2016.gada 27.aprīlī tika pieņemta Eiropas Parlamenta un Padomes regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (turpmāk – “Regula”).

Ar Regulu ir modernizēts fizisko personu datu apstrādes regulējums Eiropas Savienībā. Regula ir tieši piemērojama, tā ir saistoša juridiskām un fiziskām personām, kā arī publiskā sektora iestādēm. Regula paredz  jaunas tiesības datu subjektiem un jaunus pienākumus datu pārziņiem attiecībā uz darbinieku un klientu datu apstrādi, kā arī paredz bargus sodus Regulas prasību neievērotājiem.

Būtiskākie jaunumi, kuri ieviesti ar Regulu:

  • Datu pārzinim ir pienākums uzturēt iekšēju datu apstrādes darbību reģistru;
  • Palielināts datu subjektam sniedzamās informācijas apjoms pirms datu apstrādes uzsākšanas;
  • Stingrākas prasības attiecībā uz fiziskās personas piekrišanu datu apstrādei (piekrišanas forma, personas iespējas pieņemt lēmumu no brīvas gribas u.c.);
  • Datu subjekta tiesības pieprasīt savu datu pārnešanu pilnā apmērā, tiesības “tikt aizmirstam”, tiesības iebilst pret datu apstrādi;
  • Datu pārziņa pienākums nodrošināt tehnisku iespēju visus tā rīcībā esošos personas datus ierakstīt datu nesējā un nodot datu subjektam, kā arī tos dzēst pēc datu subjekta pieprasījuma;
  • Ieviestas vadlīnijas un standartklauzulas personas datu apstrādei un nosūtīšanai;
  • Noteiktos gadījumos datu pārzinim pirms datu apstrādes uzsākšanas ir pienākums iecelt datu aizsardzības speciālistu;
  • Datu subjekta tiesības pieprasīt materiālā un morālā kaitējuma atlīdzību no datu pārziņa;
  • Novērtējuma par ietekmi uz datu aizsardzību veikšana, kas atsevišķos gadījumos būs jāveic obligāti;
  • Lai datu pārzinis tiktu atbrīvots no atbildības, tam ir pienākums pierādīt, ka tas ir ievērojis Regulas prasības (pastāv iekšējais regulējums, kas tiek ievērots atbilstoši Regulas prasībām);
  • Jaunas prasības attiecībā uz datu pārziņa tiesībām sadarboties ar datu apstrādātājiem, kā arī līgumiem starp datu pārzini un datu apstrādātāju;
  • Jaunas prasības attiecībā uz datu nodošanu uz trešajām valstīm;
  • Jauna uzraudzības, kompetentā iestāde, kurai ir jāziņo par datu apstrādes pārkāpumiem – Eiropas Datu aizsardzības kolēģija.

Sankcijas par Regulas prasību neievērošanu

  • Administratīvais sods par Regulā noteikto prasību neievērošanu var tikt noteikts līdz 4% no personas iepriekšējā pārskata gadā visā pasaulē gūtā apgrozījuma vai līdz 20 miljoniem EUR, atkarībā no tā, kura summa ir lielāka (šobrīd līdz 14 000 EUR).

Ņemot vērā apjomīgās izmaiņas, Regula būs piemērojama no 2018.gada 25.maija, tādējādi dodot iespēju datu pārziņiem un apstrādātājiem sagatavošanās periodu, lai nodrošinātu datu apstrādes atbilstību Regulas prasībām. Šobrīd līdz Regulas piemērošanai ir atlicis mazāk kā viens gads. Līdz ar to, personām, kuras veic fizisko personu datu apstrādi un līdz šim nav izvērtējušas savas darbības atbilstību Regulas prasībām, ir ieteicams to darīt nekavējoties, lai paspētu jaunās prasības ieviest un izvairītos no bargiem sodiem.