Biežākās kļūdas datu regulas prasību ieviešanā un piemērošanā

Ir pagājis jau gads, kopš Latvijas uzņēmumiem, organizācijām, kā arī valsts un pašvaldību iestādēm jānodrošina savas rīcības atbilstība Eiropas Parlamenta un Padomes Regulas 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK jeb Vispārīgās datu aizsardzības regulas prasībām (Regula). Visticamāk, jau tuvākajā laikā uzraudzības iestādes visā Eiropas Savienība būs "uzaudzējušas muskuļus" un tos pielietos, arvien aktīvāk veicot pārbaudes.

Papildus tam Latvijas uzņēmējiem vai iestādēm būtu "jābaidās" ne tikai no Latvijas Datu valsts inspekcijas (DVI), bet arī citu valstu uzraudzības iestāžu iesaistes pārbaudēs, ja Latvijas uzņēmums vai iestāde apstrādājusi citas valsts, piemēram, Vācijas, iedzīvotāja personas datus un šis iedzīvotājs ar sūdzību vērsies Vācijas uzraudzības iestādē. Šī ir jauna ar Regulu ieviesta datu subjektu iespēja ar sūdzību vērsties savas dzīvesvietas uzraudzības iestādē. "Vecajā" regulējumā vienīgā iespēja bija ar sūdzību par Latvijas uzņēmuma veikto rīcību vērsties ar sūdzību latviešu valodā Latvijas DVI, kas daudzos gadījumos, visticamāk, atturēja personas no sūdzību iesniegšanas.

Daudziem šis gads pagājis, pašu spēkiem vai ar konsultantu palīdzību ieviešot Regulas prasības, bet citi vēl nav apzinājušies, ka tā attiecināma arī uz viņiem. Šis raksts varētu noderīgs gan vieniem, gan otriem, jo nav grūti kļūdīties, ieviešot jaunās prasības, bet kļūdas var labot. Tāpat nav par vēlu sākt ieviest un piemērot Regulas prasības, ja tas vēl nav izdarīts.

Neatbilstošas piekrišanas

Jau saskaņā ar likumu, kas bija spēkā pirms Regulas piemērošanas, uzņēmumiem bija pienākums, izmantojot piekrišanu kā tiesisko pamatu datu apstrādei, nodrošināt, lai tā sniegta ar darbību un ir brīva un skaidra. Ir jānodrošina iespēja personai piekrišanu gan dot, gan nedot, kā arī jānodrošina, ka piekrišana dota konkrētai apstrādei, kuras mērķis precīzi definēts.

Šīs prasības ir spēkā arī saskaņā ar Regulu, tomēr joprojām daudzos gadījumos piekrišanas došana nav brīva un autonoma izvēle. Proti, piekrišanu mēdz ietvert līgumā, nenodrošinot iespēju piekrišanu sniegt brīvi, t.i., piekrist līguma noteikumiem, bet nepiekrist konkrētajai apstrādei, kas pamatota ar piekrišanu, piemēram, informācijas par jaunumiem saņemšanai e-pastā. Bieži arī datu apstrādes mērķis, kuru pamato ar piekrišanu, definēts vispārīgi un nenodrošina iespēju saprast, kādas ir piekrišanas došanas sekas.

Līdz ar to netiek nodrošināta skaidras un nepārprotamas piekrišanas iegūšana. Piemēram, darbiniekam sniegta informācija, ka tā datu apstrāde tiks veikta uzņēmuma reklamēšanas nolūkos, nepaskaidrojot, kādos kanālos, kādā formātā, cik bieži un kādi darbinieka dati tiks publiskoti šim nolūkam. Līdzīgs piemērs Regulai neatbilstošu piekrišanu iegūšanai no klientiem ir situācijā, kad klientiem tiek sniegta informācija, ka pēc piekrišanas došanas dati lojalitātes programmas nolūkos tiks nodoti uzņēmuma sadarbības partneriem, nepaskaidrojot, kuri uzņēmumi ir šie sadarbības partneri un kādas darbības tie veiks ar personas datiem.

Izmantojot piekrišanu kā tiesisko pamatu, būtiski sniegt fiziskai personai informāciju, ka konkrētā šīs personas datu apstrāde tiks veikta uz piekrišanas pamata un piekrišanu ir tiesības atsaukt jebkurā brīdī, norādot konkrētu saziņas veidu tās atsaukšanai. Informēšana par tiesībām piekrišanu atsaukt ir jauns ar Regulu ieviests pienākums, līdz ar to, iespējams, tas ir iemesls, kāpēc samērā bieži aizmirsts par tā izpildi.

Piekrišanas ne vienmēr izmanto atbilstoši

Joprojām ir situācijas, kad kā tiesiskais pamats datu apstrādei tiek izmantota piekrišana, lai gan piemērotāks ir cits tiesiskais pamats. Ļoti bieži šāda kļūda rodas attiecībā uz darbinieku datu apstrādi. Tādēļ svarīgi atcerēties, ka darbinieku datu apstrādei darbinieku piekrišana nepieciešama tikai retos gadījumos. Piemēram, darbinieka piekrišana varētu būt nepieciešama darbinieka fotoattēla, vārda, uzvārda, kontaktinformācijas publiskošanai uzņēmuma mājas lapā internetā, bet piekrišana nebūtu nepieciešama šīs informācijas publicēšanai uzņēmuma iekšējā tīklā – intranetā, un šādu rīcību atbilstošāk būtu veikt, pamatojoties uz darba devēja leģitīmajām interesēm.

Darba attiecībās īpaši rūpīgi jāizvēlās datu apstrādes tiesiskais pamats un jāizvērtē piekrišanas izmantošana, jo Regulā paredzēts, ka piekrišana kā tiesiskais pamats nav jāizmanto gadījumos, kad starp pusēm nav vienlīdzīgu attiecību. Arī darba tiesiskajās attiecībās nav vienlīdzība starp darba devēju un darbinieku, līdz ar to pastāv iespēja, ka darbinieks jūtas spiests dot piekrišanu datu apstrādei, baidoties no iespējamas nelabvēlīgas darba devēja attieksmes piekrišanas nedošanas gadījumā. Tādējādi šādu piekrišanu varētu tikt atzīta par tādu, kas nav brīva, līdz ar to personas datu iegūšana kopumā varētu tikt atzīta par veiktu bez tiesiskā pamata, jo, paļaujoties uz piekrišanu, nav izpildīti cita, piemērotāka tiesiskā pamata (piemēram, leģitīmo interešu) izmantošanas priekšnosacījumi.

Iespējamas arī citas situācijas, kad piekrišana nav atbilstošs tiesiskais pamats un tās izmantošana var radīt vairāk problēmu nekā ieguvumu. Piemēram, bieži ārstniecības iestādes pieprasa pacientu piekrišanu personas datu apstrādei, kas veikta ārstniecības pakalpojumu sniegšanas ietvaros, lai gan atbilstošāks tiesiskais pamats ir līgums par ārstniecības pakalpojumu sniegšanu un ārstniecību regulējošo normatīvo aktu, piemēram, Ārstniecības likuma, izpilde. Šajā gadījumā būtiski nošķirt un nejaukt piekrišanu ārstniecībai un piekrišanu datu apstrādei, kas ir divas dažādas piekrišanas. Piekrišana ārstniecībai ir jānodrošina, savukārt piekrišana personas datu apstrādei ārstniecības nolūkiem nav nepieciešama.

Iegūstot pacienta piekrišanu personas datu apstrādei, ko veic ārstniecības nolūkos, problēmas rodas, jo šāda piekrišana arī var tikt atzīta par nebrīvi sniegtu, proti, tā kā nesniegšanas gadījumā pacientam liegta ārstniecība, pacients jūtas spiests sniegt piekrišanu, lai saņemtu vitālām interesēm svarīgu pakalpojumu. Jāņem vērā, ka piekrišanu datu apstrādei persona jebkurā brīdī var atsaukt un šādā gadījumā datu apstrāde jāpārtrauc, tomēr ārstniecības iestādes nav tiesīgas šādu personas datu apstrādi pārtraukt, piemēram, dzēšot visus pacienta personas datus, jo likumā noteikts konkrēts šo personas datu glabāšanas ilgums.Visticamāk, netiks konstatēts, ka, iegūstot pacienta piekrišanu personas datu apstrādei ārstniecības nolūkos, veikta personas datu apstrāde bez tiesiskā pamata, bet pārkāpums varētu būt pacientu maldināšana vai nepatiesas informācijas par personas datu apstrādi sniegšana pacientiem.   

Nepienācīga informēšana par personas datu apstrādi

Nodrošinot Regulas prasību izpildi, būtiski nošķirt piekrišanu u.c. apstrādes tiesisko pamatu nodrošināšanu no informēšanas. Ne vienmēr nepieciešams iegūt piekrišanu no personas, kuras dati tiek apstrādāti, bet lielākoties vienmēr šai personai jābūt informētai par personas datu apstrādi. Līdz ar to, piemēram, slepena vai slēpta (personu neinformējot par šīs personas datu apstrādi un tās mērķi) videonovērošanas veikšana, telefonsarunas vai sarunas klātienē ierakstīšana, sarakstes, informācijas par personas paradumiem, interesēm apkopošana un analizēšana, nodošana citiem uzņēmumiem, apmaiņa grupas uzņēmumu interesēs var būt Regulai neatbilstoša rīcība. Diemžēl daudzos gadījumos šis informēšanas pienākums netiek pildīts vispār vai arī informācija sniegta neatbilstošā apjomā.

Informācijai par personas datu apstrādi jāietver vismaz šāds saturs:

  • - par apstrādes faktu, kas, kāpēc, cik ilgi tiks darīts ar personas datiem;
  • - kura persona kā pārzinis būs atbildīga par apstrādi, kas būs vai - iespējams būs personas datu saņēmēji;
  • - vai personas datu iesniegšana ir pienākums vai tiesības, kādas sekas iestāsies datu nesniegšanas gadījumā;
  • - kādas ir citas ar šo datu apstrādi saistītās personas tiesības.

Saskaņā ar Regulu šī informācija fiziskajai personai jāsniedz brīdī, kad personas dati tiek iegūti no tās, neskatoties uz to, vai persona informāciju pieprasa vai nepieprasa. Informācija jāsniedz viegli pieejamā, uztveramā un saprotamā veidā. Līdz ar to, piemēram, videonovērošanas gadījumā telpās, kurās tā tiek veikta, jābūt izvietotām zīmēm, kas informē par videonovērošanas veikšanu. Zīmēm jānodrošina iespējai fiziskai personai saprast, kurās telpās tiek veikta videonovērošana, kāds ir videonovērošanas mērķis, kas ir pārzinis, tā kontaktinformācija, kādā veidā iespējams iegūt plašāku informāciju par konkrētās videonovērošanas veikšanu.

Līdz ar to papildus zīmēm telpās vai teritorijā, piemēram, uzņēmuma mājas lapā, jāievieto videonovērošanas privātuma atruna, kurā sniegta pārējā informācija par videonovērošanu. Piemēram, informācija, cik ilgi tiek saglabāts video ieraksts, kam video ieraksts tiek vai varētu tikt nodots, kādā veidā fiziskai personai ir iespēja iegūt video ierakstu ar tās attēlu, vai un kādā veidā persona var iebilst, ja uzskata, ka videonovērošana ir nesamērīga, pārmērīgi aizskar personu privātumu.

Reizēm uzņēmēji informāciju par videonovērošanas veikšanu vēlas ievietot tikai sava uzņēmuma interneta mājas lapā, nepadomājot, ka, šādi rīkojoties, nav garantēta to cilvēku informēšana, kuri apmeklē telpas vai teritoriju, kurā tiek veikta videonovērošana, un kam nav pamata iedomāties, ka tiek veikta videonovērošana un informācija par to ievietota mājas lapā. Savukārt visu Regulā noteikto informāciju nav iespējams ietvert tikai videonovērošanas zīmē informācijas lielā apjoma dēļ. Līdz ar to visefektīvākais veids ir izmantot telpās vai teritorijā izvietoto zīmju un videonovērošanas privātuma atrunas, kas ievietota interneta mājas lapā vai atrodas biroja recepcijā, kombināciju.    

Ne vienmēr ar vienu privātuma atrunu vai politiku ir pietiekami

Bieži Regulas pārkāpums pieļauts arī gadījumā, kad uzņēmums veic apstrādi vairākiem un dažādiem nolūkiem dažādu procesu ietvaros, bet informēšanas nolūkos izstrādā vienu vispārīgu privātuma politiku / atrunu, kuru publisko savā mājas lapā. Piemēram, uzņēmums nodrošina lojalitātes programmas darbību, loterijas, videonovērošanu, slēdz pakalpojumu līgumus un darba līgumus ar fiziskām personām, informāciju par visiem šiem procesiem aprakstot vienā vispārīgā politikā, kurā skaidri nenodala informāciju par katru apstrādes procesu. Šādi rīkojoties, fiziskām personām nav iespēja viegli uztveramā veidā iegūt informāciju par konkrētu personu interesējošu procesu. Līdz ar to ieteicams izstrādāt būtiskākajiem procesiem atsevišķas privātuma atrunas, piemēram, atsevišķas atrunas šādiem procesiem:

  • - darbinieku atlase;
  • - darbinieku nodarbināšana;
  • - videonovērošana;
  • - telefonsarunu ar klientiem ierakstīšana;
  • - lojalitātes programma;
  • - informācijas par uzņēmuma jaunumiem, sniegtajiem pakalpojumiem nosūtīšana uz e-pastu;
  • - loterijas, akcijas, konkursi klientiem;
  • - pakalpojumu sniegšana klientiem, tostarp līguma noslēgšanas, izpildes process (ja tiek sniegti dažādi pakalpojumi un būtiski atšķiras līguma slēgšanas process atkarībā no pakalpojuma, piemēram, atsevišķu pakalpojumu gadījumā pirms līguma slēgšanas tiek vērtēta potenciālā klienta kredītspēja, tad būtiski ir nodalīt informāciju par katru pakalpojumu).

Protams, visu šo informāciju var ietvert arī vienā privātuma atrunā, bet tad šīs atrunas ietvaros skaidri jānodala katrs būtiski atšķirīgais personas datu apstrādes process, nodrošinot, lai fiziskai personai viegli atrodama tieši konkrētajā situācijā uz viņu interesējošo procesu attiecināmā informācija.  

Vispārīgi formulējumi neder

Izplatīta kļūda privātuma atrunas saturā ir ļoti vispārīgi formulējumi, īpaši attiecībā uz apstrādes nolūku, kuru uzņēmēji vēlas definēt ļoti vispārīgi, nekonkrēti, lai pēc tam šī nolūka ietvaros varētu veikt iespējami vairāk dažādu personas datu apstrādes procesu, kuru veikšanas nepieciešamība varētu rasties arī vēlāk. Šāds domāšanas un rīcības veids jau pēc būtības liecina par Regulas pārkāpumu, jo tādā veidā netiek nodrošināta iespēja fiziskai personai paredzēt savu personas datu nodošanas sekas, kā arī, iespējams, personas dati tiek ievākti nolūkam neatbilstošā apjomā, nenodrošinot to iegūšanas pamatu.

Regulā paredzēts, ka katram datu apstrādes nolūkam jābūt precīzi un konkrēti definētam gan uzņēmuma iekšējām vajadzībām, gan arī komunikācijā ar fiziskām personām, jo tikai tādā veidā var nodrošināt atbilstošu tiesisko pamatu un nolūkam atbilstošu apstrādes apjomu un veidu. Ja nākotnē nepieciešams nolūku paplašināt, mainīt, tad attiecībā uz šo jauno nolūku jānodrošina patstāvīgs tiesiskais pamats un fizisko personu informēšana par to. Līdz ar to, piemēram, nepareiza ir rīcība, klientus informēt, ka to dati tiks izmantoti mārketinga nolūkā vai iekšējām administratīvām vajadzībām, jo šāda nolūka definēšana neļauj saprast, kādi dati un kādā veidā tiks izmantoti.   

Pārzinim informācija jāsniedz, nevis fiziskai personai tā jāmeklē

Nav pietiekami tikai ar privātuma atrunas ievietošanu mājas lapā, jo ir būtiski nodrošināt, lai atsauce un norāde par atrunas atrašanās vietu būtu viegli pieejama tieši tajā brīdī, kad persona iesniedz savus personas datus konkrētā procesa ietvaros, piemēram, kad iesniedz savus personas datus līguma noslēgšanai vai piesakās uz jaunumu saņemšanu e-pastā. Saskaņā ar Regulu uzņēmumam kā pārzinim aktīvi jārīkojas, lai fiziskām personām būtu pieejama informācija par konkrēto personas datu apstrādes procesu, un jāspēj pierādīt, ka šī informācija bija pieejama. Līdz ar to nedrīkst paļauties un pašu fizisko personu ziņā atstāt informācijas pieprasīšanu un aktīvu meklēšanu.

Tieši par iepriekš minēto divu datu apstrādes pamatprincipu – piekrišana un informēšana  neievērošanu 2019.gada janvārī Francijas uzraudzības iestāde piemēroja 50 milj. eiro sodu uzņēmumam "Google". Pārbaudes ietvaros konstatētas šādas neatbilstības:

  • - nav nodrošināta informēšana (pārredzamības principa ievērošana) – informācija par datu apstrādi nav sniegta viegli pieejamā veidā, apstrādes nolūki (mērķi) aprakstīti pārāk vispārīgi un neskaidri, daļa obligāti sniedzamās informācijas nav sniegta vispār (piemēram, informācija par datu glabāšanas ilgumu);
  • - piekrišanas, kuras tiek iegūtas, lai nodrošinātu tiesisko pamatu personalizēto reklāmu nosūtīšanai, nav atbilstošas – tās nav nepārprotamas (nav iegūtas ar darbību jeb aktīvu, apstiprinošu rīcību no lietotāja puses) un konkrētas (nav iespēja dot piekrišanu par katru datu apstrādes mērķi atsevišķi, tā vietā lietotājs faktiski ir spiests piekrist dažādu mērķu kopumam).

Būtiski atcerēties, ka fiziskai personai par datu apstrādi jābūt informētai ne tikai tad, kad tā pati nodod uzņēmumam savus personas datus un uzņēmumam jau ir kontakts ar šo personu, bet arī tad, kad uzņēmums tās personas datus iegūst citā veidā, piemēram, no sava sadarbības partnera vai iegūst publiski pieejamus datus.

Šī Regulā noteiktā pienākuma izpildi un tās svarīgumu uzsvērusi ir Polijas uzraudzības iestāde, nesen piemērojot aptuveni 200 tūkst. eiro lielu sodu uzņēmumam, kurš ieguva publiski pieejamus fizisko personu datus, tostarp šo personu dzīvesvietas adreses un tālruņa numurus, bet neveica individuālu šo personu informēšanu par datu iegūšanu un plānoto izmatošanu. Šajā lietā uzņēmums uzskatīja, ka individuāla informēšana ir nesamērīga un pārāk dārga un veica vispārīgu informēšanu, informāciju par šo personas datu apstrādi publiskojot savā mājas lapā. Tomēr uzraudzības iestāde uzskatīja, ka uzņēmumam bija jāveic individuāla saziņa ar katru fizisko personu, kuras dati tika iegūti, jo šī informēšana ir būtiska, lai nodrošinātu fiziskai personai iespēju izmantot savas Regulā noteiktās tiesības, piemēram, tiesības iebilst pret konkrēto uzņēmuma veikto un plānoto personas datu apstrādi.

Par citām neatbilstībām, ieviešot Regulas prasības, turpināsim raksta otrajā daļā.

Raksta oriģināls publicēts iTiesības.

Lasīt vairāk