Jā, VDAR ir piemērojama, ja personas dati ir ietverti vai ir paredzēti iekļaušanai kartotēkā. Tas nozīmē, ka VDAR attiecas arī uz papīra formāta dokumentiem, nevis tikai uz personas datu automatizētu apstrādi.

Plašāka informācija:

• Datu aizsardzības pamati

Katrai organizācijai, kas veic uzņēmējdarbību Eiropas Ekonomikas zonā (EEZ) vai piedāvā produktus vai pakalpojumus fiziskām personām EEZ, neatkarīgi no to lieluma vai nozares, apstrādājot personas datus ar automatizētiem līdzekļiem vai bez tiem, ir jāievēro VDAR. Lai gan VDAR galvenokārt attiecas uz automatizētu personas datu apstrādi, arī manuāli veiktās apstrādes darbības būs pakļautas GDPR prasībām, ja vien papīra dokumenti tiek organizēti sistemātiskā veidā, piemēram, alfabēta secībā kartotēkā. Apstrādes darbību piemēri ietver personas datu vākšanu, reģistrēšanu, organizēšanu, izmantošanu, labošanu, glabāšanu, izpaušanu, pārnešanu un dzēšanu.

Neskatoties uz to, GDPR piemērošana tiek pielāgota atkarībā no apstrādes darbību veida, konteksta, mērķiem un riskiem. Mazajiem un vidējiem uzņēmumiem, kuru pamatdarbība nav personas datu apstrāde,  prasības var nebūt tik striktas kā lieliem uzņēmumiem.

Plašāka informācija:

• Datu aizsardzības pamati

Nē, jums nav jābūt sertificētam, lai kļūtu par DAS.

Tomēr datu aizsardzības speciālistiem ir jāspēj pierādīt, ka viņiem ir nepieciešamā kvalifikācija, kas noteikta VDAR, piemēram, speciālās zināšanas par datu aizsardzības tiesību aktiem un praksi.

Plašāka informācija:

• Datu aizsardzības speciālists

VDAR attiecas uz sīkdatņu izmantošanu, ja tās tiek izmantotas personas datu apstrādei, bet ir arī konkrētāki noteikumi par sīkdatnēm, kas ietverti E-privātuma direktīvā.

Sīkdatņu uzglabāšana lietotāja ierīcē vai piekļuves iegūšana jau uzglabātai sīkdatnei ir atļauta tikai ar nosacījumu, ka attiecīgais abonents vai lietotājs ir pienācīgi informēts (jo īpaši par apstrādes nolūkiem) un ir devis savu piekrišanu.

Vienīgais izņēmums ir tehniski nepieciešamās sīkdatnes. Organizācijām nav jālūdz piekrišana, ja tās savās tīmekļa vietnēs izmanto tehniski nepieciešamās sīkdatnes.

Plašāka informācija:

• Apstrādājiet personas datus likumīgi

Vispārīgi runājot, katrai organizācijai būtu jāreģistrē savas apstrādes darbības. Tas var palīdzēt jums izdarīt pareizus secinājumus par jūsu pienākumiem saskaņā ar VDAR un iespējamiem riskiem.

Katra no šīm apstrādes darbībām jāapraksta reģistrā, iekļaujot šādu informāciju:

• apstrādes mērķis (piemēram, klientu lojalitātes programma);
• apstrādāto datu kategorijas (piemēram, algu saraksts: vārds, uzvārds, dzimšanas datums, alga u. c.);
• kam ir piekļuve datiem (saņēmējiem, piemēram: par pieņemšanu darbā atbildīgā nodaļa, IT speciālists, vadība, pakalpojumu sniedzēji, partneri u.c.);
• atsevišķā gadījumā- informācija, kas saistīta ar personas datu pārsūtīšanu ārpus Eiropas Ekonomikas zonas (EEZ);
• ja iespējams, glabāšanas periods (periods, par kuru dati ir noderīgi no darbības viedokļa un no arhivēšanas viedokļa);
• ja iespējams, vispārīgs drošības pasākumu apraksts.

Par apstrādes darbību uzskaiti ir atbildīgs jūsu organizācijas vadītājs.

Šim reģistram pēc pieprasījuma jābūt pieejamam tās EEZ valsts datu aizsardzības iestādei, kurā strādājat.

Organizācijām, kas nodarbina mazāk nekā 250 personas, nav jānorāda savā reģistrā tikai gadījuma rakstura darbības (piemēram, dati, kas apstrādāti vienreizējiem pasākumiem, piemēram, veikala atvēršanai).

Plašāka informācija:

• Atbilst prasībām

Jā, apstrādātājiem (t. i., fiziskām personām vai organizācijām, kas apstrādā datus pārziņa vārdā) Datu regulā ir noteikti dažādi pienākumi. Tomēr pastāv dažas atšķirības starp pārziņu un apstrādātāju pienākumiem.

Apstrādātājiem ir jāpilda pienākumi, kas noteikti pārziņa un apstrādātāja līgumā, kurā sīki izklāstītas apstrādes darbības un līdzekļi personas datu apstrādei. Piemēram, apstrādātājam būs jāveic apstrādes darbības ar atbilstošiem tehniskiem un organizatoriskiem pasākumiem, kā to norādījis pārzinis. To darot, apstrādātājs palīdz pārzinim ievērot VDAR.

Plašāka informācija:

• Pārzinis vai apstrādātājs

Saskaņā ar VDAR ir divi galvenie veidi, kā pārsūtīt personas datus uz valsti, kas nav EEZ valsts, vai starptautisku organizāciju. Nosūtīšanu var veikt, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību vai, ja šāda lēmuma nav, pamatojoties uz atbilstošām garantijām, tostarp īstenojamām tiesībām un tiesiskās aizsardzības līdzekļiem fiziskām personām.

Plašāka informācija:

• Personas datu nosūtīšana ārpus EEZ

Jā, jūs varat, bet VDAR uzliek konkrētus pienākumus uzņēmumiem, kas dalās ar personas datiem. Jūsu organizācijai ir jāinformē personas, ka nodosiet datus trešajai personai. Jums ir jāinformē arī par jūsu mērķiem, drošību, piekļuvi un saglabāšanas pasākumiem, kas tiks piemēroti.

Pirmais solis, lai uzstādītu videonovērošanu, ir noteikt mērķi, kādēļ tas tiek darīts. Mērķi var būt dažādi, piemēram, nodrošināt telpu drošību, palīdzēt novērst un atklāt zādzību un citus noziegumus vai aizsargāt darbinieku dzīvību un veselību darba specifikas dēļ.

Tāpat kā jebkurai personas datu apstrādei, arī fizisko personu reģistrēšanai ir jābūt tiesiskajam pamatam saskaņā ar Vispārīgo datu aizsardzības regulu (VDAR). Tiesiskais pamats varētu būt piekrišana. Tomēr ir maz ticams, ka tas attieksies uz videonovērošanas izmantošanu vairumā gadījumu, jo būs grūti iegūt brīvi sniegtu piekrišanu no visiem, kas tiks reģistrēti. Visizplatītākais tiesiskais pamats šāda veida personas datu apstrādei ir leģitīmas intereses. Ja apstrāde ir balstīta uz leģitīmajām interesēm, jums būs jāveic līdzsvarošanas tests, lai noteiktu, vai jūsu likumīgās intereses pārsniedz personas tiesības.

Jums būs jāinformē personas, ka tiek veikta videonovērošana. To var izdarīt, izvietojot informatīvās zīmes. Turklāt tās būtu jāizvieto pie visām ieejām, norādot videonovērošanas mērķi un pārziņa identitāti un kontaktinformāciju.

Personām, kuru attēlus fiksē videonovērošanas sistēma, ir jābūt pieejamai šādai informācijai:

• pārziņa identitāte un kontaktinformācija;
• apstrādes nolūki;
• apstrādes tiesiskais pamats  (ja ir leģitīmas intereses, konkrētu informāciju par to, kuras leģitīmās intereses ir saistītas ar konkrēto apstrādi, un par to, kas īsteno katru leģitīmo interesi);
• datu aizsardzības speciālista (ja tāds ir) kontaktinformācija;
• datu saņēmēji vai saņēmēju kategorijas;
• videomateriālu drošības pasākumi;
• videoierakstu glabāšanas periods;
• personu tiesības saskaņā ar VDAR un tiesības iesniegt sūdzību valsts datu aizsardzības iestādē.

Plašāka informācija:

• Apstrādājiet personas datus likumīgi
• Ievērojiet personu tiesības

Jā, zvana laikā jums ir jāinformē klienti par ierakstīšanas mērķiem, ierakstu saņēmējiem, viņu tiesībām iebilst un viņu tiesībām piekļūt ierakstiem.

Plašāka informācija:

• Apstrādājiet personas datus likumīgi