Pēdējo nedēļu laikā daudzi uzņēmumi vēršas pie klientiem, lai saņemtu piekrišanu personas datu apstrādei. Žurnāla BILANCES JURIDISKIE PADOMI maija numurā publicēts Squalio Group juristes Marinas Kurgalovas un vadošās juristes Elīnas Girnes sagatavotais raksts "Fiziskās personas – datu subjekta piekrišanas labirinti". Autores norāda, ka "piekrišanas jēdziens, kurš līdz šim tika definēts un līdz 25. maijam tiks izmantots, ir paplašināts un kļuvis daudz specifiskāks. Proti, datu subjekta piekrišana ir “jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei” (Regula, 4. panta 11. punkts).

Sniedzam ieskatu raksta fragmentā, kas skaidro, kā saprotams "viennozīmīga" norāde.

Piekrišanai ir nepieciešams datu subjekta paziņojums, un tā jādod ar skaidri apstiprinošu darbību, piemēram, ar rakstisku, tostarp elektronisku, vai mutisku paziņojumu. Tas var ietvert laukuma atzīmēšanu ar ķeksīti interneta vietnē, kurš nedrīkst būt iepriekš atzīmēts, vai citu paziņojumu vai rīcību, kas skaidri norāda, ka datu subjekts piekrīt piedāvātajai datu apstrādei.

Piekrišana pēc noklusējuma, iepriekš atzīmēti laukumi vai atturēšanās no darbības netiek uzskatīti par piekrišanu.

Ja datu subjekta piekrišana ir jādod pēc elektroniska pieprasījuma, pieprasījumam jābūt skaidram, kodolīgam, un tam nav nevajadzīgi jāpārtrauc tā pakalpojuma izmantošana, par ko tas tiek sniegts.[1]

Datu pārzinim ir jānodrošina, lai piekrišanas saņemšana nenotiek vienlaikus ar līguma noslēgšanu vai piekrītot vispārīgiem noteikumiem. Vienkārša vispārīgo noteikumu apstiprināšana nevar tikt uzskatīta par skaidru, apstiprinošu darbību attiecībā uz piekrišanas sniegšanu datu apstrādei.

Tomēr datu pārziņiem ir dotas tiesības brīvi izvēlēties, kādā veidā datu subjekts var sniegt savu piekrišanu digitālajā vidē. Fiziskas kustības arī var tikt interpretētas kā skaidra un apstiprinoša darbība. Kā piemēru var minēt elektronisko pakalpojumu sniedzēju izstrādātu mehānismu:

Apliecinot piekrišanu nodot savus datus apstrādei, datu subjekts pamāj telefona kameras priekšā. Šādi saņemta piekrišana ir likumīga ar nosacījumu, ka par šādu kārtību ir sniegta informācija, un ir skaidrs, ka šāda kustība nozīmē piekrišanu konkrētam pieprasījumam.

Regula ievieš pienākumu pārzinim uzskatāmi pierādīt, ka datu subjekts ir piekritis savu personas datu apstrādei.[2] Pierādīšanas pienākums gulstas uz datu pārzini. Tas savukārt nozīmē, ka datu pārziņa rīcībā jābūt pietiekami daudz datiem, kas parāda saiti starp apstrādi un piekrišanu, tomēr pārzinim nevajadzētu vākt vairāk informācijas, nekā nepieciešams. Regula precīzi nenosaka, kādā veidā tas ir izdarāms. Pienākums pierādīt piekrišanas saņemšanu ilgst, kamēr notiek datu apstrāde. Pēc apstrādes beigām šāds pierādījums jāglabā ne ilgāk par laiku, kas nepieciešams juridiskā pienākuma izpildei, kā arī lai celtu, īstenotu vai aizstāvētu juridiskās prasības. Tā kā speciālu noilguma termiņu šādām no personas datu apstrādes izrietošām tiesībām Latvijas normatīvie akti neparedz, tad var pieņemt, ka prasījumi datu apstrādes sakarā noilgst vispārējā kārtībā, proti, 10 gados.

Ja datu apstrādes darbības ievērojami mainās, sākotnēji dotā piekrišana vairs nav derīga un pārzinim ir jāsaņem jauna piekrišana. 29. panta Darba grupa iesaka atjaunot saņemto piekrišanu ar atbilstošiem intervāliem. Atkārtoti sniegta datu apstrādes informācija palīdz nodrošināt, ka datu subjekts ir labi informēts par to, kā tiek izmantoti viņa dati un kā realizēt savas tiesības.[3] Jebkurā gadījumā datu pārzinim ir nepieciešams ievērot likumīgas, godīgas un pārredzamas apstrādes principu.

[1] Regula, 32. apsvērums.

[2] Regula, 7. panta 1. punkts.

[3] 29. panta Darba grupas vadlīnijas 17/EN WP259 Par piekrišanu saskaņā ar Regulu 2016/679, 28.11.2017.