Pērn, 2024. gadā, Datu valsts inspekcija veica preventīvu pārbaudi trīsdesmit Latvijā reģistrētu komersantu, kuru pamatdarbība saistīta ar mazumtirdzniecību pa pastu vai interneta veikalos, tīmekļa vietnēs publicētajām privātuma politikām. Tās ietvaros tika pārbaudīta privātumu politiku satura atbilstība Datu regulas 13. un 14. panta prasībām.
Šāda pārbaude tika ieplānota, ņemot vērā iepriekš organizētos pārziņu informēšanas pasākumus. Viens no šādiem pasākumiem bija 2023. gadā organizētā informatīvā kampaņa “Dati ir vērtība – sargā tos!”[1]. Šīs kampaņas mērķis bija izglītot mazos un vidējos uzņēmējus par dažādiem datu aizsardzības jautājumiem, kas ir aktuāli tieši viņiem. Tās ietvaros tika sagatavots informatīvs materiāls, kā arī notika semināri dažādos Latvijas reģionos – Rēzeknē, Liepājā, Jelgavā, Valmierā un Rīgā. Lai aptvertu pēc iespējas lielāku auditoriju, bija iespēja pievienoties arī tiešsaistē. Šo darbnīcu norises gaitā, lai uzsvērtu, cik nozīmīga ir privātuma politika, tika izveidots arī tās paraugs, kā arī publicēti prezentāciju materiāli un ieraksts.
Lai vēl vairāk aktualizētu privātuma politikas nepieciešamību, Inspekcija organizēja tiešsaistes semināru “Privātuma politika un padomi tās izstrādē.” Seminārs tika rīkots arī tādēļ, ka daudzi pārziņi joprojām nepievērsa pietiekamu uzmanību privātuma politikas izveidei vai nebija informēti par šādu pienākumu. [3] (29.01.2024.).
Inspekcija ir sagatavojusi ari skaidrojumu "Kas ir privātuma politika?", kas adresēts gan pārziņiem, gan to klientiem (datu subjektiem), lai vecinātu izpratni par šī dokumenta nepieciešamību un būtību.
Tātad šī pārbaude bija nepieciešama, lai apzinātu Datu valsts inspekcijas līdzšinējā ieguldījuma rezultātus. Proti, vai tie atspoguļojas pārziņu privātuma politikās, un lai pārbaudītu, vai komersantu publicētā informācija ir skaidra, saprotama un atbilstoša Datu regulai. Pārbaude pamatā tika veikta, salīdzinot pārziņu privātuma politikās sniegto informāciju ar Datu regulas 13. pantā (pārbaudes gaitā secināts, ka visi pārziņi iegūst datus vien no datu subjekta, līdz ar to Datu regulas 14. panta nosacījumu izpilde netika pārbaudīta) norādīto obligāti sniedzamo informāciju. Tāpat paralēli pamata pārbaudei tika vērsta uzmanība arī uz politikas atrašanās vietu, pārredzamību un uz virspusēji pamanāmām nepilnībām, piemēram, nepareizi uzstādītu sīkdatņu baneri vai arī to, ka politika pieejama vien, uzklikšķinot uz šī banera, un nav atrodama nekur citur tīmekļa vietnē.
Noslēdzot pārbaudi, tika secināts, ka pārbaudīto komersantu gadījumā situācija kopumā nav kritiska, taču tika saskatīti būtiski trūkumi šī pienākuma izpildes uztverē. Vienlaikus vismaz daži trūkumi privātuma politikas saturā vai tās publicēšanas vietā vai veidā tika konstatēti katrā pārbaudītajā dokumentā. Inspekcija pieņem, ka šādu dokumentu sagatavot sākotnēji ir grūtāk, jo nav pietiekamas izpratnes par tā nepieciešamību un saturu, tāpēc arī savās vēstulēs Inspekcija uzsvēra, ka jebkurš pārzinis var izmantot un pielāgot savai situācijai Inspekcijas sagatavoto privātuma politikas veidni. Tāpat arī Inspekcija vērsa uzmanību uz pieejamiem bezmaksas materiāliem, kas atvieglotu informācijas sagatavošanu.
Pārbaudes gaitā izkristalizējās arī tas, ka atsevišķi pārziņi privātuma politiku (datu apstrādes noteikumus) publicējuši grūti atrodamā vietā savā tīmekļa vietnē, “sapludinot” to ar citiem, piemēram, veikala noteikumiem. Tāpat novērots, ka tiek izmantotas, iespējams, no citas valodas tulkotas standarta privātuma politikas, kurā iekļauti tādi vispārīgi apgalvojumi kā "bez Jūsu atļaujas nenodosim datus trešajām personām; datus apstrādājam atbilstoši datu aizsardzības prasībām; ar šīs privātuma politikas izlasīšanu Jūs piekrītat tās saturam" u.c. Inspekcija vairākkārt pārziņiem norādīja, ka privātuma politikas saturam jābūt skaidram, saprotami pasniegtam un konkrētam. Vienlaikus pārziņa atbildību pret savu klientu datiem pierāda nevis rakstisks apgalvojums, ka tas apstrādā datus atbilstoši, bet gan skaidra noteikumu izpilde. Tāpat nojaušams, ka tad, kad komersanta privātuma politika sagatavota ar dažādiem trūkumiem, tas var liecināt par pārziņa neizpratni par datu apstrādes procesiem uzņēmumā kā tādiem. Tādējādi uzsverams, ka, uzskaitot un pārredzot savus datu apstrādes procesus uzņēmumā, ir vieglāk sagatavot arī citu informāciju un tādējādi veicināt darbības atbilstību Datu regulai. Pārējie trūkumi publicētajās politikās bija saistīti ar Datu regulas 13. pantā norādītās informācijas nesniegšanu vai kļūdainu sniegšanu, piemēram, attiecībā uz uzraudzības iestādes kontaktinformāciju, datu subjekta tiesībām, informāciju par personām (apstrādātāji, sadarbības partneri), kuriem nodoti klienta personas dati, bet visbiežāk ar nekorekti norādītiem datu apstrādes nolūkiem un likumiskajiem pamatiem.
Kā jau iekļauts pārbaudes nosaukumā, tā ir preventīva. Tas nozīmē, ka tā netiek veikta ar mērķi pārzini sodīt par nepaveikto, bet gan kopīgi novērst nepilnības tā darbībā. Tomēr ar atsevišķiem pārziņiem, kuri Inspekcijai savlaicīgi nesniedza atbildes uz tās vēstulēm, tika uzsākta tālāka procedūra, kas veicama informācijas nesniegšanas gadījumā.
Vairāk par pieļautajām kļūdām, kuras novērotas preventīvajā pārbaudē, aprakstīts Inspekcijas skaidrojumā: "Kādas nepilnības visbiežāk novērojam privātuma politikās?". Aicinām ar to iepazīties un novērst nepilnības arī savās privātuma politikās!
[1] Informācija par kampaņu pieejama pēc saites: https://www.dvi.gov.lv/lv/kampana-dati-ir-vertiba-sarga-tos
[2] Privātuma politikas paraugs pieejams: https://www.dvi.gov.lv/lv/dvi#privatuma-politikas-izstrade
[3] Semināra ieraksts pieejams: https://www.dvi.gov.lv/lv/jaunums/noklausieties-seminaru-par-privatuma-politiku