Datu apstrādes noteikumu sagatavošana uzņēmumam
Juridiska palīdzība datu apstrādes noteikumu sagatavošanā uzņēmumam: tiesiskais pamats, nolūki, īpašo kategoriju dati, videonovērošana un auditācijas pieraksti.
Datu apstrādes noteikumu sagatavošana uzņēmumam
Datu apstrādes noteikumi ir aktuāli, ja uzņēmums apstrādā klientu, darbinieku vai sadarbības partneru personas datus un vēlas sakārtot iekšējo datu aprites kārtību atbilstoši normatīvajām prasībām. Regulējums balstās Fizisko personu datu apstrādes likuma 25. pantā un Vispārīgajā datu aizsardzības regulā.
Šādos noteikumos vērtējam tiesisko pamatu, apstrādes nolūkus, datu minimizēšanu un turpmākās izmantošanas atbilstību sākotnējam mērķim. Ja tiek apstrādāti īpašu kategoriju dati, jāvērtē arī Fizisko personu datu apstrādes likuma 25. panta 2. daļa. Iestādes lēmums vai pārbaudes laikā konstatētais rezultāts pats par sevi nenozīmē, ka datu apstrāde ir tiesiski pamatota; jāizvērtē procedūra, pierādījumi, termiņi un lēmuma pamatojums.
Veicam uzņēmuma esošo dokumentu, privātuma paziņojumu, piekrišanas tekstu, videonovērošanas norāžu un datu apstrādes procedūru analīzi. Sagatavojam datu apstrādes noteikumu saturu, kas atbilst konkrētajam uzņēmuma darbības modelim un apstrādes riskiem.
Savlaicīga juridiska pārbaude palīdz noteikt, vai noteikumi ir pietiekami konkrēti un vai tiem ir pamats turpmākai rīcībai, apstrīdēšanai vai precizēšanai.
Kādos jautājumos palīdzam
Datu apstrādes noteikumu struktūra uzņēmumam. Izvērtējam, kā noteikumos iekļaut datu apstrādes pamatu, nolūkus, datu apjomu un turpmākās apstrādes nosacījumus atbilstoši Fizisko personu datu apstrādes likuma 25. panta 1., 3. un 4. daļai.
Īpašo kategoriju datu apstrāde. Analizējam, vai veselības, biometrisko vai citu īpašu kategoriju datu apstrādei ir tiesisks pamats, un sagatavojam noteikumu formulējumus, kas atbilst Fizisko personu datu apstrādes likuma 25. panta 2. daļai.
Videonovērošanas iekšējie noteikumi. Pārbaudām, vai noteikumos un informatīvajā zīmē ir norādīts pārzinis, kontaktinformācija, apstrādes mērķis un atsauce uz papildu informāciju atbilstoši Fizisko personu datu apstrādes likuma 36. panta 3. daļai.
Bērnu datu apstrāde tiešsaistes pakalpojumos. Izvērtējam piekrišanas saņemšanas kārtību, ja uzņēmums sniedz informācijas sabiedrības pakalpojumus bērniem, un sagatavojam noteikumus atbilstoši Fizisko personu datu apstrādes likuma 33. pantam.
Auditācijas pierakstu glabāšanas kārtība. Veicam glabāšanas termiņu pārbaudi un saskaņojam noteikumus ar prasību par auditācijas pierakstu glabāšanu ne ilgāk kā vienu gadu, ja nav noteikts citādi, atbilstoši Fizisko personu datu apstrādes likuma 37. panta 2. daļai.
Datu subjekta tiesību ierobežojumi uzņēmumā. Sagatavojam noteikumu sadaļas par tiesību ierobežošanu, ja to paredz normatīvie akti un ir ievēroti Fizisko personu datu apstrādes likuma 26. panta 1. daļā noteiktie nosacījumi.
Izvērtējam katru situāciju pēc konkrētiem dokumentiem, nevis pēc pieņēmumiem par to, kā uzņēmumā “vajadzētu” darboties datu apstrādei. Sagatavojot noteikumus, balstāmies uz Jūsu apstrādes pamatu, nolūkiem, datu kategorijām un iekšējo procedūru faktisko saturu.
Kāpēc KRONBERG
Veicam uzņēmuma datu apstrādes noteikumu saturiskās pārbaudes, analizējot, vai tajos ir korekti nostiprināts tiesiskais pamats, apstrādes nolūki, datu apjoms un turpmākās apstrādes nosacījumi atbilstoši Datu regulas 6. pantam un Fizisko personu datu apstrādes likuma 25. panta 1.–4. daļai. Ja Jūsu uzņēmums apstrādā īpašu kategoriju datus, pārbaudām arī 9. panta 2. punkta pamatojumu un to, vai iekšējie noteikumi to atspoguļo precīzi.
Nesolām rezultātu bez izvērtēšanas, jo datu apstrādes noteikumi ir jāsaskaņo ar Jūsu faktisko datu apstrādes modeli, izmantotajām sistēmām un nozares regulējumu. Sniedzam Jums konkrētu juridisku novērtējumu, norādot riskus, kur noteikumu saturs ir nepilnīgs, kur apstrādes pamats ir nepietiekami aprakstīts un kur nepieciešama papildu tiesiskā bāze vai dokumentēšana.
Sagatavojam datu apstrādes noteikumu projektu, iekšējo kārtību, piekrišanas teksta redakcijas, videonovērošanas informatīvās zīmes saturu, datu subjekta informēšanas tekstus, kā arī iebildumus un prasījumus situācijās, kad Jūsu esošā prakse neatbilst normatīvajām prasībām. Veicam arī dokumentu saskaņošanu ar citiem privātuma dokumentiem, lai noteikumi nebūtu formāli, bet juridiski lietojami ikdienas datu apstrādē.
Biežākās kļūdas šāda veida lietās
Neprecīzs tiesiskais pamats
Datu apstrādes noteikumos nepietiek ar vispārīgu atsauci uz “uzņēmuma vajadzībām”. Katram apstrādes nolūkam Jums jānorāda konkrēts tiesiskais pamats no Datu regulas 6. panta 1. punkta; ja apstrādājat īpašu kategoriju datus, jāvērtē arī Datu regulas 9. panta 2. punkts un Fizisko personu datu apstrādes likuma 25. panta 2. daļa.
Pārāk plaši nolūki
Ja noteikumos nolūkus formulējat vispārīgi, Jūs vājināt datu minimizēšanas un nolūka ierobežojuma prasību izpildi. Fizisko personu datu apstrādes likuma 25. panta 3. daļa prasa konkrētus, skaidrus un leģitīmus nolūkus, kā arī apstrādi tikai tādā apmērā, kāds nepieciešams šo nolūku sasniegšanai.
Turpmākās apstrādes ignorēšana
Datus nedrīkst automātiski izmantot jaunam mērķim tikai tāpēc, ka tie jau ir uzņēmuma rīcībā. Ja paredzat citu izmantošanu, Jums jāizvērtē, vai ir jauns tiesiskais pamats vai arī turpmākā apstrāde ir savietojama ar sākotnējo nolūku; to nosaka Fizisko personu datu apstrādes likuma 25. panta 3. daļa.
Nepilnīgi iekšējie nosacījumi
Datu apstrādes noteikumos nedrīkst atstāt neatrunātu bērnu datu apstrādi, videonovērošanas informēšanu, auditācijas pierakstu glabāšanu un datu subjekta tiesību ierobežojumus. Šie jautājumi jāpielāgo konkrētajam uzņēmuma procesam, jo tiem ir atsevišķas prasības Fizisko personu datu apstrādes likuma 33. pantā, 36. panta 3. daļā, 37. panta 2. daļā un 26. panta 1. daļā.
Biežāk uzdotie jautājumi
Jums tajos ir skaidri jānorāda datu apstrādes tiesiskais pamats, konkrētie nolūki un tas, ka tiek ievērots datu minimizēšanas princips. Noteikumos ir jānosedz arī personas datu apstrādes kārtība atbilstoši Fizisko personu datu apstrādes likumam un Vispārīgajai datu aizsardzības regulai.
Nē, ar praktisku vajadzību vien nepietiek. Jums katrai datu apstrādei ir jābūt atbilstošam tiesiskajam pamatam, ko paredz Vispārīgās datu aizsardzības regulas 6. pants un Fizisko personu datu apstrādes likuma 25. panta 1. daļa.
Jums ir jānorāda, uz kādu pamatu šāda apstrāde balstās, jo īpašo kategoriju datu apstrāde ir pieļaujama tikai tad, ja ir Vispārīgās datu aizsardzības regulas 9. panta 2. punkta pamats vai to paredz cits normatīvais akts. Šo datu apstrādi nevajag formulēt vispārīgi, jo uzņēmumam ir jāpamato tieši šādas kategorijas datu nepieciešamība.
Tas ir pieļaujams tikai tad, ja ir atbilstošs tiesiskais pamats vai turpmākā apstrāde ir savietojama ar sākotnējo nolūku. Jums datu apstrādes noteikumos ir jāparedz, ka dati netiek izmantoti ārpus skaidri noteikta un leģitīma mērķa bez juridiska pamata.
Jums ir jānorāda, ka tiek vākti tikai tādi dati, kas ir nepieciešami konkrētā nolūka sasniegšanai. Pārmērīga datu vākšana neatbilst datu minimizēšanas principam.
Nē, Jums jāievēro arī Fizisko personu datu apstrādes likums un attiecīgās nozares speciālie normatīvie akti. Ja apstrāde balstās uz juridisku pienākumu, sabiedrības interesēm vai oficiālām pilnvarām, konkrētais pamats jāmeklē arī nozares regulējumā.
Jā, un informācijai jābūt konkrētai. Fizisko personu datu apstrādes likuma 36. panta 3. daļa paredz, ka informatīvajā zīmē jānorāda vismaz pārziņa nosaukums, kontaktinformācija, apstrādes mērķis un norāde, kur saņemt papildu informāciju.
Sazināties ar mums
Mēs palīdzēsim izvērtēt jūsu situāciju.