Vispārīgā datu aizsardzības regula (GDPR) ikdienas praksē
2018.gada 25.maijā stājās spēkā Vispārīgā datu aizsardzības regula jeb GDPR (General Data Protection Regulation) – Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016.gada 27.aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti, ar ko atceļ Direktīvu 95/46/EK (turpmāk tekstā – Regula).
Papildus jāņem vērā, ka 2018.gada 5.jūlijā stājās spēkā Fizisko personu datu apstrādes likums, kurš aizstāja spēku zaudējušo Fizisko personu datu aizsardzības likumu. Fizisko personu datu apstrādes likums regulē tikai fizisko personu datu aizsardzību nacionālajā līmenī, tas ir, paredzot šim nolūkam nepieciešamās institūcijas, nosakot to kompetenci un darbības pamatprincipus, kā arī reglamentējot datu aizsardzības speciālistu darbību un datu apstrādes un brīvas aprites noteikumus.
Tādējādi ar Regulas piemērošanu un tās noteikumu iestrādi nacionālajā regulējumā datu pārzinim – fiziskai vai juridiskai personai, kas apstrādā personas datus profesionāliem vai komerciāliem nolūkiem, – ievērojami pastiprinās atbildība un pienākums nodrošināt, ka personas datu apstrāde ir likumīga, godprātīga un pārredzama.
To cita starpā paredzēts īstenot, palielinot paša datu subjekta (personas, kuras dati tiek apstrādāti) tiesības kontrolēt to, kas, kādā apjomā un kādiem nolūkiem apstrādā tās personas datus. Viens no veidiem, kā realizēt praksē personas datu apstrādi, ievērojot regulas pamatprincipus un tiesiskos pamatus ir slēgt personas datu apstrādes līgumu.
Regula skaidri nosaka datu subjekta tiesības, kuras jāievēro pārzinim un apstrādātājam. To neievērošana paredz administratīvus naudas sodus apmērā līdz EUR 20 000 000 vai, uzņēmuma gadījumā, līdz 4% no tā kopējā iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks.
Regulā ietvertās būtiskākās definīcijas
Personas dati ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu («datu subjekts») (Izplatītākie identifikatori: vārds uzvārds; personas kods; atrašanās vieta; nacionalitāte; ģenētiskie dati, kas attiecas uz fiziskas personas pārmantojamām vai iegūtajām ģenētiskajām pazīmēm un sniedz unikālu informāciju par personas fizioloģiju un veselību; biometriskie dati – personas dati pēc specifiskas tehniskas apstrādes, kuri attiecas uz fiziskas personas fiziskajām, fizioloģiskajām vai uzvedības pazīmēm, kas ļauj veikt cilvēka unikālu identifikāciju (piemēram sejas attēli vai pirkstu nospiedumi). Salīdzinājumā ar iepriekšējo normatīvo regulējumu Regulā precīzāk ir definēti veselības dati – tie ir personas dati, kas saistīti ar fiziskas personas fizisko vai garīgo veselību, tostarp veselības aprūpes pakalpojumu sniegšanu, un kas atspoguļo informāciju par tās veselības stāvokli. Regula ievieš jaunu jēdzienu līdzšinējo sensitīvo datu vietā – īpašas kategorijas personas dati. Tie ir ģenētiskie dati, biometriskie dati, kā arī dati, kas atklāj rases, etnisko piederību, politiskos uzskatus, reliģisko, filozofisko pārliecību, dalību arodbiedrībās, veselības dati, dati par fiziskas personas dzimumdzīvi vai seksuālo orientāciju. Īpašas kategorijas personas datu apstrāde ir aizliegta, taču ir atsevišķi izņēmumi, kad to apstrāde ir pieļaujama. Šie izņēmumi ietverti Regulas 9.panta otrajā daļā. Tātad šo datu apstrāde ir pieļaujama tikai tad, ja apstrādei ir tiesisks pamats, turklāt personai, kas šos datus apstrādā, jāievēro dienesta noslēpums.
Datu subjekts ir identificēta vai identificējama fiziska persona (piemēram, uzņēmuma darbinieks, līgumslēdzējs, klients, sadarbības partneru kontaktpersonas un citas personas). Identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz kādu identifikatoru, piemēram, vārdu, uzvārdu, atrašanās vietas datiem.
Personas datu apstrāde ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem. (Piemēram, personas datu vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana).
Regula neattiecas uz tādu datu apstrādi, kas skar juridiskas personas datus, piemēram, informāciju par uzņēmuma nosaukumu un kontaktinformāciju.
Regulas noteikumi neattiecas uz mirušu personu datiem. Regulas noteikumus nepiemēro tādai personas datu apstrādei, kuru fiziska persona veic tikai personiskām vai mājsaimniecības vajadzībām, ar nosacījumu, ka tā nav saistīta ar profesionālu vai komerciālu darbību.
Pārzinis ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus.
Apstrādātājs ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus.
Tātad apstrādātāju no pārziņa atšķir tas, ka apstrādātājs pārziņa uzdevumā apstrādā datus uz līguma vai cita tiesiskā pamata. Savukārt pārzinis ir tas, kurš ir ievācis un glabā fizisko personu datus kādam noteiktam mērķim.
Personas datu apstrādes pamatprincipi
Līdzšinējie personas datu apstrādes pamatprincipi – likumības un godprātības princips – paliek nemainīgi, proti, jebkurai personas datu apstrādei ir jābūt tiesiskam pamatam (piem., datu subjekta piekrišana, līgums, leģitīmās intereses un citi Regulas 6. pantā noteiktie tiesiskie pamati). Pārzinis, veicot personas datu apstrādi, nodrošina godprātīgu attieksmi pret personas datiem. Godprātības princips ietver arī visus pārējos principus, jo tie visi ir vērsti uz to, lai pārzinis nodrošinātu godīgu attieksmi pret datu subjektu – personu, kuras dati tiek apstrādāti. Papildus noteikts pārredzamības princips.
Nolūka ierobežojumi nozīmē, ka dati jāvāc konkrētiem, skaidriem un leģitīmiem nolūkiem, un to turpmāko apstrādi nevar veikt ar minētajiem nolūkiem nesavietojamā veidā; turpmākā datu apstrāde arhivēšanai, zinātnes un vēstures pētniecībai, statistikai nav nesavietojama ar sākotnējo mērķi.
Datu minimizēšana nozīmē to, ka datiem jābūt atbilstīgiem un adekvātiem, un datu vākšanā un uzglabāšanā jāievēro datu minimizēšanas princips (jāuzglabā pēc iespējas mazāk datu un nav pieļaujama datu uzglabāšana ar mērķi, ka varbūt kādreiz tie noderēs).
Precizitātes princips nozīmē, ka datiem jābūt precīziem, un pārzinim jānodrošina, lai neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti.
Glabāšanas ierobežojums nosaka – ja dati tiek glabāti veidā, kas pieļauj identifikāciju, tad jānodrošina, lai tos neglabā ilgāk, kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā (piemēram, grāmatvedības datus uzglabā 10 gadus).
Ievērojot integritātes un konfidencialitātes principu, tiek nodrošināts, ka dati tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus (piekļuve datoriem tiek nodrošināta ar drošām parolēm, tiek uzstādītas pretvīrusu programmas, lai novērstu prettiesisku piekļūšanu datiem vai to nozaudēšanu).
Rokasgrāmatā detalizētāk par datu subjekta tiesībām, jauno jedzienu "profilēšana" un līguma izstrādes paraugu.
10. Personas datu apstrāde un līgumi
10.1. Personu datu apstrādes pamatprincipi un tiesiskie pamati
10.1.1. Regulā ietvertās būtiskākās definīcijas 10.1.2. Personas datu apstrādes pamatprincipi 10.1.3. Personas datu apstrādes tiesiskie pamati 10.1.4. Datu subjekta tiesības
10.1.4.1. Tiesības uz informāciju 10.1.4.2. Tiesības piekļūt saviem datiem 10.1.4.3. Tiesības uz datu dzēšanu jeb "tiesības tikt aizmirstam" 10.1.5. Bērnu tiesības 10.1.6. Profilēšana 10.2. Personas datu apstrādes līgums