Kopš Vispārīgās datu aizsardzības regulas ("VDAR") stāšanās spēkā uz datu apstrādātāju attiecināmie ierobežojumi ir kļuvuši stingrāki. Kāda ir atšķirība starp personas datu aizsardzību un personu uzraudzību? Un kā Noziedzīgi iegūtu līdzekļu legalizācijas novēršanas direktīva ("NILLND") var mierīgi pastāvēt līdzās VDAR?
Šā gada maijā ieviestās VDAR
1 mērķis ir novērst nepilnības ES tiesību aktos par personas datiem. Tagad lietotājiem ir vairāk likumos noteikto tiesību, kuru pārkāpšana draud uzņēmumiem ar naudas sodu līdz 20 miljoniem eiro vai 4% no gada apgrozījuma.
Direktīvās un regulās parasti ir norādīta to savstarpējā saistība. Direktīvas gadījumā regulas īstenošana var radīt papildu sarežģītību. Turklāt šie noteikumi ir spēkā tiesiskajā regulējumā un vietējā tiesu praksē. Principā konfliktiem nebūtu jābūt, tomēr uzņēmumi bieži min privātumu kā iemeslu neatbilstošas kvalitātes pakalpojumu sniegšanai vai NILLN pārkāpumiem.
Ir svarīgi atcerēties, ka NILLND ir direktīva, bet VDAR – regula, un starp šiem diviem regulējuma līmeņiem ir būtiska atšķirība.
NILLND pamatprasības dalībvalstīm jātransponē savos nacionālajos tiesību aktos, taču tas neaizliedz dalībvalstij ieviest arī stingrākas prasības.
Turpretī VDAR ir tiešā veidā piemērojama vienoti visā ES, un dalībvalstis nevar izdarīt pat nelielas izmaiņas, tādēļ datu aizsardzība Latvijā būs līdzīga datu aizsardzībai Vācijā vai Francijā.
Lūk, viens piemērs, kas bieži vien ir maldinošs un liek pārdomāt regulu un direktīvu savstarpējo atbilstību – patieso labuma guvēju reģistru ieviešana, jeb drīzāk tas, ka tiem jābūt publiskiem.
Lai mazinātu NILL risku, ir svarīgi saprast, kas ir uzņēmuma faktiskais īpašnieks, t.i., kam pieder akciju kontrolpakete vai kurš citādi kontrolē vadību. Tieši uz šo aspektu balstījās Eiropas Komisija, 2015. gadā uzstājoties ar iniciatīvu izveidot centrālos reģistrus ar datiem par gala labuma guvējiem valsts līmenī, pēc tam šādu informāciju nododot vienotam Eiropas reģistram. Turklāt par labuma guvējiem būtu jāatzīst tie, kuriem tieši vai netieši pieder vairāk nekā 25% sabiedrības pamatkapitāla daļu un kuri zināmā mērā spēj ietekmēt uzņēmuma darbību, tostarp augstākā līmeņa vadību. Pēc valsts ieskatiem šo slieksni var samazināt saskaņā ar valsts normatīvajiem aktiem. Centralizētais reģistrs tiek ieviests, pamatojoties uz klientu identifikācijas principu (Know Your Customer), ievērojot starptautiskos standartus un labāko praksi.
Tātad teorētiski informācija par patiesajiem labuma guvējiem var būt pieejama visiem un ikvienam. Tāpēc jaunajā NILLND ierosinātās izmaiņas paredz, ka dalībvalstīm ir pienākums labuma guvēju reģistros nodrošināt pieeju informācijai tikai personām, kas pierāda likumīgas intereses. No savas puses dalībvalstis var paredzēt ierobežojumus piekļuvei visai informācijai vai daļai informācijas par faktiskajām īpašumtiesībām individuāli izņēmuma gadījumos, ja šāda izpaušana varētu radīt risku, piemēram, krāpšanu, šantāžu, personas nolaupīšanu, vardarbību un iebiedēšanu, kas vērsta pret labuma guvēju. Šķiet, ka patieso labuma guvēju publiskie reģistri neapšaubāmi palīdzēs identificēt aizdomīgas finanšu darbības un novērsīs terorisma finansēšanu un citas noziedzīgas darbības, kas saistītas ar naudas atmazgāšanu.
Piemēram, VDAR 17. pants personai piešķir savu datu dzēšanas tiesības (t.s. tiesības tikt aizmirstam), taču tās nav absolūtas tiesības, ko vienmēr varēs izmantot. Vispārīgi runājot, ja ir nepieciešams personas datu apstrādi turpināt, piemēram, likumīga pienākuma dēļ, tad to drīkst darīt. Tomēr katrs pieprasījums jāizskata pēc būtības – nolemjot neizdzēst datus pat tad, ja to pieprasa datu subjekts, būs jāspēj pamatot, kāpēc tas nav izdarīts.
Ir svarīgi pieminēt, ka valsts loma VDAR ir samazināta līdz pierādījumu pārbaudei personu piekrišanas gadījumā, kas ir deleģēts speciāli izveidotai valsts iestādei – katras dalībvalsts informācijas kontrolierim. Ja struktūra vai persona, kas vāc informāciju par ES pilsoņiem, nevar sniegt būtiskus pierādījumus par iepriekš iegūto piekrišanu, tad informācijas kontrolierim ir tiesības aizliegt šādu darbību.
Tomēr, ja personas datu apstrāde, ko veic uzņēmumi, ietilpst šīs regulas darbības jomā, tad regulā būtu jāparedz dalībvalstīm iespēja īpašos gadījumos ar likumu ierobežot konkrētus tiesības un pienākumus, ja šāda ierobežošana demokrātiskā sabiedrībā ir nepieciešams un samērīgs pasākums, lai garantētu konkrētu svarīgu interešu aizsardzību, tostarp sabiedrisko drošību un noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu vai saukšanu pie atbildības par tiem, vai kriminālsodu izpildi, tostarp pasargāšanu no draudiem sabiedriskajai drošībai un to novēršanu. Tas ir svarīgi, piemēram, saistībā ar NILL apkarošanu.
Svarīgs ir arī pārredzamības princips, kurš uzliek uzņēmējam pienākumu sniegt pilnīgu informāciju personām, kuru tiesības tiek skartas personas datu apstrādes laikā. Par labāko praksi var kļūt dokuments, kuru klients ir parakstījis un apstiprinājis, ka viņš ir informēts par to, ka uzņēmums izmanto viņa personas datus un viņš, parakstot dokumentu, piekrīt tam.
Lielajiem uzņēmumiem galvenokārt jāizveido sistēma, lai pārvaldītu personas datus, pamatojoties uz atbilstības sistēmu. Tās ietvaros jāveic šādas darbības:
- izstrādāt iekšējos noteikumus par personas datu aizsardzību un drošību;
- izvērtēt visus ar personas datu apstrādi saistīto darbību riskus un sekas;
- nodrošināt darbiniekiem regulārus mācību kursus, lai attīstītu personas datu aizsardzības prasmes;
- saglabāt plašu dokumentāciju, kas atspoguļo gan visas datu apstrādes darbības, gan visus iespējamos personas datu aizsardzības pārkāpumus.
Galu galā abiem tiesību aktiem jāspēj mijiedarboties, tādēļ šobrīd mums jāpalīdz VDAR pareizi ieņemt savu likumīgo vietu, to ieviešot un maksimāli identificējot nepilnības.
____________________________________
1 Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK