GDPR prasības – kas ir GDPR un ko tas nozīmē interneta vietnes veidošanā?
GDPR (General Data Protection Regulation) jeb Vispārīgā datu aizsardzības regula ir Eiropas Savienības normatīvais akts, kas regulē personas datu apstrādi un aizsardzību. Digitālajā vidē, kur personas dati ir kļuvuši par vienu no svarīgākajiem uzņēmumu aktīviem, GDPR prasības rada ietvaru drošai un atbildīgai to izmantošanai. Prasību neievērošana var radīt reputācijas riskus uzņēmējdarbībai un saņemt sodus, tādēļ ir īpaši svarīgi zināt, kas ir GDPR.
Kas ir GDPR?
Šī normatīvā akta pamatmērķis ir nodrošināt, ka jebkura organizācija, kas iegūst vai izmanto informāciju par identificējamu fizisku personu, to dara likumīgi, caurskatāmi un ar skaidri definētu nolūku. Vispārīgā datu aizsardzības regula (GDPR) kopš stāšanas spēkā 2018. gada 25. maija, veido vienotu un skaidru datu aizsardzības standartu ne tikai Eiropas Savienības (ES) dalībvalstīs, bet arī ārpus tām. GDPR prasības attiecas uz jebkuru uzņēmumu neatkarīgi no tā atrašanās vietas, ja tas piedāvā preces vai pakalpojumus ES iedzīvotājiem vai analizē viņu uzvedību tiešsaistē:
- Stiprinot personu kontroli pār saviem datiem;
- Nodrošinot datu apstrādes pārskatāmību;
- Palielinot uzņēmumu atbildību par to rīcībā esošās informācijas drošību un izmantošanu.
Tādējādi datu regula nosaka prasību samērojamību starp uzņēmumu interesēm un fizisku personu tiesībām uz privātumu.
Uz kādiem principiem balstās GDPR prasības?
Personu datu aizsardzības regula balstās uz vairākiem skaidri definētiem pamatprincipiem, kas nosaka, kā uzņēmumam jāizturas pret personas datiem visā to aprites ciklā, sākot no iegūšanas brīža līdz informācijas dzēšanai. Ikvienam uzņēmumam ir pienākums gan ievērot definētos principus, gan spēt pierādīt, ka tie tiek īstenoti praksē.
Likumība, godprātība un pārredzamība
Personas datu apstrādes regula paredz, ka dati tiek apstrādāti tikai situācijās, kad tam ir skaidrs un tiesisks pamats, piemēram, personas piekrišana vai normatīvo aktu prasības. Informācijai par datu izmantošanu jābūt saprotamai un viegli pieejamai. Tas nozīmē, ka uzņēmumam visos personas datu iegūšanas veidos skaidri jānorāda:
- Kādi dati tiek ievākti?
- Kādam nolūkam ievāktie dati tiks izmantoti?
- Cik ilgi tie tiks glabāti?
Kā piesaistīt klientus jaunam uzņēmumam?
Jaunu klientu piesaiste – svarīgs faktors biznesa izaugsmei Piesaistīt jaunus klientus ir būtiski jebkuram biznesam, un īpaši svarīgi tas ir jauniem uzņēmumiem,…
Nolūka ierobežojums
Personas datus drīkst ievākt tikai konkrētam, skaidri definētam un leģitīmam mērķim, piemēram:
- Līguma noslēgšanai un izpildei;
- Grāmatvedības prasību izpildei;
- Mārketinga aktivitātēm ar personas piekrišanu;
- Drošības nodrošināšanai.
Ievāktos datus nedrīkst izmantot citam, ar sākotnējo nolūku nesavietojamam mērķim bez personas piekrišanas vai cita likumīga pamatojuma.
Datu minimizācija
Uzņēmums drīkst ievākt tikai tādus personas datus, kas patiešām nepieciešami konkrētā mērķa sasniegšanai. Tādējādi šīs GDPR prasības ievērošana nozīmē atteikties no liekas informācijas pieprasīšanas. Lai nodrošinātu atbilstību prasībām, uzņēmumam ieteicams regulāri pārskatīt ievākto datu apjomu un izvērtēt tā atbilstību konkrētajam mērķim.
Precizitāte
Ievāktajiem datiem ir jābūt precīziem un aktuāliem. Ja uzglabātā informācija ir kļūdaina vai novecojusi, uzņēmumam jānodrošina iespēja tos labot vai dzēst bez nepamatotas kavēšanās. Tas palīdz novērst situācijas, kad nepareizi dati var radīt nelabvēlīgas sekas personai, piemēram:
- Kļūdainu rēķinu izrakstīšanu;
- Nepareizas piegādes veikšanu;
- Atteiktu pakalpojumu.
Glabāšanas ierobežojums
GDPR prasības nosaka, ka datus nedrīkst glabāt ilgāk nekā tas ir nepieciešams noteiktā mērķa sasniegšanai. Datu uzglabāšanas termiņu nosaka uzņēmums atbilstoši konkrētajam mērķim vai normatīvo aktu prasībām, nodrošinot tā samērīgumu. Pēc termiņa beigām dati jādzēš vai jāanonimizē. Ilgstoša un nepamatota datu uzkrāšana palielina drošības riskus.
Datu integritāte un konfidencialitāte
Uzņēmums ir atbildīgs par ievākto datu pareizu uzglabāšanu. Tie ir jāaizsargā pret neatļautu piekļuvi, pazaudēšanu, izdzēšanu vai bojāšanu, ieviešot atbilstošus tehniskos un organizatoriskos pasākumus,piemēram, kā:
- datu šifrēšanu;
- piekļuves kontroli;
- drošus serverus;
- divu faktoru autentifikāciju;
- regulāras drošības pārbaudes;
- darbinieku apmācības.
Pārskatatbildība
Regula par personas datu aizsardzību nosaka arī nepieciešamību dokumentēt datu ievākšanas un uzglabāšanas procesus, lai spētu pierādīt, ka uzņēmums korekti ievēro GDPR prasības. Tas nozīmē, ka ne tikai jāuztur iekšējā dokumentācija par datu apstrādes darbībām, bet arī:
- jānorīko atbildīgās personas;
- jāizstrādā uzņēmuma politika datu apstrādē;
- jāveic ietekmes uz datu aizsardzību novērtējums.
Kas vispārīgās datu aizsardzības regulas kontekstā ir personas dati?
Par personas datiem tiek uzskatīta jebkura informācija, kas identificē vai ļauj identificēt konkrētu fizisku personu. Vispārīgā personas datu aizsardzības regula aptver plašu tiešo un netiešo identifikatoru klāstu. Daļa no tiem ir atzīta par tik sensitīviem, ka to ievākšana ir pieļaujama tikai īpaši noteiktos gadījumos.
| Personas dati, kuru apstrāde pieļaujama, ja pastāv tiesisks pamats | Īpašas kategorijas dati, kuru apstrāde ir aizliegta, izņemot regulā noteiktos izņēmumus |
| – Vārds un uzvārds; – Personas kods; – E-pasta adrese; – Telefona numurs; – IP adrese un citi tiešsaistes identifikatori kā sīkdatņu, ierīces vai reklāmas ID; – Atrašanās vietas dati; – Iekšēji uzņēmumā piešķirts klienta vai darbinieka identifikācijas numurs; – Automašīnas reģistrācijas numurs; – Fotoattēls; – Finanšu informācija, piemēram, bankas konta numurs vai ienākumi | – Rases vai etniskā piederība; – Politiskie uzskati; – Reliģiskā vai filozofiskā pārliecība; – Dalība arodbiedrībās; – Ģenētiskie dati; – Biometriskie dati, lai veiktu fiziskas personas unikālu identifikāciju; – Veselības dati; – Dati par personas dzimumdzīvi vai seksuālo orientāciju |
Ko GDPR prasības nozīmē praktiski, veidojot uzņēmuma interneta vietni?
Ja uzņēmums plāno izveidot jaunu vai modernizēt esošo mājaslapu, GDPR prasības ieteicams ņemt vērā jau plānošanas sākumposmā. Datu drošība ir būtiska ikvienas interneta vietnes sastāvdaļa. Regulas prasību praktiska ieviešana prasa strukturētu un pārdomātu pieeju, integrējot datu aizsardzības principus gan mārketinga procesos, gan pašas vietnes struktūrā un funkcionalitātē.
Privātuma politikas sadaļas pārredzamība
Katrai mājaslapai, kurā kontaktformas, pieteikumu, jaunumu abonēšanas vai pirkumu noformēšanas procesa laikā tiek ievākti personas dati, jābūt viegli pieejamai un saprotamai privātuma politikai. Tajā atbilstoši reālajai vietnes darbībai līdzās personu tiesībām jānorāda ievākto datu:
- apjoms un veids;
- mērķis;
- tiesiskais pamats;
- uzglabāšanas ilgums.
Korekti izstrādātas kontaktformas
Vēl viens aspekts, kā personu datu regula ietekmē mājāslapu funkcionalitāti ir pieteikumu vai kontaktformu saturs. To veidošanā jāņem vērā vairāki praktiski nosacījumi, kas izriet no datu minimizācijas un pārredzamības principiem:
- Katram formas ievades laukam jābūt pamatotam ar konkrētu apstrādes mērķi;
- Lietotājam jāredz, kādam nolūkam sniegtie dati tiks izmantoti;
- Ja forma ietver arī piekrišanu mārketinga komunikācijai, tai jābūt atsevišķai no pakalpojuma pieprasījuma un brīvprātīgai, tas ir, nedrīkst izmantot automātiski atzīmētas piekrišanas atzīmes (checkbox).
Skaidra sīkdatņu pārvaldība
Situācijās, kad mājaslapā tiek izmantoti analītikas, reklāmas vai citi trešo pušu rīki, kas saglabā sīkdatnes lietotāja ierīcē, jānodrošina korekts un tehniski pareizi ieviests piekrišanas mehānisms. Lai GDPR prasības būtu izpildītas, ar vizuālu paziņojumu vien nepietiek un jānodrošina, ka:
- lietotājs tiek skaidri informēts par izmantoto sīkdatņu veidiem un to mērķiem;
- analītikas un reklāmas sīkdatnes netiek automātiski aktivizētas pirms lietotāja piekrišanas;
- piekrišanas fakts tiek fiksēts un saglabāts;
- lietotājam jebkurā brīdī ir iespēja savu piekrišanu mainīt vai atsaukt.
Tehniski pareizi ieviests sīkdatņu mehānisms prasa papildu konfigurāciju izstrādes līmenī.
Vietnes tehniskā aizsardzība
Līdzās saturiskajiem aspektiem būtiska nozīme ir arī mājaslapas tehniskajai drošībai. Jānodrošina, ka vietnē fiksētie personas dati, tiek pārsūtīti un uzglabāti drošā vidē. Praktiski tas nozīmē, ka:
- vietnei jādarbojas ar drošu HTTPS savienojumu (SSL sertifikātu);
- jāierobežo piekļuve administrācijas panelim un datubāzēm;
- regulāri jāatjauno izmantotās platformas, spraudņi un aplikācijas;
- jānodrošina mājaslapas datu un datubāžu rezerves kopiju izveide;
- jāievieš droša paroļu politika, piemēram, divu faktoru autentifikācija.
Precīza lietotāju tiesību nodrošināšana
GDPR prasības paredz, ka personai ir tiesības pieprasīt informāciju par saviem datiem, tos labot vai dzēst. Tāpēc mājaslapas izstrādē jāparedz ne tikai informācija par šīm tiesībām, bet arī praktiska iespēja tās īstenot. Uzņēmumam jāievieš:
- Saziņas kanāls datu pieprasījumu iesniegšanai;
- Iekšējā kārtība, kā šādi pieprasījumi tiek apstrādāti;
- Mehānisms piekrišanas atsaukšanai.
Kopsavilkums
GDPR prasības nosaka skaidrus pricipus, pēc kuriem uzņēmumi var likumīgi un droši apstrādāt personas datus savā ikdienas darbībā. Izpratne, kas ir GDPR, palīdz ne tikai izvairīties no juridiskiem un finansiāliem riskiem, bet arī sakārtot uzņēmuma iekšējos procesus un nodrošināt atbilstību digitālajā vidē. Tāpēc jaunas mājaslapas plānošanas sākumposmā ieteicams izvērtēt:
- Kādi dati tiks ievākti?
- Kā tie tiks aizsargāti?
- Vai visi ar to apstādi saistītie procesi atbilst regulas prasībām?
Preventīva pieeja vienmēr ir efektīvāka nekā kļūdu labošana pēc fakta.
