Navegação
RGPD (GDPR) > 5 pants. Personas datu apstrādes principi
Descarregar PDF

5 pants VDAR. Personas datu apstrādes principi

1. Personas dati:

a) tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā (“likumīgums, godprātība un pārredzamība”);

Comentário de especialista
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 5(1)(a) GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.

(EN) […]


to read the full text

Lei de Diretrizes & Case Considerandos

(39) Jebkurai personas datu apstrādei vajadzētu būt likumīgai un godprātīgai. Fiziskām personām vajadzētu būt pārredzamam tam, ka viņu personas datus vāc, izmanto, aplūko vai citādi apstrādā, un tam, kādā apjomā personas dati tiek vai tiks apstrādāti. Pārredzamības principa pamatā ir prasība, ka visa informācija un saziņa, kas saistīta ar minēto personas datu apstrādi, ir viegli pieejama un viegli saprotama un ka ir jāizmanto skaidra un vienkārša valoda. Minētais princips jo īpaši attiecas uz informāciju datu subjektiem par pārziņa identitāti un apstrādes nolūkiem, kā arī papildu informāciju, lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz attiecīgajām fiziskajām personām, un viņu tiesībām saņemt apstiprinājumu un paziņojumu par to, kuri viņu personas dati tiek apstrādāti. Fiziskās personas būtu jāinformē par riskiem, noteikumiem, aizsardzības pasākumiem un tiesībām saistībā ar personas datu apstrādi un to, kā īstenot savas tiesības saistībā ar šādu apstrādi. Proti, konkrētajiem personas datu apstrādes nolūkiem vajadzētu būt nepārprotamiem, leģitīmiem un noteiktiem jau personas datu vākšanas laikā. Personas datiem vajadzētu būt adekvātiem, atbilstīgiem, un tiem būtu jāietver tikai tas, kas nepieciešams tiem nolūkiem, kādos tie tiek apstrādāti. Tādēļ jo īpaši nepieciešams nodrošināt, lai personas datu glabāšanas laikposms tiktu stingri ierobežots līdz minimumam. Personas dati būtu jāapstrādā tikai tad, ja apstrādes nolūku nav iespējams pienācīgi sasniegt citiem līdzekļiem. Lai nodrošinātu, ka personas datus neglabā ilgāk nekā nepieciešams, pārzinim būtu jānosaka termiņi, kad dati ir jādzēš vai periodiski jāpārskata. Būtu jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi personas dati tiek laboti vai dzēsti. Personas dati būtu jāapstrādā veidā, kas nodrošina personas datu pienācīgu drošību un konfidencialitāti, tostarp nepieļaujot neatļautu piekļuvi personas datiem vai to neatļautu izmantošanu un neatļautu piekļuvi aprīkojumam, kas izmantots apstrādei.

Textos ligados

b) tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā; turpmāka apstrāde arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar 89. panta 1. punktu nav uzskatāma par nesavietojamu ar sākotnējiem nolūkiem (“nolūka ierobežojumi”);

Comentário de especialista
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 5(1)(b) GDPR:

7.2.1 Identify and document purpose

Control

The organization should identify and document the specific purposes for which the PII will be processed.

Implementation guidance

The organization should ensure that PII principals understand the purpose for which their PII is processed. It is the responsibility of the organization to clearly document and communicate this to PII principals.

(EN) […]


to read the full text

Lei de Diretrizes & Case Textos ligados

c) ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos (“datu minimizēšana”);

Comentário de especialista
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 5(1)(c) GDPR:

7.4.1 Limit collection

Control

The organization should limit the collection of PII to the minimum that is relevant, proportional and necessary for the identified purposes.

Implementation guidance

The organization should limit the collection of PII to what is adequate, relevant and necessary in relation to the identified purposes. This includes limiting the amount of PII that the organization collects indirectly (e.g. through web logs, system logs, etc.).

Privacy by default implies that, where any optionality in the collection and processing of PII exists, each option should be disabled by default and only enabled by explicit choice of the PII principal.

7.4.4 PII minimization objectives

Control

The organization should define and document data minimization objectives and what mechanisms (such as de-identification) are used to meet those objectives.

(EN) […]


to read the full text

Lei de Diretrizes & Case Textos ligados

d) ir precīzi un, ja vajadzīgs, atjaunināti; ir jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti (“precizitāte”);

Comentário de especialista
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 5(1)(d) GDPR:

7.3.6 Access, correction and/or erasure

Control

The organization should implement policies, procedures and/or mechanisms to meet their obligations to PII principals to access, correct and/or erase their PII.

Implementation guidance

The organization should implement policies, procedures and/or mechanisms for enabling PII principals to obtain access to, correct and erase of their PII, if requested and without undue delay.

(EN) […]


to read the full text

Textos ligados

e) tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā; personas datus var glabāt ilgāk, ciktāl personas datus apstrādās tikai arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar 89. panta 1. punktu, ar noteikumu, ka tiek īstenoti atbilstoši tehniski un organizatoriski pasākumi, kas šajā regulā paredzēti, lai aizsargātu datu subjekta tiesības un brīvības (“glabāšanas ierobežojums”);

Comentário de especialista
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 5(1)(e) GDPR:

7.4.4 PII minimization objectives

Control

The organization should define and document data minimization objectives and what mechanisms (such as de-identification) are used to meet those objectives.

Implementation guidance

Organizations should identify how the specific PII and amount of PII collected and processed is limited relative to the identified purposes.

(EN) […]


to read the full text

Lei de Diretrizes & Case Textos ligados

f) tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus (“integritāte un konfidencialitāte”).

Comentário de especialista
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.2.1.

Here is the relevant paragraphs to article 5(1)(f) GDPR:

6.3.2.1 Mobile device policy

Implementation guidance

The organization should ensure that the use of mobile devices does not lead to a compromise of PII.

(EN) […]


to read the full text

Lei de Diretrizes & Case Textos ligados

2. Pārzinis ir atbildīgs par atbilstību 1. punktam un var to uzskatāmi parādīt (“pārskatatbildība”).

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 18.1.3.

Here is the relevant paragraphs to article 5(2) GDPR:

6.15.1.3 Protection of records

Implementation guidance

Review of current and historical policies and procedures can be required (e.g. in the cases of customer dispute resolution and investigation by a supervisory authority).

(EN) […]


to read the full text

Lei de Diretrizes & Case Considerandos

(82) Lai uzskatāmi parādītu, ka ir ievēroti šīs regulas noteikumi, pārzinim vai apstrādātājam būtu jāglabā ieraksti par apstrādes darbībām, ko viņš veic savas atbildības ietvaros. Katram pārzinim un apstrādātājam vajadzētu būt pienākumam sadarboties ar uzraudzības iestādi un pēc pieprasījuma darīt minētos ierakstus pieejamus, lai tie varētu kalpot minēto apstrādes darbību uzraudzības vajadzībām.

Textos ligados
Considerandos Lei de Diretrizes & Case Deixe um comentário
Considerandos

(39) Jebkurai personas datu apstrādei vajadzētu būt likumīgai un godprātīgai. Fiziskām personām vajadzētu būt pārredzamam tam, ka viņu personas datus vāc, izmanto, aplūko vai citādi apstrādā, un tam, kādā apjomā personas dati tiek vai tiks apstrādāti. Pārredzamības principa pamatā ir prasība, ka visa informācija un saziņa, kas saistīta ar minēto personas datu apstrādi, ir viegli pieejama un viegli saprotama un ka ir jāizmanto skaidra un vienkārša valoda. Minētais princips jo īpaši attiecas uz informāciju datu subjektiem par pārziņa identitāti un apstrādes nolūkiem, kā arī papildu informāciju, lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz attiecīgajām fiziskajām personām, un viņu tiesībām saņemt apstiprinājumu un paziņojumu par to, kuri viņu personas dati tiek apstrādāti. Fiziskās personas būtu jāinformē par riskiem, noteikumiem, aizsardzības pasākumiem un tiesībām saistībā ar personas datu apstrādi un to, kā īstenot savas tiesības saistībā ar šādu apstrādi. Proti, konkrētajiem personas datu apstrādes nolūkiem vajadzētu būt nepārprotamiem, leģitīmiem un noteiktiem jau personas datu vākšanas laikā. Personas datiem vajadzētu būt adekvātiem, atbilstīgiem, un tiem būtu jāietver tikai tas, kas nepieciešams tiem nolūkiem, kādos tie tiek apstrādāti. Tādēļ jo īpaši nepieciešams nodrošināt, lai personas datu glabāšanas laikposms tiktu stingri ierobežots līdz minimumam. Personas dati būtu jāapstrādā tikai tad, ja apstrādes nolūku nav iespējams pienācīgi sasniegt citiem līdzekļiem. Lai nodrošinātu, ka personas datus neglabā ilgāk nekā nepieciešams, pārzinim būtu jānosaka termiņi, kad dati ir jādzēš vai periodiski jāpārskata. Būtu jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi personas dati tiek laboti vai dzēsti. Personas dati būtu jāapstrādā veidā, kas nodrošina personas datu pienācīgu drošību un konfidencialitāti, tostarp nepieļaujot neatļautu piekļuvi personas datiem vai to neatļautu izmantošanu un neatļautu piekļuvi aprīkojumam, kas izmantots apstrādei.

Lei de Diretrizes & Case Deixe um comentário
[js-disqus]