Vai zvērināts revidents, sniedzot finanšu pārskata revīzijas pakalpojumus organizācijai, ir uzskatāms par pārzini vai par apstrādātāju?
Vispirms Inspekcija informē, ka ar Vispārīgās datu aizsardzības regulas (Regula) piemērošanas uzsākšanas brīdi (no 2018.gada 25.maija) personas datu apstrādes pamatprincipi nemainās, bet Regula būtiski paplašina katras personas tiesības datu apstrādē un rada jaunus pienākumus pārziņiem. Līdz ar to Regulas pieņemšana faktiski turpina līdz šim pastāvējušo praksi personu datu aizsardzības jomā, proti, izvērtējot Regulā norādītos jēdzienus, ir piemērojams viedoklis un skaidrojumi, kurus iepriekš ir sniegusi Direktīvas 95/46/EK 29.panta datu aizsardzības darba grupa[1], kas savā atzinumā “1/2010 par “personas datu apstrādātāja” un “apstrādātāja” jēdzienu” (pieņemts 2010.gada 16.februārī) (turpmāk – Atzinums 1/2010) norādījusi, ka “personas datu apstrādātāja” (turpmāk – pēc Regulas definējuma “pārziņa”) jēdzienam un tā mijiedarbībai ar “apstrādātāja” jēdzienu ir principāla nozīme Direktīvas 95/46/EK piemērošanā, jo tie nosaka, kuras personas atbild par datu aizsardzības noteikumu ievērošanu, un kā datu subjekti praktiski var īstenot savas tiesības. Pārziņa jēdzienam ir būtiska nozīme, lai noteiktu, kuras dalībvalsts tiesību akti ir piemērojami, un efektīvi izpildītu datu aizsardzības iestādēm uzticētos uzraudzības pienākumus. Turklāt pārziņa loma ir izšķiroša un īpaši svarīga gadījumos, kad jānosaka atbildība un jāuzliek soda sankcijas.
Atzinuma 1/2010 21.piemērā norādīts, ka pušu kompetences noteikšanā noteicoša ir pakalpojumu sniedzēja tradicionālā loma un profesionālā kompetence, kas var būt saistīta ar personas datu apstrādātāja kvalifikāciju. Piemērā norādīts, ka “Advokāts pārstāv klientu tiesā un, pildot savus pienākumus, apstrādā ar klienta lietu saistītos personas datus. Juridiskais pamats vajadzīgās informācijas izmantošanai ir klienta pilnvarojums. Taču pilnvarojums neattiecas uz datu apstrādi, bet uz pārstāvību tiesā, un šādai darbībai juristiem parasti ir savs juridiskais pamatojums. Tāpēc gadījumos, kad juristi apstrādā personas datus saistībā ar klientu juridisko pārstāvību, tie ir uzskatāmi par neatkarīgiem pārziņiem.”
Piemērojot pēc analoģijas minētā piemēra attiecināšanu uz revīzijas pakalpojumu sniegšanu, konstatējams, ka atbilstoši Revīzijas pakalpojumu likuma 29.panta otrajai daļai zvērināts revidents un zvērinātu revidentu komercsabiedrība revīzijas pakalpojumus sniedz saskaņā ar rakstveidā noslēgtu šo pakalpojumu sniegšanas līgumu — revīzijas pakalpojumu līgumu.
Līdz ar to turpmākās darbības, kuras zvērināts revidents vai zvērinātu revidentu komercsabiedrība veiks – apstrādājot personas datus revīzijas ietvaros, saskaņā ar rakstveidā noslēgto revīzijas pakalpojumu līgumu – to darīs kā “pārzinis”.
Vienlaikus Inspekcija norāda, ka saskaņā ar Revīzijas pakalpojumu likuma 3.panta otro daļu zvērināts revidents var sniegt revīzijas pakalpojumus kā: 1) individuāls komersants; 2) zvērinātu revidentu komercsabiedrības darbinieks un 3) pašnodarbināta persona.
Ievērojot minēto, Inspekcija vērš uzmanību, ka situācijā, ja revīzijas pakalpojumus sniedz zvērināts revidents kā komercsabiedrības darbinieks, par pārzini ir uzskatāma konkrētā komercsabiedrība. Minētais netieši izriet arī no Revīzijas pakalpojumu likuma 31.panta pirmās un otrās daļas, ka, pamatojoties uz revīzijas pakalpojumu līgumu ar klientu, zvērinātu revidentu komercsabiedrības vadība ieceļ par revīzijas pakalpojumu sniegšanu (revīzijas uzdevuma izpildi) atbildīgo zvērinātu revidentu un par viņa iecelšanu paziņo klientam. Atbildīgais zvērinātais revidents sniedz revīzijas pakalpojumu un sagatavo revidenta ziņojumu. Šo dokumentu, norādot vārdu, uzvārdu, sertifikāta numuru un zvērinātu revidentu komercsabiedrības licences numuru, paraksta atbildīgais zvērinātais revidents un amatpersona, kura rīkojas zvērinātu revidentu komercsabiedrības vārdā.
Tādējādi, ja revīzijas pakalpojumus sniedz zvērināts revidents kā komercsabiedrības darbinieks, par personu datu apstrādi ir atbildīga tieši zvērinātu revidentu komercsabiedrība. Savukārt situācijā, ja revīzijas pakalpojumus sniedz zvērināts revidents kā individuālais komersants vai pašnodarbināta persona, tad attiecīgi par pārzini būs uzskatāms pats zvērinātais revidents. Vienlaikus Inspekcija norāda, ka Revīzijas veikšanas kārtību stingri reglamentē Revīzijas pakalpojumu likums, Latvijā atzītie starptautiskie revīzijas standarti un Latvijā atzītie starptautiskie publiskā sektora revīzijas standarti. Vadoties no Revīzijas pakalpojumu likuma 1.panta pirmā daļas 8.punkta sniegtās definīcijas “revīzijas pakalpojums ir:
a) normatīvajos aktos noteiktā klienta gada pārskata, arī konsolidētā gada pārskata, pārbaude (revīzija) un revidenta ziņojuma sniegšana,
b) revīzijas uzdevuma veikšana pēc likumos noteiktā Komercreģistra iestādes, izmeklēšanas iestādes, prokurora, tiesneša vai tiesas uzaicinājuma likumos noteiktajos gadījumos,
c) valsts un pašvaldību institūciju finanšu revīzija un revīzijas pārskata sagatavošana, kā arī atzinuma sniegšana par saimnieciskā gada pārskatu,
d) citos normatīvajos aktos vai revīzijas pakalpojuma līgumā paredzēta revīzijas uzdevuma veikšana,
e) normatīvajos aktos noteiktā klienta gada pārskata ierobežotā pārbaude un pārbaudes ziņojuma sniegšana;”
Turklāt Revīzijas pakalpojumu likuma 27.panta ceturtā daļa nosaka, ka [..] zvērināts revidents vai zvērinātu revidentu komercsabiedrība, kas veic gada pārskata vai konsolidētā gada pārskata revīziju (pārbaudi) klientam, kurš ir daļa no tāda koncerna, kura mātes sabiedrība atrodas trešajā valstī, ir tiesīgs nodot šajā trešajā valstī esošajam minētā koncerna atbildīgajam revidentam vai atbildīgajai revidentu komercsabiedrībai savus sagatavotos revīzijas darba dokumentus, ja šie dokumenti ir vajadzīgi koncerna konsolidētā gada pārskata revīzijai (pārbaudei). Šādā gadījumā uz veikto personas datu apstrādi attiecas Regulā noteiktās datu subjekta tiesības pieprasīt informāciju par datu apstrādi, tai skaitā par datu apstrādes mērķiem, datu saņēmējiem, iegūšanas avotiem, tiesības piekļūt saviem datiem un pieprasīt to grozīšanu, iznīcināšanu, apstrādes pārtraukšanu vai aizliegšanu.
Minētās tiesību normas apstiprina Atzinumā 1/2010 dotās norādes, kas arī ietvertas Regulas 4.panta 7.punktā, ka “pārzinis” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja šādas apstrādes nolūkus un līdzekļus nosaka ar Savienības vai dalībvalsts tiesību aktiem, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt Savienības vai dalībvalsts tiesību aktos”.
Savukārt Regulas 4.panta 8.punktā minētā definīcija norāda, ka “apstrādātājs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus. Šajā gadījumā, izvērtējot revīzijas pakalpojuma jēgu, proti, izpildīt tieši likumā dotos uzdevumus, var izdarīt secinājumu, ka revidents vai zvērinātu revidentu komercsabiedrība, veicot revīziju, nevarētu būt apstrādātājs. Minēto interpretāciju apstiprina arī Revīzijas pakalpojumu likuma 31.1 pants, kurā norādīts, ka Ministru kabinets nosaka darba organizācijas, resursu plānošanas, dokumentu pārvaldības, reģistru un lietu veidošanas prasības zvērinātiem revidentiem un zvērinātu revidentu komercsabiedrībām.
Papildus iepriekš minētajam, inspekcija norāda arī uz Revīzijas pakalpojumu likuma 34.pantu, kurš noteic, ka: “Revīzijas darba dokumenti ir revīzijas pakalpojuma sniedzēja — zvērināta revidenta vai attiecīgi zvērinātu revidentu komercsabiedrības īpašums. Zvērināta revidenta vai zvērinātu revidentu komercsabiedrības vadības pienākums ir pienācīgi glabāt revīzijas darba dokumentus. Ar tiem nedrīkst iepazīstināt trešās personas, un tos nedrīkst izsniegt trešajām personām bez klienta atļaujas, izņemot šajā likumā noteiktos gadījumus. Revīzijas darba dokumentu glabāšanas laiks ir seši gadi. Revīzijas darba dokumenti, kā arī šā panta 2.1 daļā minētie ziņojumi un citi dokumenti ir pieejami revīzijas pakalpojumu kvalitātes kontroles un revīzijas pakalpojumu kvalitātes kontroles prasību ievērošanas pārbaudes vajadzībām. Uz personām, kas veic revīzijas pakalpojumu kvalitātes kontroli, attiecas tās pašas konfidencialitātes prasības, kas noteiktas zvērinātam revidentam un zvērinātu revidentu komercsabiedrībai šā panta otrajā daļā. Uz personām, kas veic revīzijas pakalpojumu kvalitātes kontroli, attiecas tās pašas konfidencialitātes prasības, kas noteiktas zvērinātam revidentam.”
No iepriekš minētajām Revīzijas pakalpojumu likuma normām (1.panta pirmā daļas 8.punkts, 3., 29., 31. un 34.pants u.c.) var konstatēt, ka tieši zvērinātais revidents vai zvērinātu revidentu komercsabiedrība konkrētajā gadījumā nosaka personas datu apstrādes nolūkus un līdzekļus, proti, vērtē personas datu apstrādes nepieciešamību, tiesisko pamatu, mērķi, apstrādājamo personas datu veidus un apjomus, iespējamo personu skaitu, kuru personas datus plānots apstrādāt, kā arī tehniskos un organizatoriskos pasākumus, ar kādiem tiks nodrošināta personas datu apstrāde u.c., vienlaikus nodrošinot personas datu pienācīgu drošību un konfidencialitāte neatkarīgi no datu apstrādes līguma esamības.
Ņemot vērā minēto, Inspekcija norāda, ka situācijā, ja Revidenta uzņēmuma darbinieki, proti, zvērināti revidenti, normatīvajos aktos noteiktajā kārtībā sniedz revīzijas pakalpojumus organizācijai, Revidenta pakalpojuma sniedzējs ir uzskatāms par pārzini Regulas 4.panta 7.apakšpunkta izpratnē.
[1] Darba grupa izveidot saskaņā ar Direktīvas 95/46/EK 29.pantu. Tā ir neatkarīga Eiropas padomdevēja institūcija datu aizsardzības un privātuma jautājumos. Tās uzdevumi aprakstīti Direktīvas 95/46/EK 30.pantā un Direktīvas 2002/58/EK 15.pantā.
Tīmekļa vietne: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_lv.pdf