Kad nododam kādam citam savus datus, parasti darām to ar pārliecību, ka šie dati tiks izmantoti konkrētam un mums skaidri saprotamam mērķim. Tieši datu apstrādes nolūks ir galvenais aspekts, kuru cilvēks izvērtē pirms datu nodošanas. Tāpēc, turpinot personas datu apstrādes principu izpēti, šoreiz apskatīsim “nolūka ierobežojuma” principu[1], kurš jāievēro pārziņiem, lai nodrošinātu datu subjektu gaidu, kādiem mērķiem tiek izmantoti to dati, ievērošanu.
Nolūka ierobežojuma princips ir cieši saistīts ar citiem Datu regulā nostiprinātiem principiem, piemēram, ar pārredzamības principu, jo tikai zinot konkrētu datu apstrādes mērķi, cilvēks saprot, ko sagaidīt savu datu apstrādes ietvaros. Tāpat precīza nolūka noteikšana ir saistīta ar datu minimizēšanas un glabāšanas ierobežojuma principiem, jo atkarībā no nolūka var noteikt datu, kas nepieciešami tā sasniegšanai, apjomu, kā arī - cik ilgi datus ir nepieciešams glabāt. Saistība ir arī ar likumības principu, jo tikai datiem, ko plānots izmantot skaidri definēta nolūka sasniegšanai, būs iespējams noteikt atbilstošu tiesisko pamatu.
Visbiežāk šī principa pārkāpumi novērojami:
- nosakot personas datu apstrādes nolūku. Pārziņi mēdz norādīt pārāk vispārīgu vai neskaidru nolūku, tā cilvēkiem neparādot, kam tiks izmantoti konkrētie dati. Datu regula paredz, ka nolūkam jābūt konkrētam, skaidri definētam un leģitīmam. Lai to ievērotu, ir skaidri jādefinē, kāpēc mēs vēlamies iegūt personas datus. Ir jānosaka, kā mēs plānojam izmantot šos datus un kādas apstrādes darbības tiek veiktas vai netiek veiktas, lai sasniegtu mērķi. Turklāt šis nolūkam jābūt definētam jau datu vākšanas laikā. Nedrīkst ievākt datus tikai tāpēc, ka tie kādreiz varētu noderēt;
- ja pārziņa rīcībā esošos personas datus nepieciešams apstrādāt citiem mērķiem. Pārziņi šādos gadījumos mēdz apstrādāt datus bez datu subjekta informēšanas par jauno nolūku, kā arī pārsniedzot personas gaidas par tās datu izmantošanu. Lai nodrošinātu principa ievērošanu, iegūto datu turpmāku apstrādi nedrīkstam veikt ar tādu mērķi, kas nav savienojams ar datu ievākšanas nolūku un jāievēro, ka katram jaunam datu apstrādes nolūkam, kas nav savietojams ar sākotnējo, jānosaka jauns tiesiskais pamats. Tāpat nevaram atsaukties uz faktu, ka dati sākotnēji tika iegūti vai apstrādāti citam likumīgam nolūkam.
Secinot, ka varētu tikt veikta datu apstrāde atšķirīgam nolūkam nekā tie sākotnēji vākti, pārzinim vispirms jāizvērtē, vai šis nolūks ir savienojams ar sākotnējo apstrādi.
Datu apstrādes savietojamība prasa rūpīgu izvērtējumu katrā konkrētā gadījumā. Par nesavienojamu varētu uzskatīt tādu datu apstrādi, kuru pārzinis veic datu subjektam to saprātīgi nesagaidot, nepiemēroti vai veidā, pret kuru datu subjektam varētu būt iebildumi. Lai novērtētu, vai turpmākā apstrāde ir uzskatāma par savietojamu (saderīgu), pārzinim ir jāņem vērā arī šādi aspekti:
- saikne starp minētajiem nolūkiem un paredzētās turpmākās apstrādes nolūkiem;
- konteksts, kādā personas dati ir vākti;
- personas datu raksturs;
- sekas, ko turpmākā apstrāde radītu datu subjektam;
- atbilstošu garantiju esamība gan sākotnējās, gan paredzētajās turpmākās apstrādes darbībās.[2]
Ja tiek konstatēts, ka turpmākas apstrādes un datu ievākšanas nolūki ir savienojami, nav vajadzīgs atsevišķs juridiskais pamats, kā vien tas, ar ko tika atļauta personas datu vākšana. Vienlaikus, ievērojot Datu regulas prasības, pārzinim jāinformē datu subjekts par jauno apstrādes nolūku[3].
Piemērs. Gadījumos, kad klients nav laicīgi veicis sporta zāles pakalpojumu rēķina apmaksu, Jānim Datiņam piederošais sporta klubs nosūta uz klienta e-pasta adresi atgādinājuma e-pastu par sagatavoto rēķinu ar lūgumu to apmaksāt. Lai arī šāda veida datu apstrāde nav minēta līgumā, kas noslēgts starp klientu un sporta klubu, ņemot vērā starp pārzini un datu subjektu pastāvošās attiecības, kā arī apsvērumu, ka šāda apstrāde drīzāk rada pozitīvas sekas datu subjektam, ļaujot novērst līgumsaistību pārkāpumu, tā būtu uzskatāma par par savietojamu ar datu vākšanas nolūku.
Savukārt, ja pārzinis, izvērtējot augstāk minētos kritērijus konstatē, ka jaunais datu apstrādes nolūks nav savienojams ar to ievākšanas nolūku, pārzinis plānoto apstrādi, ja tai ir tiesisks pamats un tiek nodrošināta Datu regulā paredzēto datu subjekta tiesību nodrošināšana, var veikt tad, ja, informējot datu subjektu par šādu apstrādi, saņemta datu subjekta piekrišana vai šāda datu apstrāde balstās uz tiesību aktiem, kas demokrātiskā sabiedrībā ir vajadzīgs un samērīgs pasākums, lai aizsargātu svarīgus vispārējo sabiedrības interešu mērķus.[4]
Piemērs. Jāņa Datiņa draugs ir nodibinājis uzņēmumu, kura pamatdarbība saistīta ar uztura bagātinātāju, kas īpaši paredzēti sportistiem, pārdošanu. Zinot, ka Jānim piederošā sporta kluba rīcībā ir daudzu cilvēku, kuri ikdienā nodarbojas ar sportu, dati, tostarp, e-pasta adreses, Jāņa draugs lūdz nodot šīs e-pasta adreses viņam, lai informētu potenciālos klientus par jauno uzņēmumu un piedāvātu tā produkciju.
Vērtējot datu nodošanas savienojamību ar sākotnējo nolūku, Jānim, vadoties no skaidrojumā aplūkotajiem kritērijiem, jāņem vērā, ka drauga uzņēmuma darbība nav tieši saistīta ar sporta zāles pakalpojumu nodrošināšanu, tāpat saikne nav konstatējama starp Jāņa drauga uzņēmumu un Jāņa klientiem, tāpēc datu subjekti nesagaida, ka šāds uzņēmums varētu apstrādāt viņu datus. Datu subjekti datus ir nodevuši, lai saņemtu sporta zāles pakalpojumus, tostarp, nodevuši savas e-pasta adreses, lai saņemtu rēķinus par fitnesa kluba pakalpojumu izmantošanu, kā arī aktuālo informāciju par kluba darbību, neparedzot, ka tās tiktu izmantotas cita uzņēmuma komerciālām vajadzībām. Līdz ar to šāda apstrāde nebūtu uzskatāma par savienojamu ar datu vākšanas sākotnējo nolūku un fitnesa klubs minētos datus varētu nodot tikai tad, ja klientiem tiktu pieprasīta un attiecīgi saņemta to piekrišana šāda veida datu apstrādei.
Jāatzīmē, ka Datu regula sniedz skaidru norādi, ka par saderīgām likumīgām apstrādes darbībām ir uzskatāma turpmākā apstrāde arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos.
Piemērs. Jānim Datiņam piederošās sporta zāles piedāvājumu klāstā ietilpst arī grupu nodarbības. Lai nodrošinātu, ka netiek pārsniegta nodarbību telpu ietilpība, uz katru no grupu nodarbībām apmeklētājiem jāpiesakās fitnesa kluba aplikācijā, tā rezervējot sev vietu nodarbībā. Lai pielāgotos klientu prasībām un lemtu par konkrētu grupu nodarbību turpmāku organizēšanu, Jānis Datiņš apkopo statistiku par grupu nodarbību apmeklējumu, izmantojot apmeklētāju, kuri tām pieteikušies, sarakstus.
[1] Princips noteikts Datu regulas 5. panta b) apakšpunktā
[2] Datu regulas 6. panta 4.punkts
[3] Datu regulas 13. panta 3. punkts
[4] Datu regulas 50. apsvērums