Neatkarīgi no tā, kā personas dati ir nonākuši publiskajā telpā, arī to tālākajā apstrādē ir jāievēro Vispārīgajā datu aizsardzības regulā noteiktie pamatprincipi, arī tie, kuri noteic, ka dati iegūstami konkrētos, skaidros un leģitīmos nolūkos un tikai tādā apmērā, kāds nepieciešams datu apstrādes nolūku sasniegšanai. Fizisko personu datu apstrādes likuma 25. panta trešajā daļā ir noteikts, ka “datu apstrāde citā nolūkā, nevis tajā nolūkā, kādā dati tika sākotnēji iegūti, ir atļauta, ja šāda datu apstrāde nav aizliegta un ir kāds no datu regulā noteiktajiem datu apstrādes pamatiem vai datu apstrāde atbilstoši datu regulai ir savietojama ar sākotnējiem nolūkiem”.

Atbilstoši Vispārīgās datu aizsardzības regulas 6. panta 1. punktam, lai personas datu apstrāde būtu tiesiska, ir nepieciešams vismaz viens no minētajiem tiesiskajiem pamatojumiem: piekrišana, līguma izpilde, juridisks pienākums, sabiedrības intereses, vitālo interešu aizsardzība un leģitīmo interešu ievērošana.

“Šeit gan jānošķir kādiem mērķiem ir nepieciešams izmantot publiskos datus, ja tie ir personiskiem mērķiem vai mājsaimniecības vajadzībām, tad ierobežojumu nav. Savukārt citiem mērķiem gan vajadzētu būt kādam no tiesiskiem pamatiem, līdzīgi kā gadījumos, ja dati tiek iegūti no trešajām personām,” skaidro zvērināts advokāts un personas datu aizsardzības speciālists Ivo Krievs.

“Protams, ja dati ir publiski, tiem ir arī “zemāks” aizsardzības līmenis jeb vienkāršāk sabalansēt datu izmantošanu. Piemēram, saskaņā ar Vispārīgo datu aizsardzības regulu netiks atbalstīta (un tiks uzskatāms par pārkāpumu) bezmērķīgu datu iegūšana, tikai pamatojoties uz to, ka dati ir publiski, kā arī datu izmantošana neatbilstoši to publicēšanas mērķiem (tas gan var būt atsevišķos gadījumos iespējams, vērtējot leģitīmās intereses balansu un mērķu saderību ar sākotnējiem mērķiem),” skaidro zvērināts advokāts.

Piemēram, nebūtu pieļaujams izmantot publiski pieejamas uzņēmuma darbinieku e-pasta adreses, lai veiktu personificētas mārketinga aktivitātes, izsūtot reklāmas. E-pasta adreses nav padarītas publiski pieejamas ar šādu nolūku, un reklāmas materiālu izsūtīšanai arvien nepieciešama katras personas piekrišana. Šādu publiskoto informāciju var izmantot atbilstoši tās publiskošanas mērķim, lai sazinātos ar konkrētām personām saistībā ar viņu profesionālo darbību.

“Savukārt publiskos datus var izmantot, ja tas nepieciešams datu ievācēja leģitīmām interesēm, piemēram, sadarbības partnera paraksttiesīgo personu pārbaudei vai krāpšanas riska novērtēšanai. Attiecībā uz publiski pieejamu datu nodošanu trešajām personām – lai gan, ņemot vērā to, ka dati jau ir publiski, nekāds kaitējums privātumam nevarētu tikt nodarīts, tomēr, no pārziņa prizmas vērtējot, jebkura datu izpaušana trešajām personām var notikt tikai, ja ir atbilstošs tiesiskais pamats – nevērtējot, vai dati jau ir publiski zināmi vai nav. Tas varētu tikt vērtēts pie pārkāpuma smaguma. Līdz ar to rekomendējams būtu uz šo faktu nepaļauties, jo tādējādi var neapzināti izpaust arī vēl papildu informāciju vai apstiprināt publisku informāciju, piemēram, kredītiestādei ir zināms, ka tās klients ir politiskās partijas biedrs. Šāds fakts ir izskanējis arī publiski, kā rezultātā kredītiestāde arī šādu informāciju publisko, ka tās klients ir politiskās partijas biedrs, tādējādi kredītiestāde vēl papildus izpauž informāciju, ka šis klients ir arī kredītiestādes klients, kas iepriekš plašākai publikai zināms nebija,” norāda I. Krievs.

Nereti datus, tai skaitā sensitīvu informāciju, persona padara publisku pati, piemēram, veicot ierakstu vai publicējot fotogrāfijas savā profilā sociālajā tīklā. No regulas 9. panta 2. punkta “e” apakšpunkta izriet – ja persona ir apzināti publiskojusi informāciju par sevi, šādu personas datu apstrāde ir atļauta. Turklāt tas attiecas arī uz īpašo kategoriju personas datu apstrādi, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju.

Vienlaikus jāuzsver, ka arī šādā gadījumā informācijas izmantošanai ir robežas, kuras iezīmē ne tikai Vispārīgā datu aizsardzības regula, bet arī citi normatīvie akti. Katrā gadījumā būtu jāizvērtē konkrētās personas datu apstrādes konteksts, nolūki un risks, ko tā rada fizisku personu tiesībām un brīvībām. Atbilstoši regulas 75. apsvērumā paustajam risku fizisku personu tiesībām un brīvībām – ar atšķirīgu iespējamību un nopietnību – var radīt personas datu apstrāde, kas var izraisīt fizisku, materiālu vai nemateriālu kaitējumu, jo īpaši, ja apstrāde var izraisīt diskrimināciju, identitātes zādzību vai viltošanu, finansiālu zaudējumu, kaitējumu reputācijai, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšanu utt.