La lourde charge des responsables du traitement

Lielais slogs datu pārziņiem

Fragments no Bruno DUMAY grāmatas: GDPR ATŠĶIRŠANA – uzņēmumu un organizāciju vadītājiem, stratēģiskajiem departamentiem un darbiniekiem – Gaëlle MONTEILLER priekšvārds

GDPR koncentrējas uz ieinteresēto personu atbildību. Atšķirībā no 1995. gada direktīvas (pirmā nozīmīgā Eiropas datu aizsardzības teksta), tā neprasa iepriekšēju atļauju vai deklarāciju. Tas ir gudrs solis no tās izstrādātāju puses: iepriekšējas kontroles trūkums palīdz padarīt pieņemamus centienus, kas nepieciešami, lai atbilstu jaunajiem noteikumiem.

Kā redzējām, GDPR katrā struktūrā identificē "datu pārzini", kam jābūt atbildīgam par nepieciešamās atbilstības nodrošināšanu un pēc tam par datu apstrādes pareizas darbības nodrošināšanu. Šī pārziņa uzdevumi ir apgrūtinoši: tam ne tikai jāīsteno atbilstoši pasākumi, bet arī jāspēj "pierādīt", ka apstrāde tiek veikta saskaņā ar regulu (24. panta 1. punkts). Tas nav pienākums, taču atsauce uz rīcības kodeksu (40. pants) vai sertifikāciju (42. pants), ko atbalsta uzraudzības iestādes, var atvieglot nepieciešamo pierādīšanu.

Pārziņa vadlīnija ir vienkārša: izmantot personas datus pēc iespējas mazāk. Tādēļ 25. pantā ir ieteikta jau iepriekš minētā "pseidonimizācija" un "minimizēšana". Tajā ir pievienots datu aizsardzības pēc noklusējuma princips: "Pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka pēc noklusējuma tiek apstrādāti tikai tie personas dati, kas ir nepieciešami katram konkrētajam apstrādes mērķim" (25. panta 2. punkts). Atšķirībā no pašreizējās prakses, kad tiek "ņemts" viss, ja vien nav skaidri norādīts citādi, tagad ir jāizmanto tikai tas, kas ir absolūti nepieciešams noteiktā mērķa sasniegšanai. Aizsardzība pēc noklusējuma apstrādes laikā savā ziņā šķiet papildinoša datu minimizēšanu vākšanas laikā.

Divi speciālisti var būt kopīgi atbildīgi par apstrādi; šādā gadījumā katra loma ir precīzi definēta un darīta zināma datu subjektam (26. pants). Ja datu pārzinis(-i) neatrodas Eiropas Savienībā, tas(-i) ieceļ pārstāvi, kas reģistrēts(-i) vienā no dalībvalstīm, un kuram tiks uzdots būt par kontaktpersonu datu subjektam un uzraudzības iestādēm (27. pants). Ir iespējams piesaistīt apakšuzņēmēja pakalpojumus, ja pēdējais sniedz pietiekamas garantijas, ka apstrāde tiek veikta saskaņā ar VDAR (28. panta 1. daļa).

"Apstrādes darbību reģistra" uzturēšana ir obligāta (30. pants). Tajā jāiekļauj pārziņa kontaktinformācija, apstrādes mērķi, personu kategorijas, dati un attiecīgie saņēmēji, jebkāda pārsūtīšana uz trešo valsti, dzēšanas termiņi un vispārīgs drošības pasākumu apraksts. Šis reģistrs ir jādara pieejams uzraudzības iestādei, ja tā to pieprasa. Tas nav obligāts uzņēmumam vai organizācijai, kurā strādā mazāk nekā 250 darbinieku, "ja vien to veiktā apstrāde nevar radīt risku datu subjektu tiesībām un brīvībām, ja tā nav neregulāra..." (30. panta 5. daļa). Tāpēc esiet uzmanīgi: uzņēmuma lielums vien nav pietiekams kritērijs atbrīvojumam no reģistra. Ja jūs bieži apstrādājat datus vai ja jūsu darbība jebkādā veidā var būt saistīta ar "fizisko personu tiesībām un brīvībām", jums ir jāuztur veikto darbību reģistrs.

Regula nav tehniska rokasgrāmata. 32. pants, kas veltīts apstrādes drošībai, tomēr atgādina dažus pamatprincipus: pseidonimizāciju un šifrēšanu, konfidencialitātes un integritātes garantēšanas līdzekļus, datu pieejamības un piekļuves tiem atjaunošanu incidenta gadījumā. Teksta autori neaizmirst par uzlaušanas risku: "Novērtējot atbilstošu drošības līmeni, īpaši jāņem vērā apstrādes radītie riski, kas jo īpaši izriet no nejaušas vai nelikumīgas pārsūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšanas, nozaudēšanas, pārveidošanas, neatļautas izpaušanas vai neatļautas piekļuves šādiem datiem" (32. panta 2. daļa). Citiem vārdiem sakot, apstrādes sistēma tiks uzskatīta par atbilstošu tikai tad, ja tā piedāvā nepieciešamās garantijas, vismaz maksimālās, attiecībā uz datu aizsardzību un drošību. Mēs atceramies sašutumu, ko izraisīja Ziemeļamerikas iepazīšanās vietnes precētiem cilvēkiem dalībnieku datubāzes uzlaušana, kad internetā tika publiskoti desmitiem tūkstošu konfidenciālu profilu.

Ja, neskatoties uz veiktajiem piesardzības pasākumiem, tiek atklāts personas datu pārkāpums, datu pārzinim 72 stundu laikā ir jāinformē uzraudzības iestāde, "izņemot gadījumus, kad attiecīgais pārkāpums, visticamāk, neradīs risku fizisku personu tiesībām un brīvībām" (33. panta 1. punkts). Šis nosacījums paredz zināmu rīcības brīvību, pat ja viss teksts liecina, ka to nevajadzētu ļaunprātīgi izmantot, lai slēptu problēmu. Ziņojumā jānorāda pārkāpuma raksturs, aptuvenais skarto personu skaits, šī pārkāpuma iespējamās sekas un veiktie vai ierosinātie pasākumi, lai novērstu problēmu vai ierobežotu tās sekas.

Datu pārzinim pēc iespējas ātrāk jāinformē arī cietušais par pārkāpumu (34. pants). Šī saziņa nav nepieciešama, ja nozagtie dati ir “nesaprotami”, piemēram, šifrēšanas dēļ, vai ja veiktie pasākumi nozīmē, ka nav risku datu subjekta tiesībām un brīvībām, vai ja šāda saziņa “prasītu nesamērīgas pūles. Šādos gadījumos tā vietā ir jāveic publiska saziņa vai līdzīgs pasākums, kas ļauj datu subjektiem tikt informētiem tikpat efektīvā veidā” (34. panta 3. punkta c) apakšpunkts). Šis punkts ir vērsts pret masveida uzlaušanu un atbrīvo datu pārziņus no pienākuma sūtīt personalizētu e-pastu katrai personai viņu failos.

Visbeidzot, precizēsim, ka GDPR būtība ir nepārprotama: uzņēmumā, kas organizēts ar meitasuzņēmumiem, pēdējo pienākumi ir tādi paši kā mātesuzņēmumam.

lvLV