5 noderīgi ieteikumi datu aizsardzības iedzīvināšanai uzņēmumā 1
Līdz ar Eiropas Savienības Vispārīgās datu aizsardzības regulas (VDAR jeb GDPR) stāšanos spēkā šā gada 25.maijā, daudzos uzņēmumos regulas prasību iedzīvināšana tikai pa īstam sākusies. Lai palīdzētu konstatēt iespējamās nepilnības un novērst tās, Latvijas grāmatvedības un uzņēmuma vadības sistēmas “Tildes Jumis” speciālisti dalās piecās svarīgās atziņās, pie kurām nonākuši, ieviešot regulas prasības savā uzņēmumā, tā portālam “La.lv” pavēstīja “Tilde Jumis” Mārketinga vadītāja Jekaterina Černobrovaja.
Lai organizācija pilnībā atbilstu regulas prasībām, tai jāparūpējas par trīs fundamentālām sfērām – juridisko pusi, procedūrām un IT infrastruktūru. Juridiskais aspekts paredz pārslēgt līgumus ar klientiem un piegādātājiem, iestrādājot tajos regulai atbilstošas prasības. Datu apstrādes procedūrām jābūt ar augstāku anonimitātes līmeni, un darbiniekiem jāgādā, lai tiktu uzkrāti tikai tie dati, ko klienti un partneri ļāvuši apstrādāt. Organizācijai arī jāparūpējas, lai tā izmantotu VDAR prasībām atbilstošus rīkus, programmas, datu krātuves un tamlīdzīgus risinājumus.
1. ieteikums – apziniet situāciju.
Pirmais uzdevums ir identificēt, kuri no jūsu produktiem vai pakalpojumiem apkopo un apstrādā personas datus. Vadoties no pārbaudes rezultātiem, būs vieglāk veikt pārējo darbību ķēdi.
Apziniet, kādi personas dati uzņēmumā jau ir uzkrāti, kādēļ tie tika vākti un kur tie fiziski atrodas. Noskaidrojiet, vai esat ieguvuši atļauju šo datu apstrādei? Ja tādas nav, ar steigu jānodefinē apstrādājamos personas datus, nepieciešamību pēc apstrādes, un jāsagatavo atbilstošus līgumu grozījumus.
«Ļoti svarīgi ir saprast, vai spējat izpildīt saistības attiecībā uz klientiem – ātri apkopot par viņiem savākto informāciju, nodot to informācijas pieprasītājam un pieprasījuma gadījumā arī izdzēst. Ne mazāk nozīmīgi ir pārzināt, kā notiek uzņēmuma iekšējie procesi, kā tiek apstrādāti personas dati un kas tiem piekļūst. Prakse rāda, ka audits bieži vien atklāj iepriekš neapzinātus veidus, kā uzņēmums apstrādā dažādus datus,» skaidro Tildes Jumis biznesa attīstības vadītājs Viesturs Slaidiņš.
2. ieteikums – sadaliet atbildības lomas.
Izvēlieties vienu darbinieku organizācijā, kas būs atbildīgs par datu aizsardzību un privātumu. Mazākos uzņēmumos pietiks kādam darbiniekam piešķirt papildu pienākumus, bet lielākos, kur personas datu apjoms ir prāvāks un jauni ienāk katru dienu, vērts apsvērt īpašas datu aizsardzības speciālista pozīcijas izveidošanu un darbinieka apmācīšanu.
3.ieteikums – parūpējieties par drošību.
Gādājiet, lai sistēmas, kas vāc, apstrādā un glabā personas datus, būtu drošas. Apsveriet iespēju izmantot mākoņrisinājumus, piemēram, mūsu uzņēmumā ir Tildes Jumis Pro, lai visi uzņēmuma dati tiktu glabāti sertificētā datu centrā, skairdoja Černobrovaja.
4.ieteikums – sagatavojiet dokumentāciju.
Izstrādājiet vai uzlabojiet datu apstrādes politiku. Saskaņā ar VDAR, ikvienai organizācijai ir pienākums pierādīt atbilstību regulas prasībām, ne vien uzrādot formāli aprakstītas procedūras, bet arī veicot ļoti praktiskas darbības, piemēram, nodrošināt datu apstrādes darbību reģistrēšanu, datu pseidonimizāciju, kā arī ziņojumu sniegšanu uzraugošajai iestādei un datu īpašniekam datu noplūdes gadījumos. Pie tam pirms tādu produktu un pakalpojumu izstrādes, kuru nodrošināšanai nepieciešami personas dati, uzņēmumiem būs precīzi jāizvērtē un jāparedz datu iegūšanas un apstrādes mērķi un veidi.
5.ieteikums – izmantojiet VDAR konkurētspējas uzlabošanai.
Regulas prasības uzliek jaunus pienākumus, taču tās pieprasītie uzlabojumi var nākt par labu pašam uzņēmumam, padarot personas datu apstrādi drošāku un efektīvāku. Centīgi piestrādājot, pārliecināsiet partnerus un klientus, ka uz jums var paļauties. Pie tam pārmaiņas var izmantot, lai apsteigtu sāncenšus, kuri nebūs attiekušies pret VDAR gana nopietni un vairs netiks uzskatīti par uzticamākiem sadarbības partneriem.