VDAR izšķir divas galvenās lomas: pārzinis un apstrādātājs. Šī atšķirība ir būtiska, jo pārzinim ir lielāka atbildība un vairāk pienākumu nekā apstrādātājam.

Pārziņi un apstrādātāji var būt fiziskas vai juridiskas personas, piemēram, MVU, valsts iestāde, uzņēmums, organizācija, apvienība u. c.

Pārzinis nosaka apstrādes darbības mērķus un līdzekļus. Citiem vārdiem sakot, pārzinis izlemj, kā un kāpēc tiek veikta apstrādes darbība. Apstrādātājs apstrādā personas datus pārziņa vārdā.  Apstrādātāju veikto apstrādi reglamentē līgums ar pārzini vai cits tiesību akts.

Pārziņu piemēri:

• uzņēmumi, kas apstrādā savu klientu personas datus, lai veiktu pārdošanu;
• finanšu iestādes, kas apstrādā savu klientu personas datus;
• asociācijas, kas apstrādā savu biedru datus;
• skolas vai universitātes, kas apstrādā skolēnu, studentu un skolotāju personas datus;
• slimnīcas, kas apstrādā savu pacientu personas datus;
• valsts aģentūras, kas apstrādā iedzīvotāju personas datus.

Apstrādātāju piemēri:

• MVU algo grāmatvedības pakalpojumu firmu, lai veiktu grāmatvedības uzskaiti. MVU ir pārzinis un grāmatvedības firma- apstrādātājs;
• algu uzskaites uzņēmums apstrādā MVU personas datus. Algas uzņēmums darbosies kā apstrādātājs, ja tas apstrādās tikai personas datus MVU vārdā. MVU nosaka datu apstrādes nolūkus un līdzekļus, un tāpēc tas ir pārzinis.
• MVU uzdod mārketinga uzņēmumam vākt e-pasta adreses, izmantojot trešo personu tīmekļa vietnes.  Mārketinga uzņēmums to dara saskaņā ar MVU skaidriem norādījumiem un vienīgi MVU mērķiem. Mārketinga uzņēmums darbojas kā apstrādātājs.

Plašāka informācija:

• Pārzinis vai apstrādātājs

Nē, nav nepieciešams publiskot jūsu apstrādes ierakstus. Tomēr jums ir jāspēj pēc pieprasījuma iesniegt ierakstus datu aizsardzības iestādei.    

Plašāka informācija:

• Atbilst prasībām

EDAK regulāri publicē paziņojumus presei, ziņas, blogus un citu saturu EDAK tīmekļa vietnē un tās sociālo mediju kontos (X: @EU_EDPB; LinkedIn: European Data protection Board), lai regulāri informētu datu aizsardzības kopienu un sabiedrību par savu darbu.

EDAK tīmekļa vietnē ir arī divas RSS plūsmas, kuras varat abonēt, lai automātiski saņemtu EDAK ziņas un EDAK jaunākās publikācijas.

Vispārīgi runājot, katrai organizācijai būtu jāreģistrē savas apstrādes darbības. Tas var palīdzēt jums izdarīt pareizus secinājumus par jūsu pienākumiem saskaņā ar VDAR un iespējamiem riskiem.

Katra no šīm apstrādes darbībām jāapraksta reģistrā, iekļaujot šādu informāciju:

• apstrādes mērķis (piemēram, klientu lojalitātes programma);
• apstrādāto datu kategorijas (piemēram, algu saraksts: vārds, uzvārds, dzimšanas datums, alga u. c.);
• kam ir piekļuve datiem (saņēmējiem, piemēram: par pieņemšanu darbā atbildīgā nodaļa, IT speciālists, vadība, pakalpojumu sniedzēji, partneri u.c.);
• atsevišķā gadījumā- informācija, kas saistīta ar personas datu pārsūtīšanu ārpus Eiropas Ekonomikas zonas (EEZ);
• ja iespējams, glabāšanas periods (periods, par kuru dati ir noderīgi no darbības viedokļa un no arhivēšanas viedokļa);
• ja iespējams, vispārīgs drošības pasākumu apraksts.

Par apstrādes darbību uzskaiti ir atbildīgs jūsu organizācijas vadītājs.

Šim reģistram pēc pieprasījuma jābūt pieejamam tās EEZ valsts datu aizsardzības iestādei, kurā strādājat.

Organizācijām, kas nodarbina mazāk nekā 250 personas, nav jānorāda savā reģistrā tikai gadījuma rakstura darbības (piemēram, dati, kas apstrādāti vienreizējiem pasākumiem, piemēram, veikala atvēršanai).

Plašāka informācija:

• Atbilst prasībām

Ar Vispārīgo datu aizsardzības regulu (VDAR) ir izveidots saskaņots noteikumu kopums, kas piemērojams visai personas datu apstrādei, ko veic organizācijas (publiskas vai privātas, neatkarīgi no to lieluma), kas izveidotas Eiropas Ekonomikas zonā (EEZ) vai kas vērstas uz fiziskām personām ES. VDAR galvenais mērķis ir nodrošināt, ka personas datiem visā EEZ ir vienādi augsti aizsardzības standarti, palielinot juridisko noteiktību gan fiziskām personām, gan organizācijām, kas apstrādā datus, un piedāvājot personām augstu aizsardzības līmeni.

Regula stājās spēkā 2016. gada 24. maijā, bet to piemēro no 2018. gada 25. maija.

Personas dati ir jebkura informācija, kas attiecas uz identificētu vai identificējamu personu. Identificējama persona ir jebkura persona, kuru var tieši vai netieši identificēt. Personas dati var būt arī dažādi informācijas elementi, kas apkopoti kopā, lai identificētu konkrētu personu.

Personas datu piemēri:

• vārds un uzvārds;
• mājas adrese;
• e-pasta adrese;
• personas apliecības numurs;
• atrašanās vietas dati;
• IP adrese;
• sīkdatnes ID;
• bankas konti;
• nodokļu pārskati;
• biometriskie dati (piemēram, pirkstu nospiedumi);
• sociālā nodrošinājuma numurs;
• pases numurs;
• testa rezultāti;
• atzīmes skolā;
• pārlūkošanas vēsture;
• personas fotoattēls;
• transportlīdzekļa reģistrācijas numurs u. c.

Plašāka informācija:

• Datu aizsardzības pamati

Daži personas datu veidi pieder pie īpašām personas datu kategorijām, kas nozīmē, ka tiem ir nepieciešama lielāka aizsardzība. Tos sauc par sensitīviem datiem. Tie ietver datus, kas atklāj informāciju par:

• veselību;
• seksuālo orientāciju;
• personas rases vai etnisko piederību;
• personas politiskajiem uzskatiem, reliģisko vai filozofisko pārliecību; personas dalību arodbiedrībās;
• personas biometriskajiem un ģenētiskajiem dati.

Sensitīvo datu apstrāde parasti ir aizliegta, izņemot atsevišķus gadījumus.

Plašāka informācija:

• Datu aizsardzības pamati

Sīkdatnes ir nelieli faili, kas tiek glabāti ierīcē, piemēram, datorā, mobilajā telefonā vai jebkurā citā ierīcē, kas var saglabāt informāciju. Sīkdatnes pilda vairākas svarīgas funkcijas, tostarp atpazīst lietotājus un viņu iepriekšējo mijiedarbību ar tīmekļa vietni. Tās var izmantot, lai izsekotu preces tiešsaistes iepirkumu grozā vai lai izsekotu informāciju, kad informācija tiek ievietota tiešsaistes pieteikuma veidlapā.

Autentifikācijas sīkdatnes ir svarīgas arī, lai identificētu lietotājus, kad viņi piesakās banku vai citiem tiešsaistes pakalpojumiem. Sīkdatnēs glabātā informācija var ietvert personas datus, piemēram, IP adresi, lietotājvārdu, unikālo identifikatoru vai e-pasta adresi.

Jā, jūs varat, bet VDAR uzliek konkrētus pienākumus uzņēmumiem, kas dalās ar personas datiem. Jūsu organizācijai ir jāinformē personas, ka nodosiet datus trešajai personai. Jums ir jāinformē arī par jūsu mērķiem, drošību, piekļuvi un saglabāšanas pasākumiem, kas tiks piemēroti.

Pseidonimizācija ir personas datu pārveidošanu tā, lai tos vairs nevarētu attiecināt uz konkrētu personu, neizmantojot papildu informāciju, ar nosacījumu, ka šāda papildu informācija tiek glabāta atsevišķi un tai piemēro tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka personas dati netiek attiecināti uz personu. Praksē tas var nozīmēt personas datu (vārda, vārda, personas numura, tālruņa numura u. c.) aizstāšanu datu kopā ar netieši identificējošiem datiem (citiem vārdiem, kārtas numuriem utt.). Pseidonimizēti dati joprojām ir personas dati, un uz tiem attiecas VDAR.

Anonimizēti dati ir dati, kas padarīti anonīmi tādā veidā, ka persona nav vai vairs nav identificējama ar jebkādiem līdzekļiem, kurus pamatoti varētu izmantot. Ja anonimizācija tiek pienācīgi īstenota, VDAR vairs neattiecas uz anonimizētiem datiem.

Plašāka informācija:

• Personas datu drošība