Vai ārpakalpojuma grāmatvedim jāizstrādā personas datu aizsardzības noteikumi?

Jautājums:

Vēlos piereģistrēties kā saimnieciskās darbības veicējs un sniegt grāmatvedības ārpakalpojumus. Tā kā mani klienti sniegs man fizisko personu datus (citi saimnieciskās darbības veicēji savus datus, juridisko personu darbinieku datus, patieso labuma guvēju datus) vai līdz ar to man nepieciešams izstrādāt personu datu aizsardzības un apstrādes noteikumus? Ja nepieciešams, tad kādiem dokumentiem man jābūt attiecībā uz personu datiem? Vai es būšu datu pārzinis vai apstrādātājs?

Atbilde:

Šajā gadījumā saimnieciskās darbības veicējs saņemtos personas datus – jebkāda veida informāciju par konkrētu fizisku personu  - drīkst izmantot, tai skaitā glabāt, ievērojot Vispārīgās datu aizsardzības regulas un Fizisko personas datu apstrādes likuma prasības. Tas nozīmē, ka saimnieciskās darbības veicējam noteikti ir jāievēro šajos aktos noteiktie pārziņa pienākumi. Papildus tam var būt saistoši arī apstrādātāja pienākumi, ja kādas darbības ar personas datiem tiek veiktas klienta uzdevumā un klienta vārdā un klients dod detalizētus norādījumus attiecībā uz konkrētā uzdevuma izpildi. Piemēram, ja saimnieciskās darbības veicējs nodrošina klientu darbiniekiem algas aprēķinu un nosūta klienta darbiniekiem “algas lapiņas”, tad klients varētu būt atzīstams par pārzini, bet saimnieciskās darbības veicējs – par apstrādātāju.

Darbojoties gan pārziņa, gan apstrādātāja statusā, lai izpildītu Vispārīgās datu aizsardzības regulas un Fizisko personas datu apstrādes likuma prasības, saimnieciskās darbības veicējam ir jāievieš vairāki organizatoriski un tehniski procesi, tai skaitā jāsagatavo iekšējie personas datu apstrādes un aizsardzības noteikumi, jāsagatavo personas datu apstrādes darbību reģistrs, jānodrošina rīcībā esošo personas datu drošība un jānoslēdz noteikta satura līgums ar klientiem.

Lai atbilstoši un nepārspīlējot ieviestu šīs prasības, ieteikums ir sazināties ar Datu valsts inspekciju vai konsultantiem persona datu aizsardzības jomā.

Aicinām ņemt vērā arī to, ka papildu personas datu iegūšana un pārbaude saimnieciskās darbības veicējam, kurš sniedz grāmatvedības ārpakalpojumus, ir jāveic saskaņā ar Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likumu. Saskaņā ar šo likumu ārpakalpojumu grāmatvežiem jāidentificē, jānovērtē un jāizprot savai darbībai un klientiem piemītošais noziedzīgi iegūtu līdzekļu legalizācijas un terorisma finansēšanas risks un, pamatojoties uz veikto riska analīzi, jāizveido iekšējās kontroles sistēma. Savukārt šīs kontroles sistēmas ieviešanas procesā varētu būt jāpilda arī specifiskas, no personas datu aizsardzības izrietošas prasības, piemēram, jāveic ietekmes uz privātumu novērtējums attiecībā uz ieviesto iekšējo kontroles sistēmu un jāinformē klienti par to sniegto personas datu izmantošanas mērķi šīs sistēmas vajadzībām.

Raksta oriģināls publicēts žurnālā "Itiesības"

Sanita Pētersone

Vecākā juriste, sertificēta datu aizsardzības speciāliste

Lasīt vairāk