digitala era 2017 - lspdsa - arnis puksts - datu aizsardzības speciālists (dpo)
TRANSCRIPT
DATU AIZSARDZĪBAS SPECIĀLISTS(DPO)
Arnis Puksts, Fizisko personu datu aizsardzības speciālists,
Latvijas sertificēto personas datu aizsardzības speciālistu asociācijas
līdzpriekšsēdētājs
Rīgā, 2017.gada 26.aprīlī
KAS IR FIZISKO PERSONU DATU AIZSARDZĪBAS SPECIĀLISTS?
•Atbilstoša izglītība;
•Apmācība;
•Nokārtots pārbaudījums!• Sertifikāta atjaunošana – regulāra jaunu zināšanu apguve...
4
«WANNABE» DPO’S
• 2008.gada 5.februāra Ministru kabineta
noteikumi Nr.80 "Personas datu aizsardzības
speciālista apmācību kārtība"
• www.dvi.gov.lv:
ReģistrācijaPersonas datu
aizsardzības speciālisti...
5
IZMAIŅAS!
• Atcelts reģistrācijas pienākums!
• Obligāts DPO (ne visos gadījumos);
• DPO obligāts arī apstrādātājam
(personas datu operatoram);
• Ja konkrētajā situācijā DPO ir
obligāts – par iecelšanu jāpaziņo!
6
KAD DPO IR OBLIGĀTS?
• Regulas prasība:
• Publiskais sektors (izņemot tiesas);
• Pamatdarbība saistīta ar profilēšanu;
• Apstrādā īpašo kategoriju (sensitīvos)
datus;
• Veselais saprāts: Ja 100% nezini, ka
nevajag – tātad, vajag!8
PROFILĒŠANA
• GDPR, 37.pants – «pamata darbība»?
• Var mēģināt vērtēt:
• Kāda ir datu apstrādes nozīme pamata
darbībā?
• Vai bez datu apstrādes pamata darbība
faktiski nav iespējama?
9
KAS IR PROFILĒŠANA
• Datu subjektu novērošana, faktu ievākšana,
kas kalpo par pamatu pieņemt jebkādu
lēmumu (t.sk., sniegt individuālu piedāvājumu)
par šo datu subjektu.
• Kritēriji:
• Regularitāte;
• Algoritms;
• Būtiskā veidā saistīts ar organizācijas darbību.
10
ĪPAŠO KATEGORIJU DATU APSTRĀDE UN PROFILĒŠANA
• GDPR, 37.pants – «plašā mērogā»?
• Cik daudz riekstu veido kaudzi?
• Objektīvi var mēģināt izvērtēt:
• Datu subjektu skaitu kā proporciju no
reģionālās vai lielākas ģeogrāfiskas
vienības populācijas;
• Apstrādāto datu eventuālo ietekmi uz datu
subjektu.11
NE VISS IR VIENNOZĪMĪGI...
• GDPR, 37.pants, 1.punkts, c) apakšpunkts:
«... pārziņa vai apstrādātāja pamatdarbības
ietver īpašo kategoriju datu saskaņā ar 9.
pantu un 10. pantā minēto personas datu par
sodāmību un pārkāpumiem apstrādi plašā
mērogā.»
12
vai
DPO
• Funkcionāli: Pilnīga neatkarība – darbojas saskaņā
ar normatīvajiem aktiem;
• Institucionāli: Pakļauts augstākai vadībai;
• Formāli: Var būt darbinieks vai ārpakalpojumu
sniedzējs. Abos gadījumos – rakstveida līgums ir
obligāts...
• Praktiski: Nedrīkst pildīt jebkādus papildus
pienākumus, ja pastāv risks, ka nonāks interešu
konfliktā (piemēram – nevar būt jurists, IT, mārketinga
darbinieks u.tml.);13
DPO FUNKCIJAS (KO DPO OBLIGĀTI DARA?)
«Lokālā Datu valsts inspekcija»:
• Kontaktpunkts (DS, DVI);
• Uzraudzīt, vai pārzinis ievēro
GDPR;
• Konsultēt/apmācīt...
14
DPO FUNKCIJAS (KO DPO VAR DARĪT?)
• Pakalpojumu līgums vai amata apraksts var
paredzēt:
• Datu apstrādes mērķu reģistra uzturēšana;
• Atbalsta sniegšana atbilstības novērtējuma
veikšanas procesā un tālākā uzturēšanā;
• Ieteikumu sniegšana, kādus organizatoriskos
un tehniskos līdzekļus ieviest konkrētā
situācijā.
15
ĪSTS VAI PSEIDO DPO?
• Tikai tad, ja DPO statuss (paša DPO un
līguma nosacījumi) atbilst prasībām,
pārzinis (apstrādātājs) ir izpildījuši
obligāto prasību!
• Ja DPO ir ar statusu «konsultants», tad
DPO nav iecelts!
16
KO TAGAD DARĪT? (RACIONĀLĀ RĪCĪBA)
• Pārzinis (arī personas datu operators):
• Ja ir uzreiz skaidrs, ka DPO vajag – sāk meklēt vai audzināt!
• Ja nav skaidrs, tad patstāvīgi vai ar personas datu
aizsardzības speciālista palīdzību veic pilnīgu savas
darbības izvērtējumu, iegūstot atbildi uz jautājumu: «Vai
mums 100% nevajag DPO?»
• Persona, kas vēlas būt DPO (un ir ar IT vai juridisko augstāko
izglītību):
• 2017.gada vasarā mācās;
• 2017.gada rudenī noliek obligāto eksāmenu un iegūst
statusu!17