Pārfrāzējot vienu no populārākajām Ziemassvētku dziesmām, ko izpilda Bings Krosbijs un “The Andrews Sisters”, Ziemassvētku vecītis ik gadu “izveido sarakstu, pārbauda to pat divas reizes, viņš noskaidro, kurš ir nerātnais un kurš paklausīgais….”. Vai viņš nav pārkāpis Datu regulas prasības? Mums kā datu uzraudzības iestādei gribas vecītim norādīt, ka, neievērojot noteikumus, var tikt apdraudēta dāvanu piegāde. Viņš noteikti negrib atstāt bērnus visā pasaulē bez kārotajām dāvaniņām.
Ziemassvētku vecītis ir apzinīgs un grib izpildīt savu misiju, tāpēc viņš sazinājās ar Datu valsts inspekciju, lai rastu atbildes uz saviem jautājumiem.
Kas tad šajā gadījumā ir Ziemassvētku vecītis?
Ziemassvētku vecītis ir datu bāzes, kurā ir teju visi planētas iedzīvotāji, pārzinis. Lai izpildītu savu misiju, viņam ir jāzina mūsu vārdi, uzvārdi, vecums, kā arī adreses, kur dāvanas nogādāt. Tāpat viņš ir informēts par to, kādu dāvanu mēs kārojam, jo vēlmes gada laikā mums mainās itin bieži. Ziemassvētku vecītis vēl nekad nav kļūdījies, un visi ir saņēmuši tieši tās dāvanas, kuras bija sarakstā.
Līdz šim Ziemassvētku vecītis vienmēr ir bijis pārliecināts, ka Datu regula uz viņu neattiecas. Galu galā viņš atrodas Ziemeļpolā, tālu no Eiropas Savienības, un viņa Ziemassvētku ceļojums aptver visu pasauli. Kā tad īsti ir, lasiet Datu valsts inspekcijas sarunu ar Ziemassvētku vecīti!
Ziemassvētku vecītis: "Vai Datu regula attiecas uz mani pat tad, ja es atrodos Ziemeļpolā?"
Datu valsts inspekcija: Arī tad, ja jūsu organizācija atrodas Ziemeļpolā, Datu regula ir jāievēro. Jūs apstrādājat personu datus visā pasaulē, bet vēl svarīgāk ir tas, ka jūs apstrādājat arī ES iedzīvotāju personas datus. Respektīvi, vairāk nekā 400 miljonu Eiropas cilvēku datus.
Ziemassvētku vecītis: "Ko man vajadzētu darīt ar personas datiem, kurus es apstrādāju? Ar ko man sākt?"
Datu valsts inspekcija: Pirmais solis ir identificēt personas datus, ko jūsu organizācija apstrādā, un saprast, ar kādu mērķi tas tiek darīts. Šie dati jums ir nepieciešami mērķa sasniegšanai- dāvanu piegādei. Paskatīsimies kopā, kādus datus jūs apstrādājat!
- Personas dati, piemēram, uzvārds, vārds, vecums, dzimums, dzīvesvietas adrese, iespējams, arī IP adrese, e-pasts, citi identifikatori, ja dāvanu vēlmes tiek paziņotas elektroniski.
- Īpašu kategoriju personas dati, piemēram, rase, etniskā izcelsme, reliģija, politiskie uzskati un ar veselību saistīti dati, tostarp mūsu veselības stāvoklis, ēšanas paradumi un pārtikas produktu izvēle. Tas ir jāzina, lai piegādātu piemērotas dāvanas.
- Uzvedība un vēlmes, piemēram, dati par mūsu ieradumiem, vēlmju sarakstiem, vispārējo uzvedību gada laikā, lai izveidotu "nerātno" un "paklausīgo" sarakstu.
Tāpat, dārgais Ziemassvētku vecīti, atcerieties, ka Datu regula attiecas gan uz e-pasta, gan papīra formāta vēstulēm.
Ziemassvētku vecītis: "Tātad man ir jāpievērš uzmanība, kādi personas dati ir manā datu bāzē un kā tieši es tos apstrādāju?"
Datu valsts inspekcija: Noteikti! Jūs nevarat ignorēt datu subjekta tiesības. Īpaši bērnu, kuri tiek uzskatīti par neaizsargātu datu subjektu kategoriju. Datu regulā to apstrādei ir noteikti stingrāki nosacījumi. Turklāt jums ir jāsaprot, ka apstrādājat īpašu kategoriju datus plašā mērogā.
Papildu mēs esam konstatējuši, ka jūsu organizācija izmanto arī profilēšanu un automatizētu lēmumu pieņemšanu, galvenokārt, lai noteiktu, kurš ir bijis labs vai slikts. Mēs esam atklājuši, ka labo un slikto sarakstam jūsu rūķi izmanto algoritmus, kas var būtiski ietekmēt bērnus, veicinot aizspriedumus vai diskrimināciju, kā rezultātā kāds var saņemt nevis dāvanu, bet žagarus.
Ziemassvētku vecītis: "Es esmu ļoti nobažījies, jo Datu regulas prasību ievērošana šķiet sarežģīta. Es nezinu, ar ko sākt. Vai jūs varat man palīdzēt ar padomu, kā ievērot prasības un nodrošināt dāvanu piegādi?"
Datu valsts inspekcija: Protams, Ziemassvētku vecīti, mums būtu liels prieks un gods jums palīdzēt! Izskaidrosim, kādā veidā jūs apstrādājat personas datus, kā tos dokumentēt, pārskatīt un definēt nepieciešamās privātuma politikas, kā arī varam sniegt jums tehniskās zināšanas. Tādējādi, ievērojot datu aizsardzības prasības, dāvanu piegāde netiks apdraudēta.
Vēl viens praktisks ieteikums ir veikt ietekmes uz datu aizsardzību novērtējumu. Tas jums ļaus padziļināti analizēt datu apstrādes darbības un novērtēt riskus, kas izriet no šīm darbībām. Tā jūs nodrošināsiet visu nepieciešamo datu aizsardzības principu ievērošanu un īstenosiet atbilstošus organizatoriskos un tehniskos pasākumus, lai aizsargātu apdāvināmo personas datus.
Ziemassvētku vecītis: "Paldies, Datu valsts inspekcija! Esmu pārliecināts, ka ar jūsu palīdzību Ziemassvētki noritēs raiti un mūsu privātums būs aizsargāts!"
Priecīgus Ziemassvētkus!