VDAR (GDPR): pilns ceļvedis — kas tā ir, personas tiesības un sodi

VDAR (GDPR) — pilns ceļvedis: kas tā ir, personas tiesības, atbilstība, sankcijas un praktiski padomi uzņēmumiem un iedzīvotājiem.

Autors: Leandro Alegsa

Vispārīgā datu aizsardzības regula (VDAR) (Regula (Eiropas Savienības) 2016/679) tika pieņemta 2016. gada 27. aprīlī un stājās spēkā 2018. gada 25. maijā. Regula ir tieši piemērojama visās ES dalībvalstīs un nosaka vienotus noteikumus personas datu aizsardzībai.

Regulu apstiprina Eiropas Parlaments, Eiropas Savienības Padome un Eiropas Komisija. Tā aizsargā cilvēku personas datus visā Eiropas Savienībā (ES). VDAR ietekmē arī datu eksportu no ES un nosaka prasības starptautiskai datu pārsūtīšanai.

Ko paredz VDAR — mērķis un joma

VDAR mērķis ir nodrošināt iedzīvotājiem kontroli pār viņu personas datiem, palielināt datu aizsardzības līmeni un vienkāršot noteikumus uzņēmumiem, piemērojot vienotus standartus visā ES. Regula attiecas uz fiziskām personām (datu subjekti), kuras var identificēt tieši vai netieši, un uz organizācijām, kas apstrādā šos datus (datu pārzinis un datu apstrādātājs).

Būtiskākie jēdzieni

  • Personas dati — jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (piem., vārds, e‑pasts, IP adrese, lokācijas dati).
  • Datu pārzinis — persona vai organizācija, kas nosaka apstrādes mērķus un līdzekļus.
  • Datu apstrādātājs — persona vai organizācija, kas apstrādā datus pārziņa vārdā.
  • Datu subjekta tiesības — tiesības piekļūt datiem, tos labot, dzēst, ierobežot apstrādi, pārvietot, iebilst u. c.

Pamatieziņas un principi

Apstrādei jāatbilst šādiem principiem:

  • likumība, taisnīgums un caurskatāmība;
  • mērķa ierobežošana — dati drīkst tikt vākti tikai noteiktiem, skaidriem un likumīgiem mērķiem;
  • datu minimizācija — apstrādājami tikai nepieciešamie dati;
  • patiesums — dati jāatjauno, ja tie ir neprecīzi;
  • glabāšanas ierobežojums — dati jāglabā tikai tik ilgi, cik nepieciešams mērķa sasniegšanai;
  • integritāte un konfidencialitāte — jānodrošina atbilstoša drošība;
  • atbildība (accountability) — datu pārzinim jāspēj pierādīt atbilstību VDAR.

Likuma pamatnes (lawful bases)

Likumīga datu apstrāde var balstīties uz vienu no sekojošām pamatnēm:

    Piekrīšana — datu subjekts brīvprātīgi sniedz skaidru piekrišanu konkrētai apstrādei;
  • Līguma izpilde — nepieciešams datu apstrādei līguma izpildei ar datu subjektu;
  • Juridiska saistība — apstrāde nepieciešama, lai izpildītu tiesiskas saistības;
  • Dzīvības intereses — lai aizsargātu personas vai citu personu dzīvību;
  • Sabiedriskais uzdevums — apstrāde nepieciešama sabiedriskā uzdevuma veikšanai;
  • Leģitīmās intereses — kad apstrāde ir nepieciešama datu pārziņa vai trešās personas leģitīmām interesēm, ja tie nepārsver datu subjekta pamattiesības un brīvības.

Datu subjektu tiesības

VDAR piešķir fiziskām personām vairākas tiesības, tostarp:

  • Piekļuve — tiesības pieprasīt informāciju par to, kādi dati par viņiem tiek apstrādāti;
  • Labojums — tiesības pieprasīt neprecīzu datu labošanu;
  • Dzēšana (tiesības tikt aizmirstam) — noteiktos gadījumos var pieprasīt datu dzēšanu;
  • Ierobežošana — tiesības pieprasīt apstrādes ierobežojumu (piem., strīda gadījumā);
  • Datu pārnesamība — tiesības saņemt savus datus strukturētā, plaši lietojamā formātā un pārsūtīt tos citam pārzinim;
  • Iebraukšana pret apstrādi — tiesības iebilst pret datu apstrādi, kas balstīta uz leģitīmām interesēm vai tiešu mārketingu;
  • Nav būt par pamatu automatizētai lēmumu pieņemšanai — tiesības pret automātisku lēmumu pieņemšanu, ieskaitot profilēšanu, ja tā rada juridiskas sekas vai līdzīgi būtiskas ietekmes.

Parasti pieprasījumus par tiesību izmantošanu datu subjektiem jāizpilda bez nepamatotas kavēšanās, parasti mēneša laikā (ar iespēju pagarināt sarežģītā gadījumā).

Obligācijas datu pārziņiem un apstrādātājiem

  • ievērot datu apstrādes principus un nodrošināt likumīgu pamatni apstrādei;
  • ieviešot tehniskos un organizatoriskos pasākumus nodrošināt datu drošību (piem., šifrēšana, piekļuves kontrole);
  • uzturēt apstrādes darbību reģistrus (ja attiecināms);
  • noslēgt rakstiskas vienošanās ar datu apstrādātājiem, kas regulē apstrādes noteikumus;
  • veikt ietekmes uz datu aizsardzību novērtējumus (DPIA), ja apstrāde rada augstu risku;
  • ievērot prasību par datu aizsardzības pēc noklusējuma un datu aizsardzības projektēšanu (privacy by design/by default);
  • paziņot uzraugāmajai iestādei un, ja nepieciešams, ietekmētajiem datu subjektiem par personas datu pārkāpumiem (datu noplūde) 72 stundu laikā pēc to atklāšanas.

Datu aizsardzības amatpersona (DPA/DPO)

Dažām organizācijām (piem., valsts iestādēm, organizācijām, kas veic plaša mēroga īpašo kategoriju datu apstrādi vai regulāri un sistemātiski uzrauga datu subjektus) jānominē datu aizsardzības amatpersona (DPO). DPO uzdevums — uzraudzīt atbilstību VDAR, sniegt konsultācijas un būt kontaktpersonai uzraudzības iestādei.

Starptautiskie datu pārraide

Personas datu pārsūtīšana ārpus ES/EEZ ir atļauta tikai, ja ir nodrošināts atbilstošs aizsardzības līmenis (piem., ar Komisijas atzītu adekvātuma lēmumu) vai, ja netiek izmantotas starptautiskas aizsardzības garantijas (piem., standarta datu aizsardzības klauzulas, apņemšanās par korporatīvo pieeju u. c.).

Uzraudzība, sankcijas un sodi

Katru dalībvalsti VDAR piemēro nacionālā uzraudzības iestāde. Latvijā uzraugošā institūcija ir Datu valsts inspekcija. Ja organizācijas neievēro VDAR, var tikt piemērotas dažādas sankcijas, tostarp brīdinājumi, piespiedu rīkojumi, aprobežojumi apstrādei un administratīvās naudas sods.

Regula nosaka divu līmeņu maksimālos administratīvos sodus:

  • līdz 10 000 000 EUR vai līdz 2 % no uzņēmuma globālā gada apgrozījuma (pēc tam, kurš lielāks) — par piemēram, pārkāpumiem saistībā ar uzņēmuma reģistriem un tehniskajiem prasībām;
  • līdz 20 000 000 EUR vai līdz 4 % no uzņēmuma globālā gada apgrozījuma (pēc tam, kurš lielāks) — par nopietnākajiem pārkāpumiem, piemēram, pamattiesību un principu pārkāpumiem vai neatļautu datu apstrādi.

Kā sagatavoties un nodrošināt atbilstību

Ieteicamie soļi uzņēmumiem un organizācijām:

  • veikt situācijas novērtējumu — kartēt, kādi personas dati tiek vākti un kā tie tiek lietoti;
  • noteikt likumīgo apstrādes pamatni katram datu apstrādes gadījumam;
  • izstrādāt privātuma politikas un brīdinājumus, kas ir skaidri un pieejami datu subjektiem;
  • ievērot datu minimizāciju un glabāšanas politikas; izveidot datu dzēšanas procedūras;
  • slēgt atbilstošus līgumus ar datu apstrādātājiem un pārskatīt esošos līgumus;
  • īstenot tehniskos un organizatoriskos drošības pasākumus (šifrēšana, piekļuves kontrole, reģistrēšana);
  • apmācīt darbiniekus par datu aizsardzību un incidentu ziņošanu;
  • izveidot iekšējās procedūras, kā reaģēt uz datu subjekta pieprasījumiem un datu pārkāpumiem;
  • ja nepieciešams, iecelt Datu aizsardzības amatpersonu.

Ko darīt, ja esat datu subjekts

Ja uzskatāt, ka jūsu tiesības saskaņā ar VDAR ir pārkāptas, rīkojieties šādi:

  • sazinieties ar datu pārziņu un pieprasiet informāciju vai labojumu;
  • ja neatrisinās problēmu, vērsties pie valsts uzraudzības iestādes (piem., Datu valsts inspekcija Latvijā);
  • iesniedziet sūdzību vai — nepieciešamības gadījumā — tiesvedību, ja jūsu tiesības ir būtiski pārkāptas.

Noslēgumā

VDAR ir plaša un spēcīga regula, kas uzliek gan tiesības datu subjektiem, gan pienākumus organizācijām. Lai gan regulu piemēro automātiski ES valstīs, dalībvalstis var noteikt papildu nacionālos noteikumus konkrētās jomās (piem., tiesības darba tiesībās, kriminālprocesa dati). Atbilstība VDAR prasa sistemātisku pieeju — tehnisku, organizatorisku un juridisku — un pastāvīgu darbu, lai aizsargātu personas datus un izvairītos no riskiem un sankcijām.

Piemēroti noteikumi

[icon]

Šai sadaļai ir nepieciešama plašāka informācija.

Ar Vispārīgo datu aizsardzības regulu tiek ieviesti noteikumi, kas aizsargā cilvēkus pret visdažādākajām privātuma problēmām. Ar to tiek ieviestas cilvēku tiesības likumīgi vienoties ar uzņēmumiem par viņu privātās informācijas izmantošanu. Ar to arī tiek īstenotas cilvēku tiesības panākt, lai uzņēmums vairs nevar piekļūt viņu privātai informācijai. Tā arī nodrošina, ka lietotājiem ir tiesības atļaut, lai viņu privātā informācija kļūtu vai nekļūtu publiski pieejama. Regula arī nodrošina, ka personas dati netiek apstrādāti, ja vien lietotājs nav devis atļauju personas datu apstrādātājam to darīt.

Laika grafiks

  • 2012. gada 25. janvāris: tika publicēts Vispārīgās datu aizsardzības regulas priekšlikums.
  • 2013. gada 21. oktobris: Eiropas Parlamenta Pilsoņu brīvību, tieslietu un iekšlietu komiteja (LIBE) balso par to, vai VDAR jākļūst par jauno regulējumu attiecībā uz cilvēkiem Eiropā.
  • 2015. gada 15. decembris: Eiropas Parlaments, Padome un Komisija (oficiālā trialoga sanāksme) diskutē par Vispārīgo datu aizsardzības regulu. Šajā dienā tika sagatavots kopīgs priekšlikums par VDAR.
  • 2015. gada 17. decembris: Eiropas Parlamenta Pilsoņu brīvību, tieslietu, iekšlietu un iekšlietu komiteja nobalsoja par sarunām starp trim pusēm.
  • 2016. gada 8. aprīlis: Eiropas Savienība ir pieņēmusi Vispārīgo datu aizsardzības regulu. Vienīgā dalībvalsts, kas balsoja pret, bija Austrija, kura apgalvoja, ka vairāki jaunās regulas aspekti nav apmierinoši salīdzinājumā ar Datu aizsardzības direktīvu.
  • 2016. gada 14. aprīlis: Eiropas Parlaments pieņēma Vispārīgo datu aizsardzības regulu, aizstājot iepriekš izmantoto Datu aizsardzības direktīvu.
  • 2016. gada 24. maijs: Vispārīgā datu aizsardzības regula ir sākta izmantot visā pasaulē, taču tā vēl nav pilnībā ieviesta. Tas ir 20 dienas pēc Vispārīgās datu aizsardzības regulas publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.
  • 2018. gada 25. maijs: Vispārīgā datu aizsardzības regula stājas spēkā visā pasaulē. Ir pagājuši divi gadi kopš regulas izveides.
  • 2018. gada jūlijs/augusts: VDAR stāsies spēkā Islandē, Lihtenšteinā un Norvēģijā. Šīs trīs valstis ir pievienojušās EEZ Apvienotajai komitejai, jo tās visas ir vienojušās ievērot šo regulu.

Jautājumi un atbildes

J: Kas ir Vispārīgā datu aizsardzības regula (GDPR)?


A: VDAR ir Eiropas Parlamenta, Eiropas Savienības Padomes un Eiropas Komisijas pieņemta regula, kas aizsargā cilvēku personas datus visā ES.

J: Kad tā stājās spēkā?


A: Tā stājās spēkā 2018. gada 25. maijā.

J: Kāds ir GDPR mērķis?


A: VDAR mērķis ir nodrošināt iedzīvotājiem kontroli pār viņu personas datiem un vienkāršot noteikumus ekonomiskajām attiecībām ar citām valstīm, standartizējot ES procedūras.

J: Vai ar to tiek aizstāti kādi spēkā esošie tiesību akti?


A.: Jā, tas aizstāj 1995. gada Datu aizsardzības direktīvu.

J: Vai ir jāmaina vietējie tiesību akti, lai panāktu atbilstību VDAR?


A.: Nē, ES vietējos tiesību aktos izmaiņas nav nepieciešamas, jo šī regula ir saistoša.
J: Kas notiek, ja kāds vai uzņēmums neievēro GDPR tiesību aktus? A: Viņiem var tikt piemērots naudas sods līdz 20 000 000 eiro vai līdz 4 % no uzņēmuma iepriekšējā gada peļņas atkarībā no tā, kurš skaitlis ir lielāks.


Meklēt
AlegsaOnline.com - 2020 / 2025 - License CC3