Šodien, 2020.gada 25.maijā, aprit tieši divi gadi kopš Vispārīgās datu aizsardzības regulas tiešas piemērošanas visās Eiropas Savienības dalībvalstīs.
Vispārīgā datu aizsardzības regula ir normatīvais regulējums, kas Latvijā, visās Eiropas Savienības un Eiropas Ekonomikas zonas dalībvalstīs veido vienādu tiesību un pienākumu tiesisko ietvaru personas datu apstrādes jomā.
Lai veicinātu sabiedrības informētību par aktualitātēm personas datu apstrādē un aizsardzībā, Datu valsts inspekcija sniedz apkopotu informāciju par biežāk uzdotajiem jautājumiem savas kompetences ietvaros.
Aktualitātes par saņemtajām sūdzībām un pārbaudes lietām
2020.gada pirmajos četros mēnešos Datu valsts inspekcija ir saņēmusi 363 iesniegumus par iespējams nelikumīgu personas datu apstrādi:
• Par fiziskas personas veikto personas datu apstrādi: 130;
• Par privāto tiesību juridiskās personas veikto personas datu apstrādi: 186
• Par publisko tiesību subjekta veikto personas datu apstrādi: 41.
2020.gada pirmajos četros mēnešos uzsāktas 17 jaunas pārbaudes lietas (neieskaitot iepriekšējā periodā uzsāktās pārbaudes, kuras ir izskatīšanas stadijā).
Datu valsts inspekcija visbiežāk saņem sūdzības videonovērošanas, sociālās tīklošanās un tiešsaistes darbību, komerciālu paziņojumu sūtīšanas, datu subjekta tiesību īstenošanas jomās.
Par kaimiņu veikto personas datu apstrādi, veicot videonovērošanu
Datu valsts inspekcija (turpmāk-Inspekcija) informē, ka Vispārīgā datu aizsardzības regula (turpmāk – Regula) neattiecas uz tādu personas datu apstrādi, ko veic fiziska persona tikai personiska vai mājsaimnieciska pasākuma gaitā (VDAR 2.panta 2.punkta “c” apakšpunkts). Arī Regulas 18.apsvērumā paskaidrots, ka Regulu nepiemēro tādai personas datu apstrādei, kuru veic fiziska persona un tā nav saistīta ar profesionālo vai komerciālo darbību.
Arī Fizisko personu datu apstrādes likuma 36.pantā ir noteikts, ka Regula neattiecas gan uz personas datu apstrādi, ko fiziskās personas veic, izmantojot automatizētas datu ieraksta ierīces privātīpašuma teritorijā (videonovērošanas kameras) personiskajām vai mājsaimniecības vajadzībām, gan arī uz datu apstrādi, ko veic fiziskās personas, izmantojot automatizētas videonovērošanas ierīces personiskajām vai mājsaimniecības vajadzībām.
Ja persona izvieto videonovērošanas kameras savā nekustamā īpašuma teritorijā un veic videonovērošanu tikai savas teritorijas ietvaros, šīm darbībām nav piemērojami Regulas noteikumi. Gadījumos, kad kaimiņa veiktā personas datu apstrāde neietilps Regulas tvērumā, bet persona uzskata, ka ir aizskartas viņas tiesības uz privātumu, ikviena persona saskaņā ar Latvijas Republikas tiesību aktiem var vērsties tiesā ar prasību par kaitējuma atlīdzināšanu, protams, attiecīgi pamatojot un pierādot savus prasījumus.
Gadījumā, ja, veicot videonovērošanu privātīpašuma teritorijā, videonovērošanas kamera filmē arī daļu no publiskās telpas (ceļš) vai citām personām piederošo īpašumu, pa kuru pārvietojas arī personas, kuras nav tieši saistītas ar pašu privātīpašumu, videonovērošanas veicējam Regulas prasības ir obligātas.
Vispārēji atbilstība Regulas prasībām nodrošināma, ievērojot Regulas 5.pantā noteiktos principus, tai skaitā nodrošinot datu apstrādi ar atbilstošu tiesisko pamatu, panākot datu subjektu (personu, kuras tiek filmētas) tiesību ievērošanu (piemēram, izvietojot videonovērošanas zīmes ar nepieciešamo informāciju atbilstoši Regulas 13.pantam (Fizisko personu datu apstrādes likuma 36.panta trešā daļa)).
Lai pārziņa veiktā datu apstrāde būtu atbilstoša Regulas, pārzinim ir nepieciešams piemērot vismaz vienu no Regulas 6.panta 1.punktā noteiktajiem tiesiskajiem pamatiem. Privātpersonu veiktās videonovērošanas gadījumā par tiesisko pamatu var būt personas leģitīmo interešu ievērošana, un proti, tiesiska interese aizsargāt savu īpašumu, novērst iespējamo prettiesisku rīcību (mantas bojāšana, zādzība u.tml.).
Gadījumā, ja kaimiņa veiktā personas datu apstrāde ietilpst Regulas tvērumā, ikvienai personai, ja tā konstatē, ka tiek veikta prettiesiska viņas personas datu apstrāde, ir tiesības vērsties pie pārziņa (personas, kas veic videonovērošanu), lai saņemtu informāciju atbilstoši Regulas 15.pantā noteiktajam, kā arī ar lūgumu ievērot tās tiesības uz privātumu. Ja atbilde netiek saņemta vai personas tiesību aizskārums turpinās, tā var vērsties Inspekcijā ar oficiālu sūdzību, attiecīgi pievienojot pierādījumus (piemēram, fotoattēlus, ka tiek filmēta arī publiskā teritorija).
Par personas datu apstrādi sociālās tīklošanas vietnēs, publicējot fotoattēlu
Regulas 4.panta 2.punkts nosaka, ka apstrāde ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana. Līdz ar to fotogrāfijas publicēšana sociālajā tīklošanas vietnē varētu tikt uzskatīta par personas datu apstrādi Regulas tvērumā.
Regula neattiecas uz tādu personas datu apstrādi, ko veic fiziskā persona tikai personiska vai mājsaimnieciska pasākuma gaitā. Savukārt Regulas 18.apsvērums paskaidro, ka tāda apstrāde nav saistīta ar profesionālu vai komerciālu darbību, kā arī norāda uz to, ka personiski vai mājsaimnieciski pasākumi varētu ietvert korespondenci un adrešu sarakstu turēšanu vai sociālo tīklošanos un tiešsaistes darbības, ko veic saistībā ar šādiem pasākumiem. Tātad, ja kāds personīgos nolūkos veic datu apstrādi, tai skaitā, publicēšanu, tiešsaistes sociālā tīkla tīmekļa vietnē un tas nav saistīts ar profesionālu vai komerciālu darbību, tas atbrīvo personu no pienākuma ievērot Regulas nosacījumus. Tomēr katrā individuālā gadījumā ir nepieciešams izvērtēt, vai informācija par fizisko personu, kuru padara par publiski pieejamu kāda cita fiziskā persona, ir saistīta ar šīs personas (kura informāciju ir publicējusi) privāto vai ģimenes dzīvi. Publicējot fotoattēlus tīmekļa vietnēs un sociālajos tīklos, būtu ņemams vērā, vai šī informācija ir pieejama tikai attiecīgā lietotāja draugu lokam, vai arī tā ir publiski pieejama visiem sociālo tīklu lietotājiem. Būtu ņemama vērā konkrētas personas saikne ar to personu, kuras fotoattēls ir publicēts. Ja šīs personas nav savstarpēji saistītas (radniecība, draugu loks, hobiji, darbs u.tml.) datu apstrāde nevar tikt uzskatīta par tādu, kas veikta personiska vai mājsaimnieciska pasākuma gaitā. Personai būtu atbildīgi jāizvērtē nepieciešamība un tiesiskais pamatojums citu cilvēku attēlu publicēšanai sociālajos tīklos.
Inspekcija vērš uzmanību Regulas III nodaļā noteiktajām datu subjekta tiesībām (un attiecīgi pārziņa pienākumiem) vērsties pie sociālās tīklošanas vietnes administratora un/vai sociālās tīklošanas vietnes un pieprasīt, lai saites, kur redzami personas dati, tiktu dzēstas. Inspekcija atgādina, ka lūgumu dzēst informāciju sociālās tīklošanas vietnes administratoram var lūgt pati persona vai arī personas likumiskais pārstāvis.
Attiecībā uz iespējamo goda un cieņas aizskaršanu jebkurai personai ir tiesības saskaņā ar Civillikuma 2352.1 panta pirmo daļu prasīt tiesas ceļā atsaukt ziņas, kas aizskar personas godu un cieņu, ja šādu ziņu izplatītājs nepierāda, ka tās atbilst patiesībai. Saskaņā ar Civillikuma 1635.pantu jebkurai personai ir tiesības vērsties tiesā, lūdzot atlīdzināt tai nodarīto kaitējumu. Kā arī jebkurai personai ir tiesības iesniegt tiesā prasības pieteikumu par goda un cieņas aizskaršanu un prasīt pārtraukt izplatīt un atsaukt informāciju saskaņā ar Civillikuma 2352.1 pantu, informējot tiesu par iespējamo nodarītā kaitējuma veicēju.
Ja personas bažas ir saistītas ar apmelojošas informācijas par personu izplatīšanu, nevis nelikumīgu datu apstrādi, tad šajos gadījumos būtu nepieciešams vērtēt nepieciešamību vērsties Valsts policijā (Krimināllikuma 157.panta (neslavas celšana) pārkāpums).
Piemēram, Nīderlandes tiesa 2020.gada 13.maijā, pēc bērnu mātes iesnieguma tiesā par personu tiesību aizskārumu attiecībā uz privāto dzīvi, lēma, ka vecmāmiņai ir jādzēš ievietoto mazbērnu fotogrāfijas no saviem sociālās tīklošanas vietnēm Facebook un Printerest, kas ievietotas bez bērnu vecāku atļaujas un nav ņēmusi vērā vecāku lūgumu šos fotoattēlus dzēst. Par uzliktā pienākuma neizpildi – izdzēst bērnu fotoattēlus no sociālajām tīklošanas vietnēm tiesa lēmusi sodu – 50,00 euro apmērā par katru dienu, kad fotoattēli nav dzēsti (līdz 1000,00 euro ) [1].
Aktualitātes Eiropas Savienības Tiesas (EST) judikatūrā [2]
Meklētājprogrammas pakalpojuma sniedzēja pienākums nodrošināt atsauču atsaistīšanu visās ES dalībvalstīm paredzētajās viņa meklētājprogrammu versijās
EST 2019. gada 24. septembra spriedums C-507/17 Google (Portée territoriale du déréférencement).
“Francijas Valsts informātikas un brīvību komisija (turpmāk – CNIL) ar 2016. gada 10. marta lēmumu uzlika 100 000 eiro sodu Google par to, ka Google, apmierinot fiziskas personas lūgumu no rezultātu saraksta, kas parādās, veicot meklēšanu pēc šīs personas vārda, izņemt saites uz tīmekļa lapām, šo izņemšanu nav attiecinājusi uz visiem šīs sabiedrības meklētājprogrammas domēna nosaukuma paplašinājumiem.
Tāpat CNIL pieprasīja Google papildus veikt tā saukto ģeobloķēšanu, proti, izskaust iespēju no IP adreses, par kuru tiek pieņemts, ka tā atrodas datu subjekta dzīvesvietas dalībvalstī, piekļūt strīdīgajiem rezultātiem, veicot meklēšanu pēc šā subjekta vārda, neatkarīgi no tā, kādu meklētājprogrammas versiju izmanto interneta lietotājs.
Google attiecīgās saites izņēma tikai no rezultātiem, kas parādās, veicot meklēšanu no tiem šīs sabiedrības meklētājprogrammas domēna nosaukuma paplašinājumiem, kas atbilst dalībvalstīm paredzētajām šīs meklētājprogrammas versijām. Vienlaikus Google ar prasības pieteikumu vērsusies Francijas Valsts padomē (Conseil d’État), lūdzot atcelt lēmumu par tai piemēroto naudassodu.
EST, vērtējot lietas apstākļus, konstatēja, ka, lai arī lūguma sniegt prejudiciālu nolēmumu iesniegšanas brīdī bija piemērojama Direktīva 95/46/EK, no 2018. gada 25. maija tā ir atcelta un kopš tā laika piemērojama Vispārīgā datu aizsardzības regula, tādēļ, lai gādātu, ka tās sniegtās atbildes iesniedzējtiesai būs noderīgas, EST izskatīja šo lietu gan minētās direktīvas, gan Vispārīgās datu aizsardzības regulas kontekstā.
Spriedumā EST norādīja, ka globalizētā pasaulē interneta lietotāju piekļuve rezultātu sarakstam, kurā ir saite uz informāciju par kādu personu, kuras interešu centrs atrodas ES, var iespējami radīt šai personai tūlītējas un būtiskas sekas visā ES.
Līdz ar to ES likumdevēja kompetencē ir noteikt meklētājprogrammas pakalpojumu sniedzējam pienākumu, apmierinot šādas personas izteiktu lūgumu atsaistīt atsauces, veikt šo atsauču atsaistīšanu visās viņa meklētājprogrammas versijās.
Savukārt, vērtējot ģeogrāfisko tvērumu, kādā meklētājprogrammu pakalpojuma sniedzējiem jāveic atsauču atsaistīšana, EST secināja, ka šobrīd no ES tiesībām meklētājprogrammu pakalpojuma sniedzējam, kurš izpilda datu subjekta lūgumu par atsauču atsaistīšanu, neizriet pienākums veikt šo atsauču atsaistīšanu visās viņa meklētājprogrammas versijās.
Tādējādi, ņemot vērā minēto, EST secināja, ka Direktīvas 95/46/EK 12. panta b) punkts un 14. panta pirmās daļas a) apakšpunkts, kā arī Vispārīgā datu aizsardzības regulas 17. panta 1. punkts jāinterpretē tādējādi, ka gadījumā, ja meklētājprogrammas pakalpojumu sniedzējs saskaņā ar šīm tiesību normām apmierina lūgumu par atsauču atsaistīšanu, tam ir pienākums veikt šo atsaistīšanu visās dalībvalstīm paredzētajās viņa meklētājprogrammas versijās. Tāpat EST atzina, ka vajadzības gadījumā minēto atsaistīšanu ir jāapvieno ar tādiem pasākumiem, kas dalībvalstu interneta lietotājam liedz piekļūt saitēm, uz kurām attiecas atsaistīšanas lūgums.”
Pienācīgā kārtā dota tīmekļvietnes lietotāja piekrišana
EST 2019. gada 1. oktobra spriedums C-673/17 Planet49.
Lai piedalītos loterijā, interneta lietotājam bija jāveic autorizācija un ar ķeksīti jāatzīmē divi izvēles lauki. Pirmajā izvēles lauka paskaidrojošajā tekstā, kura izvēles rūtiņa (turpmāk – pirmā izvēles rūtiņa) nebija atzīmēta ar ķeksīti, bija rakstīts teksts: “Piekrītu saņemt dažu sponsoru un sadarbības partneru informāciju par komercpiedāvājumiem pa pastu vai tālruni, vai e-pastu/SMS. Tos varu izvēlēties šeit pēc saviem ieskatiem, pretējā gadījumā izvēli veiks organizētājs. Šo piekrišanu varu atsaukt jebkurā laikā. Sīkāku informāciju skatīt šeit.”
Savukārt otrajā izvēles lauka paskaidrojošajā tekstā, kura izvēles rūtiņa bija atzīmēta ar ķeksīti (turpmāk – otrā izvēles rūtiņa), bija teikts: “Piekrītu, ka attiecībā uz mani tiek izmantots tīmekļa analīzes dienests Remintrex. Tas nozīmē, ka, man piereģistrējoties dalībai loterijā, loterijas organizētājs [Planet49] ievieto sīkdatnes, kas Planet49 ļauj izvērtēt manus tīklklejošanas un lietošanas paradumus reklāmas partneru tīmekļvietnēs un tādējādi ļauj Remintrex ievietot reklāmu, kas ir balstīta uz lietotāja interesēm. Sīkdatnes jebkurā laikā varu atkal izdzēst. Sīkāku informāciju lasiet šeit.”
Piedalīties reklāmas loterijā bija iespējams tikai tad, ja ar ķeksīti tika atzīmēts vismaz pirmais izvēles lauks. Vācijas Federālā patērētāju tiesību aizsardzības centru apvienība (turpmāk – apvienība), pieprasot pārtraukt minētajos izvēlas laukos norādīto apliecinājumu pieprasīšanu no interneta lietotājiem, vērsās tiesā pret Planet49.
Sākotnēji apvienības prasība tika daļēji apmierināta, savukārt apelācijas kārtībā noraidīta,tādēļ apvienība pārsūdzības kārtībā vērsās iesniedzējtiesā, kura, šaubīdamās gan par to, vai veids, kā Planet49 saņem tīmekļvietnes www.dein-macbook.de lietotāju piekrišanu ar otrās izvēles rūtiņas palīdzību, ir pienācīgs, gan par to, kāds apjoms ir Direktīvas 2002/58 5. panta 3. punktā paredzētajam informēšanas pienākumam, vērsās EST.
Šajā lietā EST atzina, ka ar to vien, ka lietotājs aktivizē pogu dalībai reklāmas loterijā, nav pietiekami, lai varētu uzskatīt, ka lietotājs ir pienācīgi devis savu piekrišanu sīkdatņu ievietošanai, tas ir, Direktīvas 2002/58 2. panta f) punkts un 5. panta 3. punkts, skatot kopsakarā ar Direktīvas 95/46 2. panta h) punktu, kā arī ar Vispārīgās datu aizsardzības regulas 4. panta 11. punktu un 6. panta 1. punkta a) apakšpunktu, jāinterpretē tādējādi, ka šajās tiesību normās minētā piekrišana nav pienācīgi dota, ja atļauja informācijas saglabāšanai tīmekļvietnes lietotāja galiekārtā vai piekļuvei tur jau uzglabātai informācijai ar sīkdatņu palīdzību tiek dota, izmantojot iepriekš ar ķeksīti atzīmētu izvēles rūtiņu, no kuras šim lietotājam, ja viņš nevēlas dot savu piekrišanu, ķeksītis ir jāizņem.
Vienlaikus EST norādīja, ka elektronisko komunikāciju tīklu lietotāju galiekārtā uzglabātā informācija ir to lietotāju privātās jomas daļa, ko aizsargā Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijas (ECPAK). Ņemot vērā minēto, EST atzina, ka šī aizsardzība attiecas uz visu šajā galiekārtā uzglabāto informāciju neatkarīgi no tā, vai šī informācija ir vai nav personas dati, un tās mērķis ir aizsargāt lietotājus pret draudiem, ka, viņiem nezinot, viņu galiekārtā varētu iekļūt slēptie identifikatori vai citi tamlīdzīgi rīki.
Tādējādi, pamatojoties uz minēto, EST uzsvēra, ka Direktīvas 2002/58 2. panta f) punkts un 5. panta 3. punkts, skatot tos kopsakarā ar Direktīvas 95/46 2. panta h) punktu, kā arī Vispārīgās datu aizsardzības regulas 4. panta 11. punktu un 6. panta 1. punkta a) apakšpunktu, nav jāinterpretē atšķirīgi atkarībā no tā, vai tīmekļvietnes lietotāja galiekārtā saglabātā vai no tās izgūtā informācija ir vai nav personas dati Direktīvas 95/46 un Vispārīgās datu aizsardzības regulas 2016/679 izpratnē.
Tāpat Direktīvas 2002/58 5. panta 3. punkts jāinterpretē tādējādi, ka informācijai, kura pakalpojumu sniedzējam jāsniedz tīmekļvietnes lietotājam, jāietver ziņas par sīkdatņu darbības ilgumu, kā arī par to, vai trešajām personām ir vai nav iespējams piekļūt šīm sīkdatnēm.”
Atgādinājums!
Personas datu apstrādes nereģistrācija no 25.05.2018.
Informējam, ka ievērojot Regulas 89.apsvērumā noteikto, personas datu apstrādes reģistrācijas pienākums pēc Regulas tiešas piemērošanas uzsākšanas vairs nepastāv.
Vienlaikus informējam, ka neskatoties uz to, ka sākot ar 2018.gada 25.maiju personas datu apstrādes reģistrācija nav jāveic, pārziņiem jebkurā gadījumā Regulas prasības ir obligātas. Proti, Regulas 5.panta otrajā daļā ir iestrādāts pārskatatbildības princips. Šis princips nosaka, ka pārzinim ir pienākums nodrošināt tādu personas datu apstrādes procesu, kas ļauj pierādīt, ka veiktā personas datu apstrāde ir atbilstoša datu aizsardzības normatīvā regulējuma prasībām.
Fizisko personu datu apstrādes likuma 36.pantā ir noteikts, ka Regula neattiecas gan uz personas datu apstrādi, ko fiziskās personas veic, izmantojot automatizētas datu ieraksta ierīces ceļu satiksmē (videoreģistratori) personiskajām vai mājsaimniecības vajadzībām, gan arī uz datu apstrādi, ko veic fiziskās personas, izmantojot automatizētas videonovērošanas ierīces personiskajām vai mājsaimniecības vajadzībām.
Līdz ar to, ja Jūs izmantojat videoreģistratoru ceļu satiksmē izmantotajā transportlīdzeklī, lai veiktu ceļu satiksmes novērošanu personiskajām un mājsaimniecības vajadzībām uz Jūsu veikto personas datu apstrādi (videonovērošanu) Regulas prasības neattiecas. Vienlaicīgi vēršam uzmanību, ka publicēt videoierakstus interneta vietnēs, kā arī nodot tos trešajām personām bez atbilstošā tiesiskā pamata, ir aizliegts.
[2] Tieslietu ministrijas Eiropas Savienības Tiesas departamenta juriskonsults Edgars Bārdiņš “Aktualitātes Eiropas Savienības Tiesas judikatūrā”. Avots: Nedēļas žurnāls „Jurista Vārds” 12. MAIJS 2020 /NR. 19 (1129) .