Lai kādā profesijā un nozarē mēs strādātu, veicot savus darba pienākumus, mūsu rīcībā tiešā vai netiešā veidā nonāk citu personu- kolēģu, iedzīvotāju, klientu - dati. Lai arī šai informācijai varam piekļūt un to varam iegūt dažādos veidos, pirms tam būtu jāapdomā – vai tas, ko ar datiem plānojat darīt, būs likumīgi?
Šajā skaidrojumā koncentrēsimies uz datu apstrādi, izmantojot informācijas sistēmas un datubāzes, kurās ir personu dati un kurām piekļuve tiek piešķirta darba tiesisko attiecību vai civildienesta ietvaros*.
Visbiežāk informācijas sistēmas un datubāzes (turpmāk- Sistēmas), kas satur personas datus un kurām ir piekļuve nodarbinātajiem, ir valsts nozīmes informācijas sistēmas, piemēram, Fizisko personu reģistrs, klientu datubāzes - komercdarbības ietvaros, tomēr jāpatur prātā arī organizācijas lietvedības sistēmas, kurās parasti tiek glabāti klientu iesniegumi u.c. saņemtie dokumenti.
Parasti organizācija (vai arī citos gadījumos- normatīvie akti) nosaka, kuri darbinieki varēs piekļūt visai vai kādai konkrētai informācijai, kā arī nosaka to, kādas darbības ar datiem ir atļautas. Darbiniekiem atbilstoši to veicamajiem darba pienākumiem tiek piešķirtas noteiktas lomas. Savukārt nodarbinātais ar savā rīcībā esošo informāciju var rīkoties, nepārkāpjot darba devēja vai normatīvajos aktos noteiktās robežas un skaidri apzinoties datu apstrādes [1] mērķi.
Pirms uzsākt jebkādas darbības ar datiem, ir jāpārliecinās, ka rīkojamies normatīvajos aktos vai darba devēja noteikto pilnvaru ietvaros. [2]. Personiska interese vai ziņkārība nudien nav atbilstošs pamats, lai ieskatītos datubāzē. Tāpat, neskatoties uz to, ka jums ir piekļuve lielam informācijas apjomam, skatīt var tikai tik, cik nepieciešams mērķa sasniegšanai.
Piemērs. Pašvaldība savā pastkastītē saņēmusi iesniegumu no iedzīvotāja, kurā norādīts tikai iesniedzēja vārds, uzvārds un personas kods. Lai iestāde sniegtu atbildi uz iesniegumu, tai nepieciešams uzzināt iedzīvotāja deklarēto dzīvesvietas adresi (ja nav izveidots E-adreses konts [2]). Lai to uzzinātu, iestādes nodarbinātais, kuram jāsniedz atbilde uz iesniegumu, iegūst iesniedzēja deklarēto dzīvesvietas adresi no Fizisko personu reģistra, izmantojot personas kodu. Ja konkrētajam darbiniekam nav piekļuves reģistram, adresi var iegūt kāds cits kolēģis, kuram šāda piekļuve ir.
Piemērā norādītajā situācijā jāņem vērā, ka nodarbinātais, kas piekļūs Fizisko personu reģistrā pieejamajiem konkrētā iesniedzēja datiem, nemeklē un neapskata informāciju par iesniedzēja radiniekiem vai citu konkrētajam mērķim nevajadzīgu informāciju, jo tās apstrādei nav atbilstošs tiesiskais pamats.
Informācijas sistēmu ko mums piešķīris darba devējs izmantošana noteikti nebūs atbilstoša Datu regulai [3] ja tās vienīgais izmantošanas pamats ir:
- ziņkārība;
- fakts, ka apskatāmā persona ir radinieks;
- fakts, ka informācija ir pieejama;
- atriebība vai cita veida kaitniecība;
- citi likumiski nepamatojami un privāti mērķi.
Savukārt organizācijai, kura piešķir saviem nodarbinātajiem pieeju Sistēmām, jānodrošina (ja tehniski tas ir iespējams), ka nodarbinātais piekļūst tikai tai informācijai, kas nepieciešama sava amata pienākumu veikšanai. Tāpat stingri jāatrunā, kā apstrādāt īpašu kategoriju personas datus. [4] Organizācijai jārēķinās, ka datu apstrādes pārkāpuma gadījumā vispirms skaidrojumi tiks prasīti tieši no pašas organizācijas. Piemēram, par ieviestiem drošības pasākumiem, darbinieku apmācībām un informēšanu par darbībām ar datiem.
Atbildība par datu izmantošanu sākotnēji gulstas uz organizācijas pleciem. un tā par datu apstrādi atbild tiktāl, kamēr nodarbinātais nesāk izmantot personas datus neatbilstoši organizācijas nospraustajiem mērķiem un neievērojot organizācijas noteikto kārtību datu apstrādei. Ja var pierādīt, ka darba vieta visu ir nodrošinājusi, bet nodarbinātais nav ņēmis vērā skaidroto un tā rīcībā esošos personas datus izmantojis savām privātajām vajadzībām, pie atbildības pārkāpuma gadījumā var saukt pašu nodarbināto.
Piemēri. Ārstniecības iestādes ārstam, kurš ir šīs iestādes nodarbinātais, ir pieeja E-veselības informācijas sistēmai, lai nepieciešamības gadījumā aplūkotu un/vai ievadītu informāciju par saviem pacientiem. Ārsta kā fiziskas personas rīcībā ir arī sievasmātes personas kods, un, intereses vadīts, viņš nolemj apskatīt, vai sievasmātei tika izrakstītas recepšu zāles, kuras jāiet saņemt aptiekā.
Vīramāte, kura ir ģimenes ārste, zinot dēla bijušās sievas personas kodu, nolēmusi aplūkot viņas kartīti E-veselības sistēmā, lai atrastu pavedienus par iespējamu grūtniecību jaunajā laulībā.
Minētajos piemēros nav pielāgojams neviens likumiskais pamats šādai datu apstrādei, tās ir tikai personiskās intereses. Kā arī, ja ārsts informāciju izmantoja saviem nolūkiem, neskatoties uz to, ka bija pietiekami instruēts darbam ar personas datiem un darbam ar E-veselības informācijas sistēmu, tad atbildība par nelikumīgu datu apstrādi un/ vai medicīnas informācijas nepienācīgu apstrādi tiks pieprasīta no viņa.
Visbeidzot- neatkarīgi no tā, vai darba devējs ir informējis nodarbinātos vai vēl ne, tiem pašiem ir jāapzinās, ka nelikumīga informācijas apstrāde var vainagoties ar nevēlamām sekām, tostarp naudas sodu organizācijai un/vai tās nodarbinātajam. [5]
*Šis skaidrojums vispārinātā veidā attiecināms arī uz iekšēju datubāžu (piemēram, personāla) saturošo personas datu izmantošanu un apstrādi, kā arī uz personas datiem, kuri iegūti citos formātos, ārpus Sistēmām.
Būsim pateicīgi, ja skaidrojuma kvalitātes novērtēšanas nolūkos aizpildīsiet šo aptauju - https://www.visidati.lv/aptauja/2103231148/.
Informatīvās atsauces:
[1] Saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016.gada 27.aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula; turpmāk tekstā – Datu regula) 4. panta 2. punktu “apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana.
[2] Kas ir E-adrese un kā to izveidot skaidrots šeit: https://latvija.gov.lv/Content/Eadrese
[3] Datu regulas 6. panta 1. punktā ir noteikti tiesiskie pamati, no kuriem vismaz viens ir jāpiemēro, veicot fizisku personu datu apstrādi.
[4] Par to, kas ir īpašu kategoriju personas dati, skaidrots šeit: https://www.dvi.gov.lv/lv/jaunums/dviskaidro-30122022
[5] Datu valsts inspekcijas kritēriji sodu piemērošanā skaidroti šeit: https://www.dvi.gov.lv/lv/dvi#administrativo-naudas-sodu-apmera-noteiksanas-kriteriji-uznemumiem-un-fiziskam-personam. Robežas naudas sodiem publisko iestāžu amatpersonām noteiktas Fizisko personu datu apstrādes likuma 38. pantā.