Vispārīgā Datu Aizsardzības regulaIR STĀJUSIES SPĒKĀ

Eiropas Parlamenta un Padomes Regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi jeb GDPR (General Data Protection Regulation) nosaka, ka ikvienai personai ir tiesības uz savu personas datu aizsardzību. GDPR ietvaros šo datu apstrādei Eiropas Savienībā būtu jānotiek saskaņā ar jauno regulu neatkarīgi no tā, vai pati apstrāde notiek ES. GDPR liek par pienākākumu personas datu apstrādi veikt likumīgi, godprātīgi un datu subjektam pārredzamā veidā, lai tiktu nodrošināta aizsardzība pret neatļautu vai nelikumīgu apstrādi, nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu.

Jaunā regula jeb GDPR attiecas uz visiem komersantiem, iestādēm, un organizācijām, kas atrodas Eiropas Savienības (ES) dalībvalstīs vai ārpus tām, bet piedāvā preces vai pakalpojumus ES pilsoņiem.

GDPR nosaka, ka personas dati ir jebkura informācija, kas ļauj identificēt fizisku personu (GDPR 4.pants). Personas datu piemēri ietver:

• Vārds un uzvārds.
• Mājas adrese.
• E-pasta adrese
• Personas apliecības numurs.
• Atrašanās vietas dati.
• Interneta protokola (IP) adrese.
• Sīkdatnes.
• Tālruņa identifikators reklāmas vajadzībām.
• Slimnīcā vai pie ārsta glabāti dati, piemēram, simbols, kas unikālā veidā identificē noteiktu personu.

GDPR paredz, ka personas datu īpašniekam ir tiesības saņemt skaidru un saprotamu informāciju par to, kas apstrādā konkrētās personas datus, kādi dati tiek apstrādāti, kāds ir tā mērķis, tiesiskais pamats, un citu informāciju skaidrā un saprotamā valodā. Personai ir tiesības pieprasīt piekļuvi saviem personas datiem, bez maksas saņemt šo datu kopiju un tiesības uz datu pārnesamību jeb iespēju datus pārsūtīt citam pārzinim. GDPR jeb jaunajā regulā noteiktos gadījumos personai ir tiesības iebilst pret savu datu apstrādi, ierobežot to vai pieprasīt tos neatgriezeniski dzēst. Tieši tāpat personai ir tiesības pieprasīt datus labot, kā arī nebūt tāda lēmuma subjektam, kura pamatā ir automatizēta datu apstrāde, tostarp profilēšana.

GDPR 32. un 33. paredz, ka pārzinim jānodrošina atbilstoši risinājumi risku novēršanai:

• Apstrādes sistēmu nepārtrauktu konfidencialitāti, pieejamību, noturību.
• Laicīgi atjaunot datu pieejamību, ja noticis negadījums.
• Personas datu pseidonimizāciju un šifrēšanu.
• Ikgadēju procesu apstrādes drošības testēšanai.
• Datu aizsardzības pārkāpuma ziņošana bez kavēšanās – 72h laikā.

GDPR jeb Vispārīgā datu aizsardzības regulas 37.pants nosaka, ka datu aizsardzības speciālists jāieceļ visām publiskām iestādēm izņemot tiesām. Kā arī uzņēmumiem, kuri savā pamatdarbībā veic sistēmātisku un regulāru personu novērošanu un datu aptrādi plašā apjomā vai veic plaša mēroga īpašo kategoriju datu apstrādi (9.panta 1.daļa).

Par personas datu aizsardzības pārkāpumu GDPR ietvaros tiek noteikta gan nejauša, gan nelikumīga uzglabāto, nosūtīto vai apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, izpaušana vai piekļuve.

Datakom radītajā “GDPR in a box” risinājumā ietvertas organizatoriskas un dokumentētas aktivitātes, kuras papildina tehnoloģisko sniegumu. Tās kalpos GDPR neatbilstības risku apzināšanai, kā arī ieviešanas rezultātā sagatavotā dokumentācija būs pilnvērtīgs pierādījums Personas datu apstrādes audita atbilstības vajadzībām.