DAS var būt jūsu esošais darbinieks ar pietiekamām zināšanām par VDAR (ja darbinieka profesionālie pienākumi ir saderīgi ar DAS profesionālajiem uzdevumiem un tas nerada interešu konfliktus) vai pieņemts darbā, pamatojoties uz līgumu par pakalpojuma sniegšanu (ārējs DAS). DAS ir jāspēj veikt uzdevumus patstāvīgi, un viņam ir jāspēj tieši atskaitīties augstākajai vadībai.

Plašāka informācija:

• Datu aizsardzības speciālists

Ja jūsu organizācija personas datus vāc tieši no privātpersonām, tai ir jāsniedz vajadzīgā informācija vākšanas laikā.

Netiešas personas datu vākšanas gadījumā jūsu organizācijai informācija jāsniedz ne vēlāk kā viena mēneša laikā pēc personas datu sākotnējās iegūšanas. Šo maksimālo viena mēneša periodu var saīsināt:

• ja personas dati tiek izmantoti saziņai ar datu subjektu. Šādā gadījumā jums jāinformē datu subjekts ne vēlāk kā brīdī, kad notiek pirmā saziņa ar datu subjektu;
• ja dati tiek nosūtīti citam saņēmējam, organizācija par to informē datu subjektus vēlākais tad, kad personas dati tiek nosūtīti.

Plašāka informācija:

• Ievērojiet personu tiesības

Personas var jums jautāt, vai jūs apstrādājat viņu datus, un, ja tas tā ir, viņiem ir tiesības piekļūt šiem datiem. Tātad, kad tas notiek un ja jūs apstrādājat viņu datus, jums, piemēram, jāiesniedz viņu personas datu kopija bez maksas kopā ar jebkādu nepieciešamo papildu informāciju. Ja pieprasījums tiek iesniegts elektroniski, jūsu organizācijai vajadzīgā informācija būtu jāsniedz plaši izmantotā elektroniskā formātā, ja vien cilvēks nepieprasa citādi.

Plašāka informācija:

• Ievērojiet personu tiesības

Personas datu aizsardzības pārkāpums ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem.

• Ja datu aizsardzības pārkāpums rada risku attiecīgajām personām, jums par to 72 stundu laikā jāziņo attiecīgajai datu aizsardzības iestādei.
• Ja pārkāpums varētu radīt augstu risku personām, jums bez nepamatotas kavēšanās jāpaziņo par šo pārkāpumu attiecīgajām personām.

Jebkurā gadījumā visi pārkāpumi, pat tie, par kuriem nav paziņots DAI, jums ir jāreģistrē (vismaz pārkāpuma pamatinformācija, tā novērtējums, tā sekas un atbildes pasākumi).

Plašāka informācija:

• Datu aizsardzības pārkāpumi

Pārziņa un apstrādātāja līgumā jānosaka, ka  apstrādātājs:

• apstrādā personas datus tikai pēc pārziņa norādījumiem, tas attiecas arī uz personas datu nosūtīšanu uz valsti ārpus EEZ;
• nodrošina, ka personas, kas ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti vai tām ir pienākums ievērot konfidencialitāti;
• nodrošina apstrādes drošību;
• neiesaista citu apstrādātāju bez iepriekšējas konkrētas vai vispārējas rakstiskas pārziņa atļaujas;
• palīdz pārzinim izpildīt tā pienākumus- atbildēt uz personas pieprasījumiem īstenot savas tiesības;
• palīdz pārzinim nodrošināt apstrādi, ziņot par datu aizsardzības pārkāpumiem un veikt NIDA;
• pēc pārziņa izvēles visus personas datus pēc pakalpojumu sniegšanas beigām dzēš vai atdod pārzinim;
• sniedz pārzinim visu nepieciešamo informāciju, lai pierādītu atbilstību VDAR noteiktajiem pienākumiem;
• nodrošina revīzijas, tostarp pārbaudes, ko veic pārzinis vai cits pārziņa pilnvarots revidents, un piedalās tajās.

Turklāt apstrādātājs nekavējoties informē pārzini, ja tas uzskata, ka norādījumi pārkāpj VDAR vai citus ES vai valsts datu aizsardzības noteikumus.

Plašāka informācija:

• Pārzinis vai apstrādātājs

Ar Vispārīgo datu aizsardzības regulu (VDAR) ir izveidots saskaņots noteikumu kopums, kas piemērojams visai personas datu apstrādei, ko veic organizācijas (publiskas vai privātas, neatkarīgi no to lieluma), kas izveidotas Eiropas Ekonomikas zonā (EEZ) vai kas vērstas uz fiziskām personām ES. VDAR galvenais mērķis ir nodrošināt, ka personas datiem visā EEZ ir vienādi augsti aizsardzības standarti, palielinot juridisko noteiktību gan fiziskām personām, gan organizācijām, kas apstrādā datus, un piedāvājot personām augstu aizsardzības līmeni.

Regula stājās spēkā 2016. gada 24. maijā, bet to piemēro no 2018. gada 25. maija.

Pseidonimizācija ir personas datu pārveidošanu tā, lai tos vairs nevarētu attiecināt uz konkrētu personu, neizmantojot papildu informāciju, ar nosacījumu, ka šāda papildu informācija tiek glabāta atsevišķi un tai piemēro tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka personas dati netiek attiecināti uz personu. Praksē tas var nozīmēt personas datu (vārda, vārda, personas numura, tālruņa numura u. c.) aizstāšanu datu kopā ar netieši identificējošiem datiem (citiem vārdiem, kārtas numuriem utt.). Pseidonimizēti dati joprojām ir personas dati, un uz tiem attiecas VDAR.

Anonimizēti dati ir dati, kas padarīti anonīmi tādā veidā, ka persona nav vai vairs nav identificējama ar jebkādiem līdzekļiem, kurus pamatoti varētu izmantot. Ja anonimizācija tiek pienācīgi īstenota, VDAR vairs neattiecas uz anonimizētiem datiem.

Plašāka informācija:

• Personas datu drošība

Daži personas datu veidi pieder pie īpašām personas datu kategorijām, kas nozīmē, ka tiem ir nepieciešama lielāka aizsardzība. Tos sauc par sensitīviem datiem. Tie ietver datus, kas atklāj informāciju par:

• veselību;
• seksuālo orientāciju;
• personas rases vai etnisko piederību;
• personas politiskajiem uzskatiem, reliģisko vai filozofisko pārliecību; personas dalību arodbiedrībās;
• personas biometriskajiem un ģenētiskajiem dati.

Sensitīvo datu apstrāde parasti ir aizliegta, izņemot atsevišķus gadījumus.

Plašāka informācija:

• Datu aizsardzības pamati

Personas dati ir jebkura informācija, kas attiecas uz identificētu vai identificējamu personu. Identificējama persona ir jebkura persona, kuru var tieši vai netieši identificēt. Personas dati var būt arī dažādi informācijas elementi, kas apkopoti kopā, lai identificētu konkrētu personu.

Personas datu piemēri:

• vārds un uzvārds;
• mājas adrese;
• e-pasta adrese;
• personas apliecības numurs;
• atrašanās vietas dati;
• IP adrese;
• sīkdatnes ID;
• bankas konti;
• nodokļu pārskati;
• biometriskie dati (piemēram, pirkstu nospiedumi);
• sociālā nodrošinājuma numurs;
• pases numurs;
• testa rezultāti;
• atzīmes skolā;
• pārlūkošanas vēsture;
• personas fotoattēls;
• transportlīdzekļa reģistrācijas numurs u. c.

Plašāka informācija:

• Datu aizsardzības pamati

Ja personas dati tiek tieši vākti no attiecīgajām personām, organizācijām ir jāsniedz informācija par apstrādes darbībām kodolīgā un pārredzamā veidā, izmantojot saprotamu, viegli pieejamu, skaidru un vienkāršu valodu. To var izdarīt rakstiski (piemēram, piedāvājuma otrā pusē) vai elektroniski (piemēram, tīmekļa vietnē). Ja attiecīgā persona to pieprasa, jūs varat arī sniegt šo informāciju mutiski, bet jums ir jāspēj pēc tam pierādīt, ka šāda informācija ir sniegta.

Pat tad, ja dati tika vākti netieši, t. i., ja jūs nevācat personas datus tieši no konkrētās personas, bet, piemēram, ar trešās personas starpniecību, jums ir jāsniedz tāda pati detalizēta informācija privātpersonām.