Publikācijas

Kas jāņem vērā, veicot datu apstrādi uzņēmumos un organizācijās

Juridiskas personas neatkarīgi no to darbības jomas ikdienā neizbēgami saskaras ar dažādu fizisko personu, tajā skaitā darbinieku un klientu, datu apstrādi. Šī raksta ietvaros zvērinātu advokātu birojs „Rasa un Ešenvalds” vēlas norādīt uz būtiskākajiem principiem, kas uzņēmumiem un organizācijām jāievēro, apstrādājot fizisko personu datus, kā arī uz iespējamo atbildību par šo principu neievērošanu. Īpaša uzmanība tiks pievērsta datu apstrādei darba tiesisko attiecību jomā.

Ieskats personas datu apstrādes jēdziena saturā

Saskaņā ar Fizisko personu datu aizsardzības likuma 2.pantu personas dati ir jebkāda privāta rakstura informācija par kādu personu, kas ļauj šo indivīdu identificēt. Personas dati var pastāvēt dažādās formās: rakstveidā kādā dokumentā vai korespondencē, tostarp arī elektroniskā formātā (piemēram, personas kods un pases numurs, kas iekļauts personas pasē vai norādīts elektroniskā pasta sūtījumā); fotoattēlā; skaņas vai videoierakstā. Turklāt šis uzskaitījums nav izsmeļošs. Atsevišķa kategorija ir sensitīvie personas dati, kas norāda personas rasi, etnisko izcelsmi, reliģisko, filozofisko un politisko pārliecību, dalību arodbiedrībās, kā arī sniedz informāciju par personas veselību vai seksuālo dzīvi.

Savukārt datu apstrāde aptver jebkāda veida darbības, kas tiek veiktas ar personas datiem, tajā skaitā, datu iegūšana (vākšana), reģistrēšana, glabāšana, rediģēšana, organizēšana, dzēšana, izmantošana kādam konkrētam mērķim, kā arī nodošana (izpaušana) citām personām. Tā, piemēram, par datu apstrādi uzskatāma personas koda saņemšana no darbinieka un iekļaušana darbinieka personas lietā, kā arī darbinieka personas koda nodošana Valsts ieņēmumu dienestam. Persona vai institūcija, kas apstrādā fizisko personu datus, ir pārzinis.

Reģistrācijas pienākums Datu valsts inspekcijā

Jānorāda, ka noteiktos gadījumos uzņēmumiem un organizācijām, kas apstrādā personu datus, ir vai nu jāreģistrē pati datu apstrāde vai īpaši izraudzīts un attiecīgi kvalificēts datu aizsardzības speciālists Datu valsts inspekcijā. Šāds pienākums atbilstoši Fizisko personu datu aizsardzības likuma 21.pantam ir šādos gadījumos:

1) ja datu apstrāde ir saistīta ar juridiskās personas darbības virzienu (proti, sniedzot finanšu vai apdrošināšanas pakalpojumus, veicot izlozes vai loterijas, tirgus vai sabiedriskā viedokļa pētījumus, personāla atlasi vai personāla novērtēšanu kā komercdarbības veidu; kā arī sniedzot parāda atgūšanas pakalpojumus un kredītinformācijas apstrādes pakalpojumus kā komercdarbības veidu);

2) ja juridiskā persona veic sensitīvo personas datu apstrādi. Tomēr tas neattiecas uz gadījumiem, kad datu apstrādi veic grāmatvedības vai personāla uzskaites (darba tiesisko attiecību) mērķiem, kā arī, ja datus apstrādā reliģiskās organizācijas;

3) ja juridiskā persona veic videonovērošanu un tās rezultātā iegūtie ieraksti, kas attēlo personas, tiek saglabāti;

4) ja datus paredzēts nodot valstij, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts.

Tāpat reģistrācija nepieciešama, ja tiek apstrādāti personas dati saistībā ar noziedzīgiem nodarījumiem un administratīvajiem pārkāpumiem, kā arī, ja apstrādāti tiek ģenētiskie dati. Pēc sekmīgas reģistrācijas konkrētais uzņēmums (organizācija) vai datu aizsardzības speciālists tiek iekļauts Datu apstrādes reģistrā, kura pārraudzība ir Datu valsts inspekcijas kompetencē.

Datu apstrādē ievērojamie principi

Fizisko personu datu aizsardzības likums paredz noteiktus principus, kas pārzinim ir jāievēro, apstrādājot personas datus.

Pirmkārt, datu apstrādei ir jābūt likumīgai, tātad tā var tikt veikta tikai noteiktos gadījumos, kurus paredz Fizisko personu datu aizsardzības likums vai citi likumi. Uzņēmumu un organizāciju īstenotās datu apstrādes kontekstā būtiski pieminēt šādus likumā paredzētos gadījumus, kad ir atļauts apstrādāt personas datus:

1) ja persona ir sniegusi tam savu piekrišanu, piemēram, iesniedzot savas pases kopiju. Turklāt šai piekrišanai jābūt apzinātai un brīvprātīgai, nevis uzliekot to personai par pienākumu, no kura nevar atteikties;

2) ja datu apstrāde izriet no konkrētās personas līgumsaistībām vai, ievērojot tās lūgumu, datu apstrāde nepieciešama, lai noslēgtu attiecīgu līgumu;

3) ja datu apstrāde ir nepieciešama, lai, ievērojot personas pamattiesības, realizētu pārziņa likumiskās intereses. Tā, piemēram, uzņēmums var izvietot videokameras biroja ēkā noteiktās vietās, lai aizsargātu savu īpašumu no zādzībām un cita veida kaitējuma.

Otrkārt, dati var tikt apstrādāti tikai atbilstoši tam paredzētajam mērķim, piemēram, darba tiesisko attiecību mērķim, un samērīgā apjomā. Par šī principa pārkāpumu tiks uzskatīta situācija, ja uzņēmums vai organizācija pieprasīs no personas tādus datus, kas konkrētajam mērķim nebūt nav nepieciešami, piemēram, tādus darbinieka medicīnas datus, kas nav vajadzīgi, lai nodrošinātu darbnespējas lapas noformēšanu. Turklāt situācijās, kurās datu apstrādei nepieciešama personas piekrišana, jau iegūtos datus nevar izmantot citiem mērķiem, kuriem persona nav piekritusi. Tādā gadījumā atkārtoti nepieciešams saņemt personas piekrišanu jaunajam datu apstrādes mērķim.

Treškārt, datu apstrādes caurskatāmības princips paredz informēt personu par datu apstrādes mērķiem, metodēm un to, kādi konkrētās personas dati tiek apstrādāti.

Pārzinim ir jāpārliecinās par datu pareizību un nepieciešamības gadījumā novecojusī vai nekorektā informācija jārediģē vai jāatjauno. Savukārt tad, ja datu glabāšana vairs nav nepieciešama noteikto mērķu sasniegšanai un normatīvie akti neparedz to turpmākas glabāšanas pienākumu, šī informācija ir jāiznīcina.

Personas datu apstrāde darba tiesisko attiecību jomā

Līdz ar darba līguma noslēgšanu gan darba devējs, gan darba ņēmējs apzinās, ka ir nodevuši viens otram noteiktu konfidenciālas informācijas apjomu, kas nepieciešams objektīvam mērķim, proti, pilnvērtīgai darba attiecību uzsākšanai. Turpmāk darba attiecību ietvaros uzņēmumam (organizācijai) ir nepieciešams dažādos veidos rīkoties ar darbinieka personas datiem, tādēļ ir svarīgi pievērst uzmanību dažiem specifiskiem datu apstrādes aspektiem šajā jomā papildus iepriekš minētajiem vispārīgajiem datu apstrādes principiem.

Pirmkārt, darba devējs var vākt tikai tādus darbinieka personas datus, kas objektīvi saistīti ar darba pienākumu pildīšanu un kvalifikāciju. Uzņēmumā (organizācijā) jābūt skaidri noteiktam, kura persona (personas) veic datu apstrādi. Šai personai jābūt izglītotai datu apstrādes jautājumos un jābūt instruētai apstrādāto informāciju neizpaust citām personām, tostarp citiem darbiniekiem nolūkā apmierināt ziņkāri.

Darbinieku dati var tikt nodoti citām personām vai institūcijām tikai ar darbinieka sniegtu piekrišanu vai bez piekrišanas citos likumā noteiktajos gadījumos. Tā, piemēram, ar darbinieka piekrišanu uzņēmums (organizācija) var nodot darbinieka personas datus apdrošināšanas sabiedrībai nolūkā piešķirt viņam veselības apdrošināšanas polisi. Savukārt atbilstoši Fizisko personu datu aizsardzības likuma 13.pantam likumā noteiktajos gadījumos darba devējam būs pienākums sniegt informāciju par darbinieku bez viņa piekrišanas valsts un pašvaldības amatpersonām, piemēram, policijai. Īpaši sensitīvs aspekts ir darbinieka datu padarīšana par publiski pieejamiem, piemēram, darbinieka CV un attēla publiskošana uzņēmuma mājaslapā vai sociālajā tīklā. Tādā gadījumā darbinieka piekrišana ir obligāta.

Darbinieka komunikāciju (telefonsarunas, elektroniskā pasta korespondence) un informācijas tehnoloģiju (interneta) lietošanas jomā darba devējam ir īpaši jārespektē darbinieka privātā dzīve. Uzņēmums (organizācija) cita starpā nedrīkst kontrolēt ne darbinieka privātās telefonsarunas (noskaidrot to ilgumu, sarunu adresātu, veikt skaņas ierakstus), ne elektronisko saraksti, ne arī pārbaudīt, kādas interneta vietnes darbinieks ir apmeklējis un kādas taustiņu kombinācijas ir ievadījis, izmantojot tastatūru. Šajā kontekstā nav nozīmes tam, vai darba devējs nodrošina komunikācijām un interneta lietošanai nepieciešamās ierīces un pieslēgumus un veic samaksu par saņemtajiem pakalpojumiem.

Tomēr saskaņā ar Darba likuma 55.-56.pantu darba devējs var noteikt zināmus ierobežojumus attiecībā uz komunikācijām un interneta lietošanu, ietverot tos iekšējos darba kārtības noteikumos. Tā, piemēram, uzņēmums (organizācija) var noteikt, ka elektroniskais pasts nav izmantojams privātai komunikācijai vai bloķēt noteiktas interneta vietnes.

Darba devējs var veikt videonovērošanu darbavietā, tomēr tādā gadījumā obligāts pienākums ir reģistrēt datu apstrādi vai datu aizsardzības speciālistu Datu valsts inspekcijā. Videonovērošanai ir jābūt skaidri definētam datu apstrādes mērķim, kuru nebūtu iespējams tikpat efektīvi sasniegt ar cita veida alternatīviem līdzekļiem. Šādi mērķi var būt, piemēram, uzņēmuma (organizācijas) īpašuma vai citu personu, sevišķi bērnu, aizsardzība. Parasti videonovērošana tiek veikta publiski pieejamās darbavietās, piemēram, bibliotēkā vai pārtikas veikalā. Videokameras ir atļauts izvietot pie ēkas ieejām, izejām, gaiteņos un tamlīdzīgās vietās, tomēr ne privātas dabas telpās, sevišķi tualetēs vai darbinieku kabinetos. Par videonovērošanas izmantošanu darbinieki ir obligāti jāinformē, turklāt tādā gadījumā ir jāizvieto brīdinājuma norādes, kam jābūt pieejamām gan darbiniekiem, gan citām personām, kas ienāk ēkā.

Uzņēmumam (organizācijai) ir jānodrošina darbinieku tiesības piekļūt saviem datiem un noskaidrot datu apstrādes mērķi un tiesisko pamatu. Jānorāda, ka ir pat ļoti ieteicams darbiniekus informēt par šīm tiesībām pēc darba devēja iniciatīvas. Tāpat darbiniekam ir tiesības pieprasīt, lai viņa personas datus papildina vai izlabo, kā arī pārtrauc to apstrādi vai iznīcina, ja personas dati ir nepilnīgi, novecojuši, nepatiesi, pretlikumīgi apstrādāti vai arī tie vairs nav nepieciešami glabāšanas mērķim. Darbinieka personas lietas jāglabā samērīgu laika periodu, tas ir, ne ilgāk, kā šī informācija ir nepieciešama datu apstrādes mērķu sasniegšanai, sevišķi, ja darba tiesiskās attiecības ir tikušas izbeigtas. Tomēr arī šādā gadījumā dati var tikt glabāti, ja tas nepieciešams noteiktam un svarīgam mērķim, piemēram, kāda incidenta darbavietā izmeklēšanai.

Gadījumā, ja uzņēmums (organizācija) neievēro minētās darbinieka tiesības, persona var sūdzēties par to Datu valsts inspekcijā, kas tādā gadījumā var ierosināt administratīvā pārkāpuma lietu un uzlikt administratīvo sodu. Tāpat darbinieks var prasīt kompensāciju par datu apstrādes rezultātā viņam radīto kaitējumu.

Atbildība

Zvērinātu advokātu birojs „Rasa un Ešenvalds” norāda, ka datu apstrādes likumības un citu principu ievērošanas būtiskumu paspilgtina iespējamā administratīvā un pat kriminālā atbildība, kas paredzēta par šo prasību neievērošanu. Par nelikumīgām darbībām ar fiziskas personas datiem, par datu apstrādi bez likumā noteiktās reģistrēšanas Datu valsts inspekcijā, kā arī par pieprasītās informācijas par datu apstrādi nesniegšanu datu subjektam ir paredzēta administratīvā atbildība Latvijas Administratīvo pārkāpumu kodeksa 204.7 -204.9 pantā. Gadījumā, ja veiktas nelikumīgasdarbības ar fiziskas personas datiem un tādējādi radīts būtisks kaitējums, persona var tikt sodīta saskaņā ar Krimināllikuma 145.pantu. Turklāt persona, kuras dati tikuši prettiesiski apstrādāti, var prasīt atlīdzināt tai nodarīto kaitējumu un piešķirt kompensāciju prasības tiesvedības ceļā.

Raksta autore: juriste Laura Jambuševa, LL.M

readvokati.lv