2016.gada 27.aprīlī tika pieņemta Eiropas Parlamenta un Padomes regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (turpmāk – “Regula”).
Ar Regulu ir modernizēts fizisko personu datu apstrādes regulējums Eiropas Savienībā. Regula ir tieši piemērojama, tā ir saistoša juridiskām un fiziskām personām, kā arī publiskā sektora iestādēm. Regula paredz jaunas tiesības datu subjektiem un jaunus pienākumus datu pārziņiem attiecībā uz darbinieku un klientu datu apstrādi, kā arī paredz bargus sodus Regulas prasību neievērotājiem.
Būtiskākie jaunumi, kuri ieviesti ar Regulu:
- Datu pārzinim
ir pienākums uzturēt iekšēju datu apstrādes darbību reģistru;
- Palielināts
datu subjektam sniedzamās informācijas apjoms pirms datu apstrādes uzsākšanas;
- Stingrākas
prasības attiecībā uz fiziskās personas piekrišanu datu apstrādei (piekrišanas forma,
personas iespējas pieņemt lēmumu no brīvas gribas u.c.);
- Datu subjekta
tiesības pieprasīt savu datu pārnešanu pilnā apmērā, tiesības “tikt aizmirstam”,
tiesības iebilst pret datu apstrādi;
- Datu pārziņa
pienākums nodrošināt tehnisku iespēju visus tā rīcībā esošos personas datus
ierakstīt datu nesējā un nodot datu subjektam, kā arī tos dzēst pēc datu
subjekta pieprasījuma;
- Ieviestas vadlīnijas
un standartklauzulas personas datu apstrādei un nosūtīšanai;
- Noteiktos
gadījumos datu pārzinim pirms datu apstrādes uzsākšanas ir pienākums iecelt
datu aizsardzības speciālistu;
- Datu subjekta
tiesības pieprasīt materiālā un morālā kaitējuma atlīdzību no datu pārziņa;
- Novērtējuma
par ietekmi uz datu aizsardzību veikšana, kas atsevišķos gadījumos būs jāveic obligāti;
- Lai datu
pārzinis tiktu atbrīvots no atbildības, tam ir pienākums pierādīt, ka tas ir
ievērojis Regulas prasības (pastāv iekšējais regulējums, kas tiek ievērots
atbilstoši Regulas prasībām);
- Jaunas
prasības attiecībā uz datu pārziņa tiesībām sadarboties ar datu apstrādātājiem,
kā arī līgumiem starp datu pārzini un datu apstrādātāju;
- Jaunas
prasības attiecībā uz datu nodošanu uz trešajām valstīm;
- Jauna
uzraudzības, kompetentā iestāde, kurai ir jāziņo par datu apstrādes pārkāpumiem
– Eiropas Datu aizsardzības kolēģija.
Sankcijas par Regulas prasību neievērošanu
- Administratīvais
sods par Regulā noteikto prasību neievērošanu var tikt noteikts līdz 4% no
personas iepriekšējā pārskata gadā visā pasaulē gūtā apgrozījuma vai līdz 20
miljoniem EUR, atkarībā no tā, kura summa ir lielāka (šobrīd līdz 14 000 EUR).
Ņemot vērā apjomīgās izmaiņas, Regula būs piemērojama no 2018.gada 25.maija, tādējādi dodot iespēju datu pārziņiem un apstrādātājiem sagatavošanās periodu, lai nodrošinātu datu apstrādes atbilstību Regulas prasībām. Šobrīd līdz Regulas piemērošanai ir atlicis mazāk kā viens gads. Līdz ar to, personām, kuras veic fizisko personu datu apstrādi un līdz šim nav izvērtējušas savas darbības atbilstību Regulas prasībām, ir ieteicams to darīt nekavējoties, lai paspētu jaunās prasības ieviest un izvairītos no bargiem sodiem.
