Piemērota pakalpojumu sniedzēja atrašana bieži vien nav viegls uzdevums, jo papildus komerciālajiem un organizatoriskajiem aspektiem ir jāapsver arī ar likumdošanu saistītās nianses – īpaši tajos gadījumos, kad ir paredzēts, ka pakalpojumu sniedzējs nodarbosies ar personas datu apstrādi. ES Vispārējā datu aizsardzības regulā (GDPR) uzsvērta personas datu apstrādes drošība, un tas jāņem vērā, arī izvēloties pakalpojumu sniedzēju. Šajā dokumentā minētas dažas vadlīnijas, kā novērtēt jūsu organizācijas spēju izpildīt GDPR prasības.
1. VAI JUMS IR ISO 27001 SERTIFIKĀTS?
Lai gan derīgs ISO 27001 sertifikāts vēl nav interpretējams kā organizācijas spēja īstenot visus drošības pasākumus GDPR 32. panta kontekstā, šāda sertifikāta esamība parāda, ka organizācija aktīvi rūpējas par informācijas aizsardzību un uz risku balstītu pārvaldību. GDPR 32. pantam un ISO 27001 ir vairāki kopīgi pamatprincipi, īpaši attiecībā uz organizatoriskajiem drošības pasākumiem – piemēram, ISO 27001 atbilstošai organizācijai klientu dati tiek glabāti atsevišķi no izstrādes datiem, darbinieku piekļuves tiesības tiek periodiski auditētas un klientu dati ir pieejami tikai no organizācijas iekšējā tīkla.
2. KĀDI IR REZERVES KOPIJU VEIDOŠANAS PROCESI JŪSU UZŅĒMUMĀ?
Rūpīgi jāizpēta, kā organizācija pārvalda savas darbības nepārtrauktību. Organizācijām ar labi organizētiem informācijas dublēšanas procesiem ir mērķis līdz minimumam samazināt atkopšanas laiku (tas ir, cik ātri iespējams no rezerves kopijām atgūt datus) un līdz minimumam samazināt datu zudumus (jeb maksimālo datu daudzumu, ko var zaudēt atkopšanas laikā). Ļoti labs pakalpojumu sniedzējs dublē datus, tiklīdz tie nonāk sistēmā, tādējādi nodrošinot to, ka iespējamais datu zudums nebūs lielāks par minimālo, uztur rezerves kopiju veidošanas infrastruktūru kopā ar rezerves kopijām, uz ko var nekavējoties pārslēgties lielas avārijas gadījumā, un – pats galvenais – pastāvīgi testē rezerves kopiju sistēmu darbību un ar to saistītos procesus.
3. VAI JŪSU UZŅĒMUMĀ IR DATU AIZSARDZĪBAS SPECIĀLISTS?
Lai iegūtu priekšstatu par datu aizsardzības nozīmi organizācijā, ir svarīgi noskaidrot, kurš ir atbildīgs par datu aizsardzību organizācijā un kā tiek organizēta atbildīgā struktūra. Ja par datu aizsardzību atbildīgais speciālists atrodas tādā organizācijas struktūras vietā, kurā viņš / viņa principā pārrauga sava priekšnieka vai personas, kas atrodas augstākā hierarhijas pakāpē, pienākumus, būtu skaidri jānosaka, vai nepastāv potenciāls interešu konflikts. Laba pārvaldības sistēma nodrošina, ka datu aizsardzības loma organizācijā ir neatkarīga. Vēl labāk, ja organizācijas valde, padome vai cita augstākā līmeņa institūcija ir tieši informēta par datu aizsardzības jautājumiem.
4. VAI JŪSU UZŅĒMUMS PIESAISTA APAKŠUZŅĒMĒJUS, UN KĀDI TIE IR?
Bieži vien pakalpojumu sniedzēji nevar sniegt pakalpojumu bez apakšuzņēmēju iesaistes, tāpēc ir rūpīgāk jāizpēta, kā organizācijas apakšuzņēmēji ievēro datu aizsardzības principus un kā pakalpojumu sniedzēja apakšuzņēmēji tiek saukti pie atbildības par pārkāpumiem. Saprātīgs pakalpojumu sniedzējs informē par saviem apakšuzņēmējiem un apstiprina, ka viņiem ir ar GDPR saderīgi datu apstrādes līgumi. Papildus pakalpojumiem un infrastruktūrai, kas tiek nodrošināta pirms apakšuzņēmēja iesaistīšanas, labs pakalpojumu sniedzējs veiks rūpīgu datu aizsardzības un kiberdrošības auditu un neiesaistīs tādus apakšuzņēmējus, kuru datu aizsardzības metodes un principus ir pamats apšaubīt. Ļoti labs pakalpojumu sniedzējs veic visu iepriekšminēto un arī nebaidās pārtraukt sadarbību ar apakšuzņēmēju nopietna pārkāpuma gadījumā.
5. KURIEM JŪSU DARBINIEKIEM UN UZ KĀDA PAMATA IR PIEEJA MŪSU DATIEM?
Pakalpojumu sniedzēja darbiniekiem bez pamatota iemesla nevajadzētu būt piekļuvei klientu datiem. Katra organizācija “pamatotos iemeslus” definē atšķirīgi, tāpēc ir jēga precizēt apstākļus, kādos šādas privilēģijas tiek piešķirtas. Labs pakalpojumu sniedzējs vienmēr ir gatavs sniegt klientiem informāciju par to, kuri darbinieki, kāpēc un kad piekļūst viņu datiem. Ļoti labs pakalpojumu sniedzējs nodrošinās klientam piekļuves informācijas pārredzamību, dalīsies ar būtisku informāciju bez nepamatotas kavēšanās un spēs savus iekšējos procesus organizēt tā, lai klientu privātuma aizskaršana būtu minimāla.
6. VAI ESAT PIEDZĪVOJUŠI DATU NOPLŪDI?
Pakalpojumu sniedzēju lielākais izaicinājums ir turēt drošībā klientu datus. Ir svarīgi noskaidrot, kā tas darīts pagātnē un vai organizācija iepriekš ir bijusi tieši pakļauta datu noplūdei. Nevajadzētu tāpēc uzreiz atteikties no sadarbības ar organizāciju, kura to ir piedzīvojusi, bet gan pārliecināties, ko organizācija no šīs pieredzes ir iemācījusies.
7. VAI JŪS VARAT MUMS DEMONSTRĒT PIEMĒRU, KĀDĀ VEIDĀ APSTRĀDĀJAT DATUS?
Katram pakalpojumu sniedzēja darbiniekam jāzina datu aizsardzības nozīme, un darba devēja pienākums ir apmācīt visus darbiniekus, kas saskaras ar personas datu apstrādi. Ja pakalpojumu sniedzēja pārstāvis pauž gatavību demonstrēt datu apstrādi ar identificējamiem personas datiem, pirms ir noslēgts attiecīgs līgums, ir pamats uzskatīt, ka apmācība nav bijusi īpaši efektīva.
8. KĀDU FUNKCIONALITĀTI JŪS PIEDĀVĀJAT, LAI NODROŠINĀTU GALA LIETOTĀJU PRIVĀTUMU?
Tikpat svarīgi, kā izmantot attiecīgās organizatoriskās un tehniskās drošības metodes, ir saprast, kā klienti pakalpojuma sniedzēja programmatūrā var aizsargāt savu datu subjektu privātumu. Labam pakalpojumu sniedzējam jāvar palīdzēt klientam atbildēt uz datu subjektu pieprasījumiem. Ļoti labs pakalpojumu sniedzējs piedāvā rīkus, lai klients to varētu izdarīt patstāvīgi, tādā veidā padarot atbildes sniegšanas laiku datu subjektam iespējami īsu.
9. VAI UN KĀDAS IESPĒJAS JŪS PIEDĀVĀJAT PAGAIDU DATU DZĒŠANAI?
Vispārējā gadījumā izplatītā prakse pakalpojumu sniedzējiem ir glabāt ar klientiem saistītos datus tik ilgi, kamēr ir spēkā pakalpojuma līgums. Daudz kas atkarīgs no pakalpojuma rakstura, kā arī vairumā gadījumu šī vajadzība ir pamatota. Taču var gadīties situācijas, kad pakalpojuma sniegšanas laikā rodas vajadzība daļu datu dzēst, un ļoti labi pakalpojumu sniedzēji ar šādu nepieciešamību rēķinās, piedāvājot klientiem pašiem izdzēst pagaidu datus.
10. VAI UN KĀDĀ MĒRĀ JŪSU PAKALPOJUMĀ IR IESPĒJAMS IEROBEŽOT DAŽĀDU LIETOTĀJU PIEEJAS TIESĪBAS?
Tehniskie un organizatoriskie pasākumi, ko pakalpojuma sniedzējs īsteno atbilstoši 32. pantam, var būt iespaidīgi, taču tie var nebūt pietiekami, ja programmatūras izstrādē nav ņemts vērā lietotāju privātums. Programmatūras privātuma un datu drošības funkcijas ir kļuvušas obligāti nepieciešamas, un labs pakalpojumu sniedzējs spēj interpretēt normatīvās prasības, ņemot vērā klientu vajadzības. Izvēloties pakalpojuma sniedzēju, ir ļoti svarīgi izvērtēt programmatūras ieviešanas praktiskos aspektus, piemēram, novērtēt, vai tiešajiem lietotājiem ir iespējams piešķirt piekļuvi minimālajam datu apjomam, kas viņiem vajadzīgs darba veikšanai.
Privātums ir viena no mūsu pamattiesībām un neatņemama cilvēcīguma sastāvdaļa. Pilnvarota datu apstrādātāja iesaistīšana neizbēgami rada risku, un šādas attiecības var pastāvēt tikai tad, ja starp pusēm pastāv uzticība. Bez minētajiem jautājumiem un uz tiem saņemtajām atbildēm galīgo lēmumu ietekmē arī otras puses atklātums komunikācijā, izmantotā retorika un iniciatīva pastāvīgi veikt uzlabojumus.
Savā Fleet Complete mēs aicinām visus pašreizējos un nākamos klientus pievērst uzmanību datu aizsardzībai, jo tikai tad abas puses var būt drošas, ka tiek aizsargātas personu pamattiesības. Ja jums ir kādi jautājumi, lūdzu, noteikti sazinieties ar mums.
