Lai personas datus apstrādātu likumīgi, pārziņiem ir jāatrod atbilstošs “tiesiskais pamats”. Ir svarīgi noteikt atbilstošu tiesisko pamatu, kam var būt noteiktas īpašas prasības (piemēram, piekrišanai jābūt brīvai, konkrētai, apzinātai un nepārprotamai) un ietekme uz indivīdu tiesībām (piemēram, tiesības uz pārnesamību piemēro tikai tad, ja tiesiskais pamats ir piekrišana vai līgums).
Šajā lapā jūs atradīsiet vairāk informācijas par dažādiem tiesiskajiem pamatiem saskaņā ar VDAR. Uzziniet vairāk par tiesībām, ko piemēro katram tiesiskajam pamatam.
Kāds ir iespējamais tiesiskais pamats saskaņā ar VDAR?
Pārziņi var apstrādāt personas datus šādos gadījumos:
- ar datu subjekta piekrišanu;
- ja pastāv līgumsaistības (līgums starp jūsu organizāciju un personu);
- lai izpildītu juridisku pienākumu saskaņā ar ES vai valsts tiesību aktiem;
- ja apstrāde ir nepieciešama, lai veiktu uzdevumu sabiedrības interesēs saskaņā ar ES vai valsts tiesību aktiem;
- lai aizsargātu personas vitālas intereses;
- jūsu organizācijas likumīgajās interesēs (izņemot gadījumus, kad tās ir svarīgākas par personu interesēm vai pamattiesībām).
Turklāt VDAR paredz papildu nosacījumus sensitīvu datu apstrādei.
Piekrišana
Jūsu organizācija var pamatot datu apstrādi ar piekrišanu.
Ja pārzinis izmanto piekrišanu kā tiesisko pamatu personas datu apstrādei, tam ir jānodrošina, ka šī piekrišana ir brīvi sniegta, apzināta, konkrēta un nepārprotama. Tas nozīmē, ka personām ir jābūt patiesi brīvai izvēlei piekrist vai nepiekrist savu personas datu apstrādei. Tāpat ir jānodrošina, ka cilvēkiem ir visa nepieciešamā informācija, lai varētu saprast, kuri dati tiek apstrādāti, kādam nolūkam un kā tas tiek darīts. Ir jābūt iespējai savu piekrišanu atsaukt (bez jebkādām negatīvām sekām), ja cilvēks maina savas domas.
Ja organizācijai ir jāapstrādā dati un tā nevar patiesi ļaut personām atsaukt savu piekrišanu, tas liecina, ka piekrišana nav piemērots tiesiskais pamats, un ir jāizvērtē, vai varētu piemērot citu tiesisko pamatu.
Piekrišanas nosacījumi
Brīvi sniegta
Piekrišana ir brīvi sniegta, ja personas var atteikties un atsaukt savu piekrišanu, neriskējot ar ārēju spiedienu vai negatīvām sekām. Personām jābūt arī tiesībām jebkurā laikā atsaukt savu piekrišanu; šim procesam ir jābūt vienkāršam (tikpat vienkāršam, cik vienkārša bija piekrišanas sniegšana). Piekrišanas atsaukšana nedrīkst ietekmēt personas datu apstrādi, kas veikta pirms šīs atsaukšanas, kad piekrišana joprojām bija spēkā.
Piemēram, darbinieki nevarēs brīvi sniegt piekrišanu darba devēja veiktajai apstrādei , jo var uzskatīt, ka nevar noraidīt sava darba devēja lūgumu.
Konkrēta
Lai piekrišana būtu derīga, tai jābūt konkrētai attiecībā uz apstrādes nolūku. Šis nosacījums ir cieši saistīts ar nosacījumu par apzinātu piekrišanu: cilvēkiem ir jābūt informētiem par konkrētajiem nolūkiem vienkāršā un viegli saprotamā valodā, lai viņiem būtu skaidra izpratne par to, kādos nolūkos viņu dati tiek apstrādāti. Tas nozīmē - gadījumā, ja apstrādes darbības nolūki mainās vai ja tiek pievienotas papildu apstrādes darbības, personām atkal būtu jālūdz piekrišana. Tāpat, ja apstrādes darbībai ir vairāki mērķi, par katru no tiem būtu jādod piekrišana.
Piemēram, straumēšanas pakalpojums apkopo klientu personas datus, lai piedāvātu viņiem pielāgotus skatīšanās ieteikumus. Pēc kāda laika straumēšanas pakalpojums nolemj kopīgot savu klientu personas datus ar trešajām personām, lai viņi varētu nosūtīt mērķtiecīgu reklāmu klientiem, pamatojoties uz viņu skatīšanās paradumiem. Tā kā tas ir jauns mērķis, straumēšanas pakalpojumam būs jālūdz klienta piekrišana.
Apzināta
Pieprasot personas piekrišanu, jūsu organizācijai ir jānodrošina, ka šis pieprasījums tiek izteikts saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu. Būtu jāsniedz informācija par nolūkiem, pārziņa identitāti, datu kategorijām, saņēmējiem un tiesībām atsaukt piekrišanu.
Nepārprotama
Lai nodrošinātu, ka piekrišana ir nepārprotama, ir jāveic skaidra apstiprinoša darbība (bez iepriekš atzīmētiem lodziņiem un atsevišķi no piemērojamajiem vispārīgajiem nosacījumiem).
Piekrišanu ieteicams atjaunināt ar piemērotiem intervāliem. Turklāt jums jāspēj pierādīt, ka persona, kuras dati tiek apstrādāti, ir devusi savu piekrišanu, piemēram, ar rakstisku paziņojumu vai ar apzinātu darbību, piemēram, atzīmējot lodziņu.
Piekrišanas nosacījumi, kas attiecas uz bērniem
Kā pārzinim jums ir jāpieliek saprātīgas pūles, lai pārbaudītu personas vecumu.
Bērnus vecumā no 16 gadiem uzskata par spējīgiem dot savu piekrišanu.
Attiecībā uz bērniem, kas jaunāki par 16 gadiem, jūsu organizācijai ir jālūdz šī bērna likumīgā aizbildņa vai vecāka piekrišana. Šajā gadījumā jums būtu jāpieliek saprātīgas pūles, lai pārbaudītu, vai personai, kas sniedz piekrišanu bērna vietā, ir vecāku atbildība. Tomēr ņemiet vērā, ka VDAR dod ES valstīm iespēju, izmantojot valsts tiesību aktus, noteikt piekrišanas vecumu no 13 līdz 16 gadiem, ja pakalpojumus sniedz internetā. Tāpēc ieteicams pārbaudīt jūsu valsts normatīvus.
Ja bērni var dot piekrišanu, valoda, ko izmanto, lai paziņotu informāciju par pakalpojumu, būtu jāpielāgo viņu vecumam.
Līguma izpilde
Personas datu apstrāde līguma izpildei ir likumīgs tiesiskais pamats, piemēram, šādos gadījumos:
- lai sniegtu pakalpojumu, jūsu organizācijai ir jāapstrādā personas dati;
- potenciālais klients ir lūdzis jums kaut ko darīt pirms līguma noslēgšanas ar jūsu organizāciju, piemēram, viņš var vēlēties saņemt cenu piedāvājumu par jūsu sniegtajiem pakalpojumiem, tamdēļ jums, iespējams, būs jāapstrādā viņa personas dati.
Apstrāde ir nepieciešama līguma izpildei. Praksē tas nozīmē, ka jūsu organizācija nevar turpināt līguma vai pakalpojuma izpildi bez attiecīgajiem personas datiem. Ieteicams, lai jūsu organizācija dokumentētu iemeslus, kāpēc personas datu apstrāde ir nepieciešama līguma izpildei.
Turklāt jums būtu jācenšas vākt minimālo personas datu apjomu, kas nepieciešams līgumā noteiktā pakalpojuma sniegšanai vai attiecīgo pirmslīguma darbību veikšanai. Jo īpaši jūs nevarat izmantot līgumu, lai mākslīgi paplašinātu personas datu kategorijas vai apstrādes darbību veidus. Drīzāk jums būtu jānodrošina patiesa savstarpēja izpratne par līguma mērķi, pamatojoties uz cilvēka gaidām, slēdzot līgumu.
Šo tiesisko pamatu var piemērot arī dažām darbībām, kas saistītas ar līguma garantiju, un darbībām, kuras ir paredzamas un nepieciešamas parastās līgumattiecībās, piemēram, oficiālu atgādinājumu nosūtīšanai par nenokārtotajiem maksājumiem vai kļūdu vai kavējumu novēršanai līguma izpildē.
Tomēr šis tiesiskais pamats nav piemērojams, ja vēlaties apstrādāt personas datus mārketinga nolūkos, krāpšanas novēršanai, mērķtiecīgai reklāmai vai jebkādiem citiem mērķiem, kas saistīti ar jūsu organizācijas uzņēmējdarbības modeli. Šādos gadījumos var būt piemērojami citi tiesiskie pamati, piemēram, piekrišana vai leģitīmās intereses ar nosacījumu, ka ir izpildīti attiecīgie kritēriji.
Tiesību aktos var būt noteikts, ka personas dati ir jāapstrādā pat pēc līguma izbeigšanas (piemēram, grāmatvedības uzskaitei).
Protams, līgumam ir jābūt spēkā arī saskaņā ar piemērojamiem tiesību aktiem.
Praksē
- Jūs esat uzņēmums, kas pārdod apģērbu gan tiešsaistē, gan veikalā. Jums, iespējams, būs jāapstrādā daži jūsu klientu personas dati, piemēram, kredītkartes dati, lai varētu apstrādāt jūsu klientu veiktos pirkumus par drēbēm. Šajā gadījumā klientu personas datu apstrāde var būt nepieciešama līguma izpildei.
- Jūs esat uzņēmums, kas piedāvā mājas apdrošināšanu. Potenciālais klients ir pieprasījis cenu piedāvājumu mājokļa apdrošināšanai. Tādējādi daži viņu personas dati var būt nepieciešami, lai nodrošinātu viņiem precīzu mājokļa apdrošināšanas cenu.
- Jūs esat uzņēmums, kas pārdod grāmatas, ko daži no jūsu klientiem ir iegādājušies. Kad šie klienti iegādājās šīs grāmatas, jūs, iespējams, esat apkopojis daļu no viņu personas datiem, kas bija nepieciešami darījuma apstrādei. Tagad jūs vēlaties apstrādāt šo klientu personas datus, tostarp datus par viņu iepriekšējiem pirkumiem, lai ieteiktu citas grāmatas, kas viņiem varētu patikt. Jūs nevarat paļauties uz personas datu apstrādi līguma izpildei kā tiesisko pamatu, jo klientu datu apstrāde citu grāmatu reklamēšanai nav nepieciešama līguma izpildei.
Tādējādi jūsu uzņēmumam ir jāsaņem klientu piekrišana, lai varētu reklamēt citas grāmatas, vai arī atkarībā no apstākļiem tas var atsaukties uz leģitīmajām interesēm.
Pārziņa juridiskā pienākuma izpilde
VDAR ir noteikts papildu tiesiskais pamats: apstrāde ir nepieciešama, lai izpildītu uz pārzini attiecināmu juridisko pienākumu.
Šo tiesisko pamatu var izmantot, ja apstrādes darbību organizācijai nosaka ES vai valsts tiesību akti. Ir četri nosacījumi:
- juridiskajam pienākumam jābūt noteiktam ES vai valsts tiesību aktos;
- šajās tiesību normās ir jānosaka skaidrs un konkrēts pienākums apstrādāt minētos personas datus;
- šajos noteikumos jānosaka vismaz apstrādes mērķi;
- šis pienākums būtu jāuzliek pārzinim, nevis datu subjektiem.
Ja šie nosacījumi nav izpildīti, apstrādes darbību nevar pamatot ar juridisko pienākumu un ir jāmeklē cits tiesiskais pamats.
VDAR ir noteikti vairāki gadījumi, kad pārziņiem ir juridisks pienākums apstrādāt savu klientu personas datus. Piemēram, darba devējiem parasti ir jāapstrādā savu darbinieku personas dati sociālā nodrošinājuma nolūkos vai uzņēmumam bieži vien ir jāapstrādā savu klientu personas dati nodokļu vajadzībām.
Lasīt vairāk
Personas vitāli svarīgas intereses
Datu apstrādi, lai aizsargātu personas vitālās intereses, var veikt tikai retos un īpašos gadījumos. Piemēram, ja jums ir jāapstrādā personas dati, lai aizsargātu kāda cilvēka dzīvību. Tomēr, pamatojoties uz VDAR, šī tiesiskā pamata darbības joma ir ļoti ierobežota un uz to var atsaukties tikai ārkārtas gadījumos.
Praksē
Jūsu organizācija piedāvā raftinga braucienus. Vienā no jūsu organizētajiem braucieniem viens no dalībniekiem ir nopietni ievainots. Cilvēks ir bezsamaņā, un viņam ir jāsaņem neatliekamā medicīniskā palīdzība. Jums kā organizācijai, iespējams, būs jāsniedz šī cilvēka personas dati slimnīcai, kura tos apstrādās, lai glābtu viņa dzīvību. Šajā kontekstā jūs varat apstrādāt šīs personas datus, lai aizsargātu viņa vitāli svarīgās intereses.
Sabiedrības intereses
Atsevišķos gadījumos jūsu organizācija var apstrādāt personas datus sabiedrības interesēs. Šādā gadījumā apstrādei jābūt pamatotai ar ES vai valsts tiesību aktiem. Tās mērķim ir jābūt noteiktam šajā tiesiskajā pamatā vai tam ir jābūt nepieciešamam, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot personas datu apstrādātājam piešķirtās oficiālās pilnvaras. Tāpēc šis tiesiskais pamats var būt īpaši svarīgs apstrādes darbībām, ko veic valsts iestādes, lai pildītu savas funkcijas.
Praksē
Jūsu organizācija ir medicīnas prakse, kurā strādā zobārsts un ģimenes ārsts. Jums var būt nepieciešams apstrādāt gan zobārsta, gan ģimenes ārsta personas datus, lai nodrošinātu, ka viņu kvalifikācija, morālā un ētiskā uzvedība atbilst standartiem, kas noteikti valstī, kurā atrodas jūsu medicīniskā prakse.
Leģitīmas intereses
Jūsu organizācija apstrādes darbības var pamatot ar leģitīmajām interesēm ar nosacījumu, ka šīs intereses (komerciālās, jūsu īpašuma aizsardzības u. c.) nerada nelīdzsvarotību, kaitējot personu tiesībām un interesēm.
Lai gan VDAR un attiecīgā Eiropas Savienības Tiesas (EST) judikatūrā ir sniegti leģitīmo interešu piemēri, to saraksts nav izsmeļošs.
Tomēr jums ir jānodrošina, lai šīs intereses atbilst noteiktām prasībām:
- tām jābūt likumīgām, skaidrām, reālām;
- apstrādei jābūt nepieciešamai, lai īstenotu šīs intereses;
- leģitīmajās interesēs ir jāņem vērā personas tiesības uz datu aizsardzību, kuras nevar ignorēt. Saistībā ar šo prasību pārzinim ir jāizsver savas likumīgās intereses un indivīdu intereses vai pamattiesības un pamatbrīvības, kā arī jāapsver, ko viņi var pamatoti sagaidīt. Šī līdzsvarošana jāveic, ņemot vērā konkrētos apstākļus, kādos šīs darbības tiek veiktas.
Praksē
Jūs vadāt renovācijas uzņēmumu. Viens no jūsu klientiem apstrīd virtuves renovācijas kvalitāti un atsakās samaksāt rēķinu pilnā apmērā. Pirmkārt, jūs nododat klienta datus savam advokātam, lai vienotos par izlīgumu ar klientu. Tā kā klients joprojām atsakās maksāt, jūs izmantojat parādu piedziņas aģentūru. Jūs nododat tikai procedūrai nepieciešamos personas datus parādu piedziņas aģentūrai, un aģentūra veic tikai ierobežotas pārbaudes, lai apstiprinātu klienta kontaktinformāciju un uzsāktu tiesas procesu.
Lai gan pirmais solis joprojām var tikt uzskatīts par apstrādi, kas nepieciešama līguma izpildei, turpmākie soļi, piemēram, parādu piedziņas aģentūras iesaistīšana u.c., var tikt uzskatīti par tādiem, kas ir pārziņa leģitīmajās interesēs. Tā kā aģentūras veiktie pasākumi nav pārāk uzmācīgi un ietekme uz klientu ir neliela, leģitīmās intereses varētu būt piemērots tiesiskais pamats.
Sensitīvu personas datu apstrāde
Papildu prasības tiek piemērotas, ja plānojat apstrādāt datus, kas atklāj rasi vai etnisko izcelsmi, politiskos uzskatus, reliģisko vai filozofisko pārliecību,dalību arodbiedrībās, ģenētisko datu, biometrisko datu apstrādi, lai identificētu fizisku personu, datus par veselību vai datus par fiziskas personas seksuālo dzīvi vai seksuālo orientāciju. Šīs īpašās datu kategorijas parasti dēvē par “sensitīviem datiem”.
Sensitīvu datu apstrāde parasti ir aizliegta, izņemot šādus gadījumus.
- Cilvēks ir devis nepārprotamu piekrišanu savu sensitīvo datu apstrādei.
- Sensitīvu datu apstrāde ir nepieciešama, lai pārzinis varētu izpildīt savus pienākumus, jo īpaši saistībā ar nodarbinātību, sociālo nodrošinājumu un sociālo aizsardzību. Piemēram, pārzinim var būt jāapstrādā personas sensitīvie dati, lai varētu noteikt, vai tai ir tiesības uz noteiktiem sociālajiem pabalstiem vai nodarbinātības nosacījumiem.
- Sensitīvu datu apstrāde ir nepieciešama, lai aizsargātu personas vitālās intereses, ja persona fiziski vai juridiski nespēj dot piekrišanu. Piemēram, ja notiek nelaimes gadījums un persona ir bezsamaņā, un tai nepieciešama tūlītēja medicīniskā aprūpe, var būt nepieciešams apstrādāt šīs personas īpašo kategoriju personas datus, lai sniegtu atbilstošu medicīnisko aprūpi.
- Sensitīvu datu apstrāde tiek veikta saistībā ar fonda, apvienības vai citas bezpeļņas organizācijas leģitīmām darbībām ar politisku, filozofisku, reliģisku vai arodbiedrības mērķi un tikai to biedru, bijušo biedru vai personu, kas ar viņiem regulāri sazinās, personas datu apstrādei.
- Personas publiskoja savus sensitīvos datus.
- Sensitīvu datu apstrāde ir nepieciešama tiesvedības kontekstā.
- Sensitīvu datu apstrāde ir nepieciešama būtisku sabiedrības interešu jautājumos.
- Sensitīvu datu apstrāde ir nepieciešama profilaktiskās vai arodmedicīnas kontekstā. Piemēram, personas sensitīvu datu, piemēram, medicīnisko datu novērtēšana var būt nepieciešama, lai noteiktu personas kā darbinieka darba spējas.
- Sensitīvu datu apstrāde ir nepieciešama sabiedrības veselības jomā, pamatojoties uz ES vai valsts tiesību aktiem. Piemēram, personas sensitīvu datu apstrāde var būt nepieciešama, lai nodrošinātu augstu veselības aprūpes kvalitāti un zāļu kvalitāti vai apkarotu nopietnus veselības apdraudējumus, piemēram, vīrusus.
- Sensitīvu datu apstrāde ir nepieciešama arhivēšanas nolūkos sabiedrības interesēs vai zinātniskos, statistikas, vēstures vai pētniecības nolūkos. Piemēram, sensitīvu datu apstrāde var būt nepieciešama, lai sniegtu precīzu statistiku par valsts situāciju konkrētā jomā.
Kontrolsaraksts sensitīvu personas datu apstrādei
- Uzdodiet sev jautājumu, vai plānotajai apstrādei jums ir jāapstrādā īpašas kategorijas personas dati.
- Nosakiet tiesisko pamatu personas datu apstrādei! Jums vajadzētu atsaukties uz VDAR 6. pantu.
- Pārliecinieties, vai ir ievēroti papildu nosacījumi sensitīvu datu apstrādei. Jums vajadzētu atsaukties uz VDAR 9. pantu.
- Identificējiet riskus un datu aizsardzības pasākumus, piemēram, tehniskos un organizatoriskos pasākumus, kas jūsu organizācijai varētu būt jāievieš, apstrādājot īpašo kategoriju personas datus.
- Neaizmirstiet reģistrēt iemeslus, kādēļ apstrādājat īpašas kategorijas personas datus, ar tiem saistītos riskus un pasākumus, ko esat veikuši, lai mazinātu šos riskus.