Covid-19

Datu valsts inspekcija, atbildot uz iedzīvotāju uzdoto jautājumu “Vai pastāv tiesiskais pamats personas datu apstrādei, kuru veic darba devējs, lai noskaidrotu darbinieku attieksmi par gatavību vakcinēties pret Covid-19?”[1] sniedza skaidrojumu, norādot, ka pēc saņemtajiem jautājumiem ir identificēti un nodalīti divi savstarpēji saistīti, bet dažādi informācijas apstrādes nolūki (mērķi) darbinieku aptaujas veikšanai – 1) darbinieku attieksmes noskaidrošana par gatavību vakcinēties pret Covid-19 un 2) darbinieku saraksta veidošana, lai iesniegtu atbildīgajām iestādēm vakcīnas pret Covid-19 saņemšanai.


Kopš 2021.gada 5.februāra ikviens Latvijas iedzīvotājs varēja uzsākt pieteikšanos, lai saņemtu vakcīnu pret Covid-19. Vakcinācija pret Covid-19 ir katras personas brīva izvēle. Saskaņā ar publiski pieejamo informāciju, Latvijas iedzīvotāji var reģistrēties vakcīnas saņemšanai četros veidos un viens no tiem – darba devēja veidots un iesniegts darbinieku saraksts[2] , tomēr, atbildīgās iestādes aicina iedzīvotājus pieteikties individuāli – negaidot darba devēja rīcību.

Ņemot vērā darba devēju izrādīto iniciatīvu, lai pasargātu savus darbiniekus un klientus, veicot darbinieku aptaujas, lai savlaicīgi sagatavotu un iesniegtu atbildīgajām iestādēm darbinieku sarakstu, Datu valsts inspekcija ir sagatavojusi skaidrojumu, lai sniegtu atbildi uz jautājumu, kuru uzdod ne tikai iedzīvotāji, bet arī paši darba devēji – kurš no Vispārīgās datu aizsardzības regulas (turpmāk-Regula) 6.panta 1.punktā minētajiem tiesiskajiem pamatiem ir piemērojams darba devēja veidotajam darbinieku sarakstam, lai iesniegtu pieprasījumu atbildīgajām iestādēm vakcīnai pret Covid-19 saņemšanai (darba devēja organizēta kolektīvā vakcinēšanās pret Covid-19)?

Viens no pamatnoteikumiem, lai uzsāktu personas datu apstrādi, ir nolūka (mērķa) definēšana, kas konkrētajā situācijā ir – organizēt kolektīva vakcinēšanos pret Covid-19.

Datu valsts inspekcija atgādina, ka  nodarbinātā vārds, uzvārds ir personas dati[3] Vispārīgās datu aizsardzības regulas[4] izpratnē, savukārt minēto personas datu iegūšana, apstrādāšana un iesniegšana atbildīgajām institūcijām, lai organizētu kolektīvo vakcinēšanos pret Covid-19 ir uzskatāma par personas datu apstrādi[5].

Darba devējam veicot personas datu apstrādi, ir jāievēro Regulas 5.pantā minētie personas datu apstrādes principi un saskaņā ar tiem personas dati ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkam (mērķim) (“datu minimizēšana”).

Pēc tam, kad ir noteikts personas datu apstrādes nolūks (mērķis) un nepieciešamais datu apjoms nolūka (mērķa) sasniegšanai, darba devējam ir jāizvērtē personas datu apstrādei piemērojamais tiesiskais pamats - personas datu apstrāde var tik atzīta par tiesisku tikai tad, ja personas datu apstrādei ir piemērojams vismaz viens no Regulas 6.panta 1.punktā minētajiem pamatojumiem – piekrišana, līguma izpilde, juridisks pienākums, sabiedrības intereses, vitālo interešu aizsardzība un leģitīmo interešu ievērošana.

Datu valsts inspekcija atgādina, ka darba devējam, Regulā ir noteikti arī citi pienākumi, kas jāievēro, veicot datu apstrādi, tajā skaitā, tas, ka dati pēc noklusējuma tiek apstrādāti tikai minētā nolūka (mērķa) sasniegšanai (ar to saprotams, ka iegūtā informācija netiek apstrādāta citam – iepriekš neparedzētam nolūkam (mērķim)), jānodrošina atbilstošas tehniskās un organizatoriskās prasības, kā arī to, ka pēc noklusējuma personas datus bez personas līdzdalības nedara pieejamus nenoteiktam fizisku personu skaitam[6].

Ņemot vērā Datu valsts inspekcijas rīcībā esošo informāciju un iepriekš minēto, darba devējs, veidojot darbinieku sarakstu ar nolūku (mērķi) organizēt kolektīvo vakcinēšanos pret Covid-19, tādējādi apstrādājot darbinieka personas datus (vārdu, uzvārdu), kā tiesisko pamatu var piemērot tikai Regulas 6.panta 1.punkta a) apakšpunktu – katra darbinieka sniegta piekrišana[7] personas datu apstrādei. Turklāt, darba devējam ir jāņem vērā, darbinieks pēc piekrišanas sniegšanas var to jebkurā brīdī atsaukt un tas nekādā gadījumā nevar radīt nelabvēlīgas sekas darbiniekam[8].

 

! Datu valsts inspekcija atgādina, lai darbinieka sniegtā piekrišana būtu atbilstoša Regulas prasībām, tā būtu jādod ar skaidri apstiprinošu darbību, kas nozīmē brīvi sniegtu, konkrētu, apzinātu (darbinieks ir informēts) un viennozīmīgu norādi par datu subjekta piekrišanu ar viņu saistīto personas datu apstrādei, piemēram, ar rakstisku, tostarp elektronisku, vai mutisku paziņojumu.[9] Piekrišanai ir jābūt labprātīgi (brīvi) sniegtai, kas nozīmē savās spējās neierobežota indivīda brīvprātīga lēmuma pieņemšanu, kuru neietekmē nekādi spaidi (piespiešana, piemēram, darba devēja uzlikts pienākums vai aizliegums apmeklēt darbu, ja darbinieks nav vakcinējies pret Covid-19). Jāņem vērā, ka ja piekrišana ir iegūta pilnībā atbilstoši Regulas prasībām, tas ir instruments, kurš piešķir darbiniekam tiesības veikt kontroli, vai viņa personas dati tiks vai netiks apstrādāti, tai skaitā atsaukt savu piekrišanu jebkurā brīdī un tas nerada nelabvēlīgas sekas darbiniekam.

 

Vēršam uzmanību, ka mainoties faktiskajiem apstākļiem, Datu valsts inspekcijas sagatavotais skaidrojums par tiesisko pamatu darba devēja veidotajam darbinieku sarakstam, lai iesniegtu atbildīgajām iestādēm vakcīnai pret Covid-19 saņemšanai var tikt precizēts.

 

 

 


[1] https://www.dvi.gov.lv/lv/jaunums/dviskaidro-darbinieku-aptauja-par-gatavibu-vakcineties-pret-covid-19

[2] https://covid19.gov.lv/

ATSAUCES UZ NORMATĪVO REGULĒJUMU:

[3] Regulas 4.panta 1.punktu personas dati ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem.

[4] Eiropas Parlamenta un Padomes 2016.gada 27.aprīļa Regulas Nr.2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula)

[5]  Regulas 4.panta 2.punktā minētajam apstrādes jēdziens (“apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana).

[6] Regulas 25.pants

[7] Regulas 4.panta 11.punktu datu subjekta “piekrišana” ir jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei. Līdz ar to piekrišana ir jādod ar skaidri apstiprinošu darbību, kas nozīmē brīvi sniegtu, konkrētu, apzinātu un viennozīmīgu norādi par datu subjekta piekrišanu ar viņu saistīto personas datu apstrādei, piemēram, ar rakstisku, tostarp elektronisku, vai mutisku paziņojumu.

[8] Regulas 7.pants. Piekrišanas atsaukšana skaidrota Regulas 42.apsvērumā.

[9] Regulas 32.apsvērums

 

Attēla avots: Photo by Markus Winkler on Unsplash