GDPR dokumentu audits
Juridiska palīdzība GDPR dokumentu auditā: privātuma politika, datu apstrādes reģistri, piekrišanas, līgumi, glabāšanas termiņi un risku izvērtēšana.
GDPR dokumentu audits
GDPR dokumentu audits ir aktuāls, ja Jūsu uzņēmumā tiek apstrādāti klientu, darbinieku vai sadarbības partneru personas dati un ir jāvērtē, vai iekšējā dokumentācija atbilst piemērojamajām datu aizsardzības prasībām. Eiropas Parlamenta un Padomes regula (ES) 2016/679 nosaka pienākumu nodrošināt personas datu apstrādes tiesisku pamatu, pārskatāmību un atbildību par apstrādi.
Izvērtējam, vai dokumentos ir precīzi noteikti apstrādes mērķi, datu saņēmēji, glabāšanas termiņi, drošības pasākumi un datu subjekta tiesību īstenošanas kārtība. Iestādes vai uzrauga secinājums par pārkāpumu pats par sevi vēl nenozīmē, ka visa procedūra un sankcija ir juridiski pamatota; jāvērtē dokumentu saturs, faktiskā apstrāde un lēmuma pamatojums.
Veicam datu apstrādes noteikumu, privātuma paziņojumu, piekrišanas tekstu, līgumu ar apstrādātājiem un iekšējo procedūru analīzi. Sagatavojam juridisku izvērtējumu par konstatētajiem riskiem un norādām, kādi dokumenti ir jākoriģē vai jāpārskata tālākai rīcībai.
Savlaicīga dokumentu pārbaude ļauj identificēt neatbilstības pirms tās rada tiesiskas sekas.
Kādos jautājumos palīdzam
GDPR dokumentu audits. Izvērtējam privātuma politiku, sīkdatņu politiku, datu apstrādes noteikumus, iekšējās procedūras un datu apstrādes reģistru atbilstību faktiskajai datu apstrādei.
Datu apstrādes dokumentu neatbilstības. Analizējam, vai dokumentos ir nepilnīgi mērķi, tiesiskais pamats, glabāšanas termiņi, saņēmēji, datu subjektu tiesības vai informēšanas kārtība.
Sīkdatņu un tiešsaistes izsekošanas dokumentācija. Veicam tīmekļvietnes sīkdatņu paziņojumu, piekrišanas teksta un lietošanas shēmas pārbaudi attiecībā pret faktisko vietnes darbību.
Datu apstrādes līgumi ar sadarbības partneriem. Izvērtējam līgumus ar ārpakalpojumu sniedzējiem, kopīgo pārziņu vai apstrādātāju attiecības un dokumentu saskaņotību ar Jūsu datu plūsmu.
Iekšējās datu aizsardzības procedūras. Sagatavojam un pārskatām kārtību darbinieku rīcībai ar personas datiem, incidentu fiksēšanai, piekļuves kontrolei un datu subjektu pieprasījumu izpildei.
Uzraugošās iestādes jautājumi un klientu sūdzības. Izvērtējam, kādi dokumenti un skaidrojumi ir sagatavojami, ja ir saņemts datu subjekta iebildums, pieprasījums vai iestādes pieprasījums par personas datu apstrādi.
Izvērtējam katru situāciju pēc konkrētajiem dokumentiem, datu plūsmas un faktiskās apstrādes kārtības. Nepaļaujamies uz pieņēmumiem vai vispārīgām veidnēm, bet pārbaudām, vai Jūsu dokumenti atbilst reālajai praksei un sagatavotajai datu apstrādei.
Kāpēc KRONBERG
Veicam Jūsu datu apstrādes dokumentu auditu, pārbaudot privātuma politiku, datu apstrādes reģistru, piekrišanas tekstus, līgumus ar apstrādātājiem, iekšējās procedūras un datu glabāšanas kārtību. Salīdzinām dokumentos noteikto ar Vispārīgās datu aizsardzības regulas prasībām, lai identificētu neatbilstības mērķu noteikšanā, tiesiskā pamata izvēlē, informēšanas pienākumā un datu subjekta tiesību nodrošināšanā.
Nesolām secinājumu bez pārbaudes. Sagatavojam Jums skaidru juridisko novērtējumu par atbilstības riskiem, trūkumiem dokumentācijā un praktiski īstenojamām rīcības iespējām, lai Jūs zinātu, kas ir jāprecizē, jāpapildina vai jāmaina pirms uzraudzības iestādes pieprasījuma vai iekšēja audita.
Sagatavojam nepieciešamos dokumentus un labojumus auditā konstatēto nepilnību novēršanai: privātuma politikas redakcijas, iekšējās procedūras, piekrišanas formas, datu apstrādes līgumus, paziņojumu tekstus un saraksti ar datu apstrādātājiem vai uzraudzības iestādi.
Biežākās kļūdas šāda veida lietās
Nepilnīgs dokumentu apjoms
GDPR dokumentu audits zaudē praktisko vērtību, ja tajā neiekļauj apstrādes darbību reģistru, privātuma paziņojumus, datu apstrādes līgumus un iekšējās procedūras. Bez pilna dokumentu kopuma nav iespējams korekti izvērtēt, vai apstrādes pamati, pienākumu sadale un informēšanas kārtība atbilst Regulas (ES) 2016/679 prasībām.
Novecojis saturs
Dokumenti, kas nav pielāgoti faktiskajai datu apstrādei, rada risku, ka aprakstītā kārtība nesakrīt ar reālo praksi. Tas ir juridiski būtiski, jo audits vērtē ne tikai teksta esamību, bet arī to, vai dokumentos fiksētie procesi atbilst faktiskajai personas datu apstrādei.
Datu apstrādes pamata neskaidrība
Audita laikā bieži atklājas, ka dokumentos nav skaidri nošķirts konkrētais tiesiskais pamats katram apstrādes mērķim. Tas apgrūtina atbilstības pārbaudi, jo bez precīza pamata nav iespējams izvērtēt, vai datu apstrāde ir juridiski pamatota un samērīga.
Pierādījumu neuzkrāšana
Ar dokumentiem vien nepietiek, ja nav saglabāti pierādījumi par piekrišanām, informēšanu, piekļuves kontroli un datu subjektu pieprasījumu izpildi. Audita laikā tieši šie materiāli parāda, vai organizācija spēj pamatot savu rīcību un aizstāvēt atbilstību uzraugošās iestādes pārbaudē.
Biežāk uzdotie jautājumi
Tas ir dokumentu un iekšējo procesu izvērtējums, lai pārbaudītu, vai Jūsu personas datu apstrādes dokumentācija atbilst Vispārīgajai datu aizsardzības regulai un Latvijas datu aizsardzības prasībām. Audita laikā tiek vērtēti dokumenti, kas nosaka datu apstrādes mērķus, tiesisko pamatu, glabāšanas termiņus, saņēmējus un datu subjektu tiesību īstenošanu.
Vispirms ir jāpārbauda privātuma politika, datu apstrādes reģistri, iekšējās procedūras, darbinieku norādījumi, līgumi ar apstrādātājiem un datu subjektiem sniegtā informācija. Jāvērtē arī, vai dokumentos ir konsekventi norādīti apstrādes mērķi, tiesiskais pamats un glabāšanas termiņi.
Jums ir jāpārbauda, vai katrai datu apstrādei ir skaidrs tiesiskais pamats, vai datu subjektam ir sniegta saprotama informācija un vai dokumentos nav pretrunu starp faktisko praksi un rakstīto kārtību. Tāpat ir jāvērtē, vai ir noteikta datu glabāšanas kārtība, datu nodošana trešajām personām un drošības pasākumi.
Auditā bieži tiek konstatēti dokumenti, kas ir nepilnīgi, novecojuši vai nesakrīt ar faktisko datu apstrādi. Bieži trūkst arī skaidras informācijas par datu glabāšanas termiņiem, apstrādātājiem un datu subjektu tiesību īstenošanas kārtību.
Jums ir jāizvērtē katra neatbilstība pēc riska līmeņa un jāveic dokumentu, iekšējo procedūru un faktisko datu apstrādes procesu korekcija. Nepietiek tikai ar dokumentu pārrakstīšanu — tiem ir jāatbilst arī reālajai uzņēmuma darbībai.
Nē, ar privātuma politiku vien nepietiek, ja uzņēmums apstrādā personas datus ikdienā. Jābūt arī iekšējai kārtībai, reģistriem, līgumiskajam regulējumam ar apstrādātājiem un skaidrai procedūrai datu subjektu pieprasījumu izskatīšanai.
Audits ir jāveic, kad mainās datu apstrādes procesi, izmantotās sistēmas, piegādātāji vai normatīvās prasības. To ir ieteicams veikt arī pirms jaunu datu apstrādes procesu ieviešanas, lai savlaicīgi izvērtētu atbilstību.
Sazināties ar mums
Mēs palīdzēsim izvērtēt jūsu situāciju.