Vērtējot publiski pieejamo informāciju par Datu valsts inspekcijas un valdības plāniem attiecībā uz personas datu aizsardzību nākamajā uzraudzības cēlienā 2020. gadā, izkristalizējušās vairākas jomas, kuras nokļūs zem uzraugu lupas. Šīs jomas ir videonovērošana, datu subjektu pieprasījumi un valsts iestāžu rīcība ar personas datiem.
Neskatoties uz šīm prioritātēm, aktuālākā informācija liecina, ka ikvienam uzņēmumam un iestādei īpaša uzmanība būtu jāvelta Vispārīgās datu aizsardzības regulas prasību izpildei, it īpaši tāpēc, ka Datu valsts inspekcijas direktore publiski ir paudusi informāciju, ka inspekcijas kapacitāte un tehniskā ekspertīze 2020. gadā tiks stiprināta un ka tam ir piešķirti papildu finanšu līdzekļi. Iespējams, lielāku motivāciju stingrāk ievērot prasības personas datu aizsardzības jomā mudinās nesen, 2019. gada novembra vidū, Datu valsts inspekcijas piemērotais līdz šim lielākais naudas sods. 150 000 EUR lielais naudas sods piemērots par nespēju demonstrēt atbilstību personas datu aizsardzības prasībām un par informācijas nesniegšanu indivīdiem par konkrēto personas datu iegūšanu un izmantošanu – pārskatatbildības un pārredzamības principa pārkāpumi.
Videonovērošana "pati tiks novērota"
Datu valsts inspekcija 2019. gada oktobrī publicēja savas uzraudzības prioritātes 2019. gadā un turpmāk. Kā viena no prioritātēm tiek minēta videonovērošana – juridiskas personas veikta videonovērošana bez informatīvajām zīmēm, kā arī videonovērošanas veikšana neatļautās telpās (ģērbtuves, labierīcības, dušas u. tml.). Šī ir pozitīvi vērtējama prioritāte, jo videonovērošana kļūst arvien populārāka kā darbinieku un citu personu uzraudzīšanas un īpašuma aizsargāšanas rīks, bet bieži tā tiek veikta, neievērojot Vispārīgās datu aizsardzības regulas prasības. Piemēram, ļoti daudzos gadījumos izvietotās zīmes un cita cilvēkiem pieejamā informācija par videonovērošanu nav atbilstoša. Izplatīta ir rīcība, izvietojot zīmi tikai par videonovērošanas veikšanas faktu, bet nesniedzot informāciju, kurš ir videonovērošanas pārzinis, ar kādu nolūku tā tiek veikta, cik ilgi videoieraksti tiek glabāti, kam tie varētu tikt nodoti. Šāda rīcība nenodrošina regulai atbilstošu informēšanu. Zīmē par videonovērošanas veikšanu visu regulā kā obligāti sniedzamo informāciju ietvert nevar, tādēļ zīmē jāietver būtiskākais un papildus jāievieto norāde uz to, kur cilvēks var iepazīties ar pārējo informāciju (piemēram, ietverot saiti uz uzņēmuma mājaslapu).
Jāatceras, ka informēšana ir tikai viens no priekšnoteikumiem tiesiskas videonovērošanas veikšanai. Papildus informēšanas pienākumiem būtiski ir nodrošināt arī citus priekšnoteikumus, tai skaitā videoierakstu drošu glabāšanu, samērīgu glabāšanas ilgumu, kā arī samērīgumu videonovērošanas kameru izvietojuma ziņā. Piemēram, neskatoties uz to, ka atbilstoša būtu informēšana un ka uzņēmumam varētu būt mērķis aizsargāt savu īpašumu, indivīdu privātums nesamērīgi tiktu aizskarts, ja uzņēmums videonovērošanas kameras izvietotu ģērbtuvēs, labierīcībās, dušas telpās, veikala pielaikošanas kabīnēs.
Līdz ar to gan uzņēmumiem, gan iestādēm, kuras veic videonovērošanu, jāpārskata šis process, tai skaitā jāpārbauda informatīvās zīmes par videonovērošanas veikšanu un kameru izvietojums, un tā atbilstība Vispārīgajai datu aizsardzības regulai un jāveic nepieciešamie uzlabojumi, lai Datu valsts inspekcijas pārbaudes gadījumā nebūtu nepatīkami pārsteigumi naudas sodu veidā.
Datu subjektu pieprasījumus nevarēs atstāt novārtā
Kā vēl viena Datu valsts inspekcijas uzraudzības prioritāte ir datu subjektu tiesību ievērošana gadījumā, ja ir pierādījumi tam, ka datu subjekts ir izmantojis tiesības un vērsies pie pārziņa, savukārt pārzinis nepilda vai nepilnīgi pilda Vispārīgās datu aizsardzības regulas noteiktos pienākumus. Kā jau publiski izskanējis, tieši nepienācīga reaģēšana uz personas pieprasījumu par savu datu apstrādi bijis pārkāpums, kas kopš regulas piemērošanas brīža izpelnījies vienu no lielākajiem sodiem 7000 eiro apmērā.
Arī datu subjektu pieprasījumu gadījumā uzņēmumi un iestādes ne vienmēr apzinās savus pienākumus, tai skaitā neapzinās, ka atbilde datu subjektam ir jāsniedz pēc iespējas ātrāk un tikai īpaši sarežģītos gadījumos atbildi var sniegt vēlāk nekā pēc viena mēneša, datu subjektu informējot par termiņa pagarināšanu un tā pamatojumu. Kā arī būtiski ir ņemt vērā, ka datu subjektam ne vienmēr ir jāpamato savs pieprasījums. Tai skaitā, ja datu subjekts atsauc savu piekrišanu personas datu apstrādei lojalitātes programmas ietvaros vai ja datu subjekts vēlas saņemt savus uzņēmuma vai iestādes rīcībā esošos personas datus un informāciju par to apstrādi, datu subjektam nav jāpaskaidro, kāpēc šādu pieprasījumu viņš ir iesniedzis. Piemēram, klients ir tiesīgs lūgt izsniegt visus videoierakstus, kuros viņš ir redzams, un lūgt, lai pēc tam uzņēmums šos ierakstus dzēš, šo pieprasījumu nekādā veidā nepamatojot. Savukārt uzņēmumam šajā gadījumā, atsakot ierakstu dzēšanu, būs jāpamato šis atteikums.
Arī tad, ja datu subjekta pieprasījums nav pamatots, uzņēmumam vai iestādei ir jāsniedz datu subjektam atbilde. Piemēram, nav atbilstoši neatbildēt vispār vai atbildēt vairāk nekā pēc viena mēneša, bijušajam valdes loceklim skaidrojot, ka visi viņa personas dati nevar tikt izdzēsti, jo konkrētu personas datu glabāšanas termiņu paredz likums un šo datu glabāšana ir nepieciešama arī uzņēmuma leģitīmo interešu aizsardzībai.
Šādā situācijā atbilde pēc būtības ir jāsniedz pēc iespējas ātrāk, bet ne ilgāk kā pēc viena mēneša. Ievērojot to, ka ikviens uzņēmums vai iestāde var saņemt datu subjekta pieprasījumu un ka cilvēki arvien labāk pārzina un aktīvāk izmanto savas tiesības datu aizsardzības jomā, ikvienam uzņēmumam un iestādei būtiski ir iecelt par šo procesu atbildīgo darbinieku. Turklāt ikvienam darbiniekam gan apmācību, gan iekšējo procedūru veidā ir būtiski skaidrot, kādi var būt un kādā veidā var tikt iesniegti datu subjektu pieprasījumi, kā rīkoties, ja šāds pieprasījums tiek iesniegts. Pieprasījums var tikt iesniegts, piemēram, arī telefoniski, līdz ar to ikvienam darbiniekam ir jāsaprot, vai un kādā veidā reaģēt uz šādu pieprasījumu. Datu subjektu pieprasījumu gadījumā būtiska ir datu subjekta identificēšana (pārliecināšanās, vai konkrētā datu subjekta pieprasījumu iesniedz pats datu subjekts), un, neizpildot vai nepienācīgi izpildot identificēšanas priekšnoteikumus, arī var tikt būtiski pārkāptas datu aizsardzības prasības.
Zem lupas būs arī valsts iestāžu veiktā personas datu apstrāde
Vēl viena personas datu aizsardzības jomā kontrolējamā prioritāte 2020. gadā būs valsts iestāžu veiktā personas datu apstrāde, jo Ministru kabinets 2019. gada 19. novembrī pieņēma rīkojumu Nr. 571 "Par kopējām valsts pārvaldē auditējamām prioritātēm 2020. gadam", uzdodot ministriju un iestāžu iekšējā audita struktūrvienībām 2020. gadā veikt fizisko personu datu aizsardzības iekšējo auditu. Rīkojuma projekta anotācijā norādīts, ka valsts pārvaldes iestādēs vērojama dažāda izpratne Vispārīgās datu aizsardzības regulas piemērošanā, tostarp regulas prasību neievērošana, pārspīlēta vai formāla izpilde, un ka svarīgi veicināt saprātīgu un samērīgu regulas prasību ievērošanu.
Valsts iestāžu rīcībā atrodas vērtīgi liela apjoma personas dati, un valsts iestādēm atšķirībā no uzņēmumiem nevar tikt piemēroti ievērojamie Vispārīgajā datu aizsardzības regulā paredzētie naudas sodi (līdz 4% no iepriekšējā gada apgrozījuma vai līdz 20 miljoniem EUR atkarībā no tā, kurš apmērs lielāks), kas ir viens no būtiskākajiem motivējošajiem faktoriem personas datu aizsardzības prasību izpildē privātajam sektoram.
Ņemot vērā iepriekš minēto, ir secināms, ka ikviena Latvijas iedzīvotāja privātuma aizsardzības interesēs ļoti vērtīgi ir tas, ka šis rīkojums ir pieņemts un stājies spēkā, un, jācer, tiks arī veiksmīgi īstenots. Tomēr kā priekšnoteikums tā veiksmīgai īstenošanai noteikti būtu ministriju un iestāžu iekšējā audita struktūrvienību izglītošana par Vispārīgās datu aizsardzības regulas prasībām un to interpretāciju.
Raksts publicēts portālā DELFI
