Fizisko personu datu aizsardzība

Fizisko personu datu aizsardzība atbilstoši Vispārīgajai datu aizsardzības regulai ir obligāta katrā uzņēmumā. Šajā kategorijā ietverti atsevišķu dokumentu paraugi, kas palīdzēs uzņēmumā sagatavot personas datu apstrādes dokumentāciju atbilstoši regulas prasībām. Paraugus var ērti lejuplādēt un pielāgot atbilstoši sava uzņēmuma darbības specifikai. Veidlapas izstrādātāji: SIA "Protectum". "Protectum" vērš uzmanību, ka piedāvāto formu aizpildīšana ir tikai palīglīdzeklis datu aizsardzības sistēmas ieviešanai un nenodrošina pilnvērtīgu datu aizsardzības regulas prasību ievērošanu.

Pārziņa apstrādes darbību reģistrs

Vispārīgās datu aizsardzības regulas 30.pants nosaka, ka vairumā gadījumu pārzinim ir jāveido datu apstrādes darbību reģistrs. Šāds reģistrs nav obligāts (bet ieteicams), ja uzņēmums nodarbina mazāk nekā 250 darbiniekus, izņemot, ja uzņēmuma veiktā datu apstrāde varētu radīt risku datu subjekta tiesībām un brīvībām, apstrāde nav neregulāra vai apstrāde ietver īpašas kategorijas datus (piem., veselības datus, tautību, etnisko izcelsmi, personas politisko un reliģisko pārliecību, seksuālo orientāciju, dalību arodbiedrībā) vai datus par sodāmībām. Šāda apstrādes darbību reģistra aizpildīšana un vešana palīdzēs uzņēmumam identificēt uzņēmumā veiktās datu apstrādes un izvērtēt to atbilstību Vispārīgās datu aizsardzības regulas prasībām.

Personas datu apstrādes paziņojums pretendentiem, atsauksmju sniedzējiem un citiem personāla atlasē iesaistītiem datu subjektiem

Vispārīgās datu aizsardzības regulas 13.un 14.pants nosaka, ka pārziņa pienākums ir informēt datu subjektu par ar tā datiem veikto datu apstrādi. Viens no efektīvākajiem veidiem, kā šādu visaptverošu informēšanu veikt kopā ar speciāliem individualizētiem paziņojumiem, ir publicēt interneta vietnē vai iekļaut iekšējā dokumentācijā šāda veida paziņojumus, kuros ietverti visi Vispārīgajā datu aizsardzības regulā noteiktie aspekti. Šajā veidlapā ir paziņojumu paraugs darbinieku atlases procesa nodrošināšanai, tomēr šādi būtu jāsagatavo arī adresēti patstāvīgajiem darbiniekiem, klientiem, apmeklētājiem, sadarbības partneriem un citiem datu subjektiem.

Datu subjekta pieprasījuma veidlapa

Vispārīgā datu aizsardzības regula nenosaka, ka datu subjekta pieprasījumi būtu ierobežojami (to pat nebūtu vēlams darīt) ar kādu konkrētu formu, tomēr šādas pieprasījuma formas pieejamības nodrošināšana datu subjektam ļautu efektīvāk izprast savas tiesības un arī realizēt tās motivēti un konkrēti, kas savukārt samazinātu administratīvā resursa izmantošanu uzņēmumā neskaidro datu subjektu pieprasījumu apstrādē. Tāpat šādas veidlapas uzturēšana un piedāvāšana datu subjektiem palīdzēs nodrošināt arī Vispārīgās datu aizsardzības regulas 5.panta 2.punktā nostiprināto pārskatatbildības principa (uzskatāmi pierādīt Vispārīgās datu aizsardzības regulas ievērošanu) īstenošanu sadarbībā ar datu subjektiem.

Drošības incidentu reģistrācijas žurnāls

Vispārīgās datu aizsardzības regulas 33.panta 5.punkts nosaka, ka pārzinim ir jādokumentē visi personas datu aizsardzības pārkāpumi, kā arī tas, vai ir izpildīti ziņošanas pienākumi. Vispārīgā datu aizsardzības regula nosaka, ka jādokumentē tieši datu aizsardzības pārkāpumi (apraksts dots veidlapā), tomēr rekomendējams ir dokumentēt arī incidentus, kas nav rezultējušies datu aizsardzības pārkāpumā, tādējādi konstatējot riskus, veiktu šo risku izvērtēšanu un novēršanu, lai nākotnē izvairītos no iespējama datu aizsardzības pārkāpuma.

Videonovērošanas noteikumi

Saskaņā ar Vispārīgās datu aizsardzības regulas 32.panta 1.punktu pārzinim, lai nodrošinātu datu apstrādes drošību un likumību, ir jāīsteno atbilstoši tehniski un organizatoriski pasākumi. Procedūras un instrukcijas ir viens no efektīviem organizatoriskiem pasākumiem, kādi būtu jāīsteno katram būtiskam datu apstrādes procesam. Ņemot vērā, ka videonovērošanas veikšana ir saistīta ar iespējamu augsta riska radīšanu datu subjektiem, uzņēmumiem ir rekomendējams izstrādāt videonovērošanas noteikumus, kuros aprakstīt būtiskākos datu apstrādes noteikumus videonovērošanas nodrošināšanā.

Veicamo darbu pārbaudes lapa Vispārīgās datu aizsardzības regulas ieviešanai

Vispārīgā datu aizsardzības regula nosaka vairākus pienākumus pārzinim, kas jāveic, lai tas spētu uzskatāmi pierādīt savas darbības atbilstību Vispārīgajai datu aizsardzības regulai. Lai arī veicamie darbi atšķiras, ievērojot katra uzņēmuma specifiku, šis uzskaitījums sniedz priekšstatu par darbiem, kuri lielākoties uzņēmumos būtu jāveic.

Vienošanās par personas datu apstrādes noteikumiem

Vispārīgās datu aizsardzības regulas 28.panta 3.punkts nosaka, ka pārziņiem, piesaistot datu apstrādei personas datu apstrādātāju, ar to ir jāslēdz datu apstrādes līgums, kurā jāiekļauj vismaz minimālās Vispārīgā datu aizsardzības regulā noteiktās prasības. Šis vienošanās projekts satur vismaz minimālās Vispārīgajā datu aizsardzības regulā noteiktās prasības, kuras līgumā iekļaujamas, tomēr jāņem vērā, ka vienošanās pielāgojama katrai situācijai atsevišķi.

Datu apstrādātāju reģistrs

Vispārīgās datu aizsardzības regulas 28.pants nosaka, ka pārziņi, ja nepieciešams, piesaista tikai tādus apstrādātājus, kas sniedz pietiekamas garantijas un īsteno atbilstošus tehniskus un organizatoriskos pasākumus un ar kuriem ir noslēgts atbilstošs līgums. Ņemot vērā, ka personas datu apstrādātāji apstrādā datus uzņēmuma interesēs un vārdā un tie var radīt būtisku risku uzņēmumam, ir rekomendējams apzināt šāda veida sadarbības partnerus un veikt to uzskaiti un kontroli. Lai arī šāds reģistrs nav obligāts, tomēr šāda reģistra vešana palīdzēs nodrošināt arī Vispārīgās datu aizsardzības regulas 5.panta 2.punktā nostiprināto pārskatatbildības principa (uzskatāmi pierādīt Vispārīgās datu aizsardzības regulas ievērošanu) īstenošanu sadarbībā ar apstrādātājiem.

Apstrādātāja apstrādes darbību reģistrs

Vispārīgās datu aizsardzības regulas 30.pants nosaka, ja uzņēmums darbojas kā datu apstrādātājs cita pārziņa interesēs, tam vairumā gadījumu jāveic arī personas datu apstrādātāja statusā veikto darbību uzskaite, to fiksējot apstrādātāja statusā veikto datu apstrādes darbību reģistrā. Šāds reģistrs nav obligāts (bet ieteicams), ja uzņēmums nodarbina mazāk nekā 250 darbiniekus, izņemot, ja uzņēmuma veiktā datu apstrāde varētu radīt risku datu subjekta tiesībām un brīvībām, apstrāde nav neregulāra vai apstrāde ietver īpašas kategorijas datus (piem., veselības datus, tautību, etnisko izcelsmi, personas politisko un reliģisko pārliecību, seksuālo orientāciju, dalību arodbiedrībā) vai datus par sodāmībām. Šāda apstrādes darbību reģistra aizpildīšana un vešana palīdzēs uzņēmumam identificēt uzņēmumā apstrādātāja statusā veiktās datu apstrādes un izvērtēt to atbilstību Vispārīgās datu aizsardzības regulas prasībām un kontrolēt tās. Veidlapā kā rekomendējamas ir atzīmētas ailes, kuras Vispārīgā datu aizsardzības regula nenosaka kā obligātas, tomēr, lai pilnībā nodrošinātu apstrādes darbību pilnīgu kontroli, tās būtu nepieciešamas.

Mēs novērtējam Jūsu privātumu

Mēs novērtējam Jūsu privātumu