Publicēts: 19.02.2025.
#dviskaidro
Cilvēks sēž pie datora un uzdod jautājumu

Mūsdienās gandrīz ikviena organizācija vāc un apstrādā personas datus. Visbiežāk informācija par datu apstrādi tiek sniegta, publicējot privātuma politiku jeb datu apstrādes noteikumus organizācijas tīmekļa vietnē. Tādējādi iedzīvotāji zina, kādi dati tiek ievākti un kā tie tiks izmantoti.

Par to, kam ir jābūt privātuma politikā, skaidrojām rakstā “Kas ir privātuma politika?”, savukārt privātuma politikas satura paraugs pieejams šeit. Tāpat aicinām iepazīties ar semināra “Privātuma politika un padomi tās izstrādē” ierakstu.

Izskatot cilvēku iesniegumus, kā arī pēc savas iniciatīvas veicot pārbaudes, Inspekcija iepazīstas arī ar dažādu organizāciju privātuma politikām, lai pārliecinātos, vai tajās esošā informācija atbilst tam, kā dati patiesi tiek apstrādāti realitātē. Tāpat ir jāpārliecinās, vai datu apstrāde atbilst Datu regulas prasībām. Turpinājumā Inspekcija sniedz ieskatu biežāk novērotajās nepilnībās publicētajos datu apstrādes noteikumos. Aicinām organizācijas ar tām iepazīties un ņemt vērā savu privātuma politiku izstrādē un atjaunošanā.

Organizācijas privātuma politikas tīmekļvietnē mēdz izvietot tā, ka tās nav viegli atrodamas un pieejamas.

Privātuma politikai tiek veltīta nevis atsevišķa sadaļa, kura izvietota sākumlapā, bet gan tā tiek ietverta kādā citā sadaļā, kurai dots vispārīgs vai nesaistīts nosaukums, piemēram, “Svarīgi!” vai “Klientiem”, kā daļu no tās satura veltot arī datu apstrādes noteikumiem.

Saite uz privātuma politiku tiek ievietota sīkdatņu uznirstošajā paziņojumā jeb banerī, līdz ar to, cilvēkam sākotnēji izvēloties sīkdatņu iestatījumus un banerim “pazūdot”, atkārtoti privātuma politikai vairs nevar piekļūt.

Privātuma politikai būtu jābūt pieejamai pirmajā lapā kā atsevišķai sadaļai, skaidri norādot saturu tās nosaukumā – piemēram, “Privātuma politika” vai “Datu apstrādes noteikumi”.

Novērots, ka organizācijas mēdz publicēt standartizētas vai no citām mājaslapām nokopētas privātuma politikas, kas nav pielāgotas viņu veiktajai komercdarbībai. Tādējādi tajās atrodama lieka vai nepilnīga un maldinoša informācija, tā nesasniedzot privātuma politikas mērķi – sniegt precīzu un aktuālu informāciju par personas datu apstrādi, ko veic konkrētais pārzinis. Privātuma politikā ir jānorāda tikai reālajai apstrādei atbilstoša informācija. Tomēr, ņemot vērā, ka katrs uzņēmums darbojas unikālā veidā un to datu apstrādes darbības atšķiras, nav vienas receptes, kas der visiem.

Piemēram, uzņēmums tirgo elektroierīces, taču privātuma politikā aprakstīta datu apstrāde, kas tiek veikta saistībā ar ceļojumu plānošanas pakalpojumu sniegšanu, ko uzņēmums vispār nepiedāvā.

Privātuma politikas reizēm tiek veidotas bez loģiskas struktūras, neizdalot datu subjektam būtiskus datu apstrādes aspektus atsevišķās privātuma politikas sadaļās, tā privātuma politiku padarot nepārskatāmu un grūti uztveramu. Bieži vien informācija atkārtojas vairākkārt, tiek izmantoti sarežģīti jēdzieni un vispārīgas frāzes, kas lieki padara privātuma politiku garāku, taču nesniedz cilvēkam informāciju par datu apstrādi.

Publicējot privātuma politiku, organizācijai jāpārliecinās, ka tā būs viegli uztverama arī cilvēkam bez priekšzināšanām par personas datu apstrādes normatīvajiem aktiem. Tā jāformulē pēc iespējas kodolīgā, viegli pārredzamā un uztveramā veidā, neatstājot vietu interpretācijai.

Piemēram, privātuma politikā tiek norādīts, ka “minētos datus apstrādāsim saskaņā ar jūsu vēlēšanos”, ar ko, ņemot vērā pārējo privātuma politikas saturu, organizācija domājusi personas piekrišanu. Šajā situācijā organizācijai būtu jāizvēlas termini, kuri ir nepārprotami un precīzi paskaidro apstrādes būtību, tātad – būtu jānorāda, ka dati tiek apstrādāti, pamatojoties uz personas piekrišanu.

Organizācijas mēdz privātuma politikā nesniegt pilnīgu informāciju par visiem apstrādes nolūkiem un tiem piemērotajiem tiesiskajiem pamatiem, taču no citas privātuma politikā vai tīmekļvietnē sniegtās informācijas var secināt, ka šāda apstrāde tiek veikta.

Privātuma politikā tiek sniegta informācija tikai par apstrādi, kas saistīta ar preču pārdošanu (līguma izpildi). Taču tīmekļvietnē tiek piedāvāts arī ievadīt klienta e-pasta adresi un piekrist komerciālu paziņojumu saņemšanai, kas nozīmē, ka dati tiek apstrādāti ne tikai saziņai ar klientu par līguma izpildi, bet arī uzņēmuma jaunumu un citu piedāvājumu paziņošanai. Informācija par šādu apstrādi būtu jāapraksta privātuma politikā.

Organizācijai ir jānorāda tās veiktās datu apstrādes nolūks un tiesiskais pamats.[1] Privātuma politikā šī informācija jāsniedz veidā, kas ļauj skaidri identificēt, kāds ir tiesiskais pamats katrai apstrādei, to aprakstot vienkopus. Tā cilvēki, kuru dati tiek vai var tikt apstrādāti, var pārliecināties par katras apstrādes darbības tiesiskumu. Tāpat arī viņi var saņemt precīzu informāciju par datu apstrādes tiesisko pamatu, paredzēt, kādas tiesības var īstenot un kuras tiesības piemērotā tiesiskā pamata dēļ var būt ierobežotas.

Tāpēc nebūtu korekti datu apstrādes mērķi un tiesisko pamatu norādīt atsevišķās privātuma politikas sadaļās, tos nesasaistot, kā to esam konstatējuši dažādu organizāciju privātuma politikās. Šī informācija būtu jāpasniedz tā, lai neatstātu vietu interpretācijām, proti, kuram datu apstrādes mērķim tiek piemērots kāds no norādītajiem tiesiskajiem pamatiem.

 

     Piemēram, gadījumā, kad privātuma politikā organizācija vēlas iekļaut informāciju, ka tiek apstrādāti konkrēti personas dati preču piegādei/pasūtījumu apstrādei, jānorāda gan šis nolūks, gan tiesiskais pamats, kas atbilst Datu regulā uzskaitītajiem pamatiem[2]. To pārskatāmi var norādīt, piemēram, šādi:

 

Datu apstrādes nolūks

Datu apstrādes tiesiskais pamats

 

Preču pārdošana un piegāde klientiem

Līguma izpilde vai pakalpojuma veikšana pēc Datu subjekta pieprasījuma pirms līguma noslēgšanas (Datu regulas 6. panta 1. punkta b) apakšpunkts).

 

 

[1] Datu regulas 13. panta 1. punkta c) apakšpunkts

[2] Datu regulas 6. panta 1. punkts

Gadījumos, kad organizācijas apstrādā personas datus leģitīmajās interesēs[1], privātuma politikās (pretēji Datu regulas prasībām)[2] bieži netiek konkretizēts, kādu tieši leģitīmo interešu nodrošināšanai dati tiek apstrādāti. Tādejādi cilvēkiem netiek sniegta pilnīga informācija par datu apstrādes nolūkiem.  

Piemēram, organizācijai jākonkretizē, ka dati tiek apstrādāti uzņēmuma pakalpojumu reklamēšanai vai pierādījumu saglabāšanai strīdu gadījumos.

 

[1] Datu regulas 6. panta 1. punkta f) apakšpunkts

[2] Datu regulas 13. panta 1. punkta d) apakšpunkts

Attiecībā uz glabāšanas termiņu privātuma politikās organizācijas nereti mēdz norādīt vien to, ka “dati tiek apstrādāti tik ilgi, cik tas ir nepieciešams apstrādes mērķu sasniegšanai”. Minētā norāde ir pārāk vispārīga. Organizācijai pēc iespējas jādara zināms laikposms, cik ilgi dati tiks glabāti (norādot mēnešus, dienas, gadus), vai, ja tas nav iespējams, pēc iespējas konkrētāki kritēriji, ko izmanto minētā laikposma noteikšanai un kas pielāgoti konkrēto datu kategorijai un apstrādes nolūkiem.[1]

 

[1] Datu regulas 13. panta 2. punkta a) apakšpunkts

Privātuma politikās nereti netiek konkrēti minēti personas datu saņēmēji vai saņēmēju kategorijas[1], lai arī tajās norādīts, ka dati tiek nodoti trešajām personām.  

Ja organizācijai ir noslēgtas vienošanās, līgumi vai pastāv cits savstarpējs pamatojums informācijas nodošanai, tad tā rīcībā ir pieejami šo organizāciju nosaukumi. Tādējādi par tiem ir jāinformē iedzīvotāji, norādot šādu saņēmēju identitāti vai, ja tā kādu iemeslu dēļ nav publicējama publiski, norādot to kategorijas (piemēram, piegādes pakalpojumu saņēmēji, grāmatvedības pakalpojumu sniedzēji utml.).

 

[1] Atbilstoši Datu regulas 13. panta 1. punkta e) apakšpunktam

Normatīvie akti paredz, ka personai jāsaņem informācija par tās tiesībām saistībā ar tās datu apstrādi – piemēram, tiesības iebilst pret to, pieprasīt datu dzēšanu vai izmatot tiesības uz to pārnesamību[1]. Inspekcija ir novērojusi, ka pārziņi mēdz nenorādīt Datu regulā paredzētās personas kā datu subjekta tiesības un to izpildes īstenošanas kārtību, kaut arī no privātuma politikas izriet, ka pārziņa piemērotie tiesiskie pamati pieprasa attiecīgu tiesību nodrošināšanu.

Piemēram, organizācija norādījusi, ka datu apstrādes tiesiskais pamats komerciālu paziņojumu saņemšanai ir personas piekrišana, taču privātuma politikā nav minēts, ka personai ir tiesības jebkurā brīdī šo piekrišanu atsaukt[2].

Piemēram, tiek uzskaitītas tiesības, ko persona var īstenot attiecībā uz savu datu apstrādi, taču nav norādīti kanāli, kāda kontaktinformācija, kanāli vai tīmekļvietnē izveidoti rīki izmantojami, lai organizācijai pieprasītu veikt kādas darbības vai pieprasītu informāciju.

Šādā gadījumā privātuma politiku nepieciešams papildināt ar norādēm, kādi soļi datu subjektam jāveic, lai īstenotu minētās tiesības.Tāpat atsevišķos gadījumos tiek paredzēti sarežģīti mehānismi, kā minētās tiesības īstenot.

Piemēram, privātuma politikā tiek paredzēts, ka personas pieprasījumi par datu apstrādi tiks pieņemti tikai tad, ja persona ieradīsies klātienē un uzrādīs personu apliecinošu dokumentu.

Organizācijai jānosaka un arī privātuma politikā jānorāda personai ērti un pieejami veidi savu tiesību īstenošanai (piemēram, iesūtīt iesniegumu, kas parakstīts ar drošu elektronisko parakstu, vai arī izsniegt informāciju, kad persona pieslēgusies savam profilam.

 

 

 

[1] Datu regulas 13. panta 2. punkta b) apakšpunkts

[2] Datu regulas 13. panta 2. punkta c) apakšpunkts

Būsim pateicīgi, ja skaidrojuma kvalitātes novērtēšanas nolūkos aizpildīsiet šo aptauju  - https://www.visidati.lv/aptauja/10413182/