Personas datu aizsardzība. Vispārīgā datu aizsardzības regula

Latvijas Jaunatnes padome ir sagatavojusi informatīvo materiālu par Personas datu aizsardzību un  Vispārīgā datu aizsardzības regulu, kurā sniedz skaidrojumus par NVO sektoram aktuālākajiem jautājumiem jauno noteikumu ievērošanai. 

DAŽI TERMINI:

Datu subjekts: persona, kas nodod savus datus apstrādei. Piemēram, dalībnieki konferencēs.

Datu pārzinis: persona, kas apstrādā datus un atbild par to uzglabāšanu. Piemēram, LJP, ja ir konferences organizētājs.

Kas ir personas dati: "vārds, uzvārds", "vārds, uzvārds un darba vieta", "vārds, uzvārds un adrese", "vārds, uzvārds un fotoattēls", "vārds.uzvārds@epasts.lv", paraksts, personas kods. Visi dati, kuri ļauj identificēt datu subjektu.

Kas nav personas dati: "Mirusī Anna bija labs darbinieks", SIA "XXX" ir maksātnespējīgs uzņēmums, "tikai telefona numurs, bet identifikācijas", "tikai adrese, bet identifikācijas", "bumba @ inbox .lv - ja nevar identificēt, e-pasts nav personas dati".

 

SECINĀJUMI: 
1. Personas datu apstrādi var veikt tikai tad, ja ir tiesiskais pamats un mērķis. Un ir jāspēj datu subjektam jeb personai, kuras datus apstrādājam paskaidrot, kurus datus un kāpēc apstrādājam. Tas nozīmē, ka aktivitātēs parakstu lapās jāprasa tikai tādi dati, kuri ir noteikti normatīvajos aktos par atskaišu iesniegšanu konkrētā projekta ietvaros. Vislabāk parakstu lapās atrunāt, uz kā pamata dati tie ievākti un apstrādāti.

2. Ar datu subjekta piekrišanu kā vienīgo tiesisko pamatu nevajag aizrauties. Vispārīgā datu aizsardzības regula paredz plašākas tiesības datu subjektam'. Dažas no tiesībām, ko datu subjekts var izmantot ir: tiesības tikt aizmirstam, tiesības tikt informētam, tiesības iebilst, kas nozīmē, ka datu subjekts var, piemēram, pēc pasākuma informēt, ka viņš vēlas, lai turpmāk viņa dati vairs netiktu izmantoti un tiktu dzēsti. Šeit jāpiezīmē, ka piekrišanu var atsaukt tikai turpmākai personas datu apstrādei. Personas datu apstrāde, kas tikusi veikta, balstoties uz likumīgas piekrišanas pamata, pirms attiecīgās piekrišanas atsaukšanas, joprojām tiek uzskatīta par likumīgi veiktu.

3. Ja pasākumā ir svarīgs tikai apmeklētāju skaits, tad paraksta lapām jābūt ar 1., 2., 3., 4., 5.,..... un dalībniekiem tikai jāparakstās.

4. Ja dalībniekiem pasākumos vai projektos ir tikai jāparakstās pēdējā tabulas ailē, kur visi citi dati jau aizpildīti, tad ir jāievieš tādas lapas, kur parādās tikai paraksta lodziņš. Tas ir tāpēc, ka konkrētajam datu subjektam ir jāredz tikai savi dati, nevis visu citu dati arī.

5. Par fotografēšanu. Ja pasākumā kaut viens dalībnieks iebilst foto apstrādei, tad to nedrīkst publicēt. Var izmantot tikai tādus foto, kur datu subjektus nevar atpazīt. Piemēram, var uzņemt foto no pasākuma telpas aizmugures, kad visi datu subjekti atrodas ar muguru pret fotogrāfu. Tas pats attiecas uz pasākumu filmēšanu.

6. Ja mājaslapās ir sīkdatnes jeb cookies, tad mājaslapas uzturētājam ir par to obligāti jāziņo un lietotājiem ir jābūt iespējai attiekties no sīkdatņu izmantošanas. Es personīgi nebija līdz šim sīkdatnēm pievērsis lielu uzmanību, bet tieši mūsu informācija par to, ko internetā skatāmies, kādas preces pērkam ir tā, kas uzkrājas caur sīkdatnēm un tiek nodota Facebook, Google u.c., lai pēc tam brīžos, kad ejam google meklētājā vai facebook portālā, mums rādītos tieši tās preces, kuras esam iepriekš skatījušies.

7. Liela uzmanība tiks pievērsta datu glabāšanai. Piemēram, pasākumos izmantotās datu un parakstu lapas, ja nav jāuzglabā pēc atskaišu iesniegšanas, tad tās jāiznīcina. Galvenais secinājums - datus nevajag nepamatoti glabāt ilgtermiņā.

8. Regula nosaka gadījumos, kad nepilngadīgais var dod savu piekrišanu gan 13 gados, gan 16 gados. Taču pastāv risks, ka vienā dienā nepilngadīgais var dod savu piekrišanu personas datu apstrādei, bet otrā dienā likumiskais pārstāvis (vecāki u.c.) iebilst datu apstrādei. Un pārzinim dati ir jādzēš, ja likumiskais pārstāvis iebilst un nav pierādīts tiesiskais pamats. Tāpat pārzinim ir jāpārliecinās par likumisko pārstāvju identifikāciju, izrakstot izziņas. Tas nozīmē, ka nepietiek tikai ar to, ka nepilngadīgais atnes izziņu, datu pārzinim ir jāpārbauda likumiskā pārstāvja identitāte.

9. Publiskām iestādēm un struktūrām datu aizsardzības speciālists būs obligāta prasība, citām juridiskām personām tas varēs būt datu aizsardzības speciālists kā atsevišķs darbinieks vai cits darbinieks, kura amata aprakstā būs noteikti datu aizsardzības pienākumi un, kas būtiski, viņa darba laikā tiešām ir laiks datu aizsardzības pienākumu veikšanai. Šī atruna palīdzēs kontrolēt situācijas, kad datu aizsardzības pienākumi uzlikti darbiniekam, kuram nav laika šos pienākumus veikt. Šis nozīmē, ka rezultātā šie noteikumi prasīs juridiskām personām papildus resursus.

10. Ietekmēs novērtējums ir svarīgs process, ko ir svarīgi veikt, ja nav pārliecības par datu apstrādes procesiem. Saskaņā ar regulā noteikto pārzinim (ne tikai valsts un pašvaldību iestādēm) būs primāri jāizvērtē personas datu apstrādes veids, jo īpaši ņemot vērā riskus, kas varētu tikt radīti izmantojot jaunās tehnoloģijas. Pārzinis pirms personas datu apstrādes veic novērtējumu par to, kā pārziņa plānotās apstrādes darbības ietekmēs personas datu aizsardzību – novērtējums par ietekmi uz datu aizsardzību. Uzraudzības iestādē (Datu valsts inspekcijā) tiks izstrādāti un publicēti saraksti ar tiem apstrādes darbības veidiem, attiecībā uz kuriem jāveic novērtējums par ietekmi uz datu aizsardzību. Šī novērtējuma veikšana būs viena no iespējām, lai izvairītos no personas datu aizsardzības pārkāpumu pieļaušanas. Piemēram, ja ir darbinieki un tiek veikta darbinieku uzraudzība, tad novērtējums ir vajadzīgs. Bet, ja piemēram, mājaslapā tiek ievākti tikai e-pasti (bez vārdiem, uzvārdiem), lai pēc tam izsūtītu organizācijas ziņu lapu, tad novērtējums nav vajadzīgs.

11. Datu subjektam aizpildot anketas ir jābūt iespējai vienus datus norādīt un no citu datu norādīšanas attiekties gadījumos, ja datu apstrāde ir balstīta uz datu subjekta piekrišanu. Nedrīkstēs vairs būt obligāti ieķeksējami lodziņi, ja neieķeksēs, tad tālāk konkrēto aptauju aizpildīt nevar. Uzreiz var pateikt, ka šis varētu radīt problēmas, piemēram, LJP ikgadējās biedru anketēšanas laikā. Jo, piemēram, datu subjekts var piekrist norādīt vārdu, uzvārdu, darba e-pastu un atteikties norādīt telefona numuru, personas kodu, cita veida informāciju. Un LJP kā datu pārzinim ir jāpiedāvā iespēja atteikties no kādu datu neiesniegšanas, kas nozīmē, ka nedrīkstēs norādīt, ka visi dati iesniedzami obligāti. Obligāti šādas prasības strādās, ja būs pieņemts kāds normatīvais akts, kurā būs noteikts tas, kādi ikgadējie dati biedriem ir jāsniedz par sevi LJP birojam. Tad būs tiesiskais pamats datus ievākt un atsevišķa datu subjekta piekrišana nebūs vajadzīga.

12. Datu subjekta piekrišana var tikt sniegta elektroniski, piemēram, atzīmējot to piekrišanas lodziņā, veicot tehnisko iestatījumu izvēli vai citu aktīvu rīcību, kas norādītu uz faktu, ka datu subjekts piekrīt savu personas datu apstrādei. Datu pārziņiem ir jāņem vērā, ka jebkādai piekrišanas formai ir jābūt izteiktai ar kādu datu subjekta darbību. Līdz ar to datu subjekta klusēšanu, iepriekš atzīmētu laukumu neatzīmēšanu vai datu subjekta bezdarbību atbilstoši Regulai nevarēs izmantot kā likumīgu datu subjekta piekrišanu tā personas datu apstrādei. Šis nozīmē, ka "klusēšana nav piekrišana". Tātad svarīgi saprast, ka iepriekš atzīmēts piekrišanas lodziņš, klusēšana vai bezdarbība nevar tikt izmantota kā datu subjekta piekrišana. Tikai ar apstiprinošu darbību var iegūt nepārprotamu norādi uz datu subjekta vēlmi viņa personas datu apstrādei.

13. Pārzinim ir jāglabā katra piekrišana, kas ir saņemta no datu subjekta. Dīvaina ir Regulas prasība, ka saņemot mutisku piekrišanu, būtu ieteicams veikt tam rakstisku apstiprinājumu, lai varētu izpildīt Vispārīgās datu aizsardzības regulas nosacījumu spēt pierādīt datu subjekta piekrišanas saņemšanu. Dīvaini ir tas, ka jaunā Regula atļauj izteikt datu subjektam mutiski savu prasījumu datu pārzinim, taču citā pantā ir noteikts, ka, labāk tomēr visu noformēt rakstiski.

14. Svarīgi ir tas, ka datu pārzinim jānodrošina, ka ierakstos par datu subjekta piekrišanu jābūt norādītam, kurš datu subjekts ir piekritis, kad ir piekritis, kam ir piekritis, kādā formā ir sniedzis piekrišanu un vai datu subjekts nav atsaucis savu piekrišanu. Ja piekrišana ir rakstiska, piekrišanas formu var saglabāt papīra formātā. Savukārt, elektroniski pieprasītas piekrišanas gadījumā pārzinim jāspēj pierādīt saņemto datu integritāti (nemainīgumu).

15. Datu subjektam ir jāsaprot, kas ievāc datus un kas apstrādā. Informācijai jābūt skaidrā un saprotamā valodā. Tas nozīmē, ka visās parakstu lapās jābūt skaidrai un salasāmai informācijai, kas ievāc un apstrādā datus. Nevar būs mazi, gandrīz neredzami, teksti kaut kur lapas apakšā. Būtiski, ka arī bērns jeb nepilngadīgais, izsakot savu piekrišanu, saprot to, kam viņš piekrīt.

16. Ja datu subjekta piekrišana personas datu apstrādei ietver arī sadaļu par komerciālu paziņojumu, tad jābūt atsevišķai piekrišanai. Tas nozīmē, ka, ja LJP ievāc ikgadējais personas datus biedru informācijas atjaunošanai un anketas beigās piedāvā, ka Jūsu dati tiks izmantoti arī informācijas LJP maksas pakalpojumu sniegšanas ietvaros, tad jābūt atsevišķai piekrišanai par datiem biedru informācijas iesniegšanai un atsevišķai piekrišanai par informācijas sniegšanu LJP maksas pakalpojumu sniegšanas ietvaros.

17. Datu valsts inspekcija informēja, ka "konsultē vispirms" princips tiks ievērots pirms soda uzlikšanas.

18. Ja nevar tiesiski pamatot personas datu ievākšanu, tas ir pārkāpums. Datu aizsardzība ir sarežģīta joma. Datu valsts inspekcija informēja, ka šajā jomā katrs gadījums tiek vērtēts atsevišķi.

19. Līdz ar jauno datu regulu, gadījumos, kad Jums zvana kāds uzņēmums un piedāvā pakalpojumus un Jūs neziniet kā viņi Jūsu telefona numuru ieguvuši, bet to pajautājiet to, tad, ir 2 varianti: pirmais - ja uzņēmums saka, ka nezina, kam numurs pieder, tad viss kārtībā. Jo tikai telefona numurs, bet identifikācijas nav personas dati. Bet otrais variants - ja uzņēmums norāda Jūsu vārdu vai citu informāciju, Jums ir tiesības lūgt (vislabāk gan rakstiski) dzēst šo informāciju no uzņēmuma datu bāzes.

20. Izplatītākie datu aizsardzības pārkāpumi mūsu jomā:

  • Dokumentu nepilnīga iznīcināšana (dati jāiznīcina tā, lai nevar saprast neko, smalki jāsaplēš).
  • Darba devējs nedrīkst prasīt vairāk informāciju par to, ko sniedz ģimenes ārsts.
  • Atsauksmju iegūšana no iepriekšējās darba vietas nedrīkst notikt bez datu subjekta atļaujas. Nedrīkst arī sniegt atsauksmi, ja datu subjekts nav devis atļauju.
  • Audio ierakstu var veikt, ja par to informē. Ja kaut viens nepiekrīt, tad nevar veikt audio. Izņēmumi ir gadījumi, ja normatīvā aktā ir noteikts, ka, piemēram, valdes sēdes tiek protokolētas, var tikt veikts audio un video ieraksts, vai citas atrunas normatīvajos aktos. Šādos gadījumos pieņem zināšanai informāciju par tiem, kas nepiekrīt veikt audio, bet to var turpināt veikt, ja vairākums tam piekrīt. Ja ir likumisks pamats, tad audio var veikt arī, ja kāds nepiekrīt.
  • Darba devējiem ir tiesības veikt darbinieku darba e-pastu kontroli, par to pirms tam informējot. Ja ir personas vai sensitīvu datu nopludināšana vai informācijas nopludināšana, tad var veikt pārbaudi nebrīdinot.
  • Pases kopēt Latvijā var tikai bankas un augstskolas, tas noteikts "Fizisko personas datu aizsardzības likumā". Ja datu subjekts pats nosūta savu pases kopiju, kura nav bijusi vajadzīga, datu pārzinim par to jāinformē datu subjekts un jāinformē, ka tā tiks sūtīta atpakaļ vai to var saņemt atpakaļ. Citādi, ja nenotiek šāda rīcība, ir jāspēj pamatot kāpēc šādi dati tiks apstrādāti, uzglabāti un kā iznīcināti.
  • Personas datus nedrīkst publicēt internetā.
  • Videonovērošana, neinformējot datu subjektus, ir pārkāpums.
  • Privāto e-pastu nosūtīšana vairākiem adresātiem, atklājot visu saņēmēju e-pastu adreses, ir pārkāpums.
  • Citas fiziskas personas datu norādīšana savu personas datu vietā (piemēram, lai izvairītos no atbildības) ir pārkāpums.
  • Darbinieku, klientu personas kodu atklāšana citiem darbiniekiem, klientiem ir pārkāpums.
  • Klientu personas kodu pārdošana/atdošana sadarbības partneriem ir pārkāpums.
  • Līgumu noslēgšana, nepārliecinoties par līgumslēdzēju identitāti, ir pārkāpums.

21. Amatpersonu tiesības uz privāto dzīvi ir ierobežotas līdz ar izvēli kļūt par amatpersonu. Informējot, ka tiek veikts video ieraksts, amatpersonas ir tiesības filmēt. Pasākumos, kuros ir gan amatpersonas, gan citi datu subjekti, tad tiesības ir filmēt tikai amatpersonas. Šis, protams, attiecas tikai uz darba laiku.

22. Daudzas lietas datu aizsardzībā nav nekas jauns. Arī pati regula nav nekas revolucionārs un jauns, bet tikai nākamais solis, ņemot vērā tehnoloģiju attīstības tendences. Datu valsts inspekcijai būs lielākas pilnvaras, ir palielināti arī sodi, kā arī Datu valsts inspekcija lūgusi valdību būtiski palielināt tās kapacitāti, kas nozīmē, ka kontrole tikai pastiprināsies. 

23. Interesanti, ka Datu valsts inspekcijas pārstāvis minēja, ka kolēģu aprunāšana un runāšana par kolēģiem citu personu klātbūtnē ir personas datu apstrāde. Tas nozīmē, ka ja Datu valsts inspektoru klātbūtnē pārrunātu informāciju, kas satur personas datus, tad viņi varētu pajautāt mūsu tiesisko pamatu un mērķi šo datu apstrādei!

PIELIKUMĀ pievienots noderīgs, taču apjomīgus materiālus - prezentāciju uz 78 slaidiem un Vispārīgo datu aizsardzības regulu uz 88 lapām!

Ārējās vietnes
Atbalstītāji

Aktuāli