0,00 EUR

Grozs ir tukšs.

0,00 EUR

Grozs ir tukšs.

GRĀMATVEDĪBAKā ārpakalpojumu grāmatvedim jāapstrādā personu dati?

Kā ārpakalpojumu grāmatvedim jāapstrādā personu dati?

Turpinot apskatu par personas datu apstrādē norīkoto apstrādātāju lomu, Datu valsts inspekcija (DVI) skaidro par to, kādi tad ir apstrādātāja pienākumi un tiesības. Piemērs. Uzņēmējs veiksmīgi aizsācis savu trenažieru zāles biznesu, kuram jau ir pievienojies krietns klientu pulciņš. Viņš ir nolēmis noslēgt līgumu ar ārpakalpojumu grāmatvedības uzņēmumu “Grāmatvedis” darbam ar trenažieru zāles ārējām un iekšējām finansēm. “Grāmatvedim” ir tiesības piekļūt klientu un darbinieku personas datiem, kas nepieciešami viņu darba pienākumu izpildei, piemēram, algas aprēķināšanai, nodokļu atskaitēm un grāmatvedības uzskaitei. Tātad šajā situācijā uzņēmējs ir pārzinis, bet “Grāmatvedis”,  kurš, pamatojoties uz noslēgto līgumu, veic personas…


Lai turpinātu lasīt šo rakstu,
nepieciešams iegādāties abonementu

12 € / mēnesī *

Pirmās 30 dienas tikai par 1€

ABONĒT

* Atjaunojas automātiski, vari pārtraukt jebkurā brīdī!

 Jau ir BilancePLZ abonements?
Pieslēdzies

Pierakstīties
Paziņot par
0 Komentāri
Iekļautās atsauksmes
Skatīt visus komentārus
Foto: Unsplash

Turpinot apskatu par personas datu apstrādē norīkoto apstrādātāju lomu, Datu valsts inspekcija (DVI) skaidro par to, kādi tad ir apstrādātāja pienākumi un tiesības.

Piemērs. Uzņēmējs veiksmīgi aizsācis savu trenažieru zāles biznesu, kuram jau ir pievienojies krietns klientu pulciņš. Viņš ir nolēmis noslēgt līgumu ar ārpakalpojumu grāmatvedības uzņēmumu “Grāmatvedis” darbam ar trenažieru zāles ārējām un iekšējām finansēm. “Grāmatvedim” ir tiesības piekļūt klientu un darbinieku personas datiem, kas nepieciešami viņu darba pienākumu izpildei, piemēram, algas aprēķināšanai, nodokļu atskaitēm un grāmatvedības uzskaitei. Tātad šajā situācijā uzņēmējs ir pārzinis, bet “Grāmatvedis”,  kurš, pamatojoties uz noslēgto līgumu, veic personas datu apstrādi tā vārdā,- apstrādātājs. Uzņēmējs vērsās pie sava datu aizsardzības speciālista, lai noskaidrotu, kādas tad ir apstrādātāja tiesības un pienākumi. Speciālists ieteica ņemt vērā septiņas lietas.

  1. Apstrādes robežas

Tātad – “Grāmatvedis” kā apstrādātājs uzticētos personas datus var apstrādāt tikai saskaņā ar uzņēmēja dotiem dokumentētiem norādījumiem.[1] Norādījumi ietver, piemēram, pieļaujamu un nepieļaujamu personas datu apstrādi, konkrētas procedūras, kas apstrādātājam veicamas, un datu aizsardzības veidus.

Ārpus uzņēmēja sniegtajām norādēm uzņēmums var rīkoties tikai tad, ja tas ir noteikts kādos normatīvajos aktos. Šādā gadījumā jau pirms apstrādes uzsākšanas par šādiem pienākumiem jāinformē uzņēmuma vadītājs, ja vien sabiedrības interesēs to nav aizliegts izpaust.

Pienākums dokumentēt attiecas ne tikai uz sākotnēji sniegtajiem norādījumiem, kas doti pirms apstrādes uzsākšanas un iekļauti līgumā, bet arī uz turpmākajā apstrādes gaitā sniegtajiem norādījumiem. Tāpēc, noslēdzot līgumu, būtu jāparedz, kā turpmāk tiks fiksēti jauni norādījumi.

Vienlaikus grāmatveži, balstoties uz savām zināšanām un pieredzi, var sniegt ieteikumus uzņēmējam par to, kā veikt atbilstošu un efektīvu datu apstrādi. Ja uzņēmuma vadītājs šādus ieteikumus apstiprina un pieņem, tie var kļūt par viņa uzņēmuma norādījumiem.

Gadījumos, kad apstrādātājs pārkāpj pārziņa sniegtos norādījumus un veic apstrādi paša noteiktiem nolūkiem, apstrādātājs atzīstams par pārzini attiecībā uz apstrādes apjomu, kas veikts ārpus pārziņa pilnvarojuma!

Lai arī uzņēmuma “Grāmatvedis” pienākums ir pildīt uzņēmuma vadītāja uzdotos uzdevumus, tomēr viņiem arī jābūt atbildīgiem un jāreaģē, ja kāds no sniegtajiem norādījumiem ir pretrunā ar personas datu aizsardzības normatīvajiem aktiem.

  1. Konfidencialitāte

Uzņēmumam “Grāmatvedis” jānodrošina, ka uzņēmuma uzticētajiem personas datiem piekļūst tikai tādi viņu darbinieki, kuri veic tieši to uzdevumu izpildi, kādiem uzņēmums ir nolīgts. Jābūt saņemtam darbinieku apliecinājumam par apņemšanos nodrošināt konfidencialitāti tiem nodoto datu apstrādē, neizpaužot tos citām personām, vai arī šādam pienākumam tieši jāizriet no normatīvajiem aktiem. [2]

  1. Apstrādes drošība

Ne tikai uzņēmumam kā pārzinim, bet arī grāmatvedības uzņēmumam kā apstrādātājiem ir pienākums īstenot atbilstošus tehniskus un organizatoriskus pasākumus, lai tiktu veikta personas datu droša apstrāde.[3] Piemēram, par šādu pienākumu atzīstama apstrādes sistēmu un pakalpojumu nepārtrauktas konfidencialitātes, integritātes, pieejamības un noturības nodrošināšana.

Noslēdzot līgumu ar grāmatvedības uzņēmumu, komersants ir skaidri norādījis, kādi drošības pasākumi jāīsteno, un uzņēmuma pienākums ir tos tikai īstenot un nodrošināt. Komersants kā pārzinis līgumā varēja arī aprakstīt tikai minimālos drošības mērķus un pieprasīt, lai grāmatvedības uzņēmums izstrādā un piedāvā konkrētus drošības pasākumus, kas atbilst šiem mērķiem.

  1. Tiesības piesaistīt citus apstrādātājus

“Grāmatvedis” bez iepriekšējas konkrētas vai vispārējas rakstiskas uzņēmuma vadītāja atļaujas uzdevumu izpildei nedrīkst piesaistīt citus apstrādātājus. Ja šāda atļauja tiek saņemta, tad ir jāsniedz informācija par jebkādām plānotām izmaiņām saistībā ar papildu apstrādātāju piesaisti vai to maiņu, lai nepieciešamības gadījumā pret to varētu iebilst. Katrā ziņā līgumā ir jāatrunā, kā šī atļauja tiek saņemta.

Jāatceras, ka uz “Grāmatvedi” kā sākotnējo apstrādātāju gulstas atbildība pret pārzini, lai citi piesaistītie apstrādātāji izpildītu datu aizsardzības pienākumus. Ja “Grāmatvedis” nolemtu piesaistīt vēl citu apstrādātāju, arī starp šīm abām pusēm ir jānoslēdz līgums, kurš paredz papildus apstrādātājam tādus pašus datu aizsardzības pienākumus kā sākotnējam.

  1. Palīdzības sniegšana pārzinim

Kā noteikts normatīvajos aktos, tad “Grāmatvedim” būtu jāpalīdz izpildīt vairākus pienākumus.

  • Datu subjektu pieprasījumu izpilde

Kaut arī par datu subjektu pieprasījumu izskatīšanu atbildīgs ir pārzinis, arī apstrādātājam ir pienākums piedalīties datu subjektu pieprasījumu apstrādē, ciktāl tas ir iespējams.[4] Palīdzības sniegšanas apmērs var būt atšķirīgs atkarībā no apstrādātājam uzticētajiem uzdevumiem, kā arī datu subjekta pieprasījuma satura.

Piemēram, klients trenažieru zālei ir nosūtījis pieprasījumu, lai iegūtu visu informāciju par saviem maksājumiem pēdējā gada laikā. Trenažieru zāle ir atbildīga par šī pieprasījuma izpildi. Lai atbildētu uz šo pieprasījumu, uzņēmuma vadītājam ir nepieciešama grāmatveža palīdzība, jo maksājumu informācija ir viņu rīcībā. Grāmatvedis sniedz palīdzību, sagatavojot visu nepieciešamo maksājumu informāciju un nododot to uzņēmuma vadītājam.

Gadījumā, ja cilvēks šo pieprasījumu būtu sūtījis pa tiešo grāmatvedim, tam nekavējoties tas būtu jāpārsūta uzņēmuma vadītājam, kā arī jānodrošina tam iespēja saņemt pieprasījuma izpildei nepieciešamos datus, ja tie ir grāmatveža rīcībā. Tāpat grāmatvedim var būt pienākums veikt konkrētas darbības ar datiem, ko cilvēks lūdzis.

Jebkurā gadījuma par klienta kā datu subjekta pieprasījuma izpildi ir atbildīgs uzņēmuma vadītājs.

  • Palīdzība nodrošināt citu pienākumu izpildi[5]

“Grāmatvedim” ir jāpalīdz uzņēmuma vadītājam pieņemt atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu apstrādes drošību. Tāpat ir jāpalīdz paziņot Datu valsts inspekcijai un klientiem par personas datu aizsardzības pārkāpumiem.

Piemēram, kādu dienu “Grāmatvedis” atklāj, ka kāds no viņa darbiniekiem netīšām klientu datus ir nosūtījis trešajai personai. Grāmatveža pienākums ir nekavējoties informēt uzņēmuma vadītāju par šo pārkāpumu un palīdzēt viņam sagatavot informāciju, ko iesniegt Datu valsts inspekcijai.

 Līgumā varēja arī vienoties, ka “Grāmatvedis” pats tieši paziņo uzraudzības iestādei par datu aizsardzības pārkāpumu,[6] par to informējot arī uzņēmuma vadītāju, iesniedzot viņam uzraudzības iestādei un klientiem nosūtīto paziņojumu kopijas.

Ja nepieciešams, ir jāpalīdz arī veikt ietekmes uz datu aizsardzību novērtējumus un konsultēties ar uzraudzības iestādi konstatētu augstu risku gadījumā.

  1. Informācijas sniegšana pārzinim

Uzņēmuma vadītājam ir jābūt pieejamai visai informācijai, kas apliecinātu, ka ”Grāmatvedis” pilda visus pienākumus, kas attiecas uz tā dalību personas datu apstrādē, un lai ļautu uzņēmuma vadītājam vai viņa pilnvarotam revidentam veikt revīzijas, tostarp pārbaudes, un sniegtu tajās ieguldījumu. [7]

Revīziju mērķis ir nodrošināt, lai pārzinim būtu visa informācija par apstrādes darbību, kas tiek veikta viņa vārdā, un apstrādātāja sniegtajām garantijām.

Tas nozīmē, ka “Grāmatvedim” jāspēj sniegt  precīza un izsmeļoša informācija par to, kā tiek veikta tam uzticētā datu apstrāde – jāsniedz informācija par apstrādei izmantotajām sistēmām, drošības pasākumiem, kā un kur tiek glabāti dati, kam un kā tie tiek nodoti, kas tiem piekļūst, kā arī cita informācija.

Ja pārbaudes gaitā konstatētas kādas nepilnības apstrādātāja veiktajā apstrādes procesā, viņiem ir pienākums tās novērst.

  1. Rīcība ar personas datiem pēc apstrādes pabeigšanas

Lai personu dati tiktu pasargāti arī pēc uzticēto pienākumu izpildes, uzņēmuma vadītājam līgumā būtu jānosaka, kā “Grāmatvedim” rīkoties ar tā rīcībā esošajiem personas datiem pēc līguma izpildes. “Grāmatvedim” var tikt uzlikts pienākums tos dzēst vai arī datus atdot atpakaļ. Ja noteikts pienākums datus dzēst, jānodrošina, ka tie tiek dzēsti drošā veidā, atbilstoši prasībām. Kad dati izdzēsti, par to būtu jāpaziņo pārzinim. Ja vien normatīvie akti neparedz citādi, pēc apstrādes pabeigšanas “Grāmatvedim” būtu jādzēš visas tā rīcībā esošās personas datu kopijas. [8]

Vairāk informācijas par apstrādātāja tiesībām un pienākumiem – Eiropas datu aizsardzības kolēģijas vadlīnijās Nr. 07/2020 par pārziņa un apstrādātāja jēdzieniem VDAR.

"Bilances" abonēšanai - dažādas iespējas. Izvēlies sev izdevīgāko!

Interesenti var izvēlēties, kā abonēt un lasīt BILANCI - to iespējams saņemt gan drukātā veidā savā pastkastītē, gan lasīt e-vidē portālā tiešsaistē, gan izvēlēties Grāmatveža komplektu vai Bilances Zelta komplektu, kam arī iespējams gan papīra, gan elektroniskais formāts. Uzziniet vairāk, kādas iespējas piedāvā katrs no variantiem!