Kas ir VDAR atbilstība?

Arvien vairāk savstarpēji savienotajā pasaulē VDAR atbilstība ir kļuvusi par kritisku prioritāti uzņēmumiem, kas apstrādā personas datus, neatkarīgi no tā, kur šie uzņēmumi darbojas. VDAR ir 2018. gadā ieviesta ES likumdošanas regula, kas fokusējas uz privātpersonu personas informācijas aizsardzību un konfidencialitāti Eiropas Savienībā. VDAR atbilstības neievērošana var izraisīt būtiskas soda naudas piespriešanu, tāpēc lielumu uzņēmumiem ir svarīgi ievērot tās noteikumus.

VDAR primārais mērķis ir aizsargāt personas datus un sniegt personām lielāku kontroli pār savu personas informāciju tiešsaistē. VDAR tvērums ir milzīgs, aptverot visus uzņēmumus, kas apstrādā ES iedzīvotāju personas datus neatkarīgi no uzņēmuma fiziskās atrašanās vietas.

VDAR atbilstība nav tikai juridiska prasība — tā kļūst par uzņēmējdarbības imperatīvu. Organizācijas, kuras ievēro VDAR prasības, parāda apņemšanos ievērot datu konfidencialitāti, kas palīdz sekmēt klientu, darbinieku un partneru uzticēšanos. Atbilstība uzņēmumiem palīdz arī izvairīties no ievērojamiem finanšu sodiem, kas saistīti ar datu drošības pārkāpumiem un neatbilstību VDAR norādījumiem.

Vispārīgā datu aizsardzības regula tika ieviesta 2018. gada 25. maijā, aizstājot Datu aizsardzības direktīvu 95/46/EK. Tā tika izveidota, reaģējot uz straujo datu digitalizāciju un nepieciešamība risināt datu konfidencialitātes problēmas. VDAR visaptverošā struktūra ir paredzēta, lai stiprinātu datu aizsardzības likumus visā ES.

VDAR primārais mērķis ir aizsargāt personas datus un sniegt personām lielāku kontroli pār to informāciju. VDAR tvērums ir milzīgs, aptverot visus uzņēmumus, kas apstrādā ES iedzīvotāju personas datus neatkarīgi no uzņēmuma fiziskās atrašanās vietas.

Galvenie principi
VDAR izveidoja septiņus datu aizsardzības principus, kas ir jāievēro organizācijām, kuras atrodas vai darbojas ES:

1. Likumīgums, godīgums un caurspīdīgums: dati ir jāapstrādā likumīgā, godīgā un caurspīdīgā veidā.
2. Mērķu ierobežojums: dati ir jāvāc un jāizmanto tikai konkrētiem mērķiem.
3. Datu minimizācija: datu apkopošanai ir jāaprobežojas ar nepieciešamajiem datiem.
4. Precizitāte: personas datiem ir jābūt precīziem un atjauninātiem.
5. Glabāšanas ierobežojums: personas datus nedrīkst glabāt ilgāk nekā nepieciešams.
6. Integritāte un konfidencialitāte: Personas dati ir jāapstrādā drošā veidā, aizsargājot pret nesankcionētu vai nelikumīgu apstrādi, nejaušu pazušanu vai bojājumiem.
7. Uzskaitāmība: organizācijām ir jāspēj apliecināt savu atbilstību visiem šiem principiem.

VDAR sniedz ES iedzīvotājiem būtisku kontroli pār viņu personas datiem, nosakot skaidras tiesības aizsargāt savu privātumu. VDAR ES iedzīvotājiem piešķir vairākas tiesības attiecībā uz viņu personas datiem, tostarp:
 

• Tiesības būt informētam: personām ir tiesības būt informētām par savu personas datu vākšanu un izmantošanu, tostarp saņemt detalizētu informāciju par to, kāpēc tie tiek vākti, cik ilgi tie tiks paturēti un kam tie tiks izpausti.

• Piekļuves tiesības: personas var pieprasīt piekļuvi saviem personas datiem un iegūt to kopiju, ļaujot tām izprast, kā viņu dati tiek apstrādāti un kurš to veic.

• Labošanas tiesības: ja personas dati ir neprecīzi vai nepilnīgi, personas var pieprasīt to labošanu, nodrošinot, ka informācija ir precīza un atjaunināta.

• Dzēšanas tiesības (tiesības tikt aizmirstam): noteiktos apstākļos personām ir tiesības pieprasīt savu personas datu dzēšanu, noņemt to informāciju no organizācijas sistēmām, ja tā vairs nav nepieciešama vai ja tās atsauc savu piekrišanu.

• Tiesības ierobežot apstrādi: personas var ierobežot savu personas datu apstrādi, it īpaši tad, ja viņas apstrīd to precizitāti vai ja viņām ir nepieciešami dati juridiskām prasībām.

• Tiesības uz datu pārnesamību: personas var iegūt savus personas datus strukturētā, vispārēji lietotā un mašīnlasāmā formātā un pārsūtīt tos citam datu pārzinim, ja viņas to vēlas.

• Tiesības iebilst: personām ir tiesības iebilst pret savu personas datu apstrādi, it īpaši, ja tie tiek izmantoti tiešajam mārketingam vai ja pastāv specifiska situācija, kur ir nepieciešama konfidencialitāte.
  
  

Kopā šīs tiesības nodrošina to, ka personām ir skaidra savu personas datu redzamība un kontrole, tā organizācijās nodrošinot caurspīdīgumu un uzskaitāmību. Papildus šīm tiesībām VDAR arī nosaka stingrus norādījumus par to, kā organizācijām ir jāiegūst un jāpārvalda piekrišana no personām pirms viņu datu apstrādes.

Piekrišanas prasības
VDAR pieprasa, lai organizācijas iegūtu tiešu piekrišanu no personām, pirms vāc un glabā to datus. Šai piekrišanai ir jābūt brīvi sniegtai, konkrētai, informētai un viennozīmīgai, lai nodrošinātu, ka personas pilnībā izprot, ko tās ir piekritušas ļaut apkopot.

Papildus piekrišanas norādījumiem VDAR izceļ proaktīvus datu aizsardzības pasākumus. Augsta riska apstrādes darbību gadījumā organizācijām ir jāveic datu aizsardzības ietekmes novērtējumi, lai novērtētu un mazinātu iespējamos personu tiesību un brīvību riskus.

Datu aizsardzības ietekmes novērtējumi (Data Protection Impact Assessments — DPIA)
Datu aizsardzības ietekmes novērtējums ir obligāts visām apstrādes darbībām, kas varētu būtiski ietekmēt personu tiesības un brīvības. Šis novērtējums novērtē personas datu apstrādes riskus un ieskicē pasākumus šo risku mazināšanai, personu konfidencialitātes aizsardzībai un atbilstības nodrošināšanai.

Sākotnējais novērtējums un trūkumu analīze
VDAR atbilstības sasniegšana sākas ar rūpīgu pašreizējās datu prakses novērtējumu organizācijā. Tas ietver visu datu apstrādes darbību identificēšanu un kartēšanu, arī datu apkopošanu, glabāšanu, koplietošanu un dzēšanu. Mērķis ir iegūt visaptverošu izpratni par to, kur atrodas personas dati, kā tie plūst organizācijā un kam ir piekļuve tiem.

Pēc informācijas par pašreizējo datu apstrādes praksi apkopošanas nākamais solis ir veikt trūkumu analīzi. Šī analīze organizācijas esošo praksi salīdzina ar VDAR prasībām, lai precīzi noteiktu, kurās jomās ir nepieciešami uzlabojumi. Bieži sastopamie iztrūkumi var ietvert skaidru datu apstrādes ierakstu trūkumu, neatbilstošus piekrišanas mehānismus vai nepietiekamus drošības pasākumus.

Šo iztrūkumu novēršana ir būtiski svarīga VDAR atbilstībai, un bieži vien ir nepieciešama sadarbība starp dažādām nodaļām, piemēram, IT, juridisko un cilvēkresursu nodaļu, lai izstrādātu vienotu atbilstības stratēģiju. Izprotot, kāds ir organizācijas pašreizējais stāvoklis, uzņēmumi var izveidot strukturētu rīcības plānu, lai novērstu atbilstības iztrūkumus un stiprinātu datu konfidencialitātes pasākumus.

Datu kartēšana un dokumentēšana
Datu kartēšana ir būtiska svarīga VDAR atbilstības daļa, jo tā nodrošina skaidru vizuālo attēlojumu par to, kā dati tiek pārvietoti organizācijas ietvaros. Šis process ietver visu personas datu fragmentu izsekošanu no to vākšanas vietas līdz uzglabāšanai, apstrādei, koplietošanai un, visbeidzot, izdzēšanai. Kartējot datu plūsmas, organizācijas var identificēt nevajadzīgās datu apstrādes darbības, atklāt datu tvertnes un nodrošināt, ka tiek vākti un saglabāti tikai atbilstoši dati. Turklāt datu kartēšana palīdz uzņēmumiem atklāt iespējamās drošības ievainojamības, jo īpaši tad, ja dati tiek pārsūtīti starp sistēmām vai trešajām pusēm.

Papildus datu plūsmu kartēšanai VDAR pieprasa organizācijām uzturēt detalizētus ierakstus par datu apstrādes darbībām. Šajos ierakstos ir jāiekļauj datu vākšanas mērķis, datu apstrādes juridiskie pamati, datu saglabāšanas periodi un visas trešās personas, kas ir iesaistītas datu apstrādē.

Datu aizsardzības politiku ieviešana
Stabilu datu aizsardzības politiku izveide ir būtiski svarīga VDAR atbilstības nodrošināšanai. Šajās politikās tiek norādīts, kā organizācijā ir jāapstrādā personas dati, ietverot tādas jomas kā piekļuve datiem, saglabāšana un drošība. Labi izveidota datu aizsardzības politika nodrošina norādījumus par pieņemamu datu lietojumu, palīdz darbiniekiem izprast savu lomu datu drošības uzturēšanā un nosaka standartu tam, kā organizācija ievēro VDAR prasības. Efektīvai datu aizsardzības politikai ir jābūt pieejamai, skaidrai un regulāri pārskatītai, lai nodrošinātu, ka tā joprojām atbilst mainīgajām datu konfidencialitātes prasībām un tehnoloģijām.

Lai ieviestu šīs politikas visā organizācijā, ir nepieciešama apmācība. Visu līmeņu darbiniekiem ir jāizprot VDAR principi, un tie ir jāmudina ievērot datu apstrādes paraugpraksi. Nodrošinot, ka darbinieki apzinās datu aizsardzības svarīgumu un savu lomu personas informācijas aizsardzībā, organizācijas var mazināt nejaušu datu drošības pārkāpumu risku. Šī strukturētā pieeja ne tikai atbalsta atbilstību VDAR prasībām, bet arī sekmē vispārēju datu drošību.

ASV uzņēmumiem VDAR atbilstība ievieš papildu izaicinājumus. Organizācijas, kas atrodas ārpus ES, iespējams, tik labi nepārzina VDAR standartus, un atbilstībai ir nepieciešama stingra pienākumu izpilde pat tad, ja Eiropā nav šo organizāciju fiziskas klātbūtnes. ASV uzņēmumiem, kas apstrādā ES iedzīvotāju personas datus, ir jānorāda ES pārstāvis, jāievēro aizokeāna datu pārsūtīšanas likumi un jāpielāgo savi procesi, lai nodrošinātu atbilstību VDAR augstajiem standartiem.

Ir pieejami daudzi rīki un resursi, kas palīdzēt organizācijām, tostarp ASV izvietotiem uzņēmumiem, sasniegt un uzturēt atbilstību VDAR prasībām, un tie ir, piemēram, datu aizsardzības programmatūra, atbilstības kontrolsaraksti un apmācības programmas.

Lai nodrošinātu pastāvīgu atbilstību VDAR prasībām, apsveriet iespēju ieviest šādu kontrolsarakstu:


Regulārie auditi un pārraudzība:
Veiciet regulārus datu apstrādes darbību auditus, lai identificētu jebkādas novirzes no VDAR prasībām. Nepārtraukti pārraugiet savas sistēmas un datu drošības pasākumus.

Apmācības un apzināšanās programmas:
Sniedziet darbiniekiem visaptverošu apmācību par atbilstību VDAR prasībām. Nodrošiniet, lai visi darbinieki izprastu savas lomas un pienākumus, aizsargājot personas datus.

Reaģēšana uz datu drošības pārkāpumiem un soda nauda:
Izveidojiet stabilu atbildes uz incidentu plānu, lai nekavējoties novērstu datu drošības pārkāpumus un minimizētu to ietekmi. Sagatavojieties iespējamai soda naudas par neatbilstību piespriešanai.

Pastāvīgi mainīgajā datu konfidencialitātes ainavā VDAR atbilstības sasniegšana un uzturēšana var būt sarežģīts un resursu ziņā intensīvs uzdevums visu lielumu uzņēmumiem. Saskaņā ar stingrajiem normatīvajiem aktiem, kas izstrādāti privātpersonu datu aizsardzībai, uzņēmumiem ir nepieciešami uzticami risinājumi, kas atbalsta to atbilstības centienus ikvienā līmenī. Lai atbalstītu jūsu atbilstības nodrošināšanas pūliņus, Microsoft piedāvā rīkus un risinājumus, piemēram, Microsoft Purview un citus datu drošības risinājumus, lai palīdzētu jums efektīvi orientēties datu aizsardzības prasībās.

Integrējot šos rīkus, uzņēmumi var racionalizēt savus atbilstības procesus, automatizēt galvenos atskaišu izveides uzdevumus un uzlabot vispārējo datu drošību, samazinot ar neatbilstību saistītos riskus.