Jaunumi Ziņas
Attēls

Turpinām stāstu par Datiņu ģimeni! Sekojot līdzi Jāņa Datiņa paveiktajiem darbiem savas uzņēmējdarbības ietvaros, ikviens var izdarīt secinājumus – Jānim rūp viņa klientu dati.

Jānis ir sapratis, ka personas datu reģistra izveide ir pirmais solis, lai uzņēmējs saprastu - vai un kāda informācija par klientu vajadzīga, izvairoties no papildu datu uzkrāšanas, kam nav pamata.

Ja vēlies saprast, kā Jānim pēdējo divu mēnešu laikā izdevies izveidot Datu regulai atbilstošu personas datu apstrādi gan uzņēmējdarbības procesos, gan jaunu klientu piesaistē, iepazīsties ar sagatavoto skaidrojumu par personas datu reģistra izveidi.

Ar ko sākt?

Komersantam pirms Personas datu apstrādes reģistra izveides ir jānoteic:

  • personas dati, kuri ir komersantam

Nepieciešams apkopot visu informāciju, kura tiek prasīta no klientiem. Tas arī būs personas datu kopums, kuru uzņēmums apstrādās. Kā arī nedrīkst aizmirst par darbinieku personas datiem.

  • personas datu apstrādes mērķis

Precīzi nosakiet tieši kādu rezultātu sasniegšanai nepieciešams apstrādāt esošo vai topošo klientu personas dati. Kāpēc komersants prasa no klientiem šo datus un kādus nolūkus šie dati palīdz sasniegt. Jāņem vērā, ka uzņēmējs noteikti veiks savu darbinieku personas datu apstrādi.

  • mērķa sasniegšanai nepieciešamais datu apjoms

Datu reģistra izveide palīdzēs saprast, vai un kādā apjomā personas dati nepieciešami, lai sasniegtu plānoto mērķi. Šajā posmā ir iespējams visus uzskaitītus personas datus (vārds, uzvārds, e-pasts, dzīves vietas adrese u.c.) salīdzināt ar datu apjomu, kas ir nepieciešams iepriekš noteiktā nolūka sasniegšanai. Ir jāizvērtē – vai patiešām katra no uzskaitītajām kategorijām ir vajadzīga konkrētās datu apstrādes ietvaros un nolūka sasniegšanai

  • personas datu apstrādes tiesiskais pamats;

Izvērtējot kādus personas datus apstrādās, uzņēmējam ir jānosaka, kurš no tiesiskajiem pamatiem katrai konkrētai datu apstrādei piemērojams. Piemēram, darbinieku datu apstrādei var būt piemērojama, gan līguma izpilde, gan arī juridisks pienākums, preces piegādes adrese vai e-pasts – līguma izpilde, u.tt. Tiesiskie pamati ir noteikti Datu regulas 6.panta 1.punktā un tie ir – piekrišana, juridiskais pienākums, līguma izpilde, leģitīmas intereses, sabiedrības intereses.

  • vai dati tiks nodoti trešajām personām;

Uzņēmējam jāapsver, vai un kam iegūtie personas dati tiks nodoti. Ieteicams izveidot sarakstu ar sadarbības partneriem vai citām organizācijām, kā arī to, kādus personas datus katrai trešajai personai ir plānots nodot.

  • vai dati tiks nodoti ārpus Eiropas Savienības un Eiropas Ekonomikas zonas;

Jāsaprot, vai plānots nodot personas datus tādiem sadarbības partneriem vai organizācijām, kuras nav ES vai EEK zonas dalībvalstis. Ja tiek plānots datus nosūtīt trešajām valstīm, tad jāfiksē kāds būs atbilstības nodrošināšanas rīks konkrētās nosūtīšanas gadījumā.

  • informācija par tehniskajiem un organizatoriskajiem drošības pasākumiem.

Pirms Personas datu reģistra izveides, jānosaka kādi tehniskās un organizatoriskās drošības pasākumi jau ir ieviesti uzņēmumā.

Reģistra izveide

Personas datu apstrādes reģistra izveides formāts nav noteikts. Uzņēmējs var izvēlēties, kā to veidot un uzturēt (piemēram, izveidot atsevišķu sistēmu, excel tabulu vai veidot to papīra formātā).

Reģistrā iekļaujamā informācija

Informācijas apjoms, kas jāiekļauj Personas datu apstrādes reģistrā, ir atkarīgs no personas datu apstrādes veicēja.

Ja komersants veic personas datu apstrādi, nepiesaistot apakšuzņēmēju, tad reģistrā ir jānorāda:

  • organizācijas nosaukums un kontaktinformācija, tai skaitā, informācija par saziņas iespējām ar datu aizsardzības speciālistu;
  • datu apstrādes mērķis (nolūks);
  • datu subjektu kategoriju apraksts;
  • personas datu kategoriju apraksts;
  • personas (piemēram, amati vai pārstāvība), kurām personas dati ir izpausti vai plānots to darīt;
  • informācija par saņēmējiem trešajās valstīs vai starptautiskās organizācijās, ja personas dati ir izpausti vai plānots to darīt;
  • ja personas dati tiek nosūtīti uz trešo valsti vai starptautisko organizāciju, tad jānorāda konkrēts personas datu saņēmējs (nosaukums, kontaktinformācija) un atbilstošu garantiju dokumentācija;
  • termiņi dažādu personas datu kategoriju datu dzēšanai;
  • tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

Komersant var deleģēt datu apstrādi veikt kādam citam. Šajā gadījumā personai, kurai deleģēta datu apstrāde, reģistrā ir jānorāda:

  • apstrādātāja, kā arī organizācijas, kas deleģējusi datu apstrādi, nosaukums un kontaktinformācija, tai skaitā, informācija par saziņas iespējām ar datu aizsardzības speciālistu;
  • datu apstrādes mērķis (nolūks);
  • datu subjektu kategoriju apraksts;
  • personas datu kategoriju apraksts;
  • personas (piemēram, amati vai pārstāvība), kurām personas dati ir izpausti vai plānots to darīt;
  • informācija par saņēmējiem trešajās valstīs vai starptautiskās organizācijas, ja personas dati ir izpausti vai plānots to darīt;
  • ja personas dati tiek nosūtīti uz trešo valsti vai starptautisko organizāciju, tad jānorāda konkrēts personas datu saņēmējs (nosaukums, kontaktinformācija) un atbilstošu garantiju dokumentācija;
  • termiņi dažādu personas datu kategoriju datu dzēšanai;
  • tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

Komersants par katru datu apstrādes darbību reģistrā var iekļaut ne tikai obligāto informācijas apjomu, bet arī papildināt reģistru ar citām sadaļām, piemēram,

  • norādīt datu apstrādes tiesisko pamatu;
  • gadījumā, ja konstatēts drošības incidents, reģistrā var iekļaut atsauci, vai personas dati ir/nav skarti;
  • vai arī atsauci uz izstrādāto "Novērtējumu par ietekmi uz datu apstrādi" konkrētam procesam.

Papildu informācijas iekļaušana reģistrā ļauj ne tikai gūt pilnīgāku pārskatu par datu apstrādes procesiem organizācijā, bet arī atvieglos saziņu ar klientiem datu aizsardzības jautājumos.

Paraugs "Personas datu apstrādes reģistrs"

Personas datu apstrādes darbību reģistrs (žurnāls) saskaņā ar Vispārīgo datu aizsardzības regulu (2016./679., 13., 30. pants):

Pārzinis

SIA "MVU"

Adrese

Xxx iela 1, Latvija

Tālrunis

+371 xxxxxx

Fakss

+371 xxxxx

E-pasta adrese

Xxx@Xxx.lv

Vietne

www.Xxx.lv

Datu aizsardzības atbildīgā e-pasta adrese

aizsardziba@Xxx.lv

Personas datu apstrādes mērķis

Darba algas aprēķins un izmaksa

Datu subjektu apraksts

Darbinieki

Personas datu kategorijas

Vārds, Uzvārds, Norēķinu konta Nr.

Personas datu saņēmēju kategorijas

Darbinieki, valsts iestādes likumā noteiktos gadījumos

Personas datu nodošana ārpus ES vai Eiropas Ekonomikas zonas

Personas dati netiek nodoti ārpus ES vai Eiropas Ekonomikas zonas.

Datu glabāšanas termiņi

10 gadi

Tehnisko un organizatorisko drošības pasākumu vispārējs apraksts

1. Datu apstrādes tiesības tiek aizsargātas, izmantojot informācijas sistēmu piekļuves tiesību uzraudzības funkcijas.

2. Serveru datori, kas tiek izmantoti datu apstrādē, atrodas datoru centrā, kas ir aizsargāts ar piekļuves kontroles un drošības sistēmām. Reģistri, kuri satur personas datus, ir nošķirti no publiskās informācijas tīkliem, izmantojot tehniskos drošības pasākumus.

3. Papīra dokumentus uzglabā aizslēgtos skapjos, kas atrodas telpās ar piekļuves kontroli.

4. Personas, kas apstrādā personas datus, ir pakļautas konfidencialitātes pienākumam, kas izriet no likuma, pārziņa iekšējiem noteikumiem un / vai ir parakstījuši konfidencialitātes līgumu.

5. Tiek veikta sistemātiska failu dublēšana.

Apstrādes juridiskais pamatojums

Saskaņā ar Darba likuma ..p., Iedzīvotāju ienākuma nodokļu likuma ..p.

Cita saistoša informācija

Organizācija var izvērtēt un iekļaut citu, papildu informāciju, kas saistīta ar datu apstrādi

Jo uzmanīgāk un atbildīgāk izturēsies pret lietotāju personas datiem, jo lielāku uzticību tas radīs klienta un komersanta attiecībās. Tāpat, regulāri pārskatot personas datu apstrādes, datu drošības politikas un personas datu reģistrus, pastāvēs mazāka iespēja dažādiem starpgadījumiem, piemēram, datu noplūdēm vai klientu sūdzībām.

#DVIskaidro "Kāpēc nepieciešams Personas datu apstrādes reģistrs?"

Datu regulā ir noteikts pienākums komersantiem un organizācijām izveidot un uzturēt Personas datu apstrādes reģistru, lai to veiktā personas datu apstrāde būtu pārskatāma. Šāds reģistrs ir jāveido visiem komersantiem un organizācijām, kurās ir nodarbinātas vairāk kā 250 personas. Ja ir nodarbinātas mazāk kā 250 personas, reģistra izveide nav obligāta, ja vien komersanta vai organizācijas veiktā datu apstrāde nav regulāra, neskar īpašas kategorijas datus vai personas datus par sodāmību un pārkāpumu, kā arī
Skatīt vairāk