top of page

Prasību ievērošana

BG1_edited.png

Vai manam uzņēmumam ir jāveic novērtējums par ietekmi uz datu aizsardzību?

 

Novērtējums par ietekmi uz datu aizsardzību sastāv no vairākiem novērtējumiem, ko jūsu uzņēmumam ir jāveic pirms apstrādes darbību sākšanas. Novērtējums par ietekmi uz datu aizsardzību ir rīks, ar kuru sistemātiski analizēt, identificēt un minimizēt (ne obligāti novērst) vienas apstrādes darbības vai vairāku līdzīgu apstrādes darbību datu aizsardzības riskus jūsu uzņēmumā. Šis novērtējums ļauj noteikt, vai riska līmenis ir pieņemams attiecībā pret plānotā projekta ieguvumiem.

"Risks", raugoties no datu aizsardzības tiesību aktu perspektīvas, attiecas uz jebkuras fiziskas, materiālas vai nemateriālas negatīvas ietekmes, kam tiek pakļauta attiecīgā fiziskā persona vai sabiedrība kopumā, iespējamību un nopietnību, ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus!

Ne visos gadījumos VDAR pieprasa veikt novērtējumu par ietekmi uz datu aizsardzību. Taču tas vien, ka jūsu uzņēmums kvalificējas kā mikrouzņēmums, mazs vai vidējs uzņēmums, neatbrīvo jūs no šī nosacījuma izpildes. Pienākums veikt novērtējumu par ietekmi uz datu aizsardzību ir saistīts ar “augsta riska” jēdzienu: ja personas datu apstrāde varētu radīt augstu risku fizisko personu tiesībām un brīvībām, ir nepieciešams novērtējums par ietekmi uz datu aizsardzību.

Lai noteiktu, vai projekts rada augstu datu aizsardzības risku, 29. panta Darba grupa (DB 29) – tagad Eiropas Datu aizsardzības kolēģija (EDAK) – sniedz empīrisku noteikumu: apstrādes darbība, kas atbilst 2 vai vairākiem no turpmāk minētajiem 9 kritērijiem, visticamāk, rada augstu risku attiecīgo fizisko personu tiesībām un brīvībām, tāpēc ir nepieciešams veikt novērtējumu par ietekmi uz datu aizsardzību.

LV-Compliance - Should my enterprise car

Dažos gadījumos novērtējums par ietekmi uz datu aizsardzību var būt nepieciešams arī tad, ja apstrādes darbība atbilst tikai 1 no 9 kritērijiem.

Piemēram:

Sociālo tīklu platformās iegūtu personas datu apstrāde ar mērķi izveidot mārketinga profilus.

Kritēriji

Vērtēšana un punktu piešķiršana.

Datu kopu savienošana vai apvienošana

Liela apjoma apstrāde

 

Atbilst 3 no 9 kritērijiem  Novērtējums par ietekmi uz datu aizsardzību ir nepieciešams!

Lai noskaidrotu, vai jums ir nepieciešams veikt novērtējumu par ietekmi uz datu aizsardzību, apskatiet mūsu veidni, kas ir paredzēta pirms novērtējuma par ietekmi uz datu aizsardzību.

INTERNET SPHERE 2.png

Nacionālie saraksti novērtējumam par ietekmi uz datu aizsardzību

TVDAR nosaka, ka nacionālajām datu aizsardzības iestādēm ir jāizstrādā pašām savi saraksti ar apstrādes darbībām, kurām ir nepieciešams novērtējums par ietekmi uz datu aizsardzību. Tāpat tās var brīvi izstrādāt sarakstu ar apstrādes darbībām, kurām nav nepieciešams novērtējums par ietekmi uz datu aizsardzību. Ja jūsu datu aizsardzības iestāde ir izstrādājusi šādu sarakstu, ir svarīgi to pārbaudīt pirms jebkurām datu apstrādes darbībām. Nacionālos sarakstus novērtējumam par ietekmi uz datu aizsardzību var skatīt šeit.

.

Nenoteiktība​

Ja nav pilnībā skaidrs, vai jūsu uzņēmuma veiktās apstrādes darbības var radīt augstu risku fizisko personu tiesībām un brīvībām, ir ieteicams veikt novērtējumu par ietekmi uz datu aizsardzību. Tā kā nekādus kritērijus vai sarakstus nevar uzskatīt kā izsmeļošus, jo vienmēr var pastāvēt augsta riska apstrādes situācijas, ko neparedz tiesību akti vai nacionālā datu aizsardzības iestāde, visdrošākā pieeja ir veikt novērtējumu par ietekmi uz datu aizsardzību jebkurā gadījumā.

Turklāt novērtējums par ietekmi uz datu aizsardzību ir jāuzlūko arī kā veids, kā nodrošināt VDAR noteikto pārskatatbildības pienākumu izpildi. Tas palīdz pārraudzīt jūsu uzņēmumā īstenotās apstrādes darbības, dokumentējot riskus un apliecinot atbilstību datu aizsardzības noteikumiem. Tādēļ laba prakse ir veikt novērtējumu par ietekmi uz datu aizsardzību jebkuram lielam projektam, kurā nepieciešams apstrādāt personas datus, pat ja tas nav obligāti.

How to conduct a DPIA
FORM (5).png

Kā ir jāveic novērtējums par ietekmi uz datu aizsardzību?

  1. Plānoto apstrādes darbību un apstrādes mērķu sistemātisks apraksts. Ja izmantojat “leģitīmās intereses” kā apstrādes juridisko pamatu, šīs intereses jāiekļauj novērtējumā par ietekmi uz datu aizsardzību.

  2. Jūsu uzņēmuma pienākums ir veikt novērtējumu par ietekmi uz datu aizsardzību ikreiz, kad rīkojaties kā datu pārzinis. Taču jums ir jāapspriežas ar datu aizsardzības speciālistu, ja tāds ir iecelts, kā arī citiem iesaistītajiem dalībniekiem.

  3. Apstrādes darbību nepieciešamības un samērīguma novērtējums: (1) Vai personas datu apstrāde plānotajā veidā ir nepieciešama, lai sasniegtu iecerēto(s) mērķi(-us)? (2) Vai attiecīgo fizisko personu tiesību un brīvību ierobežošana ir samērīga ar īstenoto(-ajiem) mērķi(-iem)?

  4. Novērtējums riskiem datu subjektu tiesībām un brīvībām (piemēram, privātums).

  5. Pasākumi, kas paredzēti risku novēršanai (piemēram, garantijas un drošības pasākumi), un apliecinājums, ka ir ievērota VDAR, ņemot vērā datu subjektu un citu attiecīgo personu tiesības un leģitīmās intereses.

  6. Rezultātu uzskaite

  7. Periodiska pārskatīšana: apstrādes darbības ir dinamiskas un var ātri attīstīties, kas savukārt var radīt jaunus riskus fizisko personu tiesībām.  Šī iemesla dēļ jums ir periodiski atkārtoti jānovērtē, vai iepriekš veiktais novērtējums par ietekmi uz datu aizsardzību joprojām atbilst apstrādes darbībām, ko jūsu uzņēmums īsteno konkrētajā laikā. Ja novērtējums par ietekmi uz datu aizsardzību nav veikts, jums ir jāpārbauda, vai konkrētajā laikā īstenotās apstrādes darbības nerada augstus riskus fizisko personu tiesībām un brīvībām. Šādā gadījumā ir nepieciešams veikt novērtējumu par ietekmi uz datu aizsardzību.

 

Lai iegūtu papildinformāciju un piemērus, apmeklējiet jūsu datu aizsardzības iestādes tīmekļvietni.

When to cosult the DPA
FORM (1).png

Kad jāapspriežas ar datu aizsardzības iestādi

Ja novērtējums par ietekmi uz datu aizsardzību norāda, ka plānotās apstrādes darbības ir augsta riska un ka nav iespējams īstenot pasākumus konstatēto risku mazināšanai, jums ir jāapspriežas ar kompetento datu aizsardzības iestādi, pirms sākt jebkādu personas datu apstrādi.

 

Ja šāda iepriekšēja apspriešanās būs nepieciešama, datu aizsardzības iestāde jums ieteiks, kā ierobežot riskus, kas attiecas uz jūsu apstrādi. Ja jūsu uzņēmums ieviesīs ieteiktos pasākumus, jums būs atļauts sākt plānoto apstrādi. No otras puses, pastāv arī iespēja, ka datu aizsardzības iestāde ieteiks jums pilnībā atteikties no plānotās apstrādes.

Ja varat noteikt mazināšanas pasākumus, kas spēj pienācīgi nosegt riskus, iepriekšēja apspriešanās ar datu aizsardzības iestādi nav nepieciešama.

 

 

Laiks rīkoties!

  • Novērtējiet, vai plānotās un esošās apstrādes darbības var radīt augstu risku.

  • Novērtējums par ietekmi uz datu aizsardzību ir mainīgs instruments, tāpēc atjauniniet to, ja ir ievērojami mainījušies ar apstrādi saistītie apstākļi.

  • Pārbaudiet nacionālo datu aizsardzības iestāžu sarakstus novērtējumam par ietekmi uz datu aizsardzību.

  • Konsultējieties ar datu aizsardzības speciālistu, ja tāds ir iecelts jūsu uzņēmumā.

  • Neaizmirstiet dokumentēt novērtējumu par ietekmi uz datu aizsardzību.

Templates

DPIA Template (English)

DPIA Template (Latvian)

CNIL Tool (in French and English)

bottom of page