201806.08
0
16

GDPR – Jautājumi un atbildes

GDPR – Jautājumi un atbildes – 2. sērija

Ko iesākt ar vēsturiskajiem iesūtītajiem datiem, kas ir milzīgās CV datu bāzes?

Uzņēmumam nepieciešams veikt revīziju, kāda veida dati tie ir – CV, Pieteikumi, darbinieki, kuri vairs nestrādā u.c. Iesākumā jāidentificē datu kategorijas, kas ir “saimniecībā”. Otrs solis, dzēsiet tos datus, kas jums nav vairs un nekad nebūs vajadzīgi, īpaši tos, kas nav saistīti ar personu datiem vai arī tos personu datus, kuru izmantošana jums nav leģitīma. Sakārtojiet esošos datus kategorijās un apziniet, kāda veida dati tie ir. Nosakiet glabāšanas ilgumu, kas arī nav pretrunā ar likumdošanu, piemēram, Arhīvu likumu u.c. Veidojiet personas datu reģistru, bet vecos failus arhivējiet. Nekādā ziņā nedzēsiet “vecos” CV, bet identificējiet un informējiet šos darba meklētājus par cv esamību jūsu sistēmā  un iegūstiet piekrišanu turpmākai datu glabāšanai vai dzēšanai – nosakiet un informējiet darba meklētāju par viņa datu glabāšanas ilgumu. Ņemiet vērā, ja cilvēks vēlas, lai viņa CV tiktu izdzēsts, tad tas jādara nekavējoties.

Vai kandidātiem, kuri paši piesakās uz vakancēm Piekrišana par datu apstrādi ir jāprasa?

Jā un Nē! Bezdarbnieku un darba meklētāju atbalsta likums IV nodaļas (1) 4. punkts norāda, ka Jums ir leģitīmas saistības attiecībā uz darba meklētājiem, kā arī saistošie licencēšanas noteikumi, kas ļauj jums un uzliek par pienākumu apstrādāt šos datus. Tomēr, ir vērts nodrošināties, ka darba meklētājs piekrīt, ka Jūs viņa datus apstrādājat. Ja cilvēks ir pietiecies vakanču konkursam nedrīkst notikt tā, ja gadījumā viņš neatsūta Piekrišanu, Jūs viņu neiekļaujat vakanču konkursā. To varētu interpretēt kā klaju likuma pārkāpumu un darba meklētāja diskrimināciju.

Lomu sadale, ja atlases uzņēmums datus iegādājas no cita pakalpojumu sniedzēja, kurš ir kas?

Te ir nedaudz sarežģītāk, jo Pārzinis kādā situācijā var būt arī Apstrādātājs un otrādāk vai pat operators. Piemēram, darba devējs uzdod atlases kompānijai veikt intervijas ar kandidātiem, kuru datus iesniedz pats uzņēmums. Identificējot datu plūsmu ir jāidentificē, kurā situācijā kāda loma ir piešķirta, jo viss nav tik vienādi, cik sākumā izskatās. Noteikti ir jāsaslēdz atsevišķa vienošanās pie esoša sadarbības līguma, kur ir atrunāta Personas datu apstrāde – pušu saistības, pienākumi, atbildība u.c. Iniciators šim līgumam ir Pārzinis, jo viņš ir datu turētājs un faktiski pamatā atbildīgs, ja būs noticis pārkāpums. Līgums pasargā pārzini un solidāri sadala atbildību starp pusēm. Piemēram, Ja jūsu uzņēmums pērk CV datu bāzi no kāda cita uzņēmuma, tad šajā situācijā jūsu uzņēmums ir datu apstrādātājs, bet šos pašus datus jau tālāk piedāvājot tiešajam darba devējam Jūs esat pārzinis. Savukārt Jūsu uzņēmuma darbinieki, kuri ikdienā šos datus apstrādā, piemēram, veic intervijas, novērtēšanu ir Operatori. Vienmēr jāatceras, ka viņi arī ir atbildīgi par datu drošību – jāveic darbinieku apmācības un instruktāžas u.c., kā strādāt ar personu datiem.

 Vai ir nepieciešama atsevišķa vienošanās par datu apstrādi un to nevar ielikt esošajā pakalpojuma līgumā?

Ja līgums ir ar Datu subjektu, tad nekādā ziņā to nevar iekļaut esošā līgumā, jo regula nosaka, ka citi līgumu jautājumi vai nosacījumi ir nošķirami no piekrišanas datu apstrādei. Tas nozīmē, ka vienā līgumā nevar salikt visu, kā tas bija līdz šim, un likt datu subjektam, bez izvēles iespējām, visu parakstīt.

Ja līgums ir ar citu Apstrādāju vai Pārzini, tad var aprakstīt esošās vienošanās ietvaros. Tomēr rekomendējami, ka tā ir atsevišķa vienošanās, kurās ir detalizēti atrunātas saistības un datu aizsardzības nodrošināšana.

Kādas saistības ir tad, ja Pārzinis datus glabā datu centrā, kas ir cits uzņēmums?

Lai vai cik neticami un neloģiski liktos, diemžēl hostētāji, datu centri, provaideri u.c. ārpakalpojumi, kas kaut kādā veidā ir saistīti ar datu glabāšanu ir datu Pārziņi, jo tehniski un fiziski šie jūsu dati atrodas pie ārpakalpojuma. Kaut vai tehniski ārpakalpojums nezina kāda veida dati tie ir, viņi tos glabā tāpēc regulas izpratnē ir Pārzinis, tāpēc ir nepieciešama vienošanās arī ar šiem uzņēmumiem (arī tad, ja tie atrodas ārpus ES).


Lai nebūtu jāprasa Piekrišana vēsturiskajiem datiem, tos vienkārši izdzēšam?!

Tas vienkāršākais un brutālākais veids kā atbrīvoties no personu datiem. Tomēr regulā ir teikts, ka datu subjektam ir tiesības gan savu datu saglabāšanai, gan dzēšanai. Tāpēc arī šos datus, kas ir CV, Pieteikumi bez paša Datu subjekta piekrišanas Jūs nedrīkstat vienkārši izdzēst, ja vien Jums Privātuma politikā un datu glabāšanas termiņos nav noteikts citādāk un Jūs par to esat arī informējis Datu subjektu.


Vai var uzskatīt datu subjekta Piekrišanu par spēkā esošu pēc noklusējuma?

Jā un Nē, bet drīzāk nē. Datu subjekta piekrišanas faktam ir jābūt pierādāmam, ja, piemēram, Jūs rakstāt viņam e pastu, kurā  teikts: “…ja nesaņemsim atbildi, tad Jūs piekrītat par sava CV saglabāšanu mūsu kandidātu datu bāzē”. Teorētiski varētu ar šādu veidu izlīdzēties, bet kā jūs pierādīsiet, ka darba meklētājam nav pretenzijas. Protams, Jūsu varat saglabāt konkrētam indivīdam nosūtītās vēstules kopiju un tas kalpos Jums kā pierādījums, bet tā nav skaidra atbilde par Piekrišanu… (turpinājums sekos)

Uzraksti komentāru!

Jūsu e-pasta adrese netiks publicēta. Obligāti aizpildāmie lauki ir atzīmēti ar *