Eiropas Savienības jaunā vispārīgā datu aizsardzības regula (VDAR)

Kā VDAR ietekmēs jūsu datu aizsardzības politiku

VEICIET ATBILSTĪBAS PĀRBAUDI LEJUPIELĀDĒJIET BEZMAKSAS CEĻVEDI

Vai jūs ievērojat VDAR principus?

2018. gada maijā stāsies spēkā jauna ES datu aizsardzības regula.

Ja tā jūs ietekmēs, tad par tās principu ievērošanu ir jāsāk domāt jau tagad. Šīs vietnes izstrādes mērķis ir sniegt palīdzību, lai jūs labāk izprastu VDAR, noteikt prasību apjomu un piedāvāt risinājumus. Vispārīgā datu aizsardzības regula (VDAR) ietekmēs ikvienu Eiropas organizāciju, kura rīkojas ar jebkādiem personas datiem. Turklāt tā ietekmēs jebkuru uzņēmumu, kas veic uzņēmējdarbību ES. Noteikumi ir sarežģīti, un soda nauda par to neievērošanu ir ievērojama (līdz 20 miljoniem eiro).

Tomēr šeit ir īstā vieta, lai apgūtu vairāk!

https://encryption.eset.com/lv/wp-content/uploads/sites/46/2016/08/calendar_lv.png

Saņemiet savu bezmaksas VDAR ceļvedi

ESET un tā juridiskie konsultanti ir izveidojuši šo padziļināto ceļvedi, lai izpētītu, kā jūs ietekmēs jaunā ES regula.

https://encryption.eset.com/lv/wp-content/themes/twentysixteen/img/images/guide_general_data_protection_regulation.png

Tiešsaistes atbilstības pārbaude

Vai Jūsu organizācija ievēro regulu?

VDAR ievērošana soli pa solim

VDAR ievērošana sarežģīta, tāpēc principu ievērošanas procesu mēs esam sadalījuši trīs jums saprotamu pasākumu grupās, kas savukārt ir iedalītas dažādās jomās ar detalizētiem skaidrojumiem. Lai ērti izpētītu šīs jomas, vienkārši noklikšķiniet uz tālāk redzamās shēmas joslām.

+Kopsavilkums

Daži VDAR izvirzītie principi turpina esošajā datu aizsardzības direktīvā ietvertos: godprātība, likumīgums un pārredzamība; nolūka ierobežojumi, datu minimizēšana, datu kvalitāte, drošība, integritāte un konfidencialitāte.

VDAR izvirza jaunu pārskatatbildības principu, nosakot datu pārziņu atbildību par principu ievērošanu. Turklāt VDAR pievieno jaunus aspektus esošajiem datu aizsardzības principiem, kā norādīts turpmāk.

Likumīgums, godprātība un pārredzamība – tagad personas dati būs jāapstrādā datu subjektam pārredzamā veidā.

Nolūka ierobežojumi – personas datu arhivēšana sabiedrības interesēs (ar dažiem brīdinājumiem) nav uzskatāma par nesavietojamu ar sākotnējiem apstrādes nolūkiem.

Glabāšana – personas dati ir jāglabā tādā formā, kurā datu subjektu identifikācija netiek atļauta ilgāk kā tas ir nepieciešams personas datu apstrādes nolūkos.

Pārskatatbildība – datu pārzinis ir atbildīgs par principu ievērošanu, un viņam ir jāspēj to parādīt.

+Organizācijas struktūras prasības

Saskaņā ar VDAR ir jāievieš daudzi pasākumi, lai nodrošinātu VDAR pārkāpumu riska samazināšanu un jūs varētu apliecināt, ka nopietni uztverat datu pārvaldību. Daži citi nepieciešamie pārskatatbildības pasākumi: privātuma ietekmes izvērtējumi, revīzijas, politikas pārskati, aktivitāšu pieraksti un (potenciāli) datu privātuma speciālista (DPS) iecelšana.

Ar VDAR tiek ieviests pienākums noteiktām organizācijām iecelt datu privātuma speciālistu (DPS). Organizācijām par savu DPS ir jāieceļ kāds darbinieks vai ārējs konsultants.

Ja esat tirgotājs ar lielu patērētāju datu bāzi, jums, iespējams, būs jāieceļ DPS; paredzams, ka valsts datu aizsardzības iestādes sniegs vadošus norādījumus par personu piemērotību.

DPS pienākums būs pārraudzīt VDAR principu ievērošanu, konsultēt jūs par jūsu pienākumiem un to, kad un kā ir jāveic privātuma ietekmes izvērtēšana, turklāt DPS būs arī kontaktpersona valsts datu aizsardzības iestāžu un personu jautājumu gadījumos.

Vienas pieturas aģentūras koncepcija ļauj vairākās ES valstīs izveidotai organizācijai rīkoties tikai ar vienu valsts datu aizsardzības iestādi , kaut arī dažos gadījumos ir sarežģīti noteikt, kurai DAI būtu jāuzņemas šī loma un kā būtu jāizskata pretenzijas.

+Procesi, procedūras un politikas

Saskaņā ar VDAR atjaunoto definīciju datu pārkāpums ir “drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem”.

Šī ir plašāka definīcija nekā iepriekš, un tajā netiek ņemts vērā, vai pārkāpums nodara kaitējumu personai. Ja ir noticis jūsu datu drošības pārkāpums, jums par to ir nekavējoties vai ne vēlāk kā 72 stundas pēc pārkāpuma atklāšanas jāinformē sava valsts datu aizsardzības iestāde.

Tomēr, ja esat ieviesis pienācīgus tehniskus un organizatoriskus pasākumus personas datu aizsardzībai, piemēram, šifrēšanu, jums nav jāinformē atsevišķas personas.

VDAR principu ievērošanas svarīga daļa ir privātums pēc ieceres, proti,katra jauna procesa vai produkta izstrādes priekšplānā un centrā ir privātuma prasības. Kaut arī šāda pieeja agrāk tika izmantota labākajā praksē, pašlaik tā ir skaidri izteikta prasība.

Datu aizsardzības ietekmes novērtējums, kas ir zināms arī kā privātuma ietekmes novērtējums (PIN), ir paredzēts principu neievērošanas risku identificēšanai un minimizēšanai.

VDAR nosaka PIN kā oficiālu prasību, proti, pārziņiem ir jānodrošina PIN izmantošana pirms tās sākuma, veicot jebkuru “augsta riska” apstrādes darbību.

Ja darbojaties starptautiski, nozīmīgs apsvērums būs jūsu noteikumi un procesi datu nosūtīšanai uz jurisdikcijām ārpus ES, jo sods par principu neievērošanu vai datu nosūtīšanu uz (Eiropas Komisijas) neatzītām jurisdikcijām kā adekvāts datu aizsardzības noteikums VDAR ietvaros kļūs daudz bargāks.

+Informētība par datu drošību

Ir laiks sākt VDAR principu ievērošanas nepieciešamības izskaidrošanu darbiniekiem. Iespējams, jums jau ir jāsāk pārskatīto procedūru plānošana, lai izskatītu VDAR jaunos pārredzamības un individuālo tiesību nosacījumus. Tam var būt nopietnas finansiālas, IT un apmācību implikācijas.

+Pārskatatbildība

VDAR nosaka pārziņu atbildību par tās datu aizsardzības principu ievērošanas apliecināšanu, tāpēc jums būs skaidras politikas, lai pierādītu prasīto standartu ievērošanu, regulāri pārraugot, pārskatot un izvērtējot savas datu apstrādes procedūras, veidojot aizsardzību un nodrošinot apmācību darbiniekiem, lai viņi izprastu savus pienākumus, turklāt jums ir jābūt gatavam to apliecināt jebkurā laikā pēc savas valsts datu aizsardzības iestādes pieprasījuma.

+Datu pārkāpums

Jums ir jāsagatavojas datu drošības pārkāpumiem (definēti kā “drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem”) izveidojot skaidras politikas un testētas procedūras, lai nodrošinātu iespēju pēc nepieciešamības reaģēt uz jebkuru datu pārkāpumu un ziņot par to.

Ja par pārkāpumu ir jāziņo un tas netiek darīts, soda nauda var tikt piemērota gan par šādu rīcību, gan arī par pašu pārkāpumu.

+Datu subjekta tiesību tehniskā nodrošināšana

VDAR nostiprina datu subjektu tiesības, piemēram, pievienojot tiesības pieprasīt informāciju par saviem datiem, kas tiek apstrādāti, piekļūt datiem noteiktos apstākļos un labot nepareizus datus.

Viens no VDAR galvenajiem mērķiem ir personu tiesību atbalstīšana. Tā rezultātā mainīsies noteikumi par rīcību subjektu piekļuves pieprasījumu gadījumos, un, lai to atspoguļotu, jums būs jāatjaunina savas procedūras.

Jums nebūs atļauts piemērot maksu par pieprasījuma izpildi, un parasti šī darbība būs jāveic viena mēneša laikā (pašreizējais ierobežojums — 40 dienas).

Tiesības tikt aizmirstam (VDAR terminoloģijā — uz “dzēšanu”) ļauj personām pieprasīt, lai datu pārziņi izdzēstu viņu personas datus bez liekas kavēšanās noteiktās situācijās, piemēram, ja ir radusies ar apstrādes likumību saistīta problēma vai persona atsauc savu piekrišanu.

Šie noteikumi attiecas arī uz trešajām personām, ar kurām jūs kopīgojat personu datus.

Saskaņā ar VDAR definīciju profilēšana ir “jebkura veida automatizēta personas datu apstrāde, kas izpaužas kā personas datu izmantošana nolūkā izvērtēt konkrētus ar fizisku personu saistītus personiskus aspektus, jo īpaši analizēt vai prognozēt aspektus saistībā ar minētās fiziskās personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm, interesēm, uzticamību, uzvedību, atrašanās vietu vai pārvietošanos”; tomēr ir zināma neskaidrība par to, kā tiks īstenotas datu subjektu tiesības nebūt tādu lēmumu subjektam, kas balstīti uz profilēšanu, un kā tas tiks ieviests.

VDAR ievieš jaunas tiesības uz datu pārnesamību, kas paplašina personas tiesības pieprasīt, lai tās dati tiktu nodrošinātu plaši izmantotā elektroniskā formā, kā arī tiek prasīts, lai pārzinis sniegtu informāciju strukturētā, plaši izmantotā un mašīnlasāmā formātā.

Šim noteikumam ir daži ierobežojumi, piemēram, tas attiecas tikai uz personas datiem, kas tiek apstrādāti ar automatizētiem līdzekļiem.

Tā kā daļa no mērķa ir personu tiesību atbalstīšana, Eiropas Komisija piešķir tiesības arī noteiktas apstrādes ierobežošanai un tiesības iebilst pret personas datu apstrādi tiešos mārketinga nolūkos, tostarp pret profilēšanas darbībām tiešos mārketinga nolūkos.

Personas iebildumu gadījumos tās datus nedrīkst turpmāk apstrādāt tiešā mārketinga nolūkos un personas kontaktinformācija ir jāpievieno iekšējā noklusētajā reģistrā.

Organizācijām ir jāinformē personas par viņu tiesībām iebilst pret savu datu apstrādi, skaidri formulējot šo informāciju un norādot to atsevišķi no pārējās personām sniedzamās informācijas.

+Privātuma informācijas paziņošana (piekrišanas, godprātīgas apstrādes paziņojumi)

Jums, iespējams, nāksies pārskatīt veidu, kādā tiek prasīta, iegūta un reģistrēta piekrišana; datu subjekta piekrišanai savu personas datu apstrādei ir jābūt tikpat viegli atceļamai kā sniedzamai, turklāt norādei par piekrišanu personas datu apstrādei ir jābūt pozitīvai – tā nevar izrietēt no klusēšanas, iepriekš atzīmētām rūtiņām vai bezdarbības.

VDAR piešķir īpašu aizsardzību attiecībā uz bērnu personas datu apstrādi, jo īpaši uz komerciāliem interneta pakalpojumiem, kā piemēram, sociālie tīkli.

Tiešsaistē ir nepieciešama vecāku iepriekšēja piekrišana par personas datu izmantošanu ikvienam, kas ir jaunāki par 13 gadiem; Dalībvalstis var noteikt savus noteikumus personām no 13 līdz 15 gadiem. Ja tās to nevēlas tad vecāku piekrišana ir nepieciešama bērniem līdz 16 gadu vecumam.

Tādēļ Jums vajadzētu sākt domāt par to kā ieviest stingru sistēmu, lai pārbaudītu personas vecumu un apkopotu vecāku vai aizbildņu piekrišanu šādu datu apstrādei.

Piekrišanai jābūt pārbaudāmai, un, apkopojot bērnu datus, Jūsu konfidencialitātes paziņojumam ir jābūt rakstītam valodā, ko bērns var saprast.

Ar VDAR, iespējams, tiks paplašināta informācija, kas jums ir jāsniedz datu subjektiem , piemēram, viņu datu apstrādes likumīgais pamatojums, datu glabāšanas periodi un viņu tiesības iesniegt sūdzības savā valsts datu aizsardzības iestādē, ja viņi saskata kādu problēmu savu datu apstrādes veidā; ņemiet vērā, ka saskaņā ar VDAR prasībām šī informācija ir jāsniedz īsi un skaidri.

+Datu drošība (integritāte un konfidencialitāte)

VDAR noteiktie datu drošības principi ir līdzīgi pašreizējā direktīvā ietvertajiem, tostarp: godprātība, likumīgums un pārredzamība; nolūka ierobežojumi; datu minimizēšana; datu kvalitāte; drošība; integritāte un konfidencialitāte.

Jums ir jānodrošina personas datu apstrāde tādā veidā, lai nodrošinātu to drošību, tostarp aizsardzību pret neatļautu vai nelikumīgu apstrādi un nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu: “Organizācija un jebkurš ārējs pakalpojumu sniedzējs īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas atbilst riskam”.

Regulā ir ieteikti daudzi drošības pasākumi, kurus var izmantot datu aizsardzības panākšanai, tostarp pseidonimizācija un personas datu šifrēšana; spēja nodrošināt pastāvīgu konfidencialitāti, integritāti, pieejamību un elastību personas datu sistēmām un pakalpojumiem; spēja savlaicīgi atjaunot personas datu pieejamību un piekļuvi fiziska vai tehniska incidenta gadījumā; tehnisko un organizatorisko pasākumu efektivitātes regulāras testēšanas un novērtēšanas process, lai nodrošinātu personas datu apstrādes drošību.

VDAR norāda šifrēšanu kā vienu pieeju, kas var palīdzēt nodrošināt dažu tās pienākumu ievērošanu. Citāts no regulas:

32. pants. – Apstrādes drošība

“1.   Ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un smaguma pakāpes risku attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis un apstrādātājs īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas atbilst riskam, tostarp attiecīgā gadījumā cita starpā: (a) personas datu pseidonimizāciju un šifrēšanu […]”

34. pants. – Datu subjekta informēšana par personas datu aizsardzības pārkāpumu

“3. Paziņojums datu subjektam, kā minēts 1. punktā, nav jāsniedz, ja tiek izpildīts jebkurš no šādiem nosacījumiem: (a) pārzinis r īstenojis atbilstīgus tehniskus un organizatoriskus aizsardzības pasākumus un minētie pasākumi ir piemēroti personas datiem, ko skāris personas datu aizsardzības pārkāpums, jo īpaši tādi pasākumi, kas personas datus padara nesaprotamus personām, kurām nav pilnvaru piekļūt datiem, piemēram, šifrēšana […]”

+Datu dokumentācija, juridiskais pamats un revīzija

Jums ir jādokumentē, kādus personas datus jūs glabājat, no kurienes tie ir iegūti un ar ko jūs tos kopīgojat.

Ja jums ir neprecīzi personas dati, kas ir kopīgoti ar citu organizāciju, saskaņā ar VDAR prasībām šī organizācija ir jāinformē par šo neprecizitāti, lai tā varētu koriģēt savus ierakstus. Lai to izdarītu, var būt nepieciešama informācijas revīzija visā jūsu organizācijā vai konkrētās uzņēmējdarbības jomās. Turklāt tas var palīdzēt ievērot VDAR pārskatatbildības principu.

Saskaņā ar VDAR jums ir jāizpēta, kādā veidā jūs apstrādājat personas datus, un jāidentificē šo procesu izpildes un dokumentēšanas juridiskais pamats.

Tas ir nepieciešams tāpēc, ka saskaņā ar GPDR tiek mainītas dažas personu tiesības atkarībā no viņu personas datu apstrādes juridiskā pamata. Piemēram, ja jūs kā apstrādes juridisko pamatu izmantojat piekrišanu, cilvēkiem būs lielākas tiesības uz savu datu dzēšanu. Tomēr piekrišana ir tikai viens no apstrādes darbības leģitimēšanas dažādajiem veidiem un, iespējams, ne labākais (jo to var atsaukt).

Šajā tīmekļa lapā sniegtā informācija nav juridisks viedoklis, un lietotājiem nevajadzētu paļauties uz tās precizitāti, pieņemot finansiālus vai uzņēmējdarbības lēmumus. ESET neuzņemas atbildību par rezultātiem, kas izriet no šādām darbībām. Vienmēr izmantojiet neatkarīgu juridisko konsultantu pakalpojumus.

Pievienojieties mūsu VDAR tiešsaistes semināram

Runājiet ar mūsu ekspertiem par to, kā jaunā Vispārīgā datu aizsardzības regula ietekmēs Jūsu biznesu. ESET rīko tiešsaistes seminārus, lai izskaidrotu jautājumus, kas saistīti ar VDAR. Šos seminārus var apmeklēt: vienkārši reģistrējieties zemāk un mēs Jūs uzaicināsim uz nākamo pasākumu.

Gandrīz 80% uzņēmumu nav gatavi VDAR

Jaunā aptaujā, kuru veikuši neatkarīgi IDC analītiķi, ir izpētījuši, ka lielākā daļa Eiropas MVU nav gatavi VDAR. IDC aptaujāja IT profesionāļus vairāk nekā 700 uzņēmumos. Tie noskaidroja, ka izpratne par jauno regulu ir saglabājusies vāja.

Sīkākai informācijai un, lai uzzinātu vairāk par VDAR – saņemiet pilnu IDC atskaiti, ESET diskrēto kopiju:

Izpratne par VDAR ietekmi

25% nekāda | 52% ierobežota | 22% pilna

Mēs izmantojam sīkfailus, lai jums nodrošinātu vislabāko pieredzi mūsu tīmekļa vietnē. Papildinformācija.

Labi