#dviskaidro Jaunumi Ziņas
Darbinieks aizpilda veidlapu

Datu aizsardzības speciālists ir persona ar speciālām zināšanām datu aizsardzības tiesību un praktiskas datu aizsardzības piemērošanā. Līdzīgi kā darba drošības speciālists, kam ir speciālas zināšanas darba aizsardzības sistēmas organizācijā un nepieciešamo prasību nodrošināšanā attiecībā uz darba drošību, tā datu aizsardzības speciālists ir eksperts ar speciālām zināšanām savā atbildības jomā.

Lai skaidrotu datu aizsardzības speciālista lomu, statusu, nepieciešamību norīkot datu aizsardzības speciālistu organizācijā un iespējamo interešu konflikta novēršanu, esam sagatavojuši pirmo rakstu sēriju iniciatīvas #DVIskaidro ietvaros un turpmāk publicēsim praktiski pielietojamus skaidrojumus gan datu aizsardzības speciālistiem, gan organizācijām.

Datu aizsardzības speciālists ir konkrētās organizācijas vadības palīgs lēmumu pieņemšanā jautājumos, kas saistīti ar personas datu apstrādi un aizsardzību. Tā galvenā funkcija ir, izmantojot savas speciālās zināšanas, sniegt neatkarīgu viedokli par organizācijas plānoto vai jau ieviesto personas datu apstrādes procesu atbilstību Datu regulai un citiem saistošiem normatīvajiem aktiem.

Par labu praksi ir atzīstama datu aizsardzības speciālista iesaiste no organizācijas vadības puses jebkurā procesā, kurā organizācija plāno apstrādāt (vai jau apstrādā) personas datus.

Neatkarīgi no datu aizsardzības speciālista sniegtajiem ieteikumiem, atbildīga par personas datu apstrādi un ar to saistītiem jautājumiem būs organizācija, kas speciālistu piesaistījusi. Datu aizsardzības speciālista amats nevar tikt apdraudēts gadījumos, ja datu aizsardzības prasības netika izpildītas, bet no šī speciālista tika saņemti ieteikumi, tāpat kā gadījumos, ja datu aizsardzības speciālists netika iesaistīts svarīgos datu apstrādes jautājumos.

Piemēram, datu aizsardzības speciālists būtu piesaistāms, lai novērtētu organizācijas iekšējās kārtības lietvedības apriti; jaunas tīmekļa vietnes izstrādi; mārketinga stratēģijas izveidi, ja tajās plānots izmantot identificētu vai identificējamu personu datus. Savukārt izstrādāt pašus dokumentus datu aizsardzības speciālistam nedrīkstētu uzdot – tas ne tikai radītu interešu konfliktu (jo datu aizsardzības speciālistam būtu jāvērtē sava paveiktā darba kvalitāte), bet arī pazeminātu speciālista sniegtā pakalpojuma kvalitāti, jo izpaliktu jomas eksperta veikta izstrādātā dokumenta kvalitātes pēckontrole.

Jāatceras, ka visos gadījumos datu aizsardzības speciālists, izmantojot savas speciālās zināšanas par personas datu aizsardzības jomu, veiktu neatkarīgu analīzi par plānoto vai esošo personas datu apstrādi. Organizācijas, kurām trūkst šādu jomas specifisku zināšanu, riskē pieņemt lēmumus un ieviest personas datu apstrādes procesus, kas var būt neatbilstoši Datu regulai.

 

Noteiktos gadījumos datu aizsardzības speciālista norīkošana ir obligāta!

Īpaši gadījumos, kur uzņēmuma saimnieciskā darbība ir tieši saistīta ar personas datu apstrādi [2] plašā mērogā, uzņēmumam ir pienākums procesu organizācijā iesaistīt datu aizsardzības speciālistu.

Piemēram, datu apstrādei plašā mērogā, pienākums datu aizsardzības speciālistu iecelt būs:

  • Uzņēmumam, kura pamatdarbība saistīta ar fizisku personu profilēšanu, ar nolūku veikt to kredītspējas novērtējumu;
  • apsardzes firmai, kas izmanto sabiedriski pieejamu teritoriju videonovērošanu kā daļu no sava pakalpojuma būtības;
  • uzņēmumam, kas veic klientu paradumu analīzi (piemēram, pētot, kādas preces klients aplūkojis, ko iegādājies utml.), lai nodrošinātu mērķētu mārketinga paziņojumu nosūtīšanu;
  • personai, kas veic klienta izpēti noziedzīgi iegūtu līdzekļu legalizācijas novēršanas mēŗkiem;
  • mobilās lietotnes, kas apstrādā lietotāju ģeolokācijas datus uzturētājam;
  • uzņēmumiem, kas apkopo klientu datus lojalitātes programmu ietvaros;
  • personām, kas veic klientu labsajūtas, fiziskās sagatavotības un veselības datu novērošanu ar valkājamu ierīču starpniecību;
  • uzņēmumiem, kas apstrādā informāciju, kas tiek iegūta no Lietu internetam (piemēram, viedskaitītāji, savienotie automobīļi, mājokļu automatizācijas ierīces u.tml.) pieslēgtām ierīcēm.

Tāpat datu aizsardzības speciālista iecelšana ir obligāta tiem uzņēmumiem, kuru darbības mērķis ir apstrādāt īpašu kategoriju personas datus plašā mērogā[3].

Piemēram, pienākums personas datu aizsardzības speciālistu iecelt būs politiskajām partijām, slimnīcām, reliģiskām kopienām, lietotnēm un tīmekļa vietnēm, kas nodrošina iepazīšanās pakalpojumus, arodbiedrībām, uzņēmumiem, kas nodrošina un/vai izmanto biometrisko (sejas biometriskās matricas, pirksta nospiedumu datu u.tml.) datu apstrādi kādu pamatdarbības mērķu sasniegšanai.

Datu regulā uzsvērts pienākums datu aizsardzības speciālistu norīkot publiskās pārvaldes iestādēm – ministrijām un to pārraudzības iestādēm, pašvaldībām un to iestādēm un citām organizācijām, kas pilda deleģētu publisku uzdevumu.

Šajā nodaļā minētais neizsmeļošais organizāciju, kurām ir pienākums datu aizsardzības speciālistu norīkot, uzskaitījums attiecas uz tiem gadījumiem, kad datu aizsardzības speciālista norīkošana tieši izriet no Datu regulas [4].

Ievērojot datu aizsardzības speciālista darbības specifiku, tā piesaiste jautājumu, kas saistīti ar personas datu aizsardzību, izlemšanā būtu uzskatāma par labo praksi un ir atbalstāma visos uzņēmumos, arī gadījumos, kad datu aizsardzības speciālista piesaiste organizācijā neizriet no saistoša normatīvā akta.

 

INFORMATĪVĀS ATSAUCES:

[1] Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016.gada 27.aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula)

[2] personas datu apstrāde - ir jebkura darbība kas veikta ar informāciju, kas attiecas uz identificētu vai identificējamu fizisku personu, ietilpstot Datu regulas tvērumā.

[3] Īpašo kategoriju dati – dati  kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde. (Datu regulas 9.panta 1.punkts)

[4] Datu regulas 37.panta 1.punkts

 

#DVIskaidro “Datu aizsardzības speciālista funkcijas un uzdevumi”

Datu aizsardzības speciālists ir persona ar speciālām zināšanām datu aizsardzības tiesību un praktiskas datu aizsardzības piemērošanā. Līdzīgi kā darba drošības speciālists, kam ir speciālas zināšanas darba aizsardzības sistēmas organizācijā un nepiecieša
Skatīt vairāk

#DVIskaidro “Datu aizsardzības speciālista kvalifikācija un interešu konflikta novēršana”

Datu aizsardzības speciālists ir persona ar speciālām zināšanām datu aizsardzības tiesību un praktiskas datu aizsardzības piemērošanā. Līdzīgi kā darba drošības speciālists, kam ir speciālas zināšanas darba aizsardzības sistēmas organizācijā un nepiecieša
Skatīt vairāk