Datu aizsardzība nezaudē aktualitāti

Par jaunākajām aktualitātēm datu aizsardzības jomā Datu aizsardzības dienai¹ veltītajā vebinārā „Datu aizsardzība 2023. gadā” informēja Zvērinātu advokātu biroja (ZAB) Sorainen speciālisti. Starp vebinārā aplūkotajiem tematiem bija tādi kā datu aizsardzības prasības darba laika uzskaitē; prasības, kas jāņem vērā, izvēloties uzticamus pakalpojumu sniedzējus un sadarbības partnerus; kā arī tika analizēts, kādos gadījumos ir iespējams tiesāties, apstrīdot Datu valsts inspekcijas (DVI) piemēroto sodu.

1 Katru gadu 28. janvārī tiek atzīmēta Datu aizsardzības diena, kuras mērķis ir palielināt sabiedrības informētību un veicināt privātuma un datu aizsardzības labo praksi. 

Datu aizsardzības jaunumi

Atskatoties uz pēdējo mēnešu jaunumiem, redzams, ka gan Eiropas Savienības (ES), gan nacionālajā līmenī notiek aktīvs darbs pie regulējuma izstrādes personas datu atkārtotai izmantošanai. 

ES 2022. gadā ir izdevusi tā dēvēto Datu pārvaldības aktu (Data Governance Act), kas kļūs piemērojams 2023. gada septembrī. Viens no tā mērķiem ir palielināt atkārtotai izmantošanai pieejamo datu apjomu ES, ļaujot publiskā sektora datus izmantot mērķiem, kas atšķiras no tiem, kuriem dati sākotnēji tika vākti. Akts paredz mehānismus, kas ļaus atkārtoti izmantot noteiktas publiskā sektora datu kategorijas, kas ir aizsargātas ar citu personu tiesībām, jo īpaši komerciālās konfidencialitātes, trešo personu intelektuālā īpašuma tiesību aizsardzības vai personas datu aizsardzības apsvērumu dēļ.

2 Saeimas Sociālo un darba lietu komisijas izstrādātais likumprojekts „Datu otrreizējās izmantošanas likums” Saeimā 1. lasījumā tika izskatīts 2022. gada 20. oktobrī.

Savukārt Latvijā pašlaik notiek darbs pie Datu otrreizējās izmantošanas likuma izstrādes. Iecerēts, ka likums padarīs iespējamu personas datu otrreizēju apstrādi bez datu subjekta piekrišanas gadījumos, kad otrreiz izmantojamo datu izmantošana paredzēta zinātniskai pētniecībai, produktu un pakalpojumu izstrādei un inovācijām, algoritmu apmācībai, testēšanai un novērtēšanai, personalizētai veselības aprūpei, lai nodrošinātu sabiedriski nozīmīga labuma gūšanu. Pašlaik likumprojekts atrodas Saeimā un ir izskatīts pirmajā lasījumā².

Tāpat ES noris aktīvs darbs pie ES Mākslīgā intelekta akta izstrādes. Mākslīgā intelekta joma visā pasaulē piedzīvo izrāvienu un raisa pastiprinātu sabiedrības uzmanību. Ir sagaidāms, ka šogad uzzināsim par šī normatīvā akta tālāku virzību. 

Svarīgi, piesaistot pakalpojumu sniedzējus un sadarbības partnerus 

3 Eiropas Parlamenta un Padomes regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK.

Runājot par svarīgākajiem apsvērumiem, kam pievērst uzmanību, piesaistot pakalpojumu sniedzējus un sadarbības partnerus, jāņem vērā, ka gandrīz jebkurš līgums ietver personas datus un sadarbībā starp dažādiem uzņēmumiem notiek lielāka vai mazāka apmaiņa ar personas datiem. Ir līgumi un sadarbība, kuru ietvaros var būt jānodod personas dati partnerim, un personas datu apstrāde ir šāda līguma priekšmets vai būtiska daļa. Ir arī līgumi un sadarbība, kuru ietvaros it kā personas dati netiek nodoti, vienlaikus katrā līgumā parādās personas dati vismaz tiktāl, ciktāl attiecināmi uz līguma parakstītājiem vai kontaktpersonām – fiziskām personām. Ir diskutējams, ciktāl Vispārīgā datu aizsardzības regulas³ (VDAR) noteikumi piemērojami šādai minimālai datu apmaiņai, jo VDAR preambulas 14. punkts paredz: „Šī regula neattiecas uz tādu personas datu apstrādi, kas skar juridiskas personas un jo īpaši uzņēmumus, kuriem ir juridiskas personas statuss, tostarp juridiskās personas nosaukumu, uzņēmējdarbības formu un kontaktinformāciju.”  Tomēr iespējama arī interpretācija, ka „kontaktinformācija” šī punkta izpratnē ir tāda informācija, kas nesatur tiešas norādes uz identificējamo fizisko personu, piemēram, e–pasta adrese [email protected]. Savukārt, ja kontaktinformācijā ietverti identificējamas fiziskas personas dati, piemēram, [email protected], tad tomēr vajadzētu vismaz minimālā mērā VDAR principus uz šiem personas datiem attiecināt – neizmantot, piemēram, tos ārpus konkrētā līguma vai sadarbības mērķiem. Tādēļ, lai nebūtu pārpratumu, ikreiz ieteicams iegūt pārliecību, ka sadarbības partneris saprot, kas ir personas dati un kas ir atbilstība VDAR. Tam var palīdzēt kaut vai elementāra partnera reputācijas izpēte, izmantojot publiski pieejamus avotus: Uzņēmumu reģistra datubāzes, interneta meklētājus. Vērts pievērst uzmanību, vai sadarbības partnerim nav jau kāda negatīva vēsture saistībā ar DVI. Tāpat laba zīme būtu datu aizsardzības speciālista esamība.

Ko, kurš un kāpēc dara ar datiem? 

Svarīgi ir atcerēties, ka pienākumus, apstrādājot personas datus, nosaka VDAR, nevis pušu starpā noslēgts līgums. Jāņem vērā, ka nepareizs pienākumu sadalījums personas datu apstrādē var novest pie datu subjektu, tajā skaitā sadarbības partneru darbinieku vai klientu, tiesību aizskāruma. VDAR nosaka trīs iespējamās lomas: datu pārzinis, datu apstrādātājs un koppārzinis, tāpat VDAR paredz konkrētu atbildību un pienākumus katrai lomai.

Datu pārzinis

Datu pārzinis nosaka datu apstrādes mērķi un apstrādes līdzekļus – sniedz atbildes uz jautājumiem, „kāpēc” un „kā” ir jāveic konkrētā datu apstrāde. Datu pārzinis var deleģēt datu apstrādi kādam citam. Piemēram, sadarbības partneris veic datu apstrādi, īstenojot pasūtītāja kā datu pārziņa uzdevumus. Taču ir svarīgi atcerēties, ka pārzinim jāizmanto tikai tādi apstrādātāji, kas sniedz pietiekamas garantijas, ka apstrādē tiks ievērotas VDAR prasības. Par kaitējumu personas datu apstrādes rezultātā parasti ir atbildīgs pārzinis. 

Datu apstrādātājs

Bieži vien pārzinis un apstrādātājs ir viena un tā pati persona, taču apstrādātājs var būt arī cita persona, kas apstrādā datus pārziņa vārdā vai uzdevumā. Apstrādātājs pats nenosaka mērķus un līdzekļus, tas ir, nav pieņēmis lēmumu, kāpēc un kā šie dati ir jāapstrādā. Tipiska apstrādātāju darbība ir IT pakalpojumu sniegšana, tostarp datu glabāšana mākoņkrātuvē. Starp datu pārzini un apstrādāju ir jānoslēdz līgums, kas ir abiem saistošs un kurā norāda vismaz līguma priekšmetu, apstrādes ilgumu, apstrādes raksturu, nolūku, personas datu veidu un datu subjektu kategorijas un pārziņa pienākumus un tiesības (obligātās datu apstrādes prasības līguma prasības norādītas VDAR 28. pantā). Apstrādātājs ir atbildīgs par kaitējumu tikai tad, ja nav izpildījis VDAR paredzētos pienākumus, kas konkrēti adresēti apstrādātājam, vai ja rīkojies neatbilstīgi vai pretēji pārziņa likumīgiem norādījumiem.

Koppārzinis 

Kopīgs datu pārzinis rodas situācijā, kad ir divi vai vairāki pārziņi, kuri kopīgi nosaka apstrādes mērķus un veidus. Piemēram, uzņēmums, ja kopā ar vienu vai vairākām citām organizācijām kopīgi lemj par to, kāpēc un kā personas dati jāapstrādā. Kopīgiem pārziņiem savā starpā ir jāvienojas, nosakot savus attiecīgos pienākumus, lai ievērotu VDAR noteikumus. Par šīs vienošanās galvenajiem aspektiem ir jāinformē tās fiziskās personas, kuru personas dati tiek apstrādāti. Piemēram, atbilstoši Eiropas Savienības Tiesas judikatūrai, koppārziņu attiecības var veidoties, ja uzņēmums veido savu vietni sociālajā tīklā, izmantojot sociālā tīkla piedāvātos iestatījumus, tomēr tos pielāgojot pēc saviem ieskatiem. 

Sadarbības partneris no trešās valsts – dubulta uzmanība

Nosūtot personas datus uz trešajām valstīm, ir jānodrošina līdzvērtīgs personas datu aizsardzības līmenis ES esošajam. Tādēļ VDAR ir noteikti konkrēti alternatīvi nosacījumi, kad personas datus var nosūtīt uz trešajām valstīm. 

Kā viens no šādiem nosacījumiem ir Eiropas Komisijas pieņemtais lēmums, ka trešā valsts, tās teritorija, viens vai vairāk sektoru, vai attiecīgā starptautiskā organizācija nodrošina pietiekamu datu aizsardzības līmeni. Šādā gadījumā nosūtīšanai nav nepieciešama īpaša atļauja. Pašlaik Eiropas Komisija ir pieņēmusi lēmumu attiecībā uz Andoru, Argentīnu, Kanādu, Fēru salām, Gērnsiju, Izraēlu, Menas salu, Japānu, Džersiju, Jaunzēlandi, Korejas Republiku, Šveici, Apvienoto Karalisti un Urugvaju.

Ja šāds lēmums nav pieņemts, tad personas datus var nosūtīt vien gadījumos, ja nosūtīšana ir pamatota ar vismaz vienu atbilstošu garantiju. Proti, līgumos ir iekļautas standarta klauzulas, īpašas līguma klauzulas, ir izstrādāti saistošie uzņēmumu noteikumi, rīcības kodeksi un sertifikācijas kodeksi. Atkāpes no Eiropas Komisijas lēmuma par trešo valsti vai atbilstošām papildu garantijām ir iespējamas vien īpašos gadījumos. Piemēram, ja attiecīgā persona ir nepārprotami piekritusi ierosinātajai datu pārsūtīšanai pēc tam, kad tai ir sniegta informācija par iespējamiem riskiem, ko šāda nosūtīšana var radīt atbilstošu drošības garantiju trūkuma dēļ, vai ja datu nosūtīšana ir sabiedrības interesēs, kā arī citos VDAR 49. pantā uzskaitītajos gadījumos.

Darba laika uzskaite un personas datu aizsardzība

Datu aizsardzības vebinārā zvērināts advokāts, sertificēts datu aizsardzības speciālists Andis Burkevics vairāk pievērsās datu aizsardzības tematikai, kas saistīta ar darba laika uzskaiti.

Darba likuma 137. panta pirmajā daļā noteikts darba devēja pienākums precīzi uzskaitīt katra darbinieka nostrādātās stundas kopumā, kā arī atsevišķi virsstundas, darbu nakts laikā, nedēļas atpūtas laikā un svētku dienās nostrādātās stundas, kā arī dīkstāves laiku. Darba laika uzskaite vistiešākajā veidā saistīta gan ar darbinieka darba samaksu, gan ar darba un atpūtas režīma ievērošanu.

Attiecībā uz veidu, kādā darba laika uzskaite veicama, darba devējam ir brīva izvēle, taču arī šeit svarīgi ievērot datu apstrādes principus – minimizēšana, datu apstrādes pārskatāmība. Šie principi sasaucas arī ar Eiropas Savienības Tiesas 2019. gada 14. maija spriedumu lietā C55/18, kur īpaši uzsvērts, ka darba laika uzskaites sistēmai jābūt objektīvai, uzticamai un pieejamai. 

Ja darba laika uzskaitei tiek izmantoti tehniski līdzekļi, svarīgi pārliecināties, ka darba devējs neievāc vairāk informācijas, nekā nepieciešams. Piemēram, vai, uzskaitot darba laiku, netiek novērotas darbinieka veiktās darbības darba datorā. Tāpat darbiniekam ir jābūt informētam, kādā veidā darba devējs veic darba laika uzskaiti, un darbiniekam ir tiesības paļauties, ka šim datu apstrādes mērķim netiks izmantoti tam neparedzēti un darbinieku privātumu pārlieku ierobežojoši līdzekļi, piemēram, videonovērošana.

Lai arī tiesības piekļūt saviem personas datiem ir vienas no svarīgākajām datu subjekta tiesībām, attiecībā uz darba laika uzskaiti Darba likumā vēl īpaši paredzēts, ka darbiniekam ir tiesības personiski vai ar darbinieku pārstāvju starpniecību pārbaudīt darba devēja veikto darba laika uzskaiti. It īpaši gadījumos, kad darbinieks veic darbu ārpus darba devēja tiešas kontroles, piemēram, attālināti, būtu pieļaujams darba laika uzskaiti veikt pēc paša darbinieka sniegtās informācijas.

Materiāls tapis sadarbībā ar SORAINEN

Publicēts žurnāla “Bilances Juridiskie Padomi” 2023. gada aprīļa (118.) numurā.