Minimālais apjoms, kas ir jāpārzina uzņēmuma vadītājam par GDPR

2018.gada 19.decembris

Minimālais apjoms, kas ir jāpārzina uzņēmuma vadītājam par GDRP

Lai arī Latvijā datu aizsardzības regulators (Datu valsts inspekcija) ir nācis klajā ar paziņojumu, ka tas vispirms konsultēs, nevis sodīs, nevar atstāt bez ievērības regulatoru aktivitāti citās valstīs.

Foto: AdobeStock

Ilvija

Grūba

datu aizsardzības, iekšējā audita, risku pārvaldības un darbības atbilstības eksperte

Eiropas Parlamenta un Padomes Regula (ES) 2016/679 par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (Regula), kas stājās spēkā 2018. gada maijā, attiecas uz ikkatru uzņēmumu Latvijā.

ES Regulas, atšķirībā no Direktīvām, ir saistošas pilnā apmērā katrā no Eiropas Savienības dalībvalstīm.

Varētu pieņemt, ka visi uzņēmumi šo jomu ir sakārtojuši līdz minētajam datumam, tomēr realitāte ir cita, tāpēc šī tēma vēlreiz tiek aktualizēta, un, iespējams, sniegs nepieciešamo atbalstu, ieviešot Regulas prasības. Viens no Regulas pamatpostulātiem ir sniegt datu subjektiem (fiziskām personām) informāciju skaidrā un saprotamā valodā, kas ir pamats šajā rokasgrāmatā izmantotajam rakstības stilam.

Regula paģēr soda sankcijas līdz 4% no gada apgrozījuma par Regulas prasību pārkāpšanu.

2018. gada 27. novembrī Datu aizsardzības regulatori vienlaikus Lielbritānijā (433,000 EUR) un Holandē (600,000 EUR) sodīja taksometru pārvadājumu firmu Uber par faktu, ka 2016. gadā, hakeriem uzlaužot un piesavinoties 57,000 šoferu un pasažieru dzīvesvietu datus, telefonu numurus un e-pasta adreses, Uber samaksāja izpirkuma naudu 100,000 EUR, un par šo datu noplūdi neziņoja ne regulatoriem, ne personām, kuru dati tika nopludināti. 2017. gadā Uber ASV par šo pašu incidentu samaksāja 148 miljonus USD.

Personas dati Regulas izpratnē ir informācija, kas var konkrēti identificēt personu jeb datu subjektu. Piemēram, e-pasta adrese, kas satur vārdu un uzvārdu, ir personas dati. Cita starpā personas dati ir vārds, uzvārds, personas identifikācijas kods, personas apliecības numurs, mājas adrese, interneta protokola (IP) adrese, atrašanās vietas dati, papildu iepirkšanās paradumi, vecums, ģimenes stāvoklis u.c. Personas dati nav uzņēmuma reģistrācijas numurs, e-pasta adrese, kas nesatur darbinieku vārdus un uzvārdus, un anonimizēti dati.

Uzņēmuma pirmais solis – identificēt visus fiziskās personas datu veidus, kurus uzņēmums iegūst, uzkrāj un apstrādā.

Otrais solis – saprast, vai ir likumīgs pamats tos iegūt un apstrādāt. Personas dati (piemēram, klienta grāmatvedes telefons, vārds, uzvārds, e-pasts), kurus jūs iegūstat, lai izpildītu klientu un sadarbības partneru pasūtījumus, visticamāk, tiek apstrādāti likumīgi, jo tie ir iegūti, noslēdzot līgumu ar šo sadarbības partneri, un sadarbības partneris ir iekļāvis šo informāciju līgumā.

Savukārt, ja līgumā ir norādīts tikai paraksttiesīgās personas vārds, uzvārds un kontaktinformācija, ir vēlams pieprasīt grāmatvedes (un pārējo kontaktpersonu) piekrišanu datu apstrādei jūsu uzņēmuma vajadzībām.

Trešais solis – saprast, vai dati tiek uzglabāti droši, kontrolēti un aizsargāti. Regula norāda uz organizatoriskām un tehniskām prasībām, kuras ieviešot tās ir nodrošināmas ikkatrā uzņēmumā. Antivīrusu programmatūra, darbinieku identifikatoru un paroļu izmantošana, paroļu regulāra maiņa, penetrācijas testi pakalpojuma sniegšanas tīmekļvietnēm ir piemēri tehniskajām prasībām. Organizatoriskās prasības ietver pārdomātu un ierobežotu datu apstrādi, t.i., dati, kas iegūti par fizisku personu, ir jāizmanto tikai tādā apmērā, kas nepieciešams konkrētam apstrādes nolūkam.

Risks ir definēts kā iespēja, ka iestāsies notikums un ietekmēs stratēģijas un darbības mērķu sasniegšanu. Savukārt notikums (Event) tiek definēts kā starpgadījumu, kuri var notikt ikdienā, kopums.

Pamatnostādnēs uzsvērts, ka risks ir saistīts ar potenciālu notikumu, apsverot tā smaguma pakāpi. Dažos gadījumos risks var attiekties uz notikuma gaidām, kas nenotiek.