Lauris Klagišs: Personas datu aizsardzība valsts un pašvaldību budžetu gaismā

Lauris Klagišs

2016. gada 27. aprīlī Eiropas Parlaments un ES Padome pieņēma jauno Personas datu aizsardzības regulu Nr. 2016/679 (turpmāk – Regula), kas ir piemērojama Eiropas Savienības dalībvalstīs no 2018. gada 25. maija. 

Raksta autors: Lauris Klagišs, zvērināts advokāts, sertificēts datu aizsardzības speciālists

Regula ir tieši piemērojams normatīvais akts, līdz ar to tās noteikumi nav jāievieš nacionālajos normatīvajos aktos.

Tātad līdz regulas ieviešanai teorētiski atlikuši aptuveni 7 mēneši, taču, ņemot vērā, ka pašlaik aktīvi norisinās valsts budžeta saskaņošana, no Regulas izrietošās konsekvences Ministru kabinetam, Saeimai un pašvaldībām būtu jāņem vērā jau tagad.

Par ko tad īsti ir šis stāsts? Regulas 37. pants paredz pienākumu pastāvīgi iecelt datu aizsardzības speciālistu katrā gadījumā, kad datu apstrādi veic publiska iestāde vai struktūra.

Tātad datu aizsardzības speciālistu noteikti vajadzēs valsts un pašvaldību iestādēm un uzņēmumiem. Ja pārzinis vai apstrādātājs ir publiska iestāde vai struktūra, vienu datu aizsardzības speciālistu var iecelt vairākām šādām iestādēm vai struktūrām, ņemot vērā to organizatorisko uzbūvi un lielumu. 

Faktiski Regula paplašina datu aizsardzības speciālista funkcijas un nozīmi nosakot, ka pēc būtības datu aizsardzības speciālists ir iekšējais uzraugs iestādē vai organizācijā. Viņš informē un konsultē pārzini par datu aizsardzības prasībām, uzrauga Regulas prasību ievērošanu, sniedz padomus, sadarbojas ar uzraudzības iestādi un ir kontaktpersona jautājumos, kas saistīti ar apstrādi, it īpaši datu subjektam īstenojot savas tiesības.

Datu aizsardzības speciālists, veicot savus pienākumus, nevar saņemt nekādus norādījumus, kā arī pret viņu nevar tikt piemērotas sankcijas, ja viņš sniedz negatīvu vērtējumu par pārziņa veikto datu apstrādi.

Bieži ir dzirdēts viedoklis, ka valsts un pašvaldību iestādes izlīdzēsies ar saviem resursiem - datu aizsardzības speciālista funkcijas uzdos pildīt iekšējam juristam vai IT speciālistam. Tomēr, šis viedoklis nav pamatots un pretrunās ar Regulas pamatprincipiem.

Datu aizsardzības speciālista statuss daļēji ir līdzīgs iekšējā auditora statusam, un proti, tas ir organizācijas nodarbinātais, un strādā organizācijas interesēs, tomēr viņam jābūt pietiekami neatkarīgam un neitrālam, lai norādītu uz neatbilstībām un pārkāpumiem organizācijas darbībā.

Respektīvi, datu aizsardzības speciālista funkcijas nevar pildīt iekšējais jurists, kurš ir sagatavojis datu aizsardzības politiku, vai IT speciālists, kurš rūpējas par IT sistēmām, kas saistītas ar datu aizsardzību. Respektīvi nav pieļaujams, ka persona pati auditētu sevis veiktos ar datu aizsardzību saistīto pienākumu izpildes rezultātus.

Pamatojoties uz minēto, valsts un pašvaldību iestādēm visticamāk tomēr nāksies pieņemt darbā datu aizsardzības speciālistu vai slēgt ārpakalpojumu līgumu.

Saskaņā ar portāla http://www.cv.lv veikto pētījumu, jurista vai IT speciālista (piemēram, sistēmas analītiķa) neto atalgojums ir aptuveni 1300 euro. Ņemot vērā, ka datu aizsardzības speciālista kvalifikācijas iegūšana ir dārgs un sarežģīts process (piemēram, 2016. gadā eksāmenu Datu valsts inspekcijā nenokārtoja neviens no 43 pretendentiem), jurists vai IT speciālists ar šādu kvalifikāciju noteikti vēlēsies saņemt vairāk - vismaz 1500 euro uz rokas. Lai datu aizsardzības speciālistam šādu summu izmaksātu, darba dēvēja reālās izmaksas (ieskaitot nodokļu maksājumus) būs vismaz 2600 euro.

Piesaistot datu aizsardzības speciālistu kā ārpakalpojuma sniedzēju uz uzņēmuma līguma pamata, šīs summas varētu atšķirties, tomēr jebkurā gadījumā publiskajam sektoram ir jārēķinās ar ievērojamiem izdevumiem, kas saistīti ar datu aizsardzību, jo pastāv iespēja, ka, pamatojoties uz speciālista rekomendācijām, būs jāveic arī dažādi IT sistēmu un resursu uzlabojumi.

Datu valsts inspekcija rekomendē, ka pārziņiem un operatoriem (pašiem vai sadarbībā ar datu aizsardzības speciālistu) būtu ieteicams pārskatīt veiktās datu apstrādes, veikt to novērtējumu, pārskatīt līgumu noteikumus, kas attiecas uz datu apstrādi, lai nepieciešamības gadījumā veiktu izmaiņas, nodrošinot pilnvērtīgu datu aizsardzības prasību ievērošanu.

Šeit rodas pamatots jautājums – cik daudzas valsts un pašvaldību iestādes budžeta pieņemšanas priekšvakarā ir aizdomājušās par šo tēmu, pasūtījušas personas datu apstrādes atbilstības novērtējumu, kā arī veikušas plānoto izmaksu aprēķinus un attiecīgās izmaksas paredzējušas budžeta plānos un pieprasījumos?