Turpinot apskatu par personas datu apstrādē norīkoto apstrādātāju lomu, šoreiz skaidrojam par to, kādi tad ir apstrādātāja pienākumi un tiesības.
Piemērs. Jānis Datiņš veiksmīgi aizsācis savu trenažieru zāles biznesu, kuram jau ir pievienojies krietns klientu pulciņš. Viņš ir nolēmis noslēgt līgumu ar ārpakalpojumu grāmatvedības uzņēmumu “Grāmatvedis” darbam ar trenažieru zāles ārējām un iekšējām finansēm. “Grāmatvedim” ir tiesības piekļūt klientu un darbinieku personas datiem, kas nepieciešami viņu darba pienākumu izpildei, piemēram, algas aprēķināšanai, nodokļu atskaitēm un grāmatvedības uzskaitei. Tātad šajā situācijā Jānis ir pārzinis, bet “Grāmatvedis”, kurš, pamatojoties uz noslēgto līgumu, veic personas datu apstrādi Jāņa vārdā,- apstrādātājs. Jānis vērsās pie sava datu aizsardzības speciālista, lai noskaidrotu, kādas tad ir apstrādātāja tiesības un pienākumi. Speciālists ieteica ņemt vērā septiņas lietas.
-
Apstrādes robežas
Tātad – “Grāmatvedis” kā apstrādātājs uzticētos personas datus var apstrādāt tikai saskaņā ar Jāņa Datiņa dotiem dokumentētiem norādījumiem.[1] Norādījumi ietver, piemēram, pieļaujamu un nepieļaujamu personas datu apstrādi, konkrētas procedūras, kas apstrādātājam veicamas, un datu aizsardzības veidus.
Ārpus Jāņa sniegtajām norādēm uzņēmums var rīkoties tikai tad, ja tas ir noteikts kādos normatīvajos aktos. Šādā gadījumā jau pirms apstrādes uzsākšanas par šādiem pienākumiem jāinformē Jānis, ja vien sabiedrības interesēs to nav aizliegts izpaust.
Pienākums dokumentēt attiecas ne tikai uz sākotnēji sniegtajiem norādījumiem, kas doti pirms apstrādes uzsākšanas un iekļauti līgumā, bet arī uz turpmākajā apstrādes gaitā sniegtajiem norādījumiem. Tāpēc, noslēdzot līgumu, būtu jāparedz, kā turpmāk tiks fiksēti jauni norādījumi.
Vienlaikus grāmatveži, balstoties uz savām zināšanām un pieredzi, var sniegt ieteikumus Jānim par to, kā veikt atbilstošu un efektīvu datu apstrādi. Ja Jānis šādus ieteikumus apstiprina un pieņem, tie var kļūt par viņa uzņēmuma norādījumiem.
Atgādinām, ka gadījumos, kad apstrādātājs pārkāpj pārziņa sniegtos norādījumus un veic apstrādi paša noteiktiem nolūkiem, apstrādātājs atzīstams par pārzini attiecībā uz apstrādes apjomu, kas veikts ārpus pārziņa pilnvarojuma!
Lai arī uzņēmuma “Grāmatvedis” pienākums ir pildīt Jāņa uzdotos uzdevumus, tomēr viņiem arī jābūt atbildīgiem un jāreaģē, ja kāds no sniegtajiem norādījumiem ir pretrunā ar personas datu aizsardzības normatīvajiem aktiem.
-
Konfidencialitāte
Uzņēmumam “Grāmatvedis” jānodrošina, ka Jāņa uzticētajiem personas datiem piekļūst tikai tādas viņu darbinieki, kuri veic tieši to uzdevumu izpildi, kādiem uzņēmums ir nolīgts. Jābūt saņemtam darbinieku apliecinājumam par apņemšanos nodrošināt konfidencialitāti tiem nodoto datu apstrādē, neizpaužot tos citām personām, vai arī šādam pienākumam tieši jāizriet no normatīvajiem aktiem. [2]
-
Apstrādes drošība
Ne tikai Jānim Datiņam kā pārzinim, bet arī grāmatvedības uzņēmumam kā apstrādātājiem ir pienākums īstenot atbilstošus tehniskus un organizatoriskus pasākumus, lai tiktu veikta personas datu droša apstrāde.[3] Piemēram, par šādu pienākumu atzīstama apstrādes sistēmu un pakalpojumu nepārtrauktas konfidencialitātes, integritātes, pieejamības un noturības nodrošināšana.
Noslēdzot līgumu ar uzņēmumu, Jānis ir skaidri norādījis, kādi drošības pasākumi jāīsteno, un uzņēmuma pienākums ir tos tikai īstenot un nodrošināt. Jānis kā pārzinis līgumā varēja arī aprakstīt tikai minimālos drošības mērķus un pieprasīt, lai grāmatvedības uzņēmums izstrādā un piedāvā konkrētus drošības pasākumus, kas atbilst šiem mērķiem.
-
Tiesības piesaistīt citus apstrādātājus
“Grāmatvedis” bez iepriekšējas konkrētas vai vispārējas rakstiskas Jāņa Datiņa atļaujas uzdevumu izpildei nedrīkst piesaistīt citus apstrādātājus. Ja šāda atļauja tiek saņemta, tad ir jāsniedz informācija par jebkādām plānotām izmaiņām saistībā ar papildu apstrādātāju piesaisti vai to maiņu, lai nepieciešamības gadījumā pret to varētu iebilst. Katrā ziņā līgumā ir jāatrunā, kā šī atļauja tiek saņemta.
Jāatceras, ka uz “Grāmatvedi” kā sākotnējo apstrādātāju gulstas atbildība pret pārzini, lai citi piesaistītie apstrādātāji izpildītu datu aizsardzības pienākumus. Ja “Grāmatvedis” nolemtu piesaistīt vēl citu apstrādātāju, arī starp šīm abām pusēm ir jānoslēdz līgums, kurš paredz papildus apstrādātājam tādus pašus datu aizsardzības pienākumus kā sākotnējam.
-
Palīdzības sniegšana pārzinim
Kā noteikts normatīvajos aktos, tad “Grāmatvedim” būtu jāpalīdz izpildīt vairākus pienākumus.
- Datu subjektu pieprasījumu izpilde
Kaut arī par datu subjektu pieprasījumu izskatīšanu atbildīgs ir pārzinis, arī apstrādātājam ir pienākums piedalīties datu subjektu pieprasījumu apstrādē, ciktāl tas ir iespējams.[4] Palīdzības sniegšanas apmērs var būt atšķirīgs atkarībā no apstrādātājam uzticētajiem uzdevumiem, kā arī datu subjekta pieprasījuma satura.
Piemēram, klients trenažieru zālei ir nosūtījis pieprasījumu, lai iegūtu visu informāciju par saviem maksājumiem pēdējā gada laikā. Trenažieru zāle ir atbildīga par šī pieprasījuma izpildi. Lai atbildētu uz šo pieprasījumu, Jānim Datiņam ir nepieciešama grāmatveža palīdzība, jo maksājumu informācija ir viņu rīcībā. Grāmatvedis sniedz palīdzību, sagatavojot visu nepieciešamo maksājumu informāciju un nododot to Jānim.
Gadījumā, ja cilvēks šo pieprasījumu būtu sūtījis pa tiešo grāmatvedim, tam nekavējoties tas būtu jāpārsūta Jānim, kā arī jānodrošina Jānim iespēja saņemt pieprasījuma izpildei nepieciešamos datus, ja tie ir grāmatveža rīcībā. Tāpat grāmatvedim var būt pienākums veikt konkrētas darbības ar datiem, ko cilvēks lūdzis.
Jebkurā gadījuma par klienta kā datu subjekta pieprasījuma izpildi ir atbildīgs Jānis Datiņš.
- Palīdzība nodrošināt citu pienākumu izpildi[5]
“Grāmatvedim” ir jāpalīdz Jānim Datiņam pieņemt atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu apstrādes drošību. Tāpat ir jāpalīdz paziņot Datu valsts inspekcijai un klientiem par personas datu aizsardzības pārkāpumiem.
Piemēram, kādu dienu “Grāmatvedis” atklāj, ka kāds no viņa darbiniekiem netīšām klientu datus ir nosūtījis trešajai personai. Uzņēmuma pienākums ir nekavējoties informēt Jāni Datiņu par šo pārkāpumu un palīdzēt viņam sagatavot informācija, ko iesniegt Datu valsts inspekcijai.
Līgumā varēja arī vienoties, ka “Grāmatvedis” pats tieši paziņo uzraudzības iestādei par datu aizsardzības pārkāpumu,[6] par to informējot arī Jāni Datiņu, iesniedzot viņam uzraudzības iestādei un klientiem nosūtīto paziņojumu kopijas.
Ja nepieciešams, ir jāpalīdz arī veikt ietekmes uz datu aizsardzību novērtējumus un konsultēties ar uzraudzības iestādi konstatētu augstu risku gadījumā.
-
Informācijas sniegšana pārzinim
Jānim Datiņam ir jābūt pieejamai visai informācijai, kas apliecinātu, ka ”Grāmatvedis” pilda visus pienākumus, kas attiecas uz tā dalību personas datu apstrādē, un lai ļautu Jānim vai viņa pilnvarotam revidentam veikt revīzijas, tostarp pārbaudes, un sniegtu tajās ieguldījumu. [7]
Revīziju mērķis ir nodrošināt, lai pārzinim būtu visa informācija par apstrādes darbību, kas tiek veikta viņa vārdā, un apstrādātāja sniegtajām garantijām.
Tas nozīmē, ka “Grāmatvedim” jāspēj sniegt precīza un izsmeļoša informācija par to, kā tiek veikta tam uzticētā datu apstrāde – jāsniedz informācija par apstrādei izmantotajām sistēmām, drošības pasākumiem, kā un kur tiek glabāti dati, kam un kā tie tiek nodoti, kas tiem piekļūst, kā arī cita informācija.
Ja pārbaudes gaitā konstatētas kādas nepilnības apstrādātāja veiktajā apstrādes procesā, viņiem ir pienākums tās novērst.
-
Rīcība ar personas datiem pēc apstrādes pabeigšanas
Lai personu dati tiktu pasargāti arī pēc uzticēto pienākumu izpildes, Jānim Datiņam līgumā būtu jānosaka, kā “Grāmatvedim” rīkoties ar tā rīcībā esošajiem personas datiem pēc līguma izpildes. “Grāmatvedim” var tikt uzlikts pienākums tos dzēst vai arī datus atdot atpakaļ. Ja noteikts pienākums datus dzēst, jānodrošina, ka tie tiek dzēsti drošā veidā, atbilstoši prasībām. Kad dati izdzēsti, par to būtu jāpaziņo pārzinim. Ja vien normatīvie akti neparedz citādi, pēc apstrādes pabeigšanas “Grāmatvedim” būtu jādzēš visas tā rīcībā esošās personas datu kopijas. [8]
Vairāk informācijas par apstrādātāja tiesībām un pienākumiem – Eiropas datu aizsardzības kolēģijas vadlīnijās Nr. 07/2020 par pārziņa un apstrādātāja jēdzieniem VDAR.
Būsim pateicīgi, ja skaidrojuma kvalitātes novērtēšanas nolūkos aizpildīsiet šo aptauju - https://www.visidati.lv/aptauja/2103231148/.
[1] Datu regulas 28. panta 3. punkta a) apakšpunkts
[2] Datu regulas 28. panta 3. punkta b) apakšpunkts
[3] Datu regulas 32. pants
[4] Datu regulas 28. panta 3. punkta e) apakšpunkts
[5] Datu regulas 28. panta 3. punkta f) apakšpunkts
[6] Saskaņā ar Datu regulas 33. un 34. pantu
[7] Datu regulas 28. panta 3. punkta h) apakšpunkts
[8] Datu regulas 28. panta 3. punkta g) apakšpunkts