Kas ir pārzinis?

Pārzinis nosaka personas datu apstrādes nolūkus un līdzekļus. Citiem vārdiem sakot, pārzinis izlemj, kā un kāpēc tiek veikta datu apstrādes darbība. Pārzinis var būt juridiska persona, piemēram, uzņēmums, MVU, publiska iestāde, aģentūra vai cita struktūra.

Dažos gadījumos personas datu apstrādes nolūkus un līdzekļus, kā arī pārzini var noteikt ES vai dalībvalsts tiesību aktos.

Kas ir kopīgie pārziņi jeb koppārziņi?

Ja ir divi vai vairāki pārziņi, kas kopīgi nosaka apstrādes nolūku un līdzekļus, tos uzskata par kopīgajiem pārziņiem. Viņi kopīgi nolemj apstrādāt personas datus ar vienu mērķi. Kopīgai kontrolei var būt dažādi veidi, un dažādu pārziņu līdzdalība var būt nevienlīdzīga. Tāpēc kopīgajiem pārziņiem ir jānosaka viņu atbildība par atbilstību VDAR. 

Kādi ir pārziņa vai kopīgā pārziņa pienākumi?

Lemjot par personas datu apstrādes nolūkiem un līdzekļiem, pārzinim vai koppārzinim ir jānodrošina personas datu aizsardzība. 

Lai to panāktu, pārzinim vai kopīgajiem pārziņiem ir jāievieš pasākumi, lai aizsargātu personas datus un ļautu personām īstenot savas tiesības.

Papildinformāciju skatiet kontrolsarakstā “Pārziņa/Kopīgo pārziņu pienākumi”.

Kas ir datu apstrādātājs?

Apstrādātājs rīkojas tikai saskaņā ar pārziņa norādījumiem, apstrādājot personas datus pārziņa vārdā.

Līdzīgi kā pārzinis vai koppārzinis datu apstrādātājs var būt juridiska persona, piemēram, uzņēmums, MVU, publiska iestāde, aģentūra vai citas struktūras.

Kas ir apakšapstrādātājs?

Apakšapstrādātājs rīkojas saskaņā ar apstrādātāja norādījumiem, kas nozīmē, ka tas var apstrādāt fizisku personu datus apstrādātāja vārdā. Apakšapstrādātājs var būt juridiska persona, piemēram, uzņēmums, MVU, valsts iestāde, aģentūra vai cita struktūra.

Jāatzīmē, ka apakšapstrādātāju var iecelt tikai tad, ja pārzinis vai koppārzinis to rakstiski pilnvaro. Šim apstrādātāja un apakšapstrādātāja līgumam jānodrošina tāds pats fizisko personu datu aizsardzības līmenis kā sākotnējam apstrādātāja līgumam. 

Kādi ir apstrādātaja pienākumi?

Lai gan vispārējā atbildība parasti gulstas uz pārzini, arī datu apstrādātājiem ir konkrēti pienākumi saskaņā ar VDAR. Apstrādātājiem ir jāveic datu apstrādes darbības, izmantojot atbilstošus tehniskos un organizatoriskos pasākumus, ko norādījis datu pārzinis vai kopīgais pārzinis. To darot, apstrādātājs palīdz pārzinim ievērot Vispārīgo datu aizsardzības regulu.
Pārziņa un apstrādātāja attiecības, tostarp apstrādātāja pienākumi, jāreglamentē ar līgumu, kurā dokumentētas apstrādes darbības un personas datu apstrādes līdzekļi.

Papildu informāciju meklējiet kontrolsarakstā “Apstrādātaja pienākumi”.

 

Ko iekļaut pārziņa un apstrādātāja līgumā?

Līgumā starp pārzini vai kopīgo pārzini un apstrādātāju jānosaka, ka datu apstrādātājs:

  • apstrādā personas datus tikai pēc pārziņa norādījumiem, tostarp attiecībā uz personas datu nosūtīšanu uz valsti ārpus EEZ;
  • nodrošina, ka personas, kas ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti vai tām ir pienākums ievērot konfidencialitāti;
  • nodrošina apstrādes drošību;
  • neiesaista citu datu apstrādātāju bez iepriekšējas konkrētas vai vispārējas rakstiskas atļaujas no pārziņa, kuram ir reāla iespēja iebilst;
  • palīdz pārzinim veikt pārziņa pienākumus – izpildīt personu pieprasījumus īstenot savas tiesības;
  • palīdz pārzinim nodrošināt apstrādi, ziņot par datu aizsardzības pārkāpumiem un veikt NIDA;
  • sniedz pārzinim visu nepieciešamo informāciju, lai pierādītu atbilstību VDAR noteiktajiem pienākumiem;
    dod iespēju veikt revīziju, tostarp pārbaudes, ko veic pārzinis vai cits pārziņa pilnvarots revidents, un piedalās to veikšanā.

Ko iekļaut apstrādātaja — apakšapstrādātāja līgumā?

Līgumā starp apstrādātāju un apakšapstrādātāju jāiekļauj īpašas klauzulas, kas garantē, ka apstrādājamie personas dati tiks aizsargāti tādā pašā veidā, kā paredzēts pārziņa un apstrādātāja līgumā.

 

Kas un kam ir atbildīgs ?

Pārzinis vai kopīgais pārzinis ir atbildīgs gan par savu atbilstību VDAR, gan par izvēlētā apstrādātāja atbilstību. Konkrēti, ja apstrādātājs nepilda savus pienākumus saskaņā ar VDAR, pārzinis vai kopīgais pārzinis varētu tikt saukts pie atbildības, un tam varētu piemērot naudas sodus un citas sekas.

Apstrādātājs ir atbildīgs gan par savu atbilstību VDAR, gan par pārziņa atbildību par līguma pārkāpšanu. Apstrādātājs var būt atbildīgs arī pārziņa priekšā par pārkāpumiem, ko izdarījis apakšapstrādātājs. 

 

Pienākumu kontrolsaraksts

Pārziņa vai kopīgā pārziņa pienākumu kontrolsaraksts

  • Datu aizsardzības principu ievērošana saskaņā ar VDAR 5. pantu
  • Personu datu aizsardzības tiesību ievērošana
  • Apstrādes darbību uzskaite
  • Apstrādes drošības garantēšana
  • Atbilstoša datu apstrādātāja izvēle
  • Saistošā līgumā detalizēti aprakstītas pārziņa un apstrādātāja attiecības
  • Personas datu aizsardzības pārkāpumu paziņošana attiecīgajai EEZ datu aizsardzības iestādei un attiecīgā gadījumā fiziskām personām
  • Uzņemties atbildību par apstrādes darbībām, īstenot integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma, vajadzības gadījumā veikt novērtējumus par ietekmi uz datu aizsardzību;
  • Ja nepieciešams, Datu aizsardzības speciālista iecelšana
  • Datu aizsardzības pienākumu ievērošana attiecībā uz personas datu starptautisku nosūtīšanu
  • Sadarbība ar datu aizsardzības iestādēm
     

Apstrādātaja pienākumu kontrolsaraksts
 

  • Sekot pārziņa norādījumiem
  • Apstrādes darbību uzskaite
  • Apstrādes drošības garantēšana
  • Saistošā pārziņa un apstrādātāja līguma ievērošana un uzturēšana
  • Pirms jauna apakšapstrādātāja iecelšanas saņemt pārziņa atļauju (un dot pārzinim iespēju iebilst). Vajadzības gadījumā jānoslēdz apstrādātāja un apakšapstrādātāja līgums, kas ir līdzvērtīgs sākotnējam līgumam.
  • Personas datu aizsardzības pārkāpumu paziņošana datu pārzinim
  • VDAR pārkāpumu paziņošana pārzinim
  • Atskaitīšanās par apstrādes darbībām: piemēram, integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma
  • Datu aizsardzības speciālista iecelšana, ja tāds ir nepieciešams
  • Nodrošināt, ka pārzinis atļauj starptautisku datu nosūtīšanu un ka tā atbilst VDAR prasībām
  • Sadarbība ar datu aizsardzības iestādēm