Lai ierobežotu Covid-19 infekcijas izplatību un nodrošinātu kontaktpersonu informēšanu par iespējamo kontaktu ar Covid-19 pozitīvu personu, Ministru kabinets, atbilstoši pakalpojumu sniedzēju iespējām, noteicis pienākumu veikt saimniecisko vai publisko pakalpojumu saņēmēju uzskaiti, norādot iegūstamo personas datu apjomu no pakalpojuma saņēmēja[1]. Pakalpojuma sniedzējam, ja vien jau iepriekš netika veikta klientu uzskaite, ievērojot uzlikto pienākumu bija jāievieš pakalpojuma saņēmēju uzskaites sistēma (digitalizēta vai papīrformātā), iekļaujot klienta vārdu, uzvārdu un kontaktinformāciju.
Ar konkrētu gadījumu un savām bažām, pie Datu valsts inspekcijas vērsās skaistumkopšanas (friziera) pakalpojuma saņēmēja:
Frizētavā tiek izsniegta klientu lapa, kurā tiek ierakstīti klienta personas dati – vārds, uzvārds, kontakttālrunis. Informāciju par sevi aizpilda katrs klients pats. Konkrētajā gadījumā klients redz arī pārējo klientu personas datus. No vienas puses – kas tur tāds, cilvēki nespēs iegaumēt citu personu telefona numurus to īso brīdi, kamēr rakstīs ailītēs savus datus, bet no otras – es kā klients ieraudzīšu kāda sev pazīstama cilvēka personas datus vai pat kāda publiski pazīstama cilvēka personas datus un pēc tam visiem izstāstīšu, ka šī persona ir apmeklējusi frizētavu, piemēram, publicējot informāciju sociālajos tīklos.
Pastāv iespēja, ka kāds cits klients var izmantot brīdi, kad darbinieks, kamēr klients pilda šo lapu, ir aizgriezies vai iegājis blakus telpā, un klients tikmēr nofotografē šo lapu. Vai pakalpojuma sniedzējs rīkojas atbilstoši Vispārīgajai datu aizsardzības regulai?
Datu valsts inspekcija ir identificējusi, ka viena no izplatītākajām kļūdām, kas tiek pieļautas, veicot personas datu apstrādi, kas aprakstīta piemērā, ir tā, ka pakalpojuma sniedzējs, ievērojot šo viņam uzdoto uzdevumu, veic tikai vienu darbību – ievāc personas datus, bet nepievērš uzmanību tam, ko ar tiem darīs tālāk – kad iznīcinās, kam nodos, kur uzglabās un kā praktiski šī datu apstrāde tiks veikta.
Vai pandēmija ir atcēlusi datu apstrādes pamatprincipus?
Katram ir tiesības uz drošu savu datu apstrādi un aizsardzību, arī pandēmijas laikā, savukārt pakalpojuma sniedzējam ir pienākums nodrošināt, ka personas dati, tiek apstrādāti ievērojot Vispārīgajā datu aizsardzības regulā noteiktos pamatprincipus, tai skaitā ka tie nav pieejami trešajām personām, ja vien datu nodošanai nav tiesiska pamata (piemēram, atbildīgajai iestādei, ka konstatēta inficēšanās ar Covid-19).
Konkrētajā gadījumā, ievērojot Ministru kabineta noteikto pienākumu, veikt pakalpojumu saņēmēju uzskati, tiesiskais pamats personas datu apstrādei ir Vispārīgās datu aizsardzības regulas 6.panta 1.punkta c) apakšpunkts – pakalpojuma sniedzējiem noteikts juridisks pienākums noteikta mērķa sasniegšanai.
Datu valsts inspekcija skaidro, ka papildus tiesiskā pamata nodrošināšanai – pakalpojuma sniedzējam ir noteikts pienākums ievērot Vispārīgajā datu aizsardzības regulā noteiktos personas datu apstrādes pamatprincipus, kuros tiek īpaši uzsvērts, ka datu apstrādei jābūt likumīgai, godprātīgai, pārredzamai, minimizētai, precīzai, jākalpo tikai konkrētā nolūka sasniegšanai, personas datus glabā tikai tik ilgi, cik nepieciešams konkrētā nolūka sasniegšanai un tiek nodrošināta atbilstoša personas datu drošība[2].
Ja dati tiek ievākti no pakalpojuma saņēmējiem, tad pakalpojuma sniedzējam ir pienākums sniegt informāciju par veikto personas datu apstrādes tiesisko pamatu, nolūku, apstrādes ilgumu, kam tiks nodoti klienta personas dati (ja tiks nodoti) u.c. Vispārīgās datu aizsardzības regulas 13.pantā norādīto informāciju.
Norādām, ka, ja piemēram, klienta kontaktinformācija tiek ievākta uz lapām, ir jāievēro, ka šādu lapu vēlams izveidot atsevišķi katram klientam, tādā veidā nodrošinot, ka katrs klients neredzēs citu klientu personas datus. Ja šāda lapa tiek izveidota un izsniegta klientam, būtu nepieciešams norādīt, kādam nolūkam šie personas dati ir nepieciešami (piemēram, atsaucoties uz Ministru kabineta noteikumiem), informēt, pēc cik ilga laika tie tiks dzēsti, kā arī norādīt, kur iegūt visu pārējo informāciju par pakalpojuma sniedzēja veikto datu apstrādi, piemēram, norādīt tīmekļa vietnes adresi vai citu veidu kā piekļūt šai informācijai.
Ja pārzinis ir nolēmis, ka katram klientam izsniegt atsevišķu lapu būtu nelietderīgi vai izšķērdīgi, pakalpojumu sniedzējs var pats pierakstīt klienta sniegtos personas datus.
Datu valsts inspekcija skaidro, ka Vispārīgā datu aizsardzības regula neaizliedz 13.pantā noteiktās informācijas apjomu sniegt mutiski, tomēr, pakalpojuma sniedzējam ir jānodrošina pārskatatbildības princips, t.i., uzskatāmi jāpierāda, ka ir nodrošināta klienta informēšana.
Jāņem gan vērā, ka pārzinim jebkurā gadījumā ir jāspēj nodrošināt savlaicīgu un korektu (korekts iznīcināšanas veids būs tāds kurš nodrošinās, ka trešajām personām nebūs iespējams iegūt apkopoto informāciju, nekorekts datu iznīcināšanas veids būtu, piemēram, klientu lapu izmešana atkritumos) datu iznīcināšanu, pienākot to dzēšanas termiņam, tādēļ ir jāizvērtē labākais veids, kā nodrošināt kontroli, lai neglabātu datus ilgāk kā vajadzīgs (piemēram, katrai darba dienai atsevišķa lapa vai Excel fails).
[1] Vispārīgās datu aizsardzības regulas 5.panta 1.punkts.
[2] Ministru kabineta 2020.gada 9.jūnija noteikumu Nr.360 “Epidemioloģiskās drošības pasākumi Covid-19 infekcijas izplatības ierobežošanai” 8.3. apakšpunkts
Attēla avots: freepik.com