Ērts rīks datu subjektam savu tiesību īstenošanā, un plašs pienākumu slogs uzņēmumiem, organizācijām un profesionāļiem.
2016.gada 27.aprīlī tika pieņemta Eiropas Parlamenta un Padomes Regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (Vispārīgā datu aizsardzības regula), kas atceļ Direktīvu 95/46/EK. Angliski to sauc GDPR, latviski VDAR.
JurTec piedāvā Jums sertificēta personas datu aizsardzības speciālista pakalpojumus, iekšējo dokumentu un procedūru izstrādi, auditu un riska atbilstības pārbaudi, semināru un darbinieku apmācības pasākumu organizēšanu.
Kāpēc parādījās GDPR?
Straujā tehnoloģiju attīstība un globalizācija ir radījusi jaunas problēmas personas datu aizsardzības jomā. Personas datu apstrādes apjoms ir būtiski pieaudzis, kļuvis nekontrolējams informācijas tehnoloģiju laikmetā. Likumdevēji nolēma, ka fiziskām personām būtu jāspēj kontrolēt savus personas datus, līdz ar ko ir vajadzīgs stingrāks un saskaņotāks personas datu aizsardzības regulējums Eiropas Savienībā. Rezultātā parādījās GDPR, regula, kas ir saistoša visām ES valstīm, sākot ar 2018.gada 25.maiju.
Kas izmainījies pēc GDPR? (Svarīgākās izmaiņas)
- Tagad adbildiba ne tikai pārzinim, bet arī datu apstrādātājam (operatoram)
- Agrāk sods juridiskām personām par pārkāpumiem bija no 1400 EUR – 14 000 EUR, sākot ar 25.05.2018. sods ir līdz 20 000 000 EUR jeb 4% no uzņēmuma globālā apgrozījuma (visā pasaulē)
- Būtiski palielināts fiziskās personas (datu subjekta) tiesību apjoms
- Noteiktām kategorijām ir pienākums norīkot kvalificētu personas datu aizsardzības speciālistu.
Kad piemēro GDPR?
- VDAR piemēro personas datu apstrādei, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem.
- VDAR piemēro tādu personas datu apstrādei, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem.
- Profesionālā un komerciālā darbība, kā arī sabiedrisko organizāciju darbība, t.sk. kultūras un sporta pasākumu, utt.
× Nepiemēro datu apstrādei, ko veic fiziska persona tikai personiskām vai mājsaimniecības vajadzībām.
Dažreiz šī robeža ir ļoti neskaidra, gandrīz nepamanāma, tāpēc veicot personas datu apstrādi visiem jābūt īpaši uzmanīgiem.
Kādas tiesības ir datu subjektam?
Noteiktajos gadījumos datu subjektam ir sekojošas tiesības:
- Piekļuves tiesības;
- Tiesības uz informāciju;
- Tiesības labot personas datus;
- Tiesības tikt “aizmirstām”;
- Tiesības ierobežot personas datu apstrādi;
- Tiesības saņemt datus atpakaļ vai nodot citai organizācijai;
- Tiesības iebilst pret datu apstrādi.
Lai ievērotu datu subjekta tiesības, uzņēmumi ir spiesti veidot apjomīgas privātuma politikas, ieviest sarežģītas iekšējās procedūras un piemērot mūsdienīgus kontroles mehānismus.
Vai Jūsu uzņēmums atbilst GDPR prasībām? Uzdodiet sev sekojošos jautājumus
- Kādi dati apstrādāti, kādā apjomā un kādā nolūkā?
- Vai katrai personas datu kategoriju apstrādei ir tiesisks pamatojums?
- Vai visi personas datu apstrādes principi ir ievēroti?
- Personas piekrišana atbilst noteiktiem kritērijiem?
- Kādi iekšējie dokumenti ir ieviesti, lai sakārtotu personas datu apstrādi?
- Vai spējat noteiktajā termiņā izpildīt datu subjekta pieprasījumu?
- Vai notiek datu audits, risku novērtēšana, novērtējums par ietekmi uz datu aizsardzību? Vai tas Jums jāveic obligāti?
- Vai personas dati tiek nodoti tālāk, trešajām personām? Kāds pamatojums un kādi aizsardzības pasākumi?
- Kādi mehānismi ir ieviesti, lai atklātu pārkāpumus un novērstu tos?
- Vai ir pienākums nozīmēt personas datu aizsardzības speciālistu?
- Vai ir ieviesta nepilngadīgu personu identifikācijas sistēma?
Ja Jums ir sarežģīti atbildēt uz šiem jautājumiem, vērsties pie mums, un mēs kopīgi izvērtēsim situāciju saistībā ar personas datu apstrādi.
Pienākums norīkot personas datu apstrādes speciālistu
Ieteicams visiem, bet obligātā veidā paredzēts daudziem. Lai precīzi atbildētu uz šo jautājumu ir nepieciešams izvērtēt situāciju. Ar lielu varbūtību personas datu aizsardzības speciālista norīkošana ir obligāta sekojošām kategorijām
- Valsts un pašvaldības iestādes;
- Slimnīcas, poliklīnikas, klīnikas, doktorāti, laboratorijas u.c. personas, kas veic sensitīvo datu apstrādi;
- Telekomunikāciju tīkla vadīšana un telekomunikāciju pakalpojumu sniegšana;
- Lojalitātes programmu īstenotāji (ja plašā mērogā);
- Apsardzes pakalpojumu sniedzēji, kas veic regulāru un sistemātisku uzraudzību;
- Apdrošināšanas un finanšu pakalpojumi;
- Izložu un loteriju organizēšana;
- Tirgus vai sabiedriskā viedokļa pētījumi;
- Personāla atlase vai personāla novērtēšana kā komercdarbības veids;
- Profilēšana;
- Ģeogrāfiskās atrašanās vietas datu apstrāde vai personas pārvietošanās datu apstrāde (mobilās aplikācijas, kartes);
- Paradumorientēta reklāma;
- u.c. gadījumos, kad datu pārziņa vai apstrādātāja pamatdarbība sastāv no apstrādes darbībām, kas prasa liela mēroga regulāru un sistemātisku datu subjektu uzraudzību; vai, ja personas datu pārziņa vai apstrādātāja pamatdarbība ir plaša mēroga datu vai personas datu īpašu kategoriju apstrāde, kas saistīta ar kriminālsodiem un noziedzīgiem nodarījumiem.
Tehnisku un organizatorisku pasākumu kopuma piemērs pārziņiem un datu apstrādātājiem
- Veikt auditu, novērtējumu par ietekmi uz datu aizsardzību;
- Personas datu apstrādes iekšējie noteikumi;
- Informācijas sistēmu noteikumi, drošības politikas;
- Vienošanās ar darbiniekiem un partneriem par personas datu apstrādi;
- Regulāras instruēšanas/apmācības;
- Privātuma politikas;
- Glabāšanas politikas;
- Personas datu reģistrs apstrādātājiem un pārziņiem;
- Datu atjaunošanas plāns;
- Pārskatatbildības dokumentācijas veidošana;
- Fiziskās un loģiskās aizsardzības līdzekļi;
- u.c.
Kāpēc mūsu pakalpojumi?
- Palīdzēsim noteikt un ieviest nepieciešamos tehniskos un organizatoriskos pasākumus.
- Kvalificētu un prasībām atbilstošu datu aizsardzības speciālistu;
- Uzraudzība un savlaicīgas konsultācijas.
- Augstas kvalitātes pakalpojumus un konkurētspējīgas cenas;
- Ilgtermiņa sadarbību.
Mihails Šenkmans – maģistra grāds privāttiesībās, jurists ar bagātu 10 gadus ilgu darba pieredzi, apmācīts MK noteiktajā kārtībā un ir ieguvis Datu valsts inspekcijas personas datu aizsardzības speciālista kvalifikāciju, Latvijas Sertificēto Personas Datu Aizsardzības Speciālistu Asociācijas biedrs.