• Atzinums 04/2024 par jēdzienu “pārziņa galvenā uzņēmējdarbības vieta Savienībā” saskaņā ar VDAR 4. panta 16. punkta a) apakšpunktu

    13 February 2024
    Publication Type:

    • VDAR izšķir divas galvenās lomas: pārzinis un apstrādātājs. Šī atšķirība ir būtiska, jo pārzinim ir lielāka atbildība un vairāk pienākumu nekā apstrādātājam.

    Pārziņi un apstrādātāji var būt fiziskas vai juridiskas personas, piemēram, MVU, valsts iestāde, uzņēmums, organizācija, apvienība u. c.

    Pārzinis nosaka apstrādes darbības mērķus un līdzekļus. Citiem vārdiem sakot, pārzinis izlemj, kā un kāpēc tiek veikta apstrādes darbība. Apstrādātājs apstrādā personas datus pārziņa vārdā.  Apstrādātāju veikto apstrādi reglamentē līgums ar pārzini vai cits tiesību akts.

    Pārziņu piemēri:

    • uzņēmumi, kas apstrādā savu klientu personas datus, lai veiktu pārdošanu;
    • finanšu iestādes, kas apstrādā savu klientu personas datus;
    • asociācijas, kas apstrādā savu biedru datus;
    • skolas vai universitātes, kas apstrādā skolēnu, studentu un skolotāju personas datus;
    • slimnīcas, kas apstrādā savu pacientu personas datus;
    • valsts aģentūras, kas apstrādā iedzīvotāju personas datus.

    Apstrādātāju piemēri:

    • MVU algo grāmatvedības pakalpojumu firmu, lai veiktu grāmatvedības uzskaiti. MVU ir pārzinis un grāmatvedības firma- apstrādātājs;
    • algu uzskaites uzņēmums apstrādā MVU personas datus. Algas uzņēmums darbosies kā apstrādātājs, ja tas apstrādās tikai personas datus MVU vārdā. MVU nosaka datu apstrādes nolūkus un līdzekļus, un tāpēc tas ir pārzinis.
    • MVU uzdod mārketinga uzņēmumam vākt e-pasta adreses, izmantojot trešo personu tīmekļa vietnes.  Mārketinga uzņēmums to dara saskaņā ar MVU skaidriem norādījumiem un vienīgi MVU mērķiem. Mārketinga uzņēmums darbojas kā apstrādātājs.

     

    Plašāka informācija:

    Vai atradāt atbildi?

    DAS var būt jūsu esošais darbinieks ar pietiekamām zināšanām par VDAR (ja darbinieka profesionālie pienākumi ir saderīgi ar DAS profesionālajiem uzdevumiem un tas nerada interešu konfliktus) vai pieņemts darbā, pamatojoties uz līgumu par pakalpojuma sniegšanu (ārējs DAS). DAS ir jāspēj veikt uzdevumus patstāvīgi, un viņam ir jāspēj tieši atskaitīties augstākajai vadībai.

     

    Plašāka informācija:

    Par to pašu tēmu:
    Vai atradāt atbildi?

    Ja jūsu organizācija personas datus vāc tieši no privātpersonām, tai ir jāsniedz vajadzīgā informācija vākšanas laikā.

    Netiešas personas datu vākšanas gadījumā jūsu organizācijai informācija jāsniedz ne vēlāk kā viena mēneša laikā pēc personas datu sākotnējās iegūšanas. Šo maksimālo viena mēneša periodu var saīsināt:

    • ja personas dati tiek izmantoti saziņai ar datu subjektu. Šādā gadījumā jums jāinformē datu subjekts ne vēlāk kā brīdī, kad notiek pirmā saziņa ar datu subjektu;
    • ja dati tiek nosūtīti citam saņēmējam, organizācija par to informē datu subjektus vēlākais tad, kad personas dati tiek nosūtīti.

     

    Plašāka informācija:

    Par to pašu tēmu:
    Vai atradāt atbildi?

    Personas var jums jautāt, vai jūs apstrādājat viņu datus, un, ja tas tā ir, viņiem ir tiesības piekļūt šiem datiem. Tātad, kad tas notiek un ja jūs apstrādājat viņu datus, jums, piemēram, jāiesniedz viņu personas datu kopija bez maksas kopā ar jebkādu nepieciešamo papildu informāciju. Ja pieprasījums tiek iesniegts elektroniski, jūsu organizācijai vajadzīgā informācija būtu jāsniedz plaši izmantotā elektroniskā formātā, ja vien cilvēks nepieprasa citādi.

     

    Plašāka informācija:

    Par to pašu tēmu:
    Vai atradāt atbildi?

    Personas datu aizsardzības pārkāpums ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem.

    • Ja datu aizsardzības pārkāpums rada risku attiecīgajām personām, jums par to 72 stundu laikā jāziņo attiecīgajai datu aizsardzības iestādei.
    • Ja pārkāpums varētu radīt augstu risku personām, jums bez nepamatotas kavēšanās jāpaziņo par šo pārkāpumu attiecīgajām personām.

    Jebkurā gadījumā visi pārkāpumi, pat tie, par kuriem nav paziņots DAI, jums ir jāreģistrē (vismaz pārkāpuma pamatinformācija, tā novērtējums, tā sekas un atbildes pasākumi).

     

    Plašāka informācija:

    Vai atradāt atbildi?

    Pārziņa un apstrādātāja līgumā jānosaka, ka  apstrādātājs:

    • apstrādā personas datus tikai pēc pārziņa norādījumiem, tas attiecas arī uz personas datu nosūtīšanu uz valsti ārpus EEZ;
    • nodrošina, ka personas, kas ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti vai tām ir pienākums ievērot konfidencialitāti;
    • nodrošina apstrādes drošību;
    • neiesaista citu apstrādātāju bez iepriekšējas konkrētas vai vispārējas rakstiskas pārziņa atļaujas;
    • palīdz pārzinim izpildīt tā pienākumus- atbildēt uz personas pieprasījumiem īstenot savas tiesības;
    • palīdz pārzinim nodrošināt apstrādi, ziņot par datu aizsardzības pārkāpumiem un veikt NIDA;
    • pēc pārziņa izvēles visus personas datus pēc pakalpojumu sniegšanas beigām dzēš vai atdod pārzinim;
    • sniedz pārzinim visu nepieciešamo informāciju, lai pierādītu atbilstību VDAR noteiktajiem pienākumiem;
    • nodrošina revīzijas, tostarp pārbaudes, ko veic pārzinis vai cits pārziņa pilnvarots revidents, un piedalās tajās.

    Turklāt apstrādātājs nekavējoties informē pārzini, ja tas uzskata, ka norādījumi pārkāpj VDAR vai citus ES vai valsts datu aizsardzības noteikumus.

     

    Plašāka informācija:

    Par to pašu tēmu:
    Vai atradāt atbildi?

    Ar Vispārīgo datu aizsardzības regulu (VDAR) ir izveidots saskaņots noteikumu kopums, kas piemērojams visai personas datu apstrādei, ko veic organizācijas (publiskas vai privātas, neatkarīgi no to lieluma), kas izveidotas Eiropas Ekonomikas zonā (EEZ) vai kas vērstas uz fiziskām personām ES. VDAR galvenais mērķis ir nodrošināt, ka personas datiem visā EEZ ir vienādi augsti aizsardzības standarti, palielinot juridisko noteiktību gan fiziskām personām, gan organizācijām, kas apstrādā datus, un piedāvājot personām augstu aizsardzības līmeni.

    Regula stājās spēkā 2016. gada 24. maijā, bet to piemēro no 2018. gada 25. maija.

    Vai atradāt atbildi?

    Pseidonimizācija ir personas datu pārveidošanu tā, lai tos vairs nevarētu attiecināt uz konkrētu personu, neizmantojot papildu informāciju, ar nosacījumu, ka šāda papildu informācija tiek glabāta atsevišķi un tai piemēro tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka personas dati netiek attiecināti uz personu. Praksē tas var nozīmēt personas datu (vārda, vārda, personas numura, tālruņa numura u. c.) aizstāšanu datu kopā ar netieši identificējošiem datiem (citiem vārdiem, kārtas numuriem utt.). Pseidonimizēti dati joprojām ir personas dati, un uz tiem attiecas VDAR.

    Anonimizēti dati ir dati, kas padarīti anonīmi tādā veidā, ka persona nav vai vairs nav identificējama ar jebkādiem līdzekļiem, kurus pamatoti varētu izmantot. Ja anonimizācija tiek pienācīgi īstenota, VDAR vairs neattiecas uz anonimizētiem datiem.

     

    Plašāka informācija:

    Par to pašu tēmu:
    Vai atradāt atbildi?
    Subscribe to