Eiropas Savienības Tiesa (EST) 2024. gada martā pieņēmusi vairākus spriedumus lietās, kas skatītas, atbilstoši Līguma par Eiropas Savienības darbību (LESD) 267. pantam, t.i., sniedzot prejudiciālo nolēmumu. Viens no pieņemtajiem spriedumiem skar datu aizsardzības un privātuma jautājumus, kā arī uzraudzības iestādes pilnvaras.

1 Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula).

EST 2024. gada 14. marta spriedumā lietā C46/23 Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala pret Nemzeti Adatvédelmi és Információszabadság Hatóság skatīts jautājums par datu subjekta tiesībām tikt aizmirstam. Prejudiciālais nolēmums tika sagatavots par to, kā interpretēt Regulas 2016/679¹ 17. panta „Tiesības uz dzēšanu („tiesības tikt aizmirstam”)” 1. punktu, kas noteic: „Datu subjektam ir tiesības panākt, lai pārzinis bez nepamatotas kavēšanās dzēstu datu subjekta personas datus, un pārziņa pienākums ir bez nepamatotas kavēšanās dzēst personas datus, ja pastāv viens no šādiem nosacījumiem:

1. personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie tika vākti vai citādi apstrādāti;
2. datu subjekts atsauc savu piekrišanu, uz kuras pamata veikta apstrāde saskaņā ar 6. panta 1. punkta a) apakšpunktu vai 9. panta 2. punkta a) apakšpunktu, un ja nav cita likumīga pamata apstrādei;
3. datu subjekts iebilst pret apstrādi saskaņā ar 21. panta 1. punktu, un apstrādei nav nekāda svarīgāka leģitīma pamata, vai arī datu subjekts iebilst pret apstrādi saskaņā ar 21. panta 2. punktu;
4. personas dati ir apstrādāti nelikumīgi;[..].”

Lietas ietvaros skatīts arī jautājums par valsts uzraudzības iestādes pilnvarām, uzdot pārzinim vai apstrādātājam dzēst šos datus bez datu subjekta iepriekšēja pieprasījuma. Regulas 2016/679 (turpmāk arī – VDAR) 58. panta 2. punkts noteic, ka „Katrai uzraudzības iestādei ir visas šādas korektīvās pilnvaras:

EST lietas C46/23 sprieduma 35. paragrāfā ir precizējusi VDAR 58. panta 2. punkta tvērumu, nosakot: „Konkrētāk par to, vai šādus korektīvos pasākumus attiecīgā uzraudzības iestāde var veikt pēc savas ierosmes, vispirms jānorāda, ka, ņemot vērā VDAR 58. panta 2. punkta formulējumu, šī norma veic nošķīrumu starp korektīvajiem pasākumiem, 

• kas var tikt uzdoti pēc savas ierosmes, proti, šīs regulas 58. panta 2. punkta d) un g) apakšpunktā minētajiem pasākumiem, 
• un tiem pasākumiem, kurus var veikt tikai pēc datu subjekta pieprasījuma īstenot viņam saskaņā ar šo regulu piešķirtās tiesības, kāds ir, piemēram, pasākums, kas minēts šīs regulas 58. panta 2. punkta c) apakšpunktā.”

Nepieciešamība pēc EST prejudiciāla nolēmuma radās, jo Ungārijas uzraudzības iestāde uzdeva Ujpeštas administrācijai saskaņā ar VDAR 58. panta 2. punkta d) apakšpunktu dzēst to datu subjektu personas datus, kuri – lai arī tiem saskaņā ar valdības pārstāvniecības un Ungārijas Valsts kases sniegto informāciju būtu bijušas tiesības saņemt atbalstu – šo atbalstu nebija pieprasījuši. Ujpeštas administrācija apstrīdēja Ungārijas uzraudzības iestādes lēmumu, apgalvojot, ka šī iestāde neesot tiesīga uzdot dzēst personas datus saskaņā ar VDAR 58. panta 2. punkta d) apakšpunktu, ja par to nav saņemts datu subjekta pieprasījums šīs regulas 17. panta izpratnē. Tiesvedību ietvaros Galvaspilsētas Budapeštas tiesa nolēma apturēt tiesvedību un uzdot EST prejudiciālus jautājumus.

Ar pirmo jautājumu nacionālā tiesa jautāja, „vai VDAR 58. panta 2. punkta c), d) un g) apakšpunkts ir jāinterpretē tādējādi, ka dalībvalsts uzraudzības iestāde ir tiesīga, īstenojot savas šajās tiesību normās paredzētās korektīvās pilnvaras, uzdot pārzinim vai apstrādātājam dzēst nelikumīgi apstrādātos personas datus pat tad, ja datu subjekts to nav pieprasījis, lai īstenotu savas tiesības saskaņā ar šīs regulas 17. panta 1. punktu.”

Atbildot uz šo jautājumu EST nolēma, ka VDAR 58. panta 2. punkta d) un g) apakšpunkts ir jāinterpretē tādējādi, ka dalībvalsts uzraudzības iestāde ir tiesīga, īstenojot savas šajās tiesību normās paredzētās korektīvās pilnvaras, uzdot pārzinim vai apstrādātājam dzēst nelikumīgi apstrādātos personas datus pat tad, ja datu subjekts to nav pieprasījis, lai īstenotu savas tiesības saskaņā ar šīs regulas 17. panta 1. punktu.

Papildus par otro jautājumu EST nolēma, ka korektīvo pasākumu veikšanas pilnvaru īstenošana VDAR 58. panta 2. punkta d) un g) apakšpunkta izpratnē nevar būt atkarīga no tā, vai attiecīgie personas dati ir vai nav tikuši iegūti tieši no datu subjekta.

EST savu nolēmumu pamatoja ar šādiem argumentiem:

ν „(..) lietā nozīmīgās Savienības tiesību normas, kas minētas šā sprieduma 27. un 28. punktā, ir jālasa kopsakarā ar VDAR 5. panta 1. punktu, kurā ir noteikti personas datu apstrādes principi, kuru vidū ir arī tā a) apakšpunktā izklāstītais princips, ka personas datiem jābūt apstrādātiem likumīgi, godprātīgi un datu subjektam pārredzamā veidā.”

ν „Šā 5. panta 2. punkts noteic, ka pārzinis saskaņā ar šajā tiesību normā izklāstīto „pārskatatbildības” principu ir atbildīgs par minētā 5. panta 1. punkta ievērošanu un tam jāspēj uzskatāmi parādīt, ka tas ievēro katru no tajā noteiktajiem principiem; tam arī ir pienākums to pierādīt (EST 2023. gada 4. maija spriedums Bundesrepublik Deutschland  (Tiesu elektroniskā pastkaste), C60/22, 53. punkts un tajā minētā judikatūra).”

ν „Pastāvīgās judikatūras atziņa ir tāda, ka, interpretējot Savienības tiesību normu, jāņem vērā ne tikai tās formulējums, bet arī tās konteksts un šo normu ietverošā tiesiskā regulējuma mērķi (EST 2023. gada 13. jūlija spriedums G GmbH, C134/22, 25. punkts un tajā minētā judikatūra)”.

2 Lietas C46/23 sprieduma 34. paragrāfs.

Būtiski, ka EST ir konstatējusi, ka uzraudzības iestādei ir pienākums rīkoties, norādot: „(..) ja valsts uzraudzības iestāde izmeklēšanas noslēgumā konstatē, ka datu subjektam netiek nodrošināts pienācīgs aizsardzības līmenis, tai neatkarīgi no konstatētā trūkuma izcelsmes vai rakstura saskaņā ar Savienības tiesībām ir atbilstoši jārīkojas, lai to novērstu. Tālab VDAR 58. panta 2. punktā ir uzskaitīti dažādi korektīvie pasākumi, ko uzraudzības iestāde var veikt. Šīs uzraudzības iestādes ziņā ir izvēlēties piemērotu līdzekli, lai ar visu pienācīgo rūpību izpildītu savu uzdevumu nodrošināt pilnīgu šīs regulas ievērošanu (šajā nozīmē skat. EST 2020. gada 16. jūlija spriedumu Facebook Ireland un Schrems, C311/18, 111. un 112. punkts).”²

Minētais apstāklis ļauj izdarīt secinājumu, ka uzraudzības iestādes bezdarbība, saskaņā ar Latvijas Republikas Senāta Administratīvo lietu departamenta judikatūru un Administratīvā procesa likuma 7. nodaļu, varētu tik klasificēta kā iestādes faktiskā rīcība. Piemēram, Senāta Administratīvo lietu departamenta 2019. gada 10. decembra spriedumā lietā Nr. SKA–359/2019 secināts: „Iestādes atteikums pieņemt mutvārdu iesniegumu kvalificējams kā faktiskā rīcība, ja process neturpinās. Savukārt iestādes atteikšanās noformēt personas mutvārdu iesniegumu un novirzīšana uz klientu apkalpošanas centru uzskatāma par procesuālu darbību. Šādai rīcībai nav galīga noregulējuma rakstura.”

3 Lietas C46/23 sprieduma 36. paragrāfs.

Būtiski, ka EST ir konstatējusi arī uzraudzības iestādes pilnvaru apjomu, kas nozīmīgs arī faktiskās rīcības gadījumā, „pirmkārt, no VDAR 58. panta 2. punkta c) apakšpunkta formulējuma skaidri izriet, ka, lai varētu veikt šajā tiesību normā paredzēto korektīvo pasākumu, proti, „izdot rīkojumu pārzinim vai apstrādātājam izpildīt datu subjekta pieprasījumu īstenot viņam saskaņā ar šo regulu piešķirtās tiesības”, ir vajadzīgs, lai datu subjekts iepriekš būtu aizstāvējis savas tiesības, iesniedzot attiecīgu pieprasījumu, un lai šis pieprasījums nebūtu ticis apmierināts, pirms uzraudzības iestāde ir pieņēmusi minētajā tiesību normā paredzēto lēmumu.”³

4 Turpat.

EST tiesa ir norādījusi uz gadījumu, kur šāda datu subjekta iepriekšēja rīcība nav nepieciešama, lai uzraudzības iestādei būtu pilnvaras rīkoties, proti, „otrkārt, – atšķirībā no šīs tiesību normas – šīs regulas 58. panta 2. punkta d) un g) apakšpunkta formulējums neļauj uzskatīt, ka dalībvalsts uzraudzības iestādes rīkošanās, lai īstenotu tajā norādītos pasākumus, attiektos tikai uz gadījumiem, kad datu subjekts ir iesniedzis pieprasījumu to darīt, jo šajā formulējumā nav atsauces uz šādu pieprasījumu.” ⁴

Tādējādi, Latvijas Republikas tiesību ietvaros, vadoties no EST 2024. gada 14. marta spriedumā lietā C46/23 konstatētā, uzraudzības iestādei (Datu valsts inspekcija) neatkarīgi no konstatētā trūkuma izcelsmes vai rakstura saskaņā ar Savienības tiesībām ir atbilstoši jārīkojas, lai to novērstu, jo VDAR 58. panta 2. punktā ir uzskaitīti dažādi korektīvie pasākumi, ko uzraudzības iestāde var veikt. Ja iestāde neveic darbības, lai nodrošinātu, ka datu subjektam tiktu nodrošināts pienācīgs aizsardzības līmenis, tad var būt pamats aizstāvēt savas tiesības saskaņā ar Administratīvā procesa likuma 7. nodaļā noteikto (sk. likuma 91. pantu), vēršoties iestādē, bet pēc tam tiesā.

5 Lietas C46/23 sprieduma 41. paragrāfs.

EST tiesa ir precizējusi uzraudzības iestādes kompetenci, nosakot: „(..) šai iestādei tomēr ir ar visu pienācīgo rūpību jāpilda savs uzdevums nodrošināt, ka VDAR tiek pilnībā ievērota (šajā nozīmē skat. EST 2020. gada 16. jūlija spriedumu Facebook Ireland un Schrems, C311/18, 112. punkts). Līdz ar to, lai nodrošinātu efektīvu VDAR piemērošanu, ir jo īpaši svarīgi, lai šai iestādei būtu efektīvas pilnvaras efektīvi rīkoties pret šīs regulas pārkāpumiem, konkrēti – šos pārkāpumus izbeigt, tostarp arī gadījumos, kad datu subjekti par savu personas datu apstrādi nav tikuši informēti vai nezina, vai jebkurā gadījumā nav pieprasījuši šos datus dzēst.”⁵

Publicēts žurnāla “Bilances Juridiskie Padomi” 2024. gada aprīļa (130.) numurā.

BJP NUMURU E-ARHĪVS