Kad nepieciešama datu subjekta piekrišana
Līdz šim piekrišana ir bijusi viena no visplašāk izmantotajiem tiesiskajiem pamatiem personas datu apstrādei, lai gan itin bieži tiek izmantota nepamatoti un praksē būtu izmantojama piesardzīgi.
“Ir jānošķir piekrišana regulas izpratnē no piekrišanas vispārīgā izpratnē. Piemēram, tajā brīdī, kad persona noslēdz pirkuma, aizdevuma vai cita veida pakalpojuma līgumu, tā piekrīt līgumam. Tas nenozīmē, ka kāds liek līgumu noslēgt. Persona to dara brīvprātīgi, tomēr datu apstrādes tiesiskais pamats ir nevis piekrišana, bet līguma izpilde. Tāpat ir ar likumu. Piemēram, likumā var būt noteikts, ka, lūdzot izmaksāt attiecīgu pabalstu, personai ir jāiesniedz valsts iestādei noteikta informācija. Tiklīdz persona izsaka lūgumu saņemt konkrētu pabalstu, valsts iestāde uzsāk šīs personas datu apstrādi, jo to paredz likums,” intervijā LV portālam skaidroja Tieslietu ministrijas padomniece datu jautājumos Moldovas Republikā Jekaterina Macuka.
Tādējādi piekrišana regulas izpratnē ir nepieciešama tikai gadījumos, kad nedz likums, nedz līgums neuzliek cilvēkam pienākumu sniegt savus personas datus.
Kas ir piekrišana regulas izpratnē
Vispārīgās datu aizsardzības regulas1 (regula) izpratnē datu subjekta “piekrišana” ir jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei.
Regula paredz vairākus nosacījumus, lai saņemtā piekrišana tiktu uzskatīta par spēkā esošu:
Brīvi sniegta piekrišana
Viens no galvenajiem priekšnosacījumiem likumīgai datu subjekta piekrišanai ir tas, ka piekrišanai ir jābūt brīvi sniegtai. Regulas 42. apsvērumā norādīts: piekrišana nav uzskatāma par brīvi izteiktu, ja personai nav īstas vai brīvas izvēles, tā nevar atteikties vai atsaukt savu izvēli bez nelabvēlīgām sekām. Piemēram, ņemot vērā darbinieka un darba devēja attiecības, kurās darbinieks ir atkarīgs no darba devēja, darbinieks retos gadījumos varēs brīvi sniegt vai atteikties sniegt, kā arī atsaukt piekrišanu. Lai nodrošinātu, ka piekrišana ir sniegta brīvi, piekrišana nevar būt likumīgs pamats personas datu apstrādei gadījumā, kad datu subjekta un pārziņa attiecībās pastāv nevienlīdzība.
Piemēram, darba devējs uzskata, ka ir jāuzlabo darba ražīgums. Lai to panāktu, viņš plāno uzstādīt videonovērošanas kameras koridoros un pie tualetēm. Viņš lūdz darbiniekam dot piekrišanu, lai varētu novērot pārvietošanos un laiku, kuru viņš pavada ārpus biroja telpām. Pat ja darbinieks dotu piekrišanu, tā tiktu uzskatīta par nederīgu. Darba devēja un darba ņēmēja attiecības parasti tiek uzskatītas par nevienlīdzīgām – tajās darba devējam ir lielāka vara nekā darba ņēmējam. Tomēr var būt situācijas, kad darba ņēmēja personas datu apstrāde saskaņā ar viņa piekrišanu ir viņa interesēs, piemēram, ja uzņēmums sniedz zināmas priekšrocības darbiniekiem, kuriem ir bērni. Darbinieka personas datu apstrāde ir atļauta, ja viņš tam ir apzināti piekritis.
Tikmēr regulas 43. apsvērumā uzsvērts: piekrišana nevar tikt uzskatīta par brīvi sniegtu, ja personai tiek dota iespēja piekrist tikai visām datu apstrādes darbībām vienlaikus vai nevienai. Pārzinis nedrīkst pieprasīt datu sniegšanu kā nosacījumu līguma izpildei, neraugoties uz to, ka attiecīgā piekrišana nav noteikti tam nepieciešama.
Ja pārzinis ir pieprasījis sniegt personas datus to apstrādei, bet attiecīgie personas dati nav nepieciešami konkrētam mērķim, piekrišana šo datu apstrādei netiktu uzskatīta par brīvi sniegtu. Svarīgi atzīmēt, ka brīvi sniegta piekrišana attiecas tikai uz tiem personas datiem, kas ir nepieciešami attiecīgo datu apstrādei, kam persona ir devusi savu piekrišanu.
Konkrēta piekrišana
Regula paredz, ka piekrišanai ir jābūt konkrētai. Piekrišanai ir jābūt sniegtai attiecībā uz noteiktu, konkrētu personas datu apstrādes mērķi. Ja no datu subjekta tiek iegūta vispārīga piekrišana apstrādāt personas datus, neizdalot, kādi ir šīs apstrādes mērķi, šādu piekrišanu nevar uzskatīt par konkrētu. Papildu nosacījums konkrētai piekrišanai - tai jābūt saprotamai datu subjektam.
Apzināta piekrišana
Apzinātas piekrišanas nosacījums pārklājas ar nosacījumu piekrišanai būt konkrētai. Lai piekrišana tiktu uzskatīta par likumīgu, datu subjektam ir jābūt informētam par to, kā viņa personas dati tiks izmantoti un kādas varētu būt piekrišanas personas datu apstrādei sekas.
Lai datu subjekts varētu pieņemt izvērtētu un apzinātu lēmumu sniegt vai nesniegt piekrišanu savu personas datu apstrādei, tai jānodrošina pieeja VDAR 13. pantā norādītājai informācijai. Kā norādīts Eiropas Komisijas skaidrojumā3, piekrišanas pieprasījumā ir jānorāda vismaz šāda informācija par jūsu personas datu apstrādi:
- datu apstrādes veicēja identitāte un kontaktinformācija;
- datu apstrādes nolūki;
- apstrādājamo datu veids;
- datu subjekta tiesības atsaukt piekrišanu (piemēram, nosūtot e-pasta ziņojumu, lai atsauktu piekrišanu);
- attiecīgā gadījumā – informācija par to, vai dati tiks izmantoti vienīgi automatizētā lēmumu pieņemšanā, tostarp profilēšanā;
- informācija par to, vai piekrišana ir saistīta ar personas datu starptautisku nosūtīšanu – iespējamie riski, veicot datu pārsūtīšanu uz valstīm ārpus ES, ja uz minētajām valstīm neattiecas Komisijas lēmums par aizsardzības līmeņa pietiekamību un nepastāv atbilstošas garantijas u.c.
Viennozīmīga piekrišana
Regula paredz, ka piekrišanai, ko sniedz datu subjekts, ir jābūt viennozīmīgai. Piekrišana nevar tikt veidota tā, ka to iespējams interpretēt dažādos veidos, radot pārpratumus par to, kādam tieši nolūkam datu subjekts ir devis savu piekrišanu. Tādējādi viennozīmīga piekrišana nozīmē, ka tā ir skaidra datu subjekta norāde tam, ka viņš piekrīt, ka attiecīgus viņa personas datus apstrādās konkrēts pārzinis konkrētiem mērķiem.
Paziņojuma vai skaidri apstiprinošas darbības forma
Regula paredz, ka datu subjekta piekrišanai ir jābūt paziņojuma vai skaidri apstiprinošas darbības formā. Piekrišana var būt izteikta gan rakstiski, gan mutiski, kā arī tā var būt netieši izteikta, interpretējot to no personas rīcības, kas norāda uz tās vēlmi sniegt piekrišanu datu pārzinim, ja likumā nav noteikts citādi.
Regula neizslēdz iespēju, ka piekrišana var tikt sniegta elektroniski, piemēram, veicot tehnisko iestatījumu izvēli, atzīmējot piekrišanu atsevišķā lodziņā. Piekrišanai ir jābūt aktīvai darbībai (piemēram, elektronisks izvēles logs, kurš personai ir nepārprotami jāatzīmē, ka tā piekrīt, vai paraksts uz veidlapas). Piekrišana nevar tikt iegūta, ja elektroniskā pieteikuma formā izvēles lodziņu, kas paredzēts, lai atzīmētu piekrišanu personas datu apstrādei, sistēma aizpilda pēc noklusējuma.
Pierādāma, saprotama, atsaucama
Pārzinim, uzsākot personas datu apstrādi uz piekrišanas pamata, ir jāņem vērā vēl citi nosacījumi, kas uzskaitīti regulas 7. pantā:
Piekrišanu jāspēj uzskatāmi pierādīt
Ja personas datu apstrāde pamatojas uz piekrišanu, pārzinim ir jāspēj uzskatāmi parādīt, ka persona, kuras dati tiek apstrādāti, ir piekritusi savu datu apstrādei.
Tas nozīmē, ka pārzinim ir jāglabā katra piekrišana, kas ir saņemta no datu subjekta. Tāpēc, lai spētu izpildīt regulas prasības, piemēram, saņemot mutisku piekrišanu, būtu ieteicams tomēr veikt tam rakstisku apstiprinājumu. Ja piekrišana ir rakstiska, piekrišanas formu var saglabāt papīra formātā, savukārt elektroniski pieprasītas piekrišanas gadījumā pārzinim jāspēj pierādīt saņemto datu integritāti (nemainīgumu).
Tāpat datu pārzinim jānodrošina, ka ierakstos par datu subjektu piekrišanu ir norādīts, kurš datu subjekts ir piekritis, kad ir piekritis, kam ir piekritis, kādā formā ir sniedzis piekrišanu un vai datu subjekts nav atsaucis savu piekrišanu. Piekrišana ir glabājama tik ilgi, kamēr tiek sasniegts personas datu apstrādes mērķis, vai līdz brīdim, kad piekrišana ir atsaukta.
Tai jābūt viegli saprotamai un skaidri nošķiramai no citiem jautājumiem
Piekrišanas pieprasījumam ir jābūt skaidram un kodolīgam, izmantojot viegli saprotamu valodu. Tam jābūt skaidri atšķiramam no citas informācijas, piemēram, noteikumiem un nosacījumiem. Tas nozīmē, ka pārzinim ir jāizvairās lietot sarežģītu, juridisku valodu, izklāstot personas datu apstrādes mērķus uz vairākām lapām. Datu subjekta piekrišana nav saistoša, ja tajā nav izmantota skaidra un vienkārša valoda.
Piekrišanu var atsaukt jebkurā laikā
Personai, kuras dati tiek apstrādāti, ir tiesības atsaukt savu piekrišanu jebkurā laikā un aizliegt turpināt savu datu apstrādi. Vienlaikus jāuzsver, ka piekrišanas atsaukums neietekmē tās apstrādes likumību, kas tikusi veikta, pamatojies uz piekrišanu, pirms atsaukuma.
Pirms persona dod savu piekrišanu savu datu apstrādei, datu pārzinim ir jānodrošina, ka tā ir informēta par savām tiesībām piekrišanu atsaukt. Turklāt kārtībai, kādā iespējams piekrišanu atsaukt, ir jābūt tikpat vienkāršai, kādā piekrišana tiek dota. Proti, datu pārzinis nedrīkst radīt papildu birokrātiskus šķēršļus piekrišanas atsaukšanai, ja persona vairs nevēlas, ka tās dati tiek apstrādāti.
Būtiski uzsvērt, ka persona nevar iebilst pret savu datu apstrādi visos gadījumos. Ja datu apstrādi paredz likums, personai vienmēr nebūs šādas iespējas. Tāpēc ir tik būtiski nošķirt, kāds ir datu apstrādes tiesiskais pamats. Tikai gadījumos, kad datu apstrāde tiek veikta uz piekrišanas pamata, personai jebkurā brīdī ir tiesības savu piekrišanu atsaukt un tādējādi pārtraukt savu datu apstrādi attiecīgiem nolūkiem.
Vai ir jādod jauna piekrišana datu apstrādei pēc 25. maija?
Regula atceļ iepriekšējo regulējumu, kas noteica personas datu aizsardzību, proti, Eiropas Savienības direktīvu 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti. Ja personas datu apstrāde pamatojas uz piekrišanu, ievērojot Direktīvu 95/46/EK, un veids, kādā piekrišana ir sniegta, atbilst jaunajiem nosacījumiem, datu subjektam nav vēlreiz jādod sava piekrišana (regulas 171. apsvērums).
Publikācijā izmantoti Datu valsts inspekcijas un Eiropas Komisijas sagatavotie materiāli.
1 Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti, ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula)
2 Videokonference pieejama Latvijas Pašvaldību savienības mājaslapas sadaļā "Videoarhīvs".
3 Eiropas komisija. 2018. gada ES datu aizsardzības noteikumu reforma