Par Eiropas vispārējo datu aizsardzības regulu un datu drošību Tavā salonā

Eiropas vispārējā datu aizsardzības regula(GDPR) stāsies spēkā jau 25.maijā. Vai Tavā salonā personas dati tiek pienācīgi aizsargāti?

Eiropas vispārējā datu aizsardzības regula(GDPR) stāsies spēkā jau 25.maijā. Vai Tavā salonā personas dati tiek pienācīgi aizsargāti?

Ievads Eiropas vispārējās datu aizsardzības regulas prasībās skaistumkopšanas saloniem

Eiropas vispārējā datu aizsardzības regula

Eiropas vispārējā datu aizsardzības regula (GDPR) stāsies spēkā jau 2018.gada 25.maijā.

Vai Tavā salonā personas dati tiek pienācīgi aizsargāti?

Regula attiecas gan uz salona īpašnieku un vadītāju, gan darbiniekiem, gan pašnodarbinātiem meistariem.

Piedāvājam 10 soļus, ar kuriem vari sākt un kuriem noteikti jāpievērš uzmanība, organizējot datu apstrādes praksi atbilstoši regulas prasībām:

1. Iekšējā audita veikšana jeb esošās situācijas konstatēšana:

  • Apkopo, kādi personas dati ir salona rīcībā. Regula attiecas uz visiem datiem, pēc kuriem var  identificēt personu, neatkarīgi no tā vai tie tiek glabāti elektroniskā vai rakstu formā. Šādi dati ir, piemēram, vārds kopā ar tālruņa numuru pierakstu žurnālā, e-pasta adrese, fizioloģiska un medicīniska informācija, bankas dati u.c.;
  • nosaki, kurām personām (un uzņēmumiem) ir piekļuve šiem datiem. Piemēram: vadībai, grāmatvedim, salona administratoram, meistariem, reklāmas aģentūrai, utt. Iespējams, vari ierobežot datu piekļuvi personām, kurām tie nav nepieciešami;
  • nosaki, kur tiek glabāti dati. Piemēram: ierakstu žurnālā, pasūtījumu katalogā, e-pastā, excel tabulās datorā, utt.;
  • nosaki datu glabāšanas mērķi un ilgumu. Piemēram:
    • likuma prasību izpildei  - piemēram: dati par darbiniekiem tiek glabāti darba attiecību izpildei, utt;
    • klientu dati – saziņa ar klientu pakalpojuma sniegšanai, rēķinu izrakstīšanai, utt;
    • mārketinga dati – preču un pakalpojumu reklamēšanai;
  • nosaki, kā tiek iegūti šie dati?

Audita rezultātā jānosaka arī visi tie uzņēmumi, kas Jums sniedz jebkādus datu apstrādes pakalpojumus. Piemēram: uzņēmums, kas sniedz grāmatvedības pakalpojumus.

Ņem vērā - jebkurai personai, kurai regulas pārkāpuma rezultātā ir nodarīts kaitējums, ir tiesības no datu pārziņa vai apstrādātāja saņemt kompensāciju.

2. Izvērtē, vai ir tiesisks pamats  datu apstrādei.

Regulā noteikti  vispārējie tiesiskie pamati datu apstrādei:

  • datu apstrāde izriet no datu subjekta (klienta) dotas piekrišanas konkrētam apstrādes mērķim (Tev ir jāvar pierādīt piekrišanas fakts!);
  • datu apstrāde ir nepieciešama, lai izpildītu tiesību aktos paredzētos pienākumus (piemēram: izrakstītu rēķinus vai  kvītis, noslēgtu darba līgumu);
  • datu apstrāde ir nepieciešama noslēgta līguma izpildei vai tā sagatavošanai;
  • datu  apstrāde ir nepieciešama, lai aizsargātu personas vitāli svarīgās intereses (piemēram, dzīvību un veselību);
  • datu apstrāde nepieciešama, lai izpildītu sabiedrības interesēs īstenojamu uzdevumu vai īstenotu oficiālas pilnvaras.
  • datu apstrāde nepieciešama pārziņa vai trešās personas leģitīmo interešu ievērošana, pie nosacījuma, ir pārbaudīts, ka tādējādi netiek būtiski ietekmētas personas, kuras dati tiek apstrādāti, intereses vai pamattiesības un pamatbrīvības.

3. Nosaki pasākumus datu drošai glabāšanai, piemēram:

  • pierakstu žurnāls tiek glabāts slēgtā atvilknē vai slēgtā telpā;
  • pierakstus par klienta procedūrām meistars glabā savā drošā žurnālā;
  • dators ir aizsargāts ar drošu paroli un antivīrusa programmatūru;
  • interneta veikala administratora konti ir aizsargāti ar drošu parole;
  • definē personu loku, kurām ir piekļuve personas datiem, precizējot kādas darbības atļauts veikt.

4. Izveido datu apstrādes reģistru, kurā iekļauj:

  • īsu aprakstu par katru datu apstrādes procesu;
  • apstrādes mērķi, datu subjektu(klients,darbinieks) un datu kategorijas (vārds, uzvārds, telefona numurs, adrese,utt);
  • datu lietotāju sarakstu;
  • datu glabāšanas ilgumu, atbilstoši  mērķim;
  • pasākumu aprakstu datu drošai glabāšanai;
  • ar reģistru un aprakstu  datu drošai glabāšanai iepazīstini darbiniekus;
  • izglīto darbiniekus  par personas datu  glabāšanu un atbildību pārkāpumu gadījumos.

5. Sagatavojies iespējamiem pieprasījumiem par Tavā rīcībā esošiem datiem – persona, kuras dati ir Tavā rīcībā, var:

  • pieprasīt uzrādīt par sevi saglabātos datus;
  • pieprasīt veikt labojumus par sevi saglabātajos datos;
  • pieprasīt pilnībā vai daļēji dzēst informāciju par sevi saglabātajos datos (“tikt aizmirstam”);

* Datu dzēšana un rediģēšana iespējama tikai tad, ja dati nav nepieciešami likuma izpildei;

* Uz pieprasījumiem jāatbild 30 dienu laikā, nepieprasot papildus samaksu un neuzliekot nekādas citas sankcijas.

6. Izstrādā datu apstrādes, glabāšanas un dzēšanas politiku.

Neobligāts, bet noderīgs dokuments,  ar kuru vari pierādīt, ka rūpējies par datu aizsardzību. Tajā iekļauj:

  • datu apstrādes principus, ko uzņēmums ievēro;
  • datu apstrādes pamatojumu;
  • kā tiek nodrošināta datu subjektu tiesību ievērošana.

Praksē tas var būt: Privātuma politika un Sīkdatņu politika mājas lapā; Iekšējie drošas datu glabāšanas un apstrādes noteikumi uzņēmumā, utt.

7. Apmāci darbiniekus par datu drošību un uzņēmuma politikām.

8. Saglabājot datus personai sniedz šādu informāciju par personas datu saglabāšanu:

  • cik ilgi dati tiks uzglabāti;
  • par to kā persona var piekļūt saviem datiem, rediģēt un/vai izdzēst tos;
  • par tiesībām atsaukt piekrišanu datu glabāšanai un apstrādei;
  • par tiesībām iesniegt sūdzību uzraugošajai iestādei;
  • par pienākumu sniegt personas datus likuma izpildei;
  • par tiesībām iebilst pret datu glabāšanu un apstrādi, ja tie nav nepieciešami likuma izpildei.

9. Personas datu aizsardzības pārkāpuma gadījumā, bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums kļuvis zināms, Tev ir jāpaziņo par personas datu aizsardzības pārkāpumu uzraudzības iestādei. "Personas datu aizsardzības pārkāpums" notiek, ja notiek nejauša vai nelikumīga apstrādāto personas datu:

  • iznīcināšana;
  • nozaudēšana;
  • pārveidošana;
  • izpaušana;
  • neatļauta piekļuve datiem.

10. Kam vēl pievērst uzmanību:

  • vai tiek pārbaudīta iegūto datu pareizība?
  • cik ilgi ir nepieciešams glabāt datus - varbūt tie vairs nav aktuāli un tos var dzēst?
  • kā vari uzlabot datu glabāšanas drošību?

*  Šajā rakstā ir sniegts tikai vispārīgs ieskats par veicamajiem pasākumiem regulas izpildei. Šie daži  praktiskie ieteikumi Tev noderēs, lai novērtētu veicamo darbu apjomu un secību.

* Noteikti izvērtē vai Tev pietiks ar savām zināšanām un prasmēm, vai nepieciešams konsultēties un piesaistīt speciālistu!

Atceries:  tieši Tev būs jāspēj pierādīt regulas prasību izpildi uz personu datiem, kuri atrodas Tava salona rīcībā.

 

Raksts tapis sadarbībā ar juristi Inesi Žagatu-Amoliņu (inese.zamolina@gmail.com)