Pēdējā laikā ir aktualizējušies datu aizsardzības jautājumi dažādos aspektos, piem., saistībā ar lielveikalu lojalitātes karšu programmās ievākto informāciju un to iespējamo nosūtīšanu Valsts ieņēmumu dienestam, apsaimniekotāju rīcību, publicējot parādnieku sarakstus, u.c. Šis jautājums nepamatoti ir atstāts novārtā, tomēr nākotnē nāksies to aktualizēt, jo pagājušajā mēnesī Eiropas Komisija ir iepazīstinājusi ar savu jauno Fizisko personu datu aizsardzības regulas projektu, kurā tiek no vienas puses paplašinātas personas datu izmantošanas iespējas uzņēmējdarbībā, bet no otras puses pastiprināti personas datu aizsardzības mehānismi. Vai mēs zinām, kas ir aizsargājami personas dati un vai pietiekami par tiem rūpējamies pakalpojumu sniegšanas ēnā?
Ko uzskata par personas datiem?
Saskaņā ar Fizisko personu datu aizsardzības likumu aizsargājami personas dati ir jebkāda informācija, kas attiecas uz identificētu vai identificējamu fizisku personu. Tātad dati ir ne tikai personas vārds, uzvārds, personas kods, dzīvesvietas adrese un biometriskie dati (pirkstu nospiedumi, acs tīklenes raksts), bet dati var būt arī informācija par personas veselības stāvokli (ārstniecības iestādēs, sporta klubos), informācija par personas iepirkumiem (lojalitātes karšu programmās), informācija par personas saistībām un to apmērs (apsaimniekošanas maksu parādi, aizdevumu apmēri kreditēšanas sabiedrības), informācija par personas hobijiem un nodarbošanos, un jebkura cita informācija, kura sniedz jebkādu priekšstatu par konkrētu personu.
Tāpat jāņem vērā, ka par personas datiem uzskatāma ne tikai „objektīva” un pārbaudāma informācija par personu, piem., personas vārds, uzvārds, elektroniskā pasta adrese, bet arī tā saucamā „subjektīvā” informācija par personu, piem., uzņēmuma darbinieka piezīmes par klientu, ka „šis klients ir kašķīgs, tāpēc apkalpot to uzmanīgi”, vai „šim klientam interesē viss inovatīvais, tāpēc tam piedāvāt jaunākos modeļus”.
Lai informāciju uzskatītu par personas datiem, nav nozīmes vai tā ir patiesa, vai nav, kā arī nav svarīgi, kādā formātā informācija ir iegūta vai uzglabāta: papīra formā (veselības kartiņa, analīžu rezultāti, pases kopija, fotogrāfija u.c.), elektroniski (e-pasta sarakste, klientu elektroniskā datu bāze), video vai audio formātā (novērošanas kameru ieraksti, klientu apkalpošanas pa tālruni audio ieraksti).
Kā apstrādāt personas datus?
Nav aizliegts apstrādāt personas datus, tomēr personas datu apstrāde ir jāveic, ievērojot sekojošus galvenos principus:
Personas dati tiek apstrādāti godprātīgi un likumīgi, t.i., lai apstrādātu personas datus, ir jābūt likumiskam pamatam, t.i., datu apstrāde veikta, pamatojoties uz datu subjekta piekrišanu; datu apstrāde izriet no datu subjekta līgumsaistībām vai nepieciešama, lai pēc datu subjekta iniciatīvas noslēgtu līgumu (piem., darba līguma, apkalpošanas līguma noslēgšana); datu apstrāde nepieciešama likumā noteikto pienākumu veikšanai (piem., kredītiestādēm ir likumisks pienākums saglabāt klientu pases kopijas); datu apstrāde nepieciešama, lai aizsargātu datu subjekta vitāli svarīgas intereses (piem., dzīvību un veselību); u.t.t. Personai, kuras dati tiek apstrādāti, ir jābūt informētai par to, kādi dati tiek apstrādāti un kādiem mērķiem tie tiks izmantoti; nav pieļaujams, ka personas datu apstrādes patiesie mērķi tiek slēpti.
Personas datu apstrāde tiek veikta tikai atbilstoši paredzētajiem mērķiem, t.i., par personas datu apstrādi atbildīgais uzņēmums jau pirms personas datu apstrādes uzsākšanas nodefinē sev mērķus, kādiem personas dati tiks apstrādāti (piem., noteikti dati nepieciešami klientu uzskaitei, e-pasti un tālruņa numuri nepieciešami komerciālu paziņojumu sūtīšanai klientiem u.t.t.), un par tiem informē arī datu subjektus (piem., klientus). Atbilstoši šim principam par personas datu apstrādi atbildīgam uzņēmumam dati ir jāapstrādā tikai atbilstoši noteiktam mērķim, t.i., ja, piem., medicīnas iestāde ir ievākusi datus par personas veselību, lai sniegtu klientam ar veselības aprūpi saistītos pakalpojumus, tā nevar izmantot šos datus komerciāliem nolūkiem un nodot tos zāļu ražotājiem, kuri, pamatojoties uz šo informāciju, izsūtītu katram klientam atbilstošus zāļu iegādes piedāvājumus. Ja uzņēmums vēlas datus izmantot citiem mērķiem nekā tika noteikts ievācot personas datus, tam ir jābūt atsevišķam likumiskam pamatam (personas piekrišana, likumā noteiktie pienākumi, u.t.t.).
Personas datu apstrāde veicama tikai mērķu sasniegšanai nepieciešamā apjomā jeb datu apjomam jābūt adekvātam (nedrīkst būt pārmērīgs), t.i., uzņēmumam ir jāaprobežojas ar minimumu, kas nepieciešams mērķu sasniegšanai, kādiem dati tiek apstrādāti. Piemēram, apkalpojošās sfēras uzņēmumam ir nepieciešami klientu dati ar mērķi nosūtīt tiem komerciāla rakstura piedāvājumus par aktuālām akcijām. Lai sasniegtu šo mērķi, uzņēmumam būtu pietiekami iegūt savā rīcībā datus par klienta e-pasta adresi, kontakttālruni vai dzīvesvietas adresi, ja piedāvājumi tiktu sūtīti, izmantojot pasta pakalpojumus. Tomēr neadekvāti būtu, ja šī paša mērķa sasniegšanai uzņēmums reizē ievāktu vēl citus datus, kas tam iespējams nākotnē varētu noderēt, piemēram, par klienta ģimenes stāvokli, tautību, reliģisko piederību, u.t.t. Svarīgi ir atzīmēt, ka šis ierobežojošais princips ir piemērojams pat tādā gadījumā, ja klients pēc uzņēmuma pieprasījuma labprātīgi ir sniedzis šo informāciju. Vēl vienu piemēru vēlos sniegt, lai ilustrētu šo gadījumu, piemēram, apkalpojošās sfēras uzņēmums, lai noslēgtu līgumu ar klientu (tātad, mērķis ir klienta identifikācija), pieprasa ne tikai uzrādīt pasi kā personu apliecinošu dokumentu (kas būtu adekvāti šajā gadījumā), bet arī nokopē pasi un saglabā šo pases kopiju. Saglabājot pases kopiju pie sevis, papildus klienta identificējošiem datiem, uzņēmums iegūst savā rīcībā arī datus par personas pilsonību, tautību, augumu un citu pasē atrodamo papildus informāciju, kas nav nepieciešama konkrētā mērķa sasniegšanai, tātad iztrūkst arī tiesisks pamats šo datu uzglabāšanai.
Personas datiem, kuri tiek apstrādāti, ir jābūt precīziem, t.i., uzņēmumam, apstrādājot personas datus, ir jānodrošina apstrādājamo datu pareizība, datu pareizības pārbaudes mehānisms, kā arī savlaicīgu (bez kavēšanās) datu atjaunošanu, labošanu vai dzēšanu, ja dati ir nepilnīgi vai neprecīzi.
Personas datiem ir jābūt saglabātiem veidā, kas pieļauj klientu identifikāciju ne ilgāk kā tas nepieciešams konkrētiem mērķiem, kuriem datus apstrādā, tātad dati netiek glabāti ilgāk nekā tas ir nepieciešams. Ja persona, kurai ir lojalitātes karte, un tā ir iesaistījusies apkalpojošās sfēras uzņēmuma lojalitātes programmā, pārtrauc būt par konkrētā uzņēmuma klientu, uzņēmumam nav vairs pamata apstrādāt datus, kuru apstrādes mērķis bija pakalpojumu sniegšana, un dati nekavējoties ir jādzēš, jo konkrētā mērķa sasniegšanai datu apstrāde vairs nav nepieciešama. Šeit gan ir jāņem vērā, ka var dati tikt saglabāti, ja uzņēmumam ir datu apstrādei citi tiesiski pamati, piemēram, ja uzņēmumā tiek glabāta informācija par ar uzņēmuma starpniecību veiktajiem darījumiem (maksājumiem), kurus persona var apstrīdēt noteiktu laika periodu arī pēc savstarpējās sadarbības pārtraukšanas, uzņēmumam ir tiesisks pamats glabāt šos datus visu šo noilguma termiņu, lai realizētu savas likumiskās intereses.
Apstrādājamiem personas datiem ir jābūt drošībā, t.i., uzņēmumam, kas apstrādā personas datus, ir jānodrošina, lai netiktu pieļauta neatļauta piekļuve personas datiem, personas datu neatļauta izpaušana, nolasīšana, pavairošana vai dzēšana. Klientu personas datu drošībai ir jābūt katra uzņēmuma prioritāšu saraksta augšpusē, jo šī ir viena no svarīgākajām personas tiesībām uz savu personas datu aizsardzību. Nelikumīga personas datu izpaušana var novest pie morāla kaitējuma un zaudējumu nodarīšanas personai, piemēram, personīga rakstura informācijas izpaušana, kas pārkāpj personas tiesības uz privāto dzīvi, tāpat identitātes zādzības var nodarīt ievērojamus zaudējumus personai. Papildus ir jāievēro arī normatīvajos aktos noteiktās minimālās personas datu aizsardzības organizatoriskās un tehnoloģiskās prasības.
Kas ir sertificēts personas datu aizsardzības speciālists?
Personas datu aizsardzības speciālists ir fiziskā persona, kurai ir augstākā izglītība tiesību zinātņu, informācijas tehnoloģiju vai līdzīgā jomā un kura ir apmācīta un sertificēta Datu valsts inspekcijā.
Nolīgstot personas datu aizsardzības speciālistu, uzņēmums iegūst kvalificētu personu/konsultantu datu aizsardzības tiesību un prakses jomā, kurš organizēs, kontrolēs un uzraudzīs uzņēmuma veiktās personas datu apstrādes atbilstību normatīvajiem aktiem, t.sk. informēs uzņēmumu par tā pienākumiem šajā jomā, pārstāvēs uzņēmumu komunikācijā ar klientiem un uzraugošajām iestādēm datu aizsardzības jomā.
Tāpat, ja uzņēmums ir nolīdzis personas datu aizsardzības speciālistu, tam nav nepieciešams reģistrēt personas datu apstrādi Datu valsts inspekcijā.
Kas mūs sagaida nākotnē?
2012.gada 25.janvārī Eiropas Komisija ir publiskojusi savu priekšlikumu Eiropas Parlamenta un Padomes regulai par personas aizsardzību attiecībā uz personas datu apstrādi un to brīvu apriti, kura mērķis ir uzlabot jau pastāvošo regulējumu, izveidojot vienotus personas datu aizsardzības noteikumus visā Eiropas Savienības teritorijā.
Regulas projektā ir ieviesti sekojoši būtiskākie jauninājumi: ieviests caurskatāmības princips, kas uzliek par pienākumu uzņēmumam (personas datu pārzinim) nodrošināt visu informāciju un saziņu ar datu subjektiem saistībā ar personas datu apstrādi saprotamā veidā, izmantojot skaidru un vienkāršu valodu, kas pielāgota datu subjektam, kā arī uzliek pienākumu uzņēmumam atbildēt uz datu subjekta pieprasījumiem noteiktā termiņā.
Regulas projektā tiek ieviestas tiesības uz datu pārnesamību, kas nozīmē to, ka personas datu pārzinim nav tiesību aizkavēt datu subjekta vēlmi nosūtīt savus datus no vienas elektroniskās apstrādes sistēmas uz citu, vēl jo vairāk, personas datu pārzinim ir noteikts pienākums šos datus nodot datu subjektam strukturētā un plaši izmantotā elektroniskā formātā.
Tiek ierobežoti personas datu pārziņa veiktie pasākumi, kas balstās uz profilēšanu. Katrai fiziskai personai ir tiesības atteikties būt iesaistītai tādā pasākumā, kas paredzēts, lai izvērtētu konkrētus ar šo personu saistītus personiskus aspektus vai analizētu, vai prognozētu, piem., fiziskas personas ekonomisko situāciju, atrašanās vietu, veselību, personiskās vēlmes, uzticamību vai uzvedību.
Papildus pienākumi tiek noteikti personas datu pārziņiem datu drošības jomā, t.i., tiem būs pienākums īstenot atbilstīgus apstrādes drošības pasākumus, kā arī par personas datu aizsardzības pārkāpumiem nekavējoties (24 stundu laikā) būs jāpaziņo uzraudzības iestādei, pēc tam par pārkāpumu informējot arī pašu datu subjektu.
Regulas projekts paredz palielināt arī sertificētu personas datu aizsardzības speciālistu lomu, paplašinot to uzdevumus, nostiprinot personas datu aizsardzības speciālista kā profesionāla konsultanta personas datu aizsardzības jomā statusu, kurš informē pārzini par tā pienākumiem un veicamiem pasākumiem personas datu apstrādē, uzrauga attiecīgo dokumentu izstrādi un attiecīgo normatīvo aktu ievērošanu, kā arī pārstāv pārzini sadarbībā ar uzraudzības iestādēm. Regulas projekts nosaka, ka sertificēta personas datu aizsardzības speciālista nozīmēšana būs obligāta, ja apstrādi veic valsts iestāde, uzņēmums, kas nodarbina 250 personas vai vairāk, kā arī ja pārziņa pamatdarbības pamatā ir datu apstrāde, kurai nepieciešama regulāra un sistemātiska datu subjektu novērošana.
Ar regulas ieviešanu plānots arī palielināt administratīvos sodus par pārkāpumiem personas datu apstrādē - fiziskām personām smagākos personas datu apstrādes pārkāpumu gadījumos maksimālo soda apmēru palielinot līdz pat 1 000 000 EUR, bet juridiskām personām maksimālo soda apmēru palielinot līdz pat 2% no tā gada apgrozījuma visā pasaulē.
Ņemot vērā to, ka regulas projekts ievieš vairākus jauninājumus un papildus uzņēmējiem izstrādājamus iekšēja rakstura dokumentus un citas papildus prasības, uzņēmējiem jau laicīgi būtu jāsaprot, vai to darba organizācijā saistībā ar datu apstrādes procesiem nav nepieciešami kādi uzlabojumi vai izmaiņas.