Personas datu apstrāde

Klejojot par Diena.lv nejauši atradu Gunta Lauska blogu, kurā vienkāršiem vārdiem tiek izskaidrota personas datu apstrādes nianses.

Ja kādam ir robs šajā sfērā iesaku izlasīt- daudz labāk izskaidrots, kā likumā par personas datu apstrādi.

Atvieglo nosacījumus personas datubāzu veidošanai

Joprojām valda mīti par personas datiem – 1. daļa

Kliedējot mītus par personas datiem – 2. daļa

Lai šis garadarbs neiet zudumā, ja ar diena.lv kaut kas notiks, tad ievietoju tā kopiju.

Jau vairākus mēnešus ir spēkā grozījumi Fizisko personu datu aizsardzības likumā (“Personas datu likums”). Grozījumi nav pārāk apjomīgi, taču jāatzīst, ka tie var būtiski ietekmēt katru, kas ir iesaistīts savu vai citu personu datu apstrādē.

Pirmkārt, ar grozījumiem ir noteikts termiņš, kādā ir jāsniedz atbilde uz datu subjekta (persona, kura datus apstrādā) pieprasījumu. Šeit svarīgi piezīmēt, ka ikvienam no mums, esot datu subjektam, ir tiesības pieprasīt dažāda veida informāciju no tās personas, kas apstrādā mūsu personas datus. Mums ir tiesības, piemēram, noskaidrot informāciju par datu apstrādātāja (pārziņa) nosaukumu, adresi, apstrādes mērķi, veidu, apjomu, datumu, kad pēdējo reizi mūsu personas datos ir izdarīti labojumi, kā arī, kas ir informācijas avots. Šādu informāciju bez maksas var pieprasīt no jebkura datu apstrādātāja divas reizes gadā. Turklāt ar jaunajiem grozījumiem ir noteikts, ka atbilde uz šādiem pieprasījumiem ir jāsniedz viena mēneša laikā.

Otrkārt, ir paplašināts to gadījumu loks, kad personas datu apstrādi var nereģistrēt. Šeit ir būtiski atgādināt, ka katra personas datu apstrāde (tas ir, jebkādas darbības ar personas datiem, ieskaitot vākšanu, reģistrēšanu, glabāšanu, sakārtošanu, nodošanu u.tml.) ir jāreģistrē Datu valsts inspekcijā. Lai ekonomētu savu laiku un finanšu resursus, būtu noderīgi zināt katru gadījumu, kad apstrāde nav jāreģistrē.

Tātad, nekāds iesniegums nav jāpilda un valsts nodeva (Ls 40) nav jāmaksā, ja:

1) personas datu apstrāde tiek veikta saistībā ar personas līgumsaistību izpildi vai pamatojoties uz personas piekrišanu (pēdējais gan neattiecas uz sensitīvu personas datu apstrādi, kas ir pavisam cita datu kategorija);

2) ja tiek apstrādāti personas identifikācijas kodi, ņemot vērā Personas datu likumā noteiktos papildu ierobežojumus; vai

3) datu apstrāde tiek veikta zinātnisku, statistisku un ģenealoģisku pētījumu vajadzībām.

Par svarīgāko varētu uzskatīt 1. punktā minēto, jo, lai arī man nav pieejami konkrēti pētījumu dati, manuprāt, vismaz 2/3 no visām personas datu apstrādēm ir veiktas, tieši pamatojoties uz personas piekrišanu (rakstisku, mutisku, elektronisku u.tml.) vai līgumsaistību izpildi. No tā varētu secināt, ka jebkuru darbinieku, klientu, partneru un tamlīdzīgām vajadzībām veidoto datubāzi vairs nav nepieciešams reģistrēt Datu valsts inspekcijā.

Taču ne viss ir tik rožaini, kā izskatās, jo ir jāņem vērā daži izņēmumi. Proti, atsevišķos gadījumos personas datu apstrādes tomēr ir jāreģistrē, neskatoties uz to, ka ir saņemtas attiecīgās atļaujas no datu subjektiem. Līdz ar to personas dati ir jāreģistrē, ja tos paredzēts:

1) nodot ārpus Eiropas Ekonomiskās Zonas valstīm;

2) apstrādāt saistībā ar finanšu pakalpojumiem;

3) apstrādāt tirgus vai sabiedriskā viedokļa pētījumiem kā komercdarbības veidam;

4) apstrādāt personāla atlasei vai personāla novērtēšanai kā komercdarbības veidam;

5) apstrādāt saistībā ar informāciju par personas veselību;

6) apstrādāt attiecībā uz noziedzīgiem nodarījumiem un administratīvajiem pārkāpumiem.

Kā redzams, lai arī Personas datu likums ir ievērojami samazinājis nepieciešamību reģistrēt katru personas datu apstrādi, tomēr ir ieteicams katru gadījumu pārbaudīt atsevišķi, lai pārliecinātos, vai tas pats likums ar nākamo normu neuzliek pienākumu pieteikties Datu valsts inspekcijā.

Kopumā grozījumi jāatzīst par vērtīgiem un nepieciešamiem. Līdzšinējā pieeja, kad Datu valsts inspekcija bija jāinformē praktiski par visu, kur vien iesaistīti personas dati, radīja divas būtiskas problēmas. Pirmkārt, ja kāds vēlējās izpildīt likumu, tad tas radīja nopietnus apgrūtinājumus un bija neproporcionāls tām pūlēm, kas jāpieliek, lai aizsargātu attiecīgos datus. Otrkārt, tādu, kas centās likumu izpildīt, bija ļoti maz. Nespējot visus sodīt un uzraudzīt, likuma būtība un personas datu aizsardzības princips kā tāds tika būtiski diskreditēts. Tagad likums nosaka daudz saprātīgākus pienākumus. Līdz ar to varētu sagaidīt, ka tas nāks par labu gan personas datu apstrādātājiem, gan katrai fiziskai personai.

Otrā linka saturs

Kā jau visiem zināms, nesen no vienas valsts iestādes neatļautā veidā tika iegūta ievērojama apjoma informācija, kas, cita starpā, saturēja arī personas datus. Ar informācijas noplūdi saistītie komentāri un viedokļi publiskajā telpā uzskatāmi demonstrēja, ka sabiedrības izpratne par personas datiem ir virspusēja un pastāv daudz un dažādu neskaidrību. Neziņas dēļ sabiedrībā valda un tiek kultivēti dažādi nepatiesi pieņēmumi par personas datiem, kurus būtu nepieciešams kliedēt.

1. pieņēmums: Jebkurš un jebkādām vajadzībām var izmantot publiskotus personas datus

Atbilde: pieņēmums nav pareizs.

Ja personas dati ir kļuvuši publiski pieejami, tad vienmēr ir konstatējams, kā tas ir noticis un kādu mērķu sasniegšanai tas ir noticis. Piemēram:

– sludinājums, kas satur personas datus, ir uzaicinājums noteiktajam darījumam;

– raksts laikrakstā par kādu personu vai intervija ar kādu personu – žurnālistikas darbība sabiedrības informēšanai;

– informācija par deputātu kandidātiem vai valsts amatpersonu deklarācijas – likumā noteikto pienākumu izpilde u.c.

Fakts, ka ikviens var piekļūt šādiem datiem, tomēr nav uzskatāms par atļauju izmantot šos datus jebkādām vajadzībām. Publiskojot datus, ir sasniegts attiecīgais mērķis, tas ir, sabiedrībai ir dota iespēja iepazīties ar informāciju un izdarīt secinājumus. Taču, lai tālāk izmantotu konkrētos personas datus, ir jābūt atsevišķam likumiskam pamatojumam. Šo situāciju labi raksturo regulējums attiecībā uz elektronisko komerciālo paziņojumu izsūtīšanu. Proti, ja nav atsevišķas iepriekšējas atļaujas, tad komerciālu paziņojumu sūtīt ir aizliegts, kaut arī attiecīgā e-pasta adrese bijusi publiski pieejama (šis arguments gan neattiecas uz juridisko personu e-pastu adresēm, uz kurām komerciālus paziņojumus ir atļauts sūtīt bez piekrišanas). Līdzīgi arī citos gadījumos, kad rodas iespēja izmantot publiski pieejamus personas datus, ir jāpārbauda, vai šāda izmantošana būs atbilstoša datu publiskošanas mērķim un vai ir piemērojams kāds cits likuma pamatojums.

Šajā gadījumā būtu arī jāizceļ Fizisko personas datu aizsardzības likumā noteiktie izņēmumi attiecībā uz žurnālistiskām, mākslinieciskām vai literārām vajadzībām. Šo vajadzību sasniegšanai atsevišķs pamatojums nav nepieciešams. Līdz ar to vienreiz publiskotus datus žurnālisti ir tiesīgi pārpubliskot un izmantot tālākai analīzei.

2. pieņēmums: Personas piekrišana ir absolūta personas datu izmantošanas atļauja

Atbilde: pieņēmums nav pareizs.

Protams, piekrišana ir viens no visizplatītākajiem un savā ziņā drošākajiem personas datu apstrādes pamatiem, taču tas nav absolūts. Līdzīgi kā iepriekšējā pieņēmumā attiecībā uz publiski pieejamiem personas datiem, arī personas piekrišanai ir noteiktas robežas. Saņemot piekrišanu personas datu apstrādei, persona ir jāinformē par to:

– kas konkrēti veiks personas datu apstrādi (vārds, uzvārds, komercsabiedrības nosaukums, adrese); un

– kāds ir personas datu apstrādes mērķis.

Attiecīgi, ja, aizpildot kādu anketu, ir rakstīts, ka dati ir paredzēti izlozes vai klientu viedokļu noskaidrošanai, tad viennozīmīgi šos datus ir aizliegts izmantot citiem mērķiem. Datu tālāka izmantošana būs uzskatāma par likuma pārkāpumu, ja vien tai nebūs piemērojams cits likumā noteikts pamatojums (piemēram, pienākums sniegt datus tiesībsargājošām iestādēm, aizsargāt vitāli svarīgas datu subjekta intereses u.tml.).

Arī šo situāciju labi raksturo piemērs par komerciālo paziņojumu sūtīšanu. Saskaņā ar Informācijas sabiedrības pakalpojumu likumu pakalpojuma sniedzējs ir tiesīgs sūtīt citus komerciālus paziņojumus uz e-pasta adresi, ko tas ir ieguvis no klienta savu darījumu ietvaros, ja šie komerciālie paziņojumi ir par līdzīgām pakalpojuma sniedzēja precēm/pakalpojumiem. Tiesa, arī šajos gadījumos paziņojuma saņēmējam ir jābūt iespējām attiekties no šādu paziņojumu saņemšanas.

Turpinājums sekos…

Trešā linka saturs:

Iepriekšējā blogā rakstīju, ka sabiedrībā valda dažādi mīti par personas datiem un to publiskošanu. Šajā reizē turpinu iesākto tēmu, apskatot vēl dažus kļūdainus pieņēmumus.

3. pieņēmums: Personas dati ir slepeni, un to apstrāde ir aizliegta

Atbilde: pieņēmums nav pareizs.

Pareizāk būtu teikt, ka personas datu apstrāde ir ierobežota, jo Fizisko personu datu aizsardzības likums (“Personas datu likums”) paredz vairākus gadījumus, kad personas datus var apstrādāt bez attiecīgas personas piekrišanas. Piemēram, personas datu pārzinim ir tiesības izmantot datus, ja tas ir nepieciešams viņa likumisko interešu realizācijai (piemēram, grāmatvedībai, nodokļu uzskaitei, komercdarbības plānošanai, prasības iesniegšanai tiesā u. tml.). Tāpat ļoti izplatīts ir gadījums, kad personas dati nepieciešami līguma noslēgšanas un tā izpildes vajadzībām (piemēram, informēt par pasūtījuma gatavību u.tml.).

Vēl ir vērts atzīmēt tos gadījumus, kad mēs katrs izmantojam citu personu datus ar savu mobilo tālruņu un e-pastu starpniecību. Mūsdienu mobilie telefoni faktiski ir apjomīgas elektroniskas personas datu bāzes ar neierobežotām datu meklēšanas un nodošanas iespējām. Līdz ar to arī šī datu izmantošana ir uzskatāma par personas datu apstrādi. Tomēr par laimi ir paredzēts izņēmums: apstrādājot personas datus personiskām vai ģimenes vajadzībām, Personas datu likums nav piemērojams. Šeit gan personas datu apstrādes mērķis ir jāanalizē padziļinātāk un ar vispārēju atsauci uz personiskām vajadzībām būs par maz. Tā, piemēram:

– zvans, īsziņa darījumu partnerim būs uzskatāmas par “personiskām komerciālām vajadzībām”, savukārt

– tas pats zvans vai īsziņa nepazīstamai personai nolūkā piedāvāt savas preces vai pakalpojumus jau būs “tikai komerciālās vajadzības”.

Līdz ar to otrajā gadījumā Personas datu likumā noteiktie izņēmumi nav izmantojami un likums būs jāpiemēro ar visām no tā izrietošajām sekām.

4. pieņēmums: Par nelikumīgu personas datu apstrādi nav nekādu sodu (vai arī tie ir niecīgi)

Atbilde: nav taisnība – sodi ir un pat visai bargi.

Šobrīd Administratīvo pārkāpumu kodeksā ir paredzēta administratīvā atbildība par nelikumīgām darbībām ar personas datiem un personas datu apstrādes nereģistrēšanu. Fiziskai personai, kas vainojama attiecīgajā pārkāpumā, var uzlikt naudas sodu no Ls 50 līdz Ls 500. Attiecībā uz juridiskām personām likums ir vēl bargāks: par analogiem pārkāpumiem var tikt uzlikts naudas sods 1000 – 10 000 latu apmērā ar nozieguma rīku (piemēram, datori, serveri u. tml.) konfiskāciju, kas atsevišķos gadījumos varētu būt vēl lielāks apgrūtinājums nekā naudas sods.

Turklāt salīdzinoši nesen arī Krimināllikumā tika izdarītas izmaiņas attiecībā uz personas datiem. Tā rezultātā ir noteikts, ka par nelikumīgām darbībām ar personas datiem, ja ar to radīts būtisks kaitējums, soda ar brīvības atņemšanu uz laiku līdz 2 gadiem vai ar arestu, vai ar piespiedu darbu, vai ar naudas sodu līdz simts minimālajām mēnešalgām (šobrīd – Ls 18 000). Savukārt, ja konkrētajā gadījumā pārkāpums izdarīts vardarbīgi, ietekmējot iesaistītās personas, tad draud ieslodzījums līdz 5 gadiem, bet naudas sods var sasniegt divsimt minimālās mēnešalgas jeb Ls 36 000.

Lai savlaicīgi izvairītos no nepatikšanām netīšas vai neapzinātas rīcības dēļ, personas datiem un to likumīgai apstrādei ir vērts pievērst pienācīgu vērību.

Leave a Reply