1. Tiesības uz informāciju
Vispārīgā datu aizsardzības regula1 (regula) paredz tiesības saņemt skaidru un saprotamu informāciju par to, kas apstrādā jūsu datus, kādi dati tiek apstrādāti un kāpēc. Tas nozīmē, ka uzņēmumam/organizācijai brīdī, kad sniedzat savus datus, ir kodolīgā, pārredzamā un saprotamā veidā, izmantojot vienkāršu valodu, jāsniedz regulas 13.–14. pantā norādītā informācija, tai skaitā:
- par jūsu datu apstrādi atbildīgā uzņēmuma/organizācijas un tās datu aizsardzības speciālista (ja tāds ir) kontaktinformācija;
- jūsu datu izmantošanas nolūks;
- jūsu datu apstrādes tiesiskais pamats;
- cik ilgi jūsu dati tiks glabāti;
- kam (citi uzņēmumi/organizācijas) jūsu dati tiks nodoti;
- jūsu datu aizsardzības pamattiesības (piemēram, tiesības piekļūt saviem datiem, tiesības iebilst datu apstrādei u. tml.);
- tiesības iesniegt sūdzību datu aizsardzības iestādei;
- tiesības jebkurā laikā atsaukt piekrišanu;
- vai jūsu dati tiks nosūtīti ārpus ES;
- vai, izmantojot jūsu datus, tiks pieņemti automatizēti lēmumi u. tml.
Piemērs – videonovērošana. Ja teritorijā tiek veikta videonovērošana, redzamā vietā jāizvieto informācija, kas, kādiem nolūkiem, uz kāda pamata veic datu apstrādi. Tomēr jāņem vērā, ka visu minēto informāciju sniegt informējošā uzlīmē ne tikai nav iespējams, bet tādējādi netiktu izpildīta regulas prasība – sniegt informāciju pārskatāmi, vienkārši, saprotami. Tāpēc, tāpat kā līdz šim, ar informatīvās uzlīmes palīdzību var sniegt tikai būtiskāko informāciju (ziņas par pārzini, kontaktinformāciju un datu apstrādes mērķi), norādot vietu, kur persona nepieciešamības gadījumā var atrast papildu informāciju (piem., uzņēmuma mājaslapā, sekretariātā). Viens no vienkāršākajiem veidiem, kā nodrošināt papildu informācijas sniegšanu, ir QR kods (Quick Response Code).
2. Tiesības piekļūt saviem datiem
Regulas 15. pants paredz jūsu tiesības pieprasīt piekļuvi saviem personas datiem, kas ir kāda uzņēmuma/organizācijas rīcībā, bez maksas saņemt šo datu kopiju un iegūt jebkādu citu papildu informāciju par savu personas datu apstrādi, piemēram, kāds ir to apstrādes iemesls, kam ir pieeja jūsu datiem u. tml.
Šīs tiesības nav absolūtas – tiesību piekļūt jūsu personas datiem izmantošana nedrīkst ietekmēt citu personu tiesības un brīvības, tai skaitā komercnoslēpumu vai intelektuālo īpašumu.
Piemērs – klienta karte. Persona ir reģistrējusies kādas lielveikalu ķēdes lojalitātes kartes programmā. Ja pirkuma vēsture lielveikalu uzskaites sistēmā ir sasaistīta ar datiem, kas ļauj identificēt konkrētu personu (piem., vārds, uzvārds, kontaktinformācija), tad, īstenojot tiesības pieprasīt informāciju par lojalitātes kartes programmā saglabātajiem personas datiem, datu pārzinim būtu jāsniedz informācija par klienta kartes izmantošanas biežumu (veikto pirkumu saraksts); lielveikaliem, kuros persona ir iepirkusies; atlaidēm, kādas tikušas piešķirtas; dati par to, vai personai tika adresēti personalizēti piedāvājumi, izmantojot profilēšanas paņēmienus; vai lielveikals, kas ir starptautiskas uzņēmumu ķēdes sastāvdaļa, ir izpaudis personas datus māsas uzņēmumam, kas tirgo cita veida preces, piemēram, sadzīves tehniku.
Piemērs – bibliotēkas abonements. Bibliotēkas apmeklētājs var pieprasīt bibliotēkai sniegt informāciju par tās rīcībā esošajiem konkrētās personas datiem, piemēram, kādas grāmatas ir izņemtas, informāciju par to, vai kāda no grāmatām ir paturēta ilgāk par noteikto termiņu, saņemtajiem naudas sodiem u. tml.
Piemērs – medicīniskā karte. Pacientam ir tiesības iepazīties ar saviem medicīniskajiem dokumentiem un saņemt šo dokumentu izrakstus un kopijas. Pacients kā datu subjekts ir tiesīgs saņemt bez maksas visu informāciju, kas par viņu savākta ārstniecības iestādē, tai skaitā, kas ir izmantojis piekļuves tiesības šī pacienta datiem.
Šo tiesību mērķis ir nodrošināt datu subjektiem iespēju piekļūt saviem datiem, lai jebkurā no datu apstrādes posmiem pārliecinātos par datu precizitāti un to izmantošanas likumību. Šādām piekļuves tiesībām ir jābūt viegli izmantojamām, neradot birokrātiskus šķēršļus. Taču jāņem vērā, ka persona nevar vērsties pie pārziņa nepamatoti bieži. Pašreizējais regulējums (Fizisko personu datu aizsardzības likums) paredz, ka datu subjekts var bez maksas izmantot šīs tiesības ne biežāk kā divas reizes gadā. Savukārt regulā noteikts – par visām papildu kopijām, ko pieprasa datu subjekts, pārzinis var iekasēt saprātīgu samaksu, kas sedz administratīvās izmaksas.
3. Tiesības labot datus
Ja uzskatāt, ka jūsu personas dati, kas ir kādas organizācijas rīcībā, varētu būt nepareizi, nepilnīgi vai neprecīzi, regulas 16. pants paredz jūsu tiesības pieprasīt tos izlabot.
Kļūdas, kādas rodas, datiem zaudējot aktualitāti, dažkārt var jūtami ietekmēt personas (datu subjekta) izvēles iespējas. Piemēram, piesakoties kredītam vai apdrošināšanai, neprecīza informācija var ietekmēt bankas vai apdrošināšanas kompānijas pakalpojuma piedāvājumu (mazāk izdevīga procentu likme u. tml.).
Piemērs – ziņu par parādu anulēšana. Kredītinformācijas biroja rīcībā ir informācija, ka personai ir neapmaksāts komunālo pakalpojuma parāds, ko piedzen parādu piedziņas kompānija. Persona ir vērsusies tiesā, kas prasību par parāda piedziņu ir atzinusi par nepamatotu. Personai ir tiesības vērsties Kredītinformācijas birojā ar lūgumu labot tā rīcībā esošos datus, lai nepatiesa informācija turpmāk neradītu šķēršļus sadarbībā ar kredītiestādēm.
4. Tiesības dzēst datus jeb “tikt aizmirstam”
Regulas 17. pants paredz jūsu tiesības pieprasīt savus datus dzēst, piemēram, ja:
- tie vairs nav vajadzīgi nolūkam, kam tie tika vākti;
- atsaucat savu piekrišanu datu apstrādei (sīkāks izklāsts LV portāla skaidrojumā “Piekrišana datu apstrādei. Vispārīgā datu aizsardzības regula IV”);
- iebilstat datu apstrādei (skat. 7.punktu), tai nav svarīgāka leģitīma pamata;
- dati apstrādāti nelikumīgi.
Šīs tiesības attiecas arī uz darbībām tiešsaistē un tiek bieži dēvētas par tiesībām tikt aizmirstam.
Piemērs – izdzēst savus datus sociālajā tīklā. Jūs esat pievienojies sociālā tīkla vietnei. Pēc kāda laika izlemjat pamest šo vietni. Jums ir tiesības pieprasīt sociālā tīkla uzturētāju neatgriezeniski dzēst jūsu personas datus.
Piemērs – neaktuālas ziņas internetā. Persona veic meklēšanas darbības tiešsaistē, izmantojot savu vārdu un uzvārdu, nejauši uziet saiti uz presē publicētu rakstu, kas attiecas uz notikumu pirms vairākiem gadiem un ir saistīts ar kādu incidentu par nenomaksātu parādu. Strīds jau sen ir atrisināts un parādsaistības nokārtotas, tāpēc šāda publiski pieejama ziņa ārpus konteksta var kaitēt. Personai ir tiesības lūgt meklēšanas programmas nodrošinātāju noņemt šīs saites tīmekļa lapā, kuras meklēšanas rezultātos parādās personas vārds un uzvārds.
Jāpatur prātā, ka šīs tiesības nav absolūtas. Lai tiktu aizsargātas citas ES tiesības un vērtības, piemēram, vārda brīvība un zinātniskās vai vēstures pētniecības, statistikas un arhivēšanas funkcijas, gadījumos, kad pieprasījums dzēst datus neatbilst sabiedrības interesēm, pārzinis var atteikties tos dzēst.
Piemērs – datu saglabāšana ir sabiedrības interesēs. Sabiedrībā pazīstama politiķa vai amatpersonas skandalozi izteikumi var netikt automātiski dzēsti, ja to pieejamība internetā kalpo sabiedrības interesēm.
Turklāt datus nebūs iespējams izdzēst nekavējoties, ja to glabāšanu paredz likums vai līgums.
Piemērs – datu dzēšana, mainot banku. Jūs izlemjat pāriet uz jaunu banku un lūdzat iepriekšējai bankai slēgt savus kontus un izdzēst visu jūsu personīgo informāciju. Tomēr bankai ir saistošas likuma prasības, kas paredz bankas pienākumu glabāt visus klienta datus vēl 10 gadus. Līdzīgas prasības attiecas arī uz citām nozarēm, piemēram, ārstniecības iestādēm, kurām ir jāglabā savu pacientu dati noteiktu laika periodu.
Taču datu pārziņa bezierunu pienākums ir dzēst tādus personas datus, kurus ar kādas aplikācijas vai tīmekļvietnes palīdzību ir snieguši bērni. Personas datus, kas tika sniegti, kad bijāt bērns, var dzēst jebkurā brīdī.
5. Tiesības ierobežot apstrādi
Regulas 18. pants paredz jūsu tiesības ierobežot jūsu personas datu apstrādi. Piemēram, ja pārzinim datu apstrāde vairs nav vajadzīga nolūkam, kam tie tika vākti, vai persona atsauc savu piekrišanu datu apstrādei, bet to dzēšana nav vēlama, jo dati vēl var būt nepieciešami, lai aizstāvētu savas likumīgās prasības tiesā u. tml.
6. Tiesības uz datu pārnesamību
Ja datu apstrādes pamats ir personas piekrišana vai līgumsaistības un tā tiek veikta ar automatizētiem līdzekļiem, regulas 20. pants paredz jūsu tiesības saņemt datus attiecībā uz sevi, kurus esat iesniedzis pārzinim, strukturētā, plaši izmantotā un mašīnlasāmā formātā un tos pārsūtīt citam pārzinim. Turklāt jums ir tiesības lūgt nosūtīt savus datus tieši no viena pārziņa citam pārzinim, kura pakalpojumus turpmāk vēlaties izmantot, ja tas ir tehniski iespējams.
Piemēram, ja vēlaties mainīt mobilo sakaru piegādātāju, jūs varat prasīt pašreizējam piegādātājam pārsūtīt jūsu datus jaunajam piegādātājam, lai tas, analizējot jūsu telefona lietošanas paradumus, var piedāvāt piemērotāko tarifu plānu.
Uzņēmumam/organizācijai nav jānodrošina pārnesamība attiecībā uz papīra dokumentos fiksētu informāciju. Taču šādu pienākumu dažkārt paredz likums.
Piemērs – ģimenes ārsta maiņa. Medicīnas dokumentu lietvedības kārtība paredz: ja pacients maina ģimenes ārstu, ģimenes ārsts, pie kura pacients bija reģistrēts iepriekš, nodod pilnīgus medicīniskos ierakstus par attiecīgo pacientu izraudzītajam ģimenes ārstam.
7. Tiesības iebilst pret datu apstrādi
Regulas 21. pants paredz jūsu tiesības, balstoties uz īpašo situāciju, iebilst pret savu personas datu apstrādi, kas tiek veikta, lai izpildītu uzdevumu sabiedrības interesēs vai pārziņa leģitīmās interesēs (ko nozīmē katrs no personas datu apstrādes tiesiskajiem pamatiem, sīkāks izklāsts pieejams LV portāla skaidrojumā “Personas datu apstrādes principi. Vispārīgā datu aizsardzības regula III”).
Tomēr dažās situācijās sabiedrības intereses var būt svarīgākas un personas datu apstrāde var tikt turpināta, neraugoties uz personas iebildumiem, piemēram, zinātniskās vai vēstures pētniecības, arhivēšanas un statistikas nolūkos. Savukārt, ja uzņēmums/organizācija spēj pārliecinoši pierādīt, ka tai ir leģitīmas intereses apstrādāt personas datus, un tās konkrētajā situācijā ir svarīgākas par personas interesēm, tiesībām un brīvībām, arī tad apstrādi var turpināt.
Svarīgi uzsvērt, ka šis regulas pants paredz personas tiesības jebkurā laikā iebilst pret savu datu apstrādi, kas ietver profilēšanu tirgvedības nolūkos (mārketings).
Piemērs – personalizētu preču piedāvājumu izsūtīšana. Persona internetā iegādājas portatīvo datoru. Lai piegādātu preci, pakalpojuma sniedzējam tika sniegti personas dati – vārds, uzvārds, e-pasta adrese un dzīvesvietas adrese. Pēc tam, kad darījums ir noticis (prece piegādāta), attiecīgais interneta veikals regulāri izsūta uz klienta e-pasta adresi reklāmas piedāvājumus par citām veikalā nopērkamām precēm, piedāvājot piemeklētus aksesuārus portatīvajam datoram par izdevīgām cenām. Personai ir tiesības jebkurā laikā iebilst pret šādu reklāmas materiālu saņemšanu savā telefonā, e-pastā, sociālā tīkla profilā, pastkastītē.
8. Tiesības iebilst automatizētai lēmumu pieņemšanai
Regulas 22. pants paredz personas tiesības nebūt tāda lēmuma subjektam, kura pamatā ir automatizēta datu apstrāde, tai skaitā profilēšana, ja šādam lēmumam ir ietekme uz personas tiesībām, brīvībām un leģitīmām interesēm.
Lēmumu pieņemšana, kuras pamatā ir tikai automatizēta personas datu apstrāde, notiek tad, kad lēmums par personu tiek pieņemts, izmantojot tehnoloģiskos līdzekļus bez cilvēku līdzdalības. Tā sauktā profilēšana un automatizēta lēmumu pieņemšana ir plaši izplatīta prakse vairākās nozarēs, piemēram, banku un finanšu jomā, arī veselības aprūpē. Šis process ir efektīvāks, bet mazāk pārredzams un var atstāt ietekmi uz datu subjekta dzīvi, piemēram, sašaurinot pakalpojumu izvēles iespējas, it īpaši, ja pārziņa rīcībā esošie dati ir kļūdaini.
Datu pārziņa pienākums šādās situācijās ir norādīt, ka lēmumi tiek pieņemti automatizētā veidā, un pieprasījuma gadījumā nodrošināt, ka automatizētā veidā pieņemtais lēmums tiek pārskatīts ar cilvēku līdzdalību.
Piemērs – neizdevīga kredītprocentu likme. Persona internetbankā piesakās kredītam. Saņemtais piedāvājums ietver augstāku procentu likmi nekā paziņām ar līdzīgu finansiālo stāvokli. Šajā gadījumā bankas klientam ir tiesības apstrīdēt šādu automatizētu lēmumu un lūgt bankas darbinieka līdzdalību lēmuma pārskatīšanā.
Jāatzīmē, ka šādas tiesības neattiecas uz situācijām, kad automatizētu personas datu apstrādi paredz īpašs tiesību akts.
Kā īstenot savas tiesības
Kā norādīts Eiropas Komisijas skaidrojumā2, lai īstenotu savas tiesības, personai pašai jāsazinās ar datu pārzini – uzņēmumu vai organizāciju, kura apstrādā tās personas datus. Ja attiecīgajā uzņēmumā/organizācijā ir datu aizsardzības speciālists, ar savu pieprasījumu varat vērsties pie šī speciālista.
Pārzinim uz jūsu pieprasījumu ir jāatbild bez nepamatotas kavēšanās ne vēlāk kā mēneša laikā. Savukārt, ja uzņēmums/organizācija jūsu pieprasījumu neplāno izpildīt, tai ir jāizskaidro šāda lēmuma iemesls.
No 25. maija šīs tiesības ir spēkā visā Eiropas Savienībā neatkarīgi no uzņēmuma/organizācijas, kas apstrādā jūsu datus, atrašanās vietas. Šīs tiesības ir spēkā arī tad, ja esat trešo valstu uzņēmumu, kuri piedāvā savas preces un pakalpojumus Eiropas Savienībā, klients.
Publikācijā izmantoti Datu valsts inspekcijas un Eiropas Komisijas sagatavotie materiāli.
1 Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti, ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula)
2 Eiropas Komisija. 2018. gada ES datu aizsardzības noteikumu reforma.