• Atvērt paplašināto meklēšanu
  • Aizvērt paplašināto meklēšanu
Pievienot parametrus
Dokumenta numurs
Pievienot parametrus
publicēts
pieņemts
stājies spēkā
Pievienot parametrus
Aizvērt paplašināto meklēšanu
RĪKI

Finanšu un kapitāla tirgus komisija
Finanšu un kapitāla tirgus komisija publicē normatīvos noteikumus, ieteikumus un lēmumus, kā arī informāciju par kredītiestādes noguldītājiem garantētās atlīdzības izmaksas veidu un kārtību, laiku un vietu.
TIESĪBU AKTI, KAS PAREDZ OFICIĀLO PUBLIKĀCIJU PERSONAS DATU APSTRĀDE

Publikācijas atsauce

ATSAUCĒ IETVERT:
Finanšu un kapitāla tirgus komisijas 2022. gada 24. maija ieteikumi Nr. 77 "Grozījumi "Ieteikumos noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas un sankciju riska pārvaldīšanas iekšējās kontroles sistēmas izveidei un klientu izpētei"". Publicēts oficiālajā izdevumā "Latvijas Vēstnesis", 27.05.2022., Nr. 102 https://www.vestnesis.lv/op/2022/102.8

Paraksts pārbaudīts

NĀKAMAIS

Valsts augu aizsardzības dienesta informācija

Par augu šķirņu iekļaušanu Latvijas augu šķirņu katalogā

Vēl šajā numurā

27.05.2022., Nr. 102

PAR DOKUMENTU

Izdevējs: Finanšu un kapitāla tirgus komisija

Veids: ieteikumi

Numurs: 77

Pieņemts: 24.05.2022.

OP numurs: 2022/102.8

2022/102.8
RĪKI

Finanšu un kapitāla tirgus komisijas ieteikumi: Šajā laidienā 1 Pēdējās nedēļas laikā 0 Visi

Finanšu un kapitāla tirgus komisijas ieteikumi Nr. 77

Rīgā 2022. gada 24. maijā

(Finanšu un kapitāla tirgus komisijas padomes
sēdes protokols Nr. 22 2. p.)

Grozījumi "Ieteikumos noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas un sankciju riska pārvaldīšanas iekšējās kontroles sistēmas izveidei un klientu izpētei"

Izdarīt Finanšu un kapitāla tirgus komisijas 2021. gada 21. decembra ieteikumos Nr. 169 "Ieteikumi noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas un sankciju riska pārvaldīšanas iekšējās kontroles sistēmas izveidei un klientu izpētei" (turpmāk – ieteikumi) šādus grozījumus:

1. Papildināt ieteikumu satura rādītāju aiz 6. nodaļas ar norādi par 7. nodaļu šādā redakcijā: "7. Fizisko personu datu apstrāde NILLTPFN un sankciju ievērošanas jomā".

2. Papildināt ieteikumus ar 3.7. punktu šādā redakcijā:

"3.7. septītā nodaļa "Fizisko personu datu apstrāde NILLTPFN un sankciju ievērošanas jomā" skaidro dažādus problēmjautājumus, kas radušies, praksē piemērojot Vispārīgās datu aizsardzības regulas un Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likuma prasības."

3. Papildināt ieteikumus ar 7. nodaļu šādā redakcijā:

"7. Fizisko personu datu apstrāde NILLTPFN un sankciju ievērošanas jomā63

7.1. Fizisko personu datu apstrādes pamatprincipi un tiesiskais pamats Likuma, Sankciju likuma un citu saistīto tiesību aktu un Datu regulas64 kontekstā

411. Atbilstoši Eiropas Savienības Pamattiesību hartas 8. panta 1. punktam un Līguma par Eiropas Savienības darbību 16. panta 1. punktam fizisko personu aizsardzība attiecībā uz personas datu apstrādi ir pamattiesības.

412. Datu regula ir ES normatīvais akts par fizisko personu datu apstrādi un aizsardzību, un tās 6. panta 1. punktā ir noteikti šādi vispārīgi tiesiskie pamati fizisko personu datu apstrādei: piekrišana, līguma noslēgšana un izpilde, juridisks pienākums, sabiedrības intereses, vitālo interešu aizsardzība, leģitīmo interešu ievērošana. Šie tiesiskie pamati attiecas arī uz NILLTPFN un sankciju ievērošanas vajadzībām nepieciešamo datu vākšanu un apstrādi.

413. Atbilstoši Likuma 2. pantā noteiktajam Likuma mērķis ir novērst NILLTPF, savukārt atbilstoši Sankciju likuma 2. panta pirmajā daļā noteiktajam šā likuma mērķis ir nodrošināt mieru, drošību un tiesiskumu atbilstoši Latvijas starptautiskajām saistībām un nacionālajām interesēm, ieviešot starptautiskās sankcijas.

414. Datu regulā ir noteikti šādi datu apstrādes pamatprincipi, kas jāievēro, apstrādājot fizisko personu datus: likumīgums, godprātība un pārredzamība, nolūka ierobežojums, datu minimizēšana, precizitāte, glabāšanas ierobežojums, integritāte un konfidencialitāte, pārskatatbildība.

415. Apstrādājot fizisko personu datus Likumā norādīto mērķu sasniegšanai, jāievēro uz risku balstīta pieeja un proporcionalitātes princips.

416. Iestādei savā darbībā jāpanāk līdzsvars starp nepieciešamajiem pasākumiem, lai īstenotu vispārējās klienta intereses un NILLTPFN mērķus, kā arī privātuma un citu personas pamattiesību ievērošanu. Atbilstība NILLTPFN prasībām jānodrošina, vienlaikus ievērojot Datu regulas noteikumus un citas datu aizsardzības prasības kopumā.

417. Kontekstā ar Likuma, Sankciju likuma un citu saistīto Latvijas Republikas un ES tiesību aktu ievērošanu šo tiesību aktu subjektu klientu (arī potenciālo klientu) personas datu apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams kāds no šādiem tiesiskajiem pamatiem:

417.1. juridiskais pienākums – Datu regulas 6. panta 1. punkta "c" apakšpunkts, kas ļauj apstrādāt personas datus, "lai izpildītu uz pārzini attiecināmu juridisku pienākumu" nodrošināt Likuma, Sankciju likuma un citu saistīto Latvijas Republikas un ES tiesību aktu prasību ievērošanu. Šis ir primārais datu apstrādes tiesiskais pamats, kas izriet no Likuma, Sankciju likuma un citiem saistītajiem Latvijas Republikas un ES tiesību aktiem, jo šo tiesību aktu subjektiem uzliek par pienākumu veikt noteiktu datu apstrādi, piemēram, veikt klienta izpēti vai padziļināto izpēti atbilstoši Likumam, un šāda pienākuma izpildē pārzinim nav piešķirta rīcības brīvība.

Tādējādi Datu regulas 6. panta 1. punkta "c" apakšpunkts neattiecas uz brīvprātīgām vienpusējām attiecībām un publiskām un privātām partnerībām, kurās datus apstrādā vairāk, nekā noteikts tiesību aktā.

Turklāt pašām juridiskajām saistībām jābūt pietiekami skaidrām attiecībā uz personas datu apstrādi, ko tās paredz. Līdz ar to Datu regulas 6. panta 1. punkta "c" apakšpunkts ir piemērojams, pamatojoties uz tiesību normām, kurās skaidri norādīts apstrādes veids un objekts, un pārzinim nav piešķirta nesamērīga rīcības brīvība attiecībā uz tā juridisko saistību ievērošanu.

Tiesību aktos dažkārt var būt noteikts tikai vispārējs mērķis, bet konkrētākas saistības ir noteiktas citā līmenī, piemēram, vai nu sekundārajos tiesību aktos, vai ar valsts iestādes saistošu lēmumu konkrētā gadījumā. Tas var radīt juridiskas saistības arī saskaņā ar Datu regulas 6. panta 1. punkta "c" apakšpunktu, ja apstrādes veids un objekts ir pienācīgi definēts un tiem piemērojams pienācīgs juridiskais pamats65;

417.2. sabiedrības intereses – Datu regulas 6. panta 1. punkta "e" apakšpunkts, kas ļauj apstrādāt personas datus, "lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras" atbilstoši Latvijas Republikas vai ES tiesību aktiem.

Šā tiesiskā pamata piemērošanai tāpat kā Datu regulas 6. panta 1. punkta "c" apakšpunkta piemērošanai apstrādes pamatu nosaka ar: a) ES tiesību aktiem; b) dalībvalsts tiesību aktiem, kas piemērojami pārzinim.

Datu regulas 6. panta 1. punkta "e" apakšpunkta piemērošanai tiesību aktā var būt ietverti konkrēti noteikumi, lai pielāgotu Datu regulas noteikumu piemērošanu, t.sk.: vispārēji nosacījumi, kas reglamentē pārziņa īstenotu apstrādes likumību; apstrādājamo datu veidi; attiecīgie datu subjekti; vienības, kurām personas dati var tikt izpausti, un mērķi, kādiem tie var tikt izpausti; apstrādes nolūka ierobežojumi; glabāšanas termiņi; apstrādes darbības un apstrādes procedūras, tostarp pasākumi, lai nodrošinātu likumīgu un godprātīgu apstrādi, piemēram, citās īpašās datu apstrādes situācijās, kas paredzētas Datu regulas IX nodaļā. ES vai dalībvalsts tiesību akti atbilst sabiedrības interešu mērķim un ir samērīgi ar izvirzīto leģitīmo mērķi.

Arī Datu regulas 45. apsvērumā skaidrots, ka, ja apstrādi veic saskaņā ar juridisku pienākumu, kas attiecināms uz pārzini, vai ja apstrāde ir nepieciešama, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot oficiālas pilnvaras, apstrādes pamatam vajadzētu būt noteiktam ES vai dalībvalsts tiesību aktos. Datu regulā katrai atsevišķai apstrādei nav prasīts konkrēts tiesību akts. Var pietikt ar tiesību aktu, uz ko balstās vairākas datu apstrādes darbības, pamatojoties uz juridisku pienākumu, kas pārzinim jāpilda, vai arī, ja apstrāde ir nepieciešama, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot oficiālas pilnvaras.

Tādējādi Datu regulas 6. panta 1. punkta "e" apakšpunktā atrodamas līdzības ar 6. panta 1. punkta "c" apakšpunktu, jo uzdevums sabiedrības interesēs bieži balstās uz tiesību aktu noteikumiem vai no tiem izriet. Tomēr Datu regulas 6. panta 1. punkta "c" apakšpunkta piemērošanas joma, salīdzinot ar Datu regulas 6. panta 1. punkta "e" apakšpunktu, ir stingri ierobežota. Līdz ar to galvenā atšķirība, piemērojot šos tiesiskos pamatus, ir tā, ka Datu regulas 6. panta 1. punkta "c" apakšpunkta piemērošanā pārzinim nav rīcības brīvības, jo personas datu apstrāde būs noteikta ar tiesību aktu.

Līdz ar to secināms, ka šis tiesiskais pamats ir piemērojams datu apstrādei, lai sasniegtu Likuma mērķus, kā tas noteikts Likuma 5.2 panta pirmajā daļā.

Šis tiesiskais pamats ir atbilstošs arī Sankciju likuma piemērošanai personas datu apstrādes kontekstā, jo šā likuma subjekts veic šajā likumā noteiktā uzdevuma vai deleģējuma izpildi. Līdz ar to var uzskatīt, ka personas datu apstrāde ir nepieciešama sabiedrības interešu aizsardzībai.

Ņemot vērā iepriekš minēto, praksē jānošķir situācijas, kad datu apstrāde tiek veikta, pamatojoties uz Datu regulas 6. panta 1. punkta "c" un "e" apakšpunktu. Šā panta 1. punkta "e" apakšpunkts piemērojams gadījumos, kad tiesību akts nenosaka ne datu apstrādes apjomu, ne veidu un neuzliek konkrētu juridisko pienākumu. Piemēram, šo tiesisko pamatu piemēro datu apstrādei, kas tiek veikta atbilstoši Likuma 44. pantam, kurš nosaka kredītiestāžu un finanšu iestāžu tiesības savstarpēji apmainīties ar informāciju (skatīt rokasgrāmatas 5.7. apakšnodaļu). Šo pamatu var piemērot arī situācijā, kad kredītiestāde novērtē savu klientu datus, izmantojot kredīta uzziņas datubāzi vai nelikumīgi iegūtu līdzekļu legalizēšanas un terorisma finansēšanas novēršanas vai krāpšanas datubāzi. Savukārt situācijās, kad pārzinim nav rīcības brīvības, jo jāizpilda juridiskais pienākums, datu apstrāde ir jāveic uz "c" apakšpunkta pamata;

417.3. leģitīmās intereses – Datu regulas 6. panta 1. punkta "f" apakšpunkts, kas ļauj veikt personas datu apstrādi "pārziņa vai trešo personu leģitīmo interešu ievērošanai", pamatojot katru gadījumu atsevišķi. Uz šo tiesisko pamatu var balstīties, piemēram, lai: celtu, īstenotu vai aizstāvētu likumīgas prasības; glabātu datus papildus termiņam, kas noteikts Likuma 37. panta otrajā daļā (skatīt rokasgrāmatas 461. punktu); apmainītos ar datiem sankciju ievērošanas vajadzībām.

Lai veiktu personas datu apstrādi uz šā tiesiskā pamata, pārzinim ir nepieciešams veikt novērtējumu, vai un kādas konkrētas pārziņa vai trešās personas leģitīmās intereses konkrētajā datu apstrādes gadījumā būs vērtējamas augstāk par datu subjekta pamattiesībām, pamatbrīvībām un interesēm. Līdzsvarojot intereses, pārziņi tiek aicināti izmantot 29. panta Datu aizsardzības darba grupas izstrādāto Atzinumu 06/2014 par personas datu apstrādātāja leģitīmo interešu jēdzienu saskaņā ar Direktīvas 95/46/EK 7. pantu66. Par datu subjektu tiesībām iebilst pret datu apstrādi, kas balstīta uz šo tiesisko pamatu, informācija sniegta rokasgrāmatas 7.5. apakšnodaļā.

Interešu balansēšanas novērtējums ir jāveic katrā individuālā gadījumā, ņemot vērā datu subjekta un pārziņa interešu līdzsvarošanu.

Lai nodrošinātu pārskatatbildības principu, izvērtējumu būtu ieteicams dokumentēt. Vienlaikus, ja pārziņa rīcībā ir izstrādāti iekšējie normatīvie akti vai vadlīnijas, kurās ir aprakstīta personas datu apstrādes nepieciešamība un kārtība, atsevišķs izvērtējums nav nepieciešams.

Interešu līdzsvarošana jāveic, sākotnēji definējot nolūku, kura sasniegšanai datu apstrāde nepieciešama (nolūkam jābūt likumīgam, skaidram un reālam), jāveic novērtējums, kādēļ noteiktā nolūka sasniegšanai nepieciešama personas datu apstrāde (piemēram, kādēļ šo nolūku nav iespējams sasniegt, izmantojot personas privātumu mazāk skarošus līdzekļus), jāveic sākotnējais līdzsvara novērtējums (apstrādātāja interešu veids (komercintereses, sabiedrības intereses, pamattiesības u.c.)), jānovērtē potenciālais kaitējums, ja apstrāde netiek veikta, datu subjekta statuss (piemēram, nepilngadīgais, pensionārs, nodarbinātais), datu apstrādes veids, datu subjekta tiesību aizskāruma lielums, datu subjekta pamatotās gaidas, ietekmes samērojums ar labumu, piemērotie papildu drošības pasākumi (datu minimizācija, ieviestie tehniskie un organizatoriskie pasākumi u.c.), pārredzamības nodrošināšana, citu datu subjekta tiesību nodrošināšana (t.sk. tas, vai un kā datu subjekts var iebilst pret savu personas datu apstrādi atbilstoši Datu regulas 21. pantam). Ja līdzsvarošanas novērtējums nav veikts vai, to veicot, minētie aspekti nav ņemti vērā, personas datu apstrāde neatbildīs Datu regulas prasībām.

Papildus saskaņā ar Datu regulas 21. panta 1. punktu pārzinim būtu jāparedz datu subjektam tiesības jebkurā laikā iebilst pret savu personas datu apstrādi, balstoties uz iemesliem, kas saistīti ar tā īpašo situāciju. Pārzinim būtu jānodrošina, ka iebildumu gadījumā personas dati vairs netiek apstrādāti, izņemot, ja pārzinis norāda uz pārliecinošiem leģitīmiem apstrādes iemesliem, kas ir svarīgāki par datu subjekta interesēm, tiesībām un brīvībām, vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības. Par datu subjektu tiesībām iebilst pret datu apstrādi, kas balstīta uz šo tiesisko pamatu, informācija sniegta rokasgrāmatas 7.5. apakšnodaļā;

417.4. piekrišana – Datu regulas 6. panta 1. punkta "a" apakšpunkts. Piemēram, klients sniedz piekrišanu dažādu bankas jaunumu saņemšanai. Datu pārziņa pienākums ir nodrošināt, ka klients sniedz piekrišanu saskaņā ar Datu regulas prasībām un pirms piekrišanas sniegšanas tam ir pieejama visa nepieciešamā informācija.

Klienta piekrišana nav nepieciešama klienta personas datu aktualizēšanai (labošanai), ja kredītiestāde iegūst datus no oficiālajiem reģistriem, kuriem ir publiskā ticamība, piemēram, no Iedzīvotāju reģistra. Ja pastāv iespēja, kredītiestāde var pārjautāt klientam, vai tās rīcībā esošā informācija ir precīza. Saskaņā ar Datu regulas 5. panta 1. punkta "d" apakšpunktu personas dati ir precīzi un, ja vajadzīgs, atjaunināti. Ir jāveic visi saprātīgie pasākumi, lai nodrošinātu, ka neprecīzi personas dati tiek atjaunināti, ņemot vērā Datu regulas 19. pantu, kas paredz, ka pārzinis katram saņēmējam, kuram personas dati ir izpausti, ziņo par jebkuru personas datu labojumu, dzēšanu vai apstrādes ierobežošanu, kas veikta saskaņā ar Datu regulas 16. pantu, 17. panta 1. punktu un 18. pantu, izņemot, ja izrādās, ka tas nav iespējams, vai ja tas ir saistīts ar nesamērīgi lielām pūlēm. Pārzinis informē datu subjektu par minētajiem saņēmējiem, ja datu subjekts to pieprasa.

7.2. Īpašu kategoriju personas datu apstrāde

418. Atbilstoši Datu regulas 9. panta 1. punktam ir aizliegta īpašu kategoriju personas datu apstrāde, proti, tādu personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās un ģenētiskos datus, biometrijas datus, lai veiktu fiziskas personas unikālu identifikāciju, veselības datus vai datus par fiziskas personas dzimumdzīvi vai seksuālo orientāciju. Tomēr šo punktu nepiemēro, ja ir piemērojams kāds no Datu regulas 9. panta 2. punktā norādītajiem izņēmumiem vai 9. panta 4. punkts, ja noteikta ES dalībvalsts ir paredzējusi citu kārtību attiecībā uz veselības, ģenētisko vai biometrijas datu apstrādi. Šie izņēmumi ir piemērojami papildus tiesiskajam pamatam, kas jānosaka atbilstoši Datu regulas 6. panta 1. punktam (skatīt rokasgrāmatas 7.1. apakšnodaļu). Piemēram, ja parasto personas datu apstrāde notiek sabiedrības interesēs (Datu regulas 6. panta 1. punkta "e" apakšpunkts), īpašu kategoriju personas datu apstrāde var notikt, pamatojoties uz Datu regulas 9. panta 2. punkta "g" apakšpunktā minēto papildu nosacījumu, ja šāda datu apstrāde izriet no ES vai tās dalībvalsts tiesību aktiem. Uzskatāms, ka Likumā un Sankciju likumā ietvertās sabiedrības intereses ir būtiskas.

419. Pirms datu apstrādes pārzinim jāpārbauda, vai konkrētajā gadījumā tiek veikta īpašu kategoriju personas datu apstrāde. Praksē šādu datu apstrāde var arī nenotikt, ja nav tiešā nolūka šos datus iegūt un apstrādāt. Piemēram, veicot naudas izcelsmes pārbaudi, pārzinis iegūst informāciju par to, ka nauda tiek pārskaitīta no valsts, kur prevalē viena reliģiskā pārliecība. Līdz ar to var rasties nepareizs priekšstats, ka tiek apstrādāti dati par fiziskās personas reliģisko pārliecību. Secinājums tiek izdarīts no informācijas par valsti, nevis tieši no tā, ka konkrētai personai ir X reliģiskā pārliecība. Līdz ar to informācija par valsti automātiski nevar būt uzskatāma par informāciju par konkrētas personas reliģisko pārliecību.

Tomēr, pārbaudot politiski nozīmīgas personas statusu, var netiešā veidā iegūt īpašu kategoriju personas datus – datus par šīs personas politiskajiem uzskatiem (saistībā ar piederību noteiktai politiskajai partijai) –, taču to apstrāde atkarīga no nolūka esamības un tā, vai ir atbilstošs tiesiskais pamats šos datus apstrādāt.

Biometrijas datu apstrāde

420. Attiecībā uz biometrijas datu apstrādi papildus jāņem vērā, ka atbilstoši Datu regulas 4. panta 14. punktam biometrijas dati ir "personas dati pēc specifiskas tehniskas apstrādes, kuri attiecas uz fiziskas personas fiziskajām, fizioloģiskajām vai uzvedības pazīmēm, kas ļauj veikt vai apstiprina minētās fiziskās personas unikālu identifikāciju, piemēram, sejas attēli vai daktiloskopijas dati".

421. Biometrijas datu kā īpašu kategoriju personas datu apstrāde ir iespējama, ja pastāv vismaz viens no Datu regulas 6. panta 1. punktā minētajiem tiesiskajiem pamatiem un papildus kāds no nosacījumiem, kas minēti Datu regulas 9. panta 2. vai 4. punktā.

Kā piemēru var minēt Ministru kabineta 03.07.2018. noteikumu Nr. 39267 9. punktu, kas nosaka, ka, neklātienes identifikācijas gadījumā izmantojot videoidentifikāciju vai personu apliecinošā dokumenta fotouzņēmuma un pašportreta elektroniskā fotouzņēmuma salīdzināšanu ar tehniskiem līdzekļiem, Likuma subjekts veic no personas iegūto personas biometrijas datu atpazīšanu un salīdzināšanu. Ņemot vērā, ka apstrādi nosaka normatīvais regulējums, biometrijas datu apstrādes tiesiskais pamats izriet no Datu regulas 6. panta 1. punkta "c" apakšpunkta un 9. panta 2. punkta "g" apakšpunkta. Likuma 22. panta otrās daļas 1. punkta "b" apakšpunkts paredz, ka Likuma subjekts veic klienta padziļinātu izpēti, tostarp, uzsākot un uzturot darījuma attiecības vai veicot gadījuma rakstura darījumu ar klientu, kas nav personīgi piedalījies identifikācijas procedūrā klātienē, izņemot gadījumu, kad tiek izpildīts šāds nosacījums: klienta identifikācija, izmantojot tehnoloģiskos risinājumus, kas ietver videoidentifikāciju vai drošu elektronisko parakstu, vai citus tehnoloģiskos risinājumus, tiek veikta Ministru kabineta noteiktajā apjomā un kārtībā. Likuma 22. panta trešā daļa paredz, ka atbilstoši šā panta otrās daļas 1. punkta "b" apakšpunktam Ministru kabinets nosaka klienta identifikācijas apjomu un kārtību, izmantojot tehnoloģiskos risinājumus, kas ietver videoidentifikāciju vai drošu elektronisko parakstu, vai citus tehnoloģiskos risinājumus. Attiecīgi Ministru kabineta 03.07.2018. noteikumi Nr. 392 paredz iespēju NILLTPF riska noteikšanai izmantot tādu tehnoloģisko risinājumu kā videoidentifikācija (7.2. apakšpunkts) vai personu apliecinoša dokumenta fotouzņēmuma un pašportreta elektroniska fotouzņēmuma salīdzināšana (7.4. apakšpunkts) u.c. Šo noteikumu 9. punkts paredz, ka Likuma subjekts šo noteikumu 7.2. un 7.4. apakšpunktā minētajā gadījumā, izmantojot noteiktus risinājumus (tostarp tehnoloģiskos), nodrošina to identifikācijas dokumenta drošības elementu pārbaudi, kurus iespējams un nepieciešams tehniski pārbaudīt attālināti, kā arī attālinātās identifikācijas laikā veic no personas iegūto personas biometrijas datu atpazīšanu un salīdzināšanu. Piemērojot šo noteikumu 7.2. vai 7.4. apakšpunktu, personu apliecinoša dokumenta ekrānuzņēmums uzskatāms par ekvivalentu personu apliecinoša dokumenta kopijai likuma izpratnē. Līdz ar to secināms, ka, ja Likuma subjekts veic neklātienes identifikāciju, tad šāds pienākums tam izriet no normatīvā regulējuma (Datu regulas 6. panta 1. punkta "c" apakšpunkts).

422. Atbilstoši Datu regulas 51. apsvērumā noteiktajam "fotogrāfiju apstrāde nebūtu sistemātiski jāuzskata par īpašu kategoriju personas datu apstrādi, jo uz tām biometrijas datu definīcija attiecas tikai tad, kad tās apstrādās ar konkrētiem tehniskiem līdzekļiem, kas ļauj veikt fiziskas personas unikālu identifikāciju vai autentifikāciju".

Piemērs

Biometrijas datu apstrāde ir gadījums, kad Likuma subjekts, lai izpildītu Likuma prasības klienta identifikācijai, apstrādā biometrijas datus ar tehniskajiem līdzekļiem, lai unikāli identificētu konkrēto klientu. Visbiežāk tas tiek darīts, izmantojot veidnes, ko izveido, izgūstot būtiskākās iezīmes no biometrijas izejas datiem, piemēram, sejas mērījumus no attēla (šādu veidni sauc par biometrisko matrici). Identifikācija konkrētajā gadījumā var nebūt personas vārda, uzvārda vai personas koda noteikšana, bet gan personas unikāla nošķiršana no citām personām un iespēja personu atpazīt atkārtotā saskarsmē.

Savukārt, ja informācijas apstrādes nolūks ir vienas datu kategorijas nodalīšana no citas, bet unikāla fiziskas personas identifikācija ar tehniskajiem līdzekļiem šajā procesā netiek veikta, piemēram, gadījumos, kad kredītiestādes darbinieks vizuāli salīdzina iesūtītu klienta pašportreta fotouzņēmumu ar iesūtīto personu apliecinošā dokumenta personas attēlu, tad to neuzskata par biometrijas datu apstrādi.

423. Nofilmēto materiālu, kurā redzams indivīds, pašu par sevi nevar uzskatīt par biometrijas datiem saskaņā ar Datu regulas 9. pantu, ja tas nav ticis īpaši tehniski apstrādāts, lai atvieglotu indivīda identificēšanu. Lai to uzskatītu par īpašas kategorijas personas datu apstrādi (Datu regulas 9. pants), biometrijas datiem jābūt apstrādātiem "nolūkā veikt fiziskas personas unikālu identifikāciju".

424. Eiropas Datu aizsardzības kolēģijas Pamatnostādņu 3/2019 par personas datu apstrādi, izmantojot videoierīces,68 5.1. nodaļas "Vispārēji apsvērumi biometrijas datu apstrādē" 76. punkts nosaka kritērijus, kas jāņem vērā attiecībā uz Datu regulas 4. panta 14. punkta un 9. panta piemērošanu:

424.1. Datu veids – dati, kas attiecas uz fiziskas personas fiziskajām, fizioloģiskajām vai uzvedības pazīmēm.

Piemērs

Personas fotoattēls tiek salīdzināts ar personas pašportreta fotouzņēmumu vai video attēlu reālajā laikā – tas viennozīmīgi attiecas uz personas fiziskajām pazīmēm (sejas punkti).

424.2. Apstrādes līdzekļi un veids – dati "pēc specifiskas tehniskas apstrādes".

Piemērs

Veicot neklātienes identifikāciju, personas fotogrāfija (personu apliecinoša dokumenta attēls un personas pašportreta fotouzņēmums vai personas sejas video attēls reālajā laikā) ar tehniskiem līdzekļiem tiek apstrādāta, lai iegūtu informāciju, ka dokumenta foto attēlotā persona ir tā pati persona, kas izmanto, piemēram, mobilo lietotni.

424.3. Apstrādes nolūks – datiem jābūt izmantotiem nolūkā veikt fiziskas personas unikālu identifikāciju.

Piemērs

Unikāla identifikācija būtu tādā gadījumā, ja pēc fotoattēlu iesniegšanas mobilajā lietotnē ar tehniskiem līdzekļiem būtu iespējams identificēt konkrētu fizisko personu, proti, ja pēc fotoattēla šī persona tiktu atpazīta kā, piemēram, Jānis Bērziņš.

425. Ja konstatēts, ka ar plānoto, jo īpaši jauno, tehnoloģiju tiks apstrādāti biometrijas dati, tad, ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus, saskaņā ar Datu regulas 35. panta 1. punktu jāvērtē nepieciešamība veikt novērtējumu par ietekmi uz datu aizsardzību, ja vien nav piemērojami šā panta 10. punktā minētie izņēmumi (skatīt rokasgrāmatas 7.4. apakšnodaļu).

426. Likums nosaka, ka Likuma subjektam ir jāveic klienta izpēte Likumā noteiktajos gadījumos. Piemēram, Likuma 11.1 panta pirmās daļas 5. punkts paredz, ka klienta izpētes pasākumi ir uz risku novērtējumu balstīts darbību kopums, kura ietvaros Likuma subjekts "nodrošina klienta izpētes gaitā iegūto dokumentu, personas datu un informācijas uzglabāšanu, regulāru izvērtēšanu un aktualizēšanu atbilstoši piemītošajiem riskiem, bet ne retāk kā reizi piecos gados". Līdz ar to secināms, ka arī biometrijas dati būtu jāuzglabā, ja tie ir iegūti klienta izpētes ietvaros.

Ministru kabineta 03.07.2018. noteikumu Nr. 392 14. punkts nosaka, ka, "ja atbilstoši šo noteikumu prasībām var piemērot šo noteikumu 7.4. apakšpunktā paredzēto neklātienes identifikācijas veidu, tad likuma subjekts nodrošina attēla auditācijas pierakstu ar nemaināmu laika zīmogu, neklātienē identificētās fiziskās personas vārdu un uzvārdu, kā arī interneta savienojuma IP adresi". Fizisko personu datu apstrādes likuma (turpmāk – FPDA likums) 37. panta otrā daļa nosaka: "Ja pārzinim ir noteikts pienākums nodrošināt sistēmas auditācijas pierakstu uzglabāšanu, tie ir uzglabājami ne ilgāk kā vienu gadu pēc ieraksta izdarīšanas, ja normatīvie akti vai apstrādes raksturs nenosaka citādi." Ņemot vērā, ka datu apstrādi nosaka Likums, datu glabāšanas termiņš jānosaka atbilstoši Likumam.

427. Sīkāka informācija par biometrijas datu apstrādi skaidrota arī šādos resursos:

https://www.dvi.gov.lv/lv/dviskaidro-biometrijas-datu-apstradi-mazumtirdznieciba;

https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_lv.pdf;

https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2012/wp193_lv.pdf.

7.3. Personas datu apstrāde par sodāmību un pārkāpumiem

428. Atbilstoši Datu regulas 10. pantam personas datu apstrāde par sodāmību un pārkāpumiem vai ar tiem saistītiem drošības pasākumiem jāveic, pamatojoties uz kādu no Datu regulas 6. panta 1. punktā noteiktajiem tiesiskajiem pamatiem (skatīt rokasgrāmatas 7.1. apakšnodaļu) un tikai oficiālās iestādes kontrolē vai tad, ja apstrādi atļauj ES vai tās dalībvalsts tiesību akti.

"Oficiālās iestādes kontrolē" nozīmē, ka apstrādi par sodāmību vai pārkāpumiem var veikt tikai tās iestādes, kurām šī apstrāde ir pamatota, piemēram, noteikta normatīvajā aktā, vai kompetentās iestādes, ja to veic krimināltiesību jomā. Oficiālās iestādes nevar personas datus darīt publiski pieejamus, neuzliekot personai, kura pieprasa piekļuvi, pienākumu pamatot šo datu iegūšanu ar konkrētām interesēm. Piemēram, lai iegūtu izziņu par personas sodāmību, personai vai uzņēmumam būtu jāvēršas ar pieprasījumu pie Iekšlietu ministrijas Informācijas centra kā Sodu reģistra turētāja un jāpamato savs pieprasījums.

Saskaņā ar Likuma 41. panta otrās daļas 4. punktu Likuma prasību izpildei kredītiestādēm jāiegūst dati no Sodu reģistra, jo tajā noteikts, ka kredītiestādēm un apdrošināšanas komersantiem, ciktāl tie veic dzīvības apdrošināšanas vai citas ar līdzekļu uzkrāšanu saistītas apdrošināšanas darbības, šajā likumā noteikto pienākumu izpildei ir tiesības pieprasīt un bez maksas saņemt, kā arī glabāt un citādi apstrādāt informāciju no Sodu reģistra – ziņas par klienta, tā patieso labuma guvēju un pārstāvju, kā arī par personas, kura izteikusi vēlmi uzsākt darījuma attiecības ar kredītiestādi vai apdrošināšanas komersantu, tās patieso labuma guvēju un pārstāvju sodāmību par noziedzīgiem nodarījumiem tautsaimniecībā, kas nav dzēsta vai noņemta, veicot klienta NILLTPF riska novērtējumu, kā arī gadījumos, kad tiek vērtēta nepieciešamība ziņot Finanšu izlūkošanas dienestam par aizdomīgu darījumu vai atturēties no aizdomīga darījuma veikšanas.

Ņemot vērā, ka Likumā ir noteikts skaidrs pamatojums datu par sodāmību un pārkāpumiem apstrādei, tad to var veikt.

Ja pārzinim nav pieejama informācija no oficiālās datubāzes par sodāmību vai nav pieejams tiesas spriedums, kas ir stājies spēkā, nevar būt runa par sodāmības datu apstrādi.

Vienlaikus jāuzsver, ka Eiropas Savienības Tiesa spriedumā C-439/19 ir norādījusi, ka pārkāpumu uzskaites punkti, kuri reģistrēti vadītājiem par ceļu satiksmes noteikumu pārkāpumiem, ir uzskatāmi par personas datiem par sodāmību un pārkāpumiem Datu regulas 10. panta izpratnē, norādot, ka tie veido personas datu apstrādi par "pārkāpumiem". Līdz ar to dati par sodāmību un pārkāpumiem attiecas gan uz krimināliem, gan noteiktos gadījumos uz administratīviem pārkāpumiem.

429. Ja tiesībaizsardzības iestādes pieprasa informāciju no kredītiestādes un informācijas pieprasījums satur, piemēram, ziņas par ierosināto krimināllietu vai administratīvo lietu vai piemērotiem drošības pasākumiem, šādi dati nebūtu jāuzskata par personas datiem par sodāmību un pārkāpumiem. Taču, ja tiesībaizsardzības iestādes pieprasa veikt noteiktas darbības, piemēram, bloķēt kontu, pieprasījumā esošie dati būtu jāuzskata par datiem, kas saistīti ar drošības pasākumiem. No tiesībaizsardzības iestādēm iegūtos datus var uzskatīt par tādiem, kas saņemti oficiālās iestādes kontrolē.

430. Gadījumos, kad tiek veikta klienta izpēte Likuma ietvaros, ir atļauts izmantot informācijas līdzekļos publiski pieejamo, tostarp negatīvo, informāciju, izvērtējot katrai atsevišķai situācijai atbilstošās informācijas aktualitāti un izvairoties no pārmērīgas datu apstrādes. Datu pārziņa pienākums ir izmantot autoritatīvus avotus un izvairīties no tādiem, kuri varētu sniegt maldinošu vai nepatiesu informāciju par indivīdu. Atkarībā no konkrētās situācijas jāņem vērā tik sena informācija, cik tā varētu būt noderīga atbilstoši faktiskajiem apstākļiem un saderīga ar datu apstrādes nolūku.

7.4. Datu regulā noteikto iekšējo procesu atbilstības nodrošināšana

431. Ievērojot normatīvo aktu juridisko hierarhiju starp Likumu un Datu regulu, kolīzijas situācijā augstāks spēks ir Datu regulai.

432. Saskaņā ar Datu regulas 24. panta 1. un 2. punktu, ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu un spētu uzskatāmi parādīt, ka apstrāde notiek saskaņā ar šo regulu. Ja nepieciešams, minētos pasākumus pārskata un atjaunina.

433. Atbilstoši Datu regulas 35. panta 1. punktam, ja datu apstrādes veids, jo īpaši, izmantojot jaunās tehnoloģijas, kā arī ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus, varētu radīt augstu risku fizisko personu tiesībām un brīvībām, pārzinim ir pienākums pirms apstrādes veikt novērtējumu, kā plānotās apstrādes darbības ietekmēs fiziskās personas datu aizsardzību, proti, novērtējumu par ietekmi uz datu aizsardzību (turpmāk – NIDA).

434. Datu valsts inspekcija ir sagatavojusi sarakstu "Apstrādes darbību veidi, attiecībā uz kuriem ir rekomendējams veikt datu aizsardzības ietekmes novērtējumu saskaņā ar Datu regulas 35. panta 4. punktu"69. Daži piemēri no šī saraksta, kad pārzinim jāveic NIDA:

- finanšu iestāde novērtē savu klientu datus, izmantojot kredīta uzziņas datubāzi vai nelikumīgi iegūtu līdzekļu legalizēšanas un terorisma finansēšanas novēršanas vai krāpšanas datubāzi (skatīt rokasgrāmatas 417.2. punktu);

- biometrijas datu (skatīt rokasgrāmatas 7.2. apakšnodaļu) apstrāde ar mērķi identificēt fizisku personu kopā ar vismaz vienu no kritērijiem;

- automātiska personas datu apstrāde plašā mērogā un datu apstrāde, kā pamatā ir profilēšana (skatīt rokasgrāmatas 7.7. apakšnodaļu).

435. Izņēmums ir noteikts Datu regulas 35. panta 10. punktā, kas paredz, ka, ja saskaņā ar Datu regulas 6. panta 1. punkta "c" un "e" apakšpunktu veiktās apstrādes tiesiskais pamats ir noteikts Latvijas Republikas vai ES tiesību aktos, kuri ir piemērojami pārzinim, un minētie tiesību akti reglamentē konkrēto apstrādes darbību vai minēto darbību kopumu, un NIDA jau ir veikts kā daļa no vispārējā ietekmes novērtējuma saistībā ar minētā tiesiskā pamata pieņemšanu, Datu regulas 35. panta 1.–7. punktu (attiecas uz to, kā un kad jāveic NIDA) nepiemēro.

Datu regulas 93. apsvērums paredz, ka, ja pieņem dalībvalsts tiesību aktus, kuri ir publiskas iestādes vai publiskas struktūras uzdevumu izpildes pamatā un ar kuriem regulē attiecīgo konkrēto apstrādes darbību vai apstrādes darbību kopumu, dalībvalstis var uzskatīt, ka pirms apstrādes darbībām ir nepieciešams veikt NIDA.

No minētā secināms, ka sākotnējais vispārējais ietekmes novērtējums ir jāveic likumdevējam normatīvā akta izstrādes procesā, savukārt pārziņiem būtu jāveic NIDA attiecībā uz normatīvajā aktā minēto personas datu apstrādi tikai tad, ja tas būtu atsevišķi noteikts normatīvajā aktā.

7.5. Datu subjektu tiesību īstenošana

436. Ikviens pārzinis savā darbībā ir atbildīgs par Datu regulā noteikto principu ievērošanu. Īpaši svarīgs ir pārredzamības princips, jo pārziņa pienākums ir nodrošināt datu subjektam pārskatāmu, saprotamu, vispusīgu informāciju par esošo vai plānoto personas datu apstrādi. Uzsākot personas datu apstrādi un nenodrošinot skaidras un saprotamas informācijas pieejamību datu subjektam, tiek apdraudēta datu subjekta tiesību realizēšana un Datu regulas noteikumu ievērošana.

437. Attiecībā uz informācijas sniegšanu 29. panta Datu aizsardzības darba grupa Pārredzamības pamatnostādnēs saskaņā ar Regulu 2016/67970 ir uzsvērusi, ka personas datu apstrādes nolūkiem un tiesiskajam pamatam ir jābūt skaidram, informācijai ir jābūt konkrētai un galīgai, bez abstrakcionisma, neviennozīmīga formulējuma vai plašām interpretācijas iespējām. Datu regulas 12. panta 1. punkts nosaka, ka pārzinis veic atbilstošus pasākumus, lai kodolīgā, pārredzamā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, datu subjektam sniegtu visu Datu regulas 13. un 14. pantā minēto informāciju un nodrošinātu visu Datu regulas 15.–22. pantā un 34. pantā minēto saziņu attiecībā uz apstrādi, jo īpaši attiecībā uz visu informāciju, kas konkrēti paredzēta bērnam. Informācija ir sniedzama un datu subjekta tiesības ir īstenojamas, ja vien nepastāv datu subjekta tiesību ierobežojumi (skatīt rokasgrāmatas 442.–449. punktu).

438. Pārzinis informāciju sniedz rakstiski vai citā veidā, tostarp vajadzības gadījumā elektroniskā formā, piemēram, savā tīmekļa vietnē. Pēc datu subjekta pieprasījuma informāciju var sniegt mutiski, tostarp vajadzības gadījumā identificējot datu subjektu pirms informācijas sniegšanas. Vispārīgas informācijas sniegšanai par datu apstrādi datu subjekta pilnā identifikācija nav nepieciešama, ja vien to neparedz tiesību akti vai pārziņa iekšējās kārtības noteikumi. Kredītiestādēm ir rekomendējams apmācīt darbiniekus, kas tieši komunicē ar klientiem, par datu apstrādes nolūkiem un to pamatojumu, lai darbinieki varētu paskaidrot datu apstrādes nepieciešamību.

439. Uzskatāms, ka pārzinis ir sniedzis nepieciešamo informāciju atbilstoši Datu regulas 12.–14. pantam, ja pārzinis iekļauj savā privātuma politikas dokumentā vai citā dokumentā (piemēram, līgumā ar klientu) vispārīgu informāciju par to, ka tiek veikta datu apstrāde NILLTPFN jomā, pamatojoties uz juridisko pienākumu vai sabiedrības interesēm. Par datu apstrādes nolūkiem, kas pamatoti ar citiem tiesiskajiem pamatiem (piemēram, pārziņa leģitīmajām interesēm), informācija jāsniedz atsevišķi, bet ir pieļaujams darīt to tajos pašos dokumentos.

440. Pārskatatbildības princips ir īpaši svarīgs tieši tādēļ, ka, nesniedzot datu subjektam pārskatāmu, saprotamu, vispusīgu informāciju par esošo vai plānoto personas datu apstrādi, datu subjekts nevar pienācīgi īstenot savas datu aizsardzības tiesības, ja vien tās nav ierobežotas.

441. Attiecībā uz informācijas sniegšanu 29. panta Datu aizsardzības darba grupa Pārredzamības pamatnostādnēs saskaņā ar Regulu 2016/67971 ir uzsvērusi, ka personas datu apstrādes nolūkiem un tiesiskajam pamatam ir jābūt skaidram, informācijai ir jābūt konkrētai un galīgai, bez abstrakcionisma, neviennozīmīga formulējuma vai plašām interpretācijas iespējām. Tādējādi pārziņa pienākums ir nodrošināt datu subjektu ar informāciju par datu apstrādes nolūku un tiesisko pamatu tādā veidā, lai datu subjektam būtu viennozīmīgi saprotams gan veiktās personas datu apstrādes nolūks, gan tiesiskais pamats. Katras apstrādes nolūki būtu nodalāmi, ievērojot Datu regulā noteiktos personas datu apstrādes principus, tostarp "nolūka ierobežojumu" un "datu minimizēšanas" principus.

442. Datu regulas 12. panta 2. punkts nosaka, ka pārzinis veicina datu subjekta tiesību īstenošanu saskaņā ar Datu regulas 15.–22. pantu.

443. Saskaņā ar Datu regulas 12. panta 3. punktu pārzinis bez nepamatotas kavēšanās un jebkurā gadījumā mēneša laikā pēc pieprasījuma saņemšanas datu subjektu informē par darbību, kas pēc pieprasījuma veikta saskaņā ar Datu regulas 15.–22. pantu. Vajadzības gadījumā minēto laikposmu var pagarināt vēl par diviem mēnešiem, ņemot vērā pieprasījumu sarežģītību un skaitu. Pārzinis informē datu subjektu par jebkuru šādu pagarinājumu un kavēšanās iemesliem mēneša laikā pēc pieprasījuma saņemšanas.

444. Pārzinis sniedz atbildi rakstiski, piemēram, nosūta datu subjektam elektroniskā formā (e-pasta ziņojumā vai kā ziņu internetbankā), izsniedz filiālē vai nosūta ar pasta komersanta starpniecību. Saskaņā ar Datu regulas 12. panta 3. punktu, ja datu subjekts pieprasījumu iesniedz elektroniskā formā, informāciju tam, ja iespējams, sniedz elektroniskā formā, izņemot, ja datu subjekts pieprasa citādi. Pēc datu subjekta pieprasījuma informāciju var sniegt mutiski – ar noteikumu, ka pirms informācijas sniegšanas datu subjekta identitāte ir pierādīta veidos, kādus paredz tiesību akti vai pārziņa iekšējās kārtības noteikumi.

445. Datu regulas 23. panta 1. punktā noteikts, ka saskaņā ar ES vai dalībvalsts tiesību aktiem, kas piemērojami datu pārzinim vai apstrādātājam, ar leģislatīvu pasākumu var ierobežot to pienākumu un tiesību darbības jomu, kas paredzētas 12.–22. pantā un 34. pantā, kā arī 5. pantā, ciktāl tā noteikumi atbilst 12.–22. pantā paredzētajām tiesībām un pienākumiem, ja ar šādu ierobežojumu tiek ievērota pamattiesību un pamatbrīvību būtība un tas demokrātiskā sabiedrībā ir nepieciešams un samērīgs, lai garantētu noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu vai saukšanu pie atbildības par tiem, vai kriminālsodu izpildi, tostarp aizsardzību pret sabiedriskās drošības apdraudējumiem un to novēršanu ("d" apakšpunkts), citus svarīgus ES vai dalībvalsts vispārējo sabiedrības interešu mērķus, jo īpaši ES vai dalībvalstij svarīgas ekonomiskās vai finanšu intereses, tostarp monetāros, budžeta un nodokļu jautājumus, sabiedrības veselību un sociālo nodrošinājumu ("e" apakšpunkts).

446. FPDA likuma 26. pantā paredzēts, ka, ievērojot Datu regulas 23. pantu, datu subjekta tiesības var ierobežot citos normatīvajos aktos paredzētos gadījumos. Savukārt saskaņā ar FPDA likuma 27. panta pirmo daļu datu subjektam nav tiesību saņemt Datu regulas 15. pantā norādīto informāciju, ja šo informāciju aizliegts izpaust saskaņā ar normatīvajiem aktiem, lai nodrošinātu sabiedrības finansiālās intereses nodokļu aizsardzības, noziedzīgi iegūtu līdzekļu legalizācijas un terorisma finansēšanas novēršanas jomā vai finanšu tirgus dalībnieku uzraudzību un to garantiju sistēmu darbību, noregulējuma piemērošanu un makroekonomisko analīzi.

447. Minētie datu subjekta tiesību ierobežojumi noteikti Likuma 5.2 panta otrajā daļā, kas paredz, ka Likuma subjekti, slēgtā vai atvērtā kopīgā klienta izpētes rīka pakalpojuma sniedzēji, uzraudzības un kontroles institūcijas, Finanšu izlūkošanas dienests, Uzņēmumu reģistrs un Likuma 41. pantā minēto reģistru pārziņi datu subjektam nesniedz informāciju par Likuma ietvaros veikto datu apstrādi NILLTPFN jomā, izņemot publiski pieejamos datus. Likuma 5.2 panta otrā daļa jāinterpretē kopsakarā ar Datu regulas 23. pantu un jāuzskata, ka Likumā minētais ierobežojums attiecas tikai uz datu subjekta piekļuves tiesībām.

Līdz ar to Likums ierobežo datu subjekta tiesības piekļūt personas datiem, kurus kredītiestāde par to apstrādā Likuma mērķu sasniegšanai. Ņemot vērā, ka pats ierobežojums satur izņēmumu – "izņemot publiski pieejamus datus" –, tas būtu jāsaprot tā, ka datu subjektam tomēr ir pieeja noteiktai daļai no personas datiem un attiecībā uz noteiktu personas datu kategoriju tam ir piekļuves tiesības. Publiski pieejami dati ir tādi personas dati, kas vienlīdz pieejami gan Likuma subjektam, gan datu subjektam. Piemēram, par publiski pieejamiem datiem var tikt uzskatīti paša datu subjekta Likuma subjektam sniegtie dati par sevi un informācija, kas ir bez maksas pieejama valsts publiski pieejamos reģistros (piemēram, Uzņēmumu reģistrā pieejamie dati, kas nav uzskatāmi par juridiskās personas datiem). Par publiski pieejamiem datiem nevar tikt uzskatīti personas dati, kas tiek iegūti klienta izpētes rezultātā, apkopojot informāciju gan no publiski pieejamiem, gan no publiski nepieejamiem avotiem. Datu subjekta piekļuves tiesības ir īstenojamas atbilstoši Datu regulas 15. pantā noteiktajam un būtu nodalāmas no dokumentu kopiju izsniegšanas.

Personas datu kopija nav tas pats, kas dokumenta kopija. Datu regulas 15. pantā noteikto datu subjekta tiesību mērķis ir datu subjekta kontroles pār personas datu izmantošanu noteikšana, līdz ar to datu subjektam ir tiesības zināt, kādus datus par to pārzinis apstrādā, bet tiesības nav attiecināmas uz visām to materiālu kopijām, kuras atrodas pārziņa rīcībā, kas, iespējams, satur komercnoslēpumu, trešo personu datus u.c. informāciju.

Datu regulā norādītie pārziņa pienākumi, proti, piekļuves attiecīgajiem personas datiem apstiprinājums un personas datu kopijas nodrošināšana, ir vienlīdz saistīti ar datu subjekta kontroli pār tā personas datiem, t.sk. iespēju labot kļūdas vai neprecizitātes datos, nevis datu subjekta tiesībām kontrolēt pārzini un tā rīcībā esošo informāciju.

Datu subjektu tiesību realizācija ir saistāma ar minēto tiesību iekļaušanas Datu regulā mērķi, proti, Datu regulas preambulas 7. apsvērumā ir minēts, ka fiziskai personai būtu jāspēj kontrolēt savus datus. Līdz ar to arī datu subjekta tiesību īstenošana attiecināma uz pasākumiem, ko datu subjekts veiktu savu datu apstrādes kontroles nodrošināšanai (1. vai konkrētā persona manus datus apstrādā; 2. vai attiecībā uz mani, pamatojoties uz datiem, tiek pieņemti kādi lēmumi; 3. vai dati, kas tiek apstrādāti, ir precīzi; 4. vai mani dati tiek nodoti kādam citam u.c.). Līdz ar to personas datu kopijas izsniegšanas jautājums nav saistīts ar dokumentu kopiju saņemšanu no pārziņa lietvedības sistēmas vai citas pārziņa sistēmas, jo personas datu kopija nav dokumentu kopija. Proti, ar datu kopiju saprotama informācija, kas atspoguļo pārziņa rīcībā esošos datu subjekta personas datus tādā formā un veidā, kādā tie tiek apstrādāti, piemēram, pārziņa rīcībā ir šādi personas dati: vārds, uzvārds (Jānis Bērziņš), dzimšanas vieta (Aizkraukle) u.tml.

Attiecībā uz citu datu subjekta tiesību piemērošanu būtu jāņem vērā tiesību uz piekļuvi datiem īstenošanas piemērošana un tiesiskais pamats katrai konkrētai personas datu apstrādei. Datu subjekta tiesību īstenošana ir jāizvērtē kopsakarā ar personas datu apstrādes tiesisko pamatu un Datu regulā noteiktajiem datu subjektu tiesību nodrošināšanas priekšnosacījumiem.

Vērtējot tiesības uz datu dzēšanu, jāņem vērā, ka tās nevar tikt izmantotas, ja iestājas Datu regulas 17. panta 3. punkta "b" apakšpunktā minētais nosacījums, atbilstoši kuram datu dzēšana nav iespējama, ja dati jāapstrādā atbilstoši ES vai dalībvalsts tiesību aktiem, piemēram, Likumam.

Tāpat vērtējams katras personas datu apstrādes tiesiskais pamats, lai novērtētu, vai var tikt izmantotas tiesības uz datu pārnesamību un tiesības iebilst pret savu datu apstrādi atbilstoši Datu regulas 20. un 21. pantam. Tiesības uz datu pārnesamību nevar tikt izmantotas, ja attiecībā uz klienta izpēti datu apstrādes tiesiskais pamats nav Datu regulas 6. panta 1. punkta "a" vai "b" apakšpunkts, bet gan Datu regulas 6. panta 1. punkta "c", "e" vai "f" apakšpunkts.

Tāpat tiesības iebilst nevar tikt attiecinātas uz datu apstrādi, kas tiek veikta uz likuma pamata (Datu regulas 6. panta 1. punkta "c" apakšpunkts). Tiesības iebilst varētu tikt izmantotas tikai attiecībā uz tādu datu apstrādi, kas veikta uz Datu regulas 6. panta 1. punkta "e" vai "f" apakšpunkta pamata, turklāt šādā gadījumā datu subjektam būtu jāpamato sava sevišķā situācija un apstākļi.

Tiesības labot personas datus var tikt piemērotas tiem personas datiem, kurus datu subjekts ir iesniedzis pats vai attiecībā uz kuriem datu subjekts ir sniedzis pamatotu informāciju par to neprecizitāti. Datu subjekta tiesības labot datus var īstenot, iesniedzot pieprasījumu Likuma subjektam, vai datu subjekts tos var labot pats, izmantojot Likuma subjektu radītos elektroniskos rīkus, piemēram, internetbankā katrs klients var mainīt savu saziņas adresi, tālruņa numuru, e-pastu, darbavietu u.tml. Saņemot precizētus datus no datu subjekta, pārzinim nav jāveic grozījumi vēsturiski veiktās klientu izpētes lietās, jo līdz labojumu iesniegšanai šie dati bija pareizi un aktuāli. Tiesības labot datus attiecas uz personas datu apstrādi nākotnē, sākot ar labojumu veikšanas dienu. Ja personas dati ir iegūti no cita pārziņa, datu subjektam sākotnēji ir jāvēršas pie pārziņa, kas ir atbildīgs par konkrēto datu precizitāti. Piemēram, attiecībā uz Uzņēmumu reģistra reģistros uzturētajiem datiem būtu jāvēršas Uzņēmumu reģistrā, savukārt par Fizisko personu reģistrā uzturētajiem datiem – Pilsonības un migrācijas lietu pārvaldē.

448. Ja tiesību ierobežojums nav noteikts tiesību aktā, datu subjektam jāspēj īstenot savas tiesības. Piemēram, Sankciju likumā datu subjekta tiesību ierobežojumi nav noteikti, līdz ar to datu subjekts var īstenot savas tiesības. Taču, ja datu apstrāde Sankciju likuma ietvaros tiek veikta kopsakarā ar Likumu, piemērojami datu subjekta tiesību ierobežojumi.

449. Gadījumos, kad datu subjekta tiesības nav ierobežotas un datu subjekts var īstenot tiesības uz datu dzēšanu (Datu regulas 17. pants), jāņem vērā, ka šīs tiesības var īstenot tikai pēc Likumā noteiktā datu glabāšanas termiņa beigām (skatīt rokasgrāmatas 7.8. apakšnodaļu), ja vien citi normatīvie akti nenosaka ilgāku glabāšanas termiņu vai nepastāv cits pamats datus glabāt ilgāk (piemēram, lai celtu, īstenotu vai aizstāvētu likumīgas prasības).

7.6. Fizisko personu datu apstrāde sadarbībā ar citiem Likuma subjektiem (nacionālā un starptautiskā līmenī)

450. Fizisko personu datu apmaiņa Likuma 44. panta kontekstā ir atļauta Likumā noteikto mērķu īstenošanai. Uzskatāms, ka šādas datu apmaiņas tiesiskais pamats ir sabiedrības intereses.

451. Atbilstoši Likuma 44. pantam datu apmaiņa ir atļauta vairākos nolūkos:

451.1. pēc korespondentbankas vai citas maksājuma izpildē iesaistītās maksājumu iestādes vai elektroniskās naudas iestādes pieprasījuma "kredītiestāde, maksājumu iestāde vai elektroniskās naudas iestāde sniedz tai savu klientu un to patieso labuma guvēju vai pilnvaroto personu identifikācijas un izpētes gaitā iegūto informāciju un dokumentus, kas attiecas uz darījumu, saistībā ar kuru maksājums tiek veikts" (44. panta pirmā daļa). Šo datu nodošana korespondentbankai ir pieļaujama uz Datu regulas 49. panta 1. punkta "b" apakšpunkta pamata (nosūtīšana ir nepieciešama, lai izpildītu līgumu starp pārzini un datu subjektu), ja korespondentbanka atrodas ārpus ES vai Eiropas Ekonomikas zonas un Eiropas Komisija attiecībā uz to nav pieņēmusi lēmumu par aizsardzības līmeņa pietiekamību un nav nodrošinātas atbilstošas garantijas datu nodošanai. Minētajā gadījumā kredītiestāde nenodotu informāciju, ja klients neiniciētu maksājumu. Taču svarīgi atcerēties par datu pārziņa pienākumu nodrošināt skaidras un saprotamas informācijas sniegšanu klientam pirms līguma noslēgšanas un pārskatatbildības principa ievērošanu (skatīt rokasgrāmatas 7.5. apakšnodaļu);

451.2. "kredītiestādēm un finanšu iestādēm šā likuma mērķu īstenošanai ir tiesības tieši vai ar šo iestāžu pilnvarotas institūcijas starpniecību savstarpēji apmainīties ar savu klientu un to patieso labuma guvēju vai pilnvaroto personu identifikācijas un izpētes gaitā iegūto informāciju un dokumentiem, kā arī ar informāciju par personām, ar kurām šajā likumā noteiktajā kārtībā nav uzsāktas vai ir izbeigtas darījuma attiecības" (44. panta otrā daļa);

451.3. "kredītiestādēm un finanšu iestādēm vai to pilnvarotām institūcijām, tai skaitā grupas ietvaros, šā likuma mērķu īstenošanai ir tiesības izveidot, uzturēt un elektroniski apstrādāt personas datus, izveidot un uzturēt personas datu apstrādes sistēmas par klientiem un personām, ar kurām šajā likumā noteiktajā kārtībā nav uzsāktas vai ir izbeigtas darījuma attiecības, šo personu patiesajiem labuma guvējiem un pilnvarotajām personām. Šādos gadījumos uz veikto personas datu apstrādi neattiecas datu subjekta tiesības pieprasīt informāciju par datu apstrādi, tai skaitā tās mērķiem, saņēmējiem, iegūšanas avotiem, tiesības piekļūt saviem datiem un pieprasīt to grozīšanu, iznīcināšanu, apstrādes pārtraukšanu vai aizliegšanu" (44. panta trešā daļa).

Kā piemēru par datu apmaiņu pārziņu grupas ietvaros ES robežās var minēt šādu situāciju: mātes uzņēmums kā pārzinis nodod datus meitas uzņēmumam kā citam pārzinim.

7.7. Automatizēta lēmuma pieņemšana

452. Saskaņā ar Datu regulas 22. panta 1. punktu datu subjektam ir tiesības nebūt tāda lēmuma subjektam, kura pamatā ir tikai automatizēta apstrāde, tostarp profilēšana, kas attiecībā uz datu subjektu rada tiesiskās sekas vai līdzīgā veidā ievērojami ietekmē datu subjektu.

Saskaņā ar Komisijas klientu izpētes noteikumu72 2. nodaļu un citiem punktiem kredītiestādei, licencētai maksājumu iestādei un licencētai elektroniskās naudas iestādei ir jānodrošina automatizēta riska novērtējuma aprēķināšana, kas, izmantojot uz riska izvērtējumu balstītu pieeju, atspoguļo ar klientu (datu subjektu) saistīto NILLTPF risku skaitliskā izteiksmē (scoring sistēma). Turklāt atkarībā no piemērojamā tehnoloģiskā risinājuma skaitliskais vērtējums var būt arī par pamatu automatizēta lēmuma pieņemšanai (minēto noteikumu 13. punkts). Izņēmuma gadījumos kredītiestāde, licencēta maksājumu iestāde un licencēta elektroniskās naudas iestāde var nepiemērot automatizētu riska skaitlisko novērtējumu. Tam jāatbilst iestādes riskam, un ir jāsaņem Komisijas rakstveida piekrišana. Šādos gadījumos kredītiestādei, licencētai maksājumu iestādei un licencētai elektroniskās naudas iestādei ir pienākums pierādīt, ka tā objektīvi nodrošinās klientam piemītošā riska izvērtējumu un noteiks klientam piemītošajam riskam atbilstošu veicamo klienta izpētes pasākumu apjomu.

453. Aprakstītajā gadījumā var tikt pieņemts lēmums, kura pamatā ir automatizēta apstrāde un kurš attiecībā uz datu subjektu rada tiesiskās sekas vai līdzīgā veidā ievērojami ietekmē datu subjektu (Datu regulas 22. panta 1. punkts), piemēram, datu subjektam var tikt atteikta norēķinu konta atvēršana vai attiecībā uz datu subjektu veikta padziļināta izpēte.

454. Ņemot vērā, ka skaitliskā novērtējuma mērķis ir izvērtēt konkrētus ar datu subjektu saistītus personiskus aspektus, kas varētu norādīt uz risku saistībā ar tā iespējamu iesaisti NILLTPF, šāda vērtēšana uzskatāma par profilēšanu (Datu regulas 4. panta 4. punkts).

455. Aprakstītajā gadījumā automatizētā lēmuma pieņemšana var ietvert profilēšanu. Ņemot vērā, ka šāda datu apstrāde tiek veikta uz Komisijas izdotā tiesību akta pamata, piemērojams Datu regulas 22. panta 2. punkta "b" apakšpunktā minētais izņēmums, atbilstoši kuram šāda datu apstrāde ir atļauta un uz to neattiecas datu subjekta tiesības nebūt šāda lēmuma subjektam.

7.8. Datu glabāšana

456. Saskaņā ar Datu regulas 5. panta 1. punkta "e" apakšpunktu personas dati tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk, kā tas nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā.

457. Personas datus var glabāt ilgāk, ja personas dati tiks apstrādāti tikai arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos saskaņā ar Datu regulas 89. panta 1. punktu, ar noteikumu, ka tiek īstenoti atbilstoši tehniskie un organizatoriskie pasākumi, kas Datu regulā paredzēti, lai aizsargātu datu subjekta tiesības un brīvības ("glabāšanas ierobežojums").

458. Personas dati uzskatāmi par dzēstiem tad, kad tos nav iespējams atjaunot vai kā citādi atgūt. Ja dati no sistēmas tiek dzēsti (piemēram, gadījumos, kad to turpmāka glabāšana sistēmā vairs nav nepieciešama vai atbilstoša Datu regulai), tad arī sistēmas apakšsistēmās vai citur dublētie dati ir jādzēš, ja vien šai atsevišķajai apstrādei nav cita (jauna) tiesiskā pamata Datu regulas izpratnē. Datu dzēšanas vietā ir pieļaujams veikt datu anonimizāciju, veicot to tādā veidā, ka šīs darbības rezultātā datu subjekts vairs nav identificēts vai identificējams.

459. Fizisko personu dati tiek dzēsti tad, kad to glabāšanas mērķis ir sasniegts, un neatkarīgi no tā, kādā formātā tie tiek glabāti.

460. Attiecībā uz klienta lietas glabāšanu, ņemot vērā, ka klienta lieta (klienta dokumenti, kuri tiek glabāti gan vienkopus, gan atsevišķi) var sastāvēt no dokumentiem ar dažādiem glabāšanas termiņiem, uzskatāms, ka iestāde ir tiesīga uzglabāt visu dokumentu kopumu, t.sk. līgumus, 10 gadus pēc visu darījuma attiecību izbeigšanas ar klientu (atbilstoši Civillikuma 1895. pantā noteiktajam vispārīgajam saistību tiesību noilguma termiņam, lai aizsargātu savas leģitīmās intereses prasības gadījumā).

461. Likuma 37. panta otrās daļas redakcijā, kas bija spēkā līdz 08.11.2017., bija noteikts pienākums Likuma subjektam vismaz piecus gadus pēc darījuma attiecību izbeigšanas glabāt klientu datus noteiktā apjomā. Savukārt ar 09.11.2017. spēkā stājušos likumu "Grozījumi Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma finansēšanas novēršanas likumā" (turpmāk – 09.11.2017. grozījumi) Likuma 37. panta otrā daļa izteikta jaunā redakcijā, nosakot, ka Likuma subjekts klienta datus noteiktā apjomā glabā piecus gadus pēc darījuma attiecību izbeigšanas vai gadījuma rakstura darījuma veikšanas. Vienlaikus ar 09.11.2017. grozījumiem Likuma 37. pants ir papildināts ar 2.1 daļu, kas paredz pienākumu Likuma subjektam iznīcināt tā rīcībā esošos dokumentus un informāciju par personu pēc šajā pantā noteiktā dokumentu un informācijas glabāšanas termiņa beigām. Līdz ar to uzskatāms, ka ar 09.11.2017. grozījumu stāšanos spēkā Likuma subjektiem ir zudis juridiskais pienākums glabāt klientu datus ilgāk par pieciem gadiem, ja vien nepastāv cits nolūks un tiesiskais pamats datu glabāšanai. Likuma subjektiem, kuri klientu datu glabāšanas termiņu bija noteikuši ilgāku par pieciem gadiem pēc darījuma attiecību izbeigšanas, ar 09.11.2017. grozījumu stāšanos spēkā bija pienākums pārskatīt šo datu glabāšanas termiņu, kā arī, pienākot glabāšanas termiņa beigām, iznīcināt to rīcībā esošos dokumentus un informāciju par klientu, kas radusies, izpildot Likumā noteiktās prasības, ja vien nepastāv cits nolūks un tiesiskais pamats datu glabāšanai. Turklāt jāņem vērā, ka ar Datu regulas spēkā stāšanos pārziņiem arī bija jāpārskata personas datu apstrādes procesi un jānosaka glabāšanas termiņi atbilstoši Datu regulas prasībām. Tāpat saskaņā ar Likuma 7. panta pirmās daļas 11. punktu, izveidojot IKS, Likuma subjekti paredz vismaz politiku un procedūru regulāras darbības pārskatīšanas prasības un kārtību atbilstoši grozījumiem normatīvajos aktos vai Likuma subjekta darbības procesos, sniegtajos pakalpojumos, pārvaldības struktūrā, klientu bāzē vai darbības reģionos.

462. Atbilstoši Likuma 37. panta otrajai daļai klienta izpētes lietā iegūtā informācija jāglabā piecus gadus pēc darījuma attiecību izbeigšanas. Pēc noteiktā termiņa beigām minētā informācija (dokumenti) ir jāiznīcina, ja vien Likuma subjekts nav saņēmis Likuma 37. panta trešajā daļā minēto norādījumu pagarināt glabāšanas termiņu vai nav iestājies kāds cits gadījums (skatīt rokasgrāmatas 463.–465. punktu).

Piemērs

Ja kredītiestāde izbeidz darījuma attiecības ar klientu, tomēr klienta saistības attiecībā uz izsniegto aizdevumu saglabājas, proti, ir spēkā aizdevuma līgums, tad kredītiestāde no aizdevuma līguma izrietošo saistību tiesību nodrošināšanai dokumentus glabās atbilstoši Civillikumā noteiktajam noilguma termiņam (10 gadi) vai aizdevuma piedziņas gadījumā līdz saistību pilnīgai dzēšanai vai atzīšanai par spēkā neesošām, savukārt klienta izpētes lieta tiks glabāta Likumā noteikto termiņu, proti, piecus gadus pēc darījuma attiecību izbeigšanas, ja nav saņemti norādījumi pagarināšanai vai nav cita pamata datu glabāšanai. Izņēmums ir dati, kas iegūti Likuma ietvaros un saistīti ar aizdevuma izsniegšanu, – tie būtu jāglabā, līdz izbeidzas darījuma attiecības, kas izriet no aizdevuma līguma, un papildus termiņu, kas noteikts Likuma 37. pantā, ja vien nav cita pamata datu glabāšanai.

Par darījuma attiecību izbeigšanas datumu būtu jāuzskata datums, kad visos klienta kontos ir nulles atlikums un kredītiestāde ir slēgusi klienta pēdējo kontu.

Pēc darījuma attiecību izbeigšanas un saistībā ar aizdevuma līgumu jauniegūtie dati NILLTPFN jomā būtu jāglabā atbilstoši Likuma 37. pantam, ja vien nav cita pamata datu glabāšanai.

463. Kredītiestādei var būt pārliecinošas leģitīmas intereses turpināt klienta izpētes dokumentu (materiālu) apstrādi (t.sk. glabāšanu) papildus piecus gadus gadījumos, kad nav saņemti Likuma 37. panta trešajā daļā minētie norādījumi. Turklāt tas nav pretrunā ar AML IV direktīvas73 40. panta nosacījumiem, taču kredītiestādei pirms glabāšanas termiņa pagarināšanas būtu jāveic rūpīgs uzglabāšanas nepieciešamības un samērīguma novērtējums (uz riska izvērtējumu balstīta pieeja).

Piemērs

"Zini savu klientu" ("know your customer") lietas glabāšanas termiņu varētu pagarināt augsta NILLTPF riska klientiem.

464. Ja pret kredītiestādi ir ierosināta izmeklēšana vai tiesvedība, ir pieļaujams datus glabāt tik ilgi, cik nepieciešams tieši šim nolūkam, tātad arī vairāk nekā piecus vai 10 gadus, kas paredzēti Likuma 37. pantā. Glabāšanas termiņa pamatojumam būtu jāveic rūpīgs novērtējums.

465. Datu, kas tiek apstrādāti tikai atbilstoši Sankciju likumam, glabāšanas termiņu pārzinis nosaka patstāvīgi, ievērojot Datu regulas 5. panta 1. punkta "e" apakšpunktā minēto glabāšanas ierobežojuma principu.

7.9. Darbinieku apmācība

466. Katra pārziņa pienākums ir regulāri (piemēram, reizi gadā) veikt darbinieku apmācību, ņemot vērā katra darbinieka amata pienākumus un darba specifiku. Pārziņa pienākums ir izvērtēt, vai attiecīgais darbinieks ikdienas darbā saskaras ar datu aizsardzības jautājumiem, apkalpo klientus un spēj ikvienam klientam sniegt attiecīgo informāciju skaidrā, saprotamā un vienkāršā valodā, tādā veidā realizējot pārskatatbildības principu. Tikai pats pārzinis spēj izanalizēt sava biznesa specifiku, iesaistīto darbinieku zināšanu līmeni un nepieciešamās prasmes, lai noteiktu, cik padziļināta apmācība vajadzīga. Vienotas un konkrētas prasības katram pārzinim nav iespējams definēt, tomēr praksē lietderīgas un vēlamas būtu pamata prasmes, tādas kā, piemēram, datu aizsardzības jēdzieni, personas datu kategorijas, lomu sadale personas datu apstrādē (pārzinis vai apstrādātājs), apstrādes pamatprincipi, tiesiskā pamata noteikšana, datu subjekta tiesības (īpaši darbiniekiem, kas tieši strādā ar klientiem), risku novērtēšana datu apstrādē, pārziņa atbildība, datu aizsardzības pārkāpumi, datu nodošana uz trešajām valstīm. Pārzinis var apsvērt iespēju grupēt darbiniekus atkarībā no veicamajiem darba pienākumiem un nodrošināt tādu mācību saturu, kas ir pielāgots konkrētai darbinieku grupai, piemēram, vienai grupai var nodrošināt padziļinātākas mācības nekā citai.

7.10. Datu nodošana ārpus ES vai Eiropas Ekonomikas zonas

467. Datu regulas 44. pantu paskaidro tās 101. apsvērums, kurā norādīts, ka gadījumos, kad personas dati no ES tiek nosūtīti pārziņiem, apstrādātājiem vai citiem saņēmējiem trešajās valstīs vai starptautiskām organizācijām, aizsardzības līmenim, ko šī regula nodrošina fiziskām personām ES, nebūtu jāsamazinās.

Vienlaikus, lai nodrošinātu Datu regulai atbilstošu personas datu apstrādi, būtisks ir pats datu nodošanas fakts. Ja apstrādē iesaistītā persona ir kāds no pārziņa iekšējiem saņēmējiem (piemēram, darbiniekiem), tad kontrole pār personas datiem netiek mainīta, jo iekšējais saņēmējs turpina personas datus apstrādāt pārziņa pilnvarojuma ietvaros.

Tādējādi, ja pārziņa iekšējais saņēmējs (piemēram, norīkots darbinieks) veic datu apstrādi trešajā valstī, tad nav konstatējams nodošanas elements (nenotiek informācijas apmaiņa starp pārzini un kādu citu juridiski atšķirīgu vienību). Citāds gadījums ir, ja pārziņa darbinieks veic funkcijas pārziņa nodibinājumā (piemēram, meitas uzņēmumā) trešajā valstī vai ja pārziņa darbinieka uzturēšanās trešajā valstī ir ar zināmas patstāvības iezīmēm. Šādā gadījumā informācijas apmaiņa starp pārzini un nodarbināto varētu tikt uzskatīta par personas datu nodošanu uz trešo valsti.

Atbilstoši Datu regulas 24. pantam, ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis īsteno atbilstošus tehniskos un organizatoriskos pasākumus, līdz ar to, ja ir paredzams, ka darbinieku pienākumos ietilps personas datu apstrāde trešajās valstīs, tad nepieciešams apsvērt un ieviest tādus pasākumus, kas mazinās vai pat novērsīs tos papildu riska faktorus, kas saistāmi ar personas datu apstrādi trešajās valstīs.

Darbinieka darba e-pasts, vārds, uzvārds, darba telefona numurs, darba devēja ierīču IP adreses saskaņā ar Datu regulas 14. apsvērumu ir uzskatāmas par juridiskas personas informāciju.

7.11. Datu valsts inspekcijas un Komisijas kompetence

468. Datu valsts inspekcijas kompetenci un uzdevumus nosaka Datu regulas 55., 57. un 58. pants un FPDA likuma 4. un 5. pants. Datu valsts inspekcijas kompetencē ir personas datu apstrādes vispārīga uzraudzība. Komisijas kompetencē ir Likumā un Sankciju likumā noteikto uzraudzības pasākumu īstenošana, un Komisija var konsultēt Datu valsts inspekciju par to, vai personas datu apstrāde izriet no NILLTPFN un sankciju jomas tiesību aktiem.

Datu valsts inspekcija un Komisija sadarbojas, tostarp nepieciešamības gadījumā apmainās ar viedokļiem un sniedz savstarpēju palīdzību, lai nodrošinātu konsekventu Datu regulas un citu normatīvo aktu piemērošanu un izpildi.

Iegūstot un citādi apstrādājot informāciju no Likuma subjektiem, Datu valsts inspekcija ievēro konfidencialitāti, kā arī FPDA likuma 14. panta pirmajā daļā noteikto, ka Datu valsts inspekcijā nodarbinātajiem ir aizliegts izpaust informāciju (izņemot publiski pieejamo informāciju), ko tie ieguvuši saistībā ar uzdevumu veikšanu inspekcijā.

7.12. Datu aizsardzības speciālists

469. Veicot datu apstrādi NILLTPFN un sankciju ievērošanas ietvaros, nepieciešamības gadījumā jākonsultējas ar iecelto datu aizsardzības speciālistu. Datu aizsardzības speciālista uzdevumi ir:

469.1. informēt un konsultēt Likuma subjektu un tā darbiniekus, kuri veic datu apstrādi, par viņu pienākumiem;

469.2. uzraudzīt, vai tiek ievērota Datu regula un citi tiesību akti (arī iekšējie normatīvie akti) par datu aizsardzību, tostarp nodrošināta pienākumu sadale, apstrādes darbībās iesaistīto darbinieku informēšana un apmācība un ar to saistītās revīzijas;

469.3. ievākt informāciju, lai identificētu apstrādes procesus, analizēt un pārbaudīt apstrādes procesu atbilstību Datu regulai, informēt, sniegt padomus un rekomendācijas kredītiestādei saistībā ar datu apstrādi;

469.4. pēc pieprasījuma sniegt padomus attiecībā uz novērtējumu par ietekmi uz datu aizsardzību un pārraudzīt tā īstenošanu;

469.5. sadarboties ar uzraudzības iestādi;

469.6. būt par uzraudzības iestādes kontaktpunktu jautājumos, kas saistīti ar apstrādi, t.sk. saistībā ar iepriekšējo apspriešanos u.c. jautājumiem;

469.7. konsultēt datu subjektus, kuri vērsušies pie datu aizsardzības speciālista.

Detalizētāka informācija par datu aizsardzības speciālista lomu un statusu sniegta Latvijas Finanšu nozares asociācijas "Ieteikumos Vispārīgās datu aizsardzības regulas piemērošanai"74."


63 Nodaļas saturs saskaņots ar Datu valsts inspekciju.

64 Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula).

65 Pieejams: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_lv.pdf.

66 Pieejams: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_lv.pdf.

67 Ministru kabineta 03.07.2018. noteikumi Nr. 392 "Kārtība, kādā Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma finansēšanas novēršanas likuma subjekts veic klienta neklātienes identifikāciju". Pieejami: https://likumi.lv/ta/id/300147-kartiba-kada-noziedzigi-iegutu-lidzeklu-legalizacijas-un-terorisma-finansesanas-noversanas-likuma-subjekts-veic-klienta-neklatienes-identifikaciju.

68 Pieejamas: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_lv.pdf.

69 Pieejams: https://www.dvi.gov.lv/lv/media/92/download.

70 Pieejamas: https://www.dvi.gov.lv/lv/media/72/download.

71 Pieejamas: https://www.dvi.gov.lv/lv/media/72/download.

72 Pieejami: https://likumi.lv/ta/id/320289-klientu-izpetes-klientu-padzilinatas-izpetes-un-riska-skaitliska-novertejuma-sistemas-izveides-un-informacijas-tehnologiju.

73 Eiropas Parlamenta un Padomes Direktīva (ES) 2015/849 (2015. gada 20. maijs) par to, lai nepieļautu finanšu sistēmas izmantošanu nelikumīgi iegūtu līdzekļu legalizēšanai vai teroristu finansēšanai, un ar ko groza Eiropas Parlamenta un Padomes Regulu (ES) Nr. 684/2012 un atceļ Eiropas Parlamenta un Padomes Direktīvu 2005/60/EK un Komisijas Direktīvu 2006/70/EK.

74 Pieejami: https://www.financelatvia.eu/wp-content/uploads/2021/02/Ieteikumi_datu_aizsardzibas_regula-1.pdf.

Finanšu un kapitāla tirgus komisijas priekšsēdētāja S. Purgaile

Izdruka no oficiālā izdevuma "Latvijas Vēstnesis" (www.vestnesis.lv)

ATSAUKSMĒM

ATSAUKSMĒM

Lūdzu ievadiet atsauksmes tekstu!