Daiga Avdejanova (no kreisās) un Olga Zeile
Daiga Avdejanova (no kreisās) un Olga Zeile
Foto – Karīna Miezāja

Tiesības tikt aizmirstam un izdzēstam 5

Valdība ir apstiprinājusi un nodevusi Saeimai Personas datu apstrādes likumprojektu, kuram jāatbilst Eiropas Savienības (ES) Vispārīgai datu aizsardzības regulai, kuru dalībvalstis sāks piemērot no 25. maija. Kādas tiesības būs mums ikvienam, kuru dati jau patlaban tiek pieprasīti un apstrādāti daudzviet, un kādi pienākumi būs tiem, kas ar šiem datiem rīkojas. To intervijā “LA” skaidro viena no likumprojekta autorēm Tieslietu ministrijas Nozaru politikas departamenta direktore Olga Zeile un Datu valsts inspekcijas (DVI) direktore Daiga Avdejanova, kuras vadītās iestādes pienākums būs uzraudzīt, kā tiek izmantoti mūsu dati.

Reklāma
Reklāma
RAKSTA REDAKTORS
“Šorīt viņi tur stāvēja vairāk nekā pusstundu, diskusijas bija skaļos toņos” – jautājam instruktoram, kuram no šoferiem šādā situācijā ir priekšroka 3
TV24
Šoreiz “šefs” ir pielaidis kolosālu kļūdu. Vai Krievijas elite patiesībā gaida Putina nāvi? 41
Veselam
8 veidi, kā bērnu izaudzināt par potenciālo psihoterapeita pacientu 18
Lasīt citas ziņas

Kāpēc Eiropas Savienības politiskais “jumts” ir nolēmis izveidot jaunas prasības personas datu aizsardzībai? Kādas būs būtiskākās pārmaiņas, ko izjutīs uzņēmumi un mēs katrs individuāli?

Tieslietu ministrijas Nozaru politikas departamenta direktore Olga Zeile. Foto – Karīna Miezāja
CITI ŠOBRĪD LASA

O. Zeile: Kopš 1995. gada ir spēkā Eiropas Savienības (ES) direktīva, kas regulē datu aizsardzību visās dalībvalstīs. Jaunajā regulā ietvertie personas datu aizsardzības pamatprincipi nemainās, un tie ir četri: tiesiskums, taisnīgums, minimalitāte un anonimitāte.

Attīstoties informācijas tehnoloģijām, ir secināts, ka nav vienkārši noteikt datu aizsardzības robežas, tāpēc radās nepieciešamība pēc regulas, kas ir daudz stingrāks instruments un skaidri noteic personas tiesības datu aizsardzībā ar skatu uz digitālo ēru.

Kaut gan nav mainīti datu apstrādes pamatprincipi, tomēr ir izvirzīti stingrāki nosacījumi personu piekrišanai apstrādāt savus datus. Personai nepārprotami jāļauj saprast, kādi dati tiek apstrādāti, kādam mērķim, cik ilgi tos glabās, kam nodos utt. No vienas puses, tās ir stingrākas prasības datu pārzinim, bet, no otras puses, tas nodrošina personas datu aizsardzību tādā līmenī, kādā būtu svarīgi to nodrošināt.

Regulā ir īpaši uzsvērtas personas tiesības tikt aizmirstai un tieši kontekstā ar to, ka persona var nevēlēties, ka viņas datus turpmāk apstrādā, un izteikt vēlēšanos, lai datus izdzēš no reģistriem. Taču jāskatās, ar kādu mērķi un uz kāda pamata šī datu apstrāde ir notikusi. Ja tā notiek saskaņā ar noteiktiem likumiem, tad nav pieļaujams, ka visi personas dati tiek izdzēsti. Piemēram, Valsts sociālās apdrošināšanas aģentūrai nevarēs prasīt, lai izdzēš visus personas datus, taču to varēs pieprasīt, piemēram, feisbukam.

Regula noteic tiesības uz datu pārnešanu, kas ir būtiski, jo persona varēs datus paņemt no viena pārziņa un nodot tieši tādā pašā apjomā citam pārzinim.

Reklāma
Reklāma

Datu pārzinim, kurš nosaka, kādi dati un kam viņam ir nepieciešami, ir noteikti stingrāki pienākumi. Viņam 72 stundu laikā jāziņo Datu valsts inspekcijai (DVI) par datu aizsardzības pārkāpumiem. Piemēram, datu noplūdi. Tas ir pilnīgi jauns pienākums parastajiem datu pārziņiem.

Šobrīd pirms datu apstrādes reģistrācijas jādodas uz DVI, jāiesniedz pieteikums pirms datu apstrādes uzsākšanas, bet šādas obligātās reģistrācijas vairs nebūs, taču katram pārzinim savā saimniecībā būs jāveido reģistrs. Tomēr šī prasība būs jāievēro tur, kur ir nodarbināti vairāk nekā 250 strādājošie, kur pastāv kādi īpaši riski personas tiesībām un brīvībām vai arī apstrādājamie dati attiecas uz sodāmību vai pārkāpumiem.

Jebkuram datu apstrādātājam būs jāspēj uzskatāmi parādīt, kā personu dati un kādam mērķim tiek apstrādāti un kā tie tiek aizsargāti. Regula iesaka izstrādāt privātuma politiku katrā uzņēmumā, kur saprotamā valodā būtu aprakstīts, kas notiek ar datiem – kādus datus apstrādā, kādam mērķim un cik ilgi glabā, kam tos nodod… Tas ļaus katram koncentrētā veidā iepazīties ar savu datu izmantošanu. Ja inspekcija saņems sūdzības, tad šis uzskatāmais materiāls ļaus saprast, vai uzņēmumā viss ir kārtībā ar personas datu aizsardzības nodrošināšanu.

Vai katrā uzņēmumā būs nepieciešams datu aizsardzības speciālists, un kādas prasības tam tiks izvirzītas?

Uzņēmumos jau šobrīd strādā datu aizsardzības speciālists, jo to jau patlaban noteic Fizisko personu datu aizsardzības likums. Taču jaunajā Personas datu apstrādes likumā, kā arī regulā prasības pret šo speciālistu būs daudz liberālākas. Patlaban likums paredz, ka šim speciālistam jābūt akadēmiskajai izglītībai tiesību zinātnēs vai informāciju tehnoloģijās, vai kādā līdzīgā jomā. Viņam jāapgūst 42 stundu mācību programma un jānokārto eksāmens DVI. Regula vairs neizvirza šādas prasības, bet tā noteic, ka personas datu aizsardzības speciālistam ir jāspēj kvalitatīvi pildīt regulā noteiktos uzdevumus. Arī Latvija ievēros liberālāku ceļu un neizvirzīs prasību par obligātu atbilstošu izglītību, apmācības programmu un eksāmenu. Ja datu pārzinis uzskatīs, ka persona, piemēram, ar pedagoga izglītību, spēs šos pienākumus pildīt, tad varēs atļaut to darīt.

D. Avdejanova: Tas uzņēmumus atslogos finansiāli, jo šobrīd datu aizsardzības speciālista sagatavošana ir pietiekami dārgs process.

O. Zeile: Atkarībā no darba apjoma viens datu aizsardzības speciālists varēs strādāt arī vairākos uzņēmumos. Ir noteikti tikai atsevišķi konkrēti gadījumi, kad šim speciālistam uzņēmumā ir jābūt obligāti. Piemēram, katrā valsts pārvaldes iestādē.

Lai manus datus apstrādātu, ir jādod piekrišana. Bet cilvēks taču var pārdomāt un pēc laika piekrišanu atsaukt?

Gadījumā ja personas datu apstrādes pamats ir piekrišana un to atsauc, turpmākā datu apstrāde ir nelikumīga. Taču jāņem vērā, ka datu apstrādi var noteikt arī ar likumu un tādā gadījumā pastāv zināmi personas tiesību ierobežojumi, cik daudz persona pati var ietekmēt savu datu glabāšanu, iznīcināšanu, nodošanu tālāk…

Kāpēc regula nav saistoša tiesām?

Tiesas ir neatkarīgas, un regula var būt kā risks šīs neatkarības ietekmēšanai.

Vai Datu valsts inspekcija, kurai no 25. maija jābūt neatkarīgas iestādes statusā, būs nodrošināta ar nepieciešamajiem darbiniekiem?

D. Avdejanova: Palielinoties darba apjomam, būs papildus nepieciešamas 15 amatu vietas līdzās jau pašreizējām 25 amata vietām. Ir konkursi, kuros neviens nepiesakās, ir tādi, kuros ir daudz pretendentu. Piemēram, uz informācijas tehnoloģiju speciālista vietu nebija neviena kandidāta, jo atalgojums nav konkurētspējīgs ar privāto sektoru. Lai nokomplektētu nepieciešamās darba vietas, būs personāla atlase, kā arī iestādē kopumā tiks veiktas strukturālās pārmaiņas atbilstoši jaunajām prasībām. Tas būs diezgan laikietilpīgs process.

Regula ir diezgan barga – par regulai neatbilstošu datu uzglabāšanu un izplatīšanu soda nauda var būt līdz 20 miljoniem eiro vai 4% no uzņēmuma apgrozījuma.

O. Zeile: Ir lieli starptautiski uzņēmumi, kuri apstrādā datus, bet kurus ne vienmēr pašreizējās soda sankcijas attur no pārkāpumiem. Tāpēc tika noteiktas maksimālās soda sankcijas. Regulā ir norādīts, kuri pārkāpumi ir mazāk smagi un kuri ir patiešām ļoti smagi, un šajos gadījumos sankcijas ievērojami atšķiras. Arī Latvijā maksimālie sodi būs tie, kas noteikti regulā (līdz pat 4% no uzņēmuma apgrozījuma), bet pamatprincipi, piemērojot sodus, paliks nemainīgi. Ja pārkāpumi nebūs tik smagi, tad maksimālais sods būs līdz 2% no uzņēmuma apgrozījuma.

Esam aprēķinājuši iespējamo sodu prognozi Latvijā. To izstrādājām, ņemot vērā, cik lielas naudas sodu summas inspekcija vidēji uzliek gada laikā, kā arī izvērtējām, cik daudz soda naudu iekasē.

Kas tad tiek uzskatīti par sevišķi smagiem pārkāpumiem?

Datu valsts inspekcijas direktore Daiga Avdejanova. Foto – Karīna Miezāja

D. Avdejanova: Galvenokārt tā ir nelikumīga datu apstrāde lielā apjomā. Vai, piemēram, ja ir noplūduši dati un datu pārzinis par to nav inspekcijai paziņojis 72 stundu laikā. Patlaban ir grūti spriest, kā tāda prakse attīstīsies.

Darba grupa ir izstrādājusi vadlīnijas soda sankciju piemērošanai. Katrs gadījums būs jāvērtē, vai tas ir bijis ļaunprātīgs vai pārkāpums noticis nejauši, kādi pasākumi uzņēmumā veikti, lai varētu izpildīt regulu, cik ilgi pārkāpums pastāvējis… Tas ir līdzīgi kā patlaban Latvijas Administratīvo pārkāpumu kodeksā, kur noteikti atbildību mīkstinošie un vainu pastiprinošie apstākļi.

Mūsu inspekcija ievēro un turpinās ievērot principu “konsultē vispirms, tikai pēc tam sodi”. Ja pārkāpums nebūs veikts apzināti, soda sankcijas netiks piemērotas. Parasti uzdodam līdz konkrētam datumam pārkāpumu novērst.

Kāds ir jūsu viedoklis par gaidāmo valsts un pašvaldību uzņēmumos strādājošo algu publiskošanu? Vai likumprojekts, ko Saeima patlaban gatavo trešajam lasījumam, nebūs pretrunā regulai?

O. Zeile: Saeimas Valsts pārvaldes un pašvaldības komisija lūdza Tieslietu ministrijas atzinumu, bet ministrija vēl nav paudusi savu viedokli. Sadarbībā ar inspekciju gatavojam vērtējumu.

Datu valsts inspekcijas darbinieks Lauris Linabergs Saeimas komisijas sēdē esot sacījis, ka inspekcija “neatbalsta to, ka šo informāciju varētu izmantot, lai atstātu negatīvu ietekmi uz institūciju, kuras darbinieku atalgojums tiek publiskots”. Kādā veidā atalgojuma publiskošana var atstāt negatīvu ietekmi?

D. Avdejanova: Tas atkarīgs no tā, kā katrs cilvēks interpretē informāciju par algām. Vai šajā informācijā ielūkojas ziņkāres dēļ vai tāpēc, lai salīdzinātu savu atalgojumu ar kolēģu atalgojumu un pārliecinātos, ka citā līdzīgā iestādē kolēģis, kam ir līdzvērtīgs amats, nopelna vairāk. Tātad jāgaida, kad radīsies iespēja doties tur, kur maksā vairāk. Tas ir atalgojumu publicēšanas negatīvais aspekts. Taču jāņem vērā, ka inspekcija nevienā brīdī nav bijusi pret caurspīdīgumu valsts budžeta naudas izmantošanā. Tomēr vienlaikus pastāv jautājums par samērīgumu – cik plaša informācija ir nepieciešama, lai šo mērķi sasniegtu.

O. Zeile: Apstrādājot jebkurus datus, galvenais jautājums ir, kādam mērķim tas ir nepieciešams un cik lielam jābūt apstrādājamo datu apjomam. Lai sasniegtu mērķi, jāizvērtē, vai varētu to izdarīt, izmantojot mazāk datu, nekā mēs esam nodefinējuši. Latvijā ir nodefinēts samērīguma tests, to ir izdarījusi arī Eiropas Cilvēktiesību tiesa. Jābūt skaidrai atbildei, kāpēc ir nepieciešams publicēt katra valsts un pašvaldību uzņēmumos strādājošā algu astoņu gadu garumā.

Regula nosaka tiesības katram būt aizmirstam. Kas ir jādara, ja cilvēks vēlas, lai viņš tiktu “aizmirsts”, piemēram, feisbukā?

Kad regula stāsies spēkā, inspekcija būs atslēgas iestāde, kuru varēs uzrunāt par visiem jautājumiem, kas skar datu aizsardzību. Ja ir uzrakstīts iesniegums feisbukam ar lūgumu izdzēst datus, bet tur neviens nereaģē, tad ikvienam būs tiesības doties pie inspekcijas direktores un viņa zinās, kā sameklēt Īrijas atbildīgo iestādi, kas nodrošina feisbuka pastāvēšanu. Feisbuka pienākums ir reaģēt un arī sadarboties ar Datu valsts inspekciju.

Saistībā ar datu aizsardzību ik pa laikam izskan runas, ka, piemēram, vairs nevarēšot tā vienkārši laikrakstā apsveikt tuvus cilvēkus, piemēram, kāzu jubilejā vai apaļā dzīves jubilejā, ka pašvaldības nevarēšot publiski sveikt, saucot uzvārdos ģimenes, kurās piedzimuši mazuļi… Vai tā ir taisnība, ka šādos un līdzīgos gadījumos būs jāprasa personu piekrišana?

D. Avdejanova: Inspekcijā ir bijušas diskusijas par šiem jautājumiem, un esam atzinuši, ka vajadzētu nodalīt, vai persona, kura tiek sveikta, ir publiski zināma vai tā ir mazpazīstama. Apsveicot kaimiņu, droši vien mērķis ir sagādāt viņam prieku. Bet sveicējam jābūt pārliecinātam, ka kaimiņš nesūdzēsies par nelikumīgu viņa datu apstrādi, kad sveicējs visam novadam būs paziņojis, cik gadu ir jubilāram. Ja šādu sūdzību mēs saņemsim, noteikti reaģēsim, ka jūs, lūk, bez kaimiņa vai drauga piekrišanas, tātad bez tiesiska pamata esat publicējuši šos datus.

Tādā gadījumā, vai nav apdraudēta arī radio programma, kur publiski tiek sveikti gaviļnieki? Tur taču tiek nosaukts vārds, uzvārds, vecums, dzīvesvieta… Var taču viens no tūkstoša apvainoties un teorētiski, viņš var doties uz inspekciju ar sūdzību.

Par to mums arī bijusi diskusija – kurš būs atbildīgais? Mēs esam identificējuši, ka atbildīgais ir informācijas iesniedzējs. Regula gan noteic, ka līdzatbildīgs ir arī operators jeb tas, kas ir apstrādājis iesniegtos datus. Šajā gadījumā nav viennozīmīgas atbildes. Ja esat pārliecināts, ka cilvēkam jūsu apsveikums sagādās prieku, publicējiet šos datus! Bet, ja saņemsim sūdzību, mēs reaģēsim.

O. Zeile: Bet runājot par pašvaldību izdevumiem, jāpiebilst, ka reģistrā iegūtie dati nav paredzēti, lai tos publicētu pašvaldību informatīvajos biļetenos.

D. Avdejanova: Inspekcija ir saņēmusi vairākas sūdzības par to, ka cilvēku nostāda neglaimojošā situācijā. Mēs veicām visaptverošu pētījumu, kā tiek publicēta informācija, un identificējām, ka tas notiek dažādi. Piemēram, par jaundzimušajiem viens laikraksts nopublicē tikai kopskaitu, cik mazuļu attiecīgajā mēnesī ir piedzimuši, un tas atbilst likumam. Savukārt citos laikrakstos tiek nopublicēti arī ģimeņu uzvārdi. Nācām ar savu iniciatīvu un uzrakstījām savu vērtējumu, ka atsevišķos gadījumos šādai publicitātei nav tiesiska pamata un ka ir pārvērtējams publicētās informācijas apjoms. Taču neviens gan netika sodīts.

Mēs informējam un izglītojam sabiedrību, skaidrojot, kādas prasības ir personas datu aizsardzībai. Mediji ir reaģējuši, jo mums pārjautā un atsūta savus piemērus, ko viņi ir publicējuši un ko plāno publicēt, un mēs sniedzam savu viedokli.

Vai laikrakstos publicēto mirušo personu uzvārdi līdzjūtībās arī ir datu aizsardzības pārkāpums?

Mirušās personas datu aizsardzība neskar. Mums ir bijušas diskusijas par to, kādu datu apjomu drīkst ietvert līdzjūtībās. Esam secinājuši, ja līdzjūtībās norāda personas, kam līdzjūtība tiek izteikta, tad to nevar uzskatīt par tiesisko pamatu, ja piederīgais tam nav piekritis. Taču te atkal jāņem vērā, vai piederīgais ir pazīstams plašai sabiedrībai, un līdz ar to daudziem ir interese uzzināt, ka, lūk, šim cilvēkam ir nomirusi sieva vai kāds cits tuvs cilvēks. Vai gluži pretēji – līdzjūtība izteikta kādai personai, kura publiski ir maz pazīstama.

O. Zeile: Tiklīdz mēs ar mirušās personas starpniecību spējam identificēt kaut vienu dzīvo, mums ir jābūt uzmanīgiem.

Kas ir dati un datu apstrāde? 

Kas ir personas dati:

Vārds, uzvārds

Adrese

Atrašanās vieta

Tiešsaistes identitāte (personīgais profils interneta vidē)

Ziņas par veselību

Ienākumi

… un citi

Personas tiesības:

datu pārredzamības un izmantošanas tiesības,

piekļuves tiesības,

tiesības labot,

tiesības uz datu pārnesamību;

tiesības uz dzēšanu (tikt aizmirstam), ja vien tas nav pretrunā ar vārda brīvību vai spēju veikt pētniecību;

tiesības tikt informētam;

tiesības ierobežot apstrādi;

tiesības iebilst;

ja datus sociālajiem plašsaziņas līdzekļiem sniedz bērns, līdz 13 gadu vecumam to drīkst darīt tikai ar vecāku piekrišanu.

Datu apstrāde

Datu apstrāde ir jebkura ar personas datiem veikta darbība, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana.