Šī gada pavasarī tika pieņemta un spēkā stājās Eiropas Parlamenta un Padomes 2016.gada 27.aprīļa regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula).
Regula paredz būtiskas izmaiņas personas datu aizsardzības regulējumā. Tādejādi līdz tās piemērošanas uzsākšanai 2018.gada 25.maijā daudziem personas datu apstrādes veicējiem ir jāīsteno vairākas aktivitātes. UNA PETRAUSKA, zvērināta advokāte, KPMG Zvērinātu advokātu biroja vadītāja, raksta par būtiskākām izmaiņām un ieteikumiem to ieviešanai.
Ar regulu tiek ieviests jauns, visaptverošs un nozīmīgs pārziņa pienākums - pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai, ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, nodrošinātu un spētu uzskatāmi parādīt, ka apstrāde notiek saskaņā ar regulu. Ja nepieciešams, minētos tehniskos un organizatoriskos pasākumus pārskata un atjaunina. Līdz ar to pārziņiem, piemēram, komersantiem, būs jānodrošina ne tikai regulai atbilstoša darbinieku un klientu personas datu apstrāde, bet būs jāspēj, uzrādot pierādījumus, apliecināt, vai un kā regula tiek ievērota.
Šī pierādīšana, tādējādi izpildot pārskatatbildības principu, var tikt veikta:
- ieviešot tehniskas un organizatoriskas procedūras un veicot šo procedūru dokumentēšanu (izstrādājot politiku, iekšējās kārtības noteikumus, rīcības kodeksus utt.);
- veicot šo procedūru ievērošanas efektivitātes pārskatīšanu un atjaunināšanu nepieciešamības gadījumā;
- apmācot darbiniekus;
- veicot iekšējos auditus;
- regulā noteiktā kārtībā reģistrējot apstrādes darbības;
- ieceļot personas datu aizsardzības speciālistu;
- regulā noteiktā kārtībā novērtējot ietekmi uz datu aizsardzību;
- veicot datu aizsardzības pēc noklusējuma un integrētās datu aizsardzības pasākumus (piemēram, pseidonimizācija, datu minimizēšana, Regulas kārtībā apstiprinātu sertifikācijas mehānismu izmantošana);
- saņemot apliecinājumu par atbilstību Regulas kārtībā apstiprinātam rīcības kodeksam.
Regulas 30.pants paredz pārziņu un apstrādātāju pienākumu noteiktos gadījumos un noteiktā apjomā veikt apstrādes darbību reģistrēšanu - iekšējs datu plūsmas un tās aizsardzības pasākumu fiksēšanas process, kura ietvaros sagatavotajam reģistram jānodrošina uzraudzības iestādei pieeja pēc tās pieprasījuma.
Regula paredz jaunu pārziņu pienākumu veikt novērtējumu par ietekmi uz datu aizsardzību. Saskaņā ar regulas 35.pantu pārzinim pirms apstrādes ir jāveic novērtējums par to, kā plānotās apstrādes darbības ietekmēs personas datu aizsardzību, ja apstrādes veids, jo īpaši, izmantojot jaunās tehnoloģijas un ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus, varētu radīt augstu risku fizisko personu tiesībām un brīvībām. Piemēram, šāds novērtējums varētu būt jāveic, ja tiek veikta publiski pieejamas zonas sistemātiska videonovērošana. Papildus regulā noteiktajam, arī uzraudzības iestāde, piemēram, Datu valsts inspekcija, izstrādās sarakstu ar tiem apstrādes darbības veidiem, attiecībā uz kuriem ir jāveic novērtējums.
Visu U. Petrauskas rakstu „Jaunā personas datu aizsardzības regula – izaicinājums komersantiem un organizācijām” varat lasīt žurnāla BILANCES JURIDISKIE PADOMI 2016. gada augusta numurā.
