SKAIDROJUMI
>
Zini savas tiesības un iespējas!
TĒMAS
Edīte Brikmane
LV portāls
17. aprīlī, 2018
Lasīšanai: 9 minūtes
RUBRIKA: Skaidrojums
TĒMA: Personas dati
4
166
4
166

Kas ir personas dati? Vispārīgā datu aizsardzības regula I

Publicēts pirms 6 gadiem. Izvērtē satura aktualitāti! >>

LV portāla infografika

Tuvojas 25. maijs, kad visā Eiropas Savienībā jāsāk ievērot Vispārīgās datu aizsardzības regulas prasības. Lai gan tās nemaina līdzšinējos fizisko personu datu aizsardzības principus, kuri jau 18 gadus ir noteikti Fizisko personu datu aizsardzības likumā, viena no lielākajām problēmām ir tā, ka tie nav plašākai sabiedrībai zināmi un saprotami. Tāpēc arī šeit, LV portālā, turpmākajās nedēļās publicēsim vairākus skaidrojumus par personas datu aizsardzības jautājumiem un regulā noteikto. Šoreiz par pašiem pamatiem – kas ir personas dati?
īsumā
  • Personas dati ir dažāda informācija, kuru apkopojot var identificēt konkrētu personu.
  • Visizplatītākie identifikatori ir vārds, uzvārds, personas kods. Taču tie nav vienīgie dati, kas ļauj identificēt personu.
  • Regulā sensitīvo datu uzskaitījums ir izvērsts, papildinot to ar ģenētiskajiem un biometriskajiem datiem.
  • Vispārīgā datu aizsardzības regula neaizsargā miruša cilvēka datus.

Personas dati var būt jebkāda informācija

Šobrīd spēkā esošajā Fizisko personu datu aizsardzības likumā (FPDAL) sniegtā personas datu definīcija ir lakoniska. Tā ir jebkāda informācija, kas attiecas uz identificētu vai identificējamu fizisko personu.

Vispārīgajā datu aizsardzības regulā1 sniegts plašāks skaidrojums (4. panta 1. punkts). Tās izpratnē identificējama persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, personas kodu, atrašanās vietas datiem, tiešsaistes identifikatoru, vienu vai vairākiem personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskas, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem.

Svarīgs ir identifikators, kas informāciju sasaista ar konkrētu personu (datu subjektu).  Ja tāds ir, tad jebkura informācija, kas ir sasaistīta ar identifikatoru, ir konkrētā datu subjekta personas dati. Tātad personas dati ir dažāda informācija, kuru apkopojot var identificēt konkrētu personu.

Personas dati = identifikators + informācija

Protams, visizplatītākie identifikatori ir vārds, uzvārds, personas kods. Taču tie nav vienīgie dati, kas ļauj identificēt personu. Noslēgtā vidē, piemēram, darba kolektīvā vai mazā pašvaldībā, kā identifikators var būt arī kāda cita vispārīga informācija (ieņemamais amats, atpazīstama rakstura vai ārējā izskata pazīme u. tml.), kas to ļauj sasaistīt ar konkrētu cilvēku.

Jāatzīmē, ka FPDAL un Vispārīgā datu aizsardzības regula neaizsargā miruša cilvēka datus. Tomēr ir izņēmumi. Piemēram, ja mirušas personas dati ir sasaistāmi ar dzīvu personu un var norādīt uz pārmantojamu slimību, tādā gadījumā tie jau uzskatāmi par šīs dzīvās personas datiem. 

Personas dati var būt:

  • vārds un uzvārds (piem., Jānis Bērziņš);
  • darbavieta (piem., Jānis Bērziņš strādā SIA "X");
  • ieņemamais amats (piem., SIA "X" direktors);
  • mājas adrese (piem., Jāņa Bērziņa deklarētā dzīvesvietas adrese ir Trotuāra iela 15, Rīga);
  • e-pasta adrese (piem., janis.berzins@siax.lv);
  • personas kods, personu apliecinošu dokumentu numurs;
  • atrašanās vietas dati (piem., atrašanās vietas datu funkcija mobilajā tālrunī);
  • interneta protokola (IP) adrese;
  • sīkfaila identifikācijas numurs;
  • ārstniecības iestādē glabāti dati par pacientu u. tml.2

Jāņem vērā, ka viens pats vārds un uzvārds, kas ir bieži sastopams, piemēram, Jānis Bērziņš, vēl nebūs personas dati, ja nav papildu informācijas, par kuru Jāni Bērziņu ir runa. Taču, ja šis konkrētais vārds un uzvārds ir sasaistīts ar papildu identifikatoru, piemēram, personas kodu, darbavietu u. tml., tie ir personas dati, jo konkrētā persona jau ir identificējama.

Pēc līdzīga principa VDAR 30. apsvērums paredz, ka fiziskas personas var tikt saistītas ar tiešsaistes identifikatoriem, ko izmanto viņu ierīcēs, lietojumprogrammās, rīkos un protokolos, piemēram, ar IP adresēm, sīkdatņu identifikatoriem vai citiem identifikatoriem (radiofrekvences identifikācijas marķējumiem). Tādējādi, iespējams, tiek atstātas pēdas, kuras, jo īpaši savienojumā ar unikāliem identifikatoriem un citu informāciju, ko saņem serveri, var izmantot, lai veidotu fizisku personu profilus un identificētu tās.  

Personas dati nav:

  • Jāņa Bērziņa parādsaistības ir 10 000 eiro (šajā gadījumā trūkst identifikatora, kas nepārprotami norādītu, par kuru Jāni Bērziņu ir runa);
  • mirušais Jānis bija labs darbinieks (nav personas dati, jo persona ir mirusi);
  • SIA "X" ir maksātnespējīgs uzņēmums (uzņēmums nav fiziska, bet juridiska persona);
  • uzņēmuma reģistrācijas numurs;
  • Trotuāra iela 15, Rīga;
  • janis958@inbox.lv vai info@siax.lv (kamēr nav identificējama sasaiste ar kādu personu);
  • anonimizēti dati.

Minētie piemēri var kļūt par personas datiem, tiklīdz tiek sasaistīti ar konkrētu personu. Piemēram, ja kādā datubāzē ir norādīts, ka Jānis Bērziņš strādā SIA "X" un viņa e-pasta adrese ir janis958@inbox.lv, tie kļūst par personas datiem, kuriem atkarībā no izmantošanas mērķa piemēro Vispārīgo datu aizsardzības regulu.

Savukārt attiecībā uz anonimizētiem datiem Eiropas Komisijas skaidrojumā3 ir norādīts: personas dati, kas padarīti anonīmi tādā veidā, ka fiziskā persona vairs nav identificējama, vairs nav uzskatāmi par personas datiem. Lai dati būtu patiešām anonimizēti, anonimizēšanai ir jābūt neatgriezeniskai. Tikmēr personas dati, kas ir tikuši identificēti, šifrēti vai pseidonimizēti, bet kurus var izmantot, lai atkārtoti identificētu personu, joprojām ir uzskatāmi par personas datiem un to apstrādei piemēro Vispārīgo datu aizsardzības regulu.

Kas ir sensitīvi dati

Gan FPDAL, gan Vispārīgajā datu aizsardzības regulā ir izdalītas īpaši aizsargājamās personas datu kategorijas, kas ir uzskatāmas par sensitīviem datiem. No citiem datiem šie atšķiras ar to, ka satur privātu un intīmu informāciju, kas var tikt ļaunprātīgi izmantota pret konkrētās personas interesēm, piemēram, diskriminējot darba tirgū. Tāpēc to apstrāde tiek ierobežota, bet apstrādes pārkāpumu gadījumā sagaidāms bargāks sods.

Atšķirība no iepriekšējā regulējuma ir tā, ka regulā sensitīvo datu uzskaitījums ir izvērsts, papildinot ar ģenētiskajiem un biometriskajiem datiem, lai veiktu fiziskas personas unikālu identifikāciju (piemēram, pirkstu nospiedumi, sejas digitālās fotogrāfijas, kas uzņemtas identifikācijas nolūkos, u. c.).

Līdz ar to Vispārīgā datu aizsardzības regula īpaši aizsargā:

  • datus, kas atklāj rasi vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību, dalību arodbiedrībās;
  • ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrādi.

Šādu īpašo kategoriju personas datu apstrādi regula aizliedz, izņemot tās 9. panta 2. punktā noteiktajos gadījumos, piemēram:

  • persona ir devusi nepārprotamu piekrišanu savu personas datu apstrādei;
  • persona savus datus ir apzināti publiskojusi;
  • tiesību akti paredz noteiktu datu apstrādi konkrētā nolūkā, lai īstenotu pārziņa vai datu subjekta tiesības nodarbinātības, sociālās aizsardzības, veselības aprūpes jomā;
  • tiesību akti paredz konkrētu datu apstrādi sabiedrības interesēs, piemēram, arhivēšanas nolūkos, zinātniskās vai vēstures pētniecības, statistikas nolūkos u. tml.;
  • aizstāvot savas likumīgās tiesības, ceļot prasību tiesā;
  • aizsargājot personas vitālās intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu, u. c.

Piemērs: tautas skaitīšana

Centrālā statistikas pārvalde ne retāk kā reizi 10 gados veic tautas skaitīšanu, kuras ietvaros iedzīvotājiem jāaizpilda apsekojuma anketa. Tajā ir iekļauti lauki, kuros jānorāda arī sensitīvi dati, piemēram, tautība. Tautas skaitīšana tiek veikta sabiedrības interesēs, un to paredz likums (Statistikas likums un saistītie Ministru kabineta noteikumi), kas cita starpā paredz veikt pasākumus sensitīvo datu aizsardzības nolūkos.

Svarīgi atcerēties!  Neatkarīgi no tā, kādas kategorijas personas datus plānots apstrādāt, jebkuras personas datu apstrādes pamatam ir jābūt tiesiskam. Par to, kas ir datu apstrāde, lasiet nākamajā skaidrojumā.

Publikācijā izmantoti Datu valsts inspekcijas  un Eiropas Komisijas sagatavotie materiāli.


 

1 Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti, ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula)

2 Dažos gadījumos papildus jāņem vērā īpašie nozaru tiesību akti, kas reglamentē, piemēram, atrašanās vietas datu vai sīkfailu izmantošanu, pacientu tiesības u. tml.

3 Eiropas Komisija. 2018. gada ES datu aizsardzības noteikumu reforma

Labs saturs
166
Pievienot komentāru
LATVIJAS REPUBLIKAS TIESĪBU AKTI
LATVIJAS REPUBLIKAS OFICIĀLAIS IZDEVUMS
ŽURNĀLS TIESISKAI DOMAI UN PRAKSEI