Kopš 2021.gada 1.jūnija ikvienam, kurš ir vakcinējies pret Covid-19 vai to pārslimojis, ir iespēja elektroniski iegūt “Digitālo Covid-19 sertifikātu”, kas darbojas kā “ieejas karte”, lai tā īpašnieks varētu apmeklēt teātri, koncertus, sporta zāli, restorānus, skolu, interešu izglītības pulciņus u.c.; kas darbojas arī citās Eiropas Savienības valstīs un ne tikai.
Datu valsts inspekcijas rīcībā ir informācija, ka palielinoties iedzīvotāju skaitam, kuriem ir pieejams Covid-19 sertifikāts, radies jauna pakalpojuma piedāvājums – Covid-19 ID karte, uz kuras uzdrukāts tās īpašnieka sertifikāta unikāls QR kods.
Informācijas iegūšana no klienta, tās izmantošana drukāšanai, informācijas glabāšana līdz izpildīts pasūtījums, ir klienta personīgās informācijas apstrāde.
Šāda informācija ir jāaizsargā atbilstoši Vispārīgajā datu aizsardzības regulā (Regula) noteiktajām prasībām.
Atbilstoši Regulā noteiktajam, pakalpojuma sniedzējam ir jāizskaidro klientam kādas darbības ar iesūtītajiem datiem un kāda nolūka (mērķa) sasniegšanai tiks darītas.
Klientiem informācijai par to personas datu apstrādi jābūt viegli pieejamai, piemēram, interneta vietnē. Lielākoties klientam sniedzamo informāciju attiecībā uz personas datu apstrādi pakalpojuma sniedzēji apkopo Privātuma politikā, Datu apstrādes noteikumos vai tamlīdzīgā, publiski pieejamā dokumentā..
! Obligāti sniedzamā informācija ir uzskaitīta Regulas 13.pantā. Pakalpojuma sniedzējam pirms personas datu apstrādes uzsākšanas ir jānodrošina visas šajā pantā norādītās informācijas sniegšana klientiem.
Lai izpildītu Regulas prasības, klientiem sniedzama informācija par klienta datu apstrādes likumīgo pamatu atbilstoši Regulai, kas šajā konkrētajā gadījumā būs Regulas 6.panta 1.punkta b) apakšpunkts - līguma izpildes nodrošināšana un ievērojot, ka ziņas par vakcinācijas faktu ir veselības informācija, tad arī Regulas 9.panta 2.punkta a) apakšpunkts - klienta sniegta piekrišana personas datu apstrādei un unikālā QR koda iesniegšana pakalpojuma sniedzējam.
Jāievēro, ka klienta sniegto informāciju drīkst izmantot tikai nolūkos, kādiem tā sniegta. Ja klienta sniegtā elektroniskā pasta adrese, ko tas sniedzis saziņai par konkrētā pasūtījuma izpildi, tiks izmantota reklāmu sūtīšanai, tas būs uzskatāms par pārkāpumu. Pārkāpums būtu arī, ja pakalpojuma nodrošināšanai iegūtie klienta dati bez skaidras šādas rīcības iespējamības atspoguļojuma tiktu pārdoti citam uzņēmumam.
Pakalpojuma sniedzējam jāņem vērā, ka no klientiem drīkst prasīt tikai to informāciju, kas tieši nepieciešama nolūka (šajā gadījumā līguma izpildes par Covid-19 ID kartes izgatavošanu) sasniegšanai, piemēram, pārmērīgi būtu lūgt klientam iesūtīt fotoattēlu, personas apliecinoša dokumenta kopiju vai citu informāciju, kas nav nepieciešama līguma izpildei.
Kā rīkoties ar iegūtajiem datiem, ja pakalpojums ir nodrošināts?
Brīdī, kad pakalpojums ir sniegts (plastikāta kartīte apdrukāta un izsniegta klientam),klienta unikālais QR kods ir dzēšams no pakalpojuma sniedzēja sistēmām. Pakalpojuma sniedzējam ir jāizvērtē laika periods, cik ilgi glabāt klienta unikālo QR kodu, piemēram, drukājamo attēlu nav nepieciešams glabāt ilgāk kā līdz pakalpojuma sniegšanas beigām un īsu laika periodu pēc preces nosūtīšanas, ja klientam ir tiesības vērsties pie pakalpojuma sniedzēja ar pretenzijām par apdrukas kvalitāti (lai risinātu šādu iespējamību un nodrošinātu QR koda dzēšanu pēc iespējas ātrāk, pakalpojuma sniedzējs var lūgt klientam parakstīties, ka informācija ir atbilstoša iesniegtajai). Pakalpojuma sniedzējam ir rūpīgi jāpiedomā pie informācijas glabāšanas loģikas, apzinoties, ka izvēlētie termiņi ir jāspēj pamatot. QR koda glabāšanas termiņam nevajadzētu būt ilgākam par pāris dienām.
Savukārt atbilstoši Likumam Par grāmatvedību, ja saimnieciskā darījuma dalībnieks ir fiziska persona, tad attaisnojuma dokumentā (piemēram, pavadzīme, rēķins, kvīts, čeks) jānorāda pakalpojuma saņēmēja vārdu un uzvārdu, personas kodu (ja personai tāds piešķirts), personas norādīto adresi vai, ja tāda nav norādīta, deklarētās dzīvesvietas adresi un ziņas par klienta vārdu un uzvārdu, atbilstoši normatīvajam regulējumam ir glabājamas grāmatvedības prasību izpildes dēļ – 5 gadus[1].
Pakalpojuma sniedzējam informējot klientus jāizvairās no ģenerālapgalvojumiem, piemēram –“ mēs datus apstrādājam likumīgi!” Tā vietā klientiem sniedzama informācija, kas ļauj izprast pakalpojuma sniedzēja veiktās personas datu apstrādes loģiku, un klienti paši varēs izdarīt secinājumus par apstrādes likumību, godprātību un pieņems lēmumu par labu konkrētajam pakalpojuma sniedzējam.
Pakalpojuma sniedzējam, ņemot vērā iespējamos riskus personas tiesībām un brīvībām, ir jānodrošina, ka no klientiem saņemtā informācija tiek aizsargāta ar atbilstošiem aizsardzības līdzekļiem.
Ievērojot to, ka informācija par personas vakcinācijas faktu vai pārslimošanu ar Covid-19 ir uzskatāma par ziņām par tās veselības stāvokli, konkrētās informācijas aizsardzībai ieviešami stingri drošības pasākumi. Drošības pasākumi jāievieš un jānodrošina ne tikai attiecībā uz informācijas sistēmas drošības risinājumiem uzņēmuma sistēmu aizsardzībai, bet arī darbinieku piekļuvi informācijai (konfidencialitātes prasības, reālas sankcijas kā vērsties pret darbinieku, ja tas izpaudis aizsargājamu informāciju).
[1] https://www.dvi.gov.lv/lv/jaunums/dviskaidro-personas-datu-apstrades-tiesiskais-pamats-kad-apstrade-ir-vajadziga-lai-izpilditu-likuma-noteiktu-pienakumu