Katras atsevišķas organizācijas rīcībā var būt daudz dažādu personas datu un to apstrāžu. Dažādām organizācijām atšķirsies arī datu glabāšanas ierīces, informācijas sistēmas un datu glabāšanas metodes, informē Datu Valsts inspekcija.
Organizācijai (pārzinim) ir pienākums ierobežot personas datu glabāšanu, lai dati netiktu glabāti ilgāk, nekā nepieciešams glabāšanas nolūka sasniegšanai. [1] Šo pienākumu var palīdzēt izpildīt izstrādāta iekšējā kārtība, kurā iekļauts detalizēts apraksts, kā organizācija veiks datu dzēšanu un pārliecināsies, ka dati ir neatgriezeniski dzēsti.
Datu valsts inspekcija rekomendē datu dzēšanas kārtībā iekļaut vismaz šādas sadaļas:
1. Atbildīgās personas par datu dzēšanu un dzēšanas pēcpārbaudi;
2. Dzēšamo datu atrašanās vietas identifikācija;
3. Dzēšanas procesa apraksts katrai glabāšanas vietnei un formātam;
4. Datu dzēšanas pēcpārbaudes veikšana;
5. Apstrādātāju un citu pārziņu informēšana, ka dati dzēšami;
6. Datu subjekta informēšana par veiktajām darbībām ar personas datiem;
Atbildīgās personas par datu dzēšanu un dzēšanas pēcpārbaudi
Organizācijai ir jānosaka personas, kas būs atbildīgas par datu dzēšanas termiņa ievērošanu un šī darba izpildes pārbaudi. Atbildīgajām personām jāizprot datu glabāšanas procedūras organizācijā, ievērojot glabāšanas ierīces, informācijas sistēmas un datu glabāšanas metodes specifiku.
Dzēšamo datu atrašanās vietas identifikācija
Lai arī pirmajā brīdī var šķist, ka informācija ir dzēšama tikai no kādas atsevišķas datu bāzes, jāņem vērā, ka datu atrašanās vietas var būt dažādas, kā, piemēram, tādas ārējās datu glabāšanas ierīces kā cietie diski, zibatmiņas, papīra dokumenti, lietvedības sistēma, mākonis. Šīs visas un citas iespējamās datu atrašanās vietas organizācijā ir jāidentificē un jāparedz dzēšanas process katrai no tām, ievērojot katras ierīces un tās uzglabāšanas vietas specifiku.
Ņem vērā! Nospiežot ierasto “dzēšanas pogu”, jāsaprot, ka tādā veidā fails, kas satur informāciju, var netikt dzēsts pilnībā, ja vien tas iestatījumos jau iepriekš nav paredzēts. Šāda darbība parasti liek sistēmai saprast, ka šim failam konkrētajā atrašanās vietā vairs nav jāatrodas, un iespējams, ka tas tiek pārcelts uz citu atrašanās vietu sistēmā.
Datu dzēšanas pēcpārbaudes veikšana
Kad ir veikta datu dzēšana, ir jāveic pēcpārbaudes tests, pārliecinoties, vai dati ir izdzēsti pilnībā. Vēlams, ka testu vai dzēšanas uzraudzību veic persona, kas nebija iesaistīta dzēšanā. Šāda pēcpārbaudes procedūra ir jāpielāgo katram datu nesējam vai informācijas uzglabāšanas vietai.
Piemēram, gadījumos, kad ārējs datu nesējs, kurā atradušies personas dati, netiek iznīcināts, bet gan sagatavots atkārtotai izmantošanai, dzēšot tā saturu vai datus, pēcpārbaudes ietvaros jākonstatē, ka nav iespējama informācijas atjaunošana.
Ņem vērā! Gadījumos, ja organizācija nolēmusi turpināt izmantot tās rīcībā esošos datus anonimizētā veidā, datu apstrādes nosacījumi uz šādu anonimizētu informāciju nav attiecināmi. Lai pārbaudītu, ka datu anonimizācija ir atbilstoša, nepieciešams ņemt vērā līdzekļus, kurus varētu saprātīgi izmantot fiziskas personas identificēšanai. Jāņem vērā visi objektīvie faktori, piemēram, identificēšanai nepieciešamās izmaksas un laiks, apstrādes laikā pieejamās tehnoloģijas un to attīstība. [2]
Apstrādātāju un citu pārziņu informēšana, ka dati dzēšami
Ja dzēšamie personas dati iepriekš tika publiskoti, tad organizācijai ir jāinformē citas organizācijas, kuru vietnēs publicēti datu subjekta personas dati, ka šī persona ir pieprasījusi, lai tiktu dzēstas visas saites uz konkrētajiem personas datiem vai minēto personas datu kopijas vai atveidojumi. [3]
Tāpat organizācijai ir pienākums informēt katru saņēmēju (pārziņi, apstrādātāji), kuram personas dati tika izpausti, ka dati ir dzēšami, izņemot gadījumus, kad šādu informēšanu veikt nav iespējams vai tas prasītu nesamērīgi lielas pūles. [4]
Piemēram, ja personas dati iegūti komerciāla paziņojuma izplatīšanai, uz personas piekrišanas pamata un nodoti sadarbības partneriem, organizācijai ir pienākums dzēst datus no savām datu bāzēm un arī informēt sadarbības partnerus par nepieciešamību dzēst klienta datus, kad piekrišana ir atsaukta. [5]
Datu subjekta informēšana par veiktajām darbībām ar personas datiem
Pēc datu subjekta veikta pamatota pieprasījuma, dati ir jādzēš bez liekas kavēšanās un ne vēlāk kā mēneša laikā no šī pieprasījuma saņemšanas, un jāinformē datu subjekts par darbību, kas ar datiem tika veikta. Par labo praksi var tikt uzskatīta atbildes sniegšana veidā, kādā pieprasījums ir iesniegts. [6]
Ņem vērā! Ja ir paredzams, ka datu dzēšana prasīs ilgāku laiku un mēneša laikā to nebūs iespējams izdarīt, organizācijai jebkurā gadījumā šī mēneša ietvaros ir jāinformē datu subjekts par kavēšanos, tās iemesliem un galējo informācijas sniegšanas laiku, kas kopumā nevar būt ilgāks par trīs mēnešiem no pieprasījuma saņemšanas dienas. [6]
Ņem vērā! Tāpat, ja datu subjekts to ir pieprasījis, tas ir jāinformē par organizācijām vai fiziskām personām, kuru rīcībā ir bijuši dzēšamie personas dati, un kurām konkrētā organizācija tos izpaudusi. [7]
Ko vēl ņemt vērā?
- Tāpat kā jebkuros citos datu apstrādes procesos, kārtības izstrādē ir pieaicināms organizācijas datu aizsardzības speciālists, ja tas ir norīkots.
- Skaidrojumu var attiecināt arī uz gadījumiem, kad organizācija utilizē vai nodod lietošanā citām personām/organizācijām novecojušas vai nevajadzīgas informācijas uzglabāšanas ierīces.
INFORMATĪVĀS ATSAUCES:
[1] Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016.gada 27.aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 5. panta 1. punkta e) apakšpunkts
[2] Datu regulas 26. apsvērums
[3] Datu regulas17. panta 2. punkts, 66. apsvērums.
[4] Datu regulas 19. pants
[5] https://www.dvi.gov.lv/lv/jaunums/dviskaidro–komercialu-pazinojumu
[6] Datu regulas 12. panta 3. punkts
[7] Datu regulas 19. pants
