Pārziņa un apstrādātāja līgumā jānosaka, ka  apstrādātājs:

• apstrādā personas datus tikai pēc pārziņa norādījumiem, tas attiecas arī uz personas datu nosūtīšanu uz valsti ārpus EEZ;
• nodrošina, ka personas, kas ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti vai tām ir pienākums ievērot konfidencialitāti;
• nodrošina apstrādes drošību;
• neiesaista citu apstrādātāju bez iepriekšējas konkrētas vai vispārējas rakstiskas pārziņa atļaujas;
• palīdz pārzinim izpildīt tā pienākumus- atbildēt uz personas pieprasījumiem īstenot savas tiesības;
• palīdz pārzinim nodrošināt apstrādi, ziņot par datu aizsardzības pārkāpumiem un veikt NIDA;
• pēc pārziņa izvēles visus personas datus pēc pakalpojumu sniegšanas beigām dzēš vai atdod pārzinim;
• sniedz pārzinim visu nepieciešamo informāciju, lai pierādītu atbilstību VDAR noteiktajiem pienākumiem;
• nodrošina revīzijas, tostarp pārbaudes, ko veic pārzinis vai cits pārziņa pilnvarots revidents, un piedalās tajās.

Turklāt apstrādātājs nekavējoties informē pārzini, ja tas uzskata, ka norādījumi pārkāpj VDAR vai citus ES vai valsts datu aizsardzības noteikumus.

Plašāka informācija:

• Pārzinis vai apstrādātājs

Ar Vispārīgo datu aizsardzības regulu (VDAR) ir izveidots saskaņots noteikumu kopums, kas piemērojams visai personas datu apstrādei, ko veic organizācijas (publiskas vai privātas, neatkarīgi no to lieluma), kas izveidotas Eiropas Ekonomikas zonā (EEZ) vai kas vērstas uz fiziskām personām ES. VDAR galvenais mērķis ir nodrošināt, ka personas datiem visā EEZ ir vienādi augsti aizsardzības standarti, palielinot juridisko noteiktību gan fiziskām personām, gan organizācijām, kas apstrādā datus, un piedāvājot personām augstu aizsardzības līmeni.

Regula stājās spēkā 2016. gada 24. maijā, bet to piemēro no 2018. gada 25. maija.

Pseidonimizācija ir personas datu pārveidošanu tā, lai tos vairs nevarētu attiecināt uz konkrētu personu, neizmantojot papildu informāciju, ar nosacījumu, ka šāda papildu informācija tiek glabāta atsevišķi un tai piemēro tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka personas dati netiek attiecināti uz personu. Praksē tas var nozīmēt personas datu (vārda, vārda, personas numura, tālruņa numura u. c.) aizstāšanu datu kopā ar netieši identificējošiem datiem (citiem vārdiem, kārtas numuriem utt.). Pseidonimizēti dati joprojām ir personas dati, un uz tiem attiecas VDAR.

Anonimizēti dati ir dati, kas padarīti anonīmi tādā veidā, ka persona nav vai vairs nav identificējama ar jebkādiem līdzekļiem, kurus pamatoti varētu izmantot. Ja anonimizācija tiek pienācīgi īstenota, VDAR vairs neattiecas uz anonimizētiem datiem.

Plašāka informācija:

• Personas datu drošība

Daži personas datu veidi pieder pie īpašām personas datu kategorijām, kas nozīmē, ka tiem ir nepieciešama lielāka aizsardzība. Tos sauc par sensitīviem datiem. Tie ietver datus, kas atklāj informāciju par:

• veselību;
• seksuālo orientāciju;
• personas rases vai etnisko piederību;
• personas politiskajiem uzskatiem, reliģisko vai filozofisko pārliecību; personas dalību arodbiedrībās;
• personas biometriskajiem un ģenētiskajiem dati.

Sensitīvo datu apstrāde parasti ir aizliegta, izņemot atsevišķus gadījumus.

Plašāka informācija:

• Datu aizsardzības pamati

Personas dati ir jebkura informācija, kas attiecas uz identificētu vai identificējamu personu. Identificējama persona ir jebkura persona, kuru var tieši vai netieši identificēt. Personas dati var būt arī dažādi informācijas elementi, kas apkopoti kopā, lai identificētu konkrētu personu.

Personas datu piemēri:

• vārds un uzvārds;
• mājas adrese;
• e-pasta adrese;
• personas apliecības numurs;
• atrašanās vietas dati;
• IP adrese;
• sīkdatnes ID;
• bankas konti;
• nodokļu pārskati;
• biometriskie dati (piemēram, pirkstu nospiedumi);
• sociālā nodrošinājuma numurs;
• pases numurs;
• testa rezultāti;
• atzīmes skolā;
• pārlūkošanas vēsture;
• personas fotoattēls;
• transportlīdzekļa reģistrācijas numurs u. c.

Plašāka informācija:

• Datu aizsardzības pamati

Ja personas dati tiek tieši vākti no attiecīgajām personām, organizācijām ir jāsniedz informācija par apstrādes darbībām kodolīgā un pārredzamā veidā, izmantojot saprotamu, viegli pieejamu, skaidru un vienkāršu valodu. To var izdarīt rakstiski (piemēram, piedāvājuma otrā pusē) vai elektroniski (piemēram, tīmekļa vietnē). Ja attiecīgā persona to pieprasa, jūs varat arī sniegt šo informāciju mutiski, bet jums ir jāspēj pēc tam pierādīt, ka šāda informācija ir sniegta.

Pat tad, ja dati tika vākti netieši, t. i., ja jūs nevācat personas datus tieši no konkrētās personas, bet, piemēram, ar trešās personas starpniecību, jums ir jāsniedz tāda pati detalizēta informācija privātpersonām.

Ja ir divi vai vairāki pārziņi, kas kopīgi nosaka apstrādes nolūku un līdzekļus, tos uzskata par kopīgiem pārziņiem. Viņi kopīgi nolemj apstrādāt personas ar kopīgu nolūku. Kopīga pārzināšana var izpausties dažādos veidos, un dažādu pārziņu līdzdalība var būt nevienlīdzīga. Tāpēc kopīgajiem pārziņiem ir jānosaka savi attiecīgie pienākumi attiecībā uz atbilstību VDAR.

Ir svarīgi atzīmēt, ka kopīga pārzināšana rada kopīgu atbildību par apstrādes darbību.

• Piemērs: Uzņēmumi A un B ir laiduši klajā zīmola produktu un vēlas organizēt pasākumu, lai to reklamētu. Šim nolūkam tie nolemj dalīties ar datiem no savām klientu un potenciālo klientu datubāzēm un, pamatojoties uz tiem, lemt par uzaicināto personu sarakstu. Viņi arī vienojas par kārtību ielūgumu nosūtīšanai uz pasākumu, par to, kā apkopot atsauksmes pasākuma laikā, un par turpmākajām mārketinga darbībām. Uzņēmumus A un B var uzskatīt par kopīgiem pārziņiem tādu personas datu apstrādei, kas saistīti ar reklāmas pasākuma organizēšanu, jo tie kopīgi lemj par kopīgi definētu datu apstrādes nolūku un būtiskiem līdzekļiem šajā kontekstā.

Plašāka informācija:

• Pārzinis vai apstrādātājs

Novērtējums par ietekmi uz datu aizsardzību jeb NIDA ir rakstisks novērtējums, kas jūsu organizācijai jāveic, lai novērtētu plānotās apstrādes darbības ietekmi. Tas palīdz jums noteikt piemērotus pasākumus risku novēršanai un atbilstības pierādīšanai.

Lai gan vienmēr ir vēlams paredzēt jūsu organizācijas plānoto apstrādes darbību ietekmi, veicot NIDA, tas obligāti jāveic, ja apstrāde var radīt augstu risku personu tiesībām un brīvībām.

Tas jo īpaši attiecas uz gadījumiem, kad paredzētā apstrāde ietver:

• sensitīvu personas datu vai ar sodāmību saistītu datu apstrādi plašā mērogā;  
• sistemātisku un plašu ar personu saistītu personas aspektu izvērtēšanu, kas balstās uz automatizētu apstrādi, tostarp profilēšanu, un uz kuras pamata tiek pieņemti lēmumi, kas rada tiesiskas sekas attiecībā uz personu vai līdzīgi būtiski ietekmē personas;
• publiski pieejamas telpas sistemātiska uzraudzība plašā mērogā.

EDAK ir izstrādājusi vadlīnijas, kurās uzskaitīti kritēriji, kas jums jāņem vērā, vērtējot, vai NIDA ir obligāts. Datu aizsardzības iestādes ir publicējušas arī to apstrādes darbību sarakstus, uz kurām attiecas NIDA. Turklāt vairākas DAI ir izstrādājušas rokasgrāmatas, programmatūru vai pašnovērtējuma rīkus, lai palīdzētu jums veikt novērtējumu.

Plašāka informācija:

• Atbilst prasībām

Vispārīgā datu aizsardzības regula nodrošina privātpersonām kontroli pār viņu personas datu apstrādi. Lai to panāktu, ļoti svarīga ir pārredzamība. Tas nozīmē, ka jums ir jāinformē personas, kuru datus apstrādājat, par apstrādi un tās nolūkiem. Citiem vārdiem sakot, jums ir jāizskaidro, kas apstrādā viņu datus, kā arī kā un kāpēc. Tikai tad, ja personas datu izmantošana iesaistītajām personām ir pārredzama, tās var novērtēt visus riskus un pieņemt lēmumus par saviem personas datiem.

Saskaņā ar VDAR jums ir pienākums sniegt personām šādu informāciju:

• pārziņa identitāte un kontaktinformācija;
• datu apstrādes nolūki;
• apstrādes tiesiskais pamats  (leģitīmo interešu gadījumā - konkrēta informācija par to, ar kādām leģitīmajām interesēm attiecīgā apstrāde ir saistīta);
• pārziņa kontaktinformācija;
• DAS kontaktinformācija (ja ir DAS);
• datu saņēmēji vai saņēmēju kategorijas;
• Informācija par to, vai dati tiks pārsūtīti ārpus Eiropas Ekonomikas zonas (EEZ) (attiecīgā gadījumā: tas, vai pastāv vai nav pieņemts lēmums par aizsardzības līmeņa pietiekamību vai atsauce uz piemērotiem aizsardzības pasākumiem, un tas, kā šo informāciju var darīt pieejamu datu subjektiem);
• apstrādāto personas datu kategorijas, ja dati nav iegūti no personas.

Turklāt VDAR nosaka, ka jūsu organizācijai ir jāsniedz šāda informācija, lai nodrošinātu godprātīgu un pārredzamu apstrādi:

• glabāšanas periods vai, ja tas nav iespējams, kritēriji, pēc kuriem nosaka šo periodu;
• tiesības pieprasīt piekļuvi personas datiem, to dzēšanu, labošanu, ierobežošanu, pārnesamību;
• tiesības iesniegt sūdzību datu aizsardzības iestādei;
• ja apstrādes tiesiskais pamats ir piekrišana, tiesības jebkurā laikā to atsaukt;
• automatizētas lēmumu pieņemšanas gadījumā - attiecīgu informāciju par loģiku, kas ir tās pamatā, un apstrādes plānotajām sekām attiecībā uz datu subjektu;
• personas datu avots (ja jūs tos tieši nesaņēmāt no attiecīgās personas);
• vai personai ir pienākums sniegt personas datus (saskaņā ar likumu vai līgumu, vai slēgt līgumu) un kādas ir datu sniegšanas atteikuma sekas.

Plašāka informācija:

• Ievērojiet personu tiesības

Personas datu apstrāde ir jebkura ar personas datiem veikta darbība. Tā ietver personas datu vākšanu, reģistrēšanu, organizēšanu, strukturēšanu, glabāšanu, pielāgošanu vai pārveidošanu, izgūšanu, aplūkošanu, izmeklēšanu, izmantošanu, izpaušanu, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošanu vai kombinēšanu, ierobežošanu, dzēšanu vai iznīcināšanu.