Latvijas Pašvaldību savienība realizē projektu ProLegis, kura aktivitātes vērstas uz vietējo pašvaldību administrāciju darbiniekiem, kuri turpmāk pildīs datu aizsardzības speciālistu funkcijas. Tiks ir izstrādāta sava metodoloģija un mācību materiāli, lai uzlabotu datu aizsardzības speciālistu zināšanas un kompetenci, strādājot pašvaldībās. Šeit publicēti projekta gaitā tapuši mācību materiāli, dažādas pamatnostādnes un skaidrojumi.
Ievads personas datu apstrādē
Ievads un termini Vispārīgai datu aizsardzības regulai
Personas datu apstrādes juridiskais pamats
Spēja noteikt, kāds juridiskais pamats piemērojams, attiecīgajai datu apstrādes darbībai ir būtiska katram datu pārzinim, lai nodrošinātu datu apstrādes likumību. Turklāt informācija par to, kurš juridiskais pamats attiecas uz konkrēto apstrādes mērķi, ir viens no caurspīdīguma principa galvenajiem elementiem, jo tas ir skaidri iekļauts informācijā, kas pārzinim jāsniedz katram datu subjektam (VDAR 13. un 14.pants). Tādēļ gan publiskajiem, gan privātajiem datu pārziņiem vajadzētu būt labi informētiem par katra juridiskā pamata, kas minēti VDAR 6.pantā, nozīmi. Regula neparedz jaunus datu apstrādes juridiskos pamatus, bet drīzāk groza prasības un nosacījumus dažu esošo pamatu piemērošanai (piemēram, piekrišanai, leģitīmajām interesēm). Jebkurā gadījumā spēja noteikt pareizu juridisko pamatu ir pirmais solis, lai nodrošinātu VDAR atbilstību organizācijā. Doktrīnā norādīts, ka piesardzīgam datu pārzinim būtu jāveic nepieciešamie pasākumi, lai nodrošinātu, ka gadījumos, kad uzraudzības iestādes pieprasa pierādījumus, datu pārzinim būtu iespēja norādīt, uz kādiem kritērijiem personas datu apstrādē viņš balstās un nodrošina pienācīgu datu subjektu informēšanu.
Lasīt visu dokumentu "Personas datu apstrādes juridiskais pamats"
Prezentācija "Personas datu apstrādes juridiskais pamats"
Īpašo kategoriju personas datu apstrāde
Pašvaldībām būtu jāapzinās, ka noteiktām personas datu kategorijām nepieciešama īpaša aizsardzība, jo tās būtībā ir saistītas ar cilvēka dzīves visintīmākajiem aspektiem un/vai var radīt diskriminācijas riskus. Parasti šādu datu apstrāde ir aizliegta, ja vien nav papildus nosacījumu (izņēmumi).
Vispraktiskākie aspekti, kas varētu ietekmēt pašvaldību darbības, ir darbinieku veselības datu apstrāde. VDAR ļauj veikt šādu apstrādi, bet tikai tad, ja tas ir nepieciešams pārziņa pienākumu veikšanai (vai datu subjekta tiesībām) saskaņā ar darba tiesībām.
Dati par sodāmību un pārkāpumiem nav īpaša kategorija, bet uz tiem arī attiecas īpašais datu apstrādes režīms saskaņā ar VDAR. Ņemot vērā VDAR, būtu jāpārskata personāla vadības prakses sodāmības datu apkopošanā vai veicot nākamo darbinieku iepriekšējo darbību plašas pārbaudes.
Lasīt visu dokumentu "Īpašo kategoriju personas datu apstrāde"
Prezentācija "Īpašo kategoriju personas datu apstrāde"
Datu aizsardzības speciālista (DAS) iecelšana, amats un funkcijas
DAS ir viena no galvenajām personām, kas nodrošina atbilstību jaunajiem datu aizsardzības noteikumiem. DAS loma lielā mērā ir atkarīga no pašas attiecīgās organizācijas. Ja organizācija pienācīgi iesaistīs DAS visos ar datu aizsardzību saistītos jautājumos un nodrošinās nepieciešamos resursus, lai tas varētu veikt savas funkcijas, DAS varētu būt viens no noteicošajiem faktoriem, lai nodrošinātu atbilstību un veicinātu uzticēšanos sabiedrībā. Pretējā gadījumā DAS būs diezgan ilūziska figūra, kurai nav reālas funkcijas kā vien pārvaldīt ar datu aizsardzību saistīto saziņu, kas nav šī amata būtība saskaņā ar VDAR.
Pašvaldībām ir svarīgi iecelt kvalificētus DAS, kas, ņemot vērā sagatavoto personu trūkumu ES līmenī, varētu izrādīties sarežģīts uzdevums. Jebkurā gadījumā nākamie daži gadi noteiks, kā DAS loma attīstīsies. Sabiedrībai būtu pozitīvi, ja pašvaldības būtu viens no vadošajiem piemēriem attiecībā uz to, kā vislabāk izmantot DAS.
Lasīt visu dokumentu "DAS iecelšana, amats un funkcijas"
Prezentācija "DAS iecelšana, amats un funkcijas"
Novērtējums par ietekmi uz datu aizsardzību
Īpaši labi finansētas regulatīvās aģentūras gadu gaitā ir izstrādājušas savu pieeju novērtējumam par ietekmi uz datu aizsardzību (NIDA). No šodienas viedokļa var sagaidīt, ka tās datu aizsardzības iestādes, kuras jau ir izstrādājušas savu modeli, izvēlas vai popularizē to, jo attiecīgajai uzraudzības iestādei ir visizteiktākās zināšanas par saviem ieteikumiem. Šobrīd pieejamo nacionālo uzraudzības iestāžu (no ES dalībvalstīm) modeļu saturs lielā daļā gadījumu tika sagatavots pirms VDAR, un tie (vēl) nav konsekventi pielāgoti VDAR prasībām vai terminoloģijai.
Tomēr ICO (Informācijas lietu komisāra birojs Apvienotajā karalistē) pievienoja savu ietekmes uz privātuma novērtējuma prakses kodeksu (2014.g.) ziņojumam (kuru vērts izlasīt) "Lielie dati, mākslīgais intelekts, datormācīšanās un datu aizsardzība" atbilstoši VDAR prasībām un terminoloģijai, kas tiek sagaidīts arī no citām datu aizsardzības iestādēm. Atklāts paliek jautājums, vai Eiropas Datu aizsardzības kolēģija (68.pants) sagatavos NIDA pamatnostādnes, ieteikumus un/vai paraugpraksi saskaņā ar 70.panta 1.punkta e) apakšpunktu.
Lasīt visu dokumentu "Novērtējums par ietekmi uz datu aizsardzību"
Prezentācija "Novērtējums par ietekmi uz datu aizsardzību"
Pārredzamība
Pārredzamības princips ir viens no VDAR pamatiem. Daudzos veidos tas nodrošina, ka fiziskām personām pieejama visa nepieciešamā informācija, lai tās būtu informētas gan par to, kādi personas dati tiek apstrādāti par viņiem, gan par iespējām izmantot savas tiesības saskaņā ar regulu. Informācijai jābūt viegli pieejamai un viegli saprotamai skaidrā un vienkāršā valodā.
Vietējām pašvaldībām būtu ieteikums sastādīt sarakstu ar visu sniedzamo informāciju, ko pieprasa VDAR un izvēlēties vislabāko kārtību, kādā sasniegt personas, kuru datus tās apstrādā. Piemēram, tās var izveidot informācijas datu lapas un izvietot publiski pieejamos kabinetos/telpās un izveidot brošūras, kas ietver informāciju saskaņā ar 13. un 14.pantu un izplatīt tos. Elektroniskie līdzekļi var būt noderīgi, piemēram, ja organizācijai ir tiešsaistes vietne vai platforma, bet atsevišķos gadījumos var būt nepieciešami papīra formāti. Īpaša uzmanība jāpievērš gadījumos, kad pašvaldību tīmekļa vietnes piedāvā tiešsaistes pakalpojumus. Tāpat būtu jāpatur prātā, ka daži autonomi pašvaldību uzņēmumi (piemēram, sabiedriskā transporta uzņēmumi), veic dažāda veida datu apstrādes un strādā ar milzīgām datu bāzēm, tādēļ tām būtu jāpieliek īpašas pūles, lai izveidotu datu subjektiem sniedzamo informāciju korekti saskaņā ar 13. un 14.punktu.
Lasīt visu dokumentu "Pārredzamība"
Informācijas izpaušana vai datu subjekta piekļuves tiesības VDAR 15.pants
VDAR 15.pants paredz, ka datu pārzinis (piemēram, uzņēmums, darba devējs, slimnīca) pēc datu subjekta (piemēram, klienta, darbinieka, darba meklētāja, pacienta, turpmāk tekstā - "datu subjekts") pieprasījuma izpauž visu informāciju, kas tam pieejama par datu subjektu. To sauc par "datu subjekta piekļuves tiesībām” (uz viņa/viņas datiem). Šo tiesību mērķis ir tāds, ka datu subjekts var iegūt informāciju par viņa vai viņas apstrādāto datu saturu un citu saistīto informāciju, lai, ja nepieciešams, varētu izmantot savas papildu datu subjekta tiesības (piemēram, labot vai dzēst datus saskaņā ar VDAR 16.pantu) vai pārliecināties par apstrādes likumību.
Šīs tiesības ir galvenais datu aizsardzības tiesību akta rīks šim mērķim, tāpēc tās uzskatāmas par pamatu datu subjekta citu tiesību izmantošanai. Lai gan datu aizsardzības iestādes (DAI) saskaņā ar VDAR ir pilnvarotas veikt pārziņa revīziju bez konkrētas sūdzības, praksē (DAI ierobežoto resursu dēļ) tā ir nepilnīga vai novēlota attiecībā uz datu subjektu piekļuves tiesībām. Pārzinim jābūt labi sagatavotam šādiem procesiem.
Vislabākais sagatavošanās veids ir labi strukturēts un pēc iespējas detalizētāks apstrādes darbību reģistrs. Jo labāk darba procesā, kam nepieciešama personas datu apstrāde, sagatavota šī dokumentācija, jo vieglāk un ātrāk pēc tam nepieciešamības gadījumā atrast konkrētus datus par konkrētu tēmu.
Lasīt visu dokumentu "Informācijas izpaušana vai datu subjekta piekļuves tiesības VDAR 15. pants"
Prezentācija "Informācijas izpaušana vai datu subjekta piekļuves tiesības VDAR 15.pants"
29. panta datu aizsardzības darba grupas dokumenti
29. panta datu aizsardzības darba grupa tika izveidota saskaņā ar Direktīvas 95/46/EK 29. pantu. Tā ir neatkarīga Eiropas padomdevēja institūcija datu aizsardzības un privātuma jautājumos. Tās uzdevumi ir aprakstīti Direktīvas 95/46/EK 30. pantā un Direktīvas 2002/58/EK 15. pantā.
Sekretariāta pakalpojumus nodrošina Eiropas Komisijas Tiesiskuma un patērētāju ģenerāldirektorāta C direktorāts (Pamattiesības un Savienības pilsonība), B-1049 Brisele, Beļģija, birojs Nr. MO-59 02/013.
Pamatnostādnes par piekrišanu saskaņā ar Regulu 2016/679
Vadlīnijas par datu aizsardzības speciālistiem (DAS)
Pārredzamības pamatnostādnes saskaņā ar Regulu 2016/679
Datu valsts inspekcijas materiāls "Datu subjekta tiesības"
Rekomendācijas „Datu subjekta tiesības” mērķis ir sniegt skaidrojumu datu subjektiem par tiesībām piekļūt saviem personas datiem. Kā arī tā ir paredzēta pārziņiem, kas apstrādā personas datus, lai sekmētu pārziņu izpratni par pienākumu nodrošināt datu subjektu tiesības, un palīdzētu pārziņiem nodrošināt labās prakses īstenošanu attiecībā uz datu subjektu pieejas tiesībām. Turklāt rekomendācija ir paredzēta visiem pārziņiem - gan publiskajā, gan privātajā sektorā.
Prakse, kā pārziņi atbild uz datu subjektu pieprasījumiem, ir dažāda. Tā ir atkarīga no personas datu apjoma un veida, ko pārzinis apstrādā, bet princips, ka jānodrošina datu subjektu pieejas tiesības, ir vienāds katrā situācijā.
Datu valsts inspekcijas (turpmāk – DVI) rekomendācijai ir ieteikuma raksturs. Tā izstrādāta pamatojoties uz Fizisko personu datu aizsardzības likuma (turpmāk – FPDAL) 29.panta trešās daļas 4.punktu, kas nosaka, ka DVI ierosina un veic darbības, kas vērstas uz efektīvāku personas datu aizsardzību. Rekomendācija ir izstrādāta ņemot vērā DVI un ES dalībvalstu iestāžu, kuras uzrauga personas datu aizsardzību, pieredzi un rekomendācijas (vadlīnijas). Rekomendācija ir DVI viedoklis par FPDAL noteikto datu subjektu tiesību ievērošanas interpretāciju, tās ievērošana nav obligāta, kad tā pārsniedz FPDAL prasības, nodrošinot labo praksi. Rekomendācija nav tiesību akts, kāds ir FPDAL, kas nosaka pārziņiem pienākumus, kas tiem jānodrošina.