25. maija regula – pārbaudi, vai uzņēmums ir gatavs

Rīt, 25. maijā visā Eiropas Savienībā, un arī Latvijā, spēkā stājas GDPR jeb Vispārīgā datu aizsardzības regula. Tā modernizēs novecojušus personas datuaizardzības likumus, kurus pieņēma lielākoties pagājušā gadsimta 90. gados, un, tehnoloģiju laikmetam iestājoties, strauji zaudē savu aktualitāti.

Vienā teikumā sakot, regula izmaina kārtību, kādā uzņēmumi un organizācijas drīkst pārvaldīt ievāktos personu datus, dodot lielāku brīvību un kontroli personām, no kurām tie tiek ievākti.

Personu dati šajā gadījumā, pēc jaunajiem noteikumiem, ir jebkas, kas ļauj noteikt cilvēka identitāti – ne tikai personas kods, vārds, uzvārds vai e-pasts, bet arī datora IP adrese, fotogrāfijas ar skaidri nosakāmu seju, u.c.

Īpaša uzmanība jāpievērš arī sensitīviem datiem, kas pēc jaunā likuma ir:

“personas dati, kas norāda personas rasi, etnisko izcelsmi, reliģisko, filozofisko un politisko pārliecību, dalību arodbiedrībās, kā arī sniedz informāciju par personas veselību vai seksuālo dzīvi”

Regula ietekmē praktiski jebkuru uzņēmumu, jo jebkurš uzņēmums apstrādā un uzņem personu datus. Visdrīzāk, Tavā uzņēmumā vai organizācijā jau ir veikti lielākie sagatavošanas darbi.

Katram uzņēmumam pēc tā nozares un datu apstrādes specifikas atšķiras darāmie darbi izmaiņu ieviešanai, tāpēc šim papildus vēl ir ļoti daudz detaļu un uzdevumu, kas jāīsteno.

Te būs ērts un pārskatāms saraksts, lai pārliecinātos, ka ir izdarīti paši pamata sagatavošanās darbi, kas lielos vilcienos ir līdzīgi katrai organizācijai.

 

Vispārīgi par datiem

Tavam uzņēmumam ir:

  • Saraksts vai tabula ar visiem personas datu veidiem, kādus uzņēmums pārvalda; avotiem/vietām, caur kuriem tiek ievākta šī informācija; kam šī informācija ir pieejama un cik ilgi tā tiek uzglabāta.
  • Saraksts ar vietām (vienalga, fiziskām datu bāzēm vai digitālām), kurā personu datus glabā un turpat piefiksēts, kā šī informācija ieiet un iznāk.
  • Publiski pieejami privātuma noteikumi, kas vienkārši izskaidro personas datu ievākšanu un apstrādi iesaistītajām personām.
  • Juridisks dokuments, kas izskaidro noteikumus no juridiskās puses un var kalpot kā vienošanās dokuments ar personu, no kuras datus ievāc.

 

Menedžments un atbildības

  • Vismaz viens darbinieks uzņēmumā ir zinošs par GDPR noteikumiem un to ieviešanu dzīvē. Ja Tavs uzņēmums ir arī citās ES valstīs, šāda persona ir katrā valstī.
  • Uzņēmuma sadarbības partneri, valdes locekļi un citi stratēģiski svarīgi lēmumu pieņēmēji ir informēti par jaunajām izmaiņām
  • Datu uzglabāšanas vieta ir labi aizsargāta un tai nevar piekļūt neiesaistītās personas.
  • Darbinieki ir informēti par izmaiņām datu aizsardzības regulā un apzinās sodu, kas tiktu piespriests noteikumu pārkāpšanā.
  • Ja ievāktos personas datus saņem un apstrādā cits uzņēmums vai organizācija, ir veikti visi juridiskie un likuma izmaiņām vajadzīgie pasākumi, lai informētu visas iesaistītās puses.
  • Uzņēmumā ir skaidra sistēma, kādā ziņot par pārkāpumiem, saistītiem ar personas datiem, piemēram, datu noplūšanu.
  • Uzņēmumam ir līgums ar visiem personas datu apstrādātājiem. Tajā ir detalizēti aprakstīts, kur datus glabā, kā apstrādā un uz cik ilgu laiku.

 

Atbilstība jaunajiem noteikumiem

  • Tavi klienti viegli var piekļūt savai personiskajai informācijai.
  • Tavi klienti var ērti izmainīt personas datus, ko sniedz uzņēmumam, vai pieprasīt tos dzēst vai liegt apstrādi tiem datiem, ko vairs nevēlas.
  • Uzņēmumam ir sistēma, kā izdzēst datus, kas vairs nav aktuāli vai kuru uzglabāšanai beidzies termiņš.

 

Piekrišana

Kad uzņēmums ievāc un apstrādā datus, process atbilst sekojošiem noteikumiem:

  • Personai, no kuras ievākti dati, ir palūgta oficiāla piekrišana.
  • Datu ievākšanas un apstrādes noteikumi ir uzrakstīti viegli saprotamā un nepārprotamā veidā.
  • Personām, no kurām ievāc datus, jābūt iespējai atteikties no atļaujas apstrādāt datus tikpat viegli, kā piekrist tam.
  • Ja datus ievāc par bērniem, obligāti ir ievāktas ziņas par vecumu un saņemta aizbildņa piekrišana.
  • Ja datu ievākšanas un apstrādes noteikumi  mainās, klienti par to ir informēti.

Izmaiņu īstenošana ilgtermiņā

  • Uzņēmumā ir atbildīgā persona, kuras pienākums ir regulāri pārraudzīt, kā notiek izmaiņu process, cik efektīvs tas ir, un ieteikt uzlabojumus, ja tādi nepieciešami. Ja uzņēmums darbojas arī citās ES valstīs, katrai valstij ir vismaz viena šāda persona.

 

Sensitīvo datu apstrāde

  • Tava uzņēmuma darbinieki un atbildīgās personas ir informēti par sensitīvas informācijas ievākšanu un apstrādi.
  • Ir veiktas vajadzīgās izmaiņas gan datu ievākšanā, gan apstrādē.
  • Ja uzņēmums darbojas ārvalstīs, ārpus ES, dati ir pieejami tikai tādās valstīs, kurās ir iespējams nodrošināt atbilstošo datu drošību.