Šī gada 5. jūlijā Latvijā ir stājies spēkā jaunais Fizisko personu datu apstrādes likums, kas nodrošina nacionālo regulējumu atsevišķās ar Vispārīgo datu aizsardzības regulu (turpmāk - VDAR) saistītās jomās.
Viens no galvenajiem VDAR mērķiem jau sākotnēji ir bijis panākt vienotu personas datu aizsardzības normatīva regulējuma nodrošināšanu starp Eiropas Savienības (ES) dalībvalstīm. Tomēr vienlaikus VDAR paredz noteiktas jomas, attiecībā uz kurām dalībvalstīm ir vai nu nepieciešams ieviest konkrētas prasības nacionālā līmenī, vai arī sniedz dalībvalstīm tiesības paredzēt noteiktus izņēmumus no VDAR.
Dalībvalstu nacionālā personas datu apstrādes regulējuma pieņemšana.
Lai arī kopš VDAR pieņemšanas dalībvalstīm tika dots samērīgs termiņš nacionālā personas datu aizsardzības regulējuma sakārtošanai atbilstoši VDAR nosacījumiem, tikai aptuveni trešdaļa dalībvalstu, ieskaitot Austriju, Vāciju, Slovākiju, Belģiju, Horvātiju, Dāniju, Īriju, Niīderlandi, Zviedriju un Apvienoto Karalisti, līdz ar pirmo VDAR piemērošanas dienu - 2018. gada 25. maiju - bija pieņēmušas attiecīgus personas datu aizsardzības likumus nacionālā līmenī.
Attiecīgi lielākā daļa dalībvalstu nacionālo datu apstrādes likumu ir pieņēmušas novēloti - pēc 2018. gada 25. maija. Šo dalībvalstu vidū ir tādas dalīvalstis kā Kipra, Francija, Ungārija, Malta un tostarp arī Latvija, kura Fizisko personu datu apstrādes likumu pieņēma 21. jūnijā, tam stājoties spēkā 5. jūlijā, un Lietuva, kuras personas datu apstrades likums tika pieņemts 30. jūnijā un stājās spēkā 16. jūlijā.
Neskatoties uz iepriekš minēto, vēl joprojām ir daļa dalībvalstu, ieskaitot Igauniju, Spāniju, Čehiju, Somiju, Poliju un citas ES dalībvalstis, kuras līdz augusta nogalei, kad top šis raksts, nav spējušas panākt iekšēju vienošanos par pieņemamu nacionālā datu apstrādes likuma redakciju, tādējādi veicinot sabiedrībā joprojām augošo neskaidrību par VDAR piemērojamību.
Latvijas nacionālais personas datu apstrādes regulējums
Lai arī VDAR noteikumi ir tieši piemērojami dalībvalstīs, ir virkne jomu, attiecībā uz kurām dalībvalstīm ir gan tiesības, gan pienākums izdot savu regulējumu. Viena no galvenajām jomām, kuru regulē nesen pieņemtais Fizisko personu datu apstrādes likums atbilstoši VDAR 54. un 58. panta prasībām, ir noteikumi par atbildīgo personas datu uzraudzības iestādi - Datu valsts inspekciju - un nosaka tās kompetenci un darbības pamatprincipus, tostarp paredzot konkrētu pārbaužu veikšanas procedūru.
Papildus regulējumam par uzraudzības iestādi, Fizisko personu datu apstrādes likums ietver šādus nosacījumus, attiecībā uz kuriem, atbilstoši VDAR, dalībvalstīm bija iespēja iekļaut savu regulējumu:
- atbilstoši VDAR 40. panta pirmajam punktam un 42. panta pirmajam punktam paredz datu aizsardzības sertifikācijas mehānismu un rīcības kodeksu pārraudzības institūcijās;
- atbilstoši VDAR 84. panta pirmajam punktam par sodu piemērošanas procesu, ko piemēro Datu valsts inspekcija atbilstoši VDAR 58. pantam, tie tiek noteikti atbilstoši administratīvo pārkāpumu lietvedību regulējošajiem normatīvajiem aktiem, ciktāl VDAR un Fizisko personu datu apstrādes likums nenosaka citādi;
- atbilstoši VDAR 85. panta pirmajam un otrajam punktam paredz konkrētus izņēmumus attiecībā uz personas datu apstrādi, kas tiek veikta saistībā ar vārda un informācijas brīvību, proti, regulējot mediju darbu;
- atbilstoši VDAR 8. panta pirmajam punktam pazemina vecuma slieksni, no kura sākot bērns ir tiesīgs sniegt savu piekrišanu datu apstrādei informācijas pakalpojumu tiešai sniegšanai, proti, nosakot, ka no 13 gadiem;
- atbilstoši VDAR 23. pantam paredz konkrētas atkāpes no VDAR regulējuma, piemēram, par videonovērošanas nosacījumiem, civilprasības par VDAR noteikumu pārkāpšanu celšanu un citas atkāpes.
Attiecīgi personas datu apstrādes jomā ir jāvadās no VDAR un Latvijas likuma, jo tas paredz nacionālo regulējumu noteiktās jomās. Šis aspekts ir jāņem vērā, veicot pārrobežu komercdarbību, jo arī citās dalībvalstīs ir nacionālie regulējumi (vai drīzumā būs) un to noteikumi var variēt no Latvijas regulējumā noteiktā (piemēram, attiecībā uz piekrišanu datu apstrādei no bērniem).
Publisku personu atbildība
VDAR 83. panta septītais punkts paredz, ka katra dalībvalsts var izstrādāt noteikumus par to, vai un līdz kādam apjomam administratīvos naudas sodus var piemērot konkrētās dalībvalsts publiskām iestādēm un struktūrām par regulas pārkāpumu.
No Fizisko personu datu apstrādes likuma gala versijas ir izņemti noteikumi par publisku personu administratīvo atbildību. Attiecīgi tas nozīmē, ka patlaban VDAR 83. pantā paredzētie soda apmēri nosaka tikai uz privātpersonu attiecināmu administratīvu sodu par VDAR prasību pārkāpšanu.
Publiskas personas atbildība par VDAR prasību pārkāpšanu ir nosakāma Administratīvo pārkāpumu kodeksa kārtībā, atbilstoši kuram publiskai personai piemērojamais maksimālais sods ir ievērojami zemāks par VDAR noteiktajiem soda apmēriem. Valsts un pašvaldību institūciju atbildība par personas datu apstrādes pārkāpumu var iestāties arī pēc vispārējās kārtības ar valsts un pašvaldības pienākumu atlīdzināt zaudējumus un kaitējumu.
Līdzšinējā Datu valsts inspekcijas prakse sodu piemērošanā
Daudzu valstu uzraudzības iestādes ir paudušas nostāju, ka regulas piemērošanas pirmajā gadā ir sagaidāma konsultēšana un skaidrojoša pieeja, kas tomēr neizslēdz sodu piemērošanu. Lai arī līdz šim ES mērogā nav izskanējuši skaļi skandāli attiecībā uz dalībvalstu un ES kompetento iestāžu piemērotajiem sodiem, nesenā Eiropas Komisijas prakse sodu piemērošanā par ES konkurences tiesību normu pārkāpumiem, uzņēmumam Google piespriežot sodu 4,34 miljardu eiro apmērā, uzskatāmi liecina par kompetento iestāžu gatavību piemērot normatīvajos aktos noteiktos sodus. Ņemot vērā minēto, aplēses liecina, ka, ja šāda prakse tiks piemērota arī attiecībā uz VDAR paredzēto sodu apmēru, Google sods par datu aizsardzības noteikumu pārkāpšanu ES varētu sasniegt līdz pat 8 miljardiem eiro.
Vēl jo vairāk, būtiski, ir ņemt vērā faktu, ka arī sabiedrības vispārējā izpratne par personas datiem (kas tie ir, kādas ir indivīdu tiesības) pēdējā laikā ir ievērojami augusi, kas attiecīgi veicina arī indivīdu vēlmi sevi aizsargāt un uzdot jautājumus profesionāļiem, kā arī uzraugošajām iestādēm - vai konkrētā personas datu apstrāde tiek veikta atbilstoši VDAR. Tas var ievērojami veicināt uzraugoši iestāžu sodu piemērošanu.
Latvijā publiski ir izskanējis gadījums, kur Datu valsts inspekcija ir piemērojusi sodu par nepamatotu datu apstrādi (proti, tiesvedības ietvaros tiesā iesniegtā Zemesgrāmatu izdruka ir saturējusi personas datus, kuru apstrādei nav bijis tiesisks pamats). Šī prakse uzskatāmi norāda, ka nevar paļauties uz "atlaidēm" no uzraugošās iestādes puses, joj ne vienmēr tiks izmantota pieeja - konsultēt, pirms sodīt.
Raksta oriģināls pubicēts žurnālā "Jurista Padoms", Nr. 9 (63), 2018. gada septembris.