#dviskaidro Jaunumi Ziņas
registrs

Datu regulā ir noteikts pienākums komersantiem un organizācijām izveidot un uzturēt Personas datu apstrādes reģistru, lai to veiktā personas datu apstrāde būtu pārskatāma. Šāds reģistrs ir jāveido visiem komersantiem un organizācijām, kurās ir nodarbinātas vairāk kā 250 personas. Ja ir nodarbinātas mazāk kā 250 personas, reģistra izveide nav obligāta, ja vien komersanta vai organizācijas veiktā datu apstrāde nav regulāra, neskar īpašas kategorijas datus vai personas datus par sodāmību un pārkāpumu, kā arī nerada risku personas tiesībām un brīvībām, [1].

Ar ko sākt?

Komersantam/organizācijai pirms Personas datu apstrādes reģistra izveides ir jāņem vērā:

  • personas datu apstrādes mērķis jeb nolūks;
  • personas datu apstrādes tiesiskais pamats;
  • mērķa sasniegšanai nepieciešamais datu apjoms;
  • vai dati tiks nodoti trešajām personām;
  • vai dati tiks nodoti ārpus Eiropas Savienības un Eiropas Ekonomikas zonas;
  • informācija par tehniskajiem un organizatoriskajiem drošības pasākumiem.

Reģistra izveide

Personas datu apstrādes reģistra izveides formāts nav noteikts un katrs komersants/organizācija var izvēlēties, kā to veidot un uzturēt (piemēram, izveidot atsevišķu sistēmu, excel tabulu vai veidot to papīra formātā).

Reģistrā iekļaujamā informācija

Informācijas apjoms, kas jāiekļauj Personas datu apstrādes reģistrā, ir atkarīgs no personas datu apstrādes veicēja.

Ja komersants/organizācija pati nosaka personas datu apstrādes nolūkus un līdzekļus, tad reģistrā ir jānorāda:

  • organizācijas nosaukums un kontaktinformācija, tai skaitā, informācija par saziņas iespējām ar datu aizsardzības speciālistu;
  • datu apstrādes mērķis (nolūks);
  • datu subjektu kategoriju apraksts;
  • personas datu kategoriju apraksts;
  • personas (piemēram, amati vai pārstāvība), kurām personas dati ir izpausti vai plānots to darīt;
  • informācija par saņēmējiem trešajās valstīs vai starptautiskās organizācijās, ja personas dati ir izpausti vai plānots to darīt;
  • ja personas dati tiek nosūtīti uz trešo valsti vai starptautisko organizāciju, tad jānorāda konkrēts personas datu saņēmējs (nosaukums, kontaktinformācija) un atbilstošu garantiju dokumentācija;
  • termiņi dažādu personas datu kategoriju datu dzēšanai;
  • tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

Komersants/organizācija var deleģēt datu apstrādi veikt kādam citam. Šajā gadījumā personai, kurai deleģēta datu apstrāde, reģistrā ir jānorāda:

  • apstrādātāja, kā arī organizācijas, kas deleģējusi datu apstrādi, nosaukums un kontaktinformācija, tai skaitā, informācija par saziņas iespējām ar datu aizsardzības speciālistu;
  • datu apstrādes mērķis (nolūks);
  • datu subjektu kategoriju apraksts;
  • personas datu kategoriju apraksts;
  • personas (piemēram, amati vai pārstāvība), kurām personas dati ir izpausti vai plānots to darīt;
  • informācija par saņēmējiem trešajās valstīs vai starptautiskās organizācijas, ja personas dati ir izpausti vai plānots to darīt;
  • ja personas dati tiek nosūtīti uz trešo valsti vai starptautisko organizāciju, tad jānorāda konkrēts personas datu saņēmējs (nosaukums, kontaktinformācija) un atbilstošu garantiju dokumentācija;
  • termiņi dažādu personas datu kategoriju datu dzēšanai;
  • tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

Kāpēc nepieciešams Personas datu apstrādes reģistrs?

Lai komersants/organizācija (tai skaitā, datu aizsardzības speciālists), kā arī uzraudzības iestāde (kas var pieprasīt reģistra izsniegšanu) varētu pārliecināties par datu apstrādes tiesiskumu un pamatotību, Personas datu reģistrā iekļautai informācijai jābūt atbilstošai datu apstrādes nolūkam, apstrādājamo datu kategorijām, kā arī pietiekami konkrētai - bez pārlieku lielas detalizācijas pakāpes.

Komersants/organizācija par katru datu apstrādes darbību reģistrā var iekļaut ne tikai obligāto informācijas apjomu, bet arī papildināt reģistru ar citām sadaļām, piemēram,

  • norādīt datu apstrādes tiesisko pamatu;
  • gadījumā, ja konstatēts drošības incidents, reģistrā var iekļaut atsauci, vai personas dati ir/nav skarti;
  • vai arī atsauci uz izstrādāto “Novērtējumu par ietekmi uz datu apstrādi” konkrētam procesam.

Papildu informācijas iekļaušana reģistrā ļauj ne tikai gūt pilnīgāku pārskatu par datu apstrādes procesiem organizācijā, bet arī atvieglos saziņu ar klientiem datu aizsardzības jautājumos.  

Izveidoju un aizmirsu?

Personas datu apstrādes reģistrs nav dokuments, kuru var izstrādāt, nolikt plauktā un aizmirst par to. Tas ir dokuments, kas komersantam/organizācijai ir jāuztur, regulāri to aktualizējot atbilstoši faktiskajai situācijai.

Komersants/organizācija reģistra uzturēšanai var norīkot vienu vai vairākas atbildīgās personas. Atbildīgā persona var būt arī datu aizsardzības speciālists, kura amata pienākumos ietilpst Personas datu apstrādes reģistra izveide un uzturēšana.

Svarīgi!

Datu valsts inspekcijai ir tiesības vērsties pie komersanta/organizācijas ar pieprasījumu izsniegt Personas datu apstrādes reģistru, lai pārliecinātos, ka datu apstrāde tiek veikta saskaņā ar datu aizsardzību reglamentējošiem tiesību aktiem, [2].

Paraugs “Personas datu apstrādes reģistrs” [3]

Personas datu apstrādes darbību reģistrs (žurnāls) saskaņā ar Vispārīgo datu aizsardzības regulu (2016./679., 13., 30. pants):

Pārzinis

SIA “MVU”

Adrese

Xxx iela 1, Latvija

Tālrunis

+371 xxxxxx

Fakss

+371 xxxxx

E-pasta adrese

Xxx@Xxx.lv

Vietne

www.Xxx.lv

Datu aizsardzības atbildīgā e-pasta adrese

aizsardziba@Xxx.lv

Personas datu apstrādes mērķis

Darba algas aprēķins un izmaksa

Datu subjektu apraksts

Darbinieki

Personas datu kategorijas

Vārds

Uzvārds

Norēķinu konta Nr.

 

Personas datu saņēmēju kategorijas

Darbinieki, valsts iestādes likumā noteiktos gadījumos

Personas datu nodošana ārpus ES vai Eiropas Ekonomikas zonas

Personas dati netiek nodoti ārpus ES vai Eiropas Ekonomikas zonas.

Datu glabāšanas termiņi

10 gadi

Tehnisko un organizatorisko drošības pasākumu vispārējs apraksts

1. Datu apstrādes tiesības tiek aizsargātas, izmantojot informācijas sistēmu piekļuves tiesību uzraudzības funkcijas.

2. Serveru datori, kas tiek izmantoti datu apstrādē, atrodas datoru centrā, kas ir aizsargāts ar piekļuves kontroles un drošības sistēmām. Reģistri, kuri satur personas datus, ir nošķirti no publiskās informācijas tīkliem, izmantojot tehniskos drošības pasākumus.

3. Papīra dokumentus uzglabā aizslēgtos skapjos, kas atrodas telpās ar piekļuves kontroli.

4. Personas, kas apstrādā personas datus, ir pakļautas konfidencialitātes pienākumam, kas izriet no likuma, pārziņa iekšējiem noteikumiem un / vai ir parakstījuši konfidencialitātes līgumu.

5. Tiek veikta sistemātiska failu dublēšana.

Apstrādes juridiskais pamatojums

Saskaņā ar Darba likuma ..p., Iedzīvotāju ienākuma nodokļu likuma ..p.

 

 

Cita saistoša informācija

Organizācija var izvērtēt un iekļaut citu, papildu informāciju, kas saistīta ar datu apstrādi

INFORMATĪVĀS ATSAUCES:

  1. Datu regulas 30.pants.
  2. Datu regulas 82. apsvērums.
  3. Rekomendācija “CEĻVEDIS DATU APSTRĀDĒ MAZIEM UN VIDĒJIEM UZŅĒMĒJIEM”  https://www.dvi.gov.lv/lv/dvi#rekomendacija-celvedis-datu-apstrade-maziem-un-videjiem-uznemejiem

 

03052022
darbavieta
Darbinieks aizpilda veidlapu
Darbinieks aizpilda veidlapu