Šā gada pavasarī tika pieņemta un spēkā stājās Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula), kura paredz būtiskas izmaiņas personas datu aizsardzības regulējumā. Tādējādi līdz tās piemērošanas uzsākšanai 2018. gada 25. maijā daudziem personas datu apstrādes veicējiem ir jāīsteno vairākas aktivitātes. Una Petrauska,  zvērināta advokāte,  KPMG Zvērinātu advokātu biroja vadītāja, žurnāla BILANCES JURIDISKIE PADOMI augusta numurā apskata būtiskākās izmaiņas un ieteikumus to ieviešanai. Publicējam svarīgākos raksta izvilkumus.

Jauns, nozīmīgs princips “pārskatatbildība”

Ar regulu tiek ieviests jauns, visaptverošs un nozīmīgs pārziņa pienākums - pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai, ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, nodrošinātu un spētu uzskatāmi parādīt, ka apstrāde notiek saskaņā ar regulu. Ja nepieciešams, minētos tehniskos un organizatoriskos pasākumus pārskata un atjaunina. Līdz ar to pārziņiem, piemēram, komersantiem, būs jānodrošina ne tikai regulai atbilstoša darbinieku un klientu personas datu apstrāde, bet būs jāspēj, uzrādot pierādījumus, apliecināt, vai un kā regula tiek ievērota.  

Šī pierādīšana, tādējādi izpildot pārskatatbildības principu, var tikt veikta:

• ieviešot tehniskas un organizatoriskas procedūras un veicot šo procedūru dokumentēšanu (izstrādājot politiku, iekšējās kārtības noteikumus, rīcības kodeksus utt.);
• veicot šo procedūru ievērošanas efektivitātes pārskatīšanu un atjaunināšanu nepieciešamības gadījumā;
• apmācot darbiniekus;
• veicot iekšējos auditus;
• regulā noteiktā kārtībā reģistrējot apstrādes darbības;
• ieceļot personas datu aizsardzības speciālistu;
• regulā noteiktā kārtībā novērtējot ietekmi uz datu aizsardzību;
• veicot datu aizsardzības pēc noklusējuma un integrētās datu aizsardzības pasākumus (piemēram, pseidonimizācija, datu minimizēšana, regulas kārtībā apstiprinātu sertifikācijas mehānismu izmantošana);
• saņemot apliecinājumu par atbilstību regulas kārtībā apstiprinātam rīcības kodeksam.

Regulas 30. pants paredz pārziņu un apstrādātāju pienākumu noteiktos gadījumos un noteiktā apjomā veikt apstrādes darbību reģistrēšanu  - iekšējs datu plūsmas un tās aizsardzības pasākumu fiksēšanas process, kura ietvaros sagatavotajam reģistram jānodrošina uzraudzības iestādei pieeja pēc tās pieprasījuma.

Regula paredz jaunu pārziņu pienākumu veikt novērtējumu par ietekmi uz datu aizsardzību. Saskaņā ar regulas 35. pantu pārzinim pirms apstrādes ir jāveic novērtējums par to, kā plānotās apstrādes darbības ietekmēs personas datu aizsardzību, ja apstrādes veids, jo īpaši, izmantojot jaunās tehnoloģijas un ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus, varētu radīt augstu risku fizisko personu tiesībām un brīvībām. Piemēram, šāds novērtējums varētu būt jāveic, ja tiek veikta publiski pieejamas zonas sistemātiska videonovērošana. Papildus regulā noteiktajam arī uzraudzības iestāde, piemēram, Datu valsts inspekcija, izstrādās sarakstu ar tiem apstrādes darbības veidiem, attiecībā uz kuriem ir jāveic novērtējums.

Tāpat kā FPDAL, arī regula ietver datu aizsardzības speciālista institūta regulējumu, tomēr regulā datu aizsardzības speciālista iecelšana noteiktos gadījumos ir noteikts kā pārziņa pienākums, piemēram, ja apstrādi veic publiska iestāde vai ja tiek apstrādāti īpašo kategoriju personas dati plašā mērogā.

Regula paredz pārziņu tiesības iegūt regulas kārtībā akreditētas sertifikācijas struktūras izdotu sertifikātu vai apliecinājumu savas rīcības atbilstībai regulas kārtībā apstiprinātam rīcības kodeksam. Šāds sertifikāts vai apliecinājums par atbilstību rīcības kodeksam, ir viens no pierādījumiem, ka pārzinis ievēro regulu un tādā veidā izpilda pārskatatbildības principu.

Jauni nosacījumi personas datu apstrādes pamatojumam

Regula paredz tādus pašus personas datu apstrādes pamatojumus kā FPDAL un direktīva. Tomēr regula precizē atsevišķu pamatojumu piemērošanas nosacījumus. Piemēram, pārzinim saskaņā ar regulas 7. panta 1. punktu ir jāspēj uzskatāmi parādīt, ka datu subjekts ir piekritis savu personas datu apstrādei. Regula ietver arī nosacījumu, ka piekrišanai nevajadzētu kalpot par derīgu juridisko pamatu personas datu apstrādei, ja datu subjekta un pārziņa attiecībās pastāv skaidra nevienlīdzība. Savukārt attiecībā uz pārziņa vai trešās personās leģitīmajām interesēm, kā pamatojumu personas datu apstrādei (regulas 6. panta 1. punkta f) apakšpunkts, FPDAL 7. panta 6. punkts), regulas 6. pants paredz, ka leģitīmās intereses nevar būt pamatojums, ja datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama personas datu aizsardzība, ir svarīgākas par šādām interesēm. Līdz ar to šis ir jauns pienākums - pirms šī pamatojuma izmantošanas pārzinim ir jāveic interešu samērīguma izvērtējums un tas jādokumentē. Piemēram, pirms videonovērošanas veikšanas kā personas datu apstrādes uzsākšanas, lai tādā veidā komersants nodrošinātu sava īpašuma aizsardzību, komersantam jāizvērtē un jāfiksē šis izvērtējums, tajā apliecinot, ka videonovērošanas izmantošanas rezultātā ieguvums būs lielāks un svarīgāks, salīdzinot ar videonovērošanas ietekmi uz fiziskām personām.   

Tātad līdz regulas piemērošanai ir jāizvērtē esošie personas datu apstrādes pamatojumi, jānodrošina pamatojuma atbilstība regulai vai, nespējot to nodrošināt,  konkrētā personas datu apstrāde jāpārtrauc, piemēram, personas datus dzēšot.  

 Jaunas un precizētas datu subjektu tiesības

Regulas 13., 14. pants paredz lielāku apjomu informācijai, kura pārzinim ir jāsniedz datu subjektam personas datu iegūšanas gadījumā. Līdz ar to pārziņiem ir jāveic nepieciešamās izmaiņas anketās, veidlapās, interneta lapās, kuras tiek izmantotas personas datu iegūšanai, precizējot privātuma atrunas.

Regula, tāpat kā FPDAL, paredz datu subjekta tiesības piekļūt saviem personas datiem, pieprasīt pārzinim savu personas datu labošanu, precizēšanu, dzēšanu, apstrādes pārtraukšanu, tomēr regulā (15., 16., 17., 21. pants) ir precizēta kārtība šo pieprasījumu izskatīšanai un izpildīšanai. Savukārt regulas 18., 19., 20. un 22. pants paredz jaunas datu subjektu tiesības, piemēram, datu subjektiem ir tiesības vērsties pie pārziņa un pieprasīt ierobežot apstrādi, nodrošināt datu pārnesamību (datu pārsūtīšanu no viena pakalpojuma sniedzēja citam pēc datu subjekta lūguma).

Līdz ar to pārziņiem ir jāievieš procedūras, jādokumentē tās un jāapmāca darbinieki par jaunajām un precizētajām datu subjektu tiesībām.  

Pastiprināta pārziņa atbildība par personas datu operatora – apstrādātāja – izvēli

Regulas 28. pants paredz pārziņa tiesības personas datu apstrādi uzdot veikt apstrādātājam (saskaņā ar FPDAL 2. panta 6. punktu – personas datu operatoram) pārziņa vārdā. Saskaņā ar regulas 28. panta 1. punktu pārzinis izmanto tikai tādus apstrādātājus, kas sniedz pietiekamas garantijas. Pārzinim ne tikai ir jānoslēdz rakstveida līgums ar apstrādātāju, bet jau pirms līguma noslēgšanas ir jāpārliecinās par pietiekamu garantiju esamību. Nekonstatējot šādas garantijas, pārzinim nav atļauts personas datu apstrādi uzticēt konkrētajam apstrādātājam.

Regulas kārtībā akreditētas sertifikācijas struktūras apstrādātājam izdots sertifikāts vai apliecinājums par apstrādātāja rīcības atbilstību regulas kārtībā apstiprinātam rīcības kodeksam var būt kā elements, ar ko apliecina pietiekamās garantijas. Tomēr regula neierobežo pārziņa tiesības par pietiekamu garantiju esamību pārliecināties arī citā veidā, rēķinoties, ka gadījumā, ja garantijas netiks atzītas par pietiekamām vai ja vispār netiks konstatētas, pārziņa veiktā personas datu nodošana apstrādātājam var tikt atzīta par nelikumīgu un pārzinis var tikt saukts pie atbildības par apstrādātāja veikto regulas pārkāpumu. Pārzinim rūpīgi jāpārliecinās par pietiekamo garantiju esamību un jādokumentē šis process.

Pārziņiem ir jāpārskata esošie līgumi ar personas datu operatoriem, nodrošinot apliecinājumu par pietiekamu garantiju esamību un līguma satura atbilstību regulai, jo regulas 28. panta 3. punkts, salīdzinot ar FPDAL, paredz ievērojami detalizētāku pārziņa un apstrādātāja līguma saturu. 

Vairākos gadījumos regula tieši nosaka apstrādātāja pienākumus un atbildību.  Arī apstrādātājiem ir jāizvērtē un jānodrošina savas rīcības atbilstība ne tikai līgumam ar pārzini, bet arī regulai.

Jauns pienākums - personas datu aizsardzības pārkāpumu identificēšana un reaģēšana uz tiem

Regulā ir noteikts pienākums pārziņiem ieviest un īstenot mehānismu personas datu aizsardzības pārkāpumu savlaicīgai identificēšanai, novēršanai un reaģēšanai uz tiem, tai skaitā regulā noteiktā termiņā un kārtība paziņojot par pārkāpumu uzraudzības iestādei un arī datu subjektiem, kā arī rīkojoties, lai pēc iespējas mazinātu pārkāpuma negatīvās sekas datu subjektiem.

Pārziņiem ir jāievieš tehniski pasākumi, procedūras, jādokumentē tās, piemēram, darbiniekiem iekšējos noteikumos skaidri nosakot, kā rīkoties mobilā telefona vai planšetdatora zādzības vai nozaudēšanas gadījumā, un jāapmāca darbinieki par šo pārziņa pienākumu. 

Kā norādījusi raksta autore U.Petrauska, sagatavoties šīm izmaiņām jāsāk jau patlaban.

Visu rakstu varat lasīt žurnāla BILANCES JURIDISKIE PADOMI augusta numurā.

Par žurnāla iegādi vai abonēšanu sazinieties ar izdevniecības Klientu servisu: Tālr. 67 606 110, E-pasts: [email protected], Skype: lid.lv.