Datu aizsardzības regula
Datu aizsardzības regula (ES) 2016/679, kuras prasības no 25. maija būs jāsāk ievērot visā Eiropas Savienībā, nav nekāds bubulis, kas automātiski nozīmēs neizpildāmus noteikumus un nežēlīgas soda sankcijas. “Leilands un Putnis” valdes loceklis, sertificēts vadības konsultants, Raimonds Rullis aicina saglabāt veselo saprātu un uzsver, ka regula attiecas uz visiem, bet iespējamie riski dažādās biznesa sfērās tomēr ir dažādi. Nav iespējams salīdzināt tādas nozares kā apdrošināšanu vai medicīnu un lauksaimniecību. Ja vienā gadījumā uzņēmumā tiek glabāti un izmantoti ievērojami apjomi ar klientu personas datiem un sensitīvu informāciju, tad otrā gadījumā uzņēmuma klientu personas datu ir krietni mazāk un, visticamāk, šo datu apstrāde nerada būtiskus riskus datu subjektu tiesībām.
Sava saimniecība uzņēmumā ir jāsakārto, ņemot vērā 3 biznesa aspektus: klientu un partneru personu datus, uzņēmuma darbinieku datus un datus, kas tiek nodoti ārpakalpojumu sniedzējiem.
Klientu personas dati– pamatā mūsdienās tiek apstrādi informācijas sistēmās, piemēram, CRM (Customer Relationship Management). Informācijas sistēmu darbība būtu jāorganizē tā, lai tajās esošās informācijas pārvaldīšanā tiktu pielietoti atbilstoši drošības pasākumi un labas informāciju tehnoloģiju drošības pārvaldības prakses principi. Ja dokumenti ar klientu personas datiem ir pieejami papīra formātā birojā, tad tos vispareizāk būs uzglabāt slēdzamos skapjos vai vietās ar ierobežotu piekļuvi.
Interneta veikaliem un portāliem, kuri iegūst personas datus un izmanto tos mārketinga vajadzībām, ir jānodrošina datu subjekta tiesības pašam izvēlēties – piekrist vai atteikties no mārketinga sūtījumu saņemšanas. Tāpat regulā ir noteiktas prasības, kad un kādos gadījumos datu subjektam ir tiesības tikt aizmirstam un cik lielā mērā to iespējams realizēt.
Uzņēmuma darbinieku personas dati – šādas informācijas apstrādes specifiku jau šobrīd nosaka likumdošana un jaunus papildu noteikumus ieteicams ieviest kā papildinājumus darba līgumos. Piemēram, ja uzņēmuma darbinieku personas dati tiek nodoti trešajām pusēm pesrsonu identifikācijas nodrošināšanai uzņēmuma klientu vai sadarbības partneru objektos, uzņēmējam būtu vēlams nodrošināties ar darbinieku piekrišanu šādos gadījumos. Ja darbinieku fotogrāfijas tiek publicētas internetā, tam būtu jāsaņem darbinieku atļauja, vislabāk rakstiskā formātā.
Ārpakalpojumu sniedzēji – ja, piemēram, tiek izmantoti grāmatvedības pakalpojumi vai arī dati uzglabāti mākoņservisos, no ārpakalpojumu sniedzēja jāprasa, lai viņš nodrošina adekvātus aizsardzības pasākumus, atrunājot tos līgumā. Jebkurā gadījumā uzņēmējam vajadzētu būt pārliecinātam, ka ārpakalpojumu sniedzējiem nodotie dati ir drošība un ārpakalpojumu sniedzējs apzinās savu atbildību. Regulā ir aprakstīts arī, ar kādu pamatojumu ir atļauta datu nodošana ārpus Eiropas Savienības. Bieži vien nopietni mākoņpakalpojumu sniedzēji savu politiku attiecībā uz personas datu apstrādi iekļauj jau savos līgumos.
Raimonds Rullis iesaka katram uzņēmumam vispirms veikt iekšējo inventarizāciju un saprast, kādos procesos, vietās, informācijas sistēmās un datu nesējos tiek veikta personu datu apstrāde. Atbilstoši rezultātiem un apzinātajiem drošības riskiem tad arī var plānot nepieciešamos drošības pasākumus un saprast, kā uzņēmums var realizēt datu aizsardzības regulas prasības. Ja šķiet, ka pašiem tas tomēr nav pa spēkam, droši var izmantot “Leilands un Putnis” pakalpojumus – viņu konsultanti veiks uzņēmumā personas datu apstrādes auditu un izstrādās rekomendācijas, kas un kā jādara, lai minimizētu ar Regulas (ES) 2016/679 prasībām saistītos riskus un ieviestu informācijas drošības pārvaldības sistēmu.
Publicēts sadarbībā ar https://www.1188.lv/