Kad ir atļauts apstrādāt personas datus?

Atbilde

Jūsu uzņēmums/organizācija drīkst apstrādāt personas datus tikai šādos apstākļos:

• kad no attiecīgās personas ir iegūta piekrišana;
• ja līgumā ir noteikts pienākums (līgums starp jūsu uzņēmumu/organizāciju un klientu);
• lai izpildītu juridisku pienākumu, kas noteikts ES vai valsts tiesību aktā;
• ja apstrāde nepieciešama, lai izpildītu sabiedrības interesēs realizējamu uzdevumu, kas noteikts ES vai valsts tiesību aktā;
• lai aizsargātu fiziskas personas vitālās intereses;
• lai īstenotu jūsu organizācijas leģitīmās intereses, taču tikai pēc tam, kad esat pārbaudījis, vai netiek būtiski ietekmētas tās personas pamattiesības un pamatbrīvības, kuras datus apstrādājat. Ja personas tiesības ir svarīgākas par jūsu interesēm, tad nedrīkst apstrādāt datus, pamatojoties uz leģitīmām interesēm. Novērtējums par to, vai jūsu uzņēmumam/organizācijai ir leģitīmās intereses veikt datu apstrādi ir svarīgākas par attiecīgās personas interesēm, ir atkarīgs no konkrētā gadījuma apstākļiem.

Piemēri

Piekrišana
Jūsu uzņēmums/organizācija piedāvā mūzikas lietotni un lūdzat lietotājiem sniegt piekrišanu apstrādāt to mūzikas preferences, lai piedāvātu individuāli pielāgotas dziesmas un, iespējams, arī to izpildītāju koncertus.

Līgumsaistības
Jūsu uzņēmums/organizācija pārdod preces internetā. Tas drīkst apstrādāt datus, kas ir nepieciešami, lai pēc attiecīgās personas pieprasījuma veiktu zināmas darbības pirms līguma noslēgšanas un līguma noslēgšanas vajadzībām. Tātad jūs drīkstat apstrādāt personas vārdu un uzvārdu, piegādes adresi, kredītkartes numuru (ja maksājums veikts, izmantojot kredītkarti) utt.

Juridisks pienākums
Jums pieder uzņēmums ar darbiniekiem. Lai iegūtu sociālā nodrošinājuma garantijas, saskaņā ar likumu jums attiecīgajai iestādei jāiesniedz personas dati (piemēram, dati par jūsu darbinieku nedēļas algu).

Sabiedrības intereses
Piemērs: profesionāla apvienība, piemēram, advokātu asociācija vai medicīnas darbinieku kamera, kurai ir piešķirtas attiecīgas oficiālas pilnvaras un kas var veikt disciplinārās procedūras pret apvienības locekļiem.

Personas vitālās intereses
Slimnīca, kurā pēc nopietna ceļu satiksmes negadījuma ārstējas kāds pacients; slimnīcai nav vajadzīga viņa piekrišana, lai meklētu viņa personas apliecību nolūkā pārbaudīt, vai šī persona ir iekļauta slimnīcas datubāzē, lai atrastu viņa slimības vēsturi vai sazinātos ar tuvāko radinieku.

Jūsu organizācijas leģitīmās intereses
Jūsu uzņēmums/organizācija, lai garantētu tīkla drošību, uzrauga, kā tā darbinieki lieto informācijas tehnoloģiju ierīces. Jūsu uzņēmumam/organizācijai var būt leģitīmas tiesības apstrādāt personas datus šajā nolūkā tikai tādā gadījumā, ja izvēlas vismazāk ierobežojošo metodi attiecībā uz savu darbinieku privātumu un datu aizsardzības tiesībām, piemēram, ierobežojot piekļuvi noteiktām tīmekļa vietnēm. (Ņemiet vērā, ka tas nav atļauts ES dalībvalstīs, kur valstu tiesību aktos ir noteikti stingrāki datu apstrādes noteikumi nodarbinātības kontekstā).

Atsauces

• 6. pants, 40.–49. apsvērums
• 29. panta darba grupas atzinums Nr. 06/2014 par personas datu apstrādātāja likumīgo interešu jēdzienu saskaņā ar Direktīvas 95/46/EK 7. pantu

Consent

Your company/organisation offers a music app and ask for citizens’ consent to process their musical preferences in order to suggest tailored songs and possible concerts to them. 

Contractual obligation
Your company/organisation sell goods online. It can process data that is necessary to take steps at the request of the individual prior to entering into the contract and for the performance of the contract. So you can process the name, delivery address, credit card number (if payment by card), etc.

Legal obligation
You own a company with employees. In order to obtain social security cover, the law obliges you to provide personal data (for example weekly income of your employees) to the relevant authority.

Public interest
Example: a professional association such as a bar association or a chamber of medical professionals vested with an official authority to do so may carry out disciplinary procedures against some of their members.

Vital interests of a person
A hospital is treating a patient after a serious road accident; the hospital doesn't need his consent to search for his ID to check whether that person exists in the hospital's database to find previous medical history or to contact his next of kin.

Your organisation’s legitimate interests
Your company/organisation ensures its network security by monitoring the use of its employees’ IT devices. Your company/organisation may legitimately process personal data for that purpose, only if the least intrusive method is chosen as regards the privacy and data protection rights of your employees, for example, by limiting the accessibility of certain websites. (Note that this can’t be done in EU Member States where national law sets out stricter rules for processing in the employment context).

• Article 6 and Recitals (40) to (49) of the GDPR
• Article 29 Working Party Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/E