Datu aizsardzības regulas ieviešanas pasākumi uzņēmumu nodaļās

 
07.11.2017
 
Vispārīgās datu aizsardzības regulas (Regula) piemērošanas sākšanas laiks nav aiz kalniem – līdz 2018. gada 25. maijam katram uzņēmumam, kas apstrādā personas datus, ir jāievieš savā uzņēmumā nepieciešamās izmaiņas, lai datu apstrāde notiktu atbilstoši Regulas prasībām un lai izvairītos no potenciāli lielajiem sodiem, kas paredzēti par datu apstrādes noteikumu pārkāpšanu. Ņemot vērā, ka Regula ietekmē visas uzņēmuma darbības jomas, lai nodrošinātu datu apstrādes atbilstību Regulai, ir nepieciešama visu uzņēmumu nodaļu iesaistīšana datu apstrādes atbilstības ieviešanā. Uzņēmumu galvenās nodaļas, kurām pastiprināti jāpievērš uzmanība Regulas noteikumu ieviešanai visā uzņēmumā, ir juridiskā, mārketinga, personāla, klientu apkalpošanas un IT nodaļa. 
 
Juridiskā nodaļa
Ņemot vērā, ka Regula ir juridiska rakstura, uzņēmuma juridiskajai nodaļai ir viena no lielākajām atbildībām Regulas prasību ieviešanai uzņēmumā, un tai ir jāsniedz palīdzība un ieteikumi pārējām nodaļām attiecībā uz jautājumiem Regulas prasību ieviešanā. Cita starpā, uzņēmuma juridiskajai nodaļai būtu nepieciešams definēt, kādos gadījumos uzņēmums darbojas kā datu pārzinis vai operators, veikt datu apstrādes uzskaiti, nosakot datu apstrādes apjomu, mērķus un tiesisko pamatu. Turklāt, ja uzņēmums līdz šim nav pievērsis tam pastiprinātu uzmanību, juridiskās nodaļas uzdevumos būtu atbilstošu datu apstrādes līgumu vai klauzulu izstrāde, līgumu noslēgšanai ar trešajām personām, kurām tiek nodoti personas dati. Ņemot vērā, ka Regula paredz ziņošanu par personas datu pārkāpumiem, juridiskā nodaļa, iespējams, būs tā, kas šādos gadījumos vadīs pārrunas ar Datu valsts inspekciju.
 
Mārketinga nodaļa
Uzņēmuma mārketinga nodaļai bieži ir liela nozīme personas datu apstrādē, it īpaši, sūtot mārketinga materiālus uz datu subjektu e-pastiem ar mērķi popularizēt uzņēmumu un tā piedāvātos pakalpojumus. Lai nodrošinātu mārketinga materiālu sūtīšanu atbilstošu Regulas noteikumiem, nodaļai būtu jāpārliecinās, vai ir iegūtas nepieciešamās piekrišanas no datu subjektiem par šādu materiālu saņemšanu. Turklāt ir jāizvērtē, vai sniegtās piekrišanas atbilst likumīgas piekrišanas noteikumiem, kā piemēram, tai ir jābūt informētai un brīvi, nepārprotami sniegtai ar datu subjekta apstiprinošu darbību. 
 
Klientu apkalpošanas nodaļa
Kā viena no galvenajām nodaļām, kuru visvairāk ietekmēs Regulas jaunās prasības, var tikt uzskatīta uzņēmuma klientu apkalpošanas nodaļa. Atbilstoši Regulas prasībām, uzņēmumam ir jānodrošina iespējas datu subjektam izmantot savas likumā paredzētās tiesības. Lai arī šīs tiesības attiecas uz visiem datu subjektiem, ieskaitot uzņēmuma darbiniekiem, lielākā daļa pieprasījumu uzņēmumiem tiek veikti no to klientiem. Tādējādi tieši klientu apkalpošanas nodaļai ir jāsniedz klientam informācija par datu apstrādi, jānodrošina tiesības piekļūt personas datiem, tos labot, dzēst, ierobežot apstrādi un nodrošināt datu pārnesamības iespējas. 
 
Personāla nodaļa
Arī uzņēmuma personāla nodaļai ir liela nozīme, lai nodrošinātu uzņēmuma vispārīgu atbilstību Regulas prasībām. No uzņēmuma darbiniekiem, kuri apstrādā fizisko personu personas datus ir nepieciešams iegūt apstiprinājumu par personas datu neizpaušanu un nelikumīgas apstrādes neveikšanu. Lai nodrošinātu, ka visi iesaistītie darbinieki personu datu apstrādē izprot datu aizsardzības noteikumus un to nozīmīgumu, katrs darbinieks  ir jāapmāca šajā jomā. Nodrošinot, ka darbinieki izprot datu aizsardzības noteikumus, uzņēmums ievērojami samazina datu nelikumīgas apstrādes risku.
 
IT nodaļa
Tā kā mūsdienās lielākā daļa personas datu apstrāde notiek, izmantojot tehnoloģiskos risinājumus, IT nodaļas iesaiste datu aizsardzības nodrošināšanas procesā būtiski uzlabo atbilstību Regulai. Kā galvenās atbildības jomas IT nodaļai ir informācijas drošības nodrošināšana (piemēram, datu šifrēšana), tehnisko risinājumu ieviešana datu subjektu tiesību īstenošanai, kā arī piekļuves tiesību ierobežošana personas datiem. 
 
 
Lai arī Regula ievieš jaunus noteikumus personas datu apstrādē, ir jāņem vērā, ka daļa no prasībām datu apstrādei līdz šim ir bijusi precizēta gan Datu aizsardzības direktīvā un attiecīgi šobrīd vēl spēkā esošajā Fizisko personu datu aizsardzības likumā. Tādējādi pirms Regulas prasību ieviešanas uzsākšanas katram uzņēmumam būtu ieteicams izvērtēt tā esošo stāvokli attiecībā uz datu apstrādi un izprast nepieciešamos uzlabojumus, kas jāievieš līdz 2018.gada 25.maijam, lai mazinātu datu apstrādes neatbilstības riskus.
 
Iepriekšminētie pasākumi neietver visas nepieciešamās darbības personas datu apstrādes neatbilstības risku novēršanai. Katram uzņēmumam ir jāapzinās savi personu datu apstrādes veidi un atbilstoši jāizvērtē, kādi pasākumi, ko paredz Regula, ir nepieciešami attiecīgajās situācijās. Ņemot vērā, ka Regulas teksts var šķist sarežģīts, ir ieteicams konsultēties ar pieredzējušiem juristiem un IT speciālistiem datu aizsardzības jomā ar izstrādātu un pārbaudītu metodiku datu apstrādes atbilstības izvērtēšanā. 
 
 








 

 

 
Kontaktinformācija
Mikijs Zīmecs
mikijs.zimecs@pwc.com
PwC Legal
Datu aizsardzības speciālists

Tel:  67094400
© 2018 PwC. Visas tiesības aizsargātas. PwC apzīmē PwC uzņēmumu tīklu un/vai vienu vai vairākus tā dalībniekus, kurā katrai dalīborganizācijai ir atsevišķas juridiskās personas statuss. Sīkāka informācija pieejama www.pwc.com/structure.  | Pēdējās izmaiņas veiktas: 10.11.2017