Jau iepriekš esam skaidrojuši, kas ir datu aizsardzības speciālists un kādos gadījumos tas būtu jāieceļ. Šī skaidrojuma mērķis ir atgādināt organizācijām (pārziņiem) par darbībām, kas atbilstoši normatīviem [1] ir jāveic, kad speciālists jau ir iecelts, uzsvaru liekot uz datu aizsardzības speciālistu kā kontaktpunktu starp organizāciju un uzraudzības iestādi (Datu valsts inspekciju) [2], un iedzīvotājiem, kuru dati tiek apstrādāti.
-
Informējiet uzraudzības iestādi!
Pirmkārt, organizācijai ir pienākums informēt Datu valsts inspekciju par datu aizsardzības speciālista iecelšanu, norādot speciālista vārdu, uzvārdu un kontaktinformāciju (vismaz tālruņa numuru vai e-pasta adresi).[3] Otrkārt, būtiski ir precīzi norādīt organizācijas nosaukumu (pārziņa vai apstrādātāja). Ja datu aizsardzības speciālistu iecēluši kopīgi pārziņi, jānorāda visu iesaistīto organizāciju nosaukumi, un iesniegtais dokuments ir jāparaksta visiem pārziņiem.
Lai atvieglotu šo procesu, esam izstrādājuši speciālu veidlapu. [4] Ja iespējams, dokumentā var norādīt speciālista iecelšanas datumu un termiņu, līdz kuram speciālists norīkots. [5] Ja speciālists norīkots uz konkrētu laiku, organizācijas pienākums ir sekot līdzi šim termiņam, lai savlaicīgi informētu Datu valsts inspekciju par termiņa pagarināšanu vai cita speciālista iecelšanu.
Organizācijai ir pienākums sniegt uzraudzības iestādei informāciju par iecelto datu aizsardzības speciālistu. Datu valsts inspekcija nepieņem speciālista parakstītu iesniegumu, ja tam nav pievienots organizācijas pilnvarojums. Lai gan datu aizsardzības speciālista piekrišana viņa kontaktinformācijas nodošanai nav nepieciešama, viņš var vienoties ar pārzini par sniedzamās informācijas apjomu.
-
Informējiet iedzīvotājus, publicējot speciālista kontaktinformāciju!
Ieceļot datu aizsardzības speciālistu, tā kontaktinformācija ir jāpadara pieejama arī datu subjektiem jeb personām, kuru datus organizācija apstrādā. [6] Ņemot vērā, ka šāda informācija būs pieejama plašākam sabiedrības lokam, tad speciālists var vienoties ar organizāciju par to informāciju, kas tiks publicēta. Piemēram, cilvēkiem nebūs tik svarīgs speciālista vārds un uzvārds [7], bet daudz būtiskāka būs iespēja ar to sazināties, piemēram, norādot saziņas e-pastu vai kontakttālruni. Informācija par speciālistu organizācijai ir jānorāda savas tīmekļa vietnes privātuma politikā [8]. Ja tīmekļa vietnes nav, tā būtu sniedzama citā cilvēkiem ērtā un pieejamā veidā, piemēram, klātienes tikšanās laikā, kad tiek uzsākta datu apstrāde, vai e-pastā.
-
Informējiet par izmaiņām!
Ja ieceltajam datu aizsardzības speciālistam ir mainījusies kontaktinformācija, par to ir jāpaziņo Datu valsts inspekcijai un jāinformē iedzīvotāji atbilstoši šī raksta 1. un 2. punktam. Tas pats attiecināms uz paša speciālista maiņu. [9]
Datu valsts inspekcijas un iedzīvotāju rīcībā ir jābūt aktuālai informācijai par datu aizsardzības speciālistu, tāpat kā par pašu organizāciju un tās veikto datu apstrādi, jo īpaši ņemot vērā, ka datu aizsardzības speciālists ir kā “starpnieks” starp organizāciju, uzraudzības iestādi un iedzīvotājiem.
-
Ziņojiet arī par sadarbības pārtraukšanu!
Arī gadījumā, ja ir pārtraukta sadarbība ar datu aizsardzības speciālistu, bet jauns speciālists netiek iecelts, organizācijai par to ir jāinformē Datu valsts inspekcija. Gadījumos, kad ir pienākums iecelt datu aizsardzības speciālistu, jaunais speciālists būtu jāieceļ tūlītēji, tādējādi nodrošinot nepārtrauktu datu aizsardzību organizācijā. Tāpat šādu izmaiņu aktualizēšana attiecas arī iedzīvotājiem pieejamo un publicējamo informāciju.
-
Informējiet darbiniekus!
Organizācijas darbiniekiem ir jābūt informētiem par iecelto datu aizsardzības speciālistu, lai:
- nepieciešamības gadījumā sniegtu iedzīvotājiem/klientiem speciālista kontaktinformāciju;
- sazinātos ar speciālistu par savu datu apstrādi, ko veic organizācija.
Atgādinām, ka organizācija var iecelt:
- speciālistu, kurš ir nokārtojis datu aizsardzības speciālista kvalifikācijas eksāmenu un tādējādi iekļauts Datu valsts inspekcijas uzturētajā datu aizsardzības speciālistu sarakstā;
- speciālistu, kurš nav iekļauts sarakstā, bet viņam ir atbilstošas praktiskās un teorētiskās zināšanas datu aizsardzības jomā. [10]
Datu aizsardzības speciālistu var iecelt uz darba līguma vai ārpakalpojuma līguma pamata.
Ir svarīgi arī pievērst uzmanību datu aizsardzības speciālista aizvietošanai slimību un citos darba nespējas gadījumos, lai nodrošinātu darbības nepārtrauktību. Šādās situācijās organizācija var uz noteiktu termiņu speciālista pienākumus nodot kādam citam darbiniekam vai arī citai personai, kura pārzina datu aizsardzības jautājumus.
Sīkāk informācij par datu aizsardzības speciālista institūtu pieejama 29. panta darba grupas vadlīnijās par Datu aizsardzības speciālistiem (DAS): https://ec.europa.eu/newsroom/article29/items/612048
Būsim pateicīgi, ja skaidrojuma kvalitātes novērtēšanas nolūkos aizpildīsiet šo aptauju - https://www.visidati.lv/aptauja/2103231148/, tai skaitā norādot uz skaidrojumiem, kādi vēl nepieciešami par datu aizsardzības speciālista institūtu.
Informatīvās atsauces:
[1] Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula)
[2] Datu regulas 39. panta 1. punkta e) apakšpunkts
[3] Saskaņā ar Datu regulas 37. panta 7. punktu
[4] Iesniegtajam dokumentam jāatbilst dokumentu juridiskā spēka likuma prasībām – jābūt parakstītam, jāsatur parakstītāja vārds, uzvārds, organizācijas nosaukums un parakstīšanas datums. Dokuments iesniedzams izmantojot pastu vai ievietojot Datu valsts inspekcijas pastkastītē (Elijas ielā 17, Rīga, LV-1050), elektronisko pastu (ar drošu elektronisko parakstu parakstītus dokumentus uz pasts@dvi.gov.lv) vai E-adreses informācijas sistēmā. Veidlapas izmantošana nav obligāta. Katra organizācija var izmantot arī savu veidlapu, jo galvenais ir iesniegt visu nepieciešamo informāciju.
[5] Norādot šādu termiņu, Datu valsts inspekcija, tam iestājoties pieņems, ka speciālists vairs nav norīkots šajā organizācijā.
[6] Saskaņā ar Datu regulas 37. panta 7. punktu
[7] Izņemot kā noteikts likuma “Par fizisko personu datu apstrādi kriminālprocesā un administratīvā pārkāpuma procesā” 18. panta pirmās daļas 2. punktā, ja uz pārzini attiecināms šis likums
[8] Datu regulas 13. panta 1. punkta b) apakšpunkts vai 14. panta 1. punkta b) apakšpunkts.
[9] Iesnieguma veidlapa, kas izmantojama datu aizsardzības speciālista maiņas gadījumā pieejama: https://www.dvi.gov.lv/lv/pazinojums-par-das-iecelsanu
[10] Datu regulas 37. panta 5. punkts