Frequently Asked Questions

VDAR izšķir divas galvenās lomas: pārzinis un apstrādātājs. Šī atšķirība ir būtiska, jo pārzinim ir lielāka atbildība un vairāk pienākumu nekā apstrādātājam.

Pārziņi un apstrādātāji var būt fiziskas vai juridiskas personas, piemēram, MVU, valsts iestāde, uzņēmums, organizācija, apvienība u. c.

Pārzinis nosaka apstrādes darbības mērķus un līdzekļus. Citiem vārdiem sakot, pārzinis izlemj, kā un kāpēc tiek veikta apstrādes darbība. Apstrādātājs apstrādā personas datus pārziņa vārdā.  Apstrādātāju veikto apstrādi reglamentē līgums ar pārzini vai cits tiesību akts.

Pārziņu piemēri:

• uzņēmumi, kas apstrādā savu klientu personas datus, lai veiktu pārdošanu;
• finanšu iestādes, kas apstrādā savu klientu personas datus;
• asociācijas, kas apstrādā savu biedru datus;
• skolas vai universitātes, kas apstrādā skolēnu, studentu un skolotāju personas datus;
• slimnīcas, kas apstrādā savu pacientu personas datus;
• valsts aģentūras, kas apstrādā iedzīvotāju personas datus.

Apstrādātāju piemēri:

• MVU algo grāmatvedības pakalpojumu firmu, lai veiktu grāmatvedības uzskaiti. MVU ir pārzinis un grāmatvedības firma- apstrādātājs;
• algu uzskaites uzņēmums apstrādā MVU personas datus. Algas uzņēmums darbosies kā apstrādātājs, ja tas apstrādās tikai personas datus MVU vārdā. MVU nosaka datu apstrādes nolūkus un līdzekļus, un tāpēc tas ir pārzinis.
• MVU uzdod mārketinga uzņēmumam vākt e-pasta adreses, izmantojot trešo personu tīmekļa vietnes.  Mārketinga uzņēmums to dara saskaņā ar MVU skaidriem norādījumiem un vienīgi MVU mērķiem. Mārketinga uzņēmums darbojas kā apstrādātājs.

Plašāka informācija:

• Pārzinis vai apstrādātājs

Daži personas datu veidi pieder pie īpašām personas datu kategorijām, kas nozīmē, ka tiem ir nepieciešama lielāka aizsardzība. Tos sauc par sensitīviem datiem. Tie ietver datus, kas atklāj informāciju par:

• veselību;
• seksuālo orientāciju;
• personas rases vai etnisko piederību;
• personas politiskajiem uzskatiem, reliģisko vai filozofisko pārliecību; personas dalību arodbiedrībās;
• personas biometriskajiem un ģenētiskajiem dati.

Sensitīvo datu apstrāde parasti ir aizliegta, izņemot atsevišķus gadījumus.

Plašāka informācija:

• Datu aizsardzības pamati

DAS var būt jūsu esošais darbinieks ar pietiekamām zināšanām par VDAR (ja darbinieka profesionālie pienākumi ir saderīgi ar DAS profesionālajiem uzdevumiem un tas nerada interešu konfliktus) vai pieņemts darbā, pamatojoties uz līgumu par pakalpojuma sniegšanu (ārējs DAS). DAS ir jāspēj veikt uzdevumus patstāvīgi, un viņam ir jāspēj tieši atskaitīties augstākajai vadībai.

Plašāka informācija:

• Datu aizsardzības speciālists

The archived documents adopted by the Article 29 Working Party (1997-2016) are available on the website of the European Commission here: WP29 archive.

Should you experience any difficulty accessing WP29 documents, we recommend contacting the European Commission's DG Justice. The European Commission provided the Secretariat for the Article 29 Working Party and was responsible for all its publications. 

You can contact them by filling out the following form

Every organisation, regardless of the their size or sector, established in the European Economic Area (EEA) or offering products or services to individuals in the EEA, processing personal data whether or not by automated means needs to comply with the GDPR. The GDPR applies to the automated processing of personal data and to processing operations carried out manually from the moment the paper files are organised in a systematic manner, e.g. ordered alphabetically in a filing cabinet.

Examples of processing operations include collecting, recording, organising, using, modifying, storing, disclosing, altering and erasing individuals’ personal data.

Nevertheless, the application of the GDPR is modulated according to the nature, context, purposes and risks of the processing operations carried out. For SMEs whose core business is not the processing of personal data, the obligations can be less strict than for a large company.

Once a public consultation is closed, all contributions to the public consultation are reviewed and, where necessary, the guidelines may be adapted. Once this process has been completed, the guidelines will be up for final adoption at a subsequent EDPB plenary.

Personas dati ir jebkura informācija, kas attiecas uz identificētu vai identificējamu personu. Identificējama persona ir jebkura persona, kuru var tieši vai netieši identificēt. Personas dati var būt arī dažādi informācijas elementi, kas apkopoti kopā, lai identificētu konkrētu personu.

Personas datu piemēri:

• vārds un uzvārds;
• mājas adrese;
• e-pasta adrese;
• personas apliecības numurs;
• atrašanās vietas dati;
• IP adrese;
• sīkdatnes ID;
• bankas konti;
• nodokļu pārskati;
• biometriskie dati (piemēram, pirkstu nospiedumi);
• sociālā nodrošinājuma numurs;
• pases numurs;
• testa rezultāti;
• atzīmes skolā;
• pārlūkošanas vēsture;
• personas fotoattēls;
• transportlīdzekļa reģistrācijas numurs u. c.

Plašāka informācija:

• Datu aizsardzības pamati

All comments submitted are screened and reviewed manually before being displayed on our website. There should have been a visual confirmation after submitting your comments on our website.

In any case, please allow for some time before your comments are published.

The GDPR puts in place clear procedures in case of a data breach. If a data breach poses a risk, companies and organisations holding your data have to inform the relevant data protection authority within 72 hours or without undue further delay. If the leak poses a high risk to you, then you must also be informed personally.

For more information on data breaches, please consult the EDPB Data Protection Guide for small business.

We are constantly working on the translation of our documents into the official EU languages.
All static content, as well as press releases and documents officially adopted by the Board, such as Guidelines, will be made available in these languages.

This process takes time and various steps need to be completed in order to provide translations of the best quality.

Please note that documents undergoing public consultation are usually not translated. It is only after the public consultation has been concluded and a final version of the document has been adopted by the Board that these documents will be translated.

Certification bodies are accredited by the national data protection authorities (DPA) or by the national accreditation body (named in accordance with Regulation 17065/2012). For further information regarding certification bodies, we recommend contacting the national DPA in your country. You can find an overview of all EEA DPAs here.

You can find further information regarding accreditation of certification bodies here: Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)

1. Pārliecinieties, ka saņemtie dati ir iegūti likumīgi un ka datu subjekti ir informēti par viņu personas datu apstrādi.
2. Ja trešā persona apstrādā personas datus jūsu vārdā, pārliecinieties, ka jums ir pārziņa un apstrādātāja līgums, kurā norādītas apstrādes darbības un līdzekļi personas datu apstrādei.

Un, protams, ievērojiet visus pārziņu pienākumus.

Plašāka informācija:

• Pārzinis vai apstrādātājs

Nepieciešamie drošības pasākumi var atšķirties atkarībā no jūsu apstrādāto personas datu veida un ar to saistītajiem riskiem personām. Jebkurā gadījumā ir daži minimālie pasākumi, kas jums būtu jāievieš:

• droša piekļuve telpām;
• izmantot regulāri atjauninātu pretvīrusu programmatūru;
• rūpīgi izvēlieties savas paroles;
• nodrošiniet, lai lietotāji autentificētos pirms datoriekārtu izmantošanas;
• jābūt ieviestai datu dublēšanas un atjaunošanas politikai incidenta gadījumā.

Turklāt daži pamata pasākumi, piemēram, ekrāna bloķēšana, kamēr esat prom, un biroja aizslēgšana dienas beigās nav zaudējuši savu nozīmi...

Plašāka informācija:

• Personas datu drošība

Konkursa uzvarētāju vārdu publicēšanu jūsu tīmekļa vietnē varētu uzskatīt par leģitīmajām interesēm, ja jūs to varat pierādīt, veicot līdzsvarošanas testu, lai noteiktu, vai jūsu leģitīmās intereses pārsniedz personu tiesības.

Labā prakse būtu izveidot iekšēju kārtību, kurā izskaidroti noteikumi par uzvarētāju personas datu publicēšanu.

Turklāt personas datu apstrādei ar šādu nolūku vajadzētu būt daļai no konkursa privātuma politikas, lai dalībnieki tiktu iepriekš informēti par to, kā viņu dati tiks apstrādāti.

Plašāka informācija:

• Apstrādājiet personas datus likumīgi

All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

Once published, recently adopted documents will be listed under “latest publications” on the main page of this website.

You can also find overviews of the documents adopted per plenary on the EDPB news page.

EDAK nesniedz pielāgotas juridiskas konsultācijas iedzīvotājiem vai privātām/publiskām organizācijām par to, kā piemērot datu aizsardzības tiesību aktus konkrētos gadījumos. 

EDAK galvenais uzdevums ir izdot vispārīgus norādījumus un atzinumus. Ar visiem pieņemtajiem norādījumiem un atzinumiem var iepazīties šeit: Pamatnostādnes, ieteikumi, paraugprakse un atzinumi. Mēs arī iesakām izlasīt Datu aizsardzības rokasgrāmatu mazajiem uzņēmumiem. Šī rokasgrāmata palīdzēs jums izprast galvenos datu aizsardzības jēdzienus, personu tiesības saskaņā ar VDAR, atbilstības prasības, drošības pasākumus un to, kā rīkoties datu aizsardzības pārkāpumu gadījumā.

Papildu informācija par EDAK lomu un VDAR piemērošanu ir pieejama arī šeit: Frequently Asked Questions.

Aicinām arī iepazīties ar jūsu valsts datu aizsardzības iestādes tīmekļa vietnēm. Saites uz mūsu deputātu tīmekļa vietnēm ir pieejamas šeit: Our members.

Once the Lead Supervisory Authority (LSA) or, in some cases the Concerned Supervisory Authority (CSA), with which the complaint was lodged has notified the EDPB of the date its final decision was communicated to the controller or processor and, where relevant, to the complainant, the EDPB will publish its own decision on its website.

The European Data Protection Board (EDPB) is an independent European body, which contributes to the consistent application of data protection rules throughout the European Union, and promotes cooperation between the EU’s data protection authorities (DPAs), as well as the DPAs of Iceland, Liechtenstein and Norway (the European Economic Area or EEA).

The EDPB aims to ensure the consistent application of the General Data Protection Regulation and of the Law Enforcement Directive in the European Economic Area (EEA). The EDPB also looks into the application of certain aspects of the ePrivacy Directive.

Our main tasks and duties are:

• providing general guidance (including guidelines, recommendations and best practices) to clarify the law and to promote a common understanding of EU data protection laws;
• adopting opinions addressed to the European Commission or to the national Data Protection Authorities (DPAs):
  • to advise the European Commission on any issue related to the protection of personal data and newly proposed legislation in the European Union (Art. 70 GDPR). In some instances, we issue Joint Opinions together with the EDPS (Art.42 of Regulation 2018/1725);
  • to ensure consistency of the activities of national data protection authorities (DPAs) on cross-border matters (Art. 64 GDPR). If authorities fail to respect an opinion issued by the EDPB, we may adopt a binding decision;
• adopting binding decisions addressed to the national DPAs and aiming to settle disputes between them when they cooperate in cross-border cases, with the purpose of ensuring the correct and consistent application of the GDPR in individual cases;
• promoting and supporting the cooperation among national DPAs.

Jā, jūs varat, bet VDAR uzliek konkrētus pienākumus uzņēmumiem, kas dalās ar personas datiem. Jūsu organizācijai ir jāinformē personas, ka nodosiet datus trešajai personai. Jums ir jāinformē arī par jūsu mērķiem, drošību, piekļuvi un saglabāšanas pasākumiem, kas tiks piemēroti.