Kādas tiesības personām ir noteiktas VDAR?
VDAR datu subjektiem, t. i., personām, kuru dati tiek apstrādāti, ir noteiktas šādas tiesības:
- Tiesības būt informētam;
- Tiesības piekļūt saviem datiem;
- Tiesības labot neprecīzus datus;
- Tiesības uz dzēšanu (“tikt aizmirstam”);
- Tiesības ierobežot datu apstrādi;
- Tiesības uz datu pārnesamību;
- Tiesības iebilst savu datu apstrādei;
- Tiesības, lai lēmums netiktu pieņemts, balstoties tikai uz automatizētu apstrādi.
Lūdzu, ņemiet vērā, ka dažas no šīm tiesībām nav piemērojamas visos gadījumos. Lai iegūtu plašāku informāciju, skatieties tabulu par datu subjekta tiesībām attiecībā uz katru tiesisko pamatu.
Pārzinim ir jāatbild uz to datu subjektu pieprasījumiem, kuri izmanto savas tiesības, un jāatvieglo šo tiesību īstenošana. Savukārt apstrādātājam ir jāpalīdz pārzinim šo uzdevumu izpildīt.
Kontrolsaraksts, kā ievērot datu subjekta tiesības
- Esiet gatavi! Izstrādājiet sistēmas un procedūras, lai atbildētu uz datu subjekta tiesību pieprasījumiem, un apmāciet darbiniekus integrēt datu subjektu tiesību pieprasījumus jūsu iekšējā darbplūsmā!
- Atvieglojiet tiesību īstenošanas procesu! Nodrošiniet, lai datu subjektiem ir viegli uzzināt, kādas ir viņu tiesības un kā ar jums sazināties, lai tās īstenotu.
- Pārziniet savas datu plūsmas! Atjauniniet savu reģistru, lai ātri identificētu datus, kurus apstrādājat, un efektīvi atrastu un atgūtu nepieciešamo informāciju.
- Esiet pārredzami! Vienmēr skaidri un saprotami informējiet datu subjektus par jūsu apstrādātajiem personas datiem pirms apstrādes (piemēram, jūsu privātuma politikā) un apstrādes laikā (piemēram, izpildot datu subjekta piekļuves pieprasījumu).
- Atbildiet viena mēneša laikā! Vienmēr atbildiet uz datu subjekta pieprasījumu viena mēneša laikā. Ja jums atbildes sniegšanai ir nepieciešams papildu laiks vai pieprasījumu nevarat izpildīt, arī tad par to informējiet datu subjektu mēneša laikā.
- Nododiet to tālāk! Saņemot pieprasījumu par personas datiem, kurus esat nosūtījis citām pusēm, neaizmirstiet, ja nepieciešams, informēt saņēmējus par pieprasījuma rezultātu.
- Dokumentējiet! Sekojiet līdzi datu subjektu pieprasījumiem un reģistrējiet savas atbildes, kā arī dokumentējiet savu argumentāciju gadījumos, kad uz pieprasījumu netiek sniegta atbilde.
Kā apstrādāt datu subjekta tiesību pieprasījumu
Pārredzamībai ir būtiska nozīme datu aizsardzībā kopumā un, protams, datu subjekta tiesību kontekstā.
Pārzinim:
- ar datu subjektiem ir jāsazinās skaidrā un saprotamā valodā (īpaši svarīgi tas ir gadījumos, kad organizācija vēršas pie bērniem); un
- jāatvieglo šo tiesību īstenošana, jo īpaši elektroniski. Piemēram, savā tīmekļa vietnē varat izveidot tiešsaistes veidlapu. Šāda pieeja ļaus datu subjektiem bez liekām grūtībām īstenot savas datu aizsardzības tiesības.
Atbildēt rakstiski
Vispārīgais noteikums ir tāds, ka organizācijai būtu jāatbild uz personas piekļuves pieprasījumu tādā pašā veidā, kādā tas tika iesniegts, vai veidā, kādā to lūdz datu subjekts. Vēlams, lai atbilde tiktu sniegta rakstiski, tostarp nepieciešamības gadījumā izmantojot elektroniskos saziņas līdzekļus. Atbildi uz datu subjekta pieprasījumu var sniegt arī mutiski, bet tas nav ieteicams, jo jums ir jāspēj pierādīt, ka esat atbildējis.
Atbildēt viena mēneša laikā
VDAR nosaka, cik ilgā laikā pārzinim ir jāatbild uz pieprasījumu un kādos gadījumos tas var iekasēt maksu.
Kad datu subjekti izmanto kādas no savām tiesībām, pārzinim ir jāsniedz atbilde viena mēneša laikā. Ja pieprasījums ir pārāk sarežģīts un ir nepieciešams vairāk laika, lai atbildētu, jūsu organizācija var pagarināt termiņu vēl par diviem mēnešiem, ja datu subjekts tiek informēts viena mēneša laikā pēc pieprasījuma saņemšanas. Ja jūsu organizācija var pierādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs, jo īpaši, ja tas atkārtojas, jūs varat vai nu iekasēt saprātīgu samaksu, vai pieprasījumu noraidīt.
Ja jūsu organizācijai ir pamatotas šaubas par tās personas identitāti, kura iesniedz pieprasījumu (piemēram, pieprasījums ir sagatavots ar citu e-pasta adresi, kas nav tā, kuru parasti izmanto jūsu klients, vai arī tā tiek veikta ārpus autentificēta klienta konta), pirms atbildes sniegšanas varat pieprasīt papildu informāciju, lai apstiprinātu datu subjekta identitāti.
Ja jūs neplānojat izpildīt konkrēto datu subjekta pieprasījumu, jums viena mēneša laikā pēc tā saņemšanas ir jāinformē datu subjekts par iemesliem, kāpēc jūs to nedarīsiet (piemēram, kāpēc neizdzēšat pieprasītos datus). Turklāt jums jāinformē datu subjekti par iespēju iesniegt sūdzību savas valsts datu aizsardzības iestādē un vērsties tiesā.
Neiekasējiet maksu
Jūsu organizācija nedrīkst pieprasīt maksu no datu subjekta, kurš lūdz izmantot kādu no savām tiesībām. Tomēr jūs varat iekasēt maksu, ja datu subjekta pieprasījums ir acīmredzami nepamatots vai pārmērīgs, jo īpaši, ja tas atkārtojas. Aprēķinot maksu, jāņem vērā administratīvās izmaksas, kas jūsu organizācijai rodas, atbildot uz pieprasījumu. Kā jau iepriekš minēts, ir iespējams arī atteikties izpildīt pieteikumu, kas ir acīmredzami nepamatots vai pārmērīgs. Tādā gadījumā jums ir jāspēj pierādīt, ka tas tā tiešām ir.
Praksē
- Datu subjekts ik pēc diviem mēnešiem iesniedz piekļuves pieprasījumus galdniekam, kurš izgatavojos viņam galdu. Galdnieks pilnībā atbildēja uz pirmo pieprasījumu. Tā kā datu apstrāde nav galdnieka pamatdarbība un viņš datu subjektam nav sniedzis vairāk kā vienu pakalpojumu, maz ticams, ka datu kopa par subjektu ir mainījusies. Datu subjekts ir norādījis, ka jaunais pieprasījums attiecas uz to pašu informāciju, kas bija iepriekšējā pieprasījumā. Līdz ar to šo pieprasījumu var uzskatīt par pārmērīgu, jo tas ir atkārtots.
- Ja galdnieks nolemj prasīt samaksu par personas datu sniegšanu, ir ieteicams par to iepriekš informēt datu subjektu, tādējādi dodot viņam iespēju atsaukt pieprasījumu, lai par to netiktu iekasēta maksa. Galdnieks var arī informēt datu subjektu par iemesliem, kāpēc viņš neatbildēs uz šo pieprasījumu, kā arī informēt par iespēju iesniegt sūdzību datu aizsardzības iestādei un vērsties tiesā.
Tiesības tikt informētam
Tiesības būt informētam ļauj cilvēkiem saprast, kas tiks darīts ar viņu datiem, un līdz ar to pieņemt apzinātus lēmumus un iegūt lielāku kontroli pār tiem. Visiem datu subjektiem ir tiesības tikt informētiem, ka viņu dati tiek apstrādāti.
Jums kā organizācijai, kas darbojas kā pārzinis, ir pienākums informēt datu subjektus.
Kāda informācija?
Sniedzamā informācija atšķiras atkarībā no tā, vai esat ieguvis personas datus tieši no datu subjekta (VDAR 13. pants) vai no kāda cita avota (VDAR 14. pants). Turpmākajās tabulās sniegts pārskats par informāciju, kas jums jāsniedz datu subjektam:
Turklāt VDAR nosaka, ka jūsu organizācijai ir jāsniedz šāda informācija, lai nodrošinātu godprātīgu un pārredzamu apstrādi:
Ja dati tālāk tiek apstrādāti jaunam savietojamam mērķim, kas atšķiras no sākotnējā mērķa, jūsu organizācijai ir jāsniedz informācija, kas norādīta otrajā tabulā. Šī informācija ir jāsniedz pirms turpmākas apstrādes. Šādā gadījumā jums datu subjektam ir jāpaskaidro, kā jaunais un iepriekšējais mērķis ir savstarpēji saistīti. .
Kad informācija būtu jāsniedz?
Ja jūsu organizācija vāc personas datus tieši no datu subjekta, jums ir jāsniedz nepieciešamā informācija datu vākšanas brīdī.
Netiešas personas datu vākšanas gadījumā jūsu organizācijai informācija jāsniedz ne vēlāk kā viena mēneša laikā pēc personas datu iegūšanas. Šo maksimālo viena mēneša termiņu saīsina:
- ja personas dati tiek izmantoti saziņai ar datu subjektu. Šādā gadījumā jums jāinformē datu subjekts brīdī, kad notiek pirmā saziņa;
- ja dati tiek nosūtīti citam saņēmējam, jums par to jāinformē datu subjekts tad, kad personas dati tiek nosūtīti.
Nekādā gadījumā maksimālo viena mēneša termiņu nevar pagarināt.
Gadījumā, ja tiek veiktas turpmākas izmaiņas apstrādē (piemēram, jauni saņēmēji, savietojams nolūks, nosūtīšana ārpus EEZ utt.), jūsu organizācijai jebkurā gadījumā ir jāinformē datu subjekts pirms izmaiņas stājas spēkā, un tas jādara laicīgi. Jo būtiskākas izmaiņas, jo ātrāk jūsu organizācijai būtu jāinformē datu subjekts, lai datu subjektam būtu pietiekami daudz laika novērtēt to ietekmi un īstenot savas tiesības.
Kad jūsu organizācijai nav pienākuma sniegt informāciju?
Jūsu organizācijai nav jāinformē datu subjekts, ja šī persona jau ir saņēmusi vajadzīgo informāciju.
Netiešas personas datu vākšanas gadījumā piemēro papildu izņēmumus. Šajā gadījumā informācijas sniegšana nav nepieciešama, ja:
- šādas informācijas sniegšana izrādās neiespējama vai prasītu nesamērīgas pūles. Tomēr šī izņēmuma slieksnis ir ļoti augsts, kas nozīmē, ka pārzinis šo var izmantot tikai izņēmuma gadījumos;
- datu iegūšana vai izpaušana ir skaidri paredzēta tiesību aktos;
- personas dati ir jāglabā konfidenciāli, pamatojoties uz juridisku pienākumu glabāt dienesta noslēpumu.
Praksē
- Dažās ES valstīs valsts tiesību akti var likt nodokļu iestādēm pieprasīt no darba devējiem konkrētu informāciju par darba ņēmējiem. Šādā gadījumā nodokļu iestādēm nav jāinformē darbinieks. Tomēr, pildot pienākumu informēt, darba devējs informē darbinieku, ka nodokļu iestādes ir viens no personas datu saņēmējiem.
Kā būtu jāsniedz informācija datu subjektam?
Labs veids, kā informēt, ir strādāt ar dažādiem informācijas līmeņiem. Tas ļauj izvairīties no pārāk liela informācijas apjoma sniegšanas vienlaicīgi, kas var kaitēt pārredzamībai un pārslogot datu subjektu ar informāciju. Šāda pieeja atbilst gan prasībai sniegt kodolīgu izklāstu, gan prasībai nodrošināt visu nepieciešamo informāciju. Tas ne tikai vienkāršo pārziņa uzdevumu, bet arī ļauj datu subjektam ātri un efektīvi saprast būtisko. Informācija varētu būt šāda:
- Pamatinformācijas pirmais slānis
- KO? Organizācija sniedz kopsavilkumu par pamatinformāciju, kas datu subjektam ir vajadzīga, lai novērtētu apstrādes ietekmi un apjomu (t. i., pārziņa identitāte, apstrādes nolūki, saņēmēju kategorijas, datu avots, datu subjektu tiesības u. c.).
- KĀ? Piemēram, tabulas formātā skaidri redzamā vietā ar nosaukumu “Pamatdatu aizsardzības informācija” vai izmantojot uznirstošos logus, kas sniedz paskaidrojumus par personas datu vākšanu. Ja apstrāde pamatota ar piekrišanu, vēlams norādīt šo informāciju vietā, kur datu subjektam ir jāsniedz piekrišana (blakus pogai “Piekrišana”).
- KO? Organizācija sniedz kopsavilkumu par pamatinformāciju, kas datu subjektam ir vajadzīga, lai novērtētu apstrādes ietekmi un apjomu (t. i., pārziņa identitāte, apstrādes nolūki, saņēmēju kategorijas, datu avots, datu subjektu tiesības u. c.).
- Papildu un detalizētākas informācijas otrais slānis
- KO? Šī daļa saprotamā un visaptverošā veidā nodrošina pārējo informāciju, kas organizācijai jāsniedz, pamatojoties uz VDAR 13. un 14. pantu.
- KĀ? Papildu informāciju var sniegt vairākos veidos, piemēram, izmantojot hipersaites, kas iekļautas pamatinformācijā, vai lejupielādējot dokumentu. Sniedzot šo papildu informāciju, būtu jānodrošina līdzsvars starp kodolīgumu, no vienas puses, un pilnīgumu un precizitāti, no otras puses. Informācijai jābūt strukturētai tā, lai tā būtu viegli salasāma. Neaizmirstiet pielāgot informāciju mērķa grupai (piemēram, ja jūsu pakalpojums ir domāts bērniem, uzrakstiet informāciju tā, lai viņi varētu saprast).
- KO? Šī daļa saprotamā un visaptverošā veidā nodrošina pārējo informāciju, kas organizācijai jāsniedz, pamatojoties uz VDAR 13. un 14. pantu.
Tiesības piekļūt saviem datiem
Izmantojot tiesības piekļūt saviem datiem, datu subjekti var pārbaudīt katras apstrādes darbības, kas uz tiem attiecas, likumību.
Kad datu subjekti izmanto savas piekļuves tiesības, tiem būtu jāsaņem pārziņa apstiprinājums par to, vai viņu personas dati tiek vai netiek apstrādāti. Šādā gadījumā datu subjektiem ir piekļuve saviem personas datiem un informācijai par:
- apstrādes nolūkiem;
- attiecīgo personas datu kategorijām;
- personas datu saņēmējiem (vai saņēmēju kategorijām);
- personas datu glabāšanas periodam vai kritērijiem, kas izmantoti minētā laikposma noteikšanai;
- tiesībām pieprasīt no pārziņa personas datu labošanu vai dzēšanu, vai personas datu apstrādes ierobežošanu attiecībā uz datu subjektu, vai iebilst pret šādu apstrādi;
- tiesībām iesniegt sūdzību datu aizsardzības iestādei;
- datu avotam (ja personas dati netiek vākti tieši no datu subjekta);
- automatizētas lēmumu pieņemšanas, tostarp profilēšanas, esamību, datu apstrādes loģiku, kā arī par šādas apstrādes nozīmi un paredzamajām sekām datu subjektam;
- par to, ka ir ieviesti visi attiecīgie aizsardzības pasākumi (saskaņā ar VDAR 46. pantu par datu nosūtīšanu), ja personas dati tiek nosūtīti ārpus Eiropas Savienības.
Turklāt personai ir tiesības saņemt (bez maksas) jūsu organizācijas apstrādāto personas datu kopiju. Ja persona pieprasa papildu kopijas, jūsu organizācija var iekasēt saprātīgu samaksu, ko aprēķina, pamatojoties uz administratīvajām izmaksām. Ņemiet vērā, ka vairumā gadījumu no privātpersonām nevar prasīt samaksu par piekļuvi savai personiskajai informācijai.
Ja pieprasījums tiek iesniegts elektroniski, jums nepieciešamā informācija būtu jāsniedz visbiežāk lietotajā elektroniskajā formātā, ja vien netiek pieprasīts citādi.
Svarīgi!
Pirms iesniedzat personas datu kopiju, jums jāpārbauda, vai tas neietekmē citu personu tiesības un brīvības (piemēram, ja vienā datnē tiek apstrādāta informācija, kas attiecas uz vairāk nekā vienu personu, vai informācija, kas attiecas uz komercnoslēpumiem un intelektuālo īpašumu).
Tiesības labot neprecīzus datus
Datu subjektam ir tiesības pieprasīt, lai pārzinis izlabo neprecīzus datus un papildina nepilnīgus datus. Ja jūsu organizācija ir nosūtījusi personas datus trešajām personām, jums ir jāinformē tās par datu labošanu, ja vien tas nav neiespējami vai neprasa nesamērīgas pūles.
Praksē
- Klients informē jūsu organizāciju, ka viņš ir pārcēlies uz citu pilsētu. Jums klientu datu bāzē ir jānomaina viņa adrese.
Tiesības uz dzēšanu (tiesības tikt aizmirstam)
Datu subjekts var pieprasīt, lai organizācija dzēš viņa datus šādos gadījumos:
- personas dati vairs nav nepieciešami mērķim, kuram tie tika vākti;
- organizācija apstrādā personas datus nelikumīgi;
- organizācijai ir jādzēš personas dati, pamatojoties uz juridisku pienākumu;
- datu subjekts atsauc piekrišanu, apstrādei nav cita juridiskā pamata;
- datu subjekts ir veiksmīgi izmantojis tiesības iebilst;
- nepilngadīgie, kuri ir devuši piekrišanu izmantot tiešsaistes pakalpojumu, vienmēr var pieprasīt šādu personas datu dzēšanu (neatkarīgi no viņu pašreizējā vecuma).
Ja personas dati, kuri ir jādzēš, iepriekš ir nosūtīti citām organizācijām, jums ir jāinformē šie saņēmēji, ka datu subjekts ir pieprasījis dzēšanu, ja vien tas ir iespējams vai neprasa nesamērīgas pūles.
Ja jūsu organizācijai ir jādzēš publiskoti personas dati, tai ir jāveic visi pasākumi, lai informētu citus pārziņus, kas apstrādā šos datus, ka datu subjekts ir pieprasījis dzēst visas atsauces uz šiem personas datiem, to kopijas vai dublikātus.
Jūsu organizācija var atteikties dzēst personas datus tikai noteiktos gadījumos, piemēram:
- izmantojot tiesības uz vārda un informācijas brīvību;
- juridisku prasību izvirzīšanai, īstenošanai vai aizstāvībai;
- organizācijas juridiskā pienākuma izpildei vai uzdevuma izpildei sabiedrības interesēs, vai organizācijai uzticēto oficiālo pilnvaru īstenošanai;
- sabiedrības interesēs veselības jomā;
- arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos (ar īpašiem nosacījumiem).
Praksē
- Jūsu organizācija ir atlaidusi darbinieku. Viņš pieprasa, lai viņa dati tiktu dzēsti no personas lietas. Tomēr darba tiesībās ir norādīts, ka jums noteiktu laiku ir jāglabā vairāki personāla dokumenti (darbinieku reģistrs, algas izrakstu kopijas u. c.). Attiecībā uz šiem dokumentiem jums ir jānoraida pieprasījums dzēst datus.
- Bijušais klients vairs nevēlas saņemt mārketinga e-pastus no jūsu organizācijas un pieprasa dzēst kontaktinformāciju. Tā kā šajā gadījumā nav objektīva iemesla, lai turpinātu apstrādāt kontaktinformāciju, jums tā ir jādzēš.
Tiesības ierobežot datu apstrādi
Noteiktos gadījumos datu subjekti var pieprasīt ierobežot savu datu apstrādi. Tādējādi jūsu organizācija joprojām var saglabāt personas datus, bet tai ir jāpārtrauc citas apstrādes darbības.
Datu subjektam ir tiesības pieprasīt datu apstrādes ierobežošanu, ja:
- datu subjekts apstrīd personas datu precizitāti;
- apstrāde ir nelikumīga: tā vietā, lai dzēstu datus, datu subjekts var pieprasīt ierobežot personas datu izmantošanu;
- organizācijai vairs nav nepieciešami personas dati, bet tie joprojām ir nepieciešami, lai datu subjekts varētu celt prasību tiesā;
- datu subjekts ir izmantojis tiesības iebilst. Ierobežojums attiecas uz laiku, kas nepieciešams, lai pārbaudītu, vai organizācijas likumīgie iemesli ir svarīgāki par datu subjekta iemesliem.
Ja datu subjekts veiksmīgi izmanto savas tiesības uz apstrādes ierobežošanu, jūsu organizācija var izmantot datus tikai noteiktos gadījumos, piemēram, ar datu subjekta piekrišanu vai juridisku prasību aizstāvībai. Vai iepriekš esat nodevuši “ierobežotos” datus citiem saņēmējiem? Pēc tam jums jāinformē šie saņēmēji par apstrādes ierobežošanu, ja vien tas ir iespējams un neprasa nesamērīgas pūles.
Pirms ierobežojuma atcelšanas informējiet datu subjektu par savu nodomu to darīt.
Tiesības uz datu pārnesamību
Tiesības uz datu pārnesamību ļauj datu subjektiem iegūt savus personas datus strukturētā, plaši izmantotā un mašīnlasāmā formātā. Tādā veidā viņi var atkārtoti izmantot datus un, ja viņi to vēlas, pārsūtīt tos citam pārzinim. Tiesības uz datu pārnesamību var izmantot tikai tad, ja vienlaikus ir izpildīti šie trīs nosacījumi:
- apstrāde ir pamatota ar piekrišanu vai līguma izpildi;
- apstrāde ir automatizēta (t. i., nav papīra dokumentu);
- un datu subjekti paši ir snieguši datus. Tas ietver arī jebkādus datus, ko jūsu organizācija ir fiksējusi, pamatojoties uz datu subjekta uzvedību (piemēram, ar papildierīcēm).
Tāpēc šīs tiesības neattiecas uz datiem, ko organizācija pati rada, pamatojoties uz iepriekš minētajiem datiem.
Konkrētāk- datu subjektiem ir tiesības:
- iegūt savus personas datus strukturētā, plaši izmantotā un mašīnlasāmā formātā. Formātam jāļauj datu subjektam atkārtoti izmantot personas datus citam pakalpojumam.
Piemērs: XML, JSON un CSV ir formāti, kas atbilst šim kritērijam. Jāsniedz arī metadati, lai datus varētu izmantot citā platformā. PDF formāts nav pietiekams. - lai viņu personas dati tiktu nosūtīti citam pārzinim. Jūsu organizācijai tas jādara tikai tad, ja tas ir tehniski iespējams.
Praksē
- Jūsu organizācija tiešsaistē nodrošina mūzikas straumēšanas pakalpojumus. Jūsu klienti var pieprasīt savu dziesmu sarakstu pārsūtīšanu uz citu mūzikas straumēšanas platformu.
- Jūs esat MVU, kas piedāvā tīmekļa e-pasta pakalpojumu. Ja jūsu klients, kuram ir e-pasta konts tikai personīgām vai mājsaimniecības vajadzībām, to pieprasa, jums ir jāpārsūta viņa adrešu saraksts un viņa e-pasta vēstules uz citu tīmekļa pasta pakalpojumu, ja tas ir tehniski iespējams. Ja tas nav iespējams, jums ir jāsniedz klientam adrešu saraksts un e-pasta vēstules atkārtoti lietojamā digitālā formātā.
Tiesības iebilst
Datu subjekti var iebilst savu personas datu apstrādei, “pamatojoties uz viņu konkrēto situāciju”. Tiesības iebilst var izmantot tikai tad, ja apstrāde ir balstīta uz vienu no šiem tiesiskajiem pamatiem:
- organizācijas vai trešās personas likumīgās intereses; vai
- tāda uzdevuma izpilde, ko veic sabiedrības interesēs vai īstenojot oficiālas pilnvaras.
Citos gadījumos datu subjekts nevar izmantot tiesības iebilst, jo attiecībā uz citiem tiesiskajiem pamatiem pastāv alternatīvas tā paša mērķa sasniegšanai: piekrišanas gadījumā datu subjekts var vienkārši atsaukt piekrišanu. Datu subjekts nevar iebilst pret likumā noteikto apstrādi.
Ja datu subjekti izmanto savas tiesības iebilst, jūsu organizācijai ir jālīdzsvaro abu pušu intereses. Tā pārtrauc jebkādu šo personas datu apstrādi, ja vien tā nevar pierādīt pārliecinošus leģitīmus iemeslus, kas ir svarīgāki par datu subjekta tiesībām un brīvībām (piemēram, tā uzsāk tiesvedību). Jūsu organizācijai šie iemesli ir jādokumentē un jāpaziņo datu subjektam.
Svarīgi!
Ja dati tiek apstrādāti mārketinga nolūkos, datu subjektam ir tiesības iebilst pret šo apstrādi, nenorādot nekādus iemeslus. Šajā gadījumā iemesli, kāpēc jūsu organizācija apstrādā šos datus, nav būtiski, ir nekavējoties jāizbeidz apstrāde šim nolūkam
Praksē
- Jūs esat mazs pasākumu mārketinga uzņēmums. Kad persona pērk biļeti grupas koncertam tiešsaistē, tā saņem reklāmas par citiem līdzīgiem koncertiem. Ja persona vairs nevēlas reklāmas saņemt, organizācijai ir jāpārtrauc tiešais mārketings.
- Jūs esat MVU, kas darbojas apdrošināšanas nozarē. Šajā nozarē personas dati ir nepieciešami noteiktās situācijās, lai apkarotu nelikumīgi iegūtu līdzekļu legalizācijas praksi. Jūs kā apdrošināšanas brokeris varat atteikties veikt turpmākus pasākumus saistībā ar tiesībām iebilst, jo jūsu valsts tiesību akti par nelikumīgi iegūtu līdzekļu legalizācijas novēršanu uzliek jums pienākumu apstrādāt datus.
Lasīt vairāk
Tiesības, lai lēmums netiktu pieņemts, balstoties tikai uz automatizētu apstrādi
Personai ir tiesības netikt pakļautam pilnīgi automatizētam lēmumam (t. i., bez cilvēka iejaukšanās lēmumu pieņemšanas procesā), kas rada tiesiskas sekas vai būtiski ietekmē attiecīgo personu.
Automatizēta lēmumu pieņemšana bieži vien ir cieši saistīta ar profilēšanu, kas VDAR ir definēta kā “jebkāda veida automatizēta personas datu apstrāde, kas ietver personas datu izmantošanu, lai izvērtētu konkrētus ar fizisku personu saistītus personiskus aspektus, jo īpaši, lai analizētu vai prognozētu aspektus, kas saistīti ar minētās fiziskās personas sniegumu darbā, ekonomisko situāciju, veselību, personīgajām vēlmēm, interesēm, uzticamību, uzvedību, atrašanās vietu vai pārvietošanos” (VDAR 4. panta 4. punkts).
Lai šīs tiesības varētu piemērot, automatizētai apstrādei jāietver:
- lēmums, kura pamatā ir tikai automatizēta apstrāde bez cilvēka iejaukšanās. Tas nozīmē, ka nevienai fiziskai personai nav būtiskas kontroles pār lēmumu un tā nevar, piemēram, to mainīt vai atcelt;
- lēmums, kas rada tiesiskas sekas datu subjektiem vai kas tos būtiski ietekmē.
Praksē
- Juridisko seku piemērs varētu būt telefonijas līguma automātiska izbeigšana, jo klients nav samaksājis ikmēneša rēķinu.
- Lēmumu, kas būtiski ietekmē personu, var meklēt šādos piemēros (lai gan, protams, vienmēr jāņem vērā konteksts, novērtējot, vai ietekme uz datu subjektu ir būtiska):
- lēmumi, kas ietekmē cilvēku finansiālos apstākļus, piemēram, tiesības saņemt kredītu;
- pieteikuma iesniedzēju automātiska noraidīšana, kuri iesniedz pieteikumu, izmantojot tiešsaistes platformu;
- cenu diferencēšana, pamatojoties uz patērētāja pārlūkošanas vēsturi un pirkšanas paradumiem;
- lēmumi, kas ietekmē kādas personas piekļuvi izglītībai, piemēram, uzņemšana augstskolā.
- lēmumi, kas ietekmē cilvēku finansiālos apstākļus, piemēram, tiesības saņemt kredītu;
Ir trīs situācijas, kurās joprojām var pieņemt automatizētu individuālu lēmumu:
- ja to atļauj likums (piemēram, krāpšanas vai izvairīšanās no nodokļu maksāšanas novēršana);
- ja lēmuma pamatā ir datu subjekta nepārprotama piekrišana; vai
- ja tas ir nepieciešams līguma noslēgšanai vai izpildei. Tomēr jāapzinās, ka šajā situācijā katrs gadījums jāvērtē atsevišķi. Tiklīdz kļūst pieejamas mazāk privātumu aizskarošas metodes, automatizēts lēmums vairs netiek uzskatīts par “nepieciešamu”.
Ja ir iesaistīti sensitīvi dati, automatizēta lēmumu pieņemšana ir iespējama, tikai pamatojoties uz nepārprotamu piekrišanu vai būtiskām sabiedrības interesēm saskaņā ar Savienības vai valsts tiesību aktiem.
Datu subjektu tiesības attiecībā uz katru juridisko pamatu
