Valmieras Ziņas

25 secinājumi Vispārējās datu aizsardzības regulas ieviešanas procesā (1)

2016. gada 27. aprīlī Eiropas Parlaments un ES Padome pieņēma Vispārējo datu aizsardzības regulu Nr. 2016/679 (turpmāk – Regula), kas ir piemērojama Eiropas Savienības dalībvalstīs no 2018. gada 25. maija. Ņemot vērā, ka Regula Latvijā ir piemērojama jau vairāk nekā 4 mēnešus, ir pagājis pietiekami ilgs laiks, lai izdarītu pirmos nopietnos secinājumus par to, kā Latvijas iestādēm un uzņēmumiem ir izdevies šo Regulu ieviest.

No Regulas izriet, ka uzņēmumam ir jāspēj uzskatāmi pierādīt atbilstību Regulai (tā saucamais, “pārskatatbildības princips”). Uzņēmums var 72 stundu laikā neziņot Datu valsts inspekcijai par personas datu aizsardzības pārkāpumu, ja uzņēmums spēj saskaņā ar pārskatatbildības principu uzskatāmi parādīt, ka personas datu aizsardzības pārkāpums, visticamāk, nerada risku fizisku personu tiesībām un brīvībām. Viens no veidiem, kā ievērot minēto pārskatatbildības principu un uzskatāmi pierādīt veiktās datu apstrādes atbilstību Regulai, ir veikt datu apstrādes auditu.

Raksta autoram, kurš darbojas datu aizsardzības jomā jau aptuveni 10 gadus, ir bijusi iespēja piedalīties vairāk nekā 60 iestāžu un uzņēmumu auditos, izvērtējot attiecīgo iestāžu un uzņēmumu personas datu apstrādes atbilstību Regulai. Līdz ar to ir izveidojusies pietiekami liela bāze, lai izdarītu turpmāk aprakstītos secinājumus.

  1. Lielākajai daļai auditēto uzņēmumu mājaslapās bez tiesiska pamata tiek izvietota ne tikai darbinieku kontaktinformācija (vārds, uzvārds, amats, tālrunis, e-pasts), bet arī šo darbinieku fotogrāfijas. Tāpat bieži vien bez tiesiska pamata mājaslapās, kā arī sociālo tīklu profilos tiek ievietotas klientu fotogrāfijas no uzņēmumu rīkotajiem pasākumiem (semināri, loterijas, klientu dienas, utt).
  2. Mājaslapās nereti tiek vākti mājaslapu apmeklētāju dati (personai ir iespējams izveidot savu profilu vai kontaktformas veidā sniegt informāciju), kā arī tiek vāktas sīkdatnes, taču mājaslapu apmeklētājiem netiek sniegta Regulas 13. un 14. pantā noteiktā informācija (piemēram, mājaslapā netiek izvietota atbilstoša privātuma politiku).
  3. Pirms publisku pasākumu organizēšanas, personas netiek pienācīgi informētas, ka šis pasākums tiks fotografēts un/vai filmēts un attiecīgās fotogrāfijas un/vai video mārketinga nolūkiem var tikt izvietoti uzņēmuma mājaslapā vai sociālajos tīklos.
  4. Mēdz būt situācijas, kad personām nav iespējas atteikties no jaunumu saņemšanas e-pasta vai sms formā, kas ir pretrunā ar Informācijas sabiedrības pakalpojumu likuma 8. panta nosacījumiem.
  5. Mājaslapas visbiežāk atbilst HTTP, nevis HTTPS standartam (nav derīgs SSL sertifikāts, kas nodrošina savienojuma šifrēšanu), līdz ar to, pastāv iespēja, ka dati, ko datu subjekts mājaslapā nodod uzņēmumam, var nešifrētā veidā nonākt trešo personu rīcībā.
  6. No Regulas 28. panta izriet, ka apstrādi, ko veic apstrādātājs, reglamentē ar līgumu vai ar citu juridisku aktu, kurā norāda līguma priekšmetu un apstrādes ilgumu, apstrādes raksturu un nolūku, personas datu veidu un datu subjektu kategorijas, kā arī pārziņa pienākumus un tiesības. Diemžēl, liela daļa uzņēmumu šo nosacījumu neievēro, un ārpakalpojumu sniedzējiem datus nodod, neatrunājot pušu pienākumus un tiesības attiecībā uz datu apstrādi.
  7. Nereti mēdz būt situācijas, ka personas datus saturoši dokumenti (piemēram, līgumi) glabājas neslēdzamās telpās un neslēdzamos skapjos, kā rezultātā praktiski jebkurš uzņēmuma darbinieks tiem var piekļūt, kaut arī tas nemaz nav nepieciešams konkrētās personas darba vajadzībām.
  8. Ir gadījumi, kad personas datus saturoši dokumenti tiek nepareizi un nepilnīgi iznīcināti (piemēram, izmetot papīrgrozā, nevis ievietojot dokumentu smalcinātājā).
  9. Mēdz būt situācijas, ka, lai piekļūtu datu apstrādes sistēmai, piemēram, grāmatvedības programmai, divas vai vairākas personas lieto vienus un tos pašus piekļuves rekvizītus (lietotājvārds un parole), vai arī piekļuves rekvizītus nelieto vispār.
  10. Bieži vien lietvedības datorprogrammās ievadītie personas dati glabājas mūžīgi vai daudz ilgāk, kā tas ir nepieciešams. Personas datu saturošu dokumentu elektroniskās sagataves tiek saglabātas arī pēc tiesisko attiecību pārtraukšanas bez termiņa ierobežojuma. Tāpat uzņēmumu sadarbības partneru kontaktpersonu dati (vārdi, uzvārdi, amati, e-pasti, tālruņu numuri) iekšējā sistēmā glabājas bez termiņa ierobežojuma.
  11. Darba tiesisko attiecību ietvaros darbinieku lietās tiek glabāti dati un dokumenti, kurus glabāt nebūtu tiesiska pamata (piemēram, dati par ģimenes stāvokli, tautību vai pilsonību, kā arī personas apliecinošu dokumentu, bērnu dzimšanas apliecību, kā arī laulības apliecību kopijas).
  12. Ja personas dati tiek nodoti uz valsti, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstis, vai starptautiskajai organizācijai, bieži vien nav izstrādāti iekšējie noteikumi un skaidra kārtība šo datu nodošanai.
  13. Uzņēmumu un iestāžu darbinieki nereti netiek rakstveidā vai kādā citā veidā informēti par pienākumu neizpaust personas datus (tostarp pēc darba, dienesta vai citu tiesisko attiecību izbeigšanās).
  14. Uzņēmumu klientiem, aizpildot noteikta satura veidlapas, ir iespēja saņemt klienta karti un dažādus atlaižu līmeņus atbilstoši iepirkšanās apmēriem. Anketā bieži tiek prasīts nesamērīgi plašs datu apmērs (piemēram, personas kods, ģimenes stāvoklis, darbavieta), kas nav nepieciešams datu apstrādes mērķa sasniegšanai.
  15. Lai veiktu darbinieku apmācību, mācību centriem tiek nosūtīti darbinieku vārdi, uzvārdi, personas kodi. Darbinieki dažkārt par to netiek informēti. Tas pats attiecas uz darbinieku apdrošināšanu, kad arī apdrošināšanas pakalpojumu sniedzējiem tiek nosūtīti darbinieku vārdi, uzvārdi un personas kodi.
  16. Darbinieku iekšējās informatīvajās sistēmās vai arī birojā pie sienas ir pieejami jubilāru saraksti, kuros norādītas darbinieku dzimšanas dienas, bet apaļu jubileju gadījumos – arī konkrēts vecums. Darbinieki visbiežāk nav rakstveidā piekrituši šādu datu apstrādei un publicēšanai.
  17. Darbā nepieņemto darbinieku CV parasti tiek glabāti bez termiņa ierobežojuma, kas nav nepieciešams personas datu apstrādes mērķa (darba līguma izpilde) sasniegšanai, jo beidzoties darbinieku atlasei un pārbaudes laikam, šādu dokumentu glabāšanai nav tiesiska pamata.
  18. Arī IT jomā ir līdz galam nesakārtoti jautājumi. Piemēram, mēdz būt situācijas, kurās uzņēmuma serveris atrodas visiem darbiniekiem pieejamās koplietošanas telpās. Tāpat daudzos uzņēmumos vēl tiek lietota operētājsistēma Windows XP, kurai jau 2015. gadā tika pārtraukts Microsoft drošības atbalsts.
  19. Rezerves kopijas – tās dažkārt vispār netiek nodrošinātas vai arī tiek nodrošinātas neregulāri. Tāpat, datu nesējs, uz kuru tiek kopēti dati, nereti atrodas tieši blakus tam datu nesējam, no kura dati tiek kopēti, neievērojot pamatprincipu, ka datiem jāatrodas uz vismaz 2 dažādiem datu nesējiem, kuri atrodas ģeogrāfiski dažādās vietās. Līdz ar to, piemēram, ugunsgrēka gadījumā var tikt iznīcināti visi dati. Mēdz būt situācijas, ka dati no darbstacijām kopēti netiek, bet darbiniekiem rakstveidā nav noteikts, ka dati glabājami tikai serverī.
  20. Ne vienmēr ir noteiktas prasības lietotāju kontu parolēm vai citiem kontu aizsardzības rīkiem, vai arī ir noteiktas nesamērīgi zemas prasības attiecībā uz paroles garumu un nomaiņas biežumu.
  21. Tāpat, uzņēmumos ļoti reti ir izstrādāti informācijas sistēmu (turpmāk – IS) drošības noteikumi, kuros būtu noteiktas par IS drošības pārvaldību atbildīgās personas, risku analīzes kārtība, piekļuves kontroles procedūras, prasības lietotāju kontu parolēm, pienākumi IS lietotājiem, personāla apmācības veikšanas kārtība, IS uzturēšanas kārtība, notikumu reģistrēšanas kārtība, datu rezerves kopiju veidošanas kārtība, incidentu pārvaldības kārtība un procedūras, utt.
  22. Lielākajā daļā auditu tika konstatēts, ka uzņēmumiem nav izstrādāti arī personas datu apstrādes aizsardzības noteikumi, kuros būtu atrunātas svarīgākās datu aizsardzības nianses (piemēram, personas datu veidi, datu apstrādes sistēmas un to klasifikācija, drošības pasākumi, rīcība bīstamās un ārkārtas situācijās, personas datu apstrādes informācijas un tehniskie resursi, atbildīgās personas par resursiem, personas datu lietotāju tiesības un pienākumi).
  23. Attiecībā uz videonovērošanu biežākie auditos konstatētie pārkāpumi ir audioieraksta veikšana, nesamērīgi plaša publiskās ārtelpas novērošana, darbinieku privāto telpu novērošana. Tāpat, pārsvarā tika konstatēts, ka uzņēmumiem norādes par videonovērošanu nav vispār, vai arī tās neatbilst Regulas 13. un 14. pantam – nav atrunāti apstrādes nolūki, apstrādes juridiskais pamats, personas datu kategorijas, datu saņēmēju kategorijas, datu subjektu kategorijas, datu nodošana ārpus Latvijas, datu glabāšanas ilgums, datu subjekta piekļuve personas datiem, tiesības iesniegt sūdzību uzraudzības iestādei, utt.).
  24. Saskaņā ar Regulas 30. pantu katram pārzinim, pie kura strādā vairāk nekā 250 darbinieki, ir jāveido datu apstrādes reģistrs, taču ne vienmēr šis reģistrs tiek veidots.
  25. Saskaņā ar Regulas 37. pantu, ir noteikti gadījumi, kad iestādēm ir jāieceļ datu aizsardzības speciālists, piemēram, gadījumā, kad datu apstrādi veic publiska iestāde, vai arī iestādes pamatdarbība sastāv no apstrādes darbībām, kurām to būtības, apmēra un/vai nolūku dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana plašākā mērogā. Tomēr, bieži vien ir nācies konstatēt, ka iestādes nav iecēlušas datu aizsardzības speciālistu.

Rezumējot iepriekš minēto, secināms, ka lielākā daļa uzņēmumu Latvijā vēl nav pilnībā gatavi regulas ieviešanai un ievērošanai, tomēr ir vērojama arī pozitīva tendence – aizvien vairāk uzņēmumu aizdomājas par personas datu aizsardzību un ar saviem, vai piesaistīto speciālistu spēkiem veic iekšējos auditos un novērš konstatētās neatbilstības.

Arī pirms Regulas piemērošanas personas datu aizsardzība Latvijā tika regulēta ar Fizisko personu datu aizsardzības likumu, kuras pamatprincipi un definīcijas būtiski neatšķīrās no Regulas principiem un definīcijām, tomēr minētajam likumam komplektā nenāca pietiekami iespaidīgas sodu sankcijas. Līdz ar to var droši apgalvot, ka Regula ar savu sodu bardzību ir daudziem uzņēmumiem likusi aizdomāties gan par savu darbinieku, gan par klientu personas datu pastiprinātu aizsardzību.

Komentējot Jūs piekrītat Lietošanas noteikumiem.

    Puteklis - 19.10.2018 Atbildēt

    Gribētu zināt, kāpēc šis raksts netiek marķēts kā reklāmas raksts? Zvērināts advokāts un datu aizsardzības speciālists biedē ar soda sankcijām un tā vietā bez maksas reklamējas masu medijos? Kāpēc šādus rakstus redz tikai no “speciālistiem”, kas šajā regulā nesaskata neko citu, kā peļņas avotu, nevis no valsts kontrolējošām institūcijām?

"Valmieras ziņas" jautā

Kā vērtējat Valmieras ielu un ietvju uzturēšanu ziemā?

Paldies par balsojumu
Jūs jau esat nobalsojis!
Lūdzu izvēlieties variantu!

Piedalies satura veidošanā

Tavā apkārtnē ir noticis kas interesants? Vēlies, lai mēs par to uzrakstām?

Iesūti, un mēs to publicēsim!

iesūtīt rakstu

BURTNIEKU NOVADA PAŠVALDĪBA aicina darbā Pirmsskolas izglītības iestādes “BURTIŅŠ” vadītāju  (UZ NENOTEIKTU LAIKU) Prasības pretendentam: · Augtākā pedagoģiskā izglītība; · vismaz triju gadu pedagoģiskā darba pieredze izglītības jomā; · vēlama darba pieredze izglītības iestādes vadības darbā; · spēja noteikt prioritātes un pieņemt lēmumus; · zināšanas izglītības iestāžu finansēšanas jautājumos; · labas zināšanas darbam ar Microsoft Office; · labas zināšanas personālvadības jomā; · labas zināšanas lietvedībā; · labas komunikācijas un sadarbības prasmes; · pretendents prot valsts valodu augstākajā līmenī atbilstoši Valsts valodas likuma prasībām un vismaz vienu Eiropas Savienības oficiālo valsts valodu profesionālajai darbībai nepieciešamajā apjomā; · uz pretendentu neattiecas Izglītības likumā un Bērnu tiesību aizsardzības likumā noteiktie ierobežojumi strādāt par pedagogu. Galvenie pienākumi pretendentam: · vadīt iestādi atbilstoši normatīviem aktiem; · vadīt iestādes darbiniekus un pedagogus; · nodrošināt iestādes iekšējo normatīvo aktu izstrādi un ievērošanu; · radīt apstākļus veiksmīgai iestādes saimnieciskai un finansiālai darbībai. Dokumentus: motivētu pieteikuma vēstuli, CV, vēlams izglītību un kvalifikācijas apliecinošo dokumentu kopijas un rekomendācijas iesūtīt līdz 2019.gada 10.februārim pa pastu Vanagu ielā 4, Valmieras pag., Burtnieku nov., LV-4219; vai e-pastu info@burtniekunovads.lv. Informācija pa tālruni 27338859, 29388422. Personas datu apstrādes nolūks: Pretendentu uzskaite pašvaldības vakanto darbu vietu aizpildīšanai Pārzinis: Burtnieku novada pašvaldība. Adrese: Jāņa Vintēna iela 7, Burtnieki, Burtnieku pag., Burtnieku novads, LV-4206, reģistrācijas Nr. 90009114148, Tālr. 64226643, epasts: info@burtniekunovads.lv Datu aizsardzības speciālists: Raivis Grūbe, tālr. +371 67419000, epasts: Raivis@grubesbirojs.lv un Viesturs Grūbe, tālr. +371 67419000, epasts: Viesturs@grubesbirojs.lv Personas datu apstrādes juridiskais pamatojums: Vispārīgās datu aizsardzības regulas 6.panta 1.punkta a) apakšpunkts un b) apakšpunkts. Personas datu papildus ieguves avoti: Datu subjekta sniegtā informācija Personas datu kategorijas: Pretendenti. Personas datu glabāšanas ilgums: 2 (divi) gadi. Personas datu saņēmēji: Datu subjekts par sevi; Pārziņa pilnvaroti darbinieki; Apstrādātājs tikai tādā apjomā, lai apstrādātājs varētu nodrošināt un sniegt pakalpojumu Pārzinim atbilstoši savstarpēji noslēgtajam līgumam; Datu aizsardzības speciālists tikai tādā apjomā, lai Datu aizsardzības speciālists varētu nodrošināt uzdevumu izpildi atbilstoši Vispārīgai datu aizsardzības regulai; Valsts kontrolējošās institūcijas (ja tām ir atbilstošs pilnvarojums). Personas dati netiek nosūtīti uz trešajām valstīm vai starptautiskām organizācijām. Datu subjekta tiesības: Datu subjekta tiesības nosaka un regulē Vispārīgā datu aizsardzības regula, t.sk., bet ne tikai, pieprasīt pārzinim piekļuvi saviem personas datiem un to labošanu vai dzēšanu, vai apstrādes ierobežošanu attiecībā uz sevi, vai tiesības iebilst pret apstrādi, kā arī tiesības uz datu pārnesamību; atsaukt piekrišanu, neietekmējot tādas apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana; Tiesības kontaktēties ar Datu aizsardzības speciālistu un iesniegt sūdzību, t.sk. uzraudzības iestādei - Datu valsts inspekcijai. Lēmumu pieņemšana: Personas datu apstrādē netiek automatizēta lēmumu pieņemšana, tostarp profilēšana. Profesija: Pamatdarbības struktūrvienības VADĪTĀJS/ DIREKTORS/ KOMANDIERIS (izglītības jomā) Algas izmaksas veids: Laika darba alga Darba vietas adrese: LATVIJA, Valmieras pag., Burtnieku nov. Darba laika veids: Normālais darba laiks Darba veids: Darbinieka amats uz nenoteiktu laiku Slodze: Viena vesela slodze Darbības joma: Izglītība / Zinātne Pieteikto vietu skaits: 1 Līgums: Darbinieka amats uz nenoteiktu laiku Aktuāla līdz: 2019-02-10 Kontaktpersona: Kontaktpersona (personāla dienests)

Mūsu partneri