Jaunumi
2025/15/10
Datu valsts inspekcijas darba kvalitāte zem jautājuma zīmes: vairāk, kā 70 % no pārsūdzētajiem un šogad publicētajiem lēmumiem atzīti par prettiesiskiem
Šogad Datu valsts inspekcijas (DVI) darbā novērojama satraucoša tendence – no 7 iestādes mājaslapā https://www.dvi.gov.lv/lv/lemumi publicētajiem lēmumiem, kas saistīti ar sūdzībām, 5 ir atcelti pašas inspekcijas direktores lēmumu rezultātā, atzīstot sākotnējo lēmumu par prettiesisku. Šī statistika liek apšaubīt sākotnējo lēmumu pieņēmēju profesionalitāti un spēju nodrošināt tiesisku un pamatotu sūdzību izskatīšanu. Analizējot atceltos lēmumus, atklājas dažādi iemesli, kāpēc sākotnējās amatpersonu rīcības atzītas par prettiesiskām – no nepienācīgas sūdzību izvērtēšanas līdz iekšēji pretrunīgiem un juridiski nepamatotiem secinājumiem.
Vienā no lietām, kas saistīta ar personas datu, tostarp veselības datu, publicēšanu sociālajā tīklā "Facebook", DVI sākotnēji atteicās veikt tālākas darbības, aicinot iesniedzēju pašam vērsties pie pārziņa. Tomēr, izskatot sūdzību par šo lēmumu, inspekcijas direktore atzina, ka šāda rīcība ir prettiesiska. Galvenie iemesli lēmuma atcelšanai bija šādi:
-
Iekšēja pretruna: Inspekcijas amatpersona vienlaikus bija konstatējusi personas datu apstrādes pārkāpumu, bet atteicās rīkoties, kas ir pretrunā ar iestādes pienākumu novērst konstatētos pārkāpumus.
-
Nepamatota atsaukšanās uz tiesas kompetenci: Sākotnējā atbildē tika norādīts, ka inspekcijai nav tiesību izvērtēt pamattiesību sadursmi, lai gan tajā pašā laikā tika atzīts pārmērīgas personas datu apstrādes fakts.
-
Nepilnīgs izvērtējums: Sākotnējā lēmumā netika pienācīgi izvērtēti apstākļi saistībā ar īpašas kategorijas personas datu (veselības dati) apstrādi un vārda brīvības ierobežojumiem.
Šajā gadījumā inspekcijas direktore uzdeva Uzraudzības nodaļai atkārtoti un ar pienācīgu rūpību izskatīt iesniedzēja sūdzību.
Divos citos gadījumos, kas saistīti ar sūdzībām pret "Rīgas satiksmi", DVI ilgstoši nebija sniegusi atbildes uz iesniegumiem, kas tika iesniegti jau 2022. gadā. Vienā no lietām atbilde nebija sniegta gandrīz trīs gadus. Abos gadījumos inspekcijas direktore atzina iestādes faktisko rīcību (bezdarbību) par prettiesisku. Galvenie iemesli šo lēmumu pieņemšanai bija:
-
Pienākuma nepildīšana: Inspekcija nebija izpildījusi Vispārīgajā datu aizsardzības regulā noteikto pienākumu saprātīgā termiņā izskatīt sūdzības un informēt iesniedzējus par izmeklēšanas rezultātiem.
-
Saziņas trūkums: Iesniedzēji ilgstoši netika informēti par sūdzību izskatīšanas gaitu un iemesliem, kas kavēja atbildes sniegšanu.
Rezultātā inspekcijas Uzraudzības nodaļai tika uzdots divu mēnešu laikā izskatīt sūdzības un sniegt atbildes par to iznākumu.
Vēl viens gadījums, kas nonāca direktores redzeslokā, bija saistīts ar nepilngadīga bērna personas datu apstrādi ziņu portālos. Arī šeit sākotnējā amatpersonas atbilde tika atzīta par prettiesisku, jo sūdzība netika izskatīta ar pienācīgu rūpību. Būtiskākie trūkumi sākotnējā izvērtējumā bija:
-
Nepamatots atteikums piemērot korektīvos līdzekļus: Amatpersona nebija tiesiski pamatojusi, kāpēc netika piemērotas korektīvās pilnvaras, lai gan tika konstatēts, ka bērna datus var identificēt vismaz noteiktam personu lokam.
-
Nepareiza tiesību normu interpretācija: Iesniedzējai tika kļūdaini norādīts, ka netieša personas identifikācija nav uzskatāma par personas datu pārkāpumu, kas ir pretrunā ar Vispārīgās datu aizsardzības regulas definīciju.
Pēc sākotnējā lēmuma atcelšanas, inspekcijas direktore pati veica lietas izskatīšanu pēc būtības.
Pēdējā no analizētajām lietām attiecās uz personas datu publicēšanu sūdzību portālā www.sudzibas.lv. Arī šajā gadījumā inspekcijas sākotnējā atbilde tika atzīta par prettiesisku, jo sūdzība netika pienācīgi izvērtēta.
Galvenie iemesli lēmuma atcelšanai bija:
-
Faktu neizvērtēšana: Netika izvērtēts, vai personas datu apstrāde joprojām atbilst sākotnējam mērķim, jo iesniedzējs bija mainījis darba vietu un nozari.
-
Datu minimizēšanas principa ignorēšana: Netika analizēts, vai publicēšanas mērķi varēja sasniegt, neapstrādājot konkrētās personas datus, jo sūdzība bija vērsta pret juridisku personu – autoservisu, nevis konkrētu darbinieku.
-
Sūdzības daļu neizskatīšana: Sākotnējā atbildē netika izvērtēts iesniedzēja arguments par portāla neatbilstošo sīkdatņu politiku.
Arī šajā lietā Uzraudzības nodaļai tika uzdots divu mēnešu laikā atkārtoti izvērtēt sūdzību.
Šie gadījumi kopumā rada nopietnas bažas par Datu valsts inspekcijas darba kvalitāti un spēju nodrošināt efektīvu personu datu aizsardzību. Iedzīvotājiem, vēršoties inspekcijā, ir tiesības sagaidīt profesionālu un tiesisku izvērtējumu jau pirmajā līmenī, nevis saskarties ar formālām atbildēm, pretrunīgiem secinājumiem un nepieciešamību tērēt laiku un resursus, apstrīdot acīmredzami nepamatotus lēmumus. Inspekcijas vadībai būtu nopietni jāizvērtē šī situācija un jāveic pasākumi, lai uzlabotu darbinieku kompetenci un nodrošinātu lēmumu pieņemšanas procesa kvalitāti.
Šī statistika un analizētie gadījumi liecina, ka pat vēršanās uzraudzības iestādē ne vienmēr garantē ātru un tiesisku risinājumu. Saskaroties ar prettiesisku datu apstrādi vai Datu valsts inspekcijas nepamatotu lēmumu vai bezdarbību, ir svarīgi saņemt kvalificētu juridisko palīdzību. Mūsu birojs specializējas datu aizsardzības tiesībās, tāpēc varam palīdzēt Jums sagatavot sūdzības, pārstāvēt Jūsu intereses komunikācijā ar iestādēm un nepieciešamības gadījumā pārsūdzēt prettiesiskus lēmumus, nodrošinot, ka Jūsu tiesības tiek aizsargātas efektīvi un profesionāli.
2025/03/10
Datu aizsardzības speciālists (das): Nepieciešamība, funkcijas un ieguvumi Jūsu uzņēmumam
Kopš Vispārīgās datu aizsardzības regulas (VDAR) piemērošanas uzsākšanas, datu aizsardzības speciālista (DAS) loma ir kļuvusi par būtisku elementu daudzu organizāciju atbilstības nodrošināšanas stratēģijā. Šis amats nav tikai formāla prasība, bet gan stratēģisks partneris, kas palīdz ne tikai izvairīties no bargiem sodiem, bet arī veicina uzņēmuma reputāciju un efektivitāti. Šajā rakstā mūsu birojs skaidro, kuriem uzņēmumiem un iestādēm DAS ir obligāta nepieciešamība, kādas ir šī speciālista galvenās funkcijas un kādi ir reālie ieguvumi, sadarbojoties ar kompetentu datu aizsardzības ekspertu.
Kam ir nepieciešams datu aizsardzības speciālists? Saskaņā ar VDAR 37. pantu, datu aizsardzības speciālista iecelšana ir obligāta trīs galvenajos gadījumos:
-
Publiskā sektora iestādes: Visām valsts un pašvaldību iestādēm, neatkarīgi no to veiktās datu apstrādes apjoma un veida, ir pienākums iecelt DAS. Šī prasība nodrošina, ka publiskajā sektorā, kas apstrādā milzīgu apjomu iedzīvotāju datu, tiek ievēroti visaugstākie datu aizsardzības standarti.
-
Liela mēroga regulāra un sistemātiska novērošana: Uzņēmumiem, kuru pamatdarbība ietver fizisku personu regulāru un sistemātisku novērošanu plašā mērogā, DAS iecelšana ir obligāta. Šis kritērijs ir īpaši aktuāls tehnoloģiju uzņēmumiem, apsardzes firmām, apdrošināšanas un finanšu institūcijām, kā arī uzņēmumiem, kas nodarbojas ar profilēšanu un uzvedības reklāmu. Piemēri ietver:
-
Telekomunikāciju operatorus, kas analizē lietotāju datus;
-
Uzņēmumus, kas izmanto atrašanās vietas datus mārketinga nolūkos;
-
Apsardzes uzņēmumus, kas veic plaša mēroga videonovērošanu;
-
Bankas, kas veic klientu profilēšanu risku izvērtēšanai.
-
3. Liela mēroga īpašu kategoriju datu apstrāde: Ja uzņēmuma pamatdarbība ir saistīta ar liela apjoma īpašu kategoriju personas datu (piemēram, veselības dati, ģenētiskie dati, biometriskie dati, dati par etnisko piederību, politiskajiem uzskatiem, reliģisko vai filozofisko pārliecību, dalību arodbiedrībās) vai datu par sodāmību un pārkāpumiem apstrādi, DAS ir obligāts. Šī prasība attiecas uz slimnīcām, klīnikām un citiem veselības aprūpes pakalpojumu sniedzējiem;
Būtiski atzīmēt, ka arī tad, ja uzņēmums neatbilst nevienam no šiem kritērijiem, DAS iecelšana ir ieteicama labas prakses un pārvaldības ietvaros, īpaši, ja tiek apstrādāts nozīmīgs personas datu apjoms.
Datu aizsardzības speciālista funkcijas un reālie darba uzdevumi. DAS nav tikai "papīra" amats. Tas ir aktīvs processu uzraugs, padomdevējs un starpnieks. Saskaņā ar VDAR 39. pantu, DAS galvenās funkcijas ir:
-
Informēšana un konsultēšana: DAS sniedz konsultācijas uzņēmuma vadībai un darbiniekiem par viņu pienākumiem saskaņā ar VDAR un citiem datu aizsardzības tiesību aktiem. Praktiski tas nozīmē regulāru komunikāciju, skaidrojot sarežģītas juridiskās prasības saprotamā valodā un palīdzot pieņemt datos balstītus, bet tajā pašā laikā atbilstošus lēmumus.
-
Atbilstības uzraudzība: DAS uzrauga, kā uzņēmums ievēro VDAR prasības un iekšējās datu aizsardzības politikas. Tas ietver regulārus auditus, datu apstrādes darbību pārbaudes un risku novērtēšanu. DAS identificē nepilnības un sniedz rekomendācijas to novēršanai.
-
Apmācību organizēšana: DAS ir atbildīgs par darbinieku izpratnes veicināšanu par datu aizsardzības jautājumiem. Tas ietver apmācību organizēšanu, informatīvu materiālu sagatavošanu un atbalsta sniegšanu ikdienas jautājumos.
-
Ietekmes uz datu aizsardzību novērtējuma (DPIA) veikšana: Jauna projekta vai tehnoloģijas ieviešanas gadījumā, kas var radīt augstu risku fizisku personu tiesībām un brīvībām, DAS konsultē par nepieciešamību veikt ietekmes uz datu aizsardzību novērtējumu un uzrauga tā izpildi.
-
Sadarbība ar uzraudzības iestādi: DAS ir galvenais kontaktpunkts saziņai ar Datu valsts inspekciju (DVI). Tas ietver sadarbību izmeklēšanas gadījumos, ziņošanu par datu aizsardzības pārkāpumiem un konsultāciju pieprasīšanu.
-
Datu subjektu tiesību nodrošināšana: DAS palīdz uzņēmumam izveidot un uzturēt procedūras, kas nodrošina fizisku personu (klientu, darbinieku) tiesību īstenošanu, piemēram, tiesības piekļūt saviem datiem, labot tos vai pieprasīt to dzēšanu.
Ikdienā DAS darbs ietver: jaunu līgumu un iekšējo noteikumu saskaņošanu no datu aizsardzības viedokļa, reaģēšanu uz datu aizsardzības incidentiem un to izmeklēšanu, darbinieku konsultēšanu par konkrētu datu apstrādes darbību likumību, kā arī sekošanu līdzi jaunākajām tendencēm un tiesu praksei datu aizsardzības jomā.
Uzņēmumu ieguvumi, sadarbojoties ar datu aizsardzības speciālistu. DAS algošana sniedz virkni būtisku ieguvumu, kas pārsniedz vienkāršu atbilstības nodrošināšanu:
-
Risku mazināšana un sodu novēršana: DAS palīdz identificēt un novērst datu aizsardzības riskus, tādējādi ievērojami samazinot iespēju saņemt VDAR paredzētos bargos naudas sodus, kas var sasniegt pat 20 miljonus eiro vai 4% no uzņēmuma globālā apgrozījuma.
-
Uzlabota reputācija un klientu uzticība: Uzņēmums, kas demonstrē atbildīgu attieksmi pret klientu un darbinieku datiem, veido uzticama un droša partnera tēlu. Tas ir īpaši svarīgi mūsdienu digitālajā ekonomikā, kur datu drošība ir viens no galvenajiem klientu izvēles kritērijiem.
-
Efektīvāka datu pārvaldība: DAS palīdz ieviest skaidras un strukturētas datu pārvaldības procedūras, kas ne tikai nodrošina atbilstību, bet arī uzlabo uzņēmuma iekšējos procesus, samazina datu dublēšanos un uzlabo datu kvalitāti.
-
Konkurences priekšrocības: Uzņēmumi, kas ir soli priekšā datu aizsardzības jautājumos, var to izmantot kā mārketinga priekšrocību, piesaistot klientus, kuriem rūp viņu privātums.
-
Fokuss uz pamatdarbību: Piesaistot DAS ārpakalpojumā vai noalgojot speciālistu, uzņēmuma vadība un citi darbinieki var koncentrēties uz saviem tiešajiem pienākumiem, uzticot sarežģītos datu aizsardzības jautājumus profesionālim.
-
Stratēģisks partneris: Kompetents DAS nav tikai uzraugs, bet arī biznesa partneris, kas palīdz pieņemt pārdomātus lēmumus par jaunu tehnoloģiju ieviešanu, jaunu tirgu apgūšanu un citiem stratēģiskiem jautājumiem, nodrošinot, ka viss notiek saskaņā ar datu aizsardzības principiem.
Datu aizsardzības speciālists ir neaizstājams resurss jebkurai organizācijai, kas nopietni uztver datu aizsardzību. Tā nav greznība, bet gan nepieciešamība, kas ilgtermiņā atmaksājas, nodrošinot ne tikai juridisko atbilstību, bet arī veicinot ilgtspējīgu un uzticamu biznesa attīstību.
2025/29/09
Mārketings un GDPR: Vai es drīkstu sūtīt klientiem jaunumu vēstules?
E-pasta mārketings joprojām ir viens no efektīvākajiem veidiem, kā uzturēt saikni ar klientiem un veicināt pārdošanu. Tomēr kopš Vispārīgās datu aizsardzības regulas (VDAR jeb GDPR) ieviešanas daudzi uzņēmēji ir apjukuši – vai un kādos apstākļos drīkst sūtīt klientiem jaunumu vēstules un mārketinga piedāvājumus? Vai par katru e-pastu draud sods?
Atbilde ir – jā, jūs drīkstat sūtīt jaunumu vēstules, taču tas jādara gudri un atbilstoši likuma prasībām. Galvenais ir izprast atšķirību starp komunikāciju ar esošajiem un potenciālajiem klientiem, kā arī nodrošināt vienkāršu atteikšanās iespēju.
Komunikācija ar ESOŠAJIEM klientiem. Šeit likumdevējs ir bijis samērā pretimnākošs. Ja persona jau ir iegādājusies jūsu preci vai izmantojusi pakalpojumu, jūs drīkstat viņai sūtīt mārketinga ziņas par līdzīgām precēm vai pakalpojumiem, balstoties uz jūsu leģitīmajām interesēm uzturēt attiecības ar klientu. Kas ir jāievēro?
-
Iepriekšējs darījums: Klienta e-pasta adrese ir jāiegūst iepriekšēja pirkuma vai pakalpojuma sniegšanas ietvaros. Jūs nedrīkstat izmantot e-pastu, ko klients iedevis, piemēram, tikai jautājuma uzdošanai.
-
Līdzīgi produkti vai pakalpojumi: Ja klients no jums nopirka sporta apavus, jūs drīkstat viņam sūtīt piedāvājumus par sporta apģērbu vai aksesuāriem. Sūtīt informāciju par, piemēram, virtuves tehniku, nebūtu korekti.
-
Sākotnējā atteikšanās iespēja: Jau brīdī, kad klients veic pirkumu un atstāj savu e-pastu, viņam ir jādod skaidra un vienkārša iespēja bez maksas atteikties no turpmāku ziņu saņemšanas (piemēram, ar nenoķeksētu atzīmes rūtiņu "nevēlos saņemt jaunumus").
-
Obligāta "Opt-out" iespēja katrā e-pastā: Katrā nosūtītajā mārketinga vēstulē ir jābūt skaidrai un viegli pamanāmai saitei, kas ļauj no turpmāku ziņu saņemšanas atteikties.
Šajā gadījumā jums nav nepieciešams prasīt klientam atsevišķu, skaidri izteiktu piekrišanu jaunumu saņemšanai, jo pamats ir jūsu leģitīmās intereses.
Komunikācija ar POTENCIĀLAJIEM klientiem. Ja persona nekad nav neko no jums pirkusi, bet ir, piemēram, tikai atstājusi savu e-pastu mājaslapā, pierakstoties jaunumiem, vai iedevusi vizītkarti izstādē, situācija ir pavisam cita. Šeit vienīgais tiesiskais pamats mārketinga ziņu sūtīšanai ir skaidri izteikta, brīvprātīga un apzināta piekrišana. Kas ir derīga piekrišana?
-
Aktīva darbība: Personai ir pašai aktīvi jāveic kāda darbība, lai pieteiktos jaunumiem, piemēram, jāieķeksē tukša atzīmes rūtiņa vai jānospiež poga "Pierakstīties". Jūs nedrīkstat izmantot iepriekš atzīmētas rūtiņas ("checkbox").
-
Skaidrs mērķis: Pirms piekrišanas saņemšanas jums ir skaidri jāpaskaidro, kāda veida informāciju persona saņems (piemēram, "Pieraksties mūsu jaunumiem un reizi mēnesī saņem īpašos piedāvājumus un noderīgus padomus").
-
Vienkārša atsaukšana: Jums ir jāinformē persona, ka tai būs tiesības jebkurā laikā viegli atteikties no jaunumu saņemšanas.
-
Pierādāma piekrišana: Jums ir jāspēj pierādīt, ka un kad konkrētā persona ir devusi savu piekrišanu. E-pasta mārketinga platformas (piemēram, Mailchimp, Sender) parasti šo procesu nodrošina automātiski.
Kas ir "Opt-out" (atteikšanās) iespēja, un kāpēc tā ir kritiski svarīga? "Opt-out" ir mehānisms, kas ļauj saņēmējam jebkurā brīdī ātri un vienkārši atteikties no turpmāku mārketinga e-pastu saņemšanas. Tā ir obligāta prasība pilnīgi katram komerciālajam sūtījumam neatkarīgi no tā, vai tas tiek sūtīts esošam vai potenciālam klientam.
Kāpēc tas ir svarīgi?
-
Likuma prasība: Tās neievērošana ir tiešs VDAR pārkāpums.
-
Klientu uzticība: Slēpt atteikšanās saiti vai padarīt šo procesu sarežģītu ir slikta prakse, kas grauj klientu uzticību un kaitina jūsu auditoriju. Cilvēki, kuri nevēlas saņemt jūsu ziņas, tāpat neko nepirks.
-
Jūsu sūtītāja reputācija: Ja saņēmēji nevar viegli atrakstīties, viņi biežāk atzīmēs jūsu vēstules kā surogātpastu ("spam"). Tas bojā jūsu domēna reputāciju, un e-pasta pakalpojumu sniedzēji (Gmail, Outlook u.c.) var sākt bloķēt jūsu vēstules visiem saņēmējiem.
Atteikšanās saitei parasti jābūt e-pasta beigās, tai jābūt skaidri salasāmai un jānodrošina atrakstīšanās ar vienu vai diviem klikšķiem.
GDPR nav bieds, bet gan aicinājums uz godīgu un caurspīdīgu komunikāciju. Cieniet savu klientu privātumu – nesūtiet ziņas tiem, kas to nevēlas, un dodiet skaidru iespēju atteikties. Tāda pieeja ne tikai pasargās jūs no sodiem, bet arī veidos lojālu un atsaucīgu klientu loku, kas patiešām vēlas dzirdēt, ko jūs viņiem sakāt.
2025/22/09
Kā pasargāt Jūsu biznesa datus: Pamācība populārāko AI rīku datu izmantošanas atslēgšanai
Mūsdienu digitālajā laikmetā mākslīgā intelekta (AI) rīki, piemēram, Gemini, ChatGPT, Copilot un citi, kļūst par neatņemamu darba instrumentu jebkurā uzņēmumā. Tie palīdz automatizēt procesus, radīt saturu un analizēt datus. Tomēr, izmantojot šo rīku sniegtās priekšrocības, ikvienam uzņēmējam ir būtiski apzināties un pārvaldīt ar datu drošību saistītos riskus. Šis raksts sniegs ieskatu, kāpēc ir svarīgi atslēgt datu izmantošanu AI modeļu apmācībai un kā to izdarīt populārākajās platformās.
Jebkuram uzņēmumam komercnoslēpumi, klientu dati un stratēģiskā informācija ir viens no vērtīgākajiem aktīviem. Uzticēšanās starp uzņēmumu un tā klientiem vai partneriem veidojas, pateicoties pārliecībai, ka sensitīva informācija nenonāks trešo pušu rokās. Izmantojot AI rīkus, pastāv risks, ka ievadītā informācija — vai tie būtu dati par jaunu produktu, finanšu pārskati, mārketinga stratēģijas vai klientu saraksti — var tikt izmantota šo sistēmu tālākai apmācībai.
Galvenie riski, ja dati tiek izmantoti apmācībai:
-
Komercnoslēpumu noplūde: Jūsu uzņēmuma unikālās idejas, finanšu dati vai iekšējās darbības procesi var tikt nejauši atklāti citiem AI lietotājiem vai kļūt par daļu no modeļa publiskās zināšanu bāzes.
-
Konkurences priekšrocību zaudēšana: Ja jūsu inovatīvās stratēģijas vai tirgus analīzes dati tiek izmantoti AI apmācībai, tie var netieši palīdzēt jūsu konkurentiem.
-
GDPR un citu datu aizsardzības regulu pārkāpumi: Personas datu (piemēram, klientu informācijas) apstrāde bez atbilstoša juridiskā pamata un pārredzamības ir pretrunā ar Vispārīgo datu aizsardzības regulu (VDAR), kas var novest pie ievērojamiem naudas sodiem.
Praktiskie ieguvumi, atslēdzot datu izmantošanu apmācībai:
-
Paaugstināta datu drošība: Jūs saglabājat pilnīgu kontroli pār sava uzņēmuma un klientu informāciju, novēršot tās nonākšanu neparedzētā apritē.
-
Klientu un partneru uzticības stiprināšana: Demonstrējot atbildīgu pieeju tehnoloģiju izmantošanai, jūs apliecināt savu apņemšanos aizsargāt visu iesaistīto pušu intereses.
-
Atbilstība normatīvajiem aktiem: Jūs nodrošināt sava uzņēmuma darbības atbilstību VDAR un citiem datu aizsardzības likumiem, mazinot sankciju riskus.
Instrukcijas datu izmantošanas atslēgšanai. Lai palīdzētu jums pasargāt sava biznesa datus, esam apkopojuši instrukcijas, kā atslēgt datu izmantošanu apmācības nolūkos populārākajiem AI rīkiem.
Google Gemini. Google ļauj lietotājiem pārvaldīt savas darbības un atslēgt to saglabāšanu, kas nepieciešama modeļa apmācībai.
-
Dodieties uz Gemini darbību pārvaldības lapu: Gemini Apps Activity.
-
Ja "Gemini Apps Activity" ir ieslēgts, jūs redzēsiet iespēju to izslēgt ("Turn off"). Nospiediet uz tās.
-
Apstipriniet savu izvēli. Pēc šo darbību veikšanas jūsu sarunas ar Gemini vairs netiks saglabātas jūsu Google kontā un izmantotas modeļa apmācībai.
OpenAI ChatGPT. ChatGPT piedāvā līdzīgu iespēju kontrolēt savu datu izmantošanu.
-
Pieslēdzieties savam ChatGPT kontam.
-
Apakšējā kreisajā stūrī noklikšķiniet uz sava profila nosaukuma un izvēlieties "Settings".
-
Atveriet sadaļu "Data controls".
-
Atslēdziet opciju "Improve the model for everyone" (vai līdzīgu nosaukumu, kas norāda uz datu izmantošanu apmācībai).
Microsoft Copilot
Microsoft Copilot privātuma iestatījumi ir saistīti ar jūsu Microsoft kontu.
-
Dodieties uz Microsoft konfidencialitātes informācijas paneli: Microsoft Privacy Dashboard.
-
Pieslēdzieties savam Microsoft kontam.
-
Pārskatiet un dzēsiet savu meklēšanas un pārlūkošanas vēsturi, kas saistīta ar Copilot. Lai gan tieša "atslēgt apmācību" poga var nebūt vienmēr redzama, regulāra vēstures dzēšana ierobežo datu apjomu, ko Microsoft var izmantot.
-
Uzņēmuma līmeņa lietotājiem (Microsoft 365 Copilot) ir pieejamas plašākas datu aizsardzības garantijas, kur dati pēc noklusējuma netiek izmantoti apmācībai.
Anthropic Claude
Anthropic nesen atjaunināja savu privātuma politiku, dodot lietotājiem skaidru izvēli.
-
Pieslēdzieties savam Claude.ai kontam.
-
Dodieties uz iestatījumiem, noklikšķinot uz sava profila ikonas un izvēloties "Settings".
-
Atveriet sadaļu "Privacy".
-
Pārliecinieties, ka pārslēgs pie opcijas "Help improve Claude" ir izslēgtā pozīcijā.
xAI Grok
Grok, kas ir integrēts sociālajā tīklā X (iepriekš Twitter), pēc noklusējuma var izmantot jūsu publiskos datus.
-
Pieslēdzieties savam X kontam.
-
Dodieties uz "Settings and privacy" -> "Privacy and safety".
-
Atrodiet sadaļu, kas saistīta ar "Grok" vai datu koplietošanu.
-
Atslēdziet opciju, kas atļauj izmantot jūsu datus modeļa apmācībai.
Apzinīga un atbildīga pieeja AI rīku lietošanai ir būtiska, lai nodrošinātu jūsu biznesa datu drošību. Regulāri pārbaudiet šo platformu privātuma iestatījumus, jo tie var mainīties. Ieviešot šos vienkāršos, bet svarīgos pasākumus, jūs varat droši izmantot mākslīgā intelekta sniegtās iespējas, neriskējot ar savu komercnoslēpumu un klientu konfidencialitāti.
2025/17/09
Bērnu dati aplikācijās un sociālajos tīklos: kas jāzina izstrādātājiem?
Vai Jūsu uzņēmums veido produktu vai pakalpojumu, ko varētu izmantot arī bērni? Bērnu piesaiste digitālajai videi ir likumsakarīga, taču līdz ar to pieaug arī atbildība par viņu personas datu aizsardzību. Vispārīgā datu aizsardzības regula (VDAR) nosaka īpaši stingras prasības bērnu datu apstrādei, un to neievērošana var novest pie milzīgiem naudas sodiem, kā to jau pieredzējuši tādi tehnoloģiju giganti kā “Meta” un “TikTok”. Šajā rakstā apskatīsim svarīgāko, kas jāzina izstrādātājiem un pakalpojumu sniedzējiem, lai nodrošinātu atbilstību regulai.
Mūsdienu digitālajā laikmetā bērni ir aktīvi lietotņu, spēļu un sociālo tīklu lietotāji. Viņi mācās, socializējas un izklaidējas tiešsaistē, bieži vien nenojaušot par riskiem, kas saistīti ar viņu personas datu nodošanu trešajām pusēm. Tieši tādēļ VDAR bērnus atzīst par īpaši aizsargājamu personu grupu, uzliekot datu pārziņiem – uzņēmumiem, kas apstrādā datus – paaugstinātas atbildības pienākumus.
Viens no VDAR stūrakmeņiem attiecībā uz bērnu datiem ir vecāku vai aizbildņu piekrišanas nepieciešamība. Ja Jūsu pakalpojums balstās uz piekrišanu kā tiesisko pamatu datu apstrādei, ir jāpievērš uzmanība bērna vecumam. Latvijā digitālās piekrišanas vecums ir noteikts 13 gadi. Tas nozīmē, ka, ja bērns ir jaunāks par 13 gadiem, viņa personas datu apstrādei (piemēram, profila izveidei aplikācijā, e-pasta adreses vākšanai) ir nepieciešama vecāku vai aizbildņu piekrišana. Ja bērns ir sasniedzis 13 gadu vecumu, viņš pats var dot piekrišanu savu datu apstrādei informācijas sabiedrības pakalpojumu ietvaros. Uzņēmumam ir pienākums veikt “saprātīgus pasākumus”, lai pārbaudītu, vai persona, kas dod piekrišanu bērna vārdā, patiešām ir vecāks vai aizbildnis. Tas var ietvert dažādas vecuma pārbaudes metodes – no vienkāršas dzimšanas datuma norādīšanas līdz sarežģītākām sistēmām, piemēram, maksājumu kartes datu pārbaudei (pieprasot minimālu transakciju) vai speciālu verifikācijas formu nosūtīšanai uz vecāku e-pastu.
Aizmirstiet par garām un sarežģītām privātuma politikām, kas rakstītas nesaprotamā juridiskā valodā. VDAR 12. pants uzsver, ka jebkura informācija, kas adresēta bērnam, ir jāsniedz “kodolīgā, pārredzamā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu”. Praktiski ieteikumi bērniem draudzīgai privātuma politikai:
-
Izmantojiet vienkāršus teikumus un terminus. Izvairieties no abstraktiem jēdzieniem.
-
Strukturējiet informāciju. Izmantojiet apakšvirsrakstus, aizzīmes un īsas rindkopas.
-
Pievienojiet vizuālos elementus. Ikonas, īsi video vai animācijas var palīdzēt labāk izprast, kas notiek ar viņu datiem.
-
Izveidojiet slāņveida paziņojumus. Sākotnēji sniedziet vissvarīgāko informāciju, piedāvājot iespēju ar vienu klikšķi piekļūt detalizētākam aprakstam.
-
Esiet atklāti par datu vākšanas mērķiem. Paskaidrojiet bērnam saprotamā veidā, kāpēc jums nepieciešams viņa vārds, e-pasts vai atrašanās vietas dati un ko jūs ar tiem darīsiet.
VDAR 25. pants pieprasa, lai datu aizsardzība būtu iebūvēta Jūsu produktā vai pakalpojumā jau no pašiem tā izstrādes pirmsākumiem, nevis kā papildu funkcija. Attiecībā uz bērniem tas nozīmē:
-
Privātuma iestatījumiem jābūt maksimāli aizsargājošiem jau pēc noklusējuma. Piemēram, bērna profilam sociālajā tīklā būtu jābūt privātam pēc noklusējuma, nevis publiskam.
-
Atrašanās vietas noteikšanas un datu koplietošanas funkcijām jābūt izslēgtām pēc noklusējuma.
-
Jāvāc tikai minimālais datu apjoms, kas nepieciešams pakalpojuma nodrošināšanai. Neprasiet informāciju, kas nav absolūti nepieciešama.
-
Izvairieties no dizaina elementiem, kas mudina lietotājus pieņemt lēmumus, kas ir pret viņu privātuma interesēm, piemēram, kopīgot vairāk datu.
Ignorējot šīs prasības, uzņēmumi riskē ne tikai ar reputācijas zaudēšanu, bet arī ar ievērojamiem finansiāliem zaudējumiem. Naudas sodi par VDAR pārkāpumiem var sasniegt līdz pat 20 miljoniem eiro vai 4% no uzņēmuma globālā apgrozījuma.
2022. gadā Īrijas Datu aizsardzības komisija piemēroja 405 miljonu eiro sodu par to, ka uzņēmums atļāva bērniem vecumā no 13 līdz 17 gadiem veidot biznesa kontus, kas publiskoja viņu tālruņa numurus un e-pasta adreses.
2023. gadā tas pats regulators sodīja TikTok ar 345 miljoniem eiro par pārkāpumiem, kas saistīti ar bērnu kontu apstrādi, tostarp par to, ka nepilngadīgo profili pēc noklusējuma tika iestatīti kā publiski pieejami.
Šie piemēri skaidri parāda, ka Eiropas datu uzraudzības iestādes ļoti nopietni vēršas pret bērnu datu aizsardzības pārkāpumiem.
Ja Jūsu produkts ir vai varētu būt pieejams bērniem, uzdodiet sev šādus jautājumus:
-
Vai mēs zinām savu lietotāju vecumu? Vai mums ir ieviesta atbilstoša vecuma pārbaudes sistēma?
-
Ja pakalpojumu izmanto bērni zem 13 gadiem, vai mēs iegūstam un verificējam vecāku piekrišanu?
-
Vai mūsu privātuma politika ir viegli saprotama bērnam?
-
Vai mēs vācam tikai tos datus, kas ir absolūti nepieciešami?
-
Vai mūsu privātuma iestatījumi pēc noklusējuma ir bērnam visdraudzīgākie?
-
Vai esam veikuši ietekmes uz datu aizsardzību novērtējumu (DPIA), īpaši analizējot riskus bērniem?
Bērnu datu aizsardzība nav tikai juridisks pienākums – tā ir ētisks imperatīvs. Veidojot digitālos produktus ar atbildību un iebūvējot privātuma principus to pamatā, Jūs ne tikai izvairīsieties no bargiem sodiem, bet arī veidosiet uzticamu un ilgtspējīgu zīmolu, ko novērtēs gan bērni, gan viņu vecāki. Ja Jums ir šaubas par sava produkta atbilstību VDAR prasībām, iesakām savlaicīgi konsultēties ar datu aizsardzības speciālistu.
.png)
2025/12/09
Videonovērošana darba vietā: Kur ir robeža starp drošību un kontroli?
Kamera pie ieejas, noliktavā, birojā... Mūsdienu darba vide aizvien biežāk tiek aprīkota ar videonovērošanas sistēmām. Tās kalpo kā efektīvs rīks īpašuma aizsardzībai un drošības veicināšanai. Tomēr kur ir robeža starp likumīgu interešu aizsardzību un darbinieku privātuma pārkāpumu? 📹 Videonovērošana darbinieku aizsardzībai ir atļauta, bet viņu izspiegošanai – aizliegta. Šajā rakstā atgādinām par galvenajiem principiem, kas jāievēro ikvienam darba devējam, lai nodrošinātu tiesisku videonovērošanas praksi.
Darba devēja vēlme pasargāt savu īpašumu, novērst zādzības vai izmeklēt drošības incidentus ir saprotama un pamatota. Tomēr šīs intereses ir jālīdzsvaro ar darbinieku tiesībām uz privātumu. Vispārīgā datu aizsardzības regula (VDAR) un Latvijas normatīvie akti skaidri nosaka spēles noteikumus, uzsverot trīs galvenos pīlārus: leģitīms mērķis, pienācīga informēšana un samērīgs datu glabāšanas termiņš.
1. Leģitīms mērķis: Pirms kameras uzstādīšanas darba devējam ir skaidri jādefinē videonovērošanas mērķis. Likumīgi mērķi var būt:
-
Īpašuma aizsardzība: Vērtīgu iekārtu, preču vai konfidenciālas informācijas aizsardzība.
-
Personu drošība: Darbinieku, klientu un citu apmeklētāju drošības garantēšana.
-
Noziedzīgu nodarījumu novēršana vai atklāšana.
-
Ražošanas procesu drošības uzraudzība (piemēram, bīstamās iekārtās).
Svarīgi uzsvērt, ka videonovērošanu nedrīkst izmantot darbinieku darba laika uzskaitei, darba izpildes kvalitātes kontrolei vai disciplīnas pārkāpumu fiksēšanai, ja tas nav sākotnēji definētais un pamatotais mērķis. Ja kamera uzstādīta noliktavas drošībai, tās ierakstus nevar izmantot, lai sodītu darbinieku par pārāk biežām pauzēm.
Darba devējam ir jāspēj pamatot, ka izvēlētais mērķis nav sasniedzams ar citiem, privātumu mazāk aizskarošiem līdzekļiem. Piemēram, ja problēma ir nereģistrētu apmeklētāju iekļūšana birojā, iespējams, efektīvāks risinājums ir piekļuves kontroles sistēma, nevis totāla novērošana.
Pirms videonovērošanas uzsākšanas obligāti jāveic interešu līdzsvarošanas tests, dokumentāli izvērtējot un pamatojot, kāpēc uzņēmuma leģitīmās intereses konkrētajā gadījumā ir svarīgākas par darbinieka tiesībām uz privātumu.
2. Brīdinājuma zīmes: Slepena darbinieku novērošana ir kategoriski aizliegta. Visiem, kas nonāk videonovērošanas zonā – gan darbiniekiem, gan apmeklētājiem – ir jābūt skaidri un nepārprotami informētiem par notiekošo novērošanu, pirms viņi šajā zonā iekļūst.
To nodrošina ar labi pamanāmām brīdinājuma zīmēm. Likumdošana nosaka, kādai informācijai uz tām jābūt norādītai:
-
Nepārprotams paziņojums: Teksts "Videonovērošana" vai skaidrs kameras piktogramma.
-
Pārziņa identitāte: Uzņēmuma nosaukums un kontaktinformācija (piemēram, juridiskā adrese).
-
Datu apstrādes mērķis: Īsi un kodolīgi, piemēram, "Īpašuma aizsardzības nolūkos".
-
Norāde uz papildu informāciju: Saite uz uzņēmuma mājaslapas privātuma politiku, QR kods vai kontaktpersona, pie kuras var vērsties, lai uzzinātu vairāk par savām tiesībām (piemēram, piekļuvi datiem).
Atcerieties – ar zīmes izvietošanu vien nepietiek. Darba devējam ir jāspēj nodrošināt darbiniekiem viegli pieejamu un saprotamu pilno informāciju par datu apstrādi, kā to prasa VDAR 13. pants.
3. Ierakstu glabāšana: Latvijas normatīvie akti nenosaka vienotu, konkrētu termiņu, cik ilgi drīkst glabāt videonovērošanas ierakstus. Galvenais princips ir datu minimizēšana – ierakstus drīkst glabāt tikai tik ilgi, cik tas ir nepieciešams sākotnējā mērķa sasniegšanai.
Prakse rāda, ka saprātīgs termiņš visbiežāk ir no dažām dienām līdz 30 dienām. Šāds periods parasti ir pietiekams, lai konstatētu kādu drošības incidentu (piemēram, zādzību nedēļas nogalē) un saglabātu pierādījumus. Glabāt ierakstus vairākus mēnešus vai pat gadus bez īpaša juridiska pamatojuma (piemēram, tiesībsargājošo iestāžu pieprasījuma) ir prettiesiski.
Darba devējam ir jāizstrādā iekšējā kārtība, kas nosaka konkrētus datu dzēšanas termiņus un atbildīgās personas.
Videonovērošana var būt vērtīgs drošības instruments, taču tā jāievieš pārdomāti un atbildīgi. Pirms investēt novērošanas sistēmās, ikvienam darba devējam ir jāatbild uz trim "zelta jautājumiem":
-
Vai mans mērķis ir leģitīms un samērīgs?
-
Vai esmu skaidri un pilnībā informējis visus, kas tiek novēroti?
-
Vai man ir skaidra kārtība, cik ilgi ieraksti tiks glabāti un kad tie tiks dzēsti?
Ja uz kādu no šiem jautājumiem atbilde ir neskaidra, pastāv risks ne tikai pārkāpt darbinieku tiesības, bet arī saņemt sodu no Datu valsts inspekcijas. Rūpīga plānošana un skaidra komunikācija ir atslēga, lai videonovērošana kalpotu savam mērķim – drošībai, nevis nepamatotai kontrolei.
Šis raksts ir sagatavots informatīviem nolūkiem un nav uzskatāms par juridisku konsultāciju. Katrs gadījums ir individuāls, un, lai saņemtu konkrētai situācijai piemērotu juridisko palīdzību, aicinām sazināties ar mūsu biroju.
2025/11/09
Sīkdatņu baneris – vai jūsu mājaslapa pārkāpj likumu?
Vai jūsu mājaslapas sīkdatņu paziņojums ir tikai formalitāte? Apmeklētājiem ātri jāatbrīvojas no uzlecošā loga, lai piekļūtu saturam. Tomēr Datu valsts inspekcija (DVI) šo jautājumu uztver ļoti nopietni. Nepareizi konfigurēts sīkdatņu baneris var novest ne tikai pie aizrādījumiem, bet arī pie naudas sodiem un, kas ne mazāk svarīgi, mazināt klientu uzticību jūsu uzņēmumam.
Daudzi uzņēmumi, paļaujoties uz standarta spraudņiem vai mājaslapu izstrādātāju piedāvātajiem risinājumiem, neapzināti pārkāpj Vispārīgās datu aizsardzības regulas (VDAR) prasības.
Apskatīsim trīs biežākās kļūdas sīkdatņu baneros, par kurām DVI regulāri izsaka aizrādījumus un kurām būtu jāpievērš uzmanība ikvienam mājaslapas īpašniekam.
1. Kļūda: Iepriekš atķeksētas izvēles – Klusēšana nav piekrišana
Viena no izplatītākajām un nopietnākajām kļūdām ir sīkdatņu baneris, kurā analītikas, mārketinga vai citas neobligātās sīkdatnes jau ir atzīmētas kā apstiprinātas. Uzņēmēji nereti maldīgi uzskata, ka lietotājam tiek dota izvēle, ja viņš var noņemt ķeksīšus.
Kāpēc tā ir problēma? VDAR nepārprotami nosaka, ka piekrišanai ir jābūt sniegtai ar aktīvu, apstiprinošu darbību. Tas nozīmē, ka lietotājam pašam ir jāatzīmē izvēles rūtiņas tām sīkdatņu kategorijām, kuru izmantošanai viņš piekrīt. Iepriekš atķeksētas rūtiņas ir pretrunā ar šo principu, jo tās balstās uz pieņēmumu, ka lietotāja bezdarbība (proti, pogas "Apstiprināt visu" nospiešana, neiedziļinoties) ir līdzvērtīga apzinātai piekrišanai.
Labā prakse: Visām izvēles rūtiņām, izņemot tehniski nepieciešamajām sīkdatnēm, pēc noklusējuma ir jābūt neatzīmētām. Lietotājam ir pašam jāveic darbība, lai sniegtu savu piekrišanu.
2. Kļūda: Maldinošas pogas – Kur palikusi iespēja "Noraidīt"?
Cik bieži esat redzējuši sīkdatņu baneri, kur poga "Piekrītu visam" ir liela, iekrāsota un viegli pamanāma, kamēr iespēja atteikties ir paslēpta aiz sīka teksta saites vai vispār nav pieejama pirmajā līmenī? Šādu praksi sauc par "tumšajiem modeļiem" (dark patterns), un tā ir veidota, lai psiholoģiski mudinātu lietotāju pieņemt izdevīgāko lēmumu mājaslapas īpašniekam, nevis brīvi izvēlēties.
Kāpēc tā ir problēma? Viens no VDAR pamatprincipiem ir, ka atteikties no sīkdatnēm ir jābūt tikpat viegli, kā piekrist tām. Ja lietotājam ir jāveic vairāki klikšķi vai jāmeklē grūti pamanāma opcija, lai noraidītu sīkdatnes, bet piekrišana ir viena klikšķa attālumā, izvēles līdzsvars ir pārkāpts. DVI un citas Eiropas datu aizsardzības iestādes uzskata, ka šāda dizaina prakse padara piekrišanu par negodīgi iegūtu.
Labā prakse: Sīkdatņu banera pirmajā līmenī ir jābūt skaidri redzamām un funkcionāli līdzvērtīgām pogām, piemēram, "Pieņemt visas" un "Noraidīt visas". Jebkāda vizuāla manipulācija, kas vienu izvēli padara nesamērīgi pievilcīgāku par otru, ir risks.
3. Kļūda: Neskaidrs mērķis – "Mēs uzlabojam jūsu pieredzi"
Vispārīgas frāzes, piemēram, "šī mājaslapa izmanto sīkdatnes, lai uzlabotu jūsu pārlūkošanas pieredzi" vai "lai nodrošinātu labāku servisu", ir nepietiekamas. Lietotājam ir tiesības zināt ne tikai to, ka sīkdatnes tiek izmantotas, bet arī kāpēc tās tiek izmantotas.
Kāpēc tā ir problēma? Lai piekrišana būtu informēta, lietotājam ir jāsaprot, kādiem konkrētiem mērķiem viņa dati tiks vākti un apstrādāti. Analītikas sīkdatnes vāc statistiku par apmeklējumu, mārketinga sīkdatnes seko lietotāja interesēm, lai rādītu personalizētu reklāmu citās vietnēs. Katrs no šiem mērķiem ir atšķirīgs, un lietotājam ir jādod iespēja piekrist katram no tiem atsevišķi (vai nepiekrist).
Labā prakse: Sīkdatņu banerī vai tā detalizētākajos iestatījumos ir skaidri jāpaskaidro katras sīkdatņu kategorijas (piem., funkcionālās, statistikas, mārketinga) mērķis. Aprakstam jābūt vienkāršā un saprotamā valodā, izvairoties no tehniska žargona. Tāpat ir jānodrošina saite uz pilno sīkdatņu politiku, kur pieejama detalizēta informācija par katru konkrēto sīkdatni.
Noslēgums: No formalitātes par prioritāti
Sīkdatņu baneris nav tikai kaitinošs logs, no kura jāatbrīvojas. Tā ir jūsu uzņēmuma vizītkarte, kas parāda attieksmi pret klientu datu privātumu. Datu valsts inspekcijai pievēršot arvien lielāku uzmanību digitālajai videi, neatbilstošs baneris ir juridisks risks, ko nedrīkst ignorēt.
Mēs aicinām ikvienu uzņēmumu kritiski izvērtēt savu mājaslapu un pārliecināties, vai jūsu sīkdatņu risinājums atbilst visām VDAR prasībām. Novēršot šīs trīs biežākās kļūdas, jūs ne tikai izvairīsieties no potenciālām sankcijām, bet arī veidosiet caurspīdīgas un godīgas attiecības ar saviem klientiem.
Ja jums ir šaubas par jūsu mājaslapas atbilstību datu aizsardzības prasībām, sazinieties ar mums. Mūsu biroja speciālisti palīdzēs veikt auditu un ieviest juridiski korektu risinājumu.
2025/08/09
Datu noplūde! Ko darīt pirmajās 72 stundās?
Tas ir katra uzņēmēja murgs – paziņojums, e-pasts vai vienkārši aizdomas par iespējamu datu noplūdi. Sirds sāk sisties straujāk, prātā jau zīmējas sliktākie scenāriji, un pārņem viegla panika. Bet panikai nav laika, ir jārīkojas! Izlēmīga un pareiza rīcība pirmajās stundās pēc incidenta atklāšanas var būtiski mazināt gan finansiālos, gan reputācijas zaudējumus. Turklāt likums ir nepielūdzams – Vispārīgā datu aizsardzības regula (VDAR) dod tikai 72 stundas, lai par noteiktiem pārkāpumiem ziņotu Datu valsts inspekcijai (DVI). Šis laika posms ir kritisks. Kamēr IT speciālisti cīnās ar tehnisko pusi, uzņēmuma vadībai ir jāveic virkne stratēģisku soļu. Aizmirstiet par vainīgo meklēšanu vai bezgalīgām sapulcēm – pirmās 72 stundas ir laiks organizētai un ātrai reakcijai.
Pirmās 24 stundas: Ierobežošana un novērtēšana. Tiklīdz ir radušās aizdomas par datu noplūdi, pirmais uzdevums ir apturēt "asiņošanu". Tas nozīmē nekavējoties izolēt skartās sistēmas, lai novērstu tālāku datu zudumu.
1. Mobilizējiet savu komandu. Izveidojiet nelielu, bet efektīvu reaģēšanas grupu. Tajā jābūt vadības pārstāvim, IT drošības speciālistam, juristam vai datu aizsardzības speciālistam un komunikācijas atbildīgajai personai. Katram ir jāzina savi uzdevumi.
2. Ierobežojiet incidentu. Šis solis ir absolūti steidzams. Atkarībā no situācijas tas var ietvert:
-
Sistēmu atvienošanu no tīkla: Ja noplūde notiek no konkrēta servera vai darbstacijas, nekavējoties atvienojiet to no interneta un iekšējā tīkla.
-
Piekļuves tiesību atsaukšanu: Nekavējoties mainiet paroles un atsauciet piekļuves tiesības lietotājiem un sistēmām, kas varētu būt saistītas ar incidentu.
-
Fizisku piekļuves ierobežošanu: Ja ir aizdomas par fizisku zādzību (piemēram, portatīvais dators vai ārējais disks), nodrošiniet, ka turpmāka fiziska piekļuve datiem nav iespējama.
3. Sāciet sākotnējo izmeklēšanu. Mērķis ir ātri saprast, kas ir noticis. Mēģiniet noskaidrot:
-
Kas notika? Vai tā ir ļaunprātīga programmatūra (ransomware), pikšķerēšanas uzbrukums, darbinieka kļūda vai fiziska zādzība?
-
Kad tas notika? Nosakiet aptuvenu laika grafiku, lai saprastu, cik ilgi sistēmas bijušas apdraudētas.
-
Kādi dati ir skarti? Šis ir viens no svarīgākajiem jautājumiem. Vai tie ir klientu vārdi, e-pasti, personas kodi, finanšu informācija? Jo sensitīvāki dati, jo augstāks risks.
-
Cik daudz cilvēku ir skarti? Novērtējiet aptuveno datu subjektu skaitu.
Šajā posmā ir svarīgi visu rūpīgi dokumentēt – laiku, veiktās darbības, atklātos faktus. Šī dokumentācija būs nepieciešama gan ziņojumam DVI, gan turpmākai analīzei. Kad incidents ir ierobežots, sākas padziļināta analīze un gatavošanās obligātajai ziņošanai.
4. Novērtējiet risku fizisku personu tiesībām un brīvībām. Šis ir VDAR centrālais jautājums. Jums ir jāizvērtē, vai noplūde var radīt risku indivīdiem, kuru dati ir skarti. Piemēram, ja noplūduši tikai publiski pieejami uzņēmumu nosaukumi, risks ir zems. Bet, ja noplūduši personas kodi, medicīniskā informācija vai kredītkaršu dati, risks ir augsts. Šāds risks var izpausties kā identitātes zādzība, finansiāli zaudējumi, krāpniecība vai reputācijas bojājumi. Ja secināt, ka risks ir maz ticams, ziņot DVI nav nepieciešams (tomēr pārkāpums tik un tā ir jādokumentē iekšēji). Tomēr, ja šaubāties, vienmēr labāk ir ziņot.
5. Sagatavojiet un iesniedziet paziņojumu Datu valsts inspekcijai. Ja pārkāpums var radīt risku, jums ir pienākums par to paziņot DVI 72 stundu laikā no brīža, kad par to uzzinājāt. Paziņojumu var iesniegt elektroniski DVI tīmekļvietnē. Paziņojumā obligāti jāiekļauj šāda informācija:
-
Pārkāpuma raksturs (kas notika, kādi datu veidi un cik aptuveni personu ir skartas).
-
Datu aizsardzības speciālista vai cita kontaktpunkta vārds un kontaktinformācija.
-
Pārkāpuma iespējamās sekas (piemēram, identitātes zādzības risks).
-
Jūsu veiktie vai plānotie pasākumi situācijas risināšanai un seku mazināšanai.
Ja visu informāciju nav iespējams iegūt 72 stundu laikā, to var sniegt pa daļām, bet sākotnējais paziņojums ir jāiesniedz noteiktajā termiņā.
Pēc 72 stundām: Komunikācija un mācības. Pēc ziņošanas DVI darbs nebeidzas. Ja pārkāpums rada augstu risku skartajām personām, jums ir pienākums bez nepamatotas kavēšanās paziņot arī viņiem. Komunikācijai jābūt skaidrai, bez liekas juridiskas terminoloģijas, izskaidrojot, kas noticis, kādi ir iespējamie riski un kādi soļi būtu jāveic pašiem indivīdiem (piemēram, nomainīt paroles). Kad krīze ir pārvarēta, svarīgākais ir izdarīt secinājumus. Analizējiet, kāpēc noplūde notika, kādi drošības caurumi tika izmantoti un kādi procesi ir jāuzlabo, lai tas neatkārtotos. Datu noplūde ir nopietns pārbaudījums jebkuram uzņēmumam, taču ātra, likumīga un pārdomāta rīcība var ievērojami mīkstināt triecienu.
2025/02/09
Jaunais mācību gads un personas dati: Kādu informāciju skola drīkst prasīt un kādas ir vecāku tiesības?
Līdz ar 1. septembra tuvošanos gaisā virmo patīkams satraukums – jauni piedzīvojumi, zināšanas un satikšanās ar draugiem. Tomēr vecākiem šis laiks bieži vien saistās arī ar apjomīgu dokumentu kārtošanu, neskaitāmu anketu un piekrišanas formu parakstīšanu. Vārds, uzvārds, personas kods, dzīvesvietas adrese, veselības informācija, foto atļaujas – datu apjoms, ko pieprasa skolas un interešu izglītības iestādes, var radīt apjukumu un jautājumus par to, cik tas ir pamatoti un kas ar šo informāciju notiek tālāk.
Saskaņā ar Vispārīgo datu aizsardzības regulu (GDPR), kas ir spēkā visā Eiropas Savienībā, ikvienam, tostarp bērniem, ir tiesības uz savu personas datu aizsardzību. Izglītības iestādei kā datu pārzinim ir pienākums ne vien ievākt datus atbildīgi, bet arī skaidri pamatot katras informācijas vienības nepieciešamību. Apskatīsim svarīgākos jautājumus, kas vecākiem jāzina par sava bērna datu apstrādi skolā.
Kādus datus skola drīkst prasīt bez īpašas piekrišanas? Lai nodrošinātu mācību procesu un izpildītu likumā noteiktos pienākumus, skola ir tiesīga un tai pat ir pienākums ievākt un apstrādāt noteiktu informāciju par katru izglītojamo. Šo datu apstrādes tiesiskais pamats ir normatīvie akti, piemēram, Izglītības likums un Ministru kabineta noteikumi. Šādos gadījumos atsevišķa vecāku piekrišana nav nepieciešama.
Šajā kategorijā ietilpst:
-
Identifikācijas dati: Bērna vārds, uzvārds, personas kods, dzimšanas dati.
-
Kontaktinformācija: Deklarētā un faktiskā dzīvesvietas adrese, vecāku vai aizbildņu vārdi, uzvārdi un kontaktinformācija (tālruņa numurs, e-pasts) saziņas nodrošināšanai.
-
Informācija par izglītību: Ziņas par iepriekšējo izglītību, sekmes, kavējumi un cita ar mācību procesu tieši saistīta informācija, kas tiek atspoguļota, piemēram, e-klasē vai citā skolas pārvaldības sistēmā.
-
Veselības pamatdati: Informācija par bērna veselības stāvokli tādā apjomā, kas nepieciešams, lai nodrošinātu bērna drošību un labsajūtu skolā (piemēram, informācija par alerģijām, hroniskām slimībām, nepieciešamajiem medikamentiem) un organizētu medicīnisko aprūpi.
Šos datus skola apstrādā, lai reģistrētu bērnu izglītības reģistros, veidotu klases, nodrošinātu saziņu ar vecākiem, dokumentētu mācību procesu un rūpētos par bērna drošību.
Kad skolai ir nepieciešama jūsu piekrišana? Piekrišana ir nepieciešama visos gadījumos, kad datu apstrāde nav tiešs likuma uzdots pienākums, bet gan skolas iniciatīva vai papildu pakalpojums. Vecākiem ir svarīgi atcerēties, ka piekrišanai jābūt brīvprātīgai, konkrētai un apzinātai. Jums ir tiesības arī atteikties vai jebkurā brīdī atsaukt savu piekrišanu. Visbiežāk piekrišana tiek prasīta šādām darbībām:
-
Dalība interešu izglītībā (pulciņos): Lai pieteiktu bērnu sporta komandai, deju kolektīvam vai mākslas pulciņam, ir nepieciešama jūsu piekrišana.
-
Dalība konkursos, olimpiādēs un projektos: Datu nodošana trešajām pusēm – pasākumu organizatoriem – drīkst notikt tikai ar vecāku piekrišanu.
-
Foto un video publicēšana: Ja skola vēlas publicēt jūsu bērna fotogrāfijas vai video materiālus savā mājaslapā, sociālo tīklu kontos vai informatīvajos izdevumos, tai ir jāsaņem jūsu rakstiska atļauja.
-
Īpašu sensitīvu datu apstrāde: Ja nepieciešama padziļināta informācija, piemēram, psihologa vai logopēda atzinumi, lai nodrošinātu bērnam atbalsta pasākumus, to apstrādei nepieciešama skaidra un nepārprotama vecāku piekrišana.
Fotografēšana un filmēšana skolas pasākumos: Kas jāzina? Šis ir viens no jūtīgākajiem jautājumiem. Svarīgi ir nošķirt divas situācijas:
-
Fotografēšana personīgai lietošanai: Vecāki un citi ģimenes locekļi drīkst fotografēt un filmēt skolas publiskos pasākumos (piemēram, 1. septembra svinīgajā pasākumā, koncertos, izlaidumos) savām personīgajām vajadzībām – ģimenes albumam. GDPR šādu datu apstrādi neregulē. Tomēr, publicējot šos attēlus sociālajos tīklos, kur redzami arī citi bērni, būtu jāievēro piesardzība un cieņa pret citu personu privātumu.
-
Skolas organizēta fotografēšana un publicēšana: Ja skola vai tās pieaicināts fotogrāfs veic fotografēšanu ar mērķi publicēt attēlus, piemēram, skolas mājaslapā, ir nepieciešama vecāku piekrišana. Bieži vien skolas mācību gada sākumā lūdz parakstīt vispārēju piekrišanu foto un video materiālu veidošanai un publicēšanai. Svarīgi: Jums ir tiesības iepazīties, kam tieši jūs piekrītat – vai attēli tiks izmantoti tikai skolas mājaslapā, vai arī sociālajos tīklos, drukātajos materiālos utt. Jūs varat arī nepiekrist sava bērna attēla publicēšanai.
Datu drošība un glabāšanas termiņi. Skolas pienākums ir nodrošināt, ka jūsu bērna dati tiek glabāti droši un tiem nevar piekļūt nepilnvarotas personas. Tas attiecas gan uz digitāliem (piem., e-klase), gan papīra formāta dokumentiem. Tāpat dati nedrīkst tikt glabāti mūžīgi. Normatīvie akti nosaka konkrētus termiņus, cik ilgi glabājami skolēna personas lietas dokumenti, sekmju izraksti un citi dati. Pēc šī termiņa beigām dati ir jādzēš vai jāanonimizē.
Kādas ir vecāku tiesības? GDPR nodrošina vecākiem (kā bērna likumiskajiem pārstāvjiem) plašas tiesības pārvaldīt sava bērna personas datus:
-
Tiesības piekļūt datiem: Jums ir tiesības pieprasīt un saņemt informāciju par visiem personas datiem, ko skola par jūsu bērnu apstrādā.
-
Tiesības labot datus: Ja konstatējat, ka informācija ir neprecīza vai nepilnīga, jums ir tiesības lūgt to izlabot.
-
Tiesības uz datu dzēšanu ("tiesības tikt aizmirstam"): Jūs varat lūgt dzēst bērna datus, ja tie vairs nav nepieciešami sākotnēji norādītajiem mērķiem vai ja esat atsaucis savu piekrišanu to apstrādei. Tomēr jāņem vērā, ka šīs tiesības neattiecas uz datiem, kurus skolai ir pienākums apstrādāt saskaņā ar likumu.
-
Tiesības atsaukt piekrišanu: Jebkurā laikā varat atsaukt iepriekš sniegtu piekrišanu, piemēram, par foto publicēšanu. Atsaukums neietekmēs datu apstrādi, kas veikta pirms atsaukuma.
-
Tiesības iesniegt sūdzību: Ja uzskatāt, ka skola nelikumīgi apstrādā jūsu bērna datus, jums ir tiesības vērsties ar sūdzību Datu valsts inspekcijā.
Lai jaunais mācību gads ir veiksmīgs un drošs, aicinām vecākus būt vērīgiem, iedziļināties parakstāmajos dokumentos un nebaidīties uzdot jautājumus skolas administrācijai, ja rodas neskaidrības. Atklāta un cieņpilna komunikācija starp skolu un vecākiem ir labākais veids, kā nodrošināt bērna tiesību ievērošanu.
Jūsu uzņēmums nodarbojas ar pārtikas ražošanu, loģistiku vai digitālo pakalpojumu sniegšanu? Uzmanību! Līdz šim kiberdrošības regulējums skāra šauras, kritiski svarīgas nozares, piemēram, enerģētiku un finanses. Taču situācija ir fundamentāli mainījusies. Ar jauno Kiberdrošības likumu, kas Latvijas tiesību sistēmā ievieš Eiropas Savienības Tīklu un informācijas sistēmu drošības otro direktīvu (NIS2), kiberdrošības prasību loks ir dramatiski paplašināts. Daudzi uzņēmumi, kas sevi nekad nav uzskatījuši par kritiskās infrastruktūras daļu, tagad saskaras ar jaunām, stingrām saistībām un nopietniem sodiem par to nepildīšanu.
Jaunais likums vairs neaprobežojas ar tradicionālajām nozarēm. Tas tagad tieši attiecas uz plašu uzņēmumu loku, tostarp pārtikas ražošanu, apstrādi un izplatīšanu (īpaši vairumtirdzniecības un rūpnieciskās ražošanas uzņēmumi); loģistiku, ieskaitot pasta un kurjeru pakalpojumus; ražošanu (piemēram, medicīnas ierīču, elektronikas, transportlīdzekļu ražotāji); digitālo pakalpojumu sniedzējiem, piemēram, tiešsaistes tirdzniecības platformām, meklētājprogrammām un sociālo tīklu platformām; kā arī atkritumu apsaimniekošanas, ķīmiskās rūpniecības un pētniecības nozares.
Likums iedala subjektus divās kategorijās – būtiskie un svarīgie operatori. Lai gan abām grupām ir jāievēro līdzīgas drošības prasības, uzraudzības intensitāte atšķiras. Būtiskie operatori tiks pakļauti proaktīvai uzraudzībai, ieskaitot regulāras pārbaudes, savukārt svarīgie operatori – reaktīvai, kas parasti seko pēc incidenta ziņošanas. Lielākoties regulējums attiecas uz vidējiem un lieliem uzņēmumiem (ar vairāk nekā 250 darbiniekiem un apgrozījumu virs 50 miljoniem eiro).
Tas vairs nav tikai IT nodaļas jautājums. Kiberdrošība ir kļuvusi par uzņēmuma vadības tiešu atbildību. Likums nosaka, ka uzņēmuma vadībai ir ne tikai jāapstiprina kiberdrošības riska pārvaldības pasākumi, bet arī jāuzrauga to ieviešana. Valdes locekļi var tikt personīgi saukti pie atbildības par pārkāpumiem, un viņiem ir obligāti jāapmeklē kiberdrošības apmācības.
Kā tas ir saistīts ar personas datu aizsardzību? Ļoti cieši. Viens un tas pats kiberincidents, piemēram, datu noplūde izspiedējvīrusa uzbrukuma rezultātā, var vienlaikus izraisīt ziņošanas pienākumu gan Kiberdrošības likuma ietvaros (Nacionālajam kiberdrošības centram 24 stundu laikā), gan Vispārīgās datu aizsardzības regulas (VDAR) ietvaros (Datu valsts inspekcijai 72 stundu laikā). Tas rada "dubultās bīstamības" situāciju, kur uzņēmums saskaras ar divu dažādu regulatoru izmeklēšanām un risku saņemt divus atsevišķus, kumulatīvus sodus par vienu un to pašu tehnisko nepilnību. Sodi ir bargi – būtiskajiem operatoriem līdz 10 miljoniem eiro vai 2% no globālā apgrozījuma, bet svarīgajiem – līdz 7 miljoniem eiro vai 1.4% no apgrozījuma.
Laiks rīkoties ir tagad. Jaunais Kiberdrošības likums jau ir spēkā, un tā prasību ieviešanai ir noteikti konkrēti termiņi. Uzņēmumiem līdz 2025. gada 1. aprīlim ir jāreģistrējas kā likuma subjektam un līdz 2025. gada 1. oktobrim jāieceļ kiberdrošības pārvaldnieks un jāiesniedz pirmais pašnovērtējuma ziņojums.
Neignorējiet šīs izmaiņas. Pirmais solis ir veikt juridisko izvērtējumu, lai noteiktu, vai jaunais regulējums attiecas uz jūsu uzņēmumu un kāds ir jūsu statuss. Mūsu biroja eksperti ir gatavi palīdzēt jums izprast jaunās prasības un izstrādāt atbilstošu rīcības plānu, lai pasargātu jūsu biznesu no finansiāliem un reputācijas riskiem.
2025/27/08
Jaunais Kiberdrošības likums (NIS2): Vai tas attiecas arī uz Jūsu uzņēmumu?
2025/15/08
Klienta pieprasījums “tikt aizmirstam”: vai tiešām ir jādzēš viss?
Datu aizsardzības tēma ir kļuvusi par neatņemamu mūsdienu biznesa sastāvdaļu, un viens no biežāk sastopamajiem jautājumiem ir saistīts ar klientu tiesībām pieprasīt savu personas datu dzēšanu. Iedomājieties tipisku situāciju: uzņēmuma e-pastā ienāk ziņa no klienta ar vienkāršu un lakonisku tekstu – “Lūdzu, dzēsiet visus manus datus!” Pirmā instinktīvā reakcija varētu būt vēlme nekavējoties izpildīt klienta lūgumu, lai izvairītos no potenciālām VDAR (Vispārīgās datu aizsardzības regulas) prasību pārkāpumiem. Taču vai tiešām šāds pieprasījums nozīmē, ka uzņēmumam ir jādzēš absolūti visa informācija, ieskaitot savstarpējo saraksti, finanšu dokumentus un līgumus?
Juridiskā atbilde ir stingra: nē, ne vienmēr. Klienta tiesības “tikt aizmirstam” nav absolūtas un tās ierobežo citi normatīvie akti. Šis raksts sniegs skaidrojumu par to, kā pareizi rīkoties, saņemot šādu pieprasījumu, un kā nodrošināt gan klienta tiesību ievērošanu, gan sava uzņēmuma atbilstību likumiem.
Tiesību “tikt aizmirstam” juridiskais pamatojums un tā ierobežojumi. VDAR 17. pants nosaka, ka datu subjektam ir tiesības panākt, ka “pārzinis bez nepamatotas kavēšanās dzēš attiecīgā datu subjekta personas datus”. Tomēr tajā pašā pantā ir noteikti arī izņēmumi, kas ļauj datus saglabāt. Galvenais princips, kas vada šo procesu, ir tiesiskais pamats personas datu apstrādei.
Lai saprastu, kā rīkoties, ir jāatceras, ka katrai datu apstrādes darbībai ir nepieciešams tiesiskais pamats. VDAR uzskaita vairākus pamatus, piemēram, datu subjekta piekrišanu, līguma izpildi, pārzina likumīgo interešu nodrošināšanu, vai pārziņa likumīga pienākuma izpildi. Tieši pēdējais minētais ir galvenais iemesls, kāpēc ne visus datus var dzēst.
Latvijā šāds likumīgs pienākums izriet, piemēram, no Grāmatvedības likuma. Saskaņā ar šo likumu, uzņēmumiem ir jāglabā grāmatvedības attaisnojuma dokumenti (rēķini, čeki, pavadzīmes) un reģistri noteiktu laiku. Attaisnojuma dokumenti par saimnieciskajiem darījumiem, kuros izmantoti skaidras naudas maksājumi, jāglabā ne mazāk kā piecus gadus. Savukārt dokumenti par darba algām un personāla lietām jāglabā ilgāku laiku – pat līdz 75 gadiem, saskaņā ar Arhīvu likuma un citu normatīvo aktu prasībām.
Tātad, ja klients lūdz dzēst datus, kas saistīti ar finanšu darījumiem, uzņēmums nedrīkst tos dzēst, jo tam ir likumīgs pienākums šos datus glabāt. Šis pienākums ir prioritārs attiecībā pret klienta vēlmi “tikt aizmirstam”.
Praktiski piemēri no prakses. Lai labāk izprastu, kā rīkoties, aplūkosim dažus praktiskus piemērus:
Piemērs Nr. 1: Klients ar apmaksātu rēķinu. Pieņemsim, ka klients iegādājies produktu vai pakalpojumu un ir apmaksājis rēķinu. Pēc tam viņš atsūta e-pastu ar lūgumu dzēst visus viņa datus. Jums ir jāizvērtē, kuri dati ir saistīti ar grāmatvedību. Rēķins, maksājumu informācija un darījuma detaļas ir dati, kas jāglabā saskaņā ar Grāmatvedības likumu. Tātad, šos datus dzēst nedrīkst. Tomēr, ja klientam ir profils jūsu mājaslapā, kurā viņš pierakstījies jaunumu saņemšanai, šos datus var un vajag dzēst (ja viņš piekrīt jaunumiem vairs nav nepieciešams).
Piemērs Nr. 2: Klients ar nenokārtotām saistībām. Situācija ir vēl sarežģītāka, ja klientam ir neatmaksāts rēķins vai spēkā esošs līgums. Šādā gadījumā datu apstrādes pamats ir līguma izpilde. Uzņēmumam ir tiesības apstrādāt personas datus, lai piedzītu parādu vai izpildītu līguma noteikumus. Datu dzēšana šādā brīdī ir nepieļaujama, jo tas liegtu uzņēmumam aizsargāt savas likumīgās intereses.
Piemērs Nr. 3: Bijušais darbinieks. Darba tiesiskās attiecības ir vēl viena joma, kurā tiesības “tikt aizmirstam” ir ļoti ierobežotas. Saskaņā ar Darba likumu, likumu par valsts sociālo apdrošināšanu un citiem normatīvajiem aktiem, uzņēmumam ir pienākums glabāt darbinieka personas datus, piemēram, vārdu, uzvārdu, personas kodu, informāciju par darba stāžu, atvaļinājumiem, darba algu un nodokļu nomaksu. Dati par bijušajiem darbiniekiem jāglabā pat ilgāku laiku nekā par klientiem.
Kā pareizi reaģēt uz datu dzēšanas pieprasījumu? Lai rīkotos korekti un izvairītos no VDAR pārkāpumiem, ieteicams sekot šādam rīcības plānam:
-
Identificējiet pieprasītāju. Pirmkārt, pārliecinieties, ka persona, kas pieprasījusi datu dzēšanu, ir tiešām attiecīgais datu subjekts. Tas ir svarīgi, lai nenotiktu datu noplūde vai ļaunprātīga rīcība.
-
Dokumentējiet pieprasījumu. Fiksējiet datu subjekta pieprasījumu un datumu, kad tas tika saņemts.
-
Izvērtējiet datus. Veiciet auditu par visiem datiem, kas saistīti ar konkrēto personu. Noskaidrojiet, kādos reģistros un datu bāzēs tie tiek glabāti (piemēram, CRM sistēmā, grāmatvedības programmā, e-pastu arhīvā).
-
Dzēsiet tos datus, kuriem nav juridiska pamatojuma. Noņemiet datus, kas ir tikuši apstrādāti, pamatojoties uz personas piekrišanu, piemēram, mārketinga sarakstos esošo e-pasta adresi. Pārliecinieties, ka dati tiek neatgriezeniski izdzēsti no visām sistēmām, kurās tie vairs nav nepieciešami.
-
Informējiet klientu. Sniegt skaidru un saprotamu atbildi, paskaidrojot, kādi dati tiek dzēsti un kādi tiek saglabāti un kāpēc. Apmēram šāds teksts varētu būt daļa no jūsu atbildes: “Paldies par jūsu pieprasījumu. Mēs esam izskatījuši jūsu lūgumu dzēst visus jūsu personas datus. Informējam, ka mēs esam neatgriezeniski dzēsuši visus datus, kas tika apstrādāti ar jūsu piekrišanu, piemēram, jūsu e-pasta adresi no mārketinga saraksta. Tomēr, saskaņā ar Latvijas Republikas Grāmatvedības likuma prasībām, mums ir pienākums glabāt ar finanšu darījumiem saistītos datus (piemēram, rēķinus un maksājumu informāciju) noteiktu laiku. Tāpēc šie dati netiek dzēsti.”
Secinājums. Klienta pieprasījums “tikt aizmirstam” ir nopietns jautājums, kas prasa atbilstošu un profesionālu rīcību. Tas nav automātisks signāls pilnīgai datu dzēšanai, bet gan aicinājums veikt juridisku izvērtējumu. Korekta rīcība šādā situācijā ne tikai nodrošinās atbilstību likumiem, bet arī veidos uzticību jūsu uzņēmumam, parādot, ka jūs godprātīgi un atbildīgi izturaties pret personas datiem. Ja šādu situāciju izvērtēšana šķiet sarežģīta, ieteicams konsultēties ar juristu vai datu aizsardzības speciālistu.
Uzņēmuma vasaras sporta spēles bija izdevušās! Smaidi, komandas gars un neformāla atmosfēra – to visu gribas iemūžināt un ar pozitīvajām emocijām dalīties gan uzņēmuma sociālo tīklu kontos, gan mājaslapā. Bet, pirms publicējat bildes, apstājieties. Vai drīkst publicēt darbinieku foto bez katra atsevišķas rakstiskas piekrišanas? Atbilde var jūs pārsteigt.
Īsi un kodolīgi – paļauties uz to, ka "visi taču priecīgi un neiebildīs", ir riskanti. Vispārīgā datu aizsardzības regula (VDAR jeb GDPR) stingri aizsargā personu datus, un darbinieka fotogrāfija, kurā viņš ir atpazīstams, ir tieši tādi dati. Lai publicētu šādas bildes, uzņēmumam ir nepieciešams tiesisks pamats. Izplatītākie ir divi: darbinieka piekrišana vai uzņēmuma leģitīmās intereses.
Piekrišana: Drošākais, bet ne vienīgais ceļš. Ideālā pasaulē uzņēmums pirms pasākuma vai pēc tā palūgtu katram darbiniekam, kurš redzams publicēšanai paredzētajās fotogrāfijās, sniegt rakstisku piekrišanu. Šādai piekrišanai jābūt:
-
Brīvi sniegtai: Darbiniekam nedrīkst rasties sajūta, ka atteikšanās kaut kā negatīvi ietekmēs viņa darba attiecības.
-
Konkrētai: Jānorāda, kādiem mērķiem (piem., publikācijai Facebook, mājaslapā, mārketinga materiālos) fotogrāfijas tiks izmantotas.
-
Apzinātai: Darbiniekam ir skaidri jāsaprot, kam viņš piekrīt.
-
Viennozīmīgai: Piekrišanai jābūt skaidri izteiktai, nevis klusējot pieņemtai.
Svarīgi atcerēties, ka darbiniekam ir tiesības jebkurā brīdī šo piekrišanu atsaukt tikpat viegli, cik tā tika sniegta. Ja piekrišana tiek atsaukta, fotogrāfijas no publiskās telpas ir jāizņem.
Leģitīmās intereses: Jārīkojas apdomīgi. Otrs variants ir pamatot fotogrāfiju publicēšanu ar uzņēmuma leģitīmajām interesēm, piemēram, vēlmi veidot pozitīvu darba devēja tēlu, stiprināt uzņēmuma kultūru un piederības sajūtu. Šis ceļš ir slidens, jo tas prasa rūpīgu līdzsvara izvērtējumu – vai uzņēmuma intereses ir svarīgākas par darbinieka tiesībām uz privātumu.Ja uzņēmums izvēlas šo pamatojumu, tam ir jāspēj pamatot, kāpēc publikācija ir nepieciešama un kāpēc tā nesamērīgi neaizskar darbinieku intereses.
Labā prakse, lai izvairītos no pārpratumiem. Neatkarīgi no izvēlētā tiesiskā pamata, Datu valsts inspekcija iesaka ievērot labo praksi, kas palīdzēs izvairīties no nepatīkamām situācijām:
-
Informējiet iepriekš: Jau ielūgumā uz pasākumu vai tā norises vietā redzamā vietā izvietojiet informāciju, ka pasākumā tiks fotografēts un filmēts, un norādiet, kur un kādiem mērķiem materiāli var tikt publicēti.
-
Dodiet iespēju iebilst: Nodrošiniet iespēju darbiniekiem, kuri nevēlas tikt fotografēti, par to paziņot. To var darīt, piemēram, lūdzot fotogrāfam neuzņemt konkrētus cilvēkus vai piedāvājot kādu atpazīšanās zīmi (piemēram, atšķirīgas krāsas aproci) tiem, kas nevēlas nokļūt bildēs.
-
Respektējiet darbinieka gribu: Ja darbinieks palūdz kādu konkrētu fotogrāfiju nepublicēt vai izņemt jau publicētu attēlu, šis lūgums ir jārespektē un jāizpilda. Darbiniekam nav jāpamato, kāpēc viņš to lūdz.
-
Izvērtējiet saturu: Pirms publicēšanas pārskatiet fotogrāfijas. Vai tajās nav redzamas divdomīgas, kompromitējošas vai darbiniekam citādi nepatīkamas situācijas? Jautra deja balles karstumā var šķist nevainīga, taču tās publiskošana var radīt diskomfortu.
Noslēgumā: Lai gan atsevišķa rakstiska piekrišana nav vienīgais veids, kā likumīgi publicēt darbinieku fotogrāfijas, tā ir drošākā metode. Ja paļaujaties uz uzņēmuma leģitīmajām interesēm, esiet gatavi pamatot savu lēmumu un vienmēr respektējiet darbinieku tiesības uz privātumu. Pārdomāta komunikācija un cieņpilna attieksme ir atslēga, lai vasaras pasākuma bildes radītu prieku, nevis galvassāpes.
2025/05/08
Uzņēmuma vasaras spēles bildēs: Vai drīkst publicēt bez darbinieka paraksta?
2025/04/08
Privāts čats vai datu apstrāde? ko drīkst un nedrīkst darīt mājas un vecāku “whatsapp” grupās
Ikdienas saziņa ir neatgriezeniski pārcēlusies uz digitālo vidi. Mājas iedzīvotāju čats “WhatsApp”, klases vecāku grupa “Facebook” vai kaimiņu domubiedru grupa – šie rīki ir kļuvuši par neatņemamu mūsu dzīves sastāvdaļu. Tie ir ērti, ātri un ļauj viegli apmainīties ar informāciju. Taču, kur beidzas nevainīga pļāpāšana un sākas juridiski regulēta personas datu apstrāde? Vai, publicējot kaimiņa auto numuru, kurš atkal aizņēmis jūsu stāvvietu, vai bērnu bildes no dārziņa pasākuma, mēs nepārkāpjam likumu?
Atbilde slēpjas Vispārīgās datu aizsardzības regulas (VDAR) piemērošanas niansēs, un tā nav tik viennozīmīga, kā varētu šķist.
Personīgais un sadzīves izņēmums. VDAR pamatā ir radīta, lai regulētu uzņēmumu, iestāžu un organizāciju veikto datu apstrādi. Tāpēc regula paredz būtisku izņēmumu: tās prasības neattiecas uz datu apstrādi, ko fiziska persona veic tikai personiskām vai sadzīves vajadzībām. Ko tas nozīmē praksē?
-
Ģimenes čats, kurā sūtāt savas atvaļinājuma bildes un apspriežat nedēļas nogales plānus, ir klasisks personiskas darbības piemērs.
-
Neliela draugu grupa, kurā organizējat kopīgu došanos uz koncertu un apmaināties ar tālruņa numuriem, arī ietilpst šajā izņēmumā.
Šādos gadījumos VDAR prasības nav jāievēro, un dalībnieki paļaujas uz savstarpēju uzticēšanos un pieklājību. Problēmas sākas tad, kad grupas mērķis, dalībnieku skaits un publicētās informācijas raksturs pārsniedz šo šauro "personiskās un sadzīves" ietvaru.
Sarkanās līnijas: kad privāta grupa kļūst par datu pārzini. Līnija starp privātu čatu un VDAR regulētu vidi tiek pārkāpta, ja grupas darbība kļūst sistemātiska, mērķtiecīga un skar plašāku, skaidri nedefinētu personu loku. Apskatīsim izplatītākās situācijas.
1. Mērķis Pārsniedz Sadzīves Komunikāciju. Ja grupa tiek izveidota un uzturēta, lai veiktu kādu organizatorisku, profesionālu vai quasi-komerciālu darbību, tā gandrīz noteikti nonāk VDAR redzeslokā.
-
Bīstami: Mājas iedzīvotāju grupa, kurā apsaimniekotāja pārstāvis vai mājas vecākais regulāri publicē informāciju par komunālo maksājumu parādniekiem, publicē balsošanas rezultātus ar iedzīvotāju vārdiem vai sistemātiski apkopo sūdzības par konkrētiem kaimiņiem.
-
Droši: Mājas iedzīvotāju grupa, kurā kaimiņš pajautā, vai kāds neaizdos cukuru, vai paziņo par atrastām atslēgām.
-
Šajā gadījumā grupas administrators un/vai apsaimniekotājs var tikt uzskatīts par datu pārzini, kam ir jānodrošina datu apstrādes tiesiskais pamats un jāievēro citas VDAR prasības.
2. Informācijas Publicēšana Par Trešajām Personām. Publicējot informāciju par personu, kura nav grupas dalībnieks un nav devusi savu piekrišanu, jūs veicat šīs personas datu apstrādi.
-
Bīstami: Publicēt kaimiņa automašīnas numuru kopā ar nosodošu komentāru par nepareizu parkošanos. Automašīnas numurs ir personas dati, jo tas ir saistīts ar identificējamu fizisku personu. Šāda publiska kaunināšana ir klajš VDAR pārkāpums.
-
Droši: Aizsūtīt privātu ziņu mājas vecākajam vai apsaimniekotājam ar automašīnas numuru, lūdzot risināt situāciju atbilstoši iekšējās kārtības noteikumiem.
3. Bērnu Fotogrāfiju Publicēšana. Bērnu dati tiek uzskatīti par īpaši aizsargājamiem. To publicēšanai ir nepieciešama vecāku vai likumisko aizbildņu piekrišana.
-
Bīstami: Klases vecāku grupā publicēt fotogrāfijas no skolas pasākuma, kurās redzami daudzi bērni, bez visu bērnu vecāku piekrišanas. Pat ja jūsu nolūks ir labs, jūs nevarat pieņemt lēmumu citu vecāku vārdā par viņu bērnu datu izplatīšanu.
-
Droši: Nosūtīt bildes privāti tiem vecākiem, kuru bērni tajās redzami, vai publicēt tikai tās fotogrāfijas, kurās redzams tikai jūsu bērns vai bērni, kuru vecāki tam piekrituši. Ideālā gadījumā skolai vai bērnudārzam ir jābūt ieviestai kārtībai, kā tiek iegūtas vecāku piekrišanas foto publicēšanai.
Ieteikumi Drošai Saziņai Grupās
-
Grupas administratoriem: Ja pārvaldāt lielu grupu ar noteiktu mērķi (piem., daudzdzīvokļu nama apsaimniekošana, biedrības darbība), izveidojiet vienkāršus grupas noteikumus. Atgādiniet par privātuma ievērošanu un aiciniet neatrisināt personiskus konfliktus publiskā čatā.
-
Visiem dalībniekiem: Pirms nospiežat "Sūtīt", uzdodiet sev jautājumu: "Vai šī informācija ir nepieciešama visiem grupas dalībniekiem? Vai tā neaizskar kāda privātumu? Vai es vēlētos, lai šādu informāciju par mani publicētu citi?"
-
Ja jūsu dati ir aizskarti: Vispirms mēģiniet sazināties ar personu, kura publicēja informāciju, un lūdziet to dzēst. Ja tas nelīdz, sazinieties ar grupas administratoru. Ja situācija ir nopietna un netiek risināta, jums ir tiesības vērsties ar sūdzību Datu valsts inspekcijā.
Modernās tehnoloģijas ir devušas mums lieliskus saziņas rīkus, taču tās nav atcēlušas pienākumu cienīt citu cilvēku privāto dzīvi. Nedaudz apdomības un savstarpējas cieņas palīdzēs izvairīties no nepatīkamiem pārpratumiem un pat nopietnām juridiskām sekām.
.jpg)
2024/07/10
Personas datu pirkšana un pārdošana
2025/21/07
Mākslīgais intelekts un datu aizsardzība: Kas uzņēmumam jāzina 2025. gadā?
Mākslīgā intelekta (MI) ēra ir klāt. Rīki kā ChatGPT, Gemini, Copilot un citi tiek zibens ātrumā ieviesti uzņēmumu ikdienas procesos, solot nebijušu efektivitāti un inovācijas. Taču aiz šī progresa slēpjas būtiski jautājumi par datu drošību un privātumu. Vai esat aizdomājušies, kas notiek ar informāciju, ko jūsu darbinieki ievada šajos rīkos? 2025. gads ir laiks, kad atbildīgs uzņēmējs vairs nevar ignorēt MI un datu aizsardzības saikni.
Kā MI apstrādā personas datus? Lai saprastu riskus, vispirms jāsaprot pamatprincips: lielākā daļa MI modeļu tiek "apmācīti", analizējot milzīgu datu apjomu. Ja jūsu darbinieks, cenšoties optimizēt darbu, ievada publiski pieejamā MI čatbotā klientu saraksti, līguma detaļas vai iekšējo stratēģiju, šī informācija var kļūt par daļu no MI modeļa apmācības materiāla. Tādējādi uzņēmums pilnībā zaudē kontroli pār saviem (un savu klientu) datiem, un tas ir tiešs Vispārīgās datu aizsardzības regulas (VDAR) pārkāpuma risks.
Biežākie riski, ar kuriem saskaras uzņēmumi
-
Sensitīvu datu nopludināšana: Visvienkāršākais un bīstamākais scenārijs. Darbinieks ievada MI rīkā klienta sūdzības e-pastu, lai saņemtu atbildes melnrakstu. Šajā brīdī klienta personas dati (vārds, e-pasts, problēmas apraksts) nonāk trešās puses rīcībā, un pastāv risks, ka tie var parādīties cita lietotāja atbildēs.
-
Tiesiskā pamata trūkums: Jūs nolemjat izmantot klientu datus, lai apmācītu savu pielāgoto MI modeli, piemēram, produktu ieteikumiem. Taču, vai jums ir atbilstošs tiesiskais pamats šādai darbībai? Ja paļāvāties uz klienta piekrišanu pakalpojuma sniegšanai, tā visticamāk neietver datu izmantošanu MI apmācībai.
-
Automatizētu lēmumu caurskatāmības trūkums: Uzņēmums sāk izmantot MI, lai atlasītu darbinieku CV vai novērtētu klientu kredītspēju. VDAR piešķir personām tiesības saņemt informāciju par automatizētu lēmumu pieņemšanas loģiku un šādus lēmumus apstrīdēt. Vai jūsu uzņēmums spēs paskaidrot, kāpēc MI noraidīja konkrētu kandidātu?
-
Neobjektivitāte un diskriminācija: MI ir tik labs, cik labi ir dati, ar kuriem tas apmācīts. Ja vēsturiskajos datos pastāv neapzināta neobjektivitāte (piemēram, pret noteikta dzimuma vai vecuma kandidātiem), MI to iemācīsies un reproducēs, radot nopietnus diskriminācijas un reputācijas riskus.
Praktiski ieteikumi atbildīgai MI lietošanai
-
Izstrādājiet iekšējo MI lietošanas politiku: Skaidri nodefinējiet, kurus MI rīkus ir atļauts lietot, kādiem mērķiem un, pats galvenais, kāda veida informāciju tajos ir kategoriski aizliegts ievadīt (piemēram, jebkādus personas datus, konfidenciālus līgumus, komercnoslēpumus).
-
Apmāciet darbiniekus: Skaidrākais aizliegums nelīdzēs, ja darbinieki nesapratīs riskus. Organizējiet apmācības, kurās praktiskos piemēros izskaidrojat, kāpēc klienta vārda ievadīšana publiskā MI rīkā ir slikta ideja.
-
Izvēlieties "Enterprise" līmeņa risinājumus: Daudzi MI pakalpojumu sniedzēji piedāvā biznesa (Enterprise) versijas, kas garantē, ka jūsu ievadītie dati netiek izmantoti publisko modeļu apmācībai un tiek apstrādāti drošā, privātā vidē.
-
Veiciet ietekmes uz datu aizsardzību novērtējumu (IADN): Pirms jaunas, nozīmīgas MI sistēmas ieviešanas, kas apstrādās personas datus, IADN veikšana bieži vien ir obligāta VDAR prasība. Tas palīdzēs strukturēti identificēt un mazināt riskus.
Datu aizsardzības speciālista (DAS) loma
Navigācija straujajā MI pasaulē var būt sarežģīta. Šeit nenovērtējams palīgs ir kompetents datu aizsardzības speciālists. DAS var palīdzēt jūsu uzņēmumam:
-
Novērtēt konkrētu MI rīku atbilstību VDAR prasībām.
-
Vadīt ietekmes uz datu aizsardzību novērtējuma procesu.
-
Izstrādāt skaidru un praktiski lietojamu iekšējo politiku.
-
Konsultēt par atbildīgu inovāciju, lai progress netiktu bremzēts, bet gan balstīts uz drošiem pamatiem.
Nobeigumā: Mākslīgais intelekts ir fantastisks instruments, bet devīzei "kusties ātri un lauz lietas" ir jāpiekāpjas principam "inovē atbildīgi". Proaktīva pieeja datu aizsardzībai nav šķērslis, bet gan pamats ilgtspējīgai un uzticamai izaugsmei MI laikmetā.
2024/07/10
Personas datu pirkšana un pārdošana
Saskaņā ar Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regulas Nr. 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (turpmāk – Vispārīgā datu aizsardzības regula) 4. panta 1. punktu datu apstrāde ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana.
Tātad atbilstoši iepriekš minētajai definīcijai personas datu apstrāde viennozīmīgi ir arī uz pirkumu balstīta personas datu nodošana (izpaušana) citai fiziskai vai juridiskai personai.
Pamatojoties uz minēto, padodot (vai pērkot) personas datus (atsevišķus datus vai datubāzes), ir jāņem vērā Vispārīgā datu aizsardzības regulas nosacījumi un ierobežojumi.
Vispārīgās datu aizsardzības regulas 6. pants nosaka, ka personas datu apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem pamatojumiem:
a) datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem;
b) apstrāde ir vajadzīga līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas;
c) apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu;
d) apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses;
e) apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras;
f) apstrāde ir vajadzīga pārziņa vai trešās personas leģitīmo interešu ievērošanai, izņemot, ja datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama personas datu aizsardzība, ir svarīgākas par šādām interesēm, jo īpaši, ja datu subjekts ir bērns.
No iepriekš minētā izriet, ka faktiski vienīgais loģiskais un tiesiskais personas datu pārdošanas (vai iegādes) veids ir datu subjekta piekrišana (Vispārīgās datu aizsardzības regulas 6. panta “a” apakšpunkts), jo pārējos punktus datu pirkšanai piemērot būtu faktiski neiespējami. Tātad, lai pārdotu personas datus (vai datu bāzi) kādai fiziskai vai juridiskai personai, ir nepieciešama visu attiecīgo datu subjektu piekrišana (ieteicams rakstiskā formātā). Jāatceras, ka saskaņā ar Vispārīgās datu aizsardzības regulas 7. pantu pārzinim ir jāspēj uzskatāmi parādīt, ka datu subjekts ir piekritis savu personas datu apstrādei. Ja datu subjekts piekrišanu dod saistībā ar rakstisku dokumentu, kas attiecas arī uz citiem jautājumiem, lūgumu dot piekrišanu norāda tā, lai to varētu skaidri atšķirt no citiem jautājumiem saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu. Turklāt, kamēr personas datu nodošana vēl nav notikusi, datu subjektam ir tiesības atsaukt savu piekrišanu. Tāpat ir jāņem vērā, ka saskaņā ar Fizisko personu datu apstrādes likuma 33. pantu, ja datu subjekts ir bērns, viņa piekrišana ir uzskatāma par pamatu datu apstrādei un viņa datu apstrāde ir likumīga, ja bērns ir vismaz 13 gadus vecs vai ja attiecībā uz bērnu, kurš vēl nav sasniedzis 13 gadu vecumu, piekrišanu ir devis viņa vecāks vai likumiskais aizbildnis.
Teorētiski datu pārdošanas tiesiskais pamats retos gadījumos varētu būt arī Vispārīgās datu aizsardzības regulas 6. panta “f” apakšpunkts (leģitīmās intereses), kas varētu rasties uzņēmuma pārejas (atbilstoši Komerclikuma 20. pantam) rezultātā, jo uzņēmumu pārejas gadījumā par samaksu vai bez tās citas personas īpašumā var pāriet gan uzņēmums, gan tā daļa. Piemēram, būvniecības uzņēmums pārdod daļu no sava biznesa (internetveikalu) citam uzņēmumam, un jaunajam internetveikala īpašniekam nodot arī to klientu kontaktus, kuri iepriekš veikuši pasūtījumus vai pieteikušies jaunumu saņemšanai no konkrētā internetveikala.
Ņemot vērā minēto, ir viennozīmīgi skaidrs, ka ir aizliegts bez datu subjektu piekrišanas pārdot datu bāzes. Praksē ir novērots, ka vismaz Latvijā par šo aizliegumu ir informēti arī personas datu pārdevēji, jo pēc Vispārīgās datu aizsardzības regulas stāšanās spēkā vairs publiski nav redzēti piedāvājumi iegādāties datubāzes, kas satur personu e-pastus vai tālruņu numurus. Tomēr ir pieejamas dažādas publiskas datu bāzes (piemēram - https://outscraper.com/), kurās ir iespējams iegādāties dažādus datus par uzņēmumiem (tai skaitā e-pastu adreses). Šeit gan jāatceras, ka, ja e-pasta adrese būs info@uznemums.lv vai bumba33@gmail.com, tad personas dati apstrādāti netiks, tomēr, ja e-pasta adrese saturēs personas vārdu, uzvārdu un darbavietu (piemēram, janis.berzins@uznemums.lv), tad uz šāda veida e-pasta adresēm arī būs attiecināmi iepriekš minētie ierobežojumi personas datu pārdošanā.
Lai vai kāds būtu datu pārdošanas tiesiskais pamats, ir jāatceras, ka pārdot var tikai legāli iegūtus personas datus, jo, ja pārdodamo datu apstrāde bijusi prettiesiska, tad prettiesiska būs arī šo datu pārdošana.
Ir jāņem vērā, ka saskaņā ar Vispārīgās datu aizsardzības regulas 83. pantu, ja pārzinis vai apstrādātājs tīši vai aiz neuzmanības izdara pārkāpumu, piemērotā soda apmērs var būt līdz pat līdz 20 000 000 EUR vai uzņēmuma gadījumā līdz 4 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma. Tātad, piemēram, ja Microsoft Corporation meitas uzņēmums Latvijā izdarīs pārkāpumu, tad soda apmēra noteikšanā tiks ņemts vērā ne tikai attiecīgā uzņēmuma Latvijas apgrozījums, bet arī ASV un citās valstīs iepriekšējā finanšu gadā gūtais gada apgrozījums.
Lemjot par to, vai piemērot administratīvo naudas sodu, un pieņemot lēmumu par administratīvā naudas soda apmēru, katrā konkrētā gadījumā pienācīgi ņem vērā šādus elementus:
a) pārkāpuma būtību, smagumu un ilgumu, ņemot vērā attiecīgo datu apstrādes veidu, apmēru vai nolūku, kā arī ietekmēto datu subjektu skaitu un tiem nodarītā kaitējuma apmēru;
b) to, vai pārkāpums izdarīts tīši vai neuzmanības dēļ;
c) jebkādu pārziņa vai apstrādātāja rīcību, lai mazinātu kaitējumu, kas nodarīts datu subjektiem;
d) pārziņa vai apstrādātāja atbildības līmeni, ņemot vērā tehniskos un organizatoriskos pasākumiem, ko tie īsteno saskaņā ar 25. un 32. pantu;
e) jebkādus attiecīgus pārziņa vai apstrādātāja iepriekšējus pārkāpumus;
f) sadarbības pakāpi ar uzraudzības iestādi, lai atlīdzinātu pārkāpumu un mazinātu tā iespējamās nelabvēlīgās sekas;
g) to, kādu kategoriju personas datus ietekmējis pārkāpums;
h) veidu, kādā par pārkāpumu uzzināja uzraudzības iestāde, jo īpaši to, vai pārzinis vai apstrādātājs ir ziņojis par pārkāpumu, un šādā gadījumā – kādā apjomā;
i) vai no Datu valsts inspekcijas puses jau iepriekš ir izteikti brīdinājumi, piemēroti naudas sodi vai veiktas citas korektīvās darbības;
j) apstiprināto rīcības kodeksu vai apstiprināto sertifikācijas mehānismu ievērošanu;
k) jebkādu citu pastiprinošu vai mīkstinošu apstākli, kas piemērojams lietas apstākļiem, piemēram, no pārkāpuma tieši vai netieši gūti finansiālie labumi vai novērsti zaudējumi. Tātad, ja no nelikumīgas personas datu tirdzniecības kāds būs guvis materiālu labumu, tad, visticamāk, tas tiks vērtēts kā atbilstību pastiprinošs apstāklis.
Attiecībā uz sodiem ir jāatceras, ka nelikumīgas personas datu pārdošanas gadījumā visticamāk sodīti tiks abi – gan pircējs, gan pārdevējs (ja vien pircējs nepierādīs, ka ir labticīgs un nezināja, ka pārdevējam nemaz nav juridisku tiesību attiecīgos datu pārdot).
Ņemot vērā minēto, pirms pārdot vai iegādāties personas datus, ir ieteicams konsultēties pie personas datu aizsardzības speciālistiem vai Datu valsts inspekcijas konsultantiem.
Savukārt, ka Jums ir zināms, ka Jūsu personas dati ir nodoti (pārdoti) citam uzņēmumam, tad būtu ieteicams vērsties ar sūdzību Datu valsts inspekcijā, jo ir liela iespēja, ka šāda prakse tiks atzīta par nelikumīgu.
2021/03/16
Datu valsts inspekcijas jaunākie skaidrojumi, saistībā ar datu apstrādi
un Covid 19
Datu valsts inspekcija ir sniegusi skaidrojumu, saistībā ar Darbinieku sarakstu Covid-19 vakcīnas saņemšanai, norādot, ka darba devējs, veidojot darbinieku sarakstu ar nolūku (mērķi) organizēt kolektīvo vakcinēšanos pret Covid-19, var piemērot tikai Regulas 6.panta 1.punkta a) apakšpunktu – katra darbinieka sniegta piekrišana* *personas datu apstrādei. Sīkāks skaidrojums pieejams šeit
Tāpat, Datu valsts inspekcija ir sniegusi skaidrojumu par *atbildīgās personas identificējošas informācijas izvietošana tirdzniecības vietā. Savā skaidrojumā Datu valsts inspekcija norāda, ka atbildīgās personas datu apstrāde – identificējošas informācijas un kontaktinformācijas publicēšana tirdzniecības vietas apmeklētājiem brīvi pieejamā vietā ir atbilstoša Vispārīgās datu aizsardzības regulas 6.panta 1.punkta c) apakšpunktam, kas paredz, ka darba devējam (pārzinim), pamatojoties uz grozījumiem Ministru kabineta noteikumos, ir noteikts juridisks pienākums apstrādāt, tai skaitā darīt publiski pieejamus, atbildīgās personas datus. *Sīkāks skaidrojums pieejams šeit
Datu valsts inspekcija ir sniegusi arī skaidrojumu, saistībā ar apliecinājumu par Covid-19 vakcinācijas statusu. Savā skaidrojumā Datu valsts inspekcija norāda, ka **spēkā esošie noteikumi neparedz obligātu vakcināciju pret Covid-19, līdz ar to darba devējam nav tiesības uzlikt par pienākumu darbiniekiem vakcinēties pret Covid-19 vai apstrādāt iepriekšminēto informāciju par vakcinācijas saņemšanu. Pilns Datu valsts inspekcijas skaidrojums pieejams šeit
2021/03/09
Darbinieku aptaujas par potēšanos
Datu valsts inspekcija ir sniegusi viedokli par darba devēju organizētajām aptaujām, saistībā ar darbinieku vakcināciju. Datu valsts inspekcija nekonstatē, ka darba devēja veiktai personas datu apstrādei, iegūstot darbinieku vārdus un uzvārdus, lai veiktu aptauju par darbinieku attieksmi par gatavību vakcinēties pret Covid-19, pastāv kāds no Regulas 6.panta 1.punktā minētajam tiesiskajam pamatam. Tāpat Datu valsts inspekcijas ieskatā, vārda un uzvārda norādīšana aptaujā nav samērīga ar personas datu apstrādes sasniedzamo nolūku, un līdz ar to nolūku (noskaidrot nodarbināto viedokli par vakcinēšanos pret Covid-19) var sasniegt, neapstrādājot nodarbināto personas datus. Sīkāka informācija pieejama šeit - https://www.dvi.gov.lv/lv/jaunums/dviskaidro-darbi...
2021/03/08
Biometrijas datu apstrāde mazumtirdzniecībā
Uzņēmējiem, īpaši mazumtirdzniecībā ir aktualizējies jautājums par drošības vai mārketinga nolūkos veiktu sejas atpazīšanas tehnoloģijas izmantošanu. Sejas atpazīšanas tehnoloģija izmanto cilvēku biometriskos datus. Ievērojot minēto, Inspekcija sniedz skaidrojumu par sejas atpazīšanas tehnoloģijas izmantošanas tiesiskajiem aspektiem no personas datu aizsardzības aspekta.
Vispārīgā datu aizsardzības regulas (turpmāk-Regula) 4.panta 14.punktā noteiks, ka “biometriskie dati” ir personas dati pēc specifiskas tehniskas apstrādes, kuri attiecas uz fiziskas personas fiziskajām, fizioloģiskajām vai uzvedības pazīmēm, kas ļauj veikt vai apstiprina minētās fiziskās personas unikālu identifikāciju, piemēram, sejas attēli vai daktiloskopijas dati.
Piemēram, lai pielāgotu reklāmas atbilstoši konkrēta apmeklētāja rīcībai, pārzinim jāidentificē apmeklētājs, gan lai novērotu tā paradumus veikalā, gan arī atpazītu apmeklētāju, kad tas veikalā atgriežas. Ja pārzinis (persona, kuras nolūku sasniegšanai veikta personas datu apstrāde) glabā biometriskus datus (visbiežāk tas tiek darīts, izmantojot veidnes, ko izveido, izgūstot būtiskākās iezīmes no biometriskajiem izejas datiem (piemēram, sejas mērījumus no attēla) (šādu veidni sauc par biometrisko matrici)), lai unikāli identificētu personu, tā būs uzskatāma par biometrisko datu apstrādi. Identifikācija konkrētajā gadījumā var nebūt personas vārda, uzvārda un/vai personas koda noteikšana, bet gan personas unikāla nošķiršana no citām personām un iespēja personu atpazīt atkārtotā saskarsmē.
Savukārt, ja informācijas apstrādes nolūks ir vienas personu kategorijas nodalīšana no citas, bet unikāla fiziskas personas identifikācija šajā procesā veikta netiek. Piemēram, gadījumā, ja veikala īpašnieks vēlas pielāgot savas reklāmas, pamatojoties uz videonovērošanas sistēmas nofilmēto personu dzimuma un vecuma pazīmēm un šāda sistēma neizveido biometriskās veidnes personu unikālai identificēšanai, bet tikai fiksē minētās fiziskās pazīmes, lai klasificētu personu, tad to var par biometrisko datu apstrādi neuzskatīt (kamēr vien netiek apstrādāti citi īpašu kategoriju datu veidi).
Biometrisko datu un jo īpaši sejas atpazīšanas tehnoloģijas izmantošana ir saistīta ar paaugstinātiem riskiem datu subjektu tiesībām. Eiropas Datu aizsardzības kolēģijas 2020.gada 29.janvāra pamatnostādnēs 3/2019 “Par personas datu apstrādi, izmantojot videoierīces” (turpmāk - Pamatnostādnes) skaidrots, ka svarīgi šādu tehnoloģiju izmantošanā ievērot Regulas noteiktos likumīguma, nepieciešamības, samērīguma un datu minimizācijas principus. Lai gan šo tehnoloģiju izmantošana var tikt uzskatīta par īpaši efektīvu, pārziņiem vispirms būtu jānovērtē ietekme uz pamattiesībām un pamatbrīvībām un jāapsver mazāk traucējoši veidi, kā sasniegt to likumīgo apstrādes mērķi.
Izvērtējot riskus personas tiesībām un brīvībām, kas saistīti ar biometrisko datu apstrādi, var noteikt vairākus galvenos virzienus, kas apsverami risku identificēšanā:
Pats pārzinis (persona, kuras mērķu sasniegšanai apstrādā biometriskos datus) iegūto biometrisko matrici izmanto tādu mērķu sasniegšanai, par kuriem datu subjekts (iedzīvotājs, kura dati tiek apstrādāti) nav informēts. Šāds risks lielākoties materializēsies, ja biometrisko datu apstrāde nebūs nodalīta no citām pārziņa datu plūsmām.
Veidojot biometrisko matrici, tiek izveidots jauns personas unikāls identifikators, kuram nonākot citu personu rīcībā, tas var tikt izmantots, lai iegūtu informāciju par datu subjektu veidā, kā nebija iespējams paredzēts, matrici veidojot. Attēli un ieraksti ar personu var tikt ievietoti dažādos avotos un dažādos datu nesējos, izmantojot biometrisko matrici, ir iespējams, izmantojot meklēšanas funkcijas, atrast citādi neindeksētu informāciju, kas ir uz konkrēto personu attiecināma.
Pastāv reāli drošības riski personas biometrisko matrici izmantot piekļuves iegūšanai resursiem, kuri tiek aizsargāti ar biometriskās autentifikācijas metodēm – piemēram, mobilajiem telefoniem. Secināms, ka ar biometrisko datu apstrādi saistāmi reāli pastāvoši gan iekšēji (attiecībā uz pārziņa darba organizāciju), gan ārēji (materiāli zaudējumi ļaunprātības rezultātā, kontroles zaudēšana pār personas datu apstrādi un citādi neattiecināmasinformācijas saistīšana ar datu subjektu) riski.
Atbilstoši Regulas 9.panta 1.punktam biometriskie dati ir uzskatāmi par īpašās kategorijas personas datiem un to apstrāde, lai veiktu personas unikālu identifikāciju (atpazītu to starp citām līdzīgām personām) ir aizliegta, ja vien nav piemērojams, kāds no Regulas 9.panta 2,punktā noteiktajiem izņēmumiem. Tas nozīmē, ka gadījumos, kad videonovērošanas sistēmu izmanto, lai apstrādātu biometriskos datus, pārzinim ir jāidentificē, gan izņēmums īpašu kategoriju datu apstrādei saskaņā ar Regulas 9.panta 2.punktu (t. i., izņēmums attiecībā uz vispārējo noteikumu, ka aizliegts apstrādāt īpašu kategoriju datus), gan tiesiskais pamats saskaņā ar Regulas 6. pantu.
Datu valsts inspekcija vērš uzmanību uz līdzšinēji izdarītiem secinājumiem, ka privātpersonas veikta sejas atpazīšanas tehnoloģijas izmantošanu, veicot biometrisko datu apstrādi, mārketinga vai drošības nolūkos var pamatot tikai ar Regulas 6.panta 1.punkta a) apakšpunktā un attiecīgi Regulas 9.panta 2.punkta a) apakšpunktā noteikto tiesisko pamatu – datu subjekta piekrišanu. Pieņemt, ka personas ir piekritušas biometrijas datu apstrādei, jo pie veikala izvietota brīdinājuma zīme nav atbilstoši Regulai.
Gadījumā, ja sejas atpazīšanas tehnoloģija tiek izmantota normatīvajā aktā noteikta deleģējuma izpildei, iespējams apstrādi var pamatot ar Regulas 6.panta 1.punkta e) apakšpunktā un attiecīgi Regulas 9.panta 2.punkta g) apakšpunktā noteikto tiesisko pamatu – apstrāde nepieciešama sabiedrības interesēs.
Risku personas tiesībām un brīvībām novērtējums ir nākamais solis pēc apstrādes nolūka un tā sasniegšanai adekvāta tiesiskā pamata personas biometrisko datu apstrādei, noteikšanas. Pirms biometrisko datu apstrādes uzsākšanas veicams Novērtējums par ietekmi uz datu aizsardzību.
2021/03/01
Par komerciālu paziņojumu sūtīšanu
Datu valsts inspekcija ir sniegusi skaidrojumu par Informācijas sabiedrības pakalpojumu likuma un Vispārīgās datu aizsardzības regulas mijiedarbību.
Komerciālu paziņojumu sūtīšanas kārtību nosaka Informācijas sabiedrības pakalpojumu likuma (turpmāk – ISPL) 9.pants, kurā atrunāta kārtība komerciālu paziņojumu sūtīšanai. Vienlaikus jāņem vērā, ka komerciālu paziņojumu sūtīšana identificētām vai identificējamām personām nav iespējama bez personas datu apstrādes, kas ietilpst Vispārīgā datu aizsardzības regulas (turpmāk - Regula) materiālajā tvērumā.
Saskaņā ar Regulas 173.apsvērumā norādīto Regula jāpiemēro visiem jautājumiem saistībā ar pamattiesību un pamatbrīvību aizsardzību attiecībā uz personas datu apstrādi, kuriem nav piemērojami konkrētie pienākumi ar tādu pašu mērķi, kā noteikts Eiropas Parlamenta un Padomes Direktīva 2002/58/EK (2002.gada 12.jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju) (turpmāk – direktīva 2002/58/EK), tostarp pārziņa pienākumiem un fizisku personu tiesībām. Direktīva 2002/58/EK Latvijā transponēta ar ISPL.
Ievērojot minēto, ISPL ir speciālais normatīvais akts, kas piemērojams attiecībā uz direktīvas 2002/58/EK tvērumā veiktu personas datu apstrādi.
Līdz ar to, vērtējot komerciālu paziņojumu sūtīšanas tiesisko ietvaru, ir nepieciešams vienlaikus ņemt vērā divus normatīvos aktus - ISPL, kas uzskatāms par speciālo tiesību aktu attiecībā *tieši uz komerciālu paziņojumu sūtīšanu,* un Regulu, kuras materiālajā tvērumā ietilpst personas datu apstrāde, apstrādājot personas datus, kas tiek izmantoti komerciālu paziņojumu sūtīšanai atbilstoši ISPL. Papildus iepriekš minētajam norādāms, ka ISPL izmantotajam jēdzienam *lietotāja vai abonenta piekrišana*, ir tāda pati nozīme, kāda tā ir jēdzienam *piekrišana*, atbilstoši Regulai.
Atbilstoši Regulai likumīga būs tikai Regulas 5.pantā noteiktajiem personas datu apstrādes principiem atbilstoša personas datu apstrāde, tai skaitā nodrošinot, ka tiek apstrādāti tikai tādi dati, kuru apstrādei pārzinim (personai, kas uzdod komerciālo paziņojumu sūtīšanu) ir Regulas 6.panta 1.punktam atbilstošs tiesiskais pamats. Ievērojot to, ka personas datu ievākšana vēlāku komerciālu paziņojumu sūtīšanai tiek veikta, ar nolūku īstenot darbību, kuras veikšana noteikta speciālajā tiesību aktā (ISPL), arī vērtējot Regulas tiesiskā pamata piemērošanu, jāņem vērā ISPL noteiktais speciālais regulējums attiecībā uz komerciālu paziņojumu sūtīšanu.
Ņemot vērā minēto, attiecībā uz personas datu apstrādi (iegūšanu, glabāšanu, saziņu u.c.) nolūkā izmantot tos komercpaziņojuma sūtīšanai iespējamas divas savstarpēji nošķiramas situācijas, kurām piemērojami dažādi Regulā noteiktie tiesiskie pamati:
1. *Regulas 6.panta 1.punkta f) apakšpunkta (pārziņa leģitīmo interešu ievērošana) piemērošana **klienta elektroniskā pasta adreses* apstrādei, sūtot paziņojumus, ja tie atbilst ISPL 9.panta otrajā daļā noteiktajām pazīmēm
2. *Regulas 6.panta 1.punkta a) apakšpunkta (piekrišana) piemērošana* visiem pārējiem komerciālo paziņojumu sūtīšanas gadījumiem (tai skaitā īsziņu nosūtīšana).
Saņemot informāciju par iespējamu nelikumīgu komerciālo paziņojumu sūtīšanu, Datu valsts inspekcijai ir tiesības pārbaudīt arī adrešu saraksta, kas izmantots komerciāla paziņojuma sūtīšanai, izveides tiesisko pamatu atbilstoši Regulai.
2021/02/24
Par pašvaldības pienākumu sakārtot datu aizsardzības jautājumus
Datu valsts inspekcija (turpmāk – DVI) 2020.gada 17.janvārī pieņēma lēmumu, ar kuru tā uzlika par pienākumu Ogres novada pašvaldībai (turpmāk – Pašvaldība) iecelt Ogres novada pašvaldībā datu aizsardzības speciālistu, publicēt Ogres novada pašvaldības mājaslapā Ogres novada pašvaldības personu datu aizsardzības speciālista kontaktinformāciju, kā arī nodrošināt pārredzamības principa īstenošanu.
DVI konstatēja, ka Pašvaldības mājaslapā pieejamajā Privātuma politikā sniegta vispārīga informācija par personas datu apstrādi mājas lapā, bet nav citas VDAR prasībām atbilstošās informācijas, piemēram, informācijas par pārzini, pārziņa un datu aizsardzības speciālista kontaktinformācija, personas datu apstrādes tiesiskais pamats un nolūks, datu subjektu tiesību aprakstu utt., tādējādi, nenodrošinot sabiedrību ar brīvi pieejamu un pārredzamu informāciju attiecībā uz personu datu apstrādi.
Minētais lēmums pieejams šeit
2021/02/24
Par personas datu apstrādi un aizsardzību attālinātā mācību procesā
Datu valsts inspekcija (turpmāk – Inspekcija) ir saņēmusi vairākus lūgumus skaidrot attālinātā mācību procesa organizācijas atbilstību Vispārīgai datu aizsardzības regulai (turpmāk - Regula). Lūgumus saņemt skaidrojumus
izteikuši gan vecāki, kuri bažījās par iespējamiem bērnu privātuma aizskārumiem, gan arī izglītības iestādes un pašvaldības, kuras meklē labākos risinājumus, kā, nemazinot apmācību kvalitāti, turpināt organizēt pedagoģisko darbu attālinātas mācīšanās apstākļos.
Inspekcija ir secinājusi, ka, lai arī bažas paustas par viena mērķa sasniegšanai īstenotu personas datu apstrādi, tomēr tās lielākoties attiecināmas uz divām savstarpēji saistītām apstrādes darbībām –
1. attālināta mācību stundas norise;
2. mācību procesa ieraksta veikšana.
Attiecībā uz attālinātas mācību stundas norises organizāciju Inspekcija skaidro, ka piemērojamais tiesiskais pamats personas datu apstrādei tiešsaistes nodarbību organizēšanai, varētu būt Regulas 6.panta 1.punkta e) apakšpunkts (apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras).
Regulas 6.panta 1.punkta e) apakšpunktā noteiktā tiesiskā pamata piemērošana iespējama, ja personas datu apstrāde tiek veikta normatīvajā aktā deleģēta uzdevuma izpildei, un ievērojot veicamā uzdevuma un personu, kuru dati tiks apstrādāti, interešu samērīgumu.
Saskaņā ar Ministru kabineta 2020.gada 9.jūnija noteikumu Nr.360 “Epidemioloģiskās drošības pasākumi Covid-19 infekcijas izplatības ierobežošanai” 27.1.apakšpunktu izglītības iestādes (izņemot koledžas un augstskolas) var noteikt kārtību, kādā izglītības programmu daļēji vai pilnībā var īstenot attālināti.
Inspekcija ņem vērā, ka savstarpējā mijiedarbība skolotājam ar skolniekiem un skolniekiem savstarpēji var būt būtisks elements to izglītības procesā. Klātienē, piedaloties nodarbībā, visi nodarbības dalībnieki gan redz, gan dzird viens otru, tiešsaistes nodarbību norises apstākļu pietuvināšana klātienes nodarbībām var ļaut pedagogiem jaunos apstākļos izmantot esošās iestrādnes darbā ar audzēkņiem.
Līdz ar to Inspekcija skaidro, ka, lai novērstu Covid-19 infekcijas izplatību sabiedrībā, ievērojot iepriekš minētajā normatīvajā aktā noteiktos pamatprincipus, izglītības iestādes var noteikt kārtību tiešsaistes nodarbību organizēšanai tīmekļa vietnē, tai skaitā, identificējot nepieciešamību, lūgt audzēkņiem izmantot videokameras, piedaloties tiešsaistes mācību nodarbībā.
Attiecībā uz mācību procesa ieraksta veikšanu norādām, ka, pēc būtības piemērojami līdzīgi apsvērumi attiecībā uz tiesiskā pamata noteikšanu un tā piemērošanas priekšnoteikumu izpildi. Ieraksta veikšanas gadījumā papildus minētajam ir būtiski vērtēt, kas ierakstu nodrošina, kas tieši ierakstā redzams (atšķirīgi apsvērumi var būt piemērojami ierakstam, kurā skolotājs skaidro mācību vielu, bet citi, ja redzami arī skolnieki un to reakcija uz jauno mācību vielu; tāpat jāņem vērā kādām personām, cik ilgu laiku un kādu nolūku sasniegšanai iegūtais ieraksts būs pieejams). Ņemot vērā iepriekš minētos un citus apsvērumus, kas saistīti ar ieraksta veikšanu un tā pieejamību, izglītības iestāde ir tiesīga izvēlēties veikt mācību procesa ierakstīšanu. Tomēr izglītības iestādei jāspēj pamatot šādas izvēles nepieciešamību kvalitatīva un droša mācību procesa veikšanai. Tāpat šajā gadījumā mācību iestādei iekšēji saistošā dokumentā (kārtībā, rīkojumā u.tml.) būtu jānosaka ieraksta glabāšanas termiņi, piekļuves tiesības ierakstam (kas var tos skatīties), kā arī citas tehniskas (drošības) un organizatoriskas prasības, lai novērstu nepiederošo personu piekļuvi ierakstam, ieraksta pārveidošanu, kopēšanu, izkropļošanu, un cita veida izmantošanu neatbilstoši plānotajam personas datu apstrādes mērķim.
Papildus Inspekcija vērš uzmanību, ka arī skolēniem ir būtiski pievērst uzmanību tam, lai tiešsaistes nodarbību laikā neizpaustu lieku informāciju par sevi, saviem un ģimenes sadzīves apstākļiem u.tml. Tādēļ Inspekcija vērš uzmanību, ka lielākajai daļai attālinātas saziņas platfomu ir izmantojamas funkcionalitātes, kas ļauj miglot, aizstāt vai citādi modificēt fona attēlu, kad tiek veikta dalība attālināto mācību nodarbībā. Piemēram, MS Teams, pievienojot sanāksmei un ieslēdzot kameru, jāizvēlas opcija “Fona filtri” (opcija būs pieejama darbvirsmas programmatūrā). Pēc kā labās puses panelī būs pieejami fona iestatījumi, šeit iespējams aizmiglot fona iestatījumus; izvēlēties attēlu no piedāvātajām izvēlēm; vai iespējams pievienot jaunu fona attēlu no sava datora izmantojot *.jpg vai *.png formāta failus. Šādas funkcionalitātes izmantošana var svešām acīm noslēpt bērna darba vides fonu. Inspekcija aicina, izmantojot funkcionalitāti, neizvēlēties citiem sanāksmes dalībniekiem aizskarošus attēlus.
Papildus norādām, ka izglītības iestādei jāatrod risinājums datu subjektu tiesību nodrošināšanai, tai skaitā par stundu ierakstīšanu informējot bērnu vecākus.
2021/02/23
Datu valsts inspekcija, lai skaidrotu ar videonovērošanu saistītus jautājumus, ir izstrādājusi rekomendācijas “Videokameru uzstādīšana un videonovērošanas veikšana fiziskas personas privātīpašumā”.
Minētās rekomendācijas pieejamas šeit
Rekomendācijas izstrādātas ar mērķi, lai palīdzētu fiziskām personām novērtēt privātīpašumā veiktas videonovērošanas tiesiskos aspektus un sniegtu padomus, kādus paņēmienus izmantot Vispārīgai datu aizsardzības regulai atbilstošas personas datu apstrādes veikšanā.
2021/02/09
Datu valsts inspekcija piemēro 65 000 euro sodu par maksātnespējas datu nelikumīgu apstrādi.
Datu valsts inspekcija 2020.gada nogalē uzlika 65 000 euro sodu SIA“Lursoft IT” par prettiesisku personas datu apstrādi, publiskojot tīmekļa vietnē www.lursoft.lv personas datus saturošus dokumentus. Tāpat Datu valsts inspekcija SIA “Lursoft IT” uzlika pienākumu pārtraukt prettiesisku personas datu apstrādi (publicēšanu).
Datu valsts inspekcija administratīvā pārkāpuma lietas ietvaros vērtēja, vai 2020.gadā SIA “Lursoft IT” veiktā datu apstrāde, publiskojot tīmekļa vietnē www.lursoft.lv personas datus saturošus dokumentus, ir atbilstoša2020.gadā spēkā esošajam regulējumam. Inspekcija konstatēja, ka SIA“Lursoft IT” ir veikusi prettiesisku personas datu apstrādi, publiskojot, personas datus, kuri ir iekļauti Uzņēmumu reģistra reģistrācijas lietas nepubliskajā daļā.
2020.gada 7.janvārī spēkā stājušies grozījumi likuma “Par Latvijas Republikas Uzņēmumu reģistru” paredz, ka reģistrācijas lieta tiek sadalīta divās daļās publiskajā un nepubliskajā. Publiskās daļas dokumenti un līdz ar to arī personas dati ir publiski pieejami un tos var atkal izmantot, komersantam sniedzot pakalpojumus. Savukārt nepubliskās daļas dokumenti ir ierobežotas pieejamības informācija un šādas informācijas atkal izmantošana un publiskā pieejamībā ir aizliegta. Līdz ar to personas datu, kuri ir iekļauti juridiskās personas reģistrācijas lietas nepubliskajā daļā, publicēšanai un vispārīgai pieejamībai nav tiesiskā pamata atbilstoši Vispārīgās datu regulas noteikumiem.
Datu valsts inspekcija vērš uzmanību, ka lietas ietvaros konstatētā prettiesiskā datu apstrāde attiecas uz tiem personas datiem, kas iekļauti reģistra nepubliskajā daļā iekļautajos - dokumentos.
Lai arī SIA “Lursoft IT” informāciju no Uzņēmuma reģistra ieguva līdz normatīvā regulējuma izmaiņu spēkā stāšanās brīža, turpināt personas datu apstrādi, tai skaitā publicēšanu, ja tai zudis tiesiskais pamats (tai skaitā vēsturisko informāciju) nav atbilstoša Vispārīgās datu aizsardzības regulas noteikumiem.
Lietas ietvaros Datu valsts inspekcija konstatēja, ka SIA “Lursoft IT”, neievērojot Maksātnespējas likumā noteikto termiņu, tīmekļa vietneswww.lursoft.lv Maksātnespējas reģistra datu bāzē publicēja informāciju par vēsturiskajiem fiziskās personas maksātnespējas procesiem ilgāk, nekā vienu gadu pēc ieraksta par fiziskās personas maksātnespējas procesa izbeigšanu izdarīšanas dienas, t.i. timekļa vietnē www.lursoft.lv informācija par vēsturiskajiem fiziskās personas maksātnespējas procesiem bija pieejama piecus gadus pēc ieraksta par fiziskās personas maksātnespējas procesa izbeigšanas izdarīšanas dienas.
Datu valsts inspekcija skaidro, lai arī SIA “Lursoft IT” nav Maksātnespējas likuma 132.panta trešās daļas tiešais adresāts (Maksātnespēja reģistra pārzinis ir Uzņēmumu reģistrs), tam ir saistoša šīs tiesību normas būtība un tajā ietvertā likumdevēja interpretācija, vērtējot samērīgumu starp datu subjekta interesēm uz savu personas datu aizsardzību un kontroli pār saviem personas datiem un SIA “Lursoft IT” un to klientu interesi turpināt personas datu apstrādi bez jebkādiem ierobežojumiem.
Administratīvais naudas sods 65 000 euro apmērā piemērots ņemot vērā, aizskarto datu subjektu skaitu, publicēto personas datu apjomu, kompānijas apgrozījuma apmēru, kā arī to, ka SIA “Lursoft IT” pēc Datu valsts inspekcijas saņemtajām norādēm neizbeidza un neierobežoja personas datu publicēšanu uz laiku, kamēr tiek noskaidrots, vai apstrāde ir atbilstoša normatīvajam regulējumam, t.i., par iespējamu Vispārīgajai datu aizsardzības regulai neatbilstošu datu apstrādi, publicējot informāciju SIA“Lursoft IT” tīmekļa vietnē.
2021/02/01
Eiropas datu aizsardzības diena
Atzīmējot 15. Eiropas datu aizsardzības dienu, kas norisinās katru gadu –28.janvārī – Eiropā, ASV un Kanādā, Datu valsts inspekcija organizēja tiešsaistes semināru, lai veicinātu sabiedrības izpratni par iespējām un riskiem attiecībā uz personas datu aizsardzībā un ikvienas personas tiesībām uz privātumu, kā arī popularizētu Eiropas datu aizsardzības dienas atzīmēšanu Latvijā. Seminārs bija interesants un noderīgs, tāpēc iesaku no noskatīties. Seminārs pieejams šeit -
2021/01/15
Personas dzīvesvietas publiskošana
Latvijas Republikas Senāta Civillietu departaments savā 2020.gada 26.novembra spriedumā lietā Nr.SKC-465/2020 ir paudis šādas atziņas: “Publiskojot informāciju par fiziskās personas dzīvesvietu, plašsaziņas līdzekļiem jāievēro normatīvajos aktos noteiktie datu apstrādes pamatprincipi. Izvērtējot dzīvesvietas adreses publiskošanas pamatotību, tiesai jāvērtē, vai konkrētajos apstākļos dzīvesvietas adrese ir sabiedrībai svarīga informācija un vai ir līdzsvarotas personas tiesības uz privātās dzīves neaizskaramību un žurnālistu tiesības uz vārda brīvību”. Pilns sprieduma teksts pieejams šeit
2020/05/25
Aktualitātes datu aizsardzībā
Šodien, 2020.gada 25.maijā, aprit tieši divi gadi kopš Vispārīgās datu aizsardzības regulas tiešas piemērošanas visās Eiropas Savienības dalībvalstīs.
Vispārīgā datu aizsardzības regula ir normatīvais regulējums, kas Latvijā, visās Eiropas Savienības un Eiropas Ekonomikas zonas dalībvalstīs veido vienādu tiesību un pienākumu tiesisko ietvaru personas datu apstrādes jomā.
Lai veicinātu sabiedrības informētību par aktualitātēm personas datu apstrādē un aizsardzībā, Datu valsts inspekcija (turpmāk – Inspekcija) ir apkopojusi informāciju par biežāk uzdotajiem jautājumiem savas kompetences ietvaros.
Aktualitātes par saņemtajām sūdzībām un pārbaudes lietām
2020.gada pirmajos četros mēnešos Inspekcija ir saņēmusi 363 iesniegumus par iespējams nelikumīgu personas datu apstrādi:
-
Par fiziskas personas veikto personas datu apstrādi: 130;
-
Par privāto tiesību juridiskās personas veikto personas datu apstrādi: 186
-
Par publisko tiesību subjekta veikto personas datu apstrādi: 41.
2020.gada pirmajos četros mēnešos uzsāktas 17 jaunas pārbaudes lietas (neieskaitot iepriekšējā periodā uzsāktās pārbaudes, kuras ir izskatīšanas stadijā).
Inspekcija visbiežāk saņem sūdzības videonovērošanas, sociālās tīklošanās un tiešsaistes darbību, komerciālu paziņojumu sūtīšanas, datu subjekta tiesību īstenošanas jomās.
Par kaimiņu veikto personas datu apstrādi, veicot videonovērošanu
Vispārīgā datu aizsardzības regula (turpmāk – Regula) neattiecas uz tādu personas datu apstrādi, ko veic fiziska persona tikai personiska vai mājsaimnieciska pasākuma gaitā (VDAR 2.panta 2.punkta “c” apakšpunkts). Arī Regulas 18.apsvērumā paskaidrots, ka Regulu nepiemēro tādai personas datu apstrādei, kuru veic fiziska persona un tā nav saistīta ar profesionālo vai komerciālo darbību.
Arī Fizisko personu datu apstrādes likuma 36.pantā ir noteikts, ka Regula neattiecas gan uz personas datu apstrādi, ko fiziskās personas veic, izmantojot automatizētas datu ieraksta ierīces privātīpašuma teritorijā (videonovērošanas kameras) personiskajām vai mājsaimniecības vajadzībām, gan arī uz datu apstrādi, ko veic fiziskās personas, izmantojot automatizētas videonovērošanas ierīces personiskajām vai mājsaimniecības vajadzībām.
Ja persona izvieto videonovērošanas kameras savā nekustamā īpašuma teritorijā un veic videonovērošanu tikai savas teritorijas ietvaros, šīm darbībām nav piemērojami Regulas noteikumi. Gadījumos, kad kaimiņa veiktā personas datu apstrāde neietilps Regulas tvērumā, bet persona uzskata, ka ir aizskartas viņas tiesības uz privātumu, ikviena persona saskaņā ar Latvijas Republikas tiesību aktiem var vērsties tiesā ar prasību par kaitējuma atlīdzināšanu, protams, attiecīgi pamatojot un pierādot savus prasījumus.
Gadījumā, ja, veicot videonovērošanu privātīpašuma teritorijā, videonovērošanas kamera filmē arī daļu no publiskās telpas (ceļš) vai citām personām piederošo īpašumu, pa kuru pārvietojas arī personas, kuras nav tieši saistītas ar pašu privātīpašumu, videonovērošanas veicējam Regulas prasības ir obligātas.
Vispārēji atbilstība Regulas prasībām nodrošināma, ievērojot Regulas 5.pantā noteiktos principus, tai skaitā nodrošinot datu apstrādi ar atbilstošu tiesisko pamatu, panākot datu subjektu (personu, kuras tiek filmētas) tiesību ievērošanu (piemēram, izvietojot videonovērošanas zīmes ar nepieciešamo informāciju atbilstoši Regulas 13.pantam (Fizisko personu datu apstrādes likuma 36.panta trešā daļa)).
Lai pārziņa veiktā datu apstrāde būtu atbilstoša Regulas, pārzinim ir nepieciešams piemērot vismaz vienu no Regulas 6.panta 1.punktā noteiktajiem tiesiskajiem pamatiem. Privātpersonu veiktās videonovērošanas gadījumā par tiesisko pamatu var būt personas leģitīmo interešu ievērošana, un proti, tiesiska interese aizsargāt savu īpašumu, novērst iespējamo prettiesisku rīcību (mantas bojāšana, zādzība u.tml.).
Gadījumā, ja kaimiņa veiktā personas datu apstrāde ietilpst Regulas tvērumā, ikvienai personai, ja tā konstatē, ka tiek veikta prettiesiska viņas personas datu apstrāde, ir tiesības vērsties pie pārziņa (personas, kas veic videonovērošanu), lai saņemtu informāciju atbilstoši Regulas 15.pantā noteiktajam, kā arī ar lūgumu ievērot tās tiesības uz privātumu. Ja atbilde netiek saņemta vai personas tiesību aizskārums turpinās, tā var vērsties Inspekcijā ar oficiālu sūdzību, attiecīgi pievienojot pierādījumus (piemēram, fotoattēlus, ka tiek filmēta arī publiskā teritorija).
Par personas datu apstrādi sociālās tīklošanas vietnēs, publicējot fotoattēlu
Regulas 4.panta 2.punkts nosaka, ka apstrāde ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana. Līdz ar to fotogrāfijas publicēšana sociālajā tīklošanas vietnē varētu tikt uzskatīta par personas datu apstrādi Regulas tvērumā.
Regula neattiecas uz tādu personas datu apstrādi, ko veic fiziskā persona tikai personiska vai mājsaimnieciska pasākuma gaitā. Savukārt Regulas 18.apsvērums paskaidro, ka tāda apstrāde nav saistīta ar profesionālu vai komerciālu darbību, kā arī norāda uz to, ka personiski vai mājsaimnieciski pasākumi varētu ietvert korespondenci un adrešu sarakstu turēšanu vai sociālo tīklošanos un tiešsaistes darbības, ko veic saistībā ar šādiem pasākumiem. Tātad, ja kāds personīgos nolūkos veic datu apstrādi, tai skaitā, publicēšanu, tiešsaistes sociālā tīkla tīmekļa vietnē un tas nav saistīts ar profesionālu vai komerciālu darbību, tas atbrīvo personu no pienākuma ievērot Regulas nosacījumus. Tomēr katrā individuālā gadījumā ir nepieciešams izvērtēt, vai informācija par fizisko personu, kuru padara par publiski pieejamu kāda cita fiziskā persona, ir saistīta ar šīs personas (kura informāciju ir publicējusi) privāto vai ģimenes dzīvi. Publicējot fotoattēlus tīmekļa vietnēs un sociālajos tīklos, būtu ņemams vērā, vai šī informācija ir pieejama tikai attiecīgā lietotāja draugu lokam, vai arī tā ir publiski pieejama visiem sociālo tīklu lietotājiem. Būtu ņemama vērā konkrētas personas saikne ar to personu, kuras fotoattēls ir publicēts. Ja šīs personas nav savstarpēji saistītas (radniecība, draugu loks, hobiji, darbs u.tml.) datu apstrāde nevar tikt uzskatīta par tādu, kas veikta personiska vai mājsaimnieciska pasākuma gaitā. Personai būtu atbildīgi jāizvērtē nepieciešamība un tiesiskais pamatojums citu cilvēku attēlu publicēšanai sociālajos tīklos. Inspekcija vērš uzmanību Regulas III nodaļā noteiktajām datu subjekta tiesībām (un attiecīgi pārziņa pienākumiem) vērsties pie sociālās tīklošanas vietnes administratora un/vai sociālās tīklošanas vietnes un pieprasīt, lai saites, kur redzami personas dati, tiktu dzēstas.Inspekcija atgādina, ka lūgumu dzēst informāciju sociālās tīklošanas vietnes administratoram var lūgt pati persona vai arī personas likumiskais pārstāvis.
Attiecībā uz iespējamo goda un cieņas aizskaršanu jebkurai personai ir tiesības saskaņā ar Civillikuma 2352.1 panta pirmo daļu prasīt tiesas ceļā atsaukt ziņas, kas aizskar personas godu un cieņu, ja šādu ziņu izplatītājs nepierāda, ka tās atbilst patiesībai. Saskaņā ar Civillikuma 1635.pantu jebkurai personai ir tiesības vērsties tiesā, lūdzot atlīdzināt tai nodarīto kaitējumu. Kā arī jebkurai personai ir tiesības iesniegt tiesā prasības pieteikumu par goda un cieņas aizskaršanu un prasīt pārtraukt izplatīt un atsaukt informāciju saskaņā ar Civillikuma 2352.1 pantu, informējot tiesu par iespējamo nodarītā kaitējuma veicēju.
Ja personas bažas ir saistītas ar apmelojošas informācijas par personu izplatīšanu, nevis nelikumīgu datu apstrādi, tad šajos gadījumos būtu nepieciešams vērtēt nepieciešamību vērsties Valsts policijā (Krimināllikuma 157.panta (neslavas celšana) pārkāpums).
Piemēram, Nīderlandes tiesa 2020.gada 13.maijā, pēc bērnu mātes iesnieguma tiesā par personu tiesību aizskārumu attiecībā uz privāto dzīvi, lēma, ka vecmāmiņai ir jādzēš ievietoto mazbērnu fotogrāfijas no saviem sociālās tīklošanas vietnēm Facebook un Printerest, kas ievietotas bez bērnu vecāku atļaujas un nav ņēmusi vērā vecāku lūgumu šos fotoattēlus dzēst. Par uzliktā pienākuma neizpildi – izdzēst bērnu fotoattēlus no sociālajām tīklošanas vietnēm tiesa lēmusi sodu – 50,00 euro apmērā par katru dienu, kad fotoattēli nav dzēsti (līdz 1000,00 euro ) [1].
Aktualitātes Eiropas Savienības Tiesas (EST) judikatūrā
Meklētājprogrammas pakalpojuma sniedzēja pienākums nodrošināt atsauču atsaistīšanu visās ES dalībvalstīm paredzētajās viņa meklētājprogrammu versijās
EST 2019. gada 24. septembra spriedums C-507/17 Google (Portée territoriale du déréférencement).
“Francijas Valsts informātikas un brīvību komisija (turpmāk – CNIL) ar 2016. gada 10. marta lēmumu uzlika 100 000 eiro sodu Google par to, ka Google, apmierinot fiziskas personas lūgumu no rezultātu saraksta, kas parādās, veicot meklēšanu pēc šīs personas vārda, izņemt saites uz tīmekļa lapām, šo izņemšanu nav attiecinājusi uz visiem šīs sabiedrības meklētājprogrammas domēna nosaukuma paplašinājumiem.
Tāpat CNIL pieprasīja Google papildus veikt tā saukto ģeobloķēšanu, proti, izskaust iespēju no IP adreses, par kuru tiek pieņemts, ka tā atrodas datu subjekta dzīvesvietas dalībvalstī, piekļūt strīdīgajiem rezultātiem, veicot meklēšanu pēc šā subjekta vārda, neatkarīgi no tā, kādu meklētājprogrammas versiju izmanto interneta lietotājs.
Google attiecīgās saites izņēma tikai no rezultātiem, kas parādās, veicot meklēšanu no tiem šīs sabiedrības meklētājprogrammas domēna nosaukuma paplašinājumiem, kas atbilst dalībvalstīm paredzētajām šīs meklētājprogrammas versijām. Vienlaikus Google ar prasības pieteikumu vērsusies Francijas Valsts padomē (Conseil d’État), lūdzot atcelt lēmumu par tai piemēroto naudassodu.
EST, vērtējot lietas apstākļus, konstatēja, ka, lai arī lūguma sniegt prejudiciālu nolēmumu iesniegšanas brīdī bija piemērojama Direktīva 95/46/EK, no 2018. gada 25. maija tā ir atcelta un kopš tā laika piemērojama Vispārīgā datu aizsardzības regula, tādēļ, lai gādātu, ka tās sniegtās atbildes iesniedzējtiesai būs noderīgas, EST izskatīja šo lietu gan minētās direktīvas, gan Vispārīgās datu aizsardzības regulas kontekstā.
Spriedumā EST norādīja, ka globalizētā pasaulē interneta lietotāju piekļuve rezultātu sarakstam, kurā ir saite uz informāciju par kādu personu, kuras interešu centrs atrodas ES, var iespējami radīt šai personai tūlītējas un būtiskas sekas visā ES.
Līdz ar to ES likumdevēja kompetencē ir noteikt meklētājprogrammas pakalpojumu sniedzējam pienākumu, apmierinot šādas personas izteiktu lūgumu atsaistīt atsauces, veikt šo atsauču atsaistīšanu visās viņa meklētājprogrammas versijās.
Savukārt, vērtējot ģeogrāfisko tvērumu, kādā meklētājprogrammu pakalpojuma sniedzējiem jāveic atsauču atsaistīšana, EST secināja, ka šobrīd no ES tiesībām meklētājprogrammu pakalpojuma sniedzējam, kurš izpilda datu subjekta lūgumu par atsauču atsaistīšanu, neizriet pienākums veikt šo atsauču atsaistīšanu visās viņa meklētājprogrammas versijās.
Tādējādi, ņemot vērā minēto, EST secināja, ka Direktīvas 95/46/EK 12. panta b) punkts un 14. panta pirmās daļas a) apakšpunkts, kā arī Vispārīgā datu aizsardzības regulas 17. panta 1. punkts jāinterpretē tādējādi, ka gadījumā, ja meklētājprogrammas pakalpojumu sniedzējs saskaņā ar šīm tiesību normām apmierina lūgumu par atsauču atsaistīšanu, tam ir pienākums veikt šo atsaistīšanu visās dalībvalstīm paredzētajās viņa meklētājprogrammas versijās. Tāpat EST atzina, ka vajadzības gadījumā minēto atsaistīšanu ir jāapvieno ar tādiem pasākumiem, kas dalībvalstu interneta lietotājam liedz piekļūt saitēm, uz kurām attiecas atsaistīšanas lūgums.”
Pienācīgā kārtā dota tīmekļvietnes lietotāja piekrišana
EST 2019. gada 1. oktobra spriedums C-673/17 Planet49.
Lai piedalītos loterijā, interneta lietotājam bija jāveic autorizācija un ar ķeksīti jāatzīmē divi izvēles lauki. Pirmajā izvēles lauka paskaidrojošajā tekstā, kura izvēles rūtiņa (turpmāk – pirmā izvēles rūtiņa) nebija atzīmēta ar ķeksīti, bija rakstīts teksts: “Piekrītu saņemt dažu sponsoru un sadarbības partneru informāciju par komercpiedāvājumiem pa pastu vai tālruni, vai e-pastu/SMS. Tos varu izvēlēties šeit pēc saviem ieskatiem, pretējā gadījumā izvēli veiks organizētājs. Šo piekrišanu varu atsaukt jebkurā laikā. Sīkāku informāciju skatīt šeit.”
Savukārt otrajā izvēles lauka paskaidrojošajā tekstā, kura izvēles rūtiņa bija atzīmēta ar ķeksīti (turpmāk – otrā izvēles rūtiņa), bija teikts: “Piekrītu, ka attiecībā uz mani tiek izmantots tīmekļa analīzes dienests Remintrex. Tas nozīmē, ka, man piereģistrējoties dalībai loterijā, loterijas organizētājs [Planet49] ievieto sīkdatnes, kas Planet49 ļauj izvērtēt manus tīklklejošanas un lietošanas paradumus reklāmas partneru tīmekļvietnēs un tādējādi ļauj Remintrex ievietot reklāmu, kas ir balstīta uz lietotāja interesēm. Sīkdatnes jebkurā laikā varu atkal izdzēst. Sīkāku informāciju lasiet šeit.”
Piedalīties reklāmas loterijā bija iespējams tikai tad, ja ar ķeksīti tika atzīmēts vismaz pirmais izvēles lauks. Vācijas Federālā patērētāju tiesību aizsardzības centru apvienība (turpmāk – apvienība), pieprasot pārtraukt minētajos izvēlas laukos norādīto apliecinājumu pieprasīšanu no interneta lietotājiem, vērsās tiesā pret Planet49.
Sākotnēji apvienības prasība tika daļēji apmierināta, savukārt apelācijas kārtībā noraidīta, tādēļ apvienība pārsūdzības kārtībā vērsās iesniedzējtiesā, kura, šaubīdamās gan par to, vai veids, kā Planet49 saņem tīmekļvietnes www.dein-macbook.de lietotāju piekrišanu ar otrās izvēles rūtiņas palīdzību, ir pienācīgs, gan par to, kāds apjoms ir Direktīvas 2002/58 5. panta 3. punktā paredzētajam informēšanas pienākumam, vērsās EST.
Šajā lietā EST atzina, ka ar to vien, ka lietotājs aktivizē pogu dalībai reklāmas
loterijā, nav pietiekami, lai varētu uzskatīt, ka lietotājs ir pienācīgi devis savu piekrišanu sīkdatņu ievietošanai, tas ir, Direktīvas 2002/58 2. panta f) punkts un 5. panta 3. punkts, skatot kopsakarā ar Direktīvas 95/46 2. panta h) punktu, kā arī ar Vispārīgās datu aizsardzības regulas 4. panta 11. punktu un 6. panta 1. punkta a) apakšpunktu, jāinterpretē tādējādi, ka šajās tiesību normās minētā piekrišana nav pienācīgi dota, ja atļauja informācijas saglabāšanai tīmekļvietnes lietotāja galiekārtā vai piekļuvei tur jau uzglabātai informācijai ar sīkdatņu palīdzību tiek dota, izmantojot iepriekš ar ķeksīti atzīmētu izvēles rūtiņu, no kuras šim lietotājam, ja viņš nevēlas dot savu piekrišanu, ķeksītis ir jāizņem.
Vienlaikus EST norādīja, ka elektronisko komunikāciju tīklu lietotāju galiekārtā uzglabātā informācija ir to lietotāju privātās jomas daļa, ko aizsargā Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijas (ECPAK). Ņemot vērā minēto, EST atzina, ka šī aizsardzība attiecas uz visu šajā galiekārtā uzglabāto informāciju neatkarīgi no tā, vai šī
informācija ir vai nav personas dati, un tās mērķis ir aizsargāt lietotājus pret draudiem, ka, viņiem nezinot, viņu galiekārtā varētu iekļūt slēptie identifikatori vai citi tamlīdzīgi rīki.
Tādējādi, pamatojoties uz minēto, EST uzsvēra, ka Direktīvas 2002/58 2. panta f) punkts un 5. panta 3. punkts, skatot tos kopsakarā ar Direktīvas 95/46 2. panta h) punktu, kā arī Vispārīgās datu aizsardzības regulas 4. panta 11. punktu un 6. panta 1. punkta a) apakšpunktu, nav jāinterpretē atšķirīgi atkarībā no tā, vai tīmekļvietnes lietotāja galiekārtā saglabātā vai no tās izgūtā informācija ir vai nav personas dati Direktīvas 95/46 un Vispārīgās datu aizsardzības regulas 2016/679 izpratnē.
Tāpat Direktīvas 2002/58 5. panta 3. punkts jāinterpretē tādējādi, ka informācijai, kura pakalpojumu sniedzējam jāsniedz tīmekļvietnes lietotājam, jāietver ziņas par sīkdatņu darbības ilgumu, kā arī par to, vai trešajām personām ir vai nav iespējams piekļūt šīm sīkdatnēm.”
Personas datu apstrādes nereģistrācija no 25.05.2018.
Informējam, ka ievērojot Regulas 89.apsvērumā noteikto, personas datu apstrādes reģistrācijas pienākums pēc Regulas tiešas piemērošanas uzsākšanas vairs nepastāv.
Vienlaikus informējam, ka neskatoties uz to, ka sākot ar 2018.gada 25.maiju personas datu apstrādes reģistrācija nav jāveic, pārziņiem jebkurā gadījumā Regulas prasības ir obligātas. Proti, Regulas 5.panta otrajā daļā ir iestrādāts pārskatatbildības princips. Šis princips nosaka, ka pārzinim ir pienākums nodrošināt tādu personas datu apstrādes procesu, kas ļauj pierādīt, ka veiktā personas datu apstrāde ir atbilstoša datu aizsardzības normatīvā regulējuma prasībām. Fizisko personu datu apstrādes likuma 36.pantā ir noteikts, ka Regula neattiecas gan uz personas datu apstrādi, ko fiziskās personas veic, izmantojot automatizētas datu ieraksta ierīces ceļu satiksmē (videoreģistratori) personiskajām vai mājsaimniecības vajadzībām, gan arī uz datu apstrādi, ko veic fiziskās personas, izmantojot automatizētas videonovērošanas ierīces personiskajām vai mājsaimniecības vajadzībām.
Līdz ar to, ja Jūs izmantojat videoreģistratoru ceļu satiksmē izmantotajā transportlīdzeklī, lai veiktu ceļu satiksmes novērošanu personiskajām un mājsaimniecības vajadzībām uz Jūsu veikto personas datu apstrādi (videonovērošanu) Regulas prasības neattiecas. Vienlaicīgi vēršam uzmanību, ka publicēt videoierakstus interneta vietnēs, kā arī nodot tos trešajām personām bez atbilstošā tiesiskā pamata, ir aizliegts.
2020/04/23
Aptuveni divus gadus atpakaļ, Valsts ieņēmumu dienests izstrādāja nodokļu maksātāju novērtēšanas rīku – nodokļu maksātāju reitingu, kurā sevi var atrast vairāk nekā 140 tūkstoši uzņēmumu. Minētais reitings ļauj ieraudzīt savu biznesu no vairākiem skatpunktiem vienlaikus.
SIA “Datu aizsardzības speciālists” var lepoties ar atbildīgu attieksmi pret valsti, grāmatvedības uzskaiti un nodokļu nomaksu, jo minētajā reitingā esam iekļauti to 3 % uzņēmumu starpā, kuru novērtējums no Valsts ieņēmumu dienesta puses veido vairāk, kā 90 %. Mūsu pašreizējais rezultāts ir 94 %, tā ka pavisam nedaudz vēl ir, kur augt!
2020/04/09
Kā izvēlēties datu aizsardzības speciālistu ?
Kā izvēlēties datu aizsardzības speciālistu ?
Vispārīgās datu aizsardzības regulas 37.pants nosaka, ka datu aizsardzības speciālistu ieceļ, pamatojoties uz viņa profesionālo kvalifikāciju, jo īpaši speciālām zināšanām datu aizsardzības tiesību un prakses jomā un spēju pildīt 39. pantā minētos uzdevumus.
Tātad, izvēloties savam uzņēmumam datu aizsardzības speciālistu, iesakām ņemt vērā šādus kritērijus:
-
Speciālistam jāspēj pierādīt, ka tas Datu valsts inspekcijā ir nokārtojis kvalifikācijas eksāmenu;
-
Speciālistam noteikti ir jābūt iekļautam Datu valsts inspekcijas mājaslapā publicētajā kvalificēto personas datu aizsardzības speciālistu sarakstā - https://www.dvi.gov.lv/lv/wp-content/uploads/Personas-datu-aizsardz%C4%ABbas-speci%C4%81listu-saraksts5.pdf;
-
Ņemot vērā, ka datu aizsardzības speciālistam ikdienā bieži vien nākas meklēt tiesisko pamatojumu datu apstrādei, būtu ieteicams, lai šim speciālistam būtu juridiskā izglītība;
-
Speciālistam būtu jābūt ne tikai augstākajai juridiskajai izglītībai, bet arī pierādījumiem par to, ka viņš ir regulāri apmeklējis dažādus kvalifikācijas paaugstināšanas un uzturēšanas kursus personas datu aizsardzībā;
-
Datu aizsardzības speciālistam būtu jābūt ne tikai teorētiskām zināšanām, bet arī vairāku gadu praktiskai pieredzei datu aizsardzībā tajā nozarē, kurā darbojas uzņēmums, kas meklē datu aizsardzības speciālistu;
-
Datu aizsardzības speciālistam būtu jāspēj publiski uzstāties, konsultējot, apmācot un vadot seminārus uzņēmumu darbiniekiem;
-
Datu aizsardzības speciālistam būtu jāspēj atbildēt par savu darbību un viedokli (nepieciešamības gadījumā šo viedokli, un klientu, pārstāvot gan Datu valsts inspekcijā, gan tiesā;
-
Ārpakalpojumu datu aizsardzības speciālistam būtu jāpieprasa atsauksmes no viņa klientiem;
-
Ārpakalpojumu datu aizsardzības speciālistam būtu jābūt savam birojam, nevis pakalpojumi jāsniedz no mājas, dzīvokļa, vai kafejnīcas;
2020/04/06
Par Jelgavas pilsētas pašvaldības veikto datu apstrādi.
Jelgavas pilsētas pašvaldība ir veikusi pasākumus, kas vērsti pašvaldības iedzīvotāju sabiedriskās domas veidošanai par valsts administratīvi teritoriālo reformu. Minētā pašvaldība informēšanas pasākumu ietvaros veikusi personas datu apstrādi, lai nodrošinātu informācijas sniegšanu tieši konkrētās pašvaldības iedzīvotājiem, tai skaitā izmantojot pašvaldības kapitālsabiedrības (SIA „Jelgavas nekustamā īpašuma pārvalde”) vajadzību nodrošināšanai iegūtus personas datus.
Saskaņā ar Regulas 6.panta nosacījumiem, personas datu apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no šajā pantā minētajiem pamatojumiem – piekrišana, līguma izpilde, juridisks pienākums, sabiedrības intereses, vitālo interešu aizsardzība un leģitīmo interešu ievērošana. Papildus tiesiskā pamata nodrošināšanai, pārzinim ir jāievēro arī citi Regulā noteiktie nosacījumi, piemēram, Regulas 5.panta 1.punkta “a” apakšpunkts nosaka, ka dati tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā. Savukārt “b” apakšpunktā noteikts, ka dati tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā [..] (“nolūka ierobežojumi”).
Nolūka ierobežojuma princips skaidrots Eiropas datu aizsardzības likuma rokasgrāmatas 2018.gada izdevuma 122.lpp.: “Nolūka ierobežojuma princips ir viens no Eiropas datu aizsardzības likuma pamatprincipiem. Tā piemērošana ir cieši saistīta ar caurspīdīgumu, pārredzamību un lietotāja kontroli. Ja apstrādes nolūks ir pietiekami specifisks un skaidrs, indivīdi zin, ko gaidīt no datu apstrādes, tiek uzlabota pārredzamība un juridiskā noteiktība. Šis princips paredz, ka jebkura personas datu apstrāde jāveic noteikta, precīzi definēta mērķa sasniegšanai un tikai tādu papildu mērķu sasniegšanai, kas ir saderīgi ar sākotnējo mērķi.
Personas datu apstrāde nenoteiktam un / vai neierobežotam nolūku skaitam ir nelikumīga. Personas datu apstrāde bez noteikta mērķa, pamatojoties tikai uz apsvērumu, kas nākotnē varētu būt noderīgs, arī nav likumīga. Katram jaunam datu apstrādes mērķim, kas nav savietojams ar sākotnējo jābūt savam īpašajam juridiskajam pamatam, un tā nevar paļauties uz faktu, ka dati sākotnēji tika iegūti vai apstrādāti citam likumīgam mērķim. Savukārt likumīgi apstrāde ir ierobežota ar sākotnēji noteikto mērķi un jebkuram jaunam apstrādes mērķim būs nepieciešams atsevišķs jauns juridiskais pamats". Publiskās pārvaldes institūciju (tai skaitā pašvaldību) darbībai ir jābalstās uz normatīvajos aktos paredzētajām funkcijām. Līdz ar to publiskās pārvaldes institūcijas veiktās personas datu apstrādes pamatojums ir rodams Regulas 6.panta 1.punkta “c” (apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu) un “e” (apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras) apakšpunktā noteiktajos tiesiskajos pamatos. Savukārt Regulas 6.panta 3.punktā noteikts, ka Regulas 6.panta 1.punkta “c” un “e” apakšpunktā minētie tiesiskie pamati ir nosakāmi ar Eiropas Savienības vai dalībvalsts tiesību aktiem.
Līdz ar to, pastāvot kādam no minētajos pantos minētajiem pamatiem un ievērojot paredzētus principus, personas datu apstrāde var tikt atzīta par tiesisku, savukārt, ja minētie nosacījumi netiek ievēroti, personas datu apstrāde nav atbilstoša Regulai.
Datu valsts inspekcija vērš uzmanību, ka, piemēram, ja komunālā pakalpojuma rēķinu nosūtīšanai tiek apkopotas iedzīvotāju elektroniskā pasta adreses, tad pamudinājuma piedalīties tautas balsošanā, kas vērsts pret kādu likumdošanas iniciatīvu izplatīšana, izmantojot šādu datu bāzi neatbilst Regulai, jo tiek veikta personas datu apstrāde jauna personas datu apstrādes nolūka, par kuru iedzīvotāji nav iepriekš brīdināti sasniegšanai.
Datu valsts inspekcija norāda, ka, ja iedzīvotāju adreses tiek iegūtas ar nolūku nodrošināt pašvaldības kapitālsabiedrībai deleģētā pakalpojuma sniegšanu, tai skaitā, piemēram, rēķina sagatavošanu par pašvaldības kapitālsabiedrības sniegtajiem pakalpojumiem, tad iegūtā informācija izmantojama tikai konkrētajā nolūkā.
2020/04/02
Vai valsts un pašvaldības iestāžu vadītāji ir gatavi maksāt sodus par datu aizsardzības pārkāpumiem?
Kopš 2018. gada 25.maija visā Eiropas Savienībā ir tieši piemērojama Vispārīgā datu aizsardzības regula (turpmāk – Regula). Regulas 37. pants paredz pienākumu pastāvīgi iecelt datu aizsardzības speciālistu katrā gadījumā, kad datu apstrādi veic publiska iestāde vai struktūra. Tātad datu aizsardzības speciālistu noteikti vajag visām valsts un pašvaldību iestādēm, kā arī valsts vai pašvaldību kapitālsabiedrībām. Faktiski Regula paplašina datu aizsardzības speciālista funkcijas un nozīmi nosakot, ka pēc būtības datu aizsardzības speciālists ir iekšējais uzraugs iestādē vai organizācijā. Viņš informē un konsultē uzņēmumu par datu aizsardzības prasībām, uzrauga Regulas prasību ievērošanu, sniedz padomus, sadarbojas ar uzraudzības iestādi un ir kontaktpersona jautājumos, kas saistīti ar apstrādi, it īpaši datu subjektam īstenojot savas tiesības.
Regula nosaka, ka datu aizsardzības speciālistu ieceļ, pamatojoties uz viņa profesionālo kvalifikāciju, jo īpaši speciālām zināšanām datu aizsardzības tiesību un prakses jomā. Tātad datu aizsardzības speciālistam būtu jābūt ne tikai atbilstošai izglītībai, bet arī pierādāmai pieredzei šādu pakalpojumu nodrošināšanā.
Praksē līdzekļu ekonomēšanas nolūkos daudzas valsts vai pašvaldību iestādes vai nu vispār nav iecēlušas datu aizsardzības speciālistus, vai arī šo pienākumu ir deleģējušas saviem juristiem vai IT speciālistiem. Datu aizsardzības speciālista statuss daļēji ir līdzīgs iekšējā auditora statusam, un, proti, tas ir organizācijas nodarbinātais un strādā organizācijas interesēs, tomēr viņam jābūt pietiekami neatkarīgam un neitrālam, lai norādītu uz neatbilstībām un pārkāpumiem organizācijas darbībā. Tātad datu aizsardzības speciālista funkcijas nevar pildīt iekšējais jurists, kurš ir sagatavojis datu aizsardzības politiku vai IT speciālists, kurš rūpējas par IT sistēmām, kas saistītas ar datu aizsardzību. Respektīvi nav pieļaujams, ka persona pati auditētu sevis veiktos ar datu aizsardzību saistīto pienākumu izpildes rezultātus. Tas nozīmē, ka gadījumos, kad iestādē par datu aizsardzības speciālistu ir iecelts štata jurists vai IT speciālists, pārbaudes gadījumā, visticamāk, Datu valsts inspekcija uzskatīs, ka datu aizsardzības speciālists nemaz nav iecelts.
Tieslietu ministrija aktīvi virza grozījumus Fizisko personu datu apstrādes likumā un savā mājaslapā ir publicējusi paziņojumu par līdzdalības iespējām likumprojekta "Grozījumi Fizisko personu datu apstrādes likumā" izstrādes procesā. Minētā likumprojekta 38.pantā ir norādīts, ka par jebkurām nelikumīgām darbībām ar personas datiem valsts amatpersonai vai valsts institūcijas darbiniekam piemēro brīdinājumu vai naudas sodu līdz divsimt naudas soda vienībām – līdz 1000 EUR (1 soda vienība=5 EUR). Tādas pašas sekas ir arī par pārziņa pienākumu nepildīšanu, tai skaitā neatbilstošu (nepietiekamu) datu aizsardzības tehnisko un organizatorisko prasību ieviešanu, datu aizsardzības speciālista nenorīkošanu.
Administratīvās atbildības likuma (turpmāk – AAL) 8. panta pirmajā daļā ir noteikts, ka par pārkāpumiem, kurus izdarījusi publisko tiesību juridiskā persona, pie administratīvās atbildības sauc publisko tiesību juridiskās personas amatpersonu, ja tā nav pildījusi vai ir nepienācīgi pildījusi kādu uz amatpersonu attiecināmu pienākumu, par kura nepildīšanu vai nepienācīgu pildīšanu likumā vai pašvaldību saistošajos noteikumos ir paredzēta administratīvā atbildība. Attiecīgi AAL 263. panta septītajā daļā noteikts, ka publisko tiesību juridisko personu amatpersona tai piemēroto naudas sodu maksā no saviem līdzekļiem. Šāda regulējuma esamība ļauj sasniegt soda mērķi - aizsargāt sabiedrisko kārtību, atjaunot taisnīgumu, sodīt par izdarīto pārkāpumu, kā arī atturēt administratīvo pārkāpumu izdarījušo personu un citas personas no turpmākas administratīvo pārkāpumu izdarīšanas.
Tātad, ja minētie grozījumi stāsies spēkā, šādā gadījumā, sākot no 2020. gada 1.jūlija valsts vai pašvaldības iestāžu un institūciju amatpersonas par pārkāpumiem, kas saistīti ar personas datiem, nepietiekamu datu aizsardzības tehnisko un organizatorisko prasību ieviešanu vai par datu aizsardzības speciālista nenorīkošanu, varēs saukt pie administratīvās atbildības un piemērot naudas sodu 1000 euro apmērā. Saskaņā ar minētā likumprojekta anotāciju naudas sodus gada laikā plānots piemērot vismaz 461 213 euro apmērā.
Neskatoties uz to, ka valstī ir izsludināts ārkārtas stāvoklis, tomēr datu Vispārīgā datu aizsardzības regula nav atcelta, līdz ar to, valsts un pašvaldību budžeta finansētajām iestādēm ir atlikuši mazāk kā 4 mēneši, lai sakārtotu šo jautājumu un ieceltu kvalificētu datu aizsardzības speciālistu.
2019/11/28
Digitālajā laikmetā kontrole pār saviem un mūsu bērnu datiem ir kļuvusi tikpat nepieciešama, kā rūpes par savu un mūsu bērnu drošību. Lai arī datu aizsardzībai vajadzētu ieņemt būtisku lomu mūsu dzīvēs, pārspīlēta personas datu aizsardzības pasākumu veikšana var novest pie citu demokrātisku vērtību apdraudējuma, tādējādi visu sabiedrības locekļu mijiedarbībai būtu jābalstās uz cieņpilnām attiecībām vienam pret otru, t.sk. respektējot citu privātumu.
Ņemot vērā to, ka ne visām pašvaldībām ir iespējams veltīt pietiekami resursus skolu un bērnudārzu audzēkņu personas datu apstrādes problēmjautājumu apzināšanai un skaidrojumiem, Latvijas Sertificēto personas datu aizsardzības speciālistu asociācija ir sagatavojusi informatīvo materiālu “Bērnu dati skolās un bērnudārzos jeb 20 aktuāli jautājumi par datu apstrādi izglītības iestādēs”.
Ar šo materiālu Latvijas Sertificēto personas datu aizsardzības speciālistu asociācija vēlas vērsties pie izglītības iestāžu vadītājiem, skolotājiem, audzinātājiem, izglītojamo vecākiem un pašiem izglītojamiem, lai mazinātu ‘spriedzi’ starp datu apstrādē iesaistītiem, novērstu dažādu nepamatotu mītu rašanos un veicinātu cieņpilnu attiecību pastāvēšanu starp visām datu apstrādē iesaistītām pusēm.
Šis materiāls uzskatāms par vispārīgi informatīvu materiālu, kurā iekļauts ir asociācijas biedru vispārējs viedoklis, balstoties uz vispārīgiem situācijas pieņēmumiem, līdz ar to pie citiem apstākļiem ieteicamie rīcības modeļi var mainīties, tādēļ asociācija rekomendē katru individuālo situāciju vērtēt atsevišķi un izvēlēties taisnīgāko rīcības modeli. Materiāla veidošanā atbalstu ir sniegusi arī Latvijas Republikas Datu valsts inspekcija.
Materiāls ir pieejams elektroniskā formātā un lejupielādējams ŠEIT
2019/11/08
Datu valsts inspekcija publicējusi prezentāciju "Aktualitātes personas datu apstrādē un ieteikumus Vispārīgās datu aizsardzības regulas piemērošanā".
Lejupielādēt prezentāciju var ŠEIT
Kāpēc, datu aizsardzības aizsegā sākotnēji tika slēgta būtiska informācija par COVID – 19 ?
Slimību profilakses un kontroles centrs (SPKC) savā mājaslapā publicē statistikas datu atspoguļojumu par Latvijā apstiprināto COVID - 19 saslimšanas gadījumu skaitu.
Sākotnēji datu atspoguļojumā Latvija tik sadalīta 6 daļās (Rīga, Pierīga, Kurzeme, Latgale, Zemgale un Vidzeme). SPKC norādīja, ka sīkāk datus nevar atspoguļot, lai pasargātu konkrētu pacientu no sensitīvo datu izpaušanas.
Datu valsts inspekcija ir norādījusi, ka personas datu apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no Vispārīgās datu aizsardzības regulas 6.panta 1.punktā minētajiem pamatojumiem (Regulā ir noteikti seši vispārīgi tiesiskie pamati: piekrišana, līguma izpilde, juridisks pienākums, sabiedrības intereses, vitālo interešu aizsardzība
un leģitīmo interešu ievērošana). Savukārt īpašu kategoriju (veselības dati) personas datu apstrāde ir atļauta, ja pastāv vismaz viens no Vispārīgās datu aizsardzības regulas 9.panta 2.punktā minētajiem pamatojumiem, piemēram, apstrāde ir vajadzīga sabiedrības interešu dēļ sabiedrības veselības jomā – aizsardzībai pret nopietniem pārrobežu draudiem veselībai.
Līdz ar to personas datu apstrāde būtu jāveic tā, lai tā kalpotu cilvēkam, nevis veicinātu informācijas slēpšanu novadiem vai pilsētām, kuros ir saslimuši pacienti.
Datu valsts inspekcija ir norādījusi, ka datu aizsardzībai nav jābūt šķērslim, kas kavētu efektīvu cīņu ar Covid-19 izplatību, bet gan novērstu nepamatotu un nesamērīgu informāciju izplatīšanu par konkrētām saslimušām personām vai personām, kuras atrodas riska grupā. Ir svarīgi, lai attiecīga informācija tiktu izmantota, lai veiktu konkrētos pasākumus/darbības sabiedrības veselības jomā.
Piemēram, ja SPKC informēja, ka viena persona ar Covid-19 ir saslimusi arī Vidzemē, man, kā Valmieras iedzīvotājam, būtu tiesības zināt, vai šī saslimšana ir notikusi Valmierā (līdz ar to, man jāievēro papildus piesardzības pasākumi), vai arī aptuveni 100 kilometrus tālāk esošajos novados (Alūksne, Gulbene, Madona).
Uzskatu, ka konkrēta novada vai pilsētas, kurā atrodas saslimusī persona,
norādīšana, dod tikai un vienīgi pozitīvu efektu (attiecīgā reģiona iedzīvotāji ievērotu papildus piesardzību), taču man, kā sertificētam datu aizsardzības speciālistam, ar 11 gadu pieredzi šajā nozarē, nav skaidrs, kāpēc datu aizsardzības aizsegā, sākotnēji tika slēpta būtiska informācija par COVID – 19.
No Vispārīgās datu aizsardzības regulas 4.panta izriet, ka “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem.
Un šeit rodas jautājums - kā pēc saslimušās personas atrašanās vietas (piemēram, Daugavpils, kurā ir gandrīz 100 000 iedzīvotāji), var identificēt konkrēto fizisko personu ?
Par laimi, pašreiz minētā problēma ir atrisināta, un SPKC savā mājaslapā publicē arī konkrētus novadus un pilsētas.
Diemžēl šis jautājums atrisinājās tikai pēc sertificēta datu aizsardzības speciālista Laura Klagiša publikācijas portālā www.pietiek.com¹.
________________
2019/11/08
Datu valsts inspekcija ir publicējusi interesantu un noderīgu informatīvu prezentāciju - “Pirmais pusotrs gads Datu regulas gaismā - sodu piemērošana”.
Lejupielādēt prezentāciju var ŠEIT
2019/11/02
Eiropas Savienības tiesa atzīst, ka datu subjektiem nedrīkst uzspiest sīkdatnes
Eiropas Savienības tiesa savā 2019. gada 1. oktobra spriedumā lietā C‑673/17 (Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV Pret Planet49 GmbH) ir paudusi svarīgas atziņas, attiecībā uz sīkdatņu lietošanu.
ES tiesa Spriedumā ir norādījusi, ka datu subjekta piekrišana nav pienācīgi dota tad, ja atļauja informācijas saglabāšanai tīmekļvietnes lietotāja galiekārtā vai piekļuvei tur jau uzglabātai informācijai ar sīkdatņu palīdzību tiek dota, izmantojot iepriekš ar ķeksīti atzīmētu izvēles rūtiņu, no kuras šim lietotājam, ja viņš nevēlas dot savu piekrišanu, ķeksītis ir jāizņem.
Tāpat, Tiesa ir atzinusi, ka informācijā, kura pakalpojumu sniedzējam ir jāsniedz tīmekļvietnes lietotājam, ir jāietver ziņas par sīkdatņu darbības ilgumu, kā arī par to, vai trešajām personām ir vai nav iespējams piekļūt šīm sīkdatnēm.
Rezumējot minēto, ES tiesa ir atzinusi, ka sīkdatņu glabāšanai ir nepieciešama aktīva piekrišana, un mājaslapas lietotājiem ir tiesības saņemt informāciju gan par sīkdatņu glabāšanas ilgumu, gan par to, to, vai trešajām personām ir vai nav iespējams piekļūt šīm sīkdatnēm.
Pilns spriedums pieejams šeit - https://eur-lex.europa.eu/legal-content/LV/TXT/?ur...
2019/10/15
Datu valsts inspekcijas uzraudzības prioritātes
Pamatojoties uz Fizisko personu datu apstrādes likuma 4.panta pirmās daļas 2.punktu, lai nodrošinātu vienveidīgu pieeju uzraudzības aktivitāšu īstenošanā, kā arī veicinātu datu aizsardzības efektivitāti, Datu valsts inspekcija 2019.gadā un turpmāk ir noteikusi uzraudzības prioritāti videonovērošanas jomā – tiks kontrolēta un uzraudzīta juridisku personas veikta videonovērošanas bez informatīvajām zīmēm, kā arī videonovērošanas veikšana neatļautās telpās (ģērbtuves, labierīcības, dušas u.tml.).
2019/08/30
Datu valsts inspekcija piemēro 7000 eiro lielu naudas sodu internetveikalam par personas datu apstrādes pārkāpumiem
2019.gada 26.augustā Datu valsts inspekcijas (DVI) direktore pieņēma lēmumu komersantam, kas sniedz pakalpojumus internetveikalā, piemērot 7000 euro lielu naudas sodu par datu subjekta tiesību neievērošanu un nesadarbošanos ar uzraudzības iestādi – DVI, personu datu aizsardzības jomā. Konkrētajā gadījumā komersants savlaicīgi nesniedza atbildi iedzīvotājam (datu subjektam). Tāpat komersants nesadarbojās ar DVI un savlaicīgi nesniedza iestādei nepieciešamo informāciju, kā arī neizpildīja saskaņā ar Vispārīgās datu aizsardzības regulas (Regula) 58.panta 2.punkta “c” un “g” apakšpunktu un Fizisko personu datu apstrādes likuma 23.pantu DVI izdoto rīkojumu.
Pamatojoties uz iesniegumu (sūdzību) no fiziskas personas (iesniedzējs) par komersanta rīcību - neīstenojot datu subjekta tiesības, ko paredz Regulas 17.pants – tiesības panākt, lai pārzinis (komersants) bez nepamatotas kavēšanās dzēstu iesniedzēja personas datus, DVI veica pārbaudi un konstatēja, ka 2018.gadā iesniedzējs vairākkārt bija vērsies pie komersanta ar pieprasījumu dzēst visus personas datus, t. sk. mobilā tālruņa numuru, kurus komersants bija ieguvis iesniedzēja veiktā pasūtījuma pie komersanta ietvaros. Komersants, pēc iesniedzēja lūgumiem dzēst viņa personas datus, uz iesniedzēja mobilā tālruņa numuru vairākkārt sūtīja komerciālus paziņojumus teksta īsziņu veidā.
Nosakot sodu, DVI direktore ņēma vērā Regulā noteiktos šādus elementus: pārkāpuma būtību, ilgumu un sadarbības pakāpi ar uzraudzības iestādi, ietekmēto datu subjektu skaitu, komersanta apgrozījumu iepriekšējā finanšu gadā un citus (Regulas 83.panta 5.punkta “b” un “e” apakšpunkti).
2019/06/05
SIA "Datu aizsardzības speciālists" valdes loceklis Lauris Klagišs piedalījās ikgadējā datu drošības un aizsardzības seminārā ‘Digitālā ēra”. Kopā ar kolēģiem apskatījām tādas tēmas, kā līdzsvars starp datu aizsardzību un sabiedrības tiesībām zināt, riski datu subjektu tiesībām un brīvībām, datu subjekta identifikācijas problēmjautājumi, mākslīgais intelekts un personas datu aizsardzība, starptautiskā sadarbība, datu nodošana ārpus ES, kā arī tuvākās nākotnes izaicinājumi.
2018/12/07
SIA "Datu aizsardzības speciālists" valdes loceklis Lauris Klagišs piedalījās seminārā personas datu aizsardzības speciālistiem. Kopā ar kolēģiem tika apskatītas tādas tēmas, kā darbinieku personas datu apstrāde, privātuma politika, kā arī datu subjekta tiesības piekļūt saviem personas datiem.
2018/11/22
SIA "Datu aizsardzības speciālists" valdes loceklis Lauris Klagišs piedalījās Latvijas sertificēto personas datu aizsardzības speciālistu asociācijas rīkotajā seminārā, kur tika apspriesta IT datu drošība, kā arī datu aizsardzības juridiskie aspekti.
2018/11/22
SIA "Datu aizsardzības speciālists" valdes loceklis Lauris Klagišs, zināšanu papildināšanas nolūkos, ir apguvis SIA "Lattelecom" organizēto mācību programmu “IKT drošība uzņēmumā".
2018/11/15
2018. gada 13. novembrī ir pieņemti Ministru kabineta noteikumi Nr. 690 “Noteikumi par personas darba vai dienesta gaitu un izglītību apliecinošiem dokumentiem, kuriem ir arhīviska vērtība, un to glabāšanas termiņiem”.
Noteikumi pieejami šeit - www.likumi.lv.
Minētie noteikumi nosaka dažādu, personas datu saturošu dokumentu glabāšanas termiņus, kas pārsvarā ir 75 gadi. Ja dokumentos ir informācija ar vēsturisku, sabiedrisku, kultūras vai zinātnisku nozīmi, tos glabā pastāvīgi. Līdz 2021. gada 31. janvārim ir jāiznīcina tie dokumenti, kuriem nav arhīviskas vērtības un kuru glabāšanas termiņš ir beidzies.
2018/07/27
“Šajā uzziņā Valsts ieņēmumu dienests ir skaidrojis personas datu saglabāšanas nepieciešamību nodokļu kontroles vajadzībām, norādot, ka, atbilstoši Vispārīgās datu aizsardzības regulai, pārzinim nav pienākuma dzēst personas datus pēc datu subjekta lūguma, ciktāl datu apstrāde ir nepieciešama, lai izpildītu likumā “Par grāmatvedību” un likumā “Par nodokļiem un nodevām” minētos juridiskos pienākumus”
2018/05/15
"Mājaslapas un datu aizsardzība: Kas jāzina vietnes apmeklētājiem un īpašniekiem"
Digitālā mārketinga blogā "Zini labāk" sadarbībā ar SIA “Datu aizsardzības speciālists” publicēts raksts “Mājaslapas un datu aizsardzība: Kas jāzina vietnes apmeklētājiem un īpašniekiem?”
2018/04/06
No šā gada aprīļa SIA “Datu aizsardzības speciālists” ir pieejams jaunās, plašākās telpās, pašā Valmieras centrā – Rīgas ielā 13 (virs Luminor bankas, blakus Swedbank), 3 stāvā, ieeja no pagalma puses”
2018/02/07
Valsts un pašvaldības uzņēmumos būs vajadzīgs datu aizsardzības speciālists
2017/09/16
Datu aizsardzības prasības nākamgad var nepatīkami pārsteigt pašvaldību maciņus
Datu aizsardzības speciālists Lauris Klagišs laikrakstā Diena ir publicējis rakstu - Datu aizsardzības prasības nākamgad var nepatīkami pārsteigt pašvaldību maciņus. Raksts apskatāms šeit
2017/09/25
"Klusums pirms vētras Personas datu aizsardzības jomā"
Datu aizsardzības speciālists Lauris Klagišs portālā www.apollo.lv ir publicējis rakstu "Klusums pirms vētras Personas datu aizsardzības jomā"
2017/09/14
Mūsu uzņēmuma valdes loceklis un datu aizsardzības speciālists Lauris Klagišs 2017.gada 13.septembrī piedalījās Datu valsts inspekcijas organizētajā seminārā datu aizsardzības speciālistu kvalifikācijas celšanai.
Semināra ietvaros, 5 stundu garumā, tika aplūkotas aktualitātes personas datu aizsardzībā gan Vispārīgās datu aizsardzības regulas, gan jaunā Datu aizsardzības likuma kontekstā. Tāpat tika analizētas datu aizsardzības speciālista funkcijas un pienākumi. Akcents tika likts uz to, ka datu aizsardzības speciālists noteikti būtu jāiesaista jautājumu pieņemšanās, kas saistīti ar datu apstrādi
2017/08/24
Videonovērošanas reģistrācija
Saskaņā ar Fizisko personu datu aizsardzības likuma 21.pantu, pirms personas datu apstrādes uzsākšanas pārzinis reģistrē personas datu apstrādi Datu valsts inspekcijā vai norīko fizisko personu — datu aizsardzības speciālistu —, ja pārzinis veic videonovērošanu, saglabājot personas datus.
Lai reģistrētu ar videonovērošanu saistītu datu apstrādi, Datu valsts inspekcijai ir jāiesniedz personas datu apstrādes reģistrācijas iesniegums, kā arī jāizstrādā iekšējie aizsardzības noteikumi.
Valsts nodeva par personas datu apstrādes reģistrāciju ir 56,91 EUR vai 28,46 EUR (pārzinis ir fiziska persona vai sīkais uzņēmums (t.i. nodarbina mazāk kā 10 darbiniekus un gada apgrozījums nepārsniedz 2 milj. EUR)).
Saskaņā ar Latvijas Administratīvo pārkāpumu kodeksa 204.9. pantu, par fiziskās personas datu apstrādi bez likumā noteiktās reģistrēšanas vai bez personas datu aizsardzības speciālista reģistrēšanas Datu valsts inspekcijā, juridiskajam personām var uzlikt naudas sodu no 1400 līdz 14000 EUR, konfiscējot pārkāpuma priekšmetus un izdarīšanas rīkus vai bez konfiskācijas.
SIA “Datu aizsardzības speciālists” piedāvā sniegt konsultācijas, saistībā ar videonovērošanas personas datu apstrādes reģistrāciju, kā arī sagatavot nepieciešamos dokumentus personas datu apstrādes reģistrācijai. Dokumentu paketes sagatavošana, kas ietver arī nepieciešamās konsultācijas pa e-pastu vai telefonu, izmaksās 150 EUR.,