GDPR īstenošanas problēmas: datu subjekta tiesību savstarpējā norobežošana un izpratne
Lai arī Vispārīgā datu aizsardzības regula Nr. 2016/679 (turpmāk – Regula) ir piemērojama jau gandrīz pusotru gadu (no 25.05.2018.), joprojām ir daudzi interpretējami jautājumi, uz kuriem nav skaidras atbildes ne no atbildīgajām Eiropas Savienības institūcijām, ne arī uzraudzības iestādēm. Viens no šiem jautājumu blokiem ir datu subjekta tiesības. Jebkurai organizācijai (Regulā – pārzinim) neatkarīgi no piederības publiskai vai privātai sfērai ir jāievēro datu subjekta tiesības, kuras norādītas Regulas 15.–21. pantā, taču izpratnes trūkums bieži vien pastāv gan datu subjekta, gan organizācijas pusē.
Šajā saistībā Regulas uzraudzības koordinējošā institūcija – Eiropas datu aizsardzības kolēģija (turpmāk – EDAK) – šā gada 4. novembrī Briselē (Beļģija) rīkoja publisku konsultācijas pasākumu, lai identificētu problēmas un gūtu dažādu speciālistu ierosinājumus īpašu EDAK vadlīniju izstrādei par datu subjekta tiesībām. Minētajā pasākumā piedalījās Eiropas Savienības valstu nevalstisko organizāciju, dažādu biznesa sektoru un juridisko biroju pārstāvji, pārsvarā personas datu aizsardzības speciālisti un akadēmiskās vides pārstāvji.
EDAK rīkotajā pasākumā piedalījās arī šā raksta autors, kura vismaz piecas norādītās problēmas tiks analizētas un skaidrotas topošajās vadlīnijās. Vadlīniju izstrāde tiks pabeigta ne ātrāk kā nākamā gada sākumā. Pēc tam tiks publicēta publiskās konsultācijas versija ar iespēju rakstiski iesniegt priekšlikumus vai komentārus.
Šā materiāla mērķis ir atspoguļot problēmas saistībā ar Regulā noteikto datu subjekta tiesību interpretāciju, ar kurām var sastapties jebkurš uzņēmums vai iestāde Regulas prasību izpildē. Līdz ar to turpmāk tiks apskatīta un īsumā skaidrota katra datu subjekta tiesība, tās mērķis un ar tās īstenošanu saistītās problēmas. Problēmas pārskatāmības dēļ atsevišķas tiesības tiek analizētas vienā jautājumu blokā. Atsevišķos gadījumos uz visiem jautājumiem pašreiz nevar sniegt precīzas atbildes, kā rīkoties.
(A) Tiesības piekļūt saviem personas datiem
Regulas 15. pants paredz katrai personai (datu subjektam) tiesības piekļūt saviem personas datiem. Atteikt vai ierobežot šīs tiesības var tikai gadījumā, ja likums ir skaidri aizliedzis piekļūt personas datiem.
Piemēram, Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likuma 5.2 panta otrajā daļā noteikts: "Likuma subjekti, uzraudzības un kontroles institūcijas, Finanšu izlūkošanas dienests, Latvijas Republikas Uzņēmumu reģistrs un šā likuma 41. pantā minēto reģistru pārziņi datu subjektam nesniedz informāciju par šā likuma ietvaros veikto datu apstrādi noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas jomā, izņemot publiski pieejamos datus." Tas nenozīmē, ka minētās iestādes nevis vispār nesniedz informāciju datu subjektam, bet nesniedz tikai attiecībā uz minēto apstrādes mērķi.
Tiesību norma tomēr rada vairākas neskaidrības: uz kādu termiņu attiecas šis ierobežojums, un vai tas nozīmē, ka datu subjektam nav arī citu Regulā noteikto tiesību, piemēram, labot personas datus vai ierobežot to apstrādi.
Būtībā tiesības piekļūt saviem datiem praksē izprot vislabāk, jo iepriekš tā bija iekļauta arī Fizisko personu datu aizsardzības likumā.
Datu subjektam ir tiesības saņemt pašus datus (ne tikai aprakstu par šiem datiem). Šīs tiesības mērķis ir sniegt iespēju datu subjektam pārliecināties, vai pie organizācijas esošie dati, pirmkārt, ir pareizi un aktuāli (nepareizi dati radīs nepareizu un, iespējams, nelabvēlīgu lēmumu). Otrkārt, tiesība ļauj datu subjektam pašam kontrolēt savu datu apstrādi un saskatīt iespējamo datu apstrādes pārmērīgumu vai tiesiskā pamata neesamību. Līdz ar to šī tiesība faktiski kalpo kā primārais uzņēmuma veiktās datu apstrādes tiesiskuma kontroles mehānisms, un Datu valsts inspekcija iejaucas tikai tad, ja datu subjekts pats nevar atrisināt jautājumu ar pārzini. Tāpat, ja datu subjekts nevar saņemt savus personas datus, viņam praktiski nav iespēja īstenot arī citas tiesības.
Daži uzņēmumi savai privātuma politikai ir pievienojuši personas datu pieprasījuma formu, lai atvieglotu pieprasījuma sagatavošanu un pārziņa iespēju sameklēt visus iespējamos personas datus.[1] Kaut arī forma kā pieprasījuma rīks, visticamāk, tiks ieteikts arī EDAK vadlīnijās, forma nevar kalpot par atteikuma pamatu, ja tās aizpildīšanā ir pieļauti kādi trūkumi. Šajā gadījumā ir jāsazinās ar datu subjektu, lai precizētu nepieciešamo informāciju.
Sniedzamo datu apjoms un datu subjekta identitāte
Eiropas Savienības tiesa jau ir nostiprinājusi atziņu, ka personai nav subjektīvās tiesības saņemt tieši dokumenta kopiju, bet gan tikai personas datus. Tas nozīmē, ka personai ir tiesības zināt, kādi dati ir dokumentā, bet šos datus var izsniegt, ne obligāti izsniedzot pašu dokumenta kopiju. Ja organizācija vēlas, tā var izrakstīt šos datus un sniegt tos vienkārši atbildes vēstulē. Turklāt datu subjekts var saņemt tikai savus, nevis vienlaikus arī trešo personu datus. Ne mazāk būtiski ir pārliecināties par datu subjekta identitāti un saziņas kanālu piederību, jo personas datus datu subjekts drīkst saņemt tikai par sevi (vai viņa pienācīgi pilnvarota cita persona).
Papildus personas datiem personai ir tiesības saņemt arī personas datu apstrādi raksturojošo informāciju, piemēram, apstrādes mērķi, tiesisko pamatu, datu glabāšanas termiņu, saņēmējus u.c. Regulas 15. panta 1. punktā sniedzamā raksturojošā informācija lielā mērā sakrīt ar to informāciju, kura arī bez īpaša datu subjekta pieprasījuma ir jāsniedz atbilstoši Regulas 13. vai 14. pantam (personas datu iegūšanas brīdī). Šajā saistībā ir aktuāls jautājums, cik individualizētai ir jābūt 15. pantā minētajai informācijai un, vai pārzinis faktiski var dot to pašu informāciju, kura jau tiek sniegta saskaņā ar Regulas 13. pantu? Uzskatāms, ka pārzinim būtu jāindividualizē informācija datu subjekta pieprasījuma gadījumā, tomēr šajā saistībā nedrīkstētu izveidoties lielas atšķirības starp to apstrādes raksturojumu, kas jau ir sniegts atbilstoši Regulas 13. pantam un to, kuru datu subjekts saņem, kad konkrēti interesējas par savu datu apstrādi. Piemēram, ja ievācot personas datus netika norādīts, ka to apstrādes mērķis būs profilēšana, bet, painteresējoties konkrēti, datu subjekts saņem atbildi, ka viņa personas dati tiek izmantoti profilēšanai, tad šādā gadījumā vai nu nebija ievērots 13. (14.) pants, vai arī apstrādei drīzāk nav tiesiska pamata (piemēram, profilēšana tika uzsākta vēlāk). Atšķirīga informācija drīzāk būtu izņēmums, nekā norma.
EDAK vadlīnijās pēc raksta autora ierosinājuma tiks skaidrots Regulas 15. panta 4. punkts, respektīvi, ko nozīmē tiesību normas norāde, ka datu subjekta tiesības saņemt savus personas datus neietekmē nelabvēlīgi citu personu tiesības un brīvības. Vai šīs citas personas ir tikai datu subjekti, vai arī citas organizācijas un varbūt pats pārzinis? Piemēram, vai darbinieks, kurš izbeidzis darba tiesiskās attiecības, ir tiesīgs uz Regulas 15. panta pamata saņemt sarakstu ar datumiem un laikiem, kad viņš vēl kā darbinieks piekļuva telpām ar elektronisko atslēgu? Vadlīnijās tiks skaidrotas sniedzamās informācijas robežas, tomēr pašlaik tiesības saņemt savus personas datus jātulko diezgan plaši.
Pašreiz vēl nevar arī apgalvot, ka iespēja pašam datu subjektam personas datus aplūkot kādā tīmekļa vietnē pilnībā aizstāj pārziņa pienākumu sniegt atbildi uz attiecīgo datu pieprasījumu, kaut arī par iespēju attālināti piekļūt personas datiem veicināšanu ir norāde Regulas preambulas 63. punktā.
(B) Tiesības labot un tiesības uz apstrādes ierobežošanu
Pēc tam, kad datu subjekts ir iepazinies ar saviem personas datiem, saskatot neprecizitātes, persona var pieprasīt savu neprecīzo personas datu labošanu (Regulas 16. pants). Tiesības nav absolūtas, jo pārzinim jāpārbauda, vai lūgums ir pamatots.
Attiecībā uz izpildes termiņu ir norāde, ka tas tiek izpildīts "bez nepamatotas kavēšanās", kaut arī par veikto darbību saskaņā ar Regulas 12. panta 3. punktu ir jāpaziņo ne vēlāk kā mēneša laikā.
Tomēr pēc šāda datu subjekta lūguma saņemšanas rodas jautājums arī par Regulas 18. panta piemērošanu. Respektīvi, Regulā kā atsevišķa tiesība norādīta tiesība uz personas datu apstrādes ierobežošanu. Praksē tiesība līdz šim īstenota ļoti reti, bet, aplūkojot tiesību normas konstrukciju, jāsecina, ka šis faktiski ir datu subjekta tiesību pagaidu aizsardzības līdzeklis, kas jāpiemēro katrā datu labošanas lūgumā. Piemēram, var tikt apturēta parādnieka datu izpaušana trešajām pusēm, ja tiek apstrīdēta parāda datu pareizība. Respektīvi, apstrāde tiek ierobežota (tās parastajā veidā), personas datus nedzēšot, līdz jautājums tiek noskaidrots.
Praktiskais jautājums saistībā ar šīs tiesības piemērošanu ir šāds: vai datu subjektam būtu īpaši jālūdz šīs tiesības uz personas datu apstrādes ierobežošanu īstenošana iesniegumā, vai arī pārzinis, saņemot lūgumu par personas datu labošanu, automātiski bez jebkāda īpaša lūguma piemēro Regulas 18. pantu un ierobežo apstrādi, līdz tiek noskaidrots, vai datu labošanas pieprasījums ir pamatots (respektīvi, datu subjekta iesniegums kā pamats pats par sevi automātiski un uzreiz īsteno apstrādes ierobežošanu)? Pie šādas interpretācijas pārzinis būtu ieinteresēts pēc iespējas ātrāk izskatīt arī labošanas lūgumu.
Raksta autors uzskata un ierosināja EDAK, ka Regulas 18. panta 1. punktā minētajos gadījumos personas datu apstrādes ierobežošanai būtu jānotiek automātiski un vienlaikus ar Regulas 16. pantā minētās tiesības īstenošanu (18. panta 1. punkta (a) apakšpunkts), kā arī vienlaikus ar tiesībām iebilst īstenošanu (18. panta 1. punkta (d) apakšpunkts).
Regulā nav minēts, uz kādu laika periodu apstrādes ierobežošanai ir jābūt noteiktai. Ja pārzinis nolemj piemērot pagaidu aizsardzības līdzekli automātiski (bet pirms tiek izskatīts lūgums par datu labošanu), vai pārzinim atsevišķi par to jāinformē datu subjekts?
(C) Tiesības iebilst
Šeit varētu būt lielākā datu subjektu neizpratne, ka tiesības iebilst (Regulas 21. pants) un tiesības uz datu dzēšanu (Regulas 17. pants) ir dažādas tiesības. Jāpiekrīt, ka noteiktos gadījumos iebilšana var rezultēties arī ar dzēšanas pienākumu, ja pēc iebilšanas apmierināšanas (bija tikai viens apstrādes tiesiskais pamats) var konstatēt, ka nepastāv neviens cits personas datu glabāšanas tiesiskais pamats.
Atšķirība starp tiesībām iebilst un dzēst ir tāda, ka iebilstot pārzinim ir jāpārtrauc apstrāde tikai attiecībā uz to apstrādes procesu vai mērķi, kuram persona iebilda, bet dati nav jādzēš. Savukārt dzēšana nozīmētu apstrādes procesu pārtraukt uz visiem apstrādes procesiem, ieskaitot glabāšanu.
Vispirms jānorāda, ka tiesības iebilst pastāv tikai tad, ja apstrādes tiesiskais pamats ir Regulas 6. panta 1. punkta (e) apakšpunkts (sabiedrības intereses) vai (f) apakšpunkts (tiesiskā vai leģitīmā interese). Piemēram, persona varētu iebilst, ja uzņēmums nolemj intraneta vajadzībām izvietot citiem darbiniekiem pieejamā veidā darbinieka fotogrāfiju.
Tiesības nav absolūtas. Tomēr, ņemot vērā tiesību normas konstrukciju, šķiet, ka primāri šīs tiesības ir jāapmierina, jau tikai balstoties uz pašu iebilšanas faktu, un atteikums (apstrādes turpināšana) var tikt pieņemts tikai tad, ja pārzinis datu subjektam norāda uz pārliecinošiem leģitīmiem apstrādes iemesliem, kas ir svarīgāki par datu subjekta interesēm, tiesībām un brīvībām, vai, lai celtu, īstenotu vai aizstāvētu likumīgās prasības.
Ar šo uzreiz saistās praktiski jautājumi, kuri, iespējams, tiks skaidroti EDAK vadlīnijās: cik lielā apmērā šie pārliecinošie iemesli ir jāskaidro atteikumā datu subjektam? Vai datu subjektam pastāv reāla iespēja iebilst apstrādei, ja tiek veikta videonovērošana, audioieraksts, uzkrāti auditācijas pieraksti vai transporta GPS dati, jo minētās apstrādes tiesiskais pamats privātajā sektorā ir tikai un vienīgi pārziņa leģitīmā interese?
(D) Tiesības uz datu dzēšanu
Tiesības uz dzēšanu tika analizētas jau Eiropas Savienības tiesas spriedumā lietā Nr.C-131/12 Google v. Spain[2]. Tiesības pamatideja: personai ir tiesības panākt, lai pārziņa rīcībā vairs nebūtu personas datu.
Zinot praktiskas problēmas ar šīs tiesības realizāciju (un tās nav tikai Latvijā), šā raksta autors ierosināja EDAK vadlīnijās aplūkot dzēšanas jēdzienu, respektīvi, ko nozīmē vārds "dzēst" un, vai tiesībā iekļauto procesu var ekvivalenti aizstāt arī ar datu anonimizāciju.
Arī citi eksperti piedāvāja tādus aizstājējvariantus kā datu bloķēšana un pat datu iezīmēšana (saglabāšana bez dzēšanas). Ņemot vērā, ka minētie ierosinājumi pamatā tika izteikti no biznesa sektora puses, maz ticams, ka EDAK samazinās datu subjektu tiesības līdz datu "iezīmēšanai". Tomēr kaut kas EDAK būtu jāiesaka attiecībā uz rezerves kopiju datu un citu informācijas sistēmu datu dzēšanas tehniku un izteiktajiem jautājumiem.
Ja persona lieto kādu portālu kā reģistrēts lietotājs, viņam ir jābūt iespējai aktivizēt dzēšanas komandu pēc tam, kad viņš ir pierakstījies portālā ar savu lietotāja vārdu un paroli. Datu dzēšana nav tikai lietotāja konta deaktivizācija, kad viņš pats nevar vairs pierakstīties, bet gan tas nozīmē, ka šādu personas datu pārziņa rīcībā nav vispār.
16., 17. un 18. panta tiesību īstenošanas gadījumā pārzinim jāpaziņo visiem datu saņēmējiem, kuri iepriekš saņēma neprecīzus vai jau dzēstus personas datus, ka šie dati ir dzēsti, laboti vai to apstrāde ir ierobežota. Izņēmums šim ir tikai neiespējamība vai nesamērīgas pūles.
(E) Tiesības uz datu pārnesamību
Tiesības uz datu pārnesamību ir skaidrotas atsevišķā Eiropas Savienības dokumentā un topošajās EDAK vadlīnijās iekļautas netiks. Lai arī tiesības uz datu pārnesamību ir līdzīgas tiesībām piekļūt saviem personas datiem, šajā gadījumā tiesības mērķis ir veicināt konkurenci starp līdzīga sektora uzņēmumiem. Izmantojot šīs tiesības, datu subjekts varētu pārnest savus datus uz citu uzņēmumu un izmantot pakalpojumu ar visiem iepriekš uzkrātajiem datiem (piemēram, pārnest e-pasta saraksti). Tiesības var izmantot tikai tad, ja dati jau sākotnēji ir elektroniskā formā, kā arī apstrādes tiesiskais pamats ir datu subjekta piekrišana (Regulas 6. panta 1. punkta (a) apakšpunkts) vai līguma izpilde (Regulas 6. panta 1. punkta (b) apakšpunkts).
Pārnesamības praktiskā puse ir tāda, ka pārzinim ir jānodrošina datu subjekta iezīmētu datu vai periodu ar personas datiem sagatavošana mašīnlasāmā formātā (piemēram, QR koda veidā) ar iespēju kodu lejupielādēt vai lūgt šos datus nodot konkurējošam uzņēmumam.
Praktiski šādas tiesības realizācija gadījumā, kad persona ir reģistrēta kā portāla lietotājs, nozīmētu speciālas komandas izveidošanu lietotāja vidē. Pārkāpums varētu būt tad, ja tiesības (kur tās jānodrošina) vispār netiek piedāvātas (rakstīt lūgumu šajā gadījumā nebūtu adekvāts tiesību īstenošanas līdzeklis). Neskatoties uz to, ka daudzi pārziņi faktiski tās Latvijā nemaz nenodrošina, privātuma politikās tomēr norāda, ka šāda tiesība datu subjektam ir. Tas nav pareizi.
Kā nostiprināt datu subjekta tiesību izpratni?
Visām minētajām tiesībām ir arī kopīgas juridiskās problēmas. Piemēram, kā demonstrēt, ka dati ir dzēsti? Ko darīt ar dzēšanas pieprasījumu saglabāšanu, kas būtībā ir jauna apstrāde pret dzēstajiem datiem? Cik ilgi jāglabā pieprasījumi par piekļuvi personas datiem un sniegtās atbildes? Jāņem vērā, ka datu subjekta pretenziju gadījumā Datu valsts inspekcijai būs jāprezentē, kādā veidā ir īstenota attiecīgā datu subjekta tiesība.
Pagaidām precīzas atbildes uz daudziem jautājumiem nav, tāpēc organizācijām ir jāakceptē savs priekšstats un kārtība, kā konkrētais jautājums tiks risināts.
Parasti organizāciju privātuma politikās ir sniegts tikai Regulā minēto tiesību uzskaitījums, kas faktiski neļauj datu subjektam saprast, kura tiesība un tieši kurā gadījumā viņam pastāv attiecībās ar konkrēto organizāciju. Savukārt tas var radīt pārpratumus, izskatot jau pēc tam iesniegtus pieprasījumus.
Lai organizācija saprastu, kādu tiesību īstenošanu persona var pieprasīt, vispirms ir pareizi jānosaka personas datu apstrādes tiesiskie pamati. Piemēram, piekrišanas atsaukums rada iespēju prasīt personas datu dzēšanu, savukārt, ja apstrāde notiek uz likuma pamata, persona pamatā nevar prasīt personas datu dzēšanu no valsts iestādes reģistra. Otrkārt, jāpievērš uzmanība privātuma politikai. Informācija datu subjektam nav tikai formalitāte un līdz ar to nekādā gadījumā privātuma politikā nebūtu jānorāda tiesības, kuras organizācija nemaz nevar piedāvāt. Piemēram, vairākas valsts iestādes ir norādījušas savās privātuma politikās, ka personai ir tiesības uz personas datu pārnesamību, kaut gan tādas tiesības valsts pārvaldē nav. Būtu jāizvērtē, vai atsevišķai tīmekļa vietnei vai produktam nebūtu jāveido atsevišķa privātuma politika.
Pirms sagaidām EDAK vadlīniju projektu, būtu nepieciešams vēlreiz pārliecināties, vai atbilstoši Regulai esam pienācīgi izvērtējuši datu subjekta tiesību īstenošanas iekšējos mehānismus un snieguši pareizu un efektīvu informāciju savās tīmekļa vietnēs un privātuma politikās.
- ^ Eiropas Savienības tiesas spriedums apvienotajās lietās Nr.: C 141/12 un C 372/12 Y.S. (C-141/12), Minister voor Immigratie, Integratie en Asiel (C-372/12)/Minister voor Immigratie, Integratie en Asiel (C-141/12), M S (C-372/12).
- ^ Eiropas Savienības tiesas spriedums lietā Nr. C-131/12 Google Spain SL, Google Inc.pret Agencia Española de Protección de Datos (AEPD), Mario Costej a González.