Kā pielāgot uzņēmumu Vispārīgās datu aizsardzības regulas prasībām un izvairīties no nepatikšanām?

Karlis Blumentals
Kā pielāgot uzņēmumu Vispārīgās datu aizsardzības regulas prasībām un izvairīties no nepatikšanām?
  1. gada 25. maijā stājās spēkā Vispārējā datu aizsardzības regula (VDAR vai angliski GDPR), kuras prasības ir jāievēro pilnīgi visiem uzņēmējiem un pašnodarbinātajiem, kas apkalpo ES pilsoņus. Regulas mērķis ir uzlabot ES pilsoņu personas datu aizsardzību. Lai ari pašlaik nav skaidri nekādi kontroles mehānismi, taču paredzētie sodi ir dramatiski – 4% no apgrozījuma vai līdz 20 miljoniem eiro.

Ko nosaka VDAR? Un ko darīt mazajam uzņēmējam, lai sakārtotu savu biznesu un ierakstītos VDAR rāmjos? Esam izveidojuši nelielu kopsavilkumu.

Uz ko attiecas VDAR ?

VDAR attiecas uz jebkuru personu – uzņēmumu vai pašnodarbināto, kas apstrādā (izmanto) ES pilsoņu (datu subjektu) personas datus. Par personas datiem uzskata jebkuru informāciju, kas ļauj likumīgi identificēt konkrētu personu. VDAR skar ikvienu, kas slēdz līgumus ar privātpersonām , izraksta rēķinus, vai jebkādā citā veidā izmanto jebkādus personas datus – vārdu, uzvārdu, kontaktinformāciju, dzimšanas datumu utml. datus. Regula attiecas arī uz nolīgto darbinieku personas datiem.

Principā ar personas datiem strādā jebkurš uzņēmējs, jo bez tiem nav iespējams noslēgt līgumu vai izrakstīt rēķinu.

Ko nosaka VDAR ?

VDAR paredz noteiktas tiesības ES pilsoņiem, kas sniedz savus personas datus, piemēram, piesakoties pakalpojumam vai iepērkoties, un noteiktus pienākumus personām, kas šos datus apstrādā (izmanto).

VDAR cilvēkus ar tiesībām saistībā ar saviem personas datiem sauc par datu subjektiem.

Jāievieš skaidri, atklāti un pieejami datu apstrādes principi

Ja uzņēmumā ir vairāki darbinieki, nepieciešams izstrādāt uzņēmuma iekšējos datu apstrādes noteikumus, kas nosaka prasības uzņēmumam un darbiniekiem, kas noteikti jāievēro. Šis dokuments kalpos par uzņēmuma ceļvedi VDAR prasību ievērošanai un nodrošinās darbinieku atbildību strādājot ar datiem. Tas var būt viena vai dažas A4 lapas, galvenais, lai tas ietver svarīgākās lietas. Pēc šī raksta izlasīšanas šādus noteikumus savam uzņēmumam varēsi sastādīt pats.

Ar datu apstrādes principiem ir jāiepazīstina arī klienti un mājas lapas apmeklētāji, piemēram, tos uzskatāmā veidā iekļaujot līgumā vai mājas lapā, sadaļā “Privātuma politika”, “Datu apstrāde” vai tml.

Dokumentam vai lapai, kas atklāj datu apstrādes principus ir jāsatur atbildes uz sekojošiem jautājumiem:

  • Kādi dati tiek ievākti?
  • Kādiem mērķiem šie dati tiek izmantoti? (piem. pasūtījumu apstrāde, produktu piegāde, grāmatvedība)
  • Kam vēl ir piekļuve ievāktajiem datiem? (piem. grāmatvedības firma)
  • Kādos gadījumos dati var tikt izpausti trešajām pusēm (un kam)? (piem. partneriem, tiesībsargājošām iestādēm, uzņēmuma interešu aizstāvībai utml.)
  • Kā dati tiek uzglabāti un kā tiek nodrošināta drošība? (piem. dati tiek glabāti Mozello vai Google mākonī)
  • Cik ilgi dati tiek uzglabāti?
  • Kādas ir datu subjekta tiesības? (skatīt zemāk)

Informācijai jābūt strukturētai un izklāstītai vienkāršā valodā, izvairoties no juridiskā žargona.

Darāmais: Sagatavo sava uzņēmuma datu apstrādes noteikumus un uz klientiem attiecināmos datu apstrādes principus publicē tos savā mājas lapā vai iekļauj līgumos. Ja nejūties pārliecināts, konsultējies ar juristu.

Obligāti jāsaņem lietotāja piekrišana datu apstrādei

Turpmāk vairs nedrīkst ievākt pilnīgi nekādus personas datus, ja lietotājs nav devis piekrišanu, izmantojot nepārprotamu, pozitīvu darbību, piemēram, parakstījies, ielicis ķeksīti vai apstiprinājis mutiski, ka piekrīt datu apstrādei atbilstoši Taviem datu apstrādes principiem. Pie kam, šādai piekrišanai ir jābūt pierādāmai. Pēc noklusējuma ielikti ķeksīši vai automātiska piekrišana datu apstrādei nav pieļaujama.

Darāmais: Pārliecinies, vai Tavā interneta veikalā un/vai līgumos tiek prasīta klientu piekrišana datu apstrādei.

Nedrīkst ievākt liekus datus (datus, kuru apstrādei nav tiesiska pamata)

Drīkst pieprasīt tikai tādus datus, kas ir nepieciešami, lai izpildītu klienta pieprasījumu un likuma prasības, piemēram, izrakstītu rēķinu un piegādātu preci.

Piemēram, obligāti pieprasīt dzimšanas datumu, dzimumu, vai personas kodu, noformējot preču iegādi internetā ir aizliegts.

Ņem vērā: Ja Tavā rīcībā ir dati, kuru apstrādei nav tiesiska pamata, tad Tev tie ir jādzēš.

Nedrīkst veikt papildus darbības, kurām lietotājs nav devis atsevišķu piekrišanu

Piemēram, ja lietotājs nav atsevišķi pieteicies tādu e-pastu saņemšanai, kas nav pakalpojuma vai preces piegādes sastāvdaļa, tad šādus e-pastus sūtīt nedrīkst.

Tātad, ja uzņēmums tirgo somas, tas drīkst klientam aizsūtīt rēķinu un pirkuma informāciju, taču nedrīksti vēlāk sūtīt īpašos piedāvājumus, ja vien klients nav devis savu piekrišanu ieliekot ķeksīti, vai aizpildot pieteikumu īpašo piedāvājumu saņemšanai.

Ņem vērā: Ja vēlies turpināt sūtīt mārketinga e-pastus, zvanīt klientiem ar īpašajiem piedāvājumiem vai veikt citas darbības, vispirms paprasi klientiem atsevišķu piekrišanu un piefiksē, kad un kādā veidā šāda piekrišana iegūta, jo kādreiz var nākties pierādīt.

Piekrišana sekundāriem datu apstrādes nolūkiem nedrīkst būt obligāta un automātiska

Datu apstrādes darbības, kas nav saistītas ar galvenā datu apstrādes nolūku, piemēram, preces vai pakalpojuma piegādi, nedrīkst iekļaut kā obligātu punktu datu apstrādes politikā.

Piemēram, pārdodot klientam somu, nedrīkst pieprasīt, lai klients automātiski piekrīt saņemt arī īpašos piedāvājumus. Šāda piekrišana ir jāiegūst atsevišķi, papildus.

Datus var glabāt tikai tik ilgi, cik tas nepieciešams tam datu apstrādes nolūkam, kādam saņemta piekrišana

Datus nevajag glabāt ilgāk kā tas nepieciešams datu apstrādes nolūkam, piemēram, preču un pakalpojumu piegādei, kā arī atbilstošo grāmatvedības dokumentu nodrošināšana. Brīdī, kad klienta - datu subjekta personas dati vairs nav nepieciešami, tie ir jādzēš.

Darāmais: Dzēs visus tos klientu datus, kuru apkalpošana ir noslēgusies. Dzēs grāmatvedības datus tiklīdz tie vairs nav nepieciešami atbilstoši likuma prasībām. Sakārto grāmatvedību, noskaidro kurus dokumentus var likvidēt. Sakārto datu bāzes un klientu reģistrus, likvidē lieko datu apjomu, kas vairs nav vajadzīgs.

Jānodrošina adekvāta datu apstrādes drošība

Personas datus ir jāglabā, ievērojot adekvātus drošības pasākumus. Piemēram, nevajadzētu glabāt klientu datu datu bāzi, līgumus, kontaktus un jebkādu citu personu datus saturošu informāciju nešifrētā veidā ar paroli neaizsargātā datorā. Tāpat, visiem kontiem un ierīcēm jāizvēlas drošas paroles un jāievēro citi saprātīgi datu drošības principi.

Darāmais: IT ir sarežģīta padarīšana un nodrošināt tādu datu drošības līmeni, kāds ir bankās, mazajam uzņēmējam ir praktiski neiespējami, taču painteresējies par datu drošību un dari maksimāli daudz no savas puses un nepieļauj kļūdas, kas varētu tikt traktētas kā rupja nolaidība. Ja nepieciešams, ņem talkā datu drošībās speciālistu.

Obligāti jāziņo par datu noplūdēm

Par katru datu noplūdi obligāti jāinformē datu subjekts. Piemēram, ja tiek uzlauzts datu apstrādātāja serveris, nozaudēts dators ar klientu līgumiem vai pazaudēta mape ar klientu kontaktiem, 72 stundu laikā par to jāinformē personas, kuru dati varētu būt nopludināti.

Atceries: Ja Tu “pazaudē” klientu personas datus, ziņo par to klientiem 72 stundu laikā.

Datiem jābūt aktuāliem un precīziem

Datu apstrādātāja uzdevums ir nodrošināt, lai klientu personas dati būtu pareizi un aktuāli. Klientiem ir jādod iespēja pārbaudīt un atjaunot savus personas datus kuri ir datu apstrādātāja rīcībā.
Vairumā gadījumu datu kvalitāte nebūs problēma, jo klienti paši pieteiks labojumus, pamanot kļūdu rēķinā, taču esi informēts, ka ir tāda lieta.

Jāievēro datu subjektu tiesības

Atbilstoši VDAR , datu subjektiem ir virkne ar tiesībām, galvenās no tām:

  • Tiesības piekļūt saviem personas datiem – datu subjekts var pieprasīt piekļuvi saviem datiem, kā arī pieprasīt pilnu informāciju kad, kur, kā un kāpēc viņa personas dati tiek glabāti un izmantoti.
  • Tiesības labot savus personas datus – datu subjekts var pieprasīt savu personas datu labošanu.
  • Tiesības tikt aizmirstam – datu subjekts var pieprasīt savu personas datu dzēšanu un šāds pieprasījums ir jārespektē, ja vien tas nav pretrunā likumam.
  • Tiesības pieprasīt datu apstrādes pārtraukšanu – datu subjekts var pieprasīt savu datu saglabāšanu, bet izmantošanas pārtraukšanu.
  • Tiesības iebilst datu apstrādei – datu subjekts var iesniegt iebildumus saistībā ar savu personas datu apstrādi.
  • Tiesības atsaukt piekrišanu – datu subjekts var atsaukt savu piekrišanu datu apstrādei, pie kam atsaukt piekrišanu ir jāvar tikpat viegli, cik viegli to bija dot.
  • Citas tiesības atbilstoši VDAR

Ņem vērā: Labā prakse ir informēt klientu par šīm tiesībām, iekļaujot tās datu apstrādes principos un nodrošināt šo tiesību izpildi.

Kontrolsaraksts - ko darīt mazajam uzņēmējam?

Izklausās pēc paliela birokrātiska murga. No kura gala sākt, ko darīt?

Atloki piedurknes un sāc soli pa solim. Piedāvājam nelielu kontrolsarakstu:

  1. Sastādi sarakstu ar
    • Personām, kuru datus Tu vāc (piem. klienti, darbinieki utt.),
    • Personas datiem, kādus Tu pieprasi,
    • Personas datiem kādus Tu glabā,
    • Datu glabāšanas vietām (piem. dators, mākonis, e-pasts, serveris, usb atmiņa utml.),
    • Visiem partneriem, kuriem Tu tālāk nodod šos datus (piem. grāmatvedības firma, piegādātāji utml.).
  2. Dzēs datus, kas vairs nav nepieciešami.
  3. Pārtrauc pieprasīt un apstrādāt tādus datus, kam nav tiesiskais pamatojums.
  4. Pārliecinies, ka visas datu glabāšanas vietas ir pietiekami drošas.
  5. Sastādi iekšējos uzņēmuma datu apstrādes noteikumus, kas atbilst VDAR prasībām un iepazīstini ar šo dokumentu visus darbiniekus, kas var piekļūt personas datiem.
  6. Sastādi un publicē uzņēmuma datu apstrādes politiku, atbilstoši augstāk minētajām VDAR prasībām un publicē to mājas lapā.
  7. Pārliecinies, ka no datu subjektiem tiek pieprasīta piekrišana (piem. obligātais ķeksis veicot pirkumu e-veikalā).
  8. Informē klientus, darbiniekus un partnerus par datu apstrādes izmaiņām.
  9. Pieprasi no klientiem atsevišķu piekrišanu sekundārajiem datu apstrādes nolūkiem, piemēram mārketinga e-pastu saņemšanai, ja šādu piekrišanu nesaņem, tad pārtrauc atbilstošās sekundārās datu apstrādes darbības pēc 2018. gada 25 maija.

Kopsavilkums

Lai arī mēs neesam juristi un šis raksts nav kvalificēta juridiskā palīdzība, balstoties uz veselo saprātu, augstāk minētie principi un darbības ir galvenās lietas, kas Tev nepieciešamas, lai sagatavotu savu mazo biznesu galvenajām VDAR vadlīnijām. Ņemot vērā, ka VDAR ir diezgan sarežģīts birokrātisks dokuments, kas pieļauj dažādas interpretācijas un nav viennozīmīgi saprotams pat speciālistiem, mēs nekādi nevaram apsolīt, ka ar augstāk minēto vienmēr pietiks, taču norādīto jautājumu atrisināšana noteikti kalpos par labu sākumu VDAR ieviešanā.

Papildus informāciju meklē Datu valsts inspekcijas un oficiālajā VDAR mājas lapā