Katrai organizācijai, kas veic uzņēmējdarbību Eiropas Ekonomikas zonā (EEZ) vai piedāvā produktus vai pakalpojumus fiziskām personām EEZ, neatkarīgi no to lieluma vai nozares, apstrādājot personas datus ar automatizētiem līdzekļiem vai bez tiem, ir jāievēro VDAR. Lai gan VDAR galvenokārt attiecas uz automatizētu personas datu apstrādi, arī manuāli veiktās apstrādes darbības būs pakļautas GDPR prasībām, ja vien papīra dokumenti tiek organizēti sistemātiskā veidā, piemēram, alfabēta secībā kartotēkā. Apstrādes darbību piemēri ietver personas datu vākšanu, reģistrēšanu, organizēšanu, izmantošanu, labošanu, glabāšanu, izpaušanu, pārnešanu un dzēšanu.

Neskatoties uz to, GDPR piemērošana tiek pielāgota atkarībā no apstrādes darbību veida, konteksta, mērķiem un riskiem. Mazajiem un vidējiem uzņēmumiem, kuru pamatdarbība nav personas datu apstrāde,  prasības var nebūt tik striktas kā lieliem uzņēmumiem.

Plašāka informācija:

• Datu aizsardzības pamati

Nē, sensitīvu datu apstrāde parasti ir aizliegta, izņemot šādus gadījumus:

• Cilvēks ir devis nepārprotamu piekrišanu savu sensitīvo datu apstrādei.
• Sensitīvo datu apstrāde ir nepieciešama, lai pārzinis varētu izpildīt savus pienākumus, jo īpaši saistībā ar nodarbinātību, sociālo nodrošinājumu un sociālo aizsardzību. Piemēram, pārzinim var būt jāapstrādā personas sensitīvie dati, lai varētu noteikt, vai tai ir tiesības uz noteiktiem sociālajiem pabalstiem vai nodarbinātības nosacījumiem.
• Sensitīvo datu apstrāde ir nepieciešama, lai aizsargātu personas vitālās intereses, ja persona fiziski vai juridiski nespēj dot piekrišanu. Piemēram, ja cilvēks ir cietis nelaimes gadījumā, atrodas bezsamaņā un ir nepieciešama tūlītēja medicīniskā aprūpe, var būt nepieciešams apstrādāt šīs personas veselības datus, lai sniegtu atbilstošu medicīnisko aprūpi.
• Sensitīvo datu apstrāde tiek veikta saistībā ar fonda, apvienības vai citas bezpeļņas organizācijas leģitīmajām darbībām ar politisku, filozofisku, reliģisku vai arodbiedrības mērķi un tikai to biedru, bijušo biedru vai personu, kas ar viņiem regulāri sazinās, personas datu apstrādei.
• Sensitīvos datus publiskojusi pati persona.
• Sensitīvo datu apstrāde ir nepieciešama tiesvedībai.
• Sensitīvo datu apstrāde ir nepieciešama būtisku sabiedrības interešu jautājumos.
• Sensitīvo datu apstrāde ir nepieciešama profilaktiskās vai arodmedicīnas kontekstā. Piemēram, medicīnisko datu vērtēšana var būt nepieciešama, lai noteiktu personas kā darbinieka darba spējas.
• Sensitīvo datu apstrāde ir nepieciešama sabiedrības veselības jomā, pamatojoties uz ES vai valsts tiesību aktiem. Piemēram, personas sensitīvo datu apstrāde var būt nepieciešama, lai nodrošinātu augstu veselības aprūpes kvalitāti vai apkarotu nopietnus veselības apdraudējumus, piemēram, vīrusus.
• Sensitīvo datu apstrāde ir nepieciešama arhivēšanas nolūkos sabiedrības interesēs vai zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos. Piemēram, sensitīvo datu apstrāde var būt nepieciešama, lai sniegtu precīzu statistiku par valsts situāciju konkrētā jomā.

Plašāka informācija:

• Apstrādājiet personas datus likumīgi

Vispārīgā datu aizsardzības regula (VDAR) uzliek pienākumus visām organizācijām, kas apstrādā personas datus, neatkarīgi no tā, vai tās ir pārziņi vai apstrādātāji.

Svarīgākais, ko vajadzētu ņemt vērā:

• Pajautājiet sev, vai nolūks, kuram personas datus var vākt, ir pamatots, un vāciet tikai tos personas datus, kas ir nepieciešami konkrētajam(-iem) paredzētajam(-iem) mērķim(-iem);
• Atjauniniet fizisko personu personas datus un dzēsiet tos, kad tie vairs nav nepieciešami;
• Ievērojiet personu tiesības, informējot par to, kā un kāpēc tiek apstrādāti viņu dati, un ļaujiet cilvēkiem izmantot savas tiesības;
• Pārbaudiet, vai jums ir atbilstošs tiesiskais pamats personas datu apstrādei. Ja jūs plānojat apstrādi pamatot ar fizisku personu piekrišanu, pirms apstrādes to viņiem palūdziet;
• Nodrošiniet, ka personas dati tiek apstrādāti drošā veidā;
• Veiciet apstrādes darbību uzskaiti.

Datu apstrādātājiem ir jāpilda pienākumi, kas noteikti pārziņa un apstrādātāja līgumā, un tie nedrīkst apstrādāt datus citādi, kā vien saskaņā ar pārziņa norādījumiem.

Plašāka informācija:

• Atbilst prasībām
• Pārzinis vai apstrādātājs
• Datu aizsardzības pamati

Ja ir divi vai vairāki pārziņi, kas kopīgi nosaka apstrādes nolūku un līdzekļus, tos uzskata par kopīgiem pārziņiem. Viņi kopīgi nolemj apstrādāt personas ar kopīgu nolūku. Kopīga pārzināšana var izpausties dažādos veidos, un dažādu pārziņu līdzdalība var būt nevienlīdzīga. Tāpēc kopīgajiem pārziņiem ir jānosaka savi attiecīgie pienākumi attiecībā uz atbilstību VDAR.

Ir svarīgi atzīmēt, ka kopīga pārzināšana rada kopīgu atbildību par apstrādes darbību.

• Piemērs: Uzņēmumi A un B ir laiduši klajā zīmola produktu un vēlas organizēt pasākumu, lai to reklamētu. Šim nolūkam tie nolemj dalīties ar datiem no savām klientu un potenciālo klientu datubāzēm un, pamatojoties uz tiem, lemt par uzaicināto personu sarakstu. Viņi arī vienojas par kārtību ielūgumu nosūtīšanai uz pasākumu, par to, kā apkopot atsauksmes pasākuma laikā, un par turpmākajām mārketinga darbībām. Uzņēmumus A un B var uzskatīt par kopīgiem pārziņiem tādu personas datu apstrādei, kas saistīti ar reklāmas pasākuma organizēšanu, jo tie kopīgi lemj par kopīgi definētu datu apstrādes nolūku un būtiskiem līdzekļiem šajā kontekstā.

Plašāka informācija:

• Pārzinis vai apstrādātājs

Ja personas dati tiek tieši vākti no attiecīgajām personām, organizācijām ir jāsniedz informācija par apstrādes darbībām kodolīgā un pārredzamā veidā, izmantojot saprotamu, viegli pieejamu, skaidru un vienkāršu valodu. To var izdarīt rakstiski (piemēram, piedāvājuma otrā pusē) vai elektroniski (piemēram, tīmekļa vietnē). Ja attiecīgā persona to pieprasa, jūs varat arī sniegt šo informāciju mutiski, bet jums ir jāspēj pēc tam pierādīt, ka šāda informācija ir sniegta.

Pat tad, ja dati tika vākti netieši, t. i., ja jūs nevācat personas datus tieši no konkrētās personas, bet, piemēram, ar trešās personas starpniecību, jums ir jāsniedz tāda pati detalizēta informācija privātpersonām.

Jā, apstrādātājiem (t. i., fiziskām personām vai organizācijām, kas apstrādā datus pārziņa vārdā) Datu regulā ir noteikti dažādi pienākumi. Tomēr pastāv dažas atšķirības starp pārziņu un apstrādātāju pienākumiem.

Apstrādātājiem ir jāpilda pienākumi, kas noteikti pārziņa un apstrādātāja līgumā, kurā sīki izklāstītas apstrādes darbības un līdzekļi personas datu apstrādei. Piemēram, apstrādātājam būs jāveic apstrādes darbības ar atbilstošiem tehniskiem un organizatoriskiem pasākumiem, kā to norādījis pārzinis. To darot, apstrādātājs palīdz pārzinim ievērot VDAR.

Plašāka informācija:

• Pārzinis vai apstrādātājs

Jā, zvana laikā jums ir jāinformē klienti par ierakstīšanas mērķiem, ierakstu saņēmējiem, viņu tiesībām iebilst un viņu tiesībām piekļūt ierakstiem.

Plašāka informācija:

• Apstrādājiet personas datus likumīgi

DAS iecelšana ir obligāta šādos gadījumos:

• organizācija ir publiska iestāde;
• organizācijas pamatdarbība ir personu regulāra un sistemātiska uzraudzība plašā mērogā, piemēram, ģeolokācija, izmantojot mobilo lietotni, vai tirdzniecības centru un sabiedrisko vietu uzraudzība, izmantojot videonovērošanas sistēmas;
• organizācijas pamatdarbība ir sensitīvu datu vai personas datu, kas saistīti ar sodāmību un noziedzīgiem nodarījumiem, plaša mēroga apstrāde.

Jūs vienmēr varat iecelt DAS pēc brīvprātības principa, pat ja tas nav juridiski prasīts. Lūdzu, ņemiet vērā, ka šādā gadījumā jums ir jāievēro visi VDAR noteikumi par datu aizsardzības speciālista uzdevumiem un amatu.

Plašāka informācija:

• Datu aizsardzības speciālists

Jā, VDAR ir piemērojama, ja personas dati ir ietverti vai ir paredzēti iekļaušanai kartotēkā. Tas nozīmē, ka VDAR attiecas arī uz papīra formāta dokumentiem, nevis tikai uz personas datu automatizētu apstrādi.

Plašāka informācija:

• Datu aizsardzības pamati