NILLTPFN likums uzliek virkni pienākumu klientu datu apstrādē, taču praksē joprojām bieži tiek pieļautas būtiskas kļūdas. Šīs kļūdas nereti noved pie normatīvo aktu pārkāpumiem un rada draudus klientu personas datu drošībai.
Viena no visbiežāk pieļautajām kļūdām ir pārmērīga personas datu vākšana, kas nav tieši nepieciešama NILLTPFN mērķu sasniegšanai un nav samērīga ar klienta risku novērtēšanu un izpēti. GDPR un Fizisko personu datu apstrādes likums paredz, ka datu apjoms jāierobežo līdz minimumam (samērīguma princips). Tomēr daudzi likuma subjekti joprojām apkopo un glabā vairāk informācijas, nekā tas ir nepieciešams, nepietiekami izvērtējot personas datu apstrādes tiesisko pamatu.
Ieteikums: definējiet skaidrus iekšējās kontroles procesus, kas nodrošina, ka tiek vākti tikai tie personas dati, kas ir nepieciešami NILLTPFN risku novēršanai.
Daudzi uzņēmumi nepietiekamu uzmanību pievērš personas datu tehniskajai aizsardzībai — gan sistēmu piekļuves kontrolei, gan datu šifrēšanai un reģistru drošībai. Tas rada risku, ka sensitīvi klientu dati var kļūt pieejami neatļautām personām.
Ieteikums: regulāri pārskatiet IT drošības politikas, veiciet risku novērtējumu un īstenojiet mūsdienīgas datu aizsardzības tehnoloģijas (piem., piekļuves vadība, šifrēšana).
Vēl viena izplatīta kļūda ir datu apstrādes procedūru trūkums vai tās, kuras nav atbilstoši dokumentētas. Lai izpildītu NILLTPFN un datu aizsardzības prasības, uzņēmumiem ir jāspēj pierādīt, kā un kāpēc tie apstrādā fizisko personu datus. Trūkstot atbilstošai dokumentācijai, rodas risks kļūt par uzraudzības iestāžu konstatēta pārkāpuma objektu.
Ieteikums: izstrādājiet un regulāri atjauniniet personas datu apstrādes politiku un procedūras, tostarp datu vākšanas, glabāšanas, piekļuves un dzēšanas kārtību.
NILLTPFN kontekstā datu apstrāde notiek, balstoties uz tiesisku pienākumu, nevis personas piekrišanu, tomēr datu subjektiem joprojām ir tiesības saņemt informāciju par savu personas datu apstrādi un to aizsardzību. Daži subjekti nepietiekami informē klientus par datu apstrādes mērķiem, tiesisko pamatu vai par to, kā klients var īstenot savas datu tiesības.
Ieteikums: nodrošiniet skaidru informāciju par datu apstrādi, izmantojot privātuma politikas, informācijas lapas un citus klientiem pieejamus resursus.
Ja personas datu apstrāde var radīt augstus riskus fizisko personu pamattiesībām, ir obligāti jāveic Datu apstrādes ietekmes novērtējums. Tomēr praksē daži likuma subjekti šo pienākumu neizpilda, lai gan personas datu apstrādes raksturs vai apjoms to objektīvi prasa.
Ieteikums: izvērtējiet, vai jūsu datu apstrādes aktivitātes var radīt augstu risku, un, ja nepieciešams, īstenojiet DPN pirms datu apstrādes uzsākšanas.
Datu apstrādes joma NILLTPFN kontekstā ir specifiska un pieprasa, lai darbinieki saprastu gan NILLTPFN prasības, gan datu aizsardzības regulējumu. Daudzi subjekti nepietiekami apmāca darbiniekus vai nenosaka atbildīgās personas datu aizsardzības jomā, kas noved pie neatbilstībām praksē.
Ieteikums: īstenojiet regulāras apmācības, kā arī ieceliet datu aizsardzības speciālistu vai atbildīgās personas, kas pārrauga datu apstrādes atbilstību.
Atbilstība NILLTPFN likuma un datu aizsardzības prasībām nav tikai formāls pienākums. Pareiza fizisko personu datu apstrāde veicina gan efektīvu noziedzīgi iegūtu līdzekļu legalizācijas un terorisma finansēšanas novēršanu, gan aizsargā jūsu klientu pamattiesības.
NILLTPFN pakalpojumu sniedzējiem ir svarīgi nodrošināt, ka viņu klienti un darījumi ir atbilstoši starptautiskajiem un vietējiem noteikumiem. Mūsu iekšējās kontroles sistēma palīdz uzņēmumiem efektīvi pārvaldīt riskus un nodrošināt atbilstību regulējumam.
Abonēt IKS metodikas, subjektu apmācības: NILLN.LV IKS komplekti
Reģistrēties bez maksas: PARTNERsafe risku pārvaldības platforma
NILLTPFN likuma subjekta ikdienas darbā klientu izvērtēšana un sadarbības pārvaldība ir viens no galvenajiem atbilstības aspektiem. Attiecībās ar klientiem nepieciešama apzināta, dokumentēta un riska balstīta pieeja, kas atbilst gan normatīvā regulējuma prasībām, gan uzraugošo iestāžu praksei.
NILLTPFN likums nosaka pienākumu likuma subjektiem nodrošināt darbinieku apmācības NILLTPFN un sankciju jomā, tomēr nenosaka konkrētu apmācību biežumu. Praksē apmācību regularitāte tiek vērtēta, ņemot vērā uzņēmuma riskus un uzraugošo iestāžu gaidas.