Novērtējums par ietekmi uz datu aizsardzību jeb NIDA ir rakstisks novērtējums, kas jūsu organizācijai jāveic, lai novērtētu plānotās apstrādes darbības ietekmi. Tas palīdz jums noteikt piemērotus pasākumus risku novēršanai un atbilstības pierādīšanai.

Lai gan vienmēr ir vēlams paredzēt jūsu organizācijas plānoto apstrādes darbību ietekmi, veicot NIDA, tas obligāti jāveic, ja apstrāde var radīt augstu risku personu tiesībām un brīvībām.

Tas jo īpaši attiecas uz gadījumiem, kad paredzētā apstrāde ietver:

• sensitīvu personas datu vai ar sodāmību saistītu datu apstrādi plašā mērogā;  
• sistemātisku un plašu ar personu saistītu personas aspektu izvērtēšanu, kas balstās uz automatizētu apstrādi, tostarp profilēšanu, un uz kuras pamata tiek pieņemti lēmumi, kas rada tiesiskas sekas attiecībā uz personu vai līdzīgi būtiski ietekmē personas;
• publiski pieejamas telpas sistemātiska uzraudzība plašā mērogā.

EDAK ir izstrādājusi vadlīnijas, kurās uzskaitīti kritēriji, kas jums jāņem vērā, vērtējot, vai NIDA ir obligāts. Datu aizsardzības iestādes ir publicējušas arī to apstrādes darbību sarakstus, uz kurām attiecas NIDA. Turklāt vairākas DAI ir izstrādājušas rokasgrāmatas, programmatūru vai pašnovērtējuma rīkus, lai palīdzētu jums veikt novērtējumu.

Plašāka informācija:

• Atbilst prasībām

Spēkā esošs līgums starp pārzini un apstrādātāju ir obligāts saskaņā ar VDAR. Par pārkāpumu var piemērot administratīvo naudas sodu līdz 10 miljoniem euro vai līdz 2 % no uzņēmuma kopējā gada apgrozījuma atkarībā no tā, kura summa ir lielāka.

Dānijas un Slovēnijas datu aizsardzības iestādes, kā arī Eiropas Komisija ir izstrādājušas līgumu paraugus.

Plašāka informācija:

• Pārzinis vai apstrādātājs

DAS iecelšana ir obligāta šādos gadījumos:

• organizācija ir publiska iestāde;
• organizācijas pamatdarbība ir personu regulāra un sistemātiska uzraudzība plašā mērogā, piemēram, ģeolokācija, izmantojot mobilo lietotni, vai tirdzniecības centru un sabiedrisko vietu uzraudzība, izmantojot videonovērošanas sistēmas;
• organizācijas pamatdarbība ir sensitīvu datu vai personas datu, kas saistīti ar sodāmību un noziedzīgiem nodarījumiem, plaša mēroga apstrāde.

Jūs vienmēr varat iecelt DAS pēc brīvprātības principa, pat ja tas nav juridiski prasīts. Lūdzu, ņemiet vērā, ka šādā gadījumā jums ir jāievēro visi VDAR noteikumi par datu aizsardzības speciālista uzdevumiem un amatu.

Plašāka informācija:

• Datu aizsardzības speciālists

Nepieciešamie drošības pasākumi var atšķirties atkarībā no jūsu apstrādāto personas datu veida un ar to saistītajiem riskiem personām. Jebkurā gadījumā ir daži minimālie pasākumi, kas jums būtu jāievieš:

• droša piekļuve telpām;
• izmantot regulāri atjauninātu pretvīrusu programmatūru;
• rūpīgi izvēlieties savas paroles;
• nodrošiniet, lai lietotāji autentificētos pirms datoriekārtu izmantošanas;
• jābūt ieviestai datu dublēšanas un atjaunošanas politikai incidenta gadījumā.

Turklāt daži pamata pasākumi, piemēram, ekrāna bloķēšana, kamēr esat prom, un biroja aizslēgšana dienas beigās nav zaudējuši savu nozīmi...

Plašāka informācija:

• Personas datu drošība

1. Pārliecinieties, ka saņemtie dati ir iegūti likumīgi un ka datu subjekti ir informēti par viņu personas datu apstrādi.
2. Ja trešā persona apstrādā personas datus jūsu vārdā, pārliecinieties, ka jums ir pārziņa un apstrādātāja līgums, kurā norādītas apstrādes darbības un līdzekļi personas datu apstrādei.

Un, protams, ievērojiet visus pārziņu pienākumus.

Plašāka informācija:

• Pārzinis vai apstrādātājs

DAS uzdevumi ir šādi:

• informēt un konsultēt organizāciju un tās darbiniekus par datu aizsardzības ievērošanu;
• uzraudzīt atbilstību datu aizsardzības prasībām;
• sniegt konsultācijas par pieprasījumiem saistībā ar novērtējumu par ietekmi uz datu aizsardzību (NIDA);
• darboties kā datu aizsardzības iestādes kontaktpersonai un sadarboties ar minēto DAI;
• darboties kā personu kontaktpunktam.

Turklāt datu aizsardzības speciālista klātbūtne parasti ir ieteicama gadījumos, kad tiek pieņemti lēmumi, kas saistīti ar datu aizsardzību. Tiklīdz ir noticis datu aizsardzības pārkāpums vai cits incidents, būtu nekavējoties jāapspriežas ar DAS.

Plašāka informācija:

• Datu aizsardzības speciālists

DAS var būt jūsu esošais darbinieks ar pietiekamām zināšanām par VDAR (ja darbinieka profesionālie pienākumi ir saderīgi ar DAS profesionālajiem uzdevumiem un tas nerada interešu konfliktus) vai pieņemts darbā, pamatojoties uz līgumu par pakalpojuma sniegšanu (ārējs DAS). DAS ir jāspēj veikt uzdevumus patstāvīgi, un viņam ir jāspēj tieši atskaitīties augstākajai vadībai.

Plašāka informācija:

• Datu aizsardzības speciālists

Konkursa uzvarētāju vārdu publicēšanu jūsu tīmekļa vietnē varētu uzskatīt par leģitīmajām interesēm, ja jūs to varat pierādīt, veicot līdzsvarošanas testu, lai noteiktu, vai jūsu leģitīmās intereses pārsniedz personu tiesības.

Labā prakse būtu izveidot iekšēju kārtību, kurā izskaidroti noteikumi par uzvarētāju personas datu publicēšanu.

Turklāt personas datu apstrādei ar šādu nolūku vajadzētu būt daļai no konkursa privātuma politikas, lai dalībnieki tiktu iepriekš informēti par to, kā viņu dati tiks apstrādāti.

Plašāka informācija:

• Apstrādājiet personas datus likumīgi

Jūs nevarat personas datus glabāt mūžīgi.

Parasti personas datus var glabāt tikai tik ilgi, cik nepieciešams tā mērķa sasniegšanai, kādā personas dati tiek apstrādāti.

Dažos gadījumos uzglabāšanas laiku var noteikt normatīvajos aktos, piemēram, darba iekšējos noteikumos ir noteikts glabāšanas termiņš algu sarakstiem.

Organizācijām būtu jāievieš datu glabāšanas politika, lai nodrošinātu, ka personas dati netiek glabāti ilgāk, nekā tas ir nepieciešams. Personas dati ir jādzēš vai jāanonimizē, tiklīdz šie dati vairs nav nepieciešami mērķim, kuram tie tika apstrādāti.

Plašāka informācija:

• Datu aizsardzības pamati

Lai piekrišanu varētu uzskatīt par derīgu, tai jābūt:

• brīvi sniegtai;
• konkrētai;
• apzinātai;
• nepārprotamai.

Tas nozīmē, ka cilvēki var brīvi izvēlēties, vai piekrīt savu personas datu apstrādei; ir vajadzīga pietiekama informācija, lai viņi varētu saprast, kuri dati tiek apstrādāti, kādam nolūkam un kā tas tiek darīts; ir nepieciešama arī pietiekama detalizācijas pakāpe piekrišanas pieprasījumos.

Piekrišanai ir jābūt sniegtai skaidri apstiprinošas darbības veidā (bez iepriekš izdarītām atzīmēm piekrišanas lodziņos un atsevišķi no piemērojamajiem vispārīgajiem nosacījumiem).

Turklāt personām ir jābūt iespējai brīvi atsaukt savu piekrišanu (bez jebkādām negatīvām sekām), ja viņi vēlāk maina savu viedokli.

Plašāka informācija:

• Apstrādājiet personas datus likumīgi