Ivo Krievs- Fizisko personu datu aizsardzības speciālists, CIPP/E
‘‘Mācību centrs Liepa’’ Personas datu aizsardzības speciālistu apmācību lektors
2016.gada 27.aprīlī Eiropas Parlaments pieņēma jaunu regulu par fizisku personu aizsardzību uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK jeb saukta arī par Vispārīgo datu aizsardzības regulu.
Vispārīgā datu aizsardzības regula nostiprina esošos fizisko personu datu aizsardzības principus, tādus kā likumības, proporcionalitātes, mērķa nozīmības principus, kā arī ir izveidojusi jaunus institūtus, kā piemēram, datu subjekta tiesības uz datu pārnesamību, ziņošanu par datu aizsardzības pārkāpumiem uzraudzības iestādei un/vai datu subjektam u.c. Vispārīgā datu aizsardzības regula ir apjomīgs dokuments un paredz būtisku datu apstrādātāju jeb pārziņu iesaisti datu apstrādes likumības nodrošināšanā. Ievērojot iepriekšminēto un to ka lai ieviestu izmaiņas ir nepieciešams laiks, Vispārīgā datu aizsardzības regula ir noteikusi pārejas periodu, kurā pārziņiem ir jānodrošina savu veikto datu apstrādes atbilstību Vispārīgās datu aizsardzības regulas prasībām un tas bija 2 gadi, lai gan uz šo brīdi jau atlicis mazāk kā viens gads, jo Vispārīgā datu aizsardzības regula tiks piemērota jau no 2018.gada 25.maija.
Kas ir jāpaspēj pārziņiem līdz šim brīdim? Pārzinim ir jāpārskata savas datu apstrādes – vai tās tiek veiktas likumīgiem mērķiem un pamatojoties uz likumīgiem pamatojumiem, kā arī vai apstrādāto datu apstrāde nav pārmērīga. Tāpat ir jāpārskata tehniskie risinājumi un procedūras, lai nodrošinātu apstrādājamo fizisko drošību, kā arī jāpārliecinās vai būs iespējams realizēt Datu subjekta tiesības, piemēram, tikt pienācīgi informētam, iegūt par sevi savāktos datus, pārnest datus, attiekties no profilēšanas, atsaukt piekrišanu u.c. Turklāt Vispārīgā datu aizsardzības regula ievieš jaunu institūtu pārziņa pārskata atbildība, kas nozīmē to, ka pārzinim būs jāspēj uzraugošai iestādei uzskatāmi parādīt, ka tas ievēro Vispārīgās datu aizsardzības regulas prasības.
Neapmaldīties visā šajā jaunajā regulējumā var palīdzēt personas datu aizsardzības speciālists, kurš atsevišķos gadījumos, ja uzņēmums veic veselības datu apstrādi, citu sensitīvu datu apstrādi, sodāmības datu apstrādi, vai veic liela apmēra vai būtisku datu apstrādi, kā arī ja pārzinis ir publiska iestāde vai struktūra būs obligāts. Ņemot vērā to, ka personas datu speciālistu skaits vēl ne būt nav pietiekošs nākotnes vajadzību nodrošināšanai, pārzinim būtu laikus jāsāk domāt par šāda speciālista piesaisti vai jauna speciālista apmācīšanu, jo lai kļūtu par speciālistu tam ir jāatbilst noteiktām kvalifikācijas prasībām un jāapliecina šīs zināšanas ar pārbaudījumu.
Ņemot vērā to, ka Vispārīgās datu aizsardzības prasību ieviešana prasa ievērojamu resursu (darba spēka, finansiālo) novirzīšanu šo normu ievērošanai, uzņēmējiem bieži atrodas citas prioritātes, tomēr vēlētos norādīt, ka šis jautājums ir pietiekami būtisks, kaut vai tāpēc, ka iespējamās sankcijas par regulas neievērošanu var sasniegt 20 miljonus eiro vai pat 4% no uzņēmuma vispasaules apgrozījuma.
Līdz ar to mans ieteikums ir jau laicīgi sākt gatavoties regulas ieviešanai, lai 2018.gada 25.maiju sagaidītu bez liekiem pārdzīvojumiem.
Ar cieņu
Ivo Krievs
Fizisko personu datu aizsardzības speciālists, CIPP/E
SIA “Mācību centrs Liepa” Personas datu aizsardzības speciālistu apmācību lektors