Saskaņā ar Vispārīgo datu aizsardzības regulu (VDAR) valsts datu aizsardzības iestādes ir atbildīgas par tās izpildi. Katrai EEZ valstij ir sava neatkarīga datu aizsardzības iestāde, kas pārrauga VDAR piemērošanu, tostarp sūdzību izskatīšanu. Attiecībā uz datu apstrādi, kas notiek vairāk nekā vienā EEZ valstī, VDAR paredz kompetento datu aizsardzības iestāžu sadarbības sistēmu, kurā tās sadarbojas, lai panāktu vienprātību. Iepazīstieties ar pārskatu par datu aizsardzības iestādēm.
VDAR paredz noteiktas tiesības fiziskām personām, tostarp tiesības iesniegt sūdzību kompetentajai iestādei, ja tās uzskata, ka ir pārkāptas viņu datu aizsardzības tiesības.
Datu aizsardzības iestāžu (DAI) uzdevumi un pilnvaras
Datu aizsardzības iestāžu uzdevumi
Katras EEZ datu aizsardzības iestādes pienākums ir uzraudzīt un nodrošināt VDAR piemērošanu un veicināt sabiedrības informētību un izpratni par riskiem, noteikumiem, garantijām un tiesībām saistībā ar personas datu apstrādi. Datu aizsardzības iestādēm ir arī uzdevums konsultēt valdību, iestādes un struktūras un sniegt informāciju jebkurai personai par viņu tiesību īstenošanu. Datu aizsardzības iestādes arī veicina pārziņu un apstrādātāju informētību par viņu pienākumiem saskaņā ar VDAR. Datu aizsardzības iestādes izskata personu sūdzības, veic izmeklēšanu par VDAR pareizu piemērošanu un sadarbojas ar citām datu aizsardzības iestādēm VDAR piemērošanā. Iestādes ir atbildīgas arī par:
- līguma standartklauzulu pieņemšanu un apstiprināšanu;
- uzņēmuma saistošo noteikumu apstiprināšanu;
- rīcības kodeksu apstiprināšanu;
- datu aizsardzības sertifikācijas mehānismu izveides veicināšanu;
- ieguldījumu EDAK darbībās;
- visu citu ar personas datu aizsardzību saistīto uzdevumu izpildīšanu.
Lasīt vairāk
Datu aizsardzības iestāžu pilnvaras
Saskaņā ar VDAR datu aizsardzības iestādēm tika ievērojami paplašinātas pilnvaras. VDAR 58. pantā ir noteiktas katras valsts iestādes pilnvaras, iedalot tās trīs plašās grupās:
- izmeklēšanas pilnvaras;
- korektīvās pilnvaras;
- padomdevēja pilnvaras.
Izmeklēšanas pilnvaras
Datu aizsardzības iestādes īsteno savas izmeklēšanas pilnvaras, lai noteiktu, vai ir pārkāpta VDAR, tās darbības joma un būtība. Datu aizsardzības iestādes cita starpā var:
- Uzdot organizācijām sniegt jebkādu informāciju, kas saistīta ar izmeklēšanu;
- Veikt izmeklēšanu datu aizsardzības revīziju veidā un informēt organizācijas par iespējamu VDAR pārkāpumu.
- Saskaņā ar ES un valsts procesuālajiem tiesību aktiem iegūt piekļuvi visiem organizācijas rīcībā esošajiem personas datiem un visai informācijai, kas nepieciešama tās uzdevumu veikšanai, tostarp piekļuvi jebkurām organizācijas telpām, arī datu apstrādes iekārtām un līdzekļiem.
- Pārskatīt sertifikātus, kas izdoti saskaņā ar VDAR 42. panta 7. punktu.
Korektīvās pilnvaras
Ja izmeklēšanas rezultātā tiek konstatēts VDAR noteikumu pārkāpums vai tiek uzskatīts, ka apstrādes darbība rada risku vai neatbilst konkrētām prasībām, datu aizsardzības iestādēm ir tiesības īstenot vienu vai vairākas korektīvās pilnvaras, piemēram:
- Brīdinājumu vai apstrādes aizliegumu: ja pastāv risks, tad DAI varētu izteikt brīdinājumus organizācijām, lai nepieļautu, ka to apstrādes darbības pārkāpj VDAR noteikumus. Datu aizsardzības iestādes var arī noteikt pagaidu vai galīgu ierobežojumu, tostarp aizliegumu organizācijām veikt apstrādi, kā arī likt tām paziņot attiecīgajām personām par datu aizsardzības pārkāpumiem.
- Rīkojumu novērst neatbilstības: lai nodrošinātu atbilstību VDAR vai izskatītu gadījumus, kad nav izpildīti konkrēti kritēriji vai prasības, datu aizsardzības iestādes ir pilnvarotas uzdot organizācijām izpildīt personu pieprasījumus īstenot savas tiesības saskaņā ar VDAR. Konkrētos gadījumos organizācijām var pieprasīt, lai tās noteiktā veidā un noteiktā termiņā nodrošina savu apstrādes darbību atbilstību VDAR noteikumiem.
- Datu plūsmu apturēšanu vai sertifikācijas anulēšanu: datu aizsardzības iestādes varētu arī īstenot savas pilnvaras, lai apturētu datu plūsmu starptautiskām organizācijām vai saņēmējiem trešās valstīs. Turklāt tās varētu atsaukt sertifikātu vai likt sertifikācijas iestādei atsaukt izdoto sertifikātu saskaņā ar VDAR 42. un 43. pantu. Gadījumos, kad sertifikācijas prasības nav izpildītas vai vairs netiek izpildītas, tās var uzdot sertifikācijas iestādei sertifikātu neizsniegt.
- Rājienu: konstatēto pārkāpumu gadījumā datu aizsardzības iestādes organizācijām var izteikt rājienu.
- Naudas sodus: Papildu iepriekš minētajiem pasākumiem vai to vietā datu aizsardzības iestādes var piemērot arī administratīvos naudas sodus saskaņā ar VDAR 83. pantu. Administratīvo sankciju režīmā ir nepieciešams izvērtēt katra atsevišķa pārkāpuma apstākļus katrā konkrētā gadījumā. Vērtējot būtu jāņem vērā tādi faktori kā pārkāpuma veids, smagums un ilgums, tīšs vai netīšs pārkāpums, visi iespējamie īstenotie kaitējuma mazināšanas pasākumi, tehniskie un organizatoriskie (t. i., drošības) pasākumi, kas ir īstenoti, kā arī veids, kā par šo gadījumu uzzināja DAI.
Iespējamās sankcijas maksimālais apmērs būs atkarīgs no pārkāpuma veida:
- tas var sasniegt maksimālo summu līdz 10 miljoniem eiro vai 2 % no kopējā gada apgrozījuma pasaulē iepriekšējā finanšu gadā (piemēram, par “integrētas privātuma aizsardzības un privātuma aizsardzības pēc noklusējuma” pārkāpumu, pienākuma noslēgt datu apstrādes līgumu neievērošanu vai datu aizsardzības ietekmes novērtējuma neveikšanu vai datu aizsardzības speciālista neiecelšanu) saskaņā ar VDAR 83.4. pantu; vai
- tas var sasniegt ne vairāk kā 20 miljonus vai 4 % no kopējā apgrozījuma visā pasaulē iepriekšējā finanšu gadā (piemēram, apstrādes pamatprincipu pārkāpuma, nelikumīgas personas datu apstrādes bez tiesiska pamata vai datu subjekta tiesību pārkāpuma gadījumā) saskaņā ar VDAR 83. panta 5. punktu.
Sīkāku informāciju par administratīvajiem sodiem, kas saistīti ar dažādu VDAR pantu pārkāpumiem, varat atrast VDAR 83. pantā un EDAK vadlīnijās par administratīvo naudas sodu aprēķināšanu.
Padomdevējas pilnvaras
Katrai DAI saskaņā ar VDAR ir īpašas atļaujas un padomdevēja funkcijas, kas dod iespēju palīdzēt organizācijām vai apstiprināt konkrētas apstrādes darbības.
Piemēri:
- Iepriekšēja apspriešanās: konsultēt pārziņus iepriekšējas apspriešanās procedūras ietvaros saskaņā ar VDAR 36. pantu.
- Atzinumi par likumdošanas darbībām: pēc savas iniciatīvas vai pēc pieprasījuma sniedz atzinumus savas valsts valdībai vai saskaņā ar valsts tiesību aktiem — citām iestādēm un struktūrām, kā arī sabiedrībai par jebkuru jautājumu, kas saistīts ar personas datu aizsardzību.
- Rīcības kodeksi un sertifikācija: rīcības kodeksu projektu apstiprināšana, sertifikācijas iestāžu akreditācija vai sertifikātu izsniegšana un sertifikācijas kritēriju apstiprināšana.
Uz datu aizsardzības iestāžu iepriekš minēto pilnvaru īstenošanu attiecas piemērotas garantijas, tostarp efektīvi tiesiskās aizsardzības līdzekļi un pienācīga tiesvedība, kā noteikts ES un valsts tiesību aktos saskaņā ar ES Pamattiesību hartu. Katra datu aizsardzības iestāde ir pilnvarota vērst tiesu iestāžu uzmanību uz VDAR pārkāpumiem un attiecīgā gadījumā ierosināt tiesvedību vai citādi uzsākt tiesvedību, lai nodrošinātu VDAR noteikumu izpildi. Datu aizsardzības iestādēm var piešķirt papildu pilnvaras saskaņā ar valsts tiesību aktiem.
Lasīt vairāk
Sadarbība un “vienas pieturas aģentūra”
VDAR piemēro visā EEZ, izmantojot standartizētus datu aizsardzības noteikumus visās valstīs. Šī pieeja atbalsta starptautisku uzņēmumu, kā arī MVU centienus attīstīties un augt, piedāvājot savus pakalpojumus vairāk nekā vienā EEZ valstī.
Lai samazinātu administratīvo slogu, kas saistīts ar personas datu apstrādi divās vai vairākās EEZ valstīs, VDAR paredz datu aizsardzības iestāžu sadarbības sistēmu - tā saukto “vienas pieturas aģentūras” mehānismu, lai panāktu vienprātību starp daudzām datu aizsardzības iestādēm.
Piemēram, ja organizācija apstrādā datus divās vai vairākās EEZ valstīs, kompetentā iestāde, kas izskatīs sūdzību vai datu aizsardzības pārkāpumu, būs tās valsts iestāde, kurā atrodas pārziņa galvenā uzņēmējdarbības vieta. Tas atvieglo darbu pārziņiem, jo tiem nav jāievēro atšķirīgi tiesību akti katrā valstī, kurā tie darbojas. Turklāt viņiem ir jāsadarbojas tikai ar vienu datu aizsardzības iestādi. Atkarībā no uzņēmējdarbības veida un jūsu piedāvātajiem produktiem un pakalpojumiem pārrobežu apstrāde var attiekties arī uz jūsu MVU. Daudzi mazāki uzņēmumi, piemēram, tiešsaistes veikali, e-komercijas vietnes, mobilās un datorprogrammas, piedāvā pakalpojumus vairākās valstīs.
Ja jūsu MVU apstrādā personas datus dažādās EEZ valstīs, jums ir pienākums noteikt, kura ir kompetentā DAI vai vadošā iestāde. Tā parasti ir DAI, kas atrodas EEZ valstī, kurā atrodas jūsu organizācija un kurā tiek pieņemti lēmumi par personas datu apstrādes nolūkiem.
Praksē
- Piemēram, tiešsaistes mazumtirgotāji, pārdodot apģērbu savos interneta veikalos klientiem vairākās EEZ valstīs, var un bieži arī veic personas datu apstrādi. Šādā pārrobežu gadījumā kompetentajai iestādei ir jābūt valstij, kurā atrodas tiešsaistes mazumtirgotāja galvenā uzņēmējdarbības vieta (“princips, kurā veic uzņēmējdarbību”).
Kad esat noskaidrojis, kura DAI ir vadošā, jums ir jāsazinās tikai ar to. Vadošā DAI sadarbojas un piedalās diskusijās ar citām attiecīgajām EEZ datu uzraudzības iestādēm.
Ja sūdzība ar pārrobežu elementu ir jāizskata saistībā ar sadarbību ar citu DAI, ir jāveic šādi pasākumi:
- Ja sūdzība ir saņemta citai DAI, tai ir pienākums informēt vadošo DAI par šo lietu;
- Attiecīgā DAI var piedalīties lēmuma par sūdzību sagatavošanā;
- Sagatavojot lēmumu, vadošajai DAI jāņem vērā attiecīgās DAI atzinums.
Vadošās datu aizsardzības iestādes noteikšana
Galvenie jēdzieni
Personas datu pārrobežu apstrāde
Saskaņā ar VDAR vadošās datu aizsardzības iestādes noteikšana ir svarīga tikai organizācijām, kas veic personas datu pārrobežu apstrādi.
VDAR “pārrobežu apstrāde” ir definēta kā:
- personas datu apstrāde, kas notiek vairāk nekā vienā EEZ valstī, kurā pārzinis vai apstrādātājs veic uzņēmējdarbību vairāk nekā vienā EEZ valstī; vai
- personas datu apstrāde, kas notiek vienā organizācijā EEZ, bet būtiski ietekmē vai var ietekmēt personas vairāk nekā vienā EEZ valstī.
Praksē
- Tas nozīmē- ja organizācijai ir filiāles, piemēram, Vācijā un Horvātijā, un personas datu apstrāde notiek to darbības ietvaros, tā būs pārrobežu apstrāde.
- Tāpat organizācijai var būt uzņēmums tikai Vācijā. Tomēr, ja tā apstrādes darbība būtiski ietekmē vai var būtiski ietekmēt personas Vācijā un Horvātijā, tā arī būs pārrobežu apstrāde.
Kā izprast jēdzienu “būtiskas ietekme”?
Tas, ka organizācija vairākās EEZ valstīs apstrādā lielu personas datu apjomu, ne vienmēr nozīmē, ka apstrādei ir vai var būt būtiska ietekme. Apstrāde ar nelielu ietekmi vai bez tās nav uzskatāma par pārrobežu apstrādi neatkarīgi no tā, cik personas tā ietekmē.
Datu aizsardzības iestādes jēdzienu “būtiska ietekme” interpretē, vērtējot katru gadījumu atsevišķi. Tās ņem vērā apstrādes kontekstu, datu veidu, apstrādes nolūku un faktorus, piemēram, to, vai apstrāde:
- rada vai var radīt kaitējumu, zaudējumu vai diskomfortu personām;
- faktiski ierobežo vai var ierobežot personu tiesības vai liedz iespējas;
- ietekmē vai var ietekmēt cilvēku veselību, labklājību vai mieru;
- ietekmē vai var ietekmēt personas finansiālo vai ekonomisko stāvokli;
- padara personas neaizsargātas pret diskriminējošu un netaisnīgu attieksmi;
- ietver īpašu kategoriju personas datu, jo īpaši bērnu personas datu, analīzi;
- liek vai var likt indivīdiem būtiski mainīt savu uzvedību;
- rada cilvēkiem neparedzētas vai nevēlamas sekas;
- rada neērtības vai citas negatīvas sekas, tostarp kaitējumu reputācijai; vai ietver plašu personas datu apstrādi.
Vadošā datu aizsardzības iestāde
Vienkārši sakot, “vadošā datu aizsardzības iestāde” ir datu aizsardzības iestāde, kas ir primāri atbildīga par pārrobežu datu apstrādes darbību, piemēram, ja persona iesniedz sūdzību par savu personas datu apstrādi. Vadošā DAI koordinē izmeklēšanu un sadarbojas ar “iesaistītajām” DAI. Vadošās DAI noteikšana ir atkarīga no tā, kur ES atrodas pārziņa “galvenā uzņēmējdarbības vieta” vai “vienīgā uzņēmējdarbības vieta”.
Ja organizācija ir izveidota tikai vienā EEZ valstī, tai ir viens uzņēmums EEZ, un šīs valsts DAI būs vadošā DAI.
Ja organizācija ir reģistrēta vairāk nekā vienā EEZ valstī, ir jānosaka tās galvenā uzņēmējdarbības vieta, lai varētu identificēt, kura ir vadošā DAI.
Lasīt vairāk
Galvenā uzņēmējdarbības vieta
Lai noteiktu, kur atrodas galvenā uzņēmējdarbības vieta, vispirms ir jānosaka organizācijas centrālās administrācijas atrašanās vieta EEZ (“centrālās administrācijas vieta; galvenā mītne”), ja tāda ir. Tā ir vieta, kur tiek pieņemti lēmumi par personas datu apstrādes nolūkiem un līdzekļiem.
Gadījumos, kad lēmumus par dažādām pārrobežu apstrādes darbībām pieņem centrālā administrācija, attiecībā uz dažādām datu apstrādes darbībām, ko veic starptautiskais uzņēmums, EEZ būs viena vadošā DAI. Tomēr var būt gadījumi, kad iestāde, kas nav centrālās pārvaldes iestāde, pieņem autonomus lēmumus par konkrētas apstrādes darbības mērķiem un līdzekļiem. Šādos gadījumos uzņēmumiem būs svarīgi precīzi noteikt, kur tiek pieņemti lēmumi par apstrādes nolūku un veidu. Precīza galvenās uzņēmējdarbības vietas noteikšana ir pārziņu un apstrādātāju interesēs, lai būtu skaidrs, ar kuru DAI tiem ir jāsadarbojas attiecībā uz saviem atbilstības pienākumiem saskaņā ar VDAR.
Lasīt vairāk
Praksē
- Apģērbu mazumtirgotāja galvenā uzņēmējdarbības vieta (t. i., “centrālā administrācija”) atrodas Sofijā, Bulgārijā. Tam ir filiāles dažādās citās EEZ valstīs, kurās tas sazinās ar cilvēkiem. Visas filiāles izmanto vienu un to pašu programmatūru, lai apstrādātu klientu personas datus mārketinga nolūkos. Visi lēmumi par klientu personas datu apstrādes mērķiem un līdzekļiem mārketinga nolūkos tiek pieņemti centrālajā birojā Sofijā. Tas nozīmē, ka uzņēmuma vadošā DAI šajā pārrobežu datu apstrādes darbībā ir Bulgārijas DAI.
Organizācijas, kas nav reģistrētas EEZ
Ja jūsu organizācija nav reģistrēta EEZ, bet uz to attiecas VDAR, jo uz to attiecas VDAR teritoriālā darbības joma, tai, iespējams, būs jāieceļ pārstāvis kādā no EEZ valstīm.
Tomēr, ja organizācijai nav uzņēmuma EEZ, tikai pārstāvja klātbūtne vienā no EEZ valstīm nerada “vienas pieturas aģentūras” sistēmu. Tas nozīmē, ka organizācijām, kas neveic uzņēmējdarbību EEZ, ir jāsadarbojas ar vietējām datu aizsardzības iestādēm katrā EEZ valstī, kurā tās darbojas, ar sava vietējā pārstāvja starpniecību.
Lasīt vairāk
Eiropas Datu aizsardzības kolēģijas loma
EDAK ir neatkarīga Eiropas struktūra ar juridiskas personas statusu, kas veicina datu aizsardzības noteikumu konsekventu piemērošanu visā EEZ un veicina sadarbību starp EEZ datu aizsardzības iestādēm. EDAK sastāvā ir DAI vadītāji un Eiropas Datu aizsardzības uzraudzītājs (EDAU) vai to pārstāvji.
EDAK datu aizsardzības iestādes sadarbojas, lai:
- Sniegtu vispārīgus norādījumus (tostarp vadlīnijas, atzinumus, ieteikumus un paraugpraksi) par datu aizsardzības tiesību aktiem, jo īpaši VDAR;
- konsultētu Eiropas Komisiju par visiem jautājumiem, kas saistīti ar personas datu aizsardzību, un par jauniem ierosinātajiem tiesību aktiem ES;
- pieņemtu lēmumus un atzinumus par konsekvenci pārrobežu datu aizsardzības lietās.
Tā vietā, lai atbildētu uz konkrētiem, individuāliem pieprasījumiem, EDAK izdod vispārīgus norādījumus.
EDAK ir pieņēmusi vairākus norādījumu dokumentus, kas tieši attiecas uz uzņēmumiem, tostarp MVU. Šajās vadlīnijās ir precizēti dažādi VDAR jēdzieni, piemēram, apstrādes pamatprincipi, integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma, starptautiska datu nosūtīšana un datu subjektu tiesības. Pārskatu par šiem dokumentiem varat atrast šeit.
Konsekvences mehānisms
Konsekvences mehānisms var tieši ietekmēt MVU. Pirmajā gadījumā konsekvences mehānismu var iedarbināt, ja vadošā DAI un attiecīgās DAI nevar panākt vienprātību konkrētā pārrobežu lietā. Šādos gadījumos lieta tiks nodota EDAK, kas pieņems saistošu lēmumu izšķirt strīdu.
Turklāt EDAK sniedz konsekvences atzinumus par dažiem EEZ DAI sagatavotajiem lēmumu projektiem, kuriem ir pārrobežu ietekme (piemēram, par jaunu standarta līgumu kopumu vai rīcības kodeksiem).
EDAK var arī sniegt konsekvences atzinumus par jebkuru jautājumu, kas attiecas uz VDAR vispārēju piemērošanu, vai jebkuru jautājumu, kas ietekmē vairāk nekā vienu EEZ valsti. Šā darba mērķis ir nodrošināt, ka dažādās EEZ valstīs tiek konsekventi saprasta un piemērota VDAR.