Kā skaļš brīdinājums uzņēmumiem, kas nepievērš pietiekamu uzmanību datu aizsardzības jomai un it īpaši privātuma politikas izstrādei, pagājušā gada septembrī nāca Īrijas datu aizsardzības iestādes piemērotais 225 miljonu eiro sods saziņas lietotnes Whatsapp īpašniekam Whatsapp Ireland par noteikumiem neatbilstošu privātuma politiku un lietošanas noteikumiem.

Kas šajā vairāk nekā 200 lappušu garajā lēmumā konstatēts, ko Whatsapp pārkāpis, un ko no šīs pieredzes būtu vērts secināt Latvijas uzņēmumiem? Šis temats tika apskatīts sabiedriskās organizācijas Legal Hackers Riga* organizētajā diskusijā “Kādas kļūdas nepieļaut, izstrādājot privātuma politiku? Atskats uz Īrijas Datu aizsardzības komisāra lēmumu Whatsapp lietā”.

Whatsapp pārkāpumi

Īrijas datu aizsardzības uzrauga piespriestais soda apmērs bijis tik iespaidīgs tāpēc, ka Whatsapp pārkāpumi skāruši Vispārīgās datu aizsardzības regulas 5. pantā minētos datu apstrādes pamatprincipus, diskusijā skaidroja Anna Vladimirova-Krjukova, zvērinātu advokātu biroja COBALT juriste un sertificēta datu aizsardzības speciāliste, Eiropas datu aizsardzības speciāliste (CIPP/E). Pārkāpti arī panti, kas saistīti ar datu subjektu informēšanu par viņu datu apstrādi:

• regulas 12. pants, kas prasa nodrošināt privātuma politiku datu subjektiem pieejamā veidā,
• 13. pants, jo Whatsapp nav informējis savus lietotājus un citus datu subjektus, kā arī nav iesniedzis visu nepieciešamo informāciju saskaņā ar regulu,
• 14. pants, jo Whatsapp nav informējis arī Whatsapp nelietotājus par viņu datu apstrādi (lietotnē Whatsapp iespējams pievienot kontaktu sarakstam arī telefona numurus, kuru īpašnieki paši programmu nelieto).

Īrijas datu aizsardzības uzrauga lēmumā Whatsapp pārmestas dažādas pat šķietami nebūtiskas nianses, t.sk. privātuma politikas noformēšanas aspekti, piemēram, pārmērīga hipersaišu izmantošana, kas apgrūtinot datu subjektam uztvert informāciju. “Datu uzraugs secināja, ka datu subjekts šādā situācijā nevar būt drošs, ka iepazinies ar visu nepieciešamo informāciju,” akcentē Anna Bogdanova, zvērinātu advokātu biroja Sorainen juriste un sertificēta datu aizsardzības speciāliste. Hipersaišu izmantošana nav aizliegta, jo saites uz ārējiem avotiem var saīsināt kopējo teksta apjomu, taču saišu daudzumam ir jābūt samērīgam.

Īrijas datu aizsardzības regulatora lēmumā minēts arī tas, ka privātuma politika nedrīkst būt pārlieku gara, jo tas ir vēl viens faktors, kas datu subjektam neļauj pilnībā realizēt savas tiesības. Tādēļ, vērtējot privātuma politikas atbilstību regulas prasībām, jāņem vērā arī tās garums, uzsver Arina Stivriņa, zvērinātu advokātu biroja TGS Baltic Personas datu aizsardzības prakses grupas vadītāja.

Tāpat lēmumā par Whatsapp norādīts, ka privātuma politiku nebūtu ieteicams ietvert lietošanas noteikumu sadaļā, jo tas vēl vairāk pagarina kopējo lasāmo apjomu un varētu potenciāli atbaidīt lietotājus. Daudz labāka prakse būtu privātuma politiku izdalīt atsevišķi.

Īrijas datu aizsardzības iestādes lēmums ir pārsūdzēts Eiropas Savienības Tiesā, apejot Īrijas nacionālo tiesu sistēmu (šāda iespēja Whatsapp radusies tāpēc, ka lēmuma pieņemšanā bija iesaistīta arī Eiropas Datu aizsardzības kolēģija).

Mācības Latvijas uzņēmumiem

Īrijas datu aizsardzības uzraugs savā lēmumā piedāvājis jaunu, strukturētu pieeju tam, kā vērtēt regulas 12. un 13. pantā minēto pienākumu izpildi, uzskata A. Stivriņa. Viena no regulatora konstatētajām neatbilstībām ir plaši izplatīta arī Latvijā sagatavotajās un publicētajās privātuma politikās. Proti, regula nosaka, ka datu subjekts ir jāinformē par datu apstrādi viņam saprotamā veidā. Taču praksē uzņēmumu privātuma politikās novērojama formāla pieeja, sākumā uzskaitot visus iespējamos datu apstrādes tiesiskos pamatus (leģitīmā interese, piekrišana u.c.), savukārt turpinājumā tikai aprakstot nolūkus, datu kategorijas u.tml. “Problēma ar šādu struktūru ir tā, ka datu subjekts īsti nevar saprast, kāds ir tiesiskais pamats tieši viņa konkrēto datu apstrādei,” uzsver A. Stivriņa.

“Latvijā tiešām bieži novērojams, ka uzņēmumi mēdz uzskaitīt visus iespējamos personas datus, personas datu apstrādes mērķus, tiesiskos pamatus, un būtībā iznāk tā, ka datu subjektam pašam jāsaprot, kuri viņa personas dati tiks apstrādi, saskaņā ar kuru datu apstrādes mērķi un pamatojoties uz kuru tiesisko pamatu. Daudz veiksmīgāks būtu risinājums, kur dati, tiem atbilstošie apstrādes pamati un mērķi, apstrādes darbības būtu skaidri parādītas tabulas veidā,” papildina A. Bogdanova. Tāpat nereti pārāk vispārīgi tiek definēti kritēriji, cik ilgi personas dati tiks uzglabāti. Skaidra pazīme šādiem pārāk izplūdušiem kritērijiem ir tāda, ka tos varētu pārkopēt jebkurš uzņēmums un ievietot savā privātuma politikā, norāda eksperte.

Viens no problēmas cēloņiem ir tas, ka 2018. gada maijā, pirms regulas spēkā stāšanās, daudzi Latvijas uzņēmumi (īpaši mazie uzņēmumi, kuri nereti nevar atļauties profesionāla jurista palīdzību), steigā gatavojot privātuma politikas, tās vienkārši pārkopēja. “Šie uzņēmumi ir riska zonā, jo liela daļa no viņiem šīs 2018. gada maijā sagatavotās privātuma politikas tā arī nav mainījuši. Tur ir gan nekonkrēta, neskaidra informācija, gan pārāk daudz hipersaišu, vispārīgi aprakstīta datu apstrāde - visas minētās problēmas,” vērtē A. Vladimirova-Krjukova. Par privātuma politiku atbilstību vairāk rūpējoties tie Latvijas uzņēmumi, kuriem ikdienā ir bieža saskarsme ar klientiem, tai skaitā klientu izvirzītām pretenzijām (ne vien par datu apstrādi, bet arī citām lietām), kā arī lieli un starptautiski uzņēmumi. Grūtāk klājoties maziem un vidējiem uzņēmumiem, jo privātuma politiku ir regulāri jāatjauno, un, ja uzņēmumā nav sava datu aizsardzības speciālista, šis uzdevums tiek atstāts novārtā.

Neizmantota iespēja gan Latvijas, gan arī ārvalstu datu pārziņu privātuma politikās esot vizualizācijas. “Regulā ir paredzēts, ka privātuma politikās, realizējot datu subjekta tiesības uz informēšanu, var izmantot vizualizācijas. Patlaban ļoti populāra disciplīna ir juridiskais dizains, kur juristi, lietotāju pieredzes speciālisti un dizaineri kopīgi domā, kā privātuma politiku padarīt cilvēkam labāk vizuāli uztveramu. Latvijā šādi mēģinājumi gan nav pārāk izplatīti. Privātuma politikas ar vizualizācijām Latvijā ir redzētas ļoti reti,” sacīja A. Stivriņa.

Mazajiem uzņēmumiem, kam nav resursu datu aizsardzības speciālistu algošanai, kā pirmais solis jeb pamats, uz kā būvēt savu privātuma politiku, varētu noderēt arī digitālo pakalpojumu sniedzēju izstrādātās gatavās (universālās) privātuma politikas. Tomēr jāatceras, ka šādas universālās politikas ir tikai paraugs, kas pamatīgi jāadaptē katra uzņēmuma individuālajai situācijai, brīdina A. Vladimirova-Krjukova. “Nevienā privātuma politikas paraugā nebūs norādīti tieši šim uzņēmumam atbilstošie datu apstrādes nolūki, tiesiskie pamati, uzglabāšanas termiņi, datu saņēmēji, datu nodošanas ārpus Eiropas Savienības procesa apraksts. Dažas standarta lietas gan ir iespējams pārņemt, piemēram, aprakstu par datu subjekta tiesībām, taču pašas svarīgākās sadaļas tāpat būs jāizstrādā pašiem,” akcentēja eksperte. Vēl jāņem vērā, ka lielākā daļa privātuma politiku automātisko ģeneratoru ir veidoti, balstoties uz 2018. gada (pirmās paaudzes) privātuma politiku struktūras prasībām, bet Whatsapp lietas lēmumā paustās atziņas liecina, ka šobrīd izmantot šo struktūru jau ir visai riskanti, piebilda A. Stivriņa. Tiesa gan, šo ģeneratoru izstrādātāji arī noteikti lasa Whatsapp lēmumu un, iespējams, jau pielāgo savu produktu jaunajām prasībām, pieļāva juriste.

Svarīgi arī atcerēties, ka privātuma politika ir dokuments, kas jāizstrādā pēc tam, kad ir veikts viss sagatavošanās darbs - apzināti visi uzglabātie personas dati, ar tiem veiktās darbības utt. “Privātuma politikai jāatspoguļo, kas uzņēmumā notiek, nevis tiek uzrakstīts dokuments, kas pilnīgi nesakrīt ar faktisko situāciju. Tas radītu jau diezgan lielu risku,” vērtē A. Vladimirova-Krjukova.

Būtu maldīgi domāt, ka adekvātas privātuma politikas sagatavošana būtu izaicinājums tikai mazajiem uzņēmumiem. Whatsapp piemērs parāda, ka tik stingri traktētas prasības kā Īrijas regulatora gadījumā problemātiski ir izpildīt arī lieliem uzņēmumiem, norāda A. Bogdanova. Par atskaites punktu privātuma politikas atbilstībai nevarot kalpot arī arguments, ka tā sagatavota līdzvērtīgi pārējo tirgus dalībnieku standartam (attiecīgā līmeņa uzņēmumiem). Uz šādu Whatsapp argumentu Īrijas datu regulators savā lēmumā atbildējis, ka nav pieņemami, ka tirgus dalībnieki paši izveido savu standartu, jo šo standartu nosaka regula.

Vērība uzņēmuma pusē jāsaglabā arī tad, ja privātuma politikas izstrāde pasūtīta profesionālam juristam. “Pat ja jurists ir sīki un smalki visu uzrakstījis, tā ir tikai puse no darba. Pirms esat izvietojuši savu privātuma politiku mājaslapā, apskatieties, vai tur nav atstātas tukšas vietas, kas ir jāaizpilda jums kā datu pārzinim. Protams, tā būtu gan bezatbilstība, gan apkaunojoša situācija, ja publicējat dokumentu ar daudzpunktēm, tukšām vietām, kur mājasdarbs bija jāizpilda pašam uzņēmumam, nevis juridiskajam konsultantam,” brīdina Jūlija Terjuhana, zvērināta advokātu biroja Sorainen juriste un sertificēta datu aizsardzības speciāliste.

Uzņēmumiem būtu ieteicams ja ne uzreiz, tad vismaz kārtējo iekšējo procedūru pārvērtēšanas ietvaros pārskatīt arī privātuma politikas dokumentu atbilstību jaunākajām valdīnijām. Īpaši būtu vērts pievērst uzmanību kritiskajiem aspektiem, piemēram, situācijām, kad, saņemot datus nevis no paša lietotāja, bet no trešajām personām, lietotājs par to netiek informēts. “Šādi gadījumi mēdz būt vairākiem klientiem, un tas ir jautājums, kas izraisa visvairāk iebildumus,” saka A. Vladimirova - Krjukova.

Vai Latvijas uzņēmumi varētu mierināt sevi ar domu, ka sods Whatsapp ir tikai Īrijas datu regulatora pārmērīgas bardzības izpausme un ka šāds precedents nav attiecināms uz vietējo situāciju? Drīzāk ne. Whatsapp lēmuma izvērtēšanas procedūra liecina, ka cerības, ka citu ES valstu (arī Latvijas) datu inspekciju attieksme varētu būt pielaidīgāka, nebūtu pamatotas.

“Īrijas uzrauga lēmums strīdu risināšanas procedūras ietvaros ir izvērtēts arī Eiropas uzraudzības iestādē, kas sastāv no visām ES dalībvalstu datu aizsardzības iestādēm. Turklāt atsevišķos gadījumos citas uzraudzības iestādes šī strīda risināšanā bija ieņēmušas vēl striktāku pozīciju nekā Īrijas komisārs. No šīm iestādēm tika saņemti iebildumi par tām lēmuma daļām, kur Īrijas regulators nebija konstatējis pārkāpumu. Piemēram, viena no šādām daļām bija saistīta ar to, kā Whatsapp apraksta savas likumīgās intereses, uz kurām tas pamato datu apstrādi. Pret to iebilda gan Vācijas, gan Polijas, gan Itālijas datu aizsardzības iestādes. Tas liecina, ka daudzas uzraudzības iestādes piekrīt Īrijas komisāra piedāvātajai pieejai un veidam, kādā turpmāk varētu tikt vērtētas privātuma politikas un jo īpaši regulas 12. un 13. pantā minēto pienākumu izpilde. Tas nozīmē, ka par šo pieeju un Whatsapp lēmumā iekļautajām atziņām ir ļoti labi informēta arī Datu valsts inspekcija,” atklāja A. Stivriņa, piebilstot, ka, protams, jāņem vērā tas, ka lēmums ir pārsūdzēts un galavārds šajā lietā būs jāsaka Eiropas Savienības Tiesai, kura vērtēs šo jauno pieeju. Tieši tiesas lēmums izšķirs, vai Īrijas datu aizsardzības uzrauga piedāvātā latiņa kļūs par vispārpieņemtu standartu privātuma politiku vērtēšanā un sodu piešķiršanā uzņēmumiem.

* Pasaules mēroga juristu, politikas veidotāju, dizaineru, tehnoloģiju inženieru un akadēmiķu kustība Legal Hackers pēta un izstrādā radošus risinājumus un idejas, kā tehnoloģijas var uzlabot un padarīt saprotamāku informāciju par jurisprudenci un ar to saistītajiem jautājumiem. Pašlaik juridisko “hakeru” vienības ir vairāk nekā 130 pilsētās visā pasaulē. Latvijā kustībai pievienojusies juristu izveidotā sabiedriskā organizācija Legal Hackers Riga. Organizācijas mērķi ir līdzīgi kā citur, proti, ar dažādu pasākumu palīdzību veidot juristu un plašākas sabiedrības izpratni par juridiskiem jautājumiem un tehnoloģiju ietekmi uz tiem.

Raksts publicēts žurnāla BILANCES JURIDISKIE PADOMI 2022. gada februāra numurā.