Principi, kas attiecas uz personas datu apstrādi
VDAR (5. pantā) ir izklāstīti septiņi galvenie principi, uz kuriem balstās jebkuras struktūras, tostarp mikrouzņēmumu, mazu vai vidēju uzņēmumu, īstenotā personas datu apstrāde. Tāpēc (1) likumīgums, godprātība un pārredzamība, (2) nolūka ierobežojumi, (3) datu minimizēšana, (4) precizitāte, (5) glabāšanas ierobežojums, (6) integritāte un konfidencialitāte, kā arī (7) pārskatatbildība sniedz būtiskas vadlīnijas, lai nodrošinātu jūsu klientu, darbinieku un piegādātāju personas datu drošību.
VDAR - Principi
1. Likumīgums, godprātība un pārredzamība
Personas datu apstrāde jāveic likumīgi, godprātīgi un fiziskajai personai pārredzamā veidā. Personas datu apstrāde ir likumīga tikai tad, ja tai ir “likumīgs pamats”.
Personas datu apstrādei jābūt godprātīgai, atbilstošai, saprātīgai un samērīgai attiecībā pret konkrētajām fiziskajām personām. Tas nozīmē, ka uzņēmumam, kas apstrādā personas datus, pirms apstrādes sākšanas ir jāizvērtē savu interešu samērīgums pret attiecīgo fizisko personu interesēm.
Pārredzamības princips uzņēmumam nosaka pienākumu būt atklātam un skaidram par personas datu apstrādi. Attiecīgā fiziskā persona ir jāinformē par to, kāpēc tiek apstrādāti šīs personas dati, kā arī par riskiem, tiesībām un citiem svarīgiem aspektiem.
2. Nolūka ierobežojumi
Personas datus drīkst iegūt tikai konkrētam nolūkam. Nolūka ierobežojumu princips nosaka, ka nolūkam(-iem) ir jābūt konkrētam, skaidram un leģitīmam (saskaņā ar tiesību aktiem). Turklāt iegūtie dati jāapstrādā veidā, kas ir savietojams ar sākotnējo ieguves nolūku.
Konkrētam nolūkam likumīgi iegūtos datus nedrīkst no jauna izmantot laika gaitā definētiem nolūkiem.
Ja sākotnēji dati tika iegūti uz leģitīmo interešu, līguma vai vitālo interešu pamata, personas datus citam nolūkam drīkst izmantot tikai pēc tam, kad ir pārbaudīts, vai jaunais nolūks ir savietojams ar sākotnējo nolūku.
Elementi, kas jāņem vērā, izvērtējot nolūku savietojamību:
-
Vai pastāv saikne starp sākotnējo un jauno nolūku?
-
Datu ieguves konteksts (kādas ir attiecības starp jūsu uzņēmumu un fizisko personu?).
-
Kādu veidu un rakstura datus tas skar (piemēram, sensitīvi dati)?
-
Kādas sekas turpmāka apstrāde var radīt attiecīgajai fiziskajai personai?
-
Vai tiek īstenoti atbilstoši aizsardzības pasākumi, piemēram, šifrēšana vai pseidonimizācija?
Ja jūsu uzņēmums sākotnēji ieguva datus uz piekrišanas vai juridiskā pienākuma pamata, jūs nedrīkstat turpināt apstrādāt datus, ja tas pārsniedz sākotnējo piekrišanu vai juridisko(s) pienākumu(s). Šādā gadījumā turpmākai apstrādei ir nepieciešams iegūt jaunu piekrišanu vai jaunu juridisko pamatu.
Piemēram:
Uzņēmums pārvalda klientu datu bāzi, kurā tiek glabāti personas dati komerciālas saziņas vajadzībām. Visas šajā datu bāzē esošās personas ir devušas piekrišanu savu datu izmantošanai komerciālos nolūkos. Tagad uzņēmums plāno turpināt izmantot saglabātos datus, lai ievāktu statistiku par klientu pirkšanas paradumiem, neprasot personu piekrišanu. Tā kā mērķis atšķiras no sākotnējā datu ievākšanas mērķa, uzņēmumam šai apstrādei būtu jāpaļaujas uz citu juridisko pamatu. VDAR skaidri pasaka, ka statistikas uzglabāšana ir saderīgs mērķis. Uzņēmumam būs jāievieš atbilstoši drošības pasākumi, lai aizsargātu personu tiesības un brīvības (t.i., tehniskus un organizatoriskus pasākumus, piemēram, pseidonimizāciju).
3.Datu minimizēšana
Datu minimizēšanas princips nosaka, ka uzņēmums drīkst ievākt tikai tos personas datus, kas ir patiešām nepieciešami norādītajiem apstrādes nolūkiem.
Tāpēc ir noderīgi iepriekš noteikt minimālo personas datu apjomu, kas ir nepieciešams uzņēmuma nolūku īstenošanai.
Piemēram: Piegādes nodrošināšanai apavu ražotājs ievāc savu klientu adreses, taču tas nedrīkst ievākt tādus datus kā klientu vecums, jo tas nav saistīts ar sākotnējo datu ieguves nolūku.
4. Precizitāte
Saskaņā ar VDAR precizitātes principu juridiskajām personām, tostarp mikrouzņēmumiem, ir pienākums nodrošināt, lai viņu rīcībā esošie personas dati ir precīzi un, ciktāl tas ir nepieciešams, atjaunināti. Tas ir nepieciešams, jo noteiktos apstākļos neprecīzi dati fiziskajai personai var radīt nopietnas negatīvas sekas, jo sevišķi, ja ir iesaistīti īpašu kategoriju dati (piemēram, veselība vai politiskie uzskati).
Piemēram: Ja kredītinformācijas birojam ir sniegti neprecīzi dati par personas parādsaistībām, tas var negatīvi ietekmēt minētās personas turpmākās iespējas saņemt aizdevumu.
Datu precizitātes apmērs ir atkarīgs no datu apstrādes nolūka. Piemēram, ja tie ir medicīniski dati, ir jāveic visas iespējamās darbības, lai nodrošinātu, ka dati ir aktuāli, taču uzņēmums nedrīkst veikt ekstrēmas darbības (piemēram, izsekot klientus), lai atjaunotu informāciju mazāk svarīgiem nolūkiem, piemēram, mārketingam.
Piemēram: Uzņēmumam ir jāatjaunina darbinieka algas dati, ja darbiniekam tiek piešķirts algas paaugstinājums, vai klienta piegādes adrese, lai nodrošinātu, ka iegādātās preces tiek nogādātas pareizajā vietā.
5. Glabāšanas ierobežojums
Glabāšanas ierobežojuma princips nosaka, ka personas datus nedrīkst glabāt ilgāk, nekā tas ir nepieciešams, lai sasniegtu to ieguves mērķi. Kad datu apstrādes mērķis ir sasniegts, dati ir jāizdzēš. Tas nozīmē, ka jebkuru datu glabāšana ilgāku periodu ir aizliegta.
6. Integritāte un konfidencialitāte
Integritātes un konfidencialitātes principa pamatā ir personas datu aizsardzība pret neatļautu vai nelikumīgu apstrādi, nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu. VDAR nosaka, ka personas dati nedrīkst būt pieejami ikvienam organizācijā, bet tikai tiem, kas ir faktiski iesaistīti darbā ar datiem. Tāpat ir jānodrošina personas datu aizsardzība pret jebkurām ārējām vai trešajām personām.
Drošības pasākumu intensitāte ir tiešā veidā saistīta ar datu apstrādes darbību iespējamo risku. (VDAR izmanto uz risku balstītu pieeju)
Ņemiet vērā, ka pirms pieņemat lēmumu par to, kādi pasākumi ir nepieciešami, lai garantētu datu drošību, jūsu uzņēmumam ir jāizvērtē iespējamie informācijas riski atkarībā no uzņēmuma izmēra, apstrādāto personas datu daudzuma un būtības, kā arī datu izmantošanas veida
7. Pārskatatbildība
Pārskatatbildības princips paredz divus pienākumus: pienākumu nodrošināt prasību ievērošanu un spēt to pierādīt.
Ir jānosaka visi nepieciešamie tehniskie un organizatoriskie pasākumi un jāveic to pierādījumu uzskaite. Nav saraksta, kas uzskaitītu konkrētus līdzekļus, kā pierādīt VDAR prasību ievērošanu, taču VDAR noteiktos gadījumos nosaka prasību uzskaitīt datu apstrādes darbības, iecelt datu aizsardzības speciālistu un veikt novērtējumu par ietekmi uz datu aizsardzību. Turpmāk minētās darbības var izmantot kā pierādījumu prasību ievērošanai.
Laiks rīkoties!
Rūpīgi izvērtējiet:
Kāds ir jūsu uzņēmuma juridiskais pamats personas datu ieguvei?
-
Vai attiecīgās fiziskās personas ir informētas par visām jūsu uzņēmuma īstenotajām datu apstrādes darbībām?
-
Vai personas dati tiek ievākti konkrētiem un aktuāliem apstrādes nolūkiem (nevis neskaidrām turpmākām vajadzībām)?
-
Vai jūsu uzņēmums apstrādā tikai minimālo datu daudzumu, kas ir nepieciešams apstrādes mērķa(-u) sasniegšanai?
-
Vai jūsu uzņēmuma iegūtie personas dati ir precīzi un atjaunināti?
-
Vai ir izdzēsti visi personas dati, kuru ieguves mērķis(-i) ir sasniegts vai kas vairs nav nepieciešami?
-
Vai personas dati ir pieejami tikai tām uzņēmuma personām, kurām ir faktiski nepieciešama piekļuve?
-
Vai jūsu uzņēmums ir veicis nepieciešamos tehniskos un organizatoriskos pasākumus, lai ievērotu VDAR principus?
-
Vai jūsu uzņēmums veic apstrādes darbību uzskaiti?