Personas datu apstrāde ir jebkura ar personas datiem veikta darbība. Tā ietver personas datu vākšanu, reģistrēšanu, organizēšanu, strukturēšanu, glabāšanu, pielāgošanu vai pārveidošanu, izgūšanu, aplūkošanu, izmeklēšanu, izmantošanu, izpaušanu, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošanu vai kombinēšanu, ierobežošanu, dzēšanu vai iznīcināšanu.

Atbilstību VDAR prasībām uzrauga valstu datu aizsardzības iestādes (DAI). Datu aizsardzības iestādes vajadzības gadījumā var veikt izmeklēšanu un piemērot sodus. Datu aizsardzības iestāžu rīcībā ir vairāki instrumenti, tostarp administratīvie naudas sodi līdz 20 miljoniem euro vai 4 % no globālā gada apgrozījuma (atkarībā no tā, kurš no tiem ir lielāks), aizrādījumi un pagaidu vai pastāvīgs personas datu apstrādes aizliegums. Visu EEZ DAI kontaktinformāciju varat atrast EDAK tīmekļa vietnē: Locekļi

Plašāka informācija:

• Datu aizsardzības iestāde un jūs

Pārziņa un apstrādātāja līgumā jānosaka, ka  apstrādātājs:

• apstrādā personas datus tikai pēc pārziņa norādījumiem, tas attiecas arī uz personas datu nosūtīšanu uz valsti ārpus EEZ;
• nodrošina, ka personas, kas ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti vai tām ir pienākums ievērot konfidencialitāti;
• nodrošina apstrādes drošību;
• neiesaista citu apstrādātāju bez iepriekšējas konkrētas vai vispārējas rakstiskas pārziņa atļaujas;
• palīdz pārzinim izpildīt tā pienākumus- atbildēt uz personas pieprasījumiem īstenot savas tiesības;
• palīdz pārzinim nodrošināt apstrādi, ziņot par datu aizsardzības pārkāpumiem un veikt NIDA;
• pēc pārziņa izvēles visus personas datus pēc pakalpojumu sniegšanas beigām dzēš vai atdod pārzinim;
• sniedz pārzinim visu nepieciešamo informāciju, lai pierādītu atbilstību VDAR noteiktajiem pienākumiem;
• nodrošina revīzijas, tostarp pārbaudes, ko veic pārzinis vai cits pārziņa pilnvarots revidents, un piedalās tajās.

Turklāt apstrādātājs nekavējoties informē pārzini, ja tas uzskata, ka norādījumi pārkāpj VDAR vai citus ES vai valsts datu aizsardzības noteikumus.

Plašāka informācija:

• Pārzinis vai apstrādātājs

Novērtējums par ietekmi uz datu aizsardzību jeb NIDA ir rakstisks novērtējums, kas jūsu organizācijai jāveic, lai novērtētu plānotās apstrādes darbības ietekmi. Tas palīdz jums noteikt piemērotus pasākumus risku novēršanai un atbilstības pierādīšanai.

Lai gan vienmēr ir vēlams paredzēt jūsu organizācijas plānoto apstrādes darbību ietekmi, veicot NIDA, tas obligāti jāveic, ja apstrāde var radīt augstu risku personu tiesībām un brīvībām.

Tas jo īpaši attiecas uz gadījumiem, kad paredzētā apstrāde ietver:

• sensitīvu personas datu vai ar sodāmību saistītu datu apstrādi plašā mērogā;  
• sistemātisku un plašu ar personu saistītu personas aspektu izvērtēšanu, kas balstās uz automatizētu apstrādi, tostarp profilēšanu, un uz kuras pamata tiek pieņemti lēmumi, kas rada tiesiskas sekas attiecībā uz personu vai līdzīgi būtiski ietekmē personas;
• publiski pieejamas telpas sistemātiska uzraudzība plašā mērogā.

EDAK ir izstrādājusi vadlīnijas, kurās uzskaitīti kritēriji, kas jums jāņem vērā, vērtējot, vai NIDA ir obligāts. Datu aizsardzības iestādes ir publicējušas arī to apstrādes darbību sarakstus, uz kurām attiecas NIDA. Turklāt vairākas DAI ir izstrādājušas rokasgrāmatas, programmatūru vai pašnovērtējuma rīkus, lai palīdzētu jums veikt novērtējumu.

Plašāka informācija:

• Atbilst prasībām

VDAR attiecas uz sīkdatņu izmantošanu, ja tās tiek izmantotas personas datu apstrādei, bet ir arī konkrētāki noteikumi par sīkdatnēm, kas ietverti E-privātuma direktīvā.

Sīkdatņu uzglabāšana lietotāja ierīcē vai piekļuves iegūšana jau uzglabātai sīkdatnei ir atļauta tikai ar nosacījumu, ka attiecīgais abonents vai lietotājs ir pienācīgi informēts (jo īpaši par apstrādes nolūkiem) un ir devis savu piekrišanu.

Vienīgais izņēmums ir tehniski nepieciešamās sīkdatnes. Organizācijām nav jālūdz piekrišana, ja tās savās tīmekļa vietnēs izmanto tehniski nepieciešamās sīkdatnes.

Plašāka informācija:

• Apstrādājiet personas datus likumīgi

Saskaņā ar VDAR ir divi galvenie veidi, kā pārsūtīt personas datus uz valsti, kas nav EEZ valsts, vai starptautisku organizāciju. Nosūtīšanu var veikt, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību vai, ja šāda lēmuma nav, pamatojoties uz atbilstošām garantijām, tostarp īstenojamām tiesībām un tiesiskās aizsardzības līdzekļiem fiziskām personām.

Plašāka informācija:

• Personas datu nosūtīšana ārpus EEZ

Pirmais solis, lai uzstādītu videonovērošanu, ir noteikt mērķi, kādēļ tas tiek darīts. Mērķi var būt dažādi, piemēram, nodrošināt telpu drošību, palīdzēt novērst un atklāt zādzību un citus noziegumus vai aizsargāt darbinieku dzīvību un veselību darba specifikas dēļ.

Tāpat kā jebkurai personas datu apstrādei, arī fizisko personu reģistrēšanai ir jābūt tiesiskajam pamatam saskaņā ar Vispārīgo datu aizsardzības regulu (VDAR). Tiesiskais pamats varētu būt piekrišana. Tomēr ir maz ticams, ka tas attieksies uz videonovērošanas izmantošanu vairumā gadījumu, jo būs grūti iegūt brīvi sniegtu piekrišanu no visiem, kas tiks reģistrēti. Visizplatītākais tiesiskais pamats šāda veida personas datu apstrādei ir leģitīmas intereses. Ja apstrāde ir balstīta uz leģitīmajām interesēm, jums būs jāveic līdzsvarošanas tests, lai noteiktu, vai jūsu likumīgās intereses pārsniedz personas tiesības.

Jums būs jāinformē personas, ka tiek veikta videonovērošana. To var izdarīt, izvietojot informatīvās zīmes. Turklāt tās būtu jāizvieto pie visām ieejām, norādot videonovērošanas mērķi un pārziņa identitāti un kontaktinformāciju.

Personām, kuru attēlus fiksē videonovērošanas sistēma, ir jābūt pieejamai šādai informācijai:

• pārziņa identitāte un kontaktinformācija;
• apstrādes nolūki;
• apstrādes tiesiskais pamats  (ja ir leģitīmas intereses, konkrētu informāciju par to, kuras leģitīmās intereses ir saistītas ar konkrēto apstrādi, un par to, kas īsteno katru leģitīmo interesi);
• datu aizsardzības speciālista (ja tāds ir) kontaktinformācija;
• datu saņēmēji vai saņēmēju kategorijas;
• videomateriālu drošības pasākumi;
• videoierakstu glabāšanas periods;
• personu tiesības saskaņā ar VDAR un tiesības iesniegt sūdzību valsts datu aizsardzības iestādē.

Plašāka informācija:

• Apstrādājiet personas datus likumīgi
• Ievērojiet personu tiesības

Nepieciešamie drošības pasākumi var atšķirties atkarībā no jūsu apstrādāto personas datu veida un ar to saistītajiem riskiem personām. Jebkurā gadījumā ir daži minimālie pasākumi, kas jums būtu jāievieš:

• droša piekļuve telpām;
• izmantot regulāri atjauninātu pretvīrusu programmatūru;
• rūpīgi izvēlieties savas paroles;
• nodrošiniet, lai lietotāji autentificētos pirms datoriekārtu izmantošanas;
• jābūt ieviestai datu dublēšanas un atjaunošanas politikai incidenta gadījumā.

Turklāt daži pamata pasākumi, piemēram, ekrāna bloķēšana, kamēr esat prom, un biroja aizslēgšana dienas beigās nav zaudējuši savu nozīmi...

Plašāka informācija:

• Personas datu drošība

1. Pārliecinieties, ka saņemtie dati ir iegūti likumīgi un ka datu subjekti ir informēti par viņu personas datu apstrādi.
2. Ja trešā persona apstrādā personas datus jūsu vārdā, pārliecinieties, ka jums ir pārziņa un apstrādātāja līgums, kurā norādītas apstrādes darbības un līdzekļi personas datu apstrādei.

Un, protams, ievērojiet visus pārziņu pienākumus.

Plašāka informācija:

• Pārzinis vai apstrādātājs

Ja jūsu organizācija personas datus vāc tieši no privātpersonām, tai ir jāsniedz vajadzīgā informācija vākšanas laikā.

Netiešas personas datu vākšanas gadījumā jūsu organizācijai informācija jāsniedz ne vēlāk kā viena mēneša laikā pēc personas datu sākotnējās iegūšanas. Šo maksimālo viena mēneša periodu var saīsināt:

• ja personas dati tiek izmantoti saziņai ar datu subjektu. Šādā gadījumā jums jāinformē datu subjekts ne vēlāk kā brīdī, kad notiek pirmā saziņa ar datu subjektu;
• ja dati tiek nosūtīti citam saņēmējam, organizācija par to informē datu subjektus vēlākais tad, kad personas dati tiek nosūtīti.

Plašāka informācija:

• Ievērojiet personu tiesības