25. maijā visā Eiropas Savienībā (ES), tostarp arī Latvijā, tiks piemērota Vispārīgā datu aizsardzības regula (GDPR), nosakot vienādus noteikumus personas datu aizsardzībai visās ES dalībvalstīs. Regulā tiek modernizēti jau pastāvošie personas datu apstrādes principi, vienlaikus izveidojot vienotus personas datu aizsardzības noteikumus visā Eiropas Savienības teritorijā. Regulā ir saglabāti līdz šim personas datu aizsardzības jomā iedibināti pamatprincipi.
Regula paredz šādus uzlabojumus vienotā tirgus vidē:
vienoti nosacījumi personas datu aizsardzībai Eiropas Savienības līmenī, kas attiecināmi uz apstrādi, uzturēšanu, nodošanu citiem uzņēmumiem un arhivēšanu;
vienas pieturas aģentūras principa piemērošana uzņēmējiem: kompānijām būs jāsadarbojas tikai ar vienu datu aizsardzības uzraugošo iestādi, tādējādi nodrošinot vienkāršāku un lētāku uzņēmējdarbību Eiropas Savienībā;
vienoti noteikumi visām kompānijām, neraugoties uz to reģistrācijas valsti.
Pašlaik personas datu aizsardzības jomu regulē Fizisko personu datu aizsardzības likums, kas ar regulas piemērošanu zaudēs spēku.
Vai un kas mainīsies iedzīvotājiem no 25.maija?
(Uz jautājumiem atbild jurists Jānis Bulis)
Pēc būtības nekas, varbūt atsevišķos gadījumos kādā lielveikalā «nestrādās» atlaižu karte, kamēr persona to neatjaunos – nedos atkal piekrišanu savu datu apstrādei. Ja mazliet nopietnāk, tad iedzīvotājiem uzņēmēji «mācīs» (prasīs ielikt «ķeksi» datu apstrādei, nevis paši liks to, interneta portālos liks iepazīties ar datu apstrādes politikām, kamēr «sapratīsi» ar klikšķi, u.tml.) vairāk rūpēties par saviem datiem, jo uzņēmēji spiesti ievērot regulu. Ja pavisam nopietni, tad persona varēs prasīt uzņēmējiem par savu datu apstrādi (izmantošanu) – vai vispār tie ir pie uzņēmēja, kāds mērķis to apstrādei, prasīt tos izdzēst u.c.
Bet personām tomēr jāatceras, ka šī regula neattiecas uz gadījumiem, ja personu datus izmanto žurnālistikas vajadzībām. Daudzos gadījumos personas pārprot šo aspektu un iedomājas, ka regula piespiedīs žurnālistus neuzdot nepatīkamus jautājumus un nepublicēt ziņas vai viedokli, un uzreiz dzēst visu par viņu pieejamo informāciju medijā. Jā, medijam, protams, arī ir saistoša regula, ja datu apstrāde neattiecas uz žurnālistikas vajadzībām.
Vai un kas mainīsies uzņēmumiem no 25.maija?
Uzņēmējiem viss iespējamais regulas piemērošanā ir jāizdara līdz šodienas plkst.00.00. Savukārt ar rītdienu uzņēmējiem jāsargā personu dati vēl rūpīgāk, kā arī, ja personu interesēs viņa datu esamība kādā uzņēmumā, tad, no personas saņemot attiecīgu iesniegumu, būs jāatbild personai par datu (ne)esamību uzņēmumā, to dzēšanu, to pārnešanu uz citu uzņēmumu u.c.
Kā datu regula vērtējama kopumā un vai tā sasniegs savu mērķi?
Regulas pozitīvais aspekts ir radīt vienotu izpratni/piemērošanu personu datu aizsardzībai Eiropas Savienībā, tajā pašā laikā radot katrai valstij iespēju pielāgot vairākus regulas momentus, ņemot vērā valsts «izpratni».
Neviennozīmīgs aspekts ir tās ieviešana/piemērošana dzīvē:
LR vēl nav pieņemti normatīvie akti regulas pilnvērtīgai darbībai, tie «ceļo» Saeimā … lasījumos – kā izrādās, valsts var atļauties kavēties, bet uzņēmējiem un valsts iestādēm jau tā jāievieš dzīvē, nesagaidot valsts nostāju svarīgajos jautājumos. Ja valsts nostāja būs cita nekā normatīvā akta projektā, tad uzņēmēji būs spiesti atkal ieguldīt resursus izmaiņās.
Tās radītā ažiotāža – forumos, semināros tiek, pamatoti, izcelta personu datu aizsardzības vajadzība, bet vienlaikus vienos un tajos pašos punktos ir vairāki desmiti viedokļu, kā piemērot normu, un neviens nevar būt pārliecināts 100%, ka viņa viedoklis būs pareizs. Kas secīgi rada bailes būt pirmajam, kuru izcels «gaismā» paraugprāvā un uzliks anormālu sodu.
Pozitīvais Datu valsts inspekcijas (kas LR būs uzraugošā iestāde) teiktais ir, ka inspekcija sākotnēji darbosies pēc principa «sākumā konsultē», bet jāņem vērā, ka tā ir valsts iestāde un galarezultātā ierēdnis būs spiests arī oficiāli reaģēt – pieņemt lēmumu – sodīt vai ne. Kā ir pie mums ar šo jomu Latvijā, lai katrs spriež pats...
Jau šobrīd regula ir sasniegusi savu mērķi – lielākā daļa uzņēmēju ir pārkārtojuši savu darbību personu datu apstrādē – vairāk vērtē, kādi dati ir nepieciešami.. vai patiešām tie nepieciešami u.c., datu saglabātībā. Bet, kā jau iepriekš minēju, tad pārāk lielā ažiotāža un striktie nosacījumi un iespējamie sodi (līdz 20 miljoniem eiro) rada nevajadzīgu negatīvu nokrāsu tās piemērošanā nākotnē.
Jāvērtē, kā regula tiks ieviesta
Baņķieris Ģirts Rungainis TVNET skaidroja, ka nodomi vienmēr ir labi un neviens neiebildīs, ka kopumā tiks pacelts līmenis rūpēm, ar kādām datu lietotāji apiesies ar uzticētajiem privātpersonu datiem. Tādā ziņā regula ir solis pareizajā virzienā.
Tomēr bažas rada tas, kā regula tiks interpretēta un ieviesta dzīvē Latvijā, kāda būs prakse, kāda pēc tam būs tiesu prakse un kā notiks uzraudzība. «Velns ir detaļās,» viņš akcentēja.
Tāpat viņš norādīja, ka nepieciešams vērtēt, kā regula palīdzēs/nepalīdzēs dažādiem jauno tehnoloģiju uzņēmumiem, kuri, lai arī iepriekš Eiropā tādu bija daudz, pašlaik bāzējas ASV.
«Par Latviju ir jautājums, pastāv riski. Pašlaik Latvijā ir negatīva pieredze, piemēram, maksātnespējas administrācijas institūcija, ir tendence veidot represīvus likumus, iestādes, veidot uzņēmējdarbības reketu,» skaidroja Rungainis, akcentējot, ka jāredz, kā regulas ieviešana izvērtīsies – pašlaik ir risks, ka tā varētu būt negatīva pieredze.
23% Latvijas uzņēmumu nezina, kas ir Vispārīgā datu aizsardzības regula
Kredītu menedžmenta pakalpojumu sniegšanas uzņēmuma Intrum apkopotie dati European Payment Report 2018 pētījuma ietvaros liecina - 27% Eiropas uzņēmumu nav informēti par Vispārīgo datu aizsardzības regulu (GDPR).
Salīdzinot ar pārējām Eiropas Savienības valstīm, 23% Latvijas uzņēmumu apgalvo, ka vispār nezina, kas ir GDPR, bet Lietuva ierindojas starp valstīm, kurām ir visvājākās zināšanas (49%). Igaunijas uzņēmumi ir visinformētākie Baltijā - tikai 21% uzņēmumu nav dzirdējuši par GDPR.
Pētījuma dati atklāj informāciju arī par citām Eiropas Savienības dalībvalstīm - uzņēmumi ar visvājākajām zināšanām par GDPR atrodas Grieķijā (69%), Bosnijā un Hercegovinā (67%), Slovēnijā (62%), Norvēģijā (51%) un Lietuvā (49%). Tai pašā laikā tikai 2% Dānijas, 6% Čehijas, 9% Zviedrijas, 11% Portugāles un 12% Austrijas uzņēmumu apgalvo, ka nezina, kas ir GDPR. Katra astotā jeb 12% no lielajām korporācijām, kas nodarbina 250 vai vairāk darbinieku, apgalvo, ka nekad neesot pat dzirdējuši par GDPR.
Vidējās izmaksas, lai ieviestu obligātās GDPR prasības mazo un vidējo uzņēmumu segmentā, ir 8 tūkst. EUR, bet lielajām korporācijām jārēķinās līdz pat 65 tūkst. EUR lielām investīcijām. Kopsummā tas veido 198 miljardus EUR no 26 miljoniem Eiropas Savienības uzņēmumu.
Eiropas Savienība (ES) ir izstrādājusi un pieņēmusi Vispārīgo datu aizsardzības regulu, kuras uzstādījumiem līdz 2018. gada 25. maijam ir obligāti jāpiemērojas visiem uzņēmumiem un organizācijām, kas apstrādā datus par ES pilsoņiem. GDPR nosaka vienādus nosacījumus visām Eiropas Savienības dalībvalstīm, un to neievērošanai būs tālejoša ietekme.
Pamatprincipi personas datu apstrādē, salīdzinot ar spēkā esošo Fizisko personu datu aizsardzības likumu, nemainās. Pastiprinās pārziņa (tas, kurš lemj par datu apstrādes nolūkiem un līdzekļiem jeb tas, kurš lemj, kāpēc un kā dati jāapstrādā) atbildības aspekti, nodrošinot papildu garantijas godprātīgai un tiesiskai datu apstrādei, to panākot citastarp arī ar datu subjekta (fiziska persona, kuru var tieši vai netieši identificēt) kontroles tiesību paplašināšanu.
Regula paredz pienākumu Eiropas Savienības dalībvalstīm noteikt datu uzraudzības institūciju, kuras kompetencē būs regulas noteikumu uzraudzība. Latvijā par šādu uzraudzības iestādi tiek noteikta Datu valsts inspekcija, kura arī līdz šim ir veikusi personas datu uzraudzību.
Datu valsts inspekcija, izvērtējot datu aizsardzības pārkāpumus, piemēros principu «konsultē vispirms», kura mērķis ir panākt, ka uzņēmējiem ir skaidri saprotami «spēles noteikumi» jeb piemērojamās prasības.
Datu valsts inspekcija nodrošinās, ka par regulas pārkāpumiem paredzēto administratīvo naudas sodu piemērošana katrā konkrētā gadījumā ir iedarbīga, samērīga un atturoša.
Maksimālās sodu sankcijas par regulas pārkāpumiem ir noteiktas regulā. Tādējādi Administratīvo pārkāpumu kodeksā paredzētie sodi par personas datu aizsardzības pārkāpumiem, sākot ar regulas piemērošanas sākšanas brīdi, vairs netiks piemēroti attiecībā uz privātpersonām.
Vienlaikus regula paredz: ja naudas sods, kādu varētu piespriest, radītu nesamērīgu slogu fiziskai personai, naudas soda vietā varēs izteikt rājienu.
Tāpat regulā paredzēts obligāts pienākums iecelt personas datu aizsardzības speciālistu, ja apstrādi veic valsts iestāde vai struktūra, uzņēmums, kas apstrādā sensitīvus datus, kā arī datus par sodāmību un noziedzīgiem nodarījumiem un datu pārziņa vai apstrādātāja pamatdarbība sastāv no apstrādes darbībām, kurām to būtības, apmēra un/vai nolūku dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana.
