Turpinām stāstu par Datiņu ģimeni! Jānis Datiņš, kurš nesen atvēris savu trenažieru zāli, vēlas piesaistīt jaunus klientus. Uzņēmuma mājas lapa ir izveidota, kur ikviens var atrast informāciju par piedāvātajiem pakalpojumiem. Savukārt nosūtot e-pasta adresi, iespējams ne tikai reģistrēties jaunumu saņemšanai, bet arī gūt papildu labumu – atlaides zāles apmeklēšanai.
Lai piesaistītu vēl lielāku klientu interesi, Jānis nolēmis sazināties ar savu tēvu Valdi Datiņu, kurš ir ģimenes ārsts ar savu privātpraksi. Viņš labprāt iegūtu informāciju par to, kuriem pacientiem nepieciešams nodarboties ar sportiskām aktivitātēm, tāpēc lūdz dalīties ar kontaktinformāciju.
Valdis, kurš ilgus gadus strādājis veselības nozarē, norāda, ka šādi datus nedrīkst ne nodot, ne arī iegūt, vēršot dēla uzmanību gan uz Eiropas Savienības, gan Latvijas normatīvajiem aktiem. Tie paredze, ka organizācija nedrīkst jaunajam uzņēmējam sniegt informāciju par klientiem, jo īpaši, ja tas skar pacientu veselību. Lai arī Valdis ir Jāņa tēvs, tomēr no likuma viedokļa uzskatāms par trešo personu, kurai nav piekļuves konkrētajām pacientu veselības kartēm. "Cilvēki man uztic savas sāpes un pārdzīvojumus, tāpēc nedrīkstu izpaust informāciju par viņu veselības stāvokli," skaidro Valdis Datiņš.
Par to, kas komersantiem jāņem vērā, veidojot klientu loku, personas datu iegūšanu un nodošanu citām – trešajām personām – , Valdis, kopā ar savu privātprakses datu aizsardzības speciālistu ir sagatavojis skaidrojumu.
Kas ir trešā persona? Trešā persona ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai struktūra, kas nav komersanta klients, komersants vai cita fiziska vai juridiska persona (apstrādātājs), kura komersanta tiešā pakļautībā ir pilnvarotas apstrādāt personas datus.
Datu nodošana trešajām personām ir pieļaujama tikai tādos gadījumos, ja tai pastāv kāds no zemāk uzskaitītajiem tiesiskajiem pamatiem.
Kādi ir piemērojamie likumīgie pamati?
Valdis skaidro, ka likumīgais pamats vienmēr tiek sasaistīts kopā mērķi, kādam personas datu apstrāde ir nepieciešama. Katrā personas datu apstrādes posmā (iegūšana, apstrāde, nodošana) ir jābūt noteiktam datu apstrādes likumīgam pamatojumam, kas datu apstrādes dzīvescikla laikā var mainīties.
Piekrišana
Klientam ir jādod piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem. Šajā gadījumā uz klientu nedrīkst būt izdarīts tiešs vai netiešs spiediens. Klientam ir jābūt informētam par to kam viņš piekrīt un to, ka nepiekrišanas gadījumā nebūs negatīvas sekas. Jāņem vērā, ka piekrišanu vienmēr ir iespējams atsaukt tik pat vienkāršā un ērtā veidā, kāda tā ir sniegta.
Piemēram, klientam tiek piedāvāts aizpildīt klientu apmierinātības aptaujas anketu, kurā jānorāda vārds, uzvārds, elektroniskā pasta adrese. Aptaujas mērķis ir piedāvāt personalizētus piedāvājumus konkrētam klientam. Lai uzkrātu personas datus šādas aptaujas veikšanai, komersantam ir jāsaņem klienta piekrišana, vēlams rakstveidā, lai uzņēmējs varētu uzskatāmi pierādīt, ka šai datu apstrādei ir ieguvis likumīgu pamatu jeb klienta piekrišanu.
Līguma izpilde
Personas dati ir nepieciešami, lai noslēgtu līgumu ar klientu vai arī, lai izpildītu līguma prasības, piemēram, piegādātu preces uz dzīvesvietas adresi, kas pasūtītas tiešsaistē, tādējādi darbojas distances līgums.
Piemēram, lai piegādātu klientam pasūtītās preces uz mājām, piegādātājam ir nepieciešami klienta personas dati – vārds, uzvārds, adrese. Bez šiem datiem līgums par preču piegādi nevar tikt izpildīts. Preču piegādātājs var arī lūgt uzrādīt personu apliecinošu dokumentu piegādes laikā, lai pārliecinātos, ka konkrētais cilvēks ir veicis pirkumu un ir pilnvarots to saņemt.
Juridisks pienākums
Personas datu apstrāde ir nepieciešama pārzinim, lai veiktu Eiropas Savienības vai nacionālā tiesību aktos noteiktos pienākumus.
Piemēram, Grāmatvedības likumā norādīts, ka, lai komersants varētu veikt ierakstu grāmatvedības reģistros un attiecīgās iestādes, pārbaudot reģistrā iekļauto informāciju, atzītu attaisnojuma dokumentu (piemēram, pavadzīme, rēķins, kvīts, čeks), tad attaisnojuma dokumentā ir jābūt norādītam pakalpojuma saņēmēja vārdam un uzvārdam.
Sabiedrības intereses
Datu apstrāde nepieciešama, lai veiktu sabiedrības interesēs īstenojamu uzdevumu vai īstenotu oficiālas pilnvaras, kas noteiktas Eiropas Savienības vai Latvijas tiesību aktos.
Piemēram, ievērojot nacionālo regulējumu, bankas var apmainīties ar informāciju, lai veiktu topošā klienta (tai skaitā fiziskas personas) izpēti un darījumu uzraudzība, kā arī pārbaudītu klienta sniegto datu patiesumu.
Komersanta vai trešās personas leģitīmo interešu ievērošana
Šāds personas datu apstrādes pamats ir pieļaujams tikai tad, ja netiek būtiski ietekmētas personas, kuras dati tiek apstrādāti, intereses, pamattiesības un pamatbrīvības jo īpaši, ja datu subjekts ir bērns. Piemērojot šo datu apstrādi jāveic novērtējums par to, vai komersanta leģitīmās intereses ir svarīgākas par attiecīgās personas, kuras dati tiek apstrādāti, interesēm, kas atkarīgs no situācijas un apstākļiem.
Piemēram, komersants veic videonovērošanu sev piederošajā publiskajā teritorijā, lai novērstu noziedzīgus nodarījumus pret īpašumu, kā arī personu veselību un dzīvību.
Atceries, ka Datu regulā ir uzskaitīti arī īpašo kategoriju personas dati, kurus ir aizliegts apstrādāt, ja vien nepastāv kāds īpašs izņēmums!
Datu apstrādei (personas datu iegūšana, glabāšana, nodošana u.c.) ir jābūt:
- tiesiski pamatotai;
- godprātīgai un pārredzamai;
- ar konkrētu mērķi (nolūku);
- iespējami minimālai (iegūstam tikai pašus nepieciešamākos datus);
- precīzai;
- drošai, nodrošinot aizsardzību pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu.
Aicinām pārskatīt sava uzņēmuma rīcībā esošās datu bāzes un kartotēkas, lai pārliecinātoss, ka datu apstrāde atbilst Datu regulas prasībām. Neglabājiet tos datus, kuru apstrādei nav likumīga pamata un tos, kas glabājas pārāk ilgi un ir novecojuši (piemēram, klientam ir mainīts uzvārds, dzīves vietas adrese), kā arī tos datus, kas vairs nav nepieciešami sākotnējam apstrādes mērķim.
Lai izvairītos no biežāk pieļautajām kļūdām, vai arī, ja neesi pārliecināts par uzņēmumā ieviestajām praksēm attiecībā uz plānoto vai veikto personas datu apstrādi, aicinām vērsties pie datu aizsardzības speciālista, lai saņemtu konsultācijas.
Kas ir datu aizsardzības speciālists?
Datu aizsardzības speciālists ir persona ar īpašām zināšanām datu aizsardzības tiesību un praktiskas datu aizsardzības piemērošanā. Līdzīgi kā darba drošības speciālists, kam ir nepieciešamās zināšanas darba aizsardzības sistēmas organizācijā un prasību nodrošināšanā attiecībā uz darba drošību, tā datu aizsardzības speciālists ir eksperts ar zināšanām savā atbildības jomā.
Datu valsts inspekcijas tīmekļa vietnē atrodams arī sertificētu datu aizsardzības speciālistu saraksts.
Jo uzmanīgāk un atbildīgāk organizācijas izturēsies pret lietotāju personas datiem, jo lielāku uzticību tas radīs klienta un komersanta attiecībās. Tāpat, regulāri pārskatot personas datu apstrādes, datu drošības politikas un personas datu reģistrus, pastāvēs mazāka iespēja dažādiem starpgadījumiem, piemēram, datu noplūdēm vai klientu sūdzībām.
Kas ir personas datu apstrādes reģistrs un vai tiešām vajag?
Personas datu apstrādes reģistra izveidošanu palīdzēs izveidot pārskatāmu plānoto personas datu apstrādi. Lai gan Datu regulā noteikts pienākums komersantiem izveidot un uzturēt Personas datu apstrādes reģistru, kur nodarbināti vairāk nekā 250 darbinieki, vai plānotā datu apstrāde ir regulāra, skar īpašas kategorijas datus vai personas datus par sodāmību un pārkāpumu, kā arī var radīt risku personas tiesībām un brīvībām, aicinām apsvērt domu un izveidot šādu reģistru. Personas datu apstrādes reģistra izveide dos ne tikai pilnīgāku pārskatu par datu apstrādes procesiem uzņēmumā, bet arī atvieglos saziņu ar klientiem datu aizsardzības jautājumos.
Reģistra izveide komersantam ļaus izvērtēt kāds ir:
- personas datu apstrādes mērķis jeb nolūks;
- personas datu apstrādes tiesiskais pamats;
- mērķa sasniegšanai nepieciešamais datu apjoms;
- vai dati tiks nodoti trešajām personām;
- vai dati tiks nodoti ārpus Eiropas Savienības un Eiropas Ekonomikas zonas;
- informācija par tehniskajiem un organizatoriskajiem drošības pasākumiem.