Vispārīgi runājot, katrai organizācijai būtu jāreģistrē savas apstrādes darbības. Tas var palīdzēt jums izdarīt pareizus secinājumus par jūsu pienākumiem saskaņā ar VDAR un iespējamiem riskiem.

Katra no šīm apstrādes darbībām jāapraksta reģistrā, iekļaujot šādu informāciju:

• apstrādes mērķis (piemēram, klientu lojalitātes programma);
• apstrādāto datu kategorijas (piemēram, algu saraksts: vārds, uzvārds, dzimšanas datums, alga u. c.);
• kam ir piekļuve datiem (saņēmējiem, piemēram: par pieņemšanu darbā atbildīgā nodaļa, IT speciālists, vadība, pakalpojumu sniedzēji, partneri u.c.);
• atsevišķā gadījumā- informācija, kas saistīta ar personas datu pārsūtīšanu ārpus Eiropas Ekonomikas zonas (EEZ);
• ja iespējams, glabāšanas periods (periods, par kuru dati ir noderīgi no darbības viedokļa un no arhivēšanas viedokļa);
• ja iespējams, vispārīgs drošības pasākumu apraksts.

Par apstrādes darbību uzskaiti ir atbildīgs jūsu organizācijas vadītājs.

Šim reģistram pēc pieprasījuma jābūt pieejamam tās EEZ valsts datu aizsardzības iestādei, kurā strādājat.

Organizācijām, kas nodarbina mazāk nekā 250 personas, nav jānorāda savā reģistrā tikai gadījuma rakstura darbības (piemēram, dati, kas apstrādāti vienreizējiem pasākumiem, piemēram, veikala atvēršanai).

Plašāka informācija:

• Atbilst prasībām

Ar Vispārīgo datu aizsardzības regulu (VDAR) ir izveidots saskaņots noteikumu kopums, kas piemērojams visai personas datu apstrādei, ko veic organizācijas (publiskas vai privātas, neatkarīgi no to lieluma), kas izveidotas Eiropas Ekonomikas zonā (EEZ) vai kas vērstas uz fiziskām personām ES. VDAR galvenais mērķis ir nodrošināt, ka personas datiem visā EEZ ir vienādi augsti aizsardzības standarti, palielinot juridisko noteiktību gan fiziskām personām, gan organizācijām, kas apstrādā datus, un piedāvājot personām augstu aizsardzības līmeni.

Regula stājās spēkā 2016. gada 24. maijā, bet to piemēro no 2018. gada 25. maija.

Nē, nav nepieciešams publiskot jūsu apstrādes ierakstus. Tomēr jums ir jāspēj pēc pieprasījuma iesniegt ierakstus datu aizsardzības iestādei.    

Plašāka informācija:

• Atbilst prasībām

• Jebkurai personas datu apstrādei jābūt likumīgai, godīgai un pārredzamai.
• Vāciet personas datus tikai konkrētiem, precīzi formulētiem un likumīgiem nolūkiem. Personas datu apstrādei stingri jāaprobežojas ar sākotnēji noteikto(-ajiem) nolūku(-iem), un datus nedrīkst apstrādāt turpmākiem vai citiem mērķiem, kas nav saderīgi ar sākotnējiem nolūkiem.
• Apstrādājiet tikai tādus personas datus, kas ir nepieciešami un samērīgi, ņemot vērā paredzēto nolūku.
• Visiem jūsu apstrādātajiem personas datiem jābūt precīziem un atjauninātiem. Neprecīzi personas dati ir jālabo vai jādzēš.
• Personas datu glabāšanai jābūt ierobežotai laikā, ņemot vērā nolūku, kādam tie tika vākti un apstrādāti. Tādējādi fizisku personu personas dati ir jādzēš vai jāanonimizē, tiklīdz šie dati vairs nav nepieciešami.
• Personas datu apstrāde ir jāveic drošā veidā. Šajā ziņā ir jāievieš stingra kiberdrošības kontrole, lai nodrošinātu, ka personu dati ir pienācīgi aizsargāti.

Visbeidzot- pārzinis ir atbildīgs par iepriekš minēto principu ievērošanu un viņam jāspēj to pierādīt.

Plašāka informācija:

• Datu aizsardzības pamatprincipi

Pseidonimizācija ir personas datu pārveidošanu tā, lai tos vairs nevarētu attiecināt uz konkrētu personu, neizmantojot papildu informāciju, ar nosacījumu, ka šāda papildu informācija tiek glabāta atsevišķi un tai piemēro tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka personas dati netiek attiecināti uz personu. Praksē tas var nozīmēt personas datu (vārda, vārda, personas numura, tālruņa numura u. c.) aizstāšanu datu kopā ar netieši identificējošiem datiem (citiem vārdiem, kārtas numuriem utt.). Pseidonimizēti dati joprojām ir personas dati, un uz tiem attiecas VDAR.

Anonimizēti dati ir dati, kas padarīti anonīmi tādā veidā, ka persona nav vai vairs nav identificējama ar jebkādiem līdzekļiem, kurus pamatoti varētu izmantot. Ja anonimizācija tiek pienācīgi īstenota, VDAR vairs neattiecas uz anonimizētiem datiem.

Plašāka informācija:

• Personas datu drošība

EDAK regulāri publicē paziņojumus presei, ziņas, blogus un citu saturu EDAK tīmekļa vietnē un tās sociālo mediju kontos (X: @EU_EDPB; LinkedIn: European Data protection Board), lai regulāri informētu datu aizsardzības kopienu un sabiedrību par savu darbu.

EDAK tīmekļa vietnē ir arī divas RSS plūsmas, kuras varat abonēt, lai automātiski saņemtu EDAK ziņas un EDAK jaunākās publikācijas.

VDAR izšķir divas galvenās lomas: pārzinis un apstrādātājs. Šī atšķirība ir būtiska, jo pārzinim ir lielāka atbildība un vairāk pienākumu nekā apstrādātājam.

Pārziņi un apstrādātāji var būt fiziskas vai juridiskas personas, piemēram, MVU, valsts iestāde, uzņēmums, organizācija, apvienība u. c.

Pārzinis nosaka apstrādes darbības mērķus un līdzekļus. Citiem vārdiem sakot, pārzinis izlemj, kā un kāpēc tiek veikta apstrādes darbība. Apstrādātājs apstrādā personas datus pārziņa vārdā.  Apstrādātāju veikto apstrādi reglamentē līgums ar pārzini vai cits tiesību akts.

Pārziņu piemēri:

• uzņēmumi, kas apstrādā savu klientu personas datus, lai veiktu pārdošanu;
• finanšu iestādes, kas apstrādā savu klientu personas datus;
• asociācijas, kas apstrādā savu biedru datus;
• skolas vai universitātes, kas apstrādā skolēnu, studentu un skolotāju personas datus;
• slimnīcas, kas apstrādā savu pacientu personas datus;
• valsts aģentūras, kas apstrādā iedzīvotāju personas datus.

Apstrādātāju piemēri:

• MVU algo grāmatvedības pakalpojumu firmu, lai veiktu grāmatvedības uzskaiti. MVU ir pārzinis un grāmatvedības firma- apstrādātājs;
• algu uzskaites uzņēmums apstrādā MVU personas datus. Algas uzņēmums darbosies kā apstrādātājs, ja tas apstrādās tikai personas datus MVU vārdā. MVU nosaka datu apstrādes nolūkus un līdzekļus, un tāpēc tas ir pārzinis.
• MVU uzdod mārketinga uzņēmumam vākt e-pasta adreses, izmantojot trešo personu tīmekļa vietnes.  Mārketinga uzņēmums to dara saskaņā ar MVU skaidriem norādījumiem un vienīgi MVU mērķiem. Mārketinga uzņēmums darbojas kā apstrādātājs.

Plašāka informācija:

• Pārzinis vai apstrādātājs

Daži personas datu veidi pieder pie īpašām personas datu kategorijām, kas nozīmē, ka tiem ir nepieciešama lielāka aizsardzība. Tos sauc par sensitīviem datiem. Tie ietver datus, kas atklāj informāciju par:

• veselību;
• seksuālo orientāciju;
• personas rases vai etnisko piederību;
• personas politiskajiem uzskatiem, reliģisko vai filozofisko pārliecību; personas dalību arodbiedrībās;
• personas biometriskajiem un ģenētiskajiem dati.

Sensitīvo datu apstrāde parasti ir aizliegta, izņemot atsevišķus gadījumus.

Plašāka informācija:

• Datu aizsardzības pamati

Jā, jūs varat, bet VDAR uzliek konkrētus pienākumus uzņēmumiem, kas dalās ar personas datiem. Jūsu organizācijai ir jāinformē personas, ka nodosiet datus trešajai personai. Jums ir jāinformē arī par jūsu mērķiem, drošību, piekļuvi un saglabāšanas pasākumiem, kas tiks piemēroti.

Atbilstību VDAR prasībām uzrauga valstu datu aizsardzības iestādes (DAI). Datu aizsardzības iestādes vajadzības gadījumā var veikt izmeklēšanu un piemērot sodus. Datu aizsardzības iestāžu rīcībā ir vairāki instrumenti, tostarp administratīvie naudas sodi līdz 20 miljoniem euro vai 4 % no globālā gada apgrozījuma (atkarībā no tā, kurš no tiem ir lielāks), aizrādījumi un pagaidu vai pastāvīgs personas datu apstrādes aizliegums. Visu EEZ DAI kontaktinformāciju varat atrast EDAK tīmekļa vietnē: Locekļi

Plašāka informācija:

• Datu aizsardzības iestāde un jūs