Vispārīgā datu aizsardzības regula

Privātums atbilstoši Vispārīgajai datu aizsardzības regulai

Viens no digitālā laikmeta lielākajiem izaicinājumiem ir atrast pareizo līdzsvaru starp personas datu izmantošanu un privātuma aizsargāšanu. Visiem komersantiem, kas ES teritorijā apstrādā personas datus, ir jāievēro Vispārīgajā datu aizsardzības regulā (GDPR / Regula) iekļautās prasības.

Līdz ar GDPR prasību piemērošanu, uzņēmumiem ir jāpārbauda un jāpilnveido sava uzņēmuma sistēma un datu apstrādes procesa atbilstība regulas prasībām.

Mūsu pakalpojumi

Konsultācijas

 

Mēs jums varam palīdzēt un sniegt konsultācijas par jebkāda veida datu aizsardzības jautājumiem. 

GDPR atbilstības pārbaude

  • Pilna procesu un jomu pārbaude, kuras ietvaros mēs pārbaudām vai uzņēmuma veiktā datu apstrāde atbilst GDPR prasībām
  • Atsevišķu jomu GDPR atbilstības pārbaude, piemēram, mārketings, personālvadība, pārdošana

 

Nodevums: Ziņojums par identificētiem riskiem, to klasifikāciju un rekomendācijām atbilstības nodrošināšanai. Ziņojums ietvers ieteikumus un rekomendācijas, ko novērst / uzlabot.

Izmantotie rīki: G.A.T. (gap assessment tool), ar kura palīdzību ir iespējams novērtēt uzņēmuma gatavību GDPR prasībām būtiskākajās uzņēmuma darbības jomās. 

Darba apraksts:

1. Prezentācijas ar mērķi pārrunāt identificēto risku klasifikāciju.

2. Intervijas ar atbildīgajām personām ar mērķi identificēt esošo situāciju uzņēmumā un identificēt riskus.

3.  Analīzes [2]  veikšana par uzņēmuma darbības juridiskajiem un IT aspektiem personas datu apstrādes jomā:

  • dokumentu (izstrādātās politikas, darba līgumu standarti, datu subjektu piekrišanas u.c. dokumenti) izpēte un to atbilstības GDPR novērtējums;
  • personu datu plūsmu analīze, identificējot, vai personas dati tiek sūtīti uz trešajām valstīm, vai uzņēmumam ir zināms, kur uzņēmuma ietvaros tiek glabāti personas dati, kā faktiski notiek datu plūsma starp uzņēmuma nodaļām, kādiem piegādātājiem/apakšuzņēmējiem tiek nodoti personas dati u.tml. (datu plūsmu analīze netiek veikta, ja uzņēmums šādu analīzi jau ir sagatavojis); 
  • IT kontroļu novērtējums uzņēmuma informācijas sistēmām, kurās tiek apstrādāti strukturēti personu dati, iekļaujot šādus būtiskākos aspektus: datu apstrādes vispārējie principi un to ievērošana, piekļuves vadība, datu apstrādes drošības kontroles, datu apstrādes darbību reģistrēšana un uzraudzība, datu dzēšanas iespējas.

4. Ziņojuma par identificētajiem riskiem un ieteikumiem šo risku samazināšanai sagatavošana un prezentēšana uzņēmuma vadībai.

[2] Analīzes ietvaros veicamās IT darbības nav uzskatāmas par IT auditu.

Uzņēmuma iekšējo dokumentu izstrāde

Rekomendāciju izstrāde, piemēram, standartizētu dokumentu izstrāde:

  • Vispārīgo personas datu apstrādes politika;
  • Privātuma paziņojuma izstrāde (fiziskām personām, kas nav nodarbinātas uzņēmumā – darba meklētājiem, potenciālajiem klientiem, pircējiem, sadarbības partneriem);
  • Datu subjekta (klienta) piekrišanas standarta formas izstrāde,
  • Datu subjekta (darbinieka) piekrišanas standarta formas izstrāde,
  • Datu apstrādes līguma projekts (pārzinis- apstrādātājs);
  • Datu drošības pārkāpuma ziņošanas procedūra;
  • Risku novērtēšanas procedūra;
  • Interešu līdzsvarošanas testa procedūra;
  • Novērtējuma par ietekmi uz datu aizsardzību procedūra;
  • Apstrādātāju uzraudzības kārtība;
  • Datu apstrādes reģistra formas izveide;
  • Informācijas drošības politika;
  • Nepārtrauktas darbības nodrošināšanas un darbības atjaunošanas plāns;
  • Incidentu pārvaldības politika.

Datu aizsardzības speciālista pakalpojumi

Datu aizsardzības konsultanta pakalpojums ietver (un ne tikai):

  • Datu aizsardzības konsultanta norīkošana gadījumos, kad to kā pienākumu paredz GDPR (GDPR 37.pants);
  • Gadījumos, kad būs nepieciešama tūlītēja palīdzība saistībā ar datu aizsardzības incidentu, datu subjekta pieprasījumu, personas datu apstrādes politiku vai citu atbilstošo dokumentu praktisku piemērošanu, PwC Legal datu aizsardzības konsultants spēs sniegt mutiskas konsultācijas un/ vai sagatavot nepieciešamo dokumentāciju; 
  • vienas kontaktpersonas nozīmēšanu par jautājumiem, kas saistīti ar izstrādāto dokumentāciju personas datu apstrādes jomā;
  • PwC Legal nozīmēta kontaktpersona sniedz nepieciešamo atbalstu pēc uzņēmuma darbinieku pieprasījuma tādu periodu pēc personas datu apstrādes dokumentācijas ieviešanas, par kuru PwC Legal un Uzņēmums vienosies.
  • elektronisku mācību materiālu par personas datu apstrādes jautājumiem izstrāde (e-mācības, mācību materiāli, kas tiek izvietoti uzņēmuma iekšējās sistēmās u.tml.);
  • uzņēmuma saistošo noteikumu (Binding Corporate Rules) izstrāde, ņemot vērā, ka starptautiskām kompānijām, kas veic personas datu pārsūtīšanu starp saviem uzņēmumiem, kas atrodas valstīs ārpus Eiropas Ekonomiskās zonas dalībvalstīm un kas likuma līmenī nenodrošina adekvātas personas datu aizsardzības prasības, ir iespēja sagatavot šādus noteikumus, kas tiek apstiprināti kādas Eiropas Savienības dalībvalsts datu inspekcijā un kas dod tiesības likumīgi veikt datu pārsūtīšanu uz uzņēmumiem, kas atrodas trešajās valstīs;
  • datu aizsardzības izpētes veikšana uzņēmuma nolīgtajiem datu operatoriem, izvērtējot datu operatora personas datu apstrādes atbilstību GDPR prasībām tieši attiecībā uz uzņēmuma datu apstrādi;
  • datu inventarizācijas veikšana, analizējot nestrukturētu datu glabāšanu uzņēmuma sistēmās, tādējādi identificējot praktiskās piemērošanas nepilnības;
  • informācijas sistēmu audits, novērtējot uzņēmuma informācijas sistēmu brieduma pakāpi, ņemot vērā GDPR prasības.

Apmācības uzņēmuma darbiniekiem

Mēs organizējam apmācības uzņēmumu darbiniekiem saistībā ar personas datu apstrādes dažādiem GDPR aspektiem.

 

Regulas prasības

Regulas piemērošana

Regula ir saistoša ikvienam uzņēmumam, kas apstrādā fizisko personu datus.

Regulu piemēro:

  • uzņēmumam vai organizācijai, kas apstrādā personas datus (darbinieku, klientu u.c.) kādā no tā filiālēm, kura ir reģistrēta ES, neatkarīgi no datu apstrādes vietas; vai
  • uzņēmumam, kas ir reģistrēts ārpus ES un piedāvā preces/pakalpojumus (maksas vai bezmaksas) vai sistemātiski novēro fizisku personu uzvedību ES.

Tomēr, ja veiktā datu apstrāde nerada risku fiziskām personām, tad atsevišķi Regulas pienākumi uz konkrēto uzņēmumu nav attiecināmi, piemēram, nav nepieciešams veikt ietekmes novērtējumu vai nav nepieciešams izveidot datu apstrādes reģistru vai iecelt datu aizsardzības speciālistu. 

Vai uzņēmums atbilst regulas prasībām?

Ikvienam uzņēmumam ir pienākums pierādīt atbilstību Regulas prasībām, kas nozīmē ne vien uzrādot formāli aprakstītas procedūras, bet arī veicot ļoti praktiskas darbības.

Piemēram, pastāvīgi nodrošināt datu apstrādes darbību reģistrēšanu (aktuāla un “dzīva” informācija), regulāra dokumentu un procesu pārskatīšana, kā arī informācijas  sniegšana datu valsts inspekcijai un datu subjektam datu incidentu gadījumos.

Trīs galvenās jomas, kurās uzņēmumam jānodrošina atbilstība:

  • Juridiskais aspekts– līgumi ar klientiem un piegādātājiem,
  • Atbilstošas procedūras, politikas un datu plūsma,
  • IT – atbilstošas un drošas sistēmas, rīki, auditācija un datu aizsardzība.

Skaidra procesu pārredzamība

Regula nosaka prasības personas datu apstrādes un aizsardzības procesiem būt atklātiem, kas nozīmē nepieciešamību dokumentēt visus datu apstrādes procesus un pieņemtos lēmumus par datu apstrādi.

Bez tam, uzņēmumam, kas piedzīvo datu aizsardzības pārkāpumus, ir paredzēts noteiktos gadījumos par to ziņot Datu valsts inspekcijai un datu subjektiem. 

Sodi un tiesvedību riski

  • Administratīvā atbildība, ko piemēro Datu valsts inspekcija (Administratīvais sods līdz EUR 20 milj. euro vai 4% no kopējā globālā gada apgrozījuma uzņēmuma grupai).
  • Civiltiesiskā atbildība un kaitējuma atlīdzība datu subjektam (Datu subjekts var prasīt morālā kaitējuma atlīdzību civiltiesiskā kārtībā).
  • Uzņēmuma reputācijas un uzticības zaudējums, kas var rasties gadījumos, ja netiek ievēroti datu aizsardzības pasākumi.