Datu valsts inspekcijas Eiropas Savienības un starptautiskās

sadarbības nodaļas juriskonsults

Lauris Linabergs

67223131

24.04.2017., Rīga

Pārziņa atbildība un pienākumi Vispārīgās datu

aizsardzības regulu sagaidot

Ko vēstīs šī prezentācija?

• Pārziņa atbildība

• Pasākumi, kas pārzinim jāveic

• Rīki, kas var palīdzēt pārzinim pienākumu izpildē

- Personas datu aizsardzības speciālists

- Rīcības kodekss

- Ietekmes novērtējums

- Sertifikācija?

*Izmantotie saīsinājumi

- FPDAL - Fizisko personu datu aizsardzības likums

- VDAR - Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK

- DVI - Datu valsts inspekcija

- 29.panta darba grupa - Eiropas Parlamenta un Padomes 1995.gada 24.oktobra Direktīvas 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti 29.panta darba grupa

• Pārziņa atbildība pašlaik:

- Pārzinis atbildīgs par visu personas datu apstrādi

(FPDAL 2.panta 9.punkts);

- Operatora pilnvarojuma apjoms (FPDAL 14.pants);

- Nepieciešamo tehnisko un organizatorisko līdzekļu

lietošana (FPDAL 25.panta pirmā daļa);

- Kopīgā pārziņa definīcija nojaušama, bet nav ieviesta

(FPDAL 2.panta 9.punkts).

| 3

Pārziņa atbildība

24.04.2017., Rīga

• Pēc VDAR precīzāk definēti veicamie uzdevumi, kāarī noteikta atbildība operatoram:

- Operators var būt atbildīgs par kaitējumu, kasnodarīts ar apstrādi, tikai tad, ja tas nav izpildījis šajāregulā paredzētos pienākumus, kas konkrēti adresētiapstrādātājam, vai ja tas ir rīkojies neatbilstīgi vaipretēji pārziņa likumīgiem norādījumiem (VDAR82.panta 2.punkts).

- Joprojām galvenais atbildīgais ir pārzinis (VDAR24.pants);

- Integrēta datu aizsardzība un datu aizsardzība pēcnoklusējuma (VDAR 25.pants);

- Kopīgā pārziņa definīcija (VDAR 26.pants);

| 4

Pārziņa atbildība

24.04.2017., Rīga

• Noskaidrot vai pašreizējā apstrāde atbilst personas datu aizsardzības prasībām

*Piemēram, veicot personas datu apstrādes «auditu»

- Tai skaitā pārbaudot vai pašreizējajai personas datu apstrādei ir tiesiskais pamats;

- Veiktās personas datu apstrādes atbilstība datu aizsardzības principiem;

- Spējas izpildīt VDAR noteikto novērtējumu;

- Izvērtēt vai veiktās datu apstrādes raksturs prasa papildus veicamās darbības (piemēram, ietekmes novērtējuma izstrādi; datu aizsardzības speciālista norīkošanu).

• Efektīvāko risinājumu izvēle papildus drošības garantiju sniegšanai, ja tādi ir nepieciešami.

| 5

Pasākumi, kas pārzinim jāveic

24.04.2017., Rīga

1. Situācijas novērtējums;

2. Kāda informācija ir uzņēmuma rīcībā?

3. Vai uzņēmums var nodrošināt informācijas sniegšanas datu subjektam atbilstību VDAR prasītajam?

4. Vai organizācija ir gatava nodrošināt VDAR noteikto datu subjektu tiesību ievērošanu?

5. Vai organizācija spēs sniegt atbildi uz datu subjekta informācijas pieprasījumu?

6. Vai visi organizācijas apstrādātie personas dati tiek apstrādāti ar atbilstošu tiesisko pamatu?

7. Izvērtējiet vai saņemtās datu subjekta piekrišanas atbilst normatīvo aktu prasībām

| 6

12 Soļu plāns

(pirmie septiņi soļi)

24.04.2017., Rīga

8. Jānodrošina nepilngadīgo bērnu identifikācijas sistēma un to likumīgo aizbildņu piekrišanu identifikācija.

9. Pārliecinieties, ka spēsiet konstatēt datu aizsardzības pārkāpumus un iekšēji ir skaidra pārkāpumu paziņošanas kārtība?

10. Risku novērtējums par ietekmi uz datu aizsardzību.

11. Personas Datu aizsardzības speciālista piesaiste.

12. Ja organizācija ir starptautiska – jāidentificē, kura datu aizsardzības iestāde uzraudzīs.

| 7

12 Soļu plāns

(nākamie pieci soļi)

24.04.2017., Rīga

Risinājumi efektīvākas personas datu apstrādes atbilstības nodrošināšanai

1.Datu aizsardzības speciālists

• Profesionālā kvalifikācija, jo īpaši speciālas zināšanas datu aizsardzības tiesību un prakses jomā, kā arī spēja pildīt uzdevumus;

• Speciālists ir tieši atbildīgs pārziņa un augstākās vadības priekšā;

• Pārziņa un tā darbinieku informēšana un konsultēšana datu aizsardzības jautājumos;

• Pienākumu apjoms izsmeļoši noteikts VDAR 4. iedaļā

• Līdzeklis kā uzņēmējam parādīt rūpes par personas datu aizsardzību;

*Speciālistu var iecelt arī uzņēmumu grupa.

**29.panta darba grupas vadlīnijas

24.04.2017., Rīga | 8

Datu aizsardzības speciālisti Latvijā

- Uz 2017.gada 24.aprīli DVI kvalifikācija ir piešķirta 119 personas datu aizsardzības speciālistiem;

- Šogad DVI ir noorganizējusi 2 personas datu aizsardzības speciālista kvalifikācijas pārbaudījumus (2.martā un 23.martā);

- Šogad tiek plānoti vēl 3 kvalifikācijas pārbaudījumi (25.maijā, 29.septembrī un 30.novembrī).

*Aktuālā informācija DVI mājaslapā www.dvi.gov.lv

**Pašlaik Datu aizsardzības speciālistam ir jānodrošinaatbilstība FPDAL 21.1 panta otrajā daļā un Ministru kabineta2008.gada 5.februāra noteikumiem Nr.80 «Personas datuaizsardzības speciālista apmācību kārtība» noteiktajam.

| 924.04.2017., Rīga

Risinājumi efektīvākas personas datu apstrādes atbilstības nodrošināšanai

2.Rīcības kodeksi

• Pašreizējās prasības iekšējās datu aizsardzības dokumentācijas izstrādēprivātiem pārziņiem;

- Vienādas prasības gan juridiskām personām, gan fiziskām personām;

- Nav paredzēts mehānisms, kā uzņēmumi ar līdzīgu datu apstrādi varapvienot resursus datu aizsardzības mehānismu izstrādē.

• Kas var sagatavot un piemērot rīcības kodeksu? Rīcības kodeksaapstiprināšana.

- Apvienības un citas struktūras (piemēram, atsevišķas nozaruasociācijas), kas pārstāv pārziņu vai operatoru kategorijas (VDAR40.panta otrā daļa);

- Rīcības kodeksa, grozījumu vai papildinājumu projekts jāapstiprinauzraudzības iestādē (VDAR 40.panta piektā daļa);

- Rīcības kodeksa apstiprināšana, ja rīcības kodeksa projekts attiecas uzapstrādes darbībām vairākās dalībvalstīs (VDAR 40.panta septītā daļa);

- Izstrādes procesā jāiesaista visas datu apstrādē iesaistītās personas, taiskaitā datu subjekti (VDAR 99.apsvērums), personas datu aizsardzībasspeciālists.

24.04.2017., Rīga | 10

Risinājumi efektīvākas personas datu apstrādes atbilstības nodrošināšanai

3.Ietekmes novērtējums(Regulas 35.pants)

• Saskaņā ar regulā noteikto pārzinim (ne tikai valsts un pašvaldību iestādēm) būs primāri jāizvērtē personas datu apstrādes veids, jo īpaši ņemot vērā riskus, kas varētu tikt radīti, izmantojot jaunās tehnoloģijas.

• Pārzinis pirms personas datu apstrādes veic novērtējumu par to, kā pārziņa plānotās apstrādes darbības ietekmēs personas datu aizsardzību – novērtējums par ietekmi uz datu aizsardzību.

• Uzraudzības iestādē (DVI) tiks izstrādāti un publicēti saraksti ar tiem apstrādes darbības veidiem, attiecībā uz kuriem jāveic novērtējums par ietekmi uz datu aizsardzību.

• Novērtējuma veikšana – viena no iespējām, lai izvairītos no personas datu aizsardzības pārkāpumu pieļaušanas.

24.04.2017., Rīga | 11

Sertifikācija

• Dalībvalstis, uzraudzības iestādes, kolēģija un Komisija mudina, jo īpaši Savienības līmenī, izveidot datu aizsardzības sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus, lai uzskatāmi parādītu, ka apstrādes darbības, ko veic pārziņi un apstrādātāji, atbilst šai regulai. Ņem vērā mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības. (VDAR 42.pants);

- Sertifikācija ir brīvprātīga;

- Sertifikācija nemazina atbildību;

- Sertifikācija var nodot vēstījumu Jūsu klientiem.

• Sertifikātu izsniedz akreditēta sertifikācijas struktūra.

*Pašlaik notiek darbs pie iespējamo akreditācijas un sertifikācijas mehānismu izstrādes.

24.04.2017., Rīga | 12

Izaicinājumi atbildības jomā personas datu

aizsardzības jomā, naudas sodi

• Administratīvus naudas sodus apmērā līdz EUR 10 000000 vai, uzņēmuma gadījumā, līdz 2 % no tā kopējā visāpasaulē iepriekšējā finanšu gadā gūtā gada apgrozījumaatkarībā no tā, kuras summas apmērs ir lielāks, saskaņāpiemēro par šādu noteikumu pārkāpumiem:

a) pārziņa un apstrādātāja pienākumi;

b) sertifikācijas struktūras pienākumi;

c) pārraudzības struktūras pienākumi.

24.04.2017., Rīga | 13

Izaicinājumi atbildības jomā personas datu

aizsardzības jomā, naudas sodi

• Administratīvus naudas sodus apmērā līdz EUR 20 000 000 vai, uzņēmumagadījumā, līdz 4 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtāgada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks, piemēropar šādu noteikumu pārkāpumiem:

a) apstrādes pamatprincipi, tostarp nosacījumi par piekrišanu, ievērojot 5., 6., 7. un9. pantu;

b) datu subjekta tiesības;

c) personas datu nosūtīšana saņēmējam uz trešo valsti vai starptautiskuorganizāciju;

d) visi pienākumi, ievērojot dalībvalsts tiesību aktus, kuri pieņemti saskaņā ar IXnodaļu;

e) ja nav ievērots uzraudzības iestādes rīkojums vai pagaidu vai galīgs apstrādes vaidatu aprites ierobežojums saskaņā ar 58. panta 2. punktu, vai nav sniegta piekļuve,pārkāpjot 58. panta 1. punktu.

24.04.2017., Rīga | 14

Saites

• http://www.dvi.gov.lv/lv/category/zinas/ - Jaunumi no DVI;

• http://www.dvi.gov.lv/lv/datu-aizsardziba/starptautiska-sadarbiba/publikacijas/ - jaunumi par starptautisko sadarbību, tai skaitā 29.panta darba grupas izstrādātās vadlīnijas;

• http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm -29.panta darba grupas viedokļi.

• DVI ir: https://www.facebook.com/Datuvalstsinspekcija/https://twitter.com/?lang=en

*Vēršam uzmanību, ka 29.panta darba grupas viedokļi, vēstules unciti sagatavotie dokumenti ir viens no nozīmīgākajiem avotiempersonas datu aizsardzības jēdzienu un to piemērošanasinterpretācijā, tomēr, tajos paustais pašlaik nav DVI saistošs.

24.04.2017., Rīga | 15

Paldies par uzmanību!

Datu valsts inspekcija

Blaumaņa iela 11/13-15, Rīga, LV-1011

Konsultācijas un informāciju pa tālruni sniedz darba dienās no plkst. 13.00 līdz 15.00

Tel.: 67223131

Fakss: 67223556

E-pasts: info@dvi.gov.lv

www.dvi.gov.lv