Vairāk
Navigācija
I NODAĻA Vispārīgi noteikumi (1-4)
1 pants. Priekšmets un mērķi2 pants. Materiālā darbības joma3 pants. Teritoriālā darbības joma4 pants. Definīcijas
II NODAĻA Principi (5-11)
5 pants. Personas datu apstrādes principi6 pants. Apstrādes likumīgums7 pants. Nosacījumi piekrišanai8 pants. Nosacījumi, kas piemērojami bērna piekrišanai attiecībā uz informācijas sabiedrības pakalpojumiem9 pants. Īpašu kategoriju personas datu apstrāde10 pants. Personas datu par sodāmību un pārkāpumiem apstrāde11 pants. Apstrāde, kurai nav nepieciešama identifikācija
III NODAĻA Datu subjekta tiesības (12-23)
12 pants. Pārredzama informācija, saziņa un datu subjekta tiesību īstenošanas kārtība13 pants. Informācija, kas jāsniedz, ja personas dati ir iegūti no datu subjekta14 pants. Informācija, kas jāsniedz, ja personas dati nav iegūti no datu subjekta15 pants. Datu subjekta piekļuves tiesības16 pants. Tiesības labot17 pants. Tiesības uz dzēšanu (tiesības “tikt aizmirstam”)18 pants. Tiesības ierobežot apstrādi19 pants. Pienākums ziņot par personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu20 pants. Tiesības uz datu pārnesamību21 pants. Tiesības iebilst22 pants. Automatizēta individuālu lēmumu pieņemšana, tostarp profilēšana23 pants. Ierobežojumi
IV NODAĻA Pārzinis un apstrādātājs (24-43)
24 pants. Priekšmets un mērķi
25 pants. Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma26 pants. Kopīgi pārziņi27 pants. Tādu pārziņu vai apstrādātāju pārstāvji, kuri neveic uzņēmējdarbību Savienībā28 pants. Apstrādātājs29 pants. Apstrāde pārziņa vai apstrādātāja pakļautībā30 pants. Apstrādes darbību reģistrēšana31 pants. Sadarbība ar uzraudzības iestādi32 pants. Apstrādes drošība33 pants. Personas datu aizsardzības pārkāpuma paziņošana uzraudzības iestādei34 pants. Datu subjekta informēšana par personas datu aizsardzības pārkāpumu35 pants. Novērtējums par ietekmi uz datu aizsardzību36 pants. Iepriekšēja apspriešanās37 pants. Datu aizsardzības speciālista iecelšana38 pants. Datu aizsardzības speciālista statuss39 pants. Datu aizsardzības speciālista uzdevumi40 pants. Rīcības kodeksi41 pants. Apstiprināto rīcības kodeksu pārraudzība42 pants. Sertifikācija43 pants. Sertifikācijas struktūras
V NODAĻA Personas datu nosūtīšana uz trešām valstīm vai starptautiskām organizācijām (44-50)
44 pants. Nosūtīšanas vispārīgie principi45 pants. Nosūtīšana, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību46 pants. Nosūtīšana, pamatojoties uz atbilstošām garantijām47 pants. Saistoši uzņēmuma noteikumi48 pants. Datu nosūtīšana vai izpaušana, kas saskaņā ar Savienības tiesību aktiem nav atļauta49 pants. Atkāpes īpašās situācijās50 pants. Starptautiskā sadarbība personas datu aizsardzības jomā
VI NODAĻA Neatkarīgas uzraudzības iestādes (51-59)
51 pants. Uzraudzības iestāde52 pants. Neatkarība53 pants. Vispārīgi noteikumi par uzraudzības iestādes locekļiem54 pants. Noteikumi par uzraudzības iestādes izveidi55 pants. Kompetence56 pants. Vadošās uzraudzības iestādes kompetence57 pants. Uzdevumi58 pants. Pilnvaras59 pants. Darbības pārskati
VII NODAĻA Sadarbība un konsekvence (60-70)
60 pants. Sadarbība starp vadošo uzraudzības iestādi un citām attiecīgajām uzraudzības iestādēm61 pants. Savstarpēja palīdzība62 pants. Uzraudzības iestāžu kopīgās operācijas63 pants. Konsekvences mehānisms64 pants. Kolēģijas atzinums65 pants. Strīdu risināšana kolēģijā66 pants. Steidzamības procedūra67 pants. Informācijas apmaiņa68 pants. Eiropas Datu aizsardzības kolēģija69 pants. Neatkarība70 pants. Kolēģijas uzdevumi71 pants. Ziņojumi72 pants. Procedūra73 pants. Priekšsēdētājs74 pants. Priekšsēdētāja uzdevumi75 pants. Sekretariāts76 pants. Konfidencialitāte
VIII NODAĻA Tiesību aizsardzības līdzekļi, atbildība un sankcijas (77-84)
77 pants. Tiesības iesniegt sūdzību uzraudzības iestādē78 pants. Tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādi79 pants. Tiesības uz efektīvu tiesību aizsardzību tiesā pret pārzini vai apstrādātāju80 pants. Datu subjektu pārstāvība81 pants. Tiesvedības apturēšana82 pants. Tiesības uz kompensāciju un atbildība83 pants. Vispārīgi nosacījumi par administratīvo naudas sodu piemērošanu84 pants. Sankcijas
IX NODAĻA Noteikumi par īpašām apstrādes situācijām (85-91)
85 pants. Apstrāde un vārda un informācijas brīvība86 pants. Apstrāde un publiska piekļuve oficiāliem dokumentiem87 pants. Valsts identifikācijas numura apstrāde88 pants. Apstrāde saistībā ar nodarbinātību89 pants. Garantijas un atkāpes, kas attiecas uz apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos90 pants. Pienākumi ievērot slepenību91 pants. Esošie baznīcu un reliģisko apvienību datu aizsardzības noteikumi
X NODAĻA Deleģētie akti un īstenošanas akti (92-93)
92 pants. Deleģēšanas īstenošana93 pants. Komiteju procedūra
XI NODAĻA Nobeiguma noteikumi (94-95)
94 pants. Direktīvas 95/46/EK atcelšana95 pants. Saistība ar Direktīvu 2002/58/EK96 pants. Saistība ar iepriekš noslēgtiem nolīgumiem97 pants. Komisijas ziņojumi98 pants. Citu Savienības tiesību aktu datu aizsardzības jomā pārskatīšana99 pants. Stāšanās spēkā un piemērošana
VDAR (GDPR) > 24 pants. Priekšmets un mērķi
Lejupielādēt kā PDF

24 pants VDAR. Priekšmets un mērķi

1. Ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu un spētu uzskatāmi parādīt, ka apstrāde notiek saskaņā ar šo regulu. Ja nepieciešams, minētos pasākumus pārskata un atjaunina.

ISO 27701 Savienojumi
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 24(1) GDPR:

7.2.8 Records related to processing PII

Control

The organization should determine and securely maintain the necessary records in support of its obligations for the processing of PII.

Implementation guidance

A way to maintain records of the processing of PII is to have an inventory or list of the PII processing activities that the organization performs.


lai piekļūtu pilnam tekstam

Savienojumi

2. Ja tas ir samērīgi attiecībā uz apstrādes darbībām, 1. punktā minētajos pasākumos ietver to, ka pārzinis īsteno atbilstīgu politiku attiecībā uz datu aizsardzību.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 5.1.1.

Here is the relevant paragraph to article 24(2) GDPR:

6.2.1.1 Policies for information security

Implementation guidance

Either by the development of separate privacy policies, or by the augmentation of information security policies, the organization should produce a statement concerning support for and commitment to achieving compliance with applicable PII protection legislation and/or regulation and with the contractual terms agreed between the organization and its partners, its subcontractors and its applicable third parties (customers, suppliers etc.), which should clearly allocate responsibilities between them.


lai piekļūtu pilnam tekstam

3. Atbilstību apstiprinātam rīcības kodeksam, kā minēts 40. pantā, vai apstiprinātam sertifikācijas mehānismam, kā minēts 42. pantā, var izmantot kā elementu, ar ko apliecina pārziņa pienākumu izpildi.

ISO 27701 Savienojumi
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 24(3) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


lai piekļūtu pilnam tekstam

Savienojumi
Vispārīgā datu aizsardzības regula (VDAR)

Ekspertu komentāri Apsvērums Vadlīnijas & Case Law Atstājiet savu komentāru
Ekspertu komentāri

(EN) A controller is a person or an organization that determines the personal data to process and the purposes and means of the processing (Article 4(7)). The definition rightly points to the decision-making capacity of the entity that “decides why and how data will be processed” (ULD Schleswig-Holstein/Wirtschaftsakademie, Opinion of Advocate General).


lai piekļūtu pilnam tekstam

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
(EN) Ask a question
Apsvērums

(74) Būtu jāparedz pārziņa pienākumi un atbildība par ikvienu personas datu apstrādi, ko veic pārzinis vai pārziņa vārdā. Jo īpaši, pārzinim būtu jāuzliek pienākums īstenot piemērotus un efektīvus pasākumus, un viņam vajadzētu spēt uzskatāmi parādīt, ka apstrādes darbības notiek saskaņā ar šo regulu, tostarp, ka pasākumi ir iedarbīgi. Minētajos pasākumos būtu jāņem vērā apstrādes raksturs, piemērošanas joma, konteksts un nolūki un risks, ko tā rada fizisku personu tiesībām un brīvībām.

(75) Risku fizisku personu tiesībām un brīvībām – ar atšķirīgu iespējamību un nopietnību – var radīt personas datu apstrāde, kas var izraisīt fizisku, materiālu vai nemateriālu kaitējumu, jo īpaši, ja apstrāde var izraisīt diskrimināciju, identitātes zādzību vai viltošanu, finansiālu zaudējumu, kaitējumu reputācijai, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšanu, neatļautu pseidonimizācijas atcelšanu vai jebkādu citu īpaši nelabvēlīgu ekonomisko vai sociālo situāciju; ja datu subjektiem var tikt atņemtas viņu tiesības un brīvības vai atņemta iespēja kontrolēt savus personas datus; ja tiek apstrādāti personas dati, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību, piederību arodbiedrībai, un ja tiek apstrādāti ģenētiskie dati, veselības dati vai dati par dzimumdzīvi, vai sodāmību un pārkāpumiem vai ar tiem saistītiem drošības pasākumiem; ja tiek izvērtēti personiskie aspekti, jo īpaši analizējot vai prognozējot aspektus attiecībā uz personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm vai interesēm, uzticamību vai uzvedību, atrašanās vietu vai pārvietošanos, lai izveidotu vai izmantotu personiskos profilus; ja tiek apstrādāti neaizsargātu fizisku personu, īpaši bērnu, personas dati; vai ja apstrāde ietver lielu personas datu daudzumu un ietekmē lielu skaitu datu subjektu.

(76) Riska iespējamība un nopietnība attiecībā uz datu subjekta tiesībām un brīvībām būtu jānosaka, atsaucoties uz apstrādes raksturu, piemērošanas jomu, kontekstu un nolūkus. Risks būtu jāizvērtē, pamatojoties uz objektīvu novērtējumu, ar ko nosaka, vai datu apstrādes darbības ietver risku vai augstu risku.

(77) Norādījumus par piemērotu pasākumu īstenošanu un par pārziņa vai apstrādātāja atbilstības uzskatāmu parādīšanu, sevišķi attiecībā uz tāda riska identificēšanu, kas saistīts ar apstrādi, tā novērtēšanu, ņemot vērā avotus, raksturu, iespējamību un nopietnību, un paraugprakses apzināšanu, lai mazinātu risku, varētu sniegt, jo īpaši izmantojot apstiprinātus rīcības kodeksus, apstiprinātus sertifikātus, kolēģijas sniegtas pamatnostādnes vai aizsardzības speciālista sniegtas norādes. Kolēģija var sniegt arī pamatnostādnes par apstrādes darbībām, kuras uzskata par tādām, kas nevarētu radīt augstu risku fizisku personu tiesībām un brīvībām, un norāda, kādi pasākumi var būt pietiekami šādos gadījumos, lai novērstu šādu risku.

(83) Lai saglabātu drošību un novērstu tādu apstrādi, kurā tiek pārkāpta šī regula, pārzinim vai apstrādātājam būtu jānovērtē apstrādei raksturīgie riski un jāīsteno pasākumi šo risku mazināšanai, piemēram, šifrēšana. Minētajiem pasākumiem, ņemot vērā tehniskās iespējas un īstenošanas izmaksas, būtu jānodrošina atbilstošs drošības līmenis, tostarp konfidencialitāte, attiecībā uz apstrādei raksturīgo risku un aizsargājamo personas datu īpatnībām. Novērtējot datu drošības risku, vērā būtu jāņem riski, ko rada personas datu apstrāde, piemēram, nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem, kas var izraisīt fizisku, materiālu vai nemateriālu kaitējumu.

Vadlīnijas & Case Law Atstājiet savu komentāru
[js-disqus]