Personas dati un Vispārīgā datu aizsardzības regula

Vispārīgo datu aizsardzības regulu (GDPR), kas ievieš jaunu pieeju personas datu aizsardzības jautājumos, sāks piemērot 2018. gada 25. maijā.

Pēc būtības personas dati ir jebkas, kas ļauj identificēt personu. Tā ir arī piemēram mūsu datora IP adrese. Personas dati ir mūsu tautība, politiskie uzskati, atalgojums, vai mums ir bērni, vai esam precējušies vai neesam. Tā ir visa informācija, kuru saliekot kopā var saprast, kas esam. Pat ja nav zināms cilvēka vārds un uzvārds, kā ļoti bieži notiek internetā, jums ir noteikta IP adrese. Tad, kad internetā meklējat vai ievadāt kaut kādu informāciju vai darbojaties sociālajos tīklos, attiecīga sistēma sāk vākt par jums datus. Lai gan tā nezina vārdu un uzvārdu, tai par jums ir zināms ļoti daudz - piemēram, kādi ir jūsu paradumi, ko pērkat, ko nepērkat, kas jums patīk vai nepatīk. Šajā gadījumā, veidojot profilu, arī parādās personas dati un personīgā informācija, pēc kuras cilvēku var identificēt. Tad, kad nākamreiz ieiesiet internetā ar noteiktu IP adresi, sistēma atpazīs, ka jūs esat tas cilvēks, kurš te bija pirms noteikta laika, un tas ir jūsu profils. Tātad personas dati ir viss, kas palīdz identificēt cilvēku, kas, protams, galvenokārt ir personas vārds, uzvārds, personas kods, bet var būt arī jebkas cits. 

Kāpēc ir svarīgi aizsargāt personas datus?

Personas datus ir svarīgi aizsargāt tāpēc, ka tā ir daļa no mūsu privātās dzīves. Arī Satversmē un starptautiskajos dokumentos katram no mums ir paredzētas tiesības uz privāto dzīvi – tiesības domāt to, ko gribam, darīt to, ko gribam, un būt tādiem, kādi esam. Tad, kad kāds cits sāk analizēt, ko mēs darām, kā uzvedamies, cik mums ir bērnu, vai esam precējušies vai ne, viņš iejaucas mūsu privātajā dzīvē. Tāpēc arī šobrīd ir svarīgi aizsargāt personas datu apstrādi un cilvēka tiesības uz privātumu, lai ne viss, ko viņš dara, būtu atklāts, kā arī, lai viņš zinātu, kas ar viņa datiem notiek, jo, pamatojoties uz šo informāciju, tiek pieņemti arī daudzi lēmumi attiecībā uz cilvēku. Piemēram, cik jāmaksā par apdrošināšanu, vai mūs pieņemt darbā vai nepieņemt u. tml. Šobrīd joprojām daudzi cilvēki neapzinās, ka, izsekojot viņu paradumus internetā, šos datus var analizēt un precīzi noteikt, kurā brīdī, parādot kādas preces vai pakalpojuma reklāmu, būs lielāka iespēja, ka viņš to pasūtīs. Ja cilvēks to apzinās, iespējams, viņa darbība un rīcība ir citāda. Mērķēta informācija var arī ietekmēt cilvēka noskaņojumu un psihisko veselību, tāpēc cilvēkam ir jābūt iespējai to kontrolēt.

2018. gada 25. maijā sāks piemērot Vispārīgo datu aizsardzības regulu, kas ievieš jaunus nosacījumus personas datu aizsardzībā. Kādas ir galvenās izmaiņas, un kāpēc tās nepieciešamas?

Iepriekšējais regulējums, kas noteica personas datu aizsardzību, bija Eiropas Savienības direktīva 95/46/EK par personas aizsardzību attiecībā uz personas datu apstrādi. Šis normatīvais regulējums kopumā bija radīts laikā, kad vēl nebija interneta, kad pēc būtības viss balstījās vai nu uz ļoti lielām informācijas sistēmām, kuras apstrādāja valsts, vai kartotēkām, kas bija veidotas papīra formātā. Šodien dzīve nav iedomājama bez interneta, lielākajai daļai no mums ir viedierīces, kuras satur daudz vairāk informācijas, nekā jebkad iepriekš ir bijis iespējams. Līdz ar to arī regulējumam bija jāmainās, lai pielāgotos jaunai tehnoloģiju situācijai. Līdzšinējais regulējums vairāk attiecās uz lielu datu apstrādi, neparedzot, ka katram ir līdzi telefons – mazs dators, kurā atrodama informācija par mums. Turklāt šī informācija ir pieejama ne tikai mums, bet arī kompānijām, kuras nodrošina, piemēram, aplikācijas. Tāpēc arī jaunajā regulā tiek noteikti principi, lai cilvēks varētu daudz vairāk kontrolēt, kas notiek ar viņa datiem.

Tātad pirmais, ko Datu regula paredz, – piešķirt cilvēkam daudz vairāk kontroles pār to, kas notiek ar viņa datiem, un tiesības prasīt pārziņiem, kuri uztur datubāzes vai vāc personas datus, paskaidrot, kāpēc viņi to dara, un noteiktos gadījumos pret šādu datu vākšanu iebilst, aizliegt to vākšanu vai lūgt datus dzēst. Otrais, kas mainās līdz ar regulu, – tā uzliek daudz vairāk pienākumu pašam pārzinim domāt un pamatot, kāpēc viņam konkrēti dati ir vajadzīgi un kāpēc tas ir tiesiski. Piemēram, iepriekš bija paredzēts, ka gadījumā, ja kāds vēlas apstrādāt datus, viņam bija jāreģistrē datu apstrāde Datu valsts inspekcijā. Vairākums pārziņu uzskatīja, ka tad, kad ir iesniegti visi prasītie dokumenti, ar to viss aprobežojas un vairāk nav jādomā par to, ko ar šiem datiem darīt un kāpēc. Regula atceļ šāda veida reģistrāciju. Tas nozīmē, ka datu apstrāde vairs nebūs jāreģistrē, vienlaikus regula paredz paša pārziņa pienākumu gan vest personas datu reģistru, kurā ir noteikti datu apstrādes mērķi, datu glabāšanas termiņi, dzēšanas nosacījumi, gan arī sniegt cilvēkam skaidru un saprotamu informāciju par to, kāpēc pārzinim ir nepieciešami personas dati un kas ar tiem tiek darīts.

Kas ir datu pārzinis?

Pēc būtības datu pārzinis var būt jebkas. Jebkurš uzņēmums, biedrība, valsts iestāde, arī fiziska persona var būt datu pārzinis. Viss ir atkarīgs no nolūka, kādam tiek apstrādāti dati. Pārsvarā fiziskas personas kļūst par datu pārziņiem tikai tādos gadījumos, kad personas datus apstrādā komerciālos nolūkos vai cita veida nolūkos, kas ir noteikti likumos. Arī fiziskai personai mājās ir ļoti daudz citu cilvēku datu – piemēram, telefons, kur ierakstīti draugu un paziņu kontakti, bilžu albums, kur atrodamas draugu fotogrāfijas. Jūs varat pierakstīt draugu adreses, mājas kāpņu telpu ieejas kodus u. tml. Tie arī ir dati, ko apstrādājat, bet, ja jūs kā fiziska persona tos apstrādājat tikai savām vajadzībām, tad uz jums regula neattiecas. Taču, ja nolemsiet veidot savu kaimiņu kartotēku, aprakstīt viņu dzīvi un to visu publicēt internetā, tādā gadījumā regula uz jums attieksies.

Attiecībā uz juridiskām personām – pēc būtības jebkura juridiskā persona ir pārzinis, jo, pirmkārt, tā apstrādā savu darbinieku personas datus. Arī tās kompānijas, kuras nodarbojas ar preču piegādi, tirdzniecību, kurām ir klientu saraksti, kuras veido noteikta veida profilus, izzinot klientu kredītvēsturi, – tajā brīdī, kad sāk strādāt ar personas datiem, tās visas ir pārziņi. Tas attiecas arī uz valsts iestādēm, jo arī valsts iestādes uztur informācijas sistēmas, piemēram, Valsts zemes dienestam ir kadastrs, kur ir norādīti nekustamie īpašumi, ir Iedzīvotāju reģistrs, kur ir dati par visiem iedzīvotājiem. Šīs iestādes arī ir pārziņi.

Kādi ir personas datu aizsardzības pamatprincipi, kas jāievēro katram pārzinim?

Tie varētu būt tiesiskums, taisnīgums, minimalitāte un anonimitāte. Ko tas nozīmē? Pirmkārt, ir jābūt attiecīgam tiesiskam pamatam, kāpēc personas dati tiek apstrādāti. Tiesiskie pamati var būt vairāki. Piemēram, vai likumā ir noteikts pienākums to darīt? Ja likums paredz sniegt attiecīgu informāciju par saviem klientiem Valsts ieņēmumu dienestam, tad šo datu apstrādes pamats ir likums. Dati var būt nepieciešami, lai noslēgtu līgumu. Arī līgumiskais pamats ir viens no tiesiskajiem datu apstrādes pamatiem. Piemēram, ja persona vēlas nopirkt preci, viņai ir jānorēķinās par to, tāpat ir nepieciešams piegādāt preci. Lai nodrošinātu šo darījumu, pārzinis apstrādās gan dzīvesvietas adresi, gan vārdu, uzvārdu, gan citus nepieciešamos datus. Tas būs līgumiskais pamats. Vēl ir vairāki citi tiesiskie pamati, uz kuriem balstoties pārzinis var apstrādāt personas datus. Cilvēka piekrišana ir viens no tiem.

Kopumā pārzinim arī būtu jāievēro, ka dati ir jāapstrādā tādā apjomā, cik tas ir nepieciešams, lai izpildītu pakalpojumu, piemēram, nogādātu preci vai izpildītu līguma nosacījumus. Ja vēlos nopirkt dzīvokli, ir nepieciešams noslēgt līgumu, kurā jānorāda nekustamā īpašuma adrese, vērtība, vārds, uzvārds, konta numurs.  Šajā gadījumā, lai noslēgtu līgumu, nav svarīgi zināt, piemēram, vai personai ir bērni, jo tā vairāk nav līguma sastāvdaļa. Ja es iegādājos preci internetā, lai nodrošinātu komunikāciju ar klientu, uzņēmumam ir nepieciešama kontaktinformācija – e-pasts vai telefons, bet cilvēkam būtu jābūt iespējai izvēlēties, kā viņš kontaktēsies ar interneta veikalu. No datu aizsardzības viedokļa būtu par daudz prasīt gan vienu, gan otru, ja vien klients pats neizvēlas šādu iespēju. Tas ir minimalitātes princips. Katram pārzinim ir jāapzina visi dati, kas viņam ir, un jāsaprot, kāpēc viņš tos vāc un kāpēc tie nepieciešami tieši šādā apjomā.

Tad, kad pakalpojums ir izpildīts vai darījums noticis, jāsaprot, kādi dati joprojām vēl ir nepieciešami, vai arī tos ir iespējams dzēst. Piemēram, tad, kad prece ir piegādāta, pārzinis var glabāt šos datus tikai noteiktu laiku, gadu vai citu laiku, kas būtu nepieciešams noteiktu strīdu risināšanai, piemēram, ja pusēm ir strīds par to, vai prece tika piegādāta, u. tml. Pēc šī noteiktā termiņa datiem jābūt dzēstiem. Pārzinis bez atbilstošas cilvēka piekrišanas nevar izmantot viņa telefona numuru un sūtīt reklāmas piedāvājumus.

Protams, daudzos gadījumos kompānijas veido statistiku, tām ir nepieciešama informācija par to, cik daudz klientu ir apmierināti, cik daudz klientu pasūta noteikta veida preces. Šajā gadījumā katram pārzinim ir jāizvērtē, vai nevar analizēt anonimizētus datus. Respektīvi, ja tiek analizēts, cik bieži cilvēki iepirkās veikalā, nav svarīgi, vai iepirkās Jānis Bērziņš vai Dace Kalniņa, ir svarīgi, ka iepirkās divi cilvēki, un šajā gadījumā var izmantot arī anonimizētus datus, kuri nav personas dati, un regula uz tiem vairs neattiecas. Tas arī atvieglo dzīvi pārzinim.

Kas būtu jāizdara katram pārzinim pirms jaunās regulas piemērošanas 25. maijā?

Katram pārzinim, pirmkārt, ir jāizvērtē, kādam nolūkam viņš apstrādā datus. Katram pārzinim tie būs dažādi nolūki. Vienam – personālvadībai, otram – kādu noteiktu pakalpojumu sniegšanai, trešajam – savu leģitīmo interešu aizstāvībai u. tml. Otrkārt, ir jāapkopo informācija, kādi dati vispār ir pārziņa rīcībā. Tad pārzinis arī spēs saprast, vai visi šie dati ir tiešām vajadzīgi vai tomēr nav vajadzīgi. Bieži vien pārziņi kaut kāda ieraduma pēc vāc datus, kurus nekad neizmanto, jo tie nav vajadzīgi. Līdz ar to šobrīd, pirms Datu regulas, katram pārzinim būtu jāizdara savas darbības audits – mazā revīzija, kādi dati man ir, kādam nolūkam es tos vācu, cik ilgi glabāju, vai es tos dzēšu vai ne un kāpēc. Atbildot uz šiem jautājumiem, pārzinis arī var saprast, pirmkārt, kādā veidā viņš spēj izpildīt regulas noteiktos pienākumus – noteikt, kādi ir dati, kādi ir to glabāšanas termiņi, apstrādes nolūks, un izveidot datu apstrādes reģistru. Otrkārt, tādējādi pārzinis spēs pamatot cilvēkam jeb datu subjektam, kāpēc ir nepieciešami viņa dati. Vai otrādi – varbūt tas ļaus saprast, ka no noteiktu datu vākšanas var atteikties un vairs neapstrādāt. 

Tāpat pārzinim jāizvērtē, kam viņš nodod datus. Nodot personas datus citām kompānijām var, tikai iepriekš brīdinot to pašu cilvēku, kā arī paskaidrojot, kāpēc. Datu regula paredz, ka tajā brīdī, kad pārzinis vāc personas datus, viņam ir jāinformē cilvēks, kādā nolūkā tas tiek darīts, cik ilgi dati tiks glabāti, vai tie tiks nodoti citām kompānijām vai fiziskajām personām, lai, piemēram, nodrošinātu piegādi, vai dati tiks nodoti uz trešo valsti. Tādā veidā, lai cilvēks saprastu, kāpēc.

Kādos gadījumos ir nepieciešama datu subjekta piekrišana personas datu apstrādei?

Ir jānošķir piekrišana regulas izpratnē no piekrišanas vispārīgā izpratnē. Tajā brīdī, kad es noslēdzu pirkuma līgumu, aizdevuma vai cita veida pakalpojuma līgumu, es piekrītu līgumam. Tas nozīmē, ka mani dati tiek apstrādāti uz līgumiska pamata. Tas nenozīmē, ka kāds man liek līgumu noslēgt. Es to daru brīvprātīgi, tomēr datu apstrādes [tiesiskais] pamats ir cits – līgumiskais. Tāpat ir ar likumu. Ja likumā ir noteikti nosacījumi, ka gadījumā, ja es vēlos saņemt pabalstu, man ir jāiesniedz attiecīga informācija valsts iestādei. Tādā veidā es izsaku savu gribu saņemt pabalstu, līdz ar to sākas manu datu apstrāde, bet tas arī nenozīmē, ka tā sākas uz piekrišanas pamata. Tā sākas tāpēc, ka likumā ir noteikts, kāda veida dati man ir jāiesniedz.

Piekrišana regulas izpratnē ir nepieciešama gadījumos, kad ne likums, ne līgums neliek cilvēkam sniegt savus personas datus, bet viņš to var darīt brīvprātīgi. Piemēram, telefona aptaujas – kāds jums zvana un prasa, vai vēlaties piedalīties aptaujā. Šī ir datu apstrāde uz piekrišanas pamata, jo cilvēks saka: "Jā, es gribu!" vai "Nē, es negribu". Brīdī, kad cilvēks saka – "Jā, es gribu piedalīties aptaujā!", viņš sniedz savus datus un kompānija tos apstrādā uz piekrišanas pamata. Tāpat arī klienta kartes. Ja veikals piedāvā iegūt klienta karti, tā ir mana izvēle, vai es vēlos saņemt klienta karti. Ja rīt sapratīšu, kas vairāk negribu būt šīs kartes īpašnieks, es atsakos no tās un manu datu apstrāde tiek pārtraukta. Tas nenozīmē, ka veikals var aizliegt man ienākt un aizliegt kaut ko pirkt, ja man nav klienta kartes.

Kā pareizi noformēt fiziskas personas piekrišanu?

Rakstiskā formā. Rakstiskā forma nozīmē ne tikai papīra formu, bet arī elektronisko formu. Ja cilvēks iegūst noteikta veida pakalpojumu elektroniski, tad viņam būtu jāpiekrīt, atķeksējot attiecīgu ailīti, ka viņš piekrīt datu apstrādei. Protams, arī regulas izstrādes laikā tika pamanīts, ka šo piekrišanu bieži vien izmanto ļoti formāli, tai pievienojot noteikumus uz vairākām lappusēm, kurus lasot cilvēki nevar saprast, kam viņi piekrīt, bet, lai saņemtu pakalpojumus, viņi visam piekrīt. Regulas mērķis ir mainīt šo pieeju un noteikt, ka pārzinim ir jāsniedz informācija saprotamā veidā, lai tajā brīdī, kad tiek lūgta personas piekrišana, viņam ļoti īsi, konkrēti un saprotamā valodā ir jāpaskaidro, kas notiks ar viņa datiem un kam tieši viņš piekrīt, nevis tā, ka cilvēkam būtu jālasa 10 lappuses un kaut kur starp rindiņām jāsaprot. Šobrīd arī Latvijā ir dažas kompānijas, kuras jau piemēro šādu pieeju, piemēram, "Elektrum", kas savā mājaslapā piedāvā divu veidu piekrišanu. Tur ir gana skaidri rakstīts, ko tad šī kompānija grasās darīt ar jūsu datiem.

Daudzu pārziņu rīcībā ir dati, kas iegūti pirms regulas piemērošanas. Vai tos varēs turpināt uzglabāt un apstrādāt?

Pārzinim ir pašam jāizvērtē, vai tās piekrišanas, ko viņš ir saņēmis, atbilst tiem principiem, kurus paredz regula. Ja tās ir rakstiskā veidā un saprotamas – cilvēkiem ir skaidrs, ko ar viņu datiem darīs, viņš var apstrādi turpināt. Ja pārzinis saprot, ka, iespējams, tās piekrišanas, kas bija dotas, regulai neatbilst, tad pārzinim būtu jāsaņem piekrišanas no jauna. Ko var darīt pārzinis? Ja viņam ir klientu loks un klientu informācija, piemēram, e-pasti, uz tiem var tikt nosūtīta e-vēstule, kurā tiek paskaidrots, kādam nolūkam dati tiek apstrādāti, un lūgts personām sniegt noteikta veida piekrišanu.

Vai ir nepieciešami papildu organizatoriskie pasākumi un tehniskie risinājumi, lai izpildītu regulas prasības?

Latvijā arī šobrīd, balstoties uz Fizisko personu datu aizsardzības likumu, pastāv Ministru kabineta noteikumi, kuri nosaka organizatoriskus un tehniskus pasākumus, kādi pārziņiem ir jāievēro, apstrādājot datus. Ko tas nozīmē? Tā ir virkne drošības pasākumu, kas nodrošina, ka pārziņa rīcībā esošais datu kopums nav pieejams citām personām.

Ja uzņēmums informāciju par saviem klientiem glabā papīra kartotēkā, šī informācija nevar tikt glabāta visiem pieejamā vietā vai publicēta, piemēram, internetā. Ja tā ir informācijas sistēma, kuru pārzinis uztur, tad ir jāievēro attiecīgi drošības standarti, lai tā būtu droša un dati netiktu nopludināti u. tml. Piemēram, ja sistēma ir uzbūvēta tā, ka jebkurš darbinieks var ienākt sistēmā un aplūkot visus datus, nenošķirot viņa funkcijas, vai viņa darba pienākumu veikšanai ir nepieciešami attiecīgie dati, protams, tādā gadījumā sistēma ir jāpārbūvē, kas prasa gan naudas resursus, gan laiku. Taču domāju, ka vairākums pārziņu – uzņēmumi, kuriem rūp gan sava reputācija, gan komercdarbība ilgtermiņā, – šos noteikumus ievēro jau šobrīd.

Daudzas no regulas prasībām ir spēkā jau šobrīd. Kur iespējams saskarties ar problēmām to ievērošanā turpmāk?

Viena no problēmām ir tā, ka daudzi uzņēmumi vispār nenošķir piekrišanas no datu apstrādes uz, piemēram, līgumiska pamata. Izplatīts ir uzskats, ja cilvēks ir noslēdzis līgumu, tad ir automātiski saņemta personas piekrišana turpmākai datu apstrādei, kas ir ārpus noslēgtā līguma. Tāpat netiek pievērsta pietiekama uzmanība datu dzēšanai. Ja vienu reizi esi nopircis preci, uzņēmums gadiem ilgi glabā šos personas datus ar domu – varbūt kādreiz noderēs. Tāpat darbinieku dati – joprojām ir uzņēmumi, kuri glabā darbinieku pasu kopijas, jo tā kādreiz ir darīts, un turpina to darīt. Ir diezgan daudz tādu datu, kurus uzņēmēji glabā ieraduma pēc. Šobrīd ir laiks šo darbību pārskatīt. Es mēdzu teikt, ka regula ir evolūcija, nevis revolūcija. Ja iepriekš uzņēmums atbilda visām Fizisko personu datu aizsardzības likuma prasībām, tad šobrīd tam nav daudz problēmu pielāgoties jaunajai regulai. Problēma ir tā, ka līdz šim bieži vien uzņēmēji izšķīrās nevis tērēt līdzekļus datu aizsardzībai, bet kaut kam citam, jo sodi par pārkāpumiem bija nelieli, vieglāk un lētāk bija samaksāt sodu reizi piecos gados, nekā ieviest pareizu datu apstrādi. Līdz ar to, ja uzņēmums šī likuma prasībām pilnībā iepriekš nav atbildis, tad, protams, šobrīd ir diezgan daudz kas jāpārdomā un jāpārtaisa. Tas attiecas arī uz valsts iestādēm.

Informācijas sagatavošanā izmantoti citāti no lvportals.lv (portāls "Par likumu un valsti") materiāla ("Video: Personas dati un Vispārīgā datu aizsardzības regula"; 2018.01.22.), kas mūsuprāt ļoti populāri un vienkārši izskaidro šīs jaunās datu aizsardzības regulas ideju.