Banner 980x90

Klusums pirms vētras Personas datu aizsardzības jomā

2016. gada 27. aprīlī Eiropas Parlaments un ES Padome pieņēma jauno Personas datu aizsardzības regulu Nr. 2016/679 (turpmāk – Regula), kas ir piemērojama Eiropas Savienības dalībvalstīs no 2018. gada 25. maija.

Raksta autors: Lauris Klagišs, zvērināts advokāts, sertificēts datu aizsardzības speciālists

Ja 2016. gada pavasarī Regulas spēkā stāšanās šķita vēl ļoti tālu, tad pašlaik aptuveni 9 mēneši. Šie atlikušie 9 mēneši, faktiski ir ļoti simbolisks termiņš, un pašlaik ir pēdējais laiks to apzināties (it sevišķi uzņēmējiem), un sākt gatavoties nākamā gada pavasarim, jo 2018. gada 25.maijs ir nevis diena, kad Regula jāsāk ieviest, bet gan diena, kad tai jau ir jābūt ieviestai pilnībā.

Datu valsts inspekcija rekomendē, ka pārziņiem un operatoriem (pašiem vai sadarbībā ar datu aizsardzības speciālistu) būtu ieteicams pārskatīt veiktās datu apstrādes, veikt to novērtējumu, pārskatīt līgumu noteikumus, kas attiecas uz datu apstrādi, lai nepieciešamības gadījumā veiktu izmaiņas, nodrošinot pilnvērtīgu datu aizsardzības prasību ievērošanu.

 Neskatoties uz minēto, pašlaik datu aizsardzības nozarē ir iestājies tāds kā klusums pirms vētras. Daudzi uzņēmēji uzskata, ka datu aizsardzībā nekas būtisks nemainīsies un Regulai ir vairāk simboliska nozīme. Diemžēl nāksies apbēdināt tos, kas tā domā, jo Regulas dēļ ne tikai tiek izstrādāts jauns Personas datu apstrādes likums, bet arī jaunais regulējums un kārtība būtiski atšķiries no ierastā, ko apliecina arī Personas datu apstrādes likumprojekta anotācija, proti:

          1) Personai būs tiesības piekļūt saviem datiem, kā arī tiesības personas datus pārnest no viena pakalpojumu sniedzēja uz citu. Piemēram, persona ir ievietojusi savus personas datus portālā, kas apkopo darba piedāvājumus un nodrošina darba devēju saziņu ar darba ņēmējiem. Gadījumā, ja persona vēlas reģistrēties citā līdzīga rakstura portālā, tā savus personas datus var pārnest uz otru portālu.

          2) Lai apstrādātu personas datus, turpmāk būs jāiegūst skaidra un nepārprotama personas piekrišana savu datu apstrādei. Regulā ir noteikts pienākums pārziņiem (uzņēmējiem, valsts pārvaldes iestādēm) skaidrā un saprotamā valodā izskaidrot cilvēkam, kādi personas dati no tā tiek prasīti, kādiem mērķiem, kam tiks nodoti.

          3) «Privacy by design» princips – personas datu aizsardzības nosacījumi jau ir sākotnēji iestrādāti gan produktu, gan pakalpojumu piedāvātāju datu uzglabātāju vietnēs, tādējādi nosakot personas datu aizsardzību kā prioritāti.

          4) Būtiski tiks palielināta Personas datu apstrādātāju atbildība - Regula ievērojami palielina sodus, ko, iespējams, piemērot par datu aizsardzības pārkāpumiem. Tie varēs būt līdz pat 20 000 000 eiro (salīdzinājumam – Administratīvo pārkāpumu kodeksā šobrīd maksimālais juridiskām personām paredzētais sods ir 14 000 eiro).

          5) Regula paplašina datu aizsardzības speciālista funkcijas un nozīmi, nosakot, ka pēc būtības datu aizsardzības speciālists ir iekšējais uzraugs iestādē vai organizācijā. Viņš informē un konsultē pārzini par datu aizsardzības prasībām, uzrauga Regulas prasību ievērošanu, sniedz padomus, sadarbojas ar uzraudzības iestādi un ir kontaktpersona jautājumos, kas saistīti ar apstrādi, it īpaši datu subjektam īstenojot savas tiesības. Datu aizsardzības speciālists, veicot savus pienākumus, nevar saņemt nekādus norādījumus, kā arī pret viņu nevar tikt piemērotas sankcijas, ja viņš sniedz negatīvu vērtējumu par pārziņa veikto datu apstrādi. Datu aizsardzības speciālista statuss daļēji ir līdzīgs iekšējā auditora statusam, un proti, viņš ir organizācijas nodarbinātais un strādā organizācijas interesēs, tomēr viņam jābūt pietiekami neatkarīgam un neitrālam, lai norādītu uz neatbilstībām un pārkāpumiem organizācijas darbībā.

          6) Regulas 37. pants paredz pienākumu pastāvīgi iecelt datu aizsardzības speciālistu katrā gadījumā, kad datu apstrādi veic publiska iestāde vai struktūra. Tātad datu aizsardzības speciālistu noteikti vajadzēs valsts un pašvaldību iestādēm un uzņēmumiem. Tāpat, pienākums iecelt datu aizsardzības speciālistu būs arī gadījumos, kad datu pārziņa vai apstrādātāja pamatdarbība sastāv no apstrādes darbībām, kurām to būtības, apmēra un/vai nolūku dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana plašā mērogā (piemēram, personāla atlases firmas darbā iekārtošanas uzņēmumi, līzinga un kredīta iestādes, apdrošinātāji, apsardzes uzņēmumi, utt.). Tātad lielai daļai uzņēmumu, kā arī valsts un pašvaldību iestādēm būs nepieciešams savs datu aizsardzības speciālists. Saskaņā ar Regulu Uzņēmumu grupa var iecelt vienu datu aizsardzības speciālistu ar noteikumu, ka katrs uzņēmums var viegli sazināties ar datu aizsardzības speciālistu. Ja pārzinis vai apstrādātājs ir publiska iestāde vai struktūra, vienu datu aizsardzības speciālistu var iecelt vairākām šādām iestādēm vai struktūrām, ņemot vērā to organizatorisko uzbūvi un lielumu. Datu aizsardzības speciālists var būt pārziņa vai apstrādātāja darbinieks, vai viņš var veikt uzdevumus, pamatojoties uz pakalpojumu līgumu.

          7) Regulā, attiecībā uz sabiedrības pakalpojumu nodrošināšanu bērniem, ir paredzēts, ka sabiedrības pakalpojumu tiešai sniegšanai bērna piekrišana ir uzskatāma par pamatu datu apstrādei un bērna datu apstrāde ir likumīga, ja bērns ir vismaz 13 gadus vecs. Savukārt līdz attiecīgā vecuma sasniegšanai piekrišanu var sniegt vecāki vai citi likumiskie aizbildņi. Tātad, līdz 13 gadu vecumam, bērns bez vecāka piekrišanas, nevarēs veidot profilus sociālajos tīklos.

          8) Regula nosaka tiesības «tikt aizmirstam» - datu subjektam ir tiesības panākt, lai pārzinis bez nepamatotas kavēšanās dzēstu datu subjekta personas datus, un pārziņa pienākums ir bez nepamatotas kavēšanās dzēst personas datus, ja datu subjekts atsauc savu piekrišanu, uz kuras pamata veikta apstrāde, un ja nav cita likumīga pamata apstrādei. Faktiski, «Tiesības tikt aizmirstam» nav jauns jēdziens, jo šīs tiesības tika atzītas jau ar Eiropas tiesas 2014. gada 13. maija spriedumu lietā pret Google. Toreiz tiesa noteica, ka interneta meklētājprogrammas operators ir atbildīgs par to personas datu apstrādi, kas parādās citu avotu publicētajās tīmekļa lappusēs.

          9) Regula paredz iespēju pārziņiem izstrādāt rīcības kodeksus, kas paredzēti, lai veicinātu Regulas atbilstīgu piemērošanu, ņemot vērā dažādas apstrādes nozaru specifiskās iezīmes un mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības. Nozare, kas veic vienveidīgu vai līdzīgu apstrādi var izstrādāt rīcības kodeksu, ko var piemērot visi nozares pārziņi, tādējādi nodrošinot vienveidīgu un efektīvu Regulas noteikumu piemērošanu. Regula paredz kārtību, kādā rīcības kodeksu projektus izskata uzraudzības iestāde un sniedz atzinumu par to, vai rīcības kodeksa noteikumi atbilst Regulas noteikumiem. Tādējādi pārzinis iegūst arī uzraudzības iestādes vērtējumu par plānotajiem pasākumiem personas datu aizsardzības tiesību nodrošināšanai.

Regula ir tieši piemērojams normatīvais akts, līdz ar to tās noteikumi nav jāievieš nacionālajos normatīvajos aktos. Tomēr Datu regula paredz vairākus noteikumus, kas paredz dalībvalstīm iespējas ieviest speciālus noteikumus. Ņemot vērā minēto, Latvijā tiek izstrādāts jauns Personas datu apstrādes likums, kurš pilnībā aizvietos esošo Fizisko personu datu aizsardzības likumu, kurš zaudēs spēku no Regulas piemērošanas uzsākšanas brīža – 2018. gada 25. maija.

Ņemot vērā iepriekš minēto, raksta autors aicina uzņēmējus, kā arī valsts un pašvaldību iestādes savlaicīgi sākt gatavoties minētajām izmaiņām – pašiem vai sadarbībā ar datu aizsardzības speciālistiem pārskatīt veiktās datu apstrādes, veikt to novērtējumu, pārskatīt līgumu noteikumus, kas attiecas uz datu apstrādi, lai nepieciešamības gadījumā veiktu izmaiņas, nodrošinot pilnvērtīgu datu aizsardzības likumdošanas ievērošanu.

Dalies ar šo rakstu

Uz sarakstu
Pilseta24.lv neatbild pievienotajiem lasītāju komentāriem, kā arī aicina portāla lasītājus, rakstot komentārus, ievērot morāles un pieklājības normas, nekurināt un neaicināt uz rasu naidu, iztikt bez rupjībām. Lūguma neievērošanas gadījumā Pilseta24.lv patur tiesības liegt komentēšanas iespēju. Komentāros publicējamā teksta garums ir ierobežots līdz 1000 zīmēm. Nereģistrētiem lietotājiem ir aizliegta HTML un hipersaišu publicēšana!
Komentāri (0)