0,00 EUR

Grozs ir tukšs.

0,00 EUR

Grozs ir tukšs.

BIZNESSLIETVEDĪBAKas jāievēro, apstrādājot uzņēmuma klientu un darbinieku datus?

Kas jāievēro, apstrādājot uzņēmuma klientu un darbinieku datus?

Ikars Kubliņš

Datu aizsardzība uzskatāma par ļoti būtisku uzņēmuma korporatīvās atbilstības (noteikumu komplekss, ko uzņēmuma darbinieki ikdienā ievēro) programmas daļu. Īpaši svarīga tā kļuvusi kopš Datu aizsardzības regulas pieņemšanas, jo, neievērojot vai pavirši izturoties pret datu aizsardzību, var rasties būtiski riski uzņēmuma ikdienas darbībai — no institūciju piespriestiem sodiem līdz zaudējumu atlīdzības prasībām un reputācijas problēmām.  Datu aizsardzības jomā svarīgi pievērst uzmanību attiecībām ar uzņēmuma darbiniekiem un klientiem. Šie temati tika apskatīti Zvērinātu advokātu biroja Sorainen organizētā seminārā "Datu aizsardzība uzņēmuma ikdienā".  Attiecības ar klientiem — komerciālo paziņojumu sūtīšana Komerciāls paziņojums ir jebkurš…


Lai turpinātu lasīt šo rakstu,
nepieciešams iegādāties abonementu

E-BILANCE par 12 € / mēnesī



ABONĒT


Izmēģini 30 dienas tikai par 1€ vai pērc komplektu esošā abonementa papildināšanai

Jau ir E-BILANCE abonements?

Pieslēdzies

Pierakstīties
Paziņot par
0 Komentāri
Iekļautās atsauksmes
Skatīt visus komentārus
Kas jāievēro, apstrādājot uzņēmuma klientu un darbinieku datus?
Foto: Edmond Dantès – Pexels

Datu aizsardzība uzskatāma par ļoti būtisku uzņēmuma korporatīvās atbilstības (noteikumu komplekss, ko uzņēmuma darbinieki ikdienā ievēro) programmas daļu. Īpaši svarīga tā kļuvusi kopš Datu aizsardzības regulas pieņemšanas, jo, neievērojot vai pavirši izturoties pret datu aizsardzību, var rasties būtiski riski uzņēmuma ikdienas darbībai — no institūciju piespriestiem sodiem līdz zaudējumu atlīdzības prasībām un reputācijas problēmām. 

Datu aizsardzības jomā svarīgi pievērst uzmanību attiecībām ar uzņēmuma darbiniekiem un klientiem. Šie temati tika apskatīti Zvērinātu advokātu biroja Sorainen organizētā seminārā "Datu aizsardzība uzņēmuma ikdienā". 

Attiecības ar klientiem — komerciālo paziņojumu sūtīšana

Komerciāls paziņojums ir jebkurš paziņojums elektroniskā veidā, kas paredzēts tiešai vai netiešai preču vai pakalpojumu reklamēšanai vai arī komersanta (organizācijas, personas tēla) reklamēšanai (izņemot datus, kas dod iespēju piekļūt vispārējai informācijai par pakalpojuma sniedzēju, piemēram, domēna vārds vai e–pasta adrese). 

Anna Bogdanova, Sorainen juriste un sertificēta personas datu aizsardzības speciāliste
Anna Bogdanova,
Sorainen juriste un sertificēta personas datu aizsardzības speciāliste
Foto: Kristaps Lapiks

Sūtot komerciālos paziņojumus, vienmēr jāizvērtē, kas ir to saņēmēji, jo attiecībā uz juridiskām un fiziskām personām pastāv dažādi nosacījumi. Juridiskām personām paziņojumus drīkst sūtīt līdz brīdim, kad juridiskā persona no tiem atsakās, taču fiziskām personām šādus paziņojumus drīkst sūtīt tikai tad, ja no tām saņemta skaidra piekrišana, seminārā informēja Anna Bogdanova, Sorainen juriste, sertificēta datu aizsardzības speciāliste. 

"Dzīvē tomēr ne vienmēr iespējams skaidri noteikt, kas ir adresāts, — robežas mēdz būt saplūdušas. Piemēram, ja e–pasta adrese veidota kā [email protected], rodas jautājums, vai šajā gadījumā ir runa par fizisku vai juridisku personu? Datu valsts inspekcija sniegusi skaidrojumu, ka pārsvarā šāds e–pasts būs uzskatāms par juridiskas personas datiem, tomēr, ja rodas šaubas, labāk to uzskatīt par fiziskas personas datiem," iesaka A. Bogdanova.

Divdomīga situācija nereti rodas arī ar pašnodarbināto personu definēšanu — vai tās uztvert kā fiziskas vai juridiskas personas? Finanšu nozares asociācija norādījusi, ka katrā situācijā jāizvērtē sadarbības konteksts, un, ja tas ir saistīts ar komercdarbību, tad pašnodarbinātās personas datus var uzskatīt par juridiskas personas datiem. 

Ne visus sešus Vispārīgajā datu aizsardzības regulā noteiktos tiesiskos pamatus personas datu apstrādei būtu iespējams piemērot komerciālu paziņojumu sūtīšanas gadījumā. Galvenokārt to varētu balstīt divos tiesiskajos pamatos, no tiem pirmais — jau minētā datu subjekta piekrišana, bet otrs — datu pārziņa leģitīmās intereses, ja komerciālie paziņojumi atbilst Informācijas sabiedrības pakalpojumu likuma 9. panta otrās daļas noteikumiem (tie gan attiecas tikai uz e–pastiem). 

Arī datu subjekta piekrišanai jābūt nevis šādai tādai, bet jāatbilst noteiktiem nosacījumiem. Pirmkārt, piekrišana ir jādod ar skaidri apstiprinošu darbību — tas nozīmē brīvi sniegtu, konkrētu, apzinātu un viennozīmīgu norādi. Piekrišanai ir jābūt informētai (datu subjektam jāzina, kam tieši tas piekrīt, — kāds saturs paziņojumos tiks iekļauts, kas būs sūtītāji; tas nozīmē, ka ar vienu piekrišanu nevar leģitimizēt komerciālu paziņojumu sūtīšanu no dažādām kompānijām — datu pārziņa sadarbības partneriem). Jāatceras, ka klusēšana, iepriekš atzīmēti laukumi vai atturēšanās no darbības nevar tikt traktēta kā piekrišana datu apstrādei.

Savukārt, ja paziņojumu sūtīšanas tiesiskais pamats ir pārziņa leģitīmās intereses (tas attiecas tikai uz e–pastiem, bet ne īsziņām), tad jāatceras, ka vienlaikus jāizpildās trim papildu nosacījumiem:

  1. paziņojumus var sūtīt tikai par līdzīgām precēm vai pakalpojumiem tām/tiem, par ko noticis sākotnējais abu pušu komercdarījums (piemēram, ja pircējs iegādājies veikalā putekļsūcēju, tad būtu pieļaujams izsūtīt komerciālu paziņojumu par veļas mašīnu vai citām sadzīves tehnikas precēm, bet ne, piemēram, informāciju par līzingu vai citiem finanšu pakalpojumiem); 
  2. pakalpojuma saņēmējs jau sākotnēji nav iebildis pret turpmāku e–pasta adreses izmantošanu;
  3. pakalpojuma saņēmējam katrā turpmākajā brīdī tiek dota nepārprotama bezmaksas iespēja (iesniedzot iesniegumu vai nosūtot paziņojumu elektroniski) atteikties no turpmākas e–pasta izmantošanas.

Visos gadījumos klientam ir jābūt viegli pieejamai iespējai atteikties no paziņojumu saņemšanas. Ir jābūt derīgam saziņas veidam (piemēram, e–pastam), caur ko persona var izmantot savas atteikuma tiesības. 

Paziņojumus par atteikšanos no komerciālo paziņojumu sūtīšanas drīkst uzglabāt tik ilgi, cik uzņēmumam tas ir nepieciešams. Savukārt, ja uzņēmums vispār atsakās no komerciālo paziņojumu sūtīšanas prakses, tad vēl gadiem ilgi uzglabāt šādu atteikšanos nebūtu saprātīgi, norāda A. Bogdanova. 

Kas jāņem vērā, ievācot informāciju par darbinieku?

Andis Burkevics, ZAB Sorainen vadošais speciālists, zvērināts advokāts, sertificēts personas datu aizsardzības speciālists
Andis Burkevics,
ZAB Sorainen
vadošais speciālists, zvērināts advokāts, sertificēts personas
datu aizsardzības
speciālists
Foto: Kristaps Lapiks

Par datu aizsardzību darba devēja un darbinieku attiecību kontekstā seminārā informēja Andis Burkevics, Sorainen vadošais speciālists, zvērināts advokāts, sertificēts personas datu aizsardzības speciālists. 

Viens no biežākajiem jautājumiem, kas nonāk darba devēja dienaskārtībā, — kādu informāciju tas ir tiesīgs vākt, uzglabāt, apstrādāt par darbinieku vai amata pretendentu? Uz šo jautājumu atbildi jau 2012. gadā sniedzis Augstākās tiesas Senāta spriedums lietā Nr. SKC 454/2012. "Doma ir ļoti vienkārša — darba devējs bez lielām bažām drīkst vākt tādu informāciju, kas objektīvi nepieciešama, lai nodrošinātu darba attiecību pastāvēšanu, un kas saistīta ar veicamo darbu," uzsver A. Burkevics.

Tas nozīmē, ka personāla atlases procesā nedrīkst uzdot jautājumus, kas nav tieši saistīti ar darba izpildi, piemēram, darbinieka veselības stāvoklis, piederība arodbiedrībai un tamlīdzīgi, tāpat nebūtu uzdodami jautājumi par pretendenta sodāmību vai kredītvēsturi. 

Vai darba devējs drīkst pēc savas iniciatīvas ievākt atsauksmes par kandidātu? Darba devēji nereti uzskata, ka būtu nepieciešams kontaktēties ar darbinieka iepriekšējo (vai pat vēl esošo) darba devēju, lai ievāktu informāciju par darbinieku. No šādas prakses noteikti vajadzētu izvairīties, jo Darba likumā ir noteikts, ka bez paša pretendenta piekrišanas darba devējs nedrīkst izpaust informāciju par viņu trešajām personām, norāda A. Burkevics. 

Vēl viens izplatīts veids, kā darba devējs cenšas noskaidrot ko vairāk par pretendentu, ir viņa sociālo tīklu profilu izpēte. Šis jautājums iedalāms divās daļās. Ja par kandidātu tiek ievākta lietišķa rakstura informācija no tādiem profesijas prezentēšanai paredzētiem sociālajiem portāliem kā LinkedIn, tas būtu saprotami, taču ar citu privātāka rakstura sociālo tīklu profilu pētīšanu un informācijas vākšanu gan būtu jāuzmanās, uzskata A. Burkevics. 

Patlaban viens no aktuālākajiem jautājumiem darba devēju un darbinieku attiecībās ir informācija par darbinieku vakcinēšanās pret Covid–19 statusu. Šo informāciju darba devējs var ievākt un saglabāt, lai izpildītu kādu normatīvajos aktos noteiktu pienākumu. Piemēram, darba devējam jāizvērtē, kuriem darbiniekiem jāstrādā klātienē, kāds ir katra darbinieka inficēšanās risks, un prasība pēc vakcinācijas sertifikāta izvirzāma, vadoties no šāda izvērtējuma rezultātiem. Līdz ar to darbinieks vairs nevar iebilst pret to, ka darba devējs tam jautā par vakcinācijas faktu, jo šādas informācijas noskaidrošanu darba devējam par pienākumu uzliek normatīvais regulējums. Tiesa, pastāv daži ierobežojumi attiecībā uz to, tieši kādā formā darba devējs šo informāciju drīkst uzglabāt. Datu valsts inspekcija ir sniegusi skaidrojumu, norādot, ka, piemēram, nedrīkst vakcinācijas sertifikātus kopēt, taču drīkst veidot sarakstus ar vakcinētajiem/nevakcinētajiem darbiniekiem, kā arī iekšējās kārtības noteikumos noteikt par pienākumu darbiniekiem informēt darba devēju, ja viņu vakcinācijas sertifikāta statusā notiek izmaiņas. 

Visbeidzot, darba devējam noteikti jāinformē darbinieks par to, ka tas var uzraudzīt darba vajadzībām izveidota saziņas konta izmantošanu. Pretējā gadījumā tas var tikt atzīts par personas tiesību uz privāto dzīvi un korespondences neaizskaramību pārkāpumu. Šāds precedents rodams Eiropas Cilvēktiesību Tiesas 2017. gada spriedumā lietā "Barbulesku pret Rumāniju". Interesanti, ka šajā gadījumā pat nebija nozīmes faktam, ka darbinieks melojis darba devējam un darba vajadzībām paredzēto kontu ziņojumapmaiņas platformā Yahoo Messenger regulāri izmantojis privātām vajadzībām. 

Personāla dokumentu glabāšanas termiņi 

Dokumentu uzglabāšanas termiņus nosaka Ministru kabineta noteikumi Nr. 690 "Noteikumi par personas darba vai dienesta gaitu un izglītību apliecinošiem dokumentiem, kuriem ir arhīviska vērtība, un to glabāšanas termiņiem". Tajos paredzēts, ka darba līgumi, uzteikumi un vienošanās jāuzglabā 90 gadus. "Tas saistīts ar darba stāža apliecināšanu pensiju saņemšanai, cita iemesla šim ļoti ilgajam termiņam nav," skaidro A. Burkevics. Attiecībā uz citiem datiem un dokumentiem darbojas Datu aizsardzības regulas vispārējais princips: "Ne ilgāk, kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā". Piemēram, ja darba tiesībās noilgums prasības celšanai tiesā ir divi gadi, tad ilgāk par šiem diviem gadiem dokumentus nebūtu vērts uzglabāt (grāmatvedības dokumentiem, kas apliecina darbiniekam izmaksāto darba atlīdzību, ir savi normatīvajos aktos noteikti uzglabāšanas termiņi).

Publicēts žurnāla “Bilance” 2021. gada novembra (479.) numurā.