Kā mēs jau zinām, fitnesa kluba īpašnieks Jānis Datiņš rūpējas ne tikai par savu klientu fizisko formu, bet arī par viņu datu drošību un privātumu. Jānis jau sen ievēro visus datu apstrādes principus un nodrošina, ka klienti var viņam pilnībā uzticēties. Viņš ir pamanījis, ka arvien vairāk cilvēku sāk interesēties par to, kā tiek ievākti un izmantoti viņu personas dati. Tāpēc Jānis nolēma padziļināti izpētīt datu ieguves veidus, lai pārliecinātos, ka viņa pieeja ir ne tikai atbilstoša likumiem, bet arī saprotama klientiem. Lai gūtu skaidrību un atkārtoti izceltu svarīgāko, Jānis vērsās pie sava datu aizsardzības speciālista. Piedāvājam arī jums speciālista izklāstītos galvenos datu ieguves veidus un to likumīgas izmantošanas pamatprincipus, kas var noderēt ikvienam.
Speciālists paskaidroja, ka, lai organizācija varētu sasniegt savus darbības mērķus, tai var būt nepieciešams analizēt un izmantot dažādus personas datu iegūšanas avotus. Tomēr jāatceras, ka katrs avots ir derīgs tikai tad, ja datu iegūšana no tā ir likumīga, proti, tai ir atbilstošs tiesiskais pamats. Turklāt, ievācot datus, jāievēro arī citi datu apstrādes principi, nodrošinot, lai personas varētu kontrolēt, kas un kādiem nolūkiem izmanto viņu datus.
Organizācijas var iegūt datus dažādos veidos:
- tieši no paša cilvēka, lūdzot sniegt konkrētu informāciju;
- no trešajām personām;
- novērojot cilvēka darbības un, ja nepieciešams, tās apkopo, lai iegūtu kāda veida informāciju par konkrētu cilvēku.
Iegūstot datus no dažādiem avotiem, organizācijai ir svarīgi nodrošināt pārskatāmību, lai skaidri varētu noteikt, no kurienes dati ir iegūti un kā tie tiek izmantoti. Šādi pasākumi nepieciešami, piemēram, lai:
- būtu saprotams, kāds tiesiskais pamats piemērojams katrai datu kopai;
- izpildītu cilvēka kā datu subjektu pieprasījumus attiecībā uz informācijas sniegšanu par datu apstrādi, tostarp par datu izcelsmi;
- efektīvi izpildītu dzēšanas vai labošanas pieprasījumus;
- konstatējot neprecizitātes iegūtajos datos, izvērtētu avota piemērotību apstrādes mērķu sasniegšanai.
Datu aizsardzības speciālists atgādina, ka, neatkarīgi no izvēlētā datu gūšanas veida, katrai turpinājumā apskatītajai datu ieguvei ir jāatbilst kādam no datu apstrādes tiesiskajiem pamatiem[1], kā arī organizācijai, kas iegūst datus, jānodrošina, ka cilvēks ir informēts par personas datu apstrādi[2].
Cilvēka paša iesniegtie dati
Personas datus organizācijas bieži vien iegūst no pirmavota jeb cilvēka, uz kuru dati attiecas un kurus viņš pats aktīvi un apzināti sniedz organizācijai. Ievācot datus no cilvēka paša, organizācijai to vākšanas laikā jāsniedz pilnīga informācija par plānoto datu apstrādi.[3]
Piemēram:
- Veidojot lietotāja kontu “Datiņa fitness” tīmekļvietnē, klients atbilstoši pakalpojuma sniedzēja pieprasītajam aizpilda reģistrācijas formu un norāda savu vārdu, uzvārdu, vecumu, kontaktinformāciju.
- Lai noskaidrotu klientu viedokli par saņemtajiem fitnesa pakalpojumiem un gūtu plašāku izpratni par klientu vēlmēm, sporta zāle lūdz sniegt atsauksmes un aizpildīt aptaujas anketas.
Dati, kas iegūti no citām organizācijām
Ja tam ir tiesisks pamats, tad organizācijas savu nolūku sasniegšanai var iegūt datus arī no citām organizācijām, kuru rīcībā jau ir nepieciešamie dati. Datus var iegūt arī, ja to paredz normatīvie akti, piemēram, kad iestādēm ir tiesības pieprasīt informāciju savu pienākumu veikšanai, vai arī, ja starp organizācijām ir līgumattiecības, kuru izpilde ietver arī personu datu apstrādi. Tāpat to var darīt, ja tas ir nepieciešams uzņēmuma vai citu personu likumīgajām interesēm.
Piemēram:
Sociālo pakalpojumu sniedzējam ir tiesības pieprasīt un bez maksas saņemt no valsts un pašvaldību iestādēm un citām valsts pārvaldes iestādēm, privātpersonām, tai skaitā ārstniecības iestādēm, ziņas, kas nepieciešamas sociālo pakalpojumu sniegšanai, ja ziņas nepieciešamas, lai pieņemtu vai izpildītu lēmumu par sociālā pakalpojuma sniegšanu.[4]
Gadījumos, kad dati nav ievākti tieši no cilvēka, arī organizācijai, kas tos saņem, jāinformē persona par viņa datu apstrādi.[5] Cilvēkam papildu pamata informācijai jāzina, no kurienes iegūti viņa dati, vai tie nāk no publiski pieejamiem avotiem, un kāda veida dati ir ievākti.
Izņēmumi[6] informēšanas pienākumam ir, ja:
- informācija par datu iegūšanu jau ir cilvēka rīcībā;
- informēšana nav iespējama vai prasītu nesamērīgi lielas pūles;
- iegūšana ir skaidri paredzēta normatīvajos aktos;
- ir jāsaglabā personas datu konfidencialitāte.
Novērotie dati
Novērotie dati ir dati, kas tiek iegūti, izmantojot tiešu novērošanu vai mērījumus, bez aktīvas cilvēka iesaistes un tie tiek iegūti, piemēram, no viņa uzvedības vai fiziskajām īpašībām. Šie dati nereti var tikt apstrādāti, lai vēlāk tos izmantotu mērķtiecīgai reklāmai un personalizētam saturam. Tāpat novērotie dati tiek ievākti arī drošības nolūkos, piemēram, veicot videonovērošanu.
Piemēram:
- Lietotāja darbības sociālo mediju platformā (piemēram, saturs, kuru lietotājs ir kopīgojis, skatījis vai atzīmējis ar “Patīk”)
- Tīmekļa vietnes izmanto sīkdatnes[7], lai izsekotu lietotāju uzvedību, tostarp pārlūkošanas vēsturi, klikšķus un laiku, kas pavadīts lapās.
- Videonovērošanā fiksēts personas attēls vai rīcība.
- Biometriskie dati, piemēram, gaitas analīze, sejas atpazīšana vai pirkstu nospiedumi.
Izsecinātie dati
Izsecinātie dati tiek iegūti, izmantojot analīzi, loģiskas sakarības vai algoritmus, balstoties uz organizācijas rīcībā jau esošajiem (novērotajiem vai sniegtajiem) datiem. Šie dati ir jauni secinājumi, kas izriet no apstrādātajiem personas datiem un var palīdzēt prognozēt vai novērtēt konkrētas personas uzvedību, īpašības vai intereses. Tos bieži izmanto automatizētu lēmumu pieņemšanā vai lai nodrošinātu personalizētu piedāvājumu sniegšanu.
Ja dati tiek apstrādāti automātizēti, lai novērtētu cilvēku īpašības, analizētu viņu uzvedību vai izveidotu prognozes par viņiem, organizācijai jāievēro normatīvie akti, kas regulē šādu datu apstrādi un profilēšanu.[8]
Piemēram:
- Fitnesa klubs var secināt, ka klientu, visticamāk, interesēs noteikta treniņu programma vai uztura plāns, un tos piedāvāt, pamatojoties uz klienta iepriekšējām sporta aktivitātēm vai informāciju, ko tas ievadījis lietotnē vai tīmekļa vietnē.
- Kredītiestāde izveido personas kredītreitingu, analizējot personas ienākumus, izdevumus un maksājumu vēsturi.
- Analizējot personas ģenētisko informāciju vai dzīvesveidu, tiek izveidota personas slimību risku prognoze.
Tātad- neatkarīgi no tā, vai tie ir iegūti tieši no cilvēka, novērojot viņa darbības, vai no trešajām personām, organizācijām vienmēr jāievēro datu aizsardzības principi un jānodrošina, ka cilvēki jūtas droši par to, kā viņu informācija tiek izmantota. Kā uzskata Jānis Datiņš, tad rūpes par klientu datiem nav tikai juridisks pienākums, bet arī uzticības pamats jebkuram veiksmīgam uzņēmumam.
[1] Datu regulas 6. panta 1. punkts
[2] Informāciju, kas jāsniedz datu subjektam, nosaka Datu regulas 13. un 14. pants.
[4] Sociālo pakalpojumu un sociālās palīdzības likuma 17. panta ceturtā daļa
[5] Informācija, kas sniedzama, ja dati netiek iegūti no datu subjekta, noteikta Datu regulas 14. pantā.
[6] Datu regulas 14. panta 5. punkts
[7] Vairāk par sīkdatnēm aicinām lasīt Inspekcijas sagatavotajā skaidrojumā #DVIskaidro “Kas man jāzina par sīkdatnēm jeb “cookies”?” (pieejams: https://www.dvi.gov.lv/lv/jaunums/dviskaidro-kas-man-jazina-par-sikdatnem-jeb-cookies)
[8] Datu regulas 22. pants