Tiesisko režīmu personas datu apstrādei, sākot ar 2018. gada 25. maiju, kad tiks uzsākta attiecīgās kārtības piemērošana, noteiks Eiropas Parlamenta un Padomes regula (ES) 2016/679 par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti, ar ko atceļ Direktīvu 95/46 EK (Vispārīgā datu aizsardzības regula, turpmāk – Regula vai VDAR).

Datu valsts inspekcija vērš uzmanību, ka Regulas 1. panta “Priekšmets un mērķi” 1. punkts noteic, ka šī Regula paredz noteikumus fizisku personu aizsardzībai attiecībā uz personas datu apstrādi un noteikumus personas datu brīvai apritei. Regulas 4. panta 1. punkts noteic, ka “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”), izskaidrojot, ka  identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem.

Regulas 4. panta 2. punkts definē “apstrādi” kā jebkuru ar personas datiem vai personas datu kopumiem veiktu darbību vai darbību kopumu, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana.

Tādējādi Regula nepārprotami attiecas uz mazu ražošanas uzņēmumu, kur, kā norādīts jautājumā, “vienīgie trešās personas dati ir klientu dati (klienti, kad tiem tiek izrakstīta pavadzīme nosauc savu vārdu, uzvārdu, personas kodu, adresi), šī informācija tiek saglabāta un atrodas grāmatvedības programmā”, jo, pretēji jautājuma autora pieņēmumam, ka “netiek veikta nekāda apstrāde un tālāka darbība”, no minētā, balstoties arī uz loģikas likumiem un dzīvē gūtiem novērojumiem, secināms, ka jebkurš komersants veic personas datu apstrādi, jo tā ir nepieciešama tā komercdarbības nodrošināšanai.

Lai izprastu Regulas prasības, vispirms būtu ieteicams iepazīties ar Eiropas Komisijas tīmekļvietni “2018. gada ES datu aizsardzības noteikumu reforma”. Cita starpā šeit iespējams arī iepazīties ar sadaļu “Noteikumi uzņēmumiem un organizācijām”, kas piedāvā aplūkot vairākas atbildes uz Jūs interesējošiem jautājumiem, piemēram, par Regulas piemērošanu. Sadaļas “Regulas piemērošana” apakšsadaļās “Kam piemēro Vispārīgo datu aizsardzības regulu?” un “Vai šos noteikumus piemēro MVU?” interesentam tiek izskaidrota VDAR attiecināmība uz mazo vai vidējo uzņēmumu (MVU), kas apstrādā personas datus, kā aprakstīts iepriekš. Proti, cita starpā tiek skaidrots, ka MVU ir jāievēro VDAR noteikumi. Tomēr, ja personas datu apstrāde nav MVU uzņēmējdarbības būtiska daļa un MVU darbības nerada risku fiziskām personām, tad daži VDAR pienākumi uz MVU neattieksies (piemēram, datu aizsardzības speciālista iecelšana).

Tāpat apakšsadaļa “Vai šos noteikumus piemēro MVU?” izskaidrots, ka (VDAR) piemērošana (acīmredzami domāta nevis piemērošana vispārēji, bet piemērošanas veids un kārtība) ir atkarīga nevis no uzņēmuma/organizācijas lieluma, bet gan no MVU darbību veida. Darbības, kas rada lielu risku fizisko personu tiesībām un brīvībām (neatkarīgi no tā, vai tās veic MVU vai liela korporācija), paredz stingrāku noteikumu piemērošanu. Tomēr daži VDAR noteiktie pienākumi nav piemērojami visiem MVU.

Līdz ar to katrs gadījums ir jāvērtē individuāli, ņemot vērā virkni faktoru. Ievērojot, ka Datu valsts inspekcijai ar normatīvo aktu nav noteikts deleģējums sniegt juridiskas konsultācijas vai izstrādāt tehniskos risinājumus datu aizsardzības jautājumos (piemēram, vērtēt, kāda uzņēmuma izstrādāto IT risinājumu atbilstību Regulas prasībām; konsultēt par konkrētiem personas datu glabāšanas termiņiem un to dzēšanas kārtību vai kārtošanu; izvērtēt datu aizsardzības speciālista piesaistes nepieciešamību u. c.), gadījumā, ja personai saistībā ar Regulas piemērošanu ir radušies kādi konkrēti juridiska vai tehniska rakstura jautājumi, Datu valsts inspekcija aicina to risinājumam piesaistīt personu datu aizsardzības speciālistus, kā arī citas kompetentas personas (piemēram, juristus, IT speciālistus), kas personai varētu sniegt konkrētus problēmu risinājumus, izstrādāt atbilstošas metodes, veikt tehnoloģisko risinājumu analīzi, kā arī sniegt atbalstu.

Plašāk par to, kur pieejama informācija par Regulu, kā arī plānotajiem Datu valsts inspekcijas publiskajiem pasākumiem uzņēmējiem, izklāstīts skaidrojumā “Vispārīgā datu aizsardzības regula. Kur meklēt informāciju?”.