LAT
Datu apstrādes reģistrs - kā to veidot un kāpēc?
Vispārīgās datu aizsardzības regulas (Regula) 30.pants nosaka, ka katram pārzinim vai tā pārstāvim ir jāreģistrē tā pakļautībā veiktās datu apstrādes darbības. Bieži vien praksē šo iekšējās kontroles rīku sauc par datu apstrādes reģistru. Minētajā reģistrā ietver visu šādu informāciju:
- pārziņa un attiecīgā gadījumā visu kopīgo pārziņu, pārziņa pārstāvja un datu aizsardzības speciālista, vārds un uzvārds vai nosaukums un kontaktinformācija;
- datu apstrādes nolūki;
- datu subjektu kategoriju un personas datu kategoriju apraksts;
- datu saņēmēju kategorijas, kuriem personas dati ir izpausti vai kuriem tos izpaudīs, tostarp saņēmēji trešās valstīs vai starptautiskās organizācijas;
- attiecīgā gadījumā, informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, tostarp šīs trešās valsts vai starptautiskās organizācijas identifikācija, un, ja nepieciešams, atbilstošo garantiju dokumentācija;
Nav obligāti, bet, ja ir iespējams:
- paredzētie termiņi dažādu kategoriju datu dzēšanai;
- tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.
Pienākums reģistrēt visu minēto informāciju ir paredzēts, lai vajadzības gadījumā uzraudzības iestādēm būtu iespēja pārbaudīt kādas konkrētās vai visu datu apstrādes likumību, ieskaitot datu apstrādes juridiskos pamatus, apstrādes termiņu savietojamību ar tās nolūkiem, kā arī pārējos datu apstrādes noteicošus elementus.
Pienākums izveidot un uzturēt datu apstrādes reģistru
attiecas uz dažādu kategoriju pārziņiem: privātpersonām, privātiem un
publiskiem uzņēmumiem, iestādēm, un citām personām, kas apstrādā datu subjektu
personas datus. Kā arī ne tikai uz pārziņiem, bet arī uz apstrādātājiem.
Regulas 30(2).pants nosaka, ka katrs apstrādātājs un attiecīgā gadījumā apstrādātāja pārstāvis uztur visu pārziņa vārdā veikto apstrādes darbību kategoriju reģistru, ietverot šādu informāciju:
- apstrādātāja vai apstrādātāju vārdi, uzvārdi vai nosaukumi un kontaktinformācija un katra tā pārziņa vārds, uzvārds vai nosaukums, kontaktinformācija, kura vārdā apstrādātājs darbojas, un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvja un datu aizsardzības speciālista vārds, uzvārds un kontaktinformācija;
- katra pārziņa vārdā veiktās apstrādes kategorijas;
- attiecīgā gadījumā, informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, tostarp šīs trešās valsts vai starptautiskās organizācijas identifikācija, un nepieciešamības gadījumā – atbilstošo garantiju dokumentācija;
Nav obligāti, bet, ja ir iespējams:
- tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.
Atkāpe no pienākuma
Toties, ievērojot mikro, mazo un vidējo uzņēmumu īpašo situāciju, Regula paredz arī atkāpi - pienākums uzturēt datu apstrādes reģistru neattieksies nedz uz pārzini, nedz uz apstrādātāju, kuri nodarbina mazāk nekā 250 personas, izņemot, ja (i) uzņēmuma vai struktūras veiktā apstrāde varētu radīt risku datu subjektu tiesībām un brīvībām, (ii) apstrāde nav neregulāra vai (iii) apstrāde ietver īpašu kategoriju datu un personas datus par sodāmību un pārkāpumiem.
Tātad, ja uzņēmums ir uzskatāms par mikrouzņēmumu ar nelielu apgrozījumu un darbinieku skaitu, taču primārā darbības veidā ietvaros regulāri apstrādā lielu personas datu apjomu, šis izņēmums uz tādu uzņēmumu neattieksies.
Par datiem, kuru apstrādi var novērtēt kā tādu, kas varētu radīt risku datu subjektu tiesībām un brīvībām, var uzskatīt datu subjekta intelektuālā īpašuma tiesības, videonovērošanu, ģeolokāciju datus, u.c.
No kā sākt
Labs veids, kā sākt, ir veikt uzņēmuma datu auditu vai datu kartēšanu (data mapping), kas palīdzēs noskaidrot, kādi personas dati ir uzņēmuma rīcībā, kur tie glabājas, ar kādu mērķi tiek apstrādāti un kam ir piešķirtas piekļuves tiesības.
Veicot tādu auditu patstāvīgi, ieteicams vispirms sākt ar personas datu kategoriju un to glabāšanas vietas noskaidrošanu. Ja uzņēmums pamatā pilda personas datu pārziņa lomu, tad sāciet auditu vai kartēšanu, sadalot uzņēmuma darbību pēc funkcijām (personāla vadība, mārketings, pārdošana, u.tml.). Ja uzņēmumam lielākoties ir datu apstrādātāja pienākumi, tad sāciet ar pārziņu apzināšanu un viņiem piederošiem personas datiem.
Tad, kad pamata informācija ir iegūta, var sākt aptaujāt nodaļas vai darbiniekus, kuru amata pienākumi vai uzdevumi ietver konstatēto datu apstrādi. Veikt aptaujas palīdzēs izstrādātas anketas, kurās nepieciešams paredzēt jautājumus par personas datu apstrādes nolūkiem, regularitāti, datu saņēmējiem, datu veidiem un datu subjektu kategorijām, u.c.
Pārbaudiet vai uzņēmumam ir izstrādātas iekšējās politikas un vadlīnijas – tie var saturēt papildus informāciju par uzņēmumā notiekošo datu apstrādi. Daudz informācijas var iegūt arī no pakalpojumu līgumiem, kuri ir noslēgti starp uzņēmumu un trešajām personām.
Ērtākais veids, kā sākt veidot ierakstus datu apstrādes reģistrā ir uzsākt darbu ar datiem, par kuru apstrādi jūsu rīcībā ir visvairāk informācijas.
Visbeidzot, ir jāatceras, ka personas datu apstrādes reģistrs nav vienreizējs dokuments. Reģistrs ir obligāti jāpārskata un jāpapildina katru reizi, kad uzņēmums sāk apstrādāt jaunus datus, izmantot esošus datus citos nolūkos, pagarina datu apstrādes termiņu vai padara datus pieejamus citām personām.Regula nenosaka kuram darbiniekam būtu jānosaka pienākums izveidot un uzturēt reģistru. Taču, lai reģistra vešana būtu sekmīga, ir iesakāms noteikt atbildīgo personu, kura pārzinās reģistrā ietvertos datus un veicinās uzņēmuma kopējo atbilstību un spēju reaģēt uz likuma izmaiņām, pieprasījumiem un sūdzībām. Uzņēmumos, uz kuriem attiecas pienākums iecelt datu aizsardzības speciālistu, šo funkciju visbiežāk pildīs pieaicinātais speciālists.
Autors: Marina Briškena, eGDPR