29.08.2017
Lejupielādēt Drukāt
Citas iespējas
Lejupielādēt Drukāt

Kā grāmatveži nodrošina personas datu aizsardzību (3/35/17)

Nodokļi
Globalizācija un strauja tehnoloģiju attīstība padara personiska rakstura informāciju publiski un globāli pieejamu, it īpaši caur tiešsaistes informācijas apmaiņas portāliem. Taču katram ir tiesības aizsargāt savus personas datus un kontrolēt to pieejamību trešajām personām. Vispārīgā datu aizsardzības regula, kuras piemērošana būs obligāta ar 2018. gada 25. maiju, vērš pastiprinātu uzmanību uz nepieciešamību nodrošināt fizisko personu datu augsta līmeņa aizsardzību. Regula nosaka arī bargākas soda sankcijas par datu aizsardzības prasību neievērošanu.
 
Praksē privātpersonu dati ir neatņemami darba tiesisko attiecību nodibināšanas procesā, algu aprēķinos, rēķinos, līgumos u.c. Šajā rakstā – par normatīvo aktu aspektiem, kas jāņem vērā grāmatvežiem, ikdienā strādājot ar pirmdokumentiem un veicot personas datu apstrādi.
 
Tiesiskais pamats
 
Latvijā spēkā esošie tiesību akti jau šobrīd nosaka diezgan plašu pienākumu loku datu pārziņiem un apstrādātājiem. Taču ir svarīgi ņemt vērā, ka līdz ar regulas spēkā stāšanos ir paredzētas apjomīgas soda sankcijas par tās prasību neievērošanu – administratīvais naudas sods var sasniegt 20 miljonus eiro vai 4% no uzņēmuma globālā apgrozījuma iepriekšējā finanšu gadā (atkarībā no tā, kura summa ir lielāka).
 
Fizisko personu datus var apstrādāt, ja to apstrādei ir tiesisks pamats. Grāmatvedības ārpakalpojuma sniedzēji visbiežāk darbosies kā operatori, kas apstrādā personas datus citas personas uzdevumā grāmatvedības pakalpojumu sniegšanas nolūkos. Savukārt uzņēmuma iekšējie grāmatveži datu apstrādi veiks gan kā operatori, gan kā personas datu pārziņi atkarībā no tā, vai personas datu apstrādes mērķus un līdzekļus nosaka pats uzņēmums vai kāda cita persona.
 
Šobrīd spēkā esošais “Fizisko personu datu aizsardzības likums” nosaka šādus gadījumus, kad pārzinis var apstrādāt datus:
  • ir datu subjekta piekrišana;
  • datu apstrāde izriet no līgumsaistībām ar datu subjektu vai arī ir nepieciešama, lai noslēgtu attiecīgu līgumu;
  • datu apstrāde ir nepieciešama pārzinim likumā noteikto pienākumu veikšanai;
  • datu apstrāde ir nepieciešama, lai aizsargātu datu subjekta vitāli svarīgas intereses;
  • datu apstrāde ir nepieciešama, lai nodrošinātu sabiedrības interešu ievērošanu vai realizētu publiskas varas uzdevumus;
  • datu apstrāde ir nepieciešama, lai realizētu pārziņa vai tās trešās personas likumiskās intereses, kurai personas dati ir atklāti.

Tādējādi datu apstrādātājam ir jānošķir, vai datu apstrāde tiek veikta citas personas uzdevumā vai arī pats uzņēmums nosaka datu apstrādes mērķus un līdzekļus. Apstrādājot personas datus, arī grāmatvedim ir jāpārliecinās, ka pastāv tiesisks pamats datu apstrādei – datu apstrādi nosaka līgums ar pārzini vai arī pastāv kāds no likuma 7. pantā minētajiem priekšnoteikumiem.

Datu apstrādes principi

Apstrādājot fizisko personu datus, ir jāņem vērā vairāki datu apstrādes principi:

  • Datus apstrādā godprātīgi un likumīgi – pastāv tiesisks personas datu apstrādes pamats;
  • Datu apstrādi veic konkrētiem mērķiem un tikai saskaņā ar tiem, tātad konkrētu personas datu apstrāde – gan darbības ar datiem, gan datu glabāšana – notiek kādam konkrētam mērķim, piemēram, datu apstrāde ir nepieciešama darba samaksas aprēķinam un izmaksai uzņēmuma darbiniekiem;
  • Dati ir adekvāti – glabātie un citādi apstrādātie dati nav pārmērīgi konkrētā mērķa sasniegšanai (datu minimizācijas princips). Piemēram, ja datu apstrādes mērķis ir darba samaksas aprēķins, tad grāmatvedis apstrādā tikai tos datus, kas ir nepieciešami, lai veiktu šo aprēķinu;
  • Datus neglabā ilgāk kā nepieciešams, tātad datu apstrāde, kas ietver arī datu glabāšanu, var notikt tikai tik ilgi, cik nepieciešams. Datu apstrādes ilgumu var noteikt vairāki faktori, piemēram, atsevišķos gadījumos likums regulē dokumentu glabāšanas ilgumu, kas netieši nosaka arī šādos dokumentos iekļauto personas datu glabāšanas ilgumu;
  • Datus apstrādā saskaņā ar datu subjekta tiesībām – likumā ir noteiktas konkrētas datu subjekta tiesības, kas pārzinim ir jāņem vērā. Piemēram, datu subjektam konkrētos gadījumos ir tiesības pieprasīt informāciju par fiziskām un juridiskām personām, kas ir saņēmušas informāciju par šo datu subjektu. Atbildot uz šādu pieprasījumu, datu apstrādātājam ir jāspēj apkopot informāciju par iestādēm un personām, kas ir saņēmušas informāciju par šo fizisko personu, piemēram, ka konkrētā laikposmā dati par nodokļu maksājumiem ir sniegti VID. Ja grāmatvedību nodrošina ārpakalpojuma sniedzējs, tad datu subjektam ir jānorāda informācija arī par to;
  • Dati ir drošībā – arī grāmatvedim ir jāveic nepieciešamie datu aizsardzības pasākumi, lai nepieļautu, ka personas datiem piekļūst personas, kam nav tiesību iepazīties ar šādu informāciju. Praksē tas nozīmē nepieciešamību datus glabāt vietā un veidā, kas neļauj citām personām tiem piekļūt. Tas attiecas gan uz elektroniskā formā, gan papīra formā glabātiem dokumentiem, kas satur fizisko personu datus. Saskaņā ar šo principu personas dati nevar būt pieejami citiem uzņēmuma darbiniekiem, kuru pienākumi neparedz šādu datu apstrādi;
  • Datus nepārsūta organizācijām, iestādēm vai uz ārvalstīm, neparūpējoties par drošu un adekvātu aizsardzību. Datu pārsūtīšanā ir jāievēro nepieciešamās drošības prasības, piemēram, datu šifrēšana, lai dati nevarētu kļūt zināmi citām personām.

Viens no datu adekvātuma principa īstenošanas piemēriem ir fiziskās personas identifikācijas dokumentu apstrāde. Pases vai ID kartes kopēšana bieži vien notiek nepamatoti, jo šie dokumenti satur informāciju, kas ne vienmēr ir nepieciešama konkrētajam mērķim. Piemēram, personas pilsoniskā piederība nav nepieciešama darba samaksas aprēķina veikšanai, tādēļ šādas informācijas ievākšana un glabāšana nav pamatota, ja tas neizriet no likuma vai tiesiska datu apstrādes mērķa.

Regulas piemērošana

Kā jau minēts iepriekš, ar 2018. gada 25. maiju fizisko personu datu apstrādi regulēs Vispārīgā datu aizsardzības regula. Jānorāda, ka datu aizsardzības un apstrādes pamatprincipi, kas šobrīd ir paredzēti likumā, lielā mērā sakrīt ar regulas prasībām. Regula nosaka šādus pienākumus datu apstrādē:

  • uzņēmuma darbiniekiem ir jābūt atbilstoši informētiem un apmācītiem personas datu aizsardzības jautājumos;
  • jāpārbauda, vai iekšējie uzņēmuma dokumenti nosaka datu apstrādes kārtību uzņēmumā, kas ļautu demonstrēt, ka tiek ievēroti regulā noteiktie datu aizsardzības principi;
  • uzsākot datu apstrādi, ir jābūt jau ieviestai atbilstošai datu apstrādes kārtībai, lai ievērotu datu adekvātuma principu.

Normatīvo aktu prasības attiecībā uz personas datu aizsardzību rada nepieciešamību uzņēmumiem, kas veic personu datu apstrādi, pārskatīt procesus un uzlabot procedūras atbilstoši papildu prasībām, nepieciešamības gadījumā iesaistot datu aizsardzības speciālistus, lai mazinātu ar prasību neievērošanu saistītos riskus. Rekomendācijas, praktiski padomi un aspekti, kam būtu jāpievērš uzmanība, ir pieejami arī Datu valsts inspekcijas mājaslapā.

 

Dalīties ar rakstu

Ja Jums ir kāds komentārs par šo rakstu, lūdzu, iesūtiet to šeit lv_mindlink@pwc.com

Uzdot jautājumu