kantoorruimte met beveiligingscameras hangend aan

Nīderlandes Datu aizsardzības iestāde: loma, tiesības un ziņošana

Blog /

Nīderlandes Datu aizsardzības iestāde — Autoriteit Persoonsgegevens (AP) — ir neatkarīga privātuma regulatore Nīderlandē. Tā nodrošina, ka organizācijas, kas darbojas Nīderlandē vai mērķē uz to, ievēro GDPR, izmeklē iespējamus pārkāpumus, izdod naudas sodus un rīkojumus, kā arī skaidro, kā jāapstrādā personas dati. Personas var vērsties AP, ja viņu dati ir tikuši nepareizi apstrādāti vai ja organizācija ignorē viņu tiesības uz privātumu. Organizācijām 72 stundu laikā ir jāpaziņo AP par atbilstošiem datu pārkāpumiem un jāpierāda atbildība par to, kā tās apstrādā personas datus, tostarp gadījumos, kad tās izmanto īpašas kategorijas vai pārsūta datus uz ārzemēm.

Šajā praktiskajā rokasgrāmatā ir paskaidrots, ko dara AP un kad tas iejaucas, vai uz jums attiecas VDAR, un kad un kā sazināties ar AP. Jūs atradīsiet tiesības, kuras AP palīdz aizsargāt, pakāpenisku sūdzību iesniegšanas procesu, datu pārkāpumu ziņošanu organizācijām, VDAR pamatpienākumus un to, ko DAI un ES pārstāvji dara praksē. Mēs apskatīsim arī pārrobežu gadījumus un vienas pieturas aģentūras mehānismu, jaunākos izpildes piemērus, oficiālos resursus un kontaktinformācijas kanālus, kā arī to, kā sagatavoties AP pieprasījumam. Ļaujiet jums orientēties un gūt pārliecību par nākamajiem soļiem.

Autoriteit Persoonsgegevens (AP) pilnvaras un pilnvaras

Nīderlandes Datu aizsardzības iestāde ir neatkarīga uzraudzības iestāde, kas pārrauga atbilstība saskaņā ar GDPR Nīderlandē. Tā uzrauga gan publiskas, gan privātas organizācijas, kas apstrādā cilvēku personas datus Nīderlandē, reaģē uz sūdzībām un neatbilstības signāliem un nepieciešamības gadījumā veic korektīvus pasākumus.

  • Izmeklēšanas pilnvaras: pieprasīt informāciju, veikt pārbaudes un izmeklēt iespējamus GDPR pārkāpumus.
  • Korekcijas pilnvaras: izdot atbilstības rīkojumus (tostarp rīkojumus, par kuriem piemērojami periodiski soda maksājumi), izteikt rājienus un uzlikt administratīvus naudas sodus.
  • Pārkāpumu uzraudzība: saņemt un izvērtēt obligātos paziņojumus par datu noplūdēm (72 stundu laikā, ja nepieciešams) un pārbaudīt, vai skartās personas ir informētas.
  • Tiesību aizsardzība: nodrošināt, lai organizācijas veicinātu piekļuvi un citas datu subjekta tiesības; rīkoties, ja pieprasījumi tiek ignorēti vai nepareizi apstrādāti.
  • Vadlīniju un uzraudzības uzmanības centrā: publicēt norādījumus un uzraudzīt augsta riska apstrādi, tostarp īpašu kategoriju datus un starptautisku pārsūtīšanu.
  • Pārstāvības izpilde: pieprasīt, lai trešo valstu valstspiederīgo datu pārziņi, kas vērsti pret cilvēkiem Nīderlandē, attiecīgā gadījumā ieceltu ES pārstāvi.

Vai GDPR attiecas uz jums Nīderlandē?

Ja jums darbojas Nīderlandē vai mērķēt uz cilvēkiem tur un apstrādāt personas datus, visticamāk, ir piemērojama GDPR — neatkarīgi no tā, kur atrodas jūsu serveri. Nīderlandes Datu aizsardzības iestāde (AP) uzrauga atbilstību visu lielumu organizācijām, sākot no ārštata darbiniekiem līdz starptautiskiem uzņēmumiem.

  • ES bāzēts: Jūs esat reģistrēts ES un apstrādājat personas datus.
  • Ārpus ES bāzēts: Jūs piedāvājat preces/pakalpojumus cilvēkiem ES vai uzraugāt viņu uzvedību ES.

Organizācijām, kas nav ES dalībvalstis un uz kurām attiecas šī likuma darbības joma, ir jāieceļ ES pārstāvis.

Kad un kāpēc sazināties ar AP

Sazinieties ar Nīderlandes Datu aizsardzības iestādi (AP), ja privātuma riski ir būtiski vai jūsu mēģinājumi atrisināt problēmu ar organizāciju nedod rezultātus. Personas var iesniegt sūdzības par personas datu nepareizu apstrādi. Organizācijām ir jāziņo par atbilstošiem datu pārkāpumiem 72 stundu laikā, un noteiktām augsta riska darbībām tām var būt nepieciešams AP apstiprinājums.

  • Nelikumīga apstrāde vai īpašu kategoriju ļaunprātīga izmantošana: piemēram, biometriskie dati bez juridiska pamata.
  • Ignorētie tiesību pieprasījumi: piekļuves, dzēšanas, iebildumu vai pārredzamības kļūmes.
  • Datu noplūdes (organizācijas): obligāts AP paziņojums 72 stundu laikā.
  • Nav paziņojuma par pārkāpumu personām: kad cilvēkiem vajadzēja būt informētiem.
  • Nav ES pārstāvja (pārziņi ārpus ES): vienlaikus mērķējot uz cilvēkiem Nīderlandē.
  • Koplietotie melnie saraksti: kad nepieciešama AP licence.

Jūsu VDAR tiesības un AP drošības pasākumi

Autoriteit Persoonsgegevens (AP) aizsargā jūsu pamattiesības, kas noteiktas GDPR, nodrošinot, ka organizācijas jūs skaidri informē, atbild savlaicīgi un likumīgi apstrādā datus. Ja uzņēmums ignorē vai nepareizi apstrādā pieprasījumu, Nīderlandes Datu aizsardzības iestāde var izmeklēt un pieprasīt atbilstību prasībām. Šīs ir galvenās tiesības, ko AP īsteno praksē.

  • Tiesības būt informētam: skaidri, pārredzami paziņojumi, tostarp gadījumos, kad dati tiek iegūti no citiem.
  • Piekļuves tiesības: jūsu datu un apstrādes informācijas kopiju; atbildi bez nepamatotas kavēšanās (parasti viena mēneša laikā).
  • Tiesību veicināšana: Organizācijām ir jāpadara pieprasījumi viegli un savlaicīgi — bez nepamatotiem atteikumiem vai kavēšanās.
  • Īpašu kategoriju datu aizsardzība: papildu drošības pasākumi biometriskajiem vai veselības datiem; nelikumīga izmantošana izraisa AP rīcību.
  • Informācija par pārkāpumu: Cilvēki ir jāinformē, ja noplūde rada augstu risku; AP pārbauda, ​​vai tas notiek.

Kā iesniegt sūdzību par privātuma pārkāpumu (soli pa solim)

Ja organizācija nepareizi rīkojas ar jūsu personas datiem vai ignorē jūsu tiesību pieprasījumu, varat iesniegt sūdzību Nīderlandes Datu aizsardzības iestādei (Autoriteit Persoonsgegevens, AP). Vairumā gadījumu vispirms mēģiniet atrisināt problēmu ar organizāciju un saglabājiet skaidru dokumentāru liecību. Koncentrēta, labi dokumentēta sūdzība palīdz AP ātrāk novērtēt situāciju, jo īpaši, ja ir iesaistīti īpašu kategoriju dati vai pārrobežu apstrāde.

  1. Izmēģiniet tiešu izšķirtspēju: Rakstiet organizācijai (vai tās datu aizsardzības speciālistam), izskaidrojot problēmu un tiesības, uz kurām atsaucaties; dodiet viņiem līdz vienam mēnesim laika atbildei.
  2. Savāc pierādījumus: Saglabājiet sava pieprasījuma, visu atbilžu, datumu, ekrānuzņēmumu, paziņojumu par konfidencialitāti un jebkāda nodarītā kaitējuma kopijas.
  3. Iesniedziet savu sūdzību AP: Izmantojiet AP sūdzību iesniegšanas kanālu un aprakstiet, kas, ko, kad, kādas GDPR tiesības ir iesaistītas un kāda ir bijusi ietekme.
  4. Sadarboties ar turpmāko darbu: Pārrobežu lietās AP var pieprasīt papildu informāciju vai koordinēt darbību ar citu ES iestādi.
  5. Apsveriet paralēlus risinājumus: AP var noteikt atbilstības prasības un sodīt organizācijas; kompensācijas noteikšanai ir nepieciešama atsevišķa civilprasība.

Kā ziņot par datu noplūdi piekļuves punktam (organizācijām)

Personas datu pārkāpuma gadījumā organizācijām darbojas Nīderlandē vai ir vērsti uz Nīderlandi jārīkojas ātri: vajadzības gadījumā 72 stundu laikā jāpaziņo Nīderlandes Datu aizsardzības iestādei (Autoriteit Persoonsgegevens, AP), jāinformē skartās personas un jāreģistrē incidents. Par pārrobežu pārkāpumiem parasti ziņo jūsu ES galvenās mītnes valsts datu aizsardzības iestādei. Par novēlotu paziņošanu var tikt piemērots naudas sods.

  1. Novērtēt un ietvert: Izlemiet, vai incidents ir ziņojams personas datu pārkāpums.
  2. Paziņot piekļuves punktam (72 stundu laikā): Lai iesniegtu savu paziņojumu, izmantojiet AP datu pārkāpumu ziņošanas kanālu.
  3. Informēt personas, kad tas nepieciešams: Informējiet skartās personas un sniedziet praktiskus norādījumus.
  4. Dokuments iekšēji: Reģistrējiet faktus, sekas un koriģējošās darbības pārkāpumu reģistrā.
  5. Pārrobežu koordinācija: Paziņot vadošajai iestādei (jūsu ES galvenās mītnes datu aizsardzības iestādei) un koordinēt turpmākās darbības.

Saglabājiet lēmumu un laika grafiku pierādījumus; AP var pieprasīt papildu informāciju.

Ko AP sagaida no organizācijām: GDPR pamatsaistības

Autoriteit Persoonsgegevens sagaida, ka organizācijas parādīs reālu GDPR atbildību: izvēlēsies derīgu juridisko pamatu, skaidri paskaidros savu apstrādi, samazinās datu apjomu līdz minimumam, nodrošinās tos atbilstoši, savlaicīgi ievēros tiesību pieprasījumus, novērtēs augsta riska darbības, ziņos par pārkāpumiem, kad tas nepieciešams, un pārsūtīs datus uz ārzemēm tikai ar atbilstošiem drošības pasākumiem.

  • Juridiskais pamats un pārredzamība: norādiet skaidrus mērķus, juridisko pamatojumu un to, ar ko jūs kopīgojat datus; sniedziet pieejamu informāciju par privātumu.
  • Datu minimizēšana un saglabāšana: apkopot tikai nepieciešamo un noteikt/ievērot saglabāšanas periodus.
  • Drošības pasākumi: īstenot samērīgas tehniskās un organizatoriskās kontroles un ierobežot iekšējo piekļuvi.
  • Augsta riska apstrāde: veikt datu aizsardzības novērtējumu (DPIA), ja nepieciešams; pievienot drošības pasākumus īpašu kategoriju datiem.
  • Tiesību veicināšana: atvieglot tiesību īstenošanu; atbildēt bez liekas kavēšanās (parasti viena mēneša laikā).
  • Pārkāpumu pārvaldība: Ja nepieciešams, 72 stundu laikā paziņot piekļuves iestādei; informēt personas, ja pastāv augsts risks; uzturēt pārkāpumu reģistru.
  • Starptautiskie pārskaitījumi: izmantot atbilstības lēmumus vai atbilstošus drošības pasākumus (piemēram, paraugklauzulas).
  • Normatīvās prasības: iegūt AP licences noteiktiem kopīgiem melnajiem sarakstiem; iecelt datu aizsardzības speciālistu, ja tas ir obligāti; ārpussavienības valstu datu pārziņiem, veicot darbības Nīderlandē, ir jābūt ES pārstāvim.

Datu aizsardzības speciālisti, ES pārstāvji un atbildība praksē

Saskaņā ar GDPR atbildība ir pastāvīgs pienākums, nevis atzīmējama rūtiņa. Ja nepieciešams, ieceliet datu aizsardzības speciālistu (DAS), lai uzraudzītu personas datu apstrādi, konsultētu darbiniekus un darbotos kā Nīderlandes Datu aizsardzības iestādes (AP) kontaktpersona. Ja esat ārpussavienības pārzinis, kas piedāvā preces/pakalpojumus ES iedzīvotājiem vai uzrauga viņus, jums jāieceļ ES pārstāvis. AP sagaida pierādījumus, ka šīs lomas darbojas praksē — pārstāvja neiecelšana jau ir novedusi pie tiesvedības, kā redzams Clearview lietā.

  • Datu aizsardzības speciālists, ja nepieciešams: DPO uzrauga apstrādi, informē un konsultē darbiniekus, kā arī ir AP kontaktpersona.
  • ES pārstāvis (pārziņi ārpus ES): norīkot pārstāvi, ja mērķauditorija ir ES/Nīderlandē.
  • Augsta riska apstrāde: veikt datu aizsardzības novērtējumus (DPIA), ja nepieciešams, un pievienot drošības pasākumus īpašu kategoriju datiem.
  • Tiesību apstrāde: padarīt pieprasījumus viegli izpildāmus un atbildēt uz tiem bez liekas kavēšanās (parasti viena mēneša laikā).
  • Gatavība pārkāpumiem: uzturēt pārkāpumu reģistru un nepieciešamības gadījumā 72 stundu laikā paziņot AP.
  • Starptautiskie pārskaitījumi: paļauties uz atbilstības lēmumiem vai atbilstošiem aizsardzības pasākumiem (piemēram, parauga līgumi).

Pārrobežu lietas un vienas pieturas aģentūras mehānisms

Ja apstrāde vai pārkāpumi ietekmē cilvēkus vairākās ES valstīs, tiek piemērota GDPR vienotā pieturas aģentūra. Vadošā uzraudzības iestāde ir jūsu ES “galvenās uzņēmējdarbības vietas” (parasti galvenās mītnes) datu aizsardzības iestāde (DPA). Ja tā atrodas Nīderlandē, vadošā iestāde ir Nīderlandes Datu aizsardzības iestāde (AP); pretējā gadījumā AP darbojas kā attiecīgā iestāde. Pārrobežu pārkāpumu gadījumā organizācijas parasti paziņo vadošajai DPA.

  • Identificējiet savu galveno datu aizsardzības speciālistu: Nosakiet galveno iestādi un apstipriniet, kas to vada.
  • Ziņot, izmantojot vadošo datu aizsardzības iestādi: Izmantojiet tā informācijas noplūdi/saziņas kanālu un veiciet ierakstus.
  • Koordinātas: Sagaidiet informācijas pieprasījumus un kopīgu apstrādi ar citām ES datu aizsardzības iestādēm.

Izpilde praksē: naudas sodi, rīkojumi un ievērojami gadījumi

Nīderlandes Datu aizsardzības iestāde izmanto gan izmeklēšanas, gan korektīvus rīkus, lai ātri mainītu uzvedību. Sagaidiet administratīvus sodus, rājienus un atbilstības rīkojumus — bieži vien ar periodiskiem soda maksājumiem, lai izbeigtu notiekošos pārkāpumus. Tipiski iemesli ir nelikumīga apstrāde, īpašu kategoriju datu ļaunprātīga izmantošana, tiesību pieprasījumu ignorēšana, ES pārstāvniecības neesamība ārpus ES esošiem pārziņiem un novēloti vai nepietiekami paziņojumi par pārkāpumiem (par kuriem var tikt piemērots naudas sods).

  • Administratīvie sodi un rīkojumi: AP var noteikt koriģējošus pasākumus un piemērot periodiskus soda maksājumus, lai nodrošinātu atbilstību prasībām.
  • Biežāk sastopamie pārkāpumi: Nav juridiska pamata, nelikumīga biometriskās apstrādes, slikta pārredzamība, nespēja nodrošināt piekļuvi un vāja pārkāpumu apstrāde.
  • Ievērojams gadījums — Clearview mākslīgais intelekts (2024. g.): 30 500 000 eiro sods par nelikumīgu datu vākšanu un biometriskās apstrādes pārkāpumiem, pārredzamības un piekļuves nepilnībām un ES pārstāvja neesamību; kā arī četri atbilstības rīkojumi, lai apturētu notiekošos pārkāpumus.

Oficiālie resursi un kontaktinformācija

Lai saņemtu autoritatīvus norādījumus un veidlapas, izmantojiet Nīderlandes Datu aizsardzības iestādes (Autoriteit Persoonsgegevens, AP) tīmekļa vietni. Šie ir oficiālie kanāli informācijas, sūdzību un pārkāpumu ziņošanai.

  • AP tīmekļa vietne (angļu/nīderlandiešu valodā): norādījumi, atjauninājumi un jaunumi.
  • Sūdzības veidlapa (fiziskām personām): iesniegt sūdzību par privātuma pārkāpumu; pievienot pierādījumus.
  • Datu pārkāpumu portāls (organizācijas, Nīderlande): paziņot 72 stundu laikā, ja nepieciešams; reģistrēt iekšēji.
  • Kontaktlapa: vispārīgi jautājumi vai lietas turpmākā rīcība.
  • Norādījumi: drošības pasākumi, ietekmes uz vidi novērtējumi (DPIA) un starptautiska datu pārsūtīšana.

Gatavošanās AP pieprasījumam vai pārbaudei

Autoriteit Persoonsgegevens pieprasījumam nav jākļūst par ugunsgrēka trauksmes mācībām. Visefektīvākais veids, kā samazināt risku, ir parādīt savu sagatavotību un laikus novērst nepilnības. Izmantojiet šo mērķtiecīgo sagatavošanos, lai būtu gatavs informācijas pieprasījumiem, attālinātām pārbaudēm vai pārbaudēm uz vietas.

  • Atbildes potenciālajam klientam jānozīmē: DPO/ES pārstāvis kā vienīgā kontaktpersona; sekojiet līdzi visiem termiņiem.
  • Apkopojiet savu atbildības failu: mērķi, juridiskais pamats, paziņojumi, saglabāšana, piekļuves kontrole.
  • Pierādījumu tiesību apstrāde: pieprasījumu žurnāls, atbilžu veidnes un viena mēneša izpildes apgrozījuma reģistri.
  • Demonstrēt drošība un ietekmes uz vidi novērtējumi: aptvert augsta riska/īpašu kategoriju apstrādi un dokumentētus mazināšanas pasākumus.
  • Sagatavojiet pārkāpuma dokumentāciju: incidentu reģistrs, 72 stundu paziņojumi un jebkāda lietotāju saziņa.
  • Pārbaudiet starptautiskos pārskaitījumus un pārstāvniecību: atbilstības vai parauga klauzulas, kā arī ES pārstāvja apliecinājums (ja nepieciešams).

Galvenie secinājumi un nākamie soļi

Galvenais secinājums: AP ir Nīderlandes GDPR uzraudzības iestāde. Indivīdi var iesniegt sūdzības; organizācijām ir jāpierāda likumīga apstrāde, jāveicina tiesību ievērošana, jāaizsargā dati un jāziņo par pārkāpumiem 72 stundu laikā, īpaši rūpējoties par īpašu kategoriju datiem un pārrobežu struktūrām. Vai nepieciešama pielāgota palīdzība vai steidzama reaģēšanas plānošana? Sazinieties ar mūsu… privātuma juristi uzņēmumā Law & More.

Jums arī varētu patikt

Law & More