Kopš Vispārīgās datu aizsardzības regulas piemērošanas uzsākšanas jau ir pagājis krietns laika sprīdis, un vairums uzņēmumu šobrīd ir vairāk vai mazāk pārkārtojuši personas datu apstrādi atbilstoši jaunajām prasībām. Tomēr regulas prasību ieviešanas pasākumi vēl nav galā.
Nacionālais regulējums
Pagājušā gada nogalē Datu valsts inspekcija pieņēma personas datu apstrādes darbību veidu sarakstu, attiecībā uz kuriem Latvijā jāveic novērtējums par ietekmi uz datu aizsardzību (ietekmes novērtējums jeb NIDA). Šāda saraksta pieņemšanu katras dalībvalsts līmenī paredz Vispārīgās datu aizsardzības regula. Eiropas Savienības dalībvalstu personas datu uzraudzības iestādes ir bijušas visai aktīvas, kopumā sākotnēji piedāvājot vairāk nekā 260 personas datu apstrādes veidus, kuru gadījumā būtu jāveic ietekmes novērtējums.
Datu valsts inspekcijas apstiprinātājā sarakstā ietverti 13 dažādi apstrādes darbību veidi, kuru gadījumā datu pārziņiem, kas darbojas Latvijā, ir pienākums veikt ietekmes novērtējumu. Datu valsts inspekcijas sarakstā ir norādīti arī 9 personas datu apstrādes risku paaugstinoši kritēriji, kas jāņem vērā, lemjot par to, vai jāveic ietekmes novērtējums. Atsevišķos Datu valsts inspekcijas sarakstā norādītajos gadījumos ietekmes novērtējums ir jāveic tikai tad, ja sarakstā minētā personas datu apstrāde notiek vienlaikus pastāvot kādam no sarakstā norādītajiem risku paaugstinošajiem kritērijiem. Ilustrācijai var minēt, ka datu subjektu «sistemātiska uzraudzība» ir viens no risku paaugstinošajiem kritērijiem. Tas var ietvert visdažādākās situācijas. Sistemātiska uzraudzība var būt gan tīmeklī iegūtu personas datu apstrāde, gan publiski pieejamas zonas nepārtraukta video novērošana, no kuras grūti vai neiespējami izvairīties, piemēram, ja bez nonākšanas kameras redzes lokā nav iespējams iekļūt kādā publiski pieejamā ēkā.
Apstrādes darbību veidu saraksts ir jāinterpretē
Lieki piebilst, ka daudzās situācijās Datu valsts inspekcijas publicētais saraksts nesniegs pārziņiem skaidru atbildi par to, vai ietekmes novērtējums ir vai nav jāveic un atstās personas datu apstrādes speciālistus domīgus. Tas ir saistīts ar apstrādes situāciju daudzveidīgumu. Tādēļ sarakstā izmantotie jēdzieni neizbēgami ir formulēti abstrakti, kā piemēram, «plašs apjoms», «inovatīvas tehnoloģijas» u. tml. Lai nodrošinātu iespēju ietekmes novērtējuma veikšanu prasīt visās situācijās, kad datu apstrāde var radīt augstus riskus datu subjektu tiesībām, izsmeļošs saraksta skaidrojums no Datu inspekcijas puses visdrīzāk nav sagaidāms. Jau pašā dokumentā ir norādīts, ka pieņemtais saraksts nav jāuztver kā izsmeļošs. Tādēļ personas datu pārziņiem jārīkojas proaktīvi un pašiem jāizvērtē, vai to veiktajai personas datu apstrādei ir nepieciešams ietekmes novērtējums.
Labs palīgs šī jautājuma noskaidrošanā var būt 29.panta darba grupas 2017.gadā izdotās pamatnostādnes saistībā ar novērtējuma par ietekmi uz datu aizsardzību veikšanu. Tomēr Datu valsts inspekcijas apstiprinātā apstrādes darbību saraksta lakoniskums pats par sevi rada papildus grūtības, un tādēļ būtu nepieciešami Datu valsts inspekcijas komentāri par to, kas ar katru konkrēto apstrādes darbību ir domāts. Nav viegli nošķirt, piemēram, «datu subjekta uzraudzību», kad vēl papildus jāizpildās kādam no trīs priekšnosacījumiem, no «darbinieku novērošanas», kuras gadījumā ietekmes novērtējums jāveic vienmēr. Savukārt, «datu subjektu atrašanās vietas datu izmantošanas» gadījumā, kas pēc būtības var ietvert jau abus iepriekšminētos datu apstrādes darbību veidus, juridisks pienākums veikt ietekmes novērtējumu rodas, ja vienlaikus pastāv vēl kāds no risku paaugstinošajiem kritērijiem. Šādi kritēriji varētu būt, piemēram, datu apstrādes plašs mērogs vai jau pieminētā datu subjektu «sistemātiskā uzraudzība», ar ko var saprast gluži ikdienišķu situāciju, arī gadījumu, kad transporta līdzeklī instalētā kustības izsekošanas sistēma pārsvarā atrodas ieslēgtā stāvoklī.
Prasības attiecas arī uz ikdienišķiem datu apstrādes veidiem
Katrā ziņā, papildus tiem uzņēmumiem, kuri jau atbilstoši savam darbības raksturam, piemēram, apstrādājot biometriskos vai ģenētiskos datus vai citu iemeslu dēļ, apzinās ietekmes novērtējuma veikšanas nepieciešamību, par to ir jāpadomā arī tādiem uzņēmumiem, kuri pilda šķietami ikdienišķas un bieži sastopamas aktivitātes, ko uzņēmēji reizēm nemaz neatpazīst kā personas datu apstrādi - izmanto transporta līdzekļus, kuros darbojas to kustības vai darba režīma reģistrēšanas sistēmas, veic telpu video novērošanu, it sevišķi, ja tas notiek daudzās ģeogrāfiskās vietās, filmē darbiniekus, kā arī tiem, kuri izmanto un kombinē fizisko personu datus no dažādām datu bāzēm un vēl citiem.
Lai gan saraksts var būt mulsinošs, tomēr tas nav garš, un katrs pārzinis ar to var viegli iepazīties Datu valsts inspekcijas mājas lapā. Neskaidrību gadījumā būtu jāvēršas pie datu aizsardzības specialistiem vai Datu valsts inspekcijā. Atbilstoši 29.panta darba grupas ieteikumiem šaubu gadījumā par nepieciešamību veikt ietekmes novērtējumu, tas labāk būtu jāveic. Jāatceras, ka pret ietekmes novērtējuma veikšanu nevajadzētu izturēties pavirši. Par regulas prasību pārkāpumu tiks uzskatīta arī nepareizi veikts apstrādes darbību novērtējums, kurš neidentificē visus ar konkrēto apstrādi saistītos riskus. Ietekmes novērtējuma pareizai veikšanai ir labi jāpārzina ne vien konkrētā datu apstrādes darbību veida specifika, bet arī visai apjomīgie un šobrīd aktīvā attīstības procesā esošie datu aizsardzības labākās prakses materiāli, un te bez speciālistu padoma neiztikt. Korekta novērtējuma veikšana gan ir saistīta ar papildus resursu patēriņu. Tādēļ personas datu pārziņiem reizēm varētu būt izdevīgāk vispirms rūpīgi noskaidrot, vai ietekmes novērtējuma veikšana katrā konkrētajā situācijā tik tiešām ir tiem uzlikts juridisks pienākums.