DAS iecelšana ir obligāta šādos gadījumos:

• organizācija ir publiska iestāde;
• organizācijas pamatdarbība ir personu regulāra un sistemātiska uzraudzība plašā mērogā, piemēram, ģeolokācija, izmantojot mobilo lietotni, vai tirdzniecības centru un sabiedrisko vietu uzraudzība, izmantojot videonovērošanas sistēmas;
• organizācijas pamatdarbība ir sensitīvu datu vai personas datu, kas saistīti ar sodāmību un noziedzīgiem nodarījumiem, plaša mēroga apstrāde.

Jūs vienmēr varat iecelt DAS pēc brīvprātības principa, pat ja tas nav juridiski prasīts. Lūdzu, ņemiet vērā, ka šādā gadījumā jums ir jāievēro visi VDAR noteikumi par datu aizsardzības speciālista uzdevumiem un amatu.

Plašāka informācija:

• Datu aizsardzības speciālists

Katrai organizācijai, kas veic uzņēmējdarbību Eiropas Ekonomikas zonā (EEZ) vai piedāvā produktus vai pakalpojumus fiziskām personām EEZ, neatkarīgi no to lieluma vai nozares, apstrādājot personas datus ar automatizētiem līdzekļiem vai bez tiem, ir jāievēro VDAR. Lai gan VDAR galvenokārt attiecas uz automatizētu personas datu apstrādi, arī manuāli veiktās apstrādes darbības būs pakļautas GDPR prasībām, ja vien papīra dokumenti tiek organizēti sistemātiskā veidā, piemēram, alfabēta secībā kartotēkā. Apstrādes darbību piemēri ietver personas datu vākšanu, reģistrēšanu, organizēšanu, izmantošanu, labošanu, glabāšanu, izpaušanu, pārnešanu un dzēšanu.

Neskatoties uz to, GDPR piemērošana tiek pielāgota atkarībā no apstrādes darbību veida, konteksta, mērķiem un riskiem. Mazajiem un vidējiem uzņēmumiem, kuru pamatdarbība nav personas datu apstrāde,  prasības var nebūt tik striktas kā lieliem uzņēmumiem.

Plašāka informācija:

• Datu aizsardzības pamati

Jā, VDAR ir piemērojama, ja personas dati ir ietverti vai ir paredzēti iekļaušanai kartotēkā. Tas nozīmē, ka VDAR attiecas arī uz papīra formāta dokumentiem, nevis tikai uz personas datu automatizētu apstrādi.

Plašāka informācija:

• Datu aizsardzības pamati

Jūs nevarat personas datus glabāt mūžīgi.

Parasti personas datus var glabāt tikai tik ilgi, cik nepieciešams tā mērķa sasniegšanai, kādā personas dati tiek apstrādāti.

Dažos gadījumos uzglabāšanas laiku var noteikt normatīvajos aktos, piemēram, darba iekšējos noteikumos ir noteikts glabāšanas termiņš algu sarakstiem.

Organizācijām būtu jāievieš datu glabāšanas politika, lai nodrošinātu, ka personas dati netiek glabāti ilgāk, nekā tas ir nepieciešams. Personas dati ir jādzēš vai jāanonimizē, tiklīdz šie dati vairs nav nepieciešami mērķim, kuram tie tika apstrādāti.

Plašāka informācija:

• Datu aizsardzības pamati

Fiziskām personām ir tiesības pieprasīt savu personas datu dzēšanu, un pārzinim ir pienākums šos datus dzēst. Jums būtu jāatbild bez nepamatotas kavēšanās un ne vēlāk kā viena mēneša laikā pēc pieprasījuma saņemšanas. Šo termiņu var pagarināt vēl par diviem mēnešiem, ja pieprasījums ir pārāk sarežģīts un ir vajadzīgs vairāk laika, lai to izpildītu, ar noteikumu, ka persona par to tiek informēta viena mēneša laikā pēc pieprasījuma saņemšanas.

Ir svarīgi atzīmēt, ka tiesības uz dzēšanu nav absolūtas. Tās nav piemērojamas, ja attiecīgie dati ir nepieciešami:

• lai izmantotu tiesības uz vārda un informācijas brīvību (piemēram, žurnālistikas nolūkos);
• juridiskam pienākumam, kas paredz personas datu apstrādi (piemēram, darbinieku darba laika ierakstu apstrāde);
• sabiedrības interesēs veselības jomā;
• arhivēšanas nolūkos sabiedrības interesēs vai zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos; un
• juridisku prasību īstenošanai vai aizstāvībai.

Ja dzēšamie personas dati iepriekš ir nosūtīti citām organizācijām, jums ir jāinformē šie saņēmēji par to, ka persona ir pieprasījusi dzēšanu, ja vien tas ir iespējams un neprasa nesamērīgas pūles.

Plašāka informācija:

• Ievērojiet personu tiesības

VDAR paredz īpašas tiesības personām, kuras ir jāievēro. To var izdarīt:

• informējot personas, kuru datus jūs apstrādājat, par savām apstrādes darbībām un apstrādes nolūkiem, kad ievācat viņu datus, piemēram, izvietojot privātuma paziņojumu jūsu tīmekļa vietnē;
• atbildot uz personu pieprasījumiem, kad viņi vēlas izmantot savas tiesības, piemēram, piekļūt datiem, tos labot, dzēst vai pārnest.

Organizācijas, kas ir pārredzamas attiecībā uz personas datu izmantošanu un ievēro personu tiesības, retāk kļūst par sūdzību objektiem.

Plašāka informācija:

• Ievērojiet personu tiesības

Nepieciešamie drošības pasākumi var atšķirties atkarībā no jūsu apstrādāto personas datu veida un ar to saistītajiem riskiem personām. Jebkurā gadījumā ir daži minimālie pasākumi, kas jums būtu jāievieš:

• droša piekļuve telpām;
• izmantot regulāri atjauninātu pretvīrusu programmatūru;
• rūpīgi izvēlieties savas paroles;
• nodrošiniet, lai lietotāji autentificētos pirms datoriekārtu izmantošanas;
• jābūt ieviestai datu dublēšanas un atjaunošanas politikai incidenta gadījumā.

Turklāt daži pamata pasākumi, piemēram, ekrāna bloķēšana, kamēr esat prom, un biroja aizslēgšana dienas beigās nav zaudējuši savu nozīmi...

Plašāka informācija:

• Personas datu drošība

1. Pārliecinieties, ka saņemtie dati ir iegūti likumīgi un ka datu subjekti ir informēti par viņu personas datu apstrādi.
2. Ja trešā persona apstrādā personas datus jūsu vārdā, pārliecinieties, ka jums ir pārziņa un apstrādātāja līgums, kurā norādītas apstrādes darbības un līdzekļi personas datu apstrādei.

Un, protams, ievērojiet visus pārziņu pienākumus.

Plašāka informācija:

• Pārzinis vai apstrādātājs

Ja jūsu organizācija personas datus vāc tieši no privātpersonām, tai ir jāsniedz vajadzīgā informācija vākšanas laikā.

Netiešas personas datu vākšanas gadījumā jūsu organizācijai informācija jāsniedz ne vēlāk kā viena mēneša laikā pēc personas datu sākotnējās iegūšanas. Šo maksimālo viena mēneša periodu var saīsināt:

• ja personas dati tiek izmantoti saziņai ar datu subjektu. Šādā gadījumā jums jāinformē datu subjekts ne vēlāk kā brīdī, kad notiek pirmā saziņa ar datu subjektu;
• ja dati tiek nosūtīti citam saņēmējam, organizācija par to informē datu subjektus vēlākais tad, kad personas dati tiek nosūtīti.

Plašāka informācija:

• Ievērojiet personu tiesības

Vispārīgā datu aizsardzības regula (VDAR) uzliek pienākumus visām organizācijām, kas apstrādā personas datus, neatkarīgi no tā, vai tās ir pārziņi vai apstrādātāji.

Svarīgākais, ko vajadzētu ņemt vērā:

• Pajautājiet sev, vai nolūks, kuram personas datus var vākt, ir pamatots, un vāciet tikai tos personas datus, kas ir nepieciešami konkrētajam(-iem) paredzētajam(-iem) mērķim(-iem);
• Atjauniniet fizisko personu personas datus un dzēsiet tos, kad tie vairs nav nepieciešami;
• Ievērojiet personu tiesības, informējot par to, kā un kāpēc tiek apstrādāti viņu dati, un ļaujiet cilvēkiem izmantot savas tiesības;
• Pārbaudiet, vai jums ir atbilstošs tiesiskais pamats personas datu apstrādei. Ja jūs plānojat apstrādi pamatot ar fizisku personu piekrišanu, pirms apstrādes to viņiem palūdziet;
• Nodrošiniet, ka personas dati tiek apstrādāti drošā veidā;
• Veiciet apstrādes darbību uzskaiti.

Datu apstrādātājiem ir jāpilda pienākumi, kas noteikti pārziņa un apstrādātāja līgumā, un tie nedrīkst apstrādāt datus citādi, kā vien saskaņā ar pārziņa norādījumiem.

Plašāka informācija:

• Atbilst prasībām
• Pārzinis vai apstrādātājs
• Datu aizsardzības pamati