Turpinām stāstu par Datiņu ģimeni! Sekojot līdzi Jāņa Datiņa paveiktajiem darbiem savas uzņēmējdarbības ietvaros, ikviens var izdarīt secinājumus – Jānim rūp viņa klientu dati.
Jānis ir sapratis, ka personas datu reģistra izveide ir pirmais solis, lai uzņēmējs saprastu - vai un kāda informācija par klientu vajadzīga, izvairoties no papildu datu uzkrāšanas, kam nav pamata.
Ja vēlies saprast, kā Jānim pēdējo divu mēnešu laikā izdevies izveidot Datu regulai atbilstošu personas datu apstrādi gan uzņēmējdarbības procesos, gan jaunu klientu piesaistē, iepazīsties ar sagatavoto skaidrojumu par personas datu reģistra izveidi.
Ar ko sākt?
Komersantam pirms Personas datu apstrādes reģistra izveides ir jānoteic:
- personas dati, kuri ir komersantam
Nepieciešams apkopot visu informāciju, kura tiek prasīta no klientiem. Tas arī būs personas datu kopums, kuru uzņēmums apstrādās. Kā arī nedrīkst aizmirst par darbinieku personas datiem.
- personas datu apstrādes mērķis
Precīzi nosakiet tieši kādu rezultātu sasniegšanai nepieciešams apstrādāt esošo vai topošo klientu personas dati. Kāpēc komersants prasa no klientiem šo datus un kādus nolūkus šie dati palīdz sasniegt. Jāņem vērā, ka uzņēmējs noteikti veiks savu darbinieku personas datu apstrādi.
- mērķa sasniegšanai nepieciešamais datu apjoms
Datu reģistra izveide palīdzēs saprast, vai un kādā apjomā personas dati nepieciešami, lai sasniegtu plānoto mērķi. Šajā posmā ir iespējams visus uzskaitītus personas datus (vārds, uzvārds, e-pasts, dzīves vietas adrese u.c.) salīdzināt ar datu apjomu, kas ir nepieciešams iepriekš noteiktā nolūka sasniegšanai. Ir jāizvērtē – vai patiešām katra no uzskaitītajām kategorijām ir vajadzīga konkrētās datu apstrādes ietvaros un nolūka sasniegšanai
- personas datu apstrādes tiesiskais pamats;
Izvērtējot kādus personas datus apstrādās, uzņēmējam ir jānosaka, kurš no tiesiskajiem pamatiem katrai konkrētai datu apstrādei piemērojams. Piemēram, darbinieku datu apstrādei var būt piemērojama, gan līguma izpilde, gan arī juridisks pienākums, preces piegādes adrese vai e-pasts – līguma izpilde, u.tt. Tiesiskie pamati ir noteikti Datu regulas 6.panta 1.punktā un tie ir – piekrišana, juridiskais pienākums, līguma izpilde, leģitīmas intereses, sabiedrības intereses.
- vai dati tiks nodoti trešajām personām;
Uzņēmējam jāapsver, vai un kam iegūtie personas dati tiks nodoti. Ieteicams izveidot sarakstu ar sadarbības partneriem vai citām organizācijām, kā arī to, kādus personas datus katrai trešajai personai ir plānots nodot.
- vai dati tiks nodoti ārpus Eiropas Savienības un Eiropas Ekonomikas zonas;
Jāsaprot, vai plānots nodot personas datus tādiem sadarbības partneriem vai organizācijām, kuras nav ES vai EEK zonas dalībvalstis. Ja tiek plānots datus nosūtīt trešajām valstīm, tad jāfiksē kāds būs atbilstības nodrošināšanas rīks konkrētās nosūtīšanas gadījumā.
- informācija par tehniskajiem un organizatoriskajiem drošības pasākumiem.
Pirms Personas datu reģistra izveides, jānosaka kādi tehniskās un organizatoriskās drošības pasākumi jau ir ieviesti uzņēmumā.
Reģistra izveide
Personas datu apstrādes reģistra izveides formāts nav noteikts. Uzņēmējs var izvēlēties, kā to veidot un uzturēt (piemēram, izveidot atsevišķu sistēmu, excel tabulu vai veidot to papīra formātā).
Reģistrā iekļaujamā informācija
Informācijas apjoms, kas jāiekļauj Personas datu apstrādes reģistrā, ir atkarīgs no personas datu apstrādes veicēja.
Ja komersants veic personas datu apstrādi, nepiesaistot apakšuzņēmēju, tad reģistrā ir jānorāda:
- organizācijas nosaukums un kontaktinformācija, tai skaitā, informācija par saziņas iespējām ar datu aizsardzības speciālistu;
- datu apstrādes mērķis (nolūks);
- datu subjektu kategoriju apraksts;
- personas datu kategoriju apraksts;
- personas (piemēram, amati vai pārstāvība), kurām personas dati ir izpausti vai plānots to darīt;
- informācija par saņēmējiem trešajās valstīs vai starptautiskās organizācijās, ja personas dati ir izpausti vai plānots to darīt;
- ja personas dati tiek nosūtīti uz trešo valsti vai starptautisko organizāciju, tad jānorāda konkrēts personas datu saņēmējs (nosaukums, kontaktinformācija) un atbilstošu garantiju dokumentācija;
- termiņi dažādu personas datu kategoriju datu dzēšanai;
- tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.
Komersant var deleģēt datu apstrādi veikt kādam citam. Šajā gadījumā personai, kurai deleģēta datu apstrāde, reģistrā ir jānorāda:
- apstrādātāja, kā arī organizācijas, kas deleģējusi datu apstrādi, nosaukums un kontaktinformācija, tai skaitā, informācija par saziņas iespējām ar datu aizsardzības speciālistu;
- datu apstrādes mērķis (nolūks);
- datu subjektu kategoriju apraksts;
- personas datu kategoriju apraksts;
- personas (piemēram, amati vai pārstāvība), kurām personas dati ir izpausti vai plānots to darīt;
- informācija par saņēmējiem trešajās valstīs vai starptautiskās organizācijas, ja personas dati ir izpausti vai plānots to darīt;
- ja personas dati tiek nosūtīti uz trešo valsti vai starptautisko organizāciju, tad jānorāda konkrēts personas datu saņēmējs (nosaukums, kontaktinformācija) un atbilstošu garantiju dokumentācija;
- termiņi dažādu personas datu kategoriju datu dzēšanai;
- tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.
Komersants par katru datu apstrādes darbību reģistrā var iekļaut ne tikai obligāto informācijas apjomu, bet arī papildināt reģistru ar citām sadaļām, piemēram,
- norādīt datu apstrādes tiesisko pamatu;
- gadījumā, ja konstatēts drošības incidents, reģistrā var iekļaut atsauci, vai personas dati ir/nav skarti;
- vai arī atsauci uz izstrādāto "Novērtējumu par ietekmi uz datu apstrādi" konkrētam procesam.
Papildu informācijas iekļaušana reģistrā ļauj ne tikai gūt pilnīgāku pārskatu par datu apstrādes procesiem organizācijā, bet arī atvieglos saziņu ar klientiem datu aizsardzības jautājumos.
Paraugs "Personas datu apstrādes reģistrs"
|
Personas datu apstrādes darbību reģistrs (žurnāls) saskaņā ar Vispārīgo datu aizsardzības regulu (2016./679., 13., 30. pants): |
|||
|
Pārzinis |
SIA "MVU" |
||
|
Adrese Xxx iela 1, Latvija |
Tālrunis +371 xxxxxx |
Fakss +371 xxxxx |
|
|
E-pasta adrese |
Vietne |
Datu aizsardzības atbildīgā e-pasta adrese |
|
|
Personas datu apstrādes mērķis |
Darba algas aprēķins un izmaksa |
||
|
Datu subjektu apraksts |
Darbinieki |
||
|
Personas datu kategorijas |
Vārds, Uzvārds, Norēķinu konta Nr. |
||
|
Personas datu saņēmēju kategorijas |
Darbinieki, valsts iestādes likumā noteiktos gadījumos |
||
|
Personas datu nodošana ārpus ES vai Eiropas Ekonomikas zonas |
Personas dati netiek nodoti ārpus ES vai Eiropas Ekonomikas zonas. |
||
|
Datu glabāšanas termiņi |
10 gadi |
||
|
Tehnisko un organizatorisko drošības pasākumu vispārējs apraksts |
1. Datu apstrādes tiesības tiek aizsargātas, izmantojot informācijas sistēmu piekļuves tiesību uzraudzības funkcijas. 2. Serveru datori, kas tiek izmantoti datu apstrādē, atrodas datoru centrā, kas ir aizsargāts ar piekļuves kontroles un drošības sistēmām. Reģistri, kuri satur personas datus, ir nošķirti no publiskās informācijas tīkliem, izmantojot tehniskos drošības pasākumus. 3. Papīra dokumentus uzglabā aizslēgtos skapjos, kas atrodas telpās ar piekļuves kontroli. 4. Personas, kas apstrādā personas datus, ir pakļautas konfidencialitātes pienākumam, kas izriet no likuma, pārziņa iekšējiem noteikumiem un / vai ir parakstījuši konfidencialitātes līgumu. 5. Tiek veikta sistemātiska failu dublēšana. |
||
|
Apstrādes juridiskais pamatojums |
Saskaņā ar Darba likuma ..p., Iedzīvotāju ienākuma nodokļu likuma ..p. |
||
|
Cita saistoša informācija |
Organizācija var izvērtēt un iekļaut citu, papildu informāciju, kas saistīta ar datu apstrādi |
||
Jo uzmanīgāk un atbildīgāk izturēsies pret lietotāju personas datiem, jo lielāku uzticību tas radīs klienta un komersanta attiecībās. Tāpat, regulāri pārskatot personas datu apstrādes, datu drošības politikas un personas datu reģistrus, pastāvēs mazāka iespēja dažādiem starpgadījumiem, piemēram, datu noplūdēm vai klientu sūdzībām.