FPDD
Bez tēmas

Kā sagatavoties jaunās datu aizsardzības regulas piemērošanai

Rakstot par jauno Vispārīgo datu aizsardzības regulu (turpmāk – Regula), visbiežāk tiek uzsvērti tajā minētie lielie sodi. Savukārt ļoti maz tiek runāts par uzņēmumiem, organizācijām un iestādēm veicamajiem priekšdarbiem, lai ar Regulā minētajām sankcijām nākotnē nemaz nebūtu jāsaskaras.

Regula tiešām paredz lielus sodus par personas datu aizsardzības pārkāpumiem – līdz 20 miljoniem eiro vai līdz 4% no personas datu apstrādes veicēja iepriekšējā gada apgrozījuma. Piemēram, aptuvenās aplēses Lielbritānijā liecina, ka 2018. gadā, kad tiks uzsākta Regulas piemērošana, tās uzņēmumiem piemēroto naudas sodu kopsumma varētu sasniegt pat 122 miljardus GBP. Laiks rādīs, vai šis paredzējums piepildīsies, tomēr Latvijā, biedējot ar lieliem sodiem, šī informācija ļoti reti tiek papildināta ar Regulas paredzēto tiešām būtisko izmaiņu aprakstu un ieteikumiem, kā sagatavoties jaunajām izmaiņām.

Veicot atbilstošus priekšdarbus un ievērojot šos ieteikumus, ikviens uzņēmums, organizācija vai iestāde var pietiekami labi sagatavoties jaunās Regulas ieviešanai.

Darbinieku izglītošana – iepriekšējā pieredze liecina, ka lielākoties Latvijā trūkst pareizas izpratnes par to, kas ir personas dati, kādi ir personas datu aizsardzības pamatprincipi. Šos jautājumus Regula būtiski nemaina. Līdz ar to, pirms sākt gatavoties Regulas prasību izpildei, ir nepieciešams apmācīt darbiniekus – gan tos, kuru darba pienākumi jau šobrīd ir saistīti ar personas datu izmantošanu, gan tos, kuri iesaistīsies Regulas ieviešanā Ja Regulu ieviesīs, neņemot vērā un nepareizi saprotot, uz ko tā attiecas, tad šāda ieviešana nenodrošinās Regulas ievērošanu un nepasargās no pārkāpumiem un attiecīgi – no sodiem.

Esošās situācijas apzināšana, datu apjoma mazināšana – pēc tam, kad procesā iesaistītajiem ir skaidrs, kādu darbību veikšanas kārtību Regula nosaka, ir nepieciešams apzināt visas datu plūsmas. Jāidentificē, no kurām personām, kādi dati un kādam mērķim tiek iegūti, kā arī kādi dati, kurām personām un ar kādu mērķi tiek nodoti. Šis ir priekšnosacījums, lai saprastu, vai un kādas anketas, līgumi, iesniegumu formas ir jāmaina. Tas ļaus arī secināt, vai tiek apstrādāti personas dati, kuri nav nepieciešami vai vairs nav nepieciešami tiesiska mērķa sasniegšanai. Piemēram, darba devējam nav nepieciešamības no darbinieka iegūt gan deklarētās, gan faktiskās dzīvesvietas adresi. Līdz ar to šos liekos personas datus vajadzētu dzēst, tādā veidā samazinot aizsargājamo personas datu apjomu.

Jāmaina anketas, iesniegumu formas, zīmes par videonovērošanas veikšanu – Regula paredz stingrākas prasības piekrišanai kā personas datu apstrādes pamatam. Līdz ar to izmaiņas būs jāveic dažādās iesniegumu formās, piemēram, anketās, kuras tiek izmantotas klienta kartes iegūšanai, anketās, ar kurām persona izsaka piekrišanu piedalīties klientu pētījumā vai saņemt reklāmu. Ar Regulu būtiski tiek palielināts apjoms informācijai, kura “automātiski” ir jāsniedz pirms tās personas datu iegūšanas. Vairs nebūs pietiekami sniegt informāciju tikai par personas datu apstrādes mērķi un pārzini. Anketās būs jāietver daudz lielāks informācijas apjoms, būs jāmaina arī daudzi līgumi, kuri tiek slēgti ar fiziskām personām. Tāpat būs jāmaina informatīvās zīmes par videonovērošanas veikšanu.

Izmaiņas līgumos ar pakalpojumu sniedzējiem un to sniegto garantiju pārbaude – lai izpildītu Regulas prasības, būs jāmaina arī līgumi, kuri tiek slēgti ar ārpakalpojumu sniedzējiem, ja šie pakalpojumi ietver personas datu apstrādi, jo Regula nosaka, kādam ir jābūt šī līguma saturam. Piemēram, ja tiek izmantoti cita uzņēmuma servera pakalpojumi, cits uzņēmums veic jūsu uzņēmuma darbinieku algu aprēķinu, sagatavo un izsūta jūsu klientiem rēķinus vai veic jūsu uzņēmuma dokumentu iznīcināšanu, tad šie līgumi būs jāpapildina ar Regulā noteikto saturu. Papildus tam Regula paredz, ka pirms šāda līguma noslēgšanas ir jāpārbauda pakalpojuma sniedzēja nodrošinātās garantijas attiecībā uz personas datu aizsardzību. Līdz ar to varētu būt nepieciešams pirms līguma noslēgšanas pārbaudīt, vai un kādos apstākļos pakalpojuma sniedzējs izmantos jūsu uzņēmuma klientu vai darbinieku personas datus, vai un kāda ir uzņēmumā noteiktā iekšējā kārtība, kas attiecas uz personas datu izmantošanu.

Aizsardzības pasākumiem ir jābūt atbilstošiem riskiem – Regula paredz, ka tehniski un organizatoriski datu aizsardzības pasākumi un procedūras ir jāievieš atbilstoši iespējamajiem riskiem fizisko personu tiesībām un brīvībām, un to pakāpei. Līdz ar to pēc datu plūsmas apzināšanas vajadzētu novērtēt riskus (dažādas iespējamības un smaguma pakāpes riskus), ko rada datu apstrāde. Īpaša vērība jāpievērš nejauši vai nelikumīgi nosūtītu, uzglabātu vai citādi apstrādātu personas datu iznīcināšanai, nozaudēšanai, pārveidošanai, neatļautai izpaušanai vai piekļuvei tiem. Ir jāapzina riska iestāšanās iespējamība, negatīvo seku veidi un apmēri, un jānodrošina to pārvaldība. Piemēram, konstatējot, ka visu darbinieku datiem, tai skaitā veselības datiem, piekļūst liels darbinieku skaits (visi personāla un grāmatvedības struktūrvienības darbinieki) un šo datu aplūkošana netiek fiksēta, var secināt, ka pastāv liela šo datu nelikumīgas izmantošanas iespējamība, kas var radīt būtisku kaitējumu personai, piemēram, diskrimināciju. Līdz ar to organizatoriski un tehniski nepieciešams nodrošināt, lai vismaz veselības datiem piekļūst tikai atsevišķi darbinieki un katra piekļūšana tiek fiksēta, identificējot tās veicēju, apstrādāto datu apjomu un apstrādes veidu.

Pasākumu, procesu, instrukciju dokumentēšana – saskaņā ar Regulu tajā noteiktajām datu aizsardzības prasībām būs jābūt ne vien ieviestām dzīvē, bet arī dokumentētām – aizsardzības procedūras un pasākumi būs jāapraksta iekšējos normatīvajos aktos. Būs arī jānodrošina, lai darbinieki personas datu apstrādi veic, ievērojot instrukcijas. Piemēram, lai izpildītu Regulu, nebūs pietiekami birojā izvietot dokumentu smalcinātājus, bet iekšējos noteikumos vajadzēs arī noteikt darbinieku pienākumu tos lietot dokumentu iznīcināšanai. Līdz ar to uzņēmumiem, iestādēm un organizācijām liela uzmanība būs jāvelta iekšējo procesu aprakstam, instrukciju sniegšanai darbiniekiem, darbinieku uzraudzīšanai un apmācīšanai. Šo prasību izpildi būs jāspēj pierādīt personas datu aizsardzības uzraudzības iestādei arī gadījumā, ja nebūs saņemta sūdzība vai nebūs aizdomu par personas datu aizsardzības pārkāpumu. Līdz ar to ieteikums ir jau šobrīd uzsākt iekšējo procesu aprakstu un instrukciju sagatavošanu darbiniekiem.

Pārkāpumu identificēšana un paziņošana par tiem – jaunums ir arī pienākums nodrošināt datu aizsardzības pārkāpuma identificēšanu un paziņošanu par to personas datu aizsardzības uzraudzības iestādei un atsevišķos gadījumos – arī fiziskām personām, uz kuru personas datiem attieksies pārkāpums. Piemēram, ja kļūdas pēc uz nepareizu e-pasta adresi ir nosūtīta vēstule, darba dators vai telefons ir pazaudēts vai nozagts vai uzņēmuma mājaslapa ir “uzlauzta”. Ja šo darbību rezultātā trešās personas ir piekļuvušas personas datiem vai personas dati ir nozaudēti, būs pienākums par to paziņot personas datu aizsardzības uzraudzības iestādei. Līdz ar to arī šī pienākuma izpildei būs jāīsteno gan tehniska, gan organizatoriska rakstura pasākumi, kā arī jāapmāca darbinieki.

Regulas ieviešanas organizēšana – ņemot vērā to, ka jauno prasību ieviešana ir visai laikietilpīgs un atbildīgs process, uzņēmumiem un iestādēm jau šobrīd vajadzētu nozīmēt par Regulas ieviešanu atbildīgos darbiniekus. Vislietderīgāk ir veidot dažādu kompetenču darbinieku grupu, tajā apvienojot gan juristus un IT speciālistus, gan personāla vadības speciālistus un darbiniekus ar riska novērtēšanas, vadības un projektu vadīšanas pieredzi. Atsevišķos gadījumos, protams, ir lietderīgi izvērtēt kompetentu speciālistu piesaisti no malas, kas ātri un, iespējams, daudz efektīvāk varētu palīdzēt sagatavoties jauno prasību izpildei. Jāņem vērā, ka Regula ir apjomīgs dokuments (gandrīz 100 lpp.) un tajā tiešām ir paredzēti daudzi jauni pienākumi.

Mūsdienās cilvēki kļūst arvien zinošāki par savām tiesībām datu aizsardzības jomā – arvien vairāk novērtē to, vai viņu tiesības tiek ievērotas, un daudz biežāk pamana, vai nav notikuši kādi pārkāpumi. Tāpēc personas datu aizsardzības nosacījumu ievērošana nav vairs tikai Regulas prasība, bet arī iespēja laikus izvairīties no morālā aizskāruma atlīdzināšanas pienākuma vai pat nopietnāka kaitējuma uzņēmuma vai iestādes reputācijai.

 

Avots: www.delfi.lv