Četri soļi datu regulas ieviešanā komersantiem, izmantojot ārpakalpojumus

Mūsdienu komercdarbības vide nav iedomājama bez pakalpojumiem, kurus izmantojot, pakalpojumu sniedzējs piekļūst komersanta darbinieku vai klientu personas datiem. Piemēram, šādi pakalpojumi ir informāciju tehnoloģiju sistēmu un grāmatvedības programmu uzturēšana, mārketinga materiālu, tostarp vizītkaršu, izgatavošana, mārketinga sūtījumu un rēķinu sagatavošana un nosūtīšana, elektroniskās caurlaižu sistēmas, videonovērošana un konsultāciju pakalpojumi.  

Šādus pakalpojumus izmanto, jo darbinieki vai iekārtas nespēj tos nodrošināt, kā arī daudzos gadījumos tas ir ekonomiski izdevīgāk – pakalpojumu sniedz komersants, kas specializējies sniegt konkrētus pakalpojumus, līdz ar to pakalpojuma izmaksas ir zemākas, nekā tad, ja funkciju nodrošinātu iekšējais darba spēks. Atsevišķās situācijās izmantot pakalpojumu var būt obligāti, jo tas kā pienākums paredzēts likumā.

Ja pakalpojuma nodrošināšanas vajadzībām pakalpojuma sniedzējam (Komersants) ir jānodod pakalpojuma saņēmēja (Klients) darbinieku vai klientu personas dati vai piekļuve šiem datiem, ir būtiski šo pakalpojumu izmantošanas ietvaros ievērot Eiropas Parlamenta un Padomes Regulas 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK jeb Vispārīgās datu aizsardzības regulas (Regula) prasības.

1.solis – pārzinis vai apstrādātājs

1.solis ir noteikt un ar Komersantu vienoties par tā lomu attiecībā uz pakalpojuma sniegšanai no Klienta saņemtajiem persona datiem Regulas izpratnē – pārzini vai apstrādātāju. Tās noteikt ir būtiski, jo atkarībā no Komersanta lomas mainās no Regulas izrietošie Klienta un Komersanta pienākumi, mainās kārtība, saskaņā ar kuru notiek personas datu nodošana Komersantam un mainās Klienta atbildības apjoms par Komersanta rīcību ar personas datiem.

Ja Komersants no Klienta saņem viņa darbinieku vai klientu personas datus, lai tos apstrādātu Klienta vārdā un uzdevumā, sniedzot tehniska rakstura pakalpojumus, Komersants parasti ir apstrādātājs. Piemēram, apstrādātājs būs informācijas tehnoloģiju (IT) uzņēmums, kas ar saviem serveriem uztur Klienta e-pastu platformu vai citu IT sistēmu, ja šī pakalpojuma rezultātā IT uzņēmumam (Komersantam) ir pieeja Klienta komercdarbībā izmantotajiem personas datiem. Komersants, kas saņem no Klienta e-pasta adrešu sarakstu, lai uz tām nosūtītu Klienta reklāma, parasti ir apstrādātājs.

Komersants, kas gatavo rēķinus, pamatojoties uz Klienta sniegtajiem personas datiem, un nosūta tos Klienta vārdā un uzdevumā Klienta norādītajām personām, arī ir atzīstams par apstrādātāju. Savukārt, ja Komersants saņem Klienta rīcībā esošos personas datus, lai tos apstrādātu kā eksperts – konkrēta pakalpojuma sniegšanas profesionālis, sniedzot Klientam pakalpojumus saskaņā ar attiecīgās nozares normatīvajiem aktiem, tad Komersants, neskatoties uz to, ka personas datu apstrādi veic, pamatojoties uz Klienta doto uzdevumu, parasti ir atzīstams par pārzini. Piemēram, kredītiestāde, veicot pārskaitījumu un tādējādi izpildot Klienta maksājuma uzdevumu, no Klienta saņemtos personas datus apstrādā kā pārzinis tāpat, kā apdrošināšanas brokeru kompānija, nodrošinot Klienta darbiniekiem veselības apdrošināšanu.

Zvērināts advokāts un zvērināts revidents arī būs atzīstami par no Klienta saņemto personas datu pārziņiem. Ja likumā kā pienākums paredzēts konkrētas Klienta interesēs veiktas darbības īstenošanai piesaistīt noteiktu speciālistu, piemēram, zvērinātu advokātu, zvērinātu revidentu vai zvērinātu tiesu izpildītāju, tad arī šīs personas ir atzīstamas par pārziņiem. Ja pakalpojums pats par sevi neietver personas datu izmantošanu un tā nepieciešama tikai pakalpojuma līguma noslēgšanai vai komunicēšanai līguma izpildes ietvaros (piemēram, līgums par kancelejas preču piegādi, interjera konsultanta pakalpojumi), tad pakalpojuma sniedzējs ir pārzinis attiecībā uz personas datiem, kas saņemtii līguma noslēgšanas un izpildes ietvaros.

Šīs ir vispārīgas vadlīnijas lomas noteikšanai, un tās jāņem vērā, tomēr būtiski novērtēt arī katra gadījuma konkrētos apstākļus. Var būt situācijas, kad lomas noteikšana atkarīga no Klienta un Komersanta vienošanās. Šādā gadījumā abām pusēm jāņem vērā katras lomas ieguvumi un zaudējumi atbilstoši 2. ,3. un 4.solim, kas aplūkoti turpinājumā.

2.solis – juridiskais pamatojums personas datu nodošanai

Regulā noteikts, ka ir atļauts izmantot tikai tādus apstrādātājus, kas sniedz pietiekamas garantijas, ka to veiktā apstrāde atbilst Regulai. Šāds pienākums paredzēts, ievērojot, ka personas datu nodošana apstrādātājam nav atzīstama par nodošanu trešajai personai – personas datu apstrāde joprojām tiek veikta Klienta kā pārziņa vārdā un Klients var būt atbildīgs par Komersanta veikto apstrādes darbību.

Regulā paredzēts, ka apstrādātājs garantijas var apliecināt, piemēram, pierādot, ka ir sertificēts Regulā noteiktā kārtībā vai tā rīcība atbilst Regulā noteiktā kārtībā apstiprinātam rīcības kodeksam. Kamēr šie mehānismi Latvijā nav pilnībā ieviesti, Klienti, lai izpildītu Regulas prasības var lūgt, lai to izraudzītie apstrādātāji iesniedz, piemēram, iekšējā vai ārējā audita atzinumu, ka to rīcība atbilst Regulai. Arī atbilstību ISO standartiem var izmantot kā apliecinājumu atsevišķu Regulas prasību izpildei. Klients, konstatējot un dokumentējot, ka Komersanta sniegtās garantijas ir pietiekamas un veicot arī turpmāk 3. un 4.solī noteiktās darbības, ir tiesīgs apstrādi uzticēt un personas datus nodot Komersantam. Tāpat Klientam jānodrošina, ka datu subjekti, kuru dati tiks nodoti apstrādātājam, saskaņā ar Regulas 13. un 14.pantu ir informēti par šo datu nodošanu apstrādātājam – Klienta piesaistītajam pakalpojumu sniedzējam, ievērojot, ka Komersants, nebūdams trešā persona, ir personas datu saņēmējs un katra datu nodošana rada lielāku datu aizsardzības risku.

Savukārt, ja Komersants kā pakalpojumu sniedzējs atzīstams par pārzini, nav jāveic pārbaude, kā Komersants nodrošinās Regulas prasību izpildi, jo Komersantam pašam tiešā veidā jāpilda visi no Regulas izrietošie pārziņa pienākumi. Tomēr jāņem vērā, ka personas datu nodošana Komersantam kā pārzinim ir atzīstama par personas datu nodošanu trešajai personai, līdz ar to šīs nodošanas ietvaros ir jānodrošina visu personas datu apstrādes pamatprincipu ievērošana, tostarp jābūt vismaz vienam Regulas 6.pantā noteiktajam personas datu apstrādes tiesiskajam pamatam. Piemēram, ja izmanto zvērināta revidenta vai ārējā konsultanta pakalpojumus, personas datu nodošanu šādam Komersantam varētu pamatot ar Klienta leģitīmajām interesēm.

Tāpat būtiski, lai datu subjekti tiktu informēti par šādu personas datu nodošanu saskaņā ar Regulas 13. un 14.pantu. Tāpat jau sākumā, kad tiek apspriesta sadarbība ar Komersantu kā pārzini, jāizvērtē, kāda apjoma personas dati Komersantam ir nepieciešami, lai sniegtu Klientam pakalpojumu. Piemēram, zvērinātam advokātam, lai sagatavotu dokumentus iesniegšanai komercreģistrā, nepieciešami personas dati, savukārt, lai sniegtu konsultāciju par Klienta strīdu ar tā klientu vai darbinieku, šo personu dati, iespējams, nav nepieciešami tādā apjomā. Nododot trešajai personai (Komersantam kā pārzinim) personas datus, kas tam nav nepieciešami, var tikt konstatēts personas datu aizsardzības pārkāpums.

Nodrošinot šo un turpmāk minēto 3.soļa prasību līgumu izpildē, Klients nav atbildīgs par Komersanta veikto personas datu apstrādi.

3.solis – līgums

Regulā paredzētas konkrētas prasības līguma saturam, ja līgumu slēdz starp pārzini un apstrādātāju. Salīdzinot ar līdz Regulas piemērošanai spēkā esošo regulējumu (veco Fizisko personu datu aizsardzības likumu), lielākā daļa šo prasību līguma saturam ir jaunas. Līdz ar to, visticamāk, līdz šim izmantotie līgumi saturiski nenodrošinās Regulas atbilstību.

Nav aizliegts līgumā ar apstrādātāju ietvert papildu pušu tiesības un pienākumus, tomēr tas jādara uzmanīgi. Piemēram, nav ieteicams līgumā norādīt, ka apstrādātāja pienākums ir ziņot Datu valsts inspekcijai (DVI), ja ir noticis personas datu aizsardzības pārkāpums, vai sniegt atbildes datu subjektiem, jo saskaņā ar Regulu tas ir pārziņa pienākums un neatbilstošas rīcības rezultātā atbildīgs DVI priekšā būs pārzinis.

Regulā nav paredzēts, kādam saturiski jābūt Klienta kā pārziņa līgumam ar Komersantu – pakalpojuma sniedzēju kā citu pārzini. Tomēr ieteikums ir šajā līgumā skaidri noteikt katras puses lomu – pārzinis, kā arī Komersanta pienākumu no Klienta saņemtos personas datus izmantot tikai līguma izpildei. Kā arī Klientam būtiski nepieļaut, lai līgumā tiek ietverta, piemēram, vispārīga Klienta dota atļauja Komersantam pakalpojuma sniegšanas ietvaros iegūtos personas datus izmantot Komersanta noteiktiem, nekonkrētiem un nedefinētiem mērķiem. Šādu atļauju nedrīkst ietvert arī līgumā ar Komersantu kā apstrādātāju. Tādējādi varētu tikt konstatēts, ka Klients ir nodevis Komersantam personas datus nekonkrētam mērķim, kas ir Regulas principa par mērķa ierobežojumu un nemainīgumu pārkāpums.

Arī konkrētas prasības attiecībā uz personas datu drošību līgumā ar Komersantu gan kā ar pārzini, gan apstrādātāju jāietver uzmanīgi, ievērojot, ka datu drošības nodrošināšanas pienākums Regulā tiešā veidā noteikts gan pārzinim, gan apstrādātājam, savukārt drošība ir jāievieš atbilstoši faktiskajiem apstākļiem, kas vislabāk zināmi (un jābūt zināmiem) Komersantam.

4.solis – apstrādātāja uzraudzība

Ievērojot, ka personas datu nodošana apstrādātājam nav personas datu nodošana trešajai personai un apstrādātājs personas datu apstrādi veic pārziņa vārdā un uzdevumā, pārzinis var būt atbildīgs par apstrādātāja rīcību. Saskaņā ar Regulu pārzinim jādod apstrādātājam skaidri norādījumi attiecībā uz tā veicamo personas datu apstrādi. Norādījumus, protams, var ietvert līgumā, bet var dot arī vēlāk pakalpojuma sniegšanas laikā, piemēram, ar e-pasta starpniecību, ja līgumā par šādu norādījumu došanas veidu ir vienošanās. Pārziņa pienākums ir kontrolēt, vai apstrādātājs pilda norādījumus u.c. līgumā noteiktās saistības, un šī pienākuma izpildei pārzinis var izmantot tiesības, kuras jānorāda līgumā ar apstrādātāju, piemēram, pieprasīt no apstrādātāja informāciju vai veikt pārbaudi par apstrādātāja pārziņa uzdevumā veikto apstrādi.

Šāds norādījumu došanas un uzraudzības pienākums Regulā tieši nav paredzēts attiecībās starp diviem pārziņiem, tomēr arī šajā gadījumā pārzinim nevajadzētu atstāt bez uzmanības otra pārziņa, iespējams, nelikumīgu rīcību. Piemēram, ja Komersants no Klienta iegūtos datus izmanto, lai reklamētu savus pakalpojumus, vai Klients šos personas datus fiziski glabā telpās, kurās bez ierobežojuma var iekļūt nepiederošas personas. Tādējādi varētu tikt pārkāpts gan līgums, gan Regula un pārkāpums būtu attiecināms uz Klienta darbinieku vai klientu personas datiem, kas varētu radīt Klientam ja ne tieši materiālu atbildību, tad kaitējumu reputācijai noteikti.

Šīs ir būtiskākās prasības, tomēr tās nav vienīgās. Personas datu nodošanā dažādiem pakalpojumu sniedzējiem svarīgs ir arī drošības jautājums – dati pakalpojuma sniedzējam ir jānodod, izmatojot drošus kanālus un veidus, piemēram, šifrētus datus sūtot ar e-pasta starpniecību, bet atslēgu nododot citā veidā, piemēram, ar īsziņu.   

Papildus tam jāņem vērā, ka visos četros soļos norādītās prasības attiecināmas ne tikai uz līgumiem un attiecībām, kas nodibinātas Regulas piemērošanas laikā (no 2018.gada 25.maija), bet visām attiecībām, kuras šobrīd pastāv, neskatoties uz to, ka līgums ar pakalpojumu sniedzēju noslēgts vairākus gadus iepriekš.

Raksta oriģināls publicēts "iTiesības".

Sanita Pētersone

Vecākā juriste, sertificēta datu aizsardzības speciāliste, KPMG Zvērinātu advokātu birojs

Lasīt vairāk