Kādi personas datu apstrādes principi ir jāievēro organizējot tiešsaistes semināru?
Katru reizi apstrādājot personas datus, organizācijai ir pienākums ievērot visus Datu regulā uzskaitītos apstrādes principus [2]. Ņemot vērā skaidrojuma raksturu, noteiktos principus piemērosim tieši ar tiešsaistes semināru organizēšanu saistītajai datu apstrādei.
Tiešsaistes semināra organizētājam jāņem vērā, ka:
- Datu vākšana un apstrāde var notikt tikai godīga, likumīga un dalībniekam skaidra mērķa sasniegšanai
Tas nozīmē, ne vien to, ka apstrādei ir nepieciešams likumīgs pamats, bet arī, ka dalībniekam pirms tā personas datu apstrādes uzsākšanas ir jāsaņem Datu regulā noteiktā informācija, kā arī uzņēmumam jānosaka un jāinformē par kārtību dalībnieka personas datu aizsardzības tiesību īstenošanai.
- Datus var vākt tikai konkrēta un skaidra nolūka sasniegšanai, kā arī datus vēlāk neizmanto citam, nesavietojamam nolūkam
Ja semināra dalībniekam plānots izsniegt apliecību (sertifikātu) par semināra apmeklējumu, tad nebūs likumīgi šādam nolūkam iegūto informāciju izmantot, piemēram, komerciāla paziņojuma sūtīšanai par uzņēmuma pārdotām precēm un/vai pakalpojumiem. Tāpat nebūs likumīgi iegūt datus, ja to apstrāde nekalpo kāda mērķa sasniegšanai – nav laba prakse prasīt semināra apmeklētāju vārdu un uzvārdu, ja šāda informācija vēlāk netiek izmantota semināra organizācijā.
- Drīkst vākt tikai tādus datus, kas tieši vajadzīgi nolūka sasniegšanai
Ja semināra apmeklētājiem plānots izsniegt apliecību par semināra apmeklējumu, vai sertifikātu, tad ir atbilstoši iegūt informāciju, kas vēlāk norādāma uz izsniegtā dokumenta. Ja nolūks ir tikai sertifikāta izsniegšana, tad nebūs atbilstoši iegūt plašāku informāciju, kā nepieciešams sertifikāta izsniegšanai, piemēram, dzīvesvietas adresi vai kājas izmēra numuru.
Jāparedz sistēma datu labošanai un iespējami precīzāku datu apstrādei, ja reiz ir noteikts, ka konkrēta nolūka sasniegšanai noteikti dati nepieciešami. Liedzot dalībniekam labot neprecīzas ziņas par sevi, ne tikai liegsiet sev sasniegt plānoto nolūku, bet riskējat, ka šādas darbības var rezultēties pārkāpumā.
- Datus glabā tik ilgi, cik nepieciešams nolūka sasniegšanai
Ja dati iegūti sertifikāta par apmeklējumu izsniegšanai, tad pēc sertifikāta izsniegšanas un perioda, kura laikā dalībnieks var lūgt izdarīt labojumus, noslēgšanās, tie ir dzēšami.
Ja dati iegūti un uzglabāti citiem nolūkiem, tie ir dzēšami, tiklīdz nolūka izpilde ir sasniegta.
- Dati tiek glabāti drošā veidā, nodrošinot, ka trešās personas tiem nevar piekļūt
Gan pašam organizētājam ir dati jāizmanto tikai tādā nolūkā, kādam tie no datu subjekta iegūti, gan tam arī jāveic pasākumi, lai nodrošinātu ka datus neparedzētos nolūkos neizmantos trešās personas. Minētais ir panākams, ieviešot proporcionālus pasākumus datu fiziskai un loģiskai aizsardzībai [3].
Kā informēt semināra dalībniekus par plānoto datu apstrādi?
Datu regulā nav noteikts kā tieši iepriekš minētā informācija par plānoto datu apstrādi ir sniedzama. Vienlaikus lielāka daļa uzņēmumu izvēlas šo informāciju apkopot vienā dokumentā. Tam var būt dažādi nosaukumi, tomēr lielākoties šādu dokumentu sauc par Privātuma politiku [4].
Privātuma politika ir uzņēmuma dokuments, kurā var iepazīties ar informāciju par veikto datu apstrādi. Atbilstošas informācijas sniegšana šajā dokumentā ļauj nodrošināt Datu regulā noteiktā informēšanas pienākuma izpildi, savukārt personām, kuru personas datus plānots apstrādāt, tas ļauj ne tikai iegūt informāciju par to, kā tieši tiks apstrādāti dalībnieka personas dati, bet arī par savu tiesību īstenošanas kārtību tālākos personas datu apstrādes posmos.
Privātuma politikas izpēte - pirms personas datu sniegšanas - ļaus dalībniekam novērtēt, vai piedāvātā personas datu apstrāde konkrētajā situācijā dalībniekam ir pieņemama un vai potenciālais semināra dalībnieks vēlas nodot savus datus uzņēmumam, lai piedalītos tiešsaistes seminārā.
Konkrētajā gadījumā semināra organizētājs informāciju par personas datu apstrādi tiešsaistes semināra ietvaros var iekļaut uzņēmuma vispārējā “Privātuma politika” vai katram atsevišķam semināram (izvērtējot mērķauditoriju un to vai tiks/netiks apstrādāti fiziskas personas dati) izstrādāt atsevišķi. Lai semināra potenciālajiem dalībniekiem būtu vēl ērtāk piekļūt informācijai par plānoto datu apstrādi, reģistrācijas formā var pievienot saiti uz Privātuma politikas atrašanās vietu Jūsu tīmekļa vietnē.
Detalizēti par uzņēmuma Privātuma politiku un tās izstrādi varat iepazīties rakstā “Iepazīšanās ar Datiņu ģimeni: noderīgi padomi uzņēmējiem privātuma politikas izstrādē” .
Kas vēl jāņem vērā?
Ja, organizējot tiešsaistes semināru, uzņēmums izmanto cita pakalpojuma sniedzēja tiešsaistes platformas, kurās nodrošināt dalību seminārā (piemēram, Zoom, MsTeams u.c.), tai skaitā straumē semināru arī sociālo tīklu platformās (piemēram, LinkedIn, Facebook, YouTube u.c.), uzņēmumam ir jānoskaidro un jānosaka savs statuss atbilstoši Datu regulai. Vienlaikus ir vēlams iepazīties ar pakalpojuma sniedzēja privātuma politiku un to, kādus platformas lietotāju datus tas var apstrādāt, tādējādi nodrošinoties pret neatbilstošām un riskantām datu apstrādēm.
- Pārzinis, kopīgie pārziņi vai apstrādātājs
Visos gadījumos, persona, kura noteiks un pieņems lēmumu – kāpēc un kā fiziskas personas (semināra dalībnieku) dati ir apstrādājami, būs pārzinis (šajā gadījumā – uzņēmums, kurš organizē tiešsaistes semināru) savukārt, ja šo lēmumu pieņem vairākas personas kopā, tie tiks uzskatīti par kopīgiem pārziņiem .
Ņem vērā! Kopīgiem pārziņiem savā starpā ir jāvienojas un jānosaka katra konkrētā pārziņa pienākumi un jāinformē semināra dalībnieki, kuru personas dati tiks apstrādāti.
Savukārt apstrādātājs ir tā persona (organizācija vai fiziska persona), kura veic datu apstrādi uzņēmuma vārdā. Tas nozīmē, ka apstrādātājs nenosaka un nepieņem lēmumu – kāpēc un kā tiks apstrādāti personas dati.
Ņem vērā! Pārzinim un apstrādātājam ir jāvienojas un jānosaka noslēgtās vienošanās priekšmetu un apstrādes ilgums, apstrādes raksturs un nolūks, personas datu veidi un datu subjektu kategorijas, kā arī pārziņa pienākumi un tiesības.
Detalizēti par lomām datu apstrādē tiks skaidrots atsevišķā rakstā.
- Datu nosūtīšana uz trešajām valstīm un starptautiskām organizācijām
Papildus augstāk minētajam, uzņēmumam, kurš plāno izmantot kādu konkrētu tiešsaistes platformu, ir jāveic priekšdarbi un jāpārliecinās, vai semināra dalībnieku dati tiks vai netiks nodoti uz valsti, kas nav Eiropas Savienības dalībvalsts.
Datu regulā noteiktais datu aizsardzības ietvars Eiropas Savienības dalībvalstīs un Eiropas Ekonomikas Zonas valstīs nodrošina vienādu personas datu aizsardzības pakāpi. Tas nozīmē, ka izmantojot pakalpojuma sniedzēju, kurš veic personas datu nosūtīšanu uz trešajām valstīm vai starptautiskām organizācijām, uzņēmumam ir jāievēro Datu regulas V nodaļā ietvertie nosacījumi.
Ņemot vērā ekonomikas globalizācijas tendences un nepieciešamību nodrošināt ES pilsoņu privātuma aizsardzību arī ārpus ES robežām, Datu regulā ir noteikta kārtība, kas ievērojama, veicot fizisko personu datu nodošanu valstīm, kas nav ES vai EEZ dalībvalstis. Nosacījumi personas datu nosūtīšanai uz trešajām valstīm ietverti Datu regulas V nodaļā. Par labu praksi būtu uzskatāma novērtējuma par ietekmi uz datu aizsardzību veikšana gadījumos, kad ir paredzama personas datu nosūtīšana uz trešajām valstīm.
Vairāk par datu nosūtīšanu uz trešajām valstīm un starptautiskām organizācijām varat meklēt ar Datu valsts inspekcijas izstrādātajā rekomendācijā “Par personas datu nodošanu uz valstīm, kas nav ES vai EEZ dalībvalstis, atbilstoši Vispārīgajai datu aizsardzības regulai (VDAR)”.
Detalizēti par nosūtīšanu uz trešajām valstīm un starptautiskām organizācijām tiks skaidrots atsevišķā rakstā.
