E-KONSULTĀCIJAS
>
visas atbildes Jautā, mēs palīdzēsim rast atbildi!
TĒMAS
Nr. 16592
Lasīšanai: 8 minūtes
5
5

Datu aizsardzības pasākumi katram uzņēmumam būs atšķirīgi

Publicēts pirms 4 gadiem. Izvērtē satura aktualitāti! >>
J
jautā:
14. martā, 2019
Oļegs

Labdien! Man ir jautājums saistībā ar datu aizsardzības likumu, piemēram, ja ir uzņēmums, kurš ir gatavs, lai piesaistu potenciālos klientus. Tā kā ir iemaņas darbā ar mājaslapām un reklāmu, ir radusies domā par to, ka varētu uzbūvēt nelielu mājaslapu ar pavisam vienkāršu anketu, kur cilvēks var nosūtīt pieprasījumu aizdevuma izvērtēšanai. Uzņēmums pats jau tālāk apstrādā, es ievācu tikai ziņas (vārdu, uzvārdu, personas kodu, e-pastu) un informāciju par produktu, kas varētu ieinteresēt potenciālo klientu. Sazinos ar klientu un lūdzu apstiprināt, ka klients piekrīt tam, ka viņa dati tiek apstrādāti. Un tālāk es šo anketu ievadu jau paša uzņēmuma sistēmā kā pieteikumu (un atkal visas tālākās darbības veic uzņēmums), par ko saņemu nosacītu procentu, ja beigās tiek izsniegts aizdevums. Kas man būtu jāņem vērā, un kāda informācija man ir jāatrunā mājaslapā, lai viss ir korekti? Vai man ir vajadzīgas kādas papildu atļaujas? Paldies!

A
atbild:
05. jūnijā, 2019
Edīte Brikmane
LV portāls

Apraksts vedina domāt, ka ir plānota uzņēmējdarbība, kas lielā mērā tiks balstīta fizisko personu datu apstrādē, kas pilnībā vai daļēji tiks veikta ar automatizētiem līdzekļiem. Tādējādi ir jāievēro Vispārīgās datu aizsardzības regulas (VDAR) prasības, kuras noteikumus nacionālā mērogā regulē Fizisko personu datu apstrādes likums.

Pirmkārt, Vispārīgā datu aizsardzības regula nosaka, ka personas datu apstrādē ir jānodrošina noteiktu principu ievērošana, kas definēti regulas II nodaļā. Jebkurai personas datu apstrādei ir jābūt tiesiskam pamatam. Personas datu apstrāde ir likumīga tikai tad, ja ir piemērojams vismaz viens no regulas 6. panta pirmajā punktā minētajiem pamatojumiem: [datu subjekta] piekrišana; līguma izpilde; juridisks pienākums; sabiedrības intereses; vitālo interešu aizsardzība vai leģitīmo interešu ievērošana.

Tāpat, lai aizsargātu personas, kuras dati tiek apstrādāti (datu subjekta), intereses, pārzinim jāievēro vēl virkne citu personas datu apstrādes principu:

  • pārredzamība (datu subjektam ir pieejama informācija par to, kas vāc, kāpēc vāc, cik ilgi glabā datus u. tml.);
  • nolūka ierobežojumi (dati tiek vākti konkrētam, skaidram, likumīgam mērķim un nekam vairāk);
  • datu minimizēšana (dati tiek apstrādāti iepriekš noteiktam likumīgam mērķim iespējami minimālā apjomā);
  • glabāšanas ierobežojumi (datus glabā tikai tik ilgi, līdz tiek sasniegts likumīgais mērķis);
  • integritāte un konfidencialitāte (tehniski un organizatoriski drošības pasākumi, kas garantē personas datu drošību, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot tam piemērotas tehnoloģijas);
  • pārskatatbildība (pārzinim ir pienākums uzskatāmi pierādīt, ka datu apstrāde atbilst visiem regulā noteiktajiem principiem).

Plašāks izklāsts, ko nozīmē katrs no tiem, pieejams LV portāla skaidrojumā par personas datu apstrādes principiem un to, kādi priekšnoteikumi jāievēro, ja datu apstrādes tiesiskais pamats ir datu subjekta piekrišana.

Otrkārt, ir jāņem vērā, ka Vispārīgā datu aizsardzības regula ievērojami paplašina datu subjekta kontroles tiesības pār saviem datiem, kas apkopotas regulas III nodaļā.

Pārzinim ir jāievēro un jāspēj nodrošināt šādas datu subjekta tiesības:

  • saņemt informāciju par to, kas apstrādā datus, kādi dati tiek apstrādāti, kādā apmērā, kāds ir apstrādes mērķis, u. c. regulas 13.–14. pantā minēto informāciju;
  • piekļūt saviem datiem (pieprasīt, kādi dati ir uzņēmuma rīcībā, kam ir pieeja šiem datiem, u. c. regulas 15. pantā norādīto informāciju);
  • labot datus (regulas 16. pants);
  • dzēst datus jeb tikt aizmirstam (regulas 17. pants);
  • ierobežot datu apstrādi (regulas 18. pants);
  • tiesības uz datu pārnesamību (regulas 20. pants);
  • iebilst pret datu apstrādi (regulas 21. pants);
  • iebilst automatizētai individuālu lēmumu pieņemšanai, tostarp profilēšanai (22. pants).

Plašāks izklāsts, ko katra no šīm tiesībām nozīmē, ir pieejams LV portāla skaidrojumā par jaunajām personas tiesībām Vispārīgās datu regulas kontekstā.

Treškārt, Vispārīgā datu aizsardzības regula nosaka datu pārziņa pienākumus un atbildību, kas izklāstīta regulas IV nodaļā. Ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, pārzinim ir jāīsteno atbilstoši tehniski un organizatoriski pasākumi, lai nodrošinātu un spētu uzskatāmi parādīt, ka apstrāde notiek saskaņā ar regulu. 

No situācijas apraksta nav skaidrs, vai uzņēmums, kas piesaistīs klientus, šajā personas datu apstrādes procesā būs “pārzinis” (fiziska vai juridiska persona, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un mērķus) vai starpnieks jeb “apstrādātājs” (fiziska vai juridiska persona, kura pārziņa vārdā apstrādā personas datus). Piemēram, ja personas datu apstrādei ir vairāki kopīgi pārziņi, tiem pārredzamā veidā ir jānosaka savi attiecīgie pienākumi, lai izpildītu regulā uzliktās saistības, savstarpēji vienojoties (regulas 26. pants). Savukārt gadījumos, kad apstrādi veic pārziņa vārdā, pārzinim ir pienākums pārliecināties, noslēdzot attiecīgu līgumu, ka apstrādē tiks ievērotas šīs regulas prasības, tiks nodrošināta datu subjektu tiesību aizsardzība un citas regulas 28. pantā uzskaitītās darbības. 

Ceturtkārt, Vispārīgā datu aizsardzības regula pastiprina prasības personas datu apstrādes drošībai, tai skaitā nosaka rīcību pārkāpumu, piemēram, datu noplūdes, gadījumos (regulas 2., 3., 4. iedaļa).

Kā jau minēts, viens no personas datu apstrādes pamatprincipiem ir pārskatatbildība. Saskaņā ar regulu uzņēmums/organizācija ir atbildīga par visu datu aizsardzības principu ievērošanu un arī par to, ka šādas atbilstības ievērošana tiek uzskatāmi parādīta. Regulā uzņēmumiem/organizācijām ir paredzēts rīku kopums, kas palīdz uzskatāmi pierādīt pārskatabildību. Daži no šiem rīkiem ir jāievieš obligāti.

Piemēram, noteiktos gadījumos obligāti jāizveido datu aizsardzības speciālista amats (kas var būt ārpakalpojums) vai jāveic novērtējumi par ietekmi uz datu aizsardzību. Regulas 35. pants paredz, ka novērtējums par ietekmi uz datu aizsardzību jo īpaši vajadzīgs, ja datu apstrāde ietver “ar fiziskām personām saistītu personisku aspektu sistemātisku un plašu novērtēšanu, kuras pamatā ir automatizēta apstrāde, tostarp profilēšana, un ar kuru pamato lēmumus, kas fiziskai personai rada tiesiskās sekas vai līdzīgi būtiski ietekmē fizisko personu”. Piemēram, klienta kredītriska novērtēšana varētu ietvert profilēšanu.

Datu pārziņi var izvēlēties citus instrumentus, piemēram, rīcības kodeksus un sertifikācijas mehānismus, ar kuriem demonstrēt atbilstību datu aizsardzības principiem (regulas 5. iedaļa).

Datu aizsardzības pasākumi praksē būs atšķirīgi katram uzņēmumam, jo drošības pasākumu realizācija ir ciešā kopsakarībā ar apstrādi, ko katrs uzņēmums veic. Tāpēc, lai izvērtētu uzņēmuma izstrādāto IT risinājumu atbilstību regulas prasībām, konsultētos par konkrētiem personas datu glabāšanas termiņiem un to dzēšanas kārtību vai kārtošanu, izvērtētu datu aizsardzības speciālista piesaistes nepieciešamību un precizētu citus juridiskas vai tehniskas dabas jautājumus, aicinām piesaistīt sertificētus personas datu aizsardzības speciālistus vai citas kompetentas personas (piemēram, juristus, IT speciālistus), kas varētu sniegt konkrētus problēmu risinājumus, izstrādāt atbilstošas metodes un dokumentāciju, veikt tehnoloģisko risinājumu analīzi.

Plašāka informācija pieejama Datu valsts inspekcijas mājaslapā un Eiropas Komisijas tīmekļvietnē, kurā apkopota informācija par personas datu aizsardzības noteikumiem uzņēmumiem un organizācijām.

Labs saturs
5
Pievienot komentāru
Uzdod savu jautājumu par Latvijas tiesisko regulējumu un tā piemērošanu!
Pārliecinies, vai Tavs jautājums nav jau atbildēts!
vai
UZDOT JAUTĀJUMU
Līdz mēneša beigām iesniegt e-konsultāciju vairs nav iespējams. Vairāk par e‑konsultāciju sniegšanu
Iepazīsti e-konsultācijas