Citas iespējas
Lejupielādēt Drukāt

Darbs no mājām un droša e-pastu sūtīšana (1) (2/52/20)

Jebkurš uzņēmums, valsts vai pašvaldības iestāde vai pat individuālais komersants, kas apstrādā ES/EEZ iedzīvotāju personas datus, kuri ļauj identificēt fiziskās personas, ir pakļauts ES Vispārīgās datu aizsardzības regulas (“VDAR”) prasībām. Tās attiecas arī uz uzņēmumiem ārpus ES/EEZ, kuri piedāvā preces vai pakalpojumus ES/EEZ iedzīvotājiem. Šajā rakstā – par VDAR prasībām un to ievērošanu datu apstrādē e-pastos.

 

Uzņēmumam, kas neievēro VDAR prasības, var uzlikt naudas sodu 20 miljonu eiro vai 4% apmērā no uzņēmuma kopējā vispasaules apgrozījuma iepriekšējā pārskata gadā.
 
Pirmais, kas nāk prātā saistībā ar datu apstrādi uzņēmuma e-pastos, ir VDAR prasības, kas jāievēro mārketinga aktivitātēs, tostarp komerciālu paziņojumu izsūtīšanā, taču ir arī citi tikpat svarīgi aspekti, piemēram, e-pastu šifrēšana un drošība.
 
Uz kādiem uzņēmumiem attiecas VDAR prasības?
 
Ievācot, glabājot vai citādi apstrādājot personu datus ES/EEZ valstīs, šādai apstrādei piemēro VDAR normas neatkarīgi no uzņēmuma atrašanās vietas. Ļoti daudziem uzņēmumiem nāksies savu darbības modeli pielāgot VDAR prasībām, jo ikvienu uzņēmumu veido cilvēki: darbinieki, klienti, sadarbības partneri.
 
VDAR nosaka integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma, proti, uzņēmumiem vienmēr jāņem vērā visu jauno vai tirgū pieejamo preču vai pakalpojumu ietekme uz datu aizsardzību. VDAR 5. pantā ir uzskaitīti datu apstrādes principi, kas jāievēro pārzinim. Šifrēšana un pseidonimizācija ir tikai daži no tehniskajiem pasākumiem, ko ieteicams veikt, lai mazinātu iespējamo kaitējumu, ja trešajai personai izdevies piekļūt uzņēmuma e-pastiem.
 
Šobrīd e-pastu šifrēšana ir piemērota metode, lai kaut daļēji aizsargātu e-pastos pieejamos personas datus. Šādā veidā uzņēmums var pierādīt, ka datu apstrādē veicis atbilstošus tehniskos un organizatoriskos pasākumus, kas nodrošina VDAR prasību ievērošanu un datu subjekta tiesību aizsardzību. Kaut arī e-pastu šifrēšana saskaņā ar VDAR nav obligāta, katra pārziņa pienākums ir veikt vispiemērotākos pasākumus VDAR atbilstošas datu apstrādes nodrošināšanai.
 
E-pastu glabāšana
 
Saskaņā ar VDAR, lai nodrošinātu, ka personas datus neglabā ilgāk nekā nepieciešams, pārzinim jānosaka datu dzēšanas vai periodiskas pārskatīšanas termiņi. Jāveic visi saprātīgi pasākumi, lai nodrošinātu neprecīzu datu labošanu vai dzēšanu. Dzēšana ir būtiska datu apstrādes procesa daļa, un dati jādzēš, lai nepārkāptu VDAR prasības. Dzēšana ir viens no sešiem datu aizsardzības principiem. VDAR 5. panta e) apakšpunktā noteikts, ka personas datus var uzglabāt ne ilgāk kā nepieciešams nolūkiem, kādos tos apstrādā. Datu dzēšana ir arī viena no personas tiesībām, ko aizsargā VDAR 17. pants, jeb visiem zināmās tiesības tikt “aizmirstam.” Datu subjektam ir tiesības panākt, lai pārzinis bez nepamatotas kavēšanās dzēstu šīs personas datus, un pārziņa pienākums ir bez nepamatotas kavēšanās tos dzēst. Protams, katrs šāds lūgums vērtējams atsevišķi, un ir izņēmumi, kad pārzinis (uzņēmums) var dzēšanu atteikt, piemēram, sabiedrības interesēs. Tomēr, ja nav šādu pamatotu izņēmumu, tad pārzinim ir pienākums izdzēst personas datus, kas tam vairs nav vajadzīgi vai ir kļuvuši nederīgi mērķim, kādam tie sākotnēji iegūti.
 
Kādā veidā datu dzēšanas prasības var attiecināt uz e-pastiem? Daudzi no mums nekad neizdzēš e-pastus. Ir daudz labu iemeslu turpināt glabāšanu ar domu, ka varbūt vēl noderēs. Mums var nākties šos e-pastus kādreiz pārskatīt saistībā ar saviem sadarbības partneriem, vai arī e-pasti var glabāt informāciju, kas nepieciešama plānotajai tiesvedībai. Lai gan šie datu glabāšanas iemesli ir ļoti būtiski, jāatceras – jo vairāk datu glabājam, jo lielāka būs uzņēmuma atbildība, ja notiks datu pārkāpums. Turklāt ES likumvide paredz nevajadzīgu personas datu dzēšanu. Saskaņā ar VDAR uzņēmumam periodiski jāpārskata sava e-pastu glabāšanas kārtība, lai mazinātu darbinieku e-pastos glabāto datu apjomu un apkopotu tikai to informāciju, kas varētu būt nepieciešama atbilstoši minētajiem mērķiem. Uzņēmumā jābūt dokumentācijai, kas līdzsvaro tā likumīgās uzņēmējdarbības intereses ar VDAR noteiktajiem datu aizsardzības pienākumiem.
 
No tehniskā viedokļa e-pastos pieejamo datu dzēšana var būt diezgan vienkāršs process, ko uzņēmums var automatizēt, lai nodrošinātu e-pastu dzēšanu ar uzņēmuma noteikto regularitāti. Neatkarīgi no uzņēmuma ieviestās e-pastu glabāšanas un dzēšanas kārtības tā palīdz būtiski mazināt VDAR prasību neievērošanas riskus.
 
(nobeigums – nākamajās Īsziņās)
 

Dalīties ar rakstu

Ja Jums ir kāds komentārs par šo rakstu, lūdzu, iesūtiet to šeit lv_mindlink@pwc.com

Uzdot jautājumu