Publikācija:

Diena | Datu aizsardzības jaunās prasības

02 novembris 2016

2016. gada aprīlī pieņemta regula par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (Vispārīgā datu aizsardzības regula). Tā kļuvusi par vienu no apspriestākajiem tematiem datu aizsardzības jomā. Komentārā laikrakstam "Diena" skaidro juriste Līva Aleksejeva. 

Šobrīd Eiropas Savienības (ES) līmenī datu aizsardzības prasības nosaka direktīva 95/46/EK, kas Latvijā ieviesta ar Fizisko personu datu aizsardzības likumu. Regula atcels direktīvu no 2018. gada 25. maija, kad piemērojama kļūs regula. 

Vai regula nozīmēs tikai papildu slogu pārziņiem vai saskatāmas arī pozitīvas iezīmes? Atbilde uz šo jautājumu ir abējāda. Lai arī regula ieviesīs papildu pienākumus un atbildību, tā arī atvieglos dzīvi tiem pārziņiem, kuri datu apstrādi veic vai vēlas veikt vairākās ES dalībvalstīs. Proti, līdz šim prasības dalībvalstīs varēja būt atšķirīgas, turpmāk prasības būs nosacīti vienādas (ar atsevišķām niansēm). 

Virknē jautājumu regulas prasības atbilst jau pastāvošajam regulējumam. Piemēram, datu apstrādes pamati, kas ir spēkā šobrīd, iekļauti arī regulā, tādējādi pārziņiem nav jāuztraucas, ka pēkšņi varētu zust līdz šim pastāvošais pamats datu apstrādei. 

Protams, kā jebkurš jauns normatīvais akts, arī regula ievieš jauninājumus. Piemēram, viens no datu apstrādes pamatiem ir datu subjekta piekrišana. Šajā aspektā regula ievieš īpašas prasības bērnu datu aizsardzībai. Proti, ja bērns ir jaunāks par normatīvajā aktā noteikto vecumu, datu apstrāde būs likumīga tikai tad, ja piekrišanu būs devuši bērna vecāki. Šīs prasības nozīmē papildu slogu, piemēram, sociālo tīklu uzturētājiem, jo būs jādomā par tehnoloģiskiem un praktiskiem risinājumiem, lai izpildītu prasības. 

Tāpat regula ievieš jaunus principus attiecībā uz datu apstrādē iesaistīto personu atbildību. Šobrīd par datu apstrādi atbild pārzinis, bet regula paredz, ka atbildība būs piemērojama arī operatoriem. Atbildības jautājums ir īpaši būtisks, ņemot vērā, ka regula ievērojami palielina sodus, ko iespējams piemērot par datu aizsardzības pārkāpumiem. Tie varēs būt līdz pat 20 000 000 eiro vai līdz 4% no uzņēmuma kopējā visas pasaules gada apgrozījuma (salīdzinājumam – Administratīvo pārkāpumu kodeksā šobrīd maksimālais juridiskām personām paredzētais sods ir 14 000 eiro). Tam vajadzētu kalpot par pamudinājumu pievērst īpašu uzmanību datu aizsardzībai un regulas prasību ievērošanai. 

Citi jauninājumi attiecas, piemēram, uz datu subjekta «tiesībām tikt aizmirstam», piekļūt informācijai, ziņošanas kārtību par pārkāpumiem, datu apstrādes atbilstības novērtējumiem, kā arī datu aizsardzības speciālistu norīkošanu. 

Pārziņiem un operatoriem (pašiem vai sadarbībā ar datu aizsardzības speciālistu) būtu ieteicams pārskatīt veiktās datu apstrādes, veikt to novērtējumu, pārskatīt līgumu noteikumus, kas attiecas uz datu apstrādi, lai nepieciešamības gadījumā veiktu izmaiņas, nodrošinot pilnvērtīgu datu aizsardzības prasību ievērošanu.