#dviskaidro
Pārziņu "čeklists"

Datu regula [1], kas tās pirmsākumos bija plaši pazīstama ar saīsinājumu GDPR (General Data Protection Regulation), ir noteikumu kopums, kas ir saistošs jebkurai personai un organizācijai, kas apstrādā vai plāno apstrādāt personas datus Eiropas Savienībā. Šīs personas, kuras apstrādā datus, ir vienā vārdā saucamas par pārziņiem, bet personas, kuru datus pārziņi apstrādā, ir datu subjekti. Par to, kas ir pārzinis, jau sīkāk esam skaidrojuši #DVIskaidro rakstā “Kas ir pārzinis?”.

Savukārt šajā rakstā skaidrosim galvenās lietas, kam pārzinim jāpievērš uzmanība, lai ievērotu Datu regulas prasības personas datu apstrādes gaitā. Ja, tavuprāt, zināšanas par personas datu aizsardzību kā pārzinim vai pārziņa darbiniekam nav pietiekamas, iesakām izlasīt šo rakstu līdz galam.

ATGĀDINĀM! Inspekcijai ir tiesības piemērot dažādus korektīvos līdzekļus - brīdinājumus, rīkojumus, rājienus, apstrādes ierobežojumus- [2], aicinot pārziņus pildīt Datu regulā noteiktos pienākumus. Inspekcijas piemērojamo naudas sodu galējie apmēri noteikti Datu regulas 83. panta 4.-6. punktā (līdz pat 20 milj. eiro vai 4% no finanšu apgrozījuma). Par Inspekcijas administratīvo naudas sodu apmēra noteikšanas mehānismu uzņēmumiem un fiziskām personām vairāk skaidrots - https://www.dvi.gov.lv/lv/media/289/download?attachment

Zemāk analizējam pārziņu izplatītākās kļūdas, tostarp kļūdas, par kurām piemēroti sodi.

Netiek piemērots atbilstošs tiesiskais pamats

Pārzinim ir jābūt pārliecinātam par precīzu nolūka [3] noteikšanu un tiesiskā pamata [4] piemērošanu katrai atsevišķai datu apstrādei. Tie kalpo kā pamats, lai datu apstrāde būtu  likumīga. Ja tiesiskā pamata nav vai tas izvēlēts neatbilstoši, tad apstrāde uzskatāma par nelikumīgu.

Nav pienācīgi informēti datu subjekti

Datu apstrāde ir jāveic, informējot par to datu subjektus vismaz atbilstoši Datu regulā noteiktajam. [5] Tas nozīmē - sniegt informāciju gan iekšēji (organizācijas darbiniekiem), gan arī ārēji, piemēram, informējot savus potenciālos klientus tīmekļa vietnē. Visbiežāk tas tiek paveikts, izmantojot privātuma politiku (ārējai saziņai) un iekšējos datu apstrādes noteikumus (iekšējai saziņai). Datu subjektu informēšana notiek, izvēloties tiem piemērotāko saziņas kanālu, un šajā dokumentā tiek sniegta vispārīga informācija par visām datu apstrādēm. Informācija par konkrētas personas datiem, kuri apstrādāti, sniedzama pēc pieprasījuma.

Sīkāk par to, kas ir privātuma politika, skaidrots šeit: https://www.dvi.gov.lv/lv/jaunums/dviskaidro-privatuma-politika. Tāpat Inspekcijas tīmekļa vietnē pieejams privātuma politikas paraugs un prezentācija par nepieciešamo privātuma politikas saturu. [6]

Personai nav jāprasa “piekrišana” attiecībā uz privātuma politiku un tajā sniegto informāciju, bet gan jāiepazīstina un jāinformē par to!

Vienkāršākais veids, kā pārliecināties, vai privātuma politikā iekļauta visa nepieciešamā informācija, ir katras datu apstrādes aprakstīšanas laikā sev uzdot “jautājumus”, kas aprakstīti Datu regulā. [7] Tie kalpo kā obligāti sniedzamās informācijas saraksts!

Netiek ievērots princips “privātums pēc noklusējuma”

Droša un atbilstoša datu apstrāde nav tikai kārtējais pienākums, kas jāizpilda, bet gan uzdevums, kura izpildei nepieciešama iedziļināšanās un izpratne, ka datiem jābūt drošībā jau no paša apstrādes sākuma. Tas nodrošinās ne tikai apstrādē esošo personas datu aizsardzību, bet arī datu subjektu tiesību ievērošanu un galu galā – arī efektīvāku uzņēmuma biznesa datu pārvaldības sistēmu. Daļēji to palīdzēs panākt principa “privātums pēc noklusējuma” ievērošana. Šī principa ievērošana ir ne tikai no Datu regulas izrietošs pienākums, bet arī daļa no informācijas sistēmas vadības procesa. Vairāk skaidrots #DVIskaidro “Kas ir “privātums pēc noklusējuma”?

Tehnisko un drošības prasību ignorēšana

Pārzinim ir jānodrošina droša vide tā rīcībā esošajiem personas datiem, sākot no periodiskas darbinieku apmācīšanas un beidzot ar drošu ierīču un sistēmu izmantošanu un iespējamo risku analīzi. Pārzinim ir jāizmanto visi tā rīcībā esošie rīki, lai nodrošinātu, ka iespēja noplūst vai kā citādi nepamatoti tikt apstrādātiem personas datiem ir novērsta līdz minimumam. Tehnisko un drošības prasībām ir jābūt atbilstošām un proporcionālām apstrādē esošo personas datu radītajam apdraudējumam datu subjektiem.

Neatbilstoša rīcība, īstenojot datu subjektu tiesības

Datu regulā vesela nodaļa [7] ir atvēlēta datu subjektu tiesību īstenošanai. Šajā nodaļā ir skaidrots, kādas tiesības ir piešķirtas personām, kuru dati tiek apstrādāti, un tās ir:

  • tiesības uz informāciju;
  • piekļuves tiesības;
  • tiesības uz labošanu;
  • tiesības uz dzēšanu;
  • tiesības ierobežot datu apstrādi;
  • tiesības uz datu pārnesamību;
  • tiesības iebilst;
  • tiesības nebūt tāda lēmuma subjektam, kura pamatā ir tikai automatizēta apstrāde.

Pārzinim, saņemot pieprasījumu no datu subjekta par kādu tiesību īstenošanu, jāizvērtē, vai tiesības ir īstenojamas, un viena mēneša laikā jāsniedz atbilde par minēto pieprasījumu. Ja tiesības nav iespējams īstenot, piemēram, dzēst datus, jo pastāv likumā noteikts pienākums tos glabāt, pārzinis nedrīkst ignorēt pieprasījumu, bet tam tik un tā jāsniedz skaidrojums. Par datu subjekta tiesībām esam skaidrojuši semināra “Datu subjekta tiesības. Vai Tu zini savas tiesības?” ierakstā, bet par to, kā pārzinim izskatīt pieprasījumus, – skaidrojumā “Kas jāievēro pārzinim, izskatot datu subjekta pieprasījumu?”.

Netiek veikta incidentu apstrāde un uzskaite

Gadījumi, kad organizācijas apstrādātie personas dati tīši vai netīši nonāk neautorizētu trešo personu rīcībā, ja dati tiek nozaudēti sistēmas kļūdas, darbības integritātes zuduma vai vienkārši cilvēciskas kļūdas rezultātā, organizācijai ir jāuzskaita. Precīzāka uzskaite ļaus efektīvāk atklāt kļūmju cēloņus un tos novērst. Galvenās lietas, kam būtu jāpievērš uzmanība, ir – kāpēc šāds gadījums notika, cik lielu kaitējumu tas radīja un ko darīsim tālāk, lai tāds gadījums neatkārtotos? Atgādinām, ka rakstā “Kas ir un kā ziņot par personas datu aizsardzības pārkāpumu?” skaidrots, kā izvērtēt pārkāpumus un kuros gadījumos par tiem  jāziņo Inspekcijai. Tāpat katra incidenta gadījumā organizācijai būtu jāvērtē, vai nepieciešams informēt datu subjektus, kuru datus incidents skāris, tai skaitā ar norādēm par to, ko personas var darīt, lai mazinātu kaitējumu. Savukārt par to, kā pārvaldīt incidentus un tos uzskaitīt, skaidrots rakstā “Efektīva incidentu pārvaldība. Kāpēc ieviest incidentu reģistru?”.

Nav ieviests apstrādes reģistrs

Organizācijām, kuras atbilst vismaz vienam no tālāk uzskaitītajiem kritērijiem, reģistrs par visām veiktajām datu apstrādēm ir jāizveido obligāti:

  • ja ir 250 un vairāk darbinieku;
  • ja veiktā apstrāde varētu radīt risku datu subjektu tiesībām un brīvībām;
  • apstrāde ir regulāra;
  • apstrāde ietver īpašu kategoriju datu apstrādi;
  • apstrāde satur personas datus par sodāmību un pārkāpumiem. [9]

Ja organizācija iepriekšminētajiem kritērijiem neatbilst, tad reģistrs ir uzturams par tām organizācijas apstrādēm, kuras atbilst kritērijiem. Piemēram, jebkuras organizācijas personālvadības sistēmā būs ziņas par darbinieku veselības stāvokli. Līdz ar to šī sistēma ietverama organizācijas datu apstrādes reģistrā neatkarīgi no organizācijas atbilstības citiem kritērijiem.

Jebkurā gadījumā Inspekcija uzskata, ka ikvienai organizācijai ir lietderīgi šādu apstrādes reģistru izveidot. Par reģistra saturu un būtību vairāk skaidrots rakstā “Kāpēc nepieciešams Personas datu apstrādes reģistrs?

Datu aizsardzības speciālista (DAS) neesamība

DAS ir atbalsta persona, kas organizācijā palīdz izprast datu apstrādes principus un ieviest Datu regulā noteiktās prasības. Tāpat DAS sniedz padomus organizācijā nodarbinātajiem un pēc nepieciešamības komunicē ar datu subjektiem. Datu regulā ir noteikti obligātie gadījumi, kad jāieceļ DAS. Vienlaikus Inspekcija šaubu gadījumā, kad nav pārliecības vai pienākums ir obligāts, iesaka šādu speciālistu iecelt vismaz uz īsu laiku vai vismaz konsultēties ar ekspertiem par DAS iecelšanas nepieciešamību.

Rakstus par DAS institūtu aicinām apskatīt mūsu tīmekļa vietnes sadaļā “Datu aizsardzības speciālists”.

Netiek veikts novērtējums par ietekmi uz datu aizsardzību (NIDA)

NIDA ir process, ar kura palīdzību pārzinis var veikt dažādu risku fizisku personu pamattiesībām uzskaiti, analīzi un iespējamo seku novērtējumu. Ar šo procesu nosaka pasākumus, kas nepieciešami, lai mazinātu noteiktos riskus, kas var rasties konkrētajā datu apstrādē. NIDA veikšana gadījumos, kad plānotā datu apstrāde rada paaugstinātus riskus cilvēku pamattiesībām, ir obligāts pasākums. NIDA var veikt arī gadījumos, ja organizācija šaubās par  tā nepieciešamību, vai vēlas īpaši rūpīgi novērtēt plānotās datu apstrādes atbilstību, drošību un ilgtspēju. Par to, kā veikt NIDA un kad to veikt ir pienākums,  lasi rakstā “Novērtējuma par ietekmi uz datu aizsardzību veikšana”.

Piesaistot apstrādātāju, netiek ievēroti visi nosacījumi

Ja kādas darbības organizācijā esat uzticējuši veikt citai personai vai uzņēmumam, tad tas ir uzskatāms par apstrādātāju. Attiecības starp uzņēmumu, kas “pasūta” personas datu apstrādi, un personu, kas datu apstrādi pasūtītāja vārdā veiks, vienmēr jāregulē līgumam. Jāatceras, ka norādījumus par to, kāpēc un kādus datus jāapstrādā, dod pārzinis. Plašākai informācijai aicinām iepazīties ar skaidrojumiem “Kas pārzinim jāzina, norīkojot apstrādātāju?” un “Kādi ir apstrādātāja pienākumi un tiesības?”.

Pārzinim jāsaprot, ka Datu regulas prasību ieviešana nav tikai “ķeksītis”, lai nodrošinātu atbilstību normatīvajam regulējumam, bet ir arī atbildība pret datu subjektu – savu klientu, iedzīvotāju, jebkuru fizisku personu. Atbilstošas darbības prasību īstenošanai nedrīkst notikt vien “uz papīra”; tās ir jāievieš arī praksē. Tāpat ir svarīgi veiktās datu apstrādes neatstāt novārtā un regulāri pārskatīt, tādējādi novēršot risku apstrādāt datus, kuri ir novecojuši vai kurus apstrādāt vairs nav pamata.

Inspekcija aicina pārziņus un citas datu apstrādē iesaistītās personas izglītoties nepārtraukti, tai skaitā, lasot aktualitātes Inspekcijas “Jaunumu” sadaļā, skaidrojumus un viedokļus citās mūsu tīmekļa vietnes sadaļās, iepazīstoties ar aktuālajām Eiropas Datu aizsardzības kolēģijas vadlīnijām un rekomendācijām - https://www.edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_en, kā arī izmēģinot jauno mācību kursu – “Par personas datiem – viegli” – https://www.dvi.gov.lv/lv/jaunums/atklats-bezmaksas-e-macibu-kurss-par-personas-datiem-viegli-sac-macities-jau-sodien.

Būsim pateicīgi, ja skaidrojuma kvalitātes novērtēšanas nolūkos aizpildīsiet šo aptauju - https://www.visidati.lv/aptauja/2103231148/.


Informatīvās atsauces:

[1] Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula; tekstā – Datu regula)

[2] Inspekcijas korektīvās pilnvaras norādītas Datu regulas 58. panta 1. un 2. punktā

[3] Par atbilstoša nolūka piemērošanu sīkāk skaidrots rakstā “Kā ievērot nolūka ierobežojuma principu?

[4] Atbilstoši Datu regulas 6. pantam vai 9. pantam, ja tiek apstrādāti īpašu kategoriju personas dati. Par tiesiskajiem pamatiem vairāk skaidrots šeit: https://www.dvi.gov.lv/sites/dvi/files/personas-datu-apstrades-tiesiskie-pamati1.pdf

[5] Šāds pienākums noteikts Datu regulas 13. un 14. pantā

[6] Pieejami: https://www.dvi.gov.lv/lv/dvi#privatuma-politikas-izstrade

[7] Datu regulas 13. un 14. pants.

[8] Datu regulas III nodaļa – Datu subjekta tiesības

[9] Datu regulas 30. panta 5. punkts.

 

darbavieta
darbavieta