Personas datu aizsardzību ar likumu ir bijis jānodrošina organizācijām arī līdz šim, tādēļ Vispārīgā datu aizsardzības regula (Regula) nav jauns koncepts, taču turpmāk šie likumiskie groži būs ievērojami stingrāki un unificēti visā Eiropas Savienībā un Eiropas Ekonomiskajā zonā. Klāt nāk virkne jaunu nosacījumu un kārtība kā personas datu aizsardzība tiks nodrošināta un pārraudzīta.
Saeimā šobrīd otrā lasījumā atrodas Personas datu apstrādes likums, kas paskaidros atsevišķu Regulas jomu piemērošanu attiecībā uz Latviju. Regula ir tieši piemērojama. Saeimā ir vēl viens jauns likumprojekts datu aizsardzības jomā, proti – Tiesībaizsardzības nolūkos apstrādājamo personas datu likums, kas nodrošinās speciālo regulēju personas datu apstrādē kompetentās iestādes – policijā, VID, KNAB, prokuratūrā, tiesā un citās likumā noteiktās kompetentās iestādēs.
Regula paredz atsevišķus fundamentālus jaunumus. Viens no tiem - sākot ar š.g. 25. maiju virknei organizāciju – tātad gan uzņēmumiem, gan iestādēm, būs jābūt savam datu aizsardzības speciālistam. Šī speciālista galvenā funkcija ir konsultēt, dot padomus, uzraudzīt un sadarboties ar uzraudzības iestādi. Lai arī nacionālajā līmenī Regulu papildinošais likums gala lasījumā vēl nav pieņemts, šī brīža redakcija paredz, ka datu aizsardzības speciālistam nebūs obligāti jābūt sertificētam Datu Valsts Inspekcijā. Galvenais datu aizsardzības speciālistam ir jābūt nepieciešamajām kompetencēm – tātad gan juridiskām, gan tehniskām, pieredzei un zināšanām attiecīgo pienākumu veikšanai, lai izpildītu Regulā noteiktos uzdevumus. Šāda prakse lielākoties ir arī citviet Eiropā. Organizācijas atbildība ir izraudzīties kompetentu speciālistu.
Otrs lielākais Regulas jaunievedums ir pārskatapbildības princips, saskaņā ar kuru ikvienai organizācijai jebkurā brīdī jāspēj pierādīt, ka tā izpilda Regulas prasības. Kā rīki šī principa ievērošanas pierādīšanai var kalpot – iekšējās dokumentācijas esamība un apliecinājums, ka organizācijas darbinieki ir iepazinušies ar to, kā arī pierādījums, ka darbinieku zināšanas tiek regulāri pilnveidotas par datu aizsardzības jautājumiem. Tāpat arī atbildīgo personu nozīmēšana par datu apstrādes procesiem ir viens no apliecinājumiem pārskatatbildības principa ievērošanā. Trešās personas, t.sk. pakalpojumu sniedzēju klienti varētu uzticēties neatkarīgu organizāciju un konsultantu veiktiem atbilstības auditiem.
Organizācijas ir radušas datu aizsardzības riskus vērtēt no komercnoslēpuma aizsardzības prizmas. Regula uzliek pienākumu šos riskus vērtēt no fiziskās personas tiesību iespējamā aizskāruma riska skata punkta. Attiecīgi Regula paredz, ka, ieviešot datu aizsardzības pasākumus un procedūras, pirms tam būs jānovērtē iespējamie riski fizisko personu tiesībām un brīvībām un to pakāpe. Kā arī Regulā noteiktajām datu aizsardzības prasībām būs jābūt ne tikai veiktām, bet arī dokumentētām – aizsardzības procedūras un pasākumi būs jāapraksta iekšējos normatīvajos aktos. Kā arī būs jānodrošina, lai darbinieki personas datu apstrādi veic, ievērojot dotās instrukcijas. Līdz ar to uzņēmumiem, iestādēm un organizācijām liela uzmanība jāvelta iekšējo procesu aprakstam, instrukciju sniegšanai darbiniekiem, darbinieku uzraudzīšanai un apmācīšanai. Šo prasību izpildi būs jāspēj pierādīt personas datu aizsardzības uzraudzības iestādei arī gadījumā, ja nebūs saņemta sūdzība vai nebūs aizdomas par personas datu aizsardzības pārkāpumu (pārskatatbildības princips).
Papildus šiem būtiskajiem mājas darbiem organizācijām ir jāizveido datu apstrādes reģistri, kuros atspoguļoti datu apstrādes procesi, to tiesiskie mērķi un cita regulā minēta informācija. No pieredzes zinām, ka tas ir laikietilpīgs un apjomīgs darbs, tomēr pēc tā paveikšanas ir pārskatāmāka situācija par datu apstrādi organizācijā. Katrai organizācijai ir būtiski identificēt, kurus datus tā apstrādā kā pārzinis un kuru kā apstrādātājs, jo no ir atkarīgi pienākumi un tiesības. Attiecīgi Regulas ieviešanas gaitā, ņemot vērā lomu nodefinēšanas vajadzību un datu apstrādes tiesisko mērķi noteikšanu, organizācijām ir jāpārskata gan darba līgumi, gan līgumi ar klientiem un piegādātājiem. Svarīgi ir, lai organizācija “neparakstās” uz tādu lomu, kas neatbilst līgumisko attiecību būtībai.
Uzņēmi un organizācija, kas lielākos mājas darbus jau paveikuši, šobrīd gaida jau nākamo soli – noteikumus un kartību, kas palīdzēs apstiprināt šo uzņēmumu atbilstību Regulas prasībām. Regulas regulējums un arī Latvijas likumprojekts paredz, ka būs akreditētas sertifikācijas institūcijas, kas varēs sniegt novērtējumus par organizācijas atbilstību Regulai, citiem vārdiem sakot, sertificēs uzņēmumus. Šis patlaban ir atvērts jautājums, kādas prasības tiks izvirzītas šiem sertifikācijas veicējiem.