Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas (NILLTPFN) likuma subjekti, veicot klientu izpēti un darījumu uzraudzību, apstrādā lielu personas datu apjomu, praksē nereti aizmirstot par datu aizsardzības regulējumu. Taču svarīga ir arī Vispārīgā datu aizsardzības regula (VDAR), kas ar NILLTPFN likumu mijiedarbojas. Vispārīgos gadījumos VDAR iedod darbības vadlīnijas, bet NILLTPFN likums sniedz rīcības plānu speciālajiem gadījumiem.

Šā gada 1. janvārī stājās spēkā NILLTPFN likuma 9. panta jaunā redakcija. Saskaņā ar to katram šī likuma subjektam ir pienākums nodrošināt, ka tā darbinieki pārzina ne tikai NILLTPFN jeb AML (AML — cīņa ar naudas līdzekļu legalizāciju, starptautiski lietotā jēdziena saīsinājums no angļu: anti–money laundering) jomas normatīvos aktus, bet arī personas datu aizsardzības prasības NILLTPFN jomā. Visiem, uz kuriem likums attiecas, ir jānodrošina darbinieku apmācība šajos jautājumos atbilstoši to amata pienākumiem.

Paplašina prasības 

Sorainen Latvijas biroja korporatīvo noziegumu izmeklēšanas un atbilstības prakses vadītāja Violeta Zeppa–Priedīte vebinārā "Personas datu aizsardzība vs AML — kā salāgot prasības" skaidroja, ka jaunās atbilstības prasības likuma subjektiem paplašina prasību pēc tām kompetencēm, kādām ir jāatbilst likuma subjekta darbiniekiem. Paplašināts arī to likuma subjektu darbinieku loks, kuriem ir jāzina NILLTPFN likuma prasības.

NILLTPFN likuma 9. pants nosaka, ka likuma subjektiem ir jānodrošina, lai darbinieki (iepriekš — atbildīgie darbinieki) atbilstoši to amata pienākumiem pārzina: 

• ar noziedzīgi iegūtu līdzekļu legalizāciju (NILL) un terorisma un proliferācijas finansēšanu (TPF) saistītos riskus;
• NILLTPFN regulējošos normatīvos aktus;
• personas datu aizsardzības prasības NILLTPFN jomā.

Likuma subjektu pienākums ir regulāri apmācīt darbiniekus, lai pilnveidotu viņu prasmi konstatēt aizdomīgus darījumus un to pazīmes un izpildīt iekšējās kontroles sistēmā paredzētās darbības. 

Datu apstrādes posmi

Juriste, sertificēta datu aizsardzības speciāliste Jūlija Terjuhana uzsvēra, ka darbinieku apmācības var notikt gan uzņēmuma iekšējās apmācībās, gan nosūtot darbiniekus uz kursiem. 

Cilvēkam, kurš strādā ar personas datiem, ir jāpatur prātā, ka datu aizsardzības prasības saglabājas un ir jāizpilda visa datu apstrādes procesa laikā no to iegūšanas līdz pat dokumentu arhivēšanai un iznīcināšanai. 

Datu apstrādes piemēri NILLTPFN likuma kontekstā:

• informācijas iegūšana, t.sk. klienta identifikācija;
• informācijas pārbaude;
• klienta izpēte;
• klienta un darījumu monitorings;
• klienta datu nodošana, apmaiņa ar datiem;
• datu glabāšana;
• datu arhivēšana;
• datu iznīcināšana.

Kurš akts prevalē?

Kurš normatīvais akts prevalē — VDAR vai NILLTPFN likums? Nereti dzirdam jautājumu — varbūt, ja piemēro vienu, tad otru nepiemēro? Tā tas nav. 

VDAR ir vispārējais normatīvais akts datu aizsardzības jomā, kas ir tieši piemērojams visās Eiropas Savienības (ES) dalībvalstīs, arī Latvijā. Nacionālais likums to neatceļ. VDAR ietver pamatprincipus un noteikumus datu apstrādē, uz kuriem balstās visa datu aizsardzība sistēma ES. Jebkuram normatīvajam aktam, ko izdod ES dalībvalsts, ir jāatbilst regulas garam un paredzētajām darbībām ar datiem, taču VDAR paredz nacionālajam likumdevējam iespējas regulēt darbības ar datiem atsevišķās jomās un arī noteiktos gadījumos ietvert atkāpes no VDAR. 

Tādējādi VDAR un NILLTPFN likums darbojas mijiedarbībā. Varētu teikt, ka VDAR satur datu apstrādes pamatlikumus, kas ievērojami vienmēr, bet NILLTPFN likums sniedz rīcības plānu speciālajiem gadījumiem.

Skaidrības labad jānorāda, ka NILLTPFN likums, būdams nacionālais normatīvais akts, cita starpā ievieš ES direktīvu 2015/849 (t.s. ceturtā AML direktīva), kura nosaka NILLTPFN pamatprasības ES ietvaros.

Normatīvais regulējums

Darbiniekam, kurš pie NILLTPFN likuma subjekta strādā ar personas datiem, ir jāpārzina normatīvais regulējums NILLTPFN jomā, lai nepieciešamības gadījumā būtu iespēja ielūkoties un pārliecināties, kas ir teikts attiecīgajā normā. Tāpat NILLTPFN jomas darbiniekiem ir jāpārzina personas datu regulējums. Kā minimums tās būtu VDAR prasības un nacionālais Fizisko personu datu apstrādes likums.

Noteikumus par datu apstrādes kārtību ietver virkne normatīvo aktu vienlaikus ar VDAR, piemēram, Ministru kabineta noteikumi Nr. 392 "Kārtība, kādā Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma finansēšanas novēršanas likuma subjekts veic klienta neklātienes identifikāciju" vai Ministru kabineta noteikumi Nr. 550 "Noteikumi par aizdomīgu darījumu ziņojumu un sliekšņa deklarācijas iesniegšanas kārtību un saturu".

Savukārt Finanšu un kapitāla tirgus komisijas normatīvie noteikumi Nr. 5 "Klientu izpētes, klientu padziļinātās izpētes un riska skaitliskā novērtējuma sistēmas izveides un informācijas tehnoloģiju prasību normatīvie noteikumi" nosaka klientu padziļinātās izpētes datu apstrādi Finanšu un kapitāla tirgus komisijas uzraudzībā esošajiem subjektiem.

Tāpat jāapzinās, ka personas dati var tikt iegūti un glabāti kā papīra, tā digitālā formātā. Tie var būt personas iesniegti vai no personas iegūti dati, vai dati, kas saņemti par personu no citām trešajām personām. 

NILLTPFN likuma kontekstā apstrādājamo personas datu piemēri:

• identifikācijas dati;
• personu apliecinošā dokumenta dati;
• saimniecisko darbību raksturojošie dati;
• personisko darbību raksturojošie dati (personiskie līdzekļi, konti, īpašumi, radniecība u.c. veida attiecības, ar politiski nozīmīgām personām saistītās personas);
• finanšu dati;
• sankcijas;
• padziļinātās izpētes dati.

Jāievēro datu apstrādes principi

Visos datu apstrādes procesos, arī NILLTPFN jomā, ir jāievēro datu apstrādes principi, t.i., uzņēmuma darbiniekiem, kas strādā ar personas datiem, ir jāzina, kādi ir šie principi, to saturs, kā tie ir piemērojami, kādas tiesības piemīt datu subjektam un kādi ir izņēmuma gadījumi, kad var atkāpties no pienākuma tās īstenot. Vienmēr ir jāpatur prātā, ka datu apstrādei ir jābūt tiesiskam pamatam un konkrētam mērķim, kādēļ datu apstrāde ir nepieciešama.

NILLTPFN procedūru ietvaros dati var tikt nodoti trešajām personām, kā arī uz trešajām valstīm, piemēram, vienas uzņēmumu grupas ietvaros. Tādos gadījumos ir jāatceras, ka ir jābūt tiesiskam pamatam datu nodošanai, kā arī jāpārliecinās, vai ir piemērotas nepieciešamās garantijas drošai datu nodošanai uz ārvalstīm. Likuma subjektam tādos gadījumos ir jānodrošina, ka tas īsteno grupas mēroga politiku un procedūras, tostarp fizisko personu datu apstrādes politiku, kā arī grupā noteikto informācijas apmaiņas politiku un procedūras NILLTPFN nolūkā.

Datu aizsardzības principi 

Datu aizsardzības principi, kopumā astoņi, ir atrodami VDAR 5. pantā:

• dati tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā;
• datus apstrādā konkrētos, skaidros un leģitīmos nolūkos;
• dati ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos;
• dati ir precīzi un, ja vajadzīgs, atjaunināti; 
• tos saglabā ne ilgāk kā nepieciešams;
• datus apstrādā tādā veidā, ka tiek nodrošināta atbilstoša drošība;
• tos nenodod trešajām personām bez pienācīgiem piesardzības pasākumiem;
• datus apstrādā, ievērojot datu subjekta tiesības.

VDAR preambula un 5. pants satur plašāku informāciju par katra šī principa saturu.

Lomas datu apstrādē

Ikvienam uzņēmumam būtu jāsaprot, kāda ir tā loma datu apstrādē katrā konkrētā gadījumā. Vai tas patstāvīgi nosaka datu apstrādes mērķus un līdzekļus un ir uzskatāms par pārzini vai arī rīkojas cita uzņēmuma uzdevumā un ir apstrādātājs. 

Jāpatur prātā, ka ar apstrādātāju vienmēr ir jābūt noslēgtam līgumam, kurā noteikts, ciktāl apstrādātājs drīkst rīkoties ar datiem, un jāietver līgumā VDAR 28. pantā šādam apstrādātāja līgumam noteiktās prasības. 

Tiesiskais pamats

Katrai datu apstrādei ir jābūt tiesiskam pamatam. VDAR kopumā paredz sešus tiesiskos pamatus, bet NILLTPFN jomā visbiežāk varētu tikt piemēroti četri no tiem: 

• dati nepieciešami līguma noslēgšanai un/vai izpildei;
• dati nepieciešami pārzinim uzlikta juridiska pienākuma izpildei;
• datu apstrāde nepieciešama sabiedrības interesēs (piemēram, pārzinim normatīvajā aktā ir paredzētas noteiktas tiesības ievākt datus, nodot tos citām personām);
• datu apstrāde nepieciešama, lai īstenotu pārziņa leģitīmās intereses.

Kā biežāk minamais tiesiskais pamats NILLTPFN kontekstā ir juridiskais pienākums. Piemēram, NILLTPFN likums konkrētos gadījumos pasaka, ka kaut kas ir obligāti jādara. Savukārt citos gadījumos normatīvie akti skaidri noteic, ka ir tiesības veikt kaut kādas darbības ar datiem. Šādos gadījumos tiesiskais pamats būs nevis juridiskais pienākums, bet sabiedrības intereses. 

Gadījumos, kad pārzinis datus iegūst un izmanto, lai noslēgtu līgumu, līguma noslēgšana un izpilde var kalpot par patstāvīgu tiesisku pamatu datu apstrādei. 

Ja uzņēmums nav NILLTPFN likuma subjekts, bet, piemēram, pēc savas iniciatīvas vēlas ieviest iekšējās kontroles sistēmu, tādā gadījumā dati šim mērķim tiks apstrādāti pārziņa leģitīmās interesēs.

Datu nodošana trešajām personām

"Trešās personas" nozīmē to, ka dati tiek nodoti personām, kas nav ne pārzinis, ne apstrādātājs vai apakšapstrādātājs VDAR izpratnē.

NILLTPFN likums paredz konkrētus gadījumus, kad pārziņiem ir tiesības vai pienākums nodot datus trešajām personām, piemēram, ziņojot par aizdomīgiem darījumiem vai ja kompetentā iestāde to pieprasa, vai ja pastāv pienākums apmainīties ar informāciju. Jāatceras, ka datu nodošana arī ir uzskatāma par datu apstrādi, un arī nodošanai ir nepieciešams konkrēts tiesisks pamats un mērķis. Nododot datus, to apjomam ir jābūt samērīgam ar sasniedzamo mērķi.

Datu subjektu tiesību ierobežošana

VDAR paredz visnotaļ plašu tiesību klāstu datu subjektiem — cilvēkiem, kuru dati tiek apstrādāti, piemēram, tiesības tikt detalizēti informētam par savu datu apstrādi un datu nodošanu trešajām personām, tiesības saņemt datu kopijas, labot un dzēst datus, pieprasīt datu nodošanu no viena pārziņa citam, tiesības ierobežot savu datu apstrādi u.c. 

Taču jāatceras, ka šīs tiesības nav absolūtas un noteiktos gadījumos pārzinim ir tiesības un pat pienākums atkāpties no vispārīgiem datu subjektu īstenošanas principiem, t.sk. ja tas nepieciešams ES sabiedrībai nozīmīgu mērķu sasniegšanai, noziedzīgu nodarījumu novēršanai u.c. leģitīmiem mērķiem.

NILLTPFN likums nosaka konkrētus gadījumus, kad informācija datu subjektiem nav sniedzama. Tāpēc ir pieļaujams noteiktos gadījumos ierobežot datu subjektu tiesības, piemēram, tiesības saņemt informāciju, ka par viņiem tiek veikta izpēte.

Publicēts žurnāla “Bilance” 2022. gada marta (483.) numurā.