#

Eiropas Savienības mājā Rīgā Nāciet uzzināt par Eiropas Savienības piedāvātajām iespējām, jautājiet un izsakiet savu viedokli!

Aspazijas bulvāris 28

67-085-445

  • #
  • #
  • #
  • #
Jautājumi un atbildes no semināra par Vispārīgās datu aizsardzības regulas piemērošanu
ES māja 
, 06.augusts, 2018

Aicinām iepazīties ar Datu valsts inspekcijas sagatavotajām atbildēm no semināra par Vispārīgās datu aizsardzības regulas piemērošanu.

 

Audiovizuālie darbi/ publiski pasākumi

  1. Vai ir pieejami kādi piemēri, labā prakse, kā iespējams ievērot regulu reportāžās no masu pasākumiem?
  1. Ko darīt, ja tiek filmēts masu pasākumā pūlis? Vai pietiek ar to, ka uz kādas biļetes ir info, ka ja apmeklējat šo pasākumu, piekrītat, ka tiekat filmēts?
  2. Kā regula attiecas un kā labāk rīkoties saistībā ar vizuālo un audio materiālu publicēšu no pasākumiem?
  3. Ko varat paskaidrot par foto publicēšanu sociālajos portālos, teiksim, notiek pilsētas svētki, kāds izlaidums, koncerts utt., un katrā bildē būs redzami daudzi cilvēki. Tas ir vai nav pārkāpums?

 

Atbildot uz 1., 2., 3., un 4. jautājumu Inspekcija paskaidro, ka Eiropas Parlamenta un Padomes regulas (ES) 2016/679 par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46 EK (Vispārīgā datu aizsardzības regula; turpmāk – Regula) būtība ir aizsargāt cilvēku privātumu, līdz ar to fotografēšana publiskās vietās ir saistīta ne tikai ar personas datu aizsardzību, bet arī ar privātuma aizsardzību. No personas datu aizsardzības viedokļa ir svarīgi, vai uzņemtās fotogrāfijas ir uzņemtas mākslinieciskām vajadzībām, vai arī tās tiks izmantotas tikai ģimenes vajadzībām un netiks nodotas trešajām personām (tai skaitā netiks publicētas internetā). Vēršam uzmanību, ka Regulu nepiemēro personas datu apstrādei, kuru veic fiziska persona tikai personiska vai mājsaimnieciska pasākuma gaitā un kura tādējādi nav saistīta ar profesionālu vai komerciālu darbību.

Saskaņā ar Regulas 4.panta 7.punktu par personas datu apstrādi ir atbildīgs pārzinis – fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus [..]. Pārzinim personas datu apstrāde ir jāveic, ievērojot Regulas 6.panta 1.punktā noteikto, proti, personas datu apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no šajā pantā minētajiem pamatojumiem, piemēram, piekrišana datu apstrādei (Regulas 6.panta 1.punkta a) apakšpunkts).

Inspekcija informē, ka piekrišanas neesamība pati par sevi neliecina, ka tiek veikta nelikumīga personas datu apstrāde. Personas datu apstrādi (fotografēt datu subjektu un publicēt šos materiālus) ir atļauts, ja pastāv kāds cits no minētajos normatīvajos aktos noteiktajiem tiesiskajiem pamatiem, piemēram, pārziņa leģitīmās intereses (Regulas 6.panta 1.punkta f) apakšpunkts).

Leģitīmās intereses varētu būt pārziņa intereses izplatīt informāciju par iestādes darbību un tās organizētajiem pasākumiem. Gadījumos, kad saduras datu subjekta intereses uz privātumu un apstrāžu veicēja leģitīmās intereses (piemēram izplatīt datus pēc iespējas plašākam interesentu lokam) jāveic interešu līdzsvarošanas pārbaude – personas datu apstrādātāja (vai trešo personu) likumīgās intereses ir jāsamēro ar datu subjekta interesēm vai pamattiesībām un brīvībām, proti, šādas interešu līdzsvarošanas pārbaudes ietvaros jāvērtē kā plānotā datu apstrāde ietekmēs datu subjektu. Iestādes interesei jābūt daudz nozīmīgākai nekā datu subjektam radītajām negatīvajām sekām un riskiem (ja tādi var rasties), ko var vērtēt, veicot interešu balansēšanas testu.

Attiecībā uz personas datu apstrādi, kas tiek veikta minētajam mērķim (pārziņa leģitīmās intereses) papildus jāņem vērā normatīvajos aktos noteiktais informēšanas pienākums (Regulas 13.pants), proti, iegūstot personas datus no datu subjekta, pārzinim ir pienākums informēt par attiecīgu personas datu apstrādes veikšanu, jāsniedz tiesību normās noteiktā informācija, kā arī jāinformē par turpmāk plānotajām personas datu apstrādēm ar datu subjekta personas datiem.

Ja minētās apstrādes tiek veiktas pamatojoties uz piekrišanu, tad jāņem vērā, ka tai Regulas izpratnē (Regulas 4.panta 11.punkts kopsakarā ar preambulas 32.apsvērumu) ir jābūt sniegtai ar skaidri apstiprinošu darbību, kas nozīmē brīvi sniegtu, konkrētu, apzinātu un viennozīmīgu norādi, ka datu subjekts piekrīt ar viņu saistīto personas datu apstrādei, pamatojoties uz datu subjektam atbilstoši sniegtu informāciju. Ja datu subjektam nav izvēles iespējas piekrišanas sniegšanai, tad konkrētās apstrādes darbība nebūs atbilstoša Regulā noteiktajam tiesiskajam pamatam. Arī 29.panta darba grupa[1] savos atzinumos ir norādījusi, ka piekrišanai ir jābūt labprātīgi (brīvi) sniegtai, kas nozīmē savās spējās neierobežota indivīda brīvprātīga lēmuma pieņemšanu, kuru neietekmē nekādi spaidi. Piekrišana var būt spēkā gadījumos, kad datu subjektam ir reālas izvēles iespējas bez maldināšanas, iebiedēšanas, piespiešanas vai ievērojamu negatīvu seku riska, ja persona nepiekrīt datu apstrādei. Savukārt, ja piekrišanas sekas mazina indivīda izvēles brīvību, tad piekrišana nav labprātīga. Tāpat no atzinuma izriet, ka jēdziena „piekrišana” definīcija paredz datu subjekta spējas kontrolēt, kā tiek izmantoti viņa dati un paredz, ka datu subjekta piekrišanai ir jābūt izteiktai norādījuma, t.i., rīcības veidā, nevis bezdarbības veidā (klusējot).

Tādējādi pārzinim pirms personas datu apstrādes veikšanas ir jāvērtē, vai pastāv tiesisks un godprātīgs mērķis plānotajai personas datu apstrādei, vai šo mērķi ir iespējams sasniegt ar plānoto personas datu apstrādi un vai šo mērķi nav iespējams sasniegt, apstrādājot personas datus mazākā apjomā, citā veidā vai arī neapstrādājot tos vispār. Pārzinim katrs konkrēts gadījums būtu jāizvērtē atsevišķi, ņemot vērā gan vietu, kur attēls uzņemts, gan attēla saturu - vai tajā redzamais ir personas privātās dzīves atspoguļojums vai arī publisks pasākums, notikums (personas fotografēšana publiskā vietā, piedaloties publiskā pasākumā, kā arī šādu personas attēlu publicēšana nav vērtējama kā tiesību uz privāto dzīvi pārkāpums), vai tā ir publiska persona (publiskas personas bauda mazāku aizsardzību uz privāto dzīvi), kā arī, kā konkrētais uzņēmums tiks izmantots - paredzēts ierobežotai izmantošanai vai arī padarīts pieejams plašai sabiedrībai (piemēram, publicējot) u.c.

 


[1] Eiropas Komisijas 29.panta darba grupa (neatkarīgu ekspertu darba grupa personu aizsardzībai attiecībā uz personas datu apstrādi, kas izveidota atbilstoši direktīvas 95/46/EK “Par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti” 29.pantam, kas saskaņā ar REGULA 94.panta 2.punktu uzskatāma par Kolēģiju

 

Mārketinga materiāli

  1. Sveiki! Ko uzņēmumam darīt ar esošajam fotosesiju bildēm, kas tiek izmantotas mārketinga nolūkos sociālajos tīklos un bukletos, par kurām, protams, nav saņemta oficiāla piekrišana. Vai tās var izmantot?
  2. Vai drīkstēs pēc 25.05 sūtīt "mārketinga" materiālus veciem klientiem?

 

Atbildot uz 5. un 6. jautājumu, ievērojot, ka personas datu apstrāde ir jebkura ar personas datiem veikta darbība un saskaņā ar jau sniegtajām atbildēm uz iepriekšējajiem jautājumiem, datu apstrādi atļauts veikt, ja tā atbilst kādam no tiesiskajiem pamatiem, nodrošinot atbilstību datu apstrādes principiem (noteikti Regulas 5.pantā). Līdz ar to minētajā gadījumā pārzinim jāpārliecinās par veikto apstrāžu atbilstību Regulā noteiktajiem tiesiskajiem pamatiem.

Saskaņā ar Regulas preambulas 47.apsvērumā noteikto konkrētos gadījumos ir pieļaujama personas datu apstrāde tiešās tirgvedības mērķiem uz pārziņa leģitīmo interešu pamata, ņemot vērā saprātīgas datu subjektu gaidas, kuru pamatā ir viņu attiecības ar pārzini. Tas pieļaujams ar noteikumu, ka datu subjekta intereses vai pamattiesības un pamatbrīvības nav svarīgākas par pārziņa interesēm, ko noskaidro, veicot interešu līdzsvarošanas pārbaudi (skatīt. Atbildes uz Vēstules 1., 2., 3., un 4. jautājumu ceturto rindkopu).

Neskatoties uz minēto, ja klientiem tiek sūtīti komerciāli paziņojumi Informācijas sabiedrības pakalpojumu likuma (turpmāk- ISPL) izpratnē (1.panta pirmās daļas 3.punkts), to nosūtīšanas tiesiskais pamats ir noteikts ISPL 9.pantā, proti, komerciālu paziņojumu uz fiziskas personas elektroniskā pasta adresi vai izmantojot citu elektronisku saziņas veidu ir atļauts sūtīt, ja tiek iegūta šīs personas piekrišana vai, ja pastāv visi ISPL 9.panta otrās daļas nosacījumi, papildus ievērojot ISPL 9.panta ceturto daļu.

Attiecībā uz apstrādēm, kuras uzsāktas pirms Regulas tiešas piemērošanas uzsākšanas saskaņā ar Regulas preambulas 171.apsvērumā noteikto, Regulas noteikumi piemērojami neatkarīgi no tā, vai konkrētā apstrāde ir uzsākta pirms Regulas tiešas piemērošanas uzsākšanas vai pēc tās.

 

  1. Šobrīd Rimi klienta kartes izmantošanai Rimi pieprasa kā obligātu iesniegt papildus informāciju - telefonu UN e-pastu. Ja šī informācija netiks sniegta, tad klientu kartes vairs nedarbosies. Vai tas ir likumīgi?

 

Atbildot uz 7.jautājumu, saskaņā ar jau sniegtajām atbildēm uz iepriekšējajiem jautājumiem, pārzinis ir tas, kas nosaka katras apstrādes nolūkus un apstrādes līdzekļus, tādējādi visa informācija par konkrēto apstrādi ir tikai un pārziņa rīcībā. Līdz ar informāciju par apstrādes nolūku, ievācamajiem datiem, datu kategorijām un apjomu var sniegt tikai un vienīgi pārzinis. Pamatojoties tikai uz jautājumā minēto informāciju, Inspekcijai nav iespējams noteikt vai konkrētā apstrāde, ievācamie un apstrādātie dati tiek apstrādāti atbilstoši Regulas un citu normatīvo aktu noteikumiem.

Lai noskaidrotu uz kāda tiesiskā pamata un ar kādu mērķi attiecīgais pārzinis veic personas datu apstrādi, persona ir tiesīga vērsties pie pārziņa ar rakstveida pieprasījumu. Inspekcija vērš uzmanību, ka saskaņā ar Regulas 12.panta 3.punktu pārzinim bez nepamatotas kavēšanās un jebkurā gadījumā mēneša laikā pēc pieprasījuma saņemšanas datu subjektu jāinformē par darbību, kas pēc pieprasījuma veikta saskaņā ar Regulas 15.-22.pantu. Turklāt šī paša panta 4.punkts noteic, ka, gadījumā, ja pārzinis neveic darbību, ko pieprasījis datu subjekts, pārzinis bez kavēšanās un vēlākais mēneša laikā pēc pieprasījuma saņemšanas informē datu subjektu par darbības neveikšanas iemesliem un par iespēju iesniegt sūdzību uzraudzības iestādei un vērsties tiesā.

 

Internets

  1. Kas jāņem vērā, ja mājas lapa lieto cookies, lai apkopotu informāciju? Kur par šo uzzināt vairāk?

 

Atbildot uz 8. jautājumu saskaņā ar Regulu, sīkdatnes un citas izsekošanas tehnoloģijas, kuras var izmantot lietotāju profilēšanai vai identificēšanai, jāuzskata par personas datiem, un tādējādi uz tām tiks attiecināmas Regulas prasības (4.panta 1.punkts; preambulas 26. un 30.apsvērums). Līdz ar to vietnes pārzinim būs jāiegūst brīva un nepārprotama piekrišana sīkdatņu izmantošanai (7.pants; preambulas 32.apsvērums), jāspēj pierādīt, ka lietotājs devis piekrišanu sīkdatņu izmantošanai (savu personas datu apstrādei),(7.pants 1.punkts), jāsniedz informācija (Cookie policy) par sīkdatņu izmantošanu (4.panta 11.punkts; 7. un 13.pants), jāapzinās visas vietnē izmantotās sīkdatnes un citas izsekošanas tehnoloģijas, un jāzina, kādi lietotāja dati tiek nosūtīti trešajām personām un kam šie dati tiek nosūtīti. Vietnes pārzinim būs jāveic informācijas par sīkdatņu izmantošanu atjaunošana, kā arī jānodrošina lietotājam tiesības atsaukt savu piekrišanu (7.panta 3.punkts).

Pamatojoties uz iepriekš minēto, interneta vietnes pārzinim ir jānodrošina informācija lietotājam par sīkdatņu izmantošanu un jāiegūst lietotāja piekrišana to izmantošanai. Interneta vietnes lietotājiem ir jāsniedz informācija par iespējām atspējot sīkdatnes (angļu valodā “cookies“) caur pārlūka uzstādījumiem un kā noņemt cookies, kas jau ir lietotāja datorā.

Skatīt Eiropas Parlamenta un Padomes Direktīvu 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju) https://eur-lex.europa.eu/legal-content/LV/TXT/?uri=CELEX%3A32002L0058

 

  1. Vai ir kādas konkrētas regulas prasības interneta veikaliem atšķirībā no šī brīža prasībām?

 

Atbildot uz 9. jautājumu saskaņā ar jau sniegtajām atbildēm uz iepriekšējiem jautājumiem, ar Regulas tiešas piemērošanas uzsākšanu datu apstrādes principi nemainās, bet Regula būtiski paplašina katras personas tiesības datu apstrādē. Saskaņā ar jau minēto likumīgas datu apstrādei jānodrošina apstrādes atbilstību vismaz vienam no Regulas 6.panta 1.punktā noteiktajiem pamatiem. Papildus pārzinim ir jāievēro arī citi Regulas noteikumi, tai skaitā atbilstība datu apstrādes principi.

Interneta veikalam tāpat kā citiem personas datu apstrādes pārziņiem ir tiesības veikt personas datu apstrādi, ja šādai rīcībai pastāv kāds no Regulas 6.panta nosacījumiem, kā arī pastāv attiecīgai datu apstrādei atbilstošs mērķis un nepieciešamais apjoms.

Inspekcija vērš uzmanību, ka saskaņā ar likuma “Par grāmatvedību” 7.pantu, grāmatvedības reģistros izdarāmi ieraksti, kas pamatoti ar attaisnojuma dokumentiem. Attaisnojuma dokuments ir dokuments, kurš apliecina uzņēmuma saimnieciskā darījuma esamību un kurā ietverti dokumenta rekvizīti un informācija par saimniecisko darījumu. Šā panta 9.punktā noteikts, ka, ja saimnieciskā darījuma dalībnieks ir fiziskā persona, jānorāda šīs personas vārds un uzvārds, personas kods (ja personai tāds piešķirts), personas norādīto adresi vai, ja tāda nav norādīta, deklarētās dzīvesvietas adresi. Tādējādi, lai izpildītu normatīvajos aktos noteiktās grāmatvedības prasības, interneta veikalam, iespējams, pastāv tiesisks pamats un atbilstošs mērķis apstrādāt klientu personas datus.

Ievērojot, ka visa informācija par veikto personas datu apstrādi (tajā skaitā par personas datu apstrādes tiesisko pamatu un mērķi) ir pārziņa rīcībā, tikai pārzinis var izvērtēt attiecīgos personas datu apstrādes aspektus, nodrošinot personas datu apstrādi atbilstoši paredzētajam mērķim un tam nepieciešamajā apjomā. Proti, tikai pārzinis var definēt kam un kādā apmērā personas dati tiek vākti, vai un kādu darbību veikšanai dati ir nepieciešami, vai attiecīgās darbības var veikt, apstrādājot personas datus ievērojami mazākā apmērā, cik ilgi dati ir glabājami u.c.

 

  1. Kā rīkoties, ja personas dati tiek iegūti izmantojot online pieteikšanās formas (Google forms)? Vai regula ļauj šajā gadījumā izmantot vienkāršu piekrišanu datu apstrādei (ķeksīša iezīmēšanu) jeb nepieciešams personas paraksts?

 

Atbildot uz 10.jautājumu, saskaņā ar jau sniegtajām atbildēm uz iepriekšējajiem jautājumiem, datu apstrādi var veikt, ja tā atbilst kādam no tiesiskajiem pamatiem, nodrošinot atbilstību datu apstrādes principiem. Atbilstoši Regulas 24., 25. un 31.pantā kopsakarā ar tās preambulas 78.apsvērumu noteikts pienākums īstenot tādus organizatoriskos un tehniskos pasākumus, lai izpildītu Regulas prasības un aizsargātu datu subjektu tiesības un nodrošinātu tādu drošības līmeni, kas atbilst apstrādes riskam katrā konkrētajā gadījumā. Papildus tam, ņemto vērā, ka pārzinis nosaka apstrādes nolūkus un līdzekļus, ievērojot konkrētā apstrādes nolūka sasniegšanai nepieciešamās datu kategorijas un apjomu, tikai pārzinis var izvērtēt vai jautājumā minētais datu iegūšanas rīks būs uzskatāms par atbilstošu konkrētajā gadījumā. Attiecībā uz datu apstrādes tiesiskā pamata - datu subjekta piekrišana, Inspekcija lūdz skatīt atbildes uz Vēstules 1., 2., 3., un 4. jautājumu sesto rindkopu. Ņemot vērā, ka Regulā noteikto pārskatatbildības principu, pārzinim jāizvēlas tādi datu apstrādes līdzekļi, lai uzskatāmi spētu pierādīt, ka datu apstrāde tiek veikta atbilstoši datu apstrādes principiem, bet pašu apstrādes līdzekļu izvēle ietilpst tikai un vienīgi pārziņa kompetencē.

 

  1. Vai dalībnieku pieteikuma anketas pasākumam (ne komerciālam) var veidot ar gmail.com formu un pēc tam turpat mākonī arī glabāt anketas (satur personas datus)?

 

Atbildot uz 11.jautājumu, Inspekcija lūdz skatīt atbildi uz 10.jautājumu.

Attiecībā uz datu glabāšanu, Inspekcija vērš uzmanību, ka saskaņā ar iepriekš minēto glabāšana arī ir datu apstrāde, kuru atļauts veikt, ja tiek nodrošināts atbilstošs datu apstrādes tiesiskais pamats, ievērojot datu apstrādes principus un nodrošinot atbilstošus organizatoriskos un tehniskos pasākumus.

 

  1. Uzņēmums rīko konkursus Facebook lapā- jāielaiko, jāpashēro un komentārā kaut kas jāieraksta. Kam jāpievērš uzmanība? Kas obligāti uzņēmumam jāizdara, lai šāda rīcība atbilstu GDPR? Vai pirms katra konkursa jāizstrādā noteikumi?

 

Atbildot uz 12.jautājumu, Inspekcija lūdz skatīt atbildes uz 10. un 11.jautājumu.

 

Speciālisti

  1. Pieņemot, ka uzņēmums veic videonovērošanu. Vai uzņēmuma normatīvās bāzes sakārtošanu un arī vēlāk datu aizsardzības speciālista pienākumus obligāti jāveic sertificētam speciālistam?

 

Atbildot uz 13. jautājumu, videonovērošanas ierakstā redzamās personas, ja to iespējams identificēt, kurā iespējams identificēt konkrētu fizisku personu būs uzskatāmi par personas datiem, bet videoieraksta veikšana arī datu apskate būs uzskatāma par personas datu apstrādi.

Ievērojot Regulas 89.apsvērumā noteikto, minētās personas datu apstrādes reģistrācijas pienākums, kas noteikts FPDAL (Fizisko personu datu aizsardzības likums) 21.panta 5.punktā pēc Regulas tiešas piemērošanas uzsākšanas 2018.gada 25.maijā vairs netiek piemērots.

Saskaņā ar minēto jebkuru apstrādi, tai skaitā videonovērošanu, atļauts veikt, ja tā atbilst kādam no Regulas 6.panta 1.punkta apakšpunktos noteiktajiem tiesiskajiem apstrādes pamatiem un tiek nodrošināta atbilstība datu apstrādes principiem.

Attiecībā uz datu aizsardzības speciālista (turpmāk – DAS) iecelšanu Regulas 37.pantā tiek noteikts pienākums noteiktos gadījumos norīkot DAS. Inspekcija informē, ka 29.panta darba grupa ir izstrādājusi Vadlīnijas par datu aizsardzības speciālistiem, kuras pieņemtas 2016.gada 13.decembrī WP243[1] (turpmāk – Vadlīnijas). Vadlīnijās tiek skaidrots Regulas 37.panta 1.punkta apakšpunktos noteiktais, tai skaitā attiecībā uz gadījumiem, kad DAS iecelšana ir obligāta, proti, ja apstrādi veic publiska iestāde vai struktūra, izņemot tiesas, tām pildot savus uzdevumus (Regulas 37.panta 1.punkta a) apakšpunkts); pārziņa vai apstrādātāja pamatdarbība sastāv no apstrādes darbībām, kurām to būtības, apmēra un/vai nolūku dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana plašā mērogā (Regulas 37.panta 1.punkta b) apakšpunkts); vai pārziņa vai apstrādātāja pamatdarbības ietver īpašo kategoriju datu saskaņā ar 9.pantu un 10.pantā minēto personas datu par sodāmību un pārkāpumiem apstrādi plašā mērogā (Regulas 37.panta 1.punkta c) apakšpunkts). Tādējādi videonovērošanas veikšana neatkarīgi no novēroto personu kategorijām atbildīs Regulas 37.panta 1.punkta b) apakšpunktā minētajai datu apstrādei un pārzinim būs pienākums iecelt DAS, ja šāda apstrāde tiks veikta plašā mērogā.

Attiecībā uz veikto apstrāžu apjoma noteikšanu Inspekcija vērš uzmanību uz Vadlīnijās norādīto, ka nav iespējams sniegt precīzu skaitli ne attiecībā uz apstrādāto datu apjomu, ne uz attiecīgo personu skaitu, kas būtu piemērojams visām situācijām. Novērtējumu katrā konkrētā gadījumā veic pārzinis vai apstrādātājs, ņemot vērā Vadlīnijās minētos faktorus un piemērojot to specifiskajai datu apstrādei.

Vadlīnijās ir norādīts, ka īpaši ir jāņem vērā šādi faktori, nosakot, vai apstrāde tiek veikta plašā mērogā:

· iesaistīto datu subjektu skaits – vai nu kā konkrēts skaitlis, vai kā attiecīgo iedzīvotāju daļa;

· datu apjoms un/vai dažādo apstrādāto datu objektu klāsts;

· datu apstrādes darbības ilgums vai pastāvīgums;

· apstrādes darbības ģeogrāfiskais tvērums.

Ņemot vērā minēto, DAS ir jānorīko tādā gadījumā, ja videonovērošana tiek veikta plašā mērogā.

  1. Vai mājas lapu izstrādes / online reklāmas pakalpojumu sniedzējam ir jābūt datu pārzinim, ja tas uzstāda un administrē klientu Google Analytics kontus?

 

Atbildot uz 14.jautājumu, Inspekcija lūdz skatīt atbildes uz 1., 2., 3., un 4. jautājumu otro rindkopu, proti, pārzinis ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus. Tādējādi, ja mājas lapu izstrādes/online reklāmas pakalpojumu sniedzējs ir uzskatāms par pārzinim, ja tas nosaka personas datu apstrādes nolūkus un līdzekļus.

 

  1. Vai ietekmes novērtējumu jāveic sertificētu datu aizsardzības speciālistam?

 

Atbildot uz 15.jautājumu, Inspekcija informē, ka Regulas 35.panta 1.punktā noteikts, ka pirms plānotās apstrādes pārzinis veic novērtējumu par ietekmi uz datu aizsardzību, tomēr Regulā netiek paredzēts aizliegums šo novērtējuma veikšanu uzdot veikt DAS, savstarpēji par to vienojoties.

 

  1. Vai "DPO" cilvēku būs jāreģistrē Valsts datu Inspekcijā pēc 25.05.18?

 

Atbildot uz 16.jautājumu, Regulas 37.panta 7.punkta noteic pārzinim un apstrādātājam pienākumu publiskot DAS kontaktinformāciju un paziņot to uzraudzības iestādei’, tādējādi pārzinim un apstrādātājam jāpaziņo Inspekcijai, ja iecelts DAS, norādot DAS iecelšanas dokumenta informāciju, DAS vārdu un uzvārdu un DAS kontaktinformāciju.

 

  1. Ja minētajā piemērā par bitenieku - uzņēmuma automašīnas ir aprīkotas ar GPS, tad arī speciālists nav vajadzīgs? Un ja šoferu ir vairāk? 100?

 

Atbildot uz 17.jautājumu, Inspekcija lūdz skatīt atbildi uz 13.jautājumu.

 

Datu reģistrs

  1. Regulas 30. panta 5. daļa, paredz ka uzņēmumam, kurā ir mazāk par 250 darbinieki, ir jāuztur reģistrs tik un tā, ja apstrāde ir regulāra. Vai tas nozīmē, ka visiem uzņēmumiem, kas veic regulāru datu apstrādi ir jāved reģistrs?
  2. Saskaņā ar Regulu, datu apstrādes reģistrs jāuztur uzņēmumam neatkarīgi no tā lieluma, ja apstrāde ir regulāra. Tātad visiem uzņēmumiem, kas veic regulāru datu apstrādi būtu jāved reģistrs. Kāds ir DVI viedoklis?
  3. Saskaņā ar GDPR Regulas 30.panta 5.daļu datu apstrādes reģistrs ir obligāts visiem, kas veic regulāru datu apstrādi. Kāpēc Jūs stāstiet, ka reģistrs nav obligāts?

 

Atbildot uz 18., 19. un 20. jautājumu, Inspekcija skaidro, ka Regulas 30.pantā noteiktais pienākums – reģistrēt apstrādes darbības, ir viens no Regulas 5.panta 2.punktā iestrādātā pārskatatbildības principa īstenošanas rīkiem. Šis princips nosaka, ka pārzinim ir pienākums nodrošināt tādu personas datu apstrādes procesu organizāciju, kas ļauj uzskatāmi pierādīt, ka pārziņa veiktā personas datu apstrāde ir atbilstoša datu aizsardzības normatīvā regulējuma prasībām, kas ietver arī veikto apstrāžu uzraudzību, izveidojot un uzturot rakstisku veikto apstrādes darbību reģistru rakstveida formā, izņemot minētās normas 5.punktā noteiktos gadījumus, proti, ja uzņēmums vai organizācija nodarbina mazāk nekā 250 personas. Līdz ar to tiem uzņēmumiem, kas nodarbina mazāk kā mazāk nekā 250 personas, bet uzņēmuma vai struktūras veiktās apstrādes var radīt risku datu subjektu tiesībām un brīvībām, apstrādes ir regulāras vai apstrādes ietver īpašās datu kategorijas (Regulas 9. un 10.pants) ir attiecināms minētajā normā noteiktais pienākums – reģistrēt apstrādes darbības.

 

Apdrošināšana

  1. Ja pakalpojumu nodrošināšanai nepieciešams apstrādāt personas veselības datus (dzīvības apdrošināšana - aprēķinot apdrošināšanas prēmiju, lemjot par atlīdzības izmaksu). Kā nodrošināt, ka ir explicit consent kritēriji? (piekriš. nav sniegta brīvi, nevar atsaukt)?
  2. Darba devējs slēdz līgumu ar apdrošinātāju. Apdrošināti tiek darbinieki par darba devēja līdzekļiem. Darba devējam ir darbinieks, kurš apkopo visus čekus, ārstu zīmes utt. Un nodod apdrošinātājam. Vai obligāti vajag darbinieku piekrišanu?

 

Atbildot uz 21. un 22. jautājumu, Regulas 9.panta 1.punkts noteic, ka ir aizliegta tādu personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde. Regulas 9.panta 2.punkts, savukārt, noteic, ka šā panta 1.punktu nepiemēro, ja ir piemērojams kāds no 9.panta 2.punktā minētajiem pamatojumiem.

Regulas 9.panta 4.punkts nosaka, ka dalībvalstis var saglabāt vai ieviest papildu nosacījumus, tostarp ierobežojumus, attiecībā uz ģenētisko datu, biometrisko datu vai veselības datu apstrādi.

Inspekcija vērš uzmanību, ka Regulas 52.apsvērums nosaka, ka atkāpties no aizlieguma apstrādāt īpašu kategoriju personas datus būtu jāatļauj arī tad, ja tas paredzēts Savienības vai dalībvalsts tiesību aktos un ja ir paredzētas atbilstošas garantijas personas datu un citu pamattiesību aizsardzībai, ja to darīt ir sabiedrības interesēs, jo īpaši personas datu apstrāde nodarbinātības tiesību aktu, sociālās aizsardzības tiesību aktu jomā, tostarp attiecībā uz pensijām un veselības drošības, uzraudzības un brīdināšanas nolūkos, lipīgu infekcijas slimību un citu nopietnu veselības apdraudējumu profilaksei vai kontrolei. Šādu atkāpi var veikt ar veselību saistītos nolūkos, tostarp sabiedrības veselības un veselības aprūpes pakalpojumu pārvaldības nolūkos, jo īpaši, lai nodrošinātu pabalstu un veselības apdrošināšanas sistēmas pakalpojumu pieprasīšanai izmantoto procedūru kvalitāti un izmaksu lietderību vai lai veiktu arhivēšanu sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos. Atkāpei būtu jāpieļauj arī tādu personas datu apstrāde, kas vajadzīgi, lai celtu, īstenotu vai aizstāvētu likumīgas prasības vai nu tiesas procesā, vai administratīvā vai ārpustiesas procedūrā.

Inspekcija informē, ka 2018.gada 1.jūnijā stājās spēkā Apdrošināšanas līguma likums, kā 8.panta septītā daļa noteic, ka apdrošinātājs veic personas datu, tai skaitā veselības datu, apstrādi saskaņā ar personu datu aizsardzību regulējošiem normatīvajiem aktiem. Personas datu apstrādes ilgums nedrīkst pārsniegt šajā likumā noteikto prasības noilguma periodu vai periodu, kurā datu apstrāde tiek veikta saskaņā ar citiem tiesiskiem pamatiem.

Savukārt ārstniecības iestādei, izsniedzot īpašās kategorijas personas datus apdrošinātājam, ir jāievēro Regulas 9.panta 1. un 2.punktā noteiktais.

Sadarbības līguma ietvaros, nepieciešams apzināt, kāds konkrēts mērķis ir abām pusēm, veicot personas datu apstrādi, lai izvērtētu to, kura puse nosaka personas datu apstrādes nolūkus un līdzekļus un kura šīs darbības (apstrādā personas datus) veic pārziņa vārdā.

Papildus minētajam Inspekcija saskaņā ar jau minēto norāda, ka piekrišana ir tikai viens no tiesiskajiem pamatiem likumīgas datu apstrādes veikšanai. (Sīkāk par piekrišanu lūdzam skatīt atbildes uz Vēstules 1., 2., 3., un 4. jautājumu).

Saskaņā ar jau iepriekš minēto, apstrāde ir uzskatāma par tiesisku, ja tā atbilst kādam no tiesiskajiem pamatiem un tajos gadījumos, kad nav iespējams nodrošināt citu tiesisko pamatu, tā var tikt veikta, ja saņemta datu subjekta piekrišana lūdz brīdim, kad datu subjekts to atsauc.

 

Namu pārvaldnieki, apsaimniekotāji

  1. Ja pastkastītē tiek iemesta aizlīmēta aploksne ar rēķinu, kas paredzēts dzīvokļa īpašniekam, tad tik un tā šis rēķins var nonākt trešo personu rokās - tik un tā taču pastkastītei piekļūst gan īrnieki, gan ģimenes locekļi. Kas mainās?

 

Atbildot uz 23. jautājumu, rēķins un tajā norādītā informācija ir personas dati Regulas 4.panta 1.punkta izpratnē, savukārt minētās informācijas izplatīšana, piemēram, neievietojot rēķinu aploksnē vai neaizlīmējot to, radot situāciju, ka informācija kļūst brīvi pieejama trešajām personām, ir personas datu apstrāde Regulas 4.panta 2.punkta izpratnē.

Pārzinim personas datu apstrāde (tai skaitā personas datu nodošana trešajām personām) ir jāveic, ievērojot Regulas 6.panta 1.punktā noteikto, proti, personas datu apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no šajā pantā minētajiem pamatojumiem.

Attiecībā uz rēķinu noformēšanu, Inspekcija paskaidro, ka atbilstoši Regulas 24.panta 1. un 2.punktam, ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, pārzinim jāīsteno arī atbilstoši tehniskie un organizatoriskie pasākumi, lai nodrošinātu un spētu uzskatāmi parādīt, ka apstrāde notiek saskaņā ar Regulu. Tādējādi rēķinu noformēšana ir jāveic tādā veidā, lai katru rēķinu saņemtu tikai attiecīgais rēķina adresāts, nevis trešā persona. Gadījumā, ja pārzinis, piemēram, izsniedz rēķinus bez aploksnes, vai tos neaizlīmējot, rēķini var nonākt trešo personu rīcībā (rēķinu var saņemt dzīvokļa īrnieks, nevis rēķina adresāts, kā arī to var saņemt trešās personas, kurām ir piekļuve pasta kastītei).

Tātad pārzinim ir pienākums lietot nepieciešamos tehniskos un organizatoriskos līdzekļus, lai aizsargātu personas datus un novērstu to nelikumīgu apstrādi, proti, piestādot rēķinus ir jānodrošina, ka rēķini ir noformēti tā, lai aizsargātu personas datus no to nejaušas nonākšanas trešo personu rīcībā. Savukārt veids, kādā rēķini tiek noformēti un piegādāti, ir izlemjams pašam pārzinim. 

 

  1. Vai namu apsaimniekotājs var nodot informāciju par parādu piedziņas sabiedrībai? Starp namu apsaimniekotāju un inkasso sabiedrību ir noslēgts līgums. Līgumos par namu apsaimniekošanu nav ietverta tiesība nodot parādu parādu piedziņas sabiedrībai.

 

Atbildot uz 24. jautājumu, Inspekcija lūdz skatīt atbildes uz 1., 2., 3., un 4. jautājuma otro un trešo rindkopu, proti, pārzinis var veikt konkrētu datu apstrādi, ja nodrošina atbilstību vismaz vienam no Regulā noteiktajiem pamatiem un datu apstrādes principiem.

 

  1. Vai namu pārvaldnieks var norādīt dzīvokļu komunālajos rēķinos iedzīvotāja personas kodu un vai kopsapulcē pie reģistrācijas var norādīt dzīvokļa īpašnieka personas kodu, lai to identificētu? Vai piesakot darbiniekus veikt darbus citu uzņēmumu objektos, drīkst norādīt darbinieka personas kodu? Vai uzņēmums drīkst informēt uzņēmuma darbiniekus par konkrētiem strādājošiem: piemēram Linda Liepiņa, kas ieņēma x amatu no šodienas vairs pie mums nestrādā utt. Cik daudz un kāda veida informāciju uzņēmums drīkst atklāt par saviem darbiniekiem? Vai ir kādas iestādes, kur joprojām var pieprasīt personas kodu?

 

Atbildot uz 25. jautājumu, Inspekcija lūdz skatīt atbildi uz 24. jautājumu.

Papildus Inspekcija norāda, ka attiecībā uz personas koda norādīšanu rēķinā saskaņā ar likuma “Par grāmatvedību” 2.pantā noteikto, grāmatvedībā uzskatāmi atspoguļojami visi uzņēmuma saimnieciskie darījumi, kā arī katrs fakts vai notikums, kas rada pārmaiņas uzņēmuma mantas stāvoklī. Grāmatvedību kārto tā, lai grāmatvedības jautājumos kvalificēta trešā persona varētu gūt patiesu un skaidru priekšstatu par uzņēmuma finansiālo stāvokli bilances datumā, tā darbības rezultātiem, naudas plūsmu noteiktā laikposmā, kā arī konstatēt katra saimnieciskā darījuma sākumu un izsekot tā norisei. Savukārt 7.panta 1.daļā noteikts, ka grāmatvedības reģistros izdara ierakstus, kas pamatoti ar attaisnojuma dokumentiem. Attaisnojuma dokuments ir dokuments, kurš apliecina uzņēmuma saimnieciskā darījuma esamību un kurā ietverti šajā pantā norādītie dokumenta rekvizīti un informācija par saimniecisko darījumu:

Minētā likuma 1) dokumenta autora nosaukums (firma), bet ja dokumenta autors ir fiziskā persona, – vārds un uzvārds; 2) dokumenta autora reģistrācijas numurs (ja dokumenta autors saskaņā ar likumu jāreģistrē), bet ja dokumenta autors ir fiziskā persona, – personas kods (ja personai tāds piešķirts); 3) ārējam attaisnojuma dokumentam – arī juridiskā adrese (ja dokumenta autors saskaņā ar likumu jāreģistrē) vai adrese (ja dokumenta autors saskaņā ar likumu nav jāreģistrē), bet ja dokumenta autors ir fiziskā persona, – arī personas norādītā adrese vai, ja tāda nav norādīta, deklarētās dzīvesvietas adrese; 4) dokumenta veida nosaukums; 5) dokumenta datums; 6) dokumenta reģistrācijas numurs; 7) paraksts (izņemot šā likuma 7.1 pantā minētos gadījumus); 8) atsevišķiem attaisnojuma dokumentu veidiem – arī citi tiesību aktos noteiktie obligātie dokumenta rekvizīti; 9) saimnieciskā darījuma dalībnieki, norādot katra saimnieciskā darījuma dalībnieka nosaukumu (firmu), reģistrācijas numuru (ja saimnieciskā darījuma dalībnieks saskaņā ar likumu jāreģistrē), juridisko adresi (ja saimnieciskā darījuma dalībnieks saskaņā ar likumu jāreģistrē) vai adresi (ja saimnieciskā darījuma dalībnieks saskaņā ar likumu nav jāreģistrē), bet ja saimnieciskā darījuma dalībnieks ir fiziskā persona, – norādot vārdu un uzvārdu, personas kodu (ja personai tāds piešķirts), personas norādīto adresi vai, ja tāda nav norādīta, deklarētās dzīvesvietas adresi; 10) saimnieciskā darījuma apraksts, pamatojums un mērītāji (daudzumi, summas), bet tiesību aktos noteiktajos gadījumos – arī cita informācija par saimniecisko darījumu.

Saskaņā ar Ministru kabineta 2003.gada 21.oktobra noteikumu Nr.585 “Noteikumi par grāmatvedības kārtošanu un organizāciju” (turpmāk – MK noteikumi Nr.585) 35.11 punktu, lai noteiktu preču izcelsmi un piederību preču saņemšanas un izsniegšanas vietās, izmanto preču piegādes dokumentu. Preču piegādes dokuments ir dokuments, kurš apliecina preču piegādes un saņemšanas faktu un kurā ir ietverti šajā pantā minētie dokumenta rekvizīti un informācija, tostarp preču saņēmēja nosaukums (firma), reģistrācijas numurs (Uzņēmumu reģistrā vai Valsts ieņēmumu dienestā), bet, ja preču saņēmējs ir fiziska persona, – vārds, uzvārds un personas kods (ja personai tāds ir piešķirts), preču saņemšanas vietas adrese.

Vienlaikus vēršam uzmanību, ka MK noteikumu Nr.585 7.punkts paredz, ka uzņēmuma vadītājs, ievērojot attaisnojuma dokumentiem normatīvajos aktos noteiktās prasības, patstāvīgi izvēlas šo dokumentu formu un sagatavošanas veidu, izņemot gadījumus, ja attiecīga attaisnojuma dokumenta noformēšanu vai saturu reglamentē konkrēts normatīvais akts.

Ievērojot minēto, ja uzņēmuma izrakstītais rēķins fiziskajai personai vienlaikus tiek izmantots kā attaisnojuma dokuments, pamatojoties uz kuru sabiedrība par pakalpojuma sniegšanu veic ierakstus grāmatvedības reģistros, tajā jābūt norādītiem visiem likuma “Par grāmatvedību” 7.pantā noteiktajiem rekvizītiem, tai skaitā arī saimnieciskajā darījumā iesaistītās fiziskās personas vārdam, uzvārdam, personas kodam, kā arī personas norādītajai adresei vai, ja tāda nav norādīta, deklarētās dzīvesvietas adresei.

Attiecībā uz personas koda norādīšanu kopsapulces reģistrācijas lapā, Inspekcija pirmsšķietami nesaskata pamatojumu šādai datu apstrādei. Ja datu apstrādes nolūks ir identificēt dzīvokļa īpašniekus, kas ieradušies uz kopsapulci, tad nolūka sasniegšanai Inspekcijas ieskatā personas koda apstrāde minētajā veidā nav nepieciešama.

Darbinieka personas koda apstrāde jautājuma norādītajā veidā, norīkojot darbiniekus darbā citos objektos vai pie cita darba devēja būs uzskatāma par atbilstošu tajos gadījumos, ja šāda apstrāde nepieciešama pārziņa noteiktā nolūka sasniegšanai, ievērojot datu apstrādes principus, tai skaitā minimizēšanas principu.

Attiecībā uz informācijas sniegšanu par darbiniekiem, ievērojot iepriekš sniegto informāciju, personas dati ir jebkāda informācija attiecībā uz identificētu vai identificējamu fizisko personu, tādējādi darbinieka vārds uzvārds un amata nosaukums ir personas dati, tomēr ne visi personas dati ir uzskatāmi par privātiem[1]. Papildus minētajam saskaņā ar Regulas preambulas 14.apsvērumu Regula nav attiecināma uz tādu datu personas apstrādi, kas skar juridiskas personas […], tostarp juridiskas personas nosaukumu, uzņēmējdarbības formu un kontaktinformāciju. Ņemot vērā, ka darbinieka vārds uzvārds un amata nosaukums nebūs tādi dati, kas vērsti uz personas privātuma īstenošanu, ja šie dati par konkrētu darbinieku, piemēram, kas uzsācis darbu vai to izbeidzis, lai dzīvokļu īpašnieki zinātu, ar kuru konkrēto darbinieku sazināties, tad šāda apstrāde būs uzskatāma par ietilpstošu minētās normas tvērumā. Jebkurā gadījumā šāda apstrāde būs vērtējama tikai kopsakarā ar konkrētas juridiskās personas identificēšanas nolūku un nevar tikt piemērota, lai apietu Regulas noteikumus.

 


[1]29.panta darba grupas pieņemtās vadlīnijas par Eiropas Savienības Tiesas 2014. gada 13. maija sprieduma lietā Google Spain un Google, C‑131/12, īstenošanu (WP 225), pieejams: http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp225_en.pdf

 

Informācija par uzņēmuma darbiniekiem

  1. Vai obligāti vajag piekrišanu no darbiniekiem par viņu kontaktu un foto publicēšanu uzņēmuma mājaslapā?

 

Atbildot uz 28. jautājumu, attiecībā uz personas fotogrāfijas izmantošanu uzņēmuma interneta vietnē, kopa ar kontaktinformāciju, Inspekcija norāda, ka šāda darbība saskaņā ar jau minēto arī uzskatāma par datu apstrādi, kura ir atļauta, ja tā atbilst kādam no spēkā esošā normatīvajā regulējumā noteiktajiem tiesiskajiem pamatiem. Inspekcija primsšķietami nesaskata citu tiesisko pamatu jautājumā norādītajām apstrādēm kā vien datu subjekta piekrišana.

 

  1. Darbs devējam ir dažādi bonusi - apdrošināšanas, dāvanas bērniem , apsveikumi par bērna piedzimšanu- vai pietiek, ja tas tiek atrunāts darba kārtības noteikumos (ar atrunu, ka var atteikties) vai obligāti vajag piekrišanu?

 

Atbildot uz 29. jautājumu, Inspekcija paskaidro, ka darba tiesiskās attiecības noformējamas un īstenojamas atbilstoši normatīvajos aktos noteiktajām prasībām. Attiecībā uz darba tiesisko attiecību uzsākšanas un īstenošanas laikā sagatavojamajiem dokumentiem būtu jāvēršas kompetentajā institūcijā, proti, Valsts Darba inspekcijā.

Attiecībā uz dokumentos darba tiesību jomā iekļaujamajiem personas datiem, Inspekcija norāda, ka jāapstrādā tikai tāds datu apjoms, kas nepieciešamas konkrētā apstrādes nolūka sasniegšanai.

Attiecībā par pārziņa atbildību, Inspekcija vērš uzmanību, ka Regula noteic pienākumu pārzinim ievērot datu apstrādes principus, tai skaitā pārskatatbildības principu, no kura izriet pārziņa pienākums uzskatāmi pierādīt datu apstrādes atbilstību. Tādējādi pārzinis būs atbildīgs par datu apstrādes atbilstību tiktāl, ciktāl no tā saprātīgi sagaidāma atbilstoša tehnisko un organizatorisko pasākumu īstenošana.

 

  1. Vai informācija par personas amatu uzņēmumā ir ar likumu aizsargājamie personas dati? Pēc būtības tā ir publiski pieejama informācija (Lursoft un citi resursi). Vai uz uzņēmumiem, kas apkalpo Tikai juridiskās personas, attiecas Regulas noteikumi (ciktāl šī sadarbība neskar informāciju, kas attiecas tieši uz Konkrētas amatpersonas personīgajiem datiem (personas kods, personīgā tālruņa numurs)?

 

Atbildot uz 30.jautājumu, Inspekcija lūdz skatīt atbildes uz 25.jautājumu pēdējo rindkopu.

 

Dažādi

  1. Kā izpaužas datu aizsardzības pamatprincipi - taisnīguma un anonimizācijas principi?

Atbildot uz 31.jautājumu, Inspekcija vērš uzmanību, ka Regulas kontekstā vispārīgie datu aizsardzības principi noteikti tās 5.pantā. Tomēr jautājumā norādītajā  Satversmes tiesas spriedumā analizēti arī citi principi, kas izriet no starptautiskajiem cilvēktiesību aizsardzības dokumentiem.

Taisnīguma princips ir fundamentāls vispārējais tiesību princips, no kā izriet, ka ikviens saņem to, kas viņam pienākas. Principa izpratne, izpausmes plaši apspriestas gan tiesību doktrīnā, gan tiesu praksē, gan jautājumā minētajā spriedumā.

Inspekcija paskaidro, ka saskaņā ar 29.panta darba grupas[1] 2014.gada 10.aprīļa atzinumā Nr.5/2014[2] “par anonimizācijas metodēm” (turpmāk – Atzinums) norādīto, [..] piemērojot personas datiem anonimizāciju, ir jāiegūst tāds rezultāts, kas pašreizējos tehnoloģiskajos apstākļos ir tikpat pastāvīgs kā dzēšana, t.i., kas padara personas datu apstrādi neiespējamu [..] (anonimizācija ir definēta arī starptautiskajos standartos, piemēram, ISO 29100 ir sniegta šāda definīcija: “Process, ar ko personīgi identificējama informācija (PII)  tiek neatgriezeniski mainīta tādā veidā, lai PII pārzinis individuāli vai sadarbojoties ar jebkādu trešo personu vairs nevarētu tieši vai netieši identificēt PII subjektu”.

Skatīt 14. punktu LR Satversmes tiesas 2011. gada 14. marta spriedums lietā Nr. 2010 -51-01 - http://www.satv.tiesa.gov.lv/wp-content/uploads/2016/02/2010-51-01_Spriedums.pdf

 

[1] Eiropas Komisijas 29.panta darba grupa (neatkarīgu ekspertu darba grupa personu aizsardzībai attiecībā uz personas datu apstrādi, kas izveidota atbilstoši direktīvas 95/46/EK “Par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti” 29.pantam, kas saskaņā ar REGULA 94.panta 2.punktu uzskatāma par Kolēģiju

  1. Kāpēc bankas pie jauniem GDPR Personas datu principiem neprasa klientu "apstiprinājumu", bet raksta, ka viņiem ir tiesības vienpusēji grozīt tos principus un ka tie stājās spēkā pēc 25.05.? Vai bankas ir tiesīgas šādi rīkoties?

 

Atbildot uz 32.jautājumu, Inspekcija lūdz skatīt atbildi uz 7.jautājumu.

 

  1. Jautājums, kas ir domāts ar datu apstrādi par sodāmību un pārkāpumiem? Ko nozīme "oficiālas iestādes kontrolē"?

 

Atbildot uz 33.jautājumu, par oficiālu iestādi būs uzskatāma iestāde, kuras kompetencē ietilpst jautājumā minētā reģistra uzglabāšana. Latvijas Republikā par šādu iestādi saskaņā ar Sodu reģistra likuma 2.pantu noteikts Iekšlietu ministrijas Informācijas centrs.

 

  1. Vai var šos nosacījumus mazs uzņēmums iestrādāt iekšējos kārtības noteikumos?

 

Atbildot uz 34.jautājumu, Inspekcija lūdz skatīt atbildi uz 10.jautājumu. Papildus tam Inspekcija vērš uzmanību, ka Regula nenoteic konkrētu iekšējo normatīvo aktu izstrādes pienākumu. Līdz ar to iekšējo normatīvo aktu veida izvēle un izstrāde ietilpst tikai un vienīgi pārziņa kompetencē.

 

  1. Kā pēc jaunā regulējuma uzglabāt sensitīvu materiālu papīra formā? Vai tas var būt ierobežotas piekļuves skapis, piemēram, skapis ar atslēgu?

 

Atbildot uz 35.jautājumu, Inspekcija lūdz skatīt atbildes uz 10.un 34.jautājumu.

 

  1. Vai komersants, kuram nav publiskās personas pilnvarojuma var datu apstrādei izmantot "Sabiedrības intereses t.sk. drošību"?

 

Atbildot uz 36.jautājumu, Inspekcija vērš uzmanību, ka no 29.panta darba grupas sniegtajiem atzinumiem izriet, ka apstrādei jābūt “vajadzīgai sabiedrības interesēs realizējama uzdevuma izpildei”, uzdevums sabiedrības interesēs parasti būs noteikts normatīvajos noteikumos, piemēram, nodokļu iestāde var vākt un apstrādāt personas nodokļu deklarāciju, lai noteiktu un pārbaudītu maksājamo nodokļu apjomu vai vietējās pārvaldes iestādes, piemēram, pašvaldība, kurai ir uzticēts uzdevums nodrošināt bibliotēkas, skolas vai vietējā peldbaseina pakalpojumus[1]. Saskaņā ar šajā atzinumā sniegto skaidrojumu minētais tiesiskais pamats attiecas uz situācijām, kad apstrāžu veicējiem nav oficiālu pilnvaru, taču tiem pieprasa atklāt datus trešā persona, kurai ir šādas pilnvaras. Tādējādi konkrētajai datu apstrādei atbilstošais tiesiskais pamats nosakāms pēc šīs apstrādes rakstura.

 


[1] 29.panta darba grupas 2014.gada 9.aprīļa atzinums Nr.  06/2014 par personas datu apstrādātāja likumīgo interešu jēdzienu saskaņā ar Direktīvas 95/46/EK 7. pantu

 

  1. Vai slēdzot, piemēram, pakalpojumu līgumu par remontdarbu veikšanu, kurā norādītas pušu kontaktpersonas un līguma veicēji (fiziskas personas), līgumā ir jāiekļauj datu apstrādes noteikumi?

 

Atbildot uz 37.jautājumu, ievērojot jau iepriekš sniegtās atbildes, līgumā iekļautā informācija attiecībā uz identificētu vai identificējamu fizisko personu (piemēram, līgumu parakstītājas personas vai līgumā norādītās kontaktpersonas dati) ir personas dati, tomēr ne visi personas dati ir uzskatāmi par privātiem[1].

Saskaņā ar Civillikuma 1511.pantu līgums plašākā nozīmē ir ikkatra vairāku personu savstarpēja vienošanās par kādu tiesisku attiecību nodibināšanu, pārgrozīšanu vai izbeigšanu. Savukārt, līgums šaurākā nozīmē ir vairāku personu savstarpējs, ar vienošanos pamatots gribas izteikums, kā mērķis ir nodibināt saistību tiesību. Līdz ar to šādā veidā veikta personas datu apstrāde nebūs veikta uz datu subjekta piekrišanas pamata, bet gan uz cita tiesiskā pamata, piemēram, līguma izpildes nodrošināšanai (Regulas 6.panta 1.punkta b) apakšpunkts) un datu subjekta piekrišana šādā gadījumā nebūs jāsaņem. Slēdzot līgumu starp juridiskajām personām, fizisko personu datu apstrāde būtu jāveic tikai tādā apmērā, lai izpildītu attiecīgo tiesisko attiecību, kas būtu iekļaujama starp pusēm noslēdzamā līgumā. Ņemot vērā to, ka uz līgumā iekļautā informācija nebūs vērsta uz personas privātuma īstenošanu, bet gan uz kādu noteiktu profesionālo interešu īstenošanu, saskaņā ar Regulas preambulas 14. apsvērumā minēto, datu apstrādei, kas skar juridiskas personas, tostarp juridiskās personas nosaukumu, uzņēmējdarbības formu un kontaktinformāciju Regulas normas nebūs piemērojams.

Tomēr fakts, ka dati noteiktā gadījumā uzskatāmi par juridiskas personas datiem pats par sevi neliecina, ka pieļaujama to apstrāde neatbilstoši mērķim (noslēgtā līguma īstenošana). Jebkurā gadījumā saskaņā ar iepriekš minēto, apstrādājot minētos datus, pārzinim jāīsteno atbilstoši organizatoriskie un tehniskie pasākumi, tai skaitā iekļaujot līgumā noteikumus par datu apstrādes jautājumiem, ja tādi nepieciešami.

 


[1]29.panta darba grupas pieņemtās vadlīnijas par Eiropas Savienības Tiesas 2014. gada 13. maija sprieduma lietā Google Spain un Google, C‑131/12, īstenošanu (WP 225), pieejams: http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp225_en.pdf

 

Bezmaksas telpas

ES māja piedāvā bezmaksas telpas pasākumiem, diskusijām un citiem pasākumiem.

Pieteikties