Biežāk uzdotie jautājumi
Kas ir sīkdatnes?
Sīkdatnes ir nelieli faili, kas tiek glabāti ierīcē, piemēram, datorā, mobilajā telefonā vai jebkurā citā ierīcē, kas var saglabāt informāciju. Sīkdatnes pilda vairākas svarīgas funkcijas, tostarp atpazīst lietotājus un viņu iepriekšējo mijiedarbību ar tīmekļa vietni. Tās var izmantot, lai izsekotu preces tiešsaistes iepirkumu grozā vai lai izsekotu informāciju, kad informācija tiek ievietota tiešsaistes pieteikuma veidlapā.
Autentifikācijas sīkdatnes ir svarīgas arī, lai identificētu lietotājus, kad viņi piesakās banku vai citiem tiešsaistes pakalpojumiem. Sīkdatnēs glabātā informācija var ietvert personas datus, piemēram, IP adresi, lietotājvārdu, unikālo identifikatoru vai e-pasta adresi.
Vai es varu nosūtīt personas datus ārpus Eiropas Ekonomikas zonas (EEZ)?
Saskaņā ar VDAR ir divi galvenie veidi, kā pārsūtīt personas datus uz valsti, kas nav EEZ valsts, vai starptautisku organizāciju. Nosūtīšanu var veikt, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību vai, ja šāda lēmuma nav, pamatojoties uz atbilstošām garantijām, tostarp īstenojamām tiesībām un tiesiskās aizsardzības līdzekļiem fiziskām personām.
Plašāka informācija:
Kādas var būt sankcijas, ja mana organizācija neievēro VDAR vai ja mana apstrāde neatbilst VDAR prasībām?
Atbilstību VDAR prasībām uzrauga valstu datu aizsardzības iestādes (DAI). Datu aizsardzības iestādes vajadzības gadījumā var veikt izmeklēšanu un piemērot sodus. Datu aizsardzības iestāžu rīcībā ir vairāki instrumenti, tostarp administratīvie naudas sodi līdz 20 miljoniem euro vai 4 % no globālā gada apgrozījuma (atkarībā no tā, kurš no tiem ir lielāks), aizrādījumi un pagaidu vai pastāvīgs personas datu apstrādes aizliegums. Visu EEZ DAI kontaktinformāciju varat atrast EDAK tīmekļa vietnē: Locekļi
Plašāka informācija:
Kas ir novērtējums par ietekmi uz datu aizsardzību un kad tas ir obligāts?
Novērtējums par ietekmi uz datu aizsardzību jeb NIDA ir rakstisks novērtējums, kas jūsu organizācijai jāveic, lai novērtētu plānotās apstrādes darbības ietekmi. Tas palīdz jums noteikt piemērotus pasākumus risku novēršanai un atbilstības pierādīšanai.
Lai gan vienmēr ir vēlams paredzēt jūsu organizācijas plānoto apstrādes darbību ietekmi, veicot NIDA, tas obligāti jāveic, ja apstrāde var radīt augstu risku personu tiesībām un brīvībām.
Tas jo īpaši attiecas uz gadījumiem, kad paredzētā apstrāde ietver:
- sensitīvu personas datu vai ar sodāmību saistītu datu apstrādi plašā mērogā;
- sistemātisku un plašu ar personu saistītu personas aspektu izvērtēšanu, kas balstās uz automatizētu apstrādi, tostarp profilēšanu, un uz kuras pamata tiek pieņemti lēmumi, kas rada tiesiskas sekas attiecībā uz personu vai līdzīgi būtiski ietekmē personas;
- publiski pieejamas telpas sistemātiska uzraudzība plašā mērogā.
EDAK ir izstrādājusi vadlīnijas, kurās uzskaitīti kritēriji, kas jums jāņem vērā, vērtējot, vai NIDA ir obligāts. Datu aizsardzības iestādes ir publicējušas arī to apstrādes darbību sarakstus, uz kurām attiecas NIDA. Turklāt vairākas DAI ir izstrādājušas rokasgrāmatas, programmatūru vai pašnovērtējuma rīkus, lai palīdzētu jums veikt novērtējumu.
Plašāka informācija:
Vai es varu apstrādāt personas datus tikai tad, ja esmu saņēmis piekrišanu?
Personas datu apstrāde ir atļauta, ja tai var piemērot tiesisko pamatu. Papildu brīvai, konkrētai, apzinātai un nepārprotamai piekrišanai var piemērot arī citus apstrādes tiesiskos pamatus.
Citiem vārdiem sakot, piekrišana ir nepieciešama, ja nav piemērojams neviens no pārējiem tiesiskajiem pamatiem.
Plašāka informācija:
Vai man ir jābūt sertificētam, lai kļūtu par datu aizsardzības speciālistu (DAS)?
Nē, jums nav jābūt sertificētam, lai kļūtu par DAS.
Tomēr datu aizsardzības speciālistiem ir jāspēj pierādīt, ka viņiem ir nepieciešamā kvalifikācija, kas noteikta VDAR, piemēram, speciālās zināšanas par datu aizsardzības tiesību aktiem un praksi.
Plašāka informācija:
Es organizēju pasākumu savā uzņēmumā. Vai es varu fotografēt un filmēt cilvēkus, kas tajā piedalās?
Jā, bet, lai to darītu, jums vispirms jānosaka datu apstrādes tiesiskais pamats. Tas var būt, piemēram, leģitīmās intereses. Apstrādājot personas datus, pamatojoties uz leģitīmajām interesēm, vienmēr ir jāveic līdzsvarošanas tests, lai noteiktu, vai jūsu lieģitīmās intereses ir svarīgākas par personu tiesībām, jo īpaši, ja ir iesaistīti bērni.
Cits iespējamais tiesiskais pamats šādai apstrādei varētu būt piekrišana. Jebkurā gadījumā privātpersonas vienmēr iepriekš jāinformē par to, ka pasākums tiek fotografēts vai filmēts.
Plašāka informācija:
Ja es vēlos saglabāt kandidātu CV turpmākajiem atlases procesiem, vai man ir jālūdz viņu piekrišana?
Piekrišana patiešām varētu būt atbilstošs tiesiskais pamats CV glabāšanai. Cits iespējamais tiesiskais pamats varētu būt leģitīmas intereses. Tādā gadījumā jums būtu jāveic līdzsvarošanas tests, lai pierādītu, ka jūsu organizācijas leģitīmās intereses ir svarīgākas par pieteikuma iesniedzēju tiesībām.
Jebkurā gadījumā jums būs jāinformē kandidāti, ka plānojat glabāt viņu datus, un jāinformē, kādiem mērķiem to darāt.
Plašāka informācija:
Kas ir kopīgais pārzinis?
Ja ir divi vai vairāki pārziņi, kas kopīgi nosaka apstrādes nolūku un līdzekļus, tos uzskata par kopīgiem pārziņiem. Viņi kopīgi nolemj apstrādāt personas ar kopīgu nolūku. Kopīga pārzināšana var izpausties dažādos veidos, un dažādu pārziņu līdzdalība var būt nevienlīdzīga. Tāpēc kopīgajiem pārziņiem ir jānosaka savi attiecīgie pienākumi attiecībā uz atbilstību VDAR.
Ir svarīgi atzīmēt, ka kopīga pārzināšana rada kopīgu atbildību par apstrādes darbību.
- Piemērs: Uzņēmumi A un B ir laiduši klajā zīmola produktu un vēlas organizēt pasākumu, lai to reklamētu. Šim nolūkam tie nolemj dalīties ar datiem no savām klientu un potenciālo klientu datubāzēm un, pamatojoties uz tiem, lemt par uzaicināto personu sarakstu. Viņi arī vienojas par kārtību ielūgumu nosūtīšanai uz pasākumu, par to, kā apkopot atsauksmes pasākuma laikā, un par turpmākajām mārketinga darbībām. Uzņēmumus A un B var uzskatīt par kopīgiem pārziņiem tādu personas datu apstrādei, kas saistīti ar reklāmas pasākuma organizēšanu, jo tie kopīgi lemj par kopīgi definētu datu apstrādes nolūku un būtiskiem līdzekļiem šajā kontekstā.
Plašāka informācija:
Kas ir sensitīvi dati?
Daži personas datu veidi pieder pie īpašām personas datu kategorijām, kas nozīmē, ka tiem ir nepieciešama lielāka aizsardzība. Tos sauc par sensitīviem datiem. Tie ietver datus, kas atklāj informāciju par:
- veselību;
- seksuālo orientāciju;
- personas rases vai etnisko piederību;
- personas politiskajiem uzskatiem, reliģisko vai filozofisko pārliecību; personas dalību arodbiedrībās;
- personas biometriskajiem un ģenētiskajiem dati.
Sensitīvo datu apstrāde parasti ir aizliegta, izņemot atsevišķus gadījumus.
Plašāka informācija: