Pirmais no personas datu apstrādes principiem nosaka pienākumu personas datus apstrādāt likumīgi un godprātīgi. Apstrādes likumīgums un godprātība nodrošināma atbilstoši Datu regulā minētajam. Nereti saskaramies ar gadījumiem, kad personas datu apstrādes pārzinis nemaz neapzinās tiesisko pamatu datu apstrādei, jo nav aizdomājies, ka, piemēram, datu subjekta piekrišana nav vienīgais tiesiskais pamats personas datu apstrādei.
Atgādinām, ka Datu regula paredz sešus tiesiskos pamatus - piekrišana, līguma izpilde, juridisks pienākums, sabiedrības intereses, vitālo interešu aizsardzība un leģitīmo interešu ievērošana.
Rubrikas #DVIskaidro ietvaros pievērsīsimies tiešajām sekām, kas var rasties nepareiza apstrādes pamatojuma noteikšanas gadījumā, un piemēru veidā skaidrosim, kādos apstrādes gadījumos ir piemērojams kāds pamatojums. Šajā skaidrojumā pievērsimies pirmajam tiesiskajam pamatam – piekrišana.
Ja Jūsu plānotā apstrāde pamatojas piekrišanas iegūšanā:
Ir svarīgi, iegūstot piekrišanu, pārliecināties, vai tā atbilst visām normatīvajos aktos noteiktajām piekrišanas pazīmēm [1].
Sekas:
Nepareizi piemērojot piekrišanu kā datu apstrādes tiesisko pamatu, Jums būs sarežģīti nodrošināt visus pienākumus attiecībā uz Jūsu klientu datu tālāku apstrādi. Nepareiza piekrišanas izmantojuma gadījumā rastos arī nopietni riski nenodrošināt personas datu aizsardzības principus, kas nosaka, ka dati glabājami tikai tik ilgi, cik nepieciešams nolūka sasniegšanai. Kā arī tehniski Jūsu informācijas sistēmas, iespējams, tiek būvētas veidā, kas neparedz īstenot visas nepieciešamās funkcionalitātes informācijas atlasei, kārtošanai un arī dzēšanai, tādējādi piekrišanas atsaukšanas gadījumā organizācijai praktiski dzēšanas pienākumu nebūtu iespējams īstenot.
Piemēram,
Jums klienta datu apstrāde ir nekavējoties jāpārtrauc un dati jādzēš, ja tas atsaucis piekrišanu datu apstrādei [2]. Ja būsiet noteikuši, ka ar klienta piekrišanu tiek apstrādāti tādi dati, kas Jums patiesībā nepieciešami normatīvajos aktos noteikta pienākuma izpildei, radīsies situācija, ka Jums klients var pieprasīt dzēst informāciju, ko Jūs patiesībā dzēst nevarat.
Jums var būt pienākums nodrošināt klienta datu pārnesamību, ja apstrāde balstās uz piekrišanu [3], ja piekrišanu būsiet attiecinājuši uz informāciju, ko patiesībā apstrādājat līguma izpildei, vai, iespējams, savās leģitīmajās interesēs tādā gadījumā klienta pieteikumā uz pārnesamību var nonākt ziņas, kas konkurentiem sniegtu ieskatu Jūsu uzņēmuma iekšējos procesos.
Labā prakse |
Nevēlamā prakse |
Pirms fiziskai personai tiek sākta komerciālu paziņojumu sūtīšana, no tās tiek iegūta atbilstoši noformēta piekrišana |
Piekrišana ietverta līgumā starp fizisku personu un uzņēmumu kā atsevišķs, neatņemams līguma punkts |
Personai tiek dota iespēja pašai ievadīt datus, kas nav neatņemami saistīti ar uzņēmuma piedāvāto preci vai pakalpojumu – piemēram, ziņas par personas vaļaspriekiem vai viedokli par uzņēmuma sniegto pakalpojumu. |
Personas dati, kas nav nepieciešami darījuma izpildei, pamatojot ar piekrišanu, tiek izprasīti, kā neatņemama darījuma sastāvdaļa. Pirms datu sniegšanas darījums nenotiek. |