Desmit punkti darba uzsākšanai ar GDPR

Desmit punkti darba uzsākšanai ar GDPR

Sagatavojieties jau tagad ieviest ES Vispārīgo datu aizsardzības regulu (General Data Protection Regulation – GDPR). Šeit ir desmit punkti, kas Jums palīdzēs sākt to darīt.

ES Vispārīgā datu aizsardzības regula ietekmēs daudzus uzņēmumus Eiropā. Esat gatavi pārmaiņām?

2016. gada maijā ES izdeva Vispārīgo datu aizsardzības regulu. Jau tagad zinām, ka jaunie noteikumi stāsies spēkā 2018. gada maijā, pēc divu gadu pārejas perioda, regulējums radīs jaunas darbības izpildes prasības uzņēmumiem personas datu apstrādes procesā.

Tā kā definīcija “personas dati” ir tik plaša, praktiski visi uzņēmumi ietilpst tās jurisdikcijā. Tā kā ir tikai nedaudz vairāk par 300 darba dienām, pirms datu aizsardzības tiesību akti stāsies spēkā, mēs esam apkopojuši desmit punktus, kas Jums palīdzēs sākt jau šodien.

    1. Parādiet, ka ievērojat noteikumus

    Jaunais regulējums paredz, ka personas datu informācijas reģistrators spēj pierādīt, ka personas datus kārto atbilstoši prasītajam.

    Praksē tas nozīmē, ka ir jābūt datu apstrādes darbību reģistram, un Jūsu pienākums ir pierādīt, ka šīs darbības tiek veiktas saskaņā ar noteikumiem.

     

    1. Pārliecinieties, ka esat saņēmis piekrišanu

    Ja personas datu apstrāde tiek veikta, pamatojoties uz personas piekrišanu, tad Jums ir jāparāda, ka šāda piekrišana ir sniegta.

    Turklāt prasības piekrišanas saņemšanai nākotnē būs stingrākas:

    piekrišanai ir jābūt skaidri sniegtai rakstveida, elektroniskā vai mutvārdu formā. Piekrišanā ir jābūt norādītam, ka persona ir brīvprātīgi, individualizētā veidā, apzināti un skaidri paudusi vēlmi, piekrītot savu personas datu izmantošanai. Parasti tas būtu, noklikšķinot uz izvēles rūtiņas, sniedzot piekrišanu.

     

    1. Ieviestas tiesības tikt dzēstam no reģistra

    Jauna tēma, kas tiks ieviesta ar regulas palīdzību, ir reģistrētās personas tiesības tikt dzēstai no reģistra. Praksē tas nozīmē, ka personai ir tiesības uz savu datu dzēšanu no Jūsu datubāzēm.

    Šāda situācija var rasties, ja persona atsauc iepriekš sniegto piekrišanu savu personas datu izmantošanai. Tomēr, ja personas datu izmantošana tiek veikta uz cita juridiskā pamata, datu dzēšanas pienākums nepastāv.

    Ja Jums ir pienākums dzēst datus, ir jāinformē visi uzņēmumi, kas datus ir saņēmuši vai publicējuši. Ir jānodrošina, ka visas ar materiālu saistītās saites, dublikāti un kopijas tiek dzēstas.

     

    1. Ieviestas datu pārvietošanas tiesības

    Šobrīd ikvienam ir tiesības saņemt savus datus mašīnlasāmā formātā un tos nodot citam reģistratoram.

    Šīs tiesības attiecas arī uz personas datiem, ko persona ir sniegusi ar savu piekrišanu vai vienošanos. Šis pienākums tomēr neuzliek Jums saistības apstiprināt vai uzturēt datu apstrādes sistēmas, kas ir tehniski savietojamas.

     

    1. Jūs var ietekmēt profilēšanas aizliegums

    Ikvienam ir tiesības, ka, pamatojoties uz automātisku datu apstrādes procesu, attiecībā uz viņu netiek pieņemts lēmums, kas šo personu varētu juridiski vai kā citādi nozīmīgā veidā ietekmēt. Tas nozīmē, ka Jūs, pamatojoties uz automātisku datu apstrādes procesu, nevarat pieņemt svarīgu lēmumu, kas skar personu.

    Izņēmums šim “profilēšanas aizliegumam” varētu būt gadījums, kad ir jāpieņem lēmums, lai pabeigtu līgumu starp personu un Jūsu uzņēmumu. Jums ir jānodrošina, ka profilēšanas un lēmumu pieņemšanas modeļi atbilst likumam un ir veiktas nepieciešamās izmaiņas.

    Kopējais profilēšanas aizlieguma piemērs ir ar kredītu piešķirto lēmumu pieņemšana. Šie lēmumi nereti tiek balstīti uz automatizētu klasifikācijas sistēmu un ieteikumiem lēmumu pieņemšanai.

     

    1. Ziņojumi par datu drošības pārkāpumiem

    Turpmāk Jums būs pienākums informēt iestādes un reģistrēt visus personu datu drošības pārkāpumus. Tas arī ietver situācijas, kad tiek pārkāptas ikviena indivīda tiesības un brīvība. Ja rodas šāda situācija, ir jāveic turpmākās darbības.

    Iestādēm ir jāpaziņo 72 stundu laikā pēc pārkāpuma. Jums ir jāinformē skartās personas par pārkāpumu, tiklīdz viņu tiesību un brīvības drošība ir pakļauta riskam.

    Lai izpildītu šos pienākumus, ir svarīgi sagatavot iekšējās instrukcijas un procedūras, lai nodrošinātu efektīvu un pareizu procesu.

     

    1. Informēšana par datu apstrādes procesu

    Uzņēmumi visā pasaulē tagad apkopo vairāk personas datu nekā jebkad agrāk. Lai ievērotu ES regulējumu nākotnē, ir jāsniedz vairāk informācijas par datu apstrādi, nekā tas bija jādara iepriekš.

    Tas nozīmē, kas Jums ir jānosaka personas datu uzglabāšanas laiks. Ja tas nav iespējams, Jums ir jāinformē par kritērijiem, kas izmantoti, lai noteiktu uzglabāšanas laiku.

    Praksē tas nozīmē, piemēram, reģistru un datu drošības dokumentu atjaunināšanu, kā arī plānošanu, kā reģistrēto personu informēšana tiks īstenota praksē.

     

    1. Jaunā datu aizsardzības speciālista pienākumi

    Pieaugot uzsvaram uz datu aizsardzību, iespējams, personas datu apstrādei Jums būs jāieceļ datu aizsardzības speciālists. Piemēram, organizācijas, kurās ir nepieciešams datu aizsardzības inspektors, ir uzņēmumi, kur tiek veikta plaša, regulāra un sistemātiska personu un to pamatdarbības uzraudzība. Paturot prātā iepriekšminēto, ir ieteicams novērtēt, vai prasība par datu aizsardzības speciālistu Jums ir piemērojama.

     

    1. Aizsardzības pasākumu nepieciešamība, izmantojot personas datu apstrādes ārpakalpojumus

    Ja ar ārpakalpojumu esat nodevis jebkuru datu apstrādes procesa daļu Jūsu vārdā veikt citam uzņēmumam, ir jāveic vairāki pasākumi.

    Jums ir jānodrošina, lai ar pietiekamiem tehniskajiem un organizatoriskajiem aizsardzības pasākumiem tiktu ievērotas regulas prasības, tāpat ir jānodrošina reģistrēto personu tiesību aizsardzība.

    Praksē tas nozīmē, ka ir jānosaka situācijas, kad ārpakalpojumu izmantošana ir atbilstoša, un ir jānodrošina, ka visi līgumi ir sagatavoti pareizi. Piemēram, datu glabāšana mākoņpakalpojumos tiek uzskatīta par ārpakalpojumu pat tad, ja pakalpojuma sniedzējs nav aktīvi apstrādājis datus.

     

    1. Pārkāpumi var radīt liela apmēra naudas sodu

    Ir svarīgi atzīmēt, ka papildus brīdinājumam Jums var piemērot liela apmēra naudas sodu par datu aizsardzības regulējuma pārkāpšanu. Naudas soda maksimālā summa var sasniegt 20 miljonus EUR jeb 4 procentus no Jūsu uzņēmuma kopējā apgrozījuma.