0,00 EUR

Grozs ir tukšs.

0,00 EUR

Grozs ir tukšs.

BIZNESSLIETVEDĪBAKā pareizi izvēlēties datu apstrādātāju?

Kā pareizi izvēlēties datu apstrādātāju?

Datu apstrādātājs ir vēl viena loma datu apstrādes procesā - tas ir sadarbības partneris datu pārzinim. Datu Valsts inspekcija skaidro, kas būtu jāņem vērā pārzinim, izvēloties sev šādu “palīgu”. Apstrādātājs ir pārziņa (organizācijas, uzņēmuma) norīkota persona, kas nav darbinieks, vai uzņēmums, kas pārziņa uzdevumā veic datu apstrādi, pamatojoties uz pārziņa noteiktajiem datu apstrādes mērķiem. Lai organizāciju varētu uzskatīt par apstrādātāju, tai jāatbilst diviem pamatnosacījumiem — tai jābūt atsevišķai un neatkarīgai organizācijai un jāapstrādā personas dati pārziņa uzdevumā. Organizācijas darbinieks nav uzskatāms par apstrādātāju, kamēr tam ir darba tiesiskās attiecības ar organizāciju. Respektīvi - konkrētās…


Lai turpinātu lasīt šo rakstu,
nepieciešams iegādāties abonementu

12 € / mēnesī *

Pirmās 30 dienas tikai par 1€

ABONĒT

* Atjaunojas automātiski, vari pārtraukt jebkurā brīdī!

 Jau ir BilancePLZ abonements?
Pieslēdzies

Pierakstīties
Paziņot par
0 Komentāri
Iekļautās atsauksmes
Skatīt visus komentārus
Foto: Unsplash

Datu apstrādātājs ir vēl viena loma datu apstrādes procesā - tas ir sadarbības partneris datu pārzinim. Datu Valsts inspekcija skaidro, kas būtu jāņem vērā pārzinim, izvēloties sev šādu “palīgu”.

Apstrādātājs ir pārziņa (organizācijas, uzņēmuma) norīkota persona, kas nav darbinieks, vai uzņēmums, kas pārziņa uzdevumā veic datu apstrādi, pamatojoties uz pārziņa noteiktajiem datu apstrādes mērķiem. Lai organizāciju varētu uzskatīt par apstrādātāju, tai jāatbilst diviem pamatnosacījumiem — tai jābūt atsevišķai un neatkarīgai organizācijai un jāapstrādā personas dati pārziņa uzdevumā.

Organizācijas darbinieks nav uzskatāms par apstrādātāju, kamēr tam ir darba tiesiskās attiecības ar organizāciju. Respektīvi - konkrētās organizācijas darbinieks nevar būt apstrādātājs.

Pārzinis parasti norīko apstrādātāju, kad saprot, ka organizācijā ir jāveic ar datu apstrādi saistīti uzdevumi, bet tai trūkst nepieciešamo zināšanu, resursu vai arī kādu citu iemeslu dēļ uzdevumus nevar izpildīt. Tādējādi organizācija izvēlas apstrādātāju, kura rīcībā savukārt ir šie trūkstošie resursi.

Piemērs. Uzņēmums noslēdz līgumu ar ārpakalpojumu grāmatvedības speciālistu darbam ar uzņēmuma ārējām un iekšējām finansēm. Tā kā grāmatvedis uzņēmuma rīcībā esošos personas datus apstrādā uzņēmuma uzdevumā un uz savstarpēja pārziņa-apstrādātāja līguma pamata, tad ārpakalpojuma grāmatveža loma šajā gadījumā ir apstrādātājs, bet uzņēmums ir pārzinis.

Tā kā pamatā par veikto datu apstrādi, tostarp  par atbilstoša tiesiskā pamata piemērošanu, atbild pārzinis, tad arī apstrādātāju būtu jāizvēlas tādu, kurš būtu uzticams un neradītu kaitējumu cilvēkiem, kuru personas dati ir pārziņa rīcībā, un nodrošinātu viņu tiesību aizsardzību. Izvēlētajam apstrādātājam ir jāspēj pierādīt, ka tas veiks savas darbības atbilstoši Datu regulas prasībām un piemēros atbilstošus pasākumus apstrādes drošībai.

Lai šādu apstrādātāju atrastu, būtu jāveic priekšizpēte. Izpēte veicama, vērtējot:

  • apstrādātāja izvēlēto drošības prasību (ieskaitot kiberdrošību) kopumu atbilstību pārziņa vēlmēm un nepieciešamībai (ieviestās prasības atbilst vai pārsniedz nepieciešamo, lai mazinātu/novērstu riskus datu aizsardzībai);
  • reputāciju (piemēram, vai apstrādātājs nav iepriekš cietis no personas datu aizsardzības pārkāpuma);
  • atbildību pret cilvēkiem, kuru datus apstrādā (procedūras un gatavība pildīt pienākumus);
  • zināšanas par jomu.

Šādu informāciju var ievākt, piemēram, no potenciālā apstrādātāja tīmekļa vietnē iekļautās informācijas un dokumentiem, publiski pieejamās informācijas, kā arī lūdzot to sniegt pašam apstrādātājam. Ir jābūt pārliecībai, ka apstrādātājs neradīs kaitējumu cilvēkiem, kuru dati tiks apstrādāti.

Visbeidzot, lai pārziņa un apstrādātāja attiecības būtu juridiski noteiktas un atbilstošas Datu regulā noteiktajam pienākumam, abām pusēm jānoslēdz savstarpējs līgums vai kā citādi rakstveidā jānosaka savstarpējās attiecības. Līguma parakstīšana norāda uz abu pušu gatavību sadarboties, kā arī kalpo par apliecinājumu, ka apstrādātājs savā rīcībā esošos datus apstrādās, ievērojot līgumā un datu aizsardzības normatīvajos aktos noteikto.

Līgumam ir jāsatur skaidra informācija par līguma priekšmetu, apstrādājamiem datiem, mērķi, kādēļ pārzinis nodod šos datu apstrādei apstrādātājam, tāpat arī apstrādes ilgumu, apstrādātāja tiesības un pienākumus konkrētajā apstrādē. Pārziņa tiesības ir regulēt un noteikt apstrādes apjomu un sasniedzamo rezultātu, un apstrādātājam šie nosacījumi ir jāievēro. Jebkurā gadījumā abas puses datu apstrādi veic atbilstoši Datu regulas prasībām.

Kad savstarpējs līgums ir noslēgts, pārzinis nodod apstrādātājam attiecīgo (tikai mērķa sasniegšanai nepieciešamo) datu apjomu un citu informāciju, kas nepieciešama pilnvērtīgai un drošai datu apstrādei. Tāpat pārzinis savlaicīgi informē apstrādātāju, ja apstrāde ir jāpārtrauc ātrāk, nekā noteikts līgumā vai noticis kāds cits gadījums, kādēļ datu apstrādē ir veicamas izmaiņas.

Vairāk informācijas par pārziņa un apstrādātāja lomu noteikšanu un sadali –Eiropas datu aizsardzības kolēģijas vadlīnijās Nr. 07/2020 par pārziņa un apstrādātāja jēdzieniem VDAR.

Lasiet arī: