Publicēts pirms 6 gadiem. Izvērtē satura aktualitāti! >>
LV portāla infografika
Personas dati var būt jebkāda informācija
Šobrīd spēkā esošajā Fizisko personu datu aizsardzības likumā (FPDAL) sniegtā personas datu definīcija ir lakoniska. Tā ir jebkāda informācija, kas attiecas uz identificētu vai identificējamu fizisko personu.
Vispārīgajā datu aizsardzības regulā1 sniegts plašāks skaidrojums (4. panta 1. punkts). Tās izpratnē identificējama persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, personas kodu, atrašanās vietas datiem, tiešsaistes identifikatoru, vienu vai vairākiem personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskas, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem.
Svarīgs ir identifikators, kas informāciju sasaista ar konkrētu personu (datu subjektu). Ja tāds ir, tad jebkura informācija, kas ir sasaistīta ar identifikatoru, ir konkrētā datu subjekta personas dati. Tātad personas dati ir dažāda informācija, kuru apkopojot var identificēt konkrētu personu.
|
Personas dati = identifikators + informācija |
Protams, visizplatītākie identifikatori ir vārds, uzvārds, personas kods. Taču tie nav vienīgie dati, kas ļauj identificēt personu. Noslēgtā vidē, piemēram, darba kolektīvā vai mazā pašvaldībā, kā identifikators var būt arī kāda cita vispārīga informācija (ieņemamais amats, atpazīstama rakstura vai ārējā izskata pazīme u. tml.), kas to ļauj sasaistīt ar konkrētu cilvēku.
Jāatzīmē, ka FPDAL un Vispārīgā datu aizsardzības regula neaizsargā miruša cilvēka datus. Tomēr ir izņēmumi. Piemēram, ja mirušas personas dati ir sasaistāmi ar dzīvu personu un var norādīt uz pārmantojamu slimību, tādā gadījumā tie jau uzskatāmi par šīs dzīvās personas datiem.
Personas dati var būt:
Jāņem vērā, ka viens pats vārds un uzvārds, kas ir bieži sastopams, piemēram, Jānis Bērziņš, vēl nebūs personas dati, ja nav papildu informācijas, par kuru Jāni Bērziņu ir runa. Taču, ja šis konkrētais vārds un uzvārds ir sasaistīts ar papildu identifikatoru, piemēram, personas kodu, darbavietu u. tml., tie ir personas dati, jo konkrētā persona jau ir identificējama.
Pēc līdzīga principa VDAR 30. apsvērums paredz, ka fiziskas personas var tikt saistītas ar tiešsaistes identifikatoriem, ko izmanto viņu ierīcēs, lietojumprogrammās, rīkos un protokolos, piemēram, ar IP adresēm, sīkdatņu identifikatoriem vai citiem identifikatoriem (radiofrekvences identifikācijas marķējumiem). Tādējādi, iespējams, tiek atstātas pēdas, kuras, jo īpaši savienojumā ar unikāliem identifikatoriem un citu informāciju, ko saņem serveri, var izmantot, lai veidotu fizisku personu profilus un identificētu tās.
Personas dati nav:
Minētie piemēri var kļūt par personas datiem, tiklīdz tiek sasaistīti ar konkrētu personu. Piemēram, ja kādā datubāzē ir norādīts, ka Jānis Bērziņš strādā SIA "X" un viņa e-pasta adrese ir janis958@inbox.lv, tie kļūst par personas datiem, kuriem atkarībā no izmantošanas mērķa piemēro Vispārīgo datu aizsardzības regulu.
Savukārt attiecībā uz anonimizētiem datiem Eiropas Komisijas skaidrojumā3 ir norādīts: personas dati, kas padarīti anonīmi tādā veidā, ka fiziskā persona vairs nav identificējama, vairs nav uzskatāmi par personas datiem. Lai dati būtu patiešām anonimizēti, anonimizēšanai ir jābūt neatgriezeniskai. Tikmēr personas dati, kas ir tikuši identificēti, šifrēti vai pseidonimizēti, bet kurus var izmantot, lai atkārtoti identificētu personu, joprojām ir uzskatāmi par personas datiem un to apstrādei piemēro Vispārīgo datu aizsardzības regulu.
Kas ir sensitīvi dati
Gan FPDAL, gan Vispārīgajā datu aizsardzības regulā ir izdalītas īpaši aizsargājamās personas datu kategorijas, kas ir uzskatāmas par sensitīviem datiem. No citiem datiem šie atšķiras ar to, ka satur privātu un intīmu informāciju, kas var tikt ļaunprātīgi izmantota pret konkrētās personas interesēm, piemēram, diskriminējot darba tirgū. Tāpēc to apstrāde tiek ierobežota, bet apstrādes pārkāpumu gadījumā sagaidāms bargāks sods.
Atšķirība no iepriekšējā regulējuma ir tā, ka regulā sensitīvo datu uzskaitījums ir izvērsts, papildinot ar ģenētiskajiem un biometriskajiem datiem, lai veiktu fiziskas personas unikālu identifikāciju (piemēram, pirkstu nospiedumi, sejas digitālās fotogrāfijas, kas uzņemtas identifikācijas nolūkos, u. c.).
Līdz ar to Vispārīgā datu aizsardzības regula īpaši aizsargā:
Šādu īpašo kategoriju personas datu apstrādi regula aizliedz, izņemot tās 9. panta 2. punktā noteiktajos gadījumos, piemēram:
Piemērs: tautas skaitīšana
Centrālā statistikas pārvalde ne retāk kā reizi 10 gados veic tautas skaitīšanu, kuras ietvaros iedzīvotājiem jāaizpilda apsekojuma anketa. Tajā ir iekļauti lauki, kuros jānorāda arī sensitīvi dati, piemēram, tautība. Tautas skaitīšana tiek veikta sabiedrības interesēs, un to paredz likums (Statistikas likums un saistītie Ministru kabineta noteikumi), kas cita starpā paredz veikt pasākumus sensitīvo datu aizsardzības nolūkos.
Svarīgi atcerēties! Neatkarīgi no tā, kādas kategorijas personas datus plānots apstrādāt, jebkuras personas datu apstrādes pamatam ir jābūt tiesiskam. Par to, kas ir datu apstrāde, lasiet nākamajā skaidrojumā.
Publikācijā izmantoti Datu valsts inspekcijas un Eiropas Komisijas sagatavotie materiāli.
1 Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti, ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula)
2 Dažos gadījumos papildus jāņem vērā īpašie nozaru tiesību akti, kas reglamentē, piemēram, atrašanās vietas datu vai sīkfailu izmantošanu, pacientu tiesības u. tml.
3 Eiropas Komisija. 2018. gada ES datu aizsardzības noteikumu reforma
