#dviskaidro Jaunumi Ziņas
Darbinieks aizpilda veidlapu

Ikviena organizācija, uzsākot savu darbību, lai varētu sasniegt savu mērķi un izvairīties no nelabvēlīgām sekām veic dažādu risku izvērtēšanu. Piemēram, lai vai cik labi nebūtu veikta uzņēmējdarbības vides izpēte, vienmēr, pirms lēmuma pieņemšanas par kādas preces tirdzniecību, tiek izvērtēts preces pieprasījuma risks. Personas datu apstrādes un aizsardzības joma nav izņēmums.

Novērtējums par ietekmi uz datu aizsardzību (turpmāk-NIDA) ir process, ar kura palīdzību pārzinis (turpmāk-organizācija) var veikt dažādu risku, fizisku personu tiesībām un brīvībām, uzskaiti, analīzi, iespējamo seku (pēc smaguma pakāpes un iespējamības) novērtējumu un nosaka pasākumus, lai novērstu identificētos riskus, kas izriet no konkrētās datu apstrādes [1]. NIDA veikšana noteiktos gadījumos ir obligāts pasākums, tomēr Datu valsts inspekcija rekomendē to arī citos gadījumos pirms plānotās datu apstrādes.

NIDA veikšana nav vienreizējs pasākums, bet gan nepārtraukts darbību kopums, kuru jāveic regulāri, izvērtējot savus datu apstrādes procesus, lai identificētu iespējamos riskus, kad datu apstrāde varētu radīt “augstu risku” personas tiesībām un brīvībām. Organizācijām nevajadzētu paļauties, ka datu apstrāde ir nemainīga rakstura (pat, ja netiek veiktas izmaiņas), jo riskus veiktajai datu apstrādei rada arī ārēji faktori.

Fizisko personu tiesības un brīvības

Kā norādīts 29.panta darba grupas izstrādātajās pamatnostādnēs, Vispārīgās datu aizsardzības regulas 35.pantā norādītā atsauce “fizisko personu tiesībām un brīvībām” galvenokārt attiecas uz personas tiesībām uz datu aizsardzību un privātumu, taču to var attiecināt arī uz citām pamattiesībām – vārda brīvību, domas brīvību, pārvietošanās brīvību, diskriminācijas aizliegumu, tiesībām uz brīvību, apziņas brīvību un reliģijas brīvību [8 (6.lpp].

Veicot NIDA, organizācijai būtu jāņem vērā šādi datu apstrādes aspekti:

  • iekšējie procesi un plānotās darbības ar personu datiem;
  • iespējamais datu aizsardzības pārkāpums (ja iespējams, cik lielas nepatikšanas tas var sagādāt datu subjektam);
  • kuriem darbiniekiem ir piekļuve personu datiem (jāizvērtē piekļuves nepieciešamība
  • kā notiek iekšējā datu apmaiņa un vai pašreizējie apmaiņas mehānismi ir uzskatāmi par drošiem;
  • datu atrašanās vieta un piekļuve tiem, kā dati tiek transportēti – datorā, mapēs, fiziskā veidā utt;
  • darbinieku zināšanas, kā rīkoties ar personas datiem, ievērojot datu aizsardzības prasības;
  • iekšējā dokumentācija (vai ir izstrādāti datu aizsardzības sistēmas noteikumi, ņemot vērā iespējamos riskus datu apstrādes un aizsardzības procesā (piemēram, nesankcionēta piekļuve, dzēšana, u.c.)). [7]

Iepriekšminētos apstrādes aspektus palīdzēs novērtēt arī šādi jautājumi:

  • Vai organizācijas datu sistēmas aizsardzība atbilst tajā apstrādāto datu radītajam riskam?
  • Vai ir sagrupēti apstrādātie personas dati, ņemot vērā iespējamo apdraudējumu un lielāku risku radošus datus aizsargā rūpīgāk?
  • Kādas ierīces ir savienotas vietējā tīklā (vai pašas ierīces un to savienojumi nerada drošības apdraudējumus, kā tas ticis novērsts)?
  • Kāda programmatūra tiek izmantota organizācijas informācijas sistēmās?
  • Vai datori ir aprīkoti ar drošības sistēmām, kaut vai parolēm?
  • Vai tiek reģistrēta darbinieku piekļuve apstrādātajiem personas datiem?
  • Vai organizācijas darbinieki saprot savu lomu organizācijas aizsardzībā pret informācijas drošības draudiem?
  • Ko vēl varētu darīt augstāku drošības standartu sasniegšanā? [7]

Ja, veicot NIDA tiek konstatēts, ka plānotā apstrāde var radīt augstu risku personas tiesībām un brīvībām, un organizācija nespēj īstenot atbilstošus pasākumus, lai samazinātu noteiktos riskus līdz pieņemamam līmenim, organizācijai ir jāapspriežas ar uzraudzības iestādi (Datu valsts inspekciju) [8].

 

PAPILDUS INFORMĀCIJA:

Datu valsts inspekcija ir sagatavojusi detalizētu sarakstu ar tiem apstrādes darbību veidiem, attiecībā uz kuriem nepieciešams veikt NIDA. [5]

NIDA var atvieglot organizācijas pienākumu veikšanu gan attiecībā uz personas tiesību nodrošināšanu, gan arī uz nepieciešamo tehnisko un organizatorisko datu aizsardzības drošības pasākumu ieviešanu.

Datu valsts inspekcijas tīmekļa vietnē ir pieejams saraksts ar jautājumiem, uz kuriem nepieciešams rast atbildes, veicot NIDA [6], kā arī sīkāku informāciju par NIDA veikšanas nepieciešamību.

Rekomendējam lūgt padomu datu aizsardzības speciālistam, ja tāds ir iecelts, un apstrāžu atbilstības situāciju vērtēt kopīgi.

Atgādinām, ka NIDA ir atbilstības nodrošināšanas un pierādīšanas process, jo īpaši gadījumos, ja rodas šaubas, ka plānotā datu apstrāde var ietekmēt personas tiesības un brīvības.  

Vienlaikus Datu valsts inspekcija informē, ka 2022.gada 25.maijā – Vispārīgās datu aizsardzības regulas tiešas piemērošanas gadadienā tika organizēts publisks tiešsaistes seminārs datu aizsardzības speciālistiem un uzņēmējiem par NIDA veikšanu, kā arī par sīkdatņu izmantošanu savās tīmekļa vietnēs – semināra ieraksts pieejams: https://www.youtube.com/watch?v=V_DZWJHrq7s (sākums 1:06:00).

Vispārīgā datu aizsardzības regulas 35.pants “Novērtējums par ietekmi uz datu aizsardzību”

NIDA ir pienākums veikt pārziņiem, kuru veiktās apstrādes var radīt risku datu subjektiem, jo īpaši šādu datu noplūdes gadījumā un jo īpaši, ja

1.  Pastāv ar fiziskām personām saistītu personisku aspektu sistemātiska un plaša novērtēšana, kuras pamatā ir automatizēta apstrāde, tostarp profilēšana, un ar kuru pamato lēmumus, kas fiziskai personai rada tiesiskās sekas vai līdzīgi būtiski ietekmē fizisko personu;

2. Tiek veikta īpašu kategoriju personas datu [2] vai personas datu par pārkāpumiem apstrāde plašā mērogā [3];

3. Tiek veikta publiski pieejamas zonas sistemātiska uzraudzība plašā mērogā. [4]

29.panta darba grupas “Pamatnostādnes novērtējuma par ietekmi uz datu aizsardzību (NIDA) veikšanai un noskaidrošanai, vai apstrāde “varētu radīt augstu risku” Regulas 2016/679 izpratnē” otrajā pielikumā ir uzskaiti kritēriji, kas organizācijām jāņem vērā, veicot NIDA [8].

 

INFORMATĪVĀS ATSAUCES:

[1] Vispārīgās datu aizsardzības regulas 35.panta 1.punkts. Pieejama: https://www.dvi.gov.lv/sites/dvi/files/es_regula_2016_6791.pdf

[2] Īpašu kategoriju personas dati ir personas dati, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde. Vispārīgās datu aizsardzības regulas 9.panta 1.punkts.

[3] Datu apstrāde plašā mērogā skaidrota 29.panta darba grupas Pamatnostādņu “Guidelines on Data Protection Officers ('DPOs')” 2.1.3. apakšpunktā. Pieejamas: https://ec.europa.eu/newsroom/article29/items/612048

[4] Vispārīgās datu aizsardzības regulas 35.panta 3.punkts.

[5] Saraksts pieejams: https://www.dvi.gov.lv/lv/novertejums-par-ietekmi-uz-datu-aizsardzibu-nida

[6] Pieejams: https://www.dvi.gov.lv/lv/novertejums-par-ietekmi-uz-datu-aizsardzibu-nida

[7] Rekomendācija “CEĻVEDIS DATU APSTRĀDĒ MAZIEM UN VIDĒJIEM UZŅĒMĒJIEM” https://www.dvi.gov.lv/lv/dvi#rekomendacija-celvedis-datu-apstrade-maziem-un-videjiem-uznemejiem

[8] 29.panta darba grupas “Pamatnostādnes novērtējuma par ietekmi uz datu aizsardzību (NIDA) veikšanai un noskaidrošanai, vai apstrāde “varētu radīt augstu risku” Regulas 2016/679 izpratnē”