Arī daudzos Latvijas medijos bija lasāmi šādi virsraksti: "Tiesības tikt aizmirstam: ES regula nodrošinās privātpersonām iespēju dzēst savus datus", "Uzņēmumi un valsts iestādes nevarēs prasīt klientiem lieku informāciju", "Uzņēmumiem būs jādzēš bijušo klientu dati", "Datu aizsardzība jaunu prasību un bargu sodu priekšā".
Tas, ka tiek rakstīts par Regulu, ir ļoti noderīgi, – tādejādi tiek atgādināts, ka ir pēdējais brīdis gatavoties tās piemērošanai, jo jau nākamgad Regula būs obligāti jāievēro visiem komersantiem, organizācijām, valsts un pašvaldību iestādēm. Tomēr jāsecina, ka šo rakstu nosaukumi un tajos ietvertā informācija nereti ir maldinoša. Šajos rakstos daudzas "kā jaunas" ar Regulu noteiktās fizisko personu tiesības un daudzi "kā jauni" ar Regulu noteiktie komersantu un organizāciju pienākumi realitātē jau pastāv, un tos regulē Fizisko personu datu aizsardzības likums (turpmāk - FPDAL). Tāpēc jāsecina, ka sabiedrības baidīšana ar jauno Regulu nepamatoti novērš uzmanību no tās būtiskajiem jaunievedumiem un vājina izpratni par esošo personiskās informācijas aizsardzības tiesisko regulējumu Latvijā.
Jau šobrīd katram ir tiesības "tikt aizmirstam", tomēr iedzīvotājs nevar un nevarēs lūgt, lai viņš "tiktu aizmirsts", piemēram, Valsts ieņēmumu dienesta datu bāzēs.
Bieži kā Regulas ieviests jaunums tiek minētas iedzīvotāju tiesības iebilst pret savu personas datu apstrādi un profilēšanu, kas tiek veikta tiešā mārketinga nolūkos. Tāpat nereti kā jaunums tiek minētas tiesības "tikt aizmirstam", kas nozīmē, ka privātpersonas varēs pieprasīt pārzinim dzēst savus personas datus.
Šāds apgalvojums ir neprecīzs un, iespējams, maldina gan iedzīvotājus, gan komersantus, jo vairākus gadus Latvijā jau ir paredzētas fiziskas personas tiesības pieprasīt personas datu apstrādes pārtraukšanu, kā arī tiesības aizliegt personas datu apstrādi (FPDAL 16., 19. pants). Tiesības pieprasīt apstrādes pārtraukšanu ir gadījumos, kad personas dati tiek pretlikumīgi apstrādāti vai arī tie vairs nav nepieciešami vākšanas mērķim. Savukārt tiesības aizliegt savu personas datu apstrādi ir, ja personas dati tiek apstrādāti komerciāliem mērķiem, tiek izmantoti informācijas sabiedrības pakalpojumos, tirgus un sabiedriskā viedokļa pētījumos utt.
Līdz ar to jau pašreiz ikvienam iedzīvotājam ir tiesības "tikt aizmirstam" un pieprasīt, lai tiktu pārtraukta viņa personas datu apstrāde. Piemēram, ir tiesības pieprasīt, lai tiek pārtraukta profilēšana, kas tiek veikta tiešā mārketinga nolūkos, lai tiek dzēsts viņa profils sociālajā tīklā "Draugiem" vai interneta veikalā. Tāpat var pieprasīt no reklāmas saņēmēju datu bāzes dzēst e-pasta adresi, tādejādi pārtraucot uz e-pastu sūtīt paziņojumus, kas reklamē preces vai pakalpojumus.
Tomēr attiecībā uz "jaunajām" tiesībām "tikt aizmirstam" jāuzsver, ka gan Regula, gan FPDAL šo tiesību īstenošanas ietvaros neparedz iespēju lūgt, piemēram, lai personu "aizmirst" Valsts ieņēmumu dienests vai citas valsts, pašvaldību iestādes, kurām šī iedzīvotāja personas datu apstrāde ir nepieciešama likumā noteikto pienākumu veikšanai. Gan Regula, gan FPDAL paredz noteiktus gadījumus, kad persona var izmantot šīs tiesības un lūgt savu personas datu apstrādes pārtraukšanu, dzēšanu. Galvenokārt tas ir tajos gadījumos, kad personas dati tiek apstrādāti bez tiesiska pamata vai mērķa vai tiek atsaukta piekrišana.
Jau kopš 2000. gada sākuma, kad spēkā stājās FPDAL, Latvijas komersantiem, iestādēm, organizācijām ir aizliegts pieprasīt nevajadzīgus datus un klientu dati tiem ir "automātiski" jāizdzēš, ja dati vairs nav nepieciešami.
Regulā vairākkārt tiek uzsvērts personas datu minimizēšanas princips, kas jau šobrīd ir noteikts FPDAL 10. panta pirmās daļas 2.punktā: personas datus ir atļauts iegūt un izmantot, ja tie ir nepieciešami tiesiska mērķa sasniegšanai, un tikai šī mērķa sasniegšanai nepieciešamā veidā un apjomā.
Piemēram, personas datus nedrīkst pieprasīt ar anketu, bet videonovērošanu uzsākt ar mērķi "varbūt vēlāk noderēs". Pirms apstrādes uzsākšanas ir jāapzinās, kāda problēma tiks risināta ar katru personas datu veidu, kuru plāno iegūt. Neskaidrs ir arī jautājums, vai un kāpēc ir nepieciešami personas dati lojalitātes kartes gadījumā, ja personas identitāte netiek pārbaudīta un daudzi anketās norāda "neīstos" datus. Atsevišķos gadījumos personas dati tiešām ir nepieciešami, bet ir skaidrs, ka bieži vien personas dati tiek pieprasīti un iegūti pieraduma pēc un pēc principa "jo vairāk, jo labāk", nepadomājot, ka mērķa sasniegšanai personas datus nevajag vai vajag mazākā apjomā, nekā tie tiek iegūti.
Līdz ar to jau daudzus gadus komersantiem, iestādēm, organizācijām ir aizliegts no fiziskām personām pieprasīt nevajadzīgus datus. Savukārt fiziskai personai, kad kāds tai pieprasa sniegt savus personas datus, ir tiesības saņemt informāciju per to, kāda mērķa sasniegšanai katrs pieprasītais personas datu veids ir nepieciešams.
Latvijā jau kopš FPDAL spēkā stāšanās personas datus ir atļauts glabāt tikai tik ilgi, kamēr pastāv šo datu iegūšanas un izmantošanas mērķis (FPDAL 10. panta pirmās daļas 3. punkts), ja vien likums neparedz konkrētu glabāšanas ilgumu. Regula šo principu nemaina. Piemēram, videonovērošanas ieraksta un amata pretendentu CV glabāšanas ilgumam ir jābūt pēc iespējas īsākam. Tam jābūt noteiktam iekšējos noteikumos , un pēc šī termiņa beigām ieraksti un CV ir jādzēš. Kā arī attiecībā uz darbinieku personas datu apstrādi Datu valsts inspekcija savā rekomendācijā ir norādījusi, ka fiksētie dati par darbinieku pieeju darba vietai (kas, kad, cikos ieradies vai devies prom no darba vietas) jāsaglabā pēc iespējas īsāku laiku, kā arī iesaka tos dzēst pēc trim mēnešiem kopš to reģistrācijas jeb izveides.
Šī principa piemērošanā gan FPDAL, gan Regulas izpratnē būtiska ir prasme identificēt mērķi un noteikt laika posmu, kad šo mērķi ir iespējams sasniegt. Piemēram, klienta personas datu glabāšanas mērķis var pastāvēt arī pēc līguma izbeigšanas, jo arī pēc līguma izbeigšanas noilguma termiņa laikā starp pusēm var rasties strīdi un klienta personas dati var noderēt tiesiska mērķa sasniegšanai – strīda risināšanai.
Attiecībā uz šo principu ir jāņem arī vērā, ka tas ir jāievēro un dati ir jādzēš "automātiski" – negaidot ne datu subjekta, ne kādas valsts iestādes norādījumus, pieprasījumus.
Līdz ar to Regula būtiski nemaina šobrīd Latvijā spēkā esošos personas datu aizsardzības pamatprincipus, tomēr jāņem vērā, ka Regula ir apjomīgs dokuments (gandrīz 100 lpp.) un tajā tiešām ir paredzēti arī daudzi jauni pienākumi un tiesības. Tāpēc vairākas ES dalībvalstu personas datu aizsardzības uzraudzības iestādes jau 2016. gadā ir izstrādājušas galveno jauno prasību pārskatu un vadlīnijas, kā sagatavoties Regulas ieviešanai un piemērošanai. Diemžēl Latvijā pagaidām nekā līdzīga nav, kas, iespējams, arī ir viens no galvenajiem iebiedēšanas un maldinošas informācijas iemesliem.