Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Digitala Era 2017 - Datu Valsts Inspekcija - Lauris Linabergs - Vispārīgā dau aizsardzības regula

477 views

Published on

Jaunā Eiropas Savienības personas datu aizsardzības regula teju ikvienā uzņēmumā kļūst par arvien apspriestāku jautājumu, jo tās spēkā stāšanās termiņš (2018.gada 25.maijs) strauji tuvojas. Tādēļ jau ceturto gadu pēc kārtas, sadarbojoties ar “Latvijas Sertificēto Personas Datu Aizsardzības Speciālistu Asociāciju”, viens no vadošajiem kiberdrosības uzņēmumiem Baltijā “Data Security Solutions” 26.aprīlī rīko Latvijas lielāko personas datu aizsardzības regulas pasākumu (EU GDPR - General Data Protection Regulation) “Digitālā Ēra 2017”, kurā vadošie speciālisti no privātā un valsts sektora dalīsies pieredzē un zināšanās, aplūkojot jaunākos un inovatīvākos risinājumus, kā arī jaunākās tirgus tendences un regulatīvās normas kā Latvijā, tā visā Eiropas Savienībā. Vairāk: https://digitalaera.dss.lv/

Published in: Law
  • Be the first to comment

  • Be the first to like this

Digitala Era 2017 - Datu Valsts Inspekcija - Lauris Linabergs - Vispārīgā dau aizsardzības regula

  1. 1. Datu valsts inspekcijas Eiropas Savienības un starptautiskās sadarbības nodaļas juriskonsults Lauris Linabergs 67223131 24.04.2017., Rīga Pārziņa atbildība un pienākumi Vispārīgās datu aizsardzības regulu sagaidot
  2. 2. Ko vēstīs šī prezentācija? • Pārziņa atbildība • Pasākumi, kas pārzinim jāveic • Rīki, kas var palīdzēt pārzinim pienākumu izpildē - Personas datu aizsardzības speciālists - Rīcības kodekss - Ietekmes novērtējums - Sertifikācija? *Izmantotie saīsinājumi - FPDAL - Fizisko personu datu aizsardzības likums - VDAR - Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK - DVI - Datu valsts inspekcija - 29.panta darba grupa - Eiropas Parlamenta un Padomes 1995.gada 24.oktobra Direktīvas 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti 29.panta darba grupa
  3. 3. • Pārziņa atbildība pašlaik: - Pārzinis atbildīgs par visu personas datu apstrādi (FPDAL 2.panta 9.punkts); - Operatora pilnvarojuma apjoms (FPDAL 14.pants); - Nepieciešamo tehnisko un organizatorisko līdzekļu lietošana (FPDAL 25.panta pirmā daļa); - Kopīgā pārziņa definīcija nojaušama, bet nav ieviesta (FPDAL 2.panta 9.punkts). | 3 Pārziņa atbildība 24.04.2017., Rīga
  4. 4. • Pēc VDAR precīzāk definēti veicamie uzdevumi, kā arī noteikta atbildība operatoram: - Operators var būt atbildīgs par kaitējumu, kas nodarīts ar apstrādi, tikai tad, ja tas nav izpildījis šajā regulā paredzētos pienākumus, kas konkrēti adresēti apstrādātājam, vai ja tas ir rīkojies neatbilstīgi vai pretēji pārziņa likumīgiem norādījumiem (VDAR 82.panta 2.punkts). - Joprojām galvenais atbildīgais ir pārzinis (VDAR 24.pants); - Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma (VDAR 25.pants); - Kopīgā pārziņa definīcija (VDAR 26.pants); | 4 Pārziņa atbildība 24.04.2017., Rīga
  5. 5. • Noskaidrot vai pašreizējā apstrāde atbilst personas datu aizsardzības prasībām *Piemēram, veicot personas datu apstrādes «auditu» - Tai skaitā pārbaudot vai pašreizējajai personas datu apstrādei ir tiesiskais pamats; - Veiktās personas datu apstrādes atbilstība datu aizsardzības principiem; - Spējas izpildīt VDAR noteikto novērtējumu; - Izvērtēt vai veiktās datu apstrādes raksturs prasa papildus veicamās darbības (piemēram, ietekmes novērtējuma izstrādi; datu aizsardzības speciālista norīkošanu). • Efektīvāko risinājumu izvēle papildus drošības garantiju sniegšanai, ja tādi ir nepieciešami. | 5 Pasākumi, kas pārzinim jāveic 24.04.2017., Rīga
  6. 6. 1. Situācijas novērtējums; 2. Kāda informācija ir uzņēmuma rīcībā? 3. Vai uzņēmums var nodrošināt informācijas sniegšanas datu subjektam atbilstību VDAR prasītajam? 4. Vai organizācija ir gatava nodrošināt VDAR noteikto datu subjektu tiesību ievērošanu? 5. Vai organizācija spēs sniegt atbildi uz datu subjekta informācijas pieprasījumu? 6. Vai visi organizācijas apstrādātie personas dati tiek apstrādāti ar atbilstošu tiesisko pamatu? 7. Izvērtējiet vai saņemtās datu subjekta piekrišanas atbilst normatīvo aktu prasībām | 6 12 Soļu plāns (pirmie septiņi soļi) 24.04.2017., Rīga
  7. 7. 8. Jānodrošina nepilngadīgo bērnu identifikācijas sistēma un to likumīgo aizbildņu piekrišanu identifikācija. 9. Pārliecinieties, ka spēsiet konstatēt datu aizsardzības pārkāpumus un iekšēji ir skaidra pārkāpumu paziņošanas kārtība? 10. Risku novērtējums par ietekmi uz datu aizsardzību. 11. Personas Datu aizsardzības speciālista piesaiste. 12. Ja organizācija ir starptautiska – jāidentificē, kura datu aizsardzības iestāde uzraudzīs. | 7 12 Soļu plāns (nākamie pieci soļi) 24.04.2017., Rīga
  8. 8. Risinājumi efektīvākas personas datu apstrādes atbilstības nodrošināšanai 1.Datu aizsardzības speciālists • Profesionālā kvalifikācija, jo īpaši speciālas zināšanas datu aizsardzības tiesību un prakses jomā, kā arī spēja pildīt uzdevumus; • Speciālists ir tieši atbildīgs pārziņa un augstākās vadības priekšā; • Pārziņa un tā darbinieku informēšana un konsultēšana datu aizsardzības jautājumos; • Pienākumu apjoms izsmeļoši noteikts VDAR 4. iedaļā • Līdzeklis kā uzņēmējam parādīt rūpes par personas datu aizsardzību; *Speciālistu var iecelt arī uzņēmumu grupa. **29.panta darba grupas vadlīnijas 24.04.2017., Rīga | 8
  9. 9. Datu aizsardzības speciālisti Latvijā - Uz 2017.gada 24.aprīli DVI kvalifikācija ir piešķirta 119 personas datu aizsardzības speciālistiem; - Šogad DVI ir noorganizējusi 2 personas datu aizsardzības speciālista kvalifikācijas pārbaudījumus (2.martā un 23.martā); - Šogad tiek plānoti vēl 3 kvalifikācijas pārbaudījumi (25.maijā, 29.septembrī un 30.novembrī). *Aktuālā informācija DVI mājaslapā www.dvi.gov.lv **Pašlaik Datu aizsardzības speciālistam ir jānodrošina atbilstība FPDAL 21.1 panta otrajā daļā un Ministru kabineta 2008.gada 5.februāra noteikumiem Nr.80 «Personas datu aizsardzības speciālista apmācību kārtība» noteiktajam. | 924.04.2017., Rīga
  10. 10. Risinājumi efektīvākas personas datu apstrādes atbilstības nodrošināšanai 2.Rīcības kodeksi • Pašreizējās prasības iekšējās datu aizsardzības dokumentācijas izstrādē privātiem pārziņiem; - Vienādas prasības gan juridiskām personām, gan fiziskām personām; - Nav paredzēts mehānisms, kā uzņēmumi ar līdzīgu datu apstrādi var apvienot resursus datu aizsardzības mehānismu izstrādē. • Kas var sagatavot un piemērot rīcības kodeksu? Rīcības kodeksa apstiprināšana. - Apvienības un citas struktūras (piemēram, atsevišķas nozaru asociācijas), kas pārstāv pārziņu vai operatoru kategorijas (VDAR 40.panta otrā daļa); - Rīcības kodeksa, grozījumu vai papildinājumu projekts jāapstiprina uzraudzības iestādē (VDAR 40.panta piektā daļa); - Rīcības kodeksa apstiprināšana, ja rīcības kodeksa projekts attiecas uz apstrādes darbībām vairākās dalībvalstīs (VDAR 40.panta septītā daļa); - Izstrādes procesā jāiesaista visas datu apstrādē iesaistītās personas, tai skaitā datu subjekti (VDAR 99.apsvērums), personas datu aizsardzības speciālists. 24.04.2017., Rīga | 10
  11. 11. Risinājumi efektīvākas personas datu apstrādes atbilstības nodrošināšanai 3.Ietekmes novērtējums (Regulas 35.pants) • Saskaņā ar regulā noteikto pārzinim (ne tikai valsts un pašvaldību iestādēm) būs primāri jāizvērtē personas datu apstrādes veids, jo īpaši ņemot vērā riskus, kas varētu tikt radīti, izmantojot jaunās tehnoloģijas. • Pārzinis pirms personas datu apstrādes veic novērtējumu par to, kā pārziņa plānotās apstrādes darbības ietekmēs personas datu aizsardzību – novērtējums par ietekmi uz datu aizsardzību. • Uzraudzības iestādē (DVI) tiks izstrādāti un publicēti saraksti ar tiem apstrādes darbības veidiem, attiecībā uz kuriem jāveic novērtējums par ietekmi uz datu aizsardzību. • Novērtējuma veikšana – viena no iespējām, lai izvairītos no personas datu aizsardzības pārkāpumu pieļaušanas. 24.04.2017., Rīga | 11
  12. 12. Sertifikācija • Dalībvalstis, uzraudzības iestādes, kolēģija un Komisija mudina, jo īpaši Savienības līmenī, izveidot datu aizsardzības sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus, lai uzskatāmi parādītu, ka apstrādes darbības, ko veic pārziņi un apstrādātāji, atbilst šai regulai. Ņem vērā mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības. (VDAR 42.pants); - Sertifikācija ir brīvprātīga; - Sertifikācija nemazina atbildību; - Sertifikācija var nodot vēstījumu Jūsu klientiem. • Sertifikātu izsniedz akreditēta sertifikācijas struktūra. *Pašlaik notiek darbs pie iespējamo akreditācijas un sertifikācijas mehānismu izstrādes. 24.04.2017., Rīga | 12
  13. 13. Izaicinājumi atbildības jomā personas datu aizsardzības jomā, naudas sodi • Administratīvus naudas sodus apmērā līdz EUR 10 000 000 vai, uzņēmuma gadījumā, līdz 2 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks, saskaņā piemēro par šādu noteikumu pārkāpumiem: a) pārziņa un apstrādātāja pienākumi; b) sertifikācijas struktūras pienākumi; c) pārraudzības struktūras pienākumi. 24.04.2017., Rīga | 13
  14. 14. Izaicinājumi atbildības jomā personas datu aizsardzības jomā, naudas sodi • Administratīvus naudas sodus apmērā līdz EUR 20 000 000 vai, uzņēmuma gadījumā, līdz 4 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks, piemēro par šādu noteikumu pārkāpumiem: a) apstrādes pamatprincipi, tostarp nosacījumi par piekrišanu, ievērojot 5., 6., 7. un 9. pantu; b) datu subjekta tiesības; c) personas datu nosūtīšana saņēmējam uz trešo valsti vai starptautisku organizāciju; d) visi pienākumi, ievērojot dalībvalsts tiesību aktus, kuri pieņemti saskaņā ar IX nodaļu; e) ja nav ievērots uzraudzības iestādes rīkojums vai pagaidu vai galīgs apstrādes vai datu aprites ierobežojums saskaņā ar 58. panta 2. punktu, vai nav sniegta piekļuve, pārkāpjot 58. panta 1. punktu. 24.04.2017., Rīga | 14
  15. 15. Saites • http://www.dvi.gov.lv/lv/category/zinas/ - Jaunumi no DVI; • http://www.dvi.gov.lv/lv/datu-aizsardziba/starptautiska- sadarbiba/publikacijas/ - jaunumi par starptautisko sadarbību, tai skaitā 29.panta darba grupas izstrādātās vadlīnijas; • http://ec.europa.eu/justice/data-protection/article- 29/documentation/opinion-recommendation/index_en.htm - 29.panta darba grupas viedokļi. • DVI ir: https://www.facebook.com/Datuvalstsinspekcija/ https://twitter.com/?lang=en *Vēršam uzmanību, ka 29.panta darba grupas viedokļi, vēstules un citi sagatavotie dokumenti ir viens no nozīmīgākajiem avotiem personas datu aizsardzības jēdzienu un to piemērošanas interpretācijā, tomēr, tajos paustais pašlaik nav DVI saistošs. 24.04.2017., Rīga | 15
  16. 16. Paldies par uzmanību! Datu valsts inspekcija Blaumaņa iela 11/13-15, Rīga, LV-1011 Konsultācijas un informāciju pa tālruni sniedz darba dienās no plkst. 13.00 līdz 15.00 Tel.: 67223131 Fakss: 67223556 E-pasts: info@dvi.gov.lv www.dvi.gov.lv

×