Kādas ir sekas AK izstāšanās pārejas perioda noslēgumam personas datu plūsmas nodrošināšanā uz AK?
Pārejas periods noslēdzas ar 2020.gada 31.decembri. Tas nozīmē, ka 2021. gada 1.janvārī AK kļūs par trešo valsti. Savukārt tas nozīmē, ka personas datu nosūtīšanai uz AK būs attiecināmi Vispārīgās datu aizsardzības regulas (Regula)[1] V nodaļas “Personas datu nosūtīšana uz trešām valstīm vai starptautiskām organizācijām” nosacījumi.
Šajā gadījumā, atbildīgajām personām, kas veic personas datu apstrādi ES un plāno nosūtīt personas datus uz AK, būs nepieciešams nodrošināt personas datu aizsardzības līmeni, kas līdzinās ES personas datu aizsardzības līmenim, ievērojot nosacījumus, kas attiecināmi datu nosūtīšanai uz trešo valsti.
Personas, kuru veikto personas datu apstrādi skars pārejas perioda noslēgšanās.
AK izstāšanās pārejas perioda noslēgšanās skars ikvienu kurš plāno veikt/turpināt veikt personas datu apstrādi, nosūtot tālāk datus apstrādei uz AK arī pēc 2021. gada 1.janvāra.
Personas datu apmaiņas režīma izmaiņas varētu skart, piemēram:
- AK uzņēmumu filiāles Latvijā, kurām savas darbības (tai skaitā, atalgojuma sistēmas administrācijas vai klientu vadības sistēmas īpatnību dēļ) ietvaros ir nepieciešams nodot personas datus (gan klientu, gan arī nodarbināto) mātes uzņēmumam AK;
- Latvijas uzņēmumiem, kas sniedz darbā iekārtošanas pakalpojumu darbam AK;
- Uzņēmumiem, kas ir uzticējuši noteiktu darbību, kas saistītas ar personas datu apstrādi veikšanu ārpakalpojuma uzņēmumam (piemēram, uzņēmumam, kas sniedz atbalstu audita, personālvadības vai grāmatvedības funkcijas nodrošināšanā), kas ir bāzēts AK;
- Pēc būtības jebkuru uzņēmumu vai iestādi, kura nosuta personas datus uz AK komerciālu vai sabiedrības interešu īstenošanas nolūkā.
Datu nosūtītājiem šajā gadījumā arī ir pienākums vērtēt personas datu nodošanas tiesiskuma aspektu atbilstoši Regulas V nodaļā noteiktajam.
Pasākumi, lai labāk sagatavotos AK izstāšanās pārejas perioda noslēgumam.
Zemāk aprakstītās darbības ļaus ne tikai labāk sagatavoties pārejas perioda noslēgumam, bet arī nodrošinās atbilstošu personas datu nosūtīšanas mehānismu ievērošanu saskaņā ar Regulas nosacījumiem:
- Nosakiet personas datu apstrādes darbības, kas ir tieši saistītas ar personas datu nosūtīšanu uz AK;
Veiciet rūpīgu analīzi vai un kādas Jūsu pārziņā esošas personas datu plūsmas nonāk AK. Vērtējiet ar kādu personas datu apstrādes mērķu sasniegšanu šīs datu plūsmas saistītas. Nosakiet, kādas apstrādes darbības ar personas datiem tiks veiktas AK, kā arī kāds ir pašreizējais informācijas pārsūtīšanas uz AK juridiskais ietvars (līgums, vienošanās, utml. kas tieši saistībā ar personas datu apstrādi šajā dokumentā noteikts (tai skaitā kādi tehniskie un organizatoriskie risinājumi jāievieš AK pusei)).
- Nosakiet personas datu apstrādei vispiemērotāko personas datu nosūtīšanas mehānismu;
Regulā norādīti vairāki iespējami mehānismi personas datu nosūtīšanai uz trešo valsti. Pirms personas datu nosūtīšanas ir jānosaka, kurš tieši no iespējamajiem mehānismiem būs attiecināms uz konkrēto datu nodošanas gadījumu. Detalizētāka informācija par dažādajiem personas datu apmaiņas mehānismiem sniegta nedaudz zemāk.
- Pārdomājiet, vai būs iespējams un kādiem līdzekļiem īstenot izvēlēto personas datu nosūtīšanas mehānismu tā, lai tas efektīvi darbotos no 2021. gada 1.janvāra;
Jāveic tādi grozījumi esošajā personas datu nodošanas mehānismā, kas nodrošinās, ka pārzinis vai apstrādātājs sniedz atbilstošas garantijas, un ar nosacījumu, ka tas nodrošinās, ka datu subjektiem ir pieejamas īstenojamas datu subjekta tiesības un efektīvi tiesiskās aizsardzības līdzekļi.
- Pārstrādājiet organizācijas normatīvos aktus, iekļaujot tajos nepieciešamos papildinājumus, kas ļautu nosūtīt personas datus uz AK no 2021. gada 1.janvāra;
Organizācijai iekšējos dokumentos jāiekļauj izmaiņas, kas personas datu nodošanas procesam uz AK attiecinās tādu pat procedūru un iekšējos pasākumus kā personas datu nodošanai uz jebkuru trešo valsti, par kuru EK nav pieņēmusi lēmumu par personas datu aizsardzības līmeņa pietiekamību.
- Vajadzības gadījumā, sniedziet informāciju tām fiziskajām personām, kuru dati ir pakļauti datu nosūtīšanai ārpus EEZ uz AK.
Datu nosūtītājam ir jāprecizē uzņēmuma interneta vietnē pieejamā informācija attiecībā uz personas datu saņēmējiem trešajās valstīs, atspoguļojot, ka AK vairāk nav valsts, kurā esošais personas datu aizsardzības līmenis ir pielīdzināms ES esošajam personas datu aizsardzības līmenim. Līdz ar to, ja tiek nodoti personas dati uz AK visticamākais būs nepieciešami labojumi uzņēmuma privātuma politikā, vai analogā dokumentā, kurā ietverta informācija par personas datu aizsardzību uzņēmumā.
Nepieciešams apzināt un veikt pasākumus, kas ļaus efektīvākajā veidā sniegt informāciju personām, kuru personas dati var tikt nodoti uz AK par personas datu aizsardzības līmeņa maiņu sniedzot iespēju datu subjektiem pieņemt informētu lēmumu attiecībā uz to personas datu apstrādi trešajā valstī.
Pieejamie mehānismi, lai regulētu personas datu nosūtīšanu uz AK pēc pārejas perioda beigām.
Regula nosaka vairākus personas datu nosūtīšanas mehānismus attiecībā uz datu tālāku apstrādi trešajās valstīs, kas ļauj atbildīgajām personām (datu pārziņiem un apstrādātājiem) izvēlēties sev piemērotāko datu nosūtīšanas mehānismu.
- Standarta līguma klauzulas (turpmāk arī – standarta datu aizsardzības klauzulas vai standartklauzulas) ir Eiropas Komisijas pieņemtie personas datu pārsūtīšanas līgumu paraugi, kas nosaka datu pārsūtīšanas kārtību, apstrādes mērķus un izvēles līdzekļus starp diviem uzņēmējiem (pārziņiem) (Standarta līguma klauzu paraugi atrodami https://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX:32001D0497; un https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32004D0915 ) vai starp uzņēmējiem, no kuriem ES aktīva uzņēmēja norādījumus personas datu apstrādē pilda ārpus ES aktīvs uzņēmums (Standarta līguma klauzu paraugs atrodams https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087).
Šo klauzulu mērķis ir atvieglot datu apstrādātāju uzdevumu, apkopojot to nepieciešamo prasību kopumu, kas ļautu nodrošināt adekvātu personas datu aizsardzību trešajā valstī. Šo instrumentu, var uzskatīt par “gatavu lietošanai” un ātri iestrādāt divpusējā līgumā, ņemot vērā konkrētā gadījuma vajadzības. Atgādinām, ka standartklauzulas var ietvert plašākā līgumā kā nosacījumu kopumu personas datu apstrādē, taču standarta līguma klauzulu teksts līgumā nevar tikt grozīts un tekstu nevar papildināt veidā, kas mazinātu standartklauzulās ietverto nosacījumu piemērošanu. Savukārt ietvert papildu prasības, kas nenonāk pretrunā un negroza standartklauzulu tekstu un kuru mērķis ir augstāka personas datu aizsardzības standarta ieviešana ir atļauts un vēlams.
- Īpašās līguma klauzulas, jeb ad hoc klauzulas, ir personas datu pārsūtīšanas līgumi, kas ļauj kontrolēt datu pārsūtīšanu īpašās situācijās, piemēram, ja standarta līguma klauzulas nav piemērojamas vai ir jāmaina. Datu valsts inspekcija vērš Jūsu uzmanību, ka ad hoc līguma noteikumi ir jāapstiprina Datu valsts inspekcijā, kuras kompetencē ir ad hoc līguma klauzulu saskaņošana ievērojot Regulā noteikto procedūru.
Datu valsts inspekcija vērš uzmanību, ka šādā gadījumā līgumā būtu ietverama vismaz:
1. Skaidri apstrādes nolūki un tvērums;
2. Izmantojamā terminoloģija;
3. Panāktā līguma slēdzēju pušu vienprātība par personas datu apstrādes principu (nolūka ierobežojuma princips, datu precizitātes un minimizēšanas princips, glabāšanas ierobežojums, datu drošība) piemērošanu.
Nolūka ierobežojuma princips
Jānodrošina, ka puses iegūtos datus neizmantos ar sākotnējo datu apstrādes nolūku nesavietojamā veidā, šo varētu panākt nosakot, ka datus aizliegt izmantot citam nolūkam kā vien līgumā norādītajam.
Datu precizitātes un minimizēšanas princips
Līgumā jānosaka, ka apstrādātie dati ir atbilstīgi to nosūtīšanas nolūkam. Jāparedz arī kārtība kā nodrošināt datu labošanu, ja tiktu atklāts, ka nosūtītie dati ir neprecīzi.
Glabāšanas ierobežojums
Līgumā būtu jāparedz konkrēti datu glabāšanas ierobežojumi, tai skaitā paredzot datu dzēšanas kārtību
Datu drošība
Jānodrošina, ka puses ievieš datu apstrādei atbilstīgus tehniskos un organizatoriskos pasākumus, lai nodrošinātu to konfidencialitāti.
4. Datu subjektu tiesību nodrošināšanas kārtība;
Līgumā būtu jāparedz pušu pienākumi un veicamās darbības attiecībā uz Regulā noteikto datu subjekta tiesību nodrošināšanu.
5. ierobežojums datu tālākai nodošanai tai skaitā ja personas dati tiek nodoti apstrādātājam tad apakšapstrādātāju iesaistīšanas procedūra.
6. Ja datu apstrāde skar īpašas kategorijas datus, jāparedz papildu garantijas personas datu aizsardzībai.
7. Radušos zaudējumu atlīdzības mehānisms.
8. Kārtība un darbības, kā tiks uzraudzīta līguma darbība.
9. līguma darbības pārtraukšanas kārtība
Vienlaikus Datu valsts inspekcija informē, ka katrs datu nodošanas gadījums ir atšķirīgs un precīzais līgumā iekļaujamo normu un nosacījumu kopums tiktu noteikts, ņemot vērā vairākus no gadījuma uz gadījumu variējošus faktorus. Iepriekš pieminētais uzskaitījums ir tikai ieteikumi paredzēto pasākumu datu atbilstīgas nosūtīšanas organizācijai un nav uzskatāmi par ieviešamo pasākumu izsmeļošu uzskaitījumu.
- Saistošie uzņēmumu noteikumi attiecas uz uzņēmumu grupas iekšējo datu aizsardzības politiku attiecībā uz personas datu pārsūtīšanu ārpus ES. Tie ir juridiski saistoši, un tos ievēro attiecīgās uzņēmuma grupas dalībnieki, neatkarīgi no to reģistrācijas valsts, kā arī visi to darbinieki tajā pašā uzņēmumā vai grupā.
Ja uzņēmēji (datu pārziņi) un/vai uzņēmēji (apstrādātāji) ir iesnieguši Saistošos uzņēmumu noteikumus AK Datu aizsardzības iestādei (ICO) izskatīšanai, bet lēmums no ICO vēl nav saņemts, iesakām skatīt Eiropas Datu aizsardzības kolēģija mājas lapā[2] publicēto paziņojumu par Saistošo uzņēmumu noteikumu izstrādes turpmāko kārtību.
Izņēmumi, atkāpes, attiecībā uz personas datu apstrādi īpašās situācijās.
Personas datu nosūtīšana izņēmuma kārtā var notikt tikai tajā gadījumā, ja uzņēmums izpilda vismaz vienu no Regulas 49. panta “Atkāpes īpašās situācijās” nosacījumiem. Šīs atkāpes var izmantot tikai īpašās situācijās. Jebkurā gadījumā uzņēmumam ir jācenšas ieviest atbilstošus aizsardzības pasākumus un izmantot šos izņēmumus tikai tad, ja šādas atbilstošas garantijas nevar tikt nodrošinātas. Datu aizsardzības iestādes stingri interpretē Regulas 49. pantu, tāpēc izņēmums nevar kļūt par pamatu ilgstošai personas datu apstrādei.
Detalizēti Regulas 49.panta īpašo situāciju piemērošana aprakstīta Eiropas datu aizsardzības kolēģijas 2018.gada 25.maija vadlīnijās Nr. 2/2018 par atkāpēm īpašās situācijās atbilstoši Regulas 49.pantam.
Eiropas datu aizsardzības kolēģijas vadlīnijās vērsta uzmanība, ka Regulas 111. apsvērumā tiek izmantots termins “neregulārs”. Šis termins norāda, ka šāda pārsūtīšana var notikt vairāk nekā vienu reizi, bet ne regulāri, un notiktu ārpus parastās darbību gaita, piemēram, nejaušos, nezināmos apstākļos un nejaušā laika intervālā. Savukārt, datu pārsūtīšana, kas notiek regulāri stabilās attiecībās starp datu eksportētāju un datu importētāju var uzskatīt par sistemātisku un atkārtotu.
Arī pats panta nosaukums – atkāpes īpašās situācijās izslēdz regulāru, paredzamu datu nodošanas shēmu īstenošanu pamatojoties ar šo datu nodošanas tiesisko pamatu. Atkāpju īpašās situācijās piemērošanas tvērums skaidrots Regulas 111.apsvērumā. 111. apsvērumā ir nošķirtas atkāpes, skaidri norādot, ka atkāpes par “līgumu” un “likumīgu prasību” (49. panta 1. punkta b), c) un e) apakšpunkts) ietver tikai “gadījuma rakstura” nosūtīšanu, savukārt šāds ierobežojums nav “atkāpē par skaidru piekrišanu”, “atkāpē par svarīgiem iemesliem sabiedrības interesēs”, “atkāpē par īpaši svarīgajām interesēm” un “atkāpē par reģistru” saskaņā ar 49. panta 1. punkta attiecīgi a), d), f) un g) apakšpunktu.
Tāpat Datu valsts inspekcija vērš uzmanību, ka attiecībā uz īpašo atkāpju, kas minētas b)-g)apakšpunktos piemērošanu ir veicams nepieciešamības novērtējums, jo to piemērošana ir saistīta ar precīzu datu apstrādes mērķi. Pārzinim ir jāpārliecinās, ka datu nodošana patiesi kalpos tāda mērķa, kas atbildīs īpašās atkāpēs norādītajam pamatam, sasniegšanai. Nepieciešamības izvērtējumā pārzinim nepieciešams ņemt vērā arī Regulas 48.pantā norādīto, ka trešās valsts tiesas spriedums un ikviens trešās valsts administratīvās iestādes lēmums, kurā pārzinim vai apstrādātājam pieprasīts nosūtīt vai izpaust personas datus, var tikt atzīts vai būt izpildāms vienīgi tad, ja tas ir balstīts uz starptautisku nolīgumu, piemēram, savstarpējas tiesiskās palīdzības līgumu, kas ir spēkā starp pieprasītāju trešo valsti un Savienību vai kādu tās dalībvalsti.
Papildus iepriekš minētajam Datu valsts inspekcija skaidro, ka datu nodošana, pamatojoties uz atkāpēm īpašajās situācijās, ir likumīga tikai ja:
- nosūtīšana neatkārtojas;
- attiecas vienīgi uz ierobežotu skaitu datu subjektu;
- ir vajadzīga pārziņa pārliecinošām leģitīmām interesēm, attiecībā uz kurām datu subjekta intereses vai tiesības un brīvības nav svarīgākas;
- pārzinis ir novērtējis visus apstākļus saistībā ar datu nosūtīšanu un, pamatojoties uz minēto novērtējumu, ir sniedzis atbilstošas garantijas attiecībā uz personas datu aizsardzību;
- pārzinis par nosūtīšanu ir informējis uzraudzības iestādi;
- papildus Regulas 13. un 14. pantā minētās informācijas sniegšanai pārzinis ir informējis datu subjektu par nosūtīšanu un par savām, pārliecinošām leģitīmām interesēm.
Ņemot vērā iepriekš minēto, Datu valsts inspekcija attiecībā uz Regulas 49.panta 1.punktā norādītajiem izņēmumiem skaidro, ka:
- Piemērojot Regulas 49.panta 1.punkta a)apakšpunktu (datu subjekts ir skaidri piekritis ierosinātajai nosūtīšanai pēc tam, kad ir ticis informēts par iespējamiem riskiem, ko šāda nosūtīšana var radīt datu subjektam lēmuma par aizsardzības līmeņa pietiekamību un atbilstošu garantiju trūkuma dēļ) jāņem vērā, ka datu nosūtītāja saņemtai piekrišanai jāatbilst Regulā norādītajām datu subjekta piekrišanas pazīmēm. Piekrišana no datu subjekta jāsaņem par precīzi definētu nosūtīšanas/vai vairāku nosūtīšanu gadījumiem. Datu nosūtītājam jāspēj demonstrēt, ka tas ir informējis datu subjektu par iespējamajiem riskiem tā personas datu aizsardzībai nododot personas datus valstij, kas nenodrošina atbilstošu aizsardzības līmeni.
- Piemērojot Regulas 49.panta 1.punkta b)apakšpunktu (nosūtīšana ir vajadzīga, lai izpildītu līgumu starp datu subjektu un pārzini vai īstenotu pasākumus pirms līguma noslēgšanas, kas pieņemti pēc datu subjekta pieprasījuma)
Pirms šī pamata izmantošanas nepieciešams ņemt vērā nepieciešamības kritēriju, jo pastāvneatņemama saistība starp datu nosūtīšanu un līguma nolūkiem. Šo atkāpi nevar izmantot, piemēram, kad uzņēmumu grupa ir uzņēmējdarbības vajadzībām centralizējusi savas maksājumu un cilvēkresursu pārvaldības funkcijas attiecībā uz visiem saviem darbiniekiem trešā valstī, jo nav tiešas un objektīvas saistības starp darba līguma izpildi un šādu nosūtīšanu.
Savukārt, piemēram, ceļojumu aģentūru īstenotu tādu atsevišķu klientu personas datu nosūtīšanu viesnīcām vai citiem tirdzniecības partneriem, kas tiktu izmantoti šo klientu uzturēšanās organizēšanai ārvalstīs, var uzskatīt par nepieciešamu tāda līguma nolūkiem, ko noslēgusi ceļojumu aģentūra un klients, jo šādā gadījumā ir pietiekami cieša un būtiska saistība starp datu nosūtīšanu un līguma nolūkiem (klientu ceļojuma organizēšana).
Līdzīgi arī darba devējs nosūtot personas datus, kas nepieciešami darba brauciena (komandējuma) organizācijai var uzskatīt, ka konkrētā personas datu apstrāde ir nepieciešama darba līgumā noteikto nolūku par ko darba devējs un darba ņēmējs ir savstarpēji vienojušies, jo šādā gadījumā ir saskatāma cieša korelācija starp nolūku darba brauciens darba līgumā noteikto uzdevumu ietvaros un datu nosūtīšanas nepieciešamību.
- Piemērojot Regulas 49.panta 1.punkta c) apakšpunktu (nosūtīšana ir vajadzīga līguma noslēgšanai starp pārzini un citu fizisku vai juridisku personu datu subjekta interesēs vai šāda līguma izpildei)
Šīs atkāpes īpašās situācijās piemērošanā ņemami vērā tie pat apsvērumi kā iepriekšējā punktā.
- Piemērojot Regulas 49.panta 1.punkta d) apakšpunktu (nosūtīšana ir nepieciešama, ja ir svarīgi iemesli sabiedrības interesēs)
Šo atkāpi var izmantot tikai tad, ja pastāv sabiedrības intereses, kuras ir atzītas Savienības tiesībās vai tās dalībvalsts tiesībās, kas ir piemērojamas pārzinim. Atkāpe ir piemērojama tikai tad, ja tā izriet arī no ES tiesībām vai dalībvalsts tiesībām, kas ir piemērojamas pārzinim un kas nosaka, ka šāda datu nosūtīšana ir atļauta saistībā ar svarīgu sabiedrības interešu iemesliem, tostarp starptautiskās sadarbības savstarpējības ideju. Kā rādītāju, novērtējot sabiedrības interešu esamību saskaņā ar 49. panta 1. punkta d) apakšpunktu, var izmantot tāda starptautiska nolīguma vai konvencijas esamību, kurā ir noteikts konkrēts mērķis un paredzēta starptautiska sadarbība šā mērķa veicināšanai, ja vien ES vai dalībvalsts ir viena no šā nolīguma vai konvencijas pusēm. Ja nosūtīšana tiek veikta pastāvīgi (tai ir regulārs un sistemātisks raksturs) datu nosūtītājam būtu jāapsver cita risinājuma (piemēram, atbilstoši Regulas 46.pantam) ieviešana.
- Piemērojot Regulas 49.panta 1.punkta e) apakšpunktu (nosūtīšana ir vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības)
Minētā datu nosūtīšana var notikt tai tad, ja tā ir nepieciešama attiecīgās likumīgās prasības celšanai, īstenošanai vai aizstāvēšanai. Šis “nepieciešamības kritērijs” nosaka, ka starp attiecīgajiem datiem un konkrētu likumīgās prasības celšanu, īstenošanu vai aizstāvēšanu ir jābūt ciešai un būtiskai saistībai. Trešās valsts iestāžu intereses vai iespējamās “labās gribas” apliecinājums, kas iegūts no šādas iestādes, pats par sevi nav pietiekams pamatojums.
Lai gan datu nosūtītājam var būt vēlme nosūtīt visus iespējami saistītos personas datus, kas ir pieprasīti vai ir nepieciešami juridisku procedūru ierosināšanai, tas nebūtu atbilstoši saskaņā ar šo atkāpi vai Regulu kopumā, jo Regulā (pēc datu minimizēšanas principa) ir uzsvērta nepieciešamība nodrošināt, ka personas dati ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos.
Tiek ieteikts, ka pirmkārt, būtu rūpīgi jānovērtē, vai konkrētajā gadījumā pietiktu ar anonīmiem datiem. Ja ar tiem nepietiek, ir jāapsver pseidonimizētu datu nosūtīšana. Ja uz trešo valsti ir nepieciešams nosūtīt personas datus, pirms šādas nosūtīšanas būtu jānovērtē to saistība ar konkrēto lietu, lai tiktu nosūtīti un atklāti tikai tādi persona dati, kas patiešām ir nepieciešami.
Datu pārziņiem un datu apstrādātājiem ir jāapzinās, ka valsts tiesību aktos var būt ietverti arī t. s. “piekļuves noslēgšanas statūti”, kas aizliedz vai ierobežo to iespēju nosūtīt personas datus ārvalstu tiesām vai, iespējams, citām ārvalstu oficiālajām iestādēm.
- Piemērojot Regulas 49.panta 1.punkta f) apakšpunktu (nosūtīšana ir vajadzīga, lai aizsargātu datu subjekta vai citu personu īpaši svarīgas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu).
Gadījumos, kad datu subjekts spēj pieņemt derīgu lēmumu un viņa piekrišanu ir iespējams iegūt, šo atkāpi izmantot nevar.
Piemēram, ja persona trešajā valstī ir palikusi bez uzturlīdzekļiem, kas nepieciešami tās pamatvajadzību apmierināšanai, tomēr šai personai esot pie pilnas apziņas un spējīgai savu situāciju novērtēt, nebūtu izmantojama šī īpašā atkāpe, jo persona ir spējīga pati pieņemt lēmumu par saviem īpašajiem apstākļiem, respektīvi piekrist savu datu nodošanai uz šo trešo valsti un personas datu apstrāde tās īpaši svarīgu interešu aizsardzībai nebūtu pamatota.
Šī spēja pieņemt derīgu lēmumu var būt atkarīga no fiziskās, garīgās, kā arī tiesiskās nespējas. Tiesiskā nespēja var, neskarot valstu pārstāvības mehānismus, attiekties arī, piemēram, uz nepilngadīgu personu. Atkarībā no konkrētā gadījuma šī tiesiskā nespēja ir jāpierāda vai nu ar medicīnisku izziņu, kura apliecina attiecīgās personas garīgo nespēju, vai ar valsts izdotu dokumentu, kas apstiprina attiecīgās personas tiesisko situāciju.
Šo atkāpi var attiecināt arī uz tādu datu nosūtīšanu starptautiskai humānās palīdzības organizācijai, kas nepieciešama, lai izpildītu uzdevumu saskaņā ar Ženēvas konvencijām vai ievērotu starptautiskās humanitārās tiesības, kas piemērojamas bruņotos konfliktos; skatīt 112. apsvērumu. Arī šādos gadījumos datu subjektam ir jābūt fiziski vai tiesiski nespējīgam dot savu piekrišanu.
Ar šo atkāpi var pamatot personas datu nosūtīšanu pēc dabas katastrofām un saistībā ar personiska rakstura informācijas apmaiņu ar attiecīgām vienībām un personām (piemēram, katastrofu upuru radiniekiem, kā arī valsts un neatliekamās palīdzības dienestu pārstāvjiem) glābšanas un meklēšanas operāciju vajadzībām. Šādi neparedzēti notikumi (plūdi, zemestrīces, viesuļvētras u. c.) var attaisnot noteiktu personas datu steidzamu nosūtīšanu, lai uzzinātu, piemēram, cietušo atrašanās vietu un stāvokli. Tiek uzskatīts, ka šādās situācijās attiecīgais datu subjekts nespēj sniegt piekrišanu savu datu nosūtīšanai.
- Piemērojot Regulas 49.panta 1.punkta g) apakšpunktu (nosūtīšanu izdara no reģistra, kurš saskaņā ar Savienības vai dalībvalsts tiesību aktiem ir paredzēts, lai sniegtu informāciju sabiedrībai, un kuru var izmantot vai nu plaša sabiedrība, vai jebkura persona, kas var pierādīt savas leģitīmās intereses, taču vienīgi tiktāl, ciktāl konkrētajā gadījumā tiek pildīti Savienības vai dalībvalsts tiesību aktos paredzētie izmantošanas nosacījumi)
Saskaņā ar Savienības vai dalībvalsts tiesību aktiem attiecīgajam reģistram ir jābūt izveidotam ar mērķi sniegt informāciju sabiedrībai. Tādēļ šī atkāpe neattiecas uz privātiem reģistriem (tādiem, kas atrodas privātu struktūru atbildībā; piemēram, privātiem reģistriem, ar kuriem tiek novērtēta kredītspēja).
Personas datu, saņemšana no AK pēc pārejas perioda beigām?
AK valdība ir apņēmusies saglabāt brīvu personas datu plūsmu datu saņemšanai no AK uz ES[3]. Līdz ar to papildu drošības pasākumi netiks ieviesti, taču, saņemot personas datus no AK uzņēmēja (datu pārzinis) un/vai uzņēmēja (datu apstrādātājs), ir svarīgi tomēr pārliecināties, vai datu nosūtīšanas principi atbilst Regulas noteikumiem vai jebkuram citam īpašam tiesiskajam regulējumam.
Publiskās pārvaldes iestādes, to veiktā personas datu apstrāde un pārejas perioda noslēgums? Publiskajām iestādēm pieejamie datu nosūtīšanas mehānismi.
Pēc pārejas perioda noslēgšanās publiskām iestādēm un to struktūrām personas datu nosūtīšana uz AK ir iespējama, ja tiek nodrošinātas atbilstošas garantijas personas datu nosūtīšanai uz AK.
- Regula paredz, ka saistoši juridiski instrumenti starp valstīm un publiskajām iestādēm (piemēram, starptautiskās konvencijas) ir atbilstošs personas datus nosūtīšanas mehānisms, kuru var izmantot ES publiskās iestādes un to struktūras, lai pārraudzītu un nodotu personas datus citai ārpus ES un EEZ (tai skaitā AK) esošai publiskai iestādei;
- Administratīvie risinājumi, kurās tiek piemērotas attiecīgās garantijas un datu aizsardzības prasības attiecībā uz fizisko personu tiesībām (datu subjektiem) starp valsts iestādēm un to struktūrām. Administratīvie risinājumi ir iepriekš jāapstiprina Datu valsts inspekcijā, ievērojot Regulā noteikto procedūru.
Šī instrumenta ieviešanā publiska iestāde var izmantot shematiski līdzīgus pasākumus, kā skaidrots privātajiem pārziņiem attiecībā uz līgumu ad hoc klauzu veidošanu (Pieejamie mehānismi, lai regulētu personas datu nosūtīšanu uz AK pēc pārejas perioda beigām 2.punkts).
Vienlaikus arī publiskās pārvaldes iestādes īstenotas nosūtīšanas gadījumā Datu valsts inspekcija informē, ka katrs datu nosūtīšanas gadījums ir atšķirīgs un precīzais līgumā iekļaujamo normu un nosacījumu kopums tiktu noteikts, ņemot vērā vairākus no gadījuma uz gadījumu variējošus faktorus. Iepriekš pieminētais uzskaitījums ir tikai ieteikumi paredzēto pasākumu datu atbilstīgas nosūtīšanas organizācijai un nav uzskatāmi par ieviešamo pasākumu izsmeļošu uzskaitījumu.
Tāpat Inspekcija informē, ka atbilstoši 49.panta 3.punktam atkāpes īpašās situācijās, kas norādītas 49.panta 1.punkta a), b) un c) apakšpunktos un 2.punktā nepiemēro publisko iestāžu darbībai, kad tās īsteno savas publiskās pilnvaras. Savukārt 49.panta 1.punkta d) e) f) g)apakšpunktos norādītās atkāpes var izmantot arī publiskās iestādes. Papildus iepriekš minētajam Inspekcija skaidro, ka sabiedrības interesēm, kas minētas 49.panta 1. punkta d) apakšpunktā, jābūt atzītām Savienības tiesībās vai tās dalībvalsts tiesībās, kas ir piemērojamas pārzinim.
Publiskajām iestādēm vai struktūrām, kuru kompetencē ir Eiropas Parlamenta un Padomes Direktīva (ES) 2016/680 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu[4], personas datu nosūtīšanas mehānismi ir jāpiemēro saskaņā ar šajā direktīvā paredzētajiem nosacījumiem par datu nosūtīšanu un Latvijas tiesību aktiem.
Sīkāku informāciju par datu nosūtīšanas uz AK juridiskajām niansēm iespējams iegūt iepazīstoties ar Izstāšanās līguma, VII sadaļā “Dati un informācija, kas apstrādāta vai iegūta līdz pārejas perioda beigām vai uz šī līguma pamata” (https://eur-lex.europa.eu/legal-content/LV/TXT/?qid=1580206007232&uri=CELEX%3A12019W/TXT%2802%29).
Informāciju par pārejas perioda noslēgumu un tā ietekmi uz personas datu aizsardzību ir sagatavojusi arī Eiropas Komisija (https://ec.europa.eu/info/sites/info/files/file_import/data_protection_lv_0.pdf ).
Ja Jums pēc iepazīšanās ar materiālu ir palikušas neskaidrības saistībā ar personas datu nodošanu, Datu valsts inspekcija informē, ka saistībā ar AK izstāšanos turpina darboties Datu valsts inspekcijas elektroniskā pasta adrese brexit@dvi.gov.lv, tāpat Datu valsts inspekcijas konsultāciju variet saņemt zvanot pa tālruni 67686025, ievērojot Datu valsts inspekcijas interneta vietnē norādītos konsultāciju sniegšanas laikus.
_____________________
[1] Eiropas Parlamenta un Padomes 2016.gada 27.aprīļa Regulas Nr.2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula).
[2] https://edpb.europa.eu/our-work-tools/accountability-tools/bcr_en
[4] Eiropas Parlamenta un Padomes Direktīva (ES) 2016/680 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI. Pieejams: https://eur-lex.europa.eu/legal-content/LV/TXT/?uri=celex%3A32016L0680