DATU AIZSARDZĪBAS SPECIĀLISTS(DPO)
Arnis Puksts, Fizisko personu datu aizsardzības speciālists,
Latvijas sertificēto personas datu aizsardzības speciālistu asociācijas
līdzpriekšsēdētājs
Rīgā, 2017.gada 26.aprīlī
KAS IR FIZISKO PERSONU DATU AIZSARDZĪBAS SPECIĀLISTS?
•Atbilstoša izglītība;
•Apmācība;
•Nokārtots pārbaudījums!• Sertifikāta atjaunošana – regulāra jaunu zināšanu apguve...
4
«WANNABE» DPO’S
• 2008.gada 5.februāra Ministru kabineta
noteikumi Nr.80 "Personas datu aizsardzības
speciālista apmācību kārtība"
• www.dvi.gov.lv:
ReģistrācijaPersonas datu
aizsardzības speciālisti...
5
IZMAIŅAS!
• Atcelts reģistrācijas pienākums!
• Obligāts DPO (ne visos gadījumos);
• DPO obligāts arī apstrādātājam
(personas datu operatoram);
• Ja konkrētajā situācijā DPO ir
obligāts – par iecelšanu jāpaziņo!
6
KAD DPO IR OBLIGĀTS?
• Regulas prasība:
• Publiskais sektors (izņemot tiesas);
• Pamatdarbība saistīta ar profilēšanu;
• Apstrādā īpašo kategoriju (sensitīvos)
datus;
• Veselais saprāts: Ja 100% nezini, ka
nevajag – tātad, vajag!8
PROFILĒŠANA
• GDPR, 37.pants – «pamata darbība»?
• Var mēģināt vērtēt:
• Kāda ir datu apstrādes nozīme pamata
darbībā?
• Vai bez datu apstrādes pamata darbība
faktiski nav iespējama?
9
KAS IR PROFILĒŠANA
• Datu subjektu novērošana, faktu ievākšana,
kas kalpo par pamatu pieņemt jebkādu
lēmumu (t.sk., sniegt individuālu piedāvājumu)
par šo datu subjektu.
• Kritēriji:
• Regularitāte;
• Algoritms;
• Būtiskā veidā saistīts ar organizācijas darbību.
10
ĪPAŠO KATEGORIJU DATU APSTRĀDE UN PROFILĒŠANA
• GDPR, 37.pants – «plašā mērogā»?
• Cik daudz riekstu veido kaudzi?
• Objektīvi var mēģināt izvērtēt:
• Datu subjektu skaitu kā proporciju no
reģionālās vai lielākas ģeogrāfiskas
vienības populācijas;
• Apstrādāto datu eventuālo ietekmi uz datu
subjektu.11
NE VISS IR VIENNOZĪMĪGI...
• GDPR, 37.pants, 1.punkts, c) apakšpunkts:
«... pārziņa vai apstrādātāja pamatdarbības
ietver īpašo kategoriju datu saskaņā ar 9.
pantu un 10. pantā minēto personas datu par
sodāmību un pārkāpumiem apstrādi plašā
mērogā.»
12
vai
DPO
• Funkcionāli: Pilnīga neatkarība – darbojas saskaņā
ar normatīvajiem aktiem;
• Institucionāli: Pakļauts augstākai vadībai;
• Formāli: Var būt darbinieks vai ārpakalpojumu
sniedzējs. Abos gadījumos – rakstveida līgums ir
obligāts...
• Praktiski: Nedrīkst pildīt jebkādus papildus
pienākumus, ja pastāv risks, ka nonāks interešu
konfliktā (piemēram – nevar būt jurists, IT, mārketinga
darbinieks u.tml.);13
DPO FUNKCIJAS (KO DPO OBLIGĀTI DARA?)
«Lokālā Datu valsts inspekcija»:
• Kontaktpunkts (DS, DVI);
• Uzraudzīt, vai pārzinis ievēro
GDPR;
• Konsultēt/apmācīt...
14
DPO FUNKCIJAS (KO DPO VAR DARĪT?)
• Pakalpojumu līgums vai amata apraksts var
paredzēt:
• Datu apstrādes mērķu reģistra uzturēšana;
• Atbalsta sniegšana atbilstības novērtējuma
veikšanas procesā un tālākā uzturēšanā;
• Ieteikumu sniegšana, kādus organizatoriskos
un tehniskos līdzekļus ieviest konkrētā
situācijā.
15
ĪSTS VAI PSEIDO DPO?
• Tikai tad, ja DPO statuss (paša DPO un
līguma nosacījumi) atbilst prasībām,
pārzinis (apstrādātājs) ir izpildījuši
obligāto prasību!
• Ja DPO ir ar statusu «konsultants», tad
DPO nav iecelts!
16
KO TAGAD DARĪT? (RACIONĀLĀ RĪCĪBA)
• Pārzinis (arī personas datu operators):
• Ja ir uzreiz skaidrs, ka DPO vajag – sāk meklēt vai audzināt!
• Ja nav skaidrs, tad patstāvīgi vai ar personas datu
aizsardzības speciālista palīdzību veic pilnīgu savas
darbības izvērtējumu, iegūstot atbildi uz jautājumu: «Vai
mums 100% nevajag DPO?»
• Persona, kas vēlas būt DPO (un ir ar IT vai juridisko augstāko
izglītību):
• 2017.gada vasarā mācās;
• 2017.gada rudenī noliek obligāto eksāmenu un iegūst
statusu!17