Vai esat gatavi Vispārīgās datu aizsardzības regulas (GDPR) prasībām? Atbildes uz 5 svarīgiem jautājumiem

Visā Eiropas Savienībā no šī gada 25. maija tiks piemērota Vispārīgā datu aizsardzības regula (GDPR), kas aizstās 20 gadus veco Datu aizsardzības Direktīvu 95/46/EK, kura tika pieņemta, kad digitālā komunikācija vēl bija “bērna autiņos”, proti, personas datu vākšanas un apmaiņas apjoms bija salīdzinoši neliels. Tāpēc GDPR tika izstrādāta ar mērķi stingrāk aizsargāt ES pilsoņu personas datus un paplašināt pilsoņu tiesības uz saviem personas datiem, kā arī nodrošināt vienādus noteikumus visā ES. Nepakļaušanās GDPR var izmaksāt dārgi! Naudas sods līdz 20 milj. EUR vai 4% no uzņēmuma kopējā gada apgrozījuma (skatoties, kura summa ir lielāka).

Šajā rakstā tiks apskatīti svarīgākie GDPR momenti, kas attiecas gan uz fiziskām personām (datu subjektiem), gan uz personām, kuras veic datu apstrādi (datu pārziņiem). Sākumā nedaudz svarīgas terminoloģijas.

Kas ir personas dati? Personas dati ir jebkura informācija, kas attiecas uz identificētu vai identificējamu personu un ar kuras palīdzību var identificēt personu, piemēram, vārds, uzvārds, tālruņa numurs, e-pasta adrese, bilde, lietotājvārds, ieraksts sociālajā tīklā, IP adrese utt.

Kas ir personas datu apstrāde? Jebkuras ar personas datiem veiktas darbības: datu vākšana, reģistrēšana, ievadīšana, glabāšana, sakārtošana, pārveidošana, izmantošana, nodošana, pārraidīšana un izpaušana, bloķēšana vai dzēšana.

Svarīgākie momenti, kas attiecas uz fiziskām personām (datu subjektiem). Jebkurai fiziskai personai ir tiesības:

  • prasīt jebkuram uzņēmumam, kā viņu personas dati tiek izmantoti un saņemt atbildi ne vēlāk kā 1 mēneša laikā;
  • atteikties no savas personas datu apstrādāšanas;
  • labot, dzēst, eksportēt savus personas datus;
  • tikt “aizmirstam”, kā rezultātā personas dati ir pārveidoti (nokodēti) un personu vairs nav iespējams identificēt.

Svarīgākie momenti, kas attiecas uz personām, kuras veic datu apstrādi (datu pārziņiem). Jebkuram datu pārzinim obligāti jāievēro vairāki noteikumi. 

  • Ir jāsaņem piekrišana personas datu apstrādei. Bez fiziskās personas piekrišanas nedrīkst veikt personas datu apstrādi!

Piekrišanai jābūt brīvai — ar iespēju atteikties vai atsaukt savu darbību. Par piekrišanu nevar uzskatīt neiebilšanu, kā arī lauciņus, kas “atķeksēti” jau iepriekš u.c. 

gdpr

Lai saņemtu piekrišanu no personas, datu pārzinim ir jāsniedz atbildes uz šiem jautājumiem: “Kas es esmu?”, “Kādi personas dati tiks apstrādāti?”, “Kāpēc jeb kādiem nolūkiem personas dati tiks apstrādāti?”,  “Kā personas dati tiks apstrādāti?”, “Kam personas dati būs pieejami?”. Ja uzņēmums sadarbojas ar vairākiem uzņēmumiem personas datu apstrādē, noteikti ir jāparedz šāds punkts un par to jābrīdina personas datu subjekts. Atbildību nes tas datu pārzinis, kā vārdā tiek saņemta personas datu apstrādes piekrišana. Piemēram, uzņēmums “X” sadarbojas ar telemārketinga aģentūru “Y” un dod aģentūrai datus par saviem klientiem, tātad atbildību nes uzņēmums “X”, tāpēc šim uzņēmumam ir jāsaņem piekrišana no personas datu turētājiem.

  • Definēt datu glabāšanas un dzēšanas politikas.
  • Aizsargāt personas datus ar atbilstošiem drošības risinājumiem. Daži no drošības risinājumiem ir Office 365, G Suite, kas atbilst GDPR prasībām. (Vairāk informācijas)
  • Atbildēt ne vēlāk kā 1 mēneša laikā uz fiziskās personas datu pieprasījumu par personas datu izmantošanu.
  • Nodrošināt iespēju datu subjektam: atteikties no personas datu apstrādes, labot, eksportēt, dzēst savus personas datus, tikt “aizmirstam”.
  • Ne vēlāk kā 72h laikā paziņot personai un uzraudzības iestādei par datu aizsardzības pārkāpumu, piemēram, par datu uzlaušanu vai datu noplūdi.

Kā iepriekš tika minēts, tie ir svarīgākie momenti, kas attiecas uz pilnīgi visiem, kas veic ES pilsoņu datu apstrādi neatkarīgi no teritorijas, kur atrodas uzņēmums. Piemēram, ja uzņēmums atrodas Austrālijā, bet veic ES pilsoņu datu apstrādi, šī regula attiecas arī uz Austrālijas uzņēmumu. Ar pašu regulu Jūs varat iepazīties šeit vai arī sekot līdzi informācijai www.eugdpr.org mājaslapā.

Lai sagatavoties GDPR prasībām, Jums ir jāsāk ar uzņēmuma rīcībā esošo personas datu analīzi, noskaidrojot kādi personas dati ir organizācijas rīcībā, kā tiek nodrošināts to privātums un vai tie ir saņemti datu subjektam piekrītot. Kā arī noteikt, vai uzņēmums spēs nodrošināt datu subjektam nepieciešamo informāciju, vai spēs atbildēt uz datu subjekta pieprasījumiem, vai ir izstrādāti drošības kontroles pasākumi. Šeit Jūs varat iepazīties ar 12 soļiem, kas varētu Jums palīdzēt sagatavoties GDPR vai pārbaudīt vai viss ir kārtībā.

Ceram, ka Jūsu uzņēmējdarbības vadīšana saskaņā ar GDPR tikai palielinās Jūsu ROI!

TOP 5 biežāk uzdotie jautājumi

#1 Vai sīkdatnes (angl.cookies) ir personas dati?
Jā, ja ar
cookies var identificēt personu. Piemēram, ar cookies var “nolasīt” personas IP adresi. Tādejādi ir jāsaņem piekrišana datu apstrādei, kur personai (datu subjektam) būs tikai divas opcijas: piekrist vai nepiekrist. Neiebilšana nenozīmē piekrišanu! Tātad soft-opt pop-up baneri ar tekstu, “informējam, ka, lietojot šo vietni, Jūs piekrītat personas datu apstrādei…” nav pareizs variants.

#2 Vai IP adreses var redzēt Google Analytics rīkā?
Nē, Google Analytics rīks neglabā pilnus
datus par IP adresēm. IP adreses Google Analytics rīkā ir nomaskētas, tādējādi nevar redzēt pilnu IP adresi. Kā arī Google Analytics rīks aizliedz ielādēt personu identificējošos datus.

#3 Vai visām mājaslapām ir jāizmanto pop-up tipa baneri, lai saņemtu piekrišanu sīkdatņu apstrādei?
Pop-up
ir viens no veidiem, kā Jūs varat informēt mājaslapas lietotājus par sīkdatņu izmantošanas nolūkiem un saņemt atļauju sīkdatņu apstrādei.

#4 Kas notiks ar e-pasta mārketingu pēc 25.05.?
Pēc 25.05. Jūs nevarēsiet sūtīt jaunumu vēstules, ja Jums nav saņemta pierādāma atļauja no datu subjekta. Tāpēc tagad ir jāpārliecinās, vai visi Jūsu datubāzē esošie e-pasti tikuši iegūti datu subjektam piekrītot un vai, nepieciešamības gadījumā Jūs spēsiet to pierādīt. Kā arī vai e-pasta vēstules saņēmējam būs iespēja ērti atteikties no turpmāko ziņu saņemšanas. Ja pierādāmas atļaujas nav, ir īstais laiks to saņemt. Ja Jūs izmantojat Mailigen pakalpojumu, šeit ir neliela pamācība, kā saņemt piekrišanu.  

#5 Ja cilvēks reģistrējas manā lapā, lai veiktu pirkumu, vai man jāveido datubāze? Kur?
Ja Jūsu mājaslapā pastāv iespēja reģistrēties, Jums jau ir izveidota datu bāze. Parasti datu bāzes glabājas uz servera. Pieejai datu bāzei ir jābūt ierobežotai ar drošības kontroles pasākumiem, kas atbilst GDPR noteikumiem. Kā arī datu bāzei ir jābūt pārskatāmai un viegli vadāmai, lai datu subjekta pieprasījuma gadījumā Jūs spētu izsniegt atbildi, kā viņu personas dati tiek izmantoti un nepieciešamības gadījumā personai nodrošināt iespēju atteikties no savu personas datu izmantošanas (ja tas nedraudēs Jūsu saimnieciskās darbības veikšanai, piemēram, grāmatvedības kārtošanai).