Fizisku personu aizsardzība attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās

 

KOPSAVILKUMS:

Regula (ES) 2018/1725 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti

KĀDS IR ŠĪS REGULAS MĒRĶIS?

Ar šo regulu:

• norāda, kā ES iestādēm, struktūrām, birojiem un aģentūrām ir jāapstrādā personas dati*, kādi tiem ir par personām;
• atbalsta personas pamattiesības un brīvības, it īpaši tiesības uz personas datu aizsardzību un tiesības uz privātumu;
• saskaņo ES iestāžu, struktūru, biroju un aģentūru noteikumus ar tiem, kas minēti Vispārīgajā datu aizsardzības regulā (VDAR) un Direktīvā (ES) 2016/680, kas zināma kā tiesībaizsardzības direktīva (TAD) un kas ir piemērojama kopš 2018. gada maija;
• atceļ Regulu (EK) Nr. 45/2001, kurā iepriekš bija ietverti noteikumi par personas datu apstrādi ES iestādēs, struktūrās, birojos un aģentūrās, un nodrošina, ka šie noteikumi atbilst tiem pašiem stingrajiem standartiem, kas norādīti VDAR;
• atceļ Lēmumu Nr. 1247/2002/EK par Eiropas datu aizsardzības uzraudzītāju (EDAU).

SVARĪGĀKIE ASPEKTI

Personas datiem ir jābūt:

• apstrādātiem likumīgā, godīgā un pārskatāmā veidā;
• savāktiem konkrētiem, īpašiem un likumīgiem mērķiem;
• atbilstošiem, saistošiem un ierobežotiem tam, kam nepieciešams;
• precīziem un, kur nepieciešams, atjauninātiem;
• uzglabātiem tādā veidā, ka iesaistīto personu identifikācija tiek nodrošināta tikai nepieciešamo laiku;
• apstrādātiem ar atbilstošu konfidencialitātes līmeni.

Pārzinim* ir jābūt atbildīgam par visu iepriekš minēto datu aizsardzības principu ievērošanu, kā arī jāuzrāda šāda atbilstība.

Turklāt, personas dati:

• var tikt pārsūtīti adresātiem ES, kas nav ES iestāde, struktūra, birojs vai aģentūra tikai atbilstoši papildu garantijām;
• var tikt pārsūtīti ārpus ES tikai atbilstoši stingriem nosacījumiem;
• kuri atklāj personas rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību, piederību arodbiedrībai, un ģenētiskie dati, biometriskie dati, lai veiktu fiziskas personas unikālu identifikāciju, veselības dati vai dati par fiziskas personas dzimumdzīvi vai seksuālo orientāciju nedrīkst tikt apstrādāti, izņemot īpašus apstākļus;
• ir jāaizsargā ar atbilstošām garantijām, ja tiek arhivēti sabiedrības interesēs zinātniskiem, vēsturiskiem vai politiskiem mērķiem.

Personu piekrišanas pieprasījumiem izmantot viņu datus ir jābūt sniegtiem saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu. Piekrišanai ir jābūt personas skaidri apstiprinošai darbībai.

Personām (tiesību aktos zināmas kā “datu subjekti”) ir tiesības:

• jebkurā laikā atsaukt savu piekrišanu, kam jābūt tikpat viegli kā tās sniegšanai;
• zināt, vai viņu personas dati tiek apstrādāti, kā arī piekļūt šādiem datiem;
• panākt neprecīzu personas datu labošanu;
• apturēt vai ierobežot jebkuru personas datu apstrādi ar nosacījumu, ka tiek ievēroti konkrēti nosacījumi;
• saņemt savus pārzinim sniegtos personas datus strukturētā, plaši izmantotā un mašīnlasāmā formātā un pārsūtīt tos citam pārzinim;
• savā īpašajā situācijā iebilst pret savu personas datu lietojumu publiskām interesēm;
• nebūt tāda lēmuma subjektam, kura pamatā ir tikai automātiska apstrāde un kuram ir juridiskas sekas;
• iesniegt sūdzību Eiropas Datu aizsardzības uzraudzītājam (EDAU), ja rodas aizdomas, ka personas dati tiek apstrādāti veidā, kas pārkāpj regulu;
• saņemt kompensāciju par jebkādu materiālu vai nemateriālu kaitējumu, ko tās piedzīvo ES iestādes, struktūras, biroja vai aģentūras darbību dēļ;
• pilnvarot bezpeļņas organizāciju iesniegt sūdzību Eiropas datu aizsardzības uzraudzītājam personas vārdā.

Pārziņiem:

• ir jāinformē datu subjekti vienkāršā valodā un sniedzot faktisko informāciju, piemēram, datu pārziņa kontaktinformāciju un personas datu apstrādes mērķi, kad tiek vākti personas dati;
• ir jāatbild uz jebkuriem pieprasījumiem no datu subjektiem, piemēram, uz pieprasījumiem par piekļuvi viņu personas datiem vai personas datu labošanu pēc iespējas drīzāk un ne vēlāk kā pēc viena mēneša;
• ir jāveic tehniskie un organizatoriskie pasākumi, tostarp pseidonimizācija*, lai garantētu, ka personas datu apstrāde atbilst regulai;
• ir jāizmanto tikai tādi datu apstrādātāji, kas atbilst ES prasībām;
• ir jāglabā ieraksti par apstrādes darbībām, ko tie veic savas atbildības ietvaros;
• ir jāsadarbojas ar EDAU;
• ir jāinformē EDAU un dažos gadījumos arī attiecīgā persona, tiklīdz ir noticis personas datu pārkāpums;
• ir jāveic novērtējums par ietekmi uz datu aizsardzību atsevišķiem datu apstrādes gadījumiem, kas ietver augstu riska līmeni;
• ir jānodrošina elektroniskās saziņas tīklu konfidencialitāte un drošība;
• ir jāinformē EDAU, nosakot administratīvos pasākumus vai iekšējos noteikumus par personas datu apstrādi.

Ar šo tiesību aktu izveido EDAU, kas tiek iecelts uz vienreiz atjaunojamu piecu gadu pilnvaru termiņu. Atrodoties Briselē, šī amata pienākumu izpildītājs:

• rīkojas pilnībā neatkarīgi;
• attiecas pret visu konfidenciālo informāciju, ievērojot dienesta noslēpumu;
• uzrauga, kā ES iestādes, struktūras, biroji un aģentūras piemēro tiesību aktus;
• veicina sabiedrības izpratni un informētību par personas datu apstrādi;
• izskata sūdzības un veic izmeklēšanu;
• brīdina datu pārziņus un piemēro tiem sankcijas;
• nodod lietas Tiesai, kas izskata jebkādus strīdus tiesību aktu kontekstā;
• regulāri iesniedz ziņojumu Eiropas Parlamentam, Padomei un Eiropas Komisijai;
• sadarbojas ar valstu datu aizsardzības uzraudzības iestādēm.

EDAU reglaments

Ar 2020. gada 15. maija lēmumu tika pieņemts EDAU reglaments. Tajā ir sīki izklāstīti šādi jautājumi:

• EDAU misija, pamatprincipi un organizācija;
• regulas piemērošanas uzraudzība un nodrošināšana;
• tiesību aktu apspriešanas, tehnoloģiju uzraudzības, pētniecības projektu, tiesvedības procedūras;
• sadarbības ar valstu uzraudzības iestādēm un starptautiskās sadarbības procedūras.

Īpaši noteikumi ES struktūrām, birojiem un aģentūrām

Īpaši noteikumi attiecas uz ES struktūrām, birojiem un aģentūrām, kas apstrādā operatīvos personas datus* tiesībaizsardzības nolūkos (piemēram, Eurojust). Uz tiem attiecas īpaša regulas nodaļa. Šīs nodaļas noteikumi ir saskaņoti ar TAD. Turklāt šo struktūru, biroju un aģentūru dibināšanos aktos var paredzēt konkrētākus noteikumus, lai ņemtu vērā to īpašās prasības.

Eiropola un Eiropas Prokuratūras veiktā operatīvo personas datu apstrāde ir izslēgta no šīs regulas piemērošanas jomas un tā vietā to ar īpašiem noteikumiem reglamentē šo iestāžu izveidošanas tiesību aktos. Tomēr, šo regulu piemēro to veiktajai personas datu apstrādei administratīvos nolūkos (piem., personālvadībā).

Datu aizsardzības speciālisti

Datu pārziņiem jānozīmē datu aizsardzības speciālists uz trīs līdz pieciem gadiem, lai:

• sniegtu neatkarīgu viedokli par personas datu apstrādi;
• uzraudzītu atbilstību datu aizsardzības noteikumiem.

Ziņojumi

Eiropas Komisijai līdz 2022. gada 30. aprīlim ir jāsniedz pirmais ziņojums par regulas piemērošanu.

KOPŠ KURA LAIKA REGULA IR PIEMĒROJAMA?

Tā ir piemērojama kopš 2018. gada 11. decembra, izņemot attiecībā uz personas datu apstrādi, ko veic Eurojust, — šajā gadījumā tā ir piemērojama kopš 2019. gada 12. decembra.

KONTEKSTS

Pamattiesību hartas 8. pantā ir norādīts, ka ikvienam ir tiesības uz personas datu aizsardzību. Līguma par Eiropas Savienības darbību 16. pantā šo tiesību saturs ir izklāstīts plašāk. Šis pants ir jebkura ES tiesību akta par datu aizsardzību juridiskais pamats.

Plašāka informācija:

• Datu aizsardzība Eiropas Savienībā (Eiropas Komisija).

GALVENIE TERMINI

PAMATDOKUMENTS

Eiropas Parlamenta un Padomes Regula (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK (OV L 295, 21.11.2018., 39.–98. lpp.).

SAISTĪTIE DOKUMENTI

Komisijas Lēmums (ES) 2020/969 (2020. gada 3. jūlijs), ar ko nosaka īstenošanas noteikumus attiecībā uz datu aizsardzības speciālistu, datu subjektu tiesību ierobežojumiem un Eiropas Parlamenta un Padomes Regulas (ES) 2018/1725 piemērošanu un ar ko atceļ Komisijas Lēmumu 2008/597/EK (OV L 213, 6.7.2020., 12.–22. lpp.).

Eiropas Datu aizsardzības uzraudzītāja Lēmums (2020. gada 15. maijs), ar ko pieņem EDAU reglamentu (OV L 204, 26.6.2020., 49.–59. lpp.).

Eiropas Datu aizsardzības uzraudzītāja Lēmums (2019. gada 2. aprīlis) par iekšējiem noteikumiem attiecībā uz datu subjektu noteiktu tiesību ierobežojumiem saistībā ar personas datu apstrādi darbībās, ko veic Eiropas Datu aizsardzības uzraudzītājs (OV L 99I, 10.4.2019., 1.–7. lpp.).

Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV L 119, 4.5.2016., 1.–88. lpp.).

Regulas (ES) 2016/679 turpmākie grozījumi ir iekļauti pamattekstā. Šai konsolidētajai versijai ir tikai dokumentāla vērtība.

Eiropas Parlamenta un Padomes Direktīva (ES) 2016/680 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI (OV L 119, 4.5.2016., 89.–131. lpp.).

Skatīt konsolidēto versiju.

Pēdējo reizi atjaunots: 14.01.2022