Ministru kabinets  6. martā atbalstīja Tieslietu ministrijas un Datu valsts inspekcijas (DVI) izstrādāto likumprojektu “Personas datu apstrādes likums”. Likumprojekts izstrādāts, pamatojoties uz Vispārīgajā datu aizsardzības regulā noteikto – Eiropas Savienības dalībvalstīm nepieciešams izstrādāt nacionālo regulējumu, lai sekmētu regulas piemērošanu. 2018. gada 25. maijā visās Eiropas Savienības dalībvalstīs, tostarp arī Latvijā, tiek uzsākta regulas piemērošana.

Regulā tiek modernizēti jau pastāvošie personas datu apstrādes principi, vienlaikus izveidojot vienotus personas datu aizsardzības noteikumus visā Eiropas Savienības teritorijā. Regulā ir saglabāti līdz šim personas datu aizsardzības jomā iedibināti pamatprincipi.

• 1) vienoti nosacījumi personas datu aizsardzībai Eiropas Savienības līmenī, kas attiecināmi uz apstrādi, uzturēšanu, nodošanu citiem uzņēmumiem un arhivēšanu;
• 2) vienas pieturas aģentūras principa piemērošana uzņēmējiem: kompānijām būs jāsadarbojas tikai ar vienu datu aizsardzības uzraugošo iestādi, tādējādi nodrošinot vienkāršāku un lētāku uzņēmējdarbību Eiropas Savienībā;
• 3) vienoti noteikumi visām kompānijām, neraugoties uz to reģistrācijas valsti.

Pašlaik personas datu aizsardzības jomu regulē Fizisko personu datu aizsardzības likums, kas ar regulas piemērošanu zaudēs spēku.

Pamatprincipi personas datu apstrādē, salīdzinot ar spēkā esošo Fizisko personu datu aizsardzības likumu, nemainās. Pastiprinās pārziņa (tas, kurš lemj par datu apstrādes nolūkiem un līdzekļiem jeb tas, kurš lemj, kāpēc un kā dati jāapstrādā) atbildības aspekti, nodrošinot papildus garantijas godprātīgai un tiesiskai datu apstrādei, to panākot citastarp arī ar datu subjekta (fiziska persona, kuru var tieši vai netieši identificēt) kontroles tiesību paplašināšanu.

Regula paredz pienākumu Eiropas Savienības dalībvalstīm noteikt datu uzraudzības institūciju, kuras kompetencē būs regulas noteikumu uzraudzība. Latvijā par šādu uzraudzības iestādi tiek noteikta DVI, kura arī līdz šim ir veikusi personas datu uzraudzību. DVI, izvērtējot datu aizsardzības pārkāpumus, piemēros principu “konsultē vispirms”, kura mērķis ir panākt, ka uzņēmējiem ir skaidri saprotami “spēles noteikumi” jeb piemērojamās prasības. DVI nodrošinās, ka par regulas pārkāpumiem paredzēto administratīvo naudas sodu piemērošana katrā konkrētā gadījumā ir iedarbīga, samērīga un atturoša.

Regulā ir noteiktas arī maksimālās sodu sankcijas par regulas pārkāpumiem. Tādejādi Administratīvo pārkāpumu kodeksā paredzētie sodi par personas datu aizsardzības pārkāpumiem, sākot ar regulas piemērošanas uzsākšanas brīdi, vairs netiks piemēroti attiecībā uz privātpersonām. Vienlaikus regula paredz, ja naudas sods, kādu varētu uzlikt, radītu nesamērīgu slogu fiziskai personai, naudas soda vietā varēs izteikt rājienu.

Tāpat regulā paredzēts obligāts pienākums iecelt personas datu aizsardzības speciālistu, ja apstrādi veic valsts iestāde vai struktūra, uzņēmums, kas apstrādā sensitīvus datus, kā arī datus par sodāmību un noziedzīgiem nodarījumiem un datu pārziņa vai apstrādātāja pamatdarbība sastāv no apstrādes darbībām, kurām to būtības, apmēra un/vai nolūku dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana.