#dviskaidro Jaunumi Ziņas
Jautajumi 17.09.2021 semināram un atbildes

Kā rīkoties, ja ir saņemti vai atrasti kļūdaini nosūtīti personas dati, kā neapdraudēt personu, kuras dati ir tikuši izpausti un kā pašam šo situāciju nepadarīt vēl sliktāku, skaidrojam kārtējā #DVIskaidro rakstā.

Ievērojot to, ka kļūdaini nosūtītas informācijas saņēmējs var būt gan iedzīvotājs, gan arī organizācija, šajā skaidrojumā norādītais būs attiecināms, gan uz tādiem informācijas saņēmējiem, kas ir fiziskas personas (iedzīvotājs), gan arī dažādām organizācijām. 

Tāpat vēršam uzmanību, ka minētais skaidrojums attiecināms tikai uz personas datu apstrādes aspektu analīzi. Skaidrojumā apzināti netiek skarti uz korespondences konfidencialitātes nodrošināšanu un, piemēram, uz pasta likuma prasību ievērošanu attiecināmie jautājumi.

Skaidrojums ir attiecināms tai skaitā uz gadījumiem, kad:

  1.  Savā pasta kastītē atrasta vēstule, kas adresēta nepazīstamai personai no kādas organizācijas. Uz aploksnes norādīts saņēmēja vārds, uzvārds un pasta adrese, kā arī sūtītāja informācija;
  2. Organizācijas lietvedība atver sūtījumu, maldīgi pieņemot, ka sūtījums adresēts organizācijai un konstatē, ka tajā ir personas dati;
  3.  Pie atkritumu tvertnes netālu no kāda uzņēmuma atrasti dokumenti, kuri satur fizisku personu datus. Visticamāk, šiem dokumentiem bija jābūt iznīcinātiem, tomēr to glabātājs nav pārliecinājies, ka tie pirms izmešanas atkritumos, tiktu arī sasmalcināti, tādā veidā novēršot, ka privāta informācija nonāk trešo personu rokās;
  4. Organizācijas vai personīgajā elektroniskā pasta kastītē saņemts sūtījums, kuram pievienots rēķins apmaksai, lai tiktu uzsākta pasūtījuma apstrāde un komplektēšana. Rēķins satur citas personas vārdu, uzvārdu, elektroniskā pasta adresi, pasta adresi un ziņas par pirkumu;
  5.  Persona savā mobilajā telefonā saņem SMS, kurā sūtīts atgādinājums, ka konkrētai personai (norādot vārdu un uzvārdu) nākamajā dienā jāierodas ārstniecības iestādē, lai apmeklētu kardiologu;
  6. Klients, kurš grib iesūtīt bojāta produkta attēlu, netīšām nosūta savu brīvdienu attēlus;
  7. Ofisa apmeklētājs netīšām aizmirst savus personīgos dokumentus vai atmiņas nesēju.

 

Ko darīt?

  • Saņemot vai atrodot informāciju, kas satur cita iedzīvotāja personas datus un kura nav adresēta personai, kura to saņēma, ir jārīkojas ievērojot cieņu pret citu personu, tās datiem un tiesībām uz tās datu aizsardzību. Jāņem talkā veselais saprāts, nedarot citai personai to, ko negribam, lai dara mums pašiem.
  • Nepieciešams identificēt, kas ir informācijas sūtītājs – kurš vai kā vārdā ir izpaudis personas datus.
  • Jāiegūst šīs organizācijas vai personas kontaktinformācija, piemēram, atrodot to tīmeklī vai, iespējams, tā ir norādīta jau pašā saņemtajā informācijā.
  • Nepieciešams informēt organizāciju par notikušo atgadījumu un ievērot tās noteikto instrukciju rīcībai šādos gadījumos, tai skaitā, ja nepieciešams – atgriezt informāciju vai dzēst to no savām ierīcēm vai kā citādi neatgriezeniski iznīcināt. Ja personas datus ir izpaudusi pati persona, informēt par to un dzēst kļūdaini saņemtos datus.

 

Ko nedarīt?

  • Neapskati un neatver sev neadresētus sūtījumus, izmanto minimālu izpēti vien lai identificētu nosūtītāju, kurš jāinformē par radušos situāciju, ja tas ir iespējams.
  • Necenties atrast īsto informācijas adresātu – ļauj nosūtītājam šo situāciju atrisināt pašam.
  • Nepublicē saņemto informāciju, tā pasargājot sevi (no Datu regulas [1] pārkāpuma) un iedzīvotāju, par kuru informācija ietverta sūtījumā (no viņa personas datu nelikumīgas un nekontrolētas apstrādes) no nevēlamām sekām.

 

Iespējamās sekas

Ja saņemtā informācija tiek izpausta trešajām personām (publicēta sociālajos tīklos, pārsūtīta vai citādi apstrādāta), iedzīvotājs pats var kļūt par datu apstrādes pārzini [2], un ja šādai datu apstrādei nebūs piemērojams atbilstošs tiesiskais pamats [3], tas pārkāps datu regulas prasības. Datu regulas prasību pārkāpums būs smagāks, ja informācija satur īpašu kategoriju datus. [4] Gadījumā, ja iedzīvotājs pastāvīgi rīkojas ar kļūdaini saņemto informāciju, nevar izslēgt arī iespējamu pret viņu vērstu civilprasību, gan no iedzīvotāja kura dati tiek apstrādāti, gan arī no organizācijas kura kļūdaini nosūtījusi datus puses.

Organizācijām tas praktiski nozīmē, ka savās personas datu apstrādes iekšējās kārtībās ir nepieciešams paredzēt rīcību ar to pārziņā nejauši/kļūdas pēc nonākušiem personas datiem. Tai skaitā paredzot par informācijas tālāku apstrādi atbildīgo, kā arī šādas informācijas atgriešanas un/vai uzglabāšanas procedūru.

Datu aizsardziba

INFORMATĪVAS ATSAUCES:

[1] Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016.gada 27.aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula)

[2] Pārzinis ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja šādas apstrādes nolūkus un līdzekļus nosaka ar Savienības vai dalībvalsts tiesību aktiem, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt Savienības vai dalībvalsts tiesību aktos. Datu regulas 4.panta 7.punkts.

[3] Apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no Datu regulas 6.panta 1.punktā minētajiem pamatojumiem.

[4] Īpašu kategoriju personas dati ir personas dati, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde. Datu regulas 9.panta 1.punkts.