Personas datu aizsardzība (GDPR) jaunā regula. Vai esat gatavi?

2018-02-27

Jau ilgāku laiku mēdijos izskan termins - Personas Datu Aizsardzības Regula jeb angliskā versijā skan sekojoši GDRP (General Data Protection Regulation).  Tā stājās spēkā 25 maijā 2018 gadā.

Kas tas īsti ir?

Tā ir jauna regula, ko pieņēma Eiropas Savienība par personas datu izmantošanu, lai beidzot sakārtotu šo gadiem ilgušo privātpersonu datu izmantošanu bez saskaņošanas ar pašu klientu.

Tā paredz, ka uzņēmumam, lai informētu savu klientu ir nepieciešama tieša, nepārprotama piekrišana no paša klienta. Piemēram, ja vēlaties sūtīt reklāmu  - ar klientu ir jāsaskaņo tas. Kādu reklāmu, par kādu produktu, kad tā tiks sūtīta, un par to ir jāsaņem apstiprinājums no klienta.

Lai vieglāk saprastu, vai esat tam gatavi, vajadzētu iziet šiem 12 soļiem.


Solis Nr. 1

1. Pārliecinies, ka lēmumu pieņēmēji (organizācijas) ir informēti par izmaiņām, kas stāsies spēkā ar 2018. gada 25. maiju.


Solis Nr. 2

Apzini, kādi fizisko personu dati ir Tavā (organizācijas) rīcībā, kā tie tiek iegūti un kam nodoti. Ja nepieciešams, veic personu datu apstrādes sistēmu auditu.


Solis Nr.3

Līdz 2018. gada 25. maijam nodrošini nepieciešamās izmaiņas informācijas paziņošanai.

Informācija par sevi (organizāciju);

Kādā veidā tiks apstrādāti personas dati;

Datu apstrādes tiesiskais pamats;

Datu uzglabāšanas termiņš Datu subjekta tiesības.


Solis Nr.4

Tev (organizācijai) jānodrošina datu subjekta tiesību un brīvības ievērošana, apstrādājot personas datus.

Datu subjekta piekļuve saviem datiem

Personīgo datu labošana

Personīgo datu dzēšana

Komerciālo sūtījumu aizliegšana

Automatizētu lēmumu un profilēšanas aizliegšana

Personīgo datu pārnešanu.


Solis Nr.5

Kā Tu (organizācija) nodrošina informācijas sniegšanu datu subjektam pēc datu subjekta informācijas pieprasījuma?

Sākot ar 2018. gada 25. maiju būs īsāks informācijas sniegšanas termiņš, jānodrošina papildus informācijas sniegšana par personas datu apstrādi un glabāšanas periodu, jāveic korekcijas kļūdaini ievadītajos personas datos.


Solis Nr.6

Kādus personas datus Tu (organizācija) apstrādā?

Izvērtē personas datu apstrādes mērķi (mērķus) un uzkrātos personas datus. Kāds ir tiesiskais pamats personas datu apstrādei? Izvērtē un dokumentē, jo balstoties uz tiesisko pamatu personas datu apstrādei, tiks noteiktas datu subjekta tiesības attiecībā uz saviem personiskajiem datiem.

Solis Nr.7

Izvērtē kā tiek pieprasīta, iegūta un dokumentēta datu subjekta piekrišana datu apstrādei.

Atceries, datu subjekta piekrišanai ir jābūt brīvai, nevis piespiestai, izskaidro datu subjektam personas datu apstrādes nepieciešamību un sekas.

Datu subjektam ir jāsniedz "nepārprotama piekrišana". Izvērtējiet vai saņemtā datu subjekta piekrišana atbilst VDAR prasībām?


Solis Nr.8

Kādas ir personas datu apstrādes vecuma grupas? Jānodrošina nepilngadīgo bērnu identifikācijas sistēma, vecāku vai aizbildņu piekrišana personas datu apstrādei. Piekrišana - personas datu apstrādes konfidencialitātes paziņojumi - bērniem saprotamā valodā.


Solis Nr.9

Datu aizsardzības pārkāpumi - esi drošs, ka ir viss nepieciešamais nodrošinājums personas datu aizsardzības pārkāpumu konstatēšanai, izmeklēšanai un novēršanai. Atsevišķos gadījumos būs jāziņo par personas datu aizsardzības pārkāpumiem, piemēram, identitātes zādzība.


Solis Nr.10

Veic risku novērtējumu attiecībā uz datu aizsardzību. Iepazīsties ar Information Commissioner`s Office izstrādātajām vadlīnijām risku novērtējumam par ietekmi uz datu aizsardzību un piemēro tās sev. 

Pieejams: https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf


Solis Nr.11

Personas datu aizsardzības speciālists - nodrošinās personas datu aizsardzības prasību ievērošanu un atbilstību Regulas prasībām. Obligāta prasība valsts un pašvaldību iestādēm (izņemot tiesas), organizācijām, kuras apstrādā personas datus saskaņā ar Regulas 9. un 10. pantu, vai veic regulāru un sistemātisku datu subjektu novērošana plašā mērogā. Personas datu aizsardzības speciālists uzņemas atbildību par datu apstrādes uzraudzību atbilstoši Regulas prasībām.


Solis Nr.12

Organizācija darbojas starptautiski? Identificē, kuras datu aizsardzības uzraudzības iestādes pārraudzībā organizācija atrodas.