Ar Eiropas Parlamenta un Padomes Regulu 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK jeb Vispārīgo datu aizsardzības regulu (Regula) noteikti vairāki jauni pienākumi ikvienam komersantam, organizācijai un iestādei Latvijā. Šo prasību izpildei nepieciešami resursi. Atsevišķos gadījumos tie ir samērā lieli, īpaši situācijās, kad, piemēram, komersanta klienti ir ne tikai juridiskās, bet arī fiziskās personas.
Šādās situācijās, vērtējot, vai un cik lielus resursus veltīt Regulas prasību nodrošināšanai, jāvērtē arī risks, kāda ir iespējamība, ka tiks konstatēts pārkāpums un par to piemēros naudas sodu, vai un kā tas ietekmēs komersanta, organizācijas vai iestādes reputāciju, cik liela ir iespējamība, ka piemērotais sods un reputācijas aizskārums būs tāds, kas nodarīs lielāku kaitējumu nekā Regulas prasību ieviešanai iztērētie resursi.
Vērtējot šo risku, ieteicams ņemt vērā, ka:
- - Regulā paredzēti lieli naudas sodi (līdz 4% no iepriekšējā gada apgrozījuma pasaulē vai līdz 20 milj. eiro atkarībā no tā, kura summa ir lielāka);
- - tiek stiprināta datu aizsardzības uzraudzības iestāžu kapacitāte;
- - fiziskās personas savas tiesības uz datu aizsardzību izmanto arvien biežāk.
Par to liecina Datu valsts inspekcijas (DVI) sniegtā informācija par fizisko personu sūdzību skaita pieaugumu DVI. Arī līdzšinējā pieredze, veicot klientu ieviesto personas datu aizsardzības sistēmu auditus, liecina, ka neatbilstības Regulai ir teju katra komersanta rīcībā. Līdz ar to pastāv iespēja, ka arī DVI varētu konstatēt neatbilstības Regulai.
Neskatoties uz ierasto komersanta vai iestādes veikto risku novērtējumu, arī Regulā ietverts pienākums un tiesības veikt risku novērtējumu. Tomēr šī risku novērtēšana atšķiras no līdz šim komercdarbības un iestāžu vidē ierastās risku novērtēšanas, kas fokusēta uz iespējamajām nelabvēlīgajām sekām komersantam vai iestādei. Regulāparedzētās risku novērtēšanas centrā ir iespējamais kaitējums fiziskajai personai, kuras datus apstrādā un pret kuras datiem varētu notikt pārkāpums. Līdz ar to šī risku novērtēšana koncentrēta uz datu subjekta interesēm, proti, fizisko personu, kuras personas datus apstrādā.
Jo sensitīvāki dati, jo lielāki drošības pasākumi
Datu drošības nodrošināšana saistās ar izdevumiem. Tas ir viens no gadījumiem, kad Regulā noteikts pienākums veikt risku novērtēšanu.
Regulā kā viens no datu drošības rīkiem paredzēta šifrēšana, un pašam apstrādes veicējam jāizlemj, vai un kuros gadījumos to izmantot. Piemēram, sūtot veselības datus e-pastā, tos vajadzētu šifrēt, savukārt klienta kontaktpersonas datus (vārdu, uzvārdu, amatu) varētu sūtīt nešifrētā veidā, jo fiziskajai personai tiks nodarīts lielāks kaitējums, ja noplūdīs veselības dati, nekā tad, ja noplūdīs vispārēja informācija par personas profesionālo darbību. Tas nozīmē, ka, ieviešot datu drošības pasākumus, vienmēr jāņem vērā personas datu:
- - kategorija;
- - saturs;
- - veids – tas, cik vērtīgi, jūtīgi dati varētu būt tās fiziskās personas acīs, uz kuru šie dati attiecināmi.
Jo dati ir vērtīgāki un jūtīgāki, jo lielākas pūles, drošības pasākumi un garantijas jāparedz to aizsardzībai.
Regulā noteikti atsevišķi dati, kas var radīt lielāku risku. Tie ir īpašu kategoriju dati, piemēram, veselības dati, reliģiskās, filozofiskās pārliecības dati, kā arī sodāmības dati. Ja šādi īpaši sensitīvi dati nav atbilstoši apstrādāti, kaitējums konkrētajai personai var būt patiešām liels, piemēram, diskriminācija. Tomēr uzskaitījums Regulā nav izsmeļošs, līdz ar to katram personas datu apstrādes veicējam jāvērtē veiktā datu apstrāde, tās konteksts, apstrādes ietvaros apstrādātie datu veidi, novērtējot iespējamos riskus un ieviešot tiem piemērotus datu drošības pasākumus.
Šajā procesā jāņem vērā arī uzraudzības iestāžu un tiesu prakse. Piemēram, nesenais gadījums Vācijā liecina, ka arī konta / profila lietotājvārds un parole ir dati, kam jāievieš paaugstinātas drošības pasākumi. Vācijas mārketinga uzņēmuma sistēma tika "uzlauzta", datus nozaga, tostarp nozogot uzņēmuma klientu profilu lietotājvārdus un paroles. Uzņēmumam tika piemērots vairāku desmitu tūkstošu eiro liels sods nevis par to, ka tā sistēma nebija 100% droša, bet par to, ka paroles sistēmā tika glabātas nešifrētā veidā.
Par datu noplūdēm jāziņo
Ja zudusi datu drošība, t.i., noticis personas datu aizsardzības pārkāpums, jāizvērtē riski, kā arī radītās un iespējamās sekas fiziskajai personai. Šādā gadījumā jāvērtē, vai un kādas sekas pārkāpums jau radījis vai varētu radīt fiziskām personām, kuru personas dati, piemēram, "noplūduši" (zudusi datu konfidencialitāte), vērtējot, pret kādiem datu veidiem noticis pārkāpums un kāda veida pārkāpums tas ir.
Atkarībā no šī vērtējuma komersantam varētu būt pienākums par pārkāpumu ziņot DVI un fiziskajām personām, pret kuru datiem pārkāpums noticis. Piemēram, ja vīrusa rezultātā izdzēsti serverī esošie dati, bet datus iespējams nekavējoties atjaunot no rezerves kopijām, šāda situācija ir datu aizsardzības pārkāpums, bet par to, visticamāk, nav jāziņo DVI un datu subjektiem, jo datu subjektiem situācija nerada nekāda veida sekas. Savukārt iepriekš minētajā Vācijas mārketinga uzņēmuma gadījumā par pārkāpumu jāziņo gan uzraudzības iestādei, gan arī fiziskajām personām, lai tās varētu nomainīt paroles, zinot, ka tās ir nokļuvušas citu personu rīcībā.
Datu aizsardzības speciālists un ietekmes uz privātumu novērtēšana
Risku novērtēšana, ņemot vērā personas datu veidu, jāveic arī tāpēc, lai noteiktu, vai komersantam saskaņā ar Regulu ir pienākums norīkot datu aizsardzības speciālistu. Piemēram, komersantam, kurš uztur klientu lojalitātes programmu, vērtē klientu paradumus, lai prognozētu to turpmāko rīcību un piedāvātu viņiem piemērotus pakalpojumus, preces, kā arī kredītiestādēm un klīnikai varētu būt pienākums norīkot datu aizsardzības speciālistu, par to paziņojot arī DVI, jo šo komersantu rīcībā varētu būt plaša apmēra īpaši jūtīgi un vērtīgi dati, kuru neatbilstoša izmantošana varētu radīt datu subjekta diskrimināciju vai materiālu kaitējumu. Savukārt individuāli praktizējošam zobārstam vai komersantam, kurš saviem klientiem – juridiskajām personām – nosūta komerciālus paziņojumus, bet tā ietvaros netiek ievākti un analizēti fizisko personu uzvedības un paradumu dati, varētu nebūt pienākums norīkot datu aizsardzības speciālistu.
Pirms uzsākt jaunu procesu, kas ietver datu apstrādi, jāveic risku novērtējums, lai noteiktu, vai saistībā ar jauno procesu jāveic ietekmes uz privātumu novērtējums, kā arī pēc tam veiktu pašu ietekmes uz privātumu novērtējumu. Šāda pienākuma mērķis ir pirms jauna procesa, kas varētu radīt augstu risku fizisko personu tiesībām un brīvībām, sākuma izvērtēt, vai tas atbilst Regulas prasībām, vai un kā tiek kontrolēti iespējamie riski un draudi, kas varētu rasties procesa laikā. Tādējādi iespējamās negatīvās sekas tiktu laicīgi novērstas un nepieļautas.
Piemēram, ja komersants izlemj aicināt klientus uz klientu pasākumu, aicinājumus izsūtot elektroniski, tad novērtējuma veikšana šim procesam varētu nebūt obligāta, jo process fiziskās personas var ietekmēt samērā maz un nenozīmīgi. Savukārt, ja tiek ieviests process, kura ietvaros vērtē fiziskās personas – potenciālā klienta –kredītspēju, lai izlemtu, vai un kāda veida pakalpojumus šai fiziskajai personai sniegt, pirms tam būtu jāveic novērtējums par procesa ietekmi uz privātumu, ievērojot, ka process nozīmīgi var ietekmēt fiziskās personas tiesības un brīvības saņemt un izmantot pakalpojumus. Tāpat, ja personas datu apstrādei plānots izmantot jaunās tehnoloģijas, piemēram, blokķēdes tehnoloģiju viedo līgumu slēgšanai, iepriekš jāveic novērtējums par plānotā procesa ietekmi uz privātumu.
Novērtējums jāveic un jādokumentē Regulā noteiktajā kārtībā. Ja novērtējuma ietvaros konstatēts, ka procesā nav iespējams nodrošināt atsevišķu Regulas prasību izpildi, komersantam ir pienākums vērsties DVI, lai saņemtu konsultāciju un saskaņotu rīcību.
Ārpakalpojumu izmantošana
Ja komersants vai iestāde izmanto pakalpojumus, kuru rezultātā klientu vai darbinieku personas datus nodod pakalpojumu sniedzējam, piemēram, serverus, e-pasta platformu uztur vai darbinieku algu aprēķinu veic cits komersants, tad pakalpojumu sniedzējs varētu tikt atzīts par apstrādātāju. Līdz ar to komersantam vai iestādei kā pārzinim ir pienākums pirms līguma noslēgšanas ar apstrādātāju pārbaudīt apstrādātāja sniegtās garantijas – pārbaudīt, vai un kas liecina, ka apstrādātājs nodrošinās Regulas prasību ievērošanu.
Veids, kādā pārbaudīt apstrādātāja garantijas, var būt atkarīgs no tā, kāda veida un apjoma personas dati uzticēti apstrādātājam. Piemēram, ja apstrādātājam būs pieeja visai uz servera un e-pastos esošajai informācijai, ieteicams pieprasīt, lai apstrādātājs iesniedz sertifikātu par atbilstību Regulai vai apliecinājumu, ka attiecībā uz tā veikto darbību ir veikts audits par atbilstību Regulai un tā ietvaros nav konstatētas neatbilstības. Savukārt, ja apstrādātājs veic tikai vizītkaršu izgatavošanu darbiniekiem, apstrādātājam nodotais datu apjoms ir salīdzinoši neliels un ar zemu risku darbinieku privātumam, līdz ar to kā pierādījums garantiju esamībai varētu būt arī paša apstrādātāja apliecinājums, ka tas ir ieviesis datu aizsardzības pasākumus un personas datu apstrādes ietvaros ievēro Regulas prasības.
Arī tad, ja apstrādātājs savus pienākumus veic regulārā pārziņa kontrolē un uzraudzībā, piemēram, ierodoties klātienē pārziņa birojā un pārziņa darbinieka nepārtrauktā klātbūtnē veicot nepieciešamos tehniskos uzlabojumus pārziņa informācijas sistēmā, garantiju pārbaudei varētu nebūt nepieciešams pieprasīt no apstrādātāja audita atzinumu. Vairāk par pārziņu un apstrādātāju attiecībām ir iespēja izlasīt arī šajā rakstā.
Regulas pienākumu izpildes demonstrēšana
Arī jaunā pārskatatbildības principa izpildē var izmantot risku novērtēšanu – jo personas dati ir jūtīgāki no datu subjekta perspektīvas, jo pārzinim lielākas pūles jāiegulda, lai spētu uzskatāmi parādīt Regulas prasību izpildi pret konkrēto datu apstrādi. Regulā personas datu apstrādes veicējiem noteikts pienākums dot saviem darbiniekiem norādījumus attiecībā uz personas datu apstrādes veikšanu. Tāpat ir pienākums regulāri uzraudzīt, kontrolēt, vai norādījumi tiek ievēroti, vai norādījumi u.c. ieviestie datu aizsardzības pasākumi darbojas un ir efektīvi. To, cik detalizētiem jābūt šiem norādījumiem, cik bieži un kādā veidā novērtēt un kontrolēt ieviestos personas datu aizsardzības pasākumus (piemēram, veikt iekšējo vai ārējo personas datu aizsardzības auditu), nosaka, pamatojoties uz risku novērtējumu, kādi personas dati un kādā veidā tiek apstrādāti konkrētā procesa ietvaros. Piemēram, attiecībā uz darbinieku veikto veselības datu, finanšu datu, detalizētu, plaša apjoma paradumu datu apstrādi norādījumiem jābūt konkrētākiem, iekšējie vai ārējie auditi un kontroles pār šo procesu norisi jāveic biežāk, salīdzinot ar gadījumu, kad tiek apstrādāti darbinieku dati, kas ietver informāciju par amatu, darba vietu, darba tālruņa numuru un e-pasta adresi.
Šie ir daži gadījumi, kad jaunajā Regulā ietverti risku novērtējuma veikšanas pienākumi un tiesības, tādējādi ļaujot arī Regulas prasības ieviest samērīgi un nepārspīlējot. Tomēr jāņem vērā, ka šajā rakstā risku novērtējums tiek aprakstīts tieši no iespējamo seku un to smaguma pakāpes, kas tiek noteikts, ņemot vērā datu veidu, apjomu un apstrādes veidu, mazāk pievēršoties risku, draudu iestāšanās iespējamības vērtēšanai, kas arī ir neatņemama risku novērtēšanas daļa.
Jāņem vērā, ka ne visu Regulas pienākumu izpildes ietvaros var izmantot un paļauties uz risku novērtēšanu, lai noteiktu, vai un kā pienākums pildāms. Piemēram, datu apstrādes principi – personas datu apstrādes tiesiskais pamats, datu subjektu informēšana, datu minimizēšana un glabāšanas ierobežojums – ir jāizpilda neatkarīgi no apstrādāto datu veida. Arī līgumiem ar apstrādātājiem ir jābūt atbilstošiem Regulā noteiktajām prasībām, neskatoties uz to, kādi dati tiek nodoti apstrādātājam. Līdz ar to ļoti svarīgi ir pareizi un pareizās situācijās izmantot risku novērtējumu, lai nodrošinātu rīcības atbilstību Regulai.
Raksta oriģināls publicēts iTiesības 2019.gada 21. janvārī.
