Vispārīgā datu aizsardzības regula ir spēkā jau vairāk nekā trīs gadus. Daudzas prasības šajā laikā jau esam pieņēmuši kā pašsaprotamas, taču joprojām ir arī nianses, kas var radīt apjukumu. Piemēram, vai tiešām par katru pārkāpumu jāinformē Datu valsts inspekcija (DVI)? Vai jāziņo arī tad, ja darbā uz galda (nevis seifā) palikusi mape, kurā ir darbinieku dati?

Kas ir pārkāpums?

Regulas 2016/679 jeb Vispārīgās datu aizsardzības regulas (Regula) 4. panta 12. punktā noteikta personas datu aizsardzības pārkāpuma definīcija, proti, tas ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem. Tātad personas datu apstrādes pārkāpuma incidents ir gan netīšām nepareizi nosūtīts e-pasts citam adresātam, gan pazaudēts datu nesējs, gan kiberuzbrukuma rezultāts, ja personas dati nokļuvuši vai varēja nokļūt trešo personu rīcībā, kā arī likumdevēja norādīto prasību neievērošana, izpaužot personas datus, u.tml. Definējot personas datu aizsardzības pārkāpuma terminu, jāņem vērā, ka personas datu apstrādes tiesiskais ietvars noteikts ne tikai Regulā, bet jāvērtē kopā ar citiem saistošajiem normatīviem.

Piemērs no žurnālistu ikdienas

Lai labāk izprastu jautājumu par datu aizsardzības pārkāpumiem, aplūkošu piemēru no žurnālista ikdienas. Piemēram, žurnālists vēlas noskaidrot savus tiesiskos pienākumus personas datu apstrādē. Regulas 85. panta 1. punktā noteikts, ka dalībvalstis ar tiesību aktiem saglabā līdzsvaru starp tiesībām uz personas datu aizsardzību saskaņā ar Regulu un tiesībām uz vārda un informācijas brīvību, tostarp apstrādi žurnālistikas vajadzībām un akadēmiskās, mākslinieciskās vai literārās izpausmes vajadzībām. Tātad jau Regulā tiešā tekstā norādīts, ka tiesību normas piemērotājam jānoskaidro un jāizvērtē nacionālais tiesiskais regulējums.