Pārziņi drīkst apstrādāt personas datus tikai šādos gadījumos:

• ar datu subjekta piekrišanu;
• ja apstrāde ir nepieciešama līguma izpildei (līgums starp jūsu organizāciju un personu);
• lai izpildīt juridisku pienākumu saskaņā ar ES vai valsts tiesību aktiem;
• ja apstrāde ir nepieciešama, lai izpildītu uzdevumu, ko veic sabiedrības interesēs saskaņā ar ES vai valsts tiesību aktiem;
• lai aizsargātu personas vitālās intereses;
• jūsu organizācijas leģitīmajās interesēs, izņemot gadījumus, kad personas tiesības un brīvības ir svarīgākas par tām.

Turklāt VDAR paredz papildu nosacījumus sensitīvu datu apstrādei.

Plašāka informācija:

• Apstrādājiet personas datus likumīgi

Konkursa uzvarētāju vārdu publicēšanu jūsu tīmekļa vietnē varētu uzskatīt par leģitīmajām interesēm, ja jūs to varat pierādīt, veicot līdzsvarošanas testu, lai noteiktu, vai jūsu leģitīmās intereses pārsniedz personu tiesības.

Labā prakse būtu izveidot iekšēju kārtību, kurā izskaidroti noteikumi par uzvarētāju personas datu publicēšanu.

Turklāt personas datu apstrādei ar šādu nolūku vajadzētu būt daļai no konkursa privātuma politikas, lai dalībnieki tiktu iepriekš informēti par to, kā viņu dati tiks apstrādāti.

Plašāka informācija:

• Apstrādājiet personas datus likumīgi

Nē, jums nav jābūt sertificētam, lai kļūtu par DAS.

Tomēr datu aizsardzības speciālistiem ir jāspēj pierādīt, ka viņiem ir nepieciešamā kvalifikācija, kas noteikta VDAR, piemēram, speciālās zināšanas par datu aizsardzības tiesību aktiem un praksi.

Plašāka informācija:

• Datu aizsardzības speciālists

Katrai organizācijai, kas veic uzņēmējdarbību Eiropas Ekonomikas zonā (EEZ) vai piedāvā produktus vai pakalpojumus fiziskām personām EEZ, neatkarīgi no to lieluma vai nozares, apstrādājot personas datus ar automatizētiem līdzekļiem vai bez tiem, ir jāievēro VDAR. Lai gan VDAR galvenokārt attiecas uz automatizētu personas datu apstrādi, arī manuāli veiktās apstrādes darbības būs pakļautas GDPR prasībām, ja vien papīra dokumenti tiek organizēti sistemātiskā veidā, piemēram, alfabēta secībā kartotēkā. Apstrādes darbību piemēri ietver personas datu vākšanu, reģistrēšanu, organizēšanu, izmantošanu, labošanu, glabāšanu, izpaušanu, pārnešanu un dzēšanu.

Neskatoties uz to, GDPR piemērošana tiek pielāgota atkarībā no apstrādes darbību veida, konteksta, mērķiem un riskiem. Mazajiem un vidējiem uzņēmumiem, kuru pamatdarbība nav personas datu apstrāde,  prasības var nebūt tik striktas kā lieliem uzņēmumiem.

Plašāka informācija:

• Datu aizsardzības pamati

Vispārīgā datu aizsardzības regula nodrošina privātpersonām kontroli pār viņu personas datu apstrādi. Lai to panāktu, ļoti svarīga ir pārredzamība. Tas nozīmē, ka jums ir jāinformē personas, kuru datus apstrādājat, par apstrādi un tās nolūkiem. Citiem vārdiem sakot, jums ir jāizskaidro, kas apstrādā viņu datus, kā arī kā un kāpēc. Tikai tad, ja personas datu izmantošana iesaistītajām personām ir pārredzama, tās var novērtēt visus riskus un pieņemt lēmumus par saviem personas datiem.

Saskaņā ar VDAR jums ir pienākums sniegt personām šādu informāciju:

• pārziņa identitāte un kontaktinformācija;
• datu apstrādes nolūki;
• apstrādes tiesiskais pamats  (leģitīmo interešu gadījumā - konkrēta informācija par to, ar kādām leģitīmajām interesēm attiecīgā apstrāde ir saistīta);
• pārziņa kontaktinformācija;
• DAS kontaktinformācija (ja ir DAS);
• datu saņēmēji vai saņēmēju kategorijas;
• Informācija par to, vai dati tiks pārsūtīti ārpus Eiropas Ekonomikas zonas (EEZ) (attiecīgā gadījumā: tas, vai pastāv vai nav pieņemts lēmums par aizsardzības līmeņa pietiekamību vai atsauce uz piemērotiem aizsardzības pasākumiem, un tas, kā šo informāciju var darīt pieejamu datu subjektiem);
• apstrādāto personas datu kategorijas, ja dati nav iegūti no personas.

Turklāt VDAR nosaka, ka jūsu organizācijai ir jāsniedz šāda informācija, lai nodrošinātu godprātīgu un pārredzamu apstrādi:

• glabāšanas periods vai, ja tas nav iespējams, kritēriji, pēc kuriem nosaka šo periodu;
• tiesības pieprasīt piekļuvi personas datiem, to dzēšanu, labošanu, ierobežošanu, pārnesamību;
• tiesības iesniegt sūdzību datu aizsardzības iestādei;
• ja apstrādes tiesiskais pamats ir piekrišana, tiesības jebkurā laikā to atsaukt;
• automatizētas lēmumu pieņemšanas gadījumā - attiecīgu informāciju par loģiku, kas ir tās pamatā, un apstrādes plānotajām sekām attiecībā uz datu subjektu;
• personas datu avots (ja jūs tos tieši nesaņēmāt no attiecīgās personas);
• vai personai ir pienākums sniegt personas datus (saskaņā ar likumu vai līgumu, vai slēgt līgumu) un kādas ir datu sniegšanas atteikuma sekas.

Plašāka informācija:

• Ievērojiet personu tiesības

Jums būtu jāatbild bez nepamatotas kavēšanās un ne vēlāk kā viena mēneša laikā pēc pieprasījuma saņemšanas. Šo termiņu var pagarināt vēl par diviem mēnešiem, ja pieprasījums ir pārāk sarežģīts un ir vajadzīgs vairāk laika, lai atbildētu, ja persona par to tiek informēta viena mēneša laikā pēc pieprasījuma saņemšanas.

Jums tas jādara bez maksas.

Plašāka informācija:

• Ievērojiet personu tiesības

Jūs nevarat personas datus glabāt mūžīgi.

Parasti personas datus var glabāt tikai tik ilgi, cik nepieciešams tā mērķa sasniegšanai, kādā personas dati tiek apstrādāti.

Dažos gadījumos uzglabāšanas laiku var noteikt normatīvajos aktos, piemēram, darba iekšējos noteikumos ir noteikts glabāšanas termiņš algu sarakstiem.

Organizācijām būtu jāievieš datu glabāšanas politika, lai nodrošinātu, ka personas dati netiek glabāti ilgāk, nekā tas ir nepieciešams. Personas dati ir jādzēš vai jāanonimizē, tiklīdz šie dati vairs nav nepieciešami mērķim, kuram tie tika apstrādāti.

Plašāka informācija:

• Datu aizsardzības pamati

Jā, bet, lai to darītu, jums vispirms jānosaka datu apstrādes tiesiskais pamats. Tas var būt, piemēram, leģitīmās intereses. Apstrādājot personas datus, pamatojoties uz leģitīmajām interesēm, vienmēr ir jāveic līdzsvarošanas tests, lai noteiktu, vai jūsu lieģitīmās intereses ir svarīgākas par personu tiesībām, jo īpaši, ja ir iesaistīti bērni.

Cits iespējamais tiesiskais pamats šādai apstrādei varētu būt piekrišana. Jebkurā gadījumā privātpersonas vienmēr iepriekš jāinformē par to, ka pasākums tiek fotografēts vai filmēts.

Plašāka informācija:

• Apstrādājiet personas datus likumīgi

Piekrišana patiešām varētu būt atbilstošs tiesiskais pamats CV glabāšanai. Cits iespējamais tiesiskais pamats varētu būt leģitīmas intereses. Tādā gadījumā jums būtu jāveic līdzsvarošanas tests, lai pierādītu, ka jūsu organizācijas leģitīmās intereses ir svarīgākas par pieteikuma iesniedzēju tiesībām.

Jebkurā gadījumā jums būs jāinformē kandidāti, ka plānojat glabāt viņu datus, un jāinformē, kādiem mērķiem to darāt.

Plašāka informācija:

• Apstrādājiet personas datus likumīgi

Fiziskām personām ir tiesības pieprasīt savu personas datu dzēšanu, un pārzinim ir pienākums šos datus dzēst. Jums būtu jāatbild bez nepamatotas kavēšanās un ne vēlāk kā viena mēneša laikā pēc pieprasījuma saņemšanas. Šo termiņu var pagarināt vēl par diviem mēnešiem, ja pieprasījums ir pārāk sarežģīts un ir vajadzīgs vairāk laika, lai to izpildītu, ar noteikumu, ka persona par to tiek informēta viena mēneša laikā pēc pieprasījuma saņemšanas.

Ir svarīgi atzīmēt, ka tiesības uz dzēšanu nav absolūtas. Tās nav piemērojamas, ja attiecīgie dati ir nepieciešami:

• lai izmantotu tiesības uz vārda un informācijas brīvību (piemēram, žurnālistikas nolūkos);
• juridiskam pienākumam, kas paredz personas datu apstrādi (piemēram, darbinieku darba laika ierakstu apstrāde);
• sabiedrības interesēs veselības jomā;
• arhivēšanas nolūkos sabiedrības interesēs vai zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos; un
• juridisku prasību īstenošanai vai aizstāvībai.

Ja dzēšamie personas dati iepriekš ir nosūtīti citām organizācijām, jums ir jāinformē šie saņēmēji par to, ka persona ir pieprasījusi dzēšanu, ja vien tas ir iespējams un neprasa nesamērīgas pūles.

Plašāka informācija:

• Ievērojiet personu tiesības