Personu datu apstrādes 6 iespējamie tiesiskie pamati

Katrai personas datu apstrādei ir jābūt pamatotai ar vismaz vienu no Vispārīgajā Datu aizsardzības regulā noteiktajiem tiesiskajiem pamatiem. Tie praksē un ikdienā tiek saukti arī par likumiskajiem pamatiem vai datu apstrādes pamatojumu. Bez atbilstoša tiesiska pamata piemērošanas datu apstrāde ir nelikumīga, atgādina Datu Valsts inspekcija. 

Ir seši tiesiskie pamati: piekrišana, līguma izpilde, juridisks pienākums, sabiedrības intereses vai oficiālās pilnvaras, vitālo interešu aizsardzība un leģitīmo interešu ievērošana. Organizācijai jeb pārzinim ir jāizvērtē, kurš no šiem pamatiem ir atbilstošākais katrai veiktai personas datu apstrādei. Bez atbilstoša tiesiska pamata piemērošanas, datu apstrāde uzskatāma par nelikumīgu.

Piekrišana

Piekrišanu kā likumisko datu apstrādes pamatu piemēro, kad apstrāde ir brīvprātīga personas izvēle, kuru nav veicinājuši piespiedu apstākļi un kuras nesniegšana nerada negatīvas sekas. Šis pamats bieži var šķist vienkāršākais un pazīstamākais, tamdēļ organizācijas to izvēlas piemērot lielākajai daļai savu apstrādes darbību. Tomēr piekrišanu kā datu apstrādes pamatu būtu jāapsver gadījumos, kad nevar pamērot citus pamatus.

Piemēram, sporta klubā piekrišanu var piemērot, lai labāk iepazītu savus klientus un veidotu tuvākas attiecības ar tiem, apstrādājot datus ne tikai konkrētu līgumu izpildei (kas būs atsevišķs apstrādes pamats). Lai kluba klientu dzimšanas dienās tiem piedāvātu īpašas atlaides, piesakoties sporta kluba abonementam, tiek prasīta atsevišķa piekrišana klienta svētku piedāvājuma saņemšanai, apstrādājot klienta e-pasta adresi un dzimšanas datumu. Katrā turpmākajā e-pastā, kurā izteikts piedāvājums, ir iekļauta “atteikšanās no jaunumu saņemšanas” saite. Pēc šīs saites aktivizēšanas klienta dati no šādu piedāvājumu saņemšanas saraksta tiek dzēsti.

Šo pamatu nevarēs izmantot gadījumos, kad starp organizāciju un cilvēku pastāv nevienlīdzīgas attiecības, piemēram, - starp darba devēju un darbinieku.

Piekrišana nebūs atbilstošs pamats arī gadījumos, kad datu apstrāde nepieciešama, lai izpildītu pušu starpā noslēgtu līgumu. Šādos gadījumos pati līguma izpilde būs tiesiskais pamats, savukārt piekrišana var būt pamats papildu apstrādes darbībām.

Piekrišanai jābūt pierādāmai, skaidrai (cilvēkam, kas sniedz piekrišanu ir jāapzinās, kam tieši viņš piekrīt) un atsaucamai jebkurā brīdī. Cilvēks drīkst atsaukt savu piekrišanu kaut nākamajā dienā. Piekrišanas atsaukšana no vienas puses nenozīmē, ka datu apstrāde, kas veikta pamatojoties uz piekrišanu, kļūst nelikumīga, bet no otras puses tā nevar viņam kaitēt. Ir jānodrošina, ka atsaukt piekrišanu ir tikpat viegli, kā to sniegt.

Līguma izpilde

Līguma noslēgšana nav iespējama, ja tajā neiekļauj datus par personām, uz kurām šis līgums attiecas. Līdz ar to, kad līguma neatņemama sastāvdaļa ir konkrēti personas dati (piemēram, vārds, uzvārds, personas kods un kontaktinformācija),  šādu datu apstrāde pamatojama ar nepieciešamību noslēgt un izpildīt līgumu. Šis tiesiskais pamats ir piemērojams darba tiesisko attiecību ietvaros noslēgtiem līgumiem, līgumiem ar klientiem, līgumos, kur dzīvokļu īpašnieku datu apstrādi turpmāk veiks apsaimniekošanas kompānija u.c.

Juridisks pienākums

Juridisks pienākums ir tiesiskais pamats, kuru piemēro, kad datu apstrādi organizācija neveic pēc savas izvēles vai nepieciešamības, bet, kad tai ir pienākums to veikt, jo tas noteikts kādā ārējā normatīvā aktā – tiešā veidā.

Lai sporta kluba grāmatvede varētu izrakstīt rēķinu par sporta zāles apmeklēšanu, ir nepieciešami klientu personas dati. Klienta vārda un uzvārda ievadīšana rēķinā nepieciešama saskaņā ar Grāmatvedības likuma 11. panta piektās daļas 5. un 6. punktu.

Vitālo interešu aizsardzība

Vitāli svarīgas intereses norāda uz datu apstrādes tiešu saistību ar cilvēka dzīvību un veselību. Uz šo tiesisko pamatu var atsaukties tikai apstrādei, kuras pamatā ir fiziskas personas dzīvībai svarīgas intereses. Tātad šī pamatojuma izmantošana ir ļoti ierobežota - draudiem dzīvībai ir jābūt īstiem un šajā brīdī, nevis iespējamiem. Šāds apstrādes veids var būt pamatots gan ar plašāka personu loka -  sabiedrības interesēm, gan ar būtisku nozīmi konkrēta cilvēka interesēm. Piemēram, uzraugot epidēmijas, vai gadījumos, kad tiek sniegta ārkārtas palīdzība.

Valstī, kuru persona apmeklē, notiek apvērsums un jāveic steidzama Latvijas pilsoņu evakuācija. Ņemot vērā potenciālos draudus cilvēka drošībai, Konsulārais departaments izmanto personas datus (atrašanās vietu, telefona numuru), lai ar viņu sazinātos un nodrošinātu viņa evakuāciju.

Sabiedrības intereses

Šis tiesiskais pamats tiek piemērots, ja datu apstrāde nepieciešama, lai veiktu sabiedrības interesēs esošu uzdevumu vai īstenotu oficiālas pilnvaras, kas noteiktas ES vai nacionālajos tiesību aktos. Atšķirībā no gadījumiem, kad datu apstrāde ir tieši noteikta likumā un ir juridisks pienākums, šajā gadījumā apstrāde var balstīties uz vispārīgākām tiesību normām, kas nosaka sabiedrības intereses, iestāžu uzdevumus un pilnvaras.

Šis tiesiskais pamats attiecas uz divām situācijām un ir piemērojams gan publiskajā, gan privātajā sektorā.

• Pirmkārt, tas attiecas uz gadījumiem, kad pārzinim ir oficiālas pilnvaras vai tas veic uzdevumu sabiedrības interesēs (taču tam nav jābūt arī juridiskām pienākumam apstrādāt datus). Tātad – apstrāde ir jāveic, lai īstenotu šīs pilnvaras vai veiktu minēto uzdevumu.
• Otrkārt, tas attiecas uz situācijām, kad pārzinim nav oficiālu pilnvaru, taču tam pieprasa atklāt datus kāds cits (trešā persona), kam šādas pilnvaras ir. Tāpat arī pārzinis pēc paša iniciatīvas var atklāt datus trešajai personai, kurai ir šādas oficiālas pilnvaras.

Pie sporta kluba ir velosipēdu novietne, kur atstāto klientu transportlīdzekļu aizsardzībai ir uzstādīta videonovērošanas kamera. Neskatoties uz drošības pasākumiem, kāds drosmīgs likumpārkāpējs ir piesavinājies vienu no velosipēdiem. Pēc tam, kad par to paziņots policijai, fitnesa klubs saņem policijas pieprasījums izsniegt videonovērošanas kameras ierakstu, kurā fiksēta zādzība. Ņemot vērā, ka policijai ir pilnvaras pieprasīt šādus datus, fitnesa kluba ievāktie dati (ieraksti) tiek izsniegti policijai.

! Lai piemērotu šo tiesisko pamatu obligāti ir jāveic proporcionalitātes tests. Tas nozīmē, ka pirms apstrādes ir jāizvērtē, vai ir ievērota proporcionalitāte starp sabiedrības interesēm un personas datu aizsardzību.

Leģitīmo interešu ievērošana

Ne tikai cilvēkam kā datu subjektam ir leģitīmas intereses. Dažādas intereses, piemēram, veicināt un uzlabot savu komercdarbību, celt likumīgas prasības vai aizstāvēties pret tām, ir arī organizācijai. Ja organizācijas intereses ir samērojamas ar cilvēka privātumu, tad organizācija var veikt datu apstrādi, pamatojoties uz šo tiesisko pamatu. Lai pārliecinātos par samērīgumu, pirms apstrādes uzsākšanas obligāti jāveic līdzsvarošanas tests, lai novērtētu, vai plānotās apstrādes rezultātā ieguvums no personas datu apstrādes būs lielāks, nekā ierobežojumi cilvēka tiesībām. Respektīvi, ar testa palīdzību organizācijai ir jāpārliecinās, ka ieguvums, veicot šo datu apstrādi, ir svarīgāks par cilvēka tiesību apdraudējumu. Šo likumisko pamatu nevar piemērot publiskās pārvaldes iestādes, jo tām nav savas privātās intereses.

Lai nodrošinātu augstas kvalitātes klientu servisu un nodrošinātos ar pierādījumiem strīdu vai neskaidrību gadījumā, fitnesa kluba un tā klientu telefonsarunas tiek ierakstītas. Šādu apstrādi uzsāk tikai pēc tam, kad veikts uzņēmuma un klientu līdzsvarošanas tests.

Lasiet arī:

• EST aktualitātes personas datu apstrādes un darba lietās
• EST aktualitātes personas datu apstrādes un patērētāju tiesību aizsardzības lietās