Vispārīgā datu aizsardzības regula
2018. gada maija beigās spēkā stāsies jaunā ES Vispārīgā datu aizsardzības regula jeb VDAR (General Data Protection Regulation). Tā nosaka personas (gan klienta, gan darbinieka) datu apstrādes mērķus, procesus un tehnoloģiju izmantošanu un ir saistoša visām organizācijām, kas apstrādā ES pilsoņu datus.
Vispārīgā datu aizsardzības regula tiek ieviesta, lai vienādotu fizisko personu datu aizsardzību regulējošās normas visās ES dalībvalstīs, kā arī palielinātu indivīda kontroli pār saviem datiem.
Salīdzinot ar Fizisko personu datu aizsardzības likumu, kas Latvijā ir spēkā pašlaik, regula vairāk koncentrējas uz labās prakses principiem personas datu apstrādē, kā arī nosaka striktākus pienākumus visām personas datu apstrādes procesā iesaistītajām pusēm (pārraugiem, datu apstrādātājiem un datu aizsardzības speciālistiem).
Būtiskākie uzlabojumi privātpersonām ir tiesības pieprasīt “tikt aizmirstam” un tiesības uzzināt visu, ko datu apstrādātājs plāno darīt un/vai dara ar personas datiem (datu apstrādes mērķis, datu iegūšanas veids, glabāšanas ilgums un izmantotie datu aizsardzības līdzekļi).
Ikvienai organizācijai (uzņēmumam, NVO vai valsts iestādei) būs pienākums pierādīt atbilstību regulas prasībām, ne vien uzrādot formāli aprakstītas procedūras, bet arī veicot ļoti praktiskas darbības, piemēram, nodrošināt datu apstrādes darbību reģistrēšanu, datu pseidonimizāciju, kā arī ziņojumu sniegšanu uzraugošajai iestādei un datu īpašniekam datu noplūdes gadījumos.
Regula nosaka “data minimization and privacy by default” principu. Tas nozīmē, ka pirms tādu produktu un pakalpojumu izstrādes, kuru nodrošināšanai nepieciešami personas dati, uzņēmumiem būs precīzi jāizvērtē un jāparedz datu iegūšanas un apstrādes mērķi un veidi.
Tilde ļoti nopietni uztver mūsu klientu datu aizsardzību, kas noteikta Vispārīgā datu aizsardzības regulā. Tāpēc mēs jau 2017. gadā izveidojām rīcības programmu, lai nodrošinātu atbilstību VDAR prasībām. Mēs jau esam veikuši daudzas aktivitātes un turpināsim strādāt pie mūsu klientu datu aizsardzības arī pēc regulas stāšanās spēkā 2018. gada 25. maijā.
Līdz šim paveiktais:
Trīs galvenās jomas, kurās uzņēmumam jānodrošina atbilstība:
Svarīgi ir arī saprast, ka līdz ar regulas stāšanos spēkā darbs tikai sākas, jo turpmāk atbilstība regulai būs jānodrošina pastāvīgi visos IT un biznesa projektos.
Tālāk esam apkopojoši dažus praktiskus padomus, kas noderēs, lai ieviestu VDAR prasībām atbilstošu personas datu glabāšanas un apstrādes sistēmu.
Sāciet ar zināšanu apguvi – izlasiet regulu un apmeklējiet apmācības kursus vai seminārus.
Apzinieties situāciju – veiciet iekšējo auditu, pārskatiet produktus un pakalpojumus:
Svarīgi ir saprast, kā notiek uzņēmuma iekšējie procesi, kā tiek apstrādāti personas dati un kas tiem piekļūst. Prakse rāda, ka audits bieži vien atklāj iepriekš neapzinātus veidus, kā uzņēmums apstrādā dažādus datus.
Sadaliet atbildības lomas:
Parūpējieties par drošību:
Sagatavojiet dokumentāciju – izstrādājiet vai uzlabojiet esošās datu apstrādes politikas.
Uztveriet VDAR kā iespēju uzlabot uzņēmuma konkurētspēju:
Vispārīgā datu aizsardzības regula (ES) 2016/679
https://eur-lex.europa.eu/legal-content/LV/TXT/PDF/?uri=CELEX:32016R0679&from=LV
Datu valsts inspekcijas informatīvie materiāli
http://www.dvi.gov.lv/lv/datu-aizsardziba/organizacijam/ieteikumi/
29. panta darba grupa – neatkarīga Eiropas padomdevēja iestāde datu aizsardzības un privātuma jomā
http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/index_en.htm