Eiropas Parlamenta un Padomes regula (ES) Nr.2016/679 “Par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgās datu aizsardzības regulas)”
No 2018. gada 25. maija visā Eiropas Savienībā stājas spēkā jauna Vispārīgā datu aizsardzības regula (General Data Protection Regulation - GDPR), kuras pamatmērķis ir izskaust nepamatotu personas datu lietošanu un noplūdi
Regula attiecas uz ikvienu uzņēmumu un tā nosaka:
jaunas prasības, kā uzņēmumiem ir jāstrādā ar fizisko personu datiem
uzņēmumam ir jāapzinās savi riski un pieejamais fizisko datu apjoms
būtiski ir ne tikai tos pareizi uzglabāt, bet arī nodefinēt kam tie ir pieejami
Eiropas Parlamenta un Padomes regula (ES) Nr.2016/679 “Par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgās datu aizsardzības regulas)”
5.panta pirmā daļa
e) fizisko personu dati tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā; personas datus var glabāt ilgāk, ciktāl personas datus apstrādās tikai arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar 89. panta 1. punktu, ar noteikumu, ka tiek īstenoti atbilstoši tehniski un organizatoriski pasākumi, kas šajā regulā paredzēti, lai aizsargātu datu subjekta tiesības un brīvības (“glabāšanas ierobežojums”)
f)personas dati tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus (“integritāte un konfidencialitāte”)

Fizisko personu datu aizsardzības likums (1)
7.pants
Personas datu apstrāde ir atļauta tikai tad, ja likumā nav noteikts citādi un ja ir vismaz viens no šādiem nosacījumiem:
15) datu apstrāde nepieciešama, lai nodrošinātu sabiedrības interešu ievērošanu
10.pants
(1) Lai aizsargātu datu subjekta intereses, pārzinis nodrošina:
1) godprātīgu un likumīgu personas datu apstrādi
2) personas datu apstrādi tikai atbilstoši paredzētajam mērķim un tam nepieciešamajā apjomā
3) tādu personas datu glabāšanas veidu, kas datu subjektu ļauj identificēt attiecīgā laikposmā, kurš nepārsniedz paredzētajam datu apstrādes mērķim noteikto laikposmu
4) personas datu pareizību un to savlaicīgu atjaunošanu, labošanu vai dzēšanu, ja personas dati ir nepilnīgi vai neprecīzi saskaņā ar personas datu apstrādes mērķi

Fizisko personu datu aizsardzības likums (2)
27.pants
(1) Fiziskās personas, kuras tiek iesaistītas personas datu apstrādē, rakstveidā apņemas saglabāt un nelikumīgi neizpaust personas datus. Šo personu pienākums ir neizpaust personas datus arī pēc darba tiesisko vai citu līgumā noteikto attiecību izbeigšanās

Likumprojekta “Personas datu apstrādes likums”
27.pants
(1) Fiziskās personas, kuras tiek iesaistītas personas datu apstrādē, rakstveidā apņemas saglabāt un nelikumīgi neizpaust personas datus. Šo personu pienākums ir neizpaust personas datus arī pēc darba tiesisko vai citu līgumā noteikto attiecību izbeigšanās.
37. pants
Izņēmumi attiecībā uz datu subjekta tiesībām
(1) Normatīvajos aktos var noteikt izņēmumus attiecībā uz pārziņa vai apstrādātāja pienākumiem un uzdevumiem, kas paredzēti Datu regulas 12. līdz 22. pantā un 34. pantā, kā arī 5. pantā, ciktāl tā noteikumi attiecināmi uz Datu regulas 12. līdz 22. pantā paredzētajām tiesībām un pienākumiem, ja ar šādu ierobežojumu tiek ievērota pamattiesību un pamatbrīvību būtība un tas demokrātiskā sabiedrībā ir nepieciešams un samērīgs, lai īstenotu uzdevumu, ko veic sabiedrības interesēs.
(2) Par sabiedrības interesēm šā panta ietvaros uzskata šādas intereses:
3) noziedzīgu nodarījumu un administratīvo pārkāpumu novēršanas, izmeklēšanas, atklāšanas vai saukšanas pie atbildības par tiem vai sodu izpildes nodrošināšana;
4) noziedzīgi iegūto līdzekļu legalizācijas un terorisma finansēšanas novēršana.

Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma finansēšanas likums (1)
11.1 pants. Klienta izpētes pasākumi un riska faktori
(8) Likuma subjekts, piemērojot klienta izpētes pasākumus, iegūst un apstrādā fizisko personu datus atbilstoši šā likuma mērķiem vienīgi nolūkā novērst nelikumīgi iegūtu līdzekļu legalizēšanu un terorisma finansēšanu un tos tālāk neapstrādā veidā, kas neatbilst minētajiem mērķiem. Personas datu apstrāde citiem mērķiem, tostarp komerciāliem mērķiem, ir aizliegta

Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma finansēšanas likums (2)
28.pants. Klienta izpētei nepieciešamās informācijas iegūšana un klienta atbildība
(1) Lai izpildītu šā likuma prasības, likuma subjektam ir tiesības pieprasīt no saviem klientiem un klientiem ir pienākums sniegt klienta izpētei nepieciešamo patieso informāciju un dokumentus, tajā skaitā par patiesajiem labuma guvējiem, klientu veiktajiem darījumiem, klientu un patieso labuma guvēju saimniecisko, personisko darbību, finansiālo stāvokli, naudas vai citu līdzekļu avotiem

Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma finansēšanas likums (3)
37. pants. Klienta izpētes dokumentu glabāšana, atjaunošana un iznīcināšana
(2) Likuma subjekts piecus gadus pēc darījuma attiecību izbeigšanas vai gadījuma rakstura darījuma veikšanas glabā:
1) visu klientu izpētes ietvaros iegūto informāciju, tai skaitā informāciju par klientu un tā kontiem, klienta identifikācijas datus apliecinošu dokumentu kopijas, klientu izpētes rezultātus
(4) Likuma subjektam ir tiesības elektroniski apstrādāt klientu identifikācijas un izpētes rezultātā iegūtos datus par klientiem, to pārstāvjiem un patiesajiem labuma guvējiem

Fizisko datu apstrāde
Sāc ar sava uzņēmuma izvērtēšanu. Veiciet nelielu iekšēju auditu, lai saprastu,
Kā un kādus fizisku personu datus iegūstat un apstrādājat?
Kādi ir šīs apstrādes mērķi?
Kāds ir datu apstrādes likumiskais pamats?
Izvērtējiet šo datu iegūšanas un apstrādes pamatojumu (NILLTFN likums)
Izveidojiet datu apstrādes procedūru un dzīves ciklu. Šādu procedūru esamība organizācijā palīdzēs izvairīties no neziņas brīdī, kad kļūs aktuāli jautājumi par datiem, to uzglabāšanas termiņiem, iznīcināšanu)