#dviskaidro Jaunumi Ziņas
Attēls

Rodoties mērķim apstrādāt datus un tādējādi arī nepieciešamībai šo mērķi sasniegt likumiskā un praktiski izpildāmā veidā, ir jānosaka iesaistīto pušu lomas. Lomu noteikšana ir svarīga, lai katrai no pusēm būtu skaidra tai noteiktā atbildība, uzdevumi un ietekmes robežas. Datu regulā šīs pamata lomas, kas savu interešu vārdā vai no citas puses saņemta uzdevuma ietvaros veic datu apstrādi ir “pārzinis”, “kopīgi pārziņi” vai “apstrādātājs”, kur katrai lomai ir savs statuss atbilstoši Datu regulai. Katru reizi, veicot uz kādu starp citām līdzīgām personām atpazīstamu dzīvu personu attiecināmas informācijas apstrādi, tas tiks darīts kādā no šīm uzskaitītajām lomām.

Kā solīts, šajā nedēļā, Alise skaidro, ko tieši šīs lomas nozīmē un kā saprast, kura loma ir piemērojama katrā personas datu apstrādes [1] gadījumā.

Pārzinis, kopīgie pārziņi vai apstrādātājs

Visos gadījumos persona, kura noteiks un pieņems lēmumu – kāpēc un kā fizisku personu (semināra dalībnieku) dati ir apstrādājami, būs pārzinis, savukārt, ja šo lēmumu pieņem vairākas personas kopā, tie tiks uzskatīti par kopīgiem pārziņiem.

Ņem vērā! Kopīgiem pārziņiem savā starpā ir jāvienojas un jānosaka katra konkrētā pārziņa pienākumi un par abiem (vai vairākiem) pārziņiem jāinformē semināra dalībnieki, kuru personas dati tiks apstrādāti.

Savukārt apstrādātājs ir tā persona (organizācija vai fiziska persona), kura veic datu apstrādi uzņēmuma vārdā. Tas nozīmē, ka apstrādātājs nenosaka un nepieņem lēmumu – kāpēc un kā tiks apstrādāti personas dati.

Ņem vērā! Pārzinim un apstrādātājam ir jāvienojas un jānosaka noslēgtās vienošanās priekšmets un apstrādes ilgums, apstrādes raksturs un nolūks, personas datu veidi un datu subjektu kategorijas, kā arī pārziņa pienākumi un tiesības.

Jūs esat:

Pārzinis

Kopīgi pārziņi

Apstrādātājs

Ja esat tā persona, kas ir pieņēmusi lēmumu, ka:

  1. konkrētajā gadījumā ir nepieciešams veikt personas datu apstrādi;
  2. personas dati apstrādājami tieši Jūsu izplānotajā veidā. [2]

Ja lēmumu par personas datu apstrādes veidu un tās nepieciešamību kopīgi pieņem vairākas personas. [3]

Ja pēc līguma, ar kuru Jums uzticēts veikt personas datu apstrādi kādas citas personas vārdā, Jūs varat izvēlēties tikai dažus praktiskākus īstenošanas aspektus (“nebūtiskus līdzekļus”) vai arī līdzekļu izvēle Jums liegta pilnībā. [4]

fiziska vai juridiska persona, publiska iestāde, aģentūra vai struktūra

Ņemt vērā!

  • Rīkojoties uzņēmuma vārdā un ietvaros, darbinieks patstāvīgi nevienu no lomām neieņems. Arī, ja iekšēji par darbu veikšanu būs noteikta kāda atbildīgā persona, tomēr personas datu apstrādes loma tiks piešķirta visai organizācijai, kuras vārdā apstrāde tiek veikta;
  • Ja esat kopīgs pārzinis, tad Jums ar citiem kopīgajiem pārziņiem ir pārredzamā veidā jānosaka un jāvienojas par katras iesaistītās personas attiecīgo atbildību attiecībā uz Datu regulā noteikto pienākumu izpildi;
  • Ja uzticat personas datus Apstrādātājam, tad to varat darīt:
  1. Tikai ar rakstisku līgumu, kurā ietvertas vismaz Datu regulā minētās sastāvdaļas;
  2. Tikai, ja tiek nodrošināts, ka tiks veikti atbilstoši tehniskie un organizatoriskie pasākumi, lai apstrāde atbilstu Datu regulai.

Ņem vērā! Pārzinim un apstrādātājam ir jāvienojas un jānosaka noslēgtās vienošanās priekšmets un apstrādes ilgums, apstrādes raksturs un nolūks, personas datu veidi un datu subjektu kategorijas, un pārziņa pienākumi un tiesības. Vienošanās var būt līgumiska rakstura vai cita veida juridisks akts (piemēram, likumā vai Ministru kabineta noteikumos iekļautas normas, kas attiecināmas uz noteiktām organizācijām).

  • Gan darbinieks, gan Apstrādātājs, veicot personas datu apstrādi ārpus savām pilnvarām, pats kļūs par pārzini, un tādējādi uzņemas atbildību atbilstoši pārziņa lomai;
  • Lomu noteikšanā galvenā nozīme ir pušu faktiskajai atbildībai [5], nevis definīcijas piešķiršanai.

Kā noteikt savu statusu personas datu apstrādes procesā?

Lai parādītu atšķirības starp “pārziņa” un “apstrādātāja” statusu  personas datu apstrādes procesā, aplūkosim dažādas situācijas:

 

Pārzinis

Kopīgi pārziņi

Apstrādātājs

Grāmatvedības pakalpojuma sniedzēja loma

Ja līgums starp uzņēmumu un grāmatvedības pakalpojuma sniedzēju paredz kopēju uzdevumu – grāmatvedības pakalpojuma sniegšanu, kā arī sniegtais pakalpojums ierobežots ar Grāmatvedības likumā noteikto pienākumu izpildi.

Grāmatvedības pakalpojuma sniedzējs kopā ar nodokļu konsultantu firmu izlemj veidot kopēju tīmekļa vietni, kurā abi uzņēmumi piedāvātu savus pakalpojumus. Grāmatvedības uzņēmums un nodokļu konsultantu firma būs kopējie pārziņi attiecībā uz tīmekļa vietnē veikto personas datu apstrādi.

Ja uzņēmums noslēdzis detalizētu līgumu par veicamajiem pakalpojumiem, kurā noteikti pakalpojuma sniedzēja pienākumi, tiesības un atbildība, kā arī sniegtie pakalpojumi, kas tiek pasūtīti neizriet vai pilnībā neizriet no normatīvajos aktos noteiktā.

Pētnieciskais institūts

Gadījumos, kad institūts pastāvīgi izlemj organizēt pētījumu, izvēlas metodiku un analizējamo datu masīvus.

Gadījumos, kad viena pētījuma veikšanā iesaistās vairāki pētnieciskie institūti, kopēja mērķa sasniegšanai saplūdinot to rīcībā esošos datu masīvus.

Gadījumos, kad institūtam pētījumu pasūta cita persona, kas norāda izmantojamās metodes un analīzi, un lūdz pētījumu veikt, izmantojot citas personas apkopotu datu masīvus.

Ņem vērā!

  • Visbiežāk gadījumu pārzināšana izrietēs no tiesību normām vai arī no faktiskas ietekmes uz personas datu apstrādi;
  • Personas datu apstrādes dzīvesciklā viena un tā pati persona savu lomu var mainīt, piemēram, no apstrādātāja kļūstot par pārzini;
  • Kopīgu pārziņu gadījumā lēmums par personas datu apstrādi var būt gan kopīgs, gan arī saplūstošs.

Vēršam uzmanību, ka detalizēta analīze par lomu noteikšanu un dažādu situāciju analīzi ir veikta Eiropas Datu aizsardzības kolēģijas 2020. gada jūlija pamatnostādnes par pārziņa un apstrādātāja jēdzieniem VDAR https://edpb.europa.eu/system/files/2022-02/eppb_guidelines_202007_controllerprocessor_final_lv.pdf

dviskaidro-atbilstosa-personas-datu-apstrade-organizejot-tiessaistes-seminaru
datini

Informatīvas atsauces:

[1] Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016.gada 27.aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Datu regula). 4.panta 2.punkts;

[2] Datu regulas 4.panta 7.punkts;

[3] Datu regulas 4.panta 8.punkts;

[4] Datu regulas 26.pants;

[5] Eiropas Datu aizsardzības kolēģijas 2020. gada jūlija pamatnostādnes par pārziņa un apstrādātāja jēdzieniem VDAR https://edpb.europa.eu/system/files/2022-02/eppb_guidelines_202007_controllerprocessor_final_lv.pdf .