Astoņi praktiski datu aizsardzības ieteikumi 2021. gadam

28.01.2021 Astoņi praktiski datu aizsardzības ieteikumi 2021. gadam

Starptautiskajā Datu aizsardzības dienā TGS Baltic datu aizsardzības prakses grupa ir apkopojusi astoņus ieteikumus, kas noderēs darbā ar personas datiem 2021. gadā. Ieteikumi ir balstīti TGS Baltic datu aizsardzības speciālistu praktiskajā pieredzē, nodrošinot klientu datu apstrādes atbilstību un palīdzot novērst datu pārkāpumus.

1. Novērsiet sīkdatņu lietošanas neatbilstību

Neatbilstoša sīkdatņu lietošana interneta vietnē ir kā braukšana ar automašīnu bez obligātās civiltiesiskās atbildības apdrošināšanas – ja pamanīs garāmbraucoša policijas ekipāža, sods garantēts, turklāt avārijas gadījumā finansiālās sekas var būt nopietnas. Līdzīgi ir ar neatbilstošu sīkdatņu lietošanu. Jūsu interneta vietne ir pieejama arī Datu valsts inspekcijas pārstāvjiem, kuri var aktā fiksēt neatbilstības un piemērot sodu par pārkāpumu. Visbiežāk neatbilstošas sīkdatņu politikas nesatur ziņas par sīkdatņu darbības ilgumu, kā arī par to, vai sīkdatņu ievāktā informācija tiek nodota trešajām personām. Tāpat bieži netiek atbilstoši iegūta piekrišana sīkdatņu izmantošanai. Sīkdatņu lietošanas neatbilstības ir iespējams novērst arī ar ierobežotu budžetu un īsā laikā, vēršoties pie TGS Baltic datu aizsardzības speciālistiem.

2. Pārskatiet privātuma politiku

Gluži tāpat kā sīkdatnes, komersanta privātuma politika ir publiski pieejama ikvienam. Pērn Datu valsts inspekcija pašiniciatīvas ietvaros pārbaudīja SIA “HH Invest” internetveikala privātuma politikas saturu un, secinot, ka informācija nav viegli uztveramā valodā un nav sniegta nesistemātiskā veidā, internetveikalam piemēroja naudas sodu EUR 15,000 apmērā. Ja Jūsu privātuma politika tika sagatavota 2018. vai 2019. gadā, ir laiks to pārskatīt un atjaunot, izpildot pienākumu sniegt personām, kuru datus apstrādājat, pilnīgu informāciju par datu apstrādi viegli uztveramā valodā.

3. Atjaunojiet personas datu apstrādes reģistru

Lai gan personas datu apstrādes reģistrs nav publiski pieejams visiem, tas ir komersanta datu aizsardzības sistēmas stūrakmens. Ja nav pilnīga personas datu apstrādes reģistra, kurā atspoguļotas visas komersanta veiktās datu apstrādes, tas ļoti apgrūtina atbilstošas privātuma politikas sagatavošanu, kā arī datu aizsardzības pārkāpuma novērtēšanu un seku novēršanu. Personas datu apstrādes reģistru ir jāatjauno regulāri, pārskatot un papildinot ar aktuālu informāciju par datu apstrādi.

4. Novērtējiet datu apstrādātāju darbību

Piegādātāju līgumu sagatavošana un noslēgšana bieži ir atbildīgās komersanta nodaļas, piemēram, personāla vadības vai grāmatvedības, kompetencē. Ne vienmēr atbildīgā nodaļa, līgumu slēdzot, pareizi novērtē, vai ir nepieciešams ar piegādātāju noslēgt datu apstrādes līgumu atbilstoši Datu regulas 28. panta prasībām. Ja šāda neatbilstība tiek atklāta, izmeklējot datu aizsardzības pārkāpumu, kas noticis, piegādātājam apstrādājot personas datus, tas var tikt vērtēts kā papildu pārkāpums, turklāt šādā situācijā to novērst vairs nebūs iespējams. Regulāri jāveic pārbaudes, vai ar visiem datu apstrādātājiem ir noslēgti atbilstoši līgumi. Tāpat regulāri jāveic datu apstrādātāju auditi, pārliecinoties, vai tie izpilda datu aizsardzības prasības.

5. Parūpējieties par personas datu apstrādes drošību

Šogad TGS Baltic datu aizsardzības prakses grupa atbalstīja klientus divu izspiedējvīrusu uzbrukumu seku novērtēšanā un paziņojumu iesniegšanā Datu valsts inspekcijai par datu aizsardzības pārkāpumiem. Lai novērstu šāda veida pārkāpumus, ieviesiet saistošus un vienkāršus iekšējos informācijas drošības noteikumus, apmāciet darbiniekus, kā atpazīt pikšķerēšanas e-pastus, lietojiet antivīrusa datorprogrammu ar ļaunatūras definīciju ikdienas atjaunināšanu, kā arī izmantojiet šifrēšanu, lai uzglabātu personas datus.

6. Sagatavojiet darbiniekus rīcībai datu aizsardzības pārkāpuma gadījumā

Ja tomēr datu aizsardzības pārkāpumu nav izdevies novērst, 72 stundu termiņš incidenta novērtēšanai un lēmuma pieņemšanai par paziņojuma iesniegšanu Datu valsts inspekcijai par datu aizsardzības pārkāpumu var izrādīties nopietns izaicinājums jebkuram uzņēmumam. TGS Baltic datu aizsardzības prakses grupa ir sagatavojusi apmācības par datu aizsardzību atbildīgajiem darbiniekiem, kurās tiek izspēlēta datu aizsardzības pārkāpuma situācija un sagatavots pārkāpuma novērtēšanas rīcības plāns, kā arī paziņojums Datu valsts inspekcijai.

7. Izdrukājiet visu datu aizsardzības dokumentāciju

Datu aizsardzības pārkāpuma pārvaldības politika nav lietderīga, ja atrodas pēc kiberuzbrukuma nepieejamā serverī, savukārt datu atjaunošana no rezerves kopijām var aizņemt vairāk kā 72 stundas, kuru laikā komersantam ir jāpieņem lēmums, vai ziņot Datu valsts inspekcijai par pārkāpumu. Arī cita datu aizsardzības dokumentācija papīra formātā var noderēt šādā situācijā, lai apzinātu incidenta ietekmēto personas datu kategorijas.

8. Nodrošiniet atbilstošu datu nodošanu trešajām valstīm

Datu nodošana trešajām valstīm var izpausties arī kā dokumentu glabāšana Google Drive vai pie citiem mākoņdatošanas pakalpojumu sniedzējiem, kuru serveri ir izvietoti ārpus Eiropas Savienības un Eiropas Ekonomiskās Zonas jeb trešajās valstīs. 2020. gada jūlijā Eiropas Savienības tiesa atzina par spēkā neesošu visbiežāk izmantotu priekšnosacījumu iespējai nosūtīt datus apstrādei uz Amerikas Savienotajām Valstīm, turklāt tiesas spriedumā bija lasāms secinājums, ka, nosūtot datus uz trešajām valstīm, ikvienam komersantam jānovērtē, vai datu aizsardzības līmenis trešajā valstī ir atbilstošs datu regulai. Novembrī Eiropas datu aizsardzības padome publicēja vadlīnijas par to, kā šādu novērtējumu veikt, un kādus papildu pasākumus piemērot, lai nodrošinātu atbilstošu aizsardzību. TGS Baltic datu aizsardzības prakses grupa palīdzēja vairākiem klientiem izvēlēties atbilstošāko tiesisko pamatu datu nodošanai trešajām valstīm un sagatavot novērtējumu par papildu aizsardzības pasākumiem, lai nodrošinātu atbilstību.

Aicinām uz bezmaksas attālinātu tikšanos – konsultāciju par datu aizsardzības atbilstību Jums ērtā laikā, rakstot uz e-pastu arina.stivrina@tgsbaltic.com, zvanot uz tālruni + 371 6788 9999.