Eiropas Savienības Tiesā (EST) 2023. gada novembrī un decembrī ir pieņemti tiesību normu piemērotājiem noderīgi spriedumi personas datu apstrādes un darba lietās. Rakstā aplūkotās lietas EST tika skatītas atbilstoši Līguma par Eiropas Savienības darbību (LESD) 267. pantam, t.i., sniedzot prejudiciālo nolēmumu. 

Personas datu apstrāde, kopīga atbildība par apstrādi un administratīvo naudas sodu piemērošana¹

Lietā skatīts jautājums par nacionālās datu aizsardzības uzraudzības iestādes (Lietuvas) tiesībām uzlikt administratīvo sodu. Covid–19 vīrusa pandēmijas laikā Lietuvas Republikas veselības ministrs uzdeva Nacionālās sabiedrības veselības centram (NSVC), organizēt tūlītēju informātikas sistēmas iegādi, lai reģistrētu un uzraudzītu datus par personām, kas saskārušās ar šo vīrusu. 

NSVC ar privātas sabiedrības UAB IT Sprendimai sėkmei (turpmāk – sabiedrība ITSS) palīdzību izveidoja mobilo lietotni. Mobilās lietotnes tapšanas gaitā tika izstrādāti privātuma aizsardzības noteikumi, kuros sabiedrība ITSS un NSVC tika noteikti par pārziņiem. Attiecīgā mobilā lietotne, kurā minēta sabiedrība ITSS un NSVC, no 2020. gada 4. aprīļa līdz 26. maijam bija pieejama lejupielādei tiešsaistes veikalos (Google Play Store un App Store). Šajā laikā 3802 personas izmantoja lietotni un sniedza savus datus, piemēram, identifikācijas numuru, ģeogrāfiskās koordinātas, valsti, pilsētu, pašvaldību, pasta indeksu, ielas nosaukumu, mājas numuru, uzvārdu, vārdu, personas kodu, tālruņa numuru un adresi.

NSVC darbinieki lietotnes izstrādes stadijā sūtīja sabiedrībai ITSS e–pasta vēstules par informāciju, kas būtu iekļaujama mobilajā lietotnē. NSVC vēlējās arī iegādāties mobilo lietotni no sabiedrības ITSS, tomēr iepirkuma procedūras netika pabeigtas un nekādi līgumi netika noslēgti.

Lietuvas nacionālā datu aizsardzības uzraudzības iestāde, veicot personas datu apstrādes iespējamā pārkāpuma izmeklēšanu, konstatēja, ka, izmantojot attiecīgo mobilo lietotni, ir savākti personas dati. Lietotāji, kas bija izvēlējušies šo lietotni kā uzraudzības metodi izolācijai, kura Covid–19 pandēmijas dēļ bija obligāta, bija atbildējuši uz jautājumiem, kas ietver personas datu apstrādi, un tie citastarp attiecās uz datu subjekta veselības stāvokli un to, vai subjekts ievēro izolācijas nosacījumus. 

Lietuvas nacionālā datu aizsardzības uzraudzības iestāde saskaņā ar VDAR² 83. pantu piemēroja NSVC administratīvo naudas sodu 12 000 EUR apmērā par šīs regulas 5., 13., 24., 32. un 35. panta pārkāpumu, bet sabiedrībai ITSS kā kopīgajam pārzinim tika uzlikts administratīvais naudas sods 3000 EUR apmērā.

NSVC šo lēmumu apstrīdēja Administratīvajā apgabaltiesā, norādot, ka par vienīgo pārzini VDAR 4. panta 7. punkta izpratnē ir jāuzskata sabiedrība ITSS. Savukārt sabiedrība ITSS norādīja, ka tā ir darbojusies kā apstrādātājs VDAR 4. panta 8. punkta izpratnē un saistībā ar NSVC norādījumiem.

Nacionālā tiesa secināja, ka, pirmkārt, sabiedrība ITSS ir izveidojusi attiecīgo mobilo lietotni, bet NSVC to ir konsultējis par šajā lietotnē iekļaujamo jautājumu saturu, otrkārt, starp NSVC un sabiedrību ITSS nav publiskā iepirkuma līguma, treškārt, NSVC nav piekritis un nav atļāvis lietotni darīt pieejamu dažādos tiešsaistes veikalos. Mobilās lietotnes izveides mērķis bija īstenot NSVC izvirzīto mērķi, proti, ar informātikas rīka palīdzību pārvaldīt Covid–19 pandēmiju, un šajā nolūkā bija paredzēts apstrādāt personas datus. 

Ņemot vērā visus uzskaitītos apstākļus, Nacionālā tiesa vēlējās noskaidrot: kā interpretēt Regulas 679/2016 (turpmāk – VDAR) 4. panta 7. punktā minēto jēdzienu „pārzinis”(1.), kā interpretēt VDAR 26. panta 1. punktā minēto jēdzienu „kopīgi pārziņi”(2.), kā interpretēt VDAR 4. panta 2. punktā minēto jēdzienu „apstrāde” (3.), ja tiek veikta personas datu izmantošana mobilās lietotnes testēšanai, kā arī, vai VDAR 83. pants ir jāinterpretē tādējādi, ka, pirmkārt, administratīvs naudas sods atbilstoši šai normai var tikt uzlikts tikai tad, ja ir pierādīts, ka pārzinis šī panta 4.–6. punktā paredzēto pārkāpumu ir izdarījis „tīši vai aiz neuzmanības”, un, otrkārt, šāds naudas sods pārzinim var tikt uzlikts saistībā ar apstrādes darbībām, „ko tā vārdā veicis apstrādātājs” (4.).

(1.) EST secināja, ka: VDAR 4. panta 7. punktā jēdziens „pārzinis” ir definēts plaši kā fiziskā vai juridiskā persona, publiskā iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām „nosaka personas datu apstrādes nolūkus un līdzekļus. Līdz ar to, ir jāpārbauda, vai šī struktūra saviem mērķiem patiešām ir ietekmējusi šīs apstrādes nolūku un līdzekļu noteikšanu.

No EST judikatūras izriet, ka: „ikviena fiziska vai juridiska persona, kura saviem mērķiem ietekmē šādu datu apstrādi un tāpēc piedalās šīs apstrādes nolūku un mērķu noteikšanā, var tikt uzskatīta par minētās apstrādes pārzini. Tomēr nav nepieciešams, lai apstrādes nolūki un līdzekļi tiktu noteikti saskaņā ar pārziņa rakstveida pamatnostādnēm vai ieteikumiem”³ , ne arī tas, ka šī persona par tādu ir formāli iecelta.

No VDAR 4. panta 7. punktā, lasot to kopsakarā ar VDAR 74. apsvērumu, izriet, ka struktūra, ja tā atbilst minētajā 4. panta 7. punktā paredzētajam nosacījumam, ir atbildīga ne tikai par jebkādu personas datu apstrādi, kuru tā veic pati, bet arī par to, kas tiek veikta tās vārdā.

EST secināja, ka NSVC faktiski piedalījās apstrādes nolūku un līdzekļu noteikšanā, jo: 

1. NSVC pasūtīja mobilās lietotnes izveidi, nolūks bija īstenot izvirzīto mērķi, proti, ar informātikas rīka palīdzību pārvaldīt Covid–19 pandēmiju, reģistrēt un uzraudzīt personas datus;
2. NSVC bija paredzējis, ka šim mērķim tiks apstrādāti mobilās lietotnes lietotāju personas dati, kā arī uzdoti jautājumi, kuru formulējums tika pielāgots NSVC vajadzībām.

NSVC nevar tikt uzskatīts par personas datu apstrādes, kas izriet no attiecīgās mobilās lietotnes publiskošanas, pārzini, ja pirms šīs publiskošanas tas ir skaidri iebildis pret to, taču tas ir jāpārbauda iesniedzējtiesai. 

EST secināja: „par pārzini šīs tiesību normas izpratnē var tikt uzskatīta struktūra, kas uzņēmumam ir uzticējusi izstrādāt mobilo lietotni un kas šajā kontekstā ir piedalījusies ar šo lietotni veiktās personas datu apstrādes nolūku un līdzekļu noteikšanā, pat ja šī struktūra pati nav veikusi šādu datu apstrādes darbības, nav skaidri devusi piekrišanu konkrētu šādas apstrādes darbību veikšanai vai minētās mobilās lietotnes publiskošanai un nav iegādājusies šo mobilo lietotni, ja vien pirms šīs publiskošanas minētā struktūra nav skaidri iebildusi pret to un no tās izrietošo personas datu apstrādi.”

(2.) EST nosprieda, ka: VDAR 4. panta 7. punkts un 26. panta 1. punkts ir jāinterpretē tādējādi, ka, lai divas struktūras kvalificētu kā kopīgus pārziņus, nav nepieciešams, lai šīs struktūras būtu noslēgušas vienošanos par attiecīgo personas datu apstrādes nolūku un līdzekļu noteikšanu, ne arī, lai tās būtu noslēgušas vienošanos, kurā paredzēti nosacījumi kopīgai atbildībai par apstrādi. 

No EST judikatūras izriet, ka: saskaņā ar VDAR 26. panta 1. punktu „kopīgi pārziņi” ir tad, ja divi vai vairāki pārziņi kopīgi nosaka apstrādes mērķus [nolūkus] un veidus [līdzekļus]. Lai fizisku vai juridisku personu varētu uzskatīt par kopīgu pārzini, tai ir neatkarīgi jāatbilst VDAR 4. panta 7. punktā ietvertajai „pārziņa” definīcijai.⁴

EST savā judikatūrā ir konstatējusi: „kopīgas atbildības esamība ne vienmēr nozīmē, ka dažādie subjekti, uz kuriem attiecas personas datu apstrāde, ir vienlīdz atbildīgi. Gluži pretēji, šie subjekti var būt iesaistīti dažādos šīs apstrādes posmos un atšķirīgā apmērā, un tāpēc tas, cik lielā mērā katrs no tiem ir atbildīgs, ir jāvērtē, ņemot vērā visus būtiskos lietas apstākļus”.⁵ Turklāt netiek prasīts, lai gadījumā, kad par vienu apstrādi kopīgi atbild vairāki subjekti, attiecīgie personas dati būtu pieejami katram no tiem.⁶

(3.) Attiecībā uz VDAR 4. panta 2. punktu EST nosprieda, ka: „personas datu izmantošana mobilās lietotnes testēšanas vajadzībām ir „apstrāde” šīs tiesību normas izpratnē, ja vien šie dati nav anonimizēti tiktāl, ka datu subjekts, uz kuru attiecas šie dati, nav vai vairs nav identificējams, vai ja tie ir fiktīvi dati, kas neattiecas uz reālu fizisku personu.”

EST jau ir secinājusi: no vārdkopas „jebkura [..] darbība”, formulējuma tātad izriet, ka jēdzienu „apstrāde” Savienības likumdevējs ir vēlējies apveltīt ar plašu tvērumu,⁷ un ka iemesli, kuru dēļ tiek veikta darbība vai darbību kopums, nevar tikt ņemti vērā, lai noteiktu, vai šī darbība vai darbību kopums ir „apstrāde” VDAR 4. panta 2. punkta izpratnē.

„Personas datu kopija” – pats par sevi nevar liegt šīs kopijas uzskatīt par personas datiem VDAR 4. panta 1. punkta izpratnē, ja vien šādās kopijās patiešām ir informācija, kas attiecas uz identificētu vai identificējamu fizisku personu.

Personas dati VDAR 4. panta 1. punkta izpratnē nav: 

• fiktīvi dati, tā kā tie attiecas nevis uz identificētu vai identificējamu fizisku personu, bet gan uz personu, kura patiesībā nepastāv,
• dati, kas izmantoti lietotnes testēšanai un kas ir anonīmi vai ir anonimizēti.

No VDAR 4. panta 5. punkta, lasot to kopsakarā ar šīs regulas 26. apsvērumu, izriet, ka tikai pseidonimizēti personas dati, kurus, izmantojot papildu informāciju, ir iespējams saistīt ar kādu fizisku personu, ir jāuzskata par informāciju, kas attiecas uz identificējamu fizisku personu un kam ir piemērojami datu aizsardzības principi.

(4.) Savukārt par 83. pantu, kas noteic vispārīgos nosacījumus administratīvo naudas sodu piemērošanai, EST noteica: 

• „pirmkārt, administratīvo naudas sodu, piemērojot šo tiesību normu, var uzlikt tikai tad, ja ir pierādīts, ka pārzinis šī panta 4.–6. punktā paredzēto pārkāpumu ir izdarījis tīši vai aiz neuzmanības”;
• „otrkārt, šāds naudas sods var tikt uzlikts pārzinim saistībā ar personas datu apstrādes darbībām, ko apstrādātājs ir veicis tā vārdā, izņemot gadījumus, kad saistībā ar šīm darbībām minētais apstrādātājs ir veicis apstrādi savām vajadzībām vai ir apstrādājis šos datus ar pārziņa noteikto apstrādes sistēmu vai kārtību nesavietojamā veidā, vai tā, ka nevar pamatoti uzskatīt, ka šis pārzinis tam būtu piekritis.”

VDAR ir paredzēts gan līdzvērtīgs, gan viendabīgs aizsardzības līmenis, un šajā nolūkā tā ir jāpiemēro saskanīgi visā Savienībā, šim mērķim būtu pretrunā ļaut dalībvalstīm paredzēt šādu sistēmu naudas soda uzlikšanai, piemērojot minētās regulas 83. pantu. Turklāt šāda izvēles brīvība varētu izkropļot konkurenci starp saimnieciskās darbības subjektiem Savienībā, un tas būtu pretrunā mērķiem, ko Savienības likumdevējs citastarp ietvēris minētās regulas 9. un 13. apsvērumā.

Aizliegums diskriminēt reliģijas vai pārliecības dēļ, prasība saglabāt neitralitāti saziņā ar sabiedrību, priekšniecību un kolēģiem⁸

Persona strādā Beļģijas pašvaldībā, un ieņem biroja vadītājas amatu. Tādējādi persona ir nodarbināta publiskajā sektorā. Persona savus pienākumus veic, pārsvarā nebūdama saskarsmē ar sabiedrisko pakalpojumu lietotājiem. Lai arī daudzus gadus persona darba vietā ģērbās neitrālā apģērbā, tomēr 2021. gada sākumā persona lūdza atļaut nēsāt „galvas lakatu darba vietā”.

2021. gada sākumā pašvaldība noteica, ka visiem pašvaldības darbiniekiem darba vietā ir aizliegts nēsāt jebkādas redzamas pārliecības – tostarp reliģiskās vai filozofiskās – atšķirības zīmes, neatkarīgi no tā, vai viņi ir saskarsmē ar sabiedrību vai nav. 

Persona vērsās tiesā, lūdzot atzīt, ka ir tikusi pārkāpta viņas reliģijas brīvība; viņa izvirzīja prasību: apturēt individuālo lēmumu piemērošanu, kā arī apstrīdēja pamatlietā aplūkoto darba kārtības noteikumu grozījumus. Pamatojot šo prasību, persona apgalvo, ka ir tikusi diskriminēta reliģijas dēļ. 

Nacionālajai tiesai radās šaubas par to, vai Direktīvas 2000/78⁹ tiesību normām atbilst tāds darba kārtības noteikums kā pamatlietā aplūkotais, atbilstoši kam „izslēdzošas neitralitātes” pienākums ir attiecināts uz visiem publiskā sektora iestādes darbiniekiem, pat tiem, kuriem nav saskarsmes ar sabiedrisko pakalpojumu lietotājiem. Nacionālā tiesa vērsās pie EST ar lūgumu sniegt prejudiciālo nolēmumu.

EST, atsaucoties uz izveidojušos judikatūru, noteica: „Direktīvas 2000/78 1. pantā ietvertais jēdziens „reliģija” aptver gan forum internum, proti, uzskatu pastāvēšanu, gan forum externum, proti, reliģiskas ticības publisku paušanu”.¹⁰ „(..) No tā izriet, ka, lai piemērotu šo direktīvu, jēdzieni „reliģija” un „uzskati” ir analizējami kā viena un tā paša un vienīgā diskriminācijas iemesla divas puses”.¹¹

EST arī norādīja, ka: saskaņā ar Direktīvas 2000/78 3. panta 1. punktu šī direktīva ir piemērojama visām personām gan valsts, gan privātajā sektorā, tostarp valsts iestādēs, tāds noteikums kā pašvaldības darba kārtības noteikumu 9. pants ietilpst šīs direktīvas piemērošanas jomā.

Darba devēja pieņemts iekšējs noteikums, atbilstoši kuram darba vietā ir aizliegts nēsāt jebkādas redzamas pārliecības – tostarp filozofiskās vai reliģiskās – atšķirības zīmes, nav šāda tieša diskriminācija, jo šis noteikums vienādi attiecas uz jebkādu šādu uzskatu paušanu un ir vienādi attiecināms uz visiem uzņēmuma darbiniekiem, tiem vispārēji un vienādi nosakot citastarp neitrālu ģērbšanās veidu, kam ir pretrunā šādu zīmju nēsāšana.¹²

EST nolēma, ka Direktīvas 2000/78/EK 2. panta 2. punkta b) apakšpunkts ir jāinterpretē tādējādi, ka tādu pašvaldības iekšēju noteikumu, saskaņā ar kuru šīs pašvaldības darbiniekiem vispārīgi un nediferencēti ir aizliegts darba vietā nēsāt jebkādas redzamas pārliecības – tostarp filozofiskās vai reliģiskās – atšķirības zīmes, var attaisnot ar minētās pašvaldības vēlmi atbilstoši tās konkrētajam kontekstam izveidot pilnīgi neitrālu administratīvo vidi, ja vien šis noteikums ir piemērots, nepieciešams un samērīgs, ņemot vērā šo kontekstu un dažādās esošās tiesības un intereses.

Publicēts žurnāla “Bilances Juridiskie Padomi” 2024. gada janvāra (127.) numurā.

BJP NUMURU E-ARHĪVS