Navigation path

Kā es varu nodrošināt personas datu aizsardzības noteikumu ievērošanu?

Kā es varu nodrošināt personas datu aizsardzības noteikumu ievērošanu?

Jūsu tiešsaistes klienti var sniegt jums informāciju par savu vārdu, adresi, banku vai kredītkarti, tomēr jums kā personai, kas veic elektronisko tirdzniecību, ir pienākums aizsargāt savu klientu personas datus no ļaunprātīgas izmantošanas un ievērot viņu tiesības uz privātumu, veicot viņu personas datu apstrādi. 

Personas dati ir definēti kā informācija, kas attiecas uz identificētu vai identificējamu indivīdu (“datu subjektu”). 

Personas datu, kurus var izmantot, lai identificētu indivīdu, piemēri: vārds, dzimums, identifikācijas numurs (personas kods), kredītkartes numurs, kontaktinformācija (adrese, telefona numurs, e-pasta adrese, u. c.), vecums un dzimšanas datums, sociālās apdrošināšanas numurs, nodokļu maksātāja reģistrācijas numurs, dzimtā valoda, biometriskie dati (piem., pirkstu nospiedumi vai DNS).

Noteikti personas datu veidi tiek klasificēti kā sensitīvi dati, t. i., datu kategorijas, kas atklāj rasi vai etnisko izcelsmi, politiskos uzskatus, reliģisko vai filozofisko pārliecību, dalību arodbiedrībā vai informāciju par veselību vai seksuālo dzīvi. Jūs nedrīkstat apstrādāt sensitīvus datus, ja vien datu subjekts jums nav sniedzis skaidri paustu piekrišanu. 

“Datu apstrāde” ir jebkura darbība, ko veic ar personas datiem, tostarp izmantojot automatizētas metodes, piemēram, datu vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana.

Datu vākšanas struktūrām noteikto personas datu aizsardzības prasību ievērošana

2018. gada 25. maijā stājās spēkā Vispārīgā datu aizsardzības regula (VDAR) — tā ir uzskatāma par būtisku ES datu aizsardzības noteikumu reformu, ar kuru tiek atjaunināta Datu aizsardzības direktīva 95/46/EK. Visu, kas jums jāzina par noteikumiem, kas jāievēro uzņēmumiem un organizācijām, varat atrast Eiropas Komisijas tīmekļa vietnes lapā, kas veltīta ES datu aizsardzības noteikumu reformai.

VDAR noteikumi ir piemērojami ne vien tad, ja esat reģistrēts vai veicat uzņēmējdarbību ES teritorijā, bet arī tad, ja ES datu subjektu personas datus apstrādājat ārpus ES. 

Saskaņā ar ES datu aizsardzības noteikumiem jūs tiekat uzskatīts par datu pārzini, ja esat persona, kura (vai nu atsevišķi vai kopā ar citiem) nosaka, kādēļ (nolūki) un kā (apstrādes līdzekļi) tiek apstrādāti jūsu klientu personas dati. 

Ja jūs esat persona, kura apstrādā personas datus datu pārziņa vārdā (piemēram, kā mākoņdatošanas pakalpojumu sniedzējs, tirgus izpētes uzņēmums vai personāla vadības uzņēmums), tad jūs esat uzskatāms par datu apstrādātāju. 

Papildus jūsu klientu uzticības iegūšanai, datu vākšanas struktūrām ir pienākums:
•    nodrošināt, ka dati tiek vākti godprātīgi un pārredzami, un ka klienti tiek pienācīgi informēti  par to, kādu personas datu apstrādi jūs veicat;
•    vākt un apstrādāt personas datus tikai leģitīmos nolūkos, proti, tikai tad, ja tas ir nepieciešams (piem., līguma izpildei);
•    ievērot noteiktus pienākumus attiecībā uz personas datu apstrādi. Cita starpā, vākt personas datus pārziņa vārdā jūs varat tikai tad, ja ir noslēgts rakstisks līgums, kurā ir paredzēti vairāki nosacījumi, kuri datu apstrādātājam ir obligāti jāievēro, kā tas noteikts VDAR. Datu apstrādātājam ir arī jāveido datu apstrādes darbību reģistri un pēc pieprasījuma jādara tie pieejami uzraudzības iestādei. Jums ir jānodrošina, ka jūsu datu subjekti var piekļūt datiem, labot, dzēst vai bloķēt nepareizus datus par sevi un ka personas dati netiek glabāti ilgāk, nekā tas ir nepieciešams;
•    atbildēt uz sūdzībām, kas saņemtas par datu apstrādes darbībām;
•    sadarboties ar valsts datu aizsardzības uzraudzības iestādēm, kuras pārrauga, vai jūs ievērojat valsts datu aizsardzības tiesību aktus, un kuras izskata privātpersonu iesniegtās prasības attiecībā uz viņu personas datu apstrādi. 

Ņemiet vērā, ka gadījumā, ja kāda persona, kas ir jūsu darbinieks, izpauž personas datus un pārkāpj datu aizsardzības tiesību aktus, par to likuma priekšā būs jāatbild jums.

4.3. Informējiet savus klientus

Ja jūs veicat personas datu apstrādi, jums ir pienākums informēt savus klientus. Šajā nolūkā jums savā tīmekļa vietnē vajadzētu publicēt privātuma atrunu “saprotamā veidā, izmantojot skaidru un vienkāršu valodu”.

Jums kā datu vākšanas struktūrai ir pienākums sniegt vismaz šādu informāciju:
•    pilnu sava uzņēmuma, organizācijas nosaukumu vai savu vārdu (kā datu pārzinim);
•    jūsu kontaktinformāciju;
•    datu izmantošanas nolūku aprakstu;
•    apstrādes darbību veikšanas vietu;
•    to personu, valsts iestāžu, aģentūru vai jebkādu citu struktūru sarakstu, kurām dati varētu tikt izpausti;
•    to, kā privātpersonas var aplūkot savus personas datus un izmantot savas tiesības attiecībā uz tiem (piem., kā piekļūt, labot un dzēst personas datus), kā arī to, kā viņi var iebilst pret savu datu izmantošanu tiešās tirgvedības vajadzībām.

Privātuma atrunā tāpat var iekļaut papildu informāciju, piemēram, to, cik ilgi personas dati tiks glabāti, kā personas dati tiek aizsargāti utt.

Austria Complete the notification via  Österreichische Datenschutzbehörde website before starting the processing activity.
Belgium Complete the notification via Commission for the protection of privacy website before starting the processing activity.
Bulgaria Complete the notification via Commission for Personal Data Protection website before starting the processing activity.
Croatia Complete the notification via Croatian Personal Data Protection Agency website before starting the processing activity.
Cyprus Complete the notification via Commissioner for Personal Data Protection website before starting the processing activity.
Czech Republic Complete the notification via The Office for Personal Data Protection website before starting the processing activity.
Denmark Complete the notification via Datatilsynet website before starting the processing activity.
Estonia Complete the notification via Estonian Data Protection Inspectorate (Andmekaitse Inspektsioon) website before starting the processing activity.
Finland Complete the notification via Office of the Data Protection website before starting the processing activity.
France Complete the notification via Commission Nationale de l'Informatique et des Libertés website before starting the processing activity.
Germany Complete the notification via Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit website before starting the processing activity.
Greece Complete the notification via Hellenic Data Protection Authority website before starting the processing activity.
Hungary Complete the notification via Data Protection Commissioner of Hungary website before starting the processing activity.
Ireland Complete the notification via Data Protection Commissioner website before starting the processing activity.
Italy Complete the notification via Garante per la protezione dei dati personali website before starting the processing activity.
Latvija Pirms datu apstrādes darbību uzsākšanas iesniedziet paziņojumu Datu valsts inspekcijas tīmekļa vietnē.
Lithuania Complete the notification via State Data Protection website before starting the processing activity.
Luxembourg Complete the notification via Commission nationale pour la protection des données website before starting the processing activity.
Malta Complete the notification via Office of the Information and Data Protection Commissioner website before starting the processing activity.
Netherlands Complete the notification via College bescherming persoonsgegevens
(Dutch Data Protection Authority) website before starting the processing activity.
Poland Complete the notification via The Bureau of the Inspector General for the Protection of Personal Data website before starting the processing activity.
Portugal Complete the notification via Comissão Nacional de Protecção de Dados website before starting the processing activity.
Romania Complete the notification via The National Supervisory Authority for Personal Data Processing website before starting the processing activity.
Slovakia Complete the notification via Office for Personal Data Protection of the Slovak Republic website before starting the processing activity.
Slovenia Complete the notification via Information Commissioner website before starting the processing activity.
Spain Complete the notification via Agencia de Protección de Datos website before starting the processing activity.
Sweden Complete the notification via Datainspektionen website before starting the processing activity.
United Kingdom Complete the notification via The Office of the Information Commissioner Executive Department website before starting the processing activity.

 

Informācijas avoti

Personas datu aizsardzības prasību ievērošana
•    Eiropas Savienības Pamattiesību aģentūra un Eiropas Padome, (2014. g.), Rokasgrāmata par Eiropas tiesību aktiem datu aizsardzības jomā
•    ES Datu aizsardzības direktīva (Direktīva 95/46/EK)
•    Datu aizsardzības direktīva: http://ec.europa.eu/justice/data-protection/index_en.htm 
•    EK Tiesiskums (2014. g.), Personas datu aizsardzība, pieejams: http://ec.europa.eu/justice/data-protection/index_en.htm 
•    EK Tiesiskums, 29. panta darba grupa, pieejams: http://ec.europa.eu/justice/data-protection/article-29/index_en.htm 

Paziņošana valsts iestādei
•    ES Datu aizsardzības direktīva (Direktīva 95/46/EK)

Informējiet savus klientus savā tīmekļa vietnē
•    Eiropas Savienības Pamattiesību aģentūra un Eiropas Padome, (2014. g.), Rokasgrāmata par Eiropas tiesību aktiem datu aizsardzības jomā
•    ES Datu aizsardzības direktīva (Direktīva 95/46/EK) — 10. pants

Country specifics

Suggested country specifics to be covered:

National Data protection authority

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?