top of page
BG1_edited.png

Vai mans uzņēmums drīkst apstrādāt personas datus?

Jebkuru personas datu apstrādes darbību veikšanai ir nepieciešams noteikt vienu vai vairākus derīgus pamatus atbilstoši VDAR – saukti arī par “juridiskajiem pamatiem” – lai pamatotu personas datu ieguvi, izmantošanu un citus apstrādes veidus. 
Mūsdienu uzņēmējdarbības pasaulē uzņēmumi var veikt vairākas apstrādes darbības dažādiem mērķiem. Tas savukārt nozīmē, ka mazi un vidēji uzņēmumi var paļauties uz dažādiem juridiskajiem pamatiem, lai īstenotu dažādas apstrādes darbības. Taču nav iespējams izmantot vairāk kā vienu juridisko pamatu vienai apstrādes darbībai.

VDAR 6. pantā ir sniegts izsmeļošs iespējamo juridisko pamatu uzskaitījums:

  • Līgums

  • Juridisks pienākums

  • Leģitīmas intereses

  • Piekrišana

  • (Vitālās intereses)

  • (Uzdevums, ko veic sabiedrības interesēs vai īstenojot oficiālas pilnvaras)

Tā kā pirmie 4 likumīgas apstrādes pamati ir izplatītākie mazu un vidēju uzņēmumu vidū, turpmāk sīkāk tiks aplūkoti tikai šie pamati.

Contract

Līgums

Ja personas datu apstrāde ir nepieciešama, lai īstenotu jūsu līgumiskos pienākumus, kā juridisko pamatu jūs varat izmantot “līgumu”.

Atsevišķu līgumisko pienākumu izpildē nav iespējams iztikt bez noteiktu personas datu iegūšanas un apstrādes. Bieži tas ir attiecināms uz maziem un vidējiem uzņēmumiem, kas savu klientu vai piegādātāju personas datus apstrādā, lai spētu izpildīt ar tiem noslēgtu līgumu.

Līgumu kā juridisku pamatu var izmantot arī uzņēmumi, kas veic pirmslīguma pieprasījumus potenciālajiem klientiem (piemēram, ja potenciālais klients lūdz mājokļu remonta uzņēmumam sniegt cenu piedāvājumu par mājas krāsošanu). Attiecas tikai uz situācijām, kad pieprasījumus veic potenciālie klienti, un kas nav pārziņa vai jebkuras trešās personas iniciatīva.

“Līgumiskā nepieciešamība” ir jāinterpretē sašaurināti. Tas nozīmē, ka jums ir jāspēj pierādīt, ka personas datu apstrāde ir objektīvi nepieciešama mērķim, kas ir vajadzīgs līguma izpildei vai pirmslīguma pieprasījuma īstenošanai (piemēram, līgumslēdzējas puses nosaukums, klienta kontaktinformācija, piegādes adrese utt.). Taču tas nebūs attiecināms uz apstrādi, kas ir noderīga, bet nav objektīvi nepieciešama līgumā noteiktā pakalpojuma izpildei vai attiecīgo pirmslīguma darbību veikšanai, pat ja tas ir nepieciešams citiem jūsu komercdarbības mērķiem.

 

Legal oblgation
FORM (5).png

Juridisks pienākums

VDAR paredz arī iespēju personas datu apstrādes darbības pamatot, ja nonākat situācijā, kur apstrāde ir nepieciešama, lai īstenotu pārziņa juridisko pienākumu.

Lai varētu izmantot šo juridisko pamatu, jāpārliecinās, ka pienākumu apstrādāt personas datus, nosaka ES tiesību akti vai ES dalībvalstī piemērojamie nacionālie tiesību akti (tostarp sekundārie tiesību akti vai valsts iestādes izdots saistošs lēmums), un pienākumam jābūt obligātam.

Līgums, brīvprātīgas un vienpusējas saistības vai valsts un privātā sektora partnerības ir piemēri, kas nekad nevarētu kvalificēties kā juridisks pienākums šajā nozīmē, kad personas datu apstrāde tiek veikta ārpus tiesību aktos noteiktajam.

 
 

Piemēram:

Nekustamā īpašuma aģentūra apstrādā savu klientu personas datus (vārds, dzimšanas datums un vieta, adrese), lai veiktu klienta analīzi saistītu ar noziedzīgi iegūtu līdzekļu legalizācijas riskiem. Saskaņā ar VDAR nekustamā īpašuma aģentūras var pamatot personas datu apstrādi, balstoties juridiskā pienākumā, kas tām ir saistošs likuma par noziedzīgi iegūtu līdzekļu legalizācijas novēršanu ietvaros.

EG_SMOOK (2)-sm.png
Legitimate interest
FORM (1).png

Leģitīmas intereses

Dažkārt personas datu apstrāde ir nepieciešama, lai ievērotu uzņēmuma (vai trešās personas) leģitīmas intereses. Šādas leģitīmās intereses var būt apstrādes juridiskais pamats ar nosacījumu, ka attiecīgo fizisko personu intereses un (pamattiesības) tiesības nav svarīgākas par minētajām interesēm.

Leģitīmas intereses ir skaidri formulēts ieguvums jūsu uzņēmumam, trešajām personām vai sabiedrībai, kas rodas personas datu likumīgas apstrādes rezultātā. Tām ir jābūt faktiskām un pastāvošām interesēm, kas ir gaidāmas tuvākajā nākotnē, izslēdzot intereses, kas ir pārāk nekonkrētas un spekulatīvas. Intereses var uzskatīt par leģitīmām, ja tās atbilst piemērojamiem ES un nacionālajiem tiesību aktiem.

“Leģitīmo interešu” pamata mērķis ir sniegt pārziņiem nepieciešamo elastību situācijās, kur nepastāv negatīva ietekme uz datu subjektiem. Citiem vārdiem sakot, tas nav jāizmanto kā universāls risinājums.

Ja izlemjat pamatot personas datu apstrādi, atsaucoties uz leģitīmajām interesēm, noteikti veiciet 3 pakāpju novērtējumu jeb leģitīmo interešu novērtējumu (“LIN”).

Saskaņā ar pārskatatbildības un pārredzamības principiem ir nepieciešams dokumentēt un reģistrēt leģitīmo interešu novērtējumu. Tādējādi varēsiet pierādīt, ka veicāt LIN, un pamatot jūsu lēmumu izmantot “leģitīmās intereses” kā pamatu jūsu īstenotajām apstrādes darbībām.

 

ICO’s LIA template

Principi, kas attiecas uz personas datu apstrādi

 
FORM%20(3)_edited.png
LV-Basics-Is my enterprise allosed to pr

Valda aplams pieņēmums, ka “piekrišana” ir galvenais datu apstrādes pamats. Lai gan tai ir svarīga nozīme, nevar izslēgt, ka atkarībā no konteksta citi juridiskie pamati ir piemērotāki. Ņemot vērā stingrās un kumulatīvās prasības, ko VDAR nosaka, lai piekrišana būtu derīga, izmantojot “piekrišanu”, ieteicams ievērot piesardzību un atsaukties uz to gadījumos, kad pārējie juridiskie pamati ir mazāk piemēroti.

Consent

Piekrišana

Jums var būt atļauts apstrādāt personas datus, ja attiecīgās personas ir sniegušas par to savu piekrišanu.

“Piekrišana” VDAR izpratnē fiziskajām personām sniedz reālu izvēli un kontroli. Ar tās palīdzību fiziskajām personām ir jāpiešķir atbildība, jāveicina uzticība un iesaiste, kā arī jāatstāj pozitīva ietekme uz jūsu uzņēmuma reputāciju.

Lai piekrišana būtu derīga, tai ir jābūt brīvi izteiktai, konkrētai, informatīvai un nepārprotamai.

BG2.gif

Laiks rīkoties!

Sagatavojiet informatīvu piekrišanas veidlapu.

Informatīva piekrišanas veidlapa ir dokuments, kurā ir izklāstīta konkrēta informācija par personas datu apstrādi, kuru apņematies veikt un par kuru vēlaties iegūt fiziskās personas piekrišanu. Izstrādājot šo dokumentu, jāiekļauj visa iepriekš minētā informācija un jāņem vērā visas prasības, kas attiecas uz derīgas piekrišanas iegūšanu.

Neskaitot 4 prasības, kas attiecas uz derīgu piekrišanu, ir ļoti svarīgi, lai jūsu uzņēmums spēj piešķirt un nodrošināt fizisko personu tiesības atsaukt piekrišanu.

 

Īpašu kategoriju personas dati

Īpašu kategoriju dati ir personas dati, kas tiek uzskatīti par sensitīvākiem, un tādējādi tiem ir nepieciešama lielāka aizsardzība. Šādu datu apstrāde var radīt nopietnākus riskus personas pamattiesībām un pamatbrīvībām (piemēram, nelikumīga diskriminācija).

VDAR ir uzskaitītas 10 īpašas personas datu kategorijas:

  • Rase

  • Etniskā izcelsme

  • Politika

  • Reliģija

  • Dalība arodbiedrībā

  • Ģenētika

  • Biometrija (ja tiek izmantota identifikācijas nolūkiem)

  • Veselība

  • Dzimumdzīve

  • Seksuālā orientācija

 

Laiks rīkoties!

  • Jebkurā gadījumā ir ļoti svarīgi pārskatīt tās valsts tiesību aktus, kurā jūs veicat īpašu kategoriju datu apstrādi, jo VDAR pieļauj iespēju Dalībvalstīm ieviest papildu nosacījumus un garantijas.

  • Ņemot vērā minēto personas datu veidu sensitīvo raksturu, ir būtiski pievērst īpašu uzmanību datu drošībai! Ir jāievieš piemēroti tehniskie un organizatoriskie pasākumi, piemēram, piekļuves ierobežojumi, šifrēšana u. tml.

Special categories of data
bottom of page