Pēdējā laikā aizvien biežāk publiski izskan jautājums par Eiropas Komisijas iniciēto reformu personas datu aizsardzības jomā, ņemot vērā to, ka plānots 2016.gada jūnijā pieņemt Vispārējo personas datu aizsardzības regulu, kas spēkā varētu stāties 2018.gada jūnijā (vai 2018.gada beigās).
Lai gan no praktiskās piemērošanas ir ļoti daudz neskaidru jautājumu, kā minētā regula tiks prakse īstenota, ir daži pasākumi, kurus ikviens pārzinis jau tagad var īstenot, lai sagatavotos plānotajām izmaiņām personas datu aizsardzības jomā.
Minēšu galvenos aspektus, kurus pārziņiem reformas kontekstā nepieciešams ņemt vērā, lai gan tie ir iekļauti jau pašreiz spēkā esošajos personas datu aizsardzības pamatprincipos, kas izriet no Fizisko personu datu aizsardzības likuma:
- Datu subjekta kontroles tiesības attiecībā uz savu personas datu apstrādi – cik lielā mērā pārzinis1 nodrošina saviem klientiem informāciju par to, kāda informācija (personas dati) tiek par konkrēto klientu apkopota, kādam mērķim (kādēļ), un kādām trešajām personām tā tiek nodota, un attiecīgi vai pārzinis nodrošina datu subjektam iespēju kontrolēt savu datu apstrādi, tai skaitā pieprasot labot neprecīzos personas datus, tos dzēst, ja nepastāv vairs tiesiskais pamats to apstrādei? Tiem pārziņiem, kas personas datu apstrādi veic tikai pamatojoties uz datu subjekta piekrišanu, jāņem vērā, ka šo piekrišanu datu subjekts jebkurā mirklī var atsaukt, un attiecīgi ar to brīdi konkrētajai datu apstrādei vairs nav tiesiska pamata. Regulā paredzēts aizvien lielāku uzmanību pievērst pārziņu veiktajai bērnu datu apstrādei un tam, vai un no kura vecuma bērns varēs dot piekrišanu savai personas datu apstrādei, kādus līdzekļus pārzinis izmantos bērnu datu aizsardzībai digitālajā vidē.
- Vai un kā pārzinis pārliecinās, ka veiktā personas datu apstrāde ir atbilstoša normatīvo aktu prasībām? Pārzinim ir jāpārliecina esošie klienti un potenciālie klienti, ka praksē tiek nodrošinātas personas datu aizsardzības prasības. Ieteikums pārziņiem – definēt personas datu aizsardzības procedūras praksi (skaidrā un saprotamā veidā), skaidrojot, kādi personas dati un kādēļ tiks izmantoti, kam tie tiks nodoti un kādā nolūkā, utml.
- Darbinieku izglītošana par personas datu apstrādes un aizsardzības jautājumiem – vēl nav skaidri definēts, vai un kādos gadījumos ES personas datu reformas kontekstā pārzinim būs obligāts pienākums iecelt personas datu aizsardzības speciālistu, tomēr jau šobrīd spēkā ir prasība pārziņiem izglītot tos darbiniekus, kas veic fizisko personu datu apstrādi, lai tiktu nodrošināta šo datu adekvāta aizsardzība. Jāatceras, ka tieši pārzinis ir atbildīgs par savu darbinieku veikto personas datu apstrādi, tādēļ būtiski ir darbiniekus regulāri izglītot šajā jomā.
- Integrētais privātums (angļu val. – privacy by design) – piedāvājot jebkādu pakalpojumu vai produkciju, kas paredz personas datu apstrādi, pārzinis nodrošina to atbilstību personas datu aizsardzības prasībām. Turklāt svarīgi personas datu aizsardzības prasības ieviest jau sākotnējā programmu, pakalpojumu vai IT produkcijas izstrādes sākumposmā, izvēloties apstrādāt pēc iespējas mazāku personas datu apjomu. Ieteicams īstenot privātuma ietekmes izvērtējumu. Piemēram, kopš 2015.gada 12.maija spēkā ir Ministru kabineta noteikumi Nr.216 “Kārtība, kādā sagatavo un iesniedz personas datu apstrādes atbilstības novērtējumu”, kuri pašlaik ir saistoši valsts un pašvaldību institūcijām un privātpersonām, kurām deleģēti valsts pārvaldes uzdevumi. Šādu novērtējumu var veikt arī privātā sektora uzņēmumi, lai varētu pārliecināties, ka veiktā personas datu apstrāde un aizsardzība ir atbilstoša normatīvo aktu prasībām, kā arī tas palīdz konstatēt, vai pārzinim tiešām nepieciešams veikt personas datu apstrādi konkrētam mērķim.
- Ziņošana par personas datu aizsardzības pārkāpumiem – pašlaik šī prasība ziņot par personas datu aizsardzības pārkāpumiem attiecas tikai uz elektronisko sakaru komersantiem. Pārziņiem ir jāsāk domāt par to, kā par pārkāpumiem tiks paziņots klientiem, kuriem varētu rasties zaudējumi šādu pārkāpumu rezultātā, kā arī par pārkāpumiem būs jāziņo uzraugošajai personas datu aizsardzības iestādei – Datu valsts inspekcijai. Lai pēc iespējas novērstu iespējamos personas datu aizsardzības pārkāpumus, pārziņiem nepieciešams nodrošināt atbilstošus organizatoriskus un tehniskās aizsardzības pasākumus, kas regulāri tiek pārskatīti, lai nodrošinātu nepieciešamo personas datu aizsardzības līmeni.
Ņemot vērā minēto aicinu gan publiskā, gan privātā sektora pārstāvjus aktīvāk sekot līdzi aktualitātēm Vispārējās datu aizsardzības regulas kontekstā, lai savlaicīgi sagatavotos jaunajām prasībām personas datu aizsardzības jomā.
Signe Plūmiņa
Datu valsts inspekcijas direktore