2018.gada 25.maijā Eiropas Savienības teritorijā stājās spēkā Vispārīgā datu aizsardzības regula (angliski – General Data Protection Regulation, turpmāk tekstā – Regula), kas atceļ Direktīvas 95/46/EK „Par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti” darbību, kā arī LR Fizisko personu datu aizsardzības likuma darbību.
Ja līdz Regulas spēkā stāšanās brīdim jautājums par datu apstrādi katrā ES dalībvalstī tika risināts dažādi, tad sākot ar š.g. 25.maiju Regula tiek tieši un nekavējoties piemērota visās dalībvalstīs, tai skaitā Latvijas teritorijā, bez nepieciešamības izstrādāt nacionālos normatīvos aktus.
Pēc būtības, Regula paredz jau esošo personas datu aizsardzības principu modernizēšanu, radot vienotus personas datu aizsardzības noteikumus, kuri būs spēkā visā ES teritorijā. Šajā Regulā paredzētā aizsardzība jāpiemēro attiecībā uz fiziskām personām neatkarīgi no to valstiskās piederības vai dzīvesvietas, veicot viņu personas datu apstrādi.
Regula neattiecas uz tādu personas datu apstrādi, kas skar juridiskas personas un jo īpaši uzņēmumus, kuriem ir juridiskas personas statuss, tostarp juridiskās personas nosaukumu, uzņēmējdarbības formu un kontaktinformāciju.
Regulu nepiemēro personas datu apstrādei, kuru veic fiziska persona tikai personiska vai mājsaimnieciska pasākuma gaitā un kura tādējādi nav saistīta ar profesionālu vai komerciālu darbību. Personiski vai mājsaimnieciski pasākumi varētu ietvert korespondenci un adrešu sarakstu turēšanu, vai sociālo tīklošanos un tiešsaistes darbības, ko veic saistībā ar šādiem pasākumiem.
Ko ietver jēdziens „personīgie dati”?
Runa ir par jebkuru informāciju, ar kuras palīdzību var identificēt cilvēku – datu subjektu, t.i. viņa vārds, uzvārds, kontaktinformācija, dzīvesvietas adrese, fotogrāfija, dzimšanas datums, personas kods u.t.t. Attiecīgi, personas datu apstrāde ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana.
Pārzinis ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus.
No šīs Regulas izriet, ka ja uzņēmums vāc vai glabā darbinieku datus, apstrādā klientu un citu fizisku personu datus, rīko mērķtiecīgus mārketinga pasākumus vai strādā ar sensitīviem datiem, tad Regulas darbība izplatās arī uz šo uzņēmumu, un uzņēmums darbojas kā Pārzinis.
Vienkāršiem vārdiem runājot, Regula attiecas uz jebkuru uzņēmumu vai pašnodarbinātu personu, kas nodarbina darbiniekus, izraksta rēķinus vai noslēdz līgumus ar fiziskām personām, kā arī apstrādā personas datus uz cita pamata. Tāpēc ir ļoti svarīgi apzināt personas datu apjomu, kuru apstrādā uzņēmums. Šim nolūkam ļoti svarīgi ir veikt auditu un noskaidrot, kādā veidā un ar kādu nolūku personas dati tiek vākti, glabāti, izmantoti, kam tie ir pieejami un kam tiek nodoti tālāk.
Saskaņā ar Regulas 5.pantu, veicot personas datu apstrādi, jāievēro sekojošie principi:
Regula nosaka, ka personas datu apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem pamatojumiem:
Ir vērts pievērst uzmanību augstāk minēto noteikumu pirmajam punktam – datu subjekta piekrišanas saņemšana personas datu apstrādei. Regula nosaka, ka piekrišanai jābūt brīvi dotai, konkrētai, apzinātai un viennozīmīgai. Piekrišana var tikt dota rakstiskā, mutiskā vai elektroniskā formā. Tas varētu ietvert laukuma atzīmēšanu ar ķeksīti interneta tīmekļa vietnē, informācijas sabiedrības pakalpojumu tehnisko iestatījumu izvēli vai citu paziņojumu vai rīcību, kas šajā gadījumā skaidri norāda, ka datu subjekts piekrīt piedāvātajai savu personas datu apstrādei. Klusēšana, iepriekš atzīmēti laukumi vai atturēšanās no darbības tādējādi nebūtu jāuzskata par piekrišanu. Piekrišanai būtu jāattiecas uz visām apstrādes darbībām, ko veic vienā un tajā pašā nolūkā vai nolūkos. Ja apstrādei ir vairāki nolūki, piekrišana būtu jādod visiem nolūkiem. Ja datu subjekta piekrišana ir jādod pēc elektroniska pieprasījuma, pieprasījumam jābūt skaidram, kodolīgam, un tam nav nevajadzīgi jāpārtrauc tā pakalpojuma izmantošana, par ko tas tiek sniegts.
Datu subjektam ir tiesības atsaukt savu piekrišanu jebkurā laikā. Piekrišanas atsaukums neietekmē apstrādes likumību, kas pamatojas uz piekrišanu pirms atsaukuma. Datu subjektam jābūt par to informētam, pirms viņš dod savu piekrišanu. Atsaukt piekrišanu ir tikpat viegli kā to dot.
Jāatzīmē, ka kopumā Regula piešķir datu subjektam ļoti plašas tiesības un iespējas kontrolēt savus personas datus. Šīs tiesības ietver:
Regulas 37.pants uzliek Pārzinim par pienākumu pieaicināt datu aizsardzības speciālistu sekojošajos gadījumos:
Ja uzņēmums neatbilst nevienam no augstāk minētajiem kritērijiem, tad pienākums iecelt šādu speciālistu uz viņu neattiecas.
Šīs Regulas galvenā īpatnība, kurai ir vērts pievērst uzmanību, ir nopietno soda sankciju ieviešana par personas datu apstrādes noteikumu pārkāpšanu.
Regula nosaka, ka naudas sodiem jābūt iedarbīgiem, samērīgiem un atturošiem. Piemēram, apstrādes pamatprincipu pārkāpšana, ieskaitot nosacījumus piekrišanai (Regulas 5, 6, 7 un 9 panti), datu subjekta tiesību neievērošana (Regulas 12-22 panti), personas datu nosūtīšanas uz trešām valstīm vai starptautiskām organizācijām principu neievērošana (Regulas 44–49 panti) var novest pie administratīvajiem sodiem līdz 20 miljoniem eiro vai līdz 4% no uzņēmuma apgrozījuma par iepriekšējo finansiālo gadu, atkarībā no tā, kura summa ir lielāka.
Šie administratīvie akti ir noteikti Regulā, tie nebūs iekļauti nacionālajos normatīvajos aktos. Par augstāk minēto sodu piedziņu Latvijā atbild valsts uzraudzības iestāde, un proti – Valsts datu inspekcija. Par nelielu pārkāpumu uzraudzības iestāde var izteikt rājienu.