Pirms gada, 2018. gada 25. maijā, sāka piemērot Vispārīgo datu aizsardzības regulu1 (turpmāk – Regula), kas nosaka stingrus tieši piemērojamus datu aizsardzības standartus visā Eiropas Savienībā (turpmāk – ES). Latvijā, līdzīgi kā pārējās ES valstīs, Regula bija liels izaicinājums uzņēmumiem un organizācijām, kas steidzās ieviest jaunās prasības. Vienlaikus tā radīja arī plašu rezonansi visā sabiedrībā. Reti kurš to varēja nepamanīt, saņemot daudzos e-pastus ar paziņojumiem par privātuma politikas atjaunošanu. Plaši izplatījās arī dažādi pārpratumi un joki par Regulu,2 un kā viens no pagājušā gada nozīmīgākajiem notikumiem tā tika pat atzīta Pusnakts šova ar Jāni Skuteli Vecgada speciālizlaidumā.
Kamēr Regulas piemērošanas pirmais gads Latvijā,3 līdzīgi kā citviet, bija visai mierīgs un tā tikai tagad lēnām pa īstam sāk darboties, rakstā tiek piedāvāts atskatīties uz pirmo praksi ES. Rakstā ir sniegts pārskats par Regulas piemērošanu nacionālajā līmenī, apkopojot ES uzraudzības iestāžu pirmo praksi, tai skaitā attiecībā uz datu aizsardzības pārkāpumu paziņošanas procedūru piemērošanu un pirmajiem sodiem par Regulas pārkāpumiem. Raksta turpinājumā ir detalizētāk apskatīti vairāki ES valstu uzraudzības iestāžu lēmumi, lai akcentētu tās Regulas prasības, kuru izpildīšanai būtu jāpievērš pastiprināta uzmanība arī Latvijas uzņēmumiem un iestādēm. Raksta nobeigumā ir iezīmētas Regulas attīstības tendences turpmākajos gados.
1. Kā Regulas piemērošanu uzsāka ES valstu uzraudzības iestādes?
Ne tikai uzņēmumi un iestādes, bet arī pašas uzraudzības iestādes pagājušā gada maijā vēl nebija gatavas uzsākt Regulas piemērošanu. Lai gan Regula ir tieši saistoša, valstīm bija pienākums un tās vispirms steidzās pieņemt nacionālos likumus, kas cita starpā noteiktu uzraudzības iestāžu pilnvaras.4 Lai gan kopš Regulas spēkā stāšanās 2016. gada maijā ir pagājuši jau trīs gadi, iepriekšējais gads arī bija "pārejas gads", kurā uzraudzības iestāžu viens no prioritāriem uzdevumiem bija skaidrot un palīdzēt ieviest Regulā noteiktās prasības.5
Personu sūdzības
Pirms regulas piemērošanas uzsākšanas tika izteikti dažādi minējumi par to, kas uzņēmumus un iestādes sagaida, un viena no prognozēm bija, ka uzraudzības iestādes tiks apbērtas ar daudzām personu sūdzībām. Eiropas Datu aizsardzības kolēģija 2019. gada martā publicēja pārskatu par Regulas piemērošanu, kurā norādīts, ka nacionālās uzraudzības iestādes pirmajos deviņos mēnešos kopš Regulas piemērošanas uzsākšanas saņēma vairāk nekā 94 000 sūdzību par Regulas pārkāpumiem.6 Eiropas Komisijas infografikā, kas publicēta 2019. gada februārī, ir norādīts, ka vairums sūdzību ir iesniegtas par telemārketingu, e-pasta paziņojumiem un videonovērošanu.7
Datu aizsardzības pārkāpumu paziņojumi
Ja augsto sūdzību skaitu varēja paredzēt, tad tas, kas netika prognozēts, bija ievērojamais datu aizsardzības pārkāpumu paziņojumu skaits, proti, pirmajos deviņos mēnešos uzraudzības iestādes saņēma vairāk nekā 64 000 paziņojumu par datu aizsardzības pārkāpumiem.8 Regula uzliek pienākumu pārziņiem 72 stundu laikā paziņot par datu aizsardzības pārkāpumu gan uzraudzības iestādēm, gan, ja pastāv augsts risks, personām (33., 34. pants). Datu aizsardzības pārkāpums pēc būtības ir drošības pārkāpums, kas skar personas datus (Regulas 4.12. pants).
Uzraudzības iestādes pagājušā gada laikā saņēma dažādu veidu paziņojumus, sākot no lieliem kiberuzbrukumiem, līdz maznozīmīgiem pārkāpumiem, kā, piemēram, USB atmiņas kartes pazaudēšana vai e-pasta nosūtīšana citam adresātam.
Saņemto paziņojumu skaits dažādās valstīs būtiski atšķiras.
Lai lasītu šo rakstu tālāk, Tev jābūt žurnāla abonentam.
Esošos abonentus lūdzam autorizēties:
Ja vēl neesi abonents, aicinām pievienoties lasītāju pulkam.
Iegūsi tūlītēju piekļuvi digitālajam saturam!
Mēnesī - tikai 9,99 eiro; vēl izdevīgāks - gada abonements. Piedāvājam trīs abonementu veidus!
Abonentu ieguvumi:
- Neierobežota pieeja arhīvam - 24 h/7
- Vairāk nekā 16 000 rakstu un 1800 autoru
- Visi tematiskie numuri un ikgadējie grāmatžurnāli
- Personalizētās iespējas - piezīmes, citāti, mapes