Personas datu aizsardzība uzņēmumā: vai pietiek ar privātuma politiku?

Daudzi uzņēmumi Latvijā joprojām uzskata, ka personas datu aizsardzības prasības ir izpildītas brīdī, kad uzņēmuma mājaslapā ir publicēta privātuma politika. Šāda pieeja ir ne tikai nepilnīga, bet arī potenciāli bīstama.   Vispārīgā datu aizsardzības regula (turpmāk – GDPR) Latvijā tiek piemērota kā tieši saistoša regula, un tās prasības attiecas uz faktisko personas datu apstrādi uzņēmumā, nevis tikai uz publiski pieejamiem dokumentiem. Privātuma politika ir tikai redzamā daļa no plašāka regulējuma, kas prasa sistemātisku un juridiski pamatotu pieeju personas datu aizsardzībai uzņēmumā.   Praksē Datu valsts inspekcijas pārbaudes un klientu sūdzības visbiežāk atklāj neatbilstības tieši iekšējos procesos, nevis dokumentu trūkumā.

Photo by Lianhao Qu on Unsplash

Personas datu aizsardzība kā nepārtraukts process

Personas datu aizsardzība uzņēmumā nav vienreizējs pasākums, bet pastāvīgs process, kas aptver visu datu dzīves ciklu – no datu iegūšanas līdz to dzēšanai.

Saskaņā ar GDPR prasībām uzņēmumam ir pienākums:

• izvērtēt visus personas datu apstrādes procesus, tostarp klientu, darbinieku un sadarbības partneru datus;
• noteikt apstrādes tiesisko pamatu katram procesam (līgums, juridisks pienākums, leģitīmas intereses u. c.);
• ieviest iekšējās procedūras, kas regulē piekļuvi datiem, datu glabāšanas termiņus,
• incidentu pārvaldību un datu subjektu tiesību īstenošanu;
• nodrošināt caurskatāmu datu subjektu informēšanu, tostarp privātuma politikā, bet arī praktiskajā komunikācijā.

Privātuma politika, bez reāla seguma procesos, neatbilst pārskatatbildības principam (accountability), kas ir viens no GDPR pamatprincipiem.

Biežākās neatbilstības uzņēmumos Latvijā

Veicot datu aizsardzības auditus, praksē regulāri tiek konstatētas atkārtotas problēmas, kas liecina par formālu pieeju GDPR ieviešanai.

1. Neatbilstība starp dokumentiem un faktisko praksi

Uzņēmuma privātuma politika paredz vienu apstrādes kārtību, taču ikdienas darbībā tiek veikta pavisam cita datu izmantošana (piemēram, mārketinga nolūkiem bez atbilstoša pamata).

2. Neskaidra atbildības sadale

Nav noteikts, kurš uzņēmumā ir atbildīgs par:

• datu subjektu pieprasījumu izskatīšanu,
• datu aizsardzības incidentu novēršanu,
• sadarbību ar Datu valsts inspekciju.

3. Nepietiekama darbinieku apmācība

Darbinieki apstrādā personas datus ikdienā, bet:

• nezina, kā rīkoties datu noplūdes gadījumā,
• nesaprot datu minimizācijas principu,
• kļūdaini uzskata, ka GDPR attiecas tikai uz juridisko nodaļu.

Šādas neatbilstības būtiski palielina risku saņemt sodu vai reputācijas kaitējumu.

Juridiskā izvērtējuma un datu aizsardzības audita nozīme

Datu aizsardzības audits ir efektīvākais instruments, lai uzņēmums objektīvi izvērtētu savu atbilstību GDPR prasībām Latvijā.

Juridiski korekts audits ļauj:

• identificēt riskus, kas nav acīmredzami ikdienas darbībā;
• novērst pārkāpumus pirms uzraudzības iestādes iesaistes;
• sakārtot dokumentāciju un procesus, balstoties uz faktisko apstrādi;
• samazināt iespējamo administratīvo sodu apmēru;
• aizsargāt uzņēmuma reputāciju klientu un sadarbības partneru acīs.

Svarīgi uzsvērt, ka audits nav tikai kontrolsaraksts. Tas ir juridisks izvērtējums, kas pielāgots konkrētā uzņēmuma darbības modelim, nozares specifikai un riskiem.

Privātuma politika – nepieciešama, bet ne pietiekama

Privātuma politika ir obligāts elements personas datu aizsardzības sistēmā, taču tā nedarbojas izolēti. Bez atbilstošiem iekšējiem procesiem un juridiskas kontroles tā kļūst par formālu dokumentu bez praktiskas vērtības.

Uzņēmumiem Latvijā, kas vēlas ilgtermiņā strādāt droši un atbilstoši GDPR prasībām, ir nepieciešama:

• sistemātiska pieeja personas datu aizsardzībai,
• regulāra juridiskā uzraudzība,
• profesionāls datu aizsardzības audits.

Secinājums

Personas datu aizsardzība uzņēmumā nav reducējama uz privātuma politiku. Tā ir kompleksa juridiska sistēma, kas prasa gan dokumentāciju, gan reālu procesu ieviešanu un kontroli.

Uzņēmumi, kas GDPR uztver kā formālu prasību, pakļauj sevi būtiskiem juridiskiem un reputācijas riskiem. Savukārt profesionāli sakārtota personas datu aizsardzība kļūst par konkurences priekšrocību un uzticības pamatu klientu attiecībās.

Ja Tev ir radušies kādi jautājumi, droši raksti, mēs palīdzēsim.