VDAR principi un tiesības
Kādas ir personu tiesības saskaņā ar VDAR
Personas, kuru dati tiek apstrādāti, saglabā kontroli pār saviem personas datiem. Tāpēc jūsu pienākums ir:
-
informēt šīs personas, ja apstrādāsiet viņu datus, kādus datus apstrādāsiet, kāds ir juridiskais pamatojums šo datu apstrādāšanai utt.
-
un pēc minēto personu pieprasījuma:
-
labot viņu datus;
-
pilnībā vai daļēji pārtraukt izmantot viņu datus;
-
dzēst viņu datus un “aizmirst” par šīm personām;
-
nodrošināt šīm personām viņu datu kopiju mašīnlasāmā formātā, lai personas varētu tos izmantot pie cita pakalpojumu sniedzēja (jūsu konkurenta);
-
pārtraukt izmantot šo personu datus mārketinga nolūkiem vai automatizētai lēmumu pieņemšanai, tostarp profilēšanai.
-
VDAR fiziskajām personām nosaka vairākas tiesības, lai dotu tām iespēju īstenot kontroli pār viņu personas datu apstrādi, tostarp ļaujot uzzināt, kā un kāpēc tiek apstrādāti viņu dati.
Ar minētajām tiesībām saistīto pieprasījumu izpildi jāveic (vai vismaz jāsniedz atbilde) 30 dienu laikā.
Šādi pieprasījumi jums var tikt iesniegti gan mutvārdos, gan rakstveidā.
Tiesības saņemt informāciju
Fiziskajām personām ir jāsaņem informācija par viņu personas datu ieguvi un izmantošanu. Minētā informācija ir jāsniedz šādos brīžos:
-
Brīdī, kad iegūstat no viņiem personas datus.
-
Ja personas datus ieguvāt no citas personas – ne vēlāk kā vienu mēnesi pēc datu ieguves.
Minētā informācija galvenokārt jānorāda jūsu (skatiet zemāk).
Fiziskajām personām ir jāsniedz šāda informācija:
-
Kāpēc, kā un cik ilgi jūs apstrādāsiet viņu personas datus?
-
Ar ko jūs kopīgosiet šos datus?
-
Kādas ir šo personu tiesības?
-
Kā jūs aizsargāsiet viņu datus?
Informācijai jābūt viegli pieejamai, kā arī izklāstītai skaidrā un vienkāršā valodā. Lai izvērtētu, vai minētie nosacījumi ir izpildīti, jāņem vērā jūsu mērķauditorija.
Laiks rīkoties!
-
Izstrādājiet vispārīgu privātuma politiku, kas attiecas uz klientiem, sadarbības partneriem, piegādātājiem, trešajām personām, amata kandidātiem utt.
-
Augšupielādējiet privātuma politiku jūsu tīmekļvietnē
-
Pārskatiet jūsu veidlapas (tiešsaistes un bezsaistes)
-
Pārskatiet savus e-pastus
-
Pārliecinieties, ka, izstrādājot jaunas veidlapas un pasta sūtījumus, ņemat vērā iepriekš minētos aspektus
-
Atjauniniet privātuma politiku, ja mainās jūsu apstrādes darbības, taču jebkurā gadījumā pārskatiet to reizi gadā.
Piekļuves tiesības
Jebkurai fiziskajai personai ir tiesības zināt, vai jūs apstrādājat šīs personas datus, iegūt informāciju par šādu apstrādi, kā arī iegūt attiecīgo datu kopiju.
Jums ir jānodrošina iespēja fiziskajām personām piekļūt viņu datiem.
Ja fiziskas personas datu apstrādi jūs veicat, rīkojoties kā pārzinis, jums šī persona ir jāinformē par turpmāko:
-
Ka apstrādājat šīs personas datus;
-
Datu kopija;
-
Papildinformācija;
Tiesības pieprasīt labošanu
Fiziskajām personām, kuru datus jūs apstrādājat, ir tiesības pieprasīt labot viņu personas datus, ja tie ir neprecīzi.
Fizisko personu dati var būt kļūdaini vai novecojuši.
Papildus jūsu kā uzņēmuma pienākumam uzturēt precīzus personas datus (jūsu “precizitātes” pienākums), arī fiziskajām personām, kuru datus jūs apstrādājat, ir tiesības pieprasīt, lai jūs labojat viņu personas datus.
Attiecīgās fiziskās personas neprecīzos datus ir jālabo pēc fiziskās personas pieprasījuma bez nepamatotas kavēšanās.
Atkarībā no apstrādes mērķiem fiziskajām personām ir arī tiesības panākt, lai nepilnīgi personas dati tiktu papildināti.
Laiks rīkoties!
-
Pārbaudiet, vai spējat atpazīt dzēšanas pieprasījumu un saprotat, kādos gadījumos ir piemērojamas tiesības
-
Izvēlieties veidu, kā reģistrēt mutvārdos saņemtos pieprasījumus un nodrošināt, ka jūsu personāls ir informēts par šādu metodi
-
Nodrošiniet, ka jūs un jūsu personāls pārzināt informāciju, kas jums ir jāsniedz fiziskajām personām, un situācijas, kurās drīkstat atteikt pieprasījumu
-
Ieviesiet procesus, lai nodrošinātu, ka spējat atbildēt uz dzēšanas pieprasījumu bez nepamatotas kavēšanās un viena mēneša laikā no tā saņemšanas.
-
Esiet informēti par apstākļiem, kuros varat pagarināt termiņu, lai sniegtu atbildi uz pieprasījumu.
-
Apzinieties, ka īpaša uzmanība ir jāpievērš tiesībām uz dzēšanu, ja pieprasījums attiecas uz datiem, kas ir iegūti no bērniem.
-
Ieviesiet procedūras, lai informētu visus saņēmējus, ja dzēšat jebkādus datus, kas ir kopīgoti ar tiem.
-
Izstrādājiet atbilstošas metodes informācijas dzēšanai.
Tiesības pieprasīt datu dzēšanu – tiesības tikt aizmirstam
Noteiktos apstākļos fiziskajām personām, kuru personas datus jūs apstrādājat, ir tiesības pieprasīt viņu personas datu dzēšanu.
Tiesības noteikt apstrādes ierobežojumu
Noteiktos apstākļos fiziskajām personām, kuru personas datus jūs apstrādājat, ir tiesības jums lūgt pārtraukt izmantot viņu personas datus, tos nedzēšot.
Tiesības uz datu pārnesamību
Klientiem un fiziskām personām, kuru personas datus jūs apstrādājat automatizētā veidā, pamatojoties uz viņu piekrišanu vai noslēgtu līgumu, ir atļauts iegūt strukturētu digitālu kopiju, kas satur jums sniegtos datus, lai nodrošinātu tiem iespēju nodot šos datus citam pakalpojumu sniedzējam (konkurentam) un ļautu trešajai personai izmantot datus, lai sniegtu pakalpojumus vai preces.
Tiesības iebilst pret apstrādi
Fiziskajām personām ir tiesības iebilst pret viņu personas datu apstrādi, ja jūs to īstenojat, balstoties uz leģitīmām interesēm vai sabiedrības interesēm, vai tiešā mārketinga nolūkiem. Par šīm tiesībām jums ir jāinformē fiziskās personas, kuru datus jūs apstrādājat.
-
Tiesības nebūt automatizēta lēmuma subjektam (tostarp profilēšana)
Fiziskajām personām ir tiesības pieprasīt, lai lēmumus, kas viņus ietekmē, pieņem (vismaz gala stadijā) cilvēki.
-
Fizisko personu tiesības saskaņā ar VDAR?
-
Atbildes laiks
-
Viena mēneša laikā no fiziskās personas pieprasījuma saņemšanas jums ir pienākums:
-
izpildīt pieprasījumu; vai
-
informēt fizisko personu par termiņa pagarinājumu; vai
-
informēt fizisko personu par pieprasījuma atteikumu.
-
-
Piemēram:
Uzņēmums kļūdaini nosūta ar mārketinga vajadzībām saistītu paziņojumu personai, kura ir iekļauta uzņēmuma klientu datu bāzē. Saņemot šo mārketinga paziņojumu, persona sazinās ar uzņēmumu, pieprasot vairāk informācijas par to, kā tika iegūti viņa dati, kāda veida personas dati uzņēmumam ir pieejami, un juridisko pamatu, uz kuru uzņēmums atsaucas, lai apstrādātu datus. Uzņēmums ignorē šo pieprasījumu un turpina sūtīt mārketinga paziņojumus. Darbības neatbilst VDAR prasībām. Ja uzņēmums neatbild uz personas pieprasījumu 1 mēneša laikā, valsts atbildīgā datu aizsardzības iestāde var uzlikt naudas sodu.
2. Termiņa pagarinājums
3. Viena mēneša termiņu var pagarināt uz vēl diviem mēnešiem, ja šādu pagarinājumu attaisno pieprasījumu sarežģītība un skaits
2. Pieprasījuma atteikums
Ja pieprasījums ir nepamatots, jums ir pienākums informēt fizisko personu, ka jūs to neizpildīsiet, norādot darbības neveikšanas iemeslus un informējot fizisko personu par iespēju iesniegt sūdzību uzraudzības iestādei un vērsties tiesā.
3. Izmaksas? Vai drīkst pieprasīt samaksu par fiziskas personas pieprasījuma apmierināšanu?
Saziņa ar fizisko personu un darbības saistībā ar fiziskās personas tiesībām ir jāveic bez maksas.
Ja fiziskā persona iesniedz acīmredzami nepamatotus vai pārmērīgus pieprasījumus (piemēram, atkārtotus pieprasījumus), varat iekasēt saprātīgu samaksu vai atteikties veikt pieprasīto darbību. Jūsu pienākums būs pierādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs
4. Kā nodrošināt pieprasīto informāciju fiziskajai personai?
Ja pieprasījums ir nosūtīts elektroniskā formā, atbilde un pieprasītā informācija ir jāsniedz elektroniskā formā, ja tas ir iespējams un ja vien datu subjekts nepieprasa citādi.
Piemēram:
Uzņēmums glabā noteiktus personas datus kodētā veidā, kas saprotami tiem, kuriem ikdienā nav to izmantošanai nepieciešamās piekļuves atslēgas. Saņemot piekļuves pieprasījumu no attiecīgās personas, uzņēmums sniedz šai personai kodētu informāciju bez papildu paskaidrojumiem. Šis neatbilst VDAR! Informācija jāsniedz vidusmēra cilvēkam saprotamā veidā.
5. Ņemiet vērā, ka iepriekš minētās VDAR noteiktās fizisko personu tiesības nav absolūtas. Dažas tiesības drīkst īstenot tikai tad, ja tiek izpildīti konkrēti nosacījumi vai ievēroti noteikti ierobežojumi.
Laiks rīkoties!
Ieviesiet atbilstošas procedūras, lai atbildētu uz datu subjektu pieprasījumiem. Ņemiet vērā šādus faktorus: datu aizsardzības pieprasījumu kontaktpersona, skaidra iekšējo pienākumu sadale, standartizētas darbības atteikuma / termiņa pagarinājuma vēstules.
Strādājiet ciešā sadarbībā ar IT speciālistiem. Ir būtiski, lai jūsu IT sistēmas spēj nodrošināt datu subjektu tiesību ievērošanu (tostarp iespēju dzēst datus).