Tiesības uz datu aizsardzību ir tikpat svarīgas kā tiesības, piemēram, uz privātās dzīves neaizskaramību vai sociālo drošību. Tādējādi pārziņiem jeb organizācijām, kas apstrādā personas datus, var pienākt brīdis, kad jāveic izvērtējums par to, vai plānotā datu apstrāde neradīs kaitējumu citām personas tiesībām vai brīvībām. [1] Šo izvērtējumu sauc dažādi – interešu līdzsvarošanas pārbaude, balansēšanas tests, līdzsvarošanas tests-, un par tā veikšanu un nozīmi sīkāk aprakstīsim šajā skaidrojumā. Datu valsts inspekcija arī izstrādās detalizētākas vadlīnijas par to, kā tieši veikt līdzsvarošanas testu.
Organizācijai plānojot veikt datu apstrādi, jau sākotnēji jāsaprot, kāpēc datu apstrāde ir nepieciešama un kādu tiesisko pamatu tai piemēros. Kad likumīgais pamats datu apstrādei būs pārziņa likumisko (leģitīmo) interešu īstenošana [2], pirms datu apstrādes ir jāveic priekšdarbi jeb precīzāk - interešu līdzsvarošanas tests.
Interešu līdzsvarošanas testa pamatā ir divu pušu – pārziņa un datu subjekta- interešu un tiesību salīdzināšana, lai pārzinis novērtētu, vai plānotās apstrādes rezultātā ieguvums no personas datu apstrādes būs lielāks, nekā ierobežojumi datu subjekta tiesībām un brīvībām. Ar šo līdzsvarošanas testu pārzinim ir jāpārliecinās, ka viņa ieguvums, veicot šo datu apstrādi, ir svarīgāks par datu subjekta tiesību apdraudējumu. Organizācijai ir jāsaprot, ka vispārīgs arguments “bez šādas datu apstrādes nevar iztikt un apzināts kaitējums netiks nodarīts” cilvēkam nav pietiekams pušu interešu līdzsvara noteikšanā.
Kā praktiski veikt līdzsvarošanas testu un kādas darbības jāveic pirms datu apstrādes?
Piemēram, gadījumos, kad ir nepieciešama videonovērošana, lai novērstu noziedzīgu nodarījumu. Ar videonovērošanas palīdzību noziegums tiek fiksēts, un nepieciešamības gadījumā ieraksts tiek nodots policijai lietas izskatīšanai.
- Jāveic novērtējums, kādēļ mērķa sasniegšanai nepieciešama personas datu apstrāde. Jāatbild uz jautājumu, kādēļ mērķi nav iespējams sasniegt, izmantojot mazāk privātumu aizskarošus līdzekļus, piemēram, ieviešot pastiprinātu apsardzi un tādējādi neveicot datu apstrādi vispār.
- Jāpamato organizācijas kā pārziņa interese datu apstrādes veikšanā – kas ir tieši organizācijas ieguvums, veicot šo datu apstrādi (īpaši komerciāla rakstura apstrādēs).
- Jānosauc potenciālais ieguvums, ja apstrāde tiek veikta, tai skaitā var uzskaitīt iepriekšējās situācijas, kas pastiprina šādas datu apstrādes nepieciešamību.
Piemēram, ir jāievieš videonovērošana, jo ir konstatēts, ka stāvlaukumā regulāri tiek sabojāti transportlīdzekļi. Ieguvums – vietējie iedzīvotāji jutīsies drošāk, savukārt potenciālie ļaundari diez vai gribēs, lai viņu noziegums tiek fiksēts kamerās. Ja tomēr ļaundari izšķirsies kameras ignorēt, nofilmētais materiāls var palīdzēt viņus atklāt un saukt pie atbildības.
- Jāuzskaita iespējamās datu subjektu kategorijas (piemēram, nepilngadīgie, darbinieki, ofisa apmeklētāji, garāmgājēji) un jāvērtē, vai kāda no tām nav īpaši aizsargājama, līdz ar ko šāda datu apstrāde varētu radīt papildu riskus īpaši aizsargājamai personu kategorijai. Par īpaši aizsargājamiem būs uzskatāmi, piemēram, nepilngadīgu personu dati. Tāpat apstrādes kontekstā par īpaši aizsargājamiem attiecībā pret darba devēja veiktu datu apstrādi būs uzskatāmi darbinieku dati.
-
Jāveic apstrādājamo datu raksturojums un jāizvērtē to apstrādes apjoms. Kas ir personas dati (kategorijas), kurus jāiegūst vai kuri tiks iegūti apstrādes laikā, lai sasniegtu izvirzīto mērķi? Vai tiek ievērots datu minimizācijas princips? Organizācijai skaidri jānosaka, kādus datus nepieciešams ievākt un apstrādāt, tāpat jāspēj pamatot katras datu kategorijas nepieciešamība un tās apstrādes atbilstība izvirzītajam mērķim.
-
Jāidentificē un jāizvērtē pamattiesības un brīvības, kuras var ierobežot datu apstrāde. Organizācijai ir jāizvērtē, vai plānotā datu apstrāde ierobežo personu tiesības uz privātumu, datu aizsardzību, kā arī, iespējams, citas pamattiesības. Organizācijai, aprakstot plānoto datu apstrādi, var būt lietderīgi veikt ietekmes novērtējumu, lai saprastu, kādā apmērā var tikt ierobežotas personas tiesības.
- Jāveic organizācijas kā pārziņa ieguvumu pretstatīšana iespējamiem (reāliem vai potenciāliem) cilvēka kā datu subjektu zaudējumiem – kas ir tas, ko iegūs organizācija, veicot datu apstrādi, bet kādus riskus tas var radīt cilvēkam?
- Jāuzskaita papildu drošības pasākumi (datu minimizācija, ieviestie tehniskie un organizatoriskie pasākumi u.c.), piemēram, pārredzamības nodrošināšana, citu datu subjekta tiesību nodrošināšana, kas tiks veikti, lai datu apstrāde atbilstu Datu regulas prasībām, citiem normatīvajiem aktiem (piemēram, neizmantot videonovērošanu citu privātīpašumu novērošanai) un neradītu kaitējumu datu subjektiem. Šis uzskaitījums nepieciešams, lai pastiprinātu datu apstrādes drošību. Šajā gadījumā nepietiks tikai ar to, ka organizācija uzskaitīs Datu regulas prasības. Ir skaidri jānorāda, kādas darbības tiks reāli veiktas, lai pastiprinātu cilvēka datu drošību, īpaši riska gadījumos, kad var tikt apstrādāti, piemēram, nepilngadīgu personu dati.
Papildu, bet ne mazāk nozīmīgi, jautājumi, kurus pārzinis novērtēšanas laikā var uzdot, ir: Kādi dati un kā tiks apstrādāti? Kādas pamattiesības ierobežos veiktā datu apstrāde? Kāds būs personas datu aizsardzībai draudzīgākais variants, kas vienlaikus palīdzēs efektīvi sasniegt mērķi? Vai mērķis ir skaidrs un precīzi definēts? Vai apstrāde ļauj gūt detalizētu informāciju par personas privāto dzīvi?
Ja iespējams, būtisku labumu līdzsvarošanas testa veikšanā var sniegt paši cilvēki. Piemēram, ja plānots ofisa ēkā ierīkot videonovērošanu, var veikt aptauju, ko par šādu ieceri domā uzņēmumi un to darbinieki?
Būtiski ņemt vērā, ka šāda testa veikšana var būt periodiska, mainoties apkārtējiem apstākļiem, datu subjektu kategorijām, notikumiem. Tādējādi, noslēdzot šo testu, pārzinis var noteikt nākamo tā pārskatīšanas laiku. Tāpat pārzinis var izveidot papildu jautājumu sarakstu, kas uzdodami, lai nodrošinātu, ka datu apstrāde būs likumīga un izsvērta.
SVARĪGI! Apstrāde, kas balstīta uz leģitīmo interešu tiesiskā pamata, bet pirms kuras uzsākšanas nav veikts līdzsvarošanas tests, nav likumīga!
Nav pieņemams uzsākt datu apstrādi un tikai pēc tam vērtēt, vai tā atbilst Datu regulas prasībām!
Būsim pateicīgi, ja skaidrojuma kvalitātes novērtēšanas nolūkos aizpildīsiet šo aptauju: https://www.visidati.lv/aptauja/2036992485/
INFORMATĪVĀS ATSAUCES:
[1] Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016.gada 27.aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (turpmāk – Datu regula) 47. apsvērums.
[2] Datu regulas 6. panta 1. punkta f) apakšpunkts