#dviskaidro Jaunumi Ziņas
datini

Kampaņas “Dati ir vērtība – sargā tos!” ietvaros esam iepazīstinājuši lasītājus un klausītājus ar Datiņu ģimeni. Datiņi turpmāk atbalstīs Datu valsts inspekciju dažādu ne tik vienkāršu personas datu aizsardzības jautājumu skaidrošanā un komunikācijā caur dažādām biznesa un ikdienas dzīves situācijām.

Šonedēļ iepazīstināsim ar ģimenes tēvu – Jānis Datiņš, 47 gadus jauns, ilgus gadus strādājis valsts pārvaldes iestādēs, sirdslieta – sports, tagad nolēmis uzsākt savu biznesu un atvērt fitnesa klubu. Uzņēmums ir dibināts, un tagad Jānis ir ķēries klāt pie sava uzņēmuma privātuma politikas izstrādes.

Jānis vērš arī citu uzņēmēju uzmanību uz to, ka šim procesam ir nepieciešams pieiet soli pa solim. Sākumā ir svarīgi saprast, kādas ir Datu regulas prasības attiecībā uz informāciju, kas organizācijai ir jāsniedz vēl pirms datu apstrādes uzsākšanas. Un pēc tam jau jāsāk darbs pie tā, kā to visu veiksmīgāk iekļaut vienā saprotamā dokumentā.

Taču, lai šis process noritētu vēl veiksmīgāk, Jānis iesaka uzņēmējiem apmeklēt Datu valsts inspekcijas organizētos bezmaksas seminārus-darbnīcas par personas datu aizsardzību un privātuma politikas izstrādi. Kampaņas ietvaros tie norisināsies Rīgā, Rēzeknē, Jelgavā, Valmierā un Liepājā gan klātienē, gan tiešsaistē no 24. aprīļa līdz 5. jūnijam. Nenokavē, seko līdzi informācijai un piesakies: https://www.dvi.gov.lv/lv/jaunums/aicinam-uznemejus-uz-seminariem-darbnicam-par-privatuma-politikas-izstradi

Soli pa solim

Noteikumus personas datu ieguvei, glabāšanai un izmantošanai nosaka Vispārīgā datu aizsardzības regula. Viens no Datu regulas mērķiem ir ļaut personām, kuru datus ir plānots apstrādāt, saglabāt kontroli pār to personīgo informāciju un iegūt informāciju par to, kas notiek ar viņu datiem.

Pirmais solis kontroles par personas datiem un to aizsardzību saglabāšanai ir informētība par plānotajām darbībām ar personas datiem no organizācijas puses. Atbilstoši Datu regulai,  brīdī, kad cilvēks iesniedz datus komersantam (aizpilda pieteikumu, anketu), cilvēkam ir jābūt pieejamai informācijai par personas datu apstrādes procesu organizācijā. Tāpēc komersantam personai ir jāsniedz informācija par:

  • nosaukumu  un kontaktinformāciju;

Piemēram, SIA “Saulīte”, e-pasts: pasts@saulite.lv;

  • kādu nolūku sasniegšanai tiek pieprasīti personas dati un kāds ir šīs informācijas iegūšanas tiesiskais pamats atbilstoši Datu regulai;

Piemēram, gadījumos, ja uzņēmums iegūst informāciju ar nolūku izrakstīt rēķinu par sniegtu pakalpojumu vai pārdotu preci, tad privātuma politikā jānorāda gan mērķis – rēķina izrakstīšana, gan arī šādas apstrādes tiesiskais pamats – likumā noteikta pienākuma izpilde.

  • ja norīkots – kā sazināties ar organizācijas datu aizsardzības speciālistu un tā kontaktinformāciju;
  • ja apstrāde tiek pamatota ar organizācijas likumīgajām interesēm, tad šo interešu izklāstu;
  • personas datu saņēmējiem vai to kategorijām, ja tādi ir;

Piemēram, ja organizācija plāno preces piegādei piesaistīt kādu no kurjera dienestiem, tad būtu jānorāda kādi dati tiks nodoti kurjera dienestam attiecīgās personas datu apstrādes ietvaros.

  • ja plānots personīgo informāciju nosūtīt uz trešo valsti vai starptautisku organizāciju, atsauci uz to, kā personīgā informācija tiks aizsargāta.

Minētā informācija ir pamatinformācija, kas būtu jāsniedz. Tomēr cilvēkam ir jābūt iespējai iepazīties arī ar šādu papildu informāciju:

  • laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kā šis laikposms tiks noteikts;
  • par tiesībām un kārtību, kādā pats cilvēks var piekļūt saviem datiem, tos labot vai dzēst,  lūgt ierobežot datu apstrādi vai iebilst pret datu apstrādi, kā arī noteiktajos gadījumos lūgt pārnest viņa datus;

Piemēram, privātuma politikā būtu iekļaujams apraksts kā persona var īstenot savas tiesības, tai skaitā kam un kādus kanālus izmantojot šāda veida iesniegumi iesniedzami – tālruņa numurs vai e-pasts, uz kuru persona var zvanīt vai rakstīt, sadaļa platformā, kuru var aizpildīt u.tt..

  • ja apstrāde pamatojas uz personas piekrišanu – norādīts, ka cilvēkam ir tiesības jebkurā brīdī to atsaukt;
  • informācija par iespēju cilvēkam iesniegt sūdzību Datu valsts inspekcijā, ja viņš/viņa uzskata, ka personas dati tiek apstrādāti neatbilstoši Datu regulai;
  • vai personas datu iegūšanu paredz likums vai tā ir vajadzīga, lai noslēgtu līgumu un saņemtu pakalpojumu. Tāpat būtu jānorada vai informācijas sniegšana ir obligāta vai nē, un kādas sekas var būt gadījumos, kad šādi dati netiek sniegti;

Piemēram, ja noteikta veida personas dati nepieciešami līguma izpildei (piemēram, piegādes adrese, lai piegādātu nopirkto preci), šāda informācija arī būtu iekļaujama privātuma politikā. Tomēr, ja personai ir tiesības izvēlēties saņemt preci uz vietas, tad piegādes adresei jābūt kā izvēles datiem, kuru sniegšana ir obligāta, tikai gadījumā, ja persona vēlās piegādi uz konkrēto adresi. Turklāt pareizāk būtu šo adresi nosaukt par piegādes adresi, nevis dzīvesvietas adresi.

  • ja pastāv automatizēta lēmumu pieņemšana un profilēšana, informācija par priekšnosacījumiem un loģiku šādu automatizētu lēmumu pieņemšanai un paredzamajām sekām attiecībā uz personu.

Piemēram, ja līzinga kompānija pirms pakalpojuma sniegšanas iegūst iespējamā klienta – fiziskas personas – automatizētu kredīt spējas novērtējumu, šāda apstrāde būs uzskatāma par profilēšanu un līzinga kompānijas privātuma politikā būtu atspoguļojama gan pieņemto lēmumu loģika, gan arī tas vai un kā persona var lūgt pārskatīt šādu lēmumu.

Kas ir privātuma politika?

Datu regulā nav noteikts kā tieši iepriekš minētā informācija ir sniedzama. Vienlaikus lielāka daļa organizāciju izvēlas šo informāciju apkopot vienā dokumentā. Tam var būt dažādi nosaukumi, tomēr lielākoties organizācijas šādu dokumentu sauc par Privātuma politiku.

 Privātuma politika ir organizācijas dokuments, kurā var iepazīties ar informāciju par organizācijas veikto datu apstrādi, pirms uzsākta personas datu apstrāde. Atbilstošas informācijas sniegšana šajā dokumentā ļauj nodrošināt Datu regulā noteiktā informēšanas pienākuma izpildi, savukārt personām, kuru personas datus plānots apstrādāt, tas ļauj ne tikai iegūt informāciju par to, kā tieši organizācija plāno informāciju apstrādāt, bet arī par savu tiesību īstenošanas kārtību tālākos personas datu apstrādes posmos.

Privātuma politikas izpēte - pirms personas datu sniegšanas - ļaus cilvēkam novērtēt, vai organizācijas piedāvātā personas datu apstrāde ir personai pieņemama un viņa vēlas turpmāk iedot savus datus komersantam un saņemt attiecīgo pakalpojumu.

Labā prakse

Privātuma politikā informācija sniedzama kodolīgā, pārredzamā, un iedzīvotājam saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu.

Saprotams un pieejams veids nenozīmē vien to, ka netiek izmantota specifiska juridiska valoda ar terminiem, kuri iedzīvotājiem var nebūt izprotami, bet arī to, ka tiek izmantota valoda, kuru izmanto vairums organizācijas klientu – fizisko personu – piemēram, latviešu valoda, ja organizācijas klienti pamatā būs latviski runājoši. Pasniegtajai informācijai ir jābūt skaidri strukturētai, viegli pārredzamai un viegli pieejamai, piemēram, lai tīmekļa vietnē nebūtu jāpavada pārlieku ilgs laiks tās atrašanai.

Par labu praksi tiek uzskatīts, ka Privātuma politika neatrodas tālāk kā divu klikšķu attālumā no organizācijas tīmekļa vietnes titullapas

Ja organizācijas mērķa auditorija ir bērni, tad privātuma politika jāformulē veidā, kas būtu saprotams arī bērniem.