Klientu datu apstrāde
Juridiska palīdzība klientu datu apstrādē: tiesiskais pamats, mērķa noteikšana, datu minimizācija, īpašo datu apstrāde un piekļuves ierobežojumi.
Klientu datu apstrāde
Klientu datu apstrāde ir aktuāla, ja Jūs vācat, glabājat, nododat vai citādi izmantojat klientu personas datus savā saimnieciskajā darbībā. Šādu apstrādi drīkst veikt tikai ar tiesisku pamatu, skaidru mērķi un ievērojot datu minimizāciju, kā to nosaka Fizisko personu datu apstrādes likuma 25. panta 1. un 3. daļa.
Izvērtējam, vai datu apstrādei ir atbilstošs pamats saskaņā ar Vispārīgās datu aizsardzības regulas 6. pantu un, ja apstrādājat īpašu kategoriju datus, arī 9. panta 2. punktu. Iestādes vai Datu valsts inspekcijas konstatējums pats par sevi vēl nenozīmē, ka apstrāde, process vai piemērotās sekas ir tiesiski pamatotas; jāvērtē procedūra, pierādījumi, termiņi un lēmuma pamatojums.
Veicam klientu informēšanas noteikumu, piekļuves tiesību, datu saņēmēju norādes un dokumentu pārbaudi, kā arī analizējam iekšējās procedūras, līgumus un datu apstrādes nolūkus. Savlaicīga pārbaude ļauj noteikt, vai Jūsu datu apstrāde atbilst normatīvo aktu prasībām.
Kādos jautājumos palīdzam
Klientu datu apstrādes tiesiskais pamats. Izvērtējam, vai Jūsu klientu datu apstrādei ir konkrēts pamats un vai tas atbilst Fizisko personu datu apstrādes likuma 25. panta 1. daļai.
Datu minimizācijas prasības. Analizējam, vai apstrādājat tikai tādus klientu datus un tādā apmērā, kas nepieciešams noteiktajam mērķim.
Datu apstrāde citam nolūkam. Vērtējam, vai klientu datu izmantošana jaunam mērķim ir saderīga ar sākotnējo nolūku un vai tai ir tiesisks pamats.
Īpašu kategoriju klientu dati. Izvērtējam veselības, biometrisko, reliģiskās pārliecības, politisko uzskatu vai seksuālās orientācijas datu apstrādes pamatu un papildu nosacījumus.
Datu subjekta informēšana un piekļuve datiem. Sagatavojam izvērtējumu par klienta tiesībām saņemt informāciju par saviem datiem un par datu saņēmējiem vai saņēmēju kategorijām.
Datu valsts inspekcijas pārbaude. Veicam dokumentu un iekšējo procedūru pārbaudi, ja jāgatavojas uzraudzības iestādes pieprasījumam vai jāsniedz skaidrojumi par datu apstrādi.
Kāpēc KRONBERG
Veicam klientu datu apstrādes dokumentu, līgumu, privātuma paziņojumu un datu apstrādes procesa pārbaudi, lai noteiktu, vai apstrādei ir tiesisks pamats, skaidrs nolūks un ievērots datu minimizācijas princips. Īpašu uzmanību veltām arī īpašu kategoriju datiem un izvērtējam, vai ir pamats to apstrādei atbilstoši Fizisko personu datu apstrādes likuma 25. pantam un datu regulai.
Skaidri norādām, kur apstrāde ir juridiski pamatota, kur ir riski un kādi ierobežojumi attiecas uz konkrētu datu izmantošanu vai nodošanu. Nepieļaujam vispārīgus secinājumus bez izvērtējuma — Jūs saņemat juridisku novērtējumu par apstrādes atbilstību, informācijas pieejamību klientam un iespējamiem iebildumu pamatiem, ja dati ir izmantoti neatbilstoši nolūkam vai bez pietiekama tiesiska pamata.
Sagatavojam datu apstrādes noteikumus, privātuma paziņojumus, saskaņojumus, iekšējās procedūras, atbildes uz datu subjekta pieprasījumiem, iebildumus un skaidrojumus Datu valsts inspekcijai.
Biežākās kļūdas šāda veida lietās
Apstrāde bez tiesiska pamata
Klientu datus drīkst apstrādāt tikai tad, ja pastāv viens no Fizisko personu datu apstrādes likuma 25. panta 1. daļā un Datu regulas 6. panta 1. punktā paredzētajiem pamatiem. Ja pamats nav skaidri noteikts, apstrāde var tikt atzīta par neatbilstošu normatīvajām prasībām.
Neskaidrs apstrādes mērķis
Datus iegūst konkrētiem, skaidriem un leģitīmiem nolūkiem, nevis vispārējai turpmākai izmantošanai. Ja mērķis nav precīzi definēts, rodas risks, ka turpmākā apstrāde neatbildīs Fizisko personu datu apstrādes likuma 25. panta 3. daļai un Datu regulas 5. pantam.
Pārāk plaša datu vākšana
Drīkst apstrādāt tikai tādus klienta datus un tādā apmērā, kas nepieciešami konkrētā nolūka sasniegšanai. Ja tiek prasīta informācija, kas nav vajadzīga pakalpojuma sniegšanai vai juridiska pienākuma izpildei, tas pārkāpj datu minimizācijas principu.
Īpašo kategoriju datu apstrāde bez papildu pamata
Veselības dati, biometriskie dati, dati par reliģisko pārliecību, politiskajiem uzskatiem vai seksuālo orientāciju ir apstrādājami tikai ar papildu pamatu. Ja šāds pamats nav pārbaudīts, apstrāde neatbilst Fizisko personu datu apstrādes likuma 25. panta 2. daļai un Datu regulas 9. panta 2. punktam.
Biežāk uzdotie jautājumi
Jums ir jāpārbauda, vai katrai klientu datu apstrādei ir tiesisks pamats, skaidrs mērķis un tiek ievērots datu minimizācijas princips. Klientu dati drīkst tikt apstrādāti tikai atbilstoši Fizisko personu datu apstrādes likuma 25. panta 1. un 3. daļai, kā arī Vispārīgajai datu aizsardzības regulai. Jāvērtē arī, vai nav izmantots cits, sākotnējam mērķim nesavietojams nolūks.
Nē, Jums ir jāapstrādā tikai tādi dati un tādā apmērā, kas ir nepieciešami konkrētā mērķa sasniegšanai. Fizisko personu datu apstrādes likuma 25. panta 3. daļa paredz datu minimizācijas pienākumu. Ja dati nav vajadzīgi pakalpojuma sniegšanai vai citam tiesiskam nolūkam, to prasīšana nav pamatota.
Jums ir jāpārbauda, vai jaunais mērķis ir savietojams ar sākotnējo mērķi un vai pastāv atbilstošs tiesiskais pamats. Ja šāds pamats nav, datu izmantošana citam nolūkam nav pieļaujama. Šis vērtējums izriet no Fizisko personu datu apstrādes likuma 25. panta 3. daļas.
Tikai tad, ja ir kāds no Vispārīgās datu aizsardzības regulas 9. panta 2. punktā noteiktajiem pamatiem vai to paredz ārējs normatīvais akts. Veselības dati, biometriskie dati, dati par reliģisko pārliecību, politiskajiem uzskatiem vai seksuālo orientāciju ir īpašu kategoriju dati, un tiem piemēro paaugstinātas prasības. Jums ir jāizvērtē šis pamats pirms datu apstrādes.
Klientam ir tiesības piekļūt saviem datiem, taču likums noteiktās jomās paredz arī šo tiesību ierobežojumus. Jums ir jāvērtē pieprasījums atbilstoši Fizisko personu datu apstrādes likuma 26. panta 1. daļai un 27. pantam. Tas nozīmē, ka informācija jāsniedz tādā apjomā, kādu pieļauj normatīvie akti.
Jā, klientam var būt tiesības saņemt informāciju par datu saņēmējiem vai saņēmēju kategorijām, kam dati ir izpausti pēdējo divu gadu laikā. Šo kārtību paredz Fizisko personu datu apstrādes likuma 27. panta 3. daļa. Jums ir jāsagatavo šī informācija saprotamā un pārbaudāmā veidā.
Jums ir jāsniedz pieprasītā informācija un dokumenti, kas apliecina datu apstrādes atbilstību normatīvo aktu prasībām. Fizisko personu datu apstrādes likuma 4. panta pirmās daļas 1. punkts, 5. panta pirmās daļas 1., 3., 5. un 6. punkts un 15. panta 1. daļa dod inspekcijai tiesības pārbaudīt apstrādes atbilstību. Praktiski tas nozīmē, ka Jums jābūt sakārtotai iekšējai dokumentācijai un pamatojumam katram apstrādes veidam.
Nē, piekrišana nav vienīgais tiesiskais pamats. Jums ir jāvērtē arī citi Vispārīgajā datu aizsardzības regulā noteiktie pamati, jo klientu datu apstrāde ir atļauta tikai tad, ja pastāv vismaz viens no tiem. Svarīgi ir arī tas, lai apstrādes mērķis būtu skaidrs un apstrāde atbilstu datu aizsardzības principiem.
Sazināties ar mums
Mēs palīdzēsim izvērtēt jūsu situāciju.