Datu regulā ir noteikts pienākums komersantiem un organizācijām izveidot un uzturēt Personas datu apstrādes reģistru, lai to veiktā personas datu apstrāde būtu pārskatāma. Šāds reģistrs ir jāveido visiem komersantiem un organizācijām, kurās ir nodarbinātas vairāk kā 250 personas. Ja ir nodarbinātas mazāk kā 250 personas, reģistra izveide nav obligāta, ja vien komersanta vai organizācijas veiktā datu apstrāde nav regulāra, neskar īpašas kategorijas datus vai personas datus par sodāmību un pārkāpumu, kā arī nerada risku personas tiesībām un brīvībām[1].

Ar ko sākt?

Komersantam/organizācijai pirms Personas datu apstrādes reģistra izveides ir jāņem vērā:

personas datu apstrādes mērķis jeb nolūks;
personas datu apstrādes tiesiskais pamats;
mērķa sasniegšanai nepieciešamais datu apjoms;
vai dati tiks nodoti trešajām personām;
vai dati tiks nodoti ārpus Eiropas Savienības un Eiropas Ekonomikas zonas;
informācija par tehniskajiem un organizatoriskajiem drošības pasākumiem.

Reģistra izveide

Personas datu apstrādes reģistra izveides formāts nav noteikts un katrs komersants/organizācija var izvēlēties, kā to veidot un uzturēt (piemēram, izveidot atsevišķu sistēmu, excel tabulu vai veidot to papīra formātā).

Reģistrā iekļaujamā informācija

Informācijas apjoms, kas jāiekļauj Personas datu apstrādes reģistrā, ir atkarīgs no personas datu apstrādes veicēja.

Ja komersants/organizācija pati nosaka personas datu apstrādes nolūkus un līdzekļus, tad reģistrā ir jānorāda:

organizācijas nosaukums un kontaktinformācija, tai skaitā, informācija par saziņas iespējām ar datu aizsardzības speciālistu;
datu apstrādes mērķis (nolūks);
datu subjektu kategoriju apraksts;
personas datu kategoriju apraksts;
personas (piemēram, amati vai pārstāvība), kurām personas dati ir izpausti vai plānots to darīt;
informācija par saņēmējiem trešajās valstīs vai starptautiskās organizācijās, ja personas dati ir izpausti vai plānots to darīt;
ja personas dati tiek nosūtīti uz trešo valsti vai starptautisko organizāciju, tad jānorāda konkrēts personas datu saņēmējs (nosaukums, kontaktinformācija) un atbilstošu garantiju dokumentācija;
termiņi dažādu personas datu kategoriju datu dzēšanai;
tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

Komersants/organizācija var deleģēt datu apstrādi veikt kādam citam. Šajā gadījumā personai, kurai deleģēta datu apstrāde, reģistrā ir jānorāda:

apstrādātāja, kā arī organizācijas, kas deleģējusi datu apstrādi, nosaukums un kontaktinformācija, tai skaitā, informācija par saziņas iespējām ar datu aizsardzības speciālistu;
datu apstrādes mērķis (nolūks);
datu subjektu kategoriju apraksts;
personas datu kategoriju apraksts;
personas (piemēram, amati vai pārstāvība), kurām personas dati ir izpausti vai plānots to darīt;
informācija par saņēmējiem trešajās valstīs vai starptautiskās organizācijas, ja personas dati ir izpausti vai plānots to darīt;
ja personas dati tiek nosūtīti uz trešo valsti vai starptautisko organizāciju, tad jānorāda konkrēts personas datu saņēmējs (nosaukums, kontaktinformācija) un atbilstošu garantiju dokumentācija;
termiņi dažādu personas datu kategoriju datu dzēšanai;
tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

Kāpēc nepieciešams Personas datu apstrādes reģistrs?

Lai komersants/organizācija (tai skaitā, datu aizsardzības speciālists), kā arī uzraudzības iestāde (kas var pieprasīt reģistra izsniegšanu) varētu pārliecināties par datu apstrādes tiesiskumu un pamatotību, Personas datu reģistrā iekļautai informācijai jābūt atbilstošai datu apstrādes nolūkam, apstrādājamo datu kategorijām, kā arī pietiekami konkrētai – bez pārlieku lielas detalizācijas pakāpes.

Komersants/organizācija par katru datu apstrādes darbību reģistrā var iekļaut ne tikai obligāto informācijas apjomu, bet arī papildināt reģistru ar citām sadaļām, piemēram,

norādīt datu apstrādes tiesisko pamatu;
gadījumā, ja konstatēts drošības incidents, reģistrā var iekļaut atsauci, vai personas dati ir/nav skarti;
vai arī atsauci uz izstrādāto “Novērtējumu par ietekmi uz datu apstrādi” konkrētam procesam.

Papildu informācijas iekļaušana reģistrā ļauj ne tikai gūt pilnīgāku pārskatu par datu apstrādes procesiem organizācijā, bet arī atvieglos saziņu ar klientiem datu aizsardzības jautājumos.

Izveidoju un aizmirsu?

Personas datu apstrādes reģistrs nav dokuments, kuru var izstrādāt, nolikt plauktā un aizmirst par to. Tas ir dokuments, kas komersantam/organizācijai ir jāuztur, regulāri to aktualizējot atbilstoši faktiskajai situācijai.

Komersants/organizācija reģistra uzturēšanai var norīkot vienu vai vairākas atbildīgās personas. Atbildīgā persona var būt arī datu aizsardzības speciālists, kura amata pienākumos ietilpst Personas datu apstrādes reģistra izveide un uzturēšana.

Svarīgi!

Datu valsts inspekcijai ir tiesības vērsties pie komersanta/organizācijas ar pieprasījumu izsniegt Personas datu apstrādes reģistru, lai pārliecinātos, ka datu apstrāde tiek veikta saskaņā ar datu aizsardzību reglamentējošiem tiesību aktiem, [2].

Paraugs “Personas datu apstrādes reģistrs” [3]

Personas datu apstrādes darbību reģistrs (žurnāls) saskaņā ar Vispārīgo datu aizsardzības regulu (2016./679., 13., 30. pants):
Pārzinis	SIA “MVU”
	Adrese Xxx iela 1, Latvija	Tālrunis +371 xxxxxx	Fakss +371 xxxxx
	E-pasta adrese Xxx@Xxx.lv	Vietne www.Xxx.lv	Datu aizsardzības atbildīgā e-pasta adrese aizsardziba@Xxx.lv
Personas datu apstrādes mērķis	Darba algas aprēķins un izmaksa
Datu subjektu apraksts	 Darbinieki
Personas datu kategorijas	 Vārds  Uzvārds  Norēķinu konta Nr.
Personas datu saņēmēju kategorijas	Darbinieki, valsts iestādes likumā noteiktos gadījumos
Personas datu nodošana ārpus ES vai Eiropas Ekonomikas zonas	Personas dati netiek nodoti ārpus ES vai Eiropas Ekonomikas zonas.
Datu glabāšanas termiņi	10 gadi
Tehnisko un organizatorisko drošības pasākumu vispārējs apraksts	1. Datu apstrādes tiesības tiek aizsargātas, izmantojot informācijas sistēmu piekļuves tiesību uzraudzības funkcijas. 2. Serveru datori, kas tiek izmantoti datu apstrādē, atrodas datoru centrā, kas ir aizsargāts ar piekļuves kontroles un drošības sistēmām. Reģistri, kuri satur personas datus, ir nošķirti no publiskās informācijas tīkliem, izmantojot tehniskos drošības pasākumus. 3. Papīra dokumentus uzglabā aizslēgtos skapjos, kas atrodas telpās ar piekļuves kontroli. 4. Personas, kas apstrādā personas datus, ir pakļautas konfidencialitātes pienākumam, kas izriet no likuma, pārziņa iekšējiem noteikumiem un / vai ir parakstījuši konfidencialitātes līgumu. 5. Tiek veikta sistemātiska failu dublēšana.
Apstrādes juridiskais pamatojums	Saskaņā ar Darba likuma ..p., Iedzīvotāju ienākuma nodokļu likuma ..p.
Cita saistoša informācija	Organizācija var izvērtēt un iekļaut citu, papildu informāciju, kas saistīta ar datu apstrādi

INFORMATĪVĀS ATSAUCES:

Datu regulas 30.pants.
Datu regulas 82. apsvērums.
Rekomendācija “CEĻVEDIS DATU APSTRĀDĒ MAZIEM UN VIDĒJIEM UZŅĒMĒJIEM” https://www.dvi.gov.lv/lv/dvi#rekomendacija-celvedis-datu-apstrade-maziem-un-videjiem-uznemejiem

Kļūda rakstā? Iezīmējiet tekstu un spiediet Ctrl+Enter, lai nosūtītu labojamo teksta fragmentu redaktoram!

Ar ko sākt?

Komersantam/organizācijai pirms Personas datu apstrādes reģistra izveides ir jāņem vērā:

personas datu apstrādes mērķis jeb nolūks;
personas datu apstrādes tiesiskais pamats;
mērķa sasniegšanai nepieciešamais datu apjoms;
vai dati tiks nodoti trešajām personām;
vai dati tiks nodoti ārpus Eiropas Savienības un Eiropas Ekonomikas zonas;
informācija par tehniskajiem un organizatoriskajiem drošības pasākumiem.

Reģistra izveide

Reģistrā iekļaujamā informācija

Informācijas apjoms, kas jāiekļauj Personas datu apstrādes reģistrā, ir atkarīgs no personas datu apstrādes veicēja.

Ja komersants/organizācija pati nosaka personas datu apstrādes nolūkus un līdzekļus, tad reģistrā ir jānorāda:

organizācijas nosaukums un kontaktinformācija, tai skaitā, informācija par saziņas iespējām ar datu aizsardzības speciālistu;
datu apstrādes mērķis (nolūks);
datu subjektu kategoriju apraksts;
personas datu kategoriju apraksts;
personas (piemēram, amati vai pārstāvība), kurām personas dati ir izpausti vai plānots to darīt;
informācija par saņēmējiem trešajās valstīs vai starptautiskās organizācijās, ja personas dati ir izpausti vai plānots to darīt;
ja personas dati tiek nosūtīti uz trešo valsti vai starptautisko organizāciju, tad jānorāda konkrēts personas datu saņēmējs (nosaukums, kontaktinformācija) un atbilstošu garantiju dokumentācija;
termiņi dažādu personas datu kategoriju datu dzēšanai;
tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

Komersants/organizācija var deleģēt datu apstrādi veikt kādam citam. Šajā gadījumā personai, kurai deleģēta datu apstrāde, reģistrā ir jānorāda:

apstrādātāja, kā arī organizācijas, kas deleģējusi datu apstrādi, nosaukums un kontaktinformācija, tai skaitā, informācija par saziņas iespējām ar datu aizsardzības speciālistu;
datu apstrādes mērķis (nolūks);
datu subjektu kategoriju apraksts;
personas datu kategoriju apraksts;
personas (piemēram, amati vai pārstāvība), kurām personas dati ir izpausti vai plānots to darīt;
informācija par saņēmējiem trešajās valstīs vai starptautiskās organizācijas, ja personas dati ir izpausti vai plānots to darīt;
ja personas dati tiek nosūtīti uz trešo valsti vai starptautisko organizāciju, tad jānorāda konkrēts personas datu saņēmējs (nosaukums, kontaktinformācija) un atbilstošu garantiju dokumentācija;
termiņi dažādu personas datu kategoriju datu dzēšanai;
tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

Kāpēc nepieciešams Personas datu apstrādes reģistrs?

Komersants/organizācija par katru datu apstrādes darbību reģistrā var iekļaut ne tikai obligāto informācijas apjomu, bet arī papildināt reģistru ar citām sadaļām, piemēram,

norādīt datu apstrādes tiesisko pamatu;
gadījumā, ja konstatēts drošības incidents, reģistrā var iekļaut atsauci, vai personas dati ir/nav skarti;
vai arī atsauci uz izstrādāto “Novērtējumu par ietekmi uz datu apstrādi” konkrētam procesam.

Izveidoju un aizmirsu?

Svarīgi!

Paraugs “Personas datu apstrādes reģistrs” [3]

Personas datu apstrādes darbību reģistrs (žurnāls) saskaņā ar Vispārīgo datu aizsardzības regulu (2016./679., 13., 30. pants):
Pārzinis	SIA “MVU”
	Adrese Xxx iela 1, Latvija	Tālrunis +371 xxxxxx	Fakss +371 xxxxx
	E-pasta adrese Xxx@Xxx.lv	Vietne www.Xxx.lv	Datu aizsardzības atbildīgā e-pasta adrese aizsardziba@Xxx.lv
Personas datu apstrādes mērķis	Darba algas aprēķins un izmaksa
Datu subjektu apraksts	 Darbinieki
Personas datu kategorijas	 Vārds  Uzvārds  Norēķinu konta Nr.
Personas datu saņēmēju kategorijas	Darbinieki, valsts iestādes likumā noteiktos gadījumos
Personas datu nodošana ārpus ES vai Eiropas Ekonomikas zonas	Personas dati netiek nodoti ārpus ES vai Eiropas Ekonomikas zonas.
Datu glabāšanas termiņi	10 gadi
Tehnisko un organizatorisko drošības pasākumu vispārējs apraksts	1. Datu apstrādes tiesības tiek aizsargātas, izmantojot informācijas sistēmu piekļuves tiesību uzraudzības funkcijas. 2. Serveru datori, kas tiek izmantoti datu apstrādē, atrodas datoru centrā, kas ir aizsargāts ar piekļuves kontroles un drošības sistēmām. Reģistri, kuri satur personas datus, ir nošķirti no publiskās informācijas tīkliem, izmantojot tehniskos drošības pasākumus. 3. Papīra dokumentus uzglabā aizslēgtos skapjos, kas atrodas telpās ar piekļuves kontroli. 4. Personas, kas apstrādā personas datus, ir pakļautas konfidencialitātes pienākumam, kas izriet no likuma, pārziņa iekšējiem noteikumiem un / vai ir parakstījuši konfidencialitātes līgumu. 5. Tiek veikta sistemātiska failu dublēšana.
Apstrādes juridiskais pamatojums	Saskaņā ar Darba likuma ..p., Iedzīvotāju ienākuma nodokļu likuma ..p.
Cita saistoša informācija	Organizācija var izvērtēt un iekļaut citu, papildu informāciju, kas saistīta ar datu apstrādi

INFORMATĪVĀS ATSAUCES:

Datu regulas 30.pants.
Datu regulas 82. apsvērums.
Rekomendācija “CEĻVEDIS DATU APSTRĀDĒ MAZIEM UN VIDĒJIEM UZŅĒMĒJIEM” https://www.dvi.gov.lv/lv/dvi#rekomendacija-celvedis-datu-apstrade-maziem-un-videjiem-uznemejiem

Nodokļu un grāmatvedības normatīvā regulējuma piemērošana darījumiem ar virtuālo valūtu
Ja ziedojat, jāmaksā UIN
Atvaļinājums, ja grafiks ir mainīgs
Pusaudžu iespējas pelnīt mācību gada laikā

Kāpēc nepieciešams Personas datu apstrādes reģistrs?

Ar ko sākt?

Reģistra izveide

Reģistrā iekļaujamā informācija

Kāpēc nepieciešams Personas datu apstrādes reģistrs?

Izveidoju un aizmirsu?

Svarīgi!

Gada ienākumu deklarāciju iesniegšana

Ietur IIN no fiziskās personas, kura reģistrēta kā saimnieciskās darbības veicēja, ienākumiem

VID administrēto nodokļu nomaksa vienotajā nodokļu kontā

Nekustamā īpašuma nodokļa ceturkšņa maksājums

Gada pārskata iesniegšanas termiņš biedrībām, nodibinājumiem, arodbiedrībām, reliģiskām un politiskām organizācijām

Ar ko sākt?

Reģistra izveide

Reģistrā iekļaujamā informācija

Kāpēc nepieciešams Personas datu apstrādes reģistrs?

Izveidoju un aizmirsu?

Svarīgi!

Abonē portālu tikai par € 12 / mēnesī*
Pirmās 30 dienas tikai par 1 €

Pareizrakstības kļūdas ziņojums

Redaktoriem tiks nosūtīts šāds teksts:

Jūsu komentārs (nav obligāti)::