Vispārējā datu aizsardzības regula – kāpēc un kas būtu darāms?

Sākot ar 2018. gada 25. maiju, kļūs piemērojama Vispārējā datu aizsardzības regula (turpmāk Regula) – revolucionārs Eiropas Savienības datu aizsardzības regulējums. Regulu piemēro, ja datu pārzinis (persona, kas nosaka datu apstrādes mērķi), vai apstrādātājs veic darbību Eiropas Savienībā (turpmāk ES) vai attiecībā uz ES datu subjektu (fizisku personu). Kāpēc būtu jāzina par Regulu? Atbilstību Regulai var prasīt klienti vai partneri, ar kuriem organizācijai ir kopīgas datu vākšanas vai apstrādes aktivitātes. Regula var būtiski ietekmēt dažus biznesa modeļus, tādus kā        tiešsaistes reklāma vai tiešais marketings. Par neatbilstību Regulai var piemērot soda naudas līdz pat 20 miljoniem euro. Kas būtu jāzina par Regulu? Ja organizācija veic darbību ES vai vāc vai apstrādā jebkāda veida informāciju attiecībā uz ES esošu identificējamu fizisku personu, būtu saprātīgi jau šobrīd pārskatīt personas datu iegūšanas, apstrādes, glabāšanas un dzēšanas procesus un ieviest nepieciešamās izmaiņas pirms 2018. gada 25. maija. Ja organizācija nosaka datu apstrādes mērķus vai veic datu apstrādi, saskaņā ar Regulu ir nepieciešams zināt:

• vai pastāv datu vākšanas leģitīmais mērķis un pamats, un kāds tas ir (līgumiskais, piekrišana, likumiskais)
• vai datu subjekta piekrišana ir sniegta atbilstoši Regulai
• kas, kā un cik ilgi veiks datu apstrādi
• kurš, kad un kādas darbības veiks datu aizsardzības pārkāpuma gadījumā
• kā reģistrēt datu apstrādes darbības
• kā minimizēt datu apstrādi
• kā integrēt datu aizsardzību visās apstrādes darbībās
• kā nodrošināt datu pārnesamību.

Stingrākas prasības tiek piemērotas, ja organizācija:

• veic automatizētu individuālu lēmumu pieņemšanu attiecībā uz fiziskām personām (profilēšana)
• tās pamatdarbība sastāv no apstrādes darbībām, kurām nepieciešama regulāra datu subjektu novērošana
• veic īpašu kategoriju datu, kas atklāj rases vai etnisko piederību, politisko piederību, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, veselības datu vai datu par dzimumdzīvi vai seksuālo orientāciju, apstrādi

Kas būtu jādara lai datu apstrāde atbilstu Regulai?

• jāidentificē visas organizācijas datu plūsmas un atbilstošu biznesa procesu īpašniekus
• jānosaka atbilstības projekta tvērums, jāieceļ projekta vadītājs
• jāizraugās profesionāls ārpakalpojuma juridisko pakalpojumu, IT atbalsta sniedzējs
• jānosaka un jāīsteno aktivitātes atbilstības nodrošināšanai, kā piemēram (saraksts nav izsmeļošs):
• jāpārskata iekšējās un ārējās privātuma politikas un noteikumi,
• jāizvērtē piekrišanas iegūšana un reģistrēšana,
• jāizskata apstrādātāju, apakšuzņēmēju līgumi,

un jāievieš nepieciešamās izmaiņas dokumentos un procesos. Triniti Latvijas komandas juristi ir guvuši praktisku pieredzi personas datu aizsardzības jomā, sniedzot ieteikumus personas datu aizsardzības jomā un pārstāvot klientus strīdos ar uzraudzības iestādi. Triniti Baltijas komandas juristi piedalījās Vispārējās datu aizsardzības regulas izstrādē un pasniedz datu aizsardzības tiesības. Triniti spēj nodrošināt Baltijas reģionā dziļas un klientu augsti novērtētas zināšanas, lai risinātu Regulai raksturīgus atbilstības jautājumus, kas prasa profesionālu juridisku novērtējumu. Triniti ir gatavībā palīdzēt ar juridisko jautājumu novērtējumu, dokumentu un procesu izstrādi, kā arī darbinieku apmācību.