tamberga logo
Ceturtdiena, 23 Augusts 2018 20:53

Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti

Autors: 
Vērtēt šo objektu
(0 balsis)

Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti, ar ko atceļ Direktīvu 95/46/EK (turpmāk tekstā - Regula) skaidri nosaka datu subjekta tiesības, kuras jāievēro pārzinim un apstrādātājam. To neievērošana paredz administratīvus naudas sodus apmērā līdz EUR 20 000 000 vai, uzņēmuma gadījumā, līdz 4 % no tā kopējā iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks.

 

 

Tiesības uz informāciju

Regula paredz tiesības saņemt skaidru un saprotamu informāciju par to, kas apstrādā personas datus, kādi dati tiek apstrādāti un kāpēc. Ja tiek, datu subjektam ir tiesības piekļūt attiecīgajiem datiem un saņemt šādu informāciju:

  • Apstrādes nolūki;
  • Personas datu kategorijas;
  • Personas datu saņēmēji vai saņēmēju kategorijas, kam dati izpausti;
  • Laikposms, cik ilgi dati tiks uzglabāti (ja iespējams);
  • Tas, ka pastāv tiesības pieprasīt datu labošanu vai dzēšanu, vai iebilst pret apstrādi;
  • Tiesības iesniegt sūdzību uzraudzības iestādei (Latvijā tā ir Datu valsts inspekcija);
  • Visa pieejamā informācija par datu avotu (ja dati netiek vākti no datu subjekta);
  • Tas, ka pastāv automatizēta lēmumu pieņemšana (tostarp profilēšana).

Ja datu subjekts uzskata, ka viņa tiesības saskaņā ar Regulu ir pārkāptas, viņam ir tiesības prasīt kompensāciju.

 

Tiesības piekļūt saviem datiem

Regulas 15. pants paredz personas  tiesības pieprasīt piekļuvi saviem personas datiem, kas ir kāda uzņēmuma/organizācijas rīcībā, bez maksas saņemt šo datu kopiju un iegūt jebkādu citu papildu informāciju par savu personas datu apstrādi, piemēram, kāds ir to apstrādes iemesls, kam ir pieeja personas datiem u. tml., taču tiesības nav absolūtas – tiesību piekļūt jūsu personas datiem izmantošana nedrīkst ietekmēt citu personu tiesības un brīvības, tai skaitā komercnoslēpumu vai intelektuālo īpašumu.

Piemērs – klienta karte.Persona ir reģistrējusies kādas lielveikalu ķēdes lojalitātes kartes programmā. Ja pirkuma vēsture lielveikalu uzskaites sistēmā ir sasaistīta ar datiem, kas ļauj identificēt konkrētu personu (piem., vārds, uzvārds, kontaktinformācija), tad, īstenojot tiesības pieprasīt informāciju par lojalitātes kartes programmā saglabātajiem personas datiem, datu pārzinim būtu jāsniedz informācija par klienta kartes izmantošanas biežumu (veikto pirkumu saraksts); lielveikaliem, kuros persona ir iepirkusies; atlaidēm, kādas tikušas piešķirtas; dati par to, vai personai tika adresēti personalizēti piedāvājumi.

 

Tiesības uz datu dzēšanu jeb “tiesības tikt aizmirstam”

          Regulas 17.pantā ir nostiprinātas personas tiesības uz savu personas datu dzēšanu jeb tiesības “tikt aizmirstam”-  personai ir tiesības iebilst datu apstrādes turpināšanai, kā arī pieprasīt datu dzēšanu, kad to apstrādei vairs nav tiesiska pamata. Tādējādi personai ir tiesības lūgt neatgriezenisku savu personas datu dzēšanu neatkarīgi no tā, ka agrāk persona ir sniegusi savu piekrišanu savu datu apstrādei, vai uzņēmums norāda, ka tas neveic personas datu publicēšanu. Regulā izmantotais apzīmējums “tiesības tikt aizmirstam” ir attiecināms uzpersonas datu apstrādi interneta tiešsaistes vidē. “Tiesības tikt aizmirstam” vairs neattiecas vienīgi uz meklētājprogrammu (piemēram, Google reģionālo lapu) rezultātu atspoguļošanu, bet uz daudz plašāku tiesību apjomu, nosakot, ka personai ir tiesības vērsties pie jebkura datu apstrādes pārziņa, pieprasot dzēst savus personas datus.

 

Personas pieteikums par datu dzēšanu un pierādīšanas pienākums

 

Personai ir jāvērš datu pārziņa uzmanība uz nepamatotu savu datu apstrādi. Regula nenosaka specifiskas prasības attiecībā uz personas iesnieguma formu, tādējādi iesniegumu datu pārzinim persona drīkst rakstīt brīvā formā. Datu pārzinim ir pienākums pierādīt, ka pastāv pamats personas datu apstrādes turpināšanai. Personas tiesības uz savu personas datu dzēšanu, kā arī “tiesības tikt aizmirstam” nav absolūtas tiesības. Vienlaikus datu aizsardzībai Regula aizsargā arī personas tiesības uz domu, pārliecības un ticības brīvību, vārda un informācijas brīvību, darījumu brīvību, tiesības uz efektīvu tiesību aizsardzību un taisnīgu tiesu, kā arī kultūru, reliģiju un valodu daudzveidību.Tiesības “tikt aizmirstam” netiek piemērotas, lai īstenotu tiesības uz vārda brīvību un informāciju; lai izpildītu juridisku pienākumu, kas prasa veikt apstrādi, kā paredzēts ES vai dalībvalsts tiesību aktos, kuri piemērojami pārzinim, vai izpildītu uzdevumu, ko veic sabiedrības interesēs vai saistībā ar pārzinim likumīgi piešķirto oficiālo pilnvaru īstenošanu; pamatojoties uz sabiedrības interesēm sabiedrības veselības jomā; arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos; lai celtu, īstenotu vai aizstāvētu likumīgās prasības.

Piemēram, datu pārzinis var norādīt, ka publikācija par personas izdarītu noziedzīgu nodarījumu netiks dzēsta, jo sabiedrības tiesības uz informāciju prevalēs pār personas datu aizsardzību. Regulas preambulas ceturtajā apsvērumā ir nostiprināts, ka personas datu apstrāde ir jāveido tā, lai tā kalpotu cilvēkam.

Nodrošinot personas datu aizsardzību, Regulas preambulas 65.apsvērums noteic, ka personai ir tiesības uz savu datu dzēšanu, un apstrādes neturpināšanu, ja persona piekrišanu datu apstrādei ir devusi kā bērns, pilnībā neapzinoties ar apstrādi saistītos riskus it sevišķi interneta vidē. Tādējādi datu subjektam būtu jāvar īstenot minētās tiesības, neraugoties uz to, ka persona vairs nav bērns.

Pārzinim ir pienākums dzēst datus bez nepamatotas kavēšanās, ja:

  • Dati vairs nav nepieciešami nolūkam, kādam tie tika vākti (piemēram, darba meklēšanas sludinājums);
  • Esmu atsaucis savu piekrišanu datu apstrādei (piemēram, sociālajos tīklos dzēst lietotāja profilu);
  • Iebilstat datu apstrādei un datu pārzinim vairs nav tiesiska pamata datu apstrādes turpināšanai (piemēram, lielveikalu lojalitātes programma);
  • Dati ir apstrādāti nelikumīgi (piemēram, DVI vai tiesas lēmums, kas stājies likumiskā spēkā par prettiesisku datu apstrādi);
  • Lai nodrošinātu, ka tiek pildīts juridisks pienākums, kas noteikts ES vai dalībvalsts tiesību aktos, kuri piemērojami pārzinim (piemēram, dati par darba samaksu glabājas atbilstoši Grāmatvedības likumam 10 gadus, pēc 10 gadu termiņa iztecēšanas personai ir tiesības vērsties pie uzņēmuma administrācijas ar lūgumu dzēst datus);
  • Dati ir savākti saistībā ar informācijas sabiedrības pakalpojumu piedāvāšanu, kā minēts Regulas 8. panta 1.punktā (nosacījumi, kas piemērojami bērna piekrišanai attiecībā uz informācijas sabiedrības pakalpojumiem (piemēram, bērns ievietojis fotoattēlu vai detalizētu informāciju par sevi savā lietotāja profilā sociālajā tīklā, personai ir tiesības vērsties pie sociālā tīkla administrācijas ar lūgumu dzēst bērna datus).

 

Pārziņa pienākums ir ne tikai dzēst informāciju par personu, kas atrodas pārziņa rīcībā, bet arī informēt pārējos datu pārziņus, kuriem ir tālāk nodota personas informācija, par nepieciešamību neatgriezeniski dzēst visus personas datus (visas saites uz minētajiem personas datiem vai personas datu kopijas vai atveidojumi).

 

Bērnu tiesības.

Regulā ir atsauce uz informācijas sabiedrības pakalpojumiem, tie ir, piemēram, sociālie tīkli. Bērns drīkstēs dot piekrišanu savu datu apstrādei informācijas sabiedrības pakalpojumiem tikai tad, ja būs sasniedzis 13 gadu vecumu.

Informācijas sabiedrības pakalpojums — distances pakalpojums (puses vienlaicīgi nesatiekas), kuru parasti sniedz par maksu, izmantojot elektroniskus līdzekļus, un pēc pakalpojuma saņēmēja individuāla pieprasījuma. Informācijas sabiedrības pakalpojumi ietver preču un pakalpojumu elektronisku tirdzniecību, komerciālo paziņojumu sūtīšanu, iespēju piedāvāšanu informācijas meklēšanai, informācijas glabāšanu.

 

Profilēšana

Šis ir jauns jēdziens, kas ietverts Regulā, proti, analizēt personas sniegumu darbā, ekonomisko situāciju, veselību, vēlmes, intereses, uzvedību. Izmantojot pieejamos datus par personu, var tikt prognozēta viņa uzvedība un vēlmes nākotnē. Ļoti izplatīta profilēšana ir mārketinga jomā. Savā ziņā var uzskatīt, ka ar profilēšanas palīdzību tiek domāts cilvēka vietā un viņam tiek sniegti konkrēti piedāvājumi.

Pārzinim noteikti jāinformē datu subjekts, ka tiek veikta profilēšana. Datu subjektam ir tiesības no profilēšanas atteikties.

Ir atsevišķi gadījumi, kad Regula pieļauj profilēšanu, proti, nodokļu nemaksāšanas uzraudzībai un novēršanai, nodokļu krāpšanas jomā un, ja tas atrunāts likumā.

Nav pieļaujama cilvēku diskriminācija ar profilēšanas palīdzību.

Regula aizliedz profilēt bērnus.

 

Lasīts 4274 reizes
Vairāk šajā kategorijā: « Fiziskās personas datu apstrādes pamatprincipi un apstrādes tiesiskie pamati CICERO konference Kiprā, 2019. gada novembris »
atpakaļ uz augšu

 

Copyright © 2013 Advokātu birojs Tamberga & Partneri. Visas tiesības aizsargātas. iba2