Personas datu apstrāde (VDAR)

Kas ir VDAR?

Vispārīgā datu aizsardzības regula (“VDAR”) ir jauns Eiropas mēroga privātuma un datu aizsardzības likums. Tas aicina ieviest detalizētākas privātuma barjeras organizāciju sistēmās, niansētākus datu aizsardzības līgumus un patērētājiem draudzīgāku, plašāku informāciju par organizāciju privātuma un datu aizsardzības praksi.

VDAR aizstāj ES pašreizējo datu aizsardzības tiesisko režīmu no 1995. gada (vispārīgi zināma kā Datu aizsardzības direktīva). Datu aizsardzības direktīvu bija nepieciešams transponēt ES dalībvalsts likumā, kas izveidoja sadrumstalotu ES datu aizsardzības kopainu. VDAR ir ES regula ar tiešu tiesisko spēku visās ES dalībvalstīs, t.i., to nav nepieciešams transponēt ES dalībvalstu likumos, lai tā kļūtu saistoša. Tas palielinās likuma konsekvenci un harmonisku piemērošanu ES.

Kad jaunās prasības stāsies spēkā?

VDAR jau ir stājusies spēkā no 2018. gada 25. maija. Mums kā starptautiskai darba grupai jāseko VDAR un jāievēro gan šī regula, gan vietējie likumi:

  • Apvienotajā Karalistē valdība ir radījusi jaunu Datu aizsardzības likumu (2018), kas aizstāj 1998. gada Datu aizsardzības likumu. Jaunais Apvienotās Karalistes Datu aizsardzības likums tika pieņemts tieši pirms VDAR stāšanas spēkā pēc vairākiem mēnešiem projektu formātos un likuma virzīšanas Pārstāvju palātā un Lordu palātā.
  • Latvijā Personas datu aizsardzības likums (vai iekopējiet savā pārlūkprogrammā saiti https://likumi.lv/ta/en/en/id/4042 ) tiks piemērots, ciktāl tas nav pretrunā ar VDAR.

Kam jānodrošina atbilstība?

Šī Regula attiecas uz personas datu apstrādi pilnībā vai daļēji automatizētā veidā un uz citādu, nevis automatizētu personas datu apstrādi, kas ir sistematizācijas sistēmas sastāvdaļa vai ir paredzēta iekļaušanai sistematizācijas sistēmā. Kopumā VDAR prasības attiecas uz visiem uzņēmumiem, iestādēm un organizācijām, kas veic personas datu apstrādi.

Personas datu apstrāde ir VDAR noteikts plašs jēdziens

VDAR regulē to, kā organizācijas var apstrādāt ES indivīdu personas datus. “Personas dati” un “apstrāde” ir normatīvajos aktos bieži lietoti termini, un to īpašās nozīmes izpratne VDAR kontekstā izgaismo šī likuma patieso tvērumu:

Personas dati ir jebkura informācija, kas attiecas uz identificētu vai identificējamu personu. Tas ir ļoti plašs jēdziens, jo tajā ietilpst informācija, ko var izmantot patstāvīgi vai kombinācijā ar citiem informācijas fragmentiem personas identificēšanai. Personas dati nav tikai personas vārds vai e-pasta adrese. Tie var aptvert arī tādu informāciju kā finansiālā informācija un dažos gadījumos arī IP adresi. Turklāt atsevišķām personas datu kategorijām to sensitīvā rakstura dēļ ir noteikts augstāks datu aizsardzības līmenis. Šīs datu kategorijas ir informācija par personas rasi un etnisko izcelsmi, politisko pārliecību, reliģiskajiem un filozofiskajiem uzskatiem, piederību arodbiedrībai, ģenētiskie dati, biometriskie dati, veselības dati, informācija par personas seksuālo dzīvi vai seksuālo orientāciju un informācija par sodāmību.

Personas datu apstrāde ir svarīgākā darbība, kas saskaņā ar VDAR rada noteiktus pienākumus. Apstrāde nozīmē jebkādu operāciju vai operāciju kopumu, kas tiek veikta ar personas datiem vai personas datu kopumiem, neatkarīgi no tā, vai tas notiek automatizētā veidā, piemēram, datu iegūšana, ierakstīšana, organizēšana, strukturēšana, saglabāšana, pielāgošana vai sagrozīšana, izgūšana, meklēšana, izmantošana, atklāšana pārsūtīšanas vai izplatīšanas ceļā, vai citāda pieejamība, salāgošana vai apvienošana, ierobežošana, dzēšana vai iznīcināšana. Praktiski tas nozīmē, ka par apstrādi uzskatāms ikviens process, kurā personas dati tiek saglabāti vai meklēti.

Kā Bilderlings apstrādā personas datus?

Bilderlings apstrādā personas datus tikai konkrētos nolūkos, un dati tiek glabāti tikai tik ilgi, kamēr tas nepieciešams. Bilderlings uztur datus, kas vajadzīgi klienta izvēlēto pakalpojumu sniegšanai, un Bilderlings spēj tos sniegt klientam.

Bilderlings veic personas datu apstrādi vienā vai vairākos šādos gadījumos:

  • līguma parakstīšanai un izpildei;
  • ja to pieprasa likums;
  • leģitīmās (likumīgās) interesēs;
  • ja ir saņemta piekrišana no klienta.

VDAR var attiekties uz organizācijām, kas atrodas ārpus ES

Atšķirībā no Datu aizsardzības direktīvas VDAR ir būtiska katram globālas darbības uzņēmumam, ne tikai tiem uzņēmumiem, kas atrodas ES. Saskaņā ar VDAR organizācijas var būt šajā skaitā, ja (i) organizācija ir dibināta ES, vai (ii) organizācija nav dibināta ES, bet datu apstrādes darbības attiecas uz ES personām un ir saistītas ar preču un pakalpojumu piedāvāšanu tām vai to uzvedības monitoringu.

Mūsu datu apstrādes politika

Personas datu apstrādes politika sniedz informāciju par Bilderlings klientu, darbinieku un citu personu personas datu apstrādi un aizsardzību. Papildus Politikas aprakstam pakalpojumu līgumos, citos ar pakalpojumiem saistītos dokumentos un mājaslapā var tikt iekļauta sīkāka informācija par personas datu apstrādi.

Kas var piekļūt šiem datiem?

Bilderlings var kopīgot klientu datus tikai šādos gadījumos: 

  • ja datus pieprasa valsts/uzraudzības iestāde;
  • ja tas nepieciešams autorizētiem datu saņēmējiem attiecīgā pakalpojuma sniegšanai.

Bilderlings autorizētie datu saņēmēji ir uzņēmumi, kas veic datu apstrādi Bilderlings vārdā. Bilderlings ir pienākums veikt nepieciešamos pasākumus, lai garantētu, ka autorizētie datu saņēmēji veic klientu datu apstrādi saskaņā ar Bilderlings norādījumiem, ievēro nepieciešamās drošības un konfidencialitātes prasības, kā arī rīkojas saskaņā ar juridiskajām prasībām.

Autorizēto datu saņēmēju saraksts:

  • Karšu maksājumu nodrošināšanai - SIA Worldline Latvia (Reģ. Nr. 40003072814, Dzirnavu iela 37, LV-1010, Rīga)
  • Karšu maksājumu nodrošināšanai (kā saņēmējam) - BlueOrangeBank JSC (Reģ. Nr. 40003551060, Smilšu iela 37, LV-1050, Rīga)
  • Datu glabāšanas un e-pasta pakalpojumiem MSO365 - Squalio LLC JSC (Reģ. Nr. 40003351675, Krišjāņa Valdemāra 21-19, LV-1010, Rīga)
  • Klientu resursu pārvaldībai - SalesForce.com INC. (Reģ. Nr. The Landmark @ One Market street, San Francisco, CA 94105, ASV)
  • Apdrošināšanas priekšlikumu sagatavošanai - AAS "ERGO" (Reģ. Nr. 40003131253, Skanstes iela 50, LV-1013, Rīga)
  • Maksājumu pakalpojumu nodrošināšanai - SIA DEAC (Reģ. Nr. 40103255973, Maskavas iela 459, LV-1063, Rīga)

Neievērošana

Visbiežāk norādītās VDAR neievērošanas sekas ir maksimālais sods, ko var piemērot vainīgajai organizācijai. Maksimālais sods, ko var piemērot, ir 4% no globālajiem ieņēmumiem vai 20 miljoni EUR, atkarībā no tā, kas ir vairāk. Par citiem dažiem pārkāpumu veidiem paredzēts maksimālais sods 2% apmērā no globālajiem ieņēmumiem vai 10 miljoni EUR, atkarībā no tā, kas ir vairāk.

Retāk norādītas VDAR 58. pantā noteiktās datu aizsardzības iestāžu (“DAI”) tiesības. Starp šīm tiesībām ir DAI spēja noteikt koriģējošus pasākumus, piemēram, datu apstrādes darbību ierobežošanu uz laiku vai pastāvīgi, tai skaitā pilnīgu datu apstrādes aizliegumu, vai rīkojumu par datu plūsmas apturēšanu saņēmējam trešā valstī.

Ja jums ir jautājumi par Bilderlings veikto datu apstrādi, sūtiet mums e-pastu uz: dpo@bilderlings.eu