Ziemellatvija.lv ARHĪVS

Regulas prasības skar gandrīz katru uzņēmēju

Irina Sjarki, LANĪDA izpilddirektore

2018. gada 29. janvāris 15:36

1810
 Regulas prasības skar gandrīz katru uzņēmēju

Jau pavisam maz laika atlicis līdz 25. maijam, kad stāsies spēkā svarīgais Eiropas Savienības dokuments – „Vispārējās datu aizsardzības regula”. Izmaiņas skars ikvienu uzņēmēju, kas savu profesionālo darbību veikšanai apkopo, vāc un uzglabā visdažādākos datus: sākot no savu darbinieku informācijas līdz pat klientu datu bāzēm, foto, video u.c. datu materiāliem.


Latvijas Nekustamo īpašumu darījumu asociācijas LANĪDA seminārā „Jaunā Vispārīgā datu aizsardzības regula. Personas datu aizsardzība un tās aktualitātes” Signe Plūmiņa, Rīgas domes Datu aizsardzības un IT drošības centra vadītāja, skaidroja, ka Regula ir pavisam jauns dokuments, kas ir pieņemts 2016.gada maijā, bet visās ES tā tiks tieši piemērota no 2018. gada 25. maija. Latvijā ar Regulas stāšanos spēkā, zaudēs spēku līdzšinējais Fizisko personu datu aizsardzības likums u.c. tiesību akti, kas izdoti, pamatojoties uz iepriekš minēto likumu. Regula ir juridisks dokuments, kura spēks ir augstāks nekā vietējai likumdošanai (turklāt tas ir ar vienotām prasībām visā ES). Regulas prasības attieksies arī uz tām valstīm, kuras ir ārpus ES, t.i. uz tiem komersantiem, kuri sniedz pakalpojumus ES teritorijā (prasības par datu nodošanu ārpus ES arī ir atrunātas šajā Regulā). 


Jāgatavojas jau tagad!


„Regula stājas spēkā 25 maijā, bet ir vairākas Regulas prasības, kas ir jāievieš ātrāk, un, ja tas netiek izdarīts, tad dati, kas tiks uzglabāti, to attiecīgi nenoformējot (nepārbaudot procesu tiesiskumu), neidentificējot konkrētu mērķi kam tie tiek vākti (glabāti), varētu būt jādzēš, jo tā var tikt atzīta par nelikumīgu apstrādi. Iesaku uzņēmējiem veikt tādu kā auditu - vispārēju novērtējumu tam, kā jūsu uzņēmumos tiek vākti, uzglabāti un apstrādāti dati, uzdodot sev galveno jautājumu: kādēļ, kādam mērķim tie tiek vākti un kādi ir riski datu uzglabāšanā? Tāpat līdz maijam ir jāpārskata un jāapzina, vai datu apstrādes procedūras, formas, veidlapas un darbinieku apmācība notiek saskaņā ar Regulas prasībām. Apskatiet līgumus, un veiciet tajos izmaiņas vai slēdziet jaunus (tas jāizdara līdz 25.05.2018., juristi iesaka veidot jaunus līgumu pielikumus, kuros atrunātas jaunās prasības),” brīdināja S.Plūmiņa. Viņa norādīja, ka līgumos vismaz jābūt atrunātam datu vākšanas mērķim un datu apjoma, datu veidiem un datu subjektu kategorijām, abu pušu pienākumiem un tiesībām, bet sadarbībā ar partneriem - atrunātai datu nodošanai, glabāšanai un kāda kuram noteikta atbildība par iespējamiem pārkāpumiem, t.i., jābūt noteiktām atbildības jomām un jābūt drošības prasībām (piemēram, sertifikātiem utt.), lai nodrošinātu mērķi: datu nenonākšanu trešajās rokās un drošu datu apstrādi. Tas nozīmē, ka ir jāpārskata visi līgumi, un ja tie ir saistīti ar personas datu vākšanu, glabāšanu, nodošanu, bet šādu punktu tur nav, tad līdz 25. maijam ir jāveic grozījumi un papildinājumi.  


„Ja tas viss netiks izdarīts, tad atbildīgs par pārkāpumiem būs konkrētais uzņēmums, kuram var nākties maksāt ļoti bargus sodus: ir paredzēts administratīvais sods līdz 10 milj. eiro jeb 2% no kopējā apgrozījuma vai arī sods līdz 20 milj. eiro vai līdz 4 % no kopējā apgrozījuma (uzņēmumu grupām ņem vērā kopējo apgrozījumu), kurus var piemērot datu pārziņiem (juridiskai vai fiziskai personai) un apstrādātājiem, kā arī var nākties maksāt kompensācijas fiziskām personām,” skaidroja S. Plūmiņa. 



Ko skar Regula? 


Speciāliste skaidroja, ka Regula attiecas uz personas datu apstrādi (tā var tikt veikta mutiski, rakstiski, elektroniski, skaņu ierakstā, attēlā), kas tiek veikta pilnīgi vai daļēji automatizētiem līdzekļiem, kā arī uz manuālu apstrādi, ja personas datus iekļauj kartotēkā vai tie ir daļa no kartotēkas. Saskaņā ar regulu par personas datiem tik uzskatīta jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (to sauc par datu subjektu): pēc minētās personas vārda, uzvārda, identifikācijas numura, tās  atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem. Par personas datiem tiek uzskatīta informācija, kas saistīta ar personas privāto, profesionālo vai publisko dzīvi. Savukārt personas datu apstrāde ir jebkura ar personas datiem vai personas datu kopumiem veiktas darbības, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, datu/informācijas vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana, skaidroja speciāliste. 


Plūmiņa minēja dažus personas datu apstrādes piemērus: tā var būt jebkādu personas datu atlase sistēmās, arī atlasot personas datus, darbinieka personas lietas izveidošana un uzturēšana, video novērošanas veikšana, pases un citu dokumentu kopēšana, darbinieku e-pasta caurlūkošana, informācijas iegūšana no Iedzīvotāju reģistra un citiem reģistriem par personu, informācijas sniegšana Valsts ieņēmumu dienestam par darbiniekiem, dokumentu iznīcināšana, transportēšana, glabāšana u.c.


Būtiski skartas jomas


S. Plūmiņa norādīja uz piecām galvenajām struktūrvienībām/jomām uzņēmumos, kurus skars regula, kā arī vērsa uzmanību uz jautājumiem, kas saistībā ar regulu, būtu jāatrisina: 


* Personāla vadība. 


Uzņēmumā jāapzina visi dati par darbiniekiem: ne tikai grāmatvedības vajadzībām un kas tiek glabāti personāla lietās, bet arī informācija intranetā, auto GPS informācija, dažādu aplikāciju, e-pastu u.c. veidā. Tas pats attiecas uz dažādām IT monitorēšanas programmām, telpu kontroli (videonovērošana) u.c. 

Sociālo tīklu informāciju (Facebook u.c.) turpmāk nevarēs iekļaut personāla atlases procedūrās, jo tās attiecas ir personas privātumu (tie ir privātie konti), izņemot profesionāli orientētus medijus (Linkedin u.c.), bet esošo darbinieku privātos sociālos tīklus darba devējs varēs monitorēt, ja tas īpaši tiks pamatots (piemēram, uzņēmuma reputācijas jautājums) un tas būs atrunāts darbiniekiem saistošos noteikumos vai līgumos. „Galvenais jautājums: vai organizācijai ir tiesisks pamats šos datus vākt un uzglabāt? ”piebilda viņa, sakot, ka līdz šim lielākais sūdzību skaits uzraudzības iestādēs parasti bijušas no uzņēmumu darbiniekiem (esošajiem vai bijušajiem), tāpēc ļoti svarīgi sakārtot datu apstrādes jautājumus. 



* Mārketings jeb darbs ar klientiem. 


Svarīgi ņemt vērā, vai tad, kad iegūstat piekrišanu klientu datu izmantošanai, tiek skaidrots, kāpēc dati nepieciešami un kā tie tiks apstrādāti? Speciāliste vērsa uzmanību: ikvienu piekrišanu ikviens var atsaukt, izņemot, ja klienta datu apstrāde ir saistīta ar klienta līgumsaistību izpildi.  


* Finanses. 


Vai personas datu apstrādes procesi ir droši? Vai ir plānots kā Regulas sankcijas ietekmēs turpmāko organizācijas darbību?


* IT joma. 


Uzņēmējam būtu jāzina, kuras sistēmas satur personas datus saskaņā ar Regulas definīciju. Vai būs iespējams atrast datus, ja būs datu subjekta pieprasījums un vai Jūs varēsiet nodrošināt to dzēšanu, ja nepieciešams? Vai datu glabāšana un apstrādes notiek droši gan pie Jums, gan izmantojot mākoņdatošanas pakalpojumus? Vai Jūs varēsiet identificēt drošības incidentus un novērtēt to ietekmi uz personas datiem? 


S. Plūmiņa informēja, ka jauna prasība ir par drošības incidenta (personas datu aizsardzības pārkāpuma) ziņošanu Uzraudzības iestādei 72 h laikā no incidenta atklāšanas brīža un ja tas rada risku darbiniekiem, klientiem, u.c. Tāpēc būtu jābūt skaidrībai, vai uzņēmums to spēs nodrošināt? Uz klātesošo jautājumu, ja, piemēram, kāds darbinieks neuzmanības dēļ izdzēš datus un pēcāk IT speciālists tos atgūst, vai tas uzskatāms par incidentu un vai par to jāziņo, S. Plūmiņa teica: nē, bet jāziņo, ja pastāv risks datu subjektam (tai skaitā tā iespējamība, datu veidi un to sensitivitāte), piemēram, viņa dati ir kļuvuši pieejami trešajām personām. Turklāt, ja 72 h laikā no incidenta atklāšanas uzņēmējs (pārzinis) nepaspēs noziņot, tad sods tiks piemērots viņam nevis IT sistēmu uzturētājam. 



* Iepirkumi. 


Ja uzņēmums piesaistījis ārpakalpojuma sniedzēju – datu apstrādātāju (IT sistēmu uzturētājs: ārējo datu glabātāji, grāmatvedības, personālatlases  uzņēmumi, kurjeri, apsardze u.c.) un tas apstrādā datus Jūsu vārdā, vai ir nodrošināts, ka apstrādātājs ir sniedzis pietiekamas garantijas (t.sk. zināšanas, uzticamība un resursi), lai nodrošinātu tehniskos un organizatoriskos pasākumus, kas ir atbilstoši Regulai? Speciāliste uzsvēra: ja arī ir piesaistīts apstrādātājs – tas neatbrīvo pārzini (uzņēmumu, kas algo ārpakalpojumu) no atbildības. Tāpēc būtu jāpiesaista tādu datu apstrādātāju, kas sniedz pietiekamas garantijas, ka tiks ievērotas Regulas prasības un tiks nodrošināta datu subjekta tiesību aizsardzība. Regula izvirza jaunas prasības, kam būtu jābūt iekļautām līgumā ar datu apstrādātājiem – ārpakalpojuma sniedzējiem: jānosaka datu apstrādes ilgums, apstrādes raksturs, datu apstrādes mērķis un apjoms, datu veidi, abu pušu pienākumi, tiesības. Tāpat līgumā jāietver pienākumi apstrādātājam: datu drošība, atļauja pārzinim veikt auditu un saņemt informāciju, kā arī jānosaka, ka papildus apakšuzņēmējus tas var piesaistīt tikai ar pārziņa atļauju.


S. Plūmiņa vērsa uzmanību, ka turpmāk jebkura persona varēs vērsties organizācijās, pieprasot informāciju par to, kādi dati ir tās rīcībā par konkrēto personu, un organizācijām mēneša laikā būs jāsniedz atbilde (izņēmums, ja ir pamatojums lielam darba apjomam, tad informāciju varēs sniegt 2 mēnešu laikā). Tas nozīmē, ka uzņēmējiem ir jābūt zināmam, kur, kādi dati par personu tiek glabāti, un jāizveido procedūra: kurš un kā atbildēs uz šiem pieprasījumiem, īpaši svarīgi, ja datus glabā un apstrādā ārpakalpojumā, lai būtu iespēja atbildēt mēneša laikā. 

Ja uzņēmumos vai datu apstrādātāja pamatdarbība sastāv no tādām datu apstrādes darbībām, kurām nepieciešama regulāra un sistemātiska datu subjektu novērošana plašā mērogā vai arī, ja pārziņa vai apstrādātāja pamatdarbības ietver īpašo kategoriju datu vai personas datu par sodāmību un pārkāpumiem apstrādi plašā mērogā, tad uzņēmumos obligāti jāieceļ datu aizsardzības speciālists. Izņēmums Reģistra veidošanai ir tie uzņēmumi, kas nodarbina mazāk kā 250 personas un datu apstrāde ir neregulāra. Datu speciālista galvenie pienākumi ir: informēt un konsultēt uzņēmumu, uzraudzīt, būt par kontaktpunktu uzraudzības iestādei un datu subjektiem (klientiem, darbiniekiem, u.c.)


Semināra dalībnieki vērsa speciālistes uzmanību uz to, ka jaunās prasības noziedzīgi iegūtu līdzekļu legalizācijas novēršanā pieprasa ļoti apjomīgas informācijas ievākšanu un glabāšanu par klientiem, un jautāja: kā tas saskanēs ar Regulas prasībām? S. Plūmiņa atbildēja, ka šis ir tiesisks pamats informācijas ievākšanai, tāpēc ir likumīgs. Speciāliste vērsa uzmanību uz to, ka saskaņā ar Regulu uzņēmējam būs jāpierāda, ka visas darbības ir bijušas tiesiskas, nevis uzraudzības iestādei, ka ir bijuši pārkāpumi (Latvijā uzraudzība ir Datu Valsts inspekcijas pārziņā). Vislabāk, ja uzņēmuma rīcībā ir rakstiski apliecināmi jeb rakstveida pierādījumi (līdzīgi kā auditā), jo rakstveida procedūras atvieglo pierādīšanu, teica viņa. Savukārt tie dokumenti, kuru glabāšanas laiks ir beidzies vai dati, kas vairs nav nepieciešami, ir jāiznīcina tā, lai tie nebūtu atgūstami, jo atbildība par datu nenokļūšanu trešo personu rīcībā ir uzņēmējam. 


S.Plūmiņa atbildēja, ka tā kā Regula ir ļoti apjomīga, un katram mazajam uzņēmējam var būt problemātiski izprast visas prasības, tiek dota iespēja sabiedriskām organizācijām izstrādāt Rīcības kodeksu jeb Vadlīnijas datu aizsardzībā, kuru paraksta visi asociācijas biedri, ka tie apņemas rīkoties pēc šīm vadlīnijām. Tādu vadlīniju esamība un darbība saskaņā ar tām, tiek ņemtas vērā arī piemērojot arī soda sankcijas.