Dārgie klienti un sadarbības partneri,
2018. gada 25. maijā stājās spēkā Vispārīgā datu aizsardzības regula jeb, kā to citviet bieži dēvē, GDPR vai vienkārši Regula. Taču darbs pie Regulas izprašanas un tās prasību pilnīgas ieviešas joprojām turpinās gan uzņēmumu, gan arī iestāžu un likumdošanas līmenī. Lai šo darbu nedaudz atvieglotu, Sorainen komanda sniedz atbildes uz biežāk uzdotajiem jautājumiem saistībā ar Regulu.
1. Vai mums obligāti vajag GDPR auditu un audita ziņojumu?
Nē. Regula neuzliek par pienākumu uzraugošajai iestādei visos personas datu apstrādes pārkāpumu gadījumos uzlikt administratīvo naudas sodu. Tā vietā Regula nosaka administratīvā naudas soda maksimālo robežu, t.i., administratīvais naudas sods par personas datu apstrādes noteikumu pārkāpumu var būt līdz 2% vai līdz 4% no uzņēmuma iepriekšējā gada visas pasaules apgrozījuma atkarībā no pārkāpuma veida. Vienlaikus Regula nosaka, ka katrā konkrētā gadījumā naudas soda piemērošanai ir jābūt iedarbīgai, samērīgai un atturošai. Vērtējot piemērojamo sodu, uzraugošajai iestādei jāņem vērā pārkāpuma būtība, smagums un ilgums, tas, vai pārkāpums izdarīts tīši, darbības, kas veiktas, lai mazinātu kaitējumu, atbildības pakāpe vai jebkādi attiecīgi iepriekšēji pārkāpumi, veids, kādā uzraudzības iestāde uzzināja par pārkāpumu, atbilstība pasākumiem, kas vērsti pret uzņēmumu, rīcības kodeksa ievērošana, ja tāds ir pieņemts, un jebkādi citi pastiprinoši vai mīkstinoši apstākļi. Datu valsts inspekcija, kas ir uzraugošā iestāde Latvijā, ir vairākas reizes publiski paudusi, ka, izvērtējot datu aizsardzības pārkāpumus, piemēros principu “konsultē vispirms”.
Līdz ar to Datu valsts inspekcija, ievērojot samērīguma principu un principu “konsultē vispirms”, iespējams, pirmajā pārkāpuma gadījumā neliks administratīvos naudas sodus, ja radītais pārkāpums nebūs radījis būtisku fizisko personu tiesību pārkāpumu un ja uzņēmums varēs parādīt, ka tas ir cītīgi strādājis pie tā, lai ievērotu Regulas prasības. Tāpat, nosakot administratīvā naudas soda apmēru, ja naudas sods tomēr tiks piemērots, Datu valsts inspekcijai būs jāievēro samērīguma princips.
2. Vai tagad Datu valsts inspekcijai kaut kas par mūsu apstrādātajiem datiem ir jāziņo?
3. Vai mums ir jāizstrādā personas datu apstrādes reģistrs?
4. Vai vienmēr nepieciešama personas piekrišana personas datu apstrādei?
5. Vai mēs varam pieprasīt un glabāt personu apliecinoša dokumenta kopiju?
6. Vai mūsu mājas lapai ir nepieciešama privātuma politika un piekrišana no datu subjektiem par sīkdatņu (cepumiņu) lietošanu?
7. Vai par jebkuru Regulas pārkāpumu pilnīgi vienmēr tiks piemērots administratīvais naudas sods?
Sorainen un IT grupa Squalio, apvienojot juridisko un IT kompetenci, ir radījuši produktu “GDPR Ready”, kas piedāvā saprotamu izeju no normatīvo aktu labirinta.
1. Vai mums obligāti vajag GDPR auditu un audita ziņojumu?
Nē, nevajag. Regula pati par sevi neprasa ikvienam uzņēmumam veikt auditu. Protams, uzņēmuma veikto datu apstrādes procesu revīzija un novērtējums var būt noderīgs veids, kā īstenot Regulā paredzēto pārskatatbildības principu: ka uzņēmums ne tikai rūpējas par datu aizsardzību, bet spēj to arī pierādīt. Tomēr audits un audita ziņojums noteikti nav vienīgais līdzeklis, kā to pierādīt, un bieži vien arī nav pats atbilstošākais. It īpaši maziem un vidēja mēroga uzņēmumiem, iespējams, noderīgāk būtu veikt tikai izmantoto informācijas tehnoloģiju un drošības sistēmu auditu (lai būtu skaidrs, ka personas dati tiek apstrādāti droši), taču nav nepieciešams detalizēti aprakstīt visus datu apstrādes procesus un zīmēt sarežģītas shēmas. Tā vietā ir svarīgi pēc būtības saprast, kas tieši uzņēmumam vēl ir jāizdara, lai nodrošinātu atbilstību Regulai (piemēram, vai ir noslēgti atbilstoši līgumi ar visiem datu apstrādātājiem, vai visi darbinieki ir informēti par to, kā uzņēmums apstrādā viņu personas datus, vai tiek sniegta pienācīga informācija uzņēmuma klientiem). Lai to izdarītu, parasti ir nepieciešams veikt tikai daļu no darbībām, kuras veic audita laikā, t.i., uzņēmumam jāsaprot, kādus datus uzņēmumā apstrādā un kādi dokumenti tam ir pamatā. Bet ne vienmēr ir vajadzīgs uzzināto aprakstīt garos audita ziņojumos. Ja ir skaidrs, kas tieši ir jādara, tostarp, kādi dokumenti vēl jāsagatavo, lai Regulas prasības tiktu ievērotas, var ķerties uzreiz tieši pie nepieciešamo darbību paveikšanas.
2. Vai tagad Datu valsts inspekcijai kaut kas par mūsu apstrādātajiem datiem ir jāziņo?
Datu apstrādi Datu valsts inspekcijā vairs nav jāreģistrē. Bet jāatceras – ja uzņēmums ir iecēlis Datu apstrādes speciālistu, tad atbilstoši Regulas 37. pantam ir jāpaziņo par ieceltu Datu aizsardzības speciālistu Datu valsts inspekcijai. To var izdarīt ar vienkāršu rakstisku iesniegumu, nosūtot to pa pastu vai ar drošu elektronisku parakstu iesniedzot elektroniski.
3. Vai mums ir jāizstrādā personu datu apstrādes reģistrs?
Atbilstoši Regulas 30. pantam pārzinim un personas datu apstrādātājam ir jāreģistrē to veiktās personas datu apstrādes darbības. Praksē uzņēmumi ievieš tabulu .XLS vai citādā formātā, kurā ievada Regulas 30. pantā prasīto informāciju, piemēram, datu subjektu un personas datu kategorijas, attiecīgo personas datu kategoriju apstrādes nolūkus, personas datu saņēmēju kategorijas, datu dzēšanas termiņus.
Vienlaikus Regula ļauj uzņēmumiem, kas nodarbina mazāk nekā 250 personas, neieviest šādu personas datu apstrādes reģistru ar noteikumu, ka:
- apstrāde nevar radīt risku datu subjektu tiesībām un brīvībām,
- apstrāde nav regulāra,
- apstrāde neietver īpašas datu kategorijas (piemēram, datus par veselību un dalību arodbiedrībās),
- apstrāde neietver personas datus par sodāmību un pārkāpumiem.
Šis izņēmums ir vērsts uz atvieglotu Regulas prasību piemērošanu mikrouzņēmumiem, kā arī maziem un vidējiem uzņēmumiem. Taču šobrīd praksē nav viennozīmīgi skaidrs, kas būtu saprotams ar “regulāru” apstrādi, jo pārsvarā jebkura uzņēmuma darbinieku personas dati tiek apstrādāti ar zināmu regularitāti, lai veiktu darbinieku novērtējumu, darbinieku algu aprēķinu un izmaksu. Tāpat var būt, ka pie darba devēja atbilstoši grāmatvedības noteikumiem, joprojām glabājas darbinieku slimības lapas, kas attiecīgi sniedz informāciju par darbinieku veselību. Tāpēc mūsu ieteikums parasti tomēr ir sagatavot personu datu apstrādes reģistru gandrīz jebkuram uzņēmumam. Personu datu apstrādes reģistra sagatavošana vienlaikus arī palīdz uzņēmumam pilnvērtīgāk saprast, kādus fizisku personu datus datus un kādā veidā tas apstrādā.
Ja tomēr uzņēmums, kas nodarbina mazāk nekā 250 personas nevēlas izstrādāt un uzturēt personu datu apstrādes reģistru, tad, lai būtu pilnīga skaidrība, vai konkrētajam uzņēmumam tas ir nepieciešams, iesakām vērsties pēc uzziņas Datu valsts inspekcijā. Alternatīvi, iesakām sagatavot rakstveida dokumentu, kas parāda, ka esat izvērtējuši sava uzņēmuma veikto personas datu apstrādi un secinājuši, ka uz jums attiecas izņēmums, ka personu datu apstrādes reģistrs tomēr nav jāievieš, t.i., uzņēmums nodarbina mazāk nekā 250 personas un nepastāv neviens no augstāk uzskaitītajiem izņēmumiem. Nepieciešamības gadījumā šis dokuments būs jāuzrāda Datu valsts inspekcijai.
4. Vai vienmēr nepieciešama personas piekrišana personas datu apstrādei?
Nē, uzņēmums var balstīties uz citiem Regulas 6. un 9. pantā uzskaitītajiem personas datu apstrādes pamatiem. Kā biežāk izmantotos var minēt:
- sagatavošanās līguma noslēgšanai un līguma izpilde,
- likumā noteikta pienākuma izpilde (piemēram, datu apstrāde, kas pamatota ar pienākumu glabāt grāmatvedības dokumentus noteiktu laiku vai pienākumu veikt klienta izpēti noziedzīgi iegūtu līdzekļu legalizācijas un terorisma finansēšanas novēršanas jomā),
- pārziņa vai trešās personas leģitīma interese.
Vēl jo vairāk, personas piekrišanu nav ieteicams izmantot kā pirmo līdzekli, lai rastu pamatu personas datu apstrādei, ja uzņēmums var balstīties uz citiem personas datu apstrādes pamatiem, kurus sniedz Regulas 6. un 9. pants, tādējādi nodrošinot, ka datu apstrāde tiešām ir nepieciešama. Turklāt piekrišanas iegūšana var būt nepraktiska, persona to var atsaukt, un piekrišana ir jāiegūst ievērojot stingrus Regulā uzskaitītus kritērijus. Piemēram, attiecībā uz darbiniekiem 29. panta darba grupa ir paudusi viedokli, ka darbinieku sniegtas piekrišanas to personas datu apstrādei reti būs derīgas, jo tās, ņemot darbinieka un darba devēja nevienlīdzīgo stāvokli, nebūs “brīvi” sniegtas.
5. Vai mēs varam pieprasīt un glabāt personu apliecinoša dokumenta kopiju?
Ļoti retos gadījumos. Ievērojot Regulā noteikto personas datu apstrādes nolūka ierobežojuma un datu minimizēšanas principu, uzņēmumiem ir jāapstrādā personas dati tikai tādiem nolūkiem un tiktāl, ciktāl tas tiešām ir nepieciešams. Uzņēmumi, noslēdzot līgumu ar darbinieku, mēdz iegūt un glabāt savu darbinieku pases kopijas, norādot, ka tas ir nepieciešams darbinieku identificēšanai. Pēdējā laikā arī tiešsaistes pakalpojumu sniedzēji ir sākuši prasīt no saviem klientiem pases kopijas, lai tos identificētu. Taču personu apliecinoša dokumenta (pases vai personas apliecības) kopija neapliecina personas identitāti un tiesisko statusu. Tāpēc arī, piemēram, Darba likuma 35. pants nosaka, ka pretendentam ir pienākums “uzrādīt” personu apliecinoša dokumentu. Līdz ar to, ja pamatojums tam, kādēļ Jūsu uzņēmums vēlas iegūt un glabāt personu apliecinoša dokumenta kopiju, ir personas identificēšana, tad šāda personas datu iegūšana un glabāšana, visticamāk, būs nepamatota.
Protams, arī šim noteikumam var būt izņēmumi, ja pienākums iegūt vai glabāt personu apliecinoša dokumenta kopiju izriet no normatīvajiem aktiem (piemēram, noziedzīgi iegūtu līdzekļu legalizācijas un terorisma finansēšanas novēršanas jomā). Tāpat uzņēmumam var būt arī cits, iespējams, pamatots iemesls, kādēļ tas iegūst vai glabā personu apliecinoša dokumenta kopiju, kas ir katrā gadījumā jāizvērtē. Ja tomēr nolūks ir tikai identificēt personu, tad nepieciešamos datus, kas norādīti personu apliecinošā dokumentā, uzņēmuma pārstāvis var norakstīt. Savukārt, ja dati tiek vākti tiešsaistē, uzņēmums var tos pieprasīt ievadīt, un personu apliecinoša dokumenta kopiju prasīt nav jēgas, jo tā pati par sevi neidentificē personu.
6. Vai mūsu mājas lapai ir nepieciešama privātuma politika un piekrišana no datu subjektiem par sīkdatņu (cepumiņu) lietošanu?
Jā, ja caur mājas lapu tiek vākti personas dati, tostarp tiek izmantotas sīkdatnes, kas ļauj identificēt mājas lapas lietotājus.
Regulas 13. pants uzliek pienākumu informēt fiziskas personas par to, kā tiek apstrādāti to dati. Attiecīgi mājas lapas privātuma politika kalpo kā dokuments, kas sniedz mājas lapas apmeklētājiem informāciju par to, kā tiek apstrādāti to personu dati, kas tiek ievākti caur šo mājas lapu. Citreiz ērtības labad uzņēmumi privātuma politikā apraksta arī tās personas datu apstrādes darbības, kas tiek veiktas klātienē. Ja mājas lapa nekādus personas datus neievāc un neapstrādā un mājas lapa netiek izmantota, lai informētu par personas datu apstrādes darbībām, kuras veic klātienē, tad izstrādāt privātuma politiku nav nepieciešams.
Ja uzņēmuma mājas lapa izmanto tādas sīkdatnes, kas var identificēt mājas lapas lietotājus, tad šādu sīkdatņu izmantošanai ir nepieciešams iegūt Regulas prasībām atbilstošu piekrišanu, izņemot, ja sīkdatņu izmantošana ir nepieciešama mājas lapas funkcionēšanai. Jebkurā gadījumā fiziskām personām ir jāsaņem Regulas 13. pantam atbilstoša informācija par tādu sīkdatņu izmantošanu, kas var identificēt mājas lapas lietotājus. Šo informāciju var ietvert privātuma politikā. Sīkdatnes, kuras izmanto mājas lapu analīzei, reklāmas nolūkiem un funkcionālu pakalpojumu nodrošināšanai, piemēram, aptaujas izveidei, tiek uzskatītas pa tādām, kas ļauj identificēt mājas lapas lietotājus.
7. Vai par jebkuru Regulas pārkāpumu pilnīgi vienmēr tiks piemērots administratīvais naudas sods?
Nē. Regula neuzliek par pienākumu uzraugošajai iestādei visos personas datu apstrādes pārkāpumu gadījumos uzlikt administratīvo naudas sodu. Tā vietā Regula nosaka administratīvā naudas soda maksimālo robežu, t.i., administratīvais naudas sods par personas datu apstrādes noteikumu pārkāpumu var būt līdz 2% vai līdz 4% no uzņēmuma iepriekšējā gada visas pasaules apgrozījuma atkarībā no pārkāpuma veida. Vienlaikus Regula nosaka, ka katrā konkrētā gadījumā naudas soda piemērošanai ir jābūt iedarbīgai, samērīgai un atturošai. Vērtējot piemērojamo sodu, uzraugošajai iestādei jāņem vērā pārkāpuma būtība, smagums un ilgums, tas, vai pārkāpums izdarīts tīši, darbības, kas veiktas, lai mazinātu kaitējumu, atbildības pakāpe vai jebkādi attiecīgi iepriekšēji pārkāpumi, veids, kādā uzraudzības iestāde uzzināja par pārkāpumu, atbilstība pasākumiem, kas vērsti pret uzņēmumu, rīcības kodeksa ievērošana, ja tāds ir pieņemts, un jebkādi citi pastiprinoši vai mīkstinoši apstākļi. Datu valsts inspekcija, kas ir uzraugošā iestāde Latvijā, ir vairākas reizes publiski paudusi, ka, izvērtējot datu aizsardzības pārkāpumus, piemēros principu “konsultē vispirms”.
Līdz ar to Datu valsts inspekcija, ievērojot samērīguma principu un principu “konsultē vispirms”, iespējams, pirmajā pārkāpuma gadījumā neliks administratīvos naudas sodus, ja radītais pārkāpums nebūs radījis būtisku fizisko personu tiesību pārkāpumu un ja uzņēmums varēs parādīt, ka tas ir cītīgi strādājis pie tā, lai ievērotu Regulas prasības. Tāpat, nosakot administratīvā naudas soda apmēru, ja naudas sods tomēr tiks piemērots, Datu valsts inspekcijai būs jāievēro samērīguma princips. |