Organizācijai ir ne tikai jāapstrādā personas dati saskaņā ar Vispārīgo datu aizsardzības regulu, bet šī atbilstība ir jāspēj arī pierādīt. Tas ietver integrētas datu aizsardzības īstenošanu, apstrādes darbību uzskaiti un noteiktos apstākļos-novērtējumu par ietekmi uz datu aizsardzību.
Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma
Jums kā pārzinim ir jāveic atbilstoši pasākumi, gan izstrādājot apstrādes darbību, gan apstrādes laikā, lai nodrošinātu, ka tiek ievēroti datu aizsardzības principi. Jums ir arī jānodrošina, ka pēc noklusējuma tiek apstrādāti tikai tie personas dati, kas ir nepieciešami katram konkrētajam nolūkam (tas attiecas uz datu apjomu, apstrādes apjomu, glabāšanas ierobežojumiem un to pieejamību).
Citiem vārdiem sakot, organizācija, kas piemēro integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma, ir organizācija, kas ņem vērā un iekļauj personas datu aizsardzību un privātumu visos aspektos un visos apstrādes darbību posmos, izmantotajos rīkos vai jebkurā citā uzņēmējdarbības rīcībā.
Lai to izdarītu, pirms apstrādes darbību uzsākšanas jūsu organizācijai ir jāņem vērā:
- paredzētās apstrādes darbības veids, konteksts un apjoms;
- riski, kas var rasties no paredzētajām apstrādes darbībām vai jebkādām citām darbībām, kas var ietekmēt cilvēku personas datus;
- tehniskie un organizatoriskie pasākumi, kas būtu jāievieš, lai mazinātu iespējamos riskus un tādējādi nodrošinātu personu datu pienācīgu aizsardzību;
- tehniskie un organizatoriskie pasākumi vai procedūras, kas jāievieš, lai nodrošinātu, ka personas datu apstrāde (tostarp personas datu vākšana, glabāšana un vispārēja izmantošana) nepārsniedz to, kas ir nepieciešams mērķu sasniegšanai.
Praksē
- Grāmatnīca vēlas palielināt savus ieņēmumus, pārdodot grāmatas tiešsaistē. Grāmatnīcas īpašnieks vēlas izveidot standartizētu veidlapu pasūtīšanas procesam. Pirmkārt, īpašnieks nosaka, ka visi veidlapas lauki ir obligāti aizpildāmi, tostarp klienta dzimšanas datums, tālruņa numurs un mājas adrese. Tomēr ne visi šie dati ir nepieciešami grāmatu pārdošanai un piegādei.
Piemēram, pasūtot e-grāmatu, klients var lejupielādēt produktu tieši savā ierīcē. Tāpēc šos datus nevar pieprasīt tīmekļa veidlapā, lai pasūtītu grāmatas. Tāpēc interneta veikala īpašnieks nolemj izveidot divas veidlapas: vienu grāmatu pasūtīšanai ar lauku klienta adresei un otru – e-grāmatu pasūtīšanai bez lauka klienta adresei. To darot, īpašnieks pārliecinās, ka tiek vākti tikai apstrādei nepieciešamie dati. - Medicīnas prakse, kurā strādā vairāki ārsti, savā organizatoriskajā informācijas sistēmā apkopo datus par saviem pacientiem. Dažādiem ārstiem var būt nepieciešama piekļuve pacientu datiem, piemēram, kad viņi aizvieto citu ārstu, kas nav darbā, lai informētu viņus par saviem lēmumiem attiecībā uz pacientu aprūpi un ārstēšanu, kā arī lai dokumentētu visas diagnostikas, aprūpes un ārstēšanas procedūras. Pēc noklusējuma piekļuve tiek piešķirta tikai tiem ārstiem, kuri ir norīkoti attiecīgā pacienta ārstēšanai.
Ir lietderīgi veikt šo pasākumu un novērtējumu uzskaiti, lai uzskatāmi parādītu, ka jūs ievērojat integrētas datu aizsardzības un datu aizsardzības pēc noklusējuma principus. Apstiprinātu sertifikācijas mehānismu var izmantot arī kā elementu, lai pierādītu atbilstību integrētai datu aizsardzībai un datu aizsardzībai pēc noklusējuma.
Pienākums veikt datu apstrādes uzskaiti
Jums kā organizācijai ir pienākums reģistrēt savas datu apstrādes darbības. Šie ieraksti būtu jāglabā rakstiski, tostarp elektroniskā formātā.
Šis ieraksts sniedz pārskatu par jūsu apstrādes darbībām. Lai izveidotu šādu ierakstu, jums vajadzētu noteikt, kurām darbībām ir nepieciešama personas datu apstrāde (piemēram, pieņemšana darbā, algu pārvaldība, apmācības, caurlaides un piekļuves pārvaldība, potenciālo klientu saraksti utt.). Katra no šīm darbībām jāapraksta reģistrā, norādot šādu informāciju:
- apstrādes mērķis (piemēram, klientu lojalitāte);
- apstrādāto datu kategorijas (piemēram, algu saraksts: vārds, uzvārds, dzimšanas datums, alga u. c.);
- kam ir piekļuve datiem (saņēmēji - piemēram, par pieņemšanu darbā atbildīgā nodaļa, IT nodaļa, vadība, pakalpojumu sniedzēji, partneri u.c.);
- attiecīgā gadījumā informācija, kas saistīta ar personas datu pārsūtīšanu ārpus Eiropas Ekonomikas zonas (EEZ);
- ja iespējams, glabāšanas periods (periods, kurā dati ir noderīgi no darbības un arhivēšanas viedokļa);
- ja iespējams, vispārīgs drošības pasākumu apraksts.
Par apstrādes darbību uzskaiti ir atbildīgs jūsu organizācijas vadītājs. Šim ierakstam pēc pieprasījuma jābūt pieejamam tās EEZ valsts datu aizsardzības iestādei, kurā strādājat.
Organizācijām, kurās ir mazāk nekā 250 darbinieku, nav savā reģistrā jānorāda gadījuma rakstura darbības (piemēram, dati, kas apstrādāti vienreizējiem pasākumiem, piemēram, veikala atvēršanai).
Kā veikt novērtējumu par ietekmi uz datu aizsardzību (NIDA)?
Kas ir NIDA?
Ja apstrāde var radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinim ir jāveic novērtējums par ietekmi uz datu aizsardzību (NIDA). NIDA ir rakstisks plānotās apstrādes darbības novērtējums. Tas palīdz jums noteikt atbilstošus aizsardzības pasākumus, lai mazinātu riskus un pierādītu atbilstību.
Kad veikt NIDA?
Lai gan vienmēr ir vēlams paredzēt jūsu organizācijas plānoto apstrādes darbību ietekmi, veicot NIDA, obligāti tā ir jāveic , ja apstrāde var radīt augstu risku personu tiesībām un brīvībām.
Tas jo īpaši attiecas uz gadījumiem, kad paredzētā apstrāde ietver:
- sensitīvu personas datu un ar sodāmību saistītu datu apstrādi plašā mērogā;
- sistemātisku un plašu ar indivīdu saistītu personisko aspektu izvērtēšanu, kas balstīta uz automatizētu apstrādi, tostarp profilēšanu, un uz kuras pamata tiek pieņemti lēmumi, kas rada tiesiskas sekas attiecībā uz indivīdu vai citādi būtiski ietekmē indivīdus;
- sistemātisku publiski pieejamas teritorijas uzraudzību plašā mērogā.
Vairumā gadījumu NIDA ietvaros jāizvērtē apstrādes darbības, kas atbilst diviem no tālāk uzskaitītajiem kritērijiem:
- novērtēšana vai vērtēšana ar punktiem;
- automatizēta lēmumu pieņemšana ar juridisku vai līdzīgi būtisku ietekmi;
- sistemātiska uzraudzība;
- sensitīvi dati vai ļoti personiski dati;
- dati, kas apstrādāti plašā mērogā:
- datu kopu saskaņošana vai salīdzināšana;
- dati par neaizsargātiem datu subjektiem;
- jaunu tehnoloģisku vai organizatorisku risinājumu inovatīva izmantošana vai piemērošana;
- ja datu apstrāde pati par sevi neļauj fiziskām personām izmantot tiesības vai izmantot pakalpojumu vai līgumu.
Padomi par NIDA
Jums jāsazinās ar tās EEZ valsts datu aizsardzības iestādi, kurā atrodas jūsu organizācija, lai noskaidrotu, vai tai ir publiski pieejams dokuments, kurā uzskaitīti nosacījumi, kurām apstrādes darbībām būs nepieciešams NIDA un kurām apstrādes darbībām nebūs vajadzīgs NIDA.
Piemēri, kad NIDA var būt nepieciešams:
- biometrisko datu apstrāde, piemēram, pirkstu nospiedumu vai sejas skenēšana, lai identificētu pacientus;
- neaizsargātu personu datu izmantošana tirgvedības nolūkos, piemēram, lai prognozētu viņu pirkumus;
- mobilā lietotne izseko cilvēka atrašanās vietu.
Piemēri, kad NIDA var nebūt vajadzīgs:
- paredzētā apstrādes darbība ir ļoti līdzīga apstrādei, uz kuru attiecas NIDA;
- apstrāde nav iekļauta to obligāto apstrādes darbību sarakstā, uz kurām attiecas NIDA (kā noteikusi jūsu valsts datu aizsardzības uzraudzības iestāde);
- apstrādes darbība ir atļauta saskaņā ar ES vai valsts tiesību aktiem.
Ko iekļaut NIDA?
Jūsu NIDA jāietver:
- plānotās apstrādes darbības un tās mērķa apraksts;
- nepieciešamības un proporcionalitātes novērtējums;
- riski, ko var radīt apstrādes darbība;
- pasākumi risku novēršanai.
Iepriekšēja apspriešanās par NIDA
Ja pārzinis nevar atrast pietiekamus pasākumus, lai samazinātu riskus līdz pieņemamam līmenim (t. i., riski joprojām ir augsti), ir jāapspriežas ar datu aizsardzības iestādi. Šādā gadījumā pārzinim jāsniedz šāda informācija:
- pārziņa, kopīgo pārziņu un apstrādē iesaistīto apstrādātāju attiecīgajiem pienākumiem;
- apstrādes darbības mērķi un to, kā tiks veikta apstrādes darbība;
- pasākumi, kas paredzēti, lai aizsargātu personu datus;
- attiecīgā gadījumā — jūsu organizācijas datu aizsardzības speciālista kontaktinformācija;
- attiecīgais NIDA.
Pēc NIDA — testējiet to, pilnveidojiet to, pārbaudiet to!
Pēc tam, kad NIDA ir izstrādāts, tas ir jāpārbauda; vajadzības gadījumā jāuzlabo; jāveic apstrādes darbība; atkārtoti jāizvērtē, vai jūsu NIDA atbilst apstrādes darbībai; jāveic kontroles pārbaude.
Lasīt vairāk
29. panta darba grupu: Vadlīnijas par novērtējumu par ietekmi uz datu aizsardzību (NIDA)
Eiropas Komisijas ziņu telpa
Valstu sarakstus ar datu apstrādes darbību veidiem, kuriem ir vai nav vajadzīgs novērtējums par ietekmi uz datu aizsardzību
Datu aizsardzības komisija, Īrijas uzraudzības iestāde
Rīcības kodeksi
Atkarībā no tā, kur EEZ atrodas jūsu organizācija, var būt asociācijas vai citas iestādes, kas pārstāv pārziņus vai apstrādātājus. Šīs asociācijas un iestādes var sagatavot rīcības kodeksus, tostarp datu aizsardzības mehānismus, kurus pārziņi un apstrādātāji var ievērot, lai palīdzētu nodrošināt personas datu aizsardzību saskaņā ar VDAR.
Šiem ieviestajiem rīcības kodeksiem ir jānodrošina, piemēram,
- ka personas dati tiek apstrādāti godīgā un pārredzamā veidā;
- personas datu apstrādes mērķi ir leģitīmi;
- kā pseidonimizēt personas datus;
- ka personām, kuru personas dati tiek apstrādāti, tiek sniegta pārredzama informācija;
- ka tiek pienācīgi lūgta piekrišana personas datu, jo īpaši ar bērniem saistītu personas datu, apstrādei;
- ka ir ieviesti visi tehniskie un organizatoriskie pasākumi, lai nodrošinātu personu datu drošu apstrādi;
- ka tiek ievērotas procedūras paziņošanai par personas datu aizsardzības pārkāpumiem;
- ka tiek ievērotas procedūras, tostarp aizsardzības pasākumi, kas saistīti ar personas datu nosūtīšanu uz valstīm, kas nav EEZ dalībvalstis, un organizācijām;
- ka tiek ievērotas procedūras, kas saistītas ar tiesvedību un strīdu izšķiršanu.
Svarīgs padoms
- Jums vajadzētu sazināties ar attiecīgo asociāciju vai iestādi, kas sagatavo VDAR rīcības kodeksus, jo tie var jums palīdzēt ievērot VDAR
Sertifikācija
Kas ir VDAR sertifikācija?
Organizācija, kas iegūst VDAR sertifikātu, var izmantot to, lai pierādītu savu apstrādes darbību atbilstību VDAR.
EEZ datu aizsardzības uzraudzības iestādes var, piemēram:
- izdot VDAR sertifikātus savai sertifikācijas shēmai;
- pašas izdot VDAR sertifikātus saistībā ar savu sertifikācijas shēmu, bet visu novērtēšanas procesu vai tā daļu deleģēt trešajām personām;
- izveidot savu sertifikācijas shēmu un uzticēt konkrētām iestādēm izsniegt šos sertifikātus;
- mudināt tirgu izstrādāt sertifikācijas mehānismus;
- novērtēt sertifikācijas iestāžu sertifikācijas shēmas.
Sertifikācijas iestādes uzdevums ir izsniegt, pārskatīt un anulēt sertifikātus, pamatojoties uz sertifikācijas mehānismu un apstiprinātajiem kritērijiem.
Sertifikācijas iestādēm ir jādokumentē savs novērtējums par jūsu organizācijas apstrādes darbībām, par kurām var izdot VDAR sertifikātu.
Mana organizācija ir saņēmusi VDAR sertifikātu, kas tālāk?
Jūsu organizācijas veiktās apstrādes darbības VDAR sertifikāts ir derīgs ne ilgāk kā trīs gadus, taču to var pagarināt vai atsaukt. Lai saglabātu šo sertifikātu, jūsu organizācijai ir pastāvīgi un konsekventi praksē jāīsteno pasākumi, kas saistīti ar sertificēto datu aizsardzības darbību.