Kā izvairīties no biežākajām kļūdām personas datu apstrādē?

Datu valsts inspekcija skaidro galvenās lietas, kam pārzinim jāpievērš uzmanība, lai ievērotu Vispārīgās Datu aizsardzības regulas prasības personas datu apstrādes gaitā. Zemāk analizētas pārziņu izplatītākās kļūdas, tostarp kļūdas, par kurām piemēroti sodi.

Netiek piemērots atbilstošs tiesiskais pamats

Pārzinim ir jābūt pārliecinātam par precīzu nolūka noteikšanu un tiesiskā pamata piemērošanu katrai atsevišķai datu apstrādei. Tie kalpo kā pamats, lai datu apstrāde būtu likumīga. Ja tiesiskā pamata nav vai tas izvēlēts neatbilstoši, tad apstrāde uzskatāma par nelikumīgu.

Nav pienācīgi informēti datu subjekti

Datu apstrāde ir jāveic, informējot par to datu subjektus vismaz atbilstoši Datu regulā noteiktajam. Tas nozīmē - sniegt informāciju gan iekšēji (organizācijas darbiniekiem), gan arī ārēji, piemēram, informējot savus potenciālos klientus tīmekļa vietnē. Visbiežāk tas tiek paveikts, izmantojot privātuma politiku (ārējai saziņai) un iekšējos datu apstrādes noteikumus (iekšējai saziņai). Datu subjektu informēšana notiek, izvēloties tiem piemērotāko saziņas kanālu, un šajā dokumentā tiek sniegta vispārīga informācija par visām datu apstrādēm. Informācija par konkrētas personas datiem, kuri apstrādāti, sniedzama pēc pieprasījuma.

Personai nav jāprasa “piekrišana” attiecībā uz privātuma politiku un tajā sniegto informāciju, bet gan jāiepazīstina un jāinformē par to!

Vienkāršākais veids, kā pārliecināties, vai privātuma politikā iekļauta visa nepieciešamā informācija, ir katras datu apstrādes aprakstīšanas laikā sev uzdot “jautājumus”, kas aprakstīti Datu regulā.  Tie kalpo kā obligāti sniedzamās informācijas saraksts!

Netiek ievērots princips “privātums pēc noklusējuma”

Droša un atbilstoša datu apstrāde nav tikai kārtējais pienākums, kas jāizpilda, bet gan uzdevums, kura izpildei nepieciešama iedziļināšanās un izpratne, ka datiem jābūt drošībā jau no paša apstrādes sākuma. Tas nodrošinās ne tikai apstrādē esošo personas datu aizsardzību, bet arī datu subjektu tiesību ievērošanu un galu galā – arī efektīvāku uzņēmuma biznesa datu pārvaldības sistēmu. Daļēji to palīdzēs panākt principa “privātums pēc noklusējuma” ievērošana. Šī principa ievērošana ir ne tikai no Datu regulas izrietošs pienākums, bet arī daļa no informācijas sistēmas vadības procesa.  

Tehnisko un drošības prasību ignorēšana

Pārzinim ir jānodrošina droša vide tā rīcībā esošajiem personas datiem, sākot no periodiskas darbinieku apmācīšanas un beidzot ar drošu ierīču un sistēmu izmantošanu un iespējamo risku analīzi. Pārzinim ir jāizmanto visi tā rīcībā esošie rīki, lai nodrošinātu, ka iespēja noplūst vai kā citādi nepamatoti tikt apstrādātiem personas datiem ir novērsta līdz minimumam. Tehnisko un drošības prasībām ir jābūt atbilstošām un proporcionālām apstrādē esošo personas datu radītajam apdraudējumam datu subjektiem.

Neatbilstoša rīcība, īstenojot datu subjektu tiesības

Datu regulā vesela nodaļa ir atvēlēta datu subjektu tiesību īstenošanai. Šajā nodaļā ir skaidrots, kādas tiesības ir piešķirtas personām, kuru dati tiek apstrādāti, un tās ir:

• tiesības uz informāciju;
• piekļuves tiesības;
• tiesības uz labošanu;
• tiesības uz dzēšanu;
• tiesības ierobežot datu apstrādi;
• tiesības uz datu pārnesamību;
• tiesības iebilst;
• tiesības nebūt tāda lēmuma subjektam, kura pamatā ir tikai automatizēta apstrāde.

Pārzinim, saņemot pieprasījumu no datu subjekta par kādu tiesību īstenošanu, jāizvērtē, vai tiesības ir īstenojamas, un viena mēneša laikā jāsniedz atbilde par minēto pieprasījumu. Ja tiesības nav iespējams īstenot, piemēram, dzēst datus, jo pastāv likumā noteikts pienākums tos glabāt, pārzinis nedrīkst ignorēt pieprasījumu, bet tam tik un tā jāsniedz skaidrojums.

Netiek veikta incidentu apstrāde un uzskaite

Gadījumi, kad organizācijas apstrādātie personas dati tīši vai netīši nonāk neautorizētu trešo personu rīcībā, ja dati tiek nozaudēti sistēmas kļūdas, darbības integritātes zuduma vai vienkārši cilvēciskas kļūdas rezultātā, organizācijai ir jāuzskaita. Precīzāka uzskaite ļaus efektīvāk atklāt kļūmju cēloņus un tos novērst. Galvenās lietas, kam būtu jāpievērš uzmanība, ir – kāpēc šāds gadījums notika, cik lielu kaitējumu tas radīja un ko darīsim tālāk, lai tāds gadījums neatkārtotos? Tāpat katra incidenta gadījumā organizācijai būtu jāvērtē, vai nepieciešams informēt datu subjektus, kuru datus incidents skāris, tai skaitā ar norādēm par to, ko personas var darīt, lai mazinātu kaitējumu. 

Nav ieviests apstrādes reģistrs

Organizācijām, kuras atbilst vismaz vienam no tālāk uzskaitītajiem kritērijiem, reģistrs par visām veiktajām datu apstrādēm ir jāizveido obligāti:

• ja ir 250 un vairāk darbinieku;
• ja veiktā apstrāde varētu radīt risku datu subjektu tiesībām un brīvībām;
• apstrāde ir regulāra;
• apstrāde ietver īpašu kategoriju datu apstrādi;
• apstrāde satur personas datus par sodāmību un pārkāpumiem. 

Ja organizācija iepriekšminētajiem kritērijiem neatbilst, tad reģistrs ir uzturams par tām organizācijas apstrādēm, kuras atbilst kritērijiem. Piemēram, jebkuras organizācijas personālvadības sistēmā būs ziņas par darbinieku veselības stāvokli. Līdz ar to šī sistēma ietverama organizācijas datu apstrādes reģistrā neatkarīgi no organizācijas atbilstības citiem kritērijiem.

Datu aizsardzības speciālista (DAS) neesamība

DAS ir atbalsta persona, kas organizācijā palīdz izprast datu apstrādes principus un ieviest Datu regulā noteiktās prasības. Tāpat DAS sniedz padomus organizācijā nodarbinātajiem un pēc nepieciešamības komunicē ar datu subjektiem. Datu regulā ir noteikti obligātie gadījumi, kad jāieceļ DAS. Vienlaikus Inspekcija šaubu gadījumā, kad nav pārliecības vai pienākums ir obligāts, iesaka šādu speciālistu iecelt vismaz uz īsu laiku vai vismaz konsultēties ar ekspertiem par DAS iecelšanas nepieciešamību.

Netiek veikts novērtējums par ietekmi uz datu aizsardzību (NIDA)

NIDA ir process, ar kura palīdzību pārzinis var veikt dažādu risku fizisku personu pamattiesībām uzskaiti, analīzi un iespējamo seku novērtējumu. Ar šo procesu nosaka pasākumus, kas nepieciešami, lai mazinātu noteiktos riskus, kas var rasties konkrētajā datu apstrādē. NIDA veikšana gadījumos, kad plānotā datu apstrāde rada paaugstinātus riskus cilvēku pamattiesībām, ir obligāts pasākums. NIDA var veikt arī gadījumos, ja organizācija šaubās par tā nepieciešamību, vai vēlas īpaši rūpīgi novērtēt plānotās datu apstrādes atbilstību, drošību un ilgtspēju. 

Piesaistot apstrādātāju, netiek ievēroti visi nosacījumi

Ja kādas darbības organizācijā esat uzticējuši veikt citai personai vai uzņēmumam, tad tas ir uzskatāms par apstrādātāju. Attiecības starp uzņēmumu, kas “pasūta” personas datu apstrādi, un personu, kas datu apstrādi pasūtītāja vārdā veiks, vienmēr jāregulē līgumam. Jāatceras, ka norādījumus par to, kāpēc un kādus datus jāapstrādā, dod pārzinis. 

Pārzinim jāsaprot, ka Datu regulas prasību ieviešana nav tikai “ķeksītis”, lai nodrošinātu atbilstību normatīvajam regulējumam, bet ir arī atbildība pret datu subjektu – savu klientu, iedzīvotāju, jebkuru fizisku personu. Atbilstošas darbības prasību īstenošanai nedrīkst notikt vien “uz papīra”; tās ir jāievieš arī praksē. Tāpat ir svarīgi veiktās datu apstrādes neatstāt novārtā un regulāri pārskatīt, tādējādi novēršot risku apstrādāt datus, kuri ir novecojuši vai kurus apstrādāt vairs nav pamata.

Lasiet arī:

• EST aktualitātes personas datu apstrādes un darba lietās
• EST aktualitātes personas datu apstrādes un patērētāju tiesību aizsardzības lietās