6.martā Ministru kabinets atbalstīja Tieslietu ministrijas un Datu valsts inspekcijas izstrādāto Personas datu apstrādes likuma projektu. Tas izstrādāts, pamatojoties uz Vispārīgajā datu aizsardzības regulā (Regula) noteikto – Eiropas Savienības (ES) dalībvalstīm nepieciešams izstrādāt nacionālo regulējumu, lai sekmētu Regulas piemērošanu.
25.05.2018. visās ES dalībvalstīs, tostarp arī Latvijā, tiek uzsākta Regulas piemērošana.
Regulā tiek modernizēti jau pastāvošie personas datu apstrādes principi, vienlaikus izveidojot vienotus personas datu aizsardzības noteikumus visā ES teritorijā. Regulā ir saglabāti līdz šim personas datu aizsardzības jomā iedibināti pamatprincipi.
Regula paredz šādus uzlabojumus vienotā tirgus vidē:
- vienoti nosacījumi personas datu aizsardzībai ES līmenī, kas attiecināmi uz apstrādi, uzturēšanu, nodošanu citiem uzņēmumiem un arhivēšanu;
- 1 pieturas aģentūras principa piemērošana uzņēmējiem: kompānijām būs jāsadarbojas tikai ar 1 datu aizsardzības uzraugošo iestādi, tādējādi nodrošinot vienkāršāku un lētāku uzņēmējdarbību ES;
- vienoti noteikumi visām kompānijām, neraugoties uz to reģistrācijas valsti.
Pašlaik personas datu aizsardzības jomu regulē Fizisko personu datu aizsardzības likums, kas ar Regulas piemērošanu zaudēs spēku.
Pamatprincipi personas datu apstrādē, salīdzinot ar spēkā esošo Fizisko personu datu aizsardzības likumu, nemainās. Pastiprinās pārziņa (tas, kurš lemj par datu apstrādes nolūkiem un līdzekļiem jeb tas, kurš lemj, kāpēc un kā dati jāapstrādā) atbildības aspekti, nodrošinot papildus garantijas godprātīgai un tiesiskai datu apstrādei, to panākot citastarp arī ar datu subjekta (fiziska persona, kuru var tieši vai netieši identificēt) kontroles tiesību paplašināšanu.
Regula paredz pienākumu ES dalībvalstīm noteikt datu uzraudzības institūciju, kuras kompetencē būs Regulas noteikumu uzraudzība. Latvijā par šādu uzraudzības iestādi tiek noteikta Datu valsts inspekcija, kura arī līdz šim ir veikusi personas datu uzraudzību.
Datu valsts inspekcija, izvērtējot datu aizsardzības pārkāpumus, piemēros principu “konsultē vispirms”, kura mērķis ir panākt, ka uzņēmējiem ir skaidri saprotami “spēles noteikumi” jeb piemērojamās prasības.
Datu valsts inspekcija nodrošinās, ka par Regulas pārkāpumiem paredzēto administratīvo naudas sodu piemērošana katrā konkrētā gadījumā ir iedarbīga, samērīga un atturoša.
Maksimālās sodu sankcijas par Regulas pārkāpumiem ir noteiktas Regulā. Tādejādi Administratīvo pārkāpumu kodeksā paredzētie sodi par personas datu aizsardzības pārkāpumiem, sākot ar Regulas piemērošanas uzsākšanas brīdi, vairs netiks piemēroti attiecībā uz privātpersonām.
Vienlaikus Regula paredz, ja naudas sods, kādu varētu uzlikt, radītu nesamērīgu slogu fiziskai personai, naudas soda vietā varēs izteikt rājienu.
Tāpat Regulā paredzēts obligāts pienākums iecelt personas datu aizsardzības speciālistu, ja apstrādi veic valsts iestāde vai struktūra, uzņēmums, kas apstrādā sensitīvus datus, kā arī datus par sodāmību un noziedzīgiem nodarījumiem un datu pārziņa vai apstrādātāja pamatdarbība sastāv no apstrādes darbībām, kurām to būtības, apmēra un / vai nolūku dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana.