Pateicoties informāciju tehnoloģiju attīstībai, ir mainījušās iespējas sniegt un saņemt dažādus pakalpojumus, turklāt palielinājušās iespējas sniegt un saņemt dažādus pakalpojumus interneta vidē. Tas rada gan iespējas uzņēmumiem un iestādēm, gan arī izaicinājumus nodrošināt drošību sniegto pakalpojumu ietvaros, tajā skaitā arī attiecībā uz fizisko personu datu apstrādi un aizsardzību.

Personas datu aizsardzības prasības, kas jānodrošina gan publiskās pārvaldes institūcijām, gan privātajā sektorā, ir vienādas. Turklāt šīs prasības ir vienādas visās Eiropas Savienības (ES) dalībvalstīs. Savukārt, datu drošības prasības var būt dažādas, jo katram pārzinim (valsts institūcijai, privātam uzņēmumam, kas veic personas datu apstrādi) ir tiesības (un arī pienākums) izvēlēties tās atbilstoši riskiem, kas ir konkrētajai personas datu apstrādei. Pārzinis atbild par izvēlētajiem drošības līdzekļiem. Viens no pamatmērķiem, veicot personas datu apstrādi ir nodrošināt, lai datiem nepiekļūtu personas, kam nav tiesību piekļūt.

Datu valsts inspekcijas kompetencē ir fizisko personu datu aizsardzības uzraudzība Fizisko personu datu aizsardzības likumā noteiktajā kārtībā. Par personas datu adekvātu aizsardzību ir atbildīgs katrs pārzinis, kas veic konkrēto personas datu apstrādi – tas attiecināms gan uz privāto, gan publisko sektoru. Tātad ikviena institūcija, kuras rīcībā ir fizisko personu dati, ir atbildīga par to, lai šie dati būtu drošībā un tiktu izmantoti konkrētam mērķim un konkrētu funkciju veikšanai.

Datu aizsardzības principi, kuru ievērošana jānodrošina vadītājiem

Vispārējas prasības attiecībā uz fizisko personu datu aizsardzību nosaka Fizisko personu datu aizsardzības likums, tomēr katrai atsevišķai darbības jomai ir specializēti likumi. Piemēram, īpašas prasības ir gadījumā, ja tiek veikta sensitīvo personas datu apstrāde (piemēram, attiecībā uz personu veselības stāvokli). Turklāt Ministru kabineta 2001. gada 30. janvāra noteikumi Nr.40 ''Personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības'' nosaka personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības, kuru ieviešanu jānodrošina katram pārzinim.

Jāaizsargā ir visi personas dati saskaņā ar Fizisko personu datu aizsardzības likumu un citiem specializētajiem normatīvajiem aktiem. Kā praksē aizsardzību vislabāk nodrošināt, tas jāizvēlas katram konkrētajam pārzinim, izvērtējot gan personas datu apstrādes mērķi, gan personas datu apstrādes apjomu (piemēram, mazs veikals īstenos atšķirīgus drošības pasākumus attiecībā uz personas datu aizsardzības nodrošināšanu salīdzinājumā ar ārstu praksi, utt.).

Ikvienam vadītājam, ja tā uzņēmuma vai vadītās iestādes rīcībā ir informācija par darbiniekiem, klientiem (fiziskām personām), ir jānodrošina, ka šī informācija tiek aizsargāta, ievērojot šādus pamatprincipus:

  • apstrādāt (tajā skaitā, apkopot, analizēt, saglabāt) tikai tādu informāciju, kas ir nepieciešama kādam konkrētam mērķim (piemēram, darbinieku atlasei);
  • nodrošināt drošību (tajā skaitā, lai informācijai piekļūst tikai tās personas, kurām tas nepieciešams, izpildot darba pienākumus);
  • pārliecināties, ka informācija ir aktuāla un saistoša (nepieciešama);
  • saglabāt tikai tik daudz informācijas (personas datus), cik nepieciešams, un tik ilgu laiku posmu, cik nepieciešams konkrētā mērķa sasniegšanai (piemēram, pēc darbinieku atlases procesa noslēguma vairs nepastāv tiesiskais pamats saglabāt to pretendentu CV, kuri konkrētajam konkursam pieteicās, bet netika atlasīti kā atbilstošākie pretendenti);
  • nodrošināt datu subjekta tiesības, nodrošinot piekļuvi personas datiem.

Personas datu aizsardzības jautājums tuvākajā laikā tiks aktualizēts visās ES dalībvalstīs, ņemot vērā Eiropas Komisijas iniciētās izmaiņas šajā jomā (detalizētāku informāciju par šo Eiropas Komisija iniciatīvu skatīt Eiropas Komisijas interneta mājas lapā – http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm).

Primārais mērķis ir stiprināt datu subjekta tiesības attiecībā uz kontroli par saviem datiem, paredzams, ka personas datu apstrādes pārziņiem tiks izvirzītas stingrākas prasības personas datu aizsardzības nodrošināšanai. Bet, ņemot vērā, ka iniciatīvu šajā jautājumā Eiropas Komisija publiskoja tikai š.g. 25. janvārī, diskusijas par izmaiņām attiecībā uz personas datu aizsardzību ir sākumstadijā, tajās piedalās gan privātā, gan publiskā sektora pārstāvji, kuru ikdienas darbs lielā mērā ir saistīts ar personas datu apstrādi.

Kas ir personas datu aizsardzības speciālists un kad tas uzņēmumam / iestādei ir nepieciešams?

Personas datu aizsardzība un privātums ir globāls jautājums. Globalizācijas rezultātā vairākas kompānijas (arī valsts institūcijas) izmanto jaunākās informāciju tehnoloģijas, veicot personas datu apstrādi, kā arī veic datu nodošanu ārpus konkrētās nacionālās valsts robežām, tādejādi nodrošinot savu pakalpojumu sniegšanu.

Globalizācijas procesu rezultātā ekonomiskajiem procesiem mūsdienās nav ģeogrāfisko robežu, kas ierobežo attiecīgu normatīvo aktu piemērošanu, tajā skaitā attiecībā uz personas datu aizsardzību, jo nav pieņemtu vispārēju starptautisku personas datu apstrādes un aizsardzības standartu, kas būtu visām valstīm saistoši. Tādēļ personas datu aizsardzības pašregulācijas pieeja var palīdzēt novērst šīs iespējamās neprecizitātes, lai kopēji piemērotu personas datu aizsardzības un privātuma prasības.

Viens no šādiem pašregulācijas mehānismiem ir personas datu aizsardzības speciālists katrā konkrētajā uzņēmumā vai iestādē. Pirmais personas datu speciālista institūts tika ieviests Vācijā 1977. gadā attiecībā uz privāto sektoru kā papildu pašregulācijas mehānisms, kas palīdzētu atbildīgajiem par personas datu aizsardzību (t.i. pārziņiem) nodrošināt, ka viņu darbība atbilst likumdošanas izvirzītajām prasībām.

Lai sekmētu personas datu aizsardzības nodrošināšanu, vadītājs var norīkot konkrētu darbinieku atbildīgu par personas datu aizsardzību, var izmantot ārpakalpojumu iespējas attiecībā gan uz personas datu apstrādi, gan aizsardzību, kā arī var iecelt personas datu aizsardzības speciālistu (datu aizsardzības speciālista kvalifikāciju piešķir Datu valsts inspekcija pēc tam, kad konkrētā persona ir nokārtojusi pārbaudījumu Datu valsts inspekcijā; personas datu aizsardzības speciālists nav obligāta normatīvajos aktos noteikta prasība). Tomēr atbildīgs par veikto personas datu apstrādi ir katrs uzņēmuma vai iestādes vadītājs.

Datu aizsardzības speciālistus Latvijā ir izvēlējušās gan publiskā sektora institūcijas, gan privātā sektora pārstāvji, un tā galvenais uzdevums ir sniegt atbalstu un konsultēt vadību personas datu apstrādes un aizsardzības jautājumos, tajā skaitā risinot problēmjautājumus šajā jomā. Lai kļūtu par personas datu aizsardzības speciālistu, konkrētajām indivīdam nepieciešama aug­stākā izglītība tiesību zinātnē vai informācijas tehnoloģiju jomā.

Datu aizsardzības speciālisti vēl bez Vācijas ir vairākās ES dalībvalstīs un tiek uzskatīts, ka datu aizsardzības speciālists sekmē klientu un darbinieku uzticēšanos organizācijas/institūcijas veiktajai personas datu apstrādei, ka tā tiks nodrošināta atbilstoši likuma prasībām un personas datu aizsardzības labās prakses principiem.

Pārkāpumi praksē

Aizvien pieaug to sūdzību skaits, kur iedzīvotāji norāda uz iespējami nelikumīgām darbībām ar personas datiem, tajā skaitā interneta vidē. Joprojām tiek saņemtas sūdzības arī par pases kopijām, kuras bez tiesiska pamata pieprasa darba devējs vai kuras pieprasa dažādi komersanti pakalpojuma sniegšanai.

Jāatzīmē, ka attiecībā uz citu personu datu pieprasīšanu pieprasītājam ir jānorāda tiesiskais pamats, kāpēc personas dati tiek pieprasīti, savukārt pārzinim pirms datu nodošanas nepieciešams izvērtēt, vai tam ir tiesisks pamats, katru gadījumu izvērtējot atsevišķi.

2011. gada ietvaros visvairāk sūdzības tika saņemtas par:

  • personas datu nodošanu parādu piedziņai;
  • informācijas par komunālo pakalpojumu parādiem izpaušanu trešajām personām;
  • personas datu publicēšanu internetā;
  • personas kā uzņēmuma darbinieka vai valdes locekļa reģistrēšanu Valsts ieņēmumu dienestā vai Uzņēmumu reģistrā bez konkrētās personas piekrišanas. 

Pasliktinoties sociāli ekonomiskajai situācijai, indivīdi vēlas iegūt materiālus un nemateriālus labumus sev tūlīt, nedomājot par sekām nākotnē, tādēļ nereti sniedz savus personas datus, neiepazīstoties ar noteikumiem – kur un kāpēc viņa personas dati tiks izmantoti un kas ir tas indivīds vai kompānija, kas šos personas datus pieprasa.

Ir bijuši gadījumi, kad personas atsaukušās uz krāpnieciskiem darba piedāvājumu sludinājumiem, nosūtot, piemēram, dokumentus pat par savu nekustamo īpašumu potenciālajam darba devējam. Kur vēlāk šī informācija tiek izmantota, to ne vienmēr ir iespējams noskaidrot. Taču tajā brīdī, kad tiek saņemta vēstule no tiesu izpildītājiem vai parādu piedzinējiem par pirktajām precēm vai izmantotajiem, kurus indivīds pats nekad nav iegādājies un izmantojis, ir jāpierāda, ka kāda cita persona ir izdarījusi nelikumīgas darbības ar personas datiem. Un šāds pierādīšanas process ir ilgstošs.

Pēdējo gadu laikā pieaug arī tādu iesniegumu skaits Datu valsts inspekcijā, kad indivīdi ir publiskojuši savus personas datus interneta vidē un vēlāk ir jācīnās ar sekām, kad šie personas dati tiek nelikumīgi izmantoti, tajā skaitā ārvalstu interneta portālos, kuriem nav saistošs Fizisko personu datu aizsardzības likums. Tādēļ aicinājums ikvienam pārdomāt, pirms publiskot un nodot trešajām personām savus personas datus.

Nobeigumā vēlos atgādināt, ka Datu valsts inspekcija iedzīvotāju sūdzības pieņem katru dienu, kā arī katru darba dienu (laikā no plkst.14:00-16:00) tiek sniegtas telefoniskās konsultācijas, kurās Datu valsts inspekcijas darbinieki skaidro iedzīvotājiem, kā dažādās situācijas rīkoties attiecībā uz personas datu apstrādi un aizsardzību, kā novērst, iespējams, nelikumīgu savu personas datu apstrādi (piemēram, kā rīkoties, ja kāda persona ir nosaukusi citas personas datus un šīs cita persona vēlāk saņēmusi administratīvo protokolu par soda uzlikšanu par pārkāpumu, kuru nav izdarījusi). Tāpat Datu valsts inspekcijai var sūtīt elektroniskā pasta vēstules, lai saņemtu skaidrojumus par Fizisko personu datu aizsardzības likuma prasībām saistībā ar dažādām dzīves situācijām (piemēram, ko darīt, ja persona atrod savus personas datus internetā).