Darbības joma
VDAR piemēro personas datiem, kas ir:
-
pilnībā vai daļēji apstrādāti ar automatizētiem līdzekļiem;
-
daļa no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem.
Kas ir uzskatāmi kā “personas dati”?
Kad persona ir “identificējama”?
.png)
Ļoti liela nozīme ir arī kontekstam, kādā tiek iegūti dati.
Viena datu vienība (piemēram, matu krāsa, nodarbošanās, automašīna...) var nebūt pietiekama informācija, lai identificētu fizisko personu. Taču situācija var mainīties, ja dati tiek apvienoti ar citiem datiem. Tas ir jāņem vērā uzņēmumiem, kas apkopo vairāku veidu datus par personām.
VDAR iesaka datus anonimizēt un pseidonimizēt. Atšķirība starp minētajām metodēm ir tā, ka pseidonīmi dati joprojām pieļauj noteikta veida atkārtotu identifikāciju (piemēram, šifrēšana vai identifikatoru nomaiņa pret individuāliem kodiem), bet tikai samazina tās iespējamību, savukārt anonīmus datus nav iespējams atkārtoti identificēt (saistīt ar personām).
Jebkuri dati vai informācija, kuras identifikatori ir noņemti (anonimizācija) vai nomainīti (pseidonimizācija), VDAR nolūkiem joprojām tiks uzskatīti par “personas datiem”.
NB! VDAR neattiecas uz informāciju, kas ir patiesi un pilnībā anonīma pat pirms apstrādes.
Ko neuzskata par “personas datiem”?
.png)
Par personas datiem neuzskata informāciju par mirušu personu, sīkdatnes, kas izseko tīmekļvietnes apmeklējumu skaitu, neidentificējot apmeklētājus (statistika), datus par uzņēmumiem vai publiskām iestādēm vai jebkurus citus datus, ko nav iespējams tieši vai netieši sasaistīt ar personu.
Taču pastāv nianse attiecībā uz informāciju par fiziskajām personām, kas rīkojas kā individuālie komersanti, darbinieki, partneri un uzņēmumu direktori, ja informācija attiecas uz tiem kā fiziskām personām un ja tie ir individuāli identificējami. Šādā gadījumā tie ir uzskatāmi par “personas datiem”. Tas nozīmē, ka darba e-pasta adreses, kas satur darījumu partnera vārdu (piemēram, adam.johnson@enterprise.com)ir personas dati, savukārt vispārīga e-pasta adrese (piemēram, contact@enterprise.com) nav.
Īpašu kategoriju dati
VDAR izšķir “parastos” personas datus un īpašu kategoriju datus. Sensitīvā rakstura dēļ īpaša aizsardzība ir nepieciešama attiecībā uz pēdējo minēto. Tāpēc ir aizliegts apstrādāt personas datus, kas atklāj informāciju par rasi vai etnisko izcelsmi, politiskajiem viedokļiem, reliģisko vai filozofisko pārliecību, dalību arodbiedrībās, kā arī apstrādāt ģenētiskos datus, biometriskos datus fiziskās personas unikālas identificēšanas nolūkā, datus par veselību vai datus par fiziskās personas dzimumdzīvi vai seksuālo orientāciju.
Taču likumdevējs šim noteikumam paredz ierobežotu skaitu izņēmumu.
Apstrāde
Vārdam “apstrāde” VDAR ir ļoti plaša definīcija:
-
jebkura darbība vai darbību kopums;
-
kas tiek veikta ar personas datiem vai personas datu kopām;
-
ar vai bez automatizētiem līdzekļiem.
Ierakstīšana – Vākšana – Organizēšana – Strukturēšana – Pielāgošana vai pārveidošana – Uzglabāšana – Atgūšana – Aplūkošana – Izpaušana, nosūtot – Izmantošana – Izplatīšana vai datu pieejamības nodrošināšana citā veidā – Saskaņošana vai kombinēšana – Dzēšana vai iznīcināšana – Ierobežošana
Personas datu pseidonimizācija vai anonimizācija VDAR izpratnē arī ir apstrāde
Kas saskaņā ar VDAR nav uzskatāms par “apstrādi”?
VDAR nav piemērojama noteikta veida darbībām, piemēram, apstrādei, uz kuru attiecas Tiesībaizsardzības direktīva, nacionālās drošības nolūkos veiktajai apstrādei un apstrādei, ko fiziskas personas veic tikai privātajām/mājsaimniecības vajadzībām (piemēram, apkopojot mājas ballītes apmeklētāju vārdus un tālruņu numurus).
Ja apstrādes darbību vai personas datu nav, VDAR nebūs piemērojama.