apkopot, uzglabāt, izmantot utt.) fizisko personu datus, ir uzskaitīti VDAR 6. pantā. Saskaņā ar tā 1. punkta a) apakšpunktu datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem. Piekrišana jāiegūst nepārprotami un pēc fiziskajai personai viegli saprotama un pilnīga skaidrojuma par uzņēmuma plānoto apstrādi, tātad –

  • piekrišanai jābūt brīvi dotai, konkrētai, informētai un nepārprotamai;
  • piekrišanas pieprasījumam jābūt skaidri nošķiramam no citiem jautājumiem un jābūt uzrakstītam skaidrā un saprotamā valodā;
  • fiziskā persona var atsaukt iepriekš doto piekrišanu, kad vien to vēlas, un uzņēmumam nekavējoties jānodrošina šādu tiesību izpilde, ja nav pamatojuma, kādēļ uzņēmums nevar to nodrošināt;
  • bērni, kas jaunāki par 13 gadiem, var dot piekrišanu tikai ar vecāku atļauju;
  • jāsaglabā dokumenti, kas apliecina piekrišanu.

VDAR 6. panta 1. punkta f) apakšpunkts nosaka, ka personas datu apstrāde ir nepieciešama datu pārziņa vai trešās personas leģitīmo interešu ievērošanai, tātad uzņēmums veic apstrādi atbilstoši savām likumīgajām interesēm. Tomēr šī tiesiskā pamata izmantošanas gadījumā jāatceras, ka datu subjekta pamattiesības un brīvības var būt augstākas par uzņēmuma likumīgajām interesēm, tādēļ šis tiesiskais pamats var nebūt piemērojams un datu apstrāde nebūs iespējama.

Ievērojot savas likumīgās intereses, uzņēmums drīkst sūtīt komerciālus paziņojumus uz juridiskās personas e-pasta adresi bez iepriekš saņemtas piekrišanas, taču lietojot derīgu e-pasta adresi, uz kuru paziņojuma saņēmējs var sūtīt pieprasījumu pārtraukt komunikāciju. Šāda kārtība jāievēro arī, sūtot komerciālus paziņojumus fiziskām personām, turklāt to saturam jāatbilst Informācijas sabiedrības pakalpojumu likuma 8. panta prasībām.

VDAR nekādā veidā neaizliedz sūtīt komerciālus paziņojumus e-pastā un izmantot fizisko personu e-pasta adreses mārketinga aktivitātēm. Taču laba mārketinga gadījumā paziņojuma saņēmējs vēlēsies savā e-pastā atkārtoti saņemt informāciju, piemēram, par uzņēmuma sniegtajiem pakalpojumiem. VDAR padara skaidrākus piekrišanas noteikumus, pieprasot uzņēmumiem lūgt apstiprinošu izvēli, lai varētu nosūtīt komerciālus paziņojumus. Uzņēmums pārkāpj VDAR prasības tikai tad, ja patērētājam nav iespējas atteikties no komerciālu paziņojumu saņemšanas vai arī uzņēmums ignorē šādu atteikšanos vai sūta informāciju personai, kura nav piekritusi to saņemt un iepriekš nav izmantojusi līdzīgus pakalpojumus.

E-pasta drošība

Saskaņā ar VDAR 5. panta 1. punkta f) apakšpunktu personas dati jāapstrādā tā, lai nodrošinātu atbilstošu personas datu drošību, tostarp aizsardzību pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus.

E-pasta šifrēšana ir viens no tehniskajiem pasākumiem, ko var veikt, lai e-pastā apstrādātie dati būtu drošībā. Organizatoriskie pasākumi savukārt ir saistīti ar uzņēmuma iekšējās kārtības noteikumiem un instrukcijām, kā arī apmācību organizēšanu. Ar pikšķerēšanas e-pastiem hakeri mēģina piekļūt lietotāja kontam vai ierīcei, izmantojot maldināšanu vai ļaunatūru. Ja e-pasta saņēmējs klikšķina vai lejuplādē kādu pievienoto datni, šī darbība var ļaut uzbrucējam piekļūt ierīcei un bieži vien arī citām uzņēmuma ierīcēm un e-pastu lietotāju kontiem, tātad viena darbinieka kļūda var apdraudēt lielu datu apjomu. Nespējot pierādīt uzraudzības iestādei atbilstošu tehnisko un organizatorisko pasākumu ieviešanu, uzņēmumam var nākties samaksāt būtisku sodu par VDAR neievērošanu, kā arī maksāt kompensācijas fiziskām personām (datu subjektiem) par to tiesību neievērošanu.

Lai mazinātu pārkāpumu risku, uzņēmumam ir svarīgi izglītot savus darbiniekus par e-pasta drošību, vienlaikus ieviešot tādus tehniskos un organizatoriskos pasākumus, kas vislabāk aizsargā personas datus, lai iespējamais sods būtu pēc iespējas mazāks.

Dalīties ar rakstu

Ja Jums ir kāds komentārs par šo rakstu, lūdzu, iesūtiet to šeit lv_mindlink@pwc.com

Uzdot jautājumu

Saistītie raksti

Skatīt visas Īsziņas
22.12.2020

Darbs no mājām un droša e-pastu sūtīšana (1) (2/52/20)
Juridiskie jautājumi Nodokļi Ieturējuma nodoklis

Jebkurš uzņēmums, valsts vai pašvaldības iestāde vai pat individuālais komersants, kas apstrādā ES/EEZ iedzīvotāju personas datus, kuri ļauj identificēt fiziskās personas, ir pakļauts ES Vispārīgās datu aizsardzības regulas (“VDAR”) prasībām. Tās attiecas arī uz uzņēmumiem ārpus ES/EEZ, kuri piedāvā preces vai pakalpojumus ES/EEZ iedzīvotājiem. Šajā rakstā – par VDAR prasībām un to ievērošanu datu apstrādē e-pastos.