2016.gada 27.aprīlī tika pieņemta Eiropas Parlamenta un Padomes regula Nr.2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (turpmāk – Datu regula).
Datu regula paredz šādus uzlabojumus vienotā tirgus vidē:
- Vienoti nosacījumi personas datu aizsardzībai Eiropas līmenī, kas attiecināmi uz apstrādi, uzturēšanu, nodošanu citiem uzņēmumiem un arhivēšanu.
- Vienas pieturas aģentūras principa piemērošana uzņēmējiem: kompānijām būs jāsadarbojas tikai ar vienu datu aizsardzības uzraugošo iestādi, tādējādi nodrošinot vienkāršāku un lētāku uzņēmējdarbību ES.
- Vienoti noteikumi visām kompānijām neskatoties uz to reģistrācijas valsti.
Tiesiskais regulējums paredz noteikumus, kas attiecas uz fizisku personu datu aizsardzību un apstrādi, un noteikumus, kas attiecas uz personas datu brīvu kustību. Tas aizsargā personas pamattiesības un brīvības, īpaši personas tiesības uz personas datu aizsardzību.
Datu regula paredz šādus uzlabojumus iedzīvotājiem:
- Tiesības piekļūt personas datiem un personas datu pārnesamība - tiesības personas datus pārnest no viena pakalpojumu sniedzēja uz citu. Piemēram, persona ir ievietojusi savus personas datus portālā, kas apkopo darba piedāvājumus un nodrošina darba devēju saziņu ar darba ņēmējiem. Gadījumā, ja persona vēlas reģistrēties citā līdzīga rakstura portālā, tā savus personas datus var pārnest uz otru portālu.
- Datu subjekta piekrišana – lai apstrādātu personas datus, ir jāiegūst skaidra un nepārprotama personas piekrišana savu datu apstrādei. Regulā ir noteikts pienākums pārziņiem (uzņēmējiem, valsts pārvaldes iestādēm) skaidrā un saprotamā valodā izskaidrot cilvēkam, kādi personas dati no tā tiek prasīti, kādiem mērķiem, kam tiks nodoti.
- “Privacy by design” princips – personas datu aizsardzības nosacījumi jau ir sākotnēji iestrādāti gan produktu, gan pakalpojumu piedāvātāju datu uzglabātāju vietnēs, tādejādi nosakot personas datu aizsardzību kā prioritāti.
- personas datu apstrādātāju atbildības un pienākumu palielināšana.
Datu regula ir tieši piemērojams tiesību akts, līdz ar to tās noteikumi nav jāievieš nacionālajos normatīvajos aktos. Tomēr Datu regula paredz vairākus noteikumus, kas paredz dalībvalstīm iespējas ieviest speciālus noteikumus. Ņemot vērā minēto, ir nepieciešams izstrādāt likumu „Personas datu apstrādes likums” (turpmāk - likumprojekts). Savukārt spēkā esošais Fizisko personu datu aizsardzības likums zaudēs spēku ar Regulas un likumprojekta spēkā stāšanas un piemērošanas uzsākšanas brīža – 2018.gada 25.maija.
Datu regula paredz pienākumu dalībvalstīm noteikt datu uzraudzības institūciju, kuras kompetencē būtu Datu regulas noteikumu uzraudzību. Latvijā par šādu uzraudzības iestādi tiek noteikta Datu valsts inspekcija. Tā ir pilnvarota veikt savus uzdevumus un pildīt savas pilnvaras pilnīgi neatkarīgi, ir būtiska sastāvdaļa fizisku personu datu aizsardzībā attiecībā uz viņu personas datu apstrādi. Uzraudzības iestādei būtu jāpiešķir finanšu un cilvēkresursi, telpas un infrastruktūra, kas nepieciešami efektīvai uzdevumu izpildei, tostarp to uzdevumu izpildei, kas saistīti ar savstarpējo palīdzību un sadarbību ar citām uzraudzības iestādēm visā Eiropas Savienībā. Galvenais mērķis, kas ir sasniedzams, ir personas tiesību ievērošana un neatbilstošas apstrādes novēršana, jo sodošas funkcijas izpilde nevar panākt efektīvāko rezultātu. Uzraudzības iestādei nepieciešams veikt tādas darbības, kas pievērstu datu subjektu uzmanību apstrādes noteikumiem un to likumībai, kā arī izskaidrotu pārziņiem, ka tiesiska apstrāde, ievērojot visus principus, ir priekšrocība, kas var vairot personu uzticību pārziņiem, palielināt pakalpojumu lietotāju skaitu, radīt izcilu pārziņa reputāciju un kļūt par atpazīstamības pazīmi.
Likumprojektā ir iekļauti noteikumi par Datu valsts inspekcijas neatkarīgo statusu, kompetenci, direktora iecelšanas noteikumiem, darbinieku pilnvarām, lēmumu pieņemšanas procedūru.
Regulā tiek paredzēts personas datu aizsardzības speciālista institūts, kas būtu attiecināms uz visām dalībvalstīm. Regulas 37.pantā ir paredzēts obligāts pienākums iecelt personas datu aizsardzības speciālistu, ja:
- apstrādi veic valsts iestāde vai struktūra;
- apstrādi veic uzņēmums, kas apstrādā sensitīvus datus un datus par sodāmību un noziedzīgiem nodarījumiem;
- datu pārziņa vai apstrādātāja pamatdarbība sastāv no apstrādes darbībām, kurām to būtības, apmēra un/vai nolūku dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana.
Pēc būtības datu aizsardzības speciālists ir iekšējais uzraugs iestādē vai organizācijā. Viņš informē un konsultē pārzini par datu aizsardzības prasībām, uzrauga Regulas prasību ievērošanu, sniedz padomus, sadarbojas ar uzraudzības iestādi un ir kontaktpersona jautājumos, kas saistīti ar apstrādi, it īpaši datu subjektam īstenojot savas tiesības. Datu aizsardzības speciālists, veicot savus pienākumus, nevar saņemt nekādus norādījumus, kā arī pret viņu nevar tikt piemērotas sankcijas, ja viņš sniedz negatīvu vērtējumu par pārziņa veikto datu apstrādi. Datu aizsardzības speciālista statuss daļēji ir līdzīgs iekšējā auditora statusam, un proti, viņš ir organizācijas nodarbinātais un strādā organizācijas interesēs, tomēr viņam jābūt pietiekami neatkarīgam un neitrālam, lai norādītu uz neatbilstībām un pārkāpumiem organizācijas darbībā.
Lai nodrošinātu iespēju pārzinim izvēlēties piemērotāku datu aizsardzības speciālistu, likumprojekts paredz kārtību, kādā persona var, nokārtojot eksāmenu, iegūt datu aizsardzības speciālista statusu. Tādā veidā pārzinim būs iespēja pārliecināties, ka attiecīgajai personai ir pietiekamas zināšanas, lai pildītu datu aizsardzības speciālista pienākumus.
Regula paredz iespēju pārziņiem izstrādāt rīcības kodeksus, kas paredzēti, lai veicinātu Regulas atbilstīgu piemērošanu, ņemot vērā dažādas apstrādes nozaru specifiskās iezīmes un mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības. Nozare, kas veic vienveidīgu vai līdzīgu apstrādi var izstrādāt rīcības kodeksu, ko var piemērot visi nozares pārziņi, tādējādi nodrošinot vienveidīgu un efektīvu Regulas noteikumu piemērošanu. Regula paredz kārtību, kādā rīcības kodeksu projektus izskata uzraudzības iestāde un sniedz atzinumu par to, vai rīcības kodeksa noteikumi atbilst Regulas noteikumiem. Tādējādi pārzinis iegūst arī uzraudzības iestādes vērtējumu par plānotajiem pasākumiem personas datu aizsardzības tiesību nodrošināšanai.
Ņemot vērā minēto, likumprojektā ir paredzēta kārtība, kādā rīcības kodeksi tiek apstiprināti, kādā institūcija var iegūt pārraudzības institūcijas statusu.
Vēl viens brīvprātīgs mehānisms labākai personas datu aizsardzības principu ieviešanai, kas paredzēts Regulā, ir sertifikācija. Regula paredz iespēju izveidot personas datu aizsardzības sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus, lai uzskatāmi parādītu, ka apstrādes darbības, ko veic pārziņi un apstrādātāji, atbilst Regulai, ņemot vērā mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības. Rīcības kodeksus un sertifikācijas mehānismus var izmantot, lai pierādītu, ka pārziņi vai apstrādātāji, uz kuriem, Regula neattiecas, ir nodrošinājuši atbilstošas garantijas, ko piemēro datu nosūtīšanai uz trešajām valstīm vai starptautiskajām organizācijām. Minētie rīki ir brīvprātīgi, bet tie var palīdzēt pārzinim uzskatāmi pierādīt arī datu subjektam, ka veiktā apstrāde atbilst personas datu aizsardzības principiem, tādā veidā veicinot datu subjekta uzticamību konkrētam pārzinim.
Ņemot vērā Datu regulā noteikto, likumprojektā ir paredzēta kārtība un noteikumi, kas būtu jāievēro, lai iegūtu sertifikācijas institūcijas statusu un nodrošinātu datu aizsardzības sertifikātu un zīmogu izsniegšanu.
Papildus tam likumprojektā ir iekļauti noteikumi par īpašām apstrādes situācijām, kas attiecas uz citu indivīda pamattiesību īstenošanu, atkāpēm, kas attiecas uz apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, valsts klasificēto datu apstrādi. Likumprojekts paredz specifiskus noteikumus un izņēmumus, attiecībā uz apstrādi žurnālistikas vajadzībām un akadēmiskās, mākslinieciskās vai literārās izpausmes vajadzībām.
Likumprojektā, ieviešot Datu regulas 8.pantā noteikto attiecībā uz sabiedrības pakalpojumu nodrošināšanu bērniem, ir paredzēts, ka sabiedrības pakalpojumu tiešai sniegšanai bērna piekrišana ir uzskatāma par pamatu datu apstrādei un bērna datu apstrāde ir likumīga, ja bērns ir vismaz 13 gadus vecs. Savukārt līdz attiecīgā vecuma sasniegšanai piekrišanu var sniegt vecāki vai citi likumiskie aizbildņi.
|