Pakalpojumi
Datu aizsardzības speciālista pakalpojumi
Jau savlaicīgi gatavojoties jaunās Personas datu aizsardzības regulas ieviešanai, mūsu uzņēmuma valdes loceklis, zvērināts advokāts Lauris Klagišs ir ieguvis sertificēta personas datu aizsardzības speciālista statusu, regulāri ir apmeklējis dažādus seminārus un apmācības saistībā ar datu aizsardzību, līdz ar to mēs spējam klientiem piedāvāt kvalitatīvus fizisko personu datu aizsardzības speciālista pakalpojumus.
Fizisko personu datu aizsardzības speciālista pakalpojums sevī ietver:
1. dokumentu sagatavošanu personas datu aizsardzības speciālista reģistrēšanai;
2. nodrošināšanu ar personas datu aizsardzības speciālistu (zvērināts advokāts Lauris Klagišs), kuram ir maģistra grāds tiesību zinātņu jomā un kurš ir apmācīts Ministru kabineta noteiktajā kārtībā;
3. sākotnējo auditu (datu apstrādes atbilstības novērtējumu), atbilstoši spēkā esošajiem normatīvajiem aktiem;
4. personas datu apstrādes novērtējumu atbilstoši spēkā esošajiem
normatīvajiem aktiem;
5. regulāru uzraudzību, kontroli un izvērtējumu klienta veiktās personas datu apstrādes atbilstībai likuma prasībām;
6. reģistra veidošanu, kurā tiek norādīta Fizisko personu datu aizsardzības likumā noteiktā informācija;
7. konsultāciju sniegšana ar datu apstrādi saistītos jautājumos;
8. ikgadējā pārskata sagatavošanu un iesniegšanu;
9. informācijas sistēmu drošības noteikumu izstrādi un ieviešanu.
Par personas datu aizsardzības speciālistu norīko fizisko personu, kurai ir augstākā izglītība tiesību zinātņu, informācijas tehnoloģiju vai līdzīgā jomā un kura ir apmācīta Ministru kabineta noteiktajā kārtībā.
Pārzinis piešķir personas datu aizsardzības speciālistam nepieciešamos līdzekļus, nodrošina nepieciešamo informāciju un darba laika ietvaros paredz laiku, lai viņš varētu veikt arī datu aizsardzības speciālista pienākumus.
Personas datu aizsardzības speciālists organizē, kontrolē un uzrauga pārziņa veiktās personas datu apstrādes atbilstību likuma prasībām.
Personas datu aizsardzības speciālista pienākums ir saglabāt un bez tiesiska pamata neizpaust personas datus arī pēc darba, dienesta vai citu tiesisko attiecību izbeigšanas.
Pēc būtības datu aizsardzības speciālists ir iekšējais uzraugs iestādē vai organizācijā. Viņš informē un konsultē pārzini par datu aizsardzības prasībām, uzrauga Regulas prasību ievērošanu, sniedz padomus, sadarbojas ar uzraudzības iestādi un ir kontaktpersona jautājumos, kas saistīti ar apstrādi, it īpaši datu subjektam īstenojot savas tiesības. Datu aizsardzības speciālists, veicot savus pienākumus, nevar saņemt nekādus norādījumus, kā arī pret viņu nevar tikt piemērotas sankcijas, ja viņš sniedz negatīvu vērtējumu par pārziņa veikto datu apstrādi.
Datu aizsardzības speciālista statuss daļēji ir līdzīgs iekšējā auditora statusam, un proti, viņš ir organizācijas nodarbinātais un strādā organizācijas interesēs, tomēr viņam jābūt pietiekami neatkarīgam un neitrālam, lai norādītu uz neatbilstībām un pārkāpumiem organizācijas darbībā.
2016.gada 27. aprīlī Eiropas Parlaments un ES Padome pieņēma jauno Personas datu aizsardzības regulu Nr. 2016/679 (turpmāk – Regula), kas ir piemērojama Eiropas Savienības dalībvalstīs no 2018.gada 25.maija eur-lex.europa.eu
Regula paredz vairākas izmaiņas, kas skar gan valsts un pašvaldību iestādes, gan uzņēmējus, gan datu subjektus (fiziskās personas). Piemēram, regula ievieš jaunus principus attiecībā uz datu apstrādē iesaistīto personu atbildību – regula ievērojami palielina sodus, ko iespējams piemērot par datu aizsardzības pārkāpumiem. Tie var būt līdz pat 20 000 000.
Citi jauninājumi attiecas, piemēram, uz datu subjekta «tiesībām tikt aizmirstam», piekļūt informācijai, ziņošanas kārtību par pārkāpumiem, datu apstrādes atbilstības novērtējumiem, kā arī datu aizsardzības speciālistu norīkošanu.
Datu valsts inspekcija rekomendē, ka pārziņiem un operatoriem (pašiem vai sadarbībā ar datu aizsardzības speciālistu) būtu ieteicams pārskatīt veiktās datu apstrādes, veikt to novērtējumu, pārskatīt līgumu noteikumus, kas attiecas uz datu apstrādi, lai nepieciešamības gadījumā veiktu izmaiņas, nodrošinot pilnvērtīgu datu aizsardzības prasību ievērošanu.
Regulas 37.pants paredz pienākumu pastāvīgi iecelt datu aizsardzības speciālistu katrā gadījumā, kad:
a) apstrādi veic publiska iestāde vai struktūra, izņemot tiesas, tām pildot savus uzdevumus (piemēram, datu aizsardzības speciālistu noteikti vajag valsts un pašvaldību iestādēm un uzņēmumiem);
b) pārziņa vai apstrādātāja pamatdarbība sastāv no apstrādes darbībām, kurām to būtības, apmēra un/vai nolūku dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana plašā mērogā (piemēram, personāla atlases firmas, darbā iekārtošanas uzņēmumi, līzinga un kredīta iestādes, apdrošinātāji);
c) pārziņa vai apstrādātāja pamatdarbības ietver īpašo kategoriju datu apstrādi saskaņā ar 9. un 10. pantā minēto personas datu par sodāmību un pārkāpumiem apstrādi plašā mērogā (piemēram, Iekšlietu ministrija, ieslodzījumu lietu pārvalde).
Tātad lielai daļai uzņēmumu, kā arī valsts un pašvaldību iestādēm ir nepieciešams savs datu aizsardzības speciālists.
Saskaņā ar Regulu Uzņēmumu grupa var iecelt vienu datu aizsardzības speciālistu ar noteikumu, ka katrs uzņēmums var viegli sazināties ar datu aizsardzības speciālistu.
Ja pārzinis vai apstrādātājs ir publiska iestāde vai struktūra, vienu datu aizsardzības speciālistu var iecelt vairākām šādām iestādēm vai struktūrām, ņemot vērā to organizatorisko uzbūvi un lielumu.
Datu aizsardzības speciālists var būt pārziņa vai apstrādātāja darbinieks vai arī viņš var veikt uzdevumus, pamatojoties uz pakalpojumu līgumu.
Saskaņā ar Fizisko personu datu aizsardzības likuma 26.panta 2.daļu, valsts un pašvaldības institūcijas un privātpersonas, kurām deleģēti pārvaldes uzdevumi, sagatavo personas datu apstrādes atbilstības novērtējumu, ietverot tajā arī riska analīzi un pārskatu par informācijas drošības jomā veiktajiem pasākumiem.
Personas datu aizsardzības audits
Viens no mūsu uzņēmuma pamatpakalpojumiem ir datu apstrādes atbilstības novērtējuma (personas datu aizsardzības audita) veikšana.
No Vispārīgās datu aizsardzības regulas izriet, ka uzņēmumam ir jāspēj uzskatāmi pierādīt atbilstību Regulai (tā saucamais, “pārskatatbildības princips”). Uzņēmums var 72 stundu laikā neziņot Datu valsts inspekcijai par personas datu aizsardzības pārkāpumu, ja uzņēmums spēj saskaņā ar pārskatatbildības principu uzskatāmi parādīt, ka personas datu aizsardzības pārkāpums, visticamāk, nerada risku fizisku personu tiesībām un brīvībām. Viens no veidiem, kā ievērot minēto pārskatatbildības principu un uzskatāmi pierādīt veiktās datu apstrādes atbilstību Regulai, ir veikt personas datu aizsardzības auditu.
Datu aizsardzības speciālists Lauris Klagišs ir piedalījies vairāk nekā 100 iestāžu un uzņēmumu personas datu aizsardzības auditos, izvērtējot attiecīgo iestāžu un uzņēmumu personas datu apstrādes atbilstību Regulai. Mēs esam veikuši personas datu aizsardzības auditus klientiem, kas pārstāv visdažādākās nozares: atkritumu apsaimniekošana, ūdensapgāde, personāla atlase, ārstniecība, tipogrāfija, farmācija, kreditēšana, mazumtirdzniecība, vairumtirdzniecība, izglītība, reklāma, datu tirdzniecība, kūdras ieguve, tulkošana, metālapstrāde, celtniecība, telpu uzkopšana, apsardze, degvielas uzpilde, mežistrāde, ēdināšana, tehnikas noma, kokapstrāde, floristika, sabiedriskais transports, loģistika, stividoru pakalpojumi, kā arī valsts un pašvaldību iestādes, utt.).
Mēs piedāvājam veikt personas datu aizsardzības auditu un izvērtēt Jūsu uzņēmuma datu apstrādes atbilstību spēkā esošajiem normatīvajiem aktiem, tajā skaitā Vispārīgajai datu aizsardzības regulai, Fizisko personu datu apstrādes likumam, kā arī Jūsu uzņēmējdarbības nozari regulējošiem tiesību aktiem.
Personas datu aizsardzības audits tiek veikts šādā kārtībā:
-
Klients aizpilda noteiktu anketu un no mums saņem sadarbības piedāvājumu par audita veikšanas laiku uz izmaksām.
-
Ar klientu tiek noslēgts rakstveida līgums.
-
No klienta anketu veidā tiek izprasīta papildu informācija.
-
Mūsu speciālists ierodas klienta pamatdarbības vietā un vairāku stundu garumā interviju veidā iegūst informāciju no darbiniekiem, kas ir tiešā veidā iesaistīti datu apstrādē (IT speciālists, grāmatvedis, personāla speciālists, mārketinga speciālists, klientu servisa speciālists, utt.).
-
Pēc klātienes sarunām, no klienta tiek izprasīta papildu informācija (darba līgumi, darba kārtības noteikumi, IT politika, sadarbības līgumi ar ārpakalpojumu sniedzējiem, privātuma politika, utt.).
Audita pārskats, kas vidēji sastāv no 50 lapām, parasti tiek sagatavots nedēļas laikā pēc visas nepieciešamās informācijas saņemšanas, un sastāv no vairākām daļām (kopsavilkums, grāmatvedības un personāla uzskaite, klientu datu apstrāde, videonovērošana, utt.).
Audita pārskatā tiek izvērtēti šādi elementi:
-
Uzņēmuma rīcībā esošie personas dati.
-
Personas datu apstrāde un glabāšana atbilstoši personas datu apstrādes mērķim.
-
Personas datu izpaušana.
-
Personas datu apstrādes veidi.
-
Visu apstrādājamo datu nepieciešamība personas datu apstrādes mērķa sasniegšanai.
-
Datu subjekta tiesību nodrošināšana.
-
Datu subjekta informēšana par viņa personas datu apstrādi.
-
Datu subjekta tiesības piekļūt saviem personas datiem.
-
Personas datu nodošana uz valstīm, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstis.
-
Personas datu aizsardzības un drošības pasākumi (arī attiecībā uz informācijas tehnoloģijām).
Audita kopsavilkumā tiek apkopoti secinājumi un trūkumi, kā arī ieteikumi trūkumu novēršanai. Ja pēc audita tiek secināts, ka klientam nepieciešams izstrādāt vai pārstrādāt ar personas datu aizsardzību saistīto dokumentāciju (darba līgumi, darba kārtības noteikumi, IT politika, sīkdatņu politika, privātuma politika, līgumi ar ārpakalpojumu sniedzējiem, personas datu apstrādes aizsardzības noteikumi, utt.), tad mēs palīdzam šos dokumentus izstrādāt vai pārstrādāt.
Ja vēlaties saņemt speciāli Jums izstrādātu piedāvājumu attiecībā uz personas datu aizsardzības audita veikšanu, lūgums sazināties ar mums.