Vai mans uzņēmums ir datu pārzinis vai datu apstrādātājs?
Ikreiz, kad apstrādāsiet personas datus, jūs to veiksiet kā datu pārzinis vai kā datu apstrādātājs. Ir ļoti svarīgi apzināties, kuru no šīm lomām jūs ieņemat, īstenojot katru un jebkuru apstrādes darbību. Tas ir būtiski, jo atkarībā no šīs kvalifikācijas atšķiras jūsu juridiskie pienākumi.
Šī sadaļa palīdzēs noskaidrot, kādos gadījumos jūsu uzņēmums kvalificēsies kā datu pārzinis un kādos – kā apstrādātājs.
Pārzinis vai apstrādātājs?
-
Vai jūs uzņēmāties iniciatīvu sākt personas datu apkopošanu vai jebkāda cita veida apstrādi?
-
Vai jūs noteicāt apstrādes mērķi?
-
Vai jūs noteicāt, kādi personas datu veidi tiks apkopoti un no kādu veidu fiziskajām personām?
-
Vai sniedzat norādījumus citai struktūrai, kas veic personas datu apstrādi, vai drīzāk izpildāt kāda cita sniegtos norādījumus?
-
Vai esat puse, kas apstrādes rezultātā ir galvenā ieguvēja?
-
Vai jums ir tiešas attiecības ar attiecīgajām fiziskajām personām (piemēram, darba līgums)?
-
Vai jūs uzraugāt citu struktūru sniegto pakalpojumu izpildi?
-
Vai jūsu uzņēmums ir redzams attiecīgajām fiziskajām personām? (Redzamība izriet no fizisko personu gaidām) Jo zemāka ir redzamība pret fiziskajām personām, jo lielāka ir iespēja, ka esat apstrādātājs)
-
Vai esat uzņēmums ar visaugstāko profesionālo kompetenci?
Jo lielāks skaits atbilžu “jā”, jo lielāka iespēja, ka esat pārzinis. Vairākums atbilžu “nē” norāda, ka, visticamāk, rīkojaties kā apstrādātājs. Ja uz otro jautājumu atbildējāt ar “jā”, jūs jebkurā gadījumā esat pārzinis.
Vai kopīgais pārzinis?
-
Vai jums ar citām personām ir kopīgs apstrādes mērķis un nolūks?
-
Vai konkrētajai apstrādei izmantojat to pašu personas datu kopumu, ko lieto arī cits pārzinis?
-
Vai izstrādājāt procesu kopā ar citu pārzini?
-
Vai jums ar citu pārzini ir kopīgi informācijas pārvaldības noteikumi?
Ja vismaz uz vienu vai vairākiem jautājumiem atbildējāt ar “jā”, visticamāk, personas datu apstrādi veicat kā kopīgais pārzinis.
Pienākumi un atbildība
Ja jūsu uzņēmums rīkojas kā pārzinis, jums būs jāuzņemas augstākā līmeņa atbildība par prasību ievērošanu: jums būs jāievēro ne vien visi datu aizsardzības principi un visas pārējās VDAR noteiktās prasības, bet arī jāspēj apliecināt atbilstība.
Datu pārzinis
Turklāt, būdams pārzinis, esat atbildīgs arī par jūsu apstrādātāja(-u) atbilstību. Zemāk varat atrast īsu kopsavilkumu par visiem pārziņa pienākumiem, ko nosaka VDAR.
Plašāku informāciju par jūsu kā datu apstrādātāja pienākumiem un atbildību skatiet šajā Francijas datu aizsardzības iestādes (CNIL) rokasgrāmatā.
Datu apstrādātājam
Jauna VDAR prasība nosaka, ka apstrādātājiem arī ir jāveic ierobežots skaits noteiktu juridisko pienākumu, taču tiem būs piemērojama zemāka līmeņa atbildība par prasību ievērošanu. Situācijā, kur jūsu uzņēmums rīkojas kā apstrādātājs, uz jums attieksies turpmāk minētie pienākumi.
Būdams apstrādātājs, jūs drīkstat apstrādāt datus tikai saskaņā ar pārziņa norādījumiem, izņemot, ja jums ir jāapstrādā dati saskaņā ar juridisku pienākumu. Ja pēdējais minētais nav attiecināms un nav ievēroti norādījumi, jūs tiksiet pārkvalificēts par pārzini.
Ja par pārkāpumu ir atbildīgs apstrādātājs, tas uzņemsies juridisku atbildību, un fiziskās personas vai uzraudzības iestāde varēs celt prasības par kompensāciju un zaudējumiem.
Kopīgajiem pārziņiem
Situācijā, kad esat kopīgais pārzinis, jums būs jāpilda arī visi pārziņiem paredzētie pienākumi.
Minēto pienākumu pārskatu skatiet sadaļā Datu pārzinis.
Turklāt jums kā kopīgajam pārzinim būs jāsagatavo līgums, lai vienotos ar otru pārzini (ar pārējiem pārziņiem) par skaidriem noteikumiem attiecībā uz pienākumu, uzdevumu un atbildības sadali, ja vien tie jau nav noteikti ES vai Dalībvalsts tiesību aktos.
Jānosaka kontaktpersona, pie kuras attiecīgās fiziskās personas var vērsties jautājumu vai sūdzību gadījumā.
Neatkarīgi no kopīgo pārziņu starpā noslēgtās vienošanās kopīgajiem pārziņiem ir kopīga atbildība: katrs pārzinis var tikt saukts pie pilnas atbildības attiecībā uz skartajām fiziskajām personām par visiem radītajiem zaudējumiem. Tādējādi datu subjektam pēc saviem ieskatiem ir tiesības celt prasību pret jebkuru no kopīgajiem pārziņiem. Tas datu subjektam nodrošina efektīvu kompensāciju.
Pēc tam kopīgais pārzinis, kurš ir veicis kompensācijas apmaksu, var pieprasīt zaudējumu atlīdzību no jebkura cita kopīgā pārziņa, kas ir iesaistīts kopīgajā apstrādē. Izņēmums pastāv vienīgi tad, ja pārzinis nekādā veidā nav atbildīgs par nodarīto kaitējumu.
Datu apstrādes līgumi
Praksē daudzi uzņēmumi vēršas pie trešajām personām, lai veiktu personas datu apstrādi – tostarp arī mazi un vidēji uzņēmumi!
Piemēram: e-pasta klients, mākoņkrātuves pakalpojums vai tīmekļvietnes analītikas programmatūra. Visās minētajās situācijās VDAR nosaka, ka ar visiem trešo personu pakalpojumu sniedzējiem ir jābūt noslēgtam datu apstrādes līgumam.
Datu apstrādes līgums ir juridiski saistošs dokuments, kas ir rakstiski vai elektroniski noslēgts starp pārzini un apstrādātāju. Tas reglamentē datu apstrādes īpatnības (kādu veidu dati tiks apstrādāti, kādam nolūkam, uz kāda pamata tiks īstenota apstrāde utt.), kā arī attiecības starp pārzini un apstrādātāju, tostarp tiesības un pienākumus. Neskaitot faktu, ka datu apstrādes līgumu pieprasa tiesību akti, tas arī apliecina, ka izmantojat kvalificētu un kompetentu datu apstrādātāju.
Eiropas Datu aizsardzības kolēģija (EDAK) vēlas, lai uzņēmumi neaprobežojas tikai ar VDAR noteikumu atkārtotu izklāstu, bet gan iesaka konkrēti definēt ar apstrādātāja pienākumiem saistītos procesus. Piemēram, noteikt konkrētas darbības apstrādātājam: apstrādāt fiziskās personas piekļuves pieprasījumu vai detalizēti aprakstīt pārziņa vārdā veikto apstrādes darbību mērķi un būtību, kā arī apstrādāto datu veidu, attiecīgo fizisko personu kategorijas un apstrādes ilgumu. Kolēģija arī iesaka līguma pielikumā ietvert apakšapstrādātāju sarakstu.
Nenoslēdzot datu apstrādes līgumu gadījumos, kad tas ir nepieciešams, jūs riskēsiet tikt sodīti!
For a template to help you draft a data processing agreement, click here.
Laiks rīkoties!
-
Pirms jebkuru apstrādes darbību sākšanas izvērtējiet, vai attiecībā uz īstenotajām apstrādes darbībām esat pārzinis, apstrādātājs vai kopīgais pārzinis.
-
Ja sadarbojaties ar apstrādātāju, sagatavojiet datu apstrādes līgumu starp jums un minēto apstrādātāju, ietverot noteiktus obligātos noteikumus.
-
Ja rīkojaties kā apstrādātājs, pārliecinieties, ka nepārkāpjat pārziņa sniegtos norādījumus, jo tas var tikt uzskatīts par datu aizsardzības tiesību aktu pārkāpumu, par kuru atbildīgs būs jūsu uzņēmums.