Personas dati ir jebkura informācija, kas attiecas uz identificētu vai identificējamu personu. Identificējama persona ir jebkura persona, kuru var tieši vai netieši identificēt. Personas dati var būt arī dažādi informācijas elementi, kas apkopoti kopā, lai identificētu konkrētu personu.

Personas datu piemēri:

• vārds un uzvārds;
• mājas adrese;
• e-pasta adrese;
• personas apliecības numurs;
• atrašanās vietas dati;
• IP adrese;
• sīkdatnes ID;
• bankas konti;
• nodokļu pārskati;
• biometriskie dati (piemēram, pirkstu nospiedumi);
• sociālā nodrošinājuma numurs;
• pases numurs;
• testa rezultāti;
• atzīmes skolā;
• pārlūkošanas vēsture;
• personas fotoattēls;
• transportlīdzekļa reģistrācijas numurs u. c.

Plašāka informācija:

• Datu aizsardzības pamati

Ja personas dati tiek tieši vākti no attiecīgajām personām, organizācijām ir jāsniedz informācija par apstrādes darbībām kodolīgā un pārredzamā veidā, izmantojot saprotamu, viegli pieejamu, skaidru un vienkāršu valodu. To var izdarīt rakstiski (piemēram, piedāvājuma otrā pusē) vai elektroniski (piemēram, tīmekļa vietnē). Ja attiecīgā persona to pieprasa, jūs varat arī sniegt šo informāciju mutiski, bet jums ir jāspēj pēc tam pierādīt, ka šāda informācija ir sniegta.

Pat tad, ja dati tika vākti netieši, t. i., ja jūs nevācat personas datus tieši no konkrētās personas, bet, piemēram, ar trešās personas starpniecību, jums ir jāsniedz tāda pati detalizēta informācija privātpersonām.

Ja ir divi vai vairāki pārziņi, kas kopīgi nosaka apstrādes nolūku un līdzekļus, tos uzskata par kopīgiem pārziņiem. Viņi kopīgi nolemj apstrādāt personas ar kopīgu nolūku. Kopīga pārzināšana var izpausties dažādos veidos, un dažādu pārziņu līdzdalība var būt nevienlīdzīga. Tāpēc kopīgajiem pārziņiem ir jānosaka savi attiecīgie pienākumi attiecībā uz atbilstību VDAR.

Ir svarīgi atzīmēt, ka kopīga pārzināšana rada kopīgu atbildību par apstrādes darbību.

• Piemērs: Uzņēmumi A un B ir laiduši klajā zīmola produktu un vēlas organizēt pasākumu, lai to reklamētu. Šim nolūkam tie nolemj dalīties ar datiem no savām klientu un potenciālo klientu datubāzēm un, pamatojoties uz tiem, lemt par uzaicināto personu sarakstu. Viņi arī vienojas par kārtību ielūgumu nosūtīšanai uz pasākumu, par to, kā apkopot atsauksmes pasākuma laikā, un par turpmākajām mārketinga darbībām. Uzņēmumus A un B var uzskatīt par kopīgiem pārziņiem tādu personas datu apstrādei, kas saistīti ar reklāmas pasākuma organizēšanu, jo tie kopīgi lemj par kopīgi definētu datu apstrādes nolūku un būtiskiem līdzekļiem šajā kontekstā.

Plašāka informācija:

• Pārzinis vai apstrādātājs

Novērtējums par ietekmi uz datu aizsardzību jeb NIDA ir rakstisks novērtējums, kas jūsu organizācijai jāveic, lai novērtētu plānotās apstrādes darbības ietekmi. Tas palīdz jums noteikt piemērotus pasākumus risku novēršanai un atbilstības pierādīšanai.

Lai gan vienmēr ir vēlams paredzēt jūsu organizācijas plānoto apstrādes darbību ietekmi, veicot NIDA, tas obligāti jāveic, ja apstrāde var radīt augstu risku personu tiesībām un brīvībām.

Tas jo īpaši attiecas uz gadījumiem, kad paredzētā apstrāde ietver:

• sensitīvu personas datu vai ar sodāmību saistītu datu apstrādi plašā mērogā;  
• sistemātisku un plašu ar personu saistītu personas aspektu izvērtēšanu, kas balstās uz automatizētu apstrādi, tostarp profilēšanu, un uz kuras pamata tiek pieņemti lēmumi, kas rada tiesiskas sekas attiecībā uz personu vai līdzīgi būtiski ietekmē personas;
• publiski pieejamas telpas sistemātiska uzraudzība plašā mērogā.

EDAK ir izstrādājusi vadlīnijas, kurās uzskaitīti kritēriji, kas jums jāņem vērā, vērtējot, vai NIDA ir obligāts. Datu aizsardzības iestādes ir publicējušas arī to apstrādes darbību sarakstus, uz kurām attiecas NIDA. Turklāt vairākas DAI ir izstrādājušas rokasgrāmatas, programmatūru vai pašnovērtējuma rīkus, lai palīdzētu jums veikt novērtējumu.

Plašāka informācija:

• Atbilst prasībām

Vispārīgā datu aizsardzības regula nodrošina privātpersonām kontroli pār viņu personas datu apstrādi. Lai to panāktu, ļoti svarīga ir pārredzamība. Tas nozīmē, ka jums ir jāinformē personas, kuru datus apstrādājat, par apstrādi un tās nolūkiem. Citiem vārdiem sakot, jums ir jāizskaidro, kas apstrādā viņu datus, kā arī kā un kāpēc. Tikai tad, ja personas datu izmantošana iesaistītajām personām ir pārredzama, tās var novērtēt visus riskus un pieņemt lēmumus par saviem personas datiem.

Saskaņā ar VDAR jums ir pienākums sniegt personām šādu informāciju:

• pārziņa identitāte un kontaktinformācija;
• datu apstrādes nolūki;
• apstrādes tiesiskais pamats  (leģitīmo interešu gadījumā - konkrēta informācija par to, ar kādām leģitīmajām interesēm attiecīgā apstrāde ir saistīta);
• pārziņa kontaktinformācija;
• DAS kontaktinformācija (ja ir DAS);
• datu saņēmēji vai saņēmēju kategorijas;
• Informācija par to, vai dati tiks pārsūtīti ārpus Eiropas Ekonomikas zonas (EEZ) (attiecīgā gadījumā: tas, vai pastāv vai nav pieņemts lēmums par aizsardzības līmeņa pietiekamību vai atsauce uz piemērotiem aizsardzības pasākumiem, un tas, kā šo informāciju var darīt pieejamu datu subjektiem);
• apstrādāto personas datu kategorijas, ja dati nav iegūti no personas.

Turklāt VDAR nosaka, ka jūsu organizācijai ir jāsniedz šāda informācija, lai nodrošinātu godprātīgu un pārredzamu apstrādi:

• glabāšanas periods vai, ja tas nav iespējams, kritēriji, pēc kuriem nosaka šo periodu;
• tiesības pieprasīt piekļuvi personas datiem, to dzēšanu, labošanu, ierobežošanu, pārnesamību;
• tiesības iesniegt sūdzību datu aizsardzības iestādei;
• ja apstrādes tiesiskais pamats ir piekrišana, tiesības jebkurā laikā to atsaukt;
• automatizētas lēmumu pieņemšanas gadījumā - attiecīgu informāciju par loģiku, kas ir tās pamatā, un apstrādes plānotajām sekām attiecībā uz datu subjektu;
• personas datu avots (ja jūs tos tieši nesaņēmāt no attiecīgās personas);
• vai personai ir pienākums sniegt personas datus (saskaņā ar likumu vai līgumu, vai slēgt līgumu) un kādas ir datu sniegšanas atteikuma sekas.

Plašāka informācija:

• Ievērojiet personu tiesības

Personas datu apstrāde ir jebkura ar personas datiem veikta darbība. Tā ietver personas datu vākšanu, reģistrēšanu, organizēšanu, strukturēšanu, glabāšanu, pielāgošanu vai pārveidošanu, izgūšanu, aplūkošanu, izmeklēšanu, izmantošanu, izpaušanu, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošanu vai kombinēšanu, ierobežošanu, dzēšanu vai iznīcināšanu.

DAS var veikt citus uzdevumus organizācijā, taču tas nedrīkst radīt interešu konfliktu. Tas nozīmē, ka datu aizsardzības speciālists nevar būt amatā, kurā viņš nosaka datu apstrādes nolūkus un līdzekļus. Konfliktējoši pienākumi galvenokārt ietver vadības amatus (izpilddirektors, finanšu direktors, personāla vadītājs, IT vadītājs u.c. ), bet var ietvert arī citus amatus, ja to rezultātā tiek noteikti apstrādes nolūki un līdzekļi. Datu aizsardzības speciālistam jāspēj neatkarīgi pildīt savus pienākumus. Tas nozīmē, ka jūsu organizācija:

• nedrīkst dot norādījumus DAS attiecībā uz viņa kā DAS pienākumu izpildi;
• nedrīkst sodīt vai atlaist DAS par viņa uzdevumu izpildi.

Plašāka informācija:

• Datu aizsardzības speciālists

Spēkā esošs līgums starp pārzini un apstrādātāju ir obligāts saskaņā ar VDAR. Par pārkāpumu var piemērot administratīvo naudas sodu līdz 10 miljoniem euro vai līdz 2 % no uzņēmuma kopējā gada apgrozījuma atkarībā no tā, kura summa ir lielāka.

Dānijas un Slovēnijas datu aizsardzības iestādes, kā arī Eiropas Komisija ir izstrādājušas līgumu paraugus.

Plašāka informācija:

• Pārzinis vai apstrādātājs

DAS uzdevumi ir šādi:

• informēt un konsultēt organizāciju un tās darbiniekus par datu aizsardzības ievērošanu;
• uzraudzīt atbilstību datu aizsardzības prasībām;
• sniegt konsultācijas par pieprasījumiem saistībā ar novērtējumu par ietekmi uz datu aizsardzību (NIDA);
• darboties kā datu aizsardzības iestādes kontaktpersonai un sadarboties ar minēto DAI;
• darboties kā personu kontaktpunktam.

Turklāt datu aizsardzības speciālista klātbūtne parasti ir ieteicama gadījumos, kad tiek pieņemti lēmumi, kas saistīti ar datu aizsardzību. Tiklīdz ir noticis datu aizsardzības pārkāpums vai cits incidents, būtu nekavējoties jāapspriežas ar DAS.

Plašāka informācija:

• Datu aizsardzības speciālists

Atbilstību VDAR prasībām uzrauga valstu datu aizsardzības iestādes (DAI). Datu aizsardzības iestādes vajadzības gadījumā var veikt izmeklēšanu un piemērot sodus. Datu aizsardzības iestāžu rīcībā ir vairāki instrumenti, tostarp administratīvie naudas sodi līdz 20 miljoniem euro vai 4 % no globālā gada apgrozījuma (atkarībā no tā, kurš no tiem ir lielāks), aizrādījumi un pagaidu vai pastāvīgs personas datu apstrādes aizliegums. Visu EEZ DAI kontaktinformāciju varat atrast EDAK tīmekļa vietnē: Locekļi

Plašāka informācija:

• Datu aizsardzības iestāde un jūs