Nodaļas 01 Stājies spēkā: 2018. gada 25. maijs

GDPR

Vispārīgā datu aizsardzības regula

Pārskats

Vispārīgā datu aizsardzības regula (GDPR) ir ES datu aizsardzības tiesību stūrakmens. Tā aizstāja Datu aizsardzības direktīvu 95/46/EK un būtiski stiprināja indivīdu tiesības pār viņu personas datiem, vienlaikus uzliekot visaptverošus pienākumus datu pārziņiem un apstrādātājiem.[1]

GDPR attiecas uz jebkuru organizāciju, kas apstrādā ES iedzīvotāju personas datus, neatkarīgi no tā, kur organizācija ir reģistrēta. Šis ārpusteritoriālais darbības lauks ir padarījis GDPR par de facto globālu datu aizsardzības standartu.[2]

Kas ir jāievēro

  • Datu pārzinis: Organizācijas, kas nosaka personas datu apstrādes mērķus un līdzekļus
  • Datu apstrādātājs: Organizācijas, kas apstrādā personas datus pārziņa vārdā
  • Ne-ES subjekti: Jebkura organizācija, kas piedāvā preces/pakalpojumus ES iedzīvotājiem vai uzrauga viņu uzvedību
  • Visas nozares: Attiecas uz visām nozarēm ar ierobežotām izņēmumiem tiesībaizsardzībai un nacionālajai drošībai

Galvenās prasības izstrādātājiem

Likumsakarīgs apstrādes pamats

Katrai apstrādes darbībai jābūt derīgam juridiskam pamatojumam saskaņā ar 6. pantu:[3]

  1. Piekrišana: Brīvi dota, konkrēta, informēta un nepārprotama
  2. Līgums: Nepieciešams līguma izpildei ar datu subjektu
  3. Juridisks pienākums: Prasīts ES vai dalībvalsts likumā
  4. Dzīvības intereses: Datu subjekta vai citas personas dzīvības aizsardzība
  5. Sabiedrības interese: Nepieciešams sabiedrības interesēs vai oficiālai pilnvarai
  6. Leģitīmas intereses: Sabalansētas pret datu subjekta tiesībām (nav pieejams valsts iestādēm)

Tehniskās prasības

  • Datu minimizācija: Ievākt tikai to, kas nepieciešams norādītajam mērķim
  • Glabāšanas ierobežojums: Saglabāt personas datus tikai tik ilgi, cik nepieciešams
  • Integritāte un konfidencialitāte: Ieviest atbilstošus drošības pasākumus
  • Privātums pēc dizaina un pēc noklusējuma: Iebūvēt datu aizsardzību sistēmās no paša sākuma (25. pants)[4]

Datu subjektu tiesības

Lietojumprogrammām jāatbalsta šādas tiesības:

TiesībasAprakstsAtbildes laiks
Piekļuve (15. pants)Nodrošināt personas datu un apstrādes informācijas kopiju1 mēnesis
Labošana (16. pants)Koriģēt neprecīzus personas datusBez nepamatotas kavēšanās
Dzēšana (17. pants)Dzēst datus, kad tie vairs nav nepieciešamiBez nepamatotas kavēšanās
Apstrādes ierobežošana (18. pants)Ierobežot apstrādi noteiktos apstākļosBez nepamatotas kavēšanās
Pārvietojamība (20. pants)Nodrošināt datus mašīnlasāmā formātā1 mēnesis
Pretestība (21. pants)Pretojieties apstrādei, pamatojoties uz leģitīmām interesēmBez nepamatotas kavēšanās

Pārkāpumu paziņošana

  • Uzraudzības iestādei: 72 stundu laikā pēc uzzināšanas (33. pants)[5]
  • Datu subjektiem: Bez nepamatotas kavēšanās, ja pastāv augsts risks tiesībām un brīvībām (34. pants)
  • Dokumentācija: Uzturēt ierakstus par visiem pārkāpumiem neatkarīgi no paziņošanas prasības

Sodi

GDPR nosaka pakāpenisku sodu struktūru:

  • Zemākais līmenis: Līdz 10 miljoniem eiro vai 2% no gada globālā apgrozījuma, atkarībā no tā, kas ir lielāks
  • Augstākais līmenis: Līdz 20 miljoniem eiro vai 4% no gada globālā apgrozījuma, atkarībā no tā, kas ir lielāks[6]

Lielākās piemērotās naudas sodas ir:

  • Amazon ( Luksemburga, 2021): 746 miljoni eiro
  • Meta/Facebook (Īrija, 2023): 1,2 miljardi eiro
  • Google (Francija, 2022): 90 miljoni eiro

Īstenošanas kontrolsaraksts

  • Identificēt visas personas datu apstrādes darbības
  • Noteikt likumīgu pamatu katrai apstrādes darbībai
  • Ieviest piekrišanas pārvaldību, ja piemērojams
  • Izveidot privātuma paziņojumus, kas atbilst caurspīdības prasībām
  • Izveidot mehānismus datu subjektu pieprasījumu apstrādei
  • Ieviest atbilstošus drošības pasākumus
  • Noteikt pārkāpumu atklāšanas un paziņošanas procedūras
  • Veikt datu aizsardzības ietekmes novērtējumus augsta riska apstrādei
  • Ieņemt datu aizsardzības speciālista amatu, ja nepieciešams
  • Uzturēt apstrādes darbību reģistrus (RoPA)

Avoti un atsauces

[1]
Regula (ES) 2016/679 Eiropas Parlamenta un Padomes. EUR-Lex: GDPR oficiālais teksts
[2]
GDPR teritoriālais darbības lauks, 3. pants. GDPR.eu: Teritoriālais darbības lauks
[3]
Apstrādes likumība, 6. pants. GDPR-Info: 6. pants
[4]
Datu aizsardzība pēc dizaina un pēc noklusējuma, 25. pants. GDPR-Info: 25. pants
[5]
Paziņošana par personas datu pārkāpumu, 33. pants. GDPR-Info: 33. pants
[6]
Administratīvie sodi, 83. pants. GDPR-Info: 83. pants