Biežāk uzdotie jautājumi
Kādi ir datu apstrādes tiesiskie pamati saskaņā ar VDAR?
Pārziņi drīkst apstrādāt personas datus tikai šādos gadījumos:
- ar datu subjekta piekrišanu;
- ja apstrāde ir nepieciešama līguma izpildei (līgums starp jūsu organizāciju un personu);
- lai izpildīt juridisku pienākumu saskaņā ar ES vai valsts tiesību aktiem;
- ja apstrāde ir nepieciešama, lai izpildītu uzdevumu, ko veic sabiedrības interesēs saskaņā ar ES vai valsts tiesību aktiem;
- lai aizsargātu personas vitālās intereses;
- jūsu organizācijas leģitīmajās interesēs, izņemot gadījumus, kad personas tiesības un brīvības ir svarīgākas par tām.
Turklāt VDAR paredz papildu nosacījumus sensitīvu datu apstrādei.
Plašāka informācija:
Kas būtu jāiekļauj pārziņa un apstrādātāja līgumā?
Pārziņa un apstrādātāja līgumā jānosaka, ka apstrādātājs:
- apstrādā personas datus tikai pēc pārziņa norādījumiem, tas attiecas arī uz personas datu nosūtīšanu uz valsti ārpus EEZ;
- nodrošina, ka personas, kas ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti vai tām ir pienākums ievērot konfidencialitāti;
- nodrošina apstrādes drošību;
- neiesaista citu apstrādātāju bez iepriekšējas konkrētas vai vispārējas rakstiskas pārziņa atļaujas;
- palīdz pārzinim izpildīt tā pienākumus- atbildēt uz personas pieprasījumiem īstenot savas tiesības;
- palīdz pārzinim nodrošināt apstrādi, ziņot par datu aizsardzības pārkāpumiem un veikt NIDA;
- pēc pārziņa izvēles visus personas datus pēc pakalpojumu sniegšanas beigām dzēš vai atdod pārzinim;
- sniedz pārzinim visu nepieciešamo informāciju, lai pierādītu atbilstību VDAR noteiktajiem pienākumiem;
- nodrošina revīzijas, tostarp pārbaudes, ko veic pārzinis vai cits pārziņa pilnvarots revidents, un piedalās tajās.
Turklāt apstrādātājs nekavējoties informē pārzini, ja tas uzskata, ka norādījumi pārkāpj VDAR vai citus ES vai valsts datu aizsardzības noteikumus.
Plašāka informācija:
Kas ir sīkdatnes?
Sīkdatnes ir nelieli faili, kas tiek glabāti ierīcē, piemēram, datorā, mobilajā telefonā vai jebkurā citā ierīcē, kas var saglabāt informāciju. Sīkdatnes pilda vairākas svarīgas funkcijas, tostarp atpazīst lietotājus un viņu iepriekšējo mijiedarbību ar tīmekļa vietni. Tās var izmantot, lai izsekotu preces tiešsaistes iepirkumu grozā vai lai izsekotu informāciju, kad informācija tiek ievietota tiešsaistes pieteikuma veidlapā.
Autentifikācijas sīkdatnes ir svarīgas arī, lai identificētu lietotājus, kad viņi piesakās banku vai citiem tiešsaistes pakalpojumiem. Sīkdatnēs glabātā informācija var ietvert personas datus, piemēram, IP adresi, lietotājvārdu, unikālo identifikatoru vai e-pasta adresi.
Ko darīt, ja apstrādātājs nevēlas parakstīt pārziņa un apstrādātāja līgumu?
Spēkā esošs līgums starp pārzini un apstrādātāju ir obligāts saskaņā ar VDAR. Par pārkāpumu var piemērot administratīvo naudas sodu līdz 10 miljoniem euro vai līdz 2 % no uzņēmuma kopējā gada apgrozījuma atkarībā no tā, kura summa ir lielāka.
Dānijas un Slovēnijas datu aizsardzības iestādes, kā arī Eiropas Komisija ir izstrādājušas līgumu paraugus.
Plašāka informācija:
Ko nozīmē personas datu apstrāde?
Personas datu apstrāde ir jebkura ar personas datiem veikta darbība. Tā ietver personas datu vākšanu, reģistrēšanu, organizēšanu, strukturēšanu, glabāšanu, pielāgošanu vai pārveidošanu, izgūšanu, aplūkošanu, izmeklēšanu, izmantošanu, izpaušanu, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošanu vai kombinēšanu, ierobežošanu, dzēšanu vai iznīcināšanu.
Vai datu aizsardzības speciālists (DAS) ir atbildīgs par VDAR ievērošanu?
DAS nevar tikt saukts pie atbildības par VDAR neievērošanu. Par Datu regulas prasību ievērošanu ir atbildīga organizācija, kas iecēlusi DAS.
Plašāka informācija:
Vai datu apstrādātājiem arī ir jāievēro VDAR?
Jā, apstrādātājiem (t. i., fiziskām personām vai organizācijām, kas apstrādā datus pārziņa vārdā) Datu regulā ir noteikti dažādi pienākumi. Tomēr pastāv dažas atšķirības starp pārziņu un apstrādātāju pienākumiem.
Apstrādātājiem ir jāpilda pienākumi, kas noteikti pārziņa un apstrādātāja līgumā, kurā sīki izklāstītas apstrādes darbības un līdzekļi personas datu apstrādei. Piemēram, apstrādātājam būs jāveic apstrādes darbības ar atbilstošiem tehniskiem un organizatoriskiem pasākumiem, kā to norādījis pārzinis. To darot, apstrādātājs palīdz pārzinim ievērot VDAR.
Plašāka informācija:
Vai es varu nosūtīt personas datus ārpus Eiropas Ekonomikas zonas (EEZ)?
Saskaņā ar VDAR ir divi galvenie veidi, kā pārsūtīt personas datus uz valsti, kas nav EEZ valsts, vai starptautisku organizāciju. Nosūtīšanu var veikt, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību vai, ja šāda lēmuma nav, pamatojoties uz atbilstošām garantijām, tostarp īstenojamām tiesībām un tiesiskās aizsardzības līdzekļiem fiziskām personām.
Plašāka informācija:
Vai man ir jābūt sertificētam, lai kļūtu par datu aizsardzības speciālistu (DAS)?
Nē, jums nav jābūt sertificētam, lai kļūtu par DAS.
Tomēr datu aizsardzības speciālistiem ir jāspēj pierādīt, ka viņiem ir nepieciešamā kvalifikācija, kas noteikta VDAR, piemēram, speciālās zināšanas par datu aizsardzības tiesību aktiem un praksi.
Plašāka informācija:
Vai man jāieceļ datu aizsardzības speciālists (DAS)?
DAS iecelšana ir obligāta šādos gadījumos:
- organizācija ir publiska iestāde;
- organizācijas pamatdarbība ir personu regulāra un sistemātiska uzraudzība plašā mērogā, piemēram, ģeolokācija, izmantojot mobilo lietotni, vai tirdzniecības centru un sabiedrisko vietu uzraudzība, izmantojot videonovērošanas sistēmas;
- organizācijas pamatdarbība ir sensitīvu datu vai personas datu, kas saistīti ar sodāmību un noziedzīgiem nodarījumiem, plaša mēroga apstrāde.
Jūs vienmēr varat iecelt DAS pēc brīvprātības principa, pat ja tas nav juridiski prasīts. Lūdzu, ņemiet vērā, ka šādā gadījumā jums ir jāievēro visi VDAR noteikumi par datu aizsardzības speciālista uzdevumiem un amatu.
Plašāka informācija: