Katrai organizācijai, kas veic uzņēmējdarbību Eiropas Ekonomikas zonā (EEZ) vai piedāvā produktus vai pakalpojumus fiziskām personām EEZ, neatkarīgi no to lieluma vai nozares, apstrādājot personas datus ar automatizētiem līdzekļiem vai bez tiem, ir jāievēro VDAR. Lai gan VDAR galvenokārt attiecas uz automatizētu personas datu apstrādi, arī manuāli veiktās apstrādes darbības būs pakļautas GDPR prasībām, ja vien papīra dokumenti tiek organizēti sistemātiskā veidā, piemēram, alfabēta secībā kartotēkā. Apstrādes darbību piemēri ietver personas datu vākšanu, reģistrēšanu, organizēšanu, izmantošanu, labošanu, glabāšanu, izpaušanu, pārnešanu un dzēšanu.

Neskatoties uz to, GDPR piemērošana tiek pielāgota atkarībā no apstrādes darbību veida, konteksta, mērķiem un riskiem. Mazajiem un vidējiem uzņēmumiem, kuru pamatdarbība nav personas datu apstrāde,  prasības var nebūt tik striktas kā lieliem uzņēmumiem.

Plašāka informācija:

• Datu aizsardzības pamati

Ja ir divi vai vairāki pārziņi, kas kopīgi nosaka apstrādes nolūku un līdzekļus, tos uzskata par kopīgiem pārziņiem. Viņi kopīgi nolemj apstrādāt personas ar kopīgu nolūku. Kopīga pārzināšana var izpausties dažādos veidos, un dažādu pārziņu līdzdalība var būt nevienlīdzīga. Tāpēc kopīgajiem pārziņiem ir jānosaka savi attiecīgie pienākumi attiecībā uz atbilstību VDAR.

Ir svarīgi atzīmēt, ka kopīga pārzināšana rada kopīgu atbildību par apstrādes darbību.

• Piemērs: Uzņēmumi A un B ir laiduši klajā zīmola produktu un vēlas organizēt pasākumu, lai to reklamētu. Šim nolūkam tie nolemj dalīties ar datiem no savām klientu un potenciālo klientu datubāzēm un, pamatojoties uz tiem, lemt par uzaicināto personu sarakstu. Viņi arī vienojas par kārtību ielūgumu nosūtīšanai uz pasākumu, par to, kā apkopot atsauksmes pasākuma laikā, un par turpmākajām mārketinga darbībām. Uzņēmumus A un B var uzskatīt par kopīgiem pārziņiem tādu personas datu apstrādei, kas saistīti ar reklāmas pasākuma organizēšanu, jo tie kopīgi lemj par kopīgi definētu datu apstrādes nolūku un būtiskiem līdzekļiem šajā kontekstā.

Plašāka informācija:

• Pārzinis vai apstrādātājs

DAS nevar tikt saukts pie atbildības par VDAR neievērošanu. Par Datu regulas prasību ievērošanu ir atbildīga organizācija, kas iecēlusi DAS.

Plašāka informācija:

• Datu aizsardzības speciālists

Jā, apstrādātājiem (t. i., fiziskām personām vai organizācijām, kas apstrādā datus pārziņa vārdā) Datu regulā ir noteikti dažādi pienākumi. Tomēr pastāv dažas atšķirības starp pārziņu un apstrādātāju pienākumiem.

Apstrādātājiem ir jāpilda pienākumi, kas noteikti pārziņa un apstrādātāja līgumā, kurā sīki izklāstītas apstrādes darbības un līdzekļi personas datu apstrādei. Piemēram, apstrādātājam būs jāveic apstrādes darbības ar atbilstošiem tehniskiem un organizatoriskiem pasākumiem, kā to norādījis pārzinis. To darot, apstrādātājs palīdz pārzinim ievērot VDAR.

Plašāka informācija:

• Pārzinis vai apstrādātājs

Jā, VDAR ir piemērojama, ja personas dati ir ietverti vai ir paredzēti iekļaušanai kartotēkā. Tas nozīmē, ka VDAR attiecas arī uz papīra formāta dokumentiem, nevis tikai uz personas datu automatizētu apstrādi.

Plašāka informācija:

• Datu aizsardzības pamati

Vispārīgā datu aizsardzības regula nodrošina privātpersonām kontroli pār viņu personas datu apstrādi. Lai to panāktu, ļoti svarīga ir pārredzamība. Tas nozīmē, ka jums ir jāinformē personas, kuru datus apstrādājat, par apstrādi un tās nolūkiem. Citiem vārdiem sakot, jums ir jāizskaidro, kas apstrādā viņu datus, kā arī kā un kāpēc. Tikai tad, ja personas datu izmantošana iesaistītajām personām ir pārredzama, tās var novērtēt visus riskus un pieņemt lēmumus par saviem personas datiem.

Saskaņā ar VDAR jums ir pienākums sniegt personām šādu informāciju:

• pārziņa identitāte un kontaktinformācija;
• datu apstrādes nolūki;
• apstrādes tiesiskais pamats  (leģitīmo interešu gadījumā - konkrēta informācija par to, ar kādām leģitīmajām interesēm attiecīgā apstrāde ir saistīta);
• pārziņa kontaktinformācija;
• DAS kontaktinformācija (ja ir DAS);
• datu saņēmēji vai saņēmēju kategorijas;
• Informācija par to, vai dati tiks pārsūtīti ārpus Eiropas Ekonomikas zonas (EEZ) (attiecīgā gadījumā: tas, vai pastāv vai nav pieņemts lēmums par aizsardzības līmeņa pietiekamību vai atsauce uz piemērotiem aizsardzības pasākumiem, un tas, kā šo informāciju var darīt pieejamu datu subjektiem);
• apstrādāto personas datu kategorijas, ja dati nav iegūti no personas.

Turklāt VDAR nosaka, ka jūsu organizācijai ir jāsniedz šāda informācija, lai nodrošinātu godprātīgu un pārredzamu apstrādi:

• glabāšanas periods vai, ja tas nav iespējams, kritēriji, pēc kuriem nosaka šo periodu;
• tiesības pieprasīt piekļuvi personas datiem, to dzēšanu, labošanu, ierobežošanu, pārnesamību;
• tiesības iesniegt sūdzību datu aizsardzības iestādei;
• ja apstrādes tiesiskais pamats ir piekrišana, tiesības jebkurā laikā to atsaukt;
• automatizētas lēmumu pieņemšanas gadījumā - attiecīgu informāciju par loģiku, kas ir tās pamatā, un apstrādes plānotajām sekām attiecībā uz datu subjektu;
• personas datu avots (ja jūs tos tieši nesaņēmāt no attiecīgās personas);
• vai personai ir pienākums sniegt personas datus (saskaņā ar likumu vai līgumu, vai slēgt līgumu) un kādas ir datu sniegšanas atteikuma sekas.

Plašāka informācija:

• Ievērojiet personu tiesības

VDAR paredz īpašas tiesības personām, kuras ir jāievēro. To var izdarīt:

• informējot personas, kuru datus jūs apstrādājat, par savām apstrādes darbībām un apstrādes nolūkiem, kad ievācat viņu datus, piemēram, izvietojot privātuma paziņojumu jūsu tīmekļa vietnē;
• atbildot uz personu pieprasījumiem, kad viņi vēlas izmantot savas tiesības, piemēram, piekļūt datiem, tos labot, dzēst vai pārnest.

Organizācijas, kas ir pārredzamas attiecībā uz personas datu izmantošanu un ievēro personu tiesības, retāk kļūst par sūdzību objektiem.

Plašāka informācija:

• Ievērojiet personu tiesības

Vispārīgā datu aizsardzības regula (VDAR) uzliek pienākumus visām organizācijām, kas apstrādā personas datus, neatkarīgi no tā, vai tās ir pārziņi vai apstrādātāji.

Svarīgākais, ko vajadzētu ņemt vērā:

• Pajautājiet sev, vai nolūks, kuram personas datus var vākt, ir pamatots, un vāciet tikai tos personas datus, kas ir nepieciešami konkrētajam(-iem) paredzētajam(-iem) mērķim(-iem);
• Atjauniniet fizisko personu personas datus un dzēsiet tos, kad tie vairs nav nepieciešami;
• Ievērojiet personu tiesības, informējot par to, kā un kāpēc tiek apstrādāti viņu dati, un ļaujiet cilvēkiem izmantot savas tiesības;
• Pārbaudiet, vai jums ir atbilstošs tiesiskais pamats personas datu apstrādei. Ja jūs plānojat apstrādi pamatot ar fizisku personu piekrišanu, pirms apstrādes to viņiem palūdziet;
• Nodrošiniet, ka personas dati tiek apstrādāti drošā veidā;
• Veiciet apstrādes darbību uzskaiti.

Datu apstrādātājiem ir jāpilda pienākumi, kas noteikti pārziņa un apstrādātāja līgumā, un tie nedrīkst apstrādāt datus citādi, kā vien saskaņā ar pārziņa norādījumiem.

Plašāka informācija:

• Atbilst prasībām
• Pārzinis vai apstrādātājs
• Datu aizsardzības pamati

Jums būtu jāatbild bez nepamatotas kavēšanās un ne vēlāk kā viena mēneša laikā pēc pieprasījuma saņemšanas. Šo termiņu var pagarināt vēl par diviem mēnešiem, ja pieprasījums ir pārāk sarežģīts un ir vajadzīgs vairāk laika, lai atbildētu, ja persona par to tiek informēta viena mēneša laikā pēc pieprasījuma saņemšanas.

Jums tas jādara bez maksas.

Plašāka informācija:

• Ievērojiet personu tiesības

Ja jūsu organizācija personas datus vāc tieši no privātpersonām, tai ir jāsniedz vajadzīgā informācija vākšanas laikā.

Netiešas personas datu vākšanas gadījumā jūsu organizācijai informācija jāsniedz ne vēlāk kā viena mēneša laikā pēc personas datu sākotnējās iegūšanas. Šo maksimālo viena mēneša periodu var saīsināt:

• ja personas dati tiek izmantoti saziņai ar datu subjektu. Šādā gadījumā jums jāinformē datu subjekts ne vēlāk kā brīdī, kad notiek pirmā saziņa ar datu subjektu;
• ja dati tiek nosūtīti citam saņēmējam, organizācija par to informē datu subjektus vēlākais tad, kad personas dati tiek nosūtīti.

Plašāka informācija:

• Ievērojiet personu tiesības