2017.gada 26.aprīlis

Lietoto ierīču izmantošana uzņēmumā un personas datu

aizsardzība

Plāns

• Lietotās ierīces

• Personas dati

• Personas datu aizsardzības prasības

Lietotās ierīces

Lietotās ierīces

Lietotās ierīces

Lietotās ierīcesBYOD

Lietotās ierīces

60%

40%

Darba devēji nedzēš datus no bijušo darbinieku ierīcēm

80%

20%

BYOD

70%

30%

Darba ierīču izmantošana personīgos mērķos

Trend Micro

Lietotās ierīces

40%

uzbrukumu caur pazaudētām un

nozagtām ierīcēm

50%

no uzņēmumiem, kuri atļāva BYOD

cieta no uzbrukumiem caur

šīm ierīcēm

Trend Micro

Lietotās ierīces

75%

Nenošifrē datu uzņēmuma ierīcēs

54%

Neiekļauj BYOD rezerves kopiju

plānos

65%

Nevar nodzēst datu attālināti no

ierīcēm

15%

Darbinieku piekļūst

sensitīvajiemdatiem no BYOD

Druva

Personas dati

Personas dati

Jebkura informācija

attiecas uz

identificētu vai

identificējamu

fizisko personu

Personas dati

Operators

Datu subjekts

Pārzinis

personas dati

personas dati

Personas dati BYOD

Personas dati

Klienti

Darbinieki

Sadarbības partneri

Potenciālie klienti

Potenciālie darbinieki

Fiziskās personas no klientu failiem

Pakalpojumu sniedzēji

Videoieraksti

Apmeklētāji

Klienti

DraugiĢimene

Pakalpojumu sniedzēji

Kolēģi

Citi kontakti

Sociālie tīkli

Personas dati

Vārds, uzvārds

Bildes

CV

Identifikācijas numurs

Lietotāja piekļuves dati

ID Personas kods

Videoieraksti

Paraksts

Vārds, uzvārds

Piekļuves dati

Bildes

E-pasta adrese

E-pastiSarakste

Pieraksti

Logi

Ierīces numurs

E-pasta adrese

Saistītas personas

E-pasti

Personas kods

AdresePersonīgi dokumenti

Paraksts

Darba dokumenti

Rēķini

Sensitīvie personas dati

• atklāj rases vai etnisko piederību, politiskos uzskatus, reliģiskovai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētiskodatu, biometrisko datu, lai veiktu fiziskas personas unikāluidentifikāciju, veselības datu vai datu par fiziskas personasdzimumdzīvi vai seksuālo orientāciju:• Videoieraksts

• Fotoattēls

• Medicīniskie dokumenti

• Anketas ar minētajiem datiem

Īpašs režīms salīdzinoši ar personas datiem

Personas datu aizsardzības prasības

Problēma?

Īpašuma tiesības Personas datu aizsardzība

Civillikums:927. Īpašums ir pilnīgas varas tiesība parlietu, t. i. tiesība valdīt un lietot to, iegūtno tās visus iespējamos labumus, ar torīkoties un noteiktā kārtā atprasīt toatpakaļ no katras trešās personas arīpašuma prasību.955. Galvenās lietas īpašnieks kļūst arīpar tās augļu īpašnieku, tiklīdz tie rodas.956. Kam ir tiesība lietot svešu lietu, tasiegūst šās lietas augļus tiem atdaloties,ja viņš augļu atdalīšanās laikā šo lietuvalda vai tur.

Fizisko personu datu aizsardzībaslikums:1.pants pārzinis — fiziskā vai juridiskāpersona, valsts vai pašvaldībasinstitūcija, kura pati vai kopā ar citiemnosaka personas datu apstrādes mērķusun apstrādes līdzekļus, kā arī atbild parpersonas datu apstrādi saskaņā ar šolikumu6.pants. Ikvienai fiziskajai personai irtiesības uz savu personas datuaizsardzību.

Normatīvais regulējums

Fizisko personu datu aizsardzības likums (Direktīva 95/46/EK)

→Spēkā esošās prasības

→14 000 EUR

Vispārīgā datu aizsardzības regula

→Stingrākās prasības

→20 000 000 EUR vai 4% no globālā gada apgrozījuma

Personas datu aizsardzības prasības

Apstrādes pamats

Datu drošība

Mērķis

Informācijas sniegšana

Laiks

Datu dzēšana un

atjaunošanaNodošana ārvalstīs

Personas datu apstrādes pamati

Pamats

Pamats

Apstrāde

Apstrāde

Personas datu apstrādes tiesiskie pamati

1) ir datu subjekta piekrišana2) datu apstrāde izriet no datu subjekta līgumsaistībām vai, ievērojot

datu subjekta lūgumu, datu apstrāde nepieciešama, lai noslēgtuattiecīgu līgumu

3) datu apstrāde nepieciešama pārzinim likumā (info apmaiņa)noteikto pienākumu veikšanai

4) datu apstrāde nepieciešama, lai aizsargātu datu subjekta vitālisvarīgas intereses, tajā skaitā dzīvību un veselību

5) datu apstrāde nepieciešama, lai nodrošinātu sabiedrības interešuievērošanu vai realizētu publiskās varas uzdevumus, kuru veikšanaipersonas dati ir nodoti pārzinim vai pārraidīti trešajai personai

6) datu apstrāde ir nepieciešama, lai, ievērojot datu subjektapamattiesības un brīvības, realizētu pārziņa vai tās trešās personaslikumiskās intereses, kurai personas dati atklāti

Personas datu apstrādes mērķis un laiks

Pārzinis nodrošina personas datu apstrādi tikai atbilstoši paredzētajam mērķim un tam nepieciešamajā apjomā

Pārzinis nodrošina tādu personas datu glabāšanas veidu, kas datu subjektu ļauj identificēt attiecīgā laikposmā, kurš nepārsniedz

paredzētajam datu apstrādes mērķim noteikto laikposmu

Informācijas sniegšana

Datu subjekts

Pārzinis

Personas dati

Jebkādā gadījumā sniedzama informācija

Pārziņa nosaukums vai vārds un uzvārds

Pārziņa adrese

Apstrādes mērķis

Pēc datu subjekta pieprasījuma

sniedzama informācija

Iespējamie datu saņēmēji

Tiesības piekļūt datiem un izdarīt labojumus

Atbildes sniegšanas regulējums

Pamats

Datu dzešana un atjaunošana

• Pārziņa pienākums: • ņemt vērā pieejamo tehnoloģiju un tās piemērošanas izmaksas• veikt saprātīgus pasākumus, tostarp tehniskus pasākumus• informēt citus pārziņus• dzēst visas saites uz personas datiem vai personas datu kopijas vai

atveidojumus

• Pienākums ASAP dzēst datu subjekta personas datus, ja:• personas dati vairs nav nepieciešami • dati ir nepatiesi, nepilnīgi vai novecojuši • datu subjekts atsauc savu piekrišanu• datu subjekts iebilst pret apstrādi• personas dati ir apstrādāti nelikumīgi• šīs pienākums norādīts citos aktos

Personas datu nodošana ārvalstīs un starptautiskajai organizācijai

Latvija, ES, EEZ

Citās valstīs

→ Datu subjekta piekrišana→ Līguma starp datu subjektu un pārzini izpilde→ Līguma starp pārzini un citu fizisku vai juridisku personu noslēgšana vai

izpilde→ ir svarīgi iemesli sabiedrības interesēs→ likumīgu prasību celšana, īstenošana vai aizstāvēšana→ datu subjekta vai citu personu īpaši svarīgu interešu aizsardzība, ja

datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu→ nosūtīšanu izdara no reģistra, kurš saskaņā ar Savienības vai dalībvalsts

tiesību aktiem ir paredzēts, lai sniegtu informāciju sabiedrībai

→ Komisijas lēmums→ Līgums starp iestādēm→ Saistošie uzņēmuma noteikumi→ Datu aizsardzības klauzulas → Rīcības kodekss

Datu drošība

• tehnikas līmenis

• īstenošanas izmaksas

• apstrādes raksturs un apmērs

• konteksts un nolūkus

• dažādas iespējamības un nopietnības pakāpes riski attiecībā uz fizisku personu tiesībām un brīvībām

• atbilstoši tehniski un organizatoriski pasākumi

• nodrošināt, lai pēc noklusējuma personas datus bez personas līdzdalības nedarītu pieejamus nenoteiktam fizisku personu skaitam

Kontrole?

Pārzinis kontrolē ievadīto personas datu veidu un ievadīšanas laiku un ir atbildīgs par to personu rīcību,

kuras veic personas datu apstrādi.

Pārziņa pienākums ir veikt tādu personu uzskaiti, kuras tiek iesaistītas personas datu apstrādē.

Īpašuma tiesības Personas datu aizsardzība

Kontrole

Kontakti:

www.spridzans.lvwww.facebook.com/spridzanswww.linkedin.com/company/law-office-spridzans

Anna Vladimirova-KryukovaJuriste, Law Office Spridzāns

Tērbatas iela 14, Rīga LV-1011+371 29274672anna.vk@spridzans.lv