12.10.2017. Valsts sekretāru sanāksmē atbalstīts Tieslietu ministrijas izstrādātais Personas datu apstrādes likuma projekts (likumprojekts), kurā regulēta Eiropas Savienības Parlamenta un Padomes Regulas 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK jeb Vispārīgās datu aizsardzības regulas (regula) piemērošana Latvijā. Regula piemērojama no 25.05.2018., nosakot vienādus noteikumus personas datu aizsardzībai visā Eiropas Savienībā (ES).
Šobrīd personas datu aizsardzība Latvijā regulēta Fizisko personu datu aizsardzības likumā, kas ar Regulas piemērošanas sākumu zaudēs spēku.
Pašlaik ES regulējums personas datu aizsardzības jomā nav harmonizēts un katrā dalībvalstī regulēts atšķirīgi, līdz ar to Regulā paredzēta jau pastāvošo personas datu aizsardzības principu modernizēšana, izveidojot vienotus personas datu aizsardzības noteikumus, kas būtu spēkā visā ES teritorijā. Vienlaikus paredzēts saglabāt līdz šim personas datu aizsardzības jomā ievērotos pamatprincipus - vienotā tirgus uzlabošanu un efektīvu indivīda pamattiesību un brīvību ievērošanu.
Regulā paredzēti šādi uzlabojumi vienotā tirgus vidē:
- vienoti nosacījumi personas datu aizsardzībai ES līmenī, kas attiecināmi uz apstrādi, uzturēšanu, nodošanu citiem uzņēmumiem un arhivēšanu;
- 1 pieturas aģentūras principa piemērošana uzņēmējiem: kompānijām būs jāsadarbojas tikai ar 1 datu aizsardzību uzraugošo iestādi, lai nodrošinātu vienkāršāku un lētāku uzņēmējdarbību ES;
- vienoti noteikumi visām kompānijām neatkarīgi no to reģistrācijas valsts.
Uzraudzības institūcija
Regulā dalībvalstīm noteikts pienākums paredzēt datu uzraudzības institūciju, kuras kompetencē būtu Regulas noteikumu uzraudzība. Latvijā šāda uzraudzības iestāde ir Datu valsts inspekcija (DVI), kurai līdz ar Regulas piemērošanu jākļūst par neatkarīgu iestādi. Likumprojektā iekļauti noteikumi par DVI neatkarīgo statusu, kompetenci, direktora iecelšanas noteikumiem, darbinieku pilnvarām unlēmumu pieņemšanas procedūru.
Personas datu aizsardzības speciālists
Tāpat Regulā paredzēts personas datu aizsardzības speciālista institūts, kas būtu attiecināms uz visām dalībvalstīm. Proti, noteiktos gadījumos paredzēts obligāts pienākums iecelt personas datu aizsardzības speciālistu, tādējādi nodrošinot iespēju pārzinim izvēlēties piemērotāku datu aizsardzības speciālistu, kam ir pietiekamas zināšanas datu aizsardzības speciālista pienākumu pildīšanai. Likumprojektā paredzēta kārtība, kādā persona, nokārtojot eksāmenu, var iegūt datu aizsardzības speciālista statusu un iekļūt DVI sarakstā.
Personas datu aizsardzības sertifikācija
Regulā noteikta iespēja izveidot personas datu aizsardzības sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus, lai uzskatāmi parādītu, ka apstrādes darbības, ko veic pārziņi un apstrādātāji, atbilst Regulai, ņemot vērā mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības. Ievērojot Regulā noteikto, likumprojektā paredzēta kārtība un noteikumi, kas būtu jāievēro, lai iegūtu sertifikācijas institūcijas statusu un nodrošinātu datu aizsardzības sertifikātu un zīmogu izsniegšanu. Likumprojektā noteikts, ka DVI var pati izsniegt datu aizsardzības sertifikātu vai zīmogu, kamēr nav izsniegta licence sertifikācijas institūcijai.
Tāpat, lai veicinātu regulas atbilstošu piemērošanu, ņemot vērā dažādu apstrādes nozaru specifiskās iezīmes un mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības, Regulā paredzēta iespēja pārziņiem izstrādāt rīcības kodeksus.
Īpašās apstrādes situācijas
Īstenojot Regulā noteikto pienākumu dalībvalstīm, Likumprojektā iekļauti noteikumi par īpašām apstrādes situācijām, kas attiecas uz citu indivīda pamattiesību īstenošanu, atkāpēm, kas attiecas uz apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, kā arī valsts klasificēto datu apstrādi.
Likumprojektā paredzēti specifiski noteikumi un izņēmumi personas datu apstrādei žurnālistikas vajadzībām un akadēmiskās, mākslinieciskās vai literārās izpausmes vajadzībām.
Tāpat Likumprojektā noteikts ierobežojums informācijas sabiedrības pakalpojumu tiešai sniegšanai bērniem (piemēram, sociālo tīklu lietošana ("draugiem.lv", "Facebook.com" u.c., mobilo aplikāciju lietošana), nosakot, ka bērnam, kas ir jaunāks par 13 gadiem, nepieciešama vecāku vai aizbildņu atļauja.
Sodi par Regulas pārkāpumiem
Regulas 83.panta 1.daļā paredzēts, ka katra uzraudzības iestāde nodrošina, ka par Regulas pārkāpumiem saskaņā ar šo pantu paredzēto administratīvo naudas sodu piemērošana katrā konkrētā gadījumā ir iedarbīga, samērīga un atturoša. Administratīvie sodi par Regulas pārkāpumiem ir noteikti Regulā un netiks iekļauti nacionālajā regulējumā.
Regulā noteikts, ka katra dalībvalsts var izstrādāt noteikumus par to, vai un līdz kādam apjomam administratīvos naudas sodus var piemērot publiskām iestādēm un struktūrām, kuras izveidotas dalībvalstī.