European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

How can my processing operations or my organisation become GDPR certified?

Under the GDPR, certification is conducted by national certification bodies or by the competent national data protection authorities (Art. 42(5) GDPR).

For further information, we recommend contacting the relevant national DPA for your organisation. You can find a overview of all EEA DPAs here.

You can find further information regarding certification in the EDPB guidelines on the topic: Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation - version adopted after public consultation

I think my data protection rights have been violated, what can I do?

If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. You can find the contact details for all EEA DPAs here.

How can I apply for the European Data Protection Seal?

Controllers should formally submit their EU-wide certification criteria to:

  1. the competent data protection authority (DPA) in the EEA country where the scheme owners have their headquarters;
  2. the competent data protection authority (DPA) in the EEA country where a certification body operating the certification mechanism have their headquarters, considering the member state in which the most certificates are likely to be issued.

Vai man jāieceļ datu aizsardzības speciālists (DAS)?

DAS iecelšana ir obligāta šādos gadījumos:

  • organizācija ir publiska iestāde;
  • organizācijas pamatdarbība ir personu regulāra un sistemātiska uzraudzība plašā mērogā, piemēram, ģeolokācija, izmantojot mobilo lietotni, vai tirdzniecības centru un sabiedrisko vietu uzraudzība, izmantojot videonovērošanas sistēmas;
  • organizācijas pamatdarbība ir sensitīvu datu vai personas datu, kas saistīti ar sodāmību un noziedzīgiem nodarījumiem, plaša mēroga apstrāde.

Jūs vienmēr varat iecelt DAS pēc brīvprātības principa, pat ja tas nav juridiski prasīts. Lūdzu, ņemiet vērā, ka šādā gadījumā jums ir jāievēro visi VDAR noteikumi par datu aizsardzības speciālista uzdevumiem un amatu.

Plašāka informācija:

Vai man ir jāpublisko apstrādes ieraksti?

Nē, nav nepieciešams publiskot jūsu apstrādes ierakstus. Tomēr jums ir jāspēj pēc pieprasījuma iesniegt ierakstus datu aizsardzības iestādei.    

Plašāka informācija:

Vai jūsu vēstījums par VDAR vai citu noteikumu izpildi?

Vai jūs lūdzat EDAK izmeklēt un vērsties pret organizāciju, kas, jūsuprāt, pārkāpj ES tiesību aktus, tostarp izmantojot īpašas tehnoloģijas, piemēram, MI, sociālos medijus vai ziņojumapmaiņas pakalpojumus?

Saistībā ar datu aizsardzības noteikumiem jūs varat iesniegt sūdzību savai datu aizsardzības iestādei (DAI) (lūdzu, skatiet to sarakstu mūsu tīmekļa vietnē: https://edpb.europa.eu/about-edpb/our-members). Datu aizsardzības noteikumu izpilde ir DAI pienākums. Jūs varat sazināties, piemēram, ar datu aizsardzības iestādi, kurā dzīvojat vai strādājat vai kurā noticis iespējamais pārkāpums.

Vēl viena alternatīva ir vērsties tās valsts tiesās, kurā dzīvojat vai kurā ir reģistrēts pārzinis vai apstrādātājs. 

Ja jūsu situācijā ir piemērojama VDAR, bet jūs neesat reģistrēts Eiropā, jūs joprojām varat iesniegt sūdzību DAI Eiropā un/vai vērsties tiesā.

EDAK nav kompetenta izskatīt konkrētus individuālus pieprasījumus vai sūdzības, ne arī sniegt individuālus konsultāciju pakalpojumus. EDAK nav pārvalstiska struktūra, kas var izmeklēt sūdzības.

Visbeidzot, ja vēlaties sūdzēties par to, kā ES iestāde, aģentūra vai struktūra izmanto jūsu personas datus, varat iesniegt sūdzību Eiropas Datu aizsardzības uzraudzītājam (sk. kontaktinformāciju mūsu tīmekļa vietnē: https://edpb.europa.eu/about-edpb/our-members).

Lūdzu, ņemiet vērā, ka mēs nepārsūtām Jūsu ziņojumu valstu datu aizsardzības iestādēm vai EDAU. Tāpēc jums vajadzētu sazināties ar viņiem tieši.

Kā es varu saņemt piekrišanu?

Lai piekrišanu varētu uzskatīt par derīgu, tai jābūt:

  • brīvi sniegtai;
  • konkrētai;
  • apzinātai;
  • nepārprotamai.

Tas nozīmē, ka cilvēki var brīvi izvēlēties, vai piekrīt savu personas datu apstrādei; ir vajadzīga pietiekama informācija, lai viņi varētu saprast, kuri dati tiek apstrādāti, kādam nolūkam un kā tas tiek darīts; ir nepieciešama arī pietiekama detalizācijas pakāpe piekrišanas pieprasījumos.

Piekrišanai ir jābūt sniegtai skaidri apstiprinošas darbības veidā (bez iepriekš izdarītām atzīmēm piekrišanas lodziņos un atsevišķi no piemērojamajiem vispārīgajiem nosacījumiem).

Turklāt personām ir jābūt iespējai brīvi atsaukt savu piekrišanu (bez jebkādām negatīvām sekām), ja viņi vēlāk maina savu viedokli.

Plašāka informācija:

Kad jums vajadzētu dalīties ar šo informāciju?

Ja jūsu organizācija personas datus vāc tieši no privātpersonām, tai ir jāsniedz vajadzīgā informācija vākšanas laikā.

Netiešas personas datu vākšanas gadījumā jūsu organizācijai informācija jāsniedz ne vēlāk kā viena mēneša laikā pēc personas datu sākotnējās iegūšanas. Šo maksimālo viena mēneša periodu var saīsināt:

  • ja personas dati tiek izmantoti saziņai ar datu subjektu. Šādā gadījumā jums jāinformē datu subjekts ne vēlāk kā brīdī, kad notiek pirmā saziņa ar datu subjektu;
  • ja dati tiek nosūtīti citam saņēmējam, organizācija par to informē datu subjektus vēlākais tad, kad personas dati tiek nosūtīti.

Plašāka informācija:

What is the purpose of the dispute resolution mechanism of Art. 65.1 (a) and (b) GDPR?

The dispute resolution mechanism triggered under Art.65.1 (a) and (b) GDPR contributes to the good functioning of the cooperation mechanism by addressing any disagreements Concerned Supervisory Authorities (CSAs) may have in a given case or if there are conflicting views as to which authority is the Lead Supervisory Authority (LSA).
The EDPB will act as a dispute resolution body. It must adopt a decision to address the conflict between the involved Data Protection Authorities (DPAs), which is binding on them (Art. 65 GDPR). The decision is adopted by a two-thirds majority of the members of the Board, and in case a decision cannot be adopted within 2 months, the decision is adopted within the next 2 weeks by a simple majority.

How are the EDPB & EDPS related?

The European Data Protection Supervisor (EDPS) is a Member of the European Data Protection Board. In addition, the EDPS provides the EDPB Secretariat. The Secretariat offers administrative and logistic support to the EDPB, performs analytical work and contributes to the EDPB’s tasks.

Although staff at the Secretariat is employed by the EDPS, staff members only work under the instructions of the Chair of the EDPB.

The terms of cooperation between the EDPB and the EDPS are established by the Memorandum of Understanding.

Vai manai organizācijai ir jāievēro VDAR?

Katrai organizācijai, kas veic uzņēmējdarbību Eiropas Ekonomikas zonā (EEZ) vai piedāvā produktus vai pakalpojumus fiziskām personām EEZ, neatkarīgi no to lieluma vai nozares, apstrādājot personas datus ar automatizētiem līdzekļiem vai bez tiem, ir jāievēro VDAR. Lai gan VDAR galvenokārt attiecas uz automatizētu personas datu apstrādi, arī manuāli veiktās apstrādes darbības būs pakļautas GDPR prasībām, ja vien papīra dokumenti tiek organizēti sistemātiskā veidā, piemēram, alfabēta secībā kartotēkā. Apstrādes darbību piemēri ietver personas datu vākšanu, reģistrēšanu, organizēšanu, izmantošanu, labošanu, glabāšanu, izpaušanu, pārnešanu un dzēšanu.

Neskatoties uz to, GDPR piemērošana tiek pielāgota atkarībā no apstrādes darbību veida, konteksta, mērķiem un riskiem. Mazajiem un vidējiem uzņēmumiem, kuru pamatdarbība nav personas datu apstrāde,  prasības var nebūt tik striktas kā lieliem uzņēmumiem.

Plašāka informācija:

Kādi ir datu aizsardzības speciālista (DAS) uzdevumi?

DAS uzdevumi ir šādi:

  • informēt un konsultēt organizāciju un tās darbiniekus par datu aizsardzības ievērošanu;
  • uzraudzīt atbilstību datu aizsardzības prasībām;
  • sniegt konsultācijas par pieprasījumiem saistībā ar novērtējumu par ietekmi uz datu aizsardzību (NIDA);
  • darboties kā datu aizsardzības iestādes kontaktpersonai un sadarboties ar minēto DAI;
  • darboties kā personu kontaktpunktam.

Turklāt datu aizsardzības speciālista klātbūtne parasti ir ieteicama gadījumos, kad tiek pieņemti lēmumi, kas saistīti ar datu aizsardzību. Tiklīdz ir noticis datu aizsardzības pārkāpums vai cits incidents, būtu nekavējoties jāapspriežas ar DAS.

Plašāka informācija:

Kādi ir mani pienākumi saskaņā ar VDAR?

Vispārīgā datu aizsardzības regula (VDAR) uzliek pienākumus visām organizācijām, kas apstrādā personas datus, neatkarīgi no tā, vai tās ir pārziņi vai apstrādātāji.

Svarīgākais, ko vajadzētu ņemt vērā:

  • Pajautājiet sev, vai nolūks, kuram personas datus var vākt, ir pamatots, un vāciet tikai tos personas datus, kas ir nepieciešami konkrētajam(-iem) paredzētajam(-iem) mērķim(-iem);
  • Atjauniniet fizisko personu personas datus un dzēsiet tos, kad tie vairs nav nepieciešami;
  • Ievērojiet personu tiesības, informējot par to, kā un kāpēc tiek apstrādāti viņu dati, un ļaujiet cilvēkiem izmantot savas tiesības;
  • Pārbaudiet, vai jums ir atbilstošs tiesiskais pamats personas datu apstrādei. Ja jūs plānojat apstrādi pamatot ar fizisku personu piekrišanu, pirms apstrādes to viņiem palūdziet;
  • Nodrošiniet, ka personas dati tiek apstrādāti drošā veidā;
  • Veiciet apstrādes darbību uzskaiti.

Datu apstrādātājiem ir jāpilda pienākumi, kas noteikti pārziņa un apstrādātāja līgumā, un tie nedrīkst apstrādāt datus citādi, kā vien saskaņā ar pārziņa norādījumiem.

Plašāka informācija:

Kādi ir VDAR pamatprincipi?

  • Jebkurai personas datu apstrādei jābūt likumīgai, godīgai un pārredzamai.
  • Vāciet personas datus tikai konkrētiem, precīzi formulētiem un likumīgiem nolūkiem. Personas datu apstrādei stingri jāaprobežojas ar sākotnēji noteikto(-ajiem) nolūku(-iem), un datus nedrīkst apstrādāt turpmākiem vai citiem mērķiem, kas nav saderīgi ar sākotnējiem nolūkiem.
  • Apstrādājiet tikai tādus personas datus, kas ir nepieciešami un samērīgi, ņemot vērā paredzēto nolūku.
  • Visiem jūsu apstrādātajiem personas datiem jābūt precīziem un atjauninātiem. Neprecīzi personas dati ir jālabo vai jādzēš.
  • Personas datu glabāšanai jābūt ierobežotai laikā, ņemot vērā nolūku, kādam tie tika vākti un apstrādāti. Tādējādi fizisku personu personas dati ir jādzēš vai jāanonimizē, tiklīdz šie dati vairs nav nepieciešami.
  • Personas datu apstrāde ir jāveic drošā veidā. Šajā ziņā ir jāievieš stingra kiberdrošības kontrole, lai nodrošinātu, ka personu dati ir pienācīgi aizsargāti.

Visbeidzot- pārzinis ir atbildīgs par iepriekš minēto principu ievērošanu un viņam jāspēj to pierādīt.

Plašāka informācija:

Cik ilgi es varu glabāt personas datus?

Jūs nevarat personas datus glabāt mūžīgi.

Parasti personas datus var glabāt tikai tik ilgi, cik nepieciešams tā mērķa sasniegšanai, kādā personas dati tiek apstrādāti.

Dažos gadījumos uzglabāšanas laiku var noteikt normatīvajos aktos, piemēram, darba iekšējos noteikumos ir noteikts glabāšanas termiņš algu sarakstiem.

Organizācijām būtu jāievieš datu glabāšanas politika, lai nodrošinātu, ka personas dati netiek glabāti ilgāk, nekā tas ir nepieciešams. Personas dati ir jādzēš vai jāanonimizē, tiklīdz šie dati vairs nav nepieciešami mērķim, kuram tie tika apstrādāti.

Plašāka informācija:

Who are the members of the Board?

The EDPB brings together the EU DPAs and the European Data Protection Supervisor (EDPS). The EEA EFTA countries (Iceland, Liechtenstein and Norway) are also members with regard to GDPR-related matters and without the rights to vote and to be elected as chair or deputy chair. The European Commission and - with regard to GDPR-related matters - the EFTA Surveillance Authority have the right to participate in the activities and meetings of the Board without voting rights.

You can find an overview of the EEA DPAs here.

What is the dispute resolution mechanism of Art. 65 GDPR?

When a Lead Supervisory Authority (LSA) issues a draft decision, it consults the Concerned Supervisory Authorities (CSAs), which can express their disagreement with the draft decision by submitting relevant and reasoned objections (RRO) within a period of four weeks (Art. 60.4 GDPR).
When none of the CSAs objects, the LSA may proceed to adopt the decision.

In case at least one of the CSAs has expressed an RRO, and if the LSA intends to follow the objection, it shall submit a revised draft decision to all the CSAs. The CSAs then have a period of two weeks (Art. 60.5 GDPR) to express their RROs to the revised draft decision.

However, if the LSA does not intend to follow the objection(s), since no consensus can be reached, the consistency mechanism is triggered. This means that the LSA is obliged to refer the case to the European Data Protection Board (EDPB) and the dispute resolution role of the EDPB is activated (Art. 65.1(a) GDPR).

The dispute resolution mechanism can be triggered in two further cases:

  • there is a disagreement as to which authority is the LSA (Art. 65.1(b) GDPR);
  • an SA does not seek the opinion of the EDPB as obliged under Art. 64.1 GDPR or does not follow such an opinion (Art. 64.1 - 2 GDPR) (Art. 65.1(c) GDPR).

Vai jūs rakstāt, jo neesat apmierināts ar to, kā jūsu DAI ir apstrādājusi jūsu pieprasījumu vai sūdzību?

EDAK nav kompetenta uzraudzīt DAI darbības pēc fizisku personu pieprasījuma.

Ņemiet vērā, ka kompetenci izdot vispārīgus norādījumus nevar saprast kā mehānismu, kas EDAK ļauj pārraudzīt, kā DAI apstrādā jūsu individuālo lietu. 

Ja uzskatāt, ka ir pārkāpta VDAR, un neesat apmierināts ar DAI atbildi, atlikušais risinājums ir sākt tiesvedību.

Vai man ir nepieciešams apstrādes reģistrs?

Vispārīgi runājot, katrai organizācijai būtu jāreģistrē savas apstrādes darbības. Tas var palīdzēt jums izdarīt pareizus secinājumus par jūsu pienākumiem saskaņā ar VDAR un iespējamiem riskiem.

Katra no šīm apstrādes darbībām jāapraksta reģistrā, iekļaujot šādu informāciju:

  • apstrādes mērķis (piemēram, klientu lojalitātes programma);
  • apstrādāto datu kategorijas (piemēram, algu saraksts: vārds, uzvārds, dzimšanas datums, alga u. c.);
  • kam ir piekļuve datiem (saņēmējiem, piemēram: par pieņemšanu darbā atbildīgā nodaļa, IT speciālists, vadība, pakalpojumu sniedzēji, partneri u.c.);
  • atsevišķā gadījumā- informācija, kas saistīta ar personas datu pārsūtīšanu ārpus Eiropas Ekonomikas zonas (EEZ);
  • ja iespējams, glabāšanas periods (periods, par kuru dati ir noderīgi no darbības viedokļa un no arhivēšanas viedokļa);
  • ja iespējams, vispārīgs drošības pasākumu apraksts.

Par apstrādes darbību uzskaiti ir atbildīgs jūsu organizācijas vadītājs.

Šim reģistram pēc pieprasījuma jābūt pieejamam tās EEZ valsts datu aizsardzības iestādei, kurā strādājat.

Organizācijām, kas nodarbina mazāk nekā 250 personas, nav jānorāda savā reģistrā tikai gadījuma rakstura darbības (piemēram, dati, kas apstrādāti vienreizējiem pasākumiem, piemēram, veikala atvēršanai).

Plašāka informācija:

Kas ir datu aizsardzības speciālista (DAS) interešu konflikts?

DAS var veikt citus uzdevumus organizācijā, taču tas nedrīkst radīt interešu konfliktu. Tas nozīmē, ka datu aizsardzības speciālists nevar būt amatā, kurā viņš nosaka datu apstrādes nolūkus un līdzekļus. Konfliktējoši pienākumi galvenokārt ietver vadības amatus (izpilddirektors, finanšu direktors, personāla vadītājs, IT vadītājs u.c. ), bet var ietvert arī citus amatus, ja to rezultātā tiek noteikti apstrādes nolūki un līdzekļi. Datu aizsardzības speciālistam jāspēj neatkarīgi pildīt savus pienākumus. Tas nozīmē, ka jūsu organizācija:

  • nedrīkst dot norādījumus DAS attiecībā uz viņa kā DAS pienākumu izpildi;
  • nedrīkst sodīt vai atlaist DAS par viņa uzdevumu izpildi.

Plašāka informācija: