Skaidrojumos lietotie saīsinājumi

Datu valsts inspekcija – DVI vai Inspekcija

Vispārīgā datu aizsardzības regula – VDAR vai Datu regula

Fizisko personu datu apstrādes likums – FPDAL

Datu aizsardzības speciālists – DAS

Reģistrācija

Sākot ar 2018.gada 25.maiju tiek piemērota Eiropas Parlamenta un Padomes regula (ES) 2016/679 par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (turpmāk – Regula).

Informējam, ka ievērojot Regulas 89.apsvērumā noteikto, personas datu apstrādes reģistrācijas pienākums pēc Regulas tiešas piemērošanas uzsākšanas vairs nepastāv, līdz ar to pēc Regulas tiešas piemērošanas uzsākšanas Inspekcija personas datu apstrādes reģistrāciju neveic.

Vienlaikus informējam, ka neskatoties uz to, ka sākot ar 2018.gada 25.maiju personas datu apstrādes reģistrācija nav jāveic, pārziņiem jebkurā gadījumā Regulas prasības ir obligātas. Proti, Regulas 5.panta otrajā daļā ir iestrādāts pārskatatbildības princips. Šis princips nosaka, ka pārzinim ir pienākums nodrošināt tādu personas datu apstrādes procesu organizācijā, kas ļauj pierādīt, ka pārziņa veiktā personas datu apstrāde ir atbilstoša datu aizsardzības normatīvā regulējuma prasībām.

Par nepieciešamību norīkot personas datu aizsardzības speciālistu Vispārīgās datu aizsardzības regulas prasību nodrošināšanai  - https://www.dvi.gov.lv/lv/zinas/par-nepieciesamibu-norikot-personas-datu-aizsardzibas-specialistu-visparigas-datu-aizsardzibas-regulas-prasibu-nodrosinasanai/

Datu valsts inspekcija aicina iepazīties ar:

29.panta darba grupas izstrādātajām vadlīnijām un ieteikumiem attiecībā uz personas datu apstrādi un aizsardzību - https://www.dvi.gov.lv/lv/datu-aizsardziba/starptautiska-sadarbiba/publikacijas/ ;

Informāciju par Vispārīgo datu aizsardzības regulu - https://www.dvi.gov.lv/lv/par-regulu-un-datu-aizsardzibu/ ;

Eiropas Komisijas tīmekļa vietni, kas veltīta datu aizsardzības noteikumu reformai -https://ec.europa.eu/info/law/law-topic/data-protection/reform_lv

Jautājumu vai neskaidrību gadījumā aicinām sazināties ar Datu valsts inspekciju konsultāciju laikā, zvanot uz tālruņa numuriem https://www.dvi.gov.lv/lv/konsultacijas 

Ievērojot Vispārīgā datu aizsardzības regulas (turpmāk – Regula) 89.apsvērumā noteikto, personas datu apstrādes reģistrācijas pienākums pēc Regulas tiešas piemērošanas uzsākšanas (2018.gada 25.maijā) vairs nepastāv, līdz ar to Datu valsts Inspekcija personas datu apstrādes reģistrāciju neveic. Ņemot vērā iepriekš minēto, arī personas datu apstrāde veicot videonovērošanu izmantojot videoreģistratoru nav jāreģistrē Datu valsts inspekcijā.

Papildus informējam, ka Fizisko personu datu apstrādes likuma 36.panta pirmā daļa nosaka, ka šā likuma un datu regulas (Regulas) prasības neattiecas uz datu apstrādi, ko fiziskās personas veic, izmantojot automatizētas datu ieraksta ierīces ceļu satiksmē, personiskajām vai mājsaimniecības vajadzībām. Ceļu satiksmē iegūtos ierakstus aizliegts izpaust citām personām un institūcijām, izņemot gadījumus, kad ir konstatējams kāds no datu regulā noteiktajiem datu apstrādes pamatiem (saskaņā ar Regulas 6.panta 1.punktu). Piemēram, gadījumā, kad izmantojot videoreģistratoru, tiek iegūts video materiāls par ceļu satiksmes negadījumu, personai ir tiesības šo video materiālu kā pierādījumu iesniegt policijai, bet ne publicēt to sociālās tīklošanas vietnēs vai nodot to trešajām personām.

 Personas datu aizsardzības speciālists

1. Ja man ir humanitārā augstākā izglītība. Es varu iziet kursus: datu aizsardzības speciālists un kārtot DAS eksāmenu?

Atbilde: Jā.  Noteikumi paredz vienkāršākas prasības pretendentiem – nav noteiktas obligātas izglītības prasības (iepriekš – augstāko izglītību tiesību zinātņu, informācijas tehnoloģiju vai līdzīgā jomā), kā arī nav noteikta obligāta prasība iziet speciālas apmācības pirms eksāmena kārtošanas (lūdzam informāciju skatīt šeit: https://www.dvi.gov.lv/lv/jaunums/ministru-kabinets-apstiprina-datu-aizsardzibas-specialista-kvalifikacijas-noteikumus/).

2. Vēlos pirms DVI DAS eksāmena iziet apmācības. Vai DVI ir saraksts ar apmācību organizētājiem?

Atbilde:  DVI neuztur sarakstu ar komersantiem, kuri veic personu, kuras vēlas kārtot datu aizsardzības speciālista kvalifikācijas eksāmenu, apmācību.

3. Vai DVI sniedz apmācības / kursus, lai sagatavots DAS eksāmenam? 

Atbilde:  DVI neveic tiešsaistes vai arī kāda cita veida mācības personām, kuras vēlas kārtot datu aizsardzības speciālista kvalifikācijas eksāmenu.

4. Kāda ir kārtība pieteikšanai uz personas datu aizsardzības speciālista eksāmenu un kāda ir eksāmena cena

Atbilde: Jāiesniedz iesniegums un jāsamaksā dalības maksa eksāmenā. Noteikumu 4.punkts paredz, ka, lai pieteiktos eksāmenam, pretendents iesniedz DVI iesniegumu. Iesniegumā norāda:

4.1. vārdu, uzvārdu;

4.2. personas kodu;

4.3. elektroniskā pasta adresi;

4.4. tālruņa numuru, ja pretendents kā papildu saziņas veidu vēlas to norādīt;

4.5. ziņas, ka veikta samaksa par eksāmena kārtošanu, vai pievieno maksājumu apliecinošu dokumentu vai tā kopiju (neapliecinātu).

Pamatojoties uz Ministru kabineta 2020.gada 6.oktobra noteikumiem Nr.621 “Datu valsts inspekcijas maksas pakalpojumu cenrādis” datu aizsardzības speciālista kvalifikācijas eksāmena maksa ir 188,78 EUR.

Vēršam uzmanību, ka saskaņā ar spēkā esošo normatīvo regulējumu datu aizsardzības speciālista kvalifikācija vairs nav obligāta prasība un eksāmena kārtošana ir brīvprātīga. 

Vai šobrīd tiek veikta datu aizsardzības speciālistu sertifikācija (kvalifikācijas eksāmens)?

Atbilde:  Noteikumu 3.punkts paredz, ka ne vēlāk kā divus mēnešus pirms eksāmena norises dienas DVI izsludina pieteikšanos eksāmenam, publicējot paziņojumu oficiālajā izdevumā “Latvijas Vēstnesis” un DVI tīmekļvietnē. Paziņojumā norāda eksāmena norises laiku, pieteikšanās termiņu, kā arī maksāšanas un dokumentu iesniegšanas kārtību.

Vienlaikus, lai saņemtu aktuālo informāciju datu aizsardzības jomā, aicinām tai sekot DVI tīmekļa vietnē www.dvi.gov.lv, kā arī sociālajos tīklos: facebook.com (@Datuvalstsinspekcija) un Twitter (@Datu_inspekcija).

PUNKTU ATZĪŠANA

1. Vai var apmeklēto kursu sarakstā ietvert kursus, kas nav minēti DVI mājas lapā?

Piemēram, Coursera, Edx un tml. kursi. Praksē ir virkne labu kursu, bet ne vienmēr  starptautiskie organizatori zina par MK noteikumiem un var tos pieteikt DVI.

Atbilde: Jā, Jūs varat apmeklēt kvalifikācijas celšanas pasākumus, kas nav norādīti Datu valsts inspekcijas tīmekļa vietnē. Vienlaikus, vēršam uzmanību, ka izskatot iesniegumu par kvalifikācijas pagarināšanu, ja mācības personas datu aizsardzības jomā rīko Latvijā reģistrēts mācību organizētājs vai DVI un tie nav pieejami inspekcijas tīmekļa vietnē, punktus par dalību šajās mācībās nepiešķirs.

Ministru kabineta 2020.gada 6.oktobra noteikumu Nr.620 “Datu aizsardzības speciālista kvalifikācijas noteikumi” (turpmāk – Noteikumi) 41.punkts paredz, ka datu aizsardzības speciālists kā pasniedzējs vai mācību dalībnieks var piedalīties inspekcijas, šo noteikumu 42. punktā  minēto mācību organizētāju, citu iestāžu vai juridisku personu, citu valstu datu uzraudzības iestāžu vai mācību iestāžu, datu aizsardzības speciālistu profesionālo organizāciju vai starptautisko datu aizsardzības organizāciju organizētajās mācībās, ja šīs mācības organizētas personas datu aizsardzības jomā vai citā jomā, kas saistīta ar datu aizsardzības speciālista pienākumu izpildi.

2. Ja lekcijas ir publiskas, piemēram, DVI lekcijas par Covid-19 datu apstrādes tēmu un tml. - vai pietiek, ka tiek ietverts uz video pieejams publisks links vai tml., jo ne vienmēr tiek izsniegti sertifikāti, bet saturs var būt ļoti noderīgs.

Atbilde: Nē, tas nebūtu pietiekami. Atbilstoši Noteikumiem jāsniedz informācija, kas apliecina Jūsu dalību pasākumos. Noteikumu 46.punkts paredz, ka Iesniegumam pievieno datu aizsardzības speciālistam pieejamos dokumentus, kas apliecina visu apmeklēto mācību norises ilgumu un to sekmīgu pabeigšanu, informāciju par mācību organizētāju, mācību ievirzi un tēmu, programmu, mācību mērķauditoriju, apliecinājumu par attiecīgo akadēmisko stundu skaitu, kas iegūts, profesionālās kvalifikācijas paaugstināšanas pasākumā piedaloties kā pasniedzējam vai kā mācību dalībniekam.).

Attiecībā uz DVI organizētajām mācībām/semināriem, ja tie netiek publicēti DVI tīmekļa vietnē, tad tie netiek uzskatīti par kvalifikācijas celšanas pasākumu.

3. Kā zināms, DAS kompetenci nosaka zināšanas personas datu apstrādē un IT drošībā. IT drošības kompetenci publiskajā sektorā pārstāv IT drošības pārvaldnieka profesija, kuram atbilstoši normatīvajiem aktiem ir nepārtraukti jāceļ kvalifikācija. Latvijā šo funkciju pilda CERT.LV , kurš organizē mācību seminārus un konferences, to noklausīšanās tiek apliecināta.  Vai DVI atzīst šos CERT organizētos kvalifikācijas celšanas pasākumus (semināri, lekcijas, konferences)  un attiecīgie apliecinājumi var tikt uzrādīti stundu ieskaitei?

Atbilde: Jā. Noteikumu 41.punkts paredz, ka DAS kā pasniedzējs vai mācību dalībnieks var piedalīties inspekcijas, šo noteikumu 42.punktā minēto mācību organizētāju, citu iestāžu vai juridisku personu, citu valstu datu uzraudzības iestāžu vai mācību iestāžu, datu aizsardzības speciālistu profesionālo organizāciju vai starptautisko datu aizsardzības organizāciju organizētajās mācībās, ja šīs mācības organizētas personas datu aizsardzības jomā vai citā jomā, kas saistīta ar datu aizsardzības speciālista pienākumu izpildi.

4. Ja datu speciālists DVI izdotās kvalifikācijas uzturēšanas laikā nokārto vēl starptautisko sertifikāciju datu aizsardzības un/vai IT/drošības jomā, piemēram, IAPP, ISACA sertifikāciju vai tml. – vai šādā gadījumā DVI izdotās kvalifikācijas uzturēšanai  var ieskaitīt, piemēram, vismaz 10 stundas, jo tas ir kā minimums, lai sagatavotos starptautiskai sertifikācijai.

Atbilde: Eksāmena nokārtošana un patstāvīga sagatavošanās tām pati par sevi neliecina, ka tas ir kvalifikācijas paaugstināšanas pasākums MK 620 izpratnē.

Ja ir apmeklēti kādi pasākumi pirms eksāmena, tad pastāv iespēja, ka minēti pasākumi var tikt ieskaitīti kā kvalifikācijas paaugstināšanas pasākums.

5. Vai ikgadējās CPE stundas, kuras ir ieskaitītas iepriekšminēto sertifikācijas uzturēšanas ietvaros (minimums 40h katru gadu) kaut vai daļēji var ieskaitīt kā DVI IT drošības kvalifikācijas uzturēšanas stundas?

Atbilde: Jā, tos var ieskaitīt kā pasākumu citā jomā, kas saistīta ar datu aizsardzības speciālista pienākumu izpildi.

6. Kā tiek ieskaitīti kvalifikācijas punkti DASiem, kas ir lektori? Kā tiek skaitīti punkti gadījumos, kad DASi ir vienlaicīgi gan lektori, gan dalībnieki? Piemēram, DVI 20 gadu konference.

Atbilde: Noteikumu 49.punkts paredz, ka akadēmiskās stundas dubultā apmērā nosaka [..] ja datu aizsardzības speciālists piedalās mācībās kā pasniedzējs (lektors, referents konferencē).

DAS jāizvēlas loma, proti, vai tas ir uzskatāms par lektoru, vai dalībnieku.

7. Vai ilgstošas slimības gadījumā (piemēram gads) vai izmantojot bērna kopšanas atvaļinājumu pagarinās termiņš (šie 3 gadi, attiecīgi attaisnojoša iemesla termiņam), kura laikā ir jāpaaugstina kvalifikācija?

Atbilde: Nē, Noteikumi neparedz šādas atkāpes.

8. Ja DAS kvalifikācijas celšanas pasākumus apmeklēja pirms Noteikumu spēkā stāšanās, vai DVI tos ieskaitīs?

Atbilde: Nē. DAS, kuri šobrīd ir iekļauti sarakstā, trīs gadu periodu skaita no Noteikumu spēkā stāšanās dienas – 2020.gada 9.oktobra, līdz ar ko arī kvalifikācijas celšanas pasākumi tiks ieskaitīti par periodu no šī datuma.

9. Noteikumos norādīts, ka 18 stundas jābūt datu aizsardzības jomā, attiecīgi 18 var būt citā jomā, kas saistīta ar datu aizsardzības speciālista pienākumu izpildi. Kādas jomas ir saistītas?

Atbilde:  DVI nevar nosaukt konkrētas jomas un vērtēs katru gadījumu individuāli.

Noteikumu anotācijā norādīts, ka “Lai neierobežotu speciālistu iespējas celt kvalifikāciju, noteikumu projektā netiek definētas konkrētas jomas, bet gan noteikts, ka par kvalifikācijas paaugstināšanas pasākumu atzīstami arī pasākumi citā jomā, kas saistīta ar datu aizsardzības speciālista pienākumu izpildi.

Ņemot vērā plašo jomu spektru, kas var skart personas datu aizsardzību un zināšanas, kas ļauj sekmīgi pildīt speciālista pienākumus, piemēram, informācijas loģiskā un fiziskā drošība (tai skaitā personas datu drošība), audits, risku analīze un vadība, specifiskas nozares vai jomas procesu padziļināta apguve, informācijas un komunikāciju tehnoloģijas u.tml., nav lietderīgi noteikumu projektā uzskaitīt konkrētas jomas, kurās zināšanu un prasmju paaugstināšana uzskatāma par speciālista kvalifikācijas paaugstināšanas pasākumu. Konkrētā pasākuma atbilstību speciālista kvalifikācijas paaugstināšanas pasākumam izvērtēs inspekcija, ņemot vērā noteikumu projektā noteiktos kritērijus.”

TERMIŅŠ

1. Ja ir jau šobrīd savāktas nepieciešamās 36 stundas - vai informāciju var jau tagad iesniegt DVI?

Atbilde: Termiņš iesniegšanai 2023.gada oktobris-decembris.

2. Vai var informāciju iesniegt pa daļām, piemēram, tagad par iegūtajām 10 stundām, nākamā gadā par atlikušajām stundām. Vai DVI šādā gadījumā savā pusē veiks pilno uzskaiti?

Atbilde: DVI neveic uzskaiti.  Ņemot vērā Noteikumu 46.punktu, visu dokumentu paku vajadzētu iesniegt vienlaicīgi.

FORMA

1. Vai pietiek ar atsauci, ka ir sertifikāts? Vai arī tas uzreiz ir jāpievieno arī Noteikumu pielikuma formai pie iesniegšanas DVI?

Atbilde: Nē, ir jāpievieno sertifikāta kopija (noformēta atbilstoši Ministru kabineta 2018.gada 4.septembra noteikumiem Nr.558 “Dokumentu izstrādāšanas un noformēšanas kārtība”). Noteikumu pielikums paredz šādu norādi “Pievienotais dokuments vai cits informācijas avots, kas apliecina mācību norises laiku, vietu, izskatāmos jautājumus un speciālista dalību pasākumā”.

2. Ja apliecinājums ir kā e-pasta apstiprinājums par iespēju piedalīties kursos - vai šādā gadījumā jātaisa printscreen no sava e-pasta? Un vai šāds dalības apstiprinājums ir pietiekams, jo ne vienmēr tiek izdots pēc tam arī sertifikāts. Piemēram, pēc DVI 20-gades konferences netika izsniegts sertifikāts, ir tikai dalības apstiprinājums.

Atbilde:  Ja sertifikāti netiek izsniegti, tad Jums jāpievieno/jānorāda cits informācijas avots, kas apstiprina Jūsu dalību, piemēram, epasta kopija vai mācību organizētāja apliecinājums/izziņa. Vēršam uzmanību, ka pēc DVI 20-gades konferences sertifikāti tika nosūtīti uz dalībnieka elektroniskā pasta adresi.

3. Ja iesniedz elektroniski - vai obligāti jābūt ar e-parakstu un uz kādu DVI adresi jāsūta? Kā var pārliecināties, ka DVI ir saņēmis - vai būs kāds autoreplay epasts vai tml- lai nerastos strīds par termiņa ievērošanu.

Atbilde: Ja tiek iesniegts elektroniski, tad lai dokumentam būtu juridisks spēks, tad tam ir jābūt parakstītam ar elektronisko parakstu. Dokumentus DVI pieņem uz elektroniskā pasta adresi pasts@dvi.gov.lv, eadresē un Latvija.lv.

Pēc dokumentu saņemšanas, DVI nosūta apstiprinājumu par dokumenta saņemšanu.

1. Kādos gadījumos pārzinim jānorīko DAS?

Atbilde: Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46 EK (Vispārīgā datu aizsardzības regula) (turpmāk – Regula) 37.panta 1.punktā noteikts, ka pārzinis un apstrādātājs ieceļ DAS katrā gadījumā, kad:

a) apstrādi veic publiska iestāde vai struktūra, izņemot tiesas, tām pildot savus uzdevumus;

b) pārziņa vai apstrādātāja pamatdarbība sastāv no apstrādes darbībām, kurām to būtības, apmēra un/vai nolūku dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana plašā mērogā; vai

c) pārziņa vai apstrādātāja pamatdarbības ietver īpašo kategoriju datu saskaņā ar 9.pantu un 10. pantā minēto personas datu par sodāmību un pārkāpumiem apstrādi plašā mērogā.

Gadījumā, ja pastāv kāds no iepriekš minētajiem gadījumiem, dēļ kā ir ieceļams DAS, ir pārziņa izvērtēšanas kompetencē, jo tikai pārzinis var izvērtēt DAS iecelšanas nepieciešamību, izvērtējot visus lietderības apsvērumus. Minētais izvērtējums neliedz DAS iecelt pēc brīvprātības principa.

Papildus minētajam vēršam uzmanību, kas nekas neliedz organizācijai, kurai nav juridiskas prasības (neattiecas Regulas 37.panta 1.punktā minētie kritēriji) iecelt DAS un kura nevēlas iecelt DAS brīvprātīgā kārtā, piesaistīt personālu vai pieaicināt konsultantus, kuru uzdevumi saistās ar personas datu aizsardzību. Šādā gadījumā ir svarīgi nodrošināt, lai attiecībā uz šādu personu amata nosaukumu, statusu, amatu un uzdevumiem nebūtu neskaidrību. Tāpēc ir skaidri jānosaka visā uzņēmuma saziņā, kā arī saziņā ar datu aizsardzības iestādēm, datu subjektiem un plašāku sabiedrību, ka šī persona vai konsultants nav datu aizsardzības speciālists.

2. Vēlējos jautāt, vai pārzinim obligāti ir jāziņo DVI, ja uzņēmumā ir iecelts datu aizsardzības speciālists, vai šāda informēšana ir brīvprātīga? 

Atbilde: Jā, ja Jūs esat iecēluši DAS, tad Jums par viņa iecelšanu būtu jāpaziņo arī Inspekcijai. Regulas 37.panta 7.punkts nosaka, ka pārzinis vai apstrādātājs publisko DAS kontaktinformāciju un paziņo to uzraudzības iestādei.

Eiropas Komisijas 29.panta darba grupas (neatkarīgu ekspertu darba grupa personu aizsardzībai attiecībā uz personas datu apstrādi, kas izveidota atbilstoši direktīvas 95/46/EK “Par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti” 29.pantam) (turpmāk - 29.panta darba grupa) Vadlīnijās par datu aizsardzības speciālistiem, kuras pieņemtas 2016.gada 13.decembrī WP243  (turpmāk – Vadlīnijas) (pieejamas: https://www.dvi.gov.lv/sites/dvi/files/data_content/datu-aizsardzibas-specialistiem_lv1.pdf) norādīts, ka, ja organizācija brīvprātīgā kārtā ieceļ DAS, tā iecelšanai, amatam un uzdevumiem ir piemērojamas 37.–39.pantā izvirzītās prasības, kā tas būtu obligātas iecelšanas gadījumā.

Inspekcija informē, ka paziņot par norīkoto DAS var izmantojot DVI tīmekļa vietnē iekļauto veidlapu “iesniegums par personas datu aizsardzības speciālista iecelšanu” (https://www.dvi.gov.lv/lv/pazinojums-par-datu-aizsardzibas-specialista-iecelsanu ).

 

Personas datu apstrāde

Saskaņā ar VDAR 4.panta 7.punktu par personas datu apstrādes atbilstību VDAR (arī FPDAL) ir atbildīgs pārzinis – fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja šādas apstrādes nolūkus un līdzekļus nosaka ar Savienības vai dalībvalsts tiesību aktiem, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt Savienības vai dalībvalsts tiesību aktos; (šajā gadījumā pārzinis ir mājas pārvaldnieks).

Pārzinim personas datu apstrāde ir jāveic, ievērojot VDAR 6.pantu, proti, apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no VDAR 6.pantā minētajiem pamatojumiem (tas ir, ja pastāv tiesisks pamats). Papildus tiesiskā pamata nodrošināšanai, veicot personas datu apstrādi, ir jāievēro arī VDAR 5.pantā noteiktais , saskaņā ar kuru personas datu apstrādi drīkst veikt tikai atbilstoši paredzētajam mērķim un tam nepieciešamajā apjomā.

Atbilstoši Dzīvojamo māju pārvaldīšanas likuma 14.panta otrajai daļai pārvaldnieka pienākums ir sniegt dzīvojamās mājas īpašniekam aktuālu, nepārprotamu un pilnīgu informāciju par dzīvojamās mājas īpašniekam saistošiem normatīvajiem aktiem un no tiem izrietošajām saistībām, par pārvaldnieka saistībām, kas izriet no pārvaldīšanas uzdevuma, kā arī – pēc dzīvojamās mājas īpašnieka pieprasījuma – par jautājumiem, kas attiecas uz pārvaldīšanas uzdevumu. Līdz ar to, no vienas puses dzīvokļu īpašniekiem ir tiesības uz informāciju, bet, no otras puses, VDAR paredz, ka personas datus ir atļauts izpaust, lai sasniegtu tiesisku mērķi, un tikai tādā apjomā un veidā, kāds ir nepieciešams minētā mērķa sasniegšanai. Tādējādi pirms informācijas par dzīvokļu īpašniekiem apstrādes ir jāizvērtē, vai pastāv tiesisks mērķis plānotajai dzīvokļu īpašnieku datu apstrādei, vai šo mērķi var sasniegt ar iecerēto personas datu apstrādi un vai šo mērķi nav iespējams sasniegt, apstrādājot personas datus mazākā apjomā, citā veidā vai arī neapstrādājot vispār.

Attiecībā uz dzīvokļu īpašnieku tiesībām pieprasīt kopsapulces sasaukšanai nepieciešamo informāciju, DVI paskaidro, ka dzīvokļu īpašnieku kopsapulces sasaukšanas un norises kārtību nosaka Dzīvokļa īpašuma likums. Atbilstoši minētā likuma 19.panta otrajā daļā noteiktajam, uz dzīvokļu īpašnieku kopsapulci ne vēlāk kā nedēļu pirms tās rakstveidā vai citā dzīvokļu īpašnieku kopības noteiktajā kārtībā uzaicināms katrs dzīvokļa īpašnieks. Uzaicinājumā norāda kopsapulces norises vietu, laiku un darba kārtību. Ievērojot uzaicinājumā norādāmo informācijas apjomu, kā arī, lai sasniegtu personas datu apstrādes mērķi – dzīvokļu īpašnieku informēšanu par kopsapulces sasaukšanu, iespējams, nav nepieciešams pieprasīt papildus informāciju no mājas pārvaldnieka un pietiek, ja uzaicinājumā norāda attiecīgā dzīvokļa īpašuma numuru, kopsapulces norises vietu, laiku un darba kārtību, tādējādi veicot personas datu apstrādi tikai tādā apjomā, kāds nepieciešams minētā mērķa sasniegšanai.

Atbilstoši Dzīvokļa īpašuma likuma 19.panta otrajā daļā noteiktajam, dzīvokļu īpašnieku kopība var noteikt arī citādāku kārtību kopsapulces sasaukšanai, līdz ar to atkarībā no dzīvokļu īpašnieku kopības noteiktās kopsapulču sasaukšanas kārtības, attiecīgi izvērtējams nepieciešamais personas datu apstrādes apjoms. Ievērojot iepriekš minēto, gadījumā, ja dzīvokļu īpašnieki ir vērsušies pie mājas pārvaldnieka un saskaņā ar Dzīvojamo māju pārvaldīšanas likuma 14.pantu ir pieprasījuši sniegt informāciju, mājas pārvaldniekam pastāv tiesisks pamats atbilstoši VDAR 6.panta 1.punkta c) un f) apakšpunktam šo informāciju sniegt, minimālā apjomā, proti, kāds nepieciešams mērķa (informēšanai par kopsapulci) sasniegšanai.

Saskaņā ar VDAR  4.panta 1.punktu, personas dati ir jebkāda informācija, kas attiecas uz identificētu vai identificējamu fizisko personu. Ja veicot videonovērošanu var identificēt konkrētu personu, tad VDAR 4.panta 2.punkta izpratnē tiek veikta personas datu apstrāde. Par personas datu apstrādes (videonovērošanas veikšanas) atbilstību VDAR un FPDAL ir atbildīgs pārzinis – fiziskā vai juridiskā persona, valsts vai pašvaldību institūcija, kura nosaka personas datu apstrādes mērķus un apstrādes līdzekļus.

Saskaņā ar FPDAL 36.panta otro daļu, FPDAL un VDAR prasības neattiecas uz datu apstrādi, ko fiziskās personas veic, izmantojot automatizētas videonovērošanas ierīces personiskajām vai mājsaimniecības vajadzībām. Par datu apstrādi personiskajām vai mājsaimniecības vajadzībām netiek uzskatīta publiskās telpas novērošana plašā mērogā vai gadījumi, kad tiek izmantoti tehniskie palīglīdzekļi informācijas strukturēšanai.

Pārzinim ir jāveic videonovērošana kā personas datu apstrāde, ievērojot VDAR prasības (Piemēram, datu subjekta informēšana VDAR 13.pants; FPDAL 36.panta trešā daļa).

Pārzinim personas datu apstrāde ir jāveic, ievērojot:

  • VDAR 6.pants – personas datu apstrāde ir atļauta tikai tad, ja likumā nav noteikts citādi un ja ir vismaz viens no VDAR 6.pantā minētajiem nosacījumiem (tas ir, ja pastāv tiesiskais pamats);
  • FPDAL 36.panta otrā daļa – personas datu apstrāde personiskajām vai mājsaimniecības vajadzībām;
  • VDAR 5.panta 1.punkta a) un b) apakšpunktam – personas datu apstrādi veic tikai atbilstoši paredzētajam mērķim un tam nepieciešamajā apjomā, nodrošinot citu normatīvajos aktos noteiktu prasību ievērošanu;
  • VDAR 13.pants, FPDAL 36.panta trešā daļa – pārzinim ir pienākums informēt par personas datu apstrādi datu subjektus (personas, kuru personas datu apstrāde tiek veikta).

Papildus iepriekš minētajam, DVI informē, ka Dzīvokļa īpašuma likuma 16.panta trešā daļa noteic, ka Dzīvokļu īpašnieku kopības lēmums ir saistošs ikvienam dzīvokļa īpašniekam, ja “par” balsojuši dzīvokļu īpašnieki, kas pārstāv vairāk nekā pusi no dzīvojamā mājā esošajiem dzīvokļu īpašumiem. Līdz ar to, ja dzīvokļu īpašnieku piekrišana netiek iegūta, šāda videonovērošana aizskar Civillikumā noteiktās civilās tiesības, tad pamatojoties uz Civilprocesa likuma 1.panta pirmo daļu un 23.panta pirmo daļu, kopīpašniekam/-iem ir tiesības vērsties šķīrējtiesā vai izmantot mediāciju.

Videonovērošanas kameras var filmēt gan tiešajā laika režīmā (online režīms), gan arī ierakstīt videoattēlus, taču šie videoieraksti nevar būt pieejami visiem iedzīvotājiem. Tikai attiecīgi pilnvarotas personas, piemēram, dzīvokļa īpašnieks, dzīvokļu īpašnieku kopsapulces pārstāvji vai nama pārvaldnieks var piekļūt šiem ierakstiem.

Namu apsaimniekotājiem personas datu apstrādi paredz Dzīvojamo māju pārvaldīšanas likums. Atbilstoši minētā likuma 14.panta ceturtajai daļai, pārvaldniekam ir pienākums savlaicīgi informēt dzīvojamās mājas īpašniekus par atsevišķa dzīvojamās mājas īpašnieka darbību vai bezdarbību (tajā skaitā uz pārvaldīšanas uzdevuma pamata iegūto saistību neizpildi), kas skar vai var skart citu dzīvojamās mājas īpašnieku intereses, kā arī sniegt nepārprotamu un pilnīgu informāciju par šiem jautājumiem pēc atsevišķa dzīvojamās mājas īpašnieka pieprasījuma.

Tādējādi, ja dzīvokļa īpašnieki ir vērsušies pie namu apsaimniekotāja un atbilstoši Dzīvojamo māju pārvaldīšanas likuma 14.pantā noteiktajam, ir pieprasījuši informāciju par dzīvojamās mājas īpašnieka darbību vai bezdarbību, kas skar vai var skart viņu, kā dzīvojamās mājas īpašnieku intereses, namu apsaimniekotājam pastāv tiesisks pamats atbilstoši VDAR 6.panta 1.punkta c) un f) apakšpunktam šo informāciju sniegt apjomā, kas nepieciešams mērķa sasniegšanai. Piemēram, lai vērstos pret šiem dzīvokļu īpašniekiem ar prasību tiesā par parādu samaksu vai citā likumīgā veidā veicinātu parādu samaksu. Līdz ar to, no vienas puses, dzīvokļu īpašniekiem ir tiesības saņemt informāciju, bet no otras puses, saskaņā ar VDAR un FPDAL, personas datus ir atļauts izpaust, lai sasniegtu tiesisku mērķi, un tikai tādā apjomā un veidā, kāds ir nepieciešams minētā mērķa sasniegšanai.

Piemēram, ja kāpņu telpā tiek publicēs attiecīgā dzīvokļa numurs un parādsaistību apmērs (neminot konkrēta dzīvokļa īpašnieka vārdu/uzvārdu), minētais ir uzskatāms par personas datiem VDAR 4.panta 1.punkta izpratnē. Turklāt izvietojot dzīvojamās mājas kāpņu telpā sarakstu ar dzīvokļiem, kuriem ir parādi par apsaimniekošanas un komunālajiem pakalpojumiem (norādot tikai dzīvokļa numuru un parāda apmēru), personas dati tiks izpausti ne tikai citiem dzīvokļu īpašniekiem, bet arī citām personām, kuras ienāk dzīvojamā mājā – dzīvokļu īrniekiem, dzīvokļu īpašnieku, īrnieku viesiem, ģimenes locekļiem, namu pārvaldes darbiniekiem u.c. Līdz ar to, lai gan likumā noteikts, ka pārvaldnieks ir tiesīgs informēt pārējos dzīvokļu īpašniekus, viņš nav tiesīgs to darīt publiski, proti, izvietojot informāciju, kas satur dzīvokļa īpašnieka personas datus, dzīvojamās mājas kāpņu telpā.

Dzīvojamo māju pārvaldīšanas likuma 14.pantā norādīto mērķi – informēt dzīvokļu īpašniekus par atsevišķa dzīvokļa īpašnieka darbību vai bezdarbību (tai skaitā uz pārvaldīšanas uzdevuma pamata iegūto saistību neizpildi), kas ietekmē vai var ietekmēt citu dzīvokļu īpašnieku intereses (piemēram, informēt dzīvokļu īpašniekus, ka parādu par apsaimniekošanas un sabiedriskajiem pakalpojumiem nesamaksāšanas gadījumā var tikt izbeigta atsevišķu pakalpojumu sniegšana) – var sasniegt šādā veidā:

  • sākotnēji izliekot dzīvojamās mājas kāpņu telpā paziņojumu, ka parāda par apsaimniekošanas un sabiedriskajiem pakalpojumiem nesamaksāšanas gadījumā var tikt izbeigta kāda pakalpojuma sniegšana, norādot dzīvojamās mājas kopējo parādu, nevis konkrētu dzīvokļu īpašnieku dzīvokļu numurus un parāda apmērus;
  • un tikai pēc dzīvokļa īpašnieka vai īpašnieku pieprasījuma saņemšanas (tas ir, kad saņemts pieprasījums sniegt informāciju par to, kura tieši dzīvokļa īpašnieks vai īpašnieki un kādu summu ir parādā par apsaimniekošanas un sabiedriskajiem pakalpojumiem), sniegt pieprasīto informāciju, izpaužot personas datus tikai tādā apjomā un veidā, kāds ir nepieciešams minētā mērķa sasniegšanai.

DVI informē, ka saskaņā ar Informācijas sabiedrības pakalpojumu likuma (ISPL) 1.panta pirmās daļas 3.punktā noteikto, komerciāls paziņojums ir jebkāds paziņojums elektroniskā veidā, kas paredzēts tiešai vai netiešai preču vai pakalpojumu reklamēšanai vai arī tāda komersanta, organizācijas vai personas tēla reklamēšanai, kas veic komercdarbību, saimniecisku darbību vai reglamentēto profesionālo darbību. Par komerciālo paziņojumu neuzskata informāciju, kas dod iespēju tieši piekļūt vispārējai informācijai par pakalpojuma sniedzēju un tā darbību (domēna vārds vai elektroniskā pasta adrese).

Komerciālu paziņojumu nosūtīšanas tiesiskais pamats ir noteikts ISPL 9.pantā, proti, komerciālu paziņojumu uz fiziskas personas elektroniskā pasta adresi vai izmantojot citu elektronisku saziņas veidu ir atļauts sūtīt, ja tiek iegūta šīs personas piekrišana vai, ja pastāv visi ISPL 9.panta otrās daļas nosacījumi, papildus ievērojot ISPL 9.panta ceturto daļu. Tādējādi komerciālu paziņojumu sūtīšana ir jāveic ievērojot ISPL un VDAR noteikumus.

Attiecībā uz komerciālu paziņojumu (tie ir zvani, e-pasti u.c.) saņemšanu, DVI norāda, ka tad, ja, piemēram, persona saņem komerciālu paziņojumu, kurā tiek uzrunāta vārdā un uzvārdā (piemēram, SIA “X” zvana Jānim Bērziņam, uzrunājot viņu vārdā un uzvārdā, lai piedāvātu konkrētu preci; elektroniskajā pastā persona tiek uzrunāta: Cien. Jāni Bērziņ, piedāvājam Jums iegādāties…) ir uzskatāma par personas datu apstrādi, jo attiecīgajā gadījumā tiek identificēta konkrēta persona. Savukārt, ja persona saņem komerciālu paziņojumu, kurā netiek uzrunāta vārdā un uzvārdā (piemēram, SIA “X” sastādot telefona numuru pēc nejaušības principa vai adresējot elektronisko pastu: Cien. Klient!), persona nav identificējama, un tādējādi netiek veikta personas datu apstrāde.

DVI informē, ka VDAR neattiecas uz tādu personas datu apstrādi, ko veic fiziskā persona tikai personiska vai mājsaimnieciska pasākuma gaitā (VDAR 2.panta otrās daļas “c” apakšpunkts). Savukārt VDAR 18.apsvērums paskaidro, ka tāda apstrāde nav saistīta ar profesionālu vai komerciālu darbību, kā arī norāda uz to, ka personiski vai mājsaimnieciski pasākumi varētu ietvert korespondenci un adrešu sarakstu turēšanu vai sociālo tīklošanos un tiešsaistes darbības, ko veic saistībā ar šādiem pasākumiem.

No minētā izriet, ka ja kāds personīgos nolūkos publisko foto/video Facebook tīmekļvietnē un tas nav saistīts ar profesionālu vai komerciālu darbību, tas atbrīvo personu no pienākuma ievērot VDAR nosacījumus. Tomēr katrā individuālā gadījumā ir nepieciešams izvērtēt, vai informācija par fizisko personu, kuru padara par publiski pieejamu kāda cita fiziskā persona, ir saistīta ar šīs personas privāto vai ģimenes dzīvi.

Saskaņa ar VDAR 4.panta 7.punktu par personas datu apstrādi ir atbildīgs pārzinis – fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus [..]. Tāpat pārzinim jānodrošina godprātīga un likumīga personas datu apstrāde, tikai atbilstoši paredzētajam mērķim un tam nepieciešamajā apjomā.

Personu apliecinošu dokumentu lietošanā ir jāievēro Personu apliecinošu dokumentu likuma (PADL) 15.panta 3.punktā noteiktais, ka personu apliecinošu vai pagaidu dokumentu ir aizliegts nodot vai pieņemt ķīlā

Normatīvajos aktos ir noteikti atsevišķi izņēmumi, kad ir pieļaujama personu apliecinošu dokumentu izņemšana – tie noteikti PADL 14.pantā. Proti, bez termiņa ierobežojuma personu apliecinošu vai pagaidu dokumentu drīkst izņemt dokumenta izdevējiestāde, tās pilnvarota institūcija, Valsts policija un Valsts robežsardze. Turklāt šāda rīcība atļauta gadījumos, ja persona dokumentu ieguvusi nelikumīgi vai lieto dokumentu, kas kļuvis lietošanai nederīgs, vai arī, mainoties personas tiesiskajam statusam, dokumentu nav nodevusi likumā noteiktajā kārtībā.

Arī autovadītāja tiesības un identifikācijas karte satur personas datus, tādējādi pieļaujama attiecīgā personu apliecinoša dokumenta uzrādīšana, lai identificētu pakalpojuma saņēmēju, nevis dokumentu kopēšana vai pieņemšana ķīlā.

Papildus norādām, ka atbilstoši PADL 12.pantā noteiktajam, personu apliecinoša vai pagaidu dokumenta turētāja pienākums ir glabāt attiecīgo dokumentu, lai tas nenonāktu citas personas rīcībā vai bojājuma dēļ nekļūtu lietošanai nederīgs.

Datu valsts inspekcija (turpmāk – Inspekcija) informē, ka informācijas par radiniekiem iekļaušana dzimtas kokā ir uzskatāma par šo personu datu apstrādi. Eiropas Parlamenta un Padomes 2016.gada 27.aprīļa regulas Nr. 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (turpmāk – Regula) materiālais tvērums noteikts Regulas 2.pantā. Atbilstoši Regulas 2.panta c) apakšpunktam Regula neattiecās uz tādu personas datu apstrādi, ko fiziska persona veic tikai personiska vai mājsaimnieciska pasākuma gaitā. Tāpat Regulas 27.apsvērumā skaidrots, ka Regula netiek piemērota mirušu personu datiem.
Līdz ar to, gadījumos, ja dzimtas kokā iekļautas tikai mirušas personas, vai arī tas tiek veidots tikai un vienīgi personiskā nolūkā, koplietojot datus starp ģimeni, ierobežotu draugu loku vai apli, kura lielums ir ierobežots un kura pamatā ir personiskas attiecības vai noteikta uzticēšanās , tad Regulas prasības uz šādu apstrādi neattiecas.
Savādāk ir gadījumos, kad dzimtas koks tiek demonstrēts trešajām personām, padarīts publiski pieejams. Jautājumā norādītajā gadījumā, kā daļa no publikāciju sērijas elektroniskā mēdijā. Šādos gadījumos pārzinim ir jānodrošina atbilstība Regulas prasībām, kas nozīmētu, ka, apstrādājot datus, jāievēro Regulas 5.pantā noteiktie principi, tai skaitā nodrošinot to, ka apstrādei ir Regulas 6. pantā norādītais tiesiskais pamats (ja dzimtas koka ietvaros tiek apstrādāta informācija par personu īpašās kategorijas datiem, tad jānodrošina Regulas 9.pantā norādītā tiesiskā pamata esība). Datu subjekta (dzīvas fiziskas personas, kuras dati ietverti dzimtas kokā) piekrišana ir viens no iespējamajiem tiesiskajiem pamatiem (attiecīgi Regulas 6.panta 1.punkta a)apakšpunkts) personas datu apstrādes veikšanai, vienlaikus Inspekcija pašlaik neizslēdz, ka šādai apstrādei varētu piemērot arī Regulas 6.panta 1.punkta f)apakšpunktā norādīto tiesisko pamatu – apstrāde nepieciešama pārziņa leģitīmo interešu ievērošanai.
Inspekcija vērš uzmanību, ka šāda tiesiskā pamata izmantošana ir saistīta ar pārziņa pienākumu pirms apstrādes uzsākšanas noteikt līdzsvaru starp pārziņa un datu subjekta interesēm. Informācija par likumisko interešu līdzsvarošanu atrodama darba grupas personu aizsardzībai attiecībā uz personas datu apstrādi (kas izveidota, pamatojoties uz Eiropas Parlamenta un Padomes 1995.gada 24.oktobra Direktīvas 95/46/EK “Par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti” 29.pantu) (turpmāk 29.panta darba grupa) izstrādātajā atzinumā Nr.06/2014 par personas datu apstrādātāja likumīgo interešu jēdzienu saskaņā ar Direktīvas 95/46/EK 7.pantu (pieejams interneta vietnē: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp217_lv.pdf).
Atbilstoši atzinumā sniegtajiem ieteikumiem, līdzsvarošana jāveic, ņemot vērā datu subjekta (Jautājumā norādītajā gadījumā – fiziskās personas, kas iekļauta dzimtas kokā) un pārziņa (persona, kas sastāda dzimtas koku un iespējams persona, kas to publicē) interešu samērīgumu. Interešu samērīgums veicams, sākotnēji definējot nolūku, kura sasniegšanai datu apstrāde nepieciešama (nolūkam jābūt likumīgam, skaidram un reālam), veicot novērtējumu, kāpēc mērķa sasniegšanai nepieciešama personas datu apstrāde (piemēram, kāpēc mērķi nav reāli sasniegt, izmantojot mazākus līdzekļus), veicot sākotnējo līdzsvara novērtējumu (apstrādātāja interešu veids (komercintereses, sabiedrības intereses, pamattiesības u.c.), novērtējot potenciālo kaitējumu, ja apstrāde netiek veikta, datu subjekta statusu (piemēram, nepilngadīgais, pensionārs, nodarbinātais), datu apstrādes veidu, datu subjekta tiesību aizskāruma lielumu, datu subjekta pamatotās gaidas, ietekmes samērojumu ar labumu), piemērotos papildu drošības pasākumus (datu minimizācija, ieviestie tehniskie un organizatoriskie pasākumi u.c.), pārredzamības nodrošināšanu, citu datu subjekta tiesību nodrošināšanu. Ja minētais līdzsvarošanas process nav veikts, personas datu apstrāde nebūs atbilstoša Regulas prasībām. Būtisks iespējams pat izšķirošs apstāklis līdzsvarojuma izvērtējumam varētu būt – kādus pasākumus pārzinis ir veicis, lai informētu dzīvās fiziskās personas par to iekļaušanu dzimtas kokā un tā vēlāku publicēšanu, kā arī vai pastāv vienkārši īstenojami paņēmieni, kā personas var panākt to, ka ar to datiem vairs netiek izdarītas darbības, kas ietilpst Regulas tvērumā.
Papildus iepriekš minētajam Inspekcijas ieskatā šajā gadījumā nepieciešams iezīmēt divu pušu atbildību – dzimtas koku sastādītāja un resursa, kas nodrošina dzimtas koka publicēšanu, atbildību. Pusēm būtu jābūt skaidrām savstarpējām attiecībām un pienākumiem attiecībā uz datu subjektu pieprasījumu izpildi.

Privātuma politika interneta vietnēs

Eiropas Parlamenta un Padomes Direktīvas 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju, turpmāk – Direktīva) 24.apsvērumā ir noteikts, ka elektronisko komunikāciju tīklu lietotāju gala iekārtas un jebkāda uzglabātā informācija par šādām gala iekārtām ir to lietotāju privātās jomas daļa, kam nepieciešama aizsardzība saskaņā ar Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvenciju. Tā sauktās spiegprogrammas, neredzamie pikseļi, slēptie identifikatori un citi instrumenti, lietotājam to nezinot, var iekļūt lietotāja gala iekārtā, lai iegūtu pieeju informācijai, lai uzglabātu apslēptu informāciju vai izsekotu lietotāja darbības, un var nopietni pārkāpt šo lietotāju privātās dzīves neaizskaramību. Šādu instrumentu izmantošanu var ļaut tikai likumīgos nolūkos, par šo instrumentu izmantošanu informējot attiecīgajos lietotājus.

Direktīvas 25.apsvērumā ir noteikts, ka šādi instrumenti, piemēram, tā sauktās sīkdatnes, var būt likumīgi un lietderīgi, piemēram, analizējot tīmekļa vietnes dizainu un reklāmu un pārbaudot to lietotāju identitāti, kas ir iesaistīti tiešsaistes darījumos. Ja šādi instrumenti, piemēram, sīkdatnes, ir paredzēti likumīgam nolūkam, tādam kā veicināt informācijas sabiedrības pakalpojumu sniegšanu, to izmantošana jāatļauj ar nosacījumu, ka lietotājus, saskaņā ar Direktīvu 95/46/EK, nodrošina ar skaidru un precīzu informāciju par sīkdatņu vai līdzīgu instrumentu nolūku, lai nodrošinātu, ka lietotāji uzzina par informāciju, kas izvietota to izmantotajās gala iekārtās. Lietotājiem jābūt iespējai atteikties no sīkdatņu vai līdzīgu iekārtu uzglabāšanas to gala iekārtās. Tas ir īpaši svarīgi, ja lietotājiem, kas nav sākotnējie lietotāji, ir pieeja gala iekārtai un tādējādi jebkurai informācijai, kas ietver sensitīvus personas datus, kas uzglabāti šādās gala iekārtās. Informāciju un tiesības atteikties attiecībā uz dažādiem instrumentiem, kas uzstādāmi lietotāja gala iekārtā, var piedāvāt viena pieslēguma laikā, ietverot arī tālāku šo instrumentu izmantošanu sekojošu pieslēgumu laikā. Veidi, kādos tiek sniegta informācija, piedāvātas tiesības atteikties vai lūgta piekrišana, jāveido lietotājiem iespējami draudzīgāki. Tomēr piekļuve īpašam tīmekļa vietnes saturam var būt atkarīga no sīkdatnes vai līdzīga instrumenta informētas akceptēšanas, ja to izmanto likumīgam nolūkam.

Šajā kontekstā ir svarīgi noteikt nosacījumus, kādi pārlūkprogrammu iestatījumi atbilst Direktīvas 95/46/EK prasībām un piekrišana “saskaņā ar Direktīvu 95/46/EK” līdz ar to ir likumīga.

Pirmkārt, pamatojoties uz likumīgas piekrišanas definīciju un prasībām saskaņā ar Direktīvas 95/46/EK 2. panta h) apakšpunktu vispārīgi nevar uzskatīt, ka datu subjekti ir devuši piekrišanu, vienkārši iegādājoties pārlūkprogrammu vai citu lietotni, kas pēc noklusējuma ļauj vākt un apstrādāt viņu datus. Ir maldīgi vispārīgi uzskatīt, ka datu subjekta rīcības trūkums (datu subjekts nav iestatījis pārlūkprogrammu, lai tā noraidītu sīkdatnes) ir skaidra un viennozīmīga norāde par viņa vēlmēm.

Otrkārt, ja saskaņā ar pārlūkprogrammas iestatījumiem lietotāji piekrīt saņemt visas sīkdatnes, tas nozīmē, ka viņi piekrīt datu turpmākai apstrādei, iespējams, neko nezinot par sīkdatņu izmantošanas nolūkiem un veidiem. Vispārīga piekrišana jebkurai turpmākai datu apstrādei, neko nezinot par šīs apstrādes apstākļiem, nevar būt likumīga piekrišana.

Direktīvas 5.panta 3.punktā ir noteikts, ka dalībvalstis nodrošina, ka elektronisko komunikāciju tīklu izmantošana informācijas uzglabāšanai vai pieejas iegūšanai abonenta vai lietotāja gala iekārtā uzglabātai informācijai ir atļauta tikai ar nosacījumu, ka attiecīgo abonentu vai lietotāju, saskaņā ar Direktīvu 95/46/EK, nodrošina ar skaidru un visaptverošu informāciju, cita starpā, par apstrādes nolūku un piedāvā tiesības liegt datu kontrolierim veikt šādu apstrādi. Tas neliedz jebkādu tehnisku uzglabāšanu vai vienīgi pieeju, lai veiktu vai veicinātu komunikāciju pārraidīšanu elektronisko komunikāciju tīklā, vai kas nepieciešama, lai sniegtu informācijas sabiedrības pakalpojumu, ko skaidri pieprasa abonents vai lietotājs.