Datu valsts inspekcija kampaņas Dati ir vērtība – sargā tos!”  ietvaros aicina mazos un vidējos uzņēmumus uz praktiskajiem semināriem par uzņēmuma privātuma politikas izstrādi.

 Tās mērķis ir veicināt sabiedrības informētību par personas datu aizsardzību, kā arī vērst uzņēmēju uzmanību uz nepieciešamību atbildīgi izturēties pret klientu personas datu apstrādi,  jo  rūpes par klientu datu drošību vairos ne tikai viņu uzticēšanos uzņēmējam, bet arī sekmēs biznesa attīstību kopumā!

Kas ir privātuma politika?

Privātuma politika ir organizācijas dokuments, kurā var iepazīties ar informāciju par organizācijas veikto datu apstrādi, pirms uzsākta personas datu apstrāde. Atbilstošas informācijas sniegšana šajā dokumentā ļauj nodrošināt Datu regulā noteiktā informēšanas pienākuma izpildi, savukārt personām, kuru personas datus plānots apstrādāt, tas ļauj ne tikai iegūt informāciju par to, kā tieši organizācija plāno informāciju apstrādāt, bet arī par savu tiesību īstenošanas kārtību tālākos personas datu apstrādes posmos. Privātuma politikas izpēte – pirms personas datu sniegšanas – ļaus cilvēkam novērtēt, vai organizācijas piedāvātā personas datu apstrāde ir personai pieņemama un viņa vēlas turpmāk iedot savus datus komersantam un saņemt attiecīgo pakalpojumu.

Kāpēc dati un privātuma politikas izstrāde ir svarīga?

Privātuma politikas izstrāde uzņēmumiem ir svarīga vairāku iemeslu dēļ. Pirmais iemesls ir likumdošana. Vairumā valstu ir tiesību akti, kas noteic, ka uzņēmumiem jāizstrādā un jāievēro privātuma politika. Ja uzņēmums nesagatavo un neseko šiem noteikumiem, tam var būt nopietnas juridiskas sekas, piemēram, lielas naudas sodi, reputācijas zaudēšana, tiesvedības un zaudētie klienti.

Otrais iemesls ir uzņēmuma reputācija. Patērētājiem ir ļoti svarīgi zināt, ka viņu personas dati tiek droši un atbildīgi apstrādāti. Ja uzņēmums ir zināms ar to, ka tas rūpējas par savu klientu datu privātumu, tas var iegūt uzticību un lojalitāti no saviem klientiem.

Trešais iemesls ir personas datu aizsardzība. Ja uzņēmums rūpējas par datu privātumu un izstrādā atbilstošu privātuma politiku, tas palīdz nodrošināt, ka personas dati tiek droši apstrādāti un ka tie netiek izmantoti neatļauti.

Visbeidzot, privātuma politikas izstrāde palīdz uzņēmumiem pārvaldīt riskus un novērst drošības pārkāpumus. Ja uzņēmums apzinās savus privātuma politikas noteikumus un tos ievēro, tas var samazināt iespējamību, ka kāds no uzņēmuma darbiniekiem vai no ārējiem draudiem iekļūs uzņēmuma datu bāzēs un tādējādi ietekmēs personas privātumu.

“Personas datu apstrādē, ko veic uzņēmēji, būtiskākais faktors ir tieši komersantu godprātība, jo informācija par klientu paradumiem mūsdienās ir zelta vērta, lai uzņēmēji varētu piedāvāt individuālus pakalpojumus. Šis apstāklis reizēm ir kā kārdinājums lielākas peļņas gūšanai, rīkojoties pretēji datu aizsardzības pamatprincipiem,” skaidro Datu valsts inspekcijas direktore Jekaterina Macuka, “lai personas datu apstrāde noritētu atbilstoši un saprātīgi, svarīgi atcerēties, ka pārmērīgu datu uzkrāšana un apstrāde bez attiecīgā juridiskā pamatojuma nav atļauta un personas datu aizsardzības jautājumiem uzmanība jāpievērš jau pakalpojuma izstrādes laikā.”

Labā prakse

Privātuma politikā informācija sniedzama kodolīgā, pārredzamā, un iedzīvotājam saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu. Saprotams un pieejams veids nenozīmē vien to, ka netiek izmantota specifiska juridiska valoda ar terminiem, kuri iedzīvotājiem var nebūt izprotami, bet arī to, ka tiek izmantota valoda, kuru izmanto vairums organizācijas klientu – fizisko personu – piemēram, latviešu valoda, ja organizācijas klienti pamatā būs latviski runājoši. Pasniegtajai informācijai ir jābūt skaidri strukturētai, viegli pārredzamai un viegli pieejamai, piemēram, lai tīmekļa vietnē nebūtu jāpavada pārlieku ilgs laiks tās atrašanai.

Par labu praksi tiek uzskatīts, ka Privātuma politika neatrodas tālāk kā divu klikšķu attālumā no organizācijas tīmekļa vietnes titullapas Ja organizācijas mērķa auditorija ir bērni, tad privātuma politika jāformulē veidā, kas būtu saprotams arī bērniem.

Privātuma politikas izstrāde – soli pa solim

Gan jaundibinātam, gan jau esošam uzņēmumam ir jāizstrādā savas privātuma politikas izstrādes. Šim procesam ir nepieciešams pieiet soli pa solim. Sākumā ir svarīgi saprast, kādas ir Datu regulas prasības attiecībā uz informāciju, kas organizācijai ir jāsniedz vēl pirms datu apstrādes uzsākšanas. Un pēc tam jau jāsāk darbs pie tā, kā to visu veiksmīgāk iekļaut vienā saprotamā dokumentā. Noteikumus personas datu ieguvei, glabāšanai un izmantošanai nosaka Vispārīgā datu aizsardzības regula. Viens no Datu regulas mērķiem ir ļaut personām, kuru datus ir plānots apstrādāt, saglabāt kontroli pār to personīgo informāciju un iegūt informāciju par to, kas notiek ar viņu datiem.

Pirmais solis kontroles par personas datiem un to aizsardzību saglabāšanai ir informētība par plānotajām darbībām ar personas datiem no organizācijas puses. Atbilstoši Datu regulai,  brīdī, kad cilvēks iesniedz datus komersantam (aizpilda pieteikumu, anketu), cilvēkam ir jābūt pieejamai informācijai par personas datu apstrādes procesu organizācijā. Tāpēc komersantam personai ir jāsniedz informācija par:

  • nosaukumu  un kontaktinformāciju;

Piemēram, SIA “Saulīte”, e-pasts: pasts@saulite.lv;

  • kādu nolūku sasniegšanai tiek pieprasīti personas dati un kāds ir šīs informācijas iegūšanas tiesiskais pamats atbilstoši Datu regulai;

Piemēram, gadījumos, ja uzņēmums iegūst informāciju ar nolūku izrakstīt rēķinu par sniegtu pakalpojumu vai pārdotu preci, tad privātuma politikā jānorāda gan mērķis – rēķina izrakstīšana, gan arī šādas apstrādes tiesiskais pamats – likumā noteikta pienākuma izpilde.

  • ja norīkots – kā sazināties ar organizācijas datu aizsardzības speciālistu un tā kontaktinformāciju;
  • ja apstrāde tiek pamatota ar organizācijas likumīgajām interesēm, tad šo interešu izklāstu;
  • personas datu saņēmējiem vai to kategorijām, ja tādi ir;

Piemēram, ja organizācija plāno preces piegādei piesaistīt kādu no kurjera dienestiem, tad būtu jānorāda kādi dati tiks nodoti kurjera dienestam attiecīgās personas datu apstrādes ietvaros.

  • ja plānots personīgo informāciju nosūtīt uz trešo valsti vai starptautisku organizāciju, atsauci uz to, kā personīgā informācija tiks aizsargāta.

Minētā informācija ir pamatinformācija, kas būtu jāsniedz. Tomēr cilvēkam ir jābūt iespējai iepazīties arī ar šādu papildu informāciju:

  • laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kā šis laikposms tiks noteikts;
  • par tiesībām un kārtību, kādā pats cilvēks var piekļūt saviem datiem, tos labot vai dzēst,  lūgt ierobežot datu apstrādi vai iebilst pret datu apstrādi, kā arī noteiktajos gadījumos lūgt pārnest viņa datus;

Piemēram, privātuma politikā būtu iekļaujams apraksts kā persona var īstenot savas tiesības, tai skaitā kam un kādus kanālus izmantojot šāda veida iesniegumi iesniedzami – tālruņa numurs vai e-pasts, uz kuru persona var zvanīt vai rakstīt, sadaļa platformā, kuru var aizpildīt u.tt..

  • ja apstrāde pamatojas uz personas piekrišanu – norādīts, ka cilvēkam ir tiesības jebkurā brīdī to atsaukt;
  • informācija par iespēju cilvēkam iesniegt sūdzību Datu valsts inspekcijā, ja viņš/viņa uzskata, ka personas dati tiek apstrādāti neatbilstoši Datu regulai;
  • vai personas datu iegūšanu paredz likums vai tā ir vajadzīga, lai noslēgtu līgumu un saņemtu pakalpojumu. Tāpat būtu jānorada vai informācijas sniegšana ir obligāta vai nē, un kādas sekas var būt gadījumos, kad šādi dati netiek sniegti;

Piemēram, ja noteikta veida personas dati nepieciešami līguma izpildei (piemēram, piegādes adrese, lai piegādātu nopirkto preci), šāda informācija arī būtu iekļaujama privātuma politikā. Tomēr, ja personai ir tiesības izvēlēties saņemt preci uz vietas, tad piegādes adresei jābūt kā izvēles datiem, kuru sniegšana ir obligāta, tikai gadījumā, ja persona vēlās piegādi uz konkrēto adresi. Turklāt pareizāk būtu šo adresi nosaukt par piegādes adresi, nevis dzīvesvietas adresi.

  • ja pastāv automatizēta lēmumu pieņemšana un profilēšana, informācija par priekšnosacījumiem un loģiku šādu automatizētu lēmumu pieņemšanai un paredzamajām sekām attiecībā uz personu.

Piemēram, ja līzinga kompānija pirms pakalpojuma sniegšanas iegūst iespējamā klienta – fiziskas personas – automatizētu kredīt spējas novērtējumu, šāda apstrāde būs uzskatāma par profilēšanu un līzinga kompānijas privātuma politikā būtu atspoguļojama gan pieņemto lēmumu loģika, gan arī tas vai un kā persona var lūgt pārskatīt šādu lēmumu.

(šo kaut kā nozobežo vai nu rāmīti vai kā citādi)

Kur notiks semināri

  • 24.maijā Liepājā (Kurzemes uzņēmējiem) no plkst. 11:00 līdz 12:30, “Impact Hub”, Strautu ielā 4. Pasākums plānots klātienē, iepriekš reģistrējoties. Vietu skaits ierobežots;
  • 25.maijā Jelgavā (Zemgales uzņēmējiem) no plkst. 15:00 līdz 16:30, viesnīcā “Zemgale”, Skautu ielā 2, Jelgavā. Pasākums plānots klātienē, iepriekš reģistrējoties. Vietu skaits ierobežots;
  • 31.maijā Valmierā (Vidzemes uzņēmējiem) no plkst. 13:00 līdz 14:30, viesnīcā “Wolmar”, Tērbatas ielā 16a. Pasākums plānots klātienē, iepriekš reģistrējoties. Vietu skaits ierobežots;
  • 5.jūnijā Rīgā (Rīgas un visas Latvijas uzņēmējiem) no plkst. 14:00 līdz 15:30, Latvijas Tirdzniecības un rūpniecības kameras konferenču zālē, Kr.Valdemāra ielā 35, Rīgā. Pasākums plānots klātienē un tiešsaistē. Klātienē vietu skaits ierobežots.

Kā pieteikties semināram?

Informācija un reģistrēšanās iespējas tiks publicētas Datu valsts inspekcijas mājas lapā (dvi.gov.lv )un Latvijas Tirdzniecības un rūpniecības kameras mājas lapā (ltrk.lv).

Kas organizē seminārus?

Praktiski semināri mazajiem un vidējiem uzņēmumiem tiek rīkoti Datu valsts inspekcijas kampaņas “Dati ir vērtība – sargā tos!” ietvaros.

Materiāla tapšanā izmantota Datu valsts inspekcijas informācija.

Dati ir vērtība

Datu valsts inspekcija kampaņas Dati ir vērtība – sargā tos!”  ietvaros aicina mazos un vidējos uzņēmumus uz praktiskajiem semināriem par uzņēmuma privātuma politikas izstrādi.

 Tās mērķis ir veicināt sabiedrības informētību par personas datu aizsardzību, kā arī vērst uzņēmēju uzmanību uz nepieciešamību atbildīgi izturēties pret klientu personas datu apstrādi,  jo  rūpes par klientu datu drošību vairos ne tikai viņu uzticēšanos uzņēmējam, bet arī sekmēs biznesa attīstību kopumā!

Kas ir privātuma politika?

Privātuma politika ir organizācijas dokuments, kurā var iepazīties ar informāciju par organizācijas veikto datu apstrādi, pirms uzsākta personas datu apstrāde. Atbilstošas informācijas sniegšana šajā dokumentā ļauj nodrošināt Datu regulā noteiktā informēšanas pienākuma izpildi, savukārt personām, kuru personas datus plānots apstrādāt, tas ļauj ne tikai iegūt informāciju par to, kā tieši organizācija plāno informāciju apstrādāt, bet arī par savu tiesību īstenošanas kārtību tālākos personas datu apstrādes posmos. Privātuma politikas izpēte – pirms personas datu sniegšanas – ļaus cilvēkam novērtēt, vai organizācijas piedāvātā personas datu apstrāde ir personai pieņemama un viņa vēlas turpmāk iedot savus datus komersantam un saņemt attiecīgo pakalpojumu.

Kāpēc dati un privātuma politikas izstrāde ir svarīga?

Privātuma politikas izstrāde uzņēmumiem ir svarīga vairāku iemeslu dēļ. Pirmais iemesls ir likumdošana. Vairumā valstu ir tiesību akti, kas noteic, ka uzņēmumiem jāizstrādā un jāievēro privātuma politika. Ja uzņēmums nesagatavo un neseko šiem noteikumiem, tam var būt nopietnas juridiskas sekas, piemēram, lielas naudas sodi, reputācijas zaudēšana, tiesvedības un zaudētie klienti.

Otrais iemesls ir uzņēmuma reputācija. Patērētājiem ir ļoti svarīgi zināt, ka viņu personas dati tiek droši un atbildīgi apstrādāti. Ja uzņēmums ir zināms ar to, ka tas rūpējas par savu klientu datu privātumu, tas var iegūt uzticību un lojalitāti no saviem klientiem.

Trešais iemesls ir personas datu aizsardzība. Ja uzņēmums rūpējas par datu privātumu un izstrādā atbilstošu privātuma politiku, tas palīdz nodrošināt, ka personas dati tiek droši apstrādāti un ka tie netiek izmantoti neatļauti.

Visbeidzot, privātuma politikas izstrāde palīdz uzņēmumiem pārvaldīt riskus un novērst drošības pārkāpumus. Ja uzņēmums apzinās savus privātuma politikas noteikumus un tos ievēro, tas var samazināt iespējamību, ka kāds no uzņēmuma darbiniekiem vai no ārējiem draudiem iekļūs uzņēmuma datu bāzēs un tādējādi ietekmēs personas privātumu.

“Personas datu apstrādē, ko veic uzņēmēji, būtiskākais faktors ir tieši komersantu godprātība, jo informācija par klientu paradumiem mūsdienās ir zelta vērta, lai uzņēmēji varētu piedāvāt individuālus pakalpojumus. Šis apstāklis reizēm ir kā kārdinājums lielākas peļņas gūšanai, rīkojoties pretēji datu aizsardzības pamatprincipiem,” skaidro Datu valsts inspekcijas direktore Jekaterina Macuka, “lai personas datu apstrāde noritētu atbilstoši un saprātīgi, svarīgi atcerēties, ka pārmērīgu datu uzkrāšana un apstrāde bez attiecīgā juridiskā pamatojuma nav atļauta un personas datu aizsardzības jautājumiem uzmanība jāpievērš jau pakalpojuma izstrādes laikā.”

Labā prakse

Privātuma politikā informācija sniedzama kodolīgā, pārredzamā, un iedzīvotājam saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu. Saprotams un pieejams veids nenozīmē vien to, ka netiek izmantota specifiska juridiska valoda ar terminiem, kuri iedzīvotājiem var nebūt izprotami, bet arī to, ka tiek izmantota valoda, kuru izmanto vairums organizācijas klientu – fizisko personu – piemēram, latviešu valoda, ja organizācijas klienti pamatā būs latviski runājoši. Pasniegtajai informācijai ir jābūt skaidri strukturētai, viegli pārredzamai un viegli pieejamai, piemēram, lai tīmekļa vietnē nebūtu jāpavada pārlieku ilgs laiks tās atrašanai.

Par labu praksi tiek uzskatīts, ka Privātuma politika neatrodas tālāk kā divu klikšķu attālumā no organizācijas tīmekļa vietnes titullapas Ja organizācijas mērķa auditorija ir bērni, tad privātuma politika jāformulē veidā, kas būtu saprotams arī bērniem.

Privātuma politikas izstrāde – soli pa solim

Gan jaundibinātam, gan jau esošam uzņēmumam ir jāizstrādā savas privātuma politikas izstrādes. Šim procesam ir nepieciešams pieiet soli pa solim. Sākumā ir svarīgi saprast, kādas ir Datu regulas prasības attiecībā uz informāciju, kas organizācijai ir jāsniedz vēl pirms datu apstrādes uzsākšanas. Un pēc tam jau jāsāk darbs pie tā, kā to visu veiksmīgāk iekļaut vienā saprotamā dokumentā. Noteikumus personas datu ieguvei, glabāšanai un izmantošanai nosaka Vispārīgā datu aizsardzības regula. Viens no Datu regulas mērķiem ir ļaut personām, kuru datus ir plānots apstrādāt, saglabāt kontroli pār to personīgo informāciju un iegūt informāciju par to, kas notiek ar viņu datiem.

Pirmais solis kontroles par personas datiem un to aizsardzību saglabāšanai ir informētība par plānotajām darbībām ar personas datiem no organizācijas puses. Atbilstoši Datu regulai,  brīdī, kad cilvēks iesniedz datus komersantam (aizpilda pieteikumu, anketu), cilvēkam ir jābūt pieejamai informācijai par personas datu apstrādes procesu organizācijā. Tāpēc komersantam personai ir jāsniedz informācija par:

  • nosaukumu  un kontaktinformāciju;

Piemēram, SIA “Saulīte”, e-pasts: pasts@saulite.lv;

  • kādu nolūku sasniegšanai tiek pieprasīti personas dati un kāds ir šīs informācijas iegūšanas tiesiskais pamats atbilstoši Datu regulai;

Piemēram, gadījumos, ja uzņēmums iegūst informāciju ar nolūku izrakstīt rēķinu par sniegtu pakalpojumu vai pārdotu preci, tad privātuma politikā jānorāda gan mērķis – rēķina izrakstīšana, gan arī šādas apstrādes tiesiskais pamats – likumā noteikta pienākuma izpilde.

  • ja norīkots – kā sazināties ar organizācijas datu aizsardzības speciālistu un tā kontaktinformāciju;
  • ja apstrāde tiek pamatota ar organizācijas likumīgajām interesēm, tad šo interešu izklāstu;
  • personas datu saņēmējiem vai to kategorijām, ja tādi ir;

Piemēram, ja organizācija plāno preces piegādei piesaistīt kādu no kurjera dienestiem, tad būtu jānorāda kādi dati tiks nodoti kurjera dienestam attiecīgās personas datu apstrādes ietvaros.

  • ja plānots personīgo informāciju nosūtīt uz trešo valsti vai starptautisku organizāciju, atsauci uz to, kā personīgā informācija tiks aizsargāta.

Minētā informācija ir pamatinformācija, kas būtu jāsniedz. Tomēr cilvēkam ir jābūt iespējai iepazīties arī ar šādu papildu informāciju:

  • laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kā šis laikposms tiks noteikts;
  • par tiesībām un kārtību, kādā pats cilvēks var piekļūt saviem datiem, tos labot vai dzēst,  lūgt ierobežot datu apstrādi vai iebilst pret datu apstrādi, kā arī noteiktajos gadījumos lūgt pārnest viņa datus;

Piemēram, privātuma politikā būtu iekļaujams apraksts kā persona var īstenot savas tiesības, tai skaitā kam un kādus kanālus izmantojot šāda veida iesniegumi iesniedzami – tālruņa numurs vai e-pasts, uz kuru persona var zvanīt vai rakstīt, sadaļa platformā, kuru var aizpildīt u.tt..

  • ja apstrāde pamatojas uz personas piekrišanu – norādīts, ka cilvēkam ir tiesības jebkurā brīdī to atsaukt;
  • informācija par iespēju cilvēkam iesniegt sūdzību Datu valsts inspekcijā, ja viņš/viņa uzskata, ka personas dati tiek apstrādāti neatbilstoši Datu regulai;
  • vai personas datu iegūšanu paredz likums vai tā ir vajadzīga, lai noslēgtu līgumu un saņemtu pakalpojumu. Tāpat būtu jānorada vai informācijas sniegšana ir obligāta vai nē, un kādas sekas var būt gadījumos, kad šādi dati netiek sniegti;

Piemēram, ja noteikta veida personas dati nepieciešami līguma izpildei (piemēram, piegādes adrese, lai piegādātu nopirkto preci), šāda informācija arī būtu iekļaujama privātuma politikā. Tomēr, ja personai ir tiesības izvēlēties saņemt preci uz vietas, tad piegādes adresei jābūt kā izvēles datiem, kuru sniegšana ir obligāta, tikai gadījumā, ja persona vēlās piegādi uz konkrēto adresi. Turklāt pareizāk būtu šo adresi nosaukt par piegādes adresi, nevis dzīvesvietas adresi.

  • ja pastāv automatizēta lēmumu pieņemšana un profilēšana, informācija par priekšnosacījumiem un loģiku šādu automatizētu lēmumu pieņemšanai un paredzamajām sekām attiecībā uz personu.

Piemēram, ja līzinga kompānija pirms pakalpojuma sniegšanas iegūst iespējamā klienta – fiziskas personas – automatizētu kredīt spējas novērtējumu, šāda apstrāde būs uzskatāma par profilēšanu un līzinga kompānijas privātuma politikā būtu atspoguļojama gan pieņemto lēmumu loģika, gan arī tas vai un kā persona var lūgt pārskatīt šādu lēmumu.

(šo kaut kā nozobežo vai nu rāmīti vai kā citādi)

Kur notiks semināri

  • 24.maijā Liepājā (Kurzemes uzņēmējiem) no plkst. 11:00 līdz 12:30, “Impact Hub”, Strautu ielā 4. Pasākums plānots klātienē, iepriekš reģistrējoties. Vietu skaits ierobežots;
  • 25.maijā Jelgavā (Zemgales uzņēmējiem) no plkst. 15:00 līdz 16:30, viesnīcā “Zemgale”, Skautu ielā 2, Jelgavā. Pasākums plānots klātienē, iepriekš reģistrējoties. Vietu skaits ierobežots;
  • 31.maijā Valmierā (Vidzemes uzņēmējiem) no plkst. 13:00 līdz 14:30, viesnīcā “Wolmar”, Tērbatas ielā 16a. Pasākums plānots klātienē, iepriekš reģistrējoties. Vietu skaits ierobežots;
  • 5.jūnijā Rīgā (Rīgas un visas Latvijas uzņēmējiem) no plkst. 14:00 līdz 15:30, Latvijas Tirdzniecības un rūpniecības kameras konferenču zālē, Kr.Valdemāra ielā 35, Rīgā. Pasākums plānots klātienē un tiešsaistē. Klātienē vietu skaits ierobežots.

Kā pieteikties semināram?

Informācija un reģistrēšanās iespējas tiks publicētas Datu valsts inspekcijas mājas lapā (dvi.gov.lv )un Latvijas Tirdzniecības un rūpniecības kameras mājas lapā (ltrk.lv).

Kas organizē seminārus?

Praktiski semināri mazajiem un vidējiem uzņēmumiem tiek rīkoti Datu valsts inspekcijas kampaņas “Dati ir vērtība – sargā tos!” ietvaros.

Materiāla tapšanā izmantota Datu valsts inspekcijas informācija.