Prasību ievērošana
Vai manam uzņēmumam ir jāieceļ datu aizsardzības speciālists?
Noteiktos apstākļos VDAR nosaka uzņēmumiem pienākumu iecelt datu aizsardzības speciālistu. Datu aizsardzības speciālists var tikt lietots saīsinājumā kā DAS. Datu aizsardzības speciālista galvenais uzdevums ir nodrošināt, ka jūsu uzņēmums apstrādā personāla, klientu, piegādātāju un jebkuru citu fizisko personu personas datus saskaņā ar piemērojamiem datu aizsardzības noteikumiem. Ņemot vērā iepriekš minēto, datu aizsardzības speciālistam ir jāpalīdz jūsu uzņēmumam uzraudzīt datu aizsardzības prasību ievērošana, jāsniedz informācija un konsultācijas par jūsu datu aizsardzības pienākumiem, jābūt tiešajai kontaktpersonai saziņā ar fiziskajām personām par visiem jautājumiem, kas ir saistīti ar viņu personas datu apstrādi un VDAR noteikto tiesību īstenošanu, kā arī kontaktpersonai saziņā ar datu aizsardzības iestādi. Tā kā datu aizsardzības speciālists ir neatņemama organizācijas daļa, ideālā gadījumā tas tiek iecelts, lai garantētu datu aizsardzības prasību ievērošanu.
Vai man ir jāieceļ datu aizsardzības speciālists?
Pastāv četras situācijas, kurās ir jāieceļ datu aizsardzības speciālists:
-
Publiska iestāde/struktūra
Ja apstrādi veic publiska iestāde vai struktūra. -
Regulāra un sistemātiska novērošana
Ja jūsu uzņēmuma (vai jūsu apstrādātāja) galvenās darbības sastāv no apstrādes darbībām, kurām to būtības, apmēra un/vai nolūku dēļ nepieciešama regulāra un sistemātiska fizisko personu novērošana plašā mērogā.
Novērošana ietver visu veidu tiešsaistes un bezsaistes izsekošanu un profilēšanu, piemēram, e-pastu pārorientēšana, paradumorientēta reklāma, videonovērošanas kameras, atrašanās vietas izsekošana... -
Īpašas kategorijas vai sodāmība un pārkāpumi
Ja jūsu uzņēmuma (vai jūsu apstrādātāja) pamatdarbības ietver īpašo kategoriju datu un personas datu par sodāmību un pārkāpumiem apstrādi plašā mērogā.
Apstrāde ir plaša mēroga, ja ir iesaistīta liela mēroga vai liela apjoma personas dati, ja tas notiek plašā ģeogrāfiskajā apgabalā, ja ir iesaistīts liels skaits fizisko personu vai ja tā ir visaptveroša vai tai ir ilgstošas sekas. -
Dalībvalsts un Savienības tiesību akti
Ja to nosaka Savienības vai Dalībvalsts (valsts, kurā veicat personas datu apstrādi) tiesību akti.
Neaizmirstiet pārbaudīt citus ES tiesību aktus un tās valsts tiesību aktus, kurā apstrādājat personas datus. Tajos var būt ietverti īpaši noteikumi attiecībā uz datu aizsardzības speciālista piesaisti.
Būtiski ņemt vērā, ka pat tad, ja jūsu uzņēmumam nav pienākuma iecelt datu aizsardzības speciālistu saskaņā ar iepriekš minētajiem kritērijiem, jums joprojām ir tiesības to darīt pēc brīvas izvēles.
Kā iecelt datu aizsardzības speciālistu?
Datu aizsardzības speciālists var būt gan jūsu uzņēmuma (vai jūsu apstrādātāja) darbinieks, kas ir iecelts jūsu uzņēmumā, vai varat izmantot ārpakalpojumu, noslēdzot pakalpojumu līgumu ar fizisko personu vai organizāciju ārpus jūsu uzņēmuma.
Pirms iecelt datu aizsardzības speciālistu, jums ir jāpārliecinās, vai kandidātam ir nepieciešamās (profesionālās) kvalifikācijas. Ir jāievēro visas turpmāk uzskaitītās normatīvās prasības, uzdevumi un pienākumi neatkarīgi no tā, vai tiek iecelts iekšējais vai ārējais datu aizsardzības speciālists obligātā vai brīvprātīgā kārtā.
1. Neatkarība
Būtiski iegaumēt, ka datu aizsardzības speciālistam savi pienākumi jāveic neatkarīgi. Tas nozīmē, ka jums ir jāatturas sniegt norādījumus par datu aizsardzības speciālista pienākumu pildīšanu, kā arī noraidīt vai sodīt datu aizsardzības speciālistu par viņa pienākumu pildīšanu. Ar datu aizsardzības speciālistiem noslēgtajos līgumos jāietver atbilstoši noteikumi, lai izvairītos no datu aizsardzības speciālista neaizsargātības: nekādi negodīgi līguma izbeigšanas noteikumi, līguma sankcijas, kā arī citi tieši vai netieši instrumenti, kas var ietekmēt datu aizsardzības speciālista neatkarību.
Important is that the DPO should be able to perform its duties independently. This means that you should refrain from providing instructions regarding the exercise of the DPO’s tasks, as well as from dismissing or penalising the DPO for performing his tasks. Contracts concluded with the DPO should contain appropriate terms to avoid vulnerability of DPO: no unfair termination terms, contractual sanctions, other direct or indirect instruments that may affect independence of DPO.
2. Datu aizsardzības speciālists
Izvēloties datu aizsardzības speciālistu, novērtējiet, vai kandidātam ir speciālās zināšanas par datu aizsardzības tiesību aktiem un praksi, kā arī spēju pildīt datu aizsardzības speciālista pienākumus. Tāpat jāņem vērā arī zināšanas par attiecīgo uzņēmējdarbības nozari un par datu aizsardzības speciālista pārstāvētās organizācijas darbību.
3. Atbilstoši resursi
Jums ir jānodrošina atbilstoši resursi, lai datu aizsardzības speciālists spētu pildīt savus VDAR noteiktos pienākumus un uzturētu speciālo zināšanu līmeni. Tas attiecas ne tikai uz finanšu resursiem, bet arī laiku, infrastruktūru, personālu, kā arī atbalstu citu pakalpojumu veidā (piemēram, personālvadība un IT).
4. Interešu konflikta neesamība
Nav aizliegts apvienot datu aizsardzības speciālista pienākumus ar citu amatu, taču katrā atsevišķā gadījumā ir jāizvērtē un jāmazina jebkuri interešu konflikta riski.
Piemēram:
Uzņēmuma IT nodaļas vadītājs uzrauga visu lietotāju kontus un kontrolē tiesības piekļūt IT infrastruktūrai, kam ir attālās piekļuves tiesības lietotāju ierīcēm. Šī pati persona nedrīkst ieņemt datu aizsardzības speciālista amatu, jo datu aizsardzības speciālistam ir jāuzrauga, vai IT nodaļas vadītāja darbības, apstrādājot lietotāju datus, atbilst VDAR prasībām, kas tādējādi varētu radīt interešu konfliktu, ja viena persona ieņemtu abus iepriekš minētos amatus.
5. Slepenība jeb konfidencialitāte
Datu aizsardzības speciālists nedrīkst izpaust nekādu informāciju, kas attiecas uz viņa vai viņas pienākumu izpildi, izņemot šādās divās situācijās:
-
pienākums tiešā veidā ziņot par noteikto uzdevumu izpildi jūsu uzņēmuma augstākā līmeņa vadībai;
-
informācijas pieprasījumi no kompetentas datu aizsardzības iestādes vai jebkuras citas publiskas iestādes vai struktūras saskaņā ar ES vai nacionālajiem tiesību aktiem.
Uzņēmumā ir atļauts iecelt vairākus datu aizsardzības speciālistus, kā arī iecelt vienu datu aizsardzības speciālistu vairākiem uzņēmumiem atkarībā no to organizatoriskās struktūras un izmēra (piemēram, uzņēmumu grupa, vairākas vienas nozares publiskās iestādes vai apvienības)
Ņemiet vērā, ka datu aizsardzības speciālists nav atbildīgs par privātuma un datu aizsardzības tiesību aktu ievērošanu, tas joprojām ir jūsu uzņēmuma pienākums.
Laiks rīkoties!
-
Ja jums ir šaubas par to, vai ir nepieciešams iecelt datu aizsardzības speciālistu, ir ieteicams to iecelt.
-
Pirms iecelt datu aizsardzības speciālistu vai pieņemt lēmumu par tā neiecelšanu, pārbaudiet nacionālos tiesību aktus, jo, iespējams, pastāv papildu prasības par norīkošanas vai paziņošanas kārtību.
-
Neaizmirstiet publicēt datu aizsardzības speciālista kontaktinformāciju (piemēram, jūsu tīmekļvietnē), kā arī nodot šo informāciju kompetentajai datu aizsardzības iestādei.
-
Pārliecinieties, ka datu aizsardzības speciālists tiek atbilstoši un savlaicīgi iesaistīts visos jautājumos, kas attiecas uz personas datu aizsardzību.
-
Nodrošiniet datu aizsardzības speciālistam piekļuvi personas datiem, apstrādes darbībām un citiem uzņēmuma pakalpojumiem, lai viņš vai viņa spēj saņemt nepieciešamo atbalstu, datus vai informāciju.
-
Ja izvēlaties neievērot datu aizsardzības speciālista ieteikumus, dokumentējiet iemeslus, kas pamato šādu lēmumu.
Papildinformācija
ICO Informācijas komisāra birojs Vispārīgās datu aizsardzības regulas (VDAR) rokasgrāmata par datu aizsardzības speciālistiem 195. lpp.
Lielbritānijas datu aizsardzības iestāde ir izstrādājusi noderīgu rīku, lai palīdzētu izlemt, vai jums ir nepieciešams iecelt datu aizsardzības speciālistu. Rīku varat apskatīt šeit: https://ico.org.uk/for-organisations/does-my-organisation-need-a-data-protection-officer-dpo/.