Personas dati ir jebkāda informācija, kas attiecas uz identificētu vai identificējamu dzīvu fizisku personu. Personas datus veido arī dažāda informācija, kuru apkopojot, var identificēt noteiktu personu.
Personas dati, kas ir tikuši deidentificēti, šifrēti vai pseidonimizēti, bet kurus var izmantot, lai atkārtoti identificētu noteiktu personu, joprojām ir uzskatāmi par personas datiem un tiem piemēro VDAR.
Personas dati, kas padarīti anonīmi tādā veidā, ka fiziskā persona vairs nav identificējama, vairs nav uzskatāmi par personas datiem. Lai dati būtu patiešām anonimizēti, anonimizēšanai jābūt neatgriezeniskai.
VDAR aizsargā personas datus neatkarīgi no datu apstrādē izmantotās tehnoloģijas — tā ir "tehnoloģiski neitrāla" un attiecas gan uz automatizētu, gan manuālu apstrādi, ja vien dati ir organizēti saskaņā ar iepriekš noteiktiem kritērijiem (piemēram, alfabētiskā secībā). Nav būtisks datu uzglabāšanas veids: datorizētā sistēmā, izmantojot videonovērošanu vai papīra formātā; visos gadījumos personas datiem piemēro Vispārīgajā datu aizsardzības regulā noteiktās aizsardzības prasības.
Datu pārzinis nosaka personas datu apstrādes nolūkus un līdzekļus. Tas ir, ja jūsu uzņēmums izlemj, kāpēc un kā personas dati apstrādājami, tad tas ir datu pārzinis.
Jūsu uzņēmums ir kopīgs pārzinis, ja kopā ar vienu vai vairākām citām organizācijām tas kopīgi lemj par to, kāpēc un kā personas dati jāapstrādā. Kopīgiem pārziņiem ir savstarpēji jāvienojas, nosakot savus attiecīgos pienākumus, lai ievērotu Vispārīgās datu aizsardzības regulas noteikumus. Par šīs vienošanās galvenajiem aspektiem ir jāinformē tās fiziskās personas, kuru personas dati tiek apstrādāti.
Datu apstrādātājs personas datus apstrādā tikai datu pārziņa vārdā Parasti datu apstrādātājs attiecībā pret uzņēmumu ir ārēja trešā persona. Tomēr uzņēmumu grupu gadījumā viens uzņēmums var darboties kā apstrādātājs cita uzņēmuma labā.
Apstrādātāja pienākumiem pret pārzini jābūt norādītiem līgumā vai citā juridiskā aktā. Piemēram, līgumā jābūt norādītam, kas notiek ar personas datiem pēc līguma izbeigšanas. Tipiska apstrādātāju darbība ir IT pakalpojumu sniegšana, piemēram, interneta vietnes glabāšana un uzturēšana. Datu apstrādātājs tikai tad drīkst nodot daļu veicamo uzdevumu citam apstrādātājam saskaņā ar apakšlīgumu vai arī iecelt kopīgu apstrādātāju, ja iepriekš ir saņemta rakstiska atļauja no datu pārziņa.
Jūsu uzņēmums var būt gan datu pārzinis, gan datu apstrādātājs kā arī veik šos abus uzdevumus.
Uzņēmumam/iestādei ir jāieceļ datu aizsardzības speciālists, vai nu tas ir pārzinis vai apstrādātājs, ja tā pamatdarbības ietver sensitīvu datu apstrādi plašā mērogā vai arī fizisku personu regulāru un sistemātisku novērošanu plašā mērogā. Šajā saistībā personu uzvedības novērošana ietver visu veidu izsekošanu un profilēšanu internetā, tostarp uz uzvedību balstītas reklamēšanas nolūkos.
Valsts pārvaldes iestādēm ir pienākums vienmēr iecelt datu aizsardzības speciālistu (izņemot tiesu iestādes, kad tās pilda tiesas funkciju).
Datu aizsardzības speciālists var būtu jūsu organizācijas darbinieks vai to var nolīgt ārēji, pamatojoties uz pakalpojumu līgumu. Datu aizsardzības speciālists var būt fiziska vai juridiska persona. Piesakies konsultācijai.
Novērtējums par ietekmi uz datu aizsardzību ir jāveic ikreiz, kad pastāv iespējamība, ka datu apstrāde varētu radīt augstu risku fizisku personu tiesībām un brīvībām. Novērtējums par ietekmi uz datu aizsardzību ir nepieciešams vismaz šādos gadījumos:
- ar fiziskām personām saistītu personisku aspektu sistemātiska un plaša novērtēšana, tostarp profilēšana;
- sensitīvu datu apstrāde plašā mērogā;
- publiski pieejamu zonu sistemātiska uzraudzība plašā mērogā, tajā skaitā video novērošana.
Jūsu uzņēmums drīkst apstrādāt personas datus tikai šādos gadījumos:
- ja attiecīgā persona ir devusi savu piekrišanu;
- ja līgumā ir noteikts pienākums (līgums starp jūsu uzņēmumu un klientu);
- lai izpildītu juridisku pienākumu, kas noteikts ES vai valsts tiesību aktā;
- ja apstrāde nepieciešama, lai izpildītu sabiedrības interesēs veicamu uzdevumu, kas noteikts Eiropas Savienības vai valsts tiesību aktā;
- lai aizsargātu fiziskas personas vitālās intereses;
- lai īstenotu jūsu organizācijas leģitīmās intereses, taču tikai pēc tam, kad esat pārbaudījis, vai netiek būtiski ietekmētas tās personas pamattiesības un pamatbrīvības, kuras datus apstrādājat. Ja personas tiesības ir svarīgākas par jūsu interesēm, tad nedrīkst apstrādāt datus, pamatojoties uz leģitīmām interesēm. Novērtējums par to, vai jūsu uzņēmumam ir leģitīmās intereses veikt datu apstrādi ir svarīgākas par attiecīgās personas interesēm, ir atkarīgs no konkrētā gadījuma apstākļiem.
Kā uzņēmumam vai iestādei jums bieži ir jāapstrādā personas dati, lai varētu veikt ar jūsu uzņēmējdarbību saistītus uzdevumus. Šajā kontekstā personas datu apstrādei vienmēr nav jābūt pamatotai ar juridisku pienākumu vai veiktai, lai izpildītu ar attiecīgo personu noslēgta līguma noteikumu. Šādos gadījumos, personas datu apstrādi var pamatot ar leģitīmām interesēm.
Jūsu uzņēmumam, veicot personas datu apstrādi, attiecīgās personas jāinformē par šo apstrādi.
Jūsu uzņēmumam arī jāpārbauda, vai, īstenojot savas leģitīmās intereses, būtiski neietekmē šo personu tiesības un brīvības. Pretējā gadījumā jūsu uzņēmums nevar leģitīmās intereses izmantot kā datu apstrādes pamatojumu, un ir jāatrod cits juridiskais pamats.
- personas dati, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību;;
- dati par dalību arodbiedrībā;
- ģenētiskie dati, biometriskie dati, ko apstrādā tikai, lai identificētu fizisku personu;
- ar veselību saistīti dati;
- dati par fiziskas personas dzimumdzīvi vai seksuālo orientāciju.