Biežāk uzdotie jautājumi
Vai datu aizsardzības speciālists (DAS) ir atbildīgs par VDAR ievērošanu?
DAS nevar tikt saukts pie atbildības par VDAR neievērošanu. Par Datu regulas prasību ievērošanu ir atbildīga organizācija, kas iecēlusi DAS.
Plašāka informācija:
Vai datu apstrādātājiem arī ir jāievēro VDAR?
Jā, apstrādātājiem (t. i., fiziskām personām vai organizācijām, kas apstrādā datus pārziņa vārdā) Datu regulā ir noteikti dažādi pienākumi. Tomēr pastāv dažas atšķirības starp pārziņu un apstrādātāju pienākumiem.
Apstrādātājiem ir jāpilda pienākumi, kas noteikti pārziņa un apstrādātāja līgumā, kurā sīki izklāstītas apstrādes darbības un līdzekļi personas datu apstrādei. Piemēram, apstrādātājam būs jāveic apstrādes darbības ar atbilstošiem tehniskiem un organizatoriskiem pasākumiem, kā to norādījis pārzinis. To darot, apstrādātājs palīdz pārzinim ievērot VDAR.
Plašāka informācija:
Vai es varu nosūtīt personas datus ārpus Eiropas Ekonomikas zonas (EEZ)?
Saskaņā ar VDAR ir divi galvenie veidi, kā pārsūtīt personas datus uz valsti, kas nav EEZ valsts, vai starptautisku organizāciju. Nosūtīšanu var veikt, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību vai, ja šāda lēmuma nav, pamatojoties uz atbilstošām garantijām, tostarp īstenojamām tiesībām un tiesiskās aizsardzības līdzekļiem fiziskām personām.
Plašāka informācija:
Vai es varu uzstādīt videonovērošanu uzņēmuma telpās, lai aizsargātu savu īpašumu?
Pirmais solis, lai uzstādītu videonovērošanu, ir noteikt mērķi, kādēļ tas tiek darīts. Mērķi var būt dažādi, piemēram, nodrošināt telpu drošību, palīdzēt novērst un atklāt zādzību un citus noziegumus vai aizsargāt darbinieku dzīvību un veselību darba specifikas dēļ.
Tāpat kā jebkurai personas datu apstrādei, arī fizisko personu reģistrēšanai ir jābūt tiesiskajam pamatam saskaņā ar Vispārīgo datu aizsardzības regulu (VDAR). Tiesiskais pamats varētu būt piekrišana. Tomēr ir maz ticams, ka tas attieksies uz videonovērošanas izmantošanu vairumā gadījumu, jo būs grūti iegūt brīvi sniegtu piekrišanu no visiem, kas tiks reģistrēti. Visizplatītākais tiesiskais pamats šāda veida personas datu apstrādei ir leģitīmas intereses. Ja apstrāde ir balstīta uz leģitīmajām interesēm, jums būs jāveic līdzsvarošanas tests, lai noteiktu, vai jūsu likumīgās intereses pārsniedz personas tiesības.
Jums būs jāinformē personas, ka tiek veikta videonovērošana. To var izdarīt, izvietojot informatīvās zīmes. Turklāt tās būtu jāizvieto pie visām ieejām, norādot videonovērošanas mērķi un pārziņa identitāti un kontaktinformāciju.
Personām, kuru attēlus fiksē videonovērošanas sistēma, ir jābūt pieejamai šādai informācijai:
- pārziņa identitāte un kontaktinformācija;
- apstrādes nolūki;
- apstrādes tiesiskais pamats (ja ir leģitīmas intereses, konkrētu informāciju par to, kuras leģitīmās intereses ir saistītas ar konkrēto apstrādi, un par to, kas īsteno katru leģitīmo interesi);
- datu aizsardzības speciālista (ja tāds ir) kontaktinformācija;
- datu saņēmēji vai saņēmēju kategorijas;
- videomateriālu drošības pasākumi;
- videoierakstu glabāšanas periods;
- personu tiesības saskaņā ar VDAR un tiesības iesniegt sūdzību valsts datu aizsardzības iestādē.
Plašāka informācija:
Kādi ir datu apstrādes tiesiskie pamati saskaņā ar VDAR?
Pārziņi drīkst apstrādāt personas datus tikai šādos gadījumos:
- ar datu subjekta piekrišanu;
- ja apstrāde ir nepieciešama līguma izpildei (līgums starp jūsu organizāciju un personu);
- lai izpildīt juridisku pienākumu saskaņā ar ES vai valsts tiesību aktiem;
- ja apstrāde ir nepieciešama, lai izpildītu uzdevumu, ko veic sabiedrības interesēs saskaņā ar ES vai valsts tiesību aktiem;
- lai aizsargātu personas vitālās intereses;
- jūsu organizācijas leģitīmajās interesēs, izņemot gadījumus, kad personas tiesības un brīvības ir svarīgākas par tām.
Turklāt VDAR paredz papildu nosacījumus sensitīvu datu apstrādei.
Plašāka informācija:
Kas ir novērtējums par ietekmi uz datu aizsardzību un kad tas ir obligāts?
Novērtējums par ietekmi uz datu aizsardzību jeb NIDA ir rakstisks novērtējums, kas jūsu organizācijai jāveic, lai novērtētu plānotās apstrādes darbības ietekmi. Tas palīdz jums noteikt piemērotus pasākumus risku novēršanai un atbilstības pierādīšanai.
Lai gan vienmēr ir vēlams paredzēt jūsu organizācijas plānoto apstrādes darbību ietekmi, veicot NIDA, tas obligāti jāveic, ja apstrāde var radīt augstu risku personu tiesībām un brīvībām.
Tas jo īpaši attiecas uz gadījumiem, kad paredzētā apstrāde ietver:
- sensitīvu personas datu vai ar sodāmību saistītu datu apstrādi plašā mērogā;
- sistemātisku un plašu ar personu saistītu personas aspektu izvērtēšanu, kas balstās uz automatizētu apstrādi, tostarp profilēšanu, un uz kuras pamata tiek pieņemti lēmumi, kas rada tiesiskas sekas attiecībā uz personu vai līdzīgi būtiski ietekmē personas;
- publiski pieejamas telpas sistemātiska uzraudzība plašā mērogā.
EDAK ir izstrādājusi vadlīnijas, kurās uzskaitīti kritēriji, kas jums jāņem vērā, vērtējot, vai NIDA ir obligāts. Datu aizsardzības iestādes ir publicējušas arī to apstrādes darbību sarakstus, uz kurām attiecas NIDA. Turklāt vairākas DAI ir izstrādājušas rokasgrāmatas, programmatūru vai pašnovērtējuma rīkus, lai palīdzētu jums veikt novērtējumu.
Plašāka informācija:
Vai es varu apstrādāt personas datus tikai tad, ja esmu saņēmis piekrišanu?
Personas datu apstrāde ir atļauta, ja tai var piemērot tiesisko pamatu. Papildu brīvai, konkrētai, apzinātai un nepārprotamai piekrišanai var piemērot arī citus apstrādes tiesiskos pamatus.
Citiem vārdiem sakot, piekrišana ir nepieciešama, ja nav piemērojams neviens no pārējiem tiesiskajiem pamatiem.
Plašāka informācija:
Vai man ir jābūt sertificētam, lai kļūtu par datu aizsardzības speciālistu (DAS)?
Nē, jums nav jābūt sertificētam, lai kļūtu par DAS.
Tomēr datu aizsardzības speciālistiem ir jāspēj pierādīt, ka viņiem ir nepieciešamā kvalifikācija, kas noteikta VDAR, piemēram, speciālās zināšanas par datu aizsardzības tiesību aktiem un praksi.
Plašāka informācija:
Es organizēju pasākumu savā uzņēmumā. Vai es varu fotografēt un filmēt cilvēkus, kas tajā piedalās?
Jā, bet, lai to darītu, jums vispirms jānosaka datu apstrādes tiesiskais pamats. Tas var būt, piemēram, leģitīmās intereses. Apstrādājot personas datus, pamatojoties uz leģitīmajām interesēm, vienmēr ir jāveic līdzsvarošanas tests, lai noteiktu, vai jūsu lieģitīmās intereses ir svarīgākas par personu tiesībām, jo īpaši, ja ir iesaistīti bērni.
Cits iespējamais tiesiskais pamats šādai apstrādei varētu būt piekrišana. Jebkurā gadījumā privātpersonas vienmēr iepriekš jāinformē par to, ka pasākums tiek fotografēts vai filmēts.
Plašāka informācija:
Ja es vēlos saglabāt kandidātu CV turpmākajiem atlases procesiem, vai man ir jālūdz viņu piekrišana?
Piekrišana patiešām varētu būt atbilstošs tiesiskais pamats CV glabāšanai. Cits iespējamais tiesiskais pamats varētu būt leģitīmas intereses. Tādā gadījumā jums būtu jāveic līdzsvarošanas tests, lai pierādītu, ka jūsu organizācijas leģitīmās intereses ir svarīgākas par pieteikuma iesniedzēju tiesībām.
Jebkurā gadījumā jums būs jāinformē kandidāti, ka plānojat glabāt viņu datus, un jāinformē, kādiem mērķiem to darāt.
Plašāka informācija: