Ceturtdien, 12. oktobrī, Valsts sekretāru sanāksmē tika atbalstīts Tieslietu ministrijas izstrādātais likumprojekts – “Personas datu apstrādes likums”, kas nosaka Vispārīgās datu aizsardzības regulas (turpmāk – Regulas) piemērošanu Latvijā. Regulas piemērošana tiks uzsākta 2018. gada 25. maijā, nosakot vienādus noteikumus personas datu aizsardzībai visā Eiropas Savienībā (ES).
Tieslietu ministrijas valsts sekretārs Raivis Kronbergs, uzsverot jaunā Personas datu apstrādes likuma nozīmi, atzīmē: “Personas datu apstrādes likums ievieš skaidrību par to, kā Vispārīgā datu aizsardzības regula tiks piemērota Latvijā. Tā kā personas datu apstrādes pamatprincipi nemainās, bet ar Regulu būtiski paplašina katras personas datu tiesības, šis ir piemērots brīdis, lai katra iestāde un uzņēmums izvērtētu, vai veiktā personas datu apstrāde atbilst personas datu aizsardzības pamatprincipiem, un veiktu visus iespējamos uzlabojumus, lai nodrošinātu pienācīgu personas datu aizsardzību”.
2016. gada 27. aprīlī tika pieņemta Eiropas Parlamenta un Padomes regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti, ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula). Šobrīd personas datu aizsardzības joma tiek regulēta Fizisko personu datu aizsardzības likumā, kas ar Regulas piemērošanas uzsākšanu zaudēs spēku.
Pašreiz ES regulējums personas datu aizsardzības jomā nav harmonizēts un katrā dalībvalstī tiek regulēts atšķirīgi, līdz ar to Regula paredz jau pastāvošo personas datu aizsardzības principu modernizēšanu, izveidojot vienotus personas datu aizsardzības noteikumus, kas būtu spēkā visā ES teritorijā. Vienlaikus ir paredzēts saglabāt līdz šim personas datu aizsardzības jomā ievērotos pamatprincipus – vienotā tirgus uzlabošanu, efektīvu indivīda pamattiesību un brīvību ievērošanu.
Regula paredz šādus uzlabojumus vienotā tirgus vidē:
- Vienotus nosacījumus personas datu aizsardzībai ES līmenī, kas attiecināmi uz apstrādi, uzturēšanu, nodošanu citiem uzņēmumiem un arhivēšanu.
- tiks nodrošināta vienas pieturas aģentūras principa piemērošana uzņēmējiem: kompānijām būs jāsadarbojas tikai ar vienu datu aizsardzības uzraugošo iestādi, lai nodrošinātu vienkāršāku un lētāku uzņēmējdarbību ES.
- Vienotus noteikumus visām kompānijām, neskatoties uz to reģistrācijas valsti.
Regula vienlaikus nosaka pienākumu dalībvalstīm noteikt datu uzraudzības institūciju, kuras kompetencē būtu Regulas noteikumu uzraudzība. Latvijā par šādu uzraudzības iestādi tiek noteikta Datu valsts inspekcija (DVI), kurai līdz ar Regulas piemērošanu jākļūst par neatkarīgu iestādi. Likumprojektā ir iekļauti noteikumi par DVI neatkarīgo statusu, kompetenci, direktora iecelšanas noteikumiem, darbinieku pilnvarām, lēmumu pieņemšanas procedūru.
Tāpat Regulā tiek paredzēts personas datu aizsardzības speciālista institūts, kas būtu attiecināms uz visām dalībvalstīm. Proti, obligāts pienākums ir iecelt personas datu aizsardzības speciālistu noteiktajos gadījumos, lai nodrošinātu iespēju pārzinim izvēlēties piemērotāku datu aizsardzības speciālistu, kam ir pietiekamas zināšanas, lai pildītu datu aizsardzības speciālista pienākumus. Likumprojekts paredz kārtību, kādā persona var, nokārtojot eksāmenu, iegūt datu aizsardzības speciālista statusu un iekļūt DVI uzturētajā sarakstā.
Regula paredz iespēju izveidot personas datu aizsardzības sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus, lai uzskatāmi parādītu, ka apstrādes darbības, ko veic pārziņi un apstrādātāji, atbilst Regulai, ņemot vērā mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības. Ņemot vērā Regulā noteikto, likumprojektā ir paredzēta kārtība un noteikumi, kas būtu jāievēro, lai iegūtu sertifikācijas institūcijas statusu un nodrošinātu datu aizsardzības sertifikātu un zīmogu izsniegšanu. Likumprojektā ir paredzēts, ka DVI var pati izsniegt datu aizsardzības sertifikātu vai zīmogu, kamēr nav izsniegta licence sertifikācijas institūcijai.
Tāpat, lai veicinātu Regulas atbilstošu piemērošanu, ņemot vērā dažādas apstrādes nozaru specifiskās iezīmes un mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības, Regula paredz iespēju pārziņiem izstrādāt rīcības kodeksus.
Attiecībā uz īpašās apstrādes situācijām, īstenojot Regulā noteikto pienākumu dalībvalstīm, likumprojektā ir iekļauti noteikumi par īpašām apstrādes situācijām, kas attiecas uz citu indivīda pamattiesību īstenošanu, atkāpēm, kas attiecas uz apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, valsts klasificēto datu apstrādi. Likumprojekts paredz specifiskus noteikumus un izņēmumus attiecībā uz personas datu apstrādi žurnālistikas vajadzībām un akadēmiskās, mākslinieciskās vai literārās izpausmes vajadzībām. Tāpat likumprojektā tiek paredzēts ierobežojums attiecībā uz informācijas sabiedrības pakalpojumu tiešu sniegšanu bērniem (piem., sociālo tīklu lietošana (draugiem.lv, Facebook u.c.), mobilo aplikāciju lietošana), proti, nosakot, ka bērnam, kas ir jaunāks par 13 gadiem, nepieciešama vecāku vai aizbildņu atļauja.
Regulas 83. panta pirmā daļa paredz, ka katra uzraudzības iestāde nodrošina, ka par Regulas pārkāpumiem saskaņā ar šo pantu paredzēto administratīvo naudas sodu piemērošana katrā konkrētā gadījumā ir iedarbīga, samērīga un atturoša. Administratīvie sodi par Regulas pārkāpumiem ir noteikti Regulā un tie netiks iekļauti nacionālajā regulējumā.
Regulas nosaka, ka katra dalībvalsts var izstrādāt noteikumus par to, vai un līdz kādam apjomam administratīvos naudas sodus var piemērot publiskām iestādēm un struktūrām, kuras izveidotas minētajā dalībvalstī.
Ar informatīvu video par datu aizsardzību iespējams iepazīties ŠEIT.
Ar likumprojektu iespējams iepazīties ŠEIT.
Alise Adamane
Tieslietu ministrijas
Komunikācijas un tehniskā nodrošinājuma nodaļas
Sabiedrisko attiecību speciāliste
Tālrunis: 67036920
E-pasts: Alise.Adamane@tm.gov.lv