Jaunā Eiropas Savienības personas datu aizsardzības regula teju ikvienā uzņēmumā kļūst par arvien apspriestāku jautājumu, jo tās spēkā stāšanās termiņš (2018.gada 25.maijs) strauji tuvojas. Tādēļ jau ceturto gadu pēc kārtas, sadarbojoties ar “Latvijas Sertificēto Personas Datu Aizsardzības Speciālistu Asociāciju”, viens no vadošajiem kiberdrosības uzņēmumiem Baltijā “Data Security Solutions” 26.aprīlī rīko Latvijas lielāko personas datu aizsardzības regulas pasākumu (EU GDPR - General Data Protection Regulation) “Digitālā Ēra 2017”, kurā vadošie speciālisti no privātā un valsts sektora dalīsies pieredzē un zināšanās, aplūkojot jaunākos un inovatīvākos risinājumus, kā arī jaunākās tirgus tendences un regulatīvās normas kā Latvijā, tā visā Eiropas Savienībā. Vairāk: https://digitalaera.dss.lv/
Digitala Era 2017 - Datu Valsts Inspekcija - Lauris Linabergs - Vispārīgā dau aizsardzības regula
1. Datu valsts inspekcijas Eiropas Savienības un starptautiskās
sadarbības nodaļas juriskonsults
Lauris Linabergs
67223131
24.04.2017., Rīga
Pārziņa atbildība un pienākumi Vispārīgās datu
aizsardzības regulu sagaidot
2. Ko vēstīs šī prezentācija?
• Pārziņa atbildība
• Pasākumi, kas pārzinim jāveic
• Rīki, kas var palīdzēt pārzinim pienākumu izpildē
- Personas datu aizsardzības speciālists
- Rīcības kodekss
- Ietekmes novērtējums
- Sertifikācija?
*Izmantotie saīsinājumi
- FPDAL - Fizisko personu datu aizsardzības likums
- VDAR - Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (2016. gada 27.
aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu
datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK
- DVI - Datu valsts inspekcija
- 29.panta darba grupa - Eiropas Parlamenta un Padomes 1995.gada 24.oktobra
Direktīvas 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi
un šādu datu brīvu apriti 29.panta darba grupa
3. • Pārziņa atbildība pašlaik:
- Pārzinis atbildīgs par visu personas datu apstrādi
(FPDAL 2.panta 9.punkts);
- Operatora pilnvarojuma apjoms (FPDAL 14.pants);
- Nepieciešamo tehnisko un organizatorisko līdzekļu
lietošana (FPDAL 25.panta pirmā daļa);
- Kopīgā pārziņa definīcija nojaušama, bet nav ieviesta
(FPDAL 2.panta 9.punkts).
| 3
Pārziņa atbildība
24.04.2017., Rīga
4. • Pēc VDAR precīzāk definēti veicamie uzdevumi, kā
arī noteikta atbildība operatoram:
- Operators var būt atbildīgs par kaitējumu, kas
nodarīts ar apstrādi, tikai tad, ja tas nav izpildījis šajā
regulā paredzētos pienākumus, kas konkrēti adresēti
apstrādātājam, vai ja tas ir rīkojies neatbilstīgi vai
pretēji pārziņa likumīgiem norādījumiem (VDAR
82.panta 2.punkts).
- Joprojām galvenais atbildīgais ir pārzinis (VDAR
24.pants);
- Integrēta datu aizsardzība un datu aizsardzība pēc
noklusējuma (VDAR 25.pants);
- Kopīgā pārziņa definīcija (VDAR 26.pants);
| 4
Pārziņa atbildība
24.04.2017., Rīga
5. • Noskaidrot vai pašreizējā apstrāde atbilst
personas datu aizsardzības prasībām
*Piemēram, veicot personas datu apstrādes «auditu»
- Tai skaitā pārbaudot vai pašreizējajai personas
datu apstrādei ir tiesiskais pamats;
- Veiktās personas datu apstrādes atbilstība datu
aizsardzības principiem;
- Spējas izpildīt VDAR noteikto novērtējumu;
- Izvērtēt vai veiktās datu apstrādes raksturs prasa
papildus veicamās darbības (piemēram, ietekmes
novērtējuma izstrādi; datu aizsardzības
speciālista norīkošanu).
• Efektīvāko risinājumu izvēle papildus drošības
garantiju sniegšanai, ja tādi ir nepieciešami.
| 5
Pasākumi, kas pārzinim jāveic
24.04.2017., Rīga
6. 1. Situācijas novērtējums;
2. Kāda informācija ir uzņēmuma rīcībā?
3. Vai uzņēmums var nodrošināt informācijas
sniegšanas datu subjektam atbilstību VDAR
prasītajam?
4. Vai organizācija ir gatava nodrošināt VDAR
noteikto datu subjektu tiesību ievērošanu?
5. Vai organizācija spēs sniegt atbildi uz datu
subjekta informācijas pieprasījumu?
6. Vai visi organizācijas apstrādātie personas dati
tiek apstrādāti ar atbilstošu tiesisko pamatu?
7. Izvērtējiet vai saņemtās datu subjekta
piekrišanas atbilst normatīvo aktu prasībām
| 6
12 Soļu plāns
(pirmie septiņi soļi)
24.04.2017., Rīga
7. 8. Jānodrošina nepilngadīgo bērnu identifikācijas
sistēma un to likumīgo aizbildņu piekrišanu
identifikācija.
9. Pārliecinieties, ka spēsiet konstatēt datu
aizsardzības pārkāpumus un iekšēji ir skaidra
pārkāpumu paziņošanas kārtība?
10. Risku novērtējums par ietekmi uz datu
aizsardzību.
11. Personas Datu aizsardzības speciālista
piesaiste.
12. Ja organizācija ir starptautiska – jāidentificē,
kura datu aizsardzības iestāde uzraudzīs.
| 7
12 Soļu plāns
(nākamie pieci soļi)
24.04.2017., Rīga
8. Risinājumi efektīvākas personas datu apstrādes
atbilstības nodrošināšanai
1.Datu aizsardzības speciālists
• Profesionālā kvalifikācija, jo īpaši speciālas zināšanas datu
aizsardzības tiesību un prakses jomā, kā arī spēja pildīt uzdevumus;
• Speciālists ir tieši atbildīgs pārziņa un augstākās vadības priekšā;
• Pārziņa un tā darbinieku informēšana un konsultēšana datu
aizsardzības jautājumos;
• Pienākumu apjoms izsmeļoši noteikts VDAR 4. iedaļā
• Līdzeklis kā uzņēmējam parādīt rūpes par personas datu aizsardzību;
*Speciālistu var iecelt arī uzņēmumu grupa.
**29.panta darba grupas vadlīnijas
24.04.2017., Rīga | 8
9. Datu aizsardzības speciālisti Latvijā
- Uz 2017.gada 24.aprīli DVI kvalifikācija ir piešķirta 119
personas datu aizsardzības speciālistiem;
- Šogad DVI ir noorganizējusi 2 personas datu aizsardzības
speciālista kvalifikācijas pārbaudījumus (2.martā un
23.martā);
- Šogad tiek plānoti vēl 3 kvalifikācijas pārbaudījumi
(25.maijā, 29.septembrī un 30.novembrī).
*Aktuālā informācija DVI mājaslapā www.dvi.gov.lv
**Pašlaik Datu aizsardzības speciālistam ir jānodrošina
atbilstība FPDAL 21.1 panta otrajā daļā un Ministru kabineta
2008.gada 5.februāra noteikumiem Nr.80 «Personas datu
aizsardzības speciālista apmācību kārtība» noteiktajam.
| 924.04.2017., Rīga
10. Risinājumi efektīvākas personas datu apstrādes
atbilstības nodrošināšanai
2.Rīcības kodeksi
• Pašreizējās prasības iekšējās datu aizsardzības dokumentācijas izstrādē
privātiem pārziņiem;
- Vienādas prasības gan juridiskām personām, gan fiziskām personām;
- Nav paredzēts mehānisms, kā uzņēmumi ar līdzīgu datu apstrādi var
apvienot resursus datu aizsardzības mehānismu izstrādē.
• Kas var sagatavot un piemērot rīcības kodeksu? Rīcības kodeksa
apstiprināšana.
- Apvienības un citas struktūras (piemēram, atsevišķas nozaru
asociācijas), kas pārstāv pārziņu vai operatoru kategorijas (VDAR
40.panta otrā daļa);
- Rīcības kodeksa, grozījumu vai papildinājumu projekts jāapstiprina
uzraudzības iestādē (VDAR 40.panta piektā daļa);
- Rīcības kodeksa apstiprināšana, ja rīcības kodeksa projekts attiecas uz
apstrādes darbībām vairākās dalībvalstīs (VDAR 40.panta septītā daļa);
- Izstrādes procesā jāiesaista visas datu apstrādē iesaistītās personas, tai
skaitā datu subjekti (VDAR 99.apsvērums), personas datu aizsardzības
speciālists.
24.04.2017., Rīga | 10
11. Risinājumi efektīvākas personas datu apstrādes
atbilstības nodrošināšanai
3.Ietekmes novērtējums
(Regulas 35.pants)
• Saskaņā ar regulā noteikto pārzinim (ne tikai valsts un pašvaldību
iestādēm) būs primāri jāizvērtē personas datu apstrādes veids, jo īpaši
ņemot vērā riskus, kas varētu tikt radīti, izmantojot jaunās
tehnoloģijas.
• Pārzinis pirms personas datu apstrādes veic novērtējumu par to, kā pārziņa
plānotās apstrādes darbības ietekmēs personas datu aizsardzību – novērtējums
par ietekmi uz datu aizsardzību.
• Uzraudzības iestādē (DVI) tiks izstrādāti un publicēti saraksti ar tiem
apstrādes darbības veidiem, attiecībā uz kuriem jāveic novērtējums par
ietekmi uz datu aizsardzību.
• Novērtējuma veikšana – viena no iespējām, lai izvairītos no personas datu
aizsardzības pārkāpumu pieļaušanas.
24.04.2017., Rīga | 11
12. Sertifikācija
• Dalībvalstis, uzraudzības iestādes, kolēģija un Komisija
mudina, jo īpaši Savienības līmenī, izveidot datu aizsardzības
sertifikācijas mehānismus un datu aizsardzības zīmogus un
marķējumus, lai uzskatāmi parādītu, ka apstrādes darbības,
ko veic pārziņi un apstrādātāji, atbilst šai regulai. Ņem vērā
mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās
vajadzības. (VDAR 42.pants);
- Sertifikācija ir brīvprātīga;
- Sertifikācija nemazina atbildību;
- Sertifikācija var nodot vēstījumu Jūsu klientiem.
• Sertifikātu izsniedz akreditēta sertifikācijas struktūra.
*Pašlaik notiek darbs pie iespējamo akreditācijas un
sertifikācijas mehānismu izstrādes.
24.04.2017., Rīga | 12
13. Izaicinājumi atbildības jomā
personas datu
aizsardzības jomā, naudas sodi
• Administratīvus naudas sodus apmērā līdz EUR 10 000
000 vai, uzņēmuma gadījumā, līdz 2 % no tā kopējā visā
pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma
atkarībā no tā, kuras summas apmērs ir lielāks, saskaņā
piemēro par šādu noteikumu pārkāpumiem:
a) pārziņa un apstrādātāja pienākumi;
b) sertifikācijas struktūras pienākumi;
c) pārraudzības struktūras pienākumi.
24.04.2017., Rīga | 13
14. Izaicinājumi atbildības jomā
personas datu
aizsardzības jomā, naudas sodi
• Administratīvus naudas sodus apmērā līdz EUR 20 000 000 vai, uzņēmuma
gadījumā, līdz 4 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā
gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks, piemēro
par šādu noteikumu pārkāpumiem:
a) apstrādes pamatprincipi, tostarp nosacījumi par piekrišanu, ievērojot 5., 6., 7. un
9. pantu;
b) datu subjekta tiesības;
c) personas datu nosūtīšana saņēmējam uz trešo valsti vai starptautisku
organizāciju;
d) visi pienākumi, ievērojot dalībvalsts tiesību aktus, kuri pieņemti saskaņā ar IX
nodaļu;
e) ja nav ievērots uzraudzības iestādes rīkojums vai pagaidu vai galīgs apstrādes vai
datu aprites ierobežojums saskaņā ar 58. panta 2. punktu, vai nav sniegta piekļuve,
pārkāpjot 58. panta 1. punktu.
24.04.2017., Rīga | 14
15. Saites
• http://www.dvi.gov.lv/lv/category/zinas/ - Jaunumi no DVI;
• http://www.dvi.gov.lv/lv/datu-aizsardziba/starptautiska-
sadarbiba/publikacijas/ - jaunumi par starptautisko sadarbību, tai
skaitā 29.panta darba grupas izstrādātās vadlīnijas;
• http://ec.europa.eu/justice/data-protection/article-
29/documentation/opinion-recommendation/index_en.htm -
29.panta darba grupas viedokļi.
• DVI ir: https://www.facebook.com/Datuvalstsinspekcija/
https://twitter.com/?lang=en
*Vēršam uzmanību, ka 29.panta darba grupas viedokļi, vēstules un
citi sagatavotie dokumenti ir viens no nozīmīgākajiem avotiem
personas datu aizsardzības jēdzienu un to piemērošanas
interpretācijā, tomēr, tajos paustais pašlaik nav DVI saistošs.
24.04.2017., Rīga | 15
16. Paldies par uzmanību!
Datu valsts inspekcija
Blaumaņa iela 11/13-15, Rīga, LV-1011
Konsultācijas un informāciju pa tālruni sniedz darba dienās
no plkst. 13.00 līdz 15.00
Tel.: 67223131
Fakss: 67223556
E-pasts: info@dvi.gov.lv
www.dvi.gov.lv