Par un ap Microsoft Dynamics risinājumiem un ne tikai

Vispārīgā datu aizsardzības regula (GDPR) – kas jāņem vērā un kā sagatavoties?

GDPR vispārīgā datu aizsardzības regula - titulbilde

Pēc nepilna gada, 2018. gada 25. maijā, visiem komersantiem, organizācijām, valsts un pašvaldību iestādēm būs jāievēro un jāpiemēro Eiropas Parlamenta un Padomes Regula 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti. Kāpēc tika pieņemts šāds regulējums, ko tas nozīmē un kā sagatavoties, lai izvairītos no 20 miljonu eiro soda naudas?

Sākšu ar to, ka Vispārīgā datu aizsardzības regula (GDPR – General Data Protection Regulation) tika izstrādāta ar mērķi izlīdzināt personas datu apstrādes prasību atšķirības Eiropas Savienībā, ļaujot tās pilsoņiem labāk kontrolēt savus personas datus – vieglāk tiem piekļūt, zināt, ja personas dati ir nozagti, skaidrākas tiesības uz dzēšanu (“tikt aizmirstam”) u.c.

Nevarētu teikt, ka ar šo regulu situācija un regulējums saistībā ar personas datiem mainās kardināli, jo daudzas no regulā iekļautajām normām Latvijā ir spēkā jau šobrīd, tomēr atsevišķi regulas punkti pieprasa noteiktu sagatavošanos un uzņēmuma rīcībā esošo datu apjomu izvērtēšanu. Normu ievērošana turpmāk tiks kontrolēta daudz stingrāk un iespējamās sankcijas par pārkāpumiem būs ievērojami lielākas, nekā tās ir šobrīd.

Juridiskām personām par būtiskiem pārkāpumiem saistībā ar personas datiem varēs tikt piemērots sods līdz 10-20 milj. EUR vai 2-4% apmērā no uzņēmuma gada apgrozījuma visā pasaulē.

Microsoft, domājot par GDPR, jau šī gada februārī paziņoja, ka tādi kompānijas sniegtie mākoņpakalpojumi kā Office 365, Dynamics 365, Microsoft Azure u.c. ne tikai atbilst regulas prasībām par datu drošību, aizsardzību un privātumu, bet arī pakalpojumos iebūvētie rīki var palīdzēt izpildīt regulas prasības. Taču ar ko jūsu uzņēmumam būtu jāsāk vispirms?

Vispārīgā datu aizsardzības regula – ar ko sākt?

Vispirms svarīgi ir apzināt uzņēmumā esošos datus un datu apstrādes tiesisko pamatojumu. Regula paredz, ka datu subjektam (fiziskai personai, kuras identifikācija ir noteikta vai kura vēl nav identificēta, bet kuras identitāti var noteikt, iegūstot papildu informāciju) ir tiesības uzzināt, kādas ir tiesiskās intereses viņa datu apstrādei. Lai tā būtu likumīga, datu apstrādei (ievākšanai, izpaušanai, mērķu maiņai u.c.) ir jābūt leģitīmam tiesiskajam pamatam. Regula aizliedz bezmērķīgu datu apstrādi, līdz ar to nav pieļaujamas situācijas, kad dati tiek ievākti bez kāda konkrēta mērķa. Pieeja “Ja nu kādreiz ievajagas vai noderēs” nav tiesisks mērķis. Ir jāspēj atbildēt uz jautājumu: “Kāpēc mums ir nepieciešams apstrādāt šos datus?”.

Piemēram, atlasot jaunus darbiniekus, CV norādīto datu apstrādes mērķis būtu pretendenta izglītības un darba pieredzes novērtējums. Savukārt, pieprasot kandidāta fotogrāfiju, rūpīgi jāizvērtē, vai tam ir tiesisks pamats. Ja amats nav saistīts, piemēram, ar dalību reklāmā, kur izskatam ir nozīme, tad fotogrāfijas nepieciešamības tiesiskais pamats ir apšaubāms.

Datu apstrādes tiesiskie pamati

Regulā noteikti 6 vispārējie tiesiskie pamati datu apstrādei:

  • apstrāde izriet no datu subjekta dotas piekrišanas konkrētam apstrādes mērķim;
  • apstrāde ir nepieciešama, lai pārzinis (fiziska vai juridiska persona, valsts vai pašvaldības institūcija, kas pati vai kopā ar citiem nosaka personas datu apstrādes mērķus un apstrādes līdzekļus) izpildītu tiesību aktos paredzētos pienākumus;
  • apstrāde ir nepieciešama, lai aizsargātu datu subjekta vai citas personas vitāli svarīgās intereses (piemēram, dzīvību un veselību);
  • apstrāde ir nepieciešama ar datu subjektu noslēgta līguma izpildei vai tā sagatavošanai;
  • apstrāde ir nepieciešama pārziņa vai trešās personas leģitīmo interešu īstenošanai, bet balansējot tās ar datu subjekta interesēm vai pamattiesībām;
  • apstrāde ir nepieciešama, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim piešķirtās oficiālās pilnvaras.

Vēlos norādīt, ka atsevišķām datu kategorijām regulā ir noteikti vēl citi detalizētāki tiesiskie pamati (Regulas 9. pants), savukārt datus par sodāmību un pārkāpumiem saskaņā ar regulas 10. pantu var apstrādāt tikai oficiālās iestādes vai arī, ja to atļauj Eiropas Savienības dalībvalsts tiesību akti.

Kāpēc ir jāapzina uzņēmumā esošie dati?

Jo ilgāk pastāv uzņēmums, jo vairāk datu ir uzkrāts, tādēļ būtu ieteicams veikt datu auditu, lai identificētu uzņēmuma rīcība esošos personas datus un to apstrādes mērķus.  Jāņem vērā, ka personas dati, uz kuriem attiecināta tiesiskā aizsardzība, nav tikai dati, kas atrodas elektroniskajā informācijas sistēmā. Pie aizsargājamiem personas datiem ir pieskaitāmi arī:

  • video novērošanas ieraksti;
  • balss jeb audio ieraksti, piemēram, ierakstot uzņēmuma darbinieku sarunas ar klientiem;
  • papīra formāta datu nesēji – darbinieku un klientu lietas, dažādi uzskaites žurnāli, korespondence;
  • fotogrāfijas un citi informācijas nesēji.

Uzņēmums kā datu pārzinis ir atbildīgs par tā rīcībā esošo datu drošību. Ir jāpievērš uzmanība arī iekšējo procesu organizēšanai, lai nepieļautu tādu personu piekļuvi datiem, kam šādi dati nav nepieciešami ikdienas darba veikšanai. Regula nosaka pienākumu kontrolēt un fiksēt personas, kas piekļuvušas personas datiem. Piemēram, Microsoft Azure informācijas aizsardzība nodrošina dokumentu izsekojamību un atsaukšanas iespējas, tādejādi kontrolējot konfidenciālo datu plūsmu. Papildu informācijas aizsardzībai, datus ir iespējams klasificēt un nodrošināt piekļuvi tikai tām personām, kas ar noteiktajiem datiem strādā.

Kas būtu jāievēro datu apstrādes procesā?

Valsts datu inspekcija ir noteikusi 8 labas prakses principus fizisko personu datu apstrādei:

  • dati tiek apstrādāti godīgi un likumīgi;
  • datu apstrāde tiek veikta konkrētiem mērķiem un tikai saskaņā ar tiem;
  • dati ir adekvāti (ne pārmērīgi);
  • dati ir precīzi;
  • dati netiek glabāti ilgāk kā nepieciešams;
  • dati tiek apstrādāti saskaņā ar Jūsu tiesībām;
  • dati ir drošībā;
  • dati netiek pārsūtīti uz citām organizācijām vai ārvalstīm bez adekvātas aizsardzības.

Nobeigumā aicinu jūs sākt ar augstākminētajiem soļiem, pārskatot jūsu uzņēmumā esošo fizisko personu datu aizsardzības jomu, jo regula norāda uz datu apstrādātāja pārskatatbildību, kas nozīmē, ka pārzinis ir atbildīgs par savā rīcībā esošo datu apstrādi atbilstoši regulas prasībām un viņam ir jāspēj uzskatāmi pierādīt regulas prasību ievērošanu.

Tāpat aicinu sekot līdzi maniem turpmākajiem bloga rakstiem par šo tēmu (kas, jāatzīst, ir gana plaša), kur apskatīšu datu subjekta tiesību īstenošanu, kā arī to, kas jādara, ja konstatēti pārkāpumi fizisko personu datu aizsardzībā.

Daina Zoža

Elva Baltic tirdzniecības asistente

Man patīk pētīt jautājumus, kuri saistīti ar jaunākajām informācijas tehnoloģijām un personāla vadību. Labprāt sekoju līdzi abu šo jomu aktuālākajām tendencēm, iedziļinoties un šķetinot sarežģītāka rakstura informāciju, lai izceltu svarīgāko un dalītos tajā ar lasītāju.

LinkedIn