Nobeigums iepriekšējā nedēļā publicētajam rakstam par Vispārīgo datu aizsardzības regulu.
Informēšana par uzņēmuma veiktajām darbībām attiecībā uz klientu/lietotāju personas datu apstrādi
Uzņēmumiem jāsagatavo skaidri apraksti par datu iegūšanas procesiem un mērķiem, kādēļ dati tiek iegūti, turpmāk apstrādāti un glabāti attiecīgu laikposmu. Šajos procesos ietilpst datu kategorijas, termiņi un izdzēsto datu pārbaude. Uzņēmumiem jāapraksta drošības pasākumi, kas veikti, lai aizsargātu šos datus.
Datu regula nosaka astoņas fiziskām personām piešķirtās tiesības:
- tiesība būt informētam;
- piekļuves tiesība;
- tiesība uz datu labošanu;
- tiesība uz datu dzēšanu;
- tiesība ierobežot datu apstrādi;
- tiesība uz datu pārnesamību;
- tiesība iebilst konkrētai datu apstrādei;
- tiesība, kas saistīta ar automatizētu lēmumu pieņemšanu un profilēšanu.
Rīcība datu aizsardzības pārkāpuma gadījumā
Datu pārkāpumu iespējamība ir iemesls pārskatīt esošos datu apstrādes procesus, it īpaši e-komercijas uzņēmumiem. Datu regula uzliek visiem uzņēmumiem pienākumu ziņot uzraudzības iestādei par datu aizsardzības pārkāpumiem, ja izpildās kritēriji attiecībā uz ziņošanas pienākumu. Ziņošana jāveic 72 stundu laikā pēc tam, kad kļuvis zināms par pārkāpumu. Ja pārkāpuma raksturs var ietekmēt indivīda tiesības, tad par notikušo jāinformē arī uzņēmuma klients un/vai mājaslapas lietotājs. Turklāt katram uzņēmumam jāreģistrē datu pārkāpumi neatkarīgi no pārkāpuma rakstura.
Galvenie jautājumi, par kuriem jābūt skaidrībai attiecībā uz datu aizsardzību:
- Vai uzņēmums pārskata savas IT sistēmas un procesus, lai novērstu datu pārkāpumu iespējamības un risinātu ar tiem saistītās problēmas?
- Vai uzņēmums ir informēts, kas tam piemīt “augsts risks” atbilstoši datu aizsardzības pārkāpumu kritērijiem, attiecībā uz kuriem uzņēmumam ir pienākums ziņot uzraudzības iestādei?
- Vai uzņēmumā ir izveidota kārtība ziņošanai par datu aizsardzības pārkāpumiem, kas atbilst visām datu regulas prasībām?
- Vai uzņēmumā ir ieviesta iekšējā sistēma ziņošanai par iespējamiem datu pārkāpumiem?
Uzņēmums veic darbību ārpus ES
Saskaņā ar ES noteiktajiem datu aizsardzības likumiem, tostarp datu regulā noteiktajām prasībām, personas datus var nodot tikai tādām trešajām valstīm, kuras garantē noteiktu datu aizsardzības līmeni, kas atbilst datu regulā noteiktajām prasībām, kas noteiktas dalībvalstīm. Trešajām valstīm, kurām tiek nodoti personas dati, jāuztur atbilstošs datu aizsardzības līmenis, un visiem uzņēmumiem, tostarp e-komercijas uzņēmumiem, jāievēro datu regulas prasības neatkarīgi no uzņēmuma atrašanās vietas.
Nobeigums
Jebkuram uzņēmumam ir svarīgi saprast, ka datu regula attiecas uz visiem personas datiem, kas saistīti ar identificētu vai identificējamu personu. Šajā informācijā ietilpst personas dati, kas attiecas uz vārdu, dzimšanas datumu, kredītkartes informāciju, bankas darījumiem, sociālās saziņas līdzekļiem un pat fotoattēliem, kā arī ievērojams daudzums citu datu, kādi var nonākt uzņēmuma rīcībā ar brīdi, kad klients/lietotājs pirmo reizi apmeklē uzņēmuma mājaslapu. Arī uzņēmuma izmantotās sīkdatnes un IP adreses, kas tiek iegūtas attiecībā uz klientu/lietotāju, ir personas dati, uz kuru apstrādi attiecas visas datu regulā noteiktās prasības.
Jāievēro arī tas, ka datu regula attiecas uz visiem uzņēmumiem, kuri piedāvā preces un/vai pakalpojumus ES pilsoņiem, t.i., uz jebkuru uzņēmumu, tostarp e-komercijas uzņēmumu, kas izmanto ES dzīvojošo personu datus.