Domāju, ka ikvienam ir nācies “piekrist” savu personas datu apstrādei un ikviens ir bijis situācijā, kad īsti negribas, bet nu situācija ir tāda, ka “neiešu jau nu es kasīties…”. Tas protams, ja mēs pamanam, ka “piekrišana” tiek prasīta… par ko varētu būt vēl atsevišķs stāsts.
Bet ko darīt situācijā, kad konfliktē zināšanas par datu aizsardzības un drošības jautājumiem (tas ar ko tiek pelnīta nauda) ar situāciju, kad kā datu subjektam ir nepieciešams tikai uzlikt parakstu uz papīra, kas pat smuki nosaukts - “PIEKRIŠANA PERSONAS DATU APSTRĀDEI”? Parakstīt un ciest klusu, zinot, ka tam papīram juridiski ir nulles vērtība un ja vajadzēs, tad strīdus situācijā uzvara ir "garantēta”, vai tomēr skaļi pateikt, ka tas, formāli - konkurents, ir sataisījis tādu brāķi, ka organizācijai ne tikai ir maldīga sajūta, ka tai ar datu aizsardzību viss ir kārtība, bet tā faktiski ir sagatavojusi rakstveida dokumentu, kas “pierāda”, ka tā plāno pārkāpt Regulu… Un kam teikt? Organizācijai, kas Tev tikko ir pabāzusi šo juridisko brāķi un kur iebilstot saglabājas risks, ka kāds uz Tevi “apvainojas” un nenotiek tālāk kādi procesi tā kā tiem būtu jānotiek… nu labi, varbūt notiek, bet, iespējams, savstarpējā sadarbība kļūst daudz smagnējāka. Tāpat - nevar taču iet un visus kritizēt, uzdodoties par vienīgo gaismas bruņinieku ar vienīgo pareizo patiesību...
Kāds varbūt teiks - nepatīk šī organizācija, var iet pie citas! Tad uz šo jāatbild, ka mēs nonākam pie problēmjautājuma sāls - organizācija ir publiska institūcija uz kuru ir jāiet, ja vēlas, lai attiecīgie procesi notiek….
Tā kā ciest klusu īsti nemāku ;), bet attiecīgajā situācijā krusta karu sākt arī nevēlos, izlēmu, ka jāpastāsta kāpēc šādai “Piekrišanai personas datu apstrādei”, manuprāt, ir nulles vērtība un, ja kādā organizācijā (it sevišķi publiskajā sektorā) darbiniekiem, klientiem, apmeklētājiem, sadarbības partneriem utt. liek parakstīt “piekrišanu personas datu apstrādei”, kas sākas ar piekrišanu personas datu apstrādei saņemot attiecīgo pakalpojumu un beidzas ar piekrišanu videonovērošanai vai foto un video materiālu izmantošanu ESF fonda finansētā projektā xxxx, kur Tu pat neesi projekta dalībnieks un Tev nav ne jausmas, kas tas par projektu, tad tā, visticamākais, ir viena no pazīmēm, ka attiecīgā organizācija ar personas datu aizsardzību un drošību ir uz Jūs!
Vispārīgā datu aizsardzības regulā ir nostiprināts, ka Datu subjekta “piekrišana" ir jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei
Savukārt, apsvērumos ir uzsverts, ka Piekrišana būtu jādod ar skaidri apstiprinošu darbību, kas nozīmē brīvi sniegtu, konkrētu, apzinātu un viennozīmīgu norādi par datu subjekta piekrišanu ar viņu saistīto personas datu apstrādei, piemēram, ar rakstisku, tostarp elektronisku, vai mutisku paziņojumu. Tas varētu ietvert laukuma atzīmēšanu ar ķeksīti interneta tīmekļa vietnē, informācijas sabiedrības pakalpojumu tehnisko iestatījumu izvēli vai citu paziņojumu vai rīcību, kas šajā gadījumā skaidri norāda, ka datu subjekts piekrīt piedāvātajai savu personas datu apstrādei. Klusēšana, iepriekš atzīmēti laukumi vai atturēšanās no darbības tādējādi nebūtu jāuzskata par piekrišanu. Piekrišanai būtu jāattiecas uz visām apstrādes darbībām, ko veic vienā un tajā pašā nolūkā vai nolūkos. Ja apstrādei ir vairāki nolūki, piekrišana būtu jādod visiem nolūkiem. Ja datu subjekta piekrišana ir jādod pēc elektroniska pieprasījuma, pieprasījumam jābūt skaidram, kodolīgam, un tam nav nevajadzīgi jāpārtrauc tā pakalpojuma izmantošana, par ko tas tiek sniegts.
Šķiet, ka visizteiksmīgākais ir augstākminētajā situācijā ir Regulas 43.apsvērums: Lai nodrošinātu, ka piekrišana ir sniegta brīvi piekrišanai nevajadzētu kalpot par derīgu juridisko pamatu personas datu apstrādei konkrētā gadījumā, kad datu subjekta un pārziņa attiecībās pastāv skaidra nevienlīdzība, jo īpaši, ja pārzinis ir publiska iestāde un tāpēc ir maz ticams, ka piekrišana visos minētās konkrētās situācijas apstākļos bija sniegta brīvi. Uzskata, ka piekrišana nav sniegta brīvi, ja tā neparedz atsevišķu piekrišanu dažādām personas datu apstrādes darbībām, neraugoties uz to, ka tas ir atbilstīgi konkrētajā gadījumā, vai ja tiek noteikts, ka no šīs piekrišanas ir atkarīga līguma izpilde, tostarp pakalpojuma sniegšana, neraugoties uz to, ka minētā piekrišana nav noteikti nepieciešama šādai izpildei.
Papildus tam, 29.panta datu aizsardzības grupa (Eiropas datu aizsardzības kolēģija, kuras sastāvā ir arī Datu valsts inspekcijas pārstāvji) savā pārskatītajā atzinumā par piekrišanu ir norādījusi: [..]lūdzot piekrišanu, pārzinim ir pienākums izvērtēt, vai tas izpildīs visas spēkā esošās piekrišanas saņemšanai piemērojamās prasības. Pilnībā ievērojot Regulu saņemtā piekrišana ir rīks, ar ko datu subjektam tiek nodrošināta kontrole attiecībā uz to, vai tā personas dati tiks vai netiks apstrādāti. Pretējā gadījumā datu subjektam nav faktiskas kontroles un piekrišana nav uzskatāma par derīgu apstrādes pamatu, tādējādi apstrādes darbības kļūst nelikumīgas.
Ak jā, par datu subjekta kontroles iespējām - Regulas 7.pants cita starpā nosaka, ka organizācijai, kas prasa piekrišanu personas datu apstrādei ir jānodrošina ne tikai, ka tā tiek sniegta brīvi, nepiespiesti, tā ir konkrēta un apzināta (informēta), bet ir jānodrošina arī, lai šo piekrišanu var atsaukt un atsaukums ir beznosacījuma. Ok, ir viens nosacījums - ka apstrāde, kas bija pirms tam (un, ja piekrišanas iegūšanas process bija likumīgs) ir likumīga un uz atpakaļ piekrišanas atsaukums “nedarbojas”, bet citi priekšnoteikumi un nosacījumi nedrīkst būt. Ja ir, tad tā jau vairs nav piekrišana un jāsāk vērtēt vai ir kāds cits tiesisks pamats personas datu apstrādei un vai šis personas datu apstrādes process vispār ir tiesisks.
… man, ja vēlos atsaukt piekrišanu personas datu apstrādei, esot jāraksta rakstveida pamatots iesniegums, kura pamatotību izvērtēšot iestādes vadītājs…Interesanti zināt vai iesniegums "negribu un viss!" būs pietiekami pamatots?
Arī viens no pasaules lielajiem brendotajiem auditoriem tā uzskatīja (tas pats, kas, cita starpā palīdzēja organizācijām būt GDPR ready), attiecībā uz saviem darbiniekiem un rezultātā šāda "dubults neplīst" pozīcija izmaksāja 150'000.00 EUR lielu sodu un pienākumu sakārtot iekšējos dokumentus tā, lai darbiniekiem netiktu melots, ka tā piekrišanai ir kaut kāda nozīme. Protams, ja jau par sodiem, tad īstenībā arī līdz šim lielākais GDPR sods Googlei 50 milj. eur apmērā no Francijas uzraudzības iestādes skāra piekrišanas jautājumu (organizatoriskais process tāds, ka beigās datu subjekts nesaprot kuri nosacījumi uz ko attiecas un kam tad tas īsti piekrīt/ nepiekrīt), tāpat, pavisam nesen te pat kaimiņos, Zviedrijā, tika piemērots aptuveni 20' 000,- EUR liels sods augstskolai, kas, izmantojot "piekrišanu", bija mēģinājusi legalizēt sejas atpazīšanas funkcijas izmantošanu videonovērošanā, lai šādā veidā uzskaitītu studentu lekciju apmeklējumu...
Mission complete? Mīts ir lauzts? Protams, nedomāju, ka rīt "piekrišanas" beigs savu uzvaras gājienu kā visbiežāk izmantotais tiesiskais pamats, lai "legalizētu" vienu vai otru datu apstrādi un, protams, nav tā, ka piekrišana nekad nav izmantojama, bet nu tie tomēr, manuprāt, ir atsevišķi gadījumi, iespējams, pat atsevišķi datu apstrādes etapi, nevis visā organizācijā kā pamatu pamats jeb galvenais datu apstrādes tiesiskais pamats...
***