GDPR ievērošana

1. SOLIS

KAS IR ES VISPĀRĒJĀ DATU AIZSARDZĪBAS REGULA (GDPR)?

ES Vispārējā datu aizsardzības regula ir esošo ES likumu evolūcijas posms, kas tiek pielietota gan ES ietvaros, gan ārpus tās, iekļaujot jaunas prasības IT dokumentācijas un risku vērtēšanas procedūrās, drošības pārkāpumu paziņojumos un izmantoto datu apjoma samazināšanā. Tiek veidots vienots ES datu aizsardzības likums, kas paredz fizisko personu datu aizsardzības ievērošanu.

Regula tiesiski pamato datu aizsardzības principus, īpaši tos, kas pastāv integrētas privātuma aizsardzības modeļa pamatā: samazināt uzglabājamo privāto datu apjomu, dzēst nevajadzīgos privātos datus, ierobežot piekļuvi datiem un nodrošināt pastāvīgu aizsardzību visā datu lietošanas gaitā

Kāda veida dati ir jāaizsargā?

Tiek aizsargāti fizisko personu dati jeb ASV definētie sensitīvie dati (PII – personally identifiable information,) pēc kuriem var atpazīt fizisko personu, t. sk. vārds/uzvārds, tālruņa numurs, klienta numurs, e-pasta adrese un IP adrese.

Kādi uzņēmumi tiek pakļauti ES Vispārējai datu aizsardzības regulai?

Regula ir aktuāla visiem ES uzņēmumiem un tiem uzņēmumiem, kas apstrādā ES pilsoņu datus, neatkarīgi no šo uzņēmumu atrašanās vietas.

Kādas jaunas prasības ir jāievēro?

Integrēta Privātuma Aizsardzība

Vispārējā datu aizsardzības regula iekļauj integrētas privātuma aizsardzības principus, t. sk. glabājamo datu apjoma samazināšana un atļaujas saņemšana no klientiem par viņu datu apstrādi.

Privāto datu dzēšanas tiesības

Iepriekšējā datu aizsardzības Direktīva iekļāva patērētāju tiesības pieprasīt savu privāto datu dzēšanu. Jaunieviestā regula paplašina patērētāju tiesības dzēst savus web vidē publicētos datus. Šis ir neviennozīmīgs solis, kas ļauj iespējami norobežoties no publiskās vides.

Eksteritoriālā piemērojamība

regula tiek piemērota arī uzņēmumos, kas atrodas ārpus ES, bet apkopo ES pilsoņu datus (piemēram izmantojot savas mājaslapas). Tādā veidā, jauna likumdošana skar arī tos uzņēmumus, kas darbojas ārpus ES. Tas ir īpaši aktuāli e-komercijas un mākoņrisinājumu pakalpojumu uzņēmumiem.

 

Paziņojumi par pārkāpumiem

Uzņēmumiem ir jāpaziņo atbildīgajām iestādēm par privātpersonu datu drošības pārkāpumiem 72 stundu laikā pēc šo pārkāpumu konstatēšanas. Privātpersonas, kuru dati tiek kompromitēti, ir jāinformē tajos gadījumos, ja viņu tiesības un brīvība tiek pakļauta augstam riskam.

Sods

Par likuma neievērošanu var tikt piemērota vērā ņemama soda nauda: līdz 4% no uzņēmuma gada apgrozījuma, ja tiek pārkāpti integrētas privātuma aizsardzības principi, un līdz 2% no gada apgrozījuma, ja uzņēmuma dokumentācija neatbilst prasībām, kā arī ja atbildīgās iestādes un privātpersonas netiek informētas pārkāpuma gadījumā.

Regula uzsver, ka izpratne par privātiem datiem (kur tie tiek glabāti, kuram ir piekļuve, un kuram ir jābūt piekļuvei) šobrīd ir aktuāls jautājums.

2. SOLIS

Integrēta privātuma aizsardzība un datu aizsardzība pēc noklusējuma (Privacy by Design and by Default)

Integrētas privātuma aizsardzības modelis balstās uz labās gribas pamata, kas ļauj pārskatīt uzņēmuma vadības attieksmi pret klientu datiem un to drošību. Šim modelim ir konsultatīvs mērķis. Vispārējo datu aizsardzības regulu no ieteicamajiem modeļiem atšķir tiesiskā atbildība par ES privātpersonu datu drošības neievērošanu.

Integrēta privātuma aizsardzība iesaka uzņēmumiem vērst īpašu uzmanību glabājamā datu apjoma samazināšanai. Ir maksimāli jāsamazina klientu datu apjoms, jāsamazina darbinieku skaits, kuriem ir piekļuve šiem datiem, kā arī ir jānosaka iespējami īsākais datu glabāšanas laiks. Mazāk ir vairāk: jo mazāks uzbrukumiem pakļautais datu apjoms, jo lielāka datu drošība. Tātad, ja tiek veikti šie soļi, uzņēmums ir uz pareizā ceļa vispārējās datu aizsardzības regulas īstenošanai.

Vai lielie dati un datu drošība ir savietojami jēdzieni?

Integrētas privātuma aizsardzības ietvaros – noteikti ir; veicotsekojošus soļus, var panākt datu drošību:

• Samazināt glabājamo klientu datu (īpaši sensitīvo datu) apjomu

• Glabāt datus tikai noteiktam nolūkam bez liekiem mērķiem

• Ļaut klientiem piekļūt un pārvaldīt savus datus

3. SOLIS

Privāto datu dzēšanas tiesības

Privāto datu dzēšanas tiesībām nav juridiska spēka ES. Vairākumā uzņēmumos, viņu klientiem ir tiesības dzēst savus privātos datus. Vispārējā datu aizsardzības regula paplašina šīs tiesības. Tagad ir norādīts, ka privāto datu uzturētājiem ir jāinformē trešās puses par pieprasījumu dzēst privātos datus. Regulas 17. punkts nosaka, ka “Privātpersonām, kuru dati tiek glabāti, jeb datu subjektiem ir tiesības pieprasīt no atbildīgajām iestādēm, kas uztur datus, savu privāto datu dzēšanu gadījumos, kad šie dati vairs netiek izmantoti sākotnējiem mērķiem. Ja tiek saņemts privātpersonas noraidījums, ka tiek apstrādāti privātie dati, datu uzturētājiem ir jāņem vērā šis noraidījums, un ja dati ir pieejami publiskajā vidē, tie ir jāizdzēš.”

 

 

 

 

 

 

Tātad, tiem sociālajiem mēdijiem, kas publicē privātos datus web vidē, ir jādzēš ne tikai savā pusē publicētie dati, bet obligāti ir jānodod informācija citiem web servisiem, kas pārkopēja šos datus, lai tie tiktu izdzēsti arī no pārējiem resursiem. Tas tiešām nav viegls uzdevums!

Kas notiek, ja datu uzturētājs nodeva privātos datus trešajai pusei, piemēram mākoņpakalpojumu uzņēmumam datu glabāšanai vai apstrādei?

 

ES regula tiek piemērota arī šajā gadījumā: mākoņpakalpojumu uzņēmums apstrādā šos datus, līdz ar to uz viņu arī ir attiecināma šī regula, un dati ir jāizdzēš saskaņā ar pieprasījumu.

Uzmanību!

Klients jeb datu subjekts var jebkurā brīdī pieprasīt savu privāto datu dzēšanu. Eiropas Savienībā datu īpašnieks ir paši iedzīvotāji.

 

4. SOLIS

Kādi uzņēmumi tiek pakļauti ES Vispārējai datu aizsardzības regulai?

Visbūtiskākais nosacījums, kas tiek uzsvērts regulas ietvaros, ir eksteritoriāla piemērojamība. Saskaņā ar regulas 3. punktu, regula tiek piemērota jebkuriem privātiem datiem, kas tiek nodoti ārpus ES robežām.

Tātad, ASV uzņēmums, kas apstrādā Eiropas Savienības pilsoņu privātos datus, tiek pakļauts šai regulai līdzīgi kā jebkurš cits uzņēmums Francijā, Lielbritānijā vai Vācijā, pat ja serveri un filiāles atrodas ārpus ES.

Juristi var apstrīdēt šīs regulas piemērošanu uzņēmumiem ārpus ES, bet ir jāņem vērā, ka ja liels starptautisks uzņēmums atsakās pildīt regulas nosacījumus, piemēram, paziņot par drošības pārkāpumiem, visdrīzāk šis uzņēmums tiks pakļauts soda sankcijām no ES Regulatora puses.

Eksteritoriālās piemērojamības princips ir īpaši aktuāls web vides uzņēmumiem, tādiem kā online meklētājiem, sociālajiem tīkliem, e-komercijas un e-sludinājumu pakalpojumu sniedzējiem utt.

Jūs varat šo aprakstu piemērot saviem izmantotajiem pakalpojumiem, lai varētu saprast, kurus no tiem skar jaunieviestā regula.

 

 

 

 

Dubultie standarti

Iepriekšējā datu aizsardzības direktīva pieļāva dažādas manipulācijas ar likuma vārdu, kas ļāva datu uzturētājiem neievērot datu drošības prasības. Viens no populārākajiem veidiem bija izvietot datus ārpus ES ar sekojošu domu: ja serveri ir ārpus ES, tad direktīvu var neievērot.

Tādi uzņēmumi kā Google, Facebook u.c. sociālie tīkli bieži izmantoja šo metodi.

Protams, līdz brīdim.

Spānijas datu aizsardzības aģentūra tiesājās ar Google par kāda meklēšanas rezultāta dzēšanu. ES Augstākā Eiropas Kopienu Tiesa atzina prasību pret Google pamatotu. ES likumdošana šoreiz uzvarēja: Google bija spiests dzēst resursu no meklēšanas rezultātiem.

Teritoriālās intereses ārpus ES ir uzsvērtas Regulas 3. punktā. Regula tiek piemērota ES uzņēmumiem un tiem uzņēmumiem, kas apstrādā ES pilsoņu datus neatkarīgi no atrašanās vietas.

 

5. SOLIS

Kas notiek, ja es neievēroju Vispārējās datu aizsardzības regulu?

Regulas neievērošanas gadījumā tiek piemērots sods, kas sastāda ievērojamu budžeta daļu; regula tiek piemērota gan datu uzturētājiem, gan tiem uzņēmumiem, kas šos datus apstrādā, līdz ar to mākoņpakalpojumu sniedzēji arī tiek pakļauti regulas noteikumiem.

Nepakļaušanās noteikumiem var izmaksāt uzņēmumam līdz 4% no gada apgrozījuma. Sods līdz 2% no gada apgrozījuma var tikt piemērots gadījumos, ja nav sakārtota dokumentācija (regulas 30. punkts,) netiek paziņoti drošības pārkāpumu gadījumi atbildīgajām iestādēm un privātpersonām (33. un 34. punkts,) kā arī ja netiek veikta risku izvērtēšana (33. punkts.)

Ir jāņem vērā, ka paziņojumi par drošības pārkāpumiem nav parasti informatīvie paziņojumi par incidentu. Atskaitē ir jāiekļauj informācija par datu kategoriju, ierakstiem un aptuveno privātpersonu skaitu, kuru dati tika kompromitēti.

 

 

 

 

 

 

 

Tātad, Jums ir nepieciešama detalizēta informācija par datiem, kuriem tika piekļūts, un par darbībām, kuras tika veiktas sistēmā no ārpuses.

Nopietnākiem pārkāpumiem var tikt piemērots sods, kas var sastādīt līdz 4% no gada apgrozījuma. Šie pārkāpumi iekļauj sevī drošības pamatprincipu (5. punkts) un klienta atļaujas (7. punkts) neievērošanu – tātad, gadījumus, kad netiek ievērots integrētas privātuma aizsardzības modelis.

Viens no veidiem, kādā Regulators kontrolēs uzņēmuma atbilstību regulas izpildei, ir Datu aizsardzības inspektora amata ieviešana uzņēmumos. Datu aizsardzības inspektoram ir atbildīgs par datu piekļuves kontroles izveidošanu, datu drošības risku samazināšanu, uzņēmuma procesu atbilstību regulai, pieteikumu apstrādi, paziņojumiem par drošības pārkāpumiem 72 stundu laikā no to atklāšanas brīža, kā arī par uzņēmuma drošības politikas ieviešanu.

6. SOLIS

Kas Jums ir jādara tālāk?

Pārskatīsim būtiskākos regulas šķēršļus un veidus, kā tos pārvarēt:

25. punkts: Integrēta datu aizsardzība pēc noklusējuma

Ko tas nozīmē: Uzskaitāmība un privātums kā biznesa       kultūras vadlīnijas

Kas ir jādara:   Pārskatīt datu piekļuves kontroli

30. punkts: Datu apstrādes darbību uzskaite

Ko tas nozīmē: Tehnisku un organizācijas procedūru    ieviešana privāto datu apstrādei

Kas ir jādara: Izveidot privāto datu uzskaites sistēmu; saprast, kuram ir piekļuve šāda veida datiem; saprast, kurš piekļūst šiem datiem; noteikt, kad un vai šie dati var tikt dzēsti no sistēmas.

17. punkts: Privāto datu dzēšanas tiesības

   Ko tas nozīmē: Iespēja ātri atrast un automātiski dzēst                             datus pēc noteiktiem kritērijiem

Kas ir jādara: Atrast, atzīmēt pēc kritērija un dzēst datusRegulas neievērošanas gadījumā tiek piemērots sods, kas sastāda ievērojamu budžeta daļu; regula tiek piemērota gan datu uzturētājiem, gan tiem uzņēmumiem, kas šos datus apstrādā, līdz ar to mākoņpakalpojumu sniedzēji arī tiek pakļauti regulas noteikumiem.

32.punkts: Datu apstrādes drošība

Ko tas nozīmē: Ir jānodrošina minimālas tiesības pienākumu pildīšanai; ir jāievieš uzskaites sistēma, lai saprastu, kādi dati pieder darbiniekiem; ir jāatspoguļo atskaitēs, kādi nolikumi un procesi tiek veiksmīgi īstenoti datu drošībai.

Kas ir jādara: Automatizēt un ieviest minimālas lietotāju tiesības veicot pienākumu revīziju un ieviešot ētiskās barjeras.

33. punkts: Paziņojumi atbildīgajām iestādēm par  privātpersonu datu drošības pārkāpumiem

Ko tas nozīmē: Novērst un paziņot par datu pārkāpumiem; iepriekš izveidotā rīcības plāna ieviešana

Kas ir jādara: Noteikt anomālijas datu izmantošanā, monitorēt un saņemt paziņojumus noteikumu neievērošanas gadījumā.

35. punkts: Datu drošības risku izvērtēšana

Ko tas nozīmē: Noteikt datu aizsardzības risku daudzumu Kas ir jādara: Izvērtēt augstas riska pakāpes sensitīvo       datu apstrādes drošību

Kādi ir pamata nosacījumi, lai nodrošinātu uzņēmuma atbilstību ES regulai?

Datu klasifikācija

ir jāzina, kur konkrēti tiek glabāti privātie dati Jūsu sistēmā, īpaši nestrukturētos formātos – dokumentos, prezentācijās un tabulās. Tas ir ļoti būtiski datu aizsardzībai, kā arī datu dzēšanas pieprasījumu izpildei.

Metadati

Lai samazinātu privāto datu apjomus un glabāšanas termiņus, ir nepieciešama informācija par laiku, kad dati tika apkopoti, kā arī par mērķi, kāpēc tas tika darīts. Laiku pa laikam ir jāveic IT sistēmās glabājamo privāto datu pārbaude, lai noteiktu, vai tie būs nepieciešami arī turpmāk.

Pārvaldība

Regula liek izvērtēt, vai tiek ievērotas datu drošības procedūras. Uzņēmumos ir jānosaka, kuriem darbiniekiem ir piekļuve privātiem datiem, kuriem ir jābūt šai piekļuvei, un kuriem ir jābūt ierobežotai piekļuvei atkarībā no darbinieka tiešiem pienākumiem, tādā veidā kontrolējot piekļuves tiesības.

Monitorings

Obligāti paziņojumi par drošības pārkāpumiem ir jauns izaicinājums uzņēmumiem. Regula nosaka pastāvīgu IT sistēmu monitoringu no drošības viedokļa. Ir pastāvīgi jāseko līdzi privāto datu piekļuves anomālijām un ir jāpaziņo atbildīgajām iestādēm par visiem pārkāpumiem. Ja tas netiek darīts, uzņēmumam var tikt piemērots vērā ņemams sods, īpaši starptautiskiem uzņēmumiem ar lielu gada apgrozījumu.

Varonis palīdz jebkura veida uzņēmumiem nodrošināt darbības atbilstību ES regulai. Programmnodrošinājums automatizē grūti izpildāmus un laikietilpīgus uzdevumus, kas vienkāršo regulas nosacījumu izpildi. Izmantojiet iespēju saņemt bezmaksas konsultāciju par Jūsu uzņēmuma atbilstību jaunai ES regulai, lai novērstu visus šķēršļus tās ieviešanas procesā