Ir atlicis mazāk par gadu, līdz būs jāsāk ievērot jaunā Vispārīgā datu aizsardzības regula jeb Eiropas Parlamenta un Padomes Regula 2016/679 par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (Regula). Regula tika pieņemta un stājās spēkā 2016.gadā un paredz būtiskas izmaiņas esošajā Fizisko personu datu aizsardzības likumā noteiktajā regulējumā. Līdz ar to ikvienam komersantam, iestādei un organizācijai kā personas datu apstrādes – jebkādas darbības ar jebkuru informāciju par fiziskajām personām – veicējiem ieteicams pievērst uzmanību šai regulai.
Vispārīgās datu aizsardzības regulas ievērošanu var nodrošināt, ieviešot tehniskus un organizatoriskus pasākumus, piemēram, datu apstrādes procesu nosakot iekšējos noteikumos, apmācot darbiniekus, ieceļot datu aizsardzības speciālistu, kā arī ieviešot jaunas vai uzlabojot esošās elektroniskās sistēmas, datu bāzes. Līdz ar to Regulas ievērošanai ir jāsagatavojas. Ņemot vērā, ka regula paredz daudz jaunu pienākumu, sagatavošanos ieteicams sākt laikus, identificējot lielākos riskus, prioritātes un attiecīgi plānojot ieviešanas aktivitātes un resursus to īstenošanai.
Turpinājumā aprakstīti atsevišķi būtiskākie ar Regulas piemērošanu saistītie aspekti un paredzētās izmaiņas.
Tieši piemērojama
Regula ir tieši piemērojama visās Eiropas Savienības (ES) dalībvalstīs, līdz ar to regulā noteiktās prasības ir tieši saistošas un ievērojamas tāpat kā, piemēram, Latvijas Republikas likumi vai Ministru kabineta noteikumi. Tas nozīmē – lai sāktu gatavošanos regulai, nav jāgaida, kad tiks pieņemts jauns likums, kurā būs noteiktas Regulas prasības Latvijas komersantiem, iestādēm un organizācijām.
Lielāks fiziskai personai sniedzamās informācijas apjoms
Saskaņā ar Regulu ir nozīmīgi palielināts informācijas apjoms, kas personas datu ieguvējam ir jāsniedz fiziskai personai tās personas datu iegūšanas brīdī. Līdz ar to būs jāsniedz ne tikai informācija par pārzini un apstrādes mērķi, bet arī par apstrādes pamatu, saņēmējiem, datu aizsardzības speciālistu, datu nodošanu valstīm ārpus ES un cita informācija.
Jauni nosacījumi piekrišanai
Regula paredz arī vairākus jaunus nosacījumus piekrišanai, tostarp pirms personas datu iegūšanas, saņemot personas piekrišanu, tā būs jāinformē par iespēju piekrišanu jebkurā brīdī atsaukt, piekrišana var nebūt derīga, ja tā ir ietverta līgumā kā viens no līguma punktiem vai ja tā iegūta nevienlīdzīgu attiecību ietvaros. Par nevienlīdzīgām var tikt atzītas, piemēram, fiziskas personas un valsts iestādes attiecības, kā arī darbinieka un darba devēja attiecības.
Papildu atbildība par pakalpojuma sniedzēja izvēli
Papildu atbildība paredzēta, ja pakalpojums ietver personas datu apstrādi. Regula paredz jaunu komersanta, organizācijas vai iestādes pienākumu pārbaudīt datu aizsardzības garantijas, kādas sniedz izvēlētais pakalpojuma sniedzējs, kurš pakalpojuma izpildes ietvaros personas datu apstrādi veic komersanta, iestādes vai organizācijas uzdevumā. Pakalpojuma sniedzējs ir apstrādātājs Regulas izpratnē vai personas datu operators Fizisko personu datu aizsardzības likuma (FPDAL) izpratnē.
Ziņošana par datu aizsardzības pārkāpumiem
Lai izpildītu Regulā noteikto pienākumu paziņot par datu aizsardzības pārkāpumu, varētu būt nepieciešami jauni tehniskis un organizatoriski pasākumi. Regula paredz pienākumu datu aizsardzības pārkāpuma gadījumā paziņot par to uzraudzības iestādei, kā arī atsevišķos gadījumos par pārkāpumu var būt jāziņo arī fiziskām personām, pret kuru datiem pārkāpums ir noticis. Līdz ar to sistēmām ir jābūt tehniski spējīgām pārkāpumu identificēt, kā arī ir jābūt izstrādātam iekšējam regulējumam par paziņošanas procedūru, neskatoties uz to, ka neviens pārkāpums vēl nav identificēts.
Datu aizsardzības speciālists
Regula atšķirībā no esošā likuma paredz, ka noteiktos gadījumos obligāta būs datu aizsardzības speciālista iecelšana.
Līdzšinējie datu aizsardzības pamatprincipi nemainās
Regula tāpat kā FPDAL paredz, ka jebkurai datu apstrādei ir jābūt tiesiski pamatotai, apstrādi ir atļauts veikt, ja pastāv tiesisks mērķis, visi apstrādātie dati visu to glabāšanas laiku ir nepieciešami šī mērķa sasniegšanai, kā arī personas datiem nepārtraukti ir jābūt drošībā.
Piemērs
Lai arī šie pamatprincipi FPDAL ir noteikti vairāk nekā 10 gadu, prakse liecina, ka ļoti bieži tie netiek ievēroti. Piemēram, personas dati tiek iegūti lielākā apjomā nekā nepieciešams, klientu lojalitātes programmas ietvaros iegūstot klienta personas kodu, dzīvesvietas adresi, iegūstot no darbinieka pases kopiju vai informāciju par ģimenes stāvokli. Bieži personas dati tiek glabāti ilgāk nekā nepieciešams, piemēram, neierobežotu laiku glabājot visus bijušo klientu un darbinieku personas datus. Līdz ar to, lai sagatavotos regulas ievērošanai, būtiski ir pārskatīt līdz šim glabāto datu apjomu un pārtraukt nevajadzīgu datu glabāšanu, turpmāku iegūšanu, līdz šim bez tiesiska mērķa iegūtos vai glabātos datus pilnībā un drošā veidā iznīcinot. Šī prasība attiecas gan uz papīra formātā, gan elektroniskajos datu nesējos esošajiem personas datiem. Tā tiek nodrošināta ne tikai likumīgo prasību izpilde, bet samazināts informācijas apjoms, attiecībā pret kuru ir jāievieš jaunās Regulas prasības.
Jauns pamatprincips – regulas ievērošanas apliecināšana
Regula ir jāievēro, un Regulas ievērošanu jāspēj apliecināt.
Piemērs
Piemēram, lai apliecinātu, ka tiek izpildīts princips, saskaņā ar kuru personas datus ir atļauts apstrādāt tikai tik ilgi, cik pastāv to apstrādes mērķis, iekšējos noteikumos jābūt noteiktam attiecīga veida personas datu glabāšanas termiņam un jābūt aktam, kurš apliecina, ka pēc šī termiņa personas dati tiek iznīcināti. Lai apliecinātu, vai un kā ir pārbaudītas iepriekš minētās apstrādātāja sniegtās garantijas, ir jābūt aktam par konkrētā apstrādātāja sniegto garantiju pārbaudi, kā arī ir jābūt iekšējiem noteikumiem par apstrādātāju sniegto garantiju pārbaudes procesu. Apliecinājums ir jānodrošina arī tehniski veiktajai datu aizsardzībai, piemēram, ja tiek piemērota datu šifrēšana, tas jāspēj apliecināt.
Jāņem vērā, ka jaunais pienākums par Regulas ievērošanas apliecināšanu nozīmē, ka Regula var tikt pārkāpta un sods var tikt piemērots arī tikai par formālu neatbilstošu rīcību, piemēram, iekšējo procedūru apraksta trūkumu.
Šis nav izsmeļošs Regulā ietverto jauno pienākumu izklāsts, tomēr tas skaidri liecina, ka regulas ievērošanai ir jāsagatavojas un ka sagatavošanās procesā svarīga ir vairāku speciālistu sadarbība – gan juristu un IT speciālistu, gan personāla, risku un projektu vadības speciālistu sadarbība. Līdz ar to sagatavošanos ir ieteicams sākt iespējami ātrāk, lai, ņemot vērā visus ar datu aizsardzību saistītos aspektus, paspētu ieviest jaunās prasības.
Dati jāiznīcina atbildīgi
Jaunā Regula tikai vēlreiz apliecina, ka datu iznīcināšana ir jāveic atbildīgi. SIA "ŠRĒDEREJA" piedāvā to paveikt droši un operatīvi. Būtiskākās priekšrocības, sadarbojoties ar SIA "ŠRĒDEREJA":
- dokumentu un datu nesēju iznīcināšanai izmantojam modernu un specializētu tehniku;
- mēs atbraucam tieši pie jūsu biroja durvīm, aizvērtos konteineros materiālus nogādājam līdz konteineriem;
- nodrošinām pilnu servisu – jūsu klātbūtnē datu nesēji tiek nosvērti un sasmalcināti, uz vietas tiek sertificēts iznīcināšanas fakts un apstākļi;
- informācija ir drošībā, jo mūsu sistēma izslēdz nepiederošas personas no dokumentu aprites;
- materiāli iznīcināšanai nav īpaši jāsagatavo;
- mūsu tehnika ir jaudīga – tiksim galā arī ar kartona vākiem, USB zibatmiņām vai vecām pildspalvām.
Kad mums atbraukt pie jums? Dodiet ziņu!
SIA "ŠRĒDEREJA"
Adrese: Ausekļa iela 11-221, Rīga
Mājas lapa: www.sredereja.com
Tālr.: 26660016
E-pasts: sredereja@sredereja.com