Kas ir personas dati?

Personas dati ir jebkura informācija, kas attiecas uz identificētu vai identificējamu personu.

Informācija, kas var ļaut tieši vai netieši identificēt personu un tādējādi kvalificēties kā personas dati, ir:

  • klientu, ieinteresēto personu, darbinieku, pakalpojumu sniedzēju vārds, uzvārds, tālruņa numurs;
  • identifikācijas numuri, piemēram, personas klienta numurs, darbinieka numurs;
  • rezervācijas numurs;
  • e-pasta adreses, atrašanās vietas dati;
  • personas pārlūkošanas vēsture;
  • personas pirkumu vēsture un kvītis;
  • fotogrāfijas, video un audio ieraksti, kuros redzamas vai dzirdamas personas. 

Ar šiem personas datiem cilvēku var tieši vai netieši identificēt:

  • ja jūsu organizācija apstrādā, piemēram, personas vārdu vai uzvārdu, šie personas dati ļauj tieši identificēt šo personu;
  • ja jūsu organizācija apstrādā, piemēram, personas klienta numuru vai rezervācijas numuru, šie personas dati var ļaut netieši identificēt šo personu.
  • Par personas datiem tiek uzskatīta arī jebkāda veida informācija, kas tiek apstrādāta saistībā ar tieši vai netieši identificētu personu (piemēram, izvēles, paradumi).

Īpašu kategoriju personas dati

Daži personas datu veidi, ko parasti sauc par sensitīviem datiem, pieder pie īpašām kategorijām, kam piemēro lielāku aizsardzību. Saskaņā ar VDAR 9. pantu par sensitīviem ir uzskatāmi:

  • dati par personas veselību;
  • dati par personas dzimumdzīvi vai seksuālo orientāciju;
  • dati par personas rasi vai etnisko piederību;
  • dati par personas politiskajiem uzskatiem, reliģisko vai filozofisko pārliecību;
  • personas biometriskie un ģenētiskie dati;
  • dati par dalību arodbiedrībās.

Sensitīvo personas datu apstrāde parasti ir aizliegta, izņemot īpašus gadījumus (piemēram, ja ir sniegta nepārprotama piekrišana).

Lai iegūtu sīkāku informāciju, kādos gadījumos var apstrādāt sensitīvus datus, ieskatieties - Kā apstrādāt personas datus likumīgi

 

Personas dati par sodāmību un noziedzīgiem nodarījumiem

Personas datu apstrāde, kas attiecas uz sodāmību un noziedzīgiem nodarījumiem, ir pakļauta stingriem juridiskiem nosacījumiem. Šos datus var apstrādāt tikai kompetentā iestāde (piemēram, policija) oficiālās iestādes uzraudzībā vai tad, ja to atļauj normatīvie akti.

VDAR labās prakses kontrolsaraksts

  • Pajautājiet sev, vai nolūks, kādēļ personas dati tiek vākti, ir pamatots.
  • Vāciet tikai tādus personas datus, kas ir nepieciešami konkrētajam(-iem) mērķim
    (-iem).
  • Informē personas par to, kā un ar kādu mērķi var tikt apstrādāti viņu dati.
  • Pārliecinieties, vai jums ir atbilstošs tiesiskais pamats personas datu apstrādei. Ja apstrādi plānojat pamatot ar fiziskas personas piekrišanu, jums tā jāiegūst, pirms sākat apstrādāt datus. 
  • Pārliecinieties, ka personas dati tiek apstrādāti droši. 
  • Gādājiet, lai personas dati būtu precīzi un aktuāli.
  • Dzēsiet personu datus, kad tie vairs nav nepieciešami. Lūdzu, ņemiet vērā, ka valsts normatīvajos aktos var būt noteikts pienākums glabāt konkrētus datus (piemēram, grāmatvedības dokumentus). 

Kas ir personas datu apstrāde?

Personas datu apstrāde ir jebkura ar personas datiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem. 

Apstrādes darbību piemēri ir personas datu vākšana, reģistrācija, organizēšana, izmantošana, pārveidošana, glabāšana, izpaušana u.c.

Kaut arī VDAR galvenokārt attiecas uz automatizētu personas datu apstrādi, tā ietver arī manuālas apstrādes darbības. Tas nozīmē, ka, sākot no brīža, kad dati papīra formātā tiek sistemātiski sakārtoti, piemēram, alfabēta secībā kartotēkā, VDAR attieksies arī uz šiem datiem. 

Vai uz jūsu uzņēmumu attiecas VDAR?

VDAR var attiekties uz visām privātajām un publiskajām organizācijām, ja:

  • attiecīgā organizācija ir reģistrēta ES vai Eiropas Ekonomikas zonā (EEZ — ES valstis + Islande, Lihtenšteina un Norvēģija); vai
  • organizācija nav reģistrēta EEZ, bet tās produkti vai pakalpojumi tiek piedāvāti privātpersonām, kas atrodas EEZ, vai organizācija uzrauga to personu uzvedību, kuras atrodas EEZ.

VDAR attiecas arī uz jebkuru apakšuzņēmēju, kas privātās vai publiskās organizācijas vārdā apstrādā personas datus.

Praksē VDAR attiecas uz jums, ja ir piemērojams viens no šādiem nosacījumiem:

  • jūs esat uzņēmums, kas atrodas EEZ valstī;
  • jūs esat organizācija, kas atrodas valstī, kura nav EEZ valsts un kas pārdod preces vai piedāvā pakalpojumus, tostarp bezmaksas, fiziskām personām EEZ valstī;
  • jūs esat IT uzņēmums, kas atrodas ārpus EEZ. Jūsu uzņēmums ir noslēdzis apakšuzņēmuma līgumu ar privātu organizāciju, kas darbojas iekšējā tirgū un atrodas EEZ. Šajā līgumā jums ir uzticēta IT datubāžu pārvaldība, tostarp klienta datubāzes administrēšana
  • Jūs esat pakalpojumu sniedzējs, kas atrodas EEZ un apstrādā personas datus cita uzņēmuma vārdā.

VDAR pamatprincipi

Apstrādājot personas datus, jūsu organizācijai ir jāievēro 6 VDAR pamatprincipi. Turklāt ir jāspēj pierādīt, ka šie pamatprincipi tiešām tiek ievēroti. 

 

Likumība, taisnīgums un pārredzamība

 

Jebkurai personas datu apstrādei ir jābūt likumīgai, godīgai un pārredzamai.

Jūsu organizācija var apstrādāt personas datus tikai tad, ja plānotā apstrāde ir likumīga, pamatojoties uz personas piekrišanu, nepieciešama līguma izpildei vai pamatojoties uz kādu citu no VDAR 6. pantā minētajiem datu apstrādes tiesiskajiem pamatiem.

Ja apstrāde tiek pamatota ar piekrišanu, jūsu organizācijai ir jānodrošina, ka tā ir brīvi sniegta, apzināta, konkrēta un nepārprotama. Citiem vārdiem sakot, nav šaubu, ka personas ir informētas par to, kam tās piekrīt, kādiem nolūkiem apstrāde tiek veikta, un ka šī piekrišana tika sniegta pirms apstrādes uzsākšanas. Turklāt ir jābūt iespējai brīvi savu piekrišanu astaukt. Ja jūs saprotat, ka datu apstrāde tomēr būs nepieciešama (t. i., saistībā ar līgumu), tas nozīmē, ka piekrišana nav piemērots tiesiskais pamats. 

Mērķa ierobežojums

Jūsu organizācija var vākt personas datus tikai konkrētiem, precīzi formulētiem un likumīgiem mērķiem. Personas datu apstrādei stingri jāaprobežojas ar sākotnēji noteikto (-ajiem) nolūku(-iem), tāpēc datus nedrīkst apstrādāt citiem mērķiem.

 

Datu minimizēšana

Jūsu organizācija var apstrādāt tikai tādus personas datus, kas ir nepieciešami un samērīgi paredzētajam mērķim. 

 

Precizitāte

Personas datiem, kurus apstrādā jūsu organizācija, jābūt precīziem un aktuāliem. Neprecīzie personas dati ir jālabo vai jādzēš.

 

Uzglabāšanas ierobežojumi

Personas datu glabāšanai jābūt ar laika ierobežojumu, ņemot vērā nolūku, kādam šie dati tika vākti un apstrādāti. Tādējādi personas dati ir jādzēš vai jāanonimizē, kad tie vairs nav nepieciešami. Praksē tas nozīmē, ka jūsu organizācijā ir jābūt ieviestai iekšējai politikai attiecībā uz datu glabāšanas termiņiem katram nolūkam, kā arī datu dzēšanas procedūrai.

 

Drošība

Personas datu apstrāde ir jāveic droši. Ir jāievieš stingri datu aizsardzības pasākumi, piemēram, atbilstoši kiberdrošības pasākumi, lai nodrošinātu, ka personu dati tiek pienācīgi aizsargāti. Šiem pasākumiem jānovērš  nejauša, neatļauta vai nelikumīga datu izpaušana, nozaudēšana, iznīcināšana vai bojāšana.