#DVIskaidro “Kāpēc nepieciešams Personas datu apstrādes reģistrs?”

Datu regulā ir noteikts pienākums komersantiem un organizācijām izveidot un uzturēt Personas datu apstrādes reģistru, lai to veiktā personas datu apstrāde būtu pārskatāma. Šāds reģistrs ir jāveido visiem komersantiem un organizācijām, kurās ir nodarbinātas vairāk kā 250 personas. Ja ir nodarbinātas mazāk kā 250 personas, reģistra izveide nav obligāta, ja vien komersanta vai organizācijas veiktā datu apstrāde nav regulāra, neskar īpašas kategorijas datus vai personas datus par sodāmību un pārkāpumu, kā arī nerada risku personas tiesībām un brīvībām, [1].

Ar ko sākt?

Komersantam/organizācijai pirms Personas datu apstrādes reģistra izveides ir jāņem vērā:

• personas datu apstrādes mērķis jeb nolūks;
• personas datu apstrādes tiesiskais pamats;
• mērķa sasniegšanai nepieciešamais datu apjoms;
• vai dati tiks nodoti trešajām personām;
• vai dati tiks nodoti ārpus Eiropas Savienības un Eiropas Ekonomikas zonas;
• informācija par tehniskajiem un organizatoriskajiem drošības pasākumiem.

Reģistra izveide

Personas datu apstrādes reģistra izveides formāts nav noteikts un katrs komersants/organizācija var izvēlēties, kā to veidot un uzturēt (piemēram, izveidot atsevišķu sistēmu, excel tabulu vai veidot to papīra formātā).

Reģistrā iekļaujamā informācija

Informācijas apjoms, kas jāiekļauj Personas datu apstrādes reģistrā, ir atkarīgs no personas datu apstrādes veicēja.

Ja komersants/organizācija pati nosaka personas datu apstrādes nolūkus un līdzekļus, tad reģistrā ir jānorāda:

• organizācijas nosaukums un kontaktinformācija, tai skaitā, informācija par saziņas iespējām ar datu aizsardzības speciālistu;
• datu apstrādes mērķis (nolūks);
• datu subjektu kategoriju apraksts;
• personas datu kategoriju apraksts;
• personas (piemēram, amati vai pārstāvība), kurām personas dati ir izpausti vai plānots to darīt;
• informācija par saņēmējiem trešajās valstīs vai starptautiskās organizācijās, ja personas dati ir izpausti vai plānots to darīt;
• ja personas dati tiek nosūtīti uz trešo valsti vai starptautisko organizāciju, tad jānorāda konkrēts personas datu saņēmējs (nosaukums, kontaktinformācija) un atbilstošu garantiju dokumentācija;
• termiņi dažādu personas datu kategoriju datu dzēšanai;
• tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

Komersants/organizācija var deleģēt datu apstrādi veikt kādam citam. Šajā gadījumā personai, kurai deleģēta datu apstrāde, reģistrā ir jānorāda:

• apstrādātāja, kā arī organizācijas, kas deleģējusi datu apstrādi, nosaukums un kontaktinformācija, tai skaitā, informācija par saziņas iespējām ar datu aizsardzības speciālistu;
• datu apstrādes mērķis (nolūks);
• datu subjektu kategoriju apraksts;
• personas datu kategoriju apraksts;
• personas (piemēram, amati vai pārstāvība), kurām personas dati ir izpausti vai plānots to darīt;
• informācija par saņēmējiem trešajās valstīs vai starptautiskās organizācijas, ja personas dati ir izpausti vai plānots to darīt;
• ja personas dati tiek nosūtīti uz trešo valsti vai starptautisko organizāciju, tad jānorāda konkrēts personas datu saņēmējs (nosaukums, kontaktinformācija) un atbilstošu garantiju dokumentācija;
• termiņi dažādu personas datu kategoriju datu dzēšanai;
• tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

Kāpēc nepieciešams Personas datu apstrādes reģistrs?

Lai komersants/organizācija (tai skaitā, datu aizsardzības speciālists), kā arī uzraudzības iestāde (kas var pieprasīt reģistra izsniegšanu) varētu pārliecināties par datu apstrādes tiesiskumu un pamatotību, Personas datu reģistrā iekļautai informācijai jābūt atbilstošai datu apstrādes nolūkam, apstrādājamo datu kategorijām, kā arī pietiekami konkrētai - bez pārlieku lielas detalizācijas pakāpes.

Komersants/organizācija par katru datu apstrādes darbību reģistrā var iekļaut ne tikai obligāto informācijas apjomu, bet arī papildināt reģistru ar citām sadaļām, piemēram,

• norādīt datu apstrādes tiesisko pamatu;
• gadījumā, ja konstatēts drošības incidents, reģistrā var iekļaut atsauci, vai personas dati ir/nav skarti;
• vai arī atsauci uz izstrādāto “Novērtējumu par ietekmi uz datu apstrādi” konkrētam procesam.

Papildu informācijas iekļaušana reģistrā ļauj ne tikai gūt pilnīgāku pārskatu par datu apstrādes procesiem organizācijā, bet arī atvieglos saziņu ar klientiem datu aizsardzības jautājumos.  

Izveidoju un aizmirsu?

Personas datu apstrādes reģistrs nav dokuments, kuru var izstrādāt, nolikt plauktā un aizmirst par to. Tas ir dokuments, kas komersantam/organizācijai ir jāuztur, regulāri to aktualizējot atbilstoši faktiskajai situācijai.

Komersants/organizācija reģistra uzturēšanai var norīkot vienu vai vairākas atbildīgās personas. Atbildīgā persona var būt arī datu aizsardzības speciālists, kura amata pienākumos ietilpst Personas datu apstrādes reģistra izveide un uzturēšana.

Svarīgi!

Datu valsts inspekcijai ir tiesības vērsties pie komersanta/organizācijas ar pieprasījumu izsniegt Personas datu apstrādes reģistru, lai pārliecinātos, ka datu apstrāde tiek veikta saskaņā ar datu aizsardzību reglamentējošiem tiesību aktiem, [2].

Paraugs “Personas datu apstrādes reģistrs” [3]

INFORMATĪVĀS ATSAUCES:

1. Datu regulas 30.pants.
2. Datu regulas 82. apsvērums.
3. Rekomendācija “CEĻVEDIS DATU APSTRĀDĒ MAZIEM UN VIDĒJIEM UZŅĒMĒJIEM”  https://www.dvi.gov.lv/lv/dvi#rekomendacija-celvedis-datu-apstrade-maziem-un-videjiem-uznemejiem