#dviskaidro Covid-19 Jaunumi Ziņas
Jautajumi 17.09.2021 semināram un atbildes

Datu valsts inspekcija (turpmāk – Inspekcija) ir sagatavojusi atbildes uz 2021.gada 17.septembra semināra laikā uzdotajiem jautājumiem.

Papildus šeit sniegtajām atbildēm aicinām iepazīties arī ar Inspekcijas interneta vietnē https://www.dvi.gov.lv/lv/dviskaidro sniegto informāciju un gatavotajiem skaidrojumiem.

Atbildēs izmantots saīsinājums Regula - Eiropas Parlamenta un Padomes Regula (ES) 2016/679 par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula)

Divi izplatītākie sūdzību tipi 2020.gadā bija sūdzības par personas datu apstrādi sociālās tīklošanas vietnēs un personas datu apstrādi videonovērošanas veidā. 2021.gads gan vēl nav noslēdzies, tomēr jau tagad var izteikt ticamu minējumu, ka izplatītākās sūdzību jomas būs palikušas nemainīgas.

Sūdzības par personas datu apstrādi sociālās tīklošanas vietnēs lielākoties saistītas ar personu vēlmi panākt savu datu dzēšanu no sociālās tīklošanas vietnes, savukārt attiecībā uz videonovērošanu iedzīvotāji sūdzas par personas datu apstrādi, kas veikta bez atbilstoša tiesiskā pamata vai arī neizpildot Regulas prasības attiecībā uz informācijas par personas datu apstrādi sniegšanu datu subjektiem.

Arī citas Inspekcijā saņemtās sūdzības lielākoties ir saistītas ar nelikumīgi veiktu personas datu apstrādi, neatbilstošu informēšanas pienākuma izpildi, kā arī to, ka pārzinis nav sniedzis vispār/vai nav sniedzis pietiekošā apjomā datu subjekta pieprasīto informāciju par savu personas datu apstrādi.

Attiecībā uz izmantojamajiem avotiem Inspekcija rekomendē sekot līdzi jaunākai Eiropas Savienības tiesu praksei (https://eur-lex.europa.eu/collection/eu-law/eu-case-law.html)

Nozīmīga informācija attiecībā tieši uz Regulas normu piemērošanu ir atrodama Eiropas Datu Aizsardzības Kolēģijas tīmekļa vietnē (https://edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_lv), joprojām ir izmantojams arī tās priekšgājējas Direktīvas 95/46/EK 29.panta darba grupas paveiktais skaidrojošais darbs (https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/index_en.htm) un (https://ec.europa.eu/newsroom/article29/items/itemType/1360). Skaidrojumus un ieteikumus var atrast arī Inspekcijas tīmekļa vietnē.

Aktuālajai informācijai attiecībā uz normatīvajiem aktiem var sekot līdzi (https://www.dvi.gov.lv/lv/normativie-akti), savukārt grozījumiem un to projektiem  (https://www.dvi.gov.lv/lv/sabiedribas-lidzdaliba). Inspekcija vērš uzmanību, ka šeit atrodama arī saite uz Vienoto tiesību aktu projektu izstrādes un saskaņošanas  portālu (http://tap.mk.gov.lv/mk/tap/). Kurā būs rodama aktuālākā informācija par saskaņošanas stadijā esošiem normatīvajiem aktiem.

Informāciju var rast arī Saeimas (https://www.saeima.lv/lv/likumdosana) tīmekļa vietnē un jau pieminētajā Eiropas Savienības tīmekļa vietnē (https://eur-lex.europa.eu/collection/eu-law/pre-acts.html).

Personas dati ir jebkāda informācija, kas ir attiecināma uz identificētu vai identificējamu personu. Tālruņa numuru var uzskatīt par identifikatoru, tomēr par personas datiem tas taps, ja tiks izmantots kontekstā ar kādu citu uz personu attiecināmu informāciju. Nr. +37167686029 nav personas dati, bet informācija – šis numurs ir Datu valsts inspekcijas Prevencijas nodaļas vadītāja vietnieka darba tālruņa numurs jau varētu tikt uzskatīts par personas datiem.

Arī Eiropas Savienības tiesu prakse attiecībā uz telefona numura uzskatīšanu par personas datiem ir saistīta ar šī numura apstrādātāja iespēju saistīt numuru ar konkrētu identificējamu personu. Piemēram, Facebook vai Whatsapp ir iespējas konkrētu numuru saistīt ar konkrētu personu un tās paradumiem un interesēm, līdzīgas iespējas būs arī telekomunikāciju pakalpojumu sniedzējiem. Savukārt, gadījumos, kad telefona numurus apstrādātu personas kurām nav priviliģētas informācijas, bez nolūka šādu informāciju iegūt tos par personas datiem neuzskatīs.

Tiesības pieprasīt personas datu dzēšanu noteiktas Regulas 17.panta 1.punktā. Šīm tiesībām Regulas 17.panta 3.punktā ir noteikti ierobežojumi. Līdz ar to sākotnēji būtu jāidentificē attiecībā uz kādiem tieši SIA rīcībā esošiem datiem (un ar kādu tiesisko pamatu apstrādātiem) bijušā valdes locekļa pieprasījums ir adresēts. Piemēram, pieprasījums dzēst personas datus nebūs pamatots attiecībā uz tādiem datiem, kas apstrādājami izrietoši no speciālo normatīvo aktu prasībām (piemēram, Komerclikuma, likuma Par grāmatvedību, Arhīvu likuma u.c.), jo šādos gadījumos prasību datus dzēst nevar pamatot ar 17.panta 1.punktā minēto, tāpat jebkurā gadījumā datu apstrādei būtu piemērojams Regulas 17.panta 3.punkta b) apakšpunktā minētais izņēmums.

Šī būs fizisko personu datu apstrāde, vienlaikus tai var būt piemērojami Fizisko personu datu apstrādes likuma 32.pantā minētie izņēmumi attiecībā uz vārda un informācijas brīvību. Inspekcija vērš uzmanību, ka Eiropas Savienības tiesa ir secinājusi, ka “proti, kad policijas darbinieki tiek filmēti policijas iecirknī paskaidrojumu pieņemšanas laikā un kad šādi veiktais videoieraksts tiek publicēts Interneta vietnē, kurā lietotāji var nosūtīt un apskatīt videoierakstus un dalīties ar tiem, var būt personas datu apstrāde tikai žurnālistikas nolūkiem minētās tiesību normas izpratnē, ja no minētā videoieraksta izriet, ka tā filmēšanas un publicēšanas vienīgais mērķis bija publiskot informāciju, viedokļus vai idejas, un tas ir jāpārbauda iesniedzējtiesai”. Inspekcija ņem vērā, ka youtubera veiktā personas datu apstrāde var būt saistīta arī ar tā komercmērķiem attiecībā uz sekotāju piesaisti, vai produktu reklamēšanu un nav saistīta tikai ar informāciju, viedokļu vai ideju apmaiņu. Līdz ar to vai youtubera veiktajai apstrādei piemērojas izņēmumi no Regulas vai arī tam veicot konkrēto ierakstu ir jānodrošina atbilstība visām Regulas prasībām ir saistīts ar konkrētā ieraksta veikšanas apstākļiem..

Arī atbilde uz to, vai ieraksts izdarīts tiesiski vai nē būs saistīta ar konkrēto situāciju.

Atbilstoši Informācijas sabiedrības pakalpojumu likumā noteiktajam veikalam šāda prakse būtu jāpārtrauc un Jums ir tiesības vērsties ar sūdzību Inspekcijā. Inspekcijai ir pienākums izskatīt sūdzību ja kalendārā gada ietvaros saņemti vairāk kā desmit paziņojumi no viena sūtītāja. Vienlaikus Jūs varat Inspekcijā vērsties arī par Jūsu personas datu nelikumīgu apstrādi, tomēr šajā gadījumā Jums būtu jādemonstrē vai nu, ka e-pasts adresēts tieši Jums, vai arī, ka pārzinis nepilda kādu Regulas prasību (piemēram, neņem vērā to, ka atsaucat piekrišanu komerciālu paziņojumu saņemšanai, vai arī, ka lūdzat dzēst savus datus).

Nedaudz atšķirīgs gadījums varētu būt, ja reklāmas saņemat ar kāda servisa piedāvātāja starpniecību. Piemēram, atsevišķi pasta servisi piedāvā savas elektroniskā pasta kastītes izveidi un uzturēšanu apmaiņā pret to, ka saņemat tajā e-pastus ar reklāmām.

Tā var būt tiesiska, ja tiek veikta godprātīga un likumīga mērķa sasniegšanai nepieciešamajā apjomā.

Pieņemot, ka kamera vērsta uz ārpus lokomotīves notiekošā filmēšanu:

Sākotnēji nepieciešams precīzi noteikt mērķi ņemot vērā, ka ieraksts var tikt izmantots drošības politikas pilnveidošanai, informācijas iegūšanai apdrošināšanai, negadījuma izmeklēšanai. Tad noteikt kameras regulējumu kas ir atbilstošākais mērķa sasniegšanai, un tad veikt līdzsvara novērtējumu starp pārziņa un datu subjektu interesēm.

Pieņemot ka kamera vērsta uz mašīnistu lokomotīves iekšpusē:

Tāpat nosakāms mērķis – piemēram, darba kvalitātes kontrolei. Tāpat veicams līdzsvarošanas novērtējums. Vienlaikus šajā gadījumā ievērojot, ka mašīnists tiks novērots visu laiku atrodoties darba vietā darba devēja apsvērumiem, kāpēc interešu līdzsvars tomēr ir par labu darba devējam ir jābūt izvērstiem un rūpīgi pamatotiem. Eiropas datu aizsardzības uzraugs un Eiropas datu aizsardzības kolēģija ir pauduši viedokli, ka nepārtraukti veikta darbinieka videonovērošana ir invazīvs un privātumam nedraudzīgs veids, kur vairumā gadījumu darba devēja interese nav pamatojama.

Ja personas datu apstrādei ir nodrošināts cits tiesiskais pamats tad var. Nav izslēgti gadījumi kad informācijas iegūšanas pienākumu par jauno darbinieku var noteikt likums (piemēram, attiecībā uz pārbaudi par to, ka inkasatoriem nevar būt iepriekšējas sodāmības), šādu apstrādi var balstīt arī uz pārziņa leģitīmajām interesēm – tomēr šajā gadījumā ir īpaši svarīgi no darba devēja puses veikt rūpīgu līdzsvarošanas testu. Saprotams, ka informācijas par kompānijas finanšu direktoru vākšanai var būt krietni vairāk pamata, kā piemēram, vērtējot kāds ir bijis sētnieka amata kandidāta līdzšinējais dzīvesgājums.

Līdzsvarošanas testa veikšana un līdz ar to informācijas izprasīšanas pamatošana būs darba devēja pienākums. Inspekcija vērš uzmanību, ka ne visos gadījumos būs iespējams pamatot kāpēc ir nepieciešams ievākt informāciju par jaunpieņemamu darbinieku.

Ārstniecības iestādes tiesības rīkoties ar pacienta informāciju nosaka speciālie tiesību akti, tai skaitā Pacientu tiesību likums. Atbilstoši šim normatīvajam aktam darba devējs no ārstniecības iestādes var saņemt informāciju tikai Pacientu tiesību likuma 10.panta piektās daļas 14.punktā noteiktajā gadījumā

14) nelaimes gadījumā darbā cietušā nodarbinātā darba devējam — nelaimes gadījuma darbā izmeklēšanai saskaņā ar normatīvajiem aktiem, kas regulē nelaimes gadījumu darbā izmeklēšanas un uzskaites kārtību;

Ja vien ārstniecības iestādes rīcību nav noteikusi kāda cita prasība, kuru nav iespējams secināt no jautājuma, tad šāda veida saziņai ar darba devēju nav pamata.

Darba devēja veikta klātienes apmācību organizācijas uzraudzība neietilpst Inspekcijas kompetencē. Sertifikātu pārbaudot, bet ziņas par šādu pārbaudi nesaglabājot kādā informācijas sistēmā (neizdarot atzīmes par nodarbinātā statusu) netiek veikta personas datu apstrāde kas ietilptu Regulas tvērumā.

Vai darba devējam ir tiesības sarakstā nodalīt vakcinētos un pārslimojušos darbiniekus, ņemot vērā, ka procesa plānošanas ietvaros ilgtermiņā nepieciešams zināt, kam ir sertifikāts, jo tam nav noteikts derīguma termiņš, atšķirībā no pārslimošanas apliecības, kam ir 180 dienas.

Par šo jautājumu Inspekcija ir sagatavojusi un publicējusi skaidrojumu - https://www.dvi.gov.lv/lv/jaunums/dviskaidro-apliecinajums-par-vakcinesanos-vai-parslimosanu-ar-covid-19

Izmantojiet veselo saprātu. Regulā nav ietverti īpaši aizliegumi datu apstrādei, bet jāievēro noteikti principi. Sludinājuma/Nekrologa/Paziņojuma tekstam jābūt tādam lai tā adresāts nejustos aizskarts. Jāiekļauj informācija, kas ļautu sasniegt mērķi - izteikt līdzjūtību kolēģim neatklājot informāciju, ko kolēģis uzskatītu par pārāk privātu.

Jautājums - darba aizsardzībā būvniecībā ir prakse, ka galvenais būvuzņēmējs pieprasa no apakšuzņēmēja iesniegt visādu apakšuzņēmēja darbinieku dokumentu kopijas, sākot no instruktāžu žurnālu kopijām, darbinieku dažādu kvalifikācijas apliecību apliecinošu  dokumentu kopijas, līdz obligāto veselības pārbaužu kopijām (veselības dati). Normatīvais regulējums  (MK Nr.92 "Darba aizsardzības prasības, veicot būvdarbus") paredz tikai to, ka būvuzņēmējam galvenajam būvuzņēmējam ir jāiesniedz tikai būvlaukumā nodarbināto darbinieku saraksts, kuru izmanto arī nodarbināto apliecību sagatavošanai. Vai galvenajam būvuzņēmējam ir tiesības pieprasīt iesniegt visu iepriekšminēto apakšbūvuzņēmēja darbinieku dažādos dokumentus, ko neprasa normatīvie akti, tikai tāpēc, ka viņi to prasa vai šādas prasības ir iestrādājuši savstarpējā līgumā?

Viens no datu apstrādes principiem nosaka, ka nevar apstrādāt datus lielākā apjomā kā nepieciešams mērķa sasniegšanai. Šajā gadījumā ja mērķis ir normatīvo aktu prasību izpilde, tad pieprasīt piemēram darba līguma kopiju nebūtu pamatoti, jo atbilstoši normatīvajam regulējumam pietiktu iegūt informāciju par līguma noslēgšanas datumu un tā numuru.

Vienlaikus Inspekcija neizslēdz, ka mērķis kura sasniegšanai tiek prasīti līgumi ir kāds cits, ne normatīvo aktu prasību izpilde. Iemeslus personas datu apstrādei nepieciešams noskaidrot līguma slēgšanas laikā, savukārt darbiniekiem ir tiesības vērsties ar datu subjekta pieprasījumu pie informācijas pieprasītāja tad, kad to dati ir tikuši nodoti.

Šis jautājums neietilpst Inspekcijas kompetencē. Aicinām vērsties pie Valsts Darba inspekcijas.

Uzņēmums drīkst prasīt uzrādīt pases kopiju, bet ne to iesniegt. Inspekcija attiecībā uz šo jautājumu ir sagatavojusi skaidrojumu - https://www.dvi.gov.lv/lv/jaunums/dviskaidro-vai-drikst-apstradat-personas-datus-darba-tiesiskajas-attiecibas-2-liguma-izpilde

Savukārt attiecībā uz darbinieka foto izmantošanu Inspekcija norāda, ka šis varētu būt viens no izņēmuma gadījumiem, kad varētu būt pamatota piekrišanas izmantošana darba tiesiskajās attiecībās. Var saskatīt analoģiju ar dzimšanas datuma norādīšanu intranetā ko Inspekcija ir skaidrojusi savā skaidrojumā https://www.dvi.gov.lv/lv/dviskaidro-vai-drikst-apstradat-personas-datus-darba-tiesiskajas-attiecibas-1

Kā ir ar biometrijas datiem, kas ir jādara no darba devēja puses, lai varētu izmantot šos datus. Kāpēc plānojam tādus izmantot - lai iekļūtu uzņēmuma teritorijā vai konkrētās telpās. netiks izmantoti, lai uzskaitītu darba laiku. Biometrija - gan pirkstu nospiedumi, gan sejas atpazīšana

Ievērojot, ka plānojat izmantot īpašas kategorijas datus, lielākais izaicinājums varētu būt nodrošināties ar atbilstošu tiesisko pamatu. Jūsu gadījumā nepieciešams atrast nevien Regulas 6.pantā norādīto tiesisko pamatu, bet arī Regulas 9.pantā norādīto izņēmumu, kad drīkst veikt īpašo kategoriju personas datu apstrādi.

Vilinošākais būtu pamatoties uz darbinieku piekrišanu. Vienlaikus šajā gadījumā tiem darbiniekiem, kas nevēlas piekrist šādai apstrādei ir jānodrošina reāla un līdzvērtīga alternatīva, kas no uzņēmuma viedokļa var nebūt praktiski un iespējams. Kā jau minēts iepriekš - piekrišanas izmantošana darba tiesiskajās attiecībās ir problemātiska, īpaši gadījumos, kur darbiniekam nepiekrītot apstrādei iestājas negatīvas sekas.

Ņemot vērā Inspekcijas pieredzi šādu apstrādi ieviešot būs sarežģīti nodrošināt atbilstību Regulas prasībām.

Regula neattiecas uz tādu personas datu apstrādi, kas skar juridiskas personas un jo īpaši uzņēmumus, kuriem ir juridiskas personas statuss, tostarp juridiskās personas nosaukumu, uzņēmējdarbības formu un kontaktinformāciju. Līdz ar to apstrādājot informāciju par pašnodarbinātu personu tās profesionālās darbības kontekstā netiek veikta personas datu apstrāde, citādi būtu, ja šī pati informācija tiktu apstrādāta attiecinot to uz šo pašu personu kā fizisku personu.

Reģistrācijas numura izmantošana lai atrastu ārstu ārstniecības personas reģistrā – ziņas par pašnodarbinātu personu. Personas koda izmantošana, lai noskaidrotu kur šai pašai personai ir deklarētā dzīvesvietas adrese lai aizsūtītu tai komerciālu piedāvājumu – nelikumīga ziņu apstrāde par fizisku personu.

Jūs minējāt, ka nedrīkst esošajam klientam sūtīt mārketingu, bet ja sūta esošajam klientam informāciju par līdzīgām precēm, dodot iebilst gan sākotnēji, gan pēc tam...Informācijas sabiedrības informācijas likums šo pieļauj. Vai DVI interpretācija ir mainījusies?

Inspekcijas interpretācija nav mainījusies. Sūtot komerciālus paziņojumus ir jāievēro Informācijas sabiedrības pakalpojumu likuma 9.panta prasības.

Vai, lai banka noteiktu spēju atmaksāt kredītu tiesiskais pamats būs piekrišana? Vai pamats tomēr nebūs PTAL likuma izpilde, jo kredītiestādei ir pienākums veikt šo izvērtējumu? Attiecīgi persona tiek informēta, bet netiek prasīta piekrišana.

Taisnība, šajā gadījumā tiesiskais pamats nebūs personas piekrišana. Ir strīdīgi vai to var uzskatīt par apstrādi, kas veikta sabiedrības interesēs, leģitīmās intereses nodrošināšanai – tā nebūs veikta likuma prasības izpildei, jo normatīvajā aktā izvirzītā prasība padziļinātās izpētes veikšanai nav precīzi atrunāta un tiek veikta atbilstoši kredītiestādes ieskatiem. Vienlaikus ievērojot, ka šī apstrāde sākotnēji tiek veikta atbilstoši identificētai sabiedriskai vajadzībai, tad var argumentēt, ka tas nepieciešams tieši šī Regulas 6.panta 1.punkta e) apakšpunktā noteiktā mērķa sasniegšanai.

Labdien. Sniedziet lūdzu papildus (VDAR jau minētajām norādēm par nolūkiem un līdzekļiem..) informāciju, pēc kuras vadīties, lai pareizi varētu noteikt pārziņa/apstrādātāja lomu. Piemēram, situācijās, kur ZAB veic izpētes un sniedz ziņojumus (bet ne auditu), vai kur telekomunikāciju operators sniedz pakalpojumu, vai grāmatvedis sniedz pakalpojumu - pārsvarā gadījumu šie pakalpojumu sniedzēji sevi definē arī kā pārziņus, lai gan varētu domāt, ka tieši pakalpojuma saņēmējs nosaka, ko viņam vajag. Pēc kāda principa vadīties līdzīgās situācijās?  Paldies!

Pārziņa apstrādātāja lomas noteikšanai lūdzam vadīties ievērojot Eiropas datu aizsardzības kolēģijas vadlīnijas https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_lv

Vienkāršots skaidrojums attiecībā uz pārziņa apstrādātāja lomas noteikšanu atrodams arī Inspekcijas interneta vietnē https://www.dvi.gov.lv/lv/jaunums/dviskaidro-kas-ir-parzinis.

Attēla avots: freepik.com