Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Digitala Era 2017 - Gints Puškundzis - Personas datu apstrādes līgumi

546 views

Published on

Jaunā Eiropas Savienības personas datu aizsardzības regula teju ikvienā uzņēmumā kļūst par arvien apspriestāku jautājumu, jo tās spēkā stāšanās termiņš (2018.gada 25.maijs) strauji tuvojas. Tādēļ jau ceturto gadu pēc kārtas, sadarbojoties ar “Latvijas Sertificēto Personas Datu Aizsardzības Speciālistu Asociāciju”, viens no vadošajiem kiberdrosības uzņēmumiem Baltijā “Data Security Solutions” 26.aprīlī rīko Latvijas lielāko personas datu aizsardzības regulas pasākumu (EU GDPR - General Data Protection Regulation) “Digitālā Ēra 2017”, kurā vadošie speciālisti no privātā un valsts sektora dalīsies pieredzē un zināšanās, aplūkojot jaunākos un inovatīvākos risinājumus, kā arī jaunākās tirgus tendences un regulatīvās normas kā Latvijā, tā visā Eiropas Savienībā. Vairāk: https://digitalaera.dss.lv/

Published in: Law
  • Be the first to comment

  • Be the first to like this

Digitala Era 2017 - Gints Puškundzis - Personas datu apstrādes līgumi

  1. 1. 1 Personas datu apstrādes līgumi un to sagatavošanas prasības Rīgā, 2017.gada 26.aprīlī
  2. 2. Saturs • Datu apstrāde ES un EEZ, datu apstrādes līgums starp pārzini un apstrādātāju (operatoru); • Datu nodošana ārpus ES un EEZ: a)BCR jeb saistošie uzņēmuma noteikumi b)Līgums starp pārzini un personas datu operatoru c) Standartklauzulas • Ko darīt līdz 25.05.2018?
  3. 3. Datu apstrāde ES un EEZ, datu apstrādes līgums
  4. 4. 4 • Pārzinis var uzticēt datu apstrādi operatoram (Regulā – apstrādātājam), noslēdzot ar to rakstveida līgumu. • Ko paredzēt līgumā? a) Līguma priekšmets (konkrēts, saprotams, bez interpretācijas iespējām); b) Līdzēju rīcību ar personas datiem; pakalpojuma apraksts; c) Atbildību; d) Termiņš/izbeigšana. Personas datu operators ir tiesīgs apstrādāt personas datus tikai līgumā noteiktajā apjomā un attiecīgā datu apstrādes mērķa sasniegšanai. Datu apstrādes līgums
  5. 5. Datu apstrāde/nodošana ārpus ES un EEZ
  6. 6. Datu nodošana ārpus ES un EEZ • Datu nosūtīšana uz trešām valstīm t.i. ārpus ES un EEZ ir ikdiena organizācijām un uzņēmumiem, kas darbojas starptautiski visā pasaulē. • «Trešās valstis» – valstis, kas atrodas ārpus ES un EEZ un valstis, kas nenodrošina atbilstošu datu aizsardzības pakāpi. • Pārzinis personas datus var nodot ārpus ES un EEZ, ja saņēmēja valsts nodrošina tādu datu aizsardzības pakāpi, kas atbilst attiecīgajai ES spēkā esošajai datu aizsardzības pakāpei. Publiski ir pieejams šo valstu saraksts • Eiropā, saistībā ar privātuma noteikumu ievērošanas pieaugošo kontroli, palielinās uzraudzības iestāžu pilnvaras piemērot finansiālas sankcijas.
  7. 7. Datu nodošana ārpus ES un EEZ Saistošie korporatīvie noteikumi jeb binding corporate rules (“BCR”) • Saistošie korporatīvie noteikumi (“BCR”) ir personas datu aizsardzības vadlīnijas, ko pieņēmusi starptautiska uzņēmumu grupa. • BCR nosaka globālo politiku attiecībā uz personas datu pārsūtīšanu kādas uzņēmumu grupas ietvaros arī uz tādiem uzņēmumiem, kas atrodas valstīs, kuras nenodrošina pietiekamu aizsardzības līmeni. • BCR var raksturot kā starptautisku prakses kodeksu, kam seko starptautiskie uzņēmumi personas datu pārsūtīšanai starp uzņēmumiem, kas pieder vienai un tai pašai uzņēmumu grupai, kas iesaistīti kopīgā saimnieciskā darbībā.
  8. 8. Datu nodošana ārpus ES un EEZ Saistošie korporatīvie noteikumi jeb binding corporate rules (“BCR”) • BCR ir paredzēti, lai regulētu tikai datu nodošanu grupas ietvaros visā pasaulē, t.i. personas datu apmaiņu starp uzņēmumiem, kas ietilpst tajā pašā uzņēmumu grupā, un kuriem šie korporatīvie noteikumi ir saistoši. • Jebkurš starptautisks uzņēmums, kas vēlas nodot un saņemt personas datus no saviem uzņēmumiem starptautiskā līmenī, var apsvērt BCR izmantošanu • Izskatīšanas procedūra ir izstrādāta tā, lai tai būtu viena vadošā iestāde un pieteikuma iesniedzējam nav jāvēršas visās ES datu aizsardzību uzraugošās iestādēs atsevišķi. • Savstarpējās atzīšanas procedūra atvieglo procedūru. N.B. Saistošie korporatīvie noteikumi neattiecas uz starptautisku personas datu pārsūtīšanu tādām sabiedrībām, kas neietilpst uzņēmumu grupā.
  9. 9. Datu nodošana ārpus ES un EEZ Saistošie korporatīvie noteikumi jeb binding corporate rules (“BCR”) Pirmais posms: Uzņēmums, kas plāno pieņemt saistošus uzņēmuma noteikumus izraugās vadošo uzraudzības iestādi ES, kas īstenos un koordinēs BCR izskatīšanas procedūru un saskaņošanu ar pārējām ES datu aizsardzības iestādēm. Parasti izvēlas pēc: grupas Eiropas galvenās mītnes atrašanās vietas; uzņēmuma atrašanās vietas, kas ir vispiemērotākā, lai izskatītu pieteikumu un izpildītu uzņēmumu grupas BCR; vietas, kur tiek pieņemts vairākums lēmumu attiecībā uz datu apstrādes mērķi un līdzekļiem; tajā ES dalībvalstī no kuras notiks lielākā daļa datu nosūtīšana ārpus ES un EEZ. Otrais posms: Uzņēmums sagatavo BCR projektu, kas atbilst 29.panta darba grupas pieņemtajām prasībām (WP133). Šo projektu iesniedz vadošajai iestādei, kas to izvērtē un sniedz uzņēmumam komentārus, lai nodrošinātu, ka BCR atbilst noteiktajām prasībām. jānorāda: Konfidencialitātes principi (datu kvalitāte, drošība utt.); Efektivitātes instrumenti (revīzija, subjektu tiesības, sūdzību izskatīšanas kārtība u.c.) juridiskais tvērums, kas pierāda, ka BCR ir saistoši.
  10. 10. Datu nodošana ārpus ES un EEZ Saistošie korporatīvie noteikumi jeb binding corporate rules (“BCR”) Trešais posms: Vadošā iestāde uzsāk sadarbības procedūru ES ietvaros, pārsūtot saņemtos BCR attiecīgajai uzraudzības iestādei tajā valstī, kurā atrodas grupas uzņēmumi, kas nodos/nosūtīs personas datus uz tiem grupas uzņēmumiem, kas atrodas valstīs, kuras nenodrošina pietiekamu aizsardzības līmeni. Ceturtais posms: Sadarbības procedūra tiek noslēgta pēc tam, kad valstis, uz kurām attiecas savstarpējās atzīšanas mehānisms (šobrīd 21 valsts), ir atzinušas, ka ir saņēmušas BRC, savukārt valstis, kuras nav pievienojušās savstarpējā atzīšanas mehānismā, uzskata, ka BCR atbilst 29.panta darba grupas noteiktajiem kritērijiem (viena mēneša laikā). Piektais posms: Pēc tam, kad visas ES uzraudzības iestādes ir vienojušās par BCR, uzņēmums iesniedz katras valsts uzraudzības iestādē pieprasījumu par atļauju nodot datus. Lēmums par aizsardzības pakāpes, kas atbilst attiecīgās valsts spēkā esošām datu aizsardzības pakāpēm, piešķiršanu.
  11. 11. Datu nodošana ārpus ES un EEZ Saistošie korporatīvie noteikumi jeb binding corporate rules (“BCR”) Latvijā DVI ir pieņēmusi lēmumu par aizsardzības pakāpes, kas atbilst attiecīgām Latvijā spēkā esošām datu aizsardzības pakāpēm, piešķiršanu trīs uzņēmumu saistošo korporatīvo noteikumiem: - Ernst & Young - Siemens Group - GlaxoSmithKline
  12. 12. Datu nodošana ārpus ES un EEZ Datu apstrādes līgums • Uzņēmumam ir nepieciešams nodot datus ārpus EEZ uzņēmuma valstī, kura nenodrošina atbilstošu datu aizsardzības pakāpi. • Uzņēmumi nav vienas grupas uzņēmumi. • Standartklauzulas nevēlas piemērot. • Šādā situācijā datu nodošana ir iespējama noslēdzot līgumu atbilstoši MK noteikumiem Nr.634 «Noteikumi par personas datu nodošanas līgumos obligāti iekļaujamiem nosacījumiem». Līguma paraugs publiski pieejams DVI • Var slēgt atsevišķu līgumu vai prasības iekļaut citā līgumā. • Līgums jāiesniedz DVI.
  13. 13. Datu nodošana ārpus ES un EEZ Piekrišana • Piekrišana tiek bieži apspriesta kontekstā ar datu nodošanu ārpus ES un EEZ, bet tās izmantošana datu apstrādē nododot tos uz trešajām valstīm nav labākais risinājums. • Lai arī piekrišana ir pierasts, ērts un virspusēji pievilcīgs rīks uzņēmējiem, tomēr regulējums jau šobrīd un Regula tikai pastiprina piekrišanai izvirzītās prasības • Grūtības varētu rasties saņemt piekrišanas no liela skaita subjektu. • Ko darīt, ja kāds nedod piekrišanu vai, ja kāds datu subjekts atsauc savu piekrišanu?
  14. 14. Datu nodošana ārpus ES un EEZ Standartklauzulas • Eiropas Komisijai ir noteikusi, ka dažas līgumu standartklauzulas sniedz pietiekamas garantijas un nodrošina atbilstošus drošības pasākumus attiecībā uz privātuma aizsardzību, pamattiesību un pamatbrīvību aizsardzību. • Organizācijām nav vajadzīgas standartklauzulas, ja tās vēlas personas datus pārsūtīt apstrādātājiem trešās valstīs, kurās par atbilstošu ir atzīts personas datu aizsardzības līmenis. • Starptautiskiem uzņēmumiem saistošo korporatīvo noteikumu pieņemšana, ko apstiprinājušas valsts datu aizsardzības iestādes, varētu būs piemērotāks risinājums pārrobežu datu nosūtīšanai starptautiska uzņēmuma ietvaros.
  15. 15. Datu nodošana ārpus ES un EEZ Standartklauzulas Līguma standartklauzulas nav uzņēmumiem obligātas un tās nav vienīgais veids, kā likumīgi pārsūtīt datus uz valstīm ārpus ES un EEZ. Eiropas Komisija līdz šim ir izdevusi divas standartklauzulas līgumiem datu pārsūtīšanai: 1. (EU-)controller to (Non-EU/EEA-)controller Datu nosūtīšanai no Pārziņa, kas atrodas ES, tādam Pārzinim, kas atrodas ārpus ES un EEZ 2. (EU-)controller to (Non-EU/EEA-)processor Datu nosūtīšanai no Pārziņa, kas atrodas ES, tādiem datu apstrādātājiem (operatoriem), kas veic uzņēmējdarbību ārpus ES un EEZ. • Standarta līguma forma ar pielikumiem • Nevar kombinēt abas formas • Samērā sarežģīts un «birokrātisks» instruments
  16. 16. Ko darīt līdz 2018.gada 25.maijam?
  17. 17. Ko darīt? Izvērtēt faktisko uzņēmuma darbību, līgumos iekļautās prasības Īstenot iekšējās apmācības par datu aizsardzību un noteikto prasību ievērošanu regulas kontekstā IT sistēmu pārbaude Izveidot pareizu formulējumu klientu piekrišanai datu apstrādei, ja tas ir datu apstrādes pamats Izvērtēt klienta sūdzības par datu aizsardzības pārkāpumiem Nepieciešamības gadījumā sagatavot iekšējos normatīvus un dokumentus, kas nepieciešami datu apstrādei Izvērtēt nepieciešamību reģistrēt datu aizsardzības speciālistu DVI, tādējādi būtiski samazinot riskus Izvērtēt vai šobrīd datu apstrāde atbilst mērķiem vai datu aizsardzības regulējumam
  18. 18. Ko darīt? Iekšējās kontroles modelis Nepieciešams pārliecināties, ka ir izveidotas iekšējās kontroles un izstrādāts regulējums risku vadībai, iekšējo kontroļu sistēmām un datu aizsardzības pārkāpumu novēršanai.Kontroles vide Risku izvērtējums Kontroles darbības Informācijas apmaiņa Uzraudzība Iekšējās kontroles sistēmas modelis
  19. 19. Gints Puškundzis Data protection officier (DPO) gints.puskundzis@gmail.com Mob. +371 29124124
  20. 20. 20 Paldies par uzmanību!

×