kas jāzina izglītības iestāžu darbiniekiem par datu apstrādi«ba.pdf · 1 kas jāzina...
TRANSCRIPT
1
Kas jāzina izglītības iestāžu darbiniekiem
par datu apstrādi
Inese Miķelsone
Zvērināta advokāte / Personas datu apstrādes speciāliste
apliecības Nr. 066, izdota 18.09.2013.
2
Tagad
FIZISKO PERSONU DATU AIZSARDZĪBAS LIKUMS Spēkā no 20.04.2000.
(FPDAL)
EIROPAS PARLAMENTA UN PASABIEDRĪBAS REGULA (ES) 2016/679
Pieņemta 27.04.2016.
VDAR - Vispārējā Datu aizsardzības Regula
angliski GDPR - Global Data Protection Regulation
Stāsies spēkā 25.05.2018.
3
Citi regulējošie normatīvie akti, kuru piemērošana ir saistīta ar datu apstādi:
Par presi un citiem masu informācijas līdzekļiem
Informācijas tehnoloģiju drošības likums
Informācijas atklātības likums
Informācijas sabiedrības pakalpojumu likums
Elektronisko dokumentu likums
Elektronisko sakaru likums
Reklāmas likums
Priekšvēlēšanu aģitāciju likums
Arhīvu likums
Operatīvās darbības likums
Personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības (MK 30.01.2001. noteikumi Nr. 40)
Noteikumi par personas datu nodošanas līgumos obligāti iekļaujamiem nosacījumiem (MK 16.08.2011. noteikumi Nr. 634)
Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām (MK 28.07.2015.
noteikumi Nr. 442)
Par valsts noslēpumu un daudzi citi
4
Kas ir dati?
Fizisku personu datu aizsardzības likums
Personas dati ir jebkāda informācija, kas attiecas uz identificētu
vai identificējamu fizisko personu.
Personas datu apstrāde ir jebkuras ar personas datiem veiktas
darbības, ieskaitot datu vākšanu, reģistrēšanu, ievadīšanu,
glabāšanu, sakārtošanu, pārveidošanu, izmantošanu, nodošanu,
pārraidīšanu un izpaušanu, bloķēšanu vai dzēšanu.
Vispārējā Datu Aizsardzības Regula
Personas dati ir jebkura informācija, kas attiecas uz identificētu
vai identificējamu fizisku personu (datu subjekts); identificējama
fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo
īpaši atsaucoties uz identifikatoru, piemēram, minētās personas
vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem,
tiešsaistes identifikatoru vai vienu vai vairākiem minētajai
fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās,
garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem.
Apstrāde ir jebkura ar personas datiem vai personas datu
kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez
automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija,
organizēšana, strukturēšana, glabāšana, pielāgošana vai
pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana,
nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai
kombinēšana, ierobežošana, dzēšana vai iznīcināšana.
5
Ar ko mēs sākam un ko darām?
1. uzdevums - apzināt Iestādē esošos datus un kur tie tiek glabāti (glabāšanas veidi- elektroniski, netiešie
glabāšanas veidi - rezerves kopijas, dokumentu kopijas papīra formā) – rekomendācija - apzināt darbinieku
lokālas darba stacijas /darba vietas, sistēmas un koplietošanas vietnes
2. uzdevums - apzināt to apstrādes tiesisko pamatojumus un glabāšanas pamatu – (likums, līgums, piekrišana)
3. uzdevums - apzināt kā un kādi dati ir iegūti un kam tie ir nodoti - (ārpakalpojumi – pasta pakalpojumi,
eksāmenu rezultāti)
4. uzdevums – apzināt, kuru darbību ietvaros veicam datu apstrādi
6
Kādi dati atrodas iestādē?
Personas datu veidi:
- Vārds, uzvārds, personas kods, adrese, dzīves vieta, tel. Nr., bankas konts, fotogrāfija, informācija par ģimenes
stāvokli, bērniem utt.
Arī:
- Atrašanās vietas dati;
- IP adrese;
- Video novērošanas ieraksti;
- Balss jeb audio ieraksti;
- Papīra formāta datu nesēji – darbinieku un skolēnu lietas, dažādi uzskaites žurnāli, korespondence;
- Fotogrāfijas un citi informācijas nesēji;
- Identificējami bērnu zīmējumi, patstāvīgie darbi utt.
Piemērs par darbinieka dzimšanas dienu (arī bērnu dzimšanas dienas)
Piemērs par raksta ilustrēšanu
7
Apzināt to apstrādes tiesisko pamatojumus
Personas datu apstrāde ir atļauta tikai tad, ja likumā nav noteikts citādi un ja ir vismaz viens
no šādiem nosacījumiem:
- ir datu subjekta piekrišana;
- datu apstrāde izriet no līguma;
- datu apstrāde nepieciešama likumā noteikto pienākumu veikšanai;
- datu apstrāde nepieciešama, lai aizsargātu datu subjekta vitāli svarīgas intereses, tajā
skaitā dzīvību un veselību;
- datu apstrāde nepieciešama, lai nodrošinātu sabiedrības interešu ievērošanu vai
realizētu publiskās varas uzdevumus;
- datu apstrāde ir nepieciešama, lai, ievērojot datu subjekta pamattiesības un brīvības.
8
Datu subjekta “piekrišana” ir jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz
datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz
piekrišanu savu personas datu apstrādei.
Piekrišanai ir jābūt aktīvai (neder jau automātiski ielikts ķeksis kādā mājas lapā).
Piekrišana attiecas uz konkrētu darbību, mērķi, laika periodu utt. (nevar būt “piekrītu fotografēties žurnālam
X”, bet nav atrunas, kur, cik ilgi glabātas fotogrāfijas, kad tiks dzēstas utt. vai vēl jo vairāk, pēc gada
fotogrāfijas parādās viesnīcas Y reklāmas bukletā).
Piemērs par foto vienam mērķim, bet reāli citam.
Piemērs (Administratīvā lieta Nr. A420471613) – persona A sniedza interviju laikrakstam un piekrita
raksta, kurš satur informāciju par personu A un viņa ģimenes locekļiem, publicēšanai papīra formātā.
Persona A nebija informēta, ka sniegtā intervija tiks publicēta internetā laikraksta mājas lapā. Persona A
pieprasīja dzēst interviju no mājas lapas. Apgabaltiesa lēma, ka laikraksts ir pārkāpis FPDAL prasības, ir
iesniegta kasācijas sūdzība.
9
Regula aizliedz pārmērīgu datu apstrādi, līdz ar to nav pieļaujamas situācijas, kad dati tiek ievākti bez
kāda konkrēta mērķa.
Pieeja “ja nu kādreiz noderēs” nav tiesisks pamats datu apstrādei.
Jāspēj atbildēt uz jautājumu: “kāpēc iestādei ir nepieciešami šie dati?”.
Piemēram, atlasot jaunus darbiniekus, CV norādīto datu apstrādes mērķis būtu pretendenta izglītības un
darba pieredzes novērtējums. Savukārt, pieprasot kandidāta fotogrāfiju, rūpīgi jāizvērtē, vai tam ir tiesisks
pamats. Ja amats nav saistīts, piemēram, ar dalību reklāmā, kur izskatam ir nozīme, tad fotogrāfijas
nepieciešamības tiesiskais pamats ir apšaubāms.
Vēl vairāk – taujāšana pēc bērnu skaita un ģimenes stāvokļa, hobijiem, nekāda viedā neattiecas un darba
tiesiskajā attiecībām, attiecīgi nav arī jāprasa.
Rekomendācija - izstrādāt iespēju elektroniski aizpildīt CV / pieteikuma anketu, kur ir jāatbild uz
konkrētiem jautājumiem, tādējādi nedodot iespēju kandidātam, sniegt vairāk informācijas, kā nepieciešams,
tādā veidā sevi pasargājot no iespējamajiem konfliktiem.
CV glabāšana, citam konkursam “ja nu noderēs”, nav pieļaujama.
CV glabāšanas laiks.
10
Specifiskais par nepilngadīgu personu datu apstrādi
Ņemot vērā, ka bērniem pienākas īpaša aizsardzība, ja apstrāde attiecas uz bērnu, informācija
būtu jāsniedz un saziņa jāveic
tik skaidrā un vienkāršā valodā, lai bērns to varētu viegli saprast.
11
Nosacījumi, kas piemērojami bērna piekrišanai attiecībā uz
informācijas sabiedrības pakalpojumiem
Ja attiecībā uz informācijas sabiedrības pakalpojumu tiešu sniegšanu, bērna personas datu
apstrāde ir likumīga, ja bērns ir vismaz 16 gadus vecs. Ja bērns ir jaunāks par 16 gadiem, šāda
apstrāde ir likumīga tikai tad un tādā apmērā, ja piekrišanu ir devusi vai apstiprinājusi
persona, kurai ir vecāku atbildība par bērnu.
Dalībvalstis minētajiem nolūkiem ar likumu var paredzēt jaunāku vecumu, ar noteikumu, ka
šāds jaunāks vecums nav mazāks par 13 gadiem.
Pārzinis pieliek saprātīgas pūles, lai šādos gadījumos pārbaudītu, vai piekrišanu ir devusi vai
apstiprinājusi persona, kurai ir vecāku atbildība par bērnu, ņemot vērā pieejamās tehnoloģijas.
12
Bērna personas dati
Bērna vārds, uzvārds, personas kodu apstrādā (izmanto), ja to nosaka normatīvie akti vai ir datu subjekta
likumiskā pārstāvja piekrišana un ja personas koda apstrāde ir nepieciešama, lai sasniegtu noteiktu bērnu
personas datu apstrādes mērķi.
Bērna fotogrāfiju izmantošana iestādes dokumentos, informatīvajos materiālos, interneta mājas lapā,
publiska to izmantošana iestādes telpās vai citādi ir atļauta pēc tam, kad ir saņemta bērna likumiskā
pārstāvja piekrišana fotogrāfiju izmantošanu norādītājam mērķim.
Mācību novērtējums ikdienas darbā attiecībā uz bērnu netiek izpausts trešajām personām. Iestāde
nodrošina, ka katra bērna mācību sasniegumu novērtējums (tostarp dažādas piezīmes attiecībā uz bērna
mācību procesu) ir pieejams tikai pašam bērnam un likumiskajiem pārstāvjiem.
Bērnu datu apstrāde iestādes interneta vietnēs ir pieļaujama, ievērojot datu tehniskās drošības nosacījumus.
Katrs iestādes darbinieks ir tiesīgs piekļūt tikai tiem datiem, kas attiecas uz viņu vai saistīts ar viņa darba
pienākumiem. Bērnu vecākiem (likumiskajiem pārstāvjiem) ir aizliegts piekļūt citu bērnu personas datiem.
Jebkuras paroles tiek veidotas vismaz no 8 simboliem (vēlams).
13
Papildus izdalāmi:
Īpašu kategoriju dati (iepriekš sensitīvie dati) (regulas 9.pants)
Ir aizliegta tādu personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai
filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu
identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde.
Šos datus drīkst apstrādāt tikai pie noteiktiem nosacījumiem.
Piemēram:
- Dati par veselību:
- Biometriskie dati – pirkstu nospiedumi, sejas atpazīšana, fotogrāfijas (rekomendācijā – ne visas fotogrāfijas uz reiz ir
jāuzskata par biometriskajiem datiem) u.c.;
- Dalība arodbiedrībās.
14
Bērnu reģistrācija skolā / pirmsskolā
Ievācot jebkuru informāciju, Jums ir jānodrošina datu subjekta tiesības saņemt šādu informāciju:
1. datu apstrādes mērķis;
2. informācija par datu apstrādes pārzini (iestādi) nosaukums, reģistrācijas Nr., juridiskā adrese;
3. datu apstrādes tiesisko pamatu;
4. leģitīmajām interesēm;
5. datu aizsardzības speciālistu;
6. personas datu saņēmēji vai saņēmēju kategorijas, kam personas dati ir izpausti vai kam tos izpaudīs, jo īpaši
saņēmēji trešās valstīs vai starptautiskās organizācijās;
7. ja iespējams, paredzētais laikposms, cik ilgi personas dati tiks glabāti, vai, ja nav iespējams, kritēriji, ko izmanto
minētā laikposma noteikšanai;
8. tas, ka pastāv tiesības saņemt informāciju par saviem datiem (piekļūt tiem) un pārziņa pienākumu tos sniegt;
9. pieprasīt no pārziņa datu subjekta personas datu labošanu vai dzēšanu, vai personas datu apstrādes ierobežošanu
vai tiesības iebilst pret šādu apstrādi;
10. tiesības uz datu pārnesamību (iespēju robežās);
11. tiesības iesniegt sūdzību uzraudzības iestādei (Datu Valsts Inspekcija);
12. ja notiek profilēšana (tai skaitā automatizēta lēmumu pieņemšana), tiesības apstrīdēt lēmumu.
Nedrīkst publiski parādīties rindas ar bērnu vārdiem un uzvārdiem, dzimšana datiem utt.
15
Video novērošana
Videonovērošanas galvenais mērķis ir nodrošināt aizsardzību pret ļaunprātīgu rīcību vai noziedzīgiem
nodarījumiem. Nepieciešamo uzraudzības darbību veikšanai tiek ievērots proporcionalitātes princips,
proti, tiek novēroti tikai nepieciešamie objekti un apstākļi, izslēdzot sistēmu izvietošanu telpās, kur
jāpieļauj personu privātums (tualetes, dušas, apģērbu maiņas telpas, medicīniskās aprūpes kabinets).
Videonovērošana tiek veikta, informējot par to visas personas ar brīdinājuma zīmēm pie ieejas iestādē.
Mērķis: Noziedzīgu nodarījumu novēršana un klientu īpašuma aizsardzība
Pārzinis: Jūsu iestāde, adrese, reģ. Nr.
Datu aizsardzības speciālists: Inese Miķelsone, epasts:
Tiesiskais pamats: Regulas 6.pants apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja apstrāde ir
vajadzīga pārziņa vai trešās personas leģitīmo interešu ievērošanai
Regulas 9.pants 2. daļas b) un g) apakš punkti.
Leģitīmās intereses: Bērna leģitīmās intereses – nodrošināt bērna un viņa mantas aizsardzību; Iestādes
leģitīmās interese – izpildīt savu pienākumu, nodrošināt bērna un viņa mantas aizsardzību
Datu saņēmēji: Iestādes attiecīgi pilnvaroti darbinieki, izņēmumu gadījumā tiesību sargājošās iestādes
Nodošana uz trešo valsts: nav
Video novērošanas noteikumi atrodas www.jususkola.lv.
Privātuma politika pieejama www.jususkola.lv.
16
Fotografēšana / filmēšana pasākumos u.c.
tikai ar vecāku rakstveida piekrišanu
Bērna dati skolas telpās, mājas lapā (fotogrāfijas, zīmējumi un patstāvīgie darbi utt.);
Ja iestādē tiek veikts kāds zinātnisks, socioloģisks vai tamlīdzīgs pētījums, kurā nepieciešams norādīt
bērna personas datus aptaujas anketās, šādu datu (jo īpaši īpašo kategoriju datu) vākšanai tiek saņemta
likumiskā pārstāvja piekrišana, un tie tiek informēti par pētījuma nolūku un datu saņēmējiem.
WhatsApp grupa, Draugiem, Facebook, Inastagram utt.
Eklase (paroli nedrīkst izpaust citiem arī līmēt dienasgrāmatā).
Fotogrāfiju izvietošana mājas lapā vai jebkurā citā vietā tīmeklī ir pieļaujama tikai saņemot tiešu,
nepārprotamu rakstveida piekrišanu.
Persona ir tiesīga atteikties no savas fotogrāfijas izvietošanas un pret viņu nedrīkst vērst nekādas sankcijas
šajā sakarā.
Rekomendācija
organizējot kopīgus pasākumos, cilvēkus iepriekš informēt,
ja tiek plānots fotografēt, filmēt un izvietot attiecīgo materiālu tīmeklī,
iespēju robežās saņemt piekrišanas.
17
Fiziskas personas datus nav atļauts sūtīt, izmantojot gmail.com, mail.ru vai citus
ārpus ES reģistrētus kontus.
Google rīku lietošana (piem. Google Analytics u.c.), izvērtējam, rakstam motivācija /
ietekmes novērtējumu, kāpēc lietojam.
18
Darbojošās personas
Fiziskas personas datu aizsardzības likums
Pārzinis ir fiziska vai juridiska persona, valsts vai
pašvaldības institūcija, kura pati vai kopā ar citiem
nosaka personas datu apstrādes mērķus un apstrādes
līdzekļus, kā arī atbild par personas datu apstrādi
saskaņā ar likumu.
Personas datu operators ir pārziņa pilnvarota
persona, kas veic personas datu apstrādi pārziņa
uzdevumā.
Vispārējā datu aizsardzības regula
Pārzinis ir fiziska vai juridiska persona, publiska
iestāde, aģentūra vai cita struktūra, kas viena pati vai
kopīgi ar citām nosaka personas datu apstrādes
nolūkus un līdzekļus; ja šādas apstrādes nolūkus un
līdzekļus nosaka ar Savienības vai dalībvalsts tiesību
aktiem, pārzini vai tā iecelšanas konkrētos kritērijus
var paredzēt Savienības vai dalībvalsts tiesību aktos.
Apstrādātājs ir fiziska vai juridiska persona,
publiska iestāde, aģentūra vai cita struktūra, kura
pārziņa vārdā apstrādā personas datus.
19
Pārziņa pienākums ir ievērot VDAR noteiktos datu apstrādes principus
8 labas prakses principi
(FPDAL)
1. Dati tiek godīgi un likumīgi apstrādāti
2. Datu apstrāde tiek veikta konkrētiem mērķiem un
tikai saskaņā ar tiem
3. Dati ir adekvāti (ne pārmērīgi)
4. Dati ir precīzi
5. Dati netiek glabāti ilgāk nekā nepieciešams
6. Dati tiek apstrādāti saskaņā ar Jūsu tiesībām
7. Dati ir drošībā
8. Dati netiek pārsūtīti uz citām organizācijām,
iestādēm vai ārvalstīm bez drošas adekvātas
aizsardzības
Datu apstrādes principi
(VDAR)
1. Likumīgums, godprātība un pārredzamība
2. Nolūka ierobežojumi
3. Datu minimizēšana
4. Precizitāte
5. Glabāšanas ierobežojums
6. Integritāte un konfidencialitāte
20
Datu apstrādes pārkāpumi
Apdraudējums tehniskajiem resursiem - iespējamie risks - pilnīgs vai daļējs datu zudums, ko izraisa
elektroenerģijas padeves pārtraukums, šķidrumu vai svešķermeņu iekļūšana, bojājumi fiziska trieciena,
uguns iedarbības vai plūdu rezultātā u.c.
Apdraudējums informācijas resursiem – iespējamais risks – informācijas noplūde, informācijas
kropļošana utt., ko trešajām personām kļuvusi zināma pieejas parole, konstatēta nesankcionēta piekļuve,
konstatēti darbības pārtraukumi, datu pazaudēšana, informācijas noplūde u.c.
Iespējamās sekas, kuras nav jāsagaida: situācijas, kas fiziskām personām var izraisīt fizisku, materiālu vai
nemateriālu kaitējumu kā, piemēram, iespējas kontrolēt savus personas datus zaudēšana vai to tiesību
ierobežošana, diskriminācija, identitātes zādzība vai viltošana, finansiāls zaudējums, neatļauta
pseidonimizācijas atcelšana, kaitējums reputācijai, ar dienesta noslēpumu aizsargātu personas datu
konfidencialitātes zaudēšana vai jebkāda cita attiecīgajai fiziskajai personai īpaši nelabvēlīga ekonomiskā
vai sociālā situācija.
Par jebkuru personas datu apstrādes pārkāpumu darbiniekam, kas to konstatējis, ir nekavējoties jāpaziņo IT
Sistēmu administratoram.
Pārkāpumā gadījumā, darbiniekam savu iespēju un pilnvaru ietvaros ir pienākums nodrošināt tehnisko un
informācijas resursu drošību līdz IT Sistēmu administratora ierašanās brīdim.
21
Informēšana par datu apstrādes pārkāpumiem /
incidentiem datu apstrādē (72 stundas)
Ja ir noticis personas datu aizsardzības pārkāpums, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis
zināms, pārzinim ir jāpaziņo par to Datu Valsts Inspekcijai, izņemot, ja pārzinis spēj uzskatāmi parādīt, ka personas datu
aizsardzības pārkāpums, nerada risku fizisku personu tiesībām un brīvībām.
Ja šādu paziņojumu nevar iesniegt 72 stundu laikā, paziņojumam būtu jāpievieno informācija par kavēšanās iemesliem, un
informāciju var sniegt pa posmiem bez nepamatotas turpmākas kavēšanās.
Paziņojuma DVI saturs:
- apraksta personas datu aizsardzības pārkāpuma raksturu, tostarp, ja iespējams, attiecīgo datu subjektu kategorijas un
aptuveno skaitu un attiecīgo personas datu ierakstu kategorijas un aptuveno skaitu;
- paziņo datu aizsardzības speciālista vārdu un uzvārdu un kontaktinformāciju vai norāda citu kontaktpersonu, ja nav
speciālista;
- apraksta personas datu aizsardzības pārkāpuma iespējamās sekas;
- apraksta pasākumus, ko pārzinis veicis vai ierosinājis veikt, lai novērstu personas datu aizsardzības pārkāpumu,
tostarp attiecīgā gadījumā – pasākumus, lai mazinātu tā iespējamās nelabvēlīgās sekas.
Pārzinis dokumentē visus personas datu aizsardzības pārkāpumus, norādot faktus, kas saistīti ar personas datu pārkāpumu,
tā sekas un veiktās koriģējošās darbības. Minētā dokumentācija ļauj uzraudzības iestādei pārbaudīt attiecīgā panta
ievērošanu.
Gadījumā, ja datu aizsardzības pārkāpums, noticis ar apstrādātāja kompetencē esošiem datiem, apstrādātājs, nekavējoties
ziņo pārzinim.
22
Informācijas un tehniskie resursi
(nemateriālie ieguldījumi, dati, visa veida informācija, datori, atmiņas kartes,
fotoaparāti, datorprogrammas, mobilie telefoni utt.)
ir iestādes īpašums
un tos aizliegts nodot trešajām personām
(utilizējot informācija obligāti jāizdzēš)
23
Laba prakse
Lietotājvārds un parole
Lietotājvārds ir atslēga, lai piekļūtu informācijai un programmām.
Katrs darbinieks ir atbildīgs par visiem reģistrēšanās gadījumiem,
kas ir veikti ar viņa lietotāja vārdu un paroli.
24
Prasības parolei (piemērs)
- vismaz astoņi simboli, no kuriem ir vismaz viens:
▪ latīņu alfabēta mazais burts;
▪ latīņu alfabēta lielais burts;
▪ vismaz viens cipars;
- paroli ir jāmaina atbilstoši IT administratora norādījumiem un atbilstoši IT
politikai;
- aizliegts izmantot ar sistēmas lietotāju saistītu informāciju (vārds, uzvārds,
dzimšanas dati);
- nedrīkst izmantot tādas pašas paroles kā tiek izmantotas sociālajos tīklos, EDS utt.
- nedrīkst būt pieejama trešajām personām, darba kolēģiem utt.
- nedrīkst uzglabāt pierakstītu uz papīra vai arī elektroniskā formā, ja tas rada
apdraudējumu parolei nokļūt trešās personas rokās.
25
Ja rodas aizdomas, ka citi ir uzzinājuši paroli,
tā nekavējoties ir jānomaina un jāziņo IT Sistēmu administratoram.
Darbiniekam nav tiesību ievadīt savu lietotāju identifikatoru un paroli iestādes
sistēmās, pēc citas personas pieprasījuma.
Atstājot darba vietu (arī uz brīdi) – darbiniekam ir jāizrakstās no sistēmām vai jābloķē
sistēmu (Windows + L).
26
Datu glabāšana un nodošana
Dati iestādē tiek glabāti, atbilstoši datu apstrādes politikai
Datu glabāšanas ierīces ir jāglabā tā, lai tās un tajās esošā informācija nenonāk nepiederošu personu rokās.
Bez tiešā priekšnieka atļaujas ir aizliegts konfidenciālu informāciju sūtīt, kopēt vai citādi izplatīt tīmeklī vai
jebkādā citā veidā nodot trešajām personām.
Rekomendācija - dokumenti, kas satur personas datus glabājas slēgtā telpā / skapī.
Tīrā galda princips.
Apkopējas.
Izlietotā papīra izmantošana / likvidēšana
27
Tehnikas lietošana
Aizliegts:
- Ir aizliegts nelegāli lejupielādēt mūziku, filmas un/vai uzglabāt tās;
- Lejupielādēt pornogrāfiskus, vardarbīgus un rasistiskus materiālus vai jebkurus materiālus, kas varētu būt nelegāli
un/vai nepiedienīgi;
- Bez IT Sistēmu administratora, instalēt citas programmas.
Ierobežojumi:
- Iestādes datortehnikas (datori / serveri / tīkla piekļuve / cita infrastruktūra) lietošana privātām vajadzībām var tikt
atļauta ierobežotā apjomā.
Iestādei ir tiesības iepriekš informējot darbinieku (var iekļaut šādu normu darba līgumā) darba efektivitātes nodrošināšanai,
pārmērīga interneta lietošanas ierobežošanai utt.:
- kontrolēt un ierobežot interneta izmantošanu;
- apskatīt un analizēt darbinieka darba ieradumus, interneta vietnes, kuras tas apmeklē darba laikā un cik ilgi utt.
Rekomendācija: pārmērīgi ilgi neatrasties ar darbu nesaistītās interneta vietnēs.
Fiziski jāsargā iestādes izsniegtais tehniskais aprīkojums (klēpjdatori, pārnēsājamas datu glabāšanas ierīces u.c.).
28
Mobilā telefona lietošana
Iestādes epastu instalēt telefonā (savā vai iestādes) var tikai ar tiešā priekšnieka atļauju.
Mobilajam telefonam obligāti ir jāizveido pieejas parole, lai tā nozaudēšana gadījumā telefonā
esošie dati nenokļūtu trešo personu rokās.
Iestādes izsniegtajos mobilajos telefonos nedrīkst fotografēt ar darbu nesaistītas lietas un
personas, gadījumā, ja, tā ir noticis, iestāde neuzņemas atbildību par fizisko personu datiem, kas
nesankcionēti atrodas darba telefonos un iespējamu to noplūdi.
Atdodot (arī utilizējot) telefonu ir jānodrošina, ka visi dati iepriekš ir dzēsti (vislabāk formatēt
līdz rūpnīcas standartiem).
Un citi noteikumi
29
Prombūtne
Parasti iestādei
nav piekļuves darbinieka tīkla vietnēm un / vai e-pastam.
Ilgas un neparedzētas prombūtnes laikā un, ja nav iespējams saņemt darbinieka
apstiprinājumu, iestāde, lai nodrošinātu savu darbību ir tiesības piekļūt darbinieka tīkla
vietnēm un / vai e-pastam.
Darbinieka plānotas (arī neplānotas) prombūtnes gadījumā,
iestāde nozīmē personu, kurai tiek pārsūtīti prombūtnē esošā darbinieka elektroniskā
pasta sūtījumi / vai kurai uz laiku tiek piešķirtas piekļuves tiesības, lai nodrošinātu
darba nepārtrauktību.
30
Vīrusi
Iestādes datoriem jābūt instalētai antivīrusu programmatūra ar automātisku
atjaunošanu, tomēr jāievēro sekojošais:
• nekad neatvērt pielikumu no sūtītāja, kurš nav neatpazīstams, ja saturs šķiet
nenopietns vai nesaprotams;
• nekavējoties izdzēst ziņojumus ar aizdomīgu saturu, pat ja tie saņemti no
pazīstamiem cilvēkiem. Vīrusus bieži izplata, izmantojot e-pasta adrešu grāmatas;
• samazināt privāto e-pasta saziņu darbā līdz minimumam;
• nepieļaut savas darba e-pasta adreses reģistrēšanu privātās adrešu grāmatās;
• ar savu darba adresi nereģistrēties privātām vajadzībām dažādās mājaslapās;
• ja saņemts aizdomīgs epasts, pārsūt uzņēmuma datortīkla administratoram.
31
E-pasts
Darbiniekam ir izveidota epasta adrese (piemēram, [email protected] , u.c.) kas ir
Darba devēja īpašums.
Privātos sūtījumus var iezīmēt ar norādi – “Privāts” (rakstot to e-pasta subjektā).
“Mani (Ineses) dokumenti” nenozīmē “Privāts”
Privātu elektroniskā pasta sūtījumu aizsardzība netiek nodrošināta,
ja notiek kriminālprocess.
Darbinieka pienākums -
pēc darba tiesisko attiecību izbeigšanas ir jāsaglabā un jānodod darba devējam visa elektroniskā
pasta korespondence, kas attiecas uz darba pienākumu veikšanu.
Rekomendācija – privātām vajadzībām neizmatot darba epastu.
32
Ikviena darbinieka atbildība
Darbinieks ir atbildīgs par:
- par konfidencialitātes ievērošanu saskaņā ar Darba līgumu;
- viņa rīcībā esošo drošu datu apstrādi, tai skaitā glabāšanu;
- viņam uzticētajām tehnikas vienībām;
- noteikumu, ar kuriem ir iepazīstināts, rūpīgu ievērošanu;
- darba pienākumu veikšanu atbilstoši uzticētajiem pienākumiem, it sevišķi
gadījumos, ja tiešā veidā iesaistīts klientu datu apstrādes procesos;
- iepriekš minētā neievērošanas sekām.
***
33
Jaunā regula uzliek / pastiprina jaunus pienākumus,
ievieš jaunu terminus (piemēram)
Tiesības tik aizmirstam tiesības uz visu savu datu dzēšanas pēc pieprasījuma
Datu subjektam ir tiesības uz savu personas datu dzēšanu un apstrādes neturpināšanu, ja
personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie vākti vai citādi apstrādāti,
vai ja datu subjekts ir atsaucis savu piekrišanu apstrādei vai iebilst pret savu personas datu
apstrādi.
34
Tiesības uz datu pārnesamību
Datu subjektam ir tiesības uz savu personas datu dzēšanu un apstrādes neturpināšanu, ja personas dati vairs nav
nepieciešami saistībā ar nolūkiem, kādos tie vākti vai citādi apstrādāti, vai ja datu subjekts ir atsaucis savu piekrišanu
apstrādei vai iebilst pret savu personas datu apstrādi.
Minētās tiesības ir īpaši svarīgas, ja datu subjekts ir devis savu piekrišanu kā bērns, pilnībā neapzinoties ar apstrādi
saistītos riskus, un vēlāk vēlas izņemt šādus personas datus, jo īpaši no interneta.
Lai stiprinātu tiesības tikt aizmirstam tiešsaistes vidē, arī tiesības uz dzēšanu būtu jāpaplašina tā, lai pārzinim, kas ir
publiskojis personas datus, būtu pienākums informēt pārziņus, kuri apstrādā šādus personas datus, par to, ka ir jādzēš
visas saites uz minētajiem personas datiem vai minēto personas datu kopijas vai atveidojumi. To darot, pārzinim būtu
jāveic saprātīgi pasākumi, ņemot vērā pieejamo tehnoloģiju un pārziņa rīcībā esošos līdzekļus, tostarp tehniskie
pasākumi, ar ko pārziņus, kuri apstrādā personas datus, informē par datu subjekta pieprasījumu.
35
Profilēšana Profilēšana ir jebkura veida automatizēta personas datu apstrāde, kas izpaužas kā personas datu izmantošana nolūkā izvērtēt konkrētus ar fizisku
personu saistītus personiskus aspektus, jo īpaši analizēt vai prognozēt aspektus saistībā ar minētās fiziskās personas sniegumu darbā,
ekonomisko situāciju, veselību, personīgām vēlmēm, interesēm, uzticamību, uzvedību, atrašanās vietu vai pārvietošanos.
Profilēšanas mērķis ir prognozēt cilvēka turpmāko uzvedību, piemēram, pamatojoties uz viņa iepriekšējām darbībām. Vispārīgajā datu
aizsardzības regulā profilēšana ir definēta kā jebkura automātiska personas datu apstrāde ar nolūku novērtēt personiskus aspektus, ja šādai
apstrādei ir juridiskas sekas attiecībā uz fizisko personu. Izvērtēšana var attiekties uz personas sniegumu darbā, ekonomisko situāciju,
personīgām vēlmēm un interesēm, uzticamību vai turpmāko uzvedību.
Tomēr ir daži izņēmumi:
Saskaņā ar regulu, šādu izvērtēšanu uzskata par profilēšanu tikai tad, ja datu apstrāde ir pilnībā automatizēta. Ja izvērtēšana ietver manuālas
darbības, saskaņā ar regulu, tā nav profilēšana. Turklāt jebkura datu apstrāde, kurā datus nevar identificēt kā piederošus noteiktam indivīdam,
netiek uzskatīta par profilēšanu.
Būtiska definīcijas daļa skar to, ka lēmums, kuram attiecībā uz fizisko personu ir juridiskas vai citas nopietnas sekas, ir jāpieņem, pamatojoties
uz izvērtējumu.
Datu subjektam ir tiesības pieprasīt manuālu datu apstrādi.
Par profilēšanu noteikti uzskatīs automatizētos patērētāju kredītu piešķiršanas lēmumu modeļus, kurus izmanto, lai izvērtētu pieteicēja
kredītreitingu un turpmākos maksājumu paradumus, kā arī, lai pieņemtu lēmumu par kredīta piešķiršanu vai atteikšanu.
Gadījumos, kad viedās tehnoloģijas analizē, cik un kādas mājas lapas datu subjekts skatās, ko pērk internetā, kādas TV pārraides vēro, ko abonē
utt. ir jāskatās visas iepriekš minētas pazīmes un katrs gadījums jāvērtē atsevišķi.
Uzņemšana skolās tikai pēc sekmēm – var tik uzskatīta par profilēšanu.
36
Pseidominizācija
Datu aizsardzības principi attiecas uz jebkādu informāciju par identificētu vai
identificējamu fizisku personu. Personas dati, kuri ir pseidonimizēti un kurus,
izmantojot papildu informāciju, varētu attiecināt uz fizisku personu, būtu jāuzskata par
informāciju par identificējamu fizisku personu. Lai noteiktu, vai fiziska persona ir
identificējama, būtu jāņem vērā visi līdzekļi, ko pārzinis vai kāda cita persona
pamatoti varētu izmantot – piemēram, lai tieši vai netieši identificētu fizisku personu.
Pseidonimizācijas piemērošana personas datiem var mazināt riskus attiecīgajiem datu
subjektiem un palīdzēt pārziņiem un apstrādātājiem izpildīt datu aizsardzības
pienākumus.
37
Regula neattiecas uz anonīmas informācijas apstrādi,
tostarp statistikas vai pētniecības nolūkos. (piemērs – par šampūniem, uz U.K. izceļojošiem tautiešiem)
Regulu nepiemēro mirušu personu personas datiem, bet dalībvalstis var paredzēt noteikumus par mirušu personu personas datu apstrādi.
(Latvija vēl nav lēmusi par lokālo regulējumu)
38
Nepieciešamie dokumenti (rekomendācija)
Nav noteikts nepieciešamo dokumentu saraksts
Datu aizsardzības politika
IT sistēmu lietošanas noteikumi
Iekšējie datu apstrādes un aizsardzības noteikumi
Iekšējo sistēmu drošības noteikumi
Sistēmas drošības riska pārvaldības plāns
Sistēmas nepārtrauktības plāns
Datu aizsardzība darba tiesību ietvaros
Video novērošanas instrukcija
Procedūras
39
Datu subjekta (klients x) tiesības saņemt informāciju par to,
kādus datus iestāde apstrādā.
Piemērs:
Datu subjekta vēstule iestādei:
Lūdzu, sniegt informāciju par manas personas (personas kods xxxxx-xxxxx)
datu apstrādi, sākot no 2018.gada 1. janvāra, Jūsu iestādes pārziņā esošajās
sistēmās.
40
Caurskatām visas sistēmas, kas mums ir, datu subjektu neatrodam un atbildam:
Mūsu pārziņā esošajās sistēmās Jūsu personas dati norādītajā laika posmā nav
tikuši apstrādāti.
41
Kļūda!!! Nepareiza atbilde, kura var tikt sodīta par neatbilstošas informācijas sniegšanu.
Datu subjekta vēstule ir jāreģistrē lietvedības sistēmā, līdz ar to atbildei būtu
jābūt:
Mūsu pārziņā esošajās sistēmās Jūsu personas dati norādītajā laika posmā nav
tikuši apstrādāti, bet Jūsu personas kods, vārds, uzvārds, adrese ir reģistrēti
lietvedības sistēmā (tiesiskais pamats, mērķis).
42
Kļūda !!!
Nepareiza atbilde, kura var tikt sodīta par neatbilstošas informācijas sniegšanu.
Jo informācijas meklēšanā tika izmantots personas kods vai vārds, uzvārds, kas
arī ir datu apstrāde.
Pareizā atbilde būtu - mūsu pārziņā esošajās sistēmās Jūsu personas dati
norādītajā laika posmā nav tikuši apstrādāti, izņemot meklēšanu tajās, kā
argumentu izmantojot personas kodu. Jūsu personas kods, vārds, uzvārds,
adrese ir reģistrēti lietvedības sistēmā (tiesiskais pamats, mērķis).
