AMATU KONKURSI
LASĪT VĒLĀK ( 3 )
SKAIDROJUMI
>
Zini savas tiesības un iespējas!
TĒMAS
Edīte Brikmane
LV portāls
02. maijā, 2018
Lasīšanai: 12 minūtes
RUBRIKA: Skaidrojums
TĒMA: Personas dati
32
32

Personas datu apstrādes principi. Vispārīgā datu aizsardzības regula III

FOTO: Freepik

Jebkurai personas datu apstrādei ir jābūt likumīgai, godprātīgai un pārredzamai. Ko nozīmē datu apstrāde Vispārīgās datu aizsardzības regulas izpratnē, plašāks izklāsts pieejams LV portāla skaidrojumā “Personas datu apstrāde. Vispārīgā datu aizsardzības regula II”.  Šoreiz ieskats tēmā – kādi ir regulā noteiktie pamatprincipi, kas jāievēro personas datu apstrādē.

īsumā
  • Jebkurai personas datu apstrādei ir jābūt tiesiskam pamatam. Vispārīgajā datu aizsardzības regulā noteikti seši vispārīgi tiesiskie pamati: piekrišana, līguma izpilde, juridisks pienākums, sabiedrības intereses, vitālo interešu aizsardzība, leģitīmo interešu ievērošana.
  • Lai aizsargātu personas, kuras dati tiek apstrādāti, intereses, pārzinim jāievēro regulā minētie datu apstrādes principi: likumīgums, godprātīga un pārredzamība, nolūka ierobežojums, datu minimizēšana; precizitāte, glabāšanas ierobežojums, integritāte un konfidencialitāte, pārskata atbildība.

Kopumā Vispārīgā datu aizsardzības regula1 (turpmāk – regula) būtiski nemaina līdzšinējos personas datu apstrādes pamatprincipus, kuri jau daudzus gadus nostiprināti Fizisko personu datu aizsardzības likumā (FPDAL). Piemēram, FPDAL 10. panta pirmās daļas pirmajā punktā un tāpat arī regulas 5. panta pirmās daļas a) punktā ir noteikts datu apstrādes likumības un godprātības princips. Proti, jebkurai personas datu apstrādei ir jābūt tiesiskam pamatam. Savukārt pārzinis, veicot personas datu apstrādi, nodrošina godprātīgu attieksmi pret personas datiem. Godprātības princips būtībā ietver arī visus pārējos principus, jo tie visi ir vērsti uz to, lai pārzinis nodrošinātu godīgu attieksmi pret datu subjektu – personu, kuras dati tiek apstrādāti.

Personas datu apstrādes tiesiskie pamati

Vispārīgās datu aizsardzības regulas 6. pantā ir noteikti seši vispārīgi tiesiskie pamati. Tātad, lai personas datu apstrāde būtu likumīga pēc 25. maija, kad visā Eiropas Savienībā sāks tieši piemērot regulas prasības, tai jāatbilst vismaz vienam no tiem:

  • Piekrišana. Persona (datu subjekts) ir devusi piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem.

Piemēram, veikalā tiek piedāvāts noformēt klienta karti, kurā norādāt savu e-pasta adresi un dzimšanas datus, piekrītot, ka Jums tiks sagatavoti un nosūtīti personalizēti pakalpojumu piedāvājumi, īpašas atlaides dzimšanas dienā u. tml.

  • Līguma izpilde. Datu apstrāde izriet no uzņēmuma līgumsaistībām ar klientu vai, ievērojot personas pieprasījumu, datu apstrāde nepieciešama, lai attiecīgu līgumu noslēgtu.

Piemēram, persona vēlas iegādāties mājokli un noslēgt hipotekārā kredīta līgumu ar banku. Pirms līguma noslēgšanas kredītdevējs ar personas piekrišanu apstrādā noteiktus personas datus, lai novērtētu klienta materiālo stāvokli un maksātspēju.

  • Juridisks pienākums. Personas datu apstrāde ir nepieciešama pārzinim, lai veiktu ES vai valsts tiesību aktā noteiktu pienākumu.

Pieņemot darbā cilvēkus, darba devējam ir jāievēro vairākos normatīvajos aktos noteiktās prasības. Piemēram, lai darbiniekiem tiktu nodrošinātas sociālās garantijas, darba devējam ir jāsniedz personas dati Valsts ieņēmumu dienestam.

Ja pircējs vēlas saņemt rēķinu par preces iegādi interneta veikalā, atbilstoši likuma “Par grāmatvedību” prasībām pārdevējam nepieciešams apstrādāt ne tikai pircēja vārdu, uzvārdu, piegādes adresi, kontaktinformāciju, bet arī personas kodu.

  • Sabiedrības intereses. Datu apstrāde nepieciešama, lai izpildītu sabiedrības interesēs īstenojamu uzdevumu vai īstenotu oficiālas pilnvaras, kas noteiktas ES vai valsts tiesību aktā.

Piemēram, Latvijas Zvērinātu advokātu kolēģijai ir Latvijas Republikas Advokatūras likumā noteiktas pilnvaras veikt disciplināras procedūras pret kolēģijas locekļiem.

  • Vitālo interešu aizsardzība. Personas datu apstrāde ir nepieciešama, lai aizsargātu fiziskās personas vitāli svarīgas intereses, tai skaitā dzīvību un veselību.

Piemēram, ja pēc satiksmes negadījuma slimnīcā tiek nogādāta persona bezsamaņā, ārstam nav nepieciešama piekrišana, lai uzmeklētu pacienta dokumentus, lai pārbaudītu personas identitāti un datubāzē pieejamās ziņas par tās slimību vēsturi, kā arī lai sazinātos ar cietušā tuviniekiem.

  • Pārziņa vai trešās personas leģitīmo interešu ievērošana. Šāds personas datu apstrādes pamats ir pieļaujams tikai tad, ja ir pārbaudīts, ka tādējādi netiek būtiski ietekmētas personas, kuras dati tiek apstrādāti, intereses vai pamattiesības un pamatbrīvības, jo īpaši, ja datu subjekts ir bērns. Šo punktu nepiemēro personas datu apstrādei, ko veic valsts un pašvaldības iestādes, pildot savus uzdevumus.

Piemēram, uzņēmums/organizācija uzrauga, kā tās darbinieki lieto informācijas tehnoloģiju ierīces, lai nodrošinātu iekšējā tīkla drošību.

Kā norādīts Eiropas Komisijas skaidrojumā2, novērtējums, vai uzņēmuma/organizācijas leģitīmās intereses ir svarīgākas par attiecīgās personas, kuras dati tiek apstrādāti, interesēm, ir atkarīgs no situācijas apstākļiem. Piemērā minētajā gadījumā personas datu apstrāde būtu pieļaujama tikai tad, ja tiek izvēlēta vismazāk ierobežojošā metode attiecībā uz darbinieku privātumu, piemēram, ierobežojot piekļuvi noteiktām tīmekļvietnēm.

Ar trešajām personām būtu jāsaprot ne tikai konkrētas un identificējamas trešās personas, bet arī personu loks vai sabiedrība kopumā. Piemēram, publicējot informāciju (fotogrāfiju) par bīstamu noziedznieku, kurš ir izsludināts meklēšanā.3

Personas datu apstrādes principi

Tiesiskais pamats (likumība) un godprātība ir tikai divi no pamatprincipiem, kas jāievēro, apstrādājot personas datus. Vispārīgās datu apstrādes regulas 5. pants definē vēl virkni citu. Tādējādi, lai aizsargātu personas, kuras dati tiek apstrādāti, intereses, pārzinim ir jānodrošina:

  • Pārredzamība. Pārredzamības principa pamatā ir prasība, ka visa informācija un saziņa, kas saistīta ar personas datu apstrādi, ir datu subjektam viegli pieejama skaidrā un vienkāršā valodā, ņemot vērā datu subjekta briedumu, citas īpašības, lai personai, kuras dati tiek apstrādāti, būtu saprotams, kas viņas datus vāc, kādā apjomā, kādā nolūkā dati tiek apstrādāti, cik ilgi tie tiks glabāti u. tml. Tas cita starpā arī nozīmē, ka informācijai par datu apstrādi ir jābūt pēc iespējas koncentrētai, nevis izklāstītai sīkā drukā uz neskaitāmām lapām.
  • Nolūka ierobežojumi. Tas nozīmē, ka personas dati tiek vākti konkrētam, skaidram un likumīgam mērķim. To turpmāko apstrādi neveic ar minēto mērķi nesavienojamā veidā. Šis princips nepieļauj datu ievākšanu un apstrādi bez konkrētas nepieciešamības un mērķa. Datus neievāc nolūkā – “varbūt kādreiz noderēs”.

Piemēram, ja, iegādājoties preci veikalā, noslēdzot līgumu par preces piegādi, esam nodevuši pārdevējam informāciju par savu vārdu un uzvārdu, adresi un tālruņa numuru, šo informāciju bez papildu piekrišanas ir aizliegts izmantot, lai personai vēlāk nosūtītu reklāmas bukletus vai īsziņas.

  • Datu minimizēšana. Personas dati tiek apstrādāti tikai atbilstoši paredzētajam mērķim un tam nepieciešamajā apjomā. Tas nozīmē iepriekš noteikto likumīgo mērķi īstenot ar minimāli nepieciešamo datu apjomu tā sasniegšanai.

Piemēram, lai nodrošinātu komunikāciju ar klientu, sniedzot pakalpojumu, ir nepieciešama kontaktinformācija: e-pasta adrese vai tālruņa numurs. Taču no datu aizsardzības viedokļa būtu pārmērīgi prasīt gan e-pastu, gan tālruņa numuru, ģimenes locekļa tālruņa numuru u. c. kontaktinformāciju.

  • Glabāšanas ierobežojums. Personas dati tiek apstrādāti tādā veidā, kas pieļauj personas identifikāciju tik ilgi, līdz tiek sasniegts attiecīgās personas datu apstrādes mērķis.

Ja pakalpojuma līgums ar klientu tiek izbeigts un pamatnolūks – sniegt pakalpojumu klientam – ir sasniegts, dati šim nolūkam vairs nav nepieciešami un apstrādājami. Vienlaikus ir iespējams, ka datus nepieciešams apstrādāt papildu nolūkiem, lai izpildītu likumā noteiktās grāmatvedības prasības vai aizstāvētu uzņēmuma leģitīmās intereses. Piemēram, pēc interneta veikalā iegādātās preces piegādes pakalpojuma sniedzējs klienta personas datus var glabāt tik ilgu laiku, kas ir nepieciešams, lai risinātu noteikta veida civiltiesiskus strīdus (ja prece nav piegādāta, tā nav bijusi kvalitatīva u. tml.).

  • Precizitāte. Ir jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti. Tikai precīzi dati var nodrošināt godprātīgu un taisnīgu lēmumu pieņemšanu attiecībā uz datu subjektu.

Bieži uzņēmumi gadiem ilgi uzkrāj dažādus klientu datus. Liela daļa no tiem vairs nav aktuāla – personas maina tālruņa numuru, dzīvesvietu, darbavietu, uzvārdu, nomirst. Šādu neaktuālu personas datu glabāšana neatbilst Vispārīgās datu aizsardzības regulas noteikumiem.

  • Integritāte un konfidencialitāte. Personas dati tiek apstrādāti, nodrošinot atbilstošu drošību, tostarp aizsardzību pret neatļautu vai nelikumīgu apstrādi, nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus.

Latvijā arī līdz šim ir bijuši spēkā Ministru kabineta noteikumi4, kuri nosaka organizatoriskus un tehniskus pasākumus, kādi pārziņiem ir jāievēro, apstrādājot datus. Tā ir virkne drošības pasākumu, kas nodrošina, ka pārziņa rīcībā esošais datu kopums nav pieejams citām personām, tai skaitā uzņēmuma darbiniekiem, kuru darba pienākumi neparedz konkrēto personas datu apstrādi.

  • Pārskata atbildība. Šis princips zināmā mērā ir jaunums. Tas paredz datu pārziņa pienākumu uzskatāmi parādīt, kā viņš ievēro datu aizsardzības principus, ņemot vērā to, ka datu subjektam pašam ne vienmēr ir zināšanas un līdzekļi, lai kontrolētu savu datu apstrādi.

Datu apstrāde nav aizliegta. Taču, tāpat kā līdz šim, lai būtu drošība, ka personu datu apstrāde ir likumīga, katram pārzinim ir godīgi jāatbild uz trim jautājumiem:

  1. Kāds ir personas datu apstrādes mērķis – vai tas ir likumīgs un godprātīgs?
  2. Kādu datu apstrāde ir nepieciešama, lai sasniegtu mērķi? Kāds ir iespējamais mazākais datu apjoms, lai mērķi varētu sasniegt?
  3. Vai mērķa sasniegšanai nepieciešamo personas datu apstrādei ir tiesisks pamats? Jebkurai personas datu apstrādei ir nepieciešams pamatojums.

Nākamajā skaidrojumā lasiet par vienu no izplatītākajiem personas datu apstrādes tiesiskajiem pamatiem – piekrišanu. Kādos gadījumos tā ir nepieciešama, un kā to pareizi noformēt?

Publikācijā izmantoti Datu valsts inspekcijas un Eiropas Komisijas sagatavotie materiāli.

1 Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti, ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula).

2 Eiropas Komisija. 2018. gada ES datu aizsardzības noteikumu reforma.

3 Plašāk: Ivo Krievs. Pārziņa vai trešās personas leģitīmās intereses kā personas datu apstrādes tiesiskais pamats. Jurista Vārds. 14. novembris, 2017/Nr. 47 (1001).

4 Ministru kabineta noteikumi Nr. 40 "Personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības".

Labs saturs
32
Pievienot komentāru
LATVIJAS REPUBLIKAS TIESĪBU AKTI
LATVIJAS REPUBLIKAS OFICIĀLAIS IZDEVUMS
ŽURNĀLS TIESISKAI DOMAI UN PRAKSEI