Frequently Asked Questions

Personas datu aizsardzības pārkāpums ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem.

• Ja datu aizsardzības pārkāpums rada risku attiecīgajām personām, jums par to 72 stundu laikā jāziņo attiecīgajai datu aizsardzības iestādei.
• Ja pārkāpums varētu radīt augstu risku personām, jums bez nepamatotas kavēšanās jāpaziņo par šo pārkāpumu attiecīgajām personām.

Jebkurā gadījumā visi pārkāpumi, pat tie, par kuriem nav paziņots DAI, jums ir jāreģistrē (vismaz pārkāpuma pamatinformācija, tā novērtējums, tā sekas un atbildes pasākumi).

Plašāka informācija:

• Datu aizsardzības pārkāpumi

VDAR paredz īpašas tiesības personām, kuras ir jāievēro. To var izdarīt:

• informējot personas, kuru datus jūs apstrādājat, par savām apstrādes darbībām un apstrādes nolūkiem, kad ievācat viņu datus, piemēram, izvietojot privātuma paziņojumu jūsu tīmekļa vietnē;
• atbildot uz personu pieprasījumiem, kad viņi vēlas izmantot savas tiesības, piemēram, piekļūt datiem, tos labot, dzēst vai pārnest.

Organizācijas, kas ir pārredzamas attiecībā uz personas datu izmantošanu un ievēro personu tiesības, retāk kļūst par sūdzību objektiem.

Plašāka informācija:

• Ievērojiet personu tiesības

Koordinēšanas uzraudzības komiteja (“KUK”), kas pastāv EDAK, koordinē personas datu apstrādes uzraudzību Šengenas Informācijas sistēmā (“SIS”). Attiecīgie ES tiesību akti ir Regula (ES) 2018/1862 (jo īpaši 71. pants) un Regula (ES) 2018/1861 (jo īpaši 57. pants).

Attiecībā uz personas datiem, kas iekļauti SIS, jums ir piekļuves, labošanas un dzēšanas tiesības. Šīs tiesības ietver:

• tiesības zināt, vai SIS tiek apstrādāta informācija, kas attiecas uz jums;
• tiesības piekļūt šiem datiem;
• tiesības uz neprecīzu datu labošanu vai dzēšanu, ja šie dati ir uzglabāti nelikumīgi; un
• Tiesības vērsties tiesā, jūsu datu aizsardzības iestādē un/vai kompetentajās iestādēs, lai labotu vai dzēstu datus, kas attiecas uz jums, vai lai saņemtu kompensāciju.

Lai īstenotu savas tiesības, sazinieties ar savas valsts kompetento iestādi jūsu izvēlētajā Šengenas valstī. Lai iegūtu plašāku informāciju par valsts kompetentajām iestādēm un datu aizsardzības iestādi katrā Šengenas valstī, skatiet “Rokasgrāmatupar datu subjektu tiesību īstenošanu”, kas pieejama mūsu tīmekļa vietnē. Tur jūs varat atrast arī vēstuļu paraugus, lai palīdzētu jums īstenot savas tiesības. 

Ņemiet vērā, ka EDAK nav kompetenta izskatīt individuālas sūdzības vai pieprasījumus. Turklāt EDAK nav piekļuves šo informācijas sistēmu un datubāzu saturam.

Sīkāka informācija par to, kā īstenot savas tiesības, ir pieejama mūsu tīmekļa vietnē https://www.edpb.europa.eu/our-work-tools/our-documents/csc-data-subject-rights/schengen-information-system-guide-exercising_lv.

EDAK regulāri publicē paziņojumus presei, ziņas, blogus un citu saturu EDAK tīmekļa vietnē un tās sociālo mediju kontos (X: @EU_EDPB; LinkedIn: European Data protection Board), lai regulāri informētu datu aizsardzības kopienu un sabiedrību par savu darbu.

EDAK tīmekļa vietnē ir arī divas RSS plūsmas, kuras varat abonēt, lai automātiski saņemtu EDAK ziņas un EDAK jaunākās publikācijas.

Ar Vispārīgo datu aizsardzības regulu (VDAR) ir izveidots saskaņots noteikumu kopums, kas piemērojams visai personas datu apstrādei, ko veic organizācijas (publiskas vai privātas, neatkarīgi no to lieluma), kas izveidotas Eiropas Ekonomikas zonā (EEZ) vai kas vērstas uz fiziskām personām ES. VDAR galvenais mērķis ir nodrošināt, ka personas datiem visā EEZ ir vienādi augsti aizsardzības standarti, palielinot juridisko noteiktību gan fiziskām personām, gan organizācijām, kas apstrādā datus, un piedāvājot personām augstu aizsardzības līmeni.

Regula stājās spēkā 2016. gada 24. maijā, bet to piemēro no 2018. gada 25. maija.

All individuals residing in the European Economic Area (EEA) have the right to the protection of their personal data.

More specifically, under the GDPR, you have several rights

• Right to be informed
• Right of access
• Right to rectification
• Right to restriction of processing
• Right to data portability
• Right to object
• Right not be subject to a decision based solely on automated processing.

For more information on your rights, please consult our leaflet The GDPR and your rights or the EDPB Data Protection Guide for small business.

Jā, VDAR ir piemērojama, ja personas dati ir ietverti vai ir paredzēti iekļaušanai kartotēkā. Tas nozīmē, ka VDAR attiecas arī uz papīra formāta dokumentiem, nevis tikai uz personas datu automatizētu apstrādi.

Plašāka informācija:

• Datu aizsardzības pamati

Ja ir divi vai vairāki pārziņi, kas kopīgi nosaka apstrādes nolūku un līdzekļus, tos uzskata par kopīgiem pārziņiem. Viņi kopīgi nolemj apstrādāt personas ar kopīgu nolūku. Kopīga pārzināšana var izpausties dažādos veidos, un dažādu pārziņu līdzdalība var būt nevienlīdzīga. Tāpēc kopīgajiem pārziņiem ir jānosaka savi attiecīgie pienākumi attiecībā uz atbilstību VDAR.

Ir svarīgi atzīmēt, ka kopīga pārzināšana rada kopīgu atbildību par apstrādes darbību.

• Piemērs: Uzņēmumi A un B ir laiduši klajā zīmola produktu un vēlas organizēt pasākumu, lai to reklamētu. Šim nolūkam tie nolemj dalīties ar datiem no savām klientu un potenciālo klientu datubāzēm un, pamatojoties uz tiem, lemt par uzaicināto personu sarakstu. Viņi arī vienojas par kārtību ielūgumu nosūtīšanai uz pasākumu, par to, kā apkopot atsauksmes pasākuma laikā, un par turpmākajām mārketinga darbībām. Uzņēmumus A un B var uzskatīt par kopīgiem pārziņiem tādu personas datu apstrādei, kas saistīti ar reklāmas pasākuma organizēšanu, jo tie kopīgi lemj par kopīgi definētu datu apstrādes nolūku un būtiskiem līdzekļiem šajā kontekstā.

Plašāka informācija:

• Pārzinis vai apstrādātājs

Jā, bet, lai to darītu, jums vispirms jānosaka datu apstrādes tiesiskais pamats. Tas var būt, piemēram, leģitīmās intereses. Apstrādājot personas datus, pamatojoties uz leģitīmajām interesēm, vienmēr ir jāveic līdzsvarošanas tests, lai noteiktu, vai jūsu lieģitīmās intereses ir svarīgākas par personu tiesībām, jo īpaši, ja ir iesaistīti bērni.

Cits iespējamais tiesiskais pamats šādai apstrādei varētu būt piekrišana. Jebkurā gadījumā privātpersonas vienmēr iepriekš jāinformē par to, ka pasākums tiek fotografēts vai filmēts.

Plašāka informācija:

• Apstrādājiet personas datus likumīgi

Piekrišana patiešām varētu būt atbilstošs tiesiskais pamats CV glabāšanai. Cits iespējamais tiesiskais pamats varētu būt leģitīmas intereses. Tādā gadījumā jums būtu jāveic līdzsvarošanas tests, lai pierādītu, ka jūsu organizācijas leģitīmās intereses ir svarīgākas par pieteikuma iesniedzēju tiesībām.

Jebkurā gadījumā jums būs jāinformē kandidāti, ka plānojat glabāt viņu datus, un jāinformē, kādiem mērķiem to darāt.

Plašāka informācija:

• Apstrādājiet personas datus likumīgi

Eiropas Komisija var izlemt, vai valsts ārpus Eiropas (vai starptautiska organizācija) nodrošina “pienācīgu” datu aizsardzības līmeni, kas atvieglo datu plūsmu starp Eiropu un šo valsti. 

EDAK ir atbildīga par atzinumu sniegšanu par lēmumu par aizsardzības līmeņa pietiekamību projektiem pirms Eiropas Komisijas lēmuma pieņemšanas. Atzinumi nav saistoši Eiropas Komisijai, bet parasti ir noderīgi citām organizācijām, ar kurām šajā saistībā apspriežas, piemēram, ES dalībvalstīm.

Turklāt Eiropas Komisija ir kompetenta uzraudzīt norises valstīs ārpus Eiropas, kas varētu ietekmēt lēmumus par aizsardzības līmeņa pietiekamību. Dažos lēmumos par aizsardzības līmeņa pietiekamību ir paredzēta īpaša lēmuma pārskatīšanas regularitāte, un tajos var būt atsauce uz iespēju EDAK pārstāvjiem piedalīties Eiropas Komisijas organizētajā pārskatīšanas procesā.

Lūdzu, ņemiet vērā arī to, ka Eiropas datu aizsardzības iestādes var aizsargāt personas attiecībā uz datu nosūtīšanu, kas veikta saistībā ar lēmumu par aizsardzības līmeņa pietiekamību (lūdzu, skatiet to sarakstu mūsu tīmekļa vietnē: https://edpb.europa.eu/about-edpb/our-members).

Ja uzskatāt, ka spēkā esošs lēmums par aizsardzības līmeņa pietiekamību neatbilst jūsu pamattiesībām uz privātumu un datu aizsardzību, jūs varat iesniegt sūdzību savai DAI, kas var iesniegt šos iebildumus valsts tiesā, kurai var nākties vērsties Tiesā ar lūgumu sniegt prejudiciālu nolēmumu (sk. VDAR 58. panta 5. punktu un Tiesas spriedumu Schrems lietā (lieta C-362/14)).

Papildu informāciju skatīt: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_lv

Unfortunately, the EDPB cannot consider late contributions as part of the public consultation.

Personas datu apstrāde ir atļauta, ja tai var piemērot tiesisko pamatu. Papildu brīvai, konkrētai, apzinātai un nepārprotamai piekrišanai var piemērot arī citus apstrādes tiesiskos pamatus.

Citiem vārdiem sakot, piekrišana ir nepieciešama, ja nav piemērojams neviens no pārējiem tiesiskajiem pamatiem.

 

Plašāka informācija:

• Apstrādājiet personas datus likumīgi

Nē, jums nav jābūt sertificētam, lai kļūtu par DAS.

Tomēr datu aizsardzības speciālistiem ir jāspēj pierādīt, ka viņiem ir nepieciešamā kvalifikācija, kas noteikta VDAR, piemēram, speciālās zināšanas par datu aizsardzības tiesību aktiem un praksi.

Plašāka informācija:

• Datu aizsardzības speciālists

Novērtējums par ietekmi uz datu aizsardzību jeb NIDA ir rakstisks novērtējums, kas jūsu organizācijai jāveic, lai novērtētu plānotās apstrādes darbības ietekmi. Tas palīdz jums noteikt piemērotus pasākumus risku novēršanai un atbilstības pierādīšanai.

Lai gan vienmēr ir vēlams paredzēt jūsu organizācijas plānoto apstrādes darbību ietekmi, veicot NIDA, tas obligāti jāveic, ja apstrāde var radīt augstu risku personu tiesībām un brīvībām.

Tas jo īpaši attiecas uz gadījumiem, kad paredzētā apstrāde ietver:

• sensitīvu personas datu vai ar sodāmību saistītu datu apstrādi plašā mērogā;  
• sistemātisku un plašu ar personu saistītu personas aspektu izvērtēšanu, kas balstās uz automatizētu apstrādi, tostarp profilēšanu, un uz kuras pamata tiek pieņemti lēmumi, kas rada tiesiskas sekas attiecībā uz personu vai līdzīgi būtiski ietekmē personas;
• publiski pieejamas telpas sistemātiska uzraudzība plašā mērogā.

EDAK ir izstrādājusi vadlīnijas, kurās uzskaitīti kritēriji, kas jums jāņem vērā, vērtējot, vai NIDA ir obligāts. Datu aizsardzības iestādes ir publicējušas arī to apstrādes darbību sarakstus, uz kurām attiecas NIDA. Turklāt vairākas DAI ir izstrādājušas rokasgrāmatas, programmatūru vai pašnovērtējuma rīkus, lai palīdzētu jums veikt novērtējumu.

Plašāka informācija:

• Atbilst prasībām

Pārziņi drīkst apstrādāt personas datus tikai šādos gadījumos:

• ar datu subjekta piekrišanu;
• ja apstrāde ir nepieciešama līguma izpildei (līgums starp jūsu organizāciju un personu);
• lai izpildīt juridisku pienākumu saskaņā ar ES vai valsts tiesību aktiem;
• ja apstrāde ir nepieciešama, lai izpildītu uzdevumu, ko veic sabiedrības interesēs saskaņā ar ES vai valsts tiesību aktiem;
• lai aizsargātu personas vitālās intereses;
• jūsu organizācijas leģitīmajās interesēs, izņemot gadījumus, kad personas tiesības un brīvības ir svarīgākas par tām.

Turklāt VDAR paredz papildu nosacījumus sensitīvu datu apstrādei.

Plašāka informācija:

• Apstrādājiet personas datus likumīgi

Jā, apstrādātājiem (t. i., fiziskām personām vai organizācijām, kas apstrādā datus pārziņa vārdā) Datu regulā ir noteikti dažādi pienākumi. Tomēr pastāv dažas atšķirības starp pārziņu un apstrādātāju pienākumiem.

Apstrādātājiem ir jāpilda pienākumi, kas noteikti pārziņa un apstrādātāja līgumā, kurā sīki izklāstītas apstrādes darbības un līdzekļi personas datu apstrādei. Piemēram, apstrādātājam būs jāveic apstrādes darbības ar atbilstošiem tehniskiem un organizatoriskiem pasākumiem, kā to norādījis pārzinis. To darot, apstrādātājs palīdz pārzinim ievērot VDAR.

Plašāka informācija:

• Pārzinis vai apstrādātājs

Pārziņa un apstrādātāja līgumā jānosaka, ka  apstrādātājs:

• apstrādā personas datus tikai pēc pārziņa norādījumiem, tas attiecas arī uz personas datu nosūtīšanu uz valsti ārpus EEZ;
• nodrošina, ka personas, kas ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti vai tām ir pienākums ievērot konfidencialitāti;
• nodrošina apstrādes drošību;
• neiesaista citu apstrādātāju bez iepriekšējas konkrētas vai vispārējas rakstiskas pārziņa atļaujas;
• palīdz pārzinim izpildīt tā pienākumus- atbildēt uz personas pieprasījumiem īstenot savas tiesības;
• palīdz pārzinim nodrošināt apstrādi, ziņot par datu aizsardzības pārkāpumiem un veikt NIDA;
• pēc pārziņa izvēles visus personas datus pēc pakalpojumu sniegšanas beigām dzēš vai atdod pārzinim;
• sniedz pārzinim visu nepieciešamo informāciju, lai pierādītu atbilstību VDAR noteiktajiem pienākumiem;
• nodrošina revīzijas, tostarp pārbaudes, ko veic pārzinis vai cits pārziņa pilnvarots revidents, un piedalās tajās.

Turklāt apstrādātājs nekavējoties informē pārzini, ja tas uzskata, ka norādījumi pārkāpj VDAR vai citus ES vai valsts datu aizsardzības noteikumus.

Plašāka informācija:

• Pārzinis vai apstrādātājs

Saskaņā ar VDAR ir divi galvenie veidi, kā pārsūtīt personas datus uz valsti, kas nav EEZ valsts, vai starptautisku organizāciju. Nosūtīšanu var veikt, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību vai, ja šāda lēmuma nav, pamatojoties uz atbilstošām garantijām, tostarp īstenojamām tiesībām un tiesiskās aizsardzības līdzekļiem fiziskām personām.

Plašāka informācija:

• Personas datu nosūtīšana ārpus EEZ

DAS nevar tikt saukts pie atbildības par VDAR neievērošanu. Par Datu regulas prasību ievērošanu ir atbildīga organizācija, kas iecēlusi DAS.

Plašāka informācija:

• Datu aizsardzības speciālists