Esam priecīgi jūs iepazīstināt ar īsu pārskatu par Vispārīgās datu aizsardzības regulas (VDAR) piemērošanu trīs Baltijas valstīs pēdējā gada laikā. Pārskats ir sniegts par datu aizsardzības iestāžu, uzņēmumu un datu subjektu darbībām.
Lietuva
Valsts datu aizsardzības inspekcija par VDAR piemērošanu
Lietuvas Republikas Valsts datu aizsardzības inspekcija (SDPI) ir publicējusi noderīgu informāciju par VDAR piemērošanu Lietuvas Republikā pēdējā pusgada laikā, kad tika piemērota VDAR.
Saskaņā ar publicēto informāciju Lietuvas SDPI nav uzlikusi naudas sodus saskaņā ar VDAR, tomēr SDPI pēc savas iniciatīvas ir veikusi 19 pārbaudes organizācijās. Izrādās, ka 18 gadījumos ir konstatēti datu apstrādes pārkāpumi un SDPI ir sniegusi šīm organizācijām tikai norādījumus. Minētās organizācijas darbojas pārtikas, mājsaimniecības preču, farmācijas preču tirdzniecības nozarēs, un lielākā daļa pārkāpumu ir konstatēti šo uzņēmumu īstenoto tiešā mārketinga un lojalitātes programmu jomā.
Privātajā sektorā
Saskaņā ar SPDI statistiku vairāk nekā 700 privāto un vairāk nekā 700 publiskā sektora pārstāvju ir paziņojuši SDPI par datu aizsardzības speciālista iecelšanu. Ņemot vērā darbības veidu, lielākā daļa ir valsts iestādes, kā arī organizācijas, kas aktīvi darbojas finanšu pakalpojumu, izglītības un kultūras, veselības aprūpes un tiesību aizsardzības jomā utt.
Datu subjektu rīcība
Sākot no 25. maija, kad tika uzsākta VDAR piemērošana, datu subjektu sūdzību skaits ir pieaudzis gandrīz par pusi salīdzinājumā ar iepriekšējiem gadiem, proti, 2018. gadā ir saņemtas gandrīz 800 sūdzības. Datu subjektu sūdzības tika iesniegtas galvenokārt par personas datu nelikumīgu apstrādi tiešās tirdzniecības nolūkos, īpašas personas datu kategorijas nelikumīgu apstrādi, nelikumīgu videonovērošanu utt.
SDPI norādīja, ka iestāde ir saņēmusi vairāk nekā 80 paziņojumus par datu pārkāpumiem. Lielākā daļa šādu datu pārkāpumu tika iesniegti informācijas izpaušanas, nozaudēšanas, personas datu zādzības un to nelikumīgas kopēšanas dēļ.
Latvija
Datu aizsardzības inspekcija par VDAR piemērošanu
VDAR piemērošanas laika posmā Datu valsts inspekcija (DVI) ir uzsākusi 74 pārkāpumu lietas un izdevusi četrus brīdinājumus [1]. Par VDAR pārkāpumiem vēl nav uzliktas soda naudas [2]. Tomēr saskaņā ar Fizisko personu datu aizsardzības likumu (spēkā līdz 2018. gada jūlijam) ir uzlikts naudas sods 1400 eiro apmērā par tiesā iesniegtu zemesgrāmatas izdruku, kurā bija iekļauti personu, kas nav tiesvedības puses, dati (vārdi, uzvārdi, personas kodi), kas netika anonimizēta, lai slēptu nevajadzīgu informāciju. Iespējams, soda naudas piemērošanas apstākļi varētu raksturot turpmāku naudas sodu piemērošanu atbilstoši VDAR.
Kopš 2018. gada 25. maija DVI nav bijusi īpaši aktīva skaidrojošajā darbā, tīmekļa vietnes sadaļā “ziņas” publicējot ap divdesmit ziņu ierakstiem, no kuriem septiņi līdz deviņi informē vai skaidro ar VDAR piemērošanu saistītus jautājumus.
Privātajā sektorā
Bez spēcīga vietējās uzraudzības iestādes atbalsta lielie uzņēmumi jau ir smagi strādājuši, lai nodrošinātu atbilstību, tomēr mazo un vidējo uzņēmumu sektorā vēl ir daudz darāmā. Uzņēmumiem atbilstības nodrošināšana prasa nozīmīgu resursu ieguldījumu, daudzi VDAR noteikumi ir neskaidri un izplūduši, mazie uzņēmumi cīnās pat ar visbūtiskākajiem regulas aspektiem. Arī valsts sektors joprojām strādā, lai panāktu atbilstību. No 119 pašvaldībām, kurām ir pienākums iecelt datu aizsardzības inspektoru, tikai 26 ir izpildījušas prasības [3].
Datu subjektu rīcība
DVI ir saņēmusi 1051 sūdzību VDAR [4] piemērošanas laikā, kas liecina, ka datu subjekti samērā aktīvi izmanto VDAR. Daži DVI iesniegto sūdzību piemēri ir personas datu apstrāde komerciālām vajadzībām, identitātes zādzība, kā arī nepilngadīgu personu datu apstrāde. Datu subjekti ne vienmēr labticīgi izmanto savas tiesības — dažu datu piekļuves pieprasījumu mērķis ir iebildumi pret pakalpojuma noteikumiem, izmantojot VDAR kā līdzekli, lai saņemtu atvieglojumus no pārziņa. Aktuāls ir jautājums, vai indivīdu ieguvumi ir nozīmīgāki par būtisku izmaksu palielinājumu uzņēmumiem, kuriem datu subjektu pieprasījumu izskatīšana VDAR noteiktā termiņā sagādā grūtības.
Igaunija
Valsts datu aizsardzības inspekcija par VDAR piemērošanu
Igaunijas Datu aizsardzības inspekcija (EDPI) ir bijusi aktīva skaidrojošā darbā – izglītojot tirgus dalībniekus un sniedzot informāciju par VDAR. EDPI pašlaik strādā pie vadlīniju atjaunināšanas, lai tās būtu saskaņotas ar VDAR [5]. EDPI ir publicējusi skaidrojumus un vispārīgus padomus par saviem sociālajiem medijiem, piemēram, liela mēroga apstrādes jomā. Tomēr minētie apraksti sociālajos medijos ir orientējoši, un tie nav jāinterpretē kā EDPI oficiālie paziņojumi. EDPI nav informējis par lieliem incidentiem vai sodanaudu.
Oficiālā statistika par 2018. gadu pagaidām nav pieejama. Taču EDPI paziņojumā presei [6] paziņoja, ka sūdzību skaits nav palielinājies, tomēr būtiski lielāks ir bijis saņemto zvanu skaits EDPI konsultāciju līnijā — šogad no maija līdz augusta beigām 960 zvani, pērn tikai 453 zvani. Arī skaidrojumu pieprasījumi šogad ir bijuši iecienīti. EDPI vispārīgais secinājums ir tāds, ka karstie jautājumi ir palikuši nemainīgi, piemēram, jautājumi par personas datu apstrādi darba attiecībās un tiešā mārketinga jomā. Jaunums ir jautājumi par datu aizsardzības speciālistiem (DPO), jo Igaunijā DPO nozīmēšana nav bijusi obligāta; jautājumi par datu aizsardzības pārkāpumu paziņošanu un personas datu pārsūtīšanu ārpus ES.
Privātajā sektorā
Igaunijas uzņēmumiem ir atšķirīgs VDAR un atbilstošas rīcības izpratnes līmenis. Lieli un vidēja lieluma uzņēmumi, visticamāk, ir izpildījuši vismaz VDAR minimālo programmu, aplūkojot to apstrādes darbības, atjauninot konfidencialitātes politiku, apkopojot datu pārkāpumu rīcības plānus un vadlīnijas. Attiecībā uz datu ietilpīgiem uzņēmumiem darbs ir bijis intensīvāks – tika veikti datu aizsardzības ietekmes novērtējumi, datu apstrādes revīzija un vispārīgi datu aizsardzības pasākumi.
Datu subjektu rīcība
Datu subjektu darbībās lielas izmaiņas nav redzamas. Lielāku datu reģistru turētāji/īpašnieki ir saņēmuši vairāk informācijas pieprasījumu un pieprasījumus dzēst visu informāciju par datu subjektu. Tātad, tipiski informācijas, piekļuves un dzēšanas pieprasījumi.
Šī bloga raksta autori ir Julianna Antonova, Arina Stivrina, Goda Sukackaite un Maarja Lehemeti.
[1] g. Suhoveckis, G. Feldmanis. LNT Ziņu TOP 10. Būtiski pieaudzis sūdzību skaits par personas datu apstrādi [TV raidījums].
Pieejams: https://tvplay.skaties.lv/lnt-zinu-top-10/lnt-zinu-top-10-10297751/.
Skatīts 2018. gada 3. decembrī.
[2] Ibid.
[3] Ibid.
[4] Ibid.
[5] Vadlīnijas pieejamas Datu aizsardzības inspekcijas mājaslapā. [6] Paziņojums presei pieejams igauņu valodā.
