Eksperte: Datu regula nav nekāds bubulis

© Mārtiņš ZILGALVIS, F64 Photo Agency

25. maijā Latvijā sāka piemērot Eiropas Savienības (ES) Vispārīgo datu aizsardzības regulu (Regulu), kurai arī piekārto Latvijas jauno Personas datu apstrādes likumu. Par to runāts daudz, bet skaidrības maz – lai to vairotu, Neatkarīgā iztaujāja Datu valsts inspekcijas (DVI) direktora vietnieci Lāsmu Dilbu.

Neatkarīgā: - Varat kodolīgi ieskicēt būtiskākās Regulas atšķirības no līdzšinējā Fizisko personu datu aizsardzības likuma?

Lāsma Dilba: - Ir vienots normatīvais akts visā ES, un prasības piemērojamas katrā dalībvalstī, kur iepriekš spēkā bija nacionālie likumi un veids, kā normas tika īstenotas, mēdza atšķirties. Jebkuram uzņēmējam, neatkarīgi no tā, kurā valstī tas reģistrēts, ir pienākums ievērot Regulu, ja apstrādā ES pilsoņu datus. Iepriekš, piemēram, bija problēmas ar tādu lielu uzņēmumu jurisdikciju kā facebook un google un strīdi par to, kuras valsts likumdošanai tiem jāpakļaujas. Tie reģistrēti ASV, bet ļoti aktīvi piedāvā savus pakalpojumus ES un iegūst to pilsoņu datus. Nu šī diskusija ir beigusies, viņiem Regula ir saistoša.

Kopš līdzšinējo likumu un Regulas pieņemšanas notikušas daudzas diskusijas par noteiktu jautājumu izpratni, attīstījušās tehnoloģijas. Daudzas datu aizsardzības atziņas bija ietvertas tiesas spriedumos, kas ņemtas vērā arī Regulā, piemēram, tiesības tikt aizmirstam. Tagad šīs tiesības ir tieši ierakstītas Regulā, bet iepriekš tās tikai tika interpretētas no direktīvas mērķa un tiesas spriedumiem. Ir darīts viss, lai Regula būtu pilnīga, atbilstoša mūsdienām un iespējami skaidri noteiktu datu apstrādātāju rīcību, personu tiesības uz datu aizsardzību un kontroli. Ir pastiprināts personas piekrišanas jēdziens datu apstrādei - piekrišanai jābūt brīvai, nepiespiestai, un no tās sniegšanas nedrīkst būt atkarīga pakalpojuma pieejamība. Jebkurā brīdī datu subjekts ir tiesīgs atsaukt savu piekrišanu.

- Datu izmantošanas piekrišana tiek dota vienam konkrētam uzņēmumam, nevis tam, ka dati tiek nodoti tālāk trešajām personām. Pakalpojumu sniedzēji nereti atsūta informāciju par datu izmantošanu, nodošanu trešajām personām mārketinga nolūkos. Kas tad tur mainās?

- Jau līdz šim uzņēmumi ir dalījušies ar viņu rīcībā esošajiem datiem. Likums pieļauj komersantam nodot informāciju par jums citam komersantam, ja tas piedāvā līdzīgu pakalpojumu. Regula aizliedz apstrādāt personas datus ar sākotnējo nolūku vai mērķi nesavietojamā veidā. Ja viņi ievāc datus nolūkā piedāvāt personalizētu preču grozu, tad viņi nedrīkst tos nodot, piemēram, telepakalpojumu sniedzējam, lai tas jūs pārvilinātu pie sevis no cita šā pakalpojuma sniedzēja - tas nebūs ar sākotnējo mērķi savietojams mērķis. Bet uzņēmums var jūsu datus mārketinga nolūkos nodod saviem sadarbības partneriem, jūs par to informējot. Tā notika arī pirms tam, tikai par to nezinājāt. Tagad datu subjektam ir jābūt sniegtai pilnīgai informācijai par to, kas notiek ar tā datiem, kādiem nolūkiem tie tiek izmantoti. Protams, jūs varat arī iebilst, un tā ir jūsu izvēle, vai sniedzat atļauju izmantot savus datus apmaiņā pret jums piedāvātiem bonusiem.

- Lielveikali, interneta veikali, kas regulāri sūta piedāvājumus atkarībā no līdzšinējo pirkumu groza, to joprojām drīkstēs ķidāt un izteikt man piedāvājumus?

- Ja norāda konkrētu nolūku, kas pārsvarā ir personalizēto piedāvājumu izstrāde, tad jā. Galvenais, lai persona zinātu, kādiem nolūkiem un kāpēc dati tiek izmantoti, vienlaikus katram nolūkam ir vajadzīgs tiesiskais pamats.

- Kā jaunais regulējums sadārdzinās dzīvi uzņēmējiem? Kam jāpieņem pastāvīgi datu aizsardzības speciālisti un kam pietiek ar vienreizēji izsūtītu informāciju par datu izmantošanu un klientu parakstītu piekrišanu?

- Piekrišana nav vienīgais tiesiskais datu apstrādes pamats. Ir jābūt likumīgam mērķim. Uzņēmējs noteikti vēlēsies gūt peļņu, reklamēt kādus produktus, valsts iestādēm ir noteikts likumā, kas jādara ar datiem. Tiesiskie pamati nav mainījušies, tie ir: personas piekrišana, līguma noslēgšana, likumā paredzēts pienākums kaut ko darīt ar datiem, kādu svarīgu interešu aizsargāšana, kas ir svarīgāka par personas interesēm, sabiedrības labā veicamas darbības un vitālu interešu aizsardzība. Lojalitātes karšu gadījumā tiesiskais pamats būs piekrišana. Video novērošana bieži domāta savu tiesību, īpašuma aizsardzībai no noziedzīgiem nodarījumiem, tad tiesiskais pamats būtu leģitīmo interešu nodrošināšana. Ikvienam jāsaprot, kādam mērķim un uz kāda pamata viņi datus apstrādā, un par to jāinformē datu subjekti.

Ir jākonstatē, kādi personas dati ir uzņēmuma rīcībā, uz kāda pamata tie tiek apstrādāti, ievākti, glabāti, nodoti. Pamatprasības un tiesiskie pamati nav mainījušies, bet ir pastiprināta datu pārziņu atbildība, tāpēc juridiskām personām nereti nepieciešama datu aizsardzības speciālista iecelšana.

- Kam līdz šim tā nebija obligāta, bet tagad noteikti vajadzēs šo speciālistu?

- Iepriekš šim speciālistam nebija jābūt obligāti. Iepriekš bija jāveic personas datu apstrādes reģistrācija DVI, bet, ja bija iecelts datu aizsardzības speciālists, varēja nereģistrēt. Šobrīd šāds speciālists ir obligāti nepieciešams valsts un pašvaldību iestādēs un uzņēmumos, kuru pamatdarbība sastāv no regulārām un sistemātiskām datu apstrādes darbībām plašā mērogā vai pārziņa pamatdarbības notiek ar īpašam datu kategorijām. Bet katrai iestādei vai uzņēmumam nav obligāti jānodarbina atsevišķa persona - to var arī veikt kā ārpakalpojumu vai šo funkciju uzticēt kādam jau esošam darbiniekam, kuram ir zināšanas datu aizsardzībā un attiecīga pieredze.

- Ja speciālists sakārto sākotnējo sistēmu, ko viņš darīs pastāvīgi?

- Datu aizsardzība ir process, nevis rezultāts. Tehnoloģijas mainās, rodas jauni tiesiskie pamati datu apstrādei, parādās jauni datu subjekti - speciālistam jānovēro šie procesi. Jā, lielā mērā svarīgākais posms ir sākotnēji sakārtot sistēmu, novērtēt riskus, normatīvos aktus, drošības politiku. Datu aizsardzības speciālists ir neatkarīga persona, kuras darbībai ir pamatā konsultatīvs raksturs. Ja uzņēmuma vai iestādes vadītājs neņem vērā šā speciālista viedokli, viņam jādokumentē, kāpēc to nedara, un, ja uzņēmuma darbībā tiek konstatēts datu aizsardzības pārkāpums, atbildīgs būs viņš, nevis datu aizsardzības speciālists.

- Mums ir pietiekams šo speciālistu skaits, lai nodrošinātu jauno pieprasījumu?

- Līdz šim datu aizsardzības speciālists varēja būt tikai noteiktā kārtībā DVI sertificēta persona. Regula neparedz īpašu sertifikāciju, bet pasaka, ka speciālistam ir jābūt zināšanām un pieredzei personas datu aizsardzībā. Saeimā izskatīšanā esošajā likumprojektā, kas palīdzēs ieviest Regulu Latvijā, arī netiks prasīta obligāta šā speciālista sertifikācija DVI. Sertifikācija turpmāk būs brīvprātīga. Sīkāki kritēriji nav paredzēti, līdz ar to tā būs datu pārziņa atbildība un uzticēšanās jautājums konkrētai personai.

- Daudzus sociālo tīklu lietotājus interesē informācija un foto publiskošana no pasākumiem, kur redzami gan paši, gan paziņas, gan draugi, gan nepazīstami cilvēki - ir te kādi jauni ierobežojumi?

- Regula, tāpat kā līdzšinējais regulējums, paredz izņēmumus attiecībā uz personas datu apstrādi mājsaimniecības vai personiska rakstura vajadzībām, tostarp arī attiecībā uz sociālo tīklošanu. Ja fotografējam savām vajadzībām kādu notikumu, vietu, pasākumu un publicējam to savu draugu lokā, tas tiek traktēts kā izmantošana personiskām vajadzībām. Ja personas un arī citu personu fotogrāfijas publiskošana ir, piemēram, ar komerciālu nolūku, tad uz šādu apstrādi izņēmumi «personiskām vajadzībām» neattiecas. Bet lielākoties nekas daudz nemainās.

- Tātad cilvēki, kas iekļuvuši manu fotogrāfiju fonā, kuras publicēju facebook, nevar protestēt, ka esmu publiskojusi foto bez viņu piekrišanas?

- Ja tas notiek personiskām vajadzībām, tad Regulas prasības uz to neattiecas. Ja jums būs savstarpējs strīds, ja personai nepatiks, ka viņa būs kaut kādā nepiedienīgā stāvoklī vai puskaila, viņa var vērsties pie jums un prasīt foto izņemt, bet Regulas prasības tur vairs nevajadzētu iejaukt.

Arī Satversme aizsargā privātās dzīves neaizskaramību, un personas datu apstrāde ir tikai daļa no tās. Regula ir tikai viens no privātuma aizsardzības līdzekļiem.

- Ja es organizēju pasākumu, no kura publiskoju bildes sociālajos tīklos vai mājaslapā, vai man jāprasa visiem dalībniekiem rakstiska vai mutiska piekrišana fotogrāfiju publicēšanai? Vai tikai, kā jau skaidrots, ja izmantoju tās komerciāliem mērķiem?

- Te jāskatās šīs darbības tiesiskais pamats un mērķis. Ja tas ir privāts pasākums, tad var uzskatīt, ka veicat fotografēšanu, filmēšanu privātām vajadzībām. Ja foto arī publicējat, tad viens variants ir informēt dalībniekus. Vēlme parādīt šo skaisto pasākumu arī draugiem, kuri uz to netika, arī ir jūsu leģitīma interese, bet, ja kāds no dalībniekiem palūgtu nepublicēt viņa bildi, tad tas būtu jārespektē. Bet lūgt visiem piekrišanu nevajag.

Jāskatās arī, kas un kāpēc organizē pasākumu. Ja pašvaldība vai kāda valsts iestāde par budžeta līdzekļiem rīko, piemēram, sporta svētkus ar mērķi popularizēt veselīgu dzīvesveidu, veidot tam labvēlīgu vidi savā novadā, savstarpējo komunikāciju, kas arī ir pašvaldības funkcijas, kurām tās arī izmanto nodokļu maksātāju līdzekļus, to tiesiskais mērķis un leģitīmais pamats ir informēt plašāku sabiedrību. Tad dalībnieki jāinformē, ka pasākums tiks filmēts, fotografēts un materiāls tiks publicēts, kā arī jāinformē, kā cilvēki var piekļūt saviem datiem. Lielās pilsētu svinībās nekad nevarēs no visiem dalībniekiem saņemt īpašu piekrišanu, bet ir jābūt informācijai par to, kas filmē, fotografē, lai nepieciešamības gadījumā personas zinātu, pie kā vērsties, ja uzskatītu, ka tās piefiksētas nesimpātiskā veidā, un nevēlētos, lai šādas viņu bildes mūžīgi paliek arhīvā.

- Atsevišķi panti netiks piemēroti, ja dati vākti žurnālistikas vajadzībām. Kaut kas mainās mediju darbā?

- Lielos vilcienos - nemainās. Gan Regulā, gan topošajā likumprojektā ir norma par žurnālistiskajām vajadzībām, kur uzsvērts žurnālista pienākums ievērot pamattiesību būtību un pamatprincipus: izmantot datus tikai tik, cik nepieciešams, godprātīga un likumīga apstrāde, glabāšana tikai tik, cik ilgi vajag, un drošības noteikumu ievērošana.

- Tas ir kas jauns?

- Principā - nē. Bet, manuprāt, ir ļoti svētīgi to atgādināt, jo ir bijušas neskaitāmas lietas, kad personas sūdzas, ka žurnālisti viņas filmējuši bez atļaujas. Jā, žurnālistiskie mērķi ir jāsasniedz, sabiedrība ir jāinformē, par to ir neskaitāmi tiesas spriedumi gan ES tiesā, gan Eiropas Cilvēktiesību tiesā, tomēr Regula liek žurnālistiem aizdomāties, ka arī viņiem ir jāievēro personas datu apstrādes pamatprincipi un žurnālista ētika.

- Regula dos plašākas tiesības tiem cilvēkiem, kas uzskatīs, ka aizskarts viņu privātums, efektīvāk vērsties pret medijiem, žurnālistiem?

- Mediju jautājumu, kā līdz šim, regulēs pamatā Mediju likums, un primāri personai būtu jāvēršas pret žurnālistu, redaktoru vai medija īpašnieku, ja tā uzskatīs, ka ir pārkāptas tiesības uz privātumu.

- Subjekta piekrišanu datu publiskošanai nav obligāta, ja informācija vākta un publiskota žurnālistikas vajadzībām un sabiedrības interesēs. Vai tāpat tas būs arī attiecībā uz dzelteno presi? Sabiedrību taču interesē, kurš ar kuru, cik turīgs - dzeltenās un kriminālziņas ir lasītākās ziņas! Tas daļēji ir jautājums par to, cik plaši interpretējams jēdziens «sabiedrības intereses» un žurnālistiskās vajadzības.

- Diezgan plaši un atkarībā no katra gadījuma. Te parasti saduras divas pamattiesības: tiesības uz privātumu un uz vārda brīvību un informāciju. Arī dzeltenā prese ir žurnālistika, un arī sabiedrības interese par kādu plašāk pazīstamu personu tiek atzīta par leģitīmu interesi. Tas izriet arī no Eiropas Cilvēktiesību tiesas spriedumiem, kas definē to, ka valsts amatpersonām, politiķiem ir mazāks privātuma aizsardzības līmenis, līdzīgi arī citām personām, kuras ir izvēlējušās darboties publiskajā sfērā, sabiedrībā pazīstamām personām - dziedātājiem, mūziķiem, žurnālistiem, uzņēmējiem u.c. Protams, arī žurnālistiem ir jāsaprot, cik tālu iet, cik šī sabiedrības interese ir attaisnojama. Lai arī politiķiem, amatpersonām aizsardzības līmenis ir zemāks, būtu nesamērīgi filmēt viņu, piemēram, guļamistabā.

- Robeža ir diezgan skaidra vai atkarīga no katra ētikas izpratnes?

- Es ļoti gribētu, lai būtu stingri kritēriji, diemžēl tā nav. Pastāv arī subjektīvais faktors. Ir cilvēki, kas priecājas par to, ka viņus filmē žurnālisti, paši sadarbojas ar dzelteno presi, jo arī šo publicitāti uzskata par savu reklāmu. Pat ja šie cilvēki būtu nofilmēti savā guļamistabā apakšbiksēs un viņiem šķiet, ka tas tikai popularizē viņu tēlu, viņi necels iebildumus. Bet tajos pašos apstākļos salīdzinoši publiska persona tādu pašu publicitāti uzskatītu par tās privātuma aizskārumu un vērstos tiesā. Apsvērumi ir ļoti dažādi un izvērtējami individuāli.

- Bet, ja tie, kam nepatīk viņu privātās dzīves tiražēšana, tomēr iekrīt kategorijā - politķi, valsts amatpersonas, populāri cilvēki u.tml., viņiem nevajadzētu celt iebildes, ka dzeltenā prese viņus fotografē, apraksta, un šo mediju pārstāvjiem nav jāprasa viņu piekrišana?

- Tā nav, bet pastāv risks, ka, iesniedzot sūdzību par žurnālista darbību, tiks vērtēta rīcības atbilstība samērīguma prasībām un tas, vai vārda brīvība un žurnālistikas vajadzības tiešām prevalē konkrētajā gadījumā pār personas privātuma aizsardzību.

Es teiktu, ka šiem medijiem jābūt uzmanīgākiem.

- Daudzi varbūt jau kļuvuši pārcentīgi vai satraukušies milzīgo sodu dēļ. Tiem pagaidām vēl ir moratorijs, vai tie tiks piemēroti selektīvi, ja tomēr jau ierēķināts noteikts ienākumu apmērs budžetā no tiem?

- Visā Eiropā ir paredzēti vienādi maksimālie sodi par konkrētiem pārkāpumiem. Kolēģija, kas ir kopīga visām ES valstīm, ir izdevusi vadlīnijas administratīvā soda piemērošanai, bet nav tāda saraksta, par kādu pārkāpumu ir 1000 eiro, par kādu - 2000. Un tas arī ir saprotams, jo jebkurš gadījums jāskata individuāli. Mēs darbosimies pēc principa «konsultē vispirms», mācīsimies paši un izglītosim uzņēmējus un citus, lai panāktu atbilstību regulai, kas ir mūsu galvenais mērķis. Mūsu galvenais mērķis nav sodīt. Sods ir tikai viens no instrumentiem, lai panāktu atbilstību Regulai. DVI ir arī tiesības izdot dažādus rīkojumus, uzdodot novērst nepilnības, veikt konkrētu rīcību, apturēt apstrādi utt. Ja šie līdzekļi nav iedarbīgi, tad varam piemērot administratīvo sodu.

- Ja redzēsiet, ka nav ļaunprātīgs pārkāpums, uzreiz sods nesekos?

- Ja uzņēmums pilnībā ignorē datu aizsardzības prasības, lai arī ne ļaunprātīgi, būs tomēr grūti izvairīties no soda. Bet, protams, centīsimies maksimāli skaidrot un tikai tad piemērot sankcijas.

- Regula tiešām būs reāls instruments privātuma aizsardzībai vai vairāk nodeva Eiropas birokrātijai?

- Ļoti ceru, ka šis instruments tiešām būs ļoti iedarbīgs un palīdzēs aizsargāt personu privātumu.

Svarīgi, ka tā tiek piemērota visiem uzņēmējiem, kuri sniedz pakalpojumus vai darbojas ES, visiem, kas apstrādā ES pilsoņu datus, panākot vienotu izpratni par privātuma aizsardzību. Pieļauju, ka šobrīd ir radies priekšstats, ka tā ir kā svešķermenis, kuru īsti nezinām, kā ieviest. Pakāpeniski viss noregulēsies. Uzņēmējiem, kuri līdz šim darbojušies saskaņā ar Fizisko personu datu aizsardzības likumu, nevajadzētu rasties pārmērīgām problēmām. Domāju, ka tiek veidots bubulis, bet viss pakāpeniski norimsies un visi sapratīs, ka nekas ārkārtējs tur nav, ir tikai jāsakārto sava saimniecība, jāsaprot, ko un kāpēc darām. Jā, ir jāinformē datu subjekti, bet jebkurš no mums ir datu subjekts un mēs paši esam ieinteresēti, lai mūsu dati neklejo apkārt nezināmā virzienā, bet tiek izmantoti mērķiem, kādiem tie iegūti.



Latvijā

13. novembrī ap pulksten septiņiem vakarā Valsts policija saņēma informāciju par to, ka Olainē ir bezvēsts pazudis kāds jaunietis, kuram ir iespējamas veselības problēmas, tostarp mēdz pazust atmiņa. Viņa vecāki bija pamanījuši, ka jaunietis devies meža virzienā. Situāciju vēl saspringtāku padarīja apstāklis, ka viņš saviem tuviniekiem bija atstājis atvadu vēstuli.

Svarīgākais