Kad organizācija ievāc personas datus no paša cilvēka vai citiem avotiem, tai jāsniedz cilvēkam (kā datu subjektam) skaidra informācija par to, kā un kādēļ dati tiek apstrādāti. Tas ietver informāciju par organizāciju (kā pārzini), apstrādes mērķiem, datu subjekta tiesībām un citiem būtiskiem aspektiem. [1]
Neskatoties uz to, ka lielākoties pakalpojumi ir pieejami elektroniskajā vidē un privātuma politikas[2] publicēšana tīmekļvietnē ir visizplatītākais veids, kā organizācijas izpilda savu informēšanas pienākumu, ne visām organizācijām šāda tīmekļvietne ir. Tāpat ne visos gadījumos ar privātuma politikas publicēšanu pietiek, lai nodrošinātu, ka cilvēks laikus un pilnvērtīgi ir informēts par savu datu apstrādi. Tāpēc šoreiz apskatīsim papildu veidus un formātus, kā organizācijas var pildīt informēšanas pienākumu.
Piemērs. Uzņēmums "ABC" piedalās nozares izstādē, kur iepazīstina apmeklētājus ar saviem pakalpojumiem. Darbinieki apmeklētājiem piedāvā sniegt savu kontaktinformāciju, lai saņemtu piedāvājumus par produktiem. Uzņēmums “ABC” savā tīmekļvietnē ir publicējis viegli pieejamu privātuma politiku, kurā ir izskaidrota datu apstrāde. Taču, ņemot vērā, ka datu ievākšana šādā situācijā tiek veikta ārpus tīmekļvietnes, un cilvēkiem tajā ievietotā informācija konkrētā brīdī var nebūt viegli pieejama, uzņēmumam jāparūpējas par papildu līdzekļiem informēšanai, lai nodrošinātu Datu regulas prasību ievērošanu.[3]
Jāņem vērā, ka organizācijai, kura ievāc datus, vienmēr ir aktīvi jārīkojas, lai sniegtu cilvēkiem attiecīgu informāciju vai norādītu, kur to atrast (piemēram, pastāstot, ievietojot saiti uz tīmekļvietni vai QR kodu). Nav pieņemama situācija, kurā cilvēks var iegūt šo informāciju tikai tad, ja pats to pieprasa vai meklē, bet organizācija nav veikusi nekādas darbības, lai šo informāciju sniegtu.
Nav noteikts konkrēts formāts vai kārtība, kādā informācija par datu apstrādi būtu jāsniedz, taču ir noteikts, ka jāveic “atbilstoši pasākumi”, lai nodrošinātu informācijas pārredzamību. Tas nozīmē, ka, izvēloties, kā informēt cilvēkus, organizācijai jāpielāgo informēšanas formāts savai apstrādes darbībai. Jāņem vērā, kā notiek saziņa ar cilvēkiem, kādos apstākļos tā notiek, un jāizvēlas veids, kas nodrošina, ka informācija nonāk pie cilvēkiem savlaicīgi un efektīvi.
Vairāku līmeņu pieeja informēšanas nodrošināšanā
Tāpat kā elektroniskajā vidē, arī citos formātos informācija par datu apstrādi var tikt sniegta, izmantojot vairākus informēšanas līmeņus. Atbilstoši šai pieejai tad, kad organizācija pirmo reizi sazinās ar cilvēku, viņam tiek sniegta vissvarīgākā informācija. Proti, informācija par organizāciju, apstrādes mērķiem un viņa kā datu subjekta tiesībām. Tāpat cilvēku informē par to, kā datu apstrāde var viņu ietekmēt vai radīt negaidītas sekas, papildus norādot, kā var iegūt plašāku informāciju par savu datu apstrādi.
Ievērojot minēto, organizācijai būtu jāizvēlas abām pusēm piemērotākais informēšanas veids, izvēloties vienu vai vairākus no uzskaitītajiem līdzekļiem:
- Papīra formātā. Privātuma politika var tikt izsniegta papīra formātā katram individuāli vai var būt pieejama plašākai auditorijai, izvietojot to organizācijas telpās, kur cilvēki uzturas.
Piemērs. Lai iestātos biedrībā, personai jāaizpilda reģistrācijas veidlapa, ko biedrība izsniedz papīra formātā. Lai nodrošinātu, ka pirms datu iesniegšanas potenciālais biedrs būtu informēts par biedrības veikto personas datu apstrādi pilnā apmērā, kopā ar veidlapu tiek izsniegta privātuma politika drukātā veidā.
- Mutvārdos sniegta informācija - informāciju klātienē vai attālināti sniedz organizācijas norīkots darbinieks vai tiek nodrošināta automatizētas vai iepriekš ierakstītas informācijas sniegšana.
Piemērs. Sazinoties ar organizācijas klientu apkalpošanas tālruni, klients pirms savienojuma ar konsultantu tiek informēts, ka saruna tiks ierakstīta, kā arī paskaidroti nolūki, kāpēc tas tiek darīts un sniegta informācija, kā datu subjekts var piekļūt papildus informācijai.
- “Reālajā vidē” sniegta informācija - var tikt izmantotas redzamas plāksnes ar informāciju, publiskas norādes, sabiedrības informēšanas kampaņas vai paziņojumi laikrakstiem/plašsaziņas līdzekļiem.
Piemēram, organizācija publiskā pasākumā veic fotografēšanu. Pasākuma reklāmā sociālajos tīklos, kas ir galvenais pasākuma reklamēšanas kanāls, tiek iekļauta informācija par fotografēšanu, kā arī pirms ieejas pasākuma teritorijā tiek izvietotas informatīvas zīmes par šādu apstrādi, norādot fotografēšanas mērķi, kā arī pievienots QR kods uz pārziņa tīmekļvietni plašākas informācijas iegūšanai.
Jāatceras, ka, lai gan organizācijai kā pārzinim ir jāspēj pierādīt, ka tā izpilda Datu regulas prasības, tai nav pienākums iegūt cilvēka apstiprinājumu tam, ka viņš ir iepazinies ar datu apstrādes noteikumiem.
Vienlaikus organizācijai jāspēj parādīt, kādus soļus tā veikusi Datu regulas 13. un 14. pantā noteikto prasību izpildei.
Būsim pateicīgi, ja skaidrojuma kvalitātes novērtēšanas nolūkos aizpildīsiet šo aptauju - https://www.visidati.lv/aptauja/2103231148/, tai skaitā norādot uz skaidrojumiem, kādi vēl nepieciešami.
[1] Datu regulas 13. un 14. pants
[2] Vairāk par privātuma politiku aicinām lasīt Inspekcijas skaidrojumā #DVIskaidro “Kas ir privātuma politika?” (Pieejams: https://www.dvi.gov.lv/lv/jaunums/dviskaidro-privatuma-politika)
[3] Datu regulas 13. pants.