Datu pārzinim jābūt skaidri definētiem mērķiem un juridiskam pamatam šo mērķu sasniegšanai, un pārzinis var savākt un apstrādāt personas datus, kā arī sniegt tos trešajām personām saskaņā ar spēkā esošajiem tiesību aktiem. Dažos gadījumos personas datus var apstrādāt, pārstāvot uzņēmuma likumīgās intereses, ja šāda apstrāde būtiski neietekmē datu subjekta pamattiesības vai brīvības. Datu pārzinis var apstrādāt arī personas datus, lai izpildītu savas līgumsaistības attiecībā uz attiecīgo personu vai ja ir jāaizsargā fiziskas personas vitālās intereses.
Vispārīgā datu aizsardzības regula
Personas datu apstrādes procesā uzņēmumiem ir jāpierāda, ka tie sadarbojas ar datu pārziņiem un attiecīgiem darbiniekiem, lai nodrošinātu ES Vispārīgās datu aizsardzības regulas (GDPR) ievērošanu. Šādas sadarbības pamatā jābūt gan iekšējiem datu aizsardzības noteikumiem, gan līgumiem par personas datu apstrādi ar trešām personām, konfidencialitātes līgumiem un citiem ārējiem mehānismiem.
ES Vispārīgā datu aizsardzības regula stājās spēkā 2018. gada 25. maijā. Saskaņā ar VDAR datu pārzinim vai datu apstrādātājam ir jāīsteno atbilstoši tehniskie un organizatoriskie pasākumi, lai nodrošinātu un spētu pierādīt, ka personas dati tiek apstrādāti, ievērojot regulu. Iepriekšminētie pasākumi pēc nepieciešamības jāpārskata un jāatjaunina.
Par VDAR neievērošanu var uzlikt lielas soda naudas. Naudas sods par personas datu pārkāpumiem var sasniegt 2–4 procentus no uzņēmuma kopējā pasaules apgrozījuma iepriekšējā finanšu gadā vai līdz 10–20 miljoniem eiro.
Turklāt VDAR uzliek organizācijām par pienākumu vajadzības gadījumā iecelt datu aizsardzības speciālistu vai citu ārēju personu, kas ir atbildīga par personas datu aizsardzības prasību ievērošanu.
Datu aizsardzības inspektors var būt vajadzīgs, ja uzņēmums apstrādā īpašus personas datus. Saskaņā ar Lietuvas Republikas Likumu par personas datu tiesisko aizsardzību daudzas personas datu kategorijas kvalificējas kā īpaši dati. VDAR definē šos datus kā īpašu kategoriju personas datus. Šīs kategorijas ietver datus, kas atklāj datu subjekta rasi vai etnisko izcelsmi, politiskos uzskatus, reliģisko vai filozofisko pārliecību, biometriskos un ģenētiskos datus, veselības datus, seksuālās dzīves un seksuālās orientācijas datus. Īpašo kategoriju personas datu pārziņiem vai apstrādātājiem, kas īsteno šādu datu apjomīgu apstrādi, jāieceļ datu aizsardzības speciālists.
Personas datu aizsardzība saskaņā ar VDAR tiek garantēta neatkarīgi no datu apstrādei izmantotās tehnoloģijas. Līdz ar to ir jānodrošina personas datu aizsardzība, izmantojot gan automatizētus, gan neautomātiskus līdzekļus, ja dati ir sakārtoti, pamatojoties uz iepriekš noteiktiem kritērijiem. VDAR pieprasa arī personas datu aizsardzību neatkarīgi no formas, kādā šādi dati tiek glabāti (piemēram, IT sistēma, videonovērošanas ieraksti, papīra formāts).