Kādus datus drīkst apstrādāt un kādi nosacījumi jāievēro?

Atbilde

Personas datu veids un apjoms, ko uzņēmums/organizācija var apstrādāt, ir atkarīgs no to apstrādes iemesla (izmantotā juridiskā iemesla) un nolūka. Uzņēmumam/organizācijai jāievēro vairāki pamatnoteikumi, tai skaitā:

• personas dati jāapstrādā likumīgā un pārredzamā veidā, nodrošinot godprātību pret tām personām, kuru personas datus apstrādā (“likumīgums, godprātība un pārredzamība”);
• jābūt konkrētiem nolūkiem, kas ir par iemeslu datu apstrādes veikšanai, un uzņēmumam/organizācijai par šiem nolūkiem jāinformē personas brīdī, kad vāc to personas datus. Uzņēmums/organizācija nevar vienkārši vākt personas datus nenoteiktu iemeslu dēļ (“nolūka ierobežojumi”);
• uzņēmumam/organizācijai ir atļauts vākt un apstrādāt tikai tos personas datus, kas ir nepieciešami attiecīgo nolūku īstenošanai (“datu minimizēšana”);
• uzņēmumam/organizācijai jānodrošina, ka personas dati ir precīzi un atjaunināti, ņemot vērā to apstrādes nolūkus, un, ja tā nav, tad tie ir jāizlabo (“precizitāte”);
• uzņēmums/organizācija nedrīkst turpināt izmantot personas datus citos nolūkos, kas nav saderīgi ar sākotnējo nolūku;
• uzņēmumam/organizācijai jānodrošina, ka personas dati netiek glabāti ilgāk nekā nepieciešams nolūkiem, kādos attiecīgie dati tika vākti (“glabāšanas ierobežojums”);
• uzņēmumam/organizācijai jāievieš atbilstoši tehniski un organizatoriski drošības pasākumi, kas garantē personas datu drošību, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot tam piemērotas tehnoloģijas (“integritāte un konfidencialitāte”).

Piemērs

Jūsu uzņēmums/organizācija ir ceļojumu aģentūra. Iegūstot jūsu klientu personas datus, jums skaidrā un vienkāršā valodā jāpaskaidro, kāpēc jums vajadzīgi šie dati, kā tos izmantosiet un cik ilgi plānojat tos glabāt. Datu apstrāde jāveic tā, lai ievērotu datu aizsardzības pamatprincipus.

Atsauces

• 5. panta 1. punkts, 39. apsvērums
• 29. panta darba grupas atzinums Nr. 03/2013 par nolūka ierobežojumu (WP 203)

Your company/organisation  runs a travel agency. When you obtain your clients’ personal data, you should explain in clear and plain language why you need the data, how you’ll be using it, and how long you intend to keep it. The processing should be tailored in a way that respects the key data protection principles.

• Article 5(1) and Recital (39) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)