Par fizisko personu datu aizsardzību

28.05.2018 Veronika Cepliša, juridiskā

2018.gada 25.maijā Eiropas Savienības teritorijā stājās spēkā Vispārīgā datu aizsardzības regula (angliski – General Data Protection Regulation, turpmāk tekstā – Regula), kas atceļ Direktīvas 95/46/EK „Par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti” darbību, kā arī LR Fizisko personu datu aizsardzības likuma darbību.

Ja līdz Regulas spēkā stāšanās brīdim jautājums par datu apstrādi katrā ES dalībvalstī tika risināts dažādi, tad sākot ar š.g. 25.maiju Regula tiek tieši un nekavējoties piemērota visās dalībvalstīs, tai skaitā Latvijas teritorijā, bez nepieciešamības izstrādāt nacionālos normatīvos aktus.   

Pēc būtības, Regula paredz jau esošo personas datu aizsardzības principu modernizēšanu, radot vienotus personas datu aizsardzības noteikumus, kuri būs spēkā visā ES teritorijā. Šajā Regulā paredzētā aizsardzība jāpiemēro attiecībā uz fiziskām personām neatkarīgi no to valstiskās piederības vai dzīvesvietas, veicot viņu personas datu apstrādi.  

Regula neattiecas uz tādu personas datu apstrādi, kas skar juridiskas personas un jo īpaši uzņēmumus, kuriem ir juridiskas personas statuss, tostarp juridiskās personas nosaukumu, uzņēmējdarbības formu un kontaktinformāciju. 

Regulu nepiemēro personas datu apstrādei, kuru veic fiziska persona tikai personiska vai mājsaimnieciska pasākuma gaitā un kura tādējādi nav saistīta ar profesionālu vai komerciālu darbību. Personiski vai mājsaimnieciski pasākumi varētu ietvert korespondenci un adrešu sarakstu turēšanu, vai sociālo tīklošanos un tiešsaistes darbības, ko veic saistībā ar šādiem pasākumiem. 

Ko ietver jēdziens „personīgie dati”?  

Runa ir par jebkuru informāciju, ar kuras palīdzību var identificēt cilvēku – datu subjektu, t.i.  viņa vārds, uzvārds, kontaktinformācija, dzīvesvietas adrese, fotogrāfija, dzimšanas datums, personas kods u.t.t. Attiecīgi, personas datu apstrāde ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana. 

Pārzinis ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus. 

No šīs Regulas izriet, ka ja uzņēmums vāc vai glabā darbinieku datus, apstrādā klientu un citu fizisku personu datus, rīko mērķtiecīgus mārketinga pasākumus vai strādā ar sensitīviem datiem, tad Regulas darbība izplatās arī uz šo uzņēmumu, un uzņēmums darbojas kā Pārzinis.   

Vienkāršiem vārdiem runājot, Regula attiecas uz jebkuru uzņēmumu vai pašnodarbinātu personu, kas nodarbina darbiniekus, izraksta rēķinus vai noslēdz līgumus ar fiziskām personām, kā arī apstrādā personas datus uz cita pamata. Tāpēc ir ļoti svarīgi apzināt personas datu apjomu, kuru apstrādā uzņēmums. Šim nolūkam ļoti svarīgi ir veikt auditu un noskaidrot, kādā veidā un ar kādu nolūku personas dati tiek vākti, glabāti, izmantoti, kam tie ir pieejami un kam tiek nodoti tālāk.  

Saskaņā ar Regulas 5.pantu, veicot personas datu apstrādi, jāievēro sekojošie principi:  

  1. Likumīgums, godprātība un pārredzamība. Personas dati ir jāapstrādā likumīgi, godprātīgi un datu subjektam pārredzamā veidā. Informācijai par personas datu apstrādes mērķiem, metodēm un apjomiem jābūt izklāstītai maksimāli pieejami un vienkārši. 
  2. Nolūka ierobežojumi. Personas dati ir jāvāc konkrētos, skaidros un leģitīmos nolūkos.
  3. Datu minimizēšana. Personas datiem ir jābūt adekvātiem, atbilstīgiem un tiem jāietver tikai tas, kas nepieciešams to apstrādes nolūkos.
  4. Precizitāte. Personas datiem ir jābūt precīziem un, ja vajadzīgs, atjauninātiem; ir jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti.
  5. Glabāšanas ierobežojums. Personas dati ir jāglabā veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā.
  6. Integritāte un konfidencialitāte. Personas dati ir jāapstrādā tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret datu neatļautu vai nelikumīgu apstrādi, zudumu vai iznīcināšanu. 

Regula nosaka, ka personas datu apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem pamatojumiem:

  1. datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem;
  2. apstrāde ir vajadzīga līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas;
  3. apstrāde ir vajadzīga, lai izpildītu uz Pārzini attiecināmu juridisku pienākumu (piemēram, uzņēmums nodod informāciju par saviem darbiniekiem Valsts ieņēmumu dienestam vai VSAA);
  4. apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses (piemēram, ja cilvēks nonāk slimnīcā nopietna nelaimes gadījuma rezultātā, slimnīcai nav vajadzīga viņa piekrišana, lai veiktu viņa personas apliecinoša dokumenta meklēšanu, lai atrastu viņa slimības vēsturi vai sazinātos ar tuviniekiem;
  5. apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko Pārzinis veic sabiedrības interesēs vai īstenojot Pārzinim likumīgi piešķirtās oficiālās pilnvaras (piemēram, Latvijas ģimenes ārstu asociācijai ir noteiktas oficiālās pilnvaras un tā var īstenot disciplināros pasākumus pret saviem locekļiem);
  6. apstrāde ir vajadzīga Pārziņa vai trešās personas leģitīmo interešu ievērošanai (piemēram, lai nodrošinātu īpašuma drošību, uzņēmums var veikt fizisko personu videofilmēšanu), izņemot, ja datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama personas datu aizsardzība, ir svarīgākas par šādām interesēm, jo īpaši, ja datu subjekts ir bērns. 

Ir vērts pievērst uzmanību augstāk minēto noteikumu pirmajam punktam – datu subjekta piekrišanas saņemšana personas datu apstrādei. Regula nosaka, ka piekrišanai jābūt brīvi dotai, konkrētai, apzinātai un viennozīmīgai. Piekrišana var tikt dota rakstiskā, mutiskā vai elektroniskā formā. Tas varētu ietvert laukuma atzīmēšanu ar ķeksīti interneta tīmekļa vietnē, informācijas sabiedrības pakalpojumu tehnisko iestatījumu izvēli vai citu paziņojumu vai rīcību, kas šajā gadījumā skaidri norāda, ka datu subjekts piekrīt piedāvātajai savu personas datu apstrādei. Klusēšana, iepriekš atzīmēti laukumi vai atturēšanās no darbības tādējādi nebūtu jāuzskata par piekrišanu. Piekrišanai būtu jāattiecas uz visām apstrādes darbībām, ko veic vienā un tajā pašā nolūkā vai nolūkos. Ja apstrādei ir vairāki nolūki, piekrišana būtu jādod visiem nolūkiem. Ja datu subjekta piekrišana ir jādod pēc elektroniska pieprasījuma, pieprasījumam jābūt skaidram, kodolīgam, un tam nav nevajadzīgi jāpārtrauc tā pakalpojuma izmantošana, par ko tas tiek sniegts. 

Datu subjektam ir tiesības atsaukt savu piekrišanu jebkurā laikā. Piekrišanas atsaukums neietekmē apstrādes likumību, kas pamatojas uz piekrišanu pirms atsaukuma. Datu subjektam jābūt par to informētam, pirms viņš dod savu piekrišanu. Atsaukt piekrišanu ir tikpat viegli kā to dot. 

Jāatzīmē, ka kopumā Regula piešķir datu subjektam ļoti plašas tiesības un iespējas kontrolēt savus personas datus. Šīs tiesības ietver:

  1. Piekļuves tiesības. Datu subjektam ir tiesības piekļūt personas datiem, kā arī informācijai par apstrādes mērķiem, datu kategorijām, saņēmējiem, kuriem tika vai tiks izpausti personas dati, par termiņu, kura laikā tiks glabāti personas dati u.t.t. 
  2. Tiesības labot neprecīzus personas datus. 
  3. Tiesības uz personas datu dzēšanu (tiesības „tikt aizmirstam”). Šīs tiesības var izmantot, ja, piemēram, personas dati vairs nav vajadzīgi mērķiem, kuriem tie tika saņemti, vai datu subjects atsauc savu piekrišanu, uz kuras pamata tika veikta apstrāde, vai citos Regulā noteiktajos gadījumos.   
  4. Tiesības ierobežot personas datu apstrādi. Datu subjektam ir tiesības pieprasīt Pārzinim ierobežot personas datu apstrādi, ja datu subjekts apstrīd personas datu precizitāti, ja datu apstrāde ir nelikumīga, un datu subjekts iebilst pret personas datu dzēšanu, ja Pārzinim personas dati apstrādei vairs nav vajadzīgi, taču tie ir vajadzīgi datu subjektam, lai celtu, īstenotu vai aizstāvētu likumīgas prasības. 
  5. Tiesības iebilst. Datu subjektam, balstoties uz iemesliem saistībā ar viņa īpašo situāciju, ir tiesības jebkurā laikā iebilst pret savu personas datu apstrādi Regulā noteiktajoe gadījumos. Pārzinim šādā gadījumā jāpārtrauc personas datu apstrāde, izņemot, ja Pārzinis norāda uz pārliecinošiem leģitīmiem apstrādes iemesliem, kas ir svarīgāki par datu subjekta interesēm, tiesībām un brīvībām, vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības. Šajā gadījumā Pārzinim ir tiesības apstrādāt personas datus, izņemot glabāšanu, tikai ar datu subjekta piekrišanu, vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības. 
  6. Citas Regulā paredzētās tiesības. 

Regulas 37.pants uzliek Pārzinim par pienākumu pieaicināt datu aizsardzības speciālistu sekojošajos gadījumos:  

  1. apstrādi veic publiska iestāde vai struktūra, izņemot tiesas, tām pildot savus uzdevumus;
  2. Pārziņa vai apstrādātāja pamatdarbība sastāv no apstrādes darbībām, kurām to būtības, apmēra un/vai nolūku dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana plašā mērogā; 
  3. pārziņa vai apstrādātāja pamatdarbības ietver īpašo kategoriju datu par sodāmību un pārkāpumiem apstrādi plašā mērogā. 

Ja uzņēmums neatbilst nevienam no augstāk minētajiem kritērijiem, tad pienākums iecelt šādu speciālistu uz viņu neattiecas. 

Šīs Regulas galvenā īpatnība, kurai ir vērts pievērst uzmanību, ir nopietno soda sankciju ieviešana par personas datu apstrādes noteikumu pārkāpšanu.  

Regula nosaka, ka naudas sodiem jābūt iedarbīgiem, samērīgiem un atturošiem. Piemēram, apstrādes pamatprincipu pārkāpšana, ieskaitot nosacījumus piekrišanai (Regulas 5, 6, 7 un 9 panti), datu subjekta tiesību neievērošana (Regulas 12-22 panti), personas datu nosūtīšanas uz  trešām valstīm vai starptautiskām organizācijām principu neievērošana (Regulas 44–49 panti) var novest pie administratīvajiem sodiem līdz 20 miljoniem eiro vai līdz 4% no uzņēmuma apgrozījuma par iepriekšējo finansiālo gadu, atkarībā no tā, kura summa ir lielāka. 

Šie administratīvie akti ir noteikti Regulā, tie nebūs iekļauti nacionālajos normatīvajos aktos. Par augstāk minēto sodu piedziņu Latvijā atbild valsts uzraudzības iestāde, un proti – Valsts datu inspekcija. Par nelielu pārkāpumu uzraudzības iestāde var izteikt rājienu.

Aktuāli