Ievietots 24.01.2018 · sadaļā 1.lapa, Speciālistiem, Ziņas

Datu valsts inspekcija informē, ka, sākot ar 2018. gada 25. maiju, tiks piemērota Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016.gada 27.aprīlis) par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46 EK (Vispārīgā datu aizsardzības regula).

Ņemot vērā sabiedrības interesi par gaidāmajām izmaiņām, kuras stāsies spēkā ar Vispārīgās datu aizsardzības regulas prasību piemērošanu fizisko personu datu apstrādē un aizsardzībā, tai skaitā par nepieciešamību norīkot personas datu aizsardzības speciālistu, Datu valsts inspekcija zemāk sniedz atbildes uz biežāk uzdotajiem jautājumiem par personas datu aizsardzības speciālista norīkošanu.

1) Kāpēc būs nepieciešams personas datu aizsardzības speciālists?

Vispārīgās datu aizsardzības regulas 37.pants nosaka, ka pārzinis un apstrādātājs ieceļ datu aizsardzības speciālistu katrā gadījumā, kad:

a)apstrādi veic publiska iestāde vai struktūra, izņemot tiesas, tām pildot savus uzdevumus;

b)pārziņa vai apstrādātāja pamatdarbība sastāv no apstrādes darbībām, kurām to būtības, apmēra un/vai nolūku dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana plašā mērogā; vai

c)pārziņa vai apstrādātāja pamatdarbības ietver īpašo kategoriju datu saskaņā ar 9. pantu un 10. pantā minēto personas datu par sodāmību un pārkāpumiem apstrādi plašā mērogā.

2) Kā notiks datu aizsargāšana praksē?

Vispārīgās datu aizsardzības regulas  32.panta pirmā daļa nosaka, ka:

“Ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un smaguma pakāpes risku attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis un apstrādātājs īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas atbilst riskam, tostarp attiecīgā gadījumā cita starpā:

a)personas datu pseidonimizāciju un šifrēšanu;

b)spēju nodrošināt apstrādes sistēmu un pakalpojumu nepārtrauktu konfidencialitāti, integritāti, pieejamību un noturību;

c)spēju laicīgi atjaunot personas datu pieejamību un piekļuvi tiem gadījumā, ja ir noticis fizisks vai tehnisks negadījums;

d)procesu regulārai tehnisko un organizatorisko pasākumu efektivitātes testēšanai, izvērtēšanai un novērtēšanai, lai nodrošinātu apstrādes drošību”.

3)   Kādiem uzņēmumiem šis speciālists nepieciešams?

Ņemot vērā iepriekš minēto, Inspekcija vērš uzmanību, ka datu aizsardzības pasākumi praksē būs atšķirīgi katram uzņēmumam, jo drošības pasākumu realizācija atrodas ciešā kopsakarībā ar apstrādi, ko katrs uzņēmums veic.

4)  Kāds ir uzņēmumu ieguvums no personas datu aizsardzības speciālista amata?

Inspekcija skaidro, ka datu aizsardzības speciālists ir viens no rīkiem Vispārīgās datu aizsardzības regulas  5.panta otrajā daļā noteiktā pārskatatbildības principa nodrošināšanai. Datu aizsardzības speciālistam efektīvi pildot savus uzdevumus, uzlabosies datu aizsardzības kultūra iestādēs un uzņēmumos, kuros datu aizsardzības speciālists būs norīkots, un mazināsies datu aizsardzības incidentu norises iespējamība.

Datu aizsardzības speciālistam var uzticēt arī iekšējo procedūru un kārtību izstrādi attiecībā uz personas datu apstrādi un aizsardzību iestādē vai uzņēmumā, kur šāds speciālists būs norīkots.

Vispārīgās datu aizsardzības regulā ir noteikts administratīvais sods, kas piemērojams gadījumos, kad netiek nodrošināta personas datu apstrādes atbilstība Vispārīgās datu aizsardzības regulas  prasībām. Datu aizsardzības speciālists var sniegt uzņēmumam/iestādei, kurā tas ir norīkots, konsultāciju par atbilstības normatīvā regulējuma ietvaram nodrošināšanu, atbilstoša konsultācija mazinās nelikumīgas datu apstrādes risku un mazinās administratīvā soda piemērošanas iespējamību, kā arī var palīdzēt uzņēmumam sevi pasargāt no datu subjekta civiltiesiskas prasības.

5) Vai tas neradīs papildu administratīvo slogu?

Inspekcija nevar sniegt komentāru par jautājumiem, kas ir saistīti ar iestādes/uzņēmuma iekšējo procesu organizāciju. Inspekcija vērš uzmanību, ka arī pašlaik spēkā esošajā Fizisko personu datu aizsardzības likuma 21.pantā ir noteikts pienākums pārziņiem noteiktos gadījumos reģistrēt datu apstrādi vai norīkot datu aizsardzības speciālistu Inspekcijā. Līdz ar to Inspekcija pašlaik neuzskata, ka datu aizsardzības speciālista norīkošana būtu uzskatāma par papildu administratīvo slogu.

6)  Kas notiks, ja šāda personas datu aizsardzības speciālista uzņēmumā nebūs?

Par personas datu aizsardzības speciālista nenorīkošanu paredzēta administratīvā atbildība. Vispārīgās datu aizsardzības regulas 83.panta 4.punkta a) punkts nosaka, ka par minēto pārkāpumu piemēro administratīvos naudas sodus apmērā līdz EUR 10 000 000 vai, uzņēmuma gadījumā, līdz 2 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks.

Inspekcija atkārtoti vērš uzmanību, ka datu aizsardzības speciālists ir obligāti norīkojams tikai Vispārīgās datu aizsardzības regulas  37.panta  norādītajos gadījumos. Administratīvā atbildība iestāsies un iepriekš pieminētais sods būs piemērojams tajos gadījumos, kad datu aizsardzības speciālista norīkošana būs obligāta, bet šis pienākums nebūs izpildīts.

7)  Vai šos pakalpojumus varēs pirkt kā ārpakalpojumu?

Vispārīgās datu aizsardzības regulas  pašreizējā redakcija un vadlīnijas par datu aizsardzības speciālistiem (sk. http://www.dvi.gov.lv sadaļā “Datu aizsardzība”, apakšsadaļā “Starptautiskā sadarbība” publikācijas – Vadlīnijas par datu aizsardzības speciālistiem un biežāk uzdotie jautājumi (LV) neizslēdz iespēju datu aizsardzības speciālista pakalpojumu iegādāties kā ārpakalpojumu.

8)  Kāds ir datu aizsardzības speciālista vidējais atalgojums valstī?

Inspekcijas rīcībā nav statistiska apkopojuma par datu aizsardzības speciālistu vidējo atalgojumu valstī un/vai pakalpojuma izmaksām.

Direktīvas 95/46/EK 29.panta darba grupa ir izstrādājusi vadlīnijas par personas datu aizsardzības speciālistiem un to pielikumā minētais jautājums ir skaidrots. Vienlaikus šīs vadlīnijas Datu valsts inspekcija ir iztulkojusi latviešu valodā un tās ir pieejamas DVI mājaslapā http://www.dvi.gov.lv/lv/wp-content/uploads/WP-243_Vadl%C4%ABnijas-par-datu-aizsardz%C4%ABbas-speci%C4%81listiem-DAS.pdf .