2016. gada 14. aprīlī Eiropas Parlaments apstiprināja Vispārīgo datu aizsardzības regulu (VDAR), kas aizstās šobrīd spēkā esošo 1995. gadā pieņemto Datu aizsardzības direktīvu, kuras prasības katra no ES dalībvalstīm bija iekļāvusi savā nacionālajā regulējumā. Savukārt VDAR attieksies uz visām ES dalībvalstīm bez nepieciešamības iestrādāt to nacionālajā tiesību regulējumā.
VDAR stāsies spēkā 20 dienas pēc tās publicēšanas ES Oficiālajā Vēstnesī. Publicēšana paredzēta tuvāko nedēļu laikā. VDAR noteikumi būs tieši piemērojami visās ES dalībvalstīs pēc tam, kad no tās publicēšanas dienas būs pagājuši divi gadi, tātad – aptuveni 2018. gada maijā – jūlijā.
VDAR iekļauj virkni noteikumu, kuriem būs būtiska ietekme uz personu datu apstrādes darbībām un uzņēmumu iekšējiem noteikumiem. Tālāk uzskaitīsim dažas no būtiskākajām izmaiņām salīdzinājumā ar pastāvošo regulējumu:
- Lielas soda naudas par personas datu aizsardzības noteikumu pārkāpumiem: par nenozīmīgiem pārkāpumiem līdz 2%, bet par smagiem pārkāpumiem līdz 4% no uzņēmuma iepriekšējā gada ienākumiem visā pasaulē. Uzņēmumu grupu gadījumā soda naudas apmērs var tikt rēķināts, par pamatu izmantojot grupas konsolidētos ienākumus pasaules mērogā.
- Uzņēmumiem, kas atrodas ārpus ES un kuri apstrādā ES datu subjektu personas datus, arī jārīkojas saskaņā ar ES datu aizsardzības prasībām. Šīs prasības attieksies arī uz uzņēmumiem, kuru komercdarbības aktivitātes ir vērstas uz ES.
- Uzņēmumiem jāaizpilda un jāglabā dokumenti par veiktajām personas datu apstrādes darbībām. Veicot darbības, kas saistītas ar paaugstinātu risku, jāizstrādā datu aizsardzības ietekmes izvērtējums. No otras puses, attiecībā uz daudzām situācijām ir atcelts paziņošanas pienākums un prasība saņemt vietējās datu aizsardzības uzraudzības institūcijas piekrišanu personas datu apstrādei.
- Uzņēmumiem, veicot jebkādas darbības, piedāvājot pakalpojumus vai produkciju, jānodrošina to atbilstība personas datu aizsardzības prasībām, ieviešot šīs prasības jau sākotnējā pakalpojumu vai produkcijas izstrādes posmā (integrētais privātums).
- Jauni noteikumi par datu aizsardzības pārkāpumu paziņošanu. Par tādiem pārkāpumiem, kuri var ietekmēt personu tiesības un brīvības, jāziņo vietējām datu aizsardzības uzraudzības institūcijām un noteiktos gadījumos arī datu subjektiem.
Neskatoties uz tiešo ietekmi, VDAR paredzēti arī dažādi izņēmumi, kuros dalībvalstu vietējie tiesību akti var precizēt VDAR noteikumus un Eiropas Komisija var pieņemt attiecīgus ieviešanas aktus. Tādēļ joprojām būs nepieciešams analizēt arī dalībvalstu nacionālos tiesību aktu.
Lai jaunās prasības pagūtu izpildīt līdz 2018. gadam, mēs iesakām izstrādāt prasību ieviešanas plānu. Ņemot vērā iespējamo sodu bardzību, šo sagatavošanos un plānošanu noteikti nevajadzētu novērtēt par zemu.
|