Saimnieciskā darbība 08:00, 10. Nov. 2017

Att: Kaspars Oļševskis

Personas datu aizsardzība, iznīcinot dokumentus

2017-11-10

Edvijs Zandars, ZAB "Ellex Kļaviņš", zvērināta advokāta palīgs, Kaspars Oļševskis, ZAB "Ellex Kļaviņš", jaunākais jurists

datu aizsardzība dokumentu glabāšana personāla dokumenti datu aizsardzība

Gan grāmatvedības, gan personāla dokumentu informācijas kopumā ir iekļauti arī personas dati. Tieši fizisko personu datu apstrādei ir noteiktas specifiskas prasības, kas jāievēro, arī iznīcinot dokumentus pēc to glabāšanas termiņa beigām.

Grāmatvedības un personāla dokumentācijas kārtošanā ietilpst gan dokumentu veidošana, gan to glabāšana, gan arī iznīcināšana. Dokumentu iznīcināšanu veic, lai neatgriezeniski atbrīvotos no tajos ietvertās informācijas. Savukārt dokumentu iznīcināšanas brīdis noteikts dažādu normatīvo aktu prasībās.

Vispārīgais regulējums

Grāmatvedības dokumenti atspoguļo visus komersanta saimnieciskos darījumus, kā arī katru faktu vai notikumu, kas rada pārmaiņas uzņēmuma mantas stāvoklī (likuma "Par grāmatvedību" 2.pants). Savukārt personāla dokumentos ietvertas darba vai dienesta attiecības ar darbiniekiem vai amatpersonām, un tie ir, piemēram, darba līgums, rīkojums par personālsastāvu, atvaļinājumu grafiks, amata apraksts u.c. (Ministru kabineta (MK) noteikumu Nr.916 "Dokumentu izstrādāšanas un noformēšanas kārtība" 71.punkts).

Fizisko personu datu aizsardzības likuma (FPDAL) 2.panta 3.punktā paredzēts, ka personas dati ir jebkāda informācija, kas attiecas uz identificētu vai identificējamu fizisko personu (piemēram, vārds, uzvārds, personas kods, telefona numurs, e-pasts, IP adrese utt.). Sensitīvi ir personas dati, kas norāda tās rasi, etnisko izcelsmi, reliģisko, filozofisko un politisko pārliecību, dalību arodbiedrībās, kā arī sniedz informāciju par personas veselību vai seksuālo dzīvi. Datu apstrāde ir jebkura ar personas datiem veikta darbība, tostarp datu vākšana, reģistrēšana, ievadīšana, glabāšana, sakārtošana, pārveidošana, izmantošana, nodošana, pārraidīšana un izpaušana, bloķēšana vai dzēšana (FPDAL 2.panta 4.punkts). Tātad personas datu saturošu dokumentu iznīcināšana uzskatāma par datu apstrādi (dzēšanu), kuru veicot jāievēro likumā noteiktās prasības.

Persona, kas veic datu apstrādi, tostarp dzēšanu, ir vai nu pārzinis, vai operators atkarībā no tā, vai persona apstrādā savus vai arī sava klienta nodotus datus. Pārzinis ir persona, kas pati vai kopā ar citiem nosaka personas datu apstrādes mērķus un līdzekļus, kā arī atbild par personas datu apstrādi saskaņā ar likumu. Uzņēmums vienmēr būs savas grāmatvedības vai personālvadības dokumentu pārzinis, taču uzņēmums, kas izvēlas grāmatvedības kārtošanu uzticēt ārpakalpojuma sniedzējam, papildus algo arī operatoru, kas veic datu apstrādi pārziņa vārdā un uzdevumā. Taču pārzinis saglabā atbildību par operatora darbībām ar personas datiem. Tas ir svarīgi arī datu iznīcināšanas kontekstā, jo uzņēmums, kas piedāvā atbraukt uz uzņēmuma biroju, savākt "makulatūru" un to iznīcināt, arī veic datu apstrādi uzņēmuma vārdā, tādējādi uzņēmums ir atbildīgs, ka dokumenti patiešām ir iznīcināti.

Personas datu glabāšana

FPDAL nav noteikts konkrēts personas datu glabāšanas termiņš. No FPDAL 10.panta 1.daļā noteiktā izriet, ka pārzinis glabā personas datus tikai tik ilgi, cik šādi dati var objektīvi būt nepieciešami, lai sasniegtu mērķus, kuriem tie sākotnēji tika ievākti. Tātad datu uzglabāšanas ilgums dažādiem dokumentiem var atšķirties, jo noteikti dokumenti var būt nepieciešami ilgākā laika posmā, bet citi var novecot un kļūt nevajadzīgi ātrāk. Tādēļ saskaņā ar vispārīgo principu paredzēts katram uzņēmumam pašam izvērtēt, kādi dokumenti tam var būt nepieciešami un cik ilgi, ņemot vērā datu vākšanas mērķi. Atsevišķos gadījumos likumdevējs jau var būt veicis šādu izvērtējumu pārziņu vietā un noteicis glabāšanas termiņus atsevišķām dokumentu kategorijām. Šādos gadījumos pārziņiem šie termiņi ir saistoši.

Likuma "Par grāmatvedību" 10.panta 2.daļā noteikti glabāšanas termiņi šādiem grāmatvedības dokumentiem:

gada pārskatiem – līdz uzņēmuma reorganizācijai vai likvidācijai;
inventarizācijas sarakstiem, grāmatvedības reģistriem un grāmatvedības organizācijas dokumentiem – 10 gadi;
attaisnojuma dokumentiem par darbiniekiem aprēķināto mēnešalgu (darba samaksu) ar sadalījumu pa gadiem un mēnešiem – 75 gadi;
citiem dokumentiem – ne mazāk kā 5 gadi.

Atbilstoši Arhīvu likuma (AL) 4. un 5.pantam, kā arī saistīto MK noteikumu normām personāla dokumenti darba devējiem (privātpersonām) jāglabā līdz komercsabiedrības darbības izbeigšanai (kad tie jānodod valsts arhīvā). Pastāv arī viedoklis, ka personāla dokumenti privātpersonām pēc analoģijas ar publisko iestāžu pienākumiem jāglabā 75 gadus saskaņā ar AL 4.pantu. Tādējādi, ievērojot, ka Latvijā nav privātu kompāniju / darba devēju, kas būtu eksistējušas jau 75 gadus, šobrīd var tikai secināt, ka personāla dokumenti ir jāturpina glabāt līdz darbības izbeigšanai (proti, beztermiņa glabāšana).

Secināms, ka gadījumos, kad vairs nav sākotnējā mērķa, kura dēļ datu apstrāde tika veikta (darba attiecības ir izbeigušās un pusēm vairs nevar būt vienai pret otru nekādu prasījumu), vai arī attiecīgajam dokumentam ir iestājies likumā noteiktais glabāšanas termiņš, datu pārzinim vairs nav pamata turpināt šo datu apstādi (glabāšanu), līdz ar to dokumenti jāiznīcina. Dokumentu ilgāka glabāšana pieļaujama tikai tad, ja tam iespējams atrast citu tiesisko, nevis sākotnējo datu apstrādes pamatu.

Piemērs

Ja ar darbinieku noslēgts darba līgums, datu apstrāde darba attiecību ietvaros ir pamatota ar līgumsaistību pildīšanu. Taču, ja darba piedāvājuma vakancei piesakās vairāki pretendenti, tad pēc darbinieka pieņemšanas darbā pārējo pretendentu CV un citi personas dati ir nekavējoties jāiznīcina (jo līgums nav noslēgts), ja vien nav saņemta šo pretendentu piekrišana turpināt tos apstrādāt.

Personas datu iznīcināšana

Normatīvajos aktos nav regulēta kārtība vai veids, kādā dzēšami dokumenti, kuru glabāšana vairs nav nepieciešama. Atbilstoši normatīvajos aktos noteiktajam šajā procesā ir jānodrošina, ka informācija neatgriezeniski likvidēta un nenonāk pie trešajām personām. FPDAL 22.pantā paredzēts, ka pārzinim ir pienākums nodrošināt tehniskos un organizatoriskos pasākumus personas datu aizsardzībai. Minimālās prasības paredzētas MK noteikumos Nr.40 "Personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības" (MK noteikumi Nr.40). No šiem noteikumiem izriet, ka pārzinim ir pienākums izstrādāt iekšējos datu apstrādes aizsardzības noteikumus. Tātad likumdevējs nosaka tikai mērķi, kas būtu sasniedzams, bet līdzekļus, kā to sasniegt, izvēlas pats pārzinis. Proti, pārziņa kompetencē ir tas, kā tieši tiks veikta datu glabāšana vai iznīcināšana.

Tāpat jāizvēlas atbilstoši līdzekļi dokumentu dzēšanai vai iznīcināšanai. Tie ir atšķirīgi papīra formā glabātiem dokumentiem un elektroniski glabātiem datiem.

Likumdošanā nav noteikts konkrēts, obligāti izmantojams papīra formas dokumentu iznīcināšanas veids. Praksē izplatītākais dokumentu iznīcināšanas veids ir papīra smalcināšanas mašīnas. Izmantojot šo metodi, jāievēro, lai uz sasmalcinātās papīra masas daļām nebūtu atrodami personas dati. Tātad papīrs ir jāsasmalcina pietiekami sīki, lai nebūtu iespējams to atjaunot un attiecīgo informāciju atgūt. Parasti dokumentu smalcināšanai izmanto specializētus ārpakalpojumus, jo vidusmēra uzņēmumu birojos nav pietiekami jaudīga aprīkojuma lielāka apjoma dokumentu sasmalcināšanai.

Savukārt drošai elektronisko personas datu dzēšanai jāizmanto speciāla tam paredzēta programmatūra. Turklāt, nododot elektroniskās ierīces utilizācijā, tajos esošie datu nesēji, kuros glabājušies attiecīgie dati līdz to dzēšanai, būtu jāiznīcina. Piemēram, nododot darba datoru utilizācijai vai pārdodot to, vispirms būtu jāizņem un atbilstoši jāiznīcina tā cietais disks.

Svarīga datu dzēšanā ir arī autorizācija. Jebkuras darbības ar personas datiem drīkst veikt tikai tam atbilstoši pilnvarotas personas. Tas īpaši svarīgi ir aktīvajā datu apstrādes fāzē (datu vākšana un piekļuve), taču šis princips ir jāievēro arī iznīcināšanā. Tādēļ ir jārūpējas, lai datus iznīcinātu tikai personas, kas ir pilnvarotas veikt šo darbību. Atbilstoši FPDAL 27.panta 1.daļai pārzinim ir pienākums nodrošināt, ka fiziskās personas, ko pārzinis autorizējis apstrādāt personas datus, ievēro datu aizsardzības prasības, kā arī rakstiski apņemas neizpaust datus arī pēc darba attiecību izbeigšanās. Turklāt saskaņā ar MK noteikumu Nr.40 4.punktu pārzinim ir pienākums nodrošināt informāciju par datu apstrādi veikušās personas identitāti un laiku, kad tas izdarīts. Tātad pārzinim ir jādokumentē konkrēto personas datus saturošo dokumentu iznīcināšanas process, identificējot personu, kas to veikusi, un laiku, kad tas noticis.

Pārzinim iekšējos drošības noteikumos vajadzētu paredzēt MK noteikumiem Nr.40 atbilstošu (ieteicams – detalizētāku) personas datus saturošu dokumentu iznīcināšanas kārtību un tās kontroli. Tādējādi, darbiniekiem zinot precīzas darbības instrukcijas, tiek samazināts personas datu apdraudējuma risks.

Ja personas datu dzēšanai izmanto ārpakalpojumu, ārpakalpojuma sniedzējs kļūst par personas datu operatoru FPDAL 2.panta 6.punkta izpratnē, līdz ar to pārzinim ar viņu jāslēdz rakstveida līgums par pārziņa un operatora attiecību noregulējumu konkrēto personas datu apstrādē (FPDAL 14.pants). Pārzinim jāņem vērā, ka līguma noslēgšana atbildības nastu par datu apstrādi nepārnes personas datu operatoram – tā joprojām pilnā mērā visā procesa gaitā saglabājas pārzinim. Tādēļ pārzinim vajadzētu ievērot sevišķu rūpību, lai pārliecinātos, ka personas datu operators veic attiecīgo personas datu iznīcināšanu atbilstoši likumā noteiktajām prasībām.

Visbeidzot jānorāda, ka Latvijas Administratīvo pārkāpumu kodeksa 204.⁷pantā par pārkāpumiem personas datu apstrādē paredzēts naudas sods līdz 14 000 EUR. Tas attiecināms arī uz situācijām, kad nav ievērotas datu dzēšanas prasības.

Plānotas izmaiņas

Jānorāda arī vērā ņemama aktualitāte personas datu aizsardzības jomā. Proti, no 25.05.2018. piemērojama Eiropas Parlamenta un Padomes regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula). Ar to tiek ieviests vienots vispārīgs personas datu aizsardzības regulējums Eiropas Savienībā. Par personas datu dzēšanu aktuāli varētu būt 2 būtiski aspekti. Pirmkārt, noteikta detalizētāka kārtība, kādos gadījumos un kādā kārtībā persona var lūgt tās datu dzēšanu. Otrkārt, paredzēta datu apstrādes reģistra ieviešana, kas rada pārzinim pienākumu veikt samērā detalizētu datu apstrādes darbību pierakstu. Savukārt sods par pretlikumīgu datu apstrādi pēc šīs regulas stāšanās spēkā varēs sasniegt pat 20 milj. eiro.

0 Komentāri

Lai komentētu, autorizējies!

Citi raksti no šīs rubrikas

Ziņošanas pienākums sankciju pārkāpumu identificēšanai

Eiropas Savienība ir pieņēmusi jaunas ziņošanas prasības, pievienojot regulai 833/2014 par ierobežojošiem pasākumiem saistībā ar Krievijas darbībām, kas destabilizē situāciju Ukrainā, 5.r pantu, kas attiecas uz juridiskām personām un vienībām, kam ir būtiskas saites ar Krieviju. Kas jāņem vērā uzņēmumiem, uz kuriem attiecas šis ziņošanas pienākums, lai veiksmīgi varētu izpildīt visas piemērojamās prasības?

Saimnieciskā darbība 06:00, 5. Jūl. 2024

Kā pārliecināties, kam pieder bankas konts?

Juridiska persona, izsniedzot rēķinu, tajā norāda fiziskas personas konta numuru. Veicot rēķina apmaksu, naudu saņem fiziskā, nevis juridiskā persona. Šādā situācijā banka norāda, ka viņu pienākumos nav pārliecināties, ka konta numurs atbilst saņēmējam. Kā pārliecināties, ka rēķinā uzrādītais konta numurs atbilst norādītajam saņēmējam?

Saimnieciskā darbība 06:00, 13. Jūn. 2024

Kā identificēt klientu?

Vai ārpakalpojuma grāmatvedim, identificējot klientu, tas jāpārbauda tikai Nederīgo dokumentu reģistrā vai arī Sodu reģistrā, kas ir par papildu maksu? Kas paredzēts Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likumā?

Saimnieciskā darbība 06:00, 24. Mai. 2024

Patiesais labuma guvējs juridiskam veidojumam

Grozījumi Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likumā stājās spēkā 2024.gada 1.janvārī, precizējot terminu “patiesais labuma guvējs” attiecībā uz juridiskiem veidojumiem un nosakot par pienākumu noskaidrot, atklāt un sniegt ziņas par to patiesajiem labuma guvējiem.

Saimnieciskā darbība 06:00, 3. Mai. 2024

Pievienotās sabiedrības pamatkapitāls, reorganizējot uzņēmumu

Uzņēmums tiek reorganizēts pievienošanās ceļā, proti, vienu sabiedrību pievienojot otrai. Kas notiek ar pievienojamās sabiedrības pamatkapitālu, ja abām sabiedrībām ir viens un tas pats īpašnieks un iegūstošās sabiedrības pamatkapitāls netiek palielināts?

Saimnieciskā darbība 09:00, 2. Mai. 2024

E-rēķinu izaicinājumi

Vēl pirms dažiem gadiem biju diezgan entuziastiska par e-rēķinu ieviešanu uzņēmumu grāmatvedībā, lai veicinātu rēķinu apstrādes procesu automatizāciju. Tomēr, darbojoties starptautiskā vidē, saskaros ar apstākļiem, kuros mans entuziasms ir stipri mazinājies. E-rēķinu ieviešanai uzņēmumā ir divi galvenie motivatori – normatīvo aktu prasības konkrētās valstīs un/vai rēķinu apstrādes procesu automatizācija uzņēmumā.

Klausies

Saimnieciskā darbība 06:00, 29. Apr. 2024

Preču importētāju ziņošanas pienākums

Importētājiem, kuri Eiropas Savienībā importējuši noteiktās dzelzs un tērauda preces, cementu, alumīnija preces, mēslošanas līdzekļus, elektroenerģiju, ķīmiskas vielas, atbilstoši oglekļa ievedkorekcijas mehānismam (OIM) ir pienākums sniegt pirmos ziņojumus par importētajām precēm ceturkšņa griezumā, sākot ar 2023.gada ceturto ceturksni. Apskatām OIM importētāju ceturkšņa ziņojumu iesniegšanas prasības un iesniedzamo informāciju pārejas periodam līdz 2025.gada 31.decembrim.

Saimnieciskā darbība 06:00, 26. Apr. 2024

Skaidrojumi par DAC7 direktīvas piemērošanu

Kā jau ziņots iepriekš, 2021.gada 22.martā tika pieņemta jauna Eiropas Savienības direktīva 2021/514 par administratīvu sadarbību nodokļu jomā jeb DAC7, kas paredz pienākumu digitālo platformu operatoriem iesniegt informāciju nodokļu administrācijām par ienākumiem, kurus pārdevēji guvuši viņu platformās, bet dalībvalsts nodokļu administrācijām – automātiski apmainīties ar šādu informāciju. Ekonomiskās sadarbības un attīstības organizācija sniegusi skaidrojumus par direktīvas piemērošanu.

Saimnieciskā darbība 09:00, 12. Mar. 2024

Grāmatvedis-apakšuzņēmējs. Kādas prasības jāievēro?

Šobrīd praksē bieži var sastapties ar grāmatvežiem-apakšuzņēmējiem. Tā ir inovatīva sadarbības forma starp individuālo grāmatvedi un ārpakalpojuma grāmatvedības sniedzēju. Kuram šādā sadarbības modelī jānodrošina ārpakalpojuma licence un jāizpilda Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likuma prasības?

Klausies

Saimnieciskā darbība 06:00, 26. Feb. 2024

Kibernoziegumi grāmatvedībā

Arvien biežāk par krāpniecības upuriem kļūst tieši uzņēmumi un to grāmatveži. Krāpnieki uzdodas par ārpakalpojuma grāmatvežiem, lūdzot uzņēmuma vadītājiem apmaksāt rēķinus par sniegtajiem pakalpojumiem, vai arī grāmatveži saņem rēķinu no vadības, kas steidzami jāsamaksā. Kā uzņēmums var pasargāt sevi un grāmatvedi no krāpnieciskiem gadījumiem?

Saimnieciskā darbība 06:00, 2. Feb. 2024

Mākoņgrāmatvedības ieguvumi un riski

Mākoņgrāmatvedība kļuvusi par nozīmīgu tendenci finanšu un biznesa pasaulē, piedāvājot efektīvus risinājumus finanšu informācijas pārvaldībai un virkni ievērojamu priekšrocību, tai skaitā piekļuvi reāllaika finanšu datiem un iespēju tos viegli integrēt ar citām biznesa sistēmām. Tomēr tai piemīt arī riski, piemēram, datu drošības jautājumi un atkarība no interneta savienojuma, kas prasa pareizu pārvaldību. Apskatām mākoņgrāmatvedības sniegtās priekšrocības, kā arī to, kādi riski var rasties un kā tos mazināt.

Klausies

Saimnieciskā darbība 06:00, 5. Jan. 2024

Automatizācijas potenciāls elektronizācijas procesā

Šobrīd drukātie dokumenti tiek aizstāti ar elektroniskiem, kā arī dažāda veida aprēķini un atskaites tiek sagatavotas ar sistēmu atbalstu. Lai arī grāmatvedības un citas sistēmas nodrošina galveno funkcionalitāti, ne vienmēr to iespējas tiek izmantotas pilnā kapacitātē un joprojām atsevišķas darbības tiek veiktas ārpus tās. Ko mainīt, lai pilnībā izmantotu automatizācijas potenciālu?

Saimnieciskā darbība 06:00, 15. Dec. 2023

Kuras personas jāpārbauda sankcionēto sarakstā?

Vai ārpakalpojumu grāmatvedim sankcionēto personu sarakstā jāpārbauda visas ar sabiedrību saistītās personas? Piemēram, Latvijas sabiedrībai ar ierobežotu atbildību (SIA) mainās īpašnieki – bija viens, kuram piederēja visas sabiedrības daļas 100% apmērā, bet tagad klāt nācis otrs, kuram pieder 10% no SIA daļām (abi dalībnieki Latvijas rezidenti). Vai ārpakalpojuma grāmatvedim jāpārbauda jaunais SIA dalībnieks, vai tomēr nē, jo neatbilst “patiesā labuma guvēja” kritērijam, proti, jaunajam dalībniekam nepieder vismaz 25% sabiedrības daļu un nav izšķirošas ietekmes kādā citādākā veidā?

Saimnieciskā darbība 06:00, 24. Nov. 2023

Oglekļa ievedkorekcijas mehānisms darbojas no 1.oktobra

Lai izvairītos no oglekļa emisiju pārvirzes prakses, proti, no situācijas, kad ražošanas nozares ar lielām siltumnīcefekta gāzu emisijām pārceļas ārpus Eiropas Savienības (ES) un tādējādi izvairās no ES noteikto stingro standartu ievērošanas, tiek ieviests oglekļa ievedkorekcijas mehānisms (OIM) un visām OIM pakļautajām importētajām precēm tiks noteikts oglekļa maksājums. Ko tas nozīmē uzņēmumiem?

Saimnieciskā darbība 06:00, 25. Okt. 2023

Automatizācijas iespējas dokumentu un rēķinu apstrādē

Automatizācija ir neatņemama grāmatvežu ikdienas sastāvdaļa. Došanās uz banku ar maksājumu uzdevumiem, konta izraksta saņemšana pie bankas lodziņa, ikmēneša ceļojums uz Valsts ieņēmumu dienesta nodaļu, lai pēc gaidīšanas rindā iesniegtu nodokļu pārskatus un saņemtu zīmodziņu uz sava eksemplāra, izklausās pēc ainām no senas pagātnes. Šobrīd šīs darbības ir automatizētas, taču automatizācijas līmenis var būt atšķirīgs.

Saimnieciskā darbība 06:00, 4. Okt. 2023

Skatīt vairāk...