Ir pagājis jau gads, kopš Latvijas uzņēmumiem, organizācijām, kā arī valsts un pašvaldību iestādēm jānodrošina savas rīcības atbilstība Eiropas Parlamenta un Padomes Regulas 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK jeb Vispārīgās datu aizsardzības regulas prasībām (Regula). Turpinām aplūkot Regulas piemērošanā pieļautās kļūdas un nepilnības, kas jānovērš turpmākajā darbībā.
Attiecības ar apstrādātājiem organizētas neatbilstoši
Joprojām izplatīta ir kļūda par apstrādātājiem atzīt tādus pakalpojumu sniedzējus, kas atbilstoši Regulas noteikumiem atzīstami par pārziņiem. Piemēram, revīzijas pakalpojumu sniedzēji veic datu apstrādi klienta uzdevumā, bet šo apstrādi veic savā vārdā un darbojas kā neatkarīgi eksperti konkrētā nozarē, kas stingri regulēta normatīvajos aktos, piemēram, Revīzijas pakalpojumu likumā. Līdz ar to šāda veida pakalpojuma sniedzēji ir neatkarīgi pārziņi, nevis apstrādātāji. Pati pakalpojuma būtība liedz revidentam būt apstrādātājam – personai, kas personas datu apstrādi veic pārziņa vārdā un uzdevumā, pamatojoties uz pārziņa norādījumiem. Revidentam jāsniedz neatkarīgs viedoklis, atzinums, līdz ar to viņš nedrīkst pakļauties klienta norādījumiem kaut vai tikai attiecībā uz veikto personas datu apstrādi. Šādu viedokli tieši par revīzijas pakalpojumu sniedzējiem publiskojusi arī Datu valsts inspekcija. Tomēr joprojām, īpaši valsts iestādes, publisko iepirkumu ietvaros vēlas ar revidentiem slēgt līgumu, kurā revidents atzīts par apstrādātāju.