Vispārīgās datu aizsardzības regulas
1 piemērošana tiks uzsākta pēc desmit dienām, un tieši tik dienu ir atlicis līdz brīdim, kad katram uzņēmumam, kas apstrādā personas datus, ir jāievieš nepieciešamās izmaiņas, lai apstrādi veiktu atbilstoši jaunās regulas prasībām un izvairītos no sankcijām par tās noteikumu neievērošanu. Atgādinām, ka ES regulu noteikumus piemēro tieši, t.i., dalībvalstīm nav jāiestrādā to normas savos nacionālajos tiesību aktos. Šajā rakstā piedāvājam apkopojošu “stresa testu,” kura rezultāti palīdzēs jums izvērtēt uzņēmuma gatavību ievērot jaunās regulas noteikumus un pildīt tās prasības.
Vēlreiz – kas ir personas dati un to apstrāde?
Personas dati ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (tostarp klientu, klienta pārstāvi, patieso labuma guvēju, galvinieku).
Personas datu apstrāde ir jebkāda ar personas datiem veikta darbība, piemēram, vākšana, reģistrēšana, organizēšana, strukturēšana, glabāšana, piekļuve, pārveidošana, dzēšana, izpaušana, nodošana, ierobežošana.
Kā nodrošināt atbilstību jaunajai regulai?
Tas darāms, rūpīgi analizējot uzņēmuma ietvaros veiktās personas datu apstrādes apstākļus un sagatavojot (vēlams) dokumentus, kuros analizēti šādi aspekti:
- uzņēmuma rīcībā esošie personas dati un to apstrādes nolūki uzņēmumā;
- uzņēmuma rīcībā esošo personas datu apstrādes (glabāšanas) vietas (papīra formā un informācijas sistēmās);
- personas datu saņēmēji gan uzņēmuma ietvaros, gan ārpus tā (datu plūsmas);
- datu apstrādes tiesiskais pamats, piemēram, leģitīmās intereses, normatīvo aktu prasības, datu subjekta piekrišana, paskaidrojot, kā tiek pieprasīta, iegūta un dokumentēta datu subjekta piekrišana datu apstrādei. Datu subjekta piekrišanai ir jābūt brīvai un nepiespiestai. Atsevišķos gadījumos datu subjektam ir jāpaskaidro, ka bez šādas piekrišanas uzņēmums nevarēs sniegt attiecīgo pakalpojumu un izvēle ir datu subjekta ziņā;
- personas datu glabāšanas termiņš un to dzēšanas/iznīcināšanas kārtība pēc šī termiņa beigām;
- datu subjekta tiesības (piekļūt saviem datiem, dzēst, labot tos utt.), kā tās tiks nodrošinātas un kā datu subjektam tiks sniegta attiecīga informācija;
- personas datu konfidencialitātes un drošības aizsardzība (vai ir piekļuves kontrole, kādi tehniskie līdzekļi tiek izmantoti personas datu apstrādē u.tml.);
- vai uzņēmumam ir viss nepieciešamais nodrošinājums personas datu aizsardzības pārkāpumu konstatēšanai, izmeklēšanai, novēršanai un ziņošanai;
- pārkāpumu ziņošanas kārtība Datu valsts inspekcijai un atsevišķos gadījumos arī datu subjektam, par kura datiem pārkāpums ir identificēts;
- datu aizsardzības speciālista iecelšanas nepieciešamības izvērtējums;
- nolīgtā datu apstrādātāja atbilstības izvērtējums un, ja nepieciešams, noslēgtā līguma papildināšana.
1 Šī analīze palīdzēs uzņēmumam sagatavot personas datu apstrādes darbību reģistru, kuru saskaņā ar jauno regulu uzņēmumam noteiktos gadījumos ir pienākums uzturēt un pēc pieprasījuma uzrādīt uzraudzības iestādei.
