Vai esi gatavs Vispārīgai datu aizsardzības regulai?

Jau pavisam drīz, 2018.gada 25.maijā, spēkā stāsies Vispārīgā datu aizsardzības regula (turpmāk – Regula), un tās prasības attieksies uz komersantiem (tostarp maziem un vidējiem uzņēmumiem), dažādām organizācijām, valsts un pašvaldības iestādēm, kā arī fiziskām personām. Līdz šim personas datu aizsardzības joma Eiropas Savienības līmenī bija regulēta ar direktīvas palīdzību, kuras normas bija ieviestas Fizisko personu datu aizsardzības likumā. No regulējuma viedokļa būtiskākā atšķirība ir tāda, ka Regulas normas tiks piemērotas tieši. Vienlaikus atsevišķus jautājumus aizvien regulēs nacionālajā līmenī, un šobrīd izskatīšanai Saeimā ir nodots likumprojekts “Personas datu apstrādes likums”.

Viens no iemesliem, kādēļ Regulai tiek pievērsta pastiprināta uzmanība, saistīts ar iespēju piemērot ievērojamus administratīvos naudas sodus par datu aizsardzības pārkāpumiem. Ja līdz šim lielākais sods, ko paredz Latvijas Administratīvo pārkāpumu kodekss par pārkāpumiem datu aizsardzības jomā, ir 14 000 eiro, tad Regula paredz sodus līdz pat 20 miljoniem eiro vai uzņēmuma gadījumā līdz 4% no uzņēmuma kopējā visā pasaulē iepriekšējā gadā gūtā apgrozījuma. Tiesa, bieži vien Regulā ietverto sodu piesaukšana tiek izmantota, lai baidītu uzņēmējus un praksē tik lieli sodi Latvijā varētu arī nekad netikt piemēroti. Datu valsts inspekcija ir aprobežojusies ar pieticīgākām prognozēm un Personas datu apstrādes likumprojekta anotācijā ir ietverta informācija, ka sodos plānots iekasēt kopumā 461 tūkstoti eiro gadā. Tomēr tas liecina, ka kontrole pār Regulas ievērošanu tiks īstenota un pret personas datu aizsardzību būtu jāattiecas pavisam nopietni. Turklāt nedrīkstētu aizmirst, ka par pārkāpumiem šajā jomā var tikt piemērota ne tikai administratīvā atbildība, bet pat kriminālatbildība, kā arī datu subjekti sev nodarīto kaitējumu var piedzīt arī civiltiesiskā kārtībā.

Regula paredz sešus personas datu apstrādes pamatprincipus, kuri jāievēro, lai datu apstrādi varētu uzskatīt par atbilstošu Regulas prasībām. Turklāt uzņēmumam vai iestādei ir jāspēj uzskatāmi demonstrēt, ka šie principi tik tiešām tiek ievēroti, apstrādājot personas datus:

  1. Personas dati tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā;
  2. Tie tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā;
  3. Dati ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos;
  4. Dati ir precīzi un, ja vajadzīgs, atjaunināti; ir jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti;
  5. Tie tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā;
  6. Dati tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus.

Lai ievērotu šos principus, kā arī konkrētākas no Regulas izrietošas prasības un spētu demonstrēt atbilstību, uzņēmumam vai iestādei ir svarīgi apzināt, kādi dati un kāpēc tiek apstrādāti. Ja personas datu aizsardzībai līdz šim nav pievērsta īpaša uzmanība, ļoti iespējams, ka šobrīd uzņēmumā vai iestādē gadu gaitā ir uzkrāts liels apjoms personas datu, un neviens vairs neatceras, kā šādi dati tika iegūti, kāpēc tie tika iegūti un vai šie dati vispār ir aktuāli un nepieciešami. Izvērtējot, vai uzņēmums vai iestāde ir sagatavojusies Regulai, būtu vēlams apsvērt un nepieciešamības gadījumā dokumentēt atbildes uz vismaz šādiem jautājumiem:

  1. Kādus personas datus es apstrādāju? Vai personas datus apstrādāju kopā ar citu uzņēmumu vai iestādi? Vai apstrādāju īpašo kategoriju datus, personas datus par sodāmību un pārkāpumiem un/vai nepilngadīgu personu datus? Vai dati ir aktuāli un pareizi?
  2. Kāpēc manā rīcībā ir personas dati un kādiem nolūkiem tos šobrīd izmantoju? Kāds bija sākotnējais iemesls, kāpēc šādi dati tika iegūti? Vai datu apstrādes nolūks ir precīzi formulēts, skaidrs un noteikts pirms datu iegūšanas? Vai šobrīd nepieciešami visi iegūtie dati vai pietiek tikai ar daļu no tiem, vai varbūt dati vairāk nav nepieciešami? Kurš konkrēti no Regulā minētajiem tiesiskajiem pamatiem dod man tiesības apstrādāt personas datus? Vai es varu pierādīt un pamatot šādu tiesisko pamatu datu apstrādei?
  3. Kādā veidā es ieguvu personas datus (persona pati sniedza datus vai tos ieguvu citā veidā)? Ja datus ieguvu, pamatojoties uz personas piekrišanu, vai esmu izvērtējis, vai piekrišana atbilst Regulas prasībām?
  4. Cik ilgi es glabāju personas datus? Kāds ir pamatojums šādam laika posmam? Vai ir noteikts, kas, kad un kā dzēš neprecīzus vai nevajadzīgus datus?
  5. Vai datus esmu nodevis, nododu vai varētu nodot arī trešajām personām? Kādām personām un uz kāda pamata es nododu personas datus? Vai personu datu nodošana citām personām atbilst Regulas prasībām? Ja nododu personas datus uz citām valstīm, vai esmu nodrošinājis visu nepieciešamo personas datu aizsardzību atbilstoši Regulas prasībām?
  6. Vai esmu veicis pasākumus, lai nodrošinātu, ka, iegūstot personas datus, es sniedzu visu obligāto informāciju personai (datu subjektam) saskaņā ar Regulas prasībām? Vai privātuma paziņojumi, cookies paziņojumi, paziņojumi, veicot videonovērošanu, atbilst Regulas prasībām?
  7. Vai esmu gatavs personas (datu subjekta) pieprasījumam, ar kuru šī persona īstenotu savas tiesības saskaņā ar Regulu? Cik ilgu laiku man prasīs konstatēt, kur glabājas personas dati visās manās sistēmās, datu bāzēs un papīra failos? Vai ir nozīmētas atbildīgās personas par personas datu labošanu, dzēšanu? Vai manas datu sistēmas spēs nodrošināt datu pārnesamību saskaņā ar Regulu?
  8. Vai ir ieviesti atbilstoši personas datu drošības un konfidencialitātes pasākumi? Vai datiem var piekļūt tikai autorizētas personas un tikai tādā apjomā, kā nepieciešams? Vai spēju izsekot, kas un kādā apmērā ir piekļuvis personas datiem? Vai esmu noslēdzis atbilstošus konfidencialitātes līgumus? Vai esmu apstiprinājis un ieviesis datu drošības politikas?
  9. Vai iekšējie dokumenti, kas regulē datu apstrādi (datu apstrādes noteikumi, procesu apraksti, procedūras) atbilst Regulas prasībām un reālajai situācijai uzņēmumā vai iestādē?
  10. Vai, ieviešot jaunus procesus, sistēmas, produktus, apsveru un ņemu vērā datu aizsardzības noteikumus (privātumu pēc noklusējuma)?
  11. Vai esmu pārskatījis līguma nosacījumus ar datu apstrādātājiem (piemēram, apsardzes firmu, kas veic videonovērošanu, grāmatvedības firmu, kas ārpakalpojumā apstrādā darbinieku datus, u.c.) un šo noteikumu atbilstību Regulas prasībām? Vai esmu ieviesis procedūru, kā izvērtēju datu apstrādātāju atbilstību Regulas prasībām?
  12. Vai esmu izvērtējis, vai saskaņā ar Regulu ir nepieciešams iecelt datu aizsardzības speciālistu? (Datu aizsardzības speciālista iecelšana ir obligāta valsts un pašvaldību iestādēm (izņemot tiesas), savukārt citos gadījumos jāvērtē, vai saskaņā ar Regulu datu speciālista iecelšana ir nepieciešama).
  13. Vai esmu gatavs savlaicīgi (saskaņā ar Regulu ne vēlāk kā 72 stundu laikā no brīža, kad kļuva zināms par pārkāpumu) identificēt personas datu aizsardzības pārkāpumu un ziņot par to Datu valsts inspekcijai, kā arī datu subjektam? Vai ir nozīmētas atbildīgās personas par šo noteikumu ievērošanu un izstrādātas atbilstošas procedūras un rīcības plāns?
  14. Vai uzņēmuma vai iestādes darbinieki ir informēti un apmācīti datu aizsardzības jomā (ne tikai formāli)?
  15. Vai esmu nodrošinājis regulāras pārbaudes un atbilstības izvērtējuma veikšanu Regulas prasībām?

Spēja godīgi apsvērt un sniegt atbildes uz minētajiem jautājumiem, ir nozīmīgs sākuma punkts uzņēmumam vai iestādei ceļā uz atbilstību Regulas prasībām. Tomēr, lai pastāvīgi nodrošinātu atbilstību, ir jāievieš procesi un procedūras, ar kuru palīdzību iespējams regulāri un efektīvi sekot līdzi datu aizsardzības prasību izpildei.

Kalvis Krūmiņš, advokāts ZAB TGS Baltic, sertificēts datu aizsardzības speciālists
Dace Indāne, advokāte ZAB TGS Baltic, sertificēta datu aizsardzības speciāliste


Comments

Atbildēt

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *