Desmit lietas, kas jums jāzina par GDPR

Desmit lietas, kas jums jāzina par GDPR

Jau kopš 2018. gada maija ir spēkā ES Vispārīgo datu aizsardzības regula (General Data Protection Regulation – GDPR). Zemāk esam apkopojuši 10 lietas, kas jums par to jāzina.

1. Parādiet, ka ievērojat noteikumus

Regula paredz, ka personas datu informācijas reģistratoram, piemēram, uzņēmumam vai organizācijai, jāspēj pierādīt, ka tā kārto personu datus atbilstoši regulas prasībām.

Praksē tas nozīmē, ka uzņēmumā ir jābūt datu apstrādes darbību reģistram, un jūsu pienākums ir pierādīt, ka šīs darbības tiek veiktas saskaņā ar noteikumiem.

2. Pārliecinieties, ka esat saņēmis piekrišanu

Ja personas datu apstrāde tiek veikta, pamatojoties uz personas piekrišanu, tad jums ir jāspēj parādīt, ka šāda piekrišana ir sniegta.

Turklāt prasības piekrišanas saņemšanai nākotnē būs stingrākas:

piekrišanai ir jābūt skaidri sniegtai rakstveida, elektroniskā vai mutvārdu formā. Piekrišanā ir jābūt norādītam, ka persona ir brīvprātīgi, individualizētā veidā, apzināti un skaidri paudusi piekrišanu savu personas datu izmantošanai. Piemērs no elektroniskās vides – lietotājs noklikšķina uz izvēles rūtiņas, tādējādi sniedzot piekrišanu.

3. Personas tiesības tikt dzēstai no reģistra

Iespēja, kas parādījā līdz ar regulas ieviešanu, ir reģistrētās personas tiesības tikt dzēstai no reģistra. Praksē tas nozīmē, ka personai ir tiesības uz savu datu dzēšanu no jūsu datubāzēm.

Šāda situācija var rasties, ja persona atsauc iepriekš sniegto piekrišanu savu personas datu izmantošanai. Tomēr, ja personas datu izmantošana tiek veikta uz cita juridiskā pamata, datu dzēšanas pienākums nepastāv.

Ja jums tomēr ir pienākums dzēst datus, ir jāinformē visi uzņēmumi, kas datus ir saņēmuši vai publicējuši. Ir jānodrošina, ka visas ar materiālu saistītās saites, dublikāti un kopijas tiek dzēstas. 

4. Datu pārvietošanas tiesības

Šobrīd ikvienam ir tiesības saņemt savus datus elektroniskā formātā un nodot tos citam reģistratoram.

Šīs tiesības attiecas arī uz personas datiem, ko persona ir sniegusi ar savu piekrišanu vai vienošanos. Šis pienākums tomēr neuzliek jums saistības apstiprināt vai uzturēt datu apstrādes sistēmas, kas ir tehniski savietojamas.

5. Jūs var ietekmēt profilēšanas aizliegums

Ikvienam ir tiesības sagaidīt, lai, pamatojoties uz automātisko datu apstrādes procesu, attiecībā uz viņu netiktu pieņemts lēmums, kas varētu viņu ietekmēt juridiski vai citā nozīmīgā veidā. Tas nozīmē, ka jūs nevarat pieņemt svarīgu lēmumu, kas skar konkrēto personu, pamatojoties tikai uz automātisko datu apstrādes procesu, ko citiem vārdiem sauc par profilēšanas aizliegumu.

Izņēmums šim profilēšanas aizliegumam varētu būt gadījums, kad ir jāpieņem lēmums, lai pabeigtu līgumu starp konkrēto personu un jūsu uzņēmumu. Jums ir jānodrošina, ka profilēšanas un lēmumu pieņemšanas modeļi atbilst likumam un ir veiktas nepieciešamās izmaiņas.

Profilēšanas aizlieguma piemērs darbībā ir redzams, piemēram, kredītu piešķiršanas procesā. Lēmumi piešķirt kādam kredītu nereti tiek balstīti uz automatizētu klasifikācijas sistēmu un tās izstrādātajiem ieteikumiem lēmumu pieņemšanai.

6. Ziņojumi par datu drošības pārkāpumiem

Jums ir pienākums informēt atbilstošās iestādes un reģistrēt visus personu datu drošības pārkāpumus. Tas ietver arī situācijas, kad tiek pārkāptas kāda indivīda tiesības un brīvība. Rodoties šādai situācijai, iestādēm 72 stundu laikā pēc pārkāpuma konstatēšanas par to ir jāinformē skartās personas, ja šo personu tiesības un brīvība pakļautas riskam.

Lai efektīvi izpildītu šos pienākumus, ir svarīgi laikus sagatavot iekšējās instrukcijas un procedūras. 

7. Informēšana par datu apstrādes procesu

Uzņēmumi visā pasaulē tagad apkopo vairāk personu datu nekā jebkad agrāk. Lai ievērotu ES regulējumu, tiem ir jāsniedz vairāk informācijas par datu apstrādi, nekā tas bija jādara iepriekš.

Tas nozīmē, ka jums ir jānosaka personas datu uzglabāšanas laiks. Ja tas nav iespējams, jums ir jāinformē par kritērijiem, kas izmantoti, lai noteiktu uzglabāšanas laiku.

Praksē tas nozīmē, piemēram, reģistru un datu drošības dokumentu atjaunināšanu, kā arī reģistrēto personu informēšanas plānošanu. 

8. Jaunā datu aizsardzības speciālista pienākumi

Pieaugot datu aizsardzības nozīmei, iespējams, jums būs nepieciešams ieviest datu aizsardzības speciālista amatu. Tāds nepieciešams uzņēmumos, kur tiek veikta plaša, regulāra un sistemātiska personu un to pamatdarbības uzraudzība. Paturot prātā iepriekšminēto, jāizvērtē, vai prasība par datu aizsardzības speciālistu jums tik tiešām ir piemērojama. 

9. Aizsardzības pasākumu nepieciešamība, izmantojot personas datu apstrādes ārpakalpojumus

Ja izmantojat ārpakalpojumu, kura ietvaros esat uzdevis kādu datu apstrādes procesa daļu veikt citam uzņēmumam, jums jāveic vairāki pasākumi, lai nodrošinātu, ka tiek ievērotas regulas prasības un reģistrēto personu tiesību aizsardzība.

Praksē tas nozīmē, ka ir jānosaka situācijas, kad ārpakalpojumu izmantošana ir pieļaujama, un jānodrošina, ka visi līgumi ir sagatavoti pareizi. Piemēram, datu glabāšana mākoņpakalpojumos tiek uzskatīta par ārpakalpojumu pat tad, ja pakalpojuma sniedzējs nav aktīvi apstrādājis datus. 

10. Pārkāpumi var nozīmēt liela apmēra naudas sodu

Ir svarīgi apzināties, ka regulas pārkāpuma gadījumā jums var ne tikai izteikt brīdinājumu, bet arī piemērot liela apmēra naudas sodu. Naudas soda maksimālā summa var sasniegt pat  20 miljonus EUR vai alternatīvi – 4 procentus no jūsu uzņēmuma kopējā apgrozījuma.