VDAR

Vispārīgā datu aizsardzības regula

Kas ir VDAR

2018. gada maija beigās spēkā stāsies jaunā ES Vispārīgā datu aizsardzības regula jeb VDAR (General Data Protection Regulation). Tā nosaka personas (gan klienta, gan darbinieka) datu apstrādes mērķus, procesus un tehnoloģiju izmantošanu un ir saistoša visām organizācijām, kas apstrādā ES pilsoņu datus.

Vispārīgā datu aizsardzības regula tiek ieviesta, lai vienādotu fizisko personu datu aizsardzību regulējošās normas visās ES dalībvalstīs, kā arī palielinātu indivīda kontroli pār saviem datiem.

Salīdzinot ar Fizisko personu datu aizsardzības likumu, kas Latvijā ir spēkā pašlaik, regula vairāk koncentrējas uz labās prakses principiem personas datu apstrādē, kā arī nosaka striktākus pienākumus visām personas datu apstrādes procesā iesaistītajām pusēm (pārraugiem, datu apstrādātājiem un datu aizsardzības speciālistiem).

Būtiskākie uzlabojumi privātpersonām ir tiesības pieprasīt “tikt aizmirstam” un tiesības uzzināt visu, ko datu apstrādātājs plāno darīt un/vai dara ar personas datiem (datu apstrādes mērķis, datu iegūšanas veids, glabāšanas ilgums un izmantotie datu aizsardzības līdzekļi).

Kā VDAR ietekmē Jūsu uzņēmumu

Ikvienai organizācijai (uzņēmumam, NVO vai valsts iestādei) būs pienākums pierādīt atbilstību regulas prasībām, ne vien uzrādot formāli aprakstītas procedūras, bet arī veicot ļoti praktiskas darbības, piemēram, nodrošināt datu apstrādes darbību reģistrēšanu, datu pseidonimizāciju, kā arī ziņojumu sniegšanu uzraugošajai iestādei un datu īpašniekam datu noplūdes gadījumos.

Regula nosaka “data minimization and privacy by default” principu. Tas nozīmē, ka pirms tādu produktu un pakalpojumu izstrādes, kuru nodrošināšanai nepieciešami personas dati, uzņēmumiem būs precīzi jāizvērtē un jāparedz datu iegūšanas un apstrādes mērķi un veidi.

Kā VDAR prasības ievieš Tilde

Tilde ļoti nopietni uztver mūsu klientu datu aizsardzību, kas noteikta Vispārīgā datu aizsardzības regulā. Tāpēc mēs jau 2017. gadā izveidojām rīcības programmu, lai nodrošinātu atbilstību VDAR prasībām. Mēs jau esam veikuši daudzas aktivitātes un turpināsim strādāt pie mūsu klientu datu aizsardzības arī pēc regulas stāšanās spēkā 2018. gada 25. maijā.

Līdz šim paveiktais:

  • Esam veikuši detalizētu iekšējo datu un darba procedūru auditu.
  • Audita rezultātā esam apzinājuši mūsu datu karti, sakārtojuši datu piekļuves tiesības, uzlabojuši datu aizsardzību un noteikuši to glabāšanas periodu.
  • Piesaistot drošības ekspertus, esam veikuši ārēju informācijas sistēmu drošības auditu.
  • Esam veikuši nepieciešamās izmaiņas juridiskos dokumentos, kā arī produktos un pakalpojumos.
  • Esam atjaunojuši līgumus ar mūsu sadarbības partneriem un mākoņpakalpojumu sniedzējiem (Telia Latvia, Microsoft Azure un Amazon Web Services).
  • Esam uzlabojuši mūsu pakalpojumu privātuma politikas noteikumus atbilstoši VDAR.
  • Esam saviem klientiem izveidojuši informatīvu lapu par atbilstību VDAR prasībām.
  • Esam apmācījuši uzņēmuma darbiniekus, kā strādāt saskaņā ar jaunajām VDAR prasībām.

Mūsu padomi Jūsu uzņēmumam

Trīs galvenās jomas, kurās uzņēmumam jānodrošina atbilstība:

  • Juridiskais aspekts– līgumi ar klientiem un piegādātājiem
  • Procedūras – darba plūsma un datu apstrāde
  • IT – sistēmas, rīki, auditācija un datu aizsardzība

Svarīgi ir arī saprast, ka līdz ar regulas stāšanos spēkā darbs tikai sākas, jo turpmāk atbilstība regulai būs jānodrošina pastāvīgi visos IT un biznesa projektos.

Tālāk esam apkopojoši dažus praktiskus padomus, kas noderēs, lai ieviestu VDAR prasībām atbilstošu personas datu glabāšanas un apstrādes sistēmu.

Sāciet ar zināšanu apguvi – izlasiet regulu un apmeklējiet apmācības kursus vai seminārus.

Apzinieties situāciju – veiciet iekšējo auditu, pārskatiet produktus un pakalpojumus:

  • Pārbaudiet, kuri no jūsu produktiem vai pakalpojumiem apkopo un apstrādā personas datus.
  • Apziniet, kādi personas dati ir uzņēmumā, kāpēc un kur tie atrodas.
  • Pārliecinieties, vai jums ir juridisks pamats personas datu apstrādei.
  • Esiet drošs, vai varat izpildīt saistības pret saviem klientiem, kā nosaka VDAR (piemēram, datu piekļuves un dzēšanas tiesības).
  • Pārskatiet līgumus ar klientiem un piegādātājiem.

Svarīgi ir saprast, kā notiek uzņēmuma iekšējie procesi, kā tiek apstrādāti personas dati un kas tiem piekļūst. Prakse rāda, ka audits bieži vien atklāj iepriekš neapzinātus veidus, kā uzņēmums apstrādā dažādus datus.

Sadaliet atbildības lomas:

  • Izvēlieties vienu darbinieku savā organizācijā, kas būs atbildīgs par datu aizsardzību un privātumu.
  • Apsveriet, vai jums ir nepieciešams datu aizsardzības speciālists.
  • Nodrošiniet darbiniekiem apmācību par personas datu aizsardzību.

Parūpējieties par drošību:

  • Gādājiet, lai sistēmas, kas vāc, apstrādā un glabā personas datus, būtu drošas. 
  • Apsveriet iespēju izmantot mākoņrisinājumus, piemēram, Tildes Jumis Pro, lai visi uzņēmuma dati tiktu glabāti sertificētā datu centrā.

Sagatavojiet dokumentāciju – izstrādājiet vai uzlabojiet esošās datu apstrādes politikas.

Uztveriet VDAR kā iespēju uzlabot uzņēmuma konkurētspēju:

  • Ieviešot VDAR, jūs pārskatāt esošos datu saņemšanas, glabāšanas un atjaunošanas procesus uzņēmumā, lai padarītu tos efektīvākus un drošākus.
  • Izskatiet, kā šobrīd tiek organizēta komunikācija ar esošajiem un iespējamiem klientiem, un ļaujiet viņiem saprast, ka tiešām rūpējaties par viņu datu drošību un sniegto pakalpojumu kvalitāti.

Papildu resursi par VDAR

Vispārīgā datu aizsardzības regula (ES) 2016/679

https://eur-lex.europa.eu/legal-content/LV/TXT/PDF/?uri=CELEX:32016R0679&from=LV

Datu valsts inspekcijas informatīvie materiāli

http://www.dvi.gov.lv/lv/datu-aizsardziba/organizacijam/ieteikumi/

29. panta darba grupa – neatkarīga Eiropas padomdevēja iestāde datu aizsardzības un privātuma jomā

http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/index_en.htm