Datu subjekta – fiziskas personas, piemēram, klienta – piekrišana līdz šim ir bijis viens no datu apstrādes tiesiskajiem pamatiem. Tā kā līdz 2018. gada maijam Latvijas normatīvajos aktos ir pilnībā jāievieš Vispārīgā datu aizsardzības regula (“Regula”), uzņēmumiem, kas apstrādā fizisko personu datus, būs jāpievērš pastiprināta uzmanība datu apstrādes tiesiskumam. Lai izvairītos no potenciāli lielajiem naudas sodiem un nezaudētu savu klientu uzticību, uzņēmumiem nāksies arī izvērtēt, vai personas datu apstrāde uz piekrišanas pamata tiek veikta atbilstoši Regulai.
Regulas piemērojamība
Regulas prasības attiecas uz visām personām, kas apstrādā fizisko personu datus kādā no ES dalībvalstīm vai arī ES dalībvalstu iedzīvotāju datus. Ar fiziskas personas datiem saprot jebkādu informāciju, kas attiecas uz identificētu vai identificējamu (tādu, kuru var atpazīt) fizisku personu. Tātad jāizvērtē gan iegūto klientu datu, gan sava uzņēmuma darbinieku datu apstrāde, ja līdz šim tam nav tikusi pievērsta pienācīga uzmanība.
Likumīgas datu subjekta piekrišanas nosacījumi
Atbilstoši pašreizējam Latvijas regulējumam un jaunajai Regulai datu subjekta piekrišana ir viens no datu apstrādes tiesiskajiem pamatiem. Salīdzinājumā ar Datu aizsardzības direktīvu, uz kuras pamata ir veidots pašreizējais Latvijas regulējums, jaunā Regula precizē likumīgas datu subjekta piekrišanas nosacījumus, samazinot atšķirīgas interpretācijas iespēju uzņēmumiem dažādās ES valstīs.
Lai piekrišanu varētu uzskatīt par likumīgi saņemtu un saistošu, Regula paredz šādus nosacījumus:
-
Piekrišanai ir jābūt nepārprotamai, sniegtai konkrētam datu apstrādes mērķim un skaidri nošķirtai no citiem jautājumiem. Datu subjekts ir jāuztver kā patērētājs, tādēļ informācija par datu apstrādi ir jāsniedz saprotamā un vienkāršā valodā.
-
Jāspēj uzskatāmi pierādīt, ka datu subjekts ir piekritis savu datu apstrādei, tādēļ rakstveida piekrišanas gadījumos jādokumentē piekrišanas fakts (piemēram, līguma vai e-pasta formā). Ja piekrišana iegūta elektroniski (piemēram, ieķeksējot lodziņu), tad jāpārliecinās, ka attiecīgie metadati, kas to uzrāda, tiek uzglabāti sistēmā.
-
Piekrišanai ir jābūt sniegtai brīvi. Ja datu subjekts nepiekrīt savu datu apstrādei uz piekrišanas pamata, tas nedrīkst ietekmēt pamatlīguma izpildi.
-
Datu subjekts ir tiesīgs jebkurā brīdī atsaukt savu piekrišanu. Datu subjektam ir jārada iespēja izmantot atsaukuma tiesības, neradot šķēršļus.
Tā kā datu subjekta piekrišana ir atsaucama jebkurā laikā, jāizvērtē, vai nav iespējams apstrādāt datus uz cita tiesiskā pamata, piemēram, ja datu apstrāde ir noteikta ar likumu vai arī nepieciešama līguma noslēgšanai vai izpildei starp datu subjektu un uzņēmumu.
Pienākums ievērot datu apstrādes nosacījumus
Lai arī Fizisko personu datu aizsardzības likuma ievērošana līdz šim ir bijusi datu apstrādes priekšnoteikums, jaunā Regula pastiprina Datu valsts inspekcijas tiesības un pienākumus uzraudzīt datu aizsardzību, tostarp piemērot naudas sodu līdz pat 4% no uzņēmuma gada apgrozījuma vai piemērot datu apstrādes aizliegumu likuma pārkāpšanas gadījumā. Turklāt šie jautājumi ir kļuvuši aktuāli visos plašsaziņas līdzekļos, tādēļ datu aizsardzības pienākumu ignorēšanas rezultātā uzņēmums var zaudēt gan reputāciju, gan klientus.
Ieteikumi datu apstrādes atbilstības nodrošināšanai
Pirmais solis jebkurā uzņēmumā būtu apzināties datu apstrādes darbības, identificējot datu veidus un apstrādes mērķus, iesaistītās personas (gan darbinieki, gan trešās personas) un tiesiskos pamatus, lai varētu precīzāk novērtēt datu apstrādes sistēmas atbilstību. Tā kā Regula uzliek vairākus datu aizsardzības pienākumus, ieteicams konsultēties ar sertificētu datu aizsardzības speciālistu, kas var sniegt uzņēmumam datu apstrādes atbilstības novērtējumu atbilstoši Regulas prasībām.
