Jaunumi
2021/03/16
Datu valsts inspekcijas jaunākie skaidrojumi, saistībā ar datu apstrādi
un Covid 19
Datu valsts inspekcija ir sniegusi skaidrojumu, saistībā ar Darbinieku sarakstu Covid-19 vakcīnas saņemšanai, norādot, ka darba devējs, veidojot darbinieku sarakstu ar nolūku (mērķi) organizēt kolektīvo vakcinēšanos pret Covid-19, var piemērot tikai Regulas 6.panta 1.punkta a) apakšpunktu – katra darbinieka sniegta piekrišana* *personas datu apstrādei. Sīkāks skaidrojums pieejams šeit
Tāpat, Datu valsts inspekcija ir sniegusi skaidrojumu par *atbildīgās personas identificējošas informācijas izvietošana tirdzniecības vietā. Savā skaidrojumā Datu valsts inspekcija norāda, ka atbildīgās personas datu apstrāde – identificējošas informācijas un kontaktinformācijas publicēšana tirdzniecības vietas apmeklētājiem brīvi pieejamā vietā ir atbilstoša Vispārīgās datu aizsardzības regulas 6.panta 1.punkta c) apakšpunktam, kas paredz, ka darba devējam (pārzinim), pamatojoties uz grozījumiem Ministru kabineta noteikumos, ir noteikts juridisks pienākums apstrādāt, tai skaitā darīt publiski pieejamus, atbildīgās personas datus. *Sīkāks skaidrojums pieejams šeit
Datu valsts inspekcija ir sniegusi arī skaidrojumu, saistībā ar apliecinājumu par Covid-19 vakcinācijas statusu. Savā skaidrojumā Datu valsts inspekcija norāda, ka **spēkā esošie noteikumi neparedz obligātu vakcināciju pret Covid-19, līdz ar to darba devējam nav tiesības uzlikt par pienākumu darbiniekiem vakcinēties pret Covid-19 vai apstrādāt iepriekšminēto informāciju par vakcinācijas saņemšanu. Pilns Datu valsts inspekcijas skaidrojums pieejams šeit
2021/03/09
Darbinieku aptaujas par potēšanos
Datu valsts inspekcija ir sniegusi viedokli par darba devēju organizētajām aptaujām, saistībā ar darbinieku vakcināciju. Datu valsts inspekcija nekonstatē, ka darba devēja veiktai personas datu apstrādei, iegūstot darbinieku vārdus un uzvārdus, lai veiktu aptauju par darbinieku attieksmi par gatavību vakcinēties pret Covid-19, pastāv kāds no Regulas 6.panta 1.punktā minētajam tiesiskajam pamatam. Tāpat Datu valsts inspekcijas ieskatā, vārda un uzvārda norādīšana aptaujā nav samērīga ar personas datu apstrādes sasniedzamo nolūku, un līdz ar to nolūku (noskaidrot nodarbināto viedokli par vakcinēšanos pret Covid-19) var sasniegt, neapstrādājot nodarbināto personas datus. Sīkāka informācija pieejama šeit - https://www.dvi.gov.lv/lv/jaunums/dviskaidro-darbi...
2021/03/08
Biometrijas datu apstrāde mazumtirdzniecībā
Uzņēmējiem, īpaši mazumtirdzniecībā ir aktualizējies jautājums par drošības vai mārketinga nolūkos veiktu sejas atpazīšanas tehnoloģijas izmantošanu. Sejas atpazīšanas tehnoloģija izmanto cilvēku biometriskos datus. Ievērojot minēto, Inspekcija sniedz skaidrojumu par sejas atpazīšanas tehnoloģijas izmantošanas tiesiskajiem aspektiem no personas datu aizsardzības aspekta.
Vispārīgā datu aizsardzības regulas (turpmāk-Regula) 4.panta 14.punktā noteiks, ka “biometriskie dati” ir personas dati pēc specifiskas tehniskas apstrādes, kuri attiecas uz fiziskas personas fiziskajām, fizioloģiskajām vai uzvedības pazīmēm, kas ļauj veikt vai apstiprina minētās fiziskās personas unikālu identifikāciju, piemēram, sejas attēli vai daktiloskopijas dati.
Piemēram, lai pielāgotu reklāmas atbilstoši konkrēta apmeklētāja rīcībai, pārzinim jāidentificē apmeklētājs, gan lai novērotu tā paradumus veikalā, gan arī atpazītu apmeklētāju, kad tas veikalā atgriežas. Ja pārzinis (persona, kuras nolūku sasniegšanai veikta personas datu apstrāde) glabā biometriskus datus (visbiežāk tas tiek darīts, izmantojot veidnes, ko izveido, izgūstot būtiskākās iezīmes no biometriskajiem izejas datiem (piemēram, sejas mērījumus no attēla) (šādu veidni sauc par biometrisko matrici)), lai unikāli identificētu personu, tā būs uzskatāma par biometrisko datu apstrādi. Identifikācija konkrētajā gadījumā var nebūt personas vārda, uzvārda un/vai personas koda noteikšana, bet gan personas unikāla nošķiršana no citām personām un iespēja personu atpazīt atkārtotā saskarsmē.
Savukārt, ja informācijas apstrādes nolūks ir vienas personu kategorijas nodalīšana no citas, bet unikāla fiziskas personas identifikācija šajā procesā veikta netiek. Piemēram, gadījumā, ja veikala īpašnieks vēlas pielāgot savas reklāmas, pamatojoties uz videonovērošanas sistēmas nofilmēto personu dzimuma un vecuma pazīmēm un šāda sistēma neizveido biometriskās veidnes personu unikālai identificēšanai, bet tikai fiksē minētās fiziskās pazīmes, lai klasificētu personu, tad to var par biometrisko datu apstrādi neuzskatīt (kamēr vien netiek apstrādāti citi īpašu kategoriju datu veidi).
Biometrisko datu un jo īpaši sejas atpazīšanas tehnoloģijas izmantošana ir saistīta ar paaugstinātiem riskiem datu subjektu tiesībām. Eiropas Datu aizsardzības kolēģijas 2020.gada 29.janvāra pamatnostādnēs 3/2019 “Par personas datu apstrādi, izmantojot videoierīces” (turpmāk - Pamatnostādnes) skaidrots, ka svarīgi šādu tehnoloģiju izmantošanā ievērot Regulas noteiktos likumīguma, nepieciešamības, samērīguma un datu minimizācijas principus. Lai gan šo tehnoloģiju izmantošana var tikt uzskatīta par īpaši efektīvu, pārziņiem vispirms būtu jānovērtē ietekme uz pamattiesībām un pamatbrīvībām un jāapsver mazāk traucējoši veidi, kā sasniegt to likumīgo apstrādes mērķi.
Izvērtējot riskus personas tiesībām un brīvībām, kas saistīti ar biometrisko datu apstrādi, var noteikt vairākus galvenos virzienus, kas apsverami risku identificēšanā:
Pats pārzinis (persona, kuras mērķu sasniegšanai apstrādā biometriskos datus) iegūto biometrisko matrici izmanto tādu mērķu sasniegšanai, par kuriem datu subjekts (iedzīvotājs, kura dati tiek apstrādāti) nav informēts. Šāds risks lielākoties materializēsies, ja biometrisko datu apstrāde nebūs nodalīta no citām pārziņa datu plūsmām.
Veidojot biometrisko matrici, tiek izveidots jauns personas unikāls identifikators, kuram nonākot citu personu rīcībā, tas var tikt izmantots, lai iegūtu informāciju par datu subjektu veidā, kā nebija iespējams paredzēts, matrici veidojot. Attēli un ieraksti ar personu var tikt ievietoti dažādos avotos un dažādos datu nesējos, izmantojot biometrisko matrici, ir iespējams, izmantojot meklēšanas funkcijas, atrast citādi neindeksētu informāciju, kas ir uz konkrēto personu attiecināma.
Pastāv reāli drošības riski personas biometrisko matrici izmantot piekļuves iegūšanai resursiem, kuri tiek aizsargāti ar biometriskās autentifikācijas metodēm – piemēram, mobilajiem telefoniem. Secināms, ka ar biometrisko datu apstrādi saistāmi reāli pastāvoši gan iekšēji (attiecībā uz pārziņa darba organizāciju), gan ārēji (materiāli zaudējumi ļaunprātības rezultātā, kontroles zaudēšana pār personas datu apstrādi un citādi neattiecināmasinformācijas saistīšana ar datu subjektu) riski.
Atbilstoši Regulas 9.panta 1.punktam biometriskie dati ir uzskatāmi par īpašās kategorijas personas datiem un to apstrāde, lai veiktu personas unikālu identifikāciju (atpazītu to starp citām līdzīgām personām) ir aizliegta, ja vien nav piemērojams, kāds no Regulas 9.panta 2,punktā noteiktajiem izņēmumiem. Tas nozīmē, ka gadījumos, kad videonovērošanas sistēmu izmanto, lai apstrādātu biometriskos datus, pārzinim ir jāidentificē, gan izņēmums īpašu kategoriju datu apstrādei saskaņā ar Regulas 9.panta 2.punktu (t. i., izņēmums attiecībā uz vispārējo noteikumu, ka aizliegts apstrādāt īpašu kategoriju datus), gan tiesiskais pamats saskaņā ar Regulas 6. pantu.
Datu valsts inspekcija vērš uzmanību uz līdzšinēji izdarītiem secinājumiem, ka privātpersonas veikta sejas atpazīšanas tehnoloģijas izmantošanu, veicot biometrisko datu apstrādi, mārketinga vai drošības nolūkos var pamatot tikai ar Regulas 6.panta 1.punkta a) apakšpunktā un attiecīgi Regulas 9.panta 2.punkta a) apakšpunktā noteikto tiesisko pamatu – datu subjekta piekrišanu. Pieņemt, ka personas ir piekritušas biometrijas datu apstrādei, jo pie veikala izvietota brīdinājuma zīme nav atbilstoši Regulai.
Gadījumā, ja sejas atpazīšanas tehnoloģija tiek izmantota normatīvajā aktā noteikta deleģējuma izpildei, iespējams apstrādi var pamatot ar Regulas 6.panta 1.punkta e) apakšpunktā un attiecīgi Regulas 9.panta 2.punkta g) apakšpunktā noteikto tiesisko pamatu – apstrāde nepieciešama sabiedrības interesēs.
Risku personas tiesībām un brīvībām novērtējums ir nākamais solis pēc apstrādes nolūka un tā sasniegšanai adekvāta tiesiskā pamata personas biometrisko datu apstrādei, noteikšanas. Pirms biometrisko datu apstrādes uzsākšanas veicams Novērtējums par ietekmi uz datu aizsardzību.
2021/03/01
Par komerciālu paziņojumu sūtīšanu
Datu valsts inspekcija ir sniegusi skaidrojumu par Informācijas sabiedrības pakalpojumu likuma un Vispārīgās datu aizsardzības regulas mijiedarbību.
Komerciālu paziņojumu sūtīšanas kārtību nosaka Informācijas sabiedrības pakalpojumu likuma (turpmāk – ISPL) 9.pants, kurā atrunāta kārtība komerciālu paziņojumu sūtīšanai. Vienlaikus jāņem vērā, ka komerciālu paziņojumu sūtīšana identificētām vai identificējamām personām nav iespējama bez personas datu apstrādes, kas ietilpst Vispārīgā datu aizsardzības regulas (turpmāk - Regula) materiālajā tvērumā.
Saskaņā ar Regulas 173.apsvērumā norādīto Regula jāpiemēro visiem jautājumiem saistībā ar pamattiesību un pamatbrīvību aizsardzību attiecībā uz personas datu apstrādi, kuriem nav piemērojami konkrētie pienākumi ar tādu pašu mērķi, kā noteikts Eiropas Parlamenta un Padomes Direktīva 2002/58/EK (2002.gada 12.jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju) (turpmāk – direktīva 2002/58/EK), tostarp pārziņa pienākumiem un fizisku personu tiesībām. Direktīva 2002/58/EK Latvijā transponēta ar ISPL.
Ievērojot minēto, ISPL ir speciālais normatīvais akts, kas piemērojams attiecībā uz direktīvas 2002/58/EK tvērumā veiktu personas datu apstrādi.
Līdz ar to, vērtējot komerciālu paziņojumu sūtīšanas tiesisko ietvaru, ir nepieciešams vienlaikus ņemt vērā divus normatīvos aktus - ISPL, kas uzskatāms par speciālo tiesību aktu attiecībā *tieši uz komerciālu paziņojumu sūtīšanu,* un Regulu, kuras materiālajā tvērumā ietilpst personas datu apstrāde, apstrādājot personas datus, kas tiek izmantoti komerciālu paziņojumu sūtīšanai atbilstoši ISPL. Papildus iepriekš minētajam norādāms, ka ISPL izmantotajam jēdzienam *lietotāja vai abonenta piekrišana*, ir tāda pati nozīme, kāda tā ir jēdzienam *piekrišana*, atbilstoši Regulai.
Atbilstoši Regulai likumīga būs tikai Regulas 5.pantā noteiktajiem personas datu apstrādes principiem atbilstoša personas datu apstrāde, tai skaitā nodrošinot, ka tiek apstrādāti tikai tādi dati, kuru apstrādei pārzinim (personai, kas uzdod komerciālo paziņojumu sūtīšanu) ir Regulas 6.panta 1.punktam atbilstošs tiesiskais pamats. Ievērojot to, ka personas datu ievākšana vēlāku komerciālu paziņojumu sūtīšanai tiek veikta, ar nolūku īstenot darbību, kuras veikšana noteikta speciālajā tiesību aktā (ISPL), arī vērtējot Regulas tiesiskā pamata piemērošanu, jāņem vērā ISPL noteiktais speciālais regulējums attiecībā uz komerciālu paziņojumu sūtīšanu.
Ņemot vērā minēto, attiecībā uz personas datu apstrādi (iegūšanu, glabāšanu, saziņu u.c.) nolūkā izmantot tos komercpaziņojuma sūtīšanai iespējamas divas savstarpēji nošķiramas situācijas, kurām piemērojami dažādi Regulā noteiktie tiesiskie pamati:
1. *Regulas 6.panta 1.punkta f) apakšpunkta (pārziņa leģitīmo interešu ievērošana) piemērošana **klienta elektroniskā pasta adreses* apstrādei, sūtot paziņojumus, ja tie atbilst ISPL 9.panta otrajā daļā noteiktajām pazīmēm
2. *Regulas 6.panta 1.punkta a) apakšpunkta (piekrišana) piemērošana* visiem pārējiem komerciālo paziņojumu sūtīšanas gadījumiem (tai skaitā īsziņu nosūtīšana).
Saņemot informāciju par iespējamu nelikumīgu komerciālo paziņojumu sūtīšanu, Datu valsts inspekcijai ir tiesības pārbaudīt arī adrešu saraksta, kas izmantots komerciāla paziņojuma sūtīšanai, izveides tiesisko pamatu atbilstoši Regulai.
2021/02/24
Par pašvaldības pienākumu sakārtot datu aizsardzības jautājumus
Datu valsts inspekcija (turpmāk – DVI) 2020.gada 17.janvārī pieņēma lēmumu, ar kuru tā uzlika par pienākumu Ogres novada pašvaldībai (turpmāk – Pašvaldība) iecelt Ogres novada pašvaldībā datu aizsardzības speciālistu, publicēt Ogres novada pašvaldības mājaslapā Ogres novada pašvaldības personu datu aizsardzības speciālista kontaktinformāciju, kā arī nodrošināt pārredzamības principa īstenošanu.
DVI konstatēja, ka Pašvaldības mājaslapā pieejamajā Privātuma politikā sniegta vispārīga informācija par personas datu apstrādi mājas lapā, bet nav citas VDAR prasībām atbilstošās informācijas, piemēram, informācijas par pārzini, pārziņa un datu aizsardzības speciālista kontaktinformācija, personas datu apstrādes tiesiskais pamats un nolūks, datu subjektu tiesību aprakstu utt., tādējādi, nenodrošinot sabiedrību ar brīvi pieejamu un pārredzamu informāciju attiecībā uz personu datu apstrādi.
Minētais lēmums pieejams šeit
2021/02/24
Par personas datu apstrādi un aizsardzību attālinātā mācību procesā
Datu valsts inspekcija (turpmāk – Inspekcija) ir saņēmusi vairākus lūgumus skaidrot attālinātā mācību procesa organizācijas atbilstību Vispārīgai datu aizsardzības regulai (turpmāk - Regula). Lūgumus saņemt skaidrojumus
izteikuši gan vecāki, kuri bažījās par iespējamiem bērnu privātuma aizskārumiem, gan arī izglītības iestādes un pašvaldības, kuras meklē labākos risinājumus, kā, nemazinot apmācību kvalitāti, turpināt organizēt pedagoģisko darbu attālinātas mācīšanās apstākļos.
Inspekcija ir secinājusi, ka, lai arī bažas paustas par viena mērķa sasniegšanai īstenotu personas datu apstrādi, tomēr tās lielākoties attiecināmas uz divām savstarpēji saistītām apstrādes darbībām –
1. attālināta mācību stundas norise;
2. mācību procesa ieraksta veikšana.
Attiecībā uz attālinātas mācību stundas norises organizāciju Inspekcija skaidro, ka piemērojamais tiesiskais pamats personas datu apstrādei tiešsaistes nodarbību organizēšanai, varētu būt Regulas 6.panta 1.punkta e) apakšpunkts (apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras).
Regulas 6.panta 1.punkta e) apakšpunktā noteiktā tiesiskā pamata piemērošana iespējama, ja personas datu apstrāde tiek veikta normatīvajā aktā deleģēta uzdevuma izpildei, un ievērojot veicamā uzdevuma un personu, kuru dati tiks apstrādāti, interešu samērīgumu.
Saskaņā ar Ministru kabineta 2020.gada 9.jūnija noteikumu Nr.360 “Epidemioloģiskās drošības pasākumi Covid-19 infekcijas izplatības ierobežošanai” 27.1.apakšpunktu izglītības iestādes (izņemot koledžas un augstskolas) var noteikt kārtību, kādā izglītības programmu daļēji vai pilnībā var īstenot attālināti.
Inspekcija ņem vērā, ka savstarpējā mijiedarbība skolotājam ar skolniekiem un skolniekiem savstarpēji var būt būtisks elements to izglītības procesā. Klātienē, piedaloties nodarbībā, visi nodarbības dalībnieki gan redz, gan dzird viens otru, tiešsaistes nodarbību norises apstākļu pietuvināšana klātienes nodarbībām var ļaut pedagogiem jaunos apstākļos izmantot esošās iestrādnes darbā ar audzēkņiem.
Līdz ar to Inspekcija skaidro, ka, lai novērstu Covid-19 infekcijas izplatību sabiedrībā, ievērojot iepriekš minētajā normatīvajā aktā noteiktos pamatprincipus, izglītības iestādes var noteikt kārtību tiešsaistes nodarbību organizēšanai tīmekļa vietnē, tai skaitā, identificējot nepieciešamību, lūgt audzēkņiem izmantot videokameras, piedaloties tiešsaistes mācību nodarbībā.
Attiecībā uz mācību procesa ieraksta veikšanu norādām, ka, pēc būtības piemērojami līdzīgi apsvērumi attiecībā uz tiesiskā pamata noteikšanu un tā piemērošanas priekšnoteikumu izpildi. Ieraksta veikšanas gadījumā papildus minētajam ir būtiski vērtēt, kas ierakstu nodrošina, kas tieši ierakstā redzams (atšķirīgi apsvērumi var būt piemērojami ierakstam, kurā skolotājs skaidro mācību vielu, bet citi, ja redzami arī skolnieki un to reakcija uz jauno mācību vielu; tāpat jāņem vērā kādām personām, cik ilgu laiku un kādu nolūku sasniegšanai iegūtais ieraksts būs pieejams). Ņemot vērā iepriekš minētos un citus apsvērumus, kas saistīti ar ieraksta veikšanu un tā pieejamību, izglītības iestāde ir tiesīga izvēlēties veikt mācību procesa ierakstīšanu. Tomēr izglītības iestādei jāspēj pamatot šādas izvēles nepieciešamību kvalitatīva un droša mācību procesa veikšanai. Tāpat šajā gadījumā mācību iestādei iekšēji saistošā dokumentā (kārtībā, rīkojumā u.tml.) būtu jānosaka ieraksta glabāšanas termiņi, piekļuves tiesības ierakstam (kas var tos skatīties), kā arī citas tehniskas (drošības) un organizatoriskas prasības, lai novērstu nepiederošo personu piekļuvi ierakstam, ieraksta pārveidošanu, kopēšanu, izkropļošanu, un cita veida izmantošanu neatbilstoši plānotajam personas datu apstrādes mērķim.
Papildus Inspekcija vērš uzmanību, ka arī skolēniem ir būtiski pievērst uzmanību tam, lai tiešsaistes nodarbību laikā neizpaustu lieku informāciju par sevi, saviem un ģimenes sadzīves apstākļiem u.tml. Tādēļ Inspekcija vērš uzmanību, ka lielākajai daļai attālinātas saziņas platfomu ir izmantojamas funkcionalitātes, kas ļauj miglot, aizstāt vai citādi modificēt fona attēlu, kad tiek veikta dalība attālināto mācību nodarbībā. Piemēram, MS Teams, pievienojot sanāksmei un ieslēdzot kameru, jāizvēlas opcija “Fona filtri” (opcija būs pieejama darbvirsmas programmatūrā). Pēc kā labās puses panelī būs pieejami fona iestatījumi, šeit iespējams aizmiglot fona iestatījumus; izvēlēties attēlu no piedāvātajām izvēlēm; vai iespējams pievienot jaunu fona attēlu no sava datora izmantojot *.jpg vai *.png formāta failus. Šādas funkcionalitātes izmantošana var svešām acīm noslēpt bērna darba vides fonu. Inspekcija aicina, izmantojot funkcionalitāti, neizvēlēties citiem sanāksmes dalībniekiem aizskarošus attēlus.
Papildus norādām, ka izglītības iestādei jāatrod risinājums datu subjektu tiesību nodrošināšanai, tai skaitā par stundu ierakstīšanu informējot bērnu vecākus.
2021/02/23
Datu valsts inspekcija, lai skaidrotu ar videonovērošanu saistītus jautājumus, ir izstrādājusi rekomendācijas “Videokameru uzstādīšana un videonovērošanas veikšana fiziskas personas privātīpašumā”.
Minētās rekomendācijas pieejamas šeit
Rekomendācijas izstrādātas ar mērķi, lai palīdzētu fiziskām personām novērtēt privātīpašumā veiktas videonovērošanas tiesiskos aspektus un sniegtu padomus, kādus paņēmienus izmantot Vispārīgai datu aizsardzības regulai atbilstošas personas datu apstrādes veikšanā.
2021/02/09
Datu valsts inspekcija piemēro 65 000 euro sodu par maksātnespējas datu nelikumīgu apstrādi.
Datu valsts inspekcija 2020.gada nogalē uzlika 65 000 euro sodu SIA“Lursoft IT” par prettiesisku personas datu apstrādi, publiskojot tīmekļa vietnē www.lursoft.lv personas datus saturošus dokumentus. Tāpat Datu valsts inspekcija SIA “Lursoft IT” uzlika pienākumu pārtraukt prettiesisku personas datu apstrādi (publicēšanu).
Datu valsts inspekcija administratīvā pārkāpuma lietas ietvaros vērtēja, vai 2020.gadā SIA “Lursoft IT” veiktā datu apstrāde, publiskojot tīmekļa vietnē www.lursoft.lv personas datus saturošus dokumentus, ir atbilstoša2020.gadā spēkā esošajam regulējumam. Inspekcija konstatēja, ka SIA“Lursoft IT” ir veikusi prettiesisku personas datu apstrādi, publiskojot, personas datus, kuri ir iekļauti Uzņēmumu reģistra reģistrācijas lietas nepubliskajā daļā.
2020.gada 7.janvārī spēkā stājušies grozījumi likuma “Par Latvijas Republikas Uzņēmumu reģistru” paredz, ka reģistrācijas lieta tiek sadalīta divās daļās publiskajā un nepubliskajā. Publiskās daļas dokumenti un līdz ar to arī personas dati ir publiski pieejami un tos var atkal izmantot, komersantam sniedzot pakalpojumus. Savukārt nepubliskās daļas dokumenti ir ierobežotas pieejamības informācija un šādas informācijas atkal izmantošana un publiskā pieejamībā ir aizliegta. Līdz ar to personas datu, kuri ir iekļauti juridiskās personas reģistrācijas lietas nepubliskajā daļā, publicēšanai un vispārīgai pieejamībai nav tiesiskā pamata atbilstoši Vispārīgās datu regulas noteikumiem.
Datu valsts inspekcija vērš uzmanību, ka lietas ietvaros konstatētā prettiesiskā datu apstrāde attiecas uz tiem personas datiem, kas iekļauti reģistra nepubliskajā daļā iekļautajos - dokumentos.
Lai arī SIA “Lursoft IT” informāciju no Uzņēmuma reģistra ieguva līdz normatīvā regulējuma izmaiņu spēkā stāšanās brīža, turpināt personas datu apstrādi, tai skaitā publicēšanu, ja tai zudis tiesiskais pamats (tai skaitā vēsturisko informāciju) nav atbilstoša Vispārīgās datu aizsardzības regulas noteikumiem.
Lietas ietvaros Datu valsts inspekcija konstatēja, ka SIA “Lursoft IT”, neievērojot Maksātnespējas likumā noteikto termiņu, tīmekļa vietneswww.lursoft.lv Maksātnespējas reģistra datu bāzē publicēja informāciju par vēsturiskajiem fiziskās personas maksātnespējas procesiem ilgāk, nekā vienu gadu pēc ieraksta par fiziskās personas maksātnespējas procesa izbeigšanu izdarīšanas dienas, t.i. timekļa vietnē www.lursoft.lv informācija par vēsturiskajiem fiziskās personas maksātnespējas procesiem bija pieejama piecus gadus pēc ieraksta par fiziskās personas maksātnespējas procesa izbeigšanas izdarīšanas dienas.
Datu valsts inspekcija skaidro, lai arī SIA “Lursoft IT” nav Maksātnespējas likuma 132.panta trešās daļas tiešais adresāts (Maksātnespēja reģistra pārzinis ir Uzņēmumu reģistrs), tam ir saistoša šīs tiesību normas būtība un tajā ietvertā likumdevēja interpretācija, vērtējot samērīgumu starp datu subjekta interesēm uz savu personas datu aizsardzību un kontroli pār saviem personas datiem un SIA “Lursoft IT” un to klientu interesi turpināt personas datu apstrādi bez jebkādiem ierobežojumiem.
Administratīvais naudas sods 65 000 euro apmērā piemērots ņemot vērā, aizskarto datu subjektu skaitu, publicēto personas datu apjomu, kompānijas apgrozījuma apmēru, kā arī to, ka SIA “Lursoft IT” pēc Datu valsts inspekcijas saņemtajām norādēm neizbeidza un neierobežoja personas datu publicēšanu uz laiku, kamēr tiek noskaidrots, vai apstrāde ir atbilstoša normatīvajam regulējumam, t.i., par iespējamu Vispārīgajai datu aizsardzības regulai neatbilstošu datu apstrādi, publicējot informāciju SIA“Lursoft IT” tīmekļa vietnē.
2021/02/01
Eiropas datu aizsardzības diena
Atzīmējot 15. Eiropas datu aizsardzības dienu, kas norisinās katru gadu –28.janvārī – Eiropā, ASV un Kanādā, Datu valsts inspekcija organizēja tiešsaistes semināru, lai veicinātu sabiedrības izpratni par iespējām un riskiem attiecībā uz personas datu aizsardzībā un ikvienas personas tiesībām uz privātumu, kā arī popularizētu Eiropas datu aizsardzības dienas atzīmēšanu Latvijā. Seminārs bija interesants un noderīgs, tāpēc iesaku no noskatīties. Seminārs pieejams šeit -
2021/01/15
Personas dzīvesvietas publiskošana
Latvijas Republikas Senāta Civillietu departaments savā 2020.gada 26.novembra spriedumā lietā Nr.SKC-465/2020 ir paudis šādas atziņas: “Publiskojot informāciju par fiziskās personas dzīvesvietu, plašsaziņas līdzekļiem jāievēro normatīvajos aktos noteiktie datu apstrādes pamatprincipi. Izvērtējot dzīvesvietas adreses publiskošanas pamatotību, tiesai jāvērtē, vai konkrētajos apstākļos dzīvesvietas adrese ir sabiedrībai svarīga informācija un vai ir līdzsvarotas personas tiesības uz privātās dzīves neaizskaramību un žurnālistu tiesības uz vārda brīvību”. Pilns sprieduma teksts pieejams šeit
2020/05/25
Aktualitātes datu aizsardzībā
Šodien, 2020.gada 25.maijā, aprit tieši divi gadi kopš Vispārīgās datu aizsardzības regulas tiešas piemērošanas visās Eiropas Savienības dalībvalstīs.
Vispārīgā datu aizsardzības regula ir normatīvais regulējums, kas Latvijā, visās Eiropas Savienības un Eiropas Ekonomikas zonas dalībvalstīs veido vienādu tiesību un pienākumu tiesisko ietvaru personas datu apstrādes jomā.
Lai veicinātu sabiedrības informētību par aktualitātēm personas datu apstrādē un aizsardzībā, Datu valsts inspekcija (turpmāk – Inspekcija) ir apkopojusi informāciju par biežāk uzdotajiem jautājumiem savas kompetences ietvaros.
Aktualitātes par saņemtajām sūdzībām un pārbaudes lietām
2020.gada pirmajos četros mēnešos Inspekcija ir saņēmusi 363 iesniegumus par iespējams nelikumīgu personas datu apstrādi:
-
Par fiziskas personas veikto personas datu apstrādi: 130;
-
Par privāto tiesību juridiskās personas veikto personas datu apstrādi: 186
-
Par publisko tiesību subjekta veikto personas datu apstrādi: 41.
2020.gada pirmajos četros mēnešos uzsāktas 17 jaunas pārbaudes lietas (neieskaitot iepriekšējā periodā uzsāktās pārbaudes, kuras ir izskatīšanas stadijā).
Inspekcija visbiežāk saņem sūdzības videonovērošanas, sociālās tīklošanās un tiešsaistes darbību, komerciālu paziņojumu sūtīšanas, datu subjekta tiesību īstenošanas jomās.
Par kaimiņu veikto personas datu apstrādi, veicot videonovērošanu
Vispārīgā datu aizsardzības regula (turpmāk – Regula) neattiecas uz tādu personas datu apstrādi, ko veic fiziska persona tikai personiska vai mājsaimnieciska pasākuma gaitā (VDAR 2.panta 2.punkta “c” apakšpunkts). Arī Regulas 18.apsvērumā paskaidrots, ka Regulu nepiemēro tādai personas datu apstrādei, kuru veic fiziska persona un tā nav saistīta ar profesionālo vai komerciālo darbību.
Arī Fizisko personu datu apstrādes likuma 36.pantā ir noteikts, ka Regula neattiecas gan uz personas datu apstrādi, ko fiziskās personas veic, izmantojot automatizētas datu ieraksta ierīces privātīpašuma teritorijā (videonovērošanas kameras) personiskajām vai mājsaimniecības vajadzībām, gan arī uz datu apstrādi, ko veic fiziskās personas, izmantojot automatizētas videonovērošanas ierīces personiskajām vai mājsaimniecības vajadzībām.
Ja persona izvieto videonovērošanas kameras savā nekustamā īpašuma teritorijā un veic videonovērošanu tikai savas teritorijas ietvaros, šīm darbībām nav piemērojami Regulas noteikumi. Gadījumos, kad kaimiņa veiktā personas datu apstrāde neietilps Regulas tvērumā, bet persona uzskata, ka ir aizskartas viņas tiesības uz privātumu, ikviena persona saskaņā ar Latvijas Republikas tiesību aktiem var vērsties tiesā ar prasību par kaitējuma atlīdzināšanu, protams, attiecīgi pamatojot un pierādot savus prasījumus.
Gadījumā, ja, veicot videonovērošanu privātīpašuma teritorijā, videonovērošanas kamera filmē arī daļu no publiskās telpas (ceļš) vai citām personām piederošo īpašumu, pa kuru pārvietojas arī personas, kuras nav tieši saistītas ar pašu privātīpašumu, videonovērošanas veicējam Regulas prasības ir obligātas.
Vispārēji atbilstība Regulas prasībām nodrošināma, ievērojot Regulas 5.pantā noteiktos principus, tai skaitā nodrošinot datu apstrādi ar atbilstošu tiesisko pamatu, panākot datu subjektu (personu, kuras tiek filmētas) tiesību ievērošanu (piemēram, izvietojot videonovērošanas zīmes ar nepieciešamo informāciju atbilstoši Regulas 13.pantam (Fizisko personu datu apstrādes likuma 36.panta trešā daļa)).
Lai pārziņa veiktā datu apstrāde būtu atbilstoša Regulas, pārzinim ir nepieciešams piemērot vismaz vienu no Regulas 6.panta 1.punktā noteiktajiem tiesiskajiem pamatiem. Privātpersonu veiktās videonovērošanas gadījumā par tiesisko pamatu var būt personas leģitīmo interešu ievērošana, un proti, tiesiska interese aizsargāt savu īpašumu, novērst iespējamo prettiesisku rīcību (mantas bojāšana, zādzība u.tml.).
Gadījumā, ja kaimiņa veiktā personas datu apstrāde ietilpst Regulas tvērumā, ikvienai personai, ja tā konstatē, ka tiek veikta prettiesiska viņas personas datu apstrāde, ir tiesības vērsties pie pārziņa (personas, kas veic videonovērošanu), lai saņemtu informāciju atbilstoši Regulas 15.pantā noteiktajam, kā arī ar lūgumu ievērot tās tiesības uz privātumu. Ja atbilde netiek saņemta vai personas tiesību aizskārums turpinās, tā var vērsties Inspekcijā ar oficiālu sūdzību, attiecīgi pievienojot pierādījumus (piemēram, fotoattēlus, ka tiek filmēta arī publiskā teritorija).
Par personas datu apstrādi sociālās tīklošanas vietnēs, publicējot fotoattēlu
Regulas 4.panta 2.punkts nosaka, ka apstrāde ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana. Līdz ar to fotogrāfijas publicēšana sociālajā tīklošanas vietnē varētu tikt uzskatīta par personas datu apstrādi Regulas tvērumā.
Regula neattiecas uz tādu personas datu apstrādi, ko veic fiziskā persona tikai personiska vai mājsaimnieciska pasākuma gaitā. Savukārt Regulas 18.apsvērums paskaidro, ka tāda apstrāde nav saistīta ar profesionālu vai komerciālu darbību, kā arī norāda uz to, ka personiski vai mājsaimnieciski pasākumi varētu ietvert korespondenci un adrešu sarakstu turēšanu vai sociālo tīklošanos un tiešsaistes darbības, ko veic saistībā ar šādiem pasākumiem. Tātad, ja kāds personīgos nolūkos veic datu apstrādi, tai skaitā, publicēšanu, tiešsaistes sociālā tīkla tīmekļa vietnē un tas nav saistīts ar profesionālu vai komerciālu darbību, tas atbrīvo personu no pienākuma ievērot Regulas nosacījumus. Tomēr katrā individuālā gadījumā ir nepieciešams izvērtēt, vai informācija par fizisko personu, kuru padara par publiski pieejamu kāda cita fiziskā persona, ir saistīta ar šīs personas (kura informāciju ir publicējusi) privāto vai ģimenes dzīvi. Publicējot fotoattēlus tīmekļa vietnēs un sociālajos tīklos, būtu ņemams vērā, vai šī informācija ir pieejama tikai attiecīgā lietotāja draugu lokam, vai arī tā ir publiski pieejama visiem sociālo tīklu lietotājiem. Būtu ņemama vērā konkrētas personas saikne ar to personu, kuras fotoattēls ir publicēts. Ja šīs personas nav savstarpēji saistītas (radniecība, draugu loks, hobiji, darbs u.tml.) datu apstrāde nevar tikt uzskatīta par tādu, kas veikta personiska vai mājsaimnieciska pasākuma gaitā. Personai būtu atbildīgi jāizvērtē nepieciešamība un tiesiskais pamatojums citu cilvēku attēlu publicēšanai sociālajos tīklos. Inspekcija vērš uzmanību Regulas III nodaļā noteiktajām datu subjekta tiesībām (un attiecīgi pārziņa pienākumiem) vērsties pie sociālās tīklošanas vietnes administratora un/vai sociālās tīklošanas vietnes un pieprasīt, lai saites, kur redzami personas dati, tiktu dzēstas.Inspekcija atgādina, ka lūgumu dzēst informāciju sociālās tīklošanas vietnes administratoram var lūgt pati persona vai arī personas likumiskais pārstāvis.
Attiecībā uz iespējamo goda un cieņas aizskaršanu jebkurai personai ir tiesības saskaņā ar Civillikuma 2352.1 panta pirmo daļu prasīt tiesas ceļā atsaukt ziņas, kas aizskar personas godu un cieņu, ja šādu ziņu izplatītājs nepierāda, ka tās atbilst patiesībai. Saskaņā ar Civillikuma 1635.pantu jebkurai personai ir tiesības vērsties tiesā, lūdzot atlīdzināt tai nodarīto kaitējumu. Kā arī jebkurai personai ir tiesības iesniegt tiesā prasības pieteikumu par goda un cieņas aizskaršanu un prasīt pārtraukt izplatīt un atsaukt informāciju saskaņā ar Civillikuma 2352.1 pantu, informējot tiesu par iespējamo nodarītā kaitējuma veicēju.
Ja personas bažas ir saistītas ar apmelojošas informācijas par personu izplatīšanu, nevis nelikumīgu datu apstrādi, tad šajos gadījumos būtu nepieciešams vērtēt nepieciešamību vērsties Valsts policijā (Krimināllikuma 157.panta (neslavas celšana) pārkāpums).
Piemēram, Nīderlandes tiesa 2020.gada 13.maijā, pēc bērnu mātes iesnieguma tiesā par personu tiesību aizskārumu attiecībā uz privāto dzīvi, lēma, ka vecmāmiņai ir jādzēš ievietoto mazbērnu fotogrāfijas no saviem sociālās tīklošanas vietnēm Facebook un Printerest, kas ievietotas bez bērnu vecāku atļaujas un nav ņēmusi vērā vecāku lūgumu šos fotoattēlus dzēst. Par uzliktā pienākuma neizpildi – izdzēst bērnu fotoattēlus no sociālajām tīklošanas vietnēm tiesa lēmusi sodu – 50,00 euro apmērā par katru dienu, kad fotoattēli nav dzēsti (līdz 1000,00 euro ) [1].
Aktualitātes Eiropas Savienības Tiesas (EST) judikatūrā
Meklētājprogrammas pakalpojuma sniedzēja pienākums nodrošināt atsauču atsaistīšanu visās ES dalībvalstīm paredzētajās viņa meklētājprogrammu versijās
EST 2019. gada 24. septembra spriedums C-507/17 Google (Portée territoriale du déréférencement).
“Francijas Valsts informātikas un brīvību komisija (turpmāk – CNIL) ar 2016. gada 10. marta lēmumu uzlika 100 000 eiro sodu Google par to, ka Google, apmierinot fiziskas personas lūgumu no rezultātu saraksta, kas parādās, veicot meklēšanu pēc šīs personas vārda, izņemt saites uz tīmekļa lapām, šo izņemšanu nav attiecinājusi uz visiem šīs sabiedrības meklētājprogrammas domēna nosaukuma paplašinājumiem.
Tāpat CNIL pieprasīja Google papildus veikt tā saukto ģeobloķēšanu, proti, izskaust iespēju no IP adreses, par kuru tiek pieņemts, ka tā atrodas datu subjekta dzīvesvietas dalībvalstī, piekļūt strīdīgajiem rezultātiem, veicot meklēšanu pēc šā subjekta vārda, neatkarīgi no tā, kādu meklētājprogrammas versiju izmanto interneta lietotājs.
Google attiecīgās saites izņēma tikai no rezultātiem, kas parādās, veicot meklēšanu no tiem šīs sabiedrības meklētājprogrammas domēna nosaukuma paplašinājumiem, kas atbilst dalībvalstīm paredzētajām šīs meklētājprogrammas versijām. Vienlaikus Google ar prasības pieteikumu vērsusies Francijas Valsts padomē (Conseil d’État), lūdzot atcelt lēmumu par tai piemēroto naudassodu.
EST, vērtējot lietas apstākļus, konstatēja, ka, lai arī lūguma sniegt prejudiciālu nolēmumu iesniegšanas brīdī bija piemērojama Direktīva 95/46/EK, no 2018. gada 25. maija tā ir atcelta un kopš tā laika piemērojama Vispārīgā datu aizsardzības regula, tādēļ, lai gādātu, ka tās sniegtās atbildes iesniedzējtiesai būs noderīgas, EST izskatīja šo lietu gan minētās direktīvas, gan Vispārīgās datu aizsardzības regulas kontekstā.
Spriedumā EST norādīja, ka globalizētā pasaulē interneta lietotāju piekļuve rezultātu sarakstam, kurā ir saite uz informāciju par kādu personu, kuras interešu centrs atrodas ES, var iespējami radīt šai personai tūlītējas un būtiskas sekas visā ES.
Līdz ar to ES likumdevēja kompetencē ir noteikt meklētājprogrammas pakalpojumu sniedzējam pienākumu, apmierinot šādas personas izteiktu lūgumu atsaistīt atsauces, veikt šo atsauču atsaistīšanu visās viņa meklētājprogrammas versijās.
Savukārt, vērtējot ģeogrāfisko tvērumu, kādā meklētājprogrammu pakalpojuma sniedzējiem jāveic atsauču atsaistīšana, EST secināja, ka šobrīd no ES tiesībām meklētājprogrammu pakalpojuma sniedzējam, kurš izpilda datu subjekta lūgumu par atsauču atsaistīšanu, neizriet pienākums veikt šo atsauču atsaistīšanu visās viņa meklētājprogrammas versijās.
Tādējādi, ņemot vērā minēto, EST secināja, ka Direktīvas 95/46/EK 12. panta b) punkts un 14. panta pirmās daļas a) apakšpunkts, kā arī Vispārīgā datu aizsardzības regulas 17. panta 1. punkts jāinterpretē tādējādi, ka gadījumā, ja meklētājprogrammas pakalpojumu sniedzējs saskaņā ar šīm tiesību normām apmierina lūgumu par atsauču atsaistīšanu, tam ir pienākums veikt šo atsaistīšanu visās dalībvalstīm paredzētajās viņa meklētājprogrammas versijās. Tāpat EST atzina, ka vajadzības gadījumā minēto atsaistīšanu ir jāapvieno ar tādiem pasākumiem, kas dalībvalstu interneta lietotājam liedz piekļūt saitēm, uz kurām attiecas atsaistīšanas lūgums.”
Pienācīgā kārtā dota tīmekļvietnes lietotāja piekrišana
EST 2019. gada 1. oktobra spriedums C-673/17 Planet49.
Lai piedalītos loterijā, interneta lietotājam bija jāveic autorizācija un ar ķeksīti jāatzīmē divi izvēles lauki. Pirmajā izvēles lauka paskaidrojošajā tekstā, kura izvēles rūtiņa (turpmāk – pirmā izvēles rūtiņa) nebija atzīmēta ar ķeksīti, bija rakstīts teksts: “Piekrītu saņemt dažu sponsoru un sadarbības partneru informāciju par komercpiedāvājumiem pa pastu vai tālruni, vai e-pastu/SMS. Tos varu izvēlēties šeit pēc saviem ieskatiem, pretējā gadījumā izvēli veiks organizētājs. Šo piekrišanu varu atsaukt jebkurā laikā. Sīkāku informāciju skatīt šeit.”
Savukārt otrajā izvēles lauka paskaidrojošajā tekstā, kura izvēles rūtiņa bija atzīmēta ar ķeksīti (turpmāk – otrā izvēles rūtiņa), bija teikts: “Piekrītu, ka attiecībā uz mani tiek izmantots tīmekļa analīzes dienests Remintrex. Tas nozīmē, ka, man piereģistrējoties dalībai loterijā, loterijas organizētājs [Planet49] ievieto sīkdatnes, kas Planet49 ļauj izvērtēt manus tīklklejošanas un lietošanas paradumus reklāmas partneru tīmekļvietnēs un tādējādi ļauj Remintrex ievietot reklāmu, kas ir balstīta uz lietotāja interesēm. Sīkdatnes jebkurā laikā varu atkal izdzēst. Sīkāku informāciju lasiet šeit.”
Piedalīties reklāmas loterijā bija iespējams tikai tad, ja ar ķeksīti tika atzīmēts vismaz pirmais izvēles lauks. Vācijas Federālā patērētāju tiesību aizsardzības centru apvienība (turpmāk – apvienība), pieprasot pārtraukt minētajos izvēlas laukos norādīto apliecinājumu pieprasīšanu no interneta lietotājiem, vērsās tiesā pret Planet49.
Sākotnēji apvienības prasība tika daļēji apmierināta, savukārt apelācijas kārtībā noraidīta, tādēļ apvienība pārsūdzības kārtībā vērsās iesniedzējtiesā, kura, šaubīdamās gan par to, vai veids, kā Planet49 saņem tīmekļvietnes www.dein-macbook.de lietotāju piekrišanu ar otrās izvēles rūtiņas palīdzību, ir pienācīgs, gan par to, kāds apjoms ir Direktīvas 2002/58 5. panta 3. punktā paredzētajam informēšanas pienākumam, vērsās EST.
Šajā lietā EST atzina, ka ar to vien, ka lietotājs aktivizē pogu dalībai reklāmas
loterijā, nav pietiekami, lai varētu uzskatīt, ka lietotājs ir pienācīgi devis savu piekrišanu sīkdatņu ievietošanai, tas ir, Direktīvas 2002/58 2. panta f) punkts un 5. panta 3. punkts, skatot kopsakarā ar Direktīvas 95/46 2. panta h) punktu, kā arī ar Vispārīgās datu aizsardzības regulas 4. panta 11. punktu un 6. panta 1. punkta a) apakšpunktu, jāinterpretē tādējādi, ka šajās tiesību normās minētā piekrišana nav pienācīgi dota, ja atļauja informācijas saglabāšanai tīmekļvietnes lietotāja galiekārtā vai piekļuvei tur jau uzglabātai informācijai ar sīkdatņu palīdzību tiek dota, izmantojot iepriekš ar ķeksīti atzīmētu izvēles rūtiņu, no kuras šim lietotājam, ja viņš nevēlas dot savu piekrišanu, ķeksītis ir jāizņem.
Vienlaikus EST norādīja, ka elektronisko komunikāciju tīklu lietotāju galiekārtā uzglabātā informācija ir to lietotāju privātās jomas daļa, ko aizsargā Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijas (ECPAK). Ņemot vērā minēto, EST atzina, ka šī aizsardzība attiecas uz visu šajā galiekārtā uzglabāto informāciju neatkarīgi no tā, vai šī
informācija ir vai nav personas dati, un tās mērķis ir aizsargāt lietotājus pret draudiem, ka, viņiem nezinot, viņu galiekārtā varētu iekļūt slēptie identifikatori vai citi tamlīdzīgi rīki.
Tādējādi, pamatojoties uz minēto, EST uzsvēra, ka Direktīvas 2002/58 2. panta f) punkts un 5. panta 3. punkts, skatot tos kopsakarā ar Direktīvas 95/46 2. panta h) punktu, kā arī Vispārīgās datu aizsardzības regulas 4. panta 11. punktu un 6. panta 1. punkta a) apakšpunktu, nav jāinterpretē atšķirīgi atkarībā no tā, vai tīmekļvietnes lietotāja galiekārtā saglabātā vai no tās izgūtā informācija ir vai nav personas dati Direktīvas 95/46 un Vispārīgās datu aizsardzības regulas 2016/679 izpratnē.
Tāpat Direktīvas 2002/58 5. panta 3. punkts jāinterpretē tādējādi, ka informācijai, kura pakalpojumu sniedzējam jāsniedz tīmekļvietnes lietotājam, jāietver ziņas par sīkdatņu darbības ilgumu, kā arī par to, vai trešajām personām ir vai nav iespējams piekļūt šīm sīkdatnēm.”
Personas datu apstrādes nereģistrācija no 25.05.2018.
Informējam, ka ievērojot Regulas 89.apsvērumā noteikto, personas datu apstrādes reģistrācijas pienākums pēc Regulas tiešas piemērošanas uzsākšanas vairs nepastāv.
Vienlaikus informējam, ka neskatoties uz to, ka sākot ar 2018.gada 25.maiju personas datu apstrādes reģistrācija nav jāveic, pārziņiem jebkurā gadījumā Regulas prasības ir obligātas. Proti, Regulas 5.panta otrajā daļā ir iestrādāts pārskatatbildības princips. Šis princips nosaka, ka pārzinim ir pienākums nodrošināt tādu personas datu apstrādes procesu, kas ļauj pierādīt, ka veiktā personas datu apstrāde ir atbilstoša datu aizsardzības normatīvā regulējuma prasībām. Fizisko personu datu apstrādes likuma 36.pantā ir noteikts, ka Regula neattiecas gan uz personas datu apstrādi, ko fiziskās personas veic, izmantojot automatizētas datu ieraksta ierīces ceļu satiksmē (videoreģistratori) personiskajām vai mājsaimniecības vajadzībām, gan arī uz datu apstrādi, ko veic fiziskās personas, izmantojot automatizētas videonovērošanas ierīces personiskajām vai mājsaimniecības vajadzībām.
Līdz ar to, ja Jūs izmantojat videoreģistratoru ceļu satiksmē izmantotajā transportlīdzeklī, lai veiktu ceļu satiksmes novērošanu personiskajām un mājsaimniecības vajadzībām uz Jūsu veikto personas datu apstrādi (videonovērošanu) Regulas prasības neattiecas. Vienlaicīgi vēršam uzmanību, ka publicēt videoierakstus interneta vietnēs, kā arī nodot tos trešajām personām bez atbilstošā tiesiskā pamata, ir aizliegts.
2020/04/23
Aptuveni divus gadus atpakaļ, Valsts ieņēmumu dienests izstrādāja nodokļu maksātāju novērtēšanas rīku – nodokļu maksātāju reitingu, kurā sevi var atrast vairāk nekā 140 tūkstoši uzņēmumu. Minētais reitings ļauj ieraudzīt savu biznesu no vairākiem skatpunktiem vienlaikus.
SIA “Datu aizsardzības speciālists” var lepoties ar atbildīgu attieksmi pret valsti, grāmatvedības uzskaiti un nodokļu nomaksu, jo minētajā reitingā esam iekļauti to 3 % uzņēmumu starpā, kuru novērtējums no Valsts ieņēmumu dienesta puses veido vairāk, kā 90 %. Mūsu pašreizējais rezultāts ir 94 %, tā ka pavisam nedaudz vēl ir, kur augt!
2020/04/09
Kā izvēlēties datu aizsardzības speciālistu ?
Kā izvēlēties datu aizsardzības speciālistu ?
Vispārīgās datu aizsardzības regulas 37.pants nosaka, ka datu aizsardzības speciālistu ieceļ, pamatojoties uz viņa profesionālo kvalifikāciju, jo īpaši speciālām zināšanām datu aizsardzības tiesību un prakses jomā un spēju pildīt 39. pantā minētos uzdevumus.
Tātad, izvēloties savam uzņēmumam datu aizsardzības speciālistu, iesakām ņemt vērā šādus kritērijus:
-
Speciālistam jāspēj pierādīt, ka tas Datu valsts inspekcijā ir nokārtojis kvalifikācijas eksāmenu;
-
Speciālistam noteikti ir jābūt iekļautam Datu valsts inspekcijas mājaslapā publicētajā kvalificēto personas datu aizsardzības speciālistu sarakstā - https://www.dvi.gov.lv/lv/wp-content/uploads/Personas-datu-aizsardz%C4%ABbas-speci%C4%81listu-saraksts5.pdf;
-
Ņemot vērā, ka datu aizsardzības speciālistam ikdienā bieži vien nākas meklēt tiesisko pamatojumu datu apstrādei, būtu ieteicams, lai šim speciālistam būtu juridiskā izglītība;
-
Speciālistam būtu jābūt ne tikai augstākajai juridiskajai izglītībai, bet arī pierādījumiem par to, ka viņš ir regulāri apmeklējis dažādus kvalifikācijas paaugstināšanas un uzturēšanas kursus personas datu aizsardzībā;
-
Datu aizsardzības speciālistam būtu jābūt ne tikai teorētiskām zināšanām, bet arī vairāku gadu praktiskai pieredzei datu aizsardzībā tajā nozarē, kurā darbojas uzņēmums, kas meklē datu aizsardzības speciālistu;
-
Datu aizsardzības speciālistam būtu jāspēj publiski uzstāties, konsultējot, apmācot un vadot seminārus uzņēmumu darbiniekiem;
-
Datu aizsardzības speciālistam būtu jāspēj atbildēt par savu darbību un viedokli (nepieciešamības gadījumā šo viedokli, un klientu, pārstāvot gan Datu valsts inspekcijā, gan tiesā;
-
Ārpakalpojumu datu aizsardzības speciālistam būtu jāpieprasa atsauksmes no viņa klientiem;
-
Ārpakalpojumu datu aizsardzības speciālistam būtu jābūt savam birojam, nevis pakalpojumi jāsniedz no mājas, dzīvokļa, vai kafejnīcas;
2020/04/06
Par Jelgavas pilsētas pašvaldības veikto datu apstrādi.
Jelgavas pilsētas pašvaldība ir veikusi pasākumus, kas vērsti pašvaldības iedzīvotāju sabiedriskās domas veidošanai par valsts administratīvi teritoriālo reformu. Minētā pašvaldība informēšanas pasākumu ietvaros veikusi personas datu apstrādi, lai nodrošinātu informācijas sniegšanu tieši konkrētās pašvaldības iedzīvotājiem, tai skaitā izmantojot pašvaldības kapitālsabiedrības (SIA „Jelgavas nekustamā īpašuma pārvalde”) vajadzību nodrošināšanai iegūtus personas datus.
Saskaņā ar Regulas 6.panta nosacījumiem, personas datu apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no šajā pantā minētajiem pamatojumiem – piekrišana, līguma izpilde, juridisks pienākums, sabiedrības intereses, vitālo interešu aizsardzība un leģitīmo interešu ievērošana. Papildus tiesiskā pamata nodrošināšanai, pārzinim ir jāievēro arī citi Regulā noteiktie nosacījumi, piemēram, Regulas 5.panta 1.punkta “a” apakšpunkts nosaka, ka dati tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā. Savukārt “b” apakšpunktā noteikts, ka dati tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā [..] (“nolūka ierobežojumi”).
Nolūka ierobežojuma princips skaidrots Eiropas datu aizsardzības likuma rokasgrāmatas 2018.gada izdevuma 122.lpp.: “Nolūka ierobežojuma princips ir viens no Eiropas datu aizsardzības likuma pamatprincipiem. Tā piemērošana ir cieši saistīta ar caurspīdīgumu, pārredzamību un lietotāja kontroli. Ja apstrādes nolūks ir pietiekami specifisks un skaidrs, indivīdi zin, ko gaidīt no datu apstrādes, tiek uzlabota pārredzamība un juridiskā noteiktība. Šis princips paredz, ka jebkura personas datu apstrāde jāveic noteikta, precīzi definēta mērķa sasniegšanai un tikai tādu papildu mērķu sasniegšanai, kas ir saderīgi ar sākotnējo mērķi.
Personas datu apstrāde nenoteiktam un / vai neierobežotam nolūku skaitam ir nelikumīga. Personas datu apstrāde bez noteikta mērķa, pamatojoties tikai uz apsvērumu, kas nākotnē varētu būt noderīgs, arī nav likumīga. Katram jaunam datu apstrādes mērķim, kas nav savietojams ar sākotnējo jābūt savam īpašajam juridiskajam pamatam, un tā nevar paļauties uz faktu, ka dati sākotnēji tika iegūti vai apstrādāti citam likumīgam mērķim. Savukārt likumīgi apstrāde ir ierobežota ar sākotnēji noteikto mērķi un jebkuram jaunam apstrādes mērķim būs nepieciešams atsevišķs jauns juridiskais pamats". Publiskās pārvaldes institūciju (tai skaitā pašvaldību) darbībai ir jābalstās uz normatīvajos aktos paredzētajām funkcijām. Līdz ar to publiskās pārvaldes institūcijas veiktās personas datu apstrādes pamatojums ir rodams Regulas 6.panta 1.punkta “c” (apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu) un “e” (apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras) apakšpunktā noteiktajos tiesiskajos pamatos. Savukārt Regulas 6.panta 3.punktā noteikts, ka Regulas 6.panta 1.punkta “c” un “e” apakšpunktā minētie tiesiskie pamati ir nosakāmi ar Eiropas Savienības vai dalībvalsts tiesību aktiem.
Līdz ar to, pastāvot kādam no minētajos pantos minētajiem pamatiem un ievērojot paredzētus principus, personas datu apstrāde var tikt atzīta par tiesisku, savukārt, ja minētie nosacījumi netiek ievēroti, personas datu apstrāde nav atbilstoša Regulai.
Datu valsts inspekcija vērš uzmanību, ka, piemēram, ja komunālā pakalpojuma rēķinu nosūtīšanai tiek apkopotas iedzīvotāju elektroniskā pasta adreses, tad pamudinājuma piedalīties tautas balsošanā, kas vērsts pret kādu likumdošanas iniciatīvu izplatīšana, izmantojot šādu datu bāzi neatbilst Regulai, jo tiek veikta personas datu apstrāde jauna personas datu apstrādes nolūka, par kuru iedzīvotāji nav iepriekš brīdināti sasniegšanai.
Datu valsts inspekcija norāda, ka, ja iedzīvotāju adreses tiek iegūtas ar nolūku nodrošināt pašvaldības kapitālsabiedrībai deleģētā pakalpojuma sniegšanu, tai skaitā, piemēram, rēķina sagatavošanu par pašvaldības kapitālsabiedrības sniegtajiem pakalpojumiem, tad iegūtā informācija izmantojama tikai konkrētajā nolūkā.
2020/04/02
Vai valsts un pašvaldības iestāžu vadītāji ir gatavi maksāt sodus par datu aizsardzības pārkāpumiem?
Kopš 2018. gada 25.maija visā Eiropas Savienībā ir tieši piemērojama Vispārīgā datu aizsardzības regula (turpmāk – Regula). Regulas 37. pants paredz pienākumu pastāvīgi iecelt datu aizsardzības speciālistu katrā gadījumā, kad datu apstrādi veic publiska iestāde vai struktūra. Tātad datu aizsardzības speciālistu noteikti vajag visām valsts un pašvaldību iestādēm, kā arī valsts vai pašvaldību kapitālsabiedrībām. Faktiski Regula paplašina datu aizsardzības speciālista funkcijas un nozīmi nosakot, ka pēc būtības datu aizsardzības speciālists ir iekšējais uzraugs iestādē vai organizācijā. Viņš informē un konsultē uzņēmumu par datu aizsardzības prasībām, uzrauga Regulas prasību ievērošanu, sniedz padomus, sadarbojas ar uzraudzības iestādi un ir kontaktpersona jautājumos, kas saistīti ar apstrādi, it īpaši datu subjektam īstenojot savas tiesības.
Regula nosaka, ka datu aizsardzības speciālistu ieceļ, pamatojoties uz viņa profesionālo kvalifikāciju, jo īpaši speciālām zināšanām datu aizsardzības tiesību un prakses jomā. Tātad datu aizsardzības speciālistam būtu jābūt ne tikai atbilstošai izglītībai, bet arī pierādāmai pieredzei šādu pakalpojumu nodrošināšanā.
Praksē līdzekļu ekonomēšanas nolūkos daudzas valsts vai pašvaldību iestādes vai nu vispār nav iecēlušas datu aizsardzības speciālistus, vai arī šo pienākumu ir deleģējušas saviem juristiem vai IT speciālistiem. Datu aizsardzības speciālista statuss daļēji ir līdzīgs iekšējā auditora statusam, un, proti, tas ir organizācijas nodarbinātais un strādā organizācijas interesēs, tomēr viņam jābūt pietiekami neatkarīgam un neitrālam, lai norādītu uz neatbilstībām un pārkāpumiem organizācijas darbībā. Tātad datu aizsardzības speciālista funkcijas nevar pildīt iekšējais jurists, kurš ir sagatavojis datu aizsardzības politiku vai IT speciālists, kurš rūpējas par IT sistēmām, kas saistītas ar datu aizsardzību. Respektīvi nav pieļaujams, ka persona pati auditētu sevis veiktos ar datu aizsardzību saistīto pienākumu izpildes rezultātus. Tas nozīmē, ka gadījumos, kad iestādē par datu aizsardzības speciālistu ir iecelts štata jurists vai IT speciālists, pārbaudes gadījumā, visticamāk, Datu valsts inspekcija uzskatīs, ka datu aizsardzības speciālists nemaz nav iecelts.
Tieslietu ministrija aktīvi virza grozījumus Fizisko personu datu apstrādes likumā un savā mājaslapā ir publicējusi paziņojumu par līdzdalības iespējām likumprojekta "Grozījumi Fizisko personu datu apstrādes likumā" izstrādes procesā. Minētā likumprojekta 38.pantā ir norādīts, ka par jebkurām nelikumīgām darbībām ar personas datiem valsts amatpersonai vai valsts institūcijas darbiniekam piemēro brīdinājumu vai naudas sodu līdz divsimt naudas soda vienībām – līdz 1000 EUR (1 soda vienība=5 EUR). Tādas pašas sekas ir arī par pārziņa pienākumu nepildīšanu, tai skaitā neatbilstošu (nepietiekamu) datu aizsardzības tehnisko un organizatorisko prasību ieviešanu, datu aizsardzības speciālista nenorīkošanu.
Administratīvās atbildības likuma (turpmāk – AAL) 8. panta pirmajā daļā ir noteikts, ka par pārkāpumiem, kurus izdarījusi publisko tiesību juridiskā persona, pie administratīvās atbildības sauc publisko tiesību juridiskās personas amatpersonu, ja tā nav pildījusi vai ir nepienācīgi pildījusi kādu uz amatpersonu attiecināmu pienākumu, par kura nepildīšanu vai nepienācīgu pildīšanu likumā vai pašvaldību saistošajos noteikumos ir paredzēta administratīvā atbildība. Attiecīgi AAL 263. panta septītajā daļā noteikts, ka publisko tiesību juridisko personu amatpersona tai piemēroto naudas sodu maksā no saviem līdzekļiem. Šāda regulējuma esamība ļauj sasniegt soda mērķi - aizsargāt sabiedrisko kārtību, atjaunot taisnīgumu, sodīt par izdarīto pārkāpumu, kā arī atturēt administratīvo pārkāpumu izdarījušo personu un citas personas no turpmākas administratīvo pārkāpumu izdarīšanas.
Tātad, ja minētie grozījumi stāsies spēkā, šādā gadījumā, sākot no 2020. gada 1.jūlija valsts vai pašvaldības iestāžu un institūciju amatpersonas par pārkāpumiem, kas saistīti ar personas datiem, nepietiekamu datu aizsardzības tehnisko un organizatorisko prasību ieviešanu vai par datu aizsardzības speciālista nenorīkošanu, varēs saukt pie administratīvās atbildības un piemērot naudas sodu 1000 euro apmērā. Saskaņā ar minētā likumprojekta anotāciju naudas sodus gada laikā plānots piemērot vismaz 461 213 euro apmērā.
Neskatoties uz to, ka valstī ir izsludināts ārkārtas stāvoklis, tomēr datu Vispārīgā datu aizsardzības regula nav atcelta, līdz ar to, valsts un pašvaldību budžeta finansētajām iestādēm ir atlikuši mazāk kā 4 mēneši, lai sakārtotu šo jautājumu un ieceltu kvalificētu datu aizsardzības speciālistu.
2019/11/28
Digitālajā laikmetā kontrole pār saviem un mūsu bērnu datiem ir kļuvusi tikpat nepieciešama, kā rūpes par savu un mūsu bērnu drošību. Lai arī datu aizsardzībai vajadzētu ieņemt būtisku lomu mūsu dzīvēs, pārspīlēta personas datu aizsardzības pasākumu veikšana var novest pie citu demokrātisku vērtību apdraudējuma, tādējādi visu sabiedrības locekļu mijiedarbībai būtu jābalstās uz cieņpilnām attiecībām vienam pret otru, t.sk. respektējot citu privātumu.
Ņemot vērā to, ka ne visām pašvaldībām ir iespējams veltīt pietiekami resursus skolu un bērnudārzu audzēkņu personas datu apstrādes problēmjautājumu apzināšanai un skaidrojumiem, Latvijas Sertificēto personas datu aizsardzības speciālistu asociācija ir sagatavojusi informatīvo materiālu “Bērnu dati skolās un bērnudārzos jeb 20 aktuāli jautājumi par datu apstrādi izglītības iestādēs”.
Ar šo materiālu Latvijas Sertificēto personas datu aizsardzības speciālistu asociācija vēlas vērsties pie izglītības iestāžu vadītājiem, skolotājiem, audzinātājiem, izglītojamo vecākiem un pašiem izglītojamiem, lai mazinātu ‘spriedzi’ starp datu apstrādē iesaistītiem, novērstu dažādu nepamatotu mītu rašanos un veicinātu cieņpilnu attiecību pastāvēšanu starp visām datu apstrādē iesaistītām pusēm.
Šis materiāls uzskatāms par vispārīgi informatīvu materiālu, kurā iekļauts ir asociācijas biedru vispārējs viedoklis, balstoties uz vispārīgiem situācijas pieņēmumiem, līdz ar to pie citiem apstākļiem ieteicamie rīcības modeļi var mainīties, tādēļ asociācija rekomendē katru individuālo situāciju vērtēt atsevišķi un izvēlēties taisnīgāko rīcības modeli. Materiāla veidošanā atbalstu ir sniegusi arī Latvijas Republikas Datu valsts inspekcija.
Materiāls ir pieejams elektroniskā formātā un lejupielādējams ŠEIT
2019/11/08
Datu valsts inspekcija publicējusi prezentāciju "Aktualitātes personas datu apstrādē un ieteikumus Vispārīgās datu aizsardzības regulas piemērošanā".
Lejupielādēt prezentāciju var ŠEIT
Kāpēc, datu aizsardzības aizsegā sākotnēji tika slēgta būtiska informācija par COVID – 19 ?
Slimību profilakses un kontroles centrs (SPKC) savā mājaslapā publicē statistikas datu atspoguļojumu par Latvijā apstiprināto COVID - 19 saslimšanas gadījumu skaitu.
Sākotnēji datu atspoguļojumā Latvija tik sadalīta 6 daļās (Rīga, Pierīga, Kurzeme, Latgale, Zemgale un Vidzeme). SPKC norādīja, ka sīkāk datus nevar atspoguļot, lai pasargātu konkrētu pacientu no sensitīvo datu izpaušanas.
Datu valsts inspekcija ir norādījusi, ka personas datu apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no Vispārīgās datu aizsardzības regulas 6.panta 1.punktā minētajiem pamatojumiem (Regulā ir noteikti seši vispārīgi tiesiskie pamati: piekrišana, līguma izpilde, juridisks pienākums, sabiedrības intereses, vitālo interešu aizsardzība
un leģitīmo interešu ievērošana). Savukārt īpašu kategoriju (veselības dati) personas datu apstrāde ir atļauta, ja pastāv vismaz viens no Vispārīgās datu aizsardzības regulas 9.panta 2.punktā minētajiem pamatojumiem, piemēram, apstrāde ir vajadzīga sabiedrības interešu dēļ sabiedrības veselības jomā – aizsardzībai pret nopietniem pārrobežu draudiem veselībai.
Līdz ar to personas datu apstrāde būtu jāveic tā, lai tā kalpotu cilvēkam, nevis veicinātu informācijas slēpšanu novadiem vai pilsētām, kuros ir saslimuši pacienti.
Datu valsts inspekcija ir norādījusi, ka datu aizsardzībai nav jābūt šķērslim, kas kavētu efektīvu cīņu ar Covid-19 izplatību, bet gan novērstu nepamatotu un nesamērīgu informāciju izplatīšanu par konkrētām saslimušām personām vai personām, kuras atrodas riska grupā. Ir svarīgi, lai attiecīga informācija tiktu izmantota, lai veiktu konkrētos pasākumus/darbības sabiedrības veselības jomā.
Piemēram, ja SPKC informēja, ka viena persona ar Covid-19 ir saslimusi arī Vidzemē, man, kā Valmieras iedzīvotājam, būtu tiesības zināt, vai šī saslimšana ir notikusi Valmierā (līdz ar to, man jāievēro papildus piesardzības pasākumi), vai arī aptuveni 100 kilometrus tālāk esošajos novados (Alūksne, Gulbene, Madona).
Uzskatu, ka konkrēta novada vai pilsētas, kurā atrodas saslimusī persona,
norādīšana, dod tikai un vienīgi pozitīvu efektu (attiecīgā reģiona iedzīvotāji ievērotu papildus piesardzību), taču man, kā sertificētam datu aizsardzības speciālistam, ar 11 gadu pieredzi šajā nozarē, nav skaidrs, kāpēc datu aizsardzības aizsegā, sākotnēji tika slēpta būtiska informācija par COVID – 19.
No Vispārīgās datu aizsardzības regulas 4.panta izriet, ka “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem.
Un šeit rodas jautājums - kā pēc saslimušās personas atrašanās vietas (piemēram, Daugavpils, kurā ir gandrīz 100 000 iedzīvotāji), var identificēt konkrēto fizisko personu ?
Par laimi, pašreiz minētā problēma ir atrisināta, un SPKC savā mājaslapā publicē arī konkrētus novadus un pilsētas.
Diemžēl šis jautājums atrisinājās tikai pēc sertificēta datu aizsardzības speciālista Laura Klagiša publikācijas portālā www.pietiek.com¹.
________________
2019/11/08
Datu valsts inspekcija ir publicējusi interesantu un noderīgu informatīvu prezentāciju - “Pirmais pusotrs gads Datu regulas gaismā - sodu piemērošana”.
Lejupielādēt prezentāciju var ŠEIT
2019/11/02
Eiropas Savienības tiesa atzīst, ka datu subjektiem nedrīkst uzspiest sīkdatnes
Eiropas Savienības tiesa savā 2019. gada 1. oktobra spriedumā lietā C‑673/17 (Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV Pret Planet49 GmbH) ir paudusi svarīgas atziņas, attiecībā uz sīkdatņu lietošanu.
ES tiesa Spriedumā ir norādījusi, ka datu subjekta piekrišana nav pienācīgi dota tad, ja atļauja informācijas saglabāšanai tīmekļvietnes lietotāja galiekārtā vai piekļuvei tur jau uzglabātai informācijai ar sīkdatņu palīdzību tiek dota, izmantojot iepriekš ar ķeksīti atzīmētu izvēles rūtiņu, no kuras šim lietotājam, ja viņš nevēlas dot savu piekrišanu, ķeksītis ir jāizņem.
Tāpat, Tiesa ir atzinusi, ka informācijā, kura pakalpojumu sniedzējam ir jāsniedz tīmekļvietnes lietotājam, ir jāietver ziņas par sīkdatņu darbības ilgumu, kā arī par to, vai trešajām personām ir vai nav iespējams piekļūt šīm sīkdatnēm.
Rezumējot minēto, ES tiesa ir atzinusi, ka sīkdatņu glabāšanai ir nepieciešama aktīva piekrišana, un mājaslapas lietotājiem ir tiesības saņemt informāciju gan par sīkdatņu glabāšanas ilgumu, gan par to, to, vai trešajām personām ir vai nav iespējams piekļūt šīm sīkdatnēm.
Pilns spriedums pieejams šeit - https://eur-lex.europa.eu/legal-content/LV/TXT/?ur...
2019/10/15
Datu valsts inspekcijas uzraudzības prioritātes
Pamatojoties uz Fizisko personu datu apstrādes likuma 4.panta pirmās daļas 2.punktu, lai nodrošinātu vienveidīgu pieeju uzraudzības aktivitāšu īstenošanā, kā arī veicinātu datu aizsardzības efektivitāti, Datu valsts inspekcija 2019.gadā un turpmāk ir noteikusi uzraudzības prioritāti videonovērošanas jomā – tiks kontrolēta un uzraudzīta juridisku personas veikta videonovērošanas bez informatīvajām zīmēm, kā arī videonovērošanas veikšana neatļautās telpās (ģērbtuves, labierīcības, dušas u.tml.).
2019/08/30
Datu valsts inspekcija piemēro 7000 eiro lielu naudas sodu internetveikalam par personas datu apstrādes pārkāpumiem
2019.gada 26.augustā Datu valsts inspekcijas (DVI) direktore pieņēma lēmumu komersantam, kas sniedz pakalpojumus internetveikalā, piemērot 7000 euro lielu naudas sodu par datu subjekta tiesību neievērošanu un nesadarbošanos ar uzraudzības iestādi – DVI, personu datu aizsardzības jomā. Konkrētajā gadījumā komersants savlaicīgi nesniedza atbildi iedzīvotājam (datu subjektam). Tāpat komersants nesadarbojās ar DVI un savlaicīgi nesniedza iestādei nepieciešamo informāciju, kā arī neizpildīja saskaņā ar Vispārīgās datu aizsardzības regulas (Regula) 58.panta 2.punkta “c” un “g” apakšpunktu un Fizisko personu datu apstrādes likuma 23.pantu DVI izdoto rīkojumu.
Pamatojoties uz iesniegumu (sūdzību) no fiziskas personas (iesniedzējs) par komersanta rīcību - neīstenojot datu subjekta tiesības, ko paredz Regulas 17.pants – tiesības panākt, lai pārzinis (komersants) bez nepamatotas kavēšanās dzēstu iesniedzēja personas datus, DVI veica pārbaudi un konstatēja, ka 2018.gadā iesniedzējs vairākkārt bija vērsies pie komersanta ar pieprasījumu dzēst visus personas datus, t. sk. mobilā tālruņa numuru, kurus komersants bija ieguvis iesniedzēja veiktā pasūtījuma pie komersanta ietvaros. Komersants, pēc iesniedzēja lūgumiem dzēst viņa personas datus, uz iesniedzēja mobilā tālruņa numuru vairākkārt sūtīja komerciālus paziņojumus teksta īsziņu veidā.
Nosakot sodu, DVI direktore ņēma vērā Regulā noteiktos šādus elementus: pārkāpuma būtību, ilgumu un sadarbības pakāpi ar uzraudzības iestādi, ietekmēto datu subjektu skaitu, komersanta apgrozījumu iepriekšējā finanšu gadā un citus (Regulas 83.panta 5.punkta “b” un “e” apakšpunkti).
2019/06/05
SIA "Datu aizsardzības speciālists" valdes loceklis Lauris Klagišs piedalījās ikgadējā datu drošības un aizsardzības seminārā ‘Digitālā ēra”. Kopā ar kolēģiem apskatījām tādas tēmas, kā līdzsvars starp datu aizsardzību un sabiedrības tiesībām zināt, riski datu subjektu tiesībām un brīvībām, datu subjekta identifikācijas problēmjautājumi, mākslīgais intelekts un personas datu aizsardzība, starptautiskā sadarbība, datu nodošana ārpus ES, kā arī tuvākās nākotnes izaicinājumi.
2018/12/07
SIA "Datu aizsardzības speciālists" valdes loceklis Lauris Klagišs piedalījās seminārā personas datu aizsardzības speciālistiem. Kopā ar kolēģiem tika apskatītas tādas tēmas, kā darbinieku personas datu apstrāde, privātuma politika, kā arī datu subjekta tiesības piekļūt saviem personas datiem.
2018/11/22
SIA "Datu aizsardzības speciālists" valdes loceklis Lauris Klagišs piedalījās Latvijas sertificēto personas datu aizsardzības speciālistu asociācijas rīkotajā seminārā, kur tika apspriesta IT datu drošība, kā arī datu aizsardzības juridiskie aspekti.
2018/11/22
SIA "Datu aizsardzības speciālists" valdes loceklis Lauris Klagišs, zināšanu papildināšanas nolūkos, ir apguvis SIA "Lattelecom" organizēto mācību programmu “IKT drošība uzņēmumā".
2018/11/15
2018. gada 13. novembrī ir pieņemti Ministru kabineta noteikumi Nr. 690 “Noteikumi par personas darba vai dienesta gaitu un izglītību apliecinošiem dokumentiem, kuriem ir arhīviska vērtība, un to glabāšanas termiņiem”.
Noteikumi pieejami šeit - www.likumi.lv.
Minētie noteikumi nosaka dažādu, personas datu saturošu dokumentu glabāšanas termiņus, kas pārsvarā ir 75 gadi. Ja dokumentos ir informācija ar vēsturisku, sabiedrisku, kultūras vai zinātnisku nozīmi, tos glabā pastāvīgi. Līdz 2021. gada 31. janvārim ir jāiznīcina tie dokumenti, kuriem nav arhīviskas vērtības un kuru glabāšanas termiņš ir beidzies.
2018/07/27
“Šajā uzziņā Valsts ieņēmumu dienests ir skaidrojis personas datu saglabāšanas nepieciešamību nodokļu kontroles vajadzībām, norādot, ka, atbilstoši Vispārīgās datu aizsardzības regulai, pārzinim nav pienākuma dzēst personas datus pēc datu subjekta lūguma, ciktāl datu apstrāde ir nepieciešama, lai izpildītu likumā “Par grāmatvedību” un likumā “Par nodokļiem un nodevām” minētos juridiskos pienākumus”
2018/05/15
"Mājaslapas un datu aizsardzība: Kas jāzina vietnes apmeklētājiem un īpašniekiem"
Digitālā mārketinga blogā "Zini labāk" sadarbībā ar SIA “Datu aizsardzības speciālists” publicēts raksts “Mājaslapas un datu aizsardzība: Kas jāzina vietnes apmeklētājiem un īpašniekiem?”
2018/04/06
No šā gada aprīļa SIA “Datu aizsardzības speciālists” ir pieejams jaunās, plašākās telpās, pašā Valmieras centrā – Rīgas ielā 13 (virs Luminor bankas, blakus Swedbank), 3 stāvā, ieeja no pagalma puses”
2018/02/07
Valsts un pašvaldības uzņēmumos būs vajadzīgs datu aizsardzības speciālists
2017/09/16
Datu aizsardzības prasības nākamgad var nepatīkami pārsteigt pašvaldību maciņus
Datu aizsardzības speciālists Lauris Klagišs laikrakstā Diena ir publicējis rakstu - Datu aizsardzības prasības nākamgad var nepatīkami pārsteigt pašvaldību maciņus. Raksts apskatāms šeit
2017/09/25
"Klusums pirms vētras Personas datu aizsardzības jomā"
Datu aizsardzības speciālists Lauris Klagišs portālā www.apollo.lv ir publicējis rakstu "Klusums pirms vētras Personas datu aizsardzības jomā"
2017/09/14
Mūsu uzņēmuma valdes loceklis un datu aizsardzības speciālists Lauris Klagišs 2017.gada 13.septembrī piedalījās Datu valsts inspekcijas organizētajā seminārā datu aizsardzības speciālistu kvalifikācijas celšanai.
Semināra ietvaros, 5 stundu garumā, tika aplūkotas aktualitātes personas datu aizsardzībā gan Vispārīgās datu aizsardzības regulas, gan jaunā Datu aizsardzības likuma kontekstā. Tāpat tika analizētas datu aizsardzības speciālista funkcijas un pienākumi. Akcents tika likts uz to, ka datu aizsardzības speciālists noteikti būtu jāiesaista jautājumu pieņemšanās, kas saistīti ar datu apstrādi
2017/08/24
Videonovērošanas reģistrācija
Saskaņā ar Fizisko personu datu aizsardzības likuma 21.pantu, pirms personas datu apstrādes uzsākšanas pārzinis reģistrē personas datu apstrādi Datu valsts inspekcijā vai norīko fizisko personu — datu aizsardzības speciālistu —, ja pārzinis veic videonovērošanu, saglabājot personas datus.
Lai reģistrētu ar videonovērošanu saistītu datu apstrādi, Datu valsts inspekcijai ir jāiesniedz personas datu apstrādes reģistrācijas iesniegums, kā arī jāizstrādā iekšējie aizsardzības noteikumi.
Valsts nodeva par personas datu apstrādes reģistrāciju ir 56,91 EUR vai 28,46 EUR (pārzinis ir fiziska persona vai sīkais uzņēmums (t.i. nodarbina mazāk kā 10 darbiniekus un gada apgrozījums nepārsniedz 2 milj. EUR)).
Saskaņā ar Latvijas Administratīvo pārkāpumu kodeksa 204.9. pantu, par fiziskās personas datu apstrādi bez likumā noteiktās reģistrēšanas vai bez personas datu aizsardzības speciālista reģistrēšanas Datu valsts inspekcijā, juridiskajam personām var uzlikt naudas sodu no 1400 līdz 14000 EUR, konfiscējot pārkāpuma priekšmetus un izdarīšanas rīkus vai bez konfiskācijas.
SIA “Datu aizsardzības speciālists” piedāvā sniegt konsultācijas, saistībā ar videonovērošanas personas datu apstrādes reģistrāciju, kā arī sagatavot nepieciešamos dokumentus personas datu apstrādes reģistrācijai. Dokumentu paketes sagatavošana, kas ietver arī nepieciešamās konsultācijas pa e-pastu vai telefonu, izmaksās 150 EUR.,