Datu aizsardzība saskaņā ar Vispārīgo datu aizsardzības regulu

VDAR nosaka sīki izstrādātas prasības uzņēmumiem un organizācijām par to, kā vākt, glabāt un pārvaldīt personas datus; šīs prasības attiecas gan uz ES reģistrētām organizācijām, kuras ES apstrādā fizisko personu personas datus, gan uz ārpussavienības valstu organizācijām, kuru darbība ir vērsta uz ES dzīvojošām personām.

Kad ir piemērojama Vispārīgā datu aizsardzības regula (VDAR)?

VDAR attiecas uz jūsu uzņēmumu:

  • ja tas apstrādā personas datus un bāzējas ES neatkarīgi no tā, kur faktiski notiek datu apstrāde;
  • ja tas ir reģistrēts ārpus ES, taču tas apstrādā personas datus saistībā ar preču vai pakalpojumu piegādi fiziskām personām ES vai novēro šo personu uzvedību.

Uzņēmumiem, kas ir reģistrēti ārpus ES un apstrādā ES iedzīvotāju datus, ir jāizrauga pārstāvis ES.

Kad Vispārīgo datu aizsardzības regulu (VDAR) nepiemēro?

VDAR nepiemēro, ja:

  • attiecīgā persona ir mirusi;
  • attiecīgā persona ir juridiska persona;
  • apstrādi veic persona, kura rīkojas nolūkiem, kas neietilpst tās komerciālās vai profesionālās darbības ietvaros.

Kas ir personas dati?

Personas dati ir jebkura informācija par identificētu vai identificējamu fizisku personu (" datu subjekts"). Personas dati ietver, piemēram, šādu informāciju:

  • vārds un uzvārds,
  • adrese,
  • personas apliecības vai pases numurs,
  • ieņēmumi,
  • kultūras profils,
  • IP adrese (interneta protokols),
  • dati, ko saglabājusi slimnīca vai ārsti, kas viennozīmīgi identificē konkrētu personu medicīniskiem nolūkiem.

Īpašas datu kategorijas

Nedrīkstat apstrādāt personas datus, kas attiecas uz:

  • kādas personas rasi vai etnisko izcelsmi,
  • tās seksuālo orientāciju,
  • tās politiskajiem uzskatiem,
  • tās reliģisko vai filozofisko pārliecību,
  • tās dalību arodbiedrībās,
  • ģenētiskiem, biometriskiem vai ar veselību saistītiem datiem, izņemot īpašus gadījumus (piemēram, ja ir sniegta nepārprotama piekrišana vai ja apstrāde ir vajadzīga tādu apsvērumu dēļ, kas ir saistīti ar svarīgām sabiedrības interesēm, pamatojoties uz ES vai valstu tiesību aktiem),
  • sodāmību un noziedzīgiem nodarījumiem, ja vien tas nav atļauts saskaņā ar ES vai valsts tiesību aktiem.

Kurš apstrādā personas datus?

Personas datu apstrādē var tikt iesaistīti dažādi uzņēmumi vai organizācijas. Šī cikla ietvaros ir divi galvenie profili, kas nodarbojas ar personas datu apstrādi:

  • datu pārzinis jeb administrators – pieņem lēmumus par personas datu apstrādes mērķiem un veidu;
  • datu apstrādātājs – saglabā un apstrādā datus datu pārziņa jeb administratora vārdā.

Kurš novēro, kā tiek apstrādāti personas dati konkrēta uzņēmuma ietvaros?

Uzņēmuma izraudzīts datu aizsardzības speciālists novēro personas datu apstrādi un personas datus apstrādājošajiem darbiniekiem sniedz ar viņu pienākumiem saistītu informāciju un padomus. Datu aizsardzības speciālists sadarbojas ar attiecīgo datu aizsardzības iestādi un nodrošina saikni starp datu aizsardzības iestādi un fiziskajām personām.

Kad jums ir jāieceļ datu aizsardzības speciālists?

Jūsu uzņēmumam ir pienākums iecelt datu aizsardzības speciālistu, ja:

  • pastāvīgi un sistemātiski novērojat fizisko personu uzvedību vai apstrādājat īpašo kategoriju datus;
  • šī datu apstrāde ir galvenā saimnieciskā darbība;
  • datus apstrādājat plašā mērogā.

Piemēram, ja uzņēmums apstrādā personas datus mērķvirzītas reklāmas nolūkā caur meklētājprogrammu, kuras pamatā ir cilvēku uzvedība tiešsaistē, tam ir jāieceļ datu aizsardzības speciālists. Tomēr, ja nosūtāt reklāmas materiālus saviem klientiem tikai reizi gadā, jūsu uzņēmumam nav vajadzīgs datu aizsardzības speciālists. Tāpat, ja esat ārsts un vācat datus par pacientu veselību, datu aizsardzības speciālists, iespējams, nav vajadzīgs. Bet, ja apstrādājat ar ģenētiku un veselību saistītus personas datus kādas slimnīcas uzdevumā, jums ir vajadzīgs datu aizsardzības speciālists.

Datu aizsardzības speciālists var būt jūsu organizācijas darbinieks vai pieņemts darbā, pamatojoties uz līgumu par pakalpojumu sniegšanu. Datu aizsardzības speciālists var būt fiziska persona vai struktūra konkrētas organizācijas ietvaros.

Datu apstrāde citam uzņēmumam

Personas datu pārzinis var izmantot tikai datu apstrādātāju, kas sniedz pietiekamas garantijas, kuras obligāti ir jāiekļauj rakstiskā līgumā starp iesaistītajām pusēm. Līgumā ir jābūt vairākām obligātām klauzulām, piemēram, klauzulai par to, ka datu apstrādātājs apstrādās personas datus tikai pēc datu pārziņa norādes.

Datu pārsūtīšana uz valstīm ārpus ES

Kad personas dati tiek pārsūtīti ārpus ES, ir jāturpina šo datu aizsardzība saskaņā ar VDAR prasībām. Lai datus varētu eksportēt uz ārzemēm, uzņēmumam ir jānodrošina, ka tiek izpildīts viens no šiem nosacījumiem:

  • ES uzskata ārpussavienības valsts aizsardzības pasākumus par atbilstīgiem;
  • jūsu uzņēmums veic visus vajadzīgos pasākumus, lai nodrošinātu piemērotu aizsardzību, piemēram, līgumā, ko noslēdz ar personas datu importētāju, kurš ir no ārpussavienības valsts, tiek iekļautas īpašas klauzulas;
  • jūsu uzņēmums rēķinās ar konkrētiem pamatojumiem (izņēmumiem), piemēram, attiecīgās personas piekrišana.

Kad datu apstrāde ir atļauta?

Saskaņā ar ES datu aizsardzības noteikumiem datus apstrādā godīgi un likumīgi, konkrētam un likumīgam mērķim un apstrādā vienīgi datus, kas vajadzīgi attiecīgajam mērķim. Lai apstrādātu personas datus, ir jāgarantē, ka ir izpildīts viens no šādiem nosacījumiem :

  • esat saņēmuši attiecīgās fiziskās personas piekrišanu;
  • jums ir vajadzīgi personas dati, lai izpildītu pienākumu, ko paredz kāds līgums ar attiecīgo personu;
  • jums ir vajadzīgi personas dati, lai izpildītu likumisku pienākumu;
  • jums ir vajadzīgi personas dati, lai aizsargātu personas dzīvībai svarīgas intereses;
  • jūs apstrādājat personas datus, lai izpildītu kādu uzdevumu, kas ir sabiedrības interesēs;
  • jūs rīkojaties sava uzņēmuma likumīgajās interesēs ar nosacījumu, ka būtiski netiek ietekmētas tās personas pamattiesības un brīvības, kuras dati tiek apstrādāti. Ja personas tiesības ir svarīgākas par jūsu uzņēmuma interesēm, tad personas datus nevar apstrādāt.

Piekrišana datu apstrādei — atļauja

VDAR paredz stingrus noteikumus attiecībā uz datu apstrādi, kuras pamatā ir piekrišana. Šo noteikumu mērķis ir garantēt, ka fiziskā persona saprot, kam tā piekrīt. Tas nozīmē, ka ir jāgādā, lai piekrišana tiktu sniegta brīvi, konkrēti, apzināti un viennozīmīgi, atbildot uz prasību, kas izvirzīta skaidrā un vienkāršā valodā. Piekrišana ir jādod ar apstiprinošu darbību, piemēram, atzīmējot rūtiņu tiešsaistē vai parakstot veidlapu.

Kad konkrēta persona piekrīt tam, ka tās personas dati tiks apstrādāti, varat tos apstrādāt vienīgi tiem mērķiem, kam tika sniegta piekrišana. Šīm personām ir jābūt iespējai jebkurā laikā atsaukt savu piekrišanu.

Caurskatāmas informācijas sniegšana

Uzņēmumiem ir skaidri jāinformē attiecīgās personas par to, kurš apstrādā personas datus un kāpēc. Šai informācijai ir jāietver vismaz šādi aspekti:

  • kas jūs esat,
  • kāpēc jūs apstrādājat personas datus,
  • kāds ir juridiskais pamats,
  • kas saņem datus (attiecīgā gadījumā).

Atsevišķos gadījumos ir jāsniedz arī šāda informācija:

  • attiecīgā gadījumā – datu aizsardzības speciālista kontaktinformācija,
  • kas ir uzņēmuma likumīgās intereses, ja tās tiek norādītas kā datu apstrādes juridiskais pamatojums,
  • pasākumi, kas izmantoti datu pārsūtīšanai uz valsti ārpus ES,
  • cik ilgi dati tiks glabāti,
  • fiziskās personas tiesības uz datu aizsardzību (piemēram, tiesības uz piekļuvi, labošanu, dzēšanu un ierobežošanu, iebilšanu un pārvietošanu u. c.),
  • kā piekrišanu var atsaukt (ja piekrišana ir datu apstrādes juridiskais pamats),
  • vai pastāv kāds likumisks vai līgumisks pienākums sniegt datus,
  • automatizēta lēmuma gadījumā: informācija par lēmuma loģiku, nozīmi un sekām.

Šī informācija ir jāformulē skaidrā un vienkāršā valodā.

Īpaši noteikumi attiecībā uz bērniem

Ja, pamatojoties uz piekrišanu, vācat bērnu personas datus, piem., saistībā ar kādu profilu sociālajos tīklos vai satura lejupielādes lietotni, vispirms ir jāsaņem vecāka piekrišana, piem., nosūtot ziņojumu vecākam vai aizbildnim. Vecums, līdz kuram konkrēta persona ir uzskatāma par bērnu, atšķiras atkarībā no tā, kur viņi dzīvo, bet parasti tas ir 13 līdz 16 gadi.

Piekļuves tiesības un tiesības uz datu pārnesamību

Jums ir jāgarantē, ka fiziskām personām ir tiesības par velti piekļūt saviem personas datiem. Ja saņemat šādu pieprasījumu, jums ir:

  • jāinformē persona par to, vai apstrādājat tās personas datus,
  • jāsniedz informācija par apstrādi (datu apstrādes mērķis, attiecīgo personas datu kategorijas, datu saņēmēji utt.),
  • jādara pieejama apstrādāto personas datu kopija (pieejamā formātā).

Ja apstrāde pamatojas uz piekrišanu vai līgumu, attiecīgā persona var arī lūgt, lai atdodat tās personas datus vai nododat tos citai sabiedrībai. To sauc par "tiesībām uz datu pārnesamību". Dati ir jāsniedz plaši izmantotā un mašīnlasāmā formātā.

Tiesības uz labošanu un uz iebilšanu

Ja konkrēta persona uzskata, ka tās personas dati ir kļūdaini, nepilnīgi vai neprecīzi, tai ir tiesības prasīt, lai tie bez nepamatotas kavēšanās tiktu izlaboti vai papildināti.

Tādos gadījumos ir jāinformē visi datu saņēmēji par to, ka daži no personas datiem, kurus esat tiem sniedzis, ir mainīti vai dzēsti. Ja personas dati, kurus iesniedzāt, bija nepareizi, jums, iespējams, ir jāinformē ikviens, kurš tos ir redzējis (ja vien netiek uzskatīts, ka tas prasītu nesamērīgas pūles).

Konkrēta fiziskā persona var jebkurā laikā arī iebilst pret savu personas datu apstrādi konkrētam nolūkam, kad jūsu uzņēmums apstrādā datus, pamatojoties uz savām likumiskajām interesēm vai pildot sabiedrības interešu uzdevumu. Ja vien jums nav likumiskas intereses, kas ir svarīgākas par fiziskās personas interesēm, jums ir jāpārtrauc personas datu apstrāde.

Tāpat fiziska persona var prasīt, lai tās personas datu apstrādi ierobežo, kamēr tiek noteikts, vai jūsu likumiskās intereses ir svarīgākas par konkrētās personas interesēm. Tiešas tirdzniecības gadījumā jums vienmēr ir pienākums apturēt personas datu apstrādi, ja persona to no jums prasa.

Tiesības uz dzēšanu (tiesības "tikt aizmirstam")

Noteiktos gadījumos konkrēta persona var prasīt no datu pārziņa, lai tās personas dati tiktu dzēsti, piemēram, ja dati vairs nav nepieciešami attiecīgajam apstrādes nolūkam. Tomēr jūsu uzņēmumam nav pienākuma to darīt, ja:

  • apstrāde ir nepieciešama, lai tiktu ievērota vārda un informācijas brīvība,
  • jums ir jāglabā personas dati, lai izpildītu juridisku pienākumu,
  • ir citi ar sabiedrības interesēm saistīti apsvērumi, lai glabātu personas datus, piemēram, apsvērumi, kas saistīti ar sabiedrības veselību vai zinātniskiem un vēstures pētījumiem,
  • jums jāsaglabā personas dati, lai izvirzītu juridisku prasību.

Automatizēta lēmumu pieņemšana un profilēšana

Fiziskām personām ir tiesības nebūt par tādu lēmumu objektu, kuru pamatā ir vienīgi automatizēta apstrāde. Tomēr šim likumam ir daži izņēmumi, piem., kad fiziskā persona ir nepārprotami piekritusi automatizētai lēmuma pieņemšanai. Izņemot gadījumus, kad automatizēta lēmuma pieņemšanas pamatā ir likums, jūsu uzņēmumam ir:

  • jāinformē attiecīgā persona par automatizētu lēmuma pieņemšanu,
  • jādod fiziskajai personai tiesības uz automatizēta lēmuma pārskatīšanu, ko veic cilvēks,
  • jādod fiziskai personai iespēja apstrīdēt automatizēto lēmumu.

Piemēram, ja konkrēta banka pieņem automatizētu lēmumu par kredīta piešķiršanu konkrētai personai, šī persona ir jāinformē par automatizētu lēmuma pieņemšanu un jādod tai iespēja apstrīdēt šo lēmumu un pieprasīt cilvēka iejaukšanos.

Datu aizsardzības pārkāpumi — attiecīgas ziņošanas nodrošināšana

Datu drošības pārkāpums ir jūsu pārziņā esošu personas datu atklāšana — nejauši vai nelikumīgi — nepilnvarotām personām, datu pieejamības ierobežošana uz laiku vai datu grozīšana.

Ja rodas datu drošības pārkāpums un tas apdraud personas tiesības un brīvības, jums ir jāinformē datu aizsardzības iestāde 72 stundās pēc attiecīgā pārkāpuma konstatēšanas.

Atkarībā no tā, vai datu drošības pārkāpums rada augstu risku skartajām personām, jūsu uzņēmumam, iespējams, ir jāinformē visas skartās personas.

Atbildēšana uz pieprasījumiem

Ja jūsu uzņēmums saņem pieprasījumu no personas, kura vēlas izmantot savas tiesības, jums jāatbild uz šo pieprasījumu nekavējoties un jebkurā gadījumā 1 mēneša laikā pēc prasības saņemšanas. Šo reakcijas laiku var pagarināt par 2 mēnešiem attiecībā uz sarežģītiem vai vairākiem pieprasījumiem, ja vien attiecīgo personu informē par pagarinājumu. Pieprasījumi ir jāizskata par velti.

Ja pieprasījums tiek noraidīts, jums ir jāinformē persona par attiecīgajiem iemesliem un par tās tiesībām iesniegt sūdzību datu aizsardzības iestādei.

Ietekmes novērtējums

Datu aizsardzības ietekmes novērtējuma veikšana ir obligāta vienmēr, kad paredzētā datu apstrāde rada lielu risku fizisko personu tiesībām un brīvībām, piem., kad tiek izmantotas jaunas tehnoloģijas.

Pastāv liels risks, ja:

  • tiek izmantoti automātiskas datu apstrādes un profilēšanas mehānismi personu novērtēšanai,
  • tiek izmantota publiski pieejamas zonas plaša mēroga novērošana (piem., videonovērošanas sistēma),
  • plašā mērogā tiek apstrādāti īpašu kategoriju dati vai personas dati, kas saistīti ar sodāmību un noziedzīgiem nodarījumiem (piemēram, veselības dati).

Ievērībai: datu aizsardzības iestādes var uzskatīt arī citu kategoriju datu apstrādi par tādu, kas rada augstu risku.

Ja datu aizsardzības ietekmes novērtējumā (DAIN) norādītie pasākumi nespēj novērst visus apzinātos augstos riskus, pirms īstenot paredzēto datu apstrādi, ir jākonsultējas ar datu aizsardzības iestādi.

Datu saglabāšana

Jums jāspēj pierādīt, ka jūsu uzņēmums darbojas saskaņā ar VDAR un pilda visas spēkā esošās prasības — īpaši pēc pieprasījuma vai pārbaudes no Datu aizsardzības iestādes puses.

Viens veids, kā to izdarīt, ir saglabāt šāda veida detalizētu informāciju:

  • tāda uzņēmuma nosaukums un kontaktinformācija, kuru esat iesaistījis datu apstrādē,
  • personas datu apstrādes pamatojumi,
  • personas datus sniedzošo personu kategoriju apraksts,
  • personas datus saņemošo organizāciju kategorijas,
  • personas datu pārsūtīšana uz citu valsti vai organizāciju,
  • personas datu glabāšanas periods,
  • personas datu apstrādē izmantoto drošības pasākumu apraksts.

Jūsu uzņēmuma rīcībā arī jābūt rakstiskām procedūrām un pamatnostādnēm, kuras pastāvīgi un regulāri atjaunina un popularizē jūsu darbinieku vidū.

Uzmanību

Ja jūsu uzņēmums ir MVU en vai mazāks, nav vajadzības saglabāt datus par datu apstrādes darbībām, ja vien:

  • tās netiek veiktas regulāri,
  • tās neietekmē iesaistīto personu tiesības vai brīvības,
  • tās nav saistītas ar jutīgiem datiem vai sodāmības reģistru.

Datu aizsardzība izstrādes posmā un pēc noklusējuma

Datu aizsardzība izstrādes posmā nozīmē, ka uzņēmums datu aizsardzību ņem vērā pašā sākumā, kad tiek plānotas jaunas personas datu apstrādes metodes. Saskaņā ar šo principu datu pārzinis veic visus vajadzīgos tehniskos un organizatoriskos pasākumus, lai īstenotu datu aizsardzības principus un aizsargātu personu tiesības. Šie pasākumi var ietvert, piemēram, datu pseidonimizāciju.

Datu aizsardzība pēc noklusējuma nozīmē, ka jūsu uzņēmums vienmēr izvēlas datu aizsardzībai visdraudzīgākos pasākumus. Piemēram, ja ir iespējami divi privātuma iestatījumi un viens no šiem iestatījumiem liedz personas datu pieejamību citiem, tas būtu jāizmanto kā standarta iestatījums.

Noteikumu pārkāpums un sankcijas

Vispārīgās datu aizsardzības regulas neievērošanas gadījumā var tikt noteikti ievērojami naudas sodi, kas atsevišķu pārkāpumu gadījumā var sasniegt 20 miljonus eiro un 4 % no jūsu uzņēmuma kopējā apgrozījuma. Datu aizsardzības iestāde var piemērot papildu korektīvus pasākumus, tādus kā rīkojums apturēt personas datu apstrādi.

Bieži uzdoti jautājumi — Datu aizsardzība un privātuma aizsardzība tiešsaistē Atidaryti kaip išorės nuorodą

ES tiesību akti

Jums vajadzīgs atbalsts no palīdzības dienesta?

Sazinieties ar specializētiem palīdzības dienestiem

Rodiet padomu par ES noteikumiem, kas attiecas uz jūsu uzņēmumu / Atrisiniet problēmas ar valsts iestādi

Vai jums ir jautājumi par uzņēmuma pārrobežu darbību, piemēram, eksportu uz citu ES valsti vai darbības paplašināšanu tajā? Ja ir, varat saņemt bezmaksas padomu no Enterprise Europe Network.

Jūs varat arī izmantot palīdzības dienestu meklētāju, lai atrastu jums vajadzīgo palīdzību.

Pēdējā pārbaude: 06/07/2022
Kopīgot šo lapu