2016. gada 27. aprīlī tika pieņemta Policijas direktīva, kas paredz pienākumu dalībvalstīm līdz 2018. gada 6. maijam pieņemt un publicēt normatīvos un administratīvos aktus, kas vajadzīgi, lai izpildītu šīs direktīvas prasības. Minētos noteikumus piemēro no 2018. gada 6. maija. Ievērojot minēto, tika izstrādāts šis likumprojekts.
Policijas direktīvas un likumprojekta pamatmērķis ir aizsargāt fizisku personu pamattiesības uz personas datu aizsardzību, kas nostiprinātas gan Eiropas Savienības Pamattiesību hartas 8. pantā, gan Latvijas Republikas Satversmes 96. pantā.
Šobrīd personas datu aizsardzību regulē Fizisko personu datu aizsardzības likums (turpmāk – Datu likums) un tas vienlīdz attiecināms gan uz privātpersonu, gan valsts pārvaldes iestāžu veikto personas datu apstrādi, neatkarīgi no funkcijām, kuru ietvaros šī personas datu apstrāde tiek veikta. Šāda pieeja ne vienmēr ir uzskatāma par efektīvāko, jo ir konstatēts, ka tiesībaizsardzības iestāžu darbā bieži ir nepieciešams noteikt atkāpes personas tiesībām uz personas datu aizsardzību, lai nodrošinātu un garantētu citu personu vitālās intereses, valsts drošību un aizsardzību. Tā rezultātā veidojas sadrumstalots tiesiskais regulējums, kur atkāpes no personas datu aizsardzības tiek noteiktas speciālajās tiesību normās, kas regulē noteiktas darbības. Ievērojot minēto, uz datu apstrādi, kas veikta, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus un administratīvos pārkāpumus, kā arī lai pasargātu no draudiem sabiedriskajai un nacionālajai drošībai, ir izstrādāts atsevišķs, vienots regulējums, kas ietverts likumprojektā. Savukārt personas datu apstrādei, kas neietilps likumprojekta darbības jomā, tiks piemērots vispārējs regulējums, kas ietverts Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa regulā 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula).
Likumprojektā ir saglabāti Datu likumā ietvertie datu apstrādes pamatprincipi, vienlaikus pielāgojot regulējumu specifiskajai jomai, kuru likumprojekts regulē.
Vispārīgie noteikumi
Likumprojektā termini tiek lietoti atbilstoši Policijas Direktīvā lietotajai terminoloģijai, kas pēc būtības atbilst arī Fizisko personu datu aizsardzības likumā (turpmāk – Datu likums) lietotajai terminoloģijai.
Būtiskākās atšķirības no spēkā esošā Datu likuma attiecībā uz šādiem lietotajiem terminiem:
- Līdz šim Datu likumā lietotais termins “operators” tiek aizstāts ar terminu “apstrādātājs”, taču tā būtība netiek mainīta;
- Likumprojektā ir ietverti biometrisko un ģenētisko datu terminu skaidrojumi, kas atšķiras no Cilvēka genoma likumā un Biometrijas datu apstrādes sistēmas likumā lietotajiem terminiem un ir plašāki;
- Tiek skaidroti tādi termini kā “personas datu aizsardzības pārkāpums”, “profilēšana” un “pseidonimizācija”, attiecībā uz kuriem likumprojektā ir ietverts arī izvērsts regulējums;
- Sensitīvie dati tiek aizstāti ar īpašu kategoriju datiem un terminu daļā netiek skaidroti, bet regulējums ir ietverts operatīvajā likumprojekta daļā.
Likumprojekta mērķis ir aizsargāt personas pamattiesības uz privāto dzīvi, tostarp, personas datu aizsardzību, gadījumos, kad personas datu apstrādi veic kompetentās iestādes ar mērķi novērst, izmeklēt, atklāt noziedzīgus nodarījumus un administratīvos pārkāpumus, izpildītu sodus, kā arī lai pasargātu no draudiem sabiedriskajai un nacionālajai drošībai. Minētais mērķis sevī ietver arī audzinoša rakstura piespiedu līdzekļu piemērošanu.
Likumprojekts attiecas tikai uz automatizētu apstrādi, ja tā ir strukturēta vai ir iespējams identificēt konkrētu personu, un manuālu apstrādi, ja personas dati tiek sakārtoti kartotēkā. Proti, likums neattiecas uz gadījumiem, kad personas dati ir ietverti kāda dokumenta tekstā, taču tos nav iespējams atlasīt, izmantojot kādu identifikatoru. Gadījumos, kad personas datu apstrādes mērķis nav saistīts ar datu subjektu un apstrādātie personas dati netiek kategorizēti pēc kritērijiem, kas saistīti ar datu subjekta identifikāciju, likumprojektā ietvertais regulējums netiek piemērots.
Likumprojekts uzskaita tās iestādes, uz kurām tas attiecas. Uzskaitījums ietver tiesībaizsardzības iestādes, kuru pamatfunkcija ir veikt datu apstrādi likumprojektā minētajos nolūkos. Veidojot konkrētu iestāžu uzskaitījumu, tiek izslēgtas iestādes, kuras var piemērot administratīvos sodus, taču kuru pamatdarbība nav saistāma ar sodīšanas funkciju un kuras nav uzskatāmas par tiesībsargājošām iestādēm.
Jāņem vērā, ka likumprojektu nepiemēro kompetento iestāžu veiktajai datu apstrādei, ja šī apstrāde netiek veikta likumprojektā izsmeļoši uzskaitītajos nolūkos. Piemēram, ja kompetentā iestāde veic personas datu apstrādi, lai atbildētu uz iesniegumu Iesniegumu likumā noteiktajā kārtībā, šādai datu apstrādei ir piemērojams nevis likumprojekts, bet gan Vispārīgā datu aizsardzības regula.
Tādējādi, lai piemērotu likumprojektā ietverto regulējumu, ir jāizpildās diviem kritērijiem – iestādei ir jāietilpst likumprojekta 3. panta otrajā daļā minētajā uzskaitījumā un personas datu apstrāde jāveic likumprojekta 2. pantā minētajos nolūkos. Ja neizpildās kaut viens no kritērijiem, likumprojekts nav piemērojams.
Likumprojektā ietvertās tiesību normas ir uzskatāmas par vispārējām tiesību normām attiecībā uz kompetento iestāžu darbību regulējošām tiesību normām, tādējādi, ja konkrētas iestādes darbu regulējošā tiesību normā ir noteikta citāda personas datu apstrādes kārtība, ir piemērojama šī tiesību norma, nevis likumprojektā ietvertā.
Personas datu apstrādes principi
Personas datu apstrādes principi ir saglabāti līdzīgi kā šobrīd spēkā esošajā Datu likumā.
Likumprojektā ir noteikti gadījumi, kad personas dati var tikt apstrādāti sākotnēji neparedzētā nolūkā un šis uzskaitījums ir uzskatāms par izsmeļošu.
Ņemot vērā to, ka jebkura personas datu apstrāde ir uzskatāma par personas privātās dzīves ierobežojumu, likumprojekts nosaka tos minimālos kritērijus, kas ir jāparedz likumā un kas nav paredzami zemāka juridiskā spēka tiesību aktos.
Atšķirībā no Datu likuma tiek paredzēts pienākums pēc iespējas nošķirt dažādas personas datu kategorijas, jo šo datu apstrādei var būt atšķirīgi nolūki un līdz ar to arī atšķirīga glabāšanas nepieciešamība. Piemēram, datus par notiesāto var būt nepieciešams glabāt ilgāk, nekā datus par aizdomās turēto vai liecinieku. Būtu jānošķir dati par personām, attiecībā uz kurām pastāv nopietns iemesls uzskatīt, ka tās ir izdarījušas vai drīzumā izdarīs noziedzīgu nodarījumu, no datiem par personām, kuras ir notiesātas par noziedzīgu nodarījumu, noziedzīgā nodarījumā cietušajiem vai personām, attiecībā uz kurām konkrēti fakti liek uzskatīt, ka tās varētu būt noziedzīgā nodarījumā cietušie, un citām personām saistībā ar noziedzīgu nodarījumu, piemēram, personām, kuras varētu aicināt sniegt liecības izmeklēšanas gaitā saistībā ar noziedzīgiem nodarījumiem vai pēcāk notiekošā kriminālprocesā, personām, kuras var sniegt informāciju par noziedzīgiem nodarījumiem, vai kontaktpersonām vai līdzdalībniekiem.
Attiecībā uz personas datu precizitātes nodrošināšanu, ņemot vērā jomas specifiku, šādai prasībai nebūtu jāattiecas uz izteikumu precizitāti, bet vienīgi uz to, ka ir izdarīts konkrēts izteikums.
Attiecībā uz īpašu kategoriju personas datu apstrādi, tāpat kā līdz šim attiecībā uz sensitīvu personas datu apstrādi, tiek noteikti stingrāki apstrādes nosacījumi. Ņemot vērā tiesībsargājošo iestāžu darba specifisko raksturu un to, ka tiek īstenota valsts sodošā funkcija, likumprojekts kā tiesisko pamatu īpašu kategoriju personas datu apstrādei neparedz personas piekrišanu, jo pastāv bažas, ka saskarē ar tiesībsargājošajām iestādēm persona neizdara patiesi brīvu izvēli.
Ņemot vērā informācijas tehnoloģiju straujo attīstību un to, ka liela daļa lēmumu balstās uz automātiski apstrādātu informāciju, likumprojektā ietverts atsevišķs regulējums attiecībā uz automatizētu individuālu lēmumu pieņemšanu. Proti, šādu lēmumu pieņemšana ir pieļaujama tikai tad, ja tas īpaši paredzēts normatīvajā aktā.
Datu subjekta tiesības
Datu subjekta tiesības pēc būtības ir saglabātas tādas pašas kā Datu likumā. Īpaši tiek noteikts, ka visa informācija datu subjektam ir jāsniedz saprotamā, kodolīgā veidā, precizēts datu subjektam sniedzamās informācijas apjoms. Vienlaikus likumprojekts atkārto nepieciešamību sabalansēt personu tiesības uz drošību ar personu tiesībām uz privāto dzīvi, paredzot, ka speciālā tiesību normā, veicot atbilstošu samērīguma testu, var tikt noteiktas atkāpes datu subjekta tiesību īstenošanā. Šādos gadījumos datu subjektam tiek saglabātas tiesības vērsties uzraudzības iestādē, prasot pārbaudīt datu apstrādes likumīgumu un pamatotību.
Saskaņā ar Datu likumu datu subjektam ir tiesības informāciju par tiem personas datiem, kas par viņu tiek apstrādāti, bez maksas saņemt divas reizes gadā, taču likumprojekts vairs šīs tiesības neierobežo ar noteiktu reižu skaitu gadā. Vienlaikus tiek paredzēts, ka gadījumā, ja prasība sniegt datus ir nepamatota vai pārmērīga, pārzinim ir tiesības atteikties izpildīt prasījumu. Tādējādi katrs konkrētais gadījums tiek vērtēts individuāli.
Atšķirībā no Datu likuma tiek paredzētas tādas jaunas datu subjekta tiesības kā tiesības uz datu ierobežošanu. Gadījumā, kad datu subjekts uzskata, ka viņa personas dati ir dzēšami, bet par to neprecizitāti nav iespējams pārliecināties vai tos nepieciešams saglabāt pierādījumu nolūkā, pārzinis datu apstrādi ierobežo ar tiem nolūkiem, kādēļ dati netika dzēsti. Personas datu apstrādes ierobežošanas metodes cita starpā varētu ietvert izvēlēto datu pārvietošanu uz citu apstrādes sistēmu vai izvēlēto datu padarīšanu par nepieejamiem. Tas, ka apstrāde ir ierobežota, būtu jānorāda sistēmā tā, lai būtu skaidrs, ka personas datu apstrāde ir ierobežota.
Pārziņa un apstrādātāja pienākumi.
Pārziņa pienākums, galvenokārt, ir izvērtēt, kāds risks ar personas datu apstrādi tiek radīts datu subjekta pamattiesībām un pamatbrīvībām un īstenot attiecīgus tehniskus un organizatoriskus pasākumus, lai šo risku mazinātu.
Likumprojekts paredz detalizētākas prasības gadījumiem, kad pārzinis izvēlas datu apstrādi uzticēt apstrādātājam, paredzot, kam obligāti jātiek iekļautam vienošanās, kā arī tiek noteikta katras iesaistītās personas atbildība.
Pārzinim ir nepieciešams reģistrēt personas datu apstrādes darbības, kā arī veikt atbilstošus auditācijas pierakstus.
Tāpat kā līdz šim, tiek saglabāta prasība pārzinim veikt novērtējumu par ietekmi uz datu aizsardzību.
Īpaša kārtība un atsevišķas tiesību normas tiek veltītas personas datu aizsardzības pārkāpuma paziņošanai uzraudzības iestādei, nosakot, ka par pārkāpumu ir jāziņo, ja tas rada risku personu tiesībām un brīvībām. Tāpat, ja pārkāpums rada augstu risku personu tiesībām un brīvībām, par to ir jāziņo datu subjektam. Vadlīnijas par to, kas ir uzskatāms par augstu risku personas tiesībām un brīvībām, izstrādās uzraudzības institūcija.
Pārzinim ir uzlikts pienākums iecelt datu aizsardzības speciālistu. Salīdzinot ar šobrīd spēkā esošo Datu likumu, nav plānots izveidot datu aizsardzības speciālistu reģistru, tomēr pārzinim ir nepieciešams visu nepieciešamo informāciju par datu aizsardzības speciālistu norādīt tā mājaslapā un informēt uzraudzības iestādi. Datu aizsardzības speciālista pamatuzdevumi ir ietverti likumprojektā, taču pārzinis var noteikt tam arī citus uzdevumus.
Personas datu nosūtīšana uz trešajām valstīm
Personas datus uz trešo valsti var nosūtīt tikai tādam nolūkam, kas ietilpst likumprojekta darbības jomā. Lai nosūtītu personas datus trešajai valstij, ir jābūt Eiropas Komisijas lēmumam par aizsardzības līmeņa pietiekamību, tādējādi nodrošinot, ka trešajā valstī personas pamattiesībām tiks nodrošināts atbilstošs aizsardzības līmenis. Ja šāda lēmuma nav, personas datus tomēr var nosūtīt, ja pārzinim saistošā tiesību aktā vai līgumā ir paredzētas atbilstošas garantijas attiecībā uz personas datu aizsardzību. Izņēmuma gadījumos personas datu nosūtīšana uz trešo valsti ir pieļaujama, lai izsargātu personu vitālas intereses (dzīvību, veselību), aizsargātu leģitīmas datu subjekta intereses pie nosacījuma, ja nosūtīšanu tiešā veidā atļauj normatīvais akts, kā arī lai novērstu tiešus un nopietnus draudus kādas valsts sabiedriskajai drošībai.
Atsevišķos gadījumos personas datus uz trešo valsti var nosūtīt arī tad, ja tas nepieciešams pārziņa likumīgo prasību nodrošināšanai un pārzinis ir izvērtējis samērīgumu, secinot, ka privātās dzīves ierobežojums ir samērīgs.
Uzraudzības iestāde
Personas datu uzraudzību kā līdz šim veiks Datu valsts inspekcija. Vienlaikus Datu valsts inspekcijai nebūs tiesību uzraudzīt tiesas veikto datu apstrādi, ja šī datu apstrāde ietilpst tiesas spriešanas funkcijās, kā arī personas datu apstrādi, kas veikta operatīvās izziņas pasākumu ietvaros.
|