Vadlīnijas par tiesībām uz datu pārnesamību

WP243 PIELIKUMS- BIEŽĀK UZDOTIE JAUTĀJUMI

Šī pielikuma mērķis ir vienkāršotā un viegli lasāmā formā atbildēt uz dažiem galvenajiem jautājumiem, kas organizācijām varētu rasties saistībā ar jaunajām VDAR prasībām, ieceļot datu aizsardzības speciālistu (DAS).
DAS iecelšana (37. pants)
1. Kurām organizācijām ir jāieceļ DAS? (37. panta 1. punkts)
VDAR nosaka DAS iecelšanu trīs īpašos gadījumos:
• ja apstrādi veic publiska iestāde vai struktūra (neatkarīgi no tā, kādi dati tiek apstrādāti);
• kad pārziņa vai apstrādātāja pamatdarbība sastāv no apstrādes darbībām, kurām nepieciešama regulāra un sistemātiska datu subjektu novērošana plašā mērogā; un
• kad pārziņa vai apstrādātāja pamatdarbības ietver īpašo kategoriju datu vai personas datu par sodāmību un pārkāpumiem apstrādi plašā mērogā.
Ņemiet vērā, ka Savienības vai dalībvalstu tiesību aktos var būt norādīti citi DAS iecelšanas gadījumi. Visbeidzot, ja VDAR īpaši nepieprasa iecelt DAS, organizācijām var dažreiz ir lietderīgi brīvprātīgi iecelt DAS. 29. panta datu aizsardzība darba grupa ("29DG") atbalsta šos brīvprātīgos centienus.
Plašāku informāciju skatiet Vadlīniju 2.1. sadaļā.

2. Ko nozīmē jēdziens "pamatdarbība"? (37. panta 1. punkta b) un c) apakšpunkts)
"Pamatdarbību" var uzskatīt galvenās darbības, lai sasniegtu pārziņa vai apstrādātaja mērķus. Tās ietver arī visas darbības, kurās datu apstrāde ir neatņemama pārziņa vai apstrādātāja darbības daļa. Piemēram, veselības datu apstrāde, tādi kā pacienta veselības pārskati, jāuzskata par vienu no jebkuras slimnīcas pamatdarbībām, un tādēļ slimnīcās ir jāieceļ DAS.
No otras puses, visas organizācijas veic noteiktas atbalsta darbības, piemēram, maksājot algas saviem darbiniekiem vai veicot standarta IT atbalsta darbības. Tās ir nepieciešamās atbalsta funkcijas organizācijas galvenajai darbībai vai pamatdarbībai. Lai gan šīs darbības ir nepieciešamas vai būtiskas, tās parasti tiek uzskatītas par palīgfunkcijām, nevis pamatdarbībām.
Plašāku informāciju skatiet vadlīniju 2.1.2. sadaļā.

3. Ko nozīme jēdziens “liels mērogs” (37.panta 1.punkta b) un c) apakšpunkts)?
VDAR nenosaka, kas ir plašs mērogs. 29DG, lai noteiktu, vai apstrāde notiek lielā mērogā, iesaka īpaši ņemt vērā šādus faktorus:
• Attiecīgo datu subjektu skaits - vai nu konkrēts skaits vai proporcionāli iedzīvotaju skaitam
• datu apjoms un / vai dažādu apstrādājamo datu vienību diapazons
• datu apstrādes darbības ilgums vai pastāvīgums
• apstrādes darbības ģeogrāfiskais apmērs
Liela mēroga apstrādes piemēri ir šādi:
• pacienta datu apstrāde slimnīcā , ko ikdienā veic slimnīca
• pārvietošanās datu apstrāde personām, kas izmanto pilsētas sabiedriskā transporta sistēmu (piemēram, izsekošana ar braukšanas kartēm)
• starptautiskās ātrās ēdināšanas ķēdes klientu reālā laika ģeogrāfiskās atrašanās vietas datu apstrāde statistikas vajadzībām, ko veic šo apstrādes darbību speciālists
• klientu datu apstrāde, ko ikdienā veic apdrošināšanas sabiedrība vai banka
• meklētājprogrammas paradumorientētās reklāmas personas datu apstrāde
• datu apstrāde (saturs, transports, atrašanās vieta), ko veic pa telefonu vai caur interneta pakalpojumu sniedzējiem
Piemēri, kas nav liela mēroga apstrāde, ir šādi:
• ārstējošā ārsta pacienta datu apstrāde
•individuāli praktizējoša advokāta personas datu apstrāde saistībā ar kriminālpārkāpumiem un noziedzīgiem nodarījumiem.
Plašāku informāciju skatiet vadlīniju 2.1.3. sadaļā.

4. Ko nozīmē jēdziens "regulāra un sistemātiska uzraudzība"? (37. panta 1. punkta b) apakšpunkts)
Datu subjektu regulāras un sistemātiskas pārraudzības jēdziens nav definēts GDPR, bet tas skaidri ietver visus izsekošanas un profilēšanas veidus internetā, tostarp izturēšanās reklāmas nolūkos. Tomēr uzraudzības jēdziens nav saistīts tikai ar tiešsaistes vidi.
29DG interpretē "regulāri", kas nozīmē vienu vai vairākus no šiem:
• Pastāvīgi vai notiek konkrētos intervālos noteiktā laika periodā
• Atkārtota vai atkārtota noteiktā laikā
• Pastāvīgi vai periodiski notiek
29DG interpretē "sistemātisku", kas nozīmē vienu vai vairākus no šiem:
• Notiek saskaņā ar sistēmu
• Iepriekš organizēta, organizēta vai metodiska
• Notiek kā daļa no vispārējā datu vākšanas plāna
• Veikts kā daļa no stratēģijas
Piemēri: telekomunikāciju tīkla vadīšana; telekomunikāciju pakalpojumu sniegšana; novirzīšana uz e-pastu; profilu veidošana un vērtēšana riska novērtēšanas nolūkos (piemēram, kredītpunktu vērtēšanas nolūkos, apdrošināšanas prēmiju noteikšana, krāpšanas novēršana, naudas atmazgāšanas atklāšana); atrašanās vietas izsekošana,
piemēram, izmantojot mobilās lietotnes; lojalitātes programmas; paradumorientēta reklāma; labsajūtas, fitnesa un veselības datu uzraudzība ar valkājamām ierīcēm; slēgtās sistēmas televīzija; savienotas ierīces, piem., viedie skaitītāji, viedās automašīnas, mājas automatizācija u.c.
Plašāku informāciju skatiet vadlīniju 2.1.4. sadaļā.

5. Vai organizācijas var kopīgi iecelt DAS? Ja jā, tad kādos apstākļos? (37. panta 2. un 3. punkts)
VDAR nosaka, ka uzņēmumu grupa var izraudzīties vienu DAS, ja tas ir "viegli pieejams katram uzņēmumam". Pieejamības jēdziens attiecas uz DAS uzdevumiem, kura ir kontaktpersona attiecībā uz datu subjektiem, uzraudzības iestādi kā arī iekšēji organizācijā. Lai nodrošinātu, ka DAS ir pieejams gan iekšēji, gan ārēji, saskaņā ar VDAR, ir jābūt pieejamai viņa kontaktinformācijai. DAS jābūt spējīgam efektīvi sazināties ar datu subjektiem un sadarbojas ar attiecīgajām uzraudzības iestādēm.Tas nozīmē, ka šim paziņojumam jānotiek valodā vai valodās, ko izmanto uzraudzības iestādes un attiecīgie datu subjekti. Personiska DAS pieejamība (vai nu fiziski tajās pašās telpās, kurās strādā darbinieki , izmantojot tiešo tālruni (hot-line) vai citus drošus saziņas līdzekļus) ir būtiska, lai nodrošinātu datu subjektu saziņu ar DAS.
Plašāku informāciju skatiet vadlīniju 2.3. sadaļā.

6. Vai ir iespējams iecelt ārējo DAS (37. panta 6. punkts)?
Jā. Saskaņā ar 37. panta 6. punktu DAS var būt personas datu pārziņa vai apstrādātāja personāls (iekšējais DAS) vai "uzdevumu izpilde, pamatojoties uz pakalpojumu līgumu". Tas nozīmē, ka DAS var būt ārējs, un šajā gadījumā viņa/viņas funkciju var īstenot, pamatojoties uz pakalpojumu līgumu, kas noslēgts ar personu vai organizāciju.
Ja DAS ir ārējs, uz DAS piemēro visas 37. līdz 39. panta prasības. Kā norādīts vadlīnijās, ja ārpakalpojumu sniedzējs pilda DAS funkciju, personu grupa, kas strādā šajā vienībā, var efektīvi pildīt DAS uzdevumus kā komanda, par kuru atbildīga ir vadošā kontaktpersona un par klientu “ atbildīgā persona” . Šajā gadījumā ir svarīgi, lai katrs ārējās organizācijas pārstāvis, kas pilda DAS funkcijas, atbilstu visām attiecīgajām VDAR prasībām.
Juridiskās skaidrības un labas organizācijas labad, vadlīnijās ir ieteikts pakalpojumu līgumā skaidri noteikt uzdevumu sadalījumu ārējā DAS komandā un norīkot vienu vadošo kontaktpersonu un par klientu “ atbildīgo personu”.
Plašāku informāciju skatiet vadlīniju 2.3., 2.4. un 3.5. sadaļā.

7. Kādām ir jābūt DAS profesionālajam īpašībām (37.panta 5.punkts)?
VDAR pieprasa, lai DAS "ieceļ pamatojoties uz viņa profesionālo kvalifikāciju, jo īpaši speciālām zināšanām datu aizsardzības tiesību un prakses jomā un spēju pildīt 39. pantā minētos uzdevumus.”
Nepieciešamais eksperta zināšanu līmenis jānosaka saskaņā ar veicamajām datu apstrādes darbībām un aizsardzību, kas nepieciešama apstrādāto personas datu apstrādei. Piemēram, ja datu apstrādes darbība ir īpaši sarežģīta, vai, ja ir iesaistīti daudzi sensitīvi dati, DAS var būt vajadzīgs lielāks zināšanu līmenis un atbalsts.
Nepieciešamās prasmes un zināšanas ietver:
• pieredzi valstu un Eiropas datu aizsardzības likumos un praksē, tostarp padziļināta izpratne par VDAR
• izpratni par veicamajām apstrādes darbībām
• izpratni par informācijas tehnoloģijām un datu drošību
• zināšanas par uzņēmējdarbības nozari un organizāciju
• spēju veicināt datu aizsardzības kultūru organizācijā.
Plašāku informāciju skatiet vadlīniju 2.4. sadaļā.
DAS amats (38. pants)

8. Kādi ir resursi, ar kādiem būtu jānodrošina DAS, lai veiktu savus uzdevumus?
VDAR 38. panta 2. punkts nosaka, ka organizācija atbalsta savu DAS, sniedzot "nodrošinot resursus, kas nepieciešami, lai veiktu [savus] uzdevumus, un nodrošinot piekļuvi personas datiem un apstrādes darbībām, un lai viņš uzturētu speciālās zināšanas".
Atkarībā no apstrādes darbību veida un organizācijas darbības veida un apjoma, DAS ir jānodrošina ar šādiem resursiem:
• Augstākā līmeņa vadītāju atbalsts DAS
• Pietiekams laiks, lai DAS varētu pildīt savus pienākumus
• Atbilstošs atbalsts attiecībā uz finanšu resursiem, infrastruktūru (telpām, iekārtām, ierīcēm) un darbiniekiem, ja tas ir nepieciešams
• Oficiāls paziņojums visiem darbiniekiem par DAS iecelšanu
• Piekļuve citiem pakalpojumiem organizācijā, lai DAS varētu saņemt būtisku atbalstu, pieeju vai informāciju no citiem dienestiem
• Pastāvīga apmācība.
Plašāku informāciju skatiet vadlīniju 3.2. sadaļā.

9. Kādas ir garantijas, kas ļauj DAS neatkarīgi pildīt savus uzdevumus (38. panta 3. punkts)?
Pastāv vairākas garantijas, lai DAS varētu rīkoties neatkarīgi, kā noteikts 97. apsvērumā:
• Pārzinis vai apstrādātājs nedod nekādus norādījumus DAS par uzdevumu izpildi
• Pārzinis vai apstrādātājs neatlaiž un nesoda DAS par uzdevumu izpildi
• Nav interešu konflikta ar iespējamiem citiem uzdevumiem un pienākumiem.
Plašāku informāciju skatiet vadlīniju 3.3. līdz 3.5. sadaļā.

10. Kādi ir DAS “ citi uzdevumi un pienākumi” , kas var radīt interešu konfliktu (38. panta 6. punkts)?
DAS nevar ieņemt amatu organizācijā, kura pienākumos ir noteikt personas datu apstrādes mērķus un līdzekļus. Ņemot vērā katras organizācijas īpašo organizatorisko struktūru, tas jāapsver katrā gadījumā atsevišķi.
Piemēram, konfliktējošie amati var būt augstākā līmeņa vadītāju amati (piemēram, izpilddirektors, galvenais darbinieks, galvenais finanšu speciālists, galvenais medicīnas darbinieks, mārketinga nodaļas vadītājs, personāla resursu vadītājs vai IT nodaļas vadītājs), bet arī citi zemāki amati organizatoriskajā struktūrā, ja šādi amati vai lomas nosaka apstrādes mērķus un līdzekļus.
Plašāku informāciju skatiet vadlīniju 3.5. sadaļā.
DAS uzdevumi (39. pants)

11. Ko nozīmē jēdziens "uzraudzīt atbilstību", kas ir ietverts VDAR (39. panta 1. punkta b) apakšpunkts?
Saskaņā ar šiem pienākumiem, lai uzraudzītu atbilstību, DAS ir atļauts:
• vākt informāciju, lai noteiktu apstrādes darbības,
• analizēt un pārbaudīt pārstrādes darbību atbilstību, un
• informēt, konsultēt un izdod ieteikumus datu pārzinim vai apstrādātājam.
Plašāku informāciju skatiet vadlīniju 4.1. sadaļā.

12. Vai DAS ir personīgi atbildīgs par neatbilstību VDAR?
Nē, DAS nav personīgi atbildīgas par neatbilstību VDAR. VDAR skaidri norāda, ka pārzinim vai apstrādātājam jānodrošina un jāspēj pierādīt, ka apstrāde tiek veikta saskaņā ar šo regulu "(24. panta 1. punkts). Datu aizsardzības atbilstība ir parziņa un apstrādataja atbildība.

13. Kāda ir DAS loma attiecībā uz datu aizsardzības ietekmes novērtējumu (37. panta 1. punkta c) apakšpunkts un apstrādes darbību protokols (30. pants)?
Ciktāl tas attiecas uz datu aizsardzības ietekmes novērtējumu (DAIN), datu pārzinim vai apstrādātājam būtu jāņem vērā DAS ieteikumi šādos gadījumos:
• veikt vai neveikt DAIN;
• kāda metodika jāievēro, veicot DAIN;
• vai DAIN ir jāveic ar iekšējiem resursiem vai jāizmanto ārpakalpojumi;
• kādas garantijas (tostarp tehniskos un organizatoriskos pasākumus) piemērot, lai mazinātu riskus datu subjektu tiesībām un interesēm;
• vai datu aizsardzības ietekmes novērtējums ir pareizi veikts un vai tā secinājumi (vai turpināt apstrādi vai piemērot kādus drošības pasākumus) ir saskaņā ar VDAR.
Plašāku informāciju skatiet vadlīniju 4.2.sadaļā.
Runājot par apstrādes darbībām, pārzinim vai apstrādātājs, nevis DAS, ir jāuztur apstrādes darbību reģistrs. Tomēr nekas neliedz datu pārzinim vai apstrādātājam piešķirt DAS uzdevumu uzturēt datu apstrādes darbību reģistru, par kuru atbildīgs ir personas datu pārzinis. Šāds ieraksts jāuzskata par vienu no instrumentiem, kas ļauj DAS pildīt savus pienākumus, lai uzraudzītu atbilstību, informējot un konsultējot datu pārzini vai apstrādatāju.
Plašāku informāciju skatiet vadlīniju 4.4. punktā.