Datu valsts inspekcijas darbības mērķis ir aizsargāt cilvēka pamattiesības un pamatbrīvības datu aizsardzības jomā, konsultēt iedzīvotājus un organizācijas, kā arī uzraudzīt kā tiek apstrādāti fizisku personu dati, tomēr, nereti iedzīvotāji domā (uzskata), ka Datu valsts inspekcija ir visaptverošas datu bāzes turētājs. Tāpēc iedzīvotāji pamatojoties uz savām tiesībām, kas noteiktas Vispārīgajā datu aizsardzības regulā[1], vēršas pie Datu valsts inspekcijas ar lūgumiem sniegt informāciju par to, kuras personas, kurā laika periodā un kāpēc ir apstrādājušas viņu personas datus[2].
Vai Datu valsts inspekcijai ir “datu bāze”, kas satur informāciju par citu personu veiktām personas datu apstrādēm?
Teju katrā organizācijā, izmantojot pieejamos tehniskos resursus, tiek uzturēta kāda informācijas sistēma – citā vienkāršāka, piemēram, lietvedības dokumentu uzskaites sistēma par saņemtajiem un nosūtāmajiem dokumentiem, citā visaptveroša, kā piemēru Latvijā varam minēt Pilsonības un migrācijas lietu pārvaldes uzturēto Iedzīvotāju reģistru[3], kurā tiek apkopota informācija par visiem Latvijas iedzīvotājiem. Tas nozīmē, ka nav izveidota viena universāla datu bāze (sistēma), kas sevī ietvertu informāciju par visu un visiem, bet to, ka katra organizācija izvēles sev ērtāko un pieejamāko datu apstrādes sistēmu.
Kā zināms, tad Vispārīgās datu aizsardzības regulas kontekstā pārzinis (turpmāk – publiskā un privātā persona) ir tas, kurš pirms personas datu apstrādes uzsākšanas nosaka, kādus personas datus apstrādās, kādam nolūkam (mērķim) personas datu apstrādās, kādu tiesisko pamatu piemēros personas datu apstrādei un kādi līdzekļi personas datu apstrādē tiks izmantoti.
Līdz ar to atbildot uz šo jautājumu, Datu valsts inspekcija paskaidro, ka tās rīcībā nav vienota datu bāze, kurā pieejama informācija par konkrētas personas (datu subjekts[4]) datu apstrādi, ko veikušas citas iestādes, uzņēmumi vai citas fiziskas personas (datu pārzinis[5]).
Datu valsts inspekcija, kā jebkurš cits personas datu apstrādes pārzinis (publiski vai privātā persona) var sniegt personai informāciju tikai par to, kādus viņas personas datus, kāda nolūka (mērķa) sasniegšanai un uz kāda tiesiska pamata ir apstrādājusi Datu valsts inspekcija savās informācijas sistēmās, vai pieslēdzoties citu iestāžu informācijas sistēmām (piemēram, Iedzīvotāju reģistram, lai pārbaudītu deklarētās dzīves vietas adresi personai, kura iesniegusi iesniegumu iestādei).
Līdz ar to, Datu valsts inspekcija nevar atbildēt par citu iestāžu, uzņēmumu vai fizisko personu veiktajām personas datu apstrādes darbībām.
Kā īstenot savas tiesības – iegūt informāciju, kurš un kāpēc apstrādājis manus personas datus:
Kopš 2018.gada 25.maija, līdz ar Vispārīgās datu aizsardzības regulas tiešu piemērošanas uzsākšanu - katrai personai tika piešķirta lielāka kontrole par savu personas datu apstrādi, tai skaitā tiesības uzzināt, kurš un kāpēc ir apstrādājis viņas personas datus.
Līdz ar to, ja personai ir zināms vai ir pamats uzskatīt, ka konkrētā publiskā un privātā persona savā informācijas sistēmā, vai kartotēkā ir apstrādājusi šīs personas datus, tad, lai iegūtu apstiprinājumu un informāciju par savu personas datu apstrādi, tās nolūkiem (mērķiem) un kam ir nodota informācija par personu - ir jāvēršas pie konkrētās publiskā un privātā attiecīgās informācijas sistēmas/kartotēkas uzturētāja ar informācijas pieprasījumu (Datu valsts inspekcijas paraugs pieejams zemāk). Šādas tiesības katrai personai paredz Regula[6] (tiesību uzskaitījums pieejams zemāk).
Saskaņā ar Vispārīgās datu aizsardzības regulas 12.panta 3.punktu atbilde uz personas informācijas pieprasījumu fiziskai vai juridiskai personai ir jāsniedz viena mēneša laikā[7].
Ja persona konstatē, ka fiziska vai juridiska persona neievēro personas tiesības, kas noteiktas Vispārīgās datu aizsardzības regulas 15.-22.pantā, piemēram, nesniedz atbildi uz pieprasījumu vai ir veicis nepamatotu personas datu apstrādi, personai ir tiesības vērsties ar sūdzību Datu valsts inspekcijā[8].
Sūdzībai jāpievieno dokumenti, kas apliecina prettiesiski veikto personas datu apstrādi, un to, ka pieprasījuma iesniedzējs izmantojis savas Vispārīgās datu aizsardzības regulā minētās tiesības (piemēram, personas pieprasījuma fiziskai vai juridiskai personai kopija un, ja ir sniegta atbilde uz personas pieprasījumu, tad atbildes kopiju).
Savukārt Datu valsts inspekcija izskata personas iesniegto sūdzību[9] un īsteno tai piešķirtās pilnvaras[10] , piemēram, izsaka rājienu, liedz turpināt apstrādāt personas datus vai uzliek administratīvo naudas sodu.
Apkopojums par personas tiesībām, kuras paredz Vispārīgā datu aizsardzības regula pieejams šeit.
Datu valsts inspekcijas izstrādāts informācijas paraugs, kuru iesniegt fiziskai vai juridiskai personai, lai uzzinātu par veikto personas datu apstrādi pieejams šeit.
____________________
Citas #DVIskaidro tēmas pieejamas šeit.
[1] Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula)
[2] “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (Regulas 4.panta 1.punkts)
[3] Iedzīvotāju reģistrs https://www.pmlp.gov.lv/lv/pakalpojumi/iedzivotaju-registrs-0
[4]“datu subjekts”- identificēta vai identificējama fiziska persona. Identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem (Regulas 4.panta 1.punkts)
[5]“pārzinis” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus (mērķis) un līdzekļus (Regulas 4.panta 7.punkts)
[6] Saskaņā ar Regulas 15.panta 1.punktu ikvienam cilvēkam kā datu subjektam ir tiesības saņemt no datu pārziņa (attiecīgās fiziskās vai juridiskās personas) apstiprinājumu par to, vai attiecībā uz viņu tiek vai netiek apstrādāti personas dati, un, ja tiek, tad iegūt arī detalizētāku informāciju par savu personas datu apstrādi.
[7] Šo termiņu īpašos gadījumos var pagarināt vēl uz diviem mēnešiem.
[8] To paredz Regulas 77.pants.
[9] Regulas 57. panta 1. punkta “f” apakšpunkts
[10] Regulas 58.pantā