Kad vēlamais secinājums nav taisnīgākais rezultāts datu subjektam.

Regulā iekļautie labas prakses principi nav radušies vakar, bet mūs ikdienā pavada jau gadu desmitiem, kad kopš 2000.gada bija jāvadās pēc Fizisko personu datu aizsardzības likuma normām, līdz ar to nedaudz tomēr pārsteidz, ka tagad bija bērnu vārdi bērnu dārzos jāaizstāj ar kodiem uz zīmējumiem, vai tieši pretēji, otrs grāvis - apgalvojot, ka telefona nummurs nav atzīstams par personas datu, lai gan Regulas 26.apsvērums sniedz ieskatu, ka: “[..] Lai noteiktu, vai fiziska persona ir identificējama, būtu jāņem vērā visi līdzekļi, ko pārzinis vai kāda cita persona pamatoti varētu izmantot – piemēram, atsevišķa izdalīšana –, lai tieši vai netieši identificētu fizisku personu.[..]”, kas tomēr liek izdarīt secinājumus, ka izmantojot 21.gadsmita piešķirtās iespējas, arī telefona nummurs ir pietiekams identifikātors, lai būtu pamats runāt par personas datu apstrādi.

Nereti, tieši pavirši tulkojot Regulu, tiek izdarīti secinājumi, kas rada papildus birokrātiju un sabiedrības sašutumu par Regulas šķietami absurdajām prasībām, kur pie pēdējā laika “pērlēm” var izdalīt arī Valsts ieņēmuma dienesta 23.07.2018. uzziņu (turpmāk tekstā - Uzziņa), kur, cita starpā, ir tulkotas Regulas normas. Lai arī uzziņā ir iekļauta norāde, ka Datu valsts inspekcija pievienojas šim viedoklim, autoresprāt, gatavojot atbildi uz Uzziņas pieprasījumu, Valsts ieņēmumu dienests ir aizmirsis Regulā nostiprinātos labas prakses principus, tajā skaitā, tā saukto minimalizācijas principu.

Administratīvā procesa likuma 8.pantā ir nostiprināts, ka iestāde un tiesa, piemērojot tiesību normas, izmanto tiesību normu interpretācijas pamatmetodes (gramatisko, sistēmisko, vēsturisko un teleoloģisko metodi), lai sasniegtu taisnīgāko un lietderīgāko rezultātu. Šajā publikācijā autore plāno pieskarties tiesību normu piemērošanai, lai sasniegtu taisnīgāko un lietderīgāko rezultātu.

Lai ilustrētu, ka secinājumi (jeb vēlamais secinājums) pie kuriem ir nonācis Valsts ieņēmumu dienests Uzziņā nav tik viennozīmīgi vērtējami, autore sniedz savu vērtējumu par Iesniedzēja uzdoto problēmjautājumu (ievērojot apstākli, ka tai ir pieejama tikai Uzziņā atreferētā Iesniedzēja sniegtā informācija).

Kā izriet no Uzziņas, “...Iesniedzējs sniedz tulkošanas pakalpojumus, ka daži tā klienti prasa dzēst viņu datus no visiem serveriem, t.i., izmanto savas tiesības prasīt, lai pārzinis bez nepamatotas kavēšanās dzēstu datu subjekta personas datus, un Iesniedzēja pienākums ir bez nepamatotas kavēšanās dzēst datu subjekta personas datus, un Iesniedzēja pienākums ir bez nepamatotas kavēšanās dzēst šādus personas datus. Iesniedzējs norāda šādu piemēru: klients pasūta viņa dzimšanas apliecības tulkojumu angļu valodā ar notariālu apliecinājumu. Tā kā iesniedzējs izpilda pasūtījumu, tad klients samaksā par saņemto pakapojumu saskaņā ar izrakstīto rēķinu. Savukārt Iesniedzējs klienta pieprasa dzēst tulkojumu, kurā ir iekļauti viņa personas dati. Iesniedzējs norāda, ka Valsts ieņēmumu dienests, veicot pārbaudes, pieprasa kā pierādījumu dokumentus, kas apliecina, ka darījums tiešām ir noticis, t.i., ka pakalpojums par ko ir izrakstīts rēķins vai skaidras naudas norēķinu kvīts, tiešām ir sniegts. Turklāt Iesniedzējam saskaņā ar likumu “Par grāmatvedību” 2. un 10. pantu ir pienākums kārtot grāmatvedību tā, lai varētu konstatēt katra saimnieciskā darījuma sākumu un izsekot tā norisei, kā arī sistemātiski sakārtot un saglabāt uzņēmuma arhīvā uzņēmuma attaisnojuma dokumentus, grāmatvedības reģistrus, inventarizācijas sarakstus, gada pārskatus un grāmatvedības organizācijas dokumentus.”

 Ievērojot minēto, Iesniedzējs uzdod šādus jautājumus: 

1) Ja Iesniedzēja klients (fiziska vai juridiska persona) pieprasa dzēst visus šīs personas datus, t.i., izmanto savas Regulā paredzētās tiesības pieprasīt, lai pārzinis bez nepamatotas kavēšanās dzēstu datu subjekta personas datus, vai Iesniedzējam ir tiesības un pienākums bez nepamatotas kavēšanās dzēst šādus datus neatkarīgi no likuma “Par grāmatvedību” 2.un 10.pantā noteiktajam; ”

Par izdarītajiem secinājumiem.

Rezumējot visu, Valsts ieņēmumu dienests kā tiesisko pamatu datu apstrādei norāda sekojošo: “... Vispārīgās datu aizsardzības regulas 17.panta 3.punktā ir noteikts, ka šā panta 1. un 2.punktu nepiemēro, ciktāl apstrāde nepieciešama: [..] lai izpildītu juridisku pienākumu, kas prasa veikt apstrādi, kā paredzēts Savienības vai dalībvalsts tiesību aktos, kuri piemērojami pārzinim, vai lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai pārzinim likumīgi piešķirto oficiālo pilnvaru īstenošanu. 

Tālāk tiek sniegta atsauce uz “Savienības vai dalībvalsts tiesību aktiem”, no kā, it kā, izriet šis juridiskais pienākums, proti, [..] lai izpildītu juridisku pienākumu, kas noteikts likuma “Par grāmatvedību” 2.pantā un likuma “Par nodokļiem un nodevām” 15.panta pirmās daļas 4.punktā.” 

Iepazīstoties detalizēti ar šīm piesauktajām normām secināms, ka: “[..] 2. pants. Uzņēmuma pienākums ir kārtot grāmatvedību. Grāmatvedībā uzskatāmi atspoguļojami visi uzņēmuma saimnieciskie darījumi, kā arī katrs fakts vai notikums, kas rada pārmaiņas uzņēmuma mantas stāvoklī (turpmāk — saimnieciskie darījumi). Grāmatvedību kārto tā, lai grāmatvedības jautājumos kvalificēta trešā persona varētu gūt patiesu un skaidru priekšstatu par uzņēmuma finansiālo stāvokli bilances datumā, tā darbības rezultātiem, naudas plūsmu noteiktā laikposmā, kā arī konstatēt katra saimnieciskā darījuma sākumu un izsekot tā norisei.

Grāmatvedības sniegtajai informācijai jābūt patiesai, salīdzināmai, savlaicīgai, nozīmīgai, saprotamai un pilnīgai. Grāmatvedībai ir jānodrošina ieņēmumu un izdevumu norobežošana pa pārskata periodiem.

Par grāmatvedības kārtošanu un visu saimnieciskos darījumus apliecinošo dokumentu oriģinālu, kopiju vai datu attēlu saglabāšanu ir atbildīgs uzņēmuma vadītājs.”

Savukārt, likumā “Par nodokļiem un nodevām” 15.panta pirmās daļas 4.punktā ir noteikts sekojošais: “4) nodokļu aprēķinu pareizības pierādīšanai uzglabāt finansiālās un saimnieciskās darbības ieņēmumus un izdevumus apliecinošus attaisnojuma dokumentus un citus darbību apliecinošus dokumentus (tajā skaitā jebkādu elektronisku vai papīra dokumentu formā esošu informāciju, kas ietekmē nodokļu aprēķinu un nomaksu) līdz dienai, kad tie nepieciešami, lai izpildītu prasības par saimnieciskās un finansiālās darbības norises izsekojamību, bet ne mazāks kā piecus gadus. Izpildot šo pienākumu, nodokļu maksātājs ievēro citu personu tiesības uz privātās dzīves neaizskaramību un fizisko personu datu aizsardzību;”

Regulas 41. apsvērumā ir norādīts, ka: “Ja šajā regulā atsaucas uz juridisku pamatu vai leģislatīvu pasākumu, tas obligāti nenozīmē, ka vajadzīgs parlamenta pieņemts leģislatīvs akts, neskarot prasības, kas izriet no attiecīgās dalībvalsts konstitucionālās kārtības. Tomēr šādam juridiskam pamatam vai leģislatīvam pasākumam vajadzētu būt skaidram un precīzam un personām, uz kurām tas attiecas, vajadzētu spēt paredzēt tā piemērošanu saskaņā ar Eiropas Savienības Tiesas (“Tiesa”) un Eiropas Cilvēktiesību tiesas judikatūru.”

Arī Latvijas Republikas Augstākās tiesas Senāta Administratīvo lietu departaments savā spriedumā SKA- 83/2010 ir norādījis: “Latvijas Republikas Satversmes 1.pants noteic, ka Latvija ir neatkarīga, demokrātiska republika. Demokrātijas principa neatņemams elements ir tiesiskas valsts princips. Viena no svarīgākajām tiesiskas valsts principa prasībām ir prasība pēc tiesību normas noteiktības un skaidrības. Tiesību norma, kura ir formulēta neskaidri, nesaprotami, valodnieciski nepietiekami un nenoteikti, pazaudē savu mērķi. Tiesību normu sistēma, kuru normas adresāts nevar izprast, noved pie tiesiskas nedrošības. Tiesiskā drošība pieprasa drošu orientieri. Tiesiskā valstī par tādu kalpo skaidras, viennozīmīgas un noteiktas normu pavēles. Tādēļ skaidras un noteiktas tiesību normas ir tiesību pamats un būtiska tiesiskas valsts sastāvdaļa.” 

Autoresprāt, piesauktajās normās skaidra, viennozīmīga un noteikta normu pavēle attiecībā uz personas datu apstrādi ir saskatāma tikai prasībā uzglabāt “attaisnojuma dokumentus”, kuru satura atšifrējums ir atrodams likuma “Par grāmatvedību” 7.pantā. Bez tam, runājot par “juridiska pienākuma izpildi”, bez ievērības nevar atstāt Regulas 45.apsvērumā iekļauto, ka ”[..] tiesību aktā varētu precizēt vispārējos nosacījumus, kas paredzēti šajā regulā, kura reglamentē personas datu apstrādes likumīgumu, izstrādāt norādes, kā noteikt pārzini, apstrādājamo personas datu veidu, attiecīgos datu subjektus, vienības, kurām personas dati var tikt izpausti, apstrādes nolūka ierobežojumus, glabāšanas laikposmu”.

Ievērojot minēto, lai būtu saskatāms juridisks pienākums, kas izriet no normatīvajiem aktiem un tas būtu izmantojams, kā tiesiskais pamats personas datu apstrādei, attiecīgajam juridiskajam pienākumam būtu jāietver vismaz kādi personas datu apstrādes aspekti, kas attiecīgajā gadījumā nav (izņemot iepriekš pieminētā norāde par “attaisnojuma dokumenta” saturu). Ievērojot minēto Autoresprāt, Uzziņas sagatavotājs paplašinājis tiesisko pamatu personas datu apstrādei uz apstrādi uz kuru nav attiecināms juridisks pienākums. Uz personas datu apstrādi, kas ir papildus “pierādījumi” par darījuma norisi, kā tiesiskais pamats personas datu apstrādei ir Pārziņa leģitīmo interešu nodrošināšana, kas ir Regulas 6.panta 1. punkta f) apakšpunkts. Bez tam, arī pašā Uzziņa ir norādīts, ka “[..] veiktais tulkojums ir viens no iespējamiem pierādījumiem, ka darījums tiešām ir noticis. [..] Ja tas būtu juridisks pienākums, tad tiktu izslēgta pieļāvuma forma “viens no iespējamiem”, bet gan būtu skaidri noteikts pienākums. Arī Anglijas uzraudzības iestāde (Information commisioner office (ICO)) sniedzot skaidrojumu, kad izmantojams tiesiskais pamats personas datu apstrādei- juridisko pienākumu izpilde, ir norādījusi: “[..] Jūs nevarat paļauties uz šo tiesisko pamatu personas datu apstrādei, ja ir izvēles brīvība apstrādāt personas datus vai arī ir kāds cits saprātīgs veids kā nodrošināt atbilstību. No tiesību normām vajadzētu būt skaidram vai datu apstrāde ir tiešām nepieciešama, lai nodrošinātu atbilstību.”

Augstākminētie secinājumi būtu attiecināmi arī uz Valsts ieņēmuma dienesta norādi, ka datu subjekta tiesības nav realizējamas, ja tiek apstrādāti personas dati “[..] arhivēšanas nolūkos sabiedrības interesēs, [..]. Autoresprāt, protams, ja atbilstoši mērķim jeb nolūkam Pārzinis ir iekļāvis personas datus attiecīgajos dokumentos vai dokumentu kategorijās, tad nevar būt diskusijas par juridisko pienākumu izpildi nodrošināt noteiktu dokumentu glabāšanu, vienlaicīgi, Autoresprāt, primārais jautājums ir - vai personas datiem ir jābūt attiecīgajos dokumentos vai dokumentu kategorijās un kādā apjomā. Arī Regulas 156. apsvērums ieskicē: “Uz personas datu apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos būtu, ievērojot šo regulu, jāattiecina atbilstošas garantijas datu subjekta tiesībām un brīvībām. Ar minētajām garantijām būtu jānodrošina, ka pastāv tehniski un organizatoriski pasākumi, lai jo īpaši nodrošinātu datu minimizēšanas principu. Personas datu turpmākā apstrāde arhivēšanas nolūkos, sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos ir jāveic, kad pārzinis ir novērtējis iespējamību sasniegt minētos nolūkus, apstrādājot datus, kas neļauj vai vairs neļauj identificēt datu subjektus, ar noteikumu, ka pastāv atbilstošas garantijas (piemēram, datu pseidonimizācija)”. 

Ievērojot augstākminēto rodas retorisks jautājums, kontekstā ar sākotnējo situācijas aprakstu - kāpēc norāde attaisnojuma dokumentā, ka veikts tulkojums dzimšanas apliecībai Nr. xxx nav pietiekams darījuma apraksts?

Neprecīzi nosakot tiesisko pamatu personas datu apstrādei, VID kļūdaini ir piemērojis Vispārīgās datu aizsardzības regulas 17.panta 3.punktā noteiktos izņēmumus uz visiem personas datu apstrādes etapiem.

Par piemērojamām tiesību normām.

[1] Regulas 2.panta 1.punkts nosaka, ka: “Šo regulu piemēro personas datu apstrādei, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem, un tādu personas datu apstrādei, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem.”

Protams, var būt situācijas, kad Regula neattiecas, jo netiek izpildīti Regulas 2.pantā 1.punktā noteiktie kritēriji, proti nav nedz automatizēta datu apstrāde, nedz dati ir apstrādāti kartotēkā vai, lai veidotu kartotēku, bet Autoresprāt, tādas situācijas būs retas, kad neizpildīsies iepriekš minētais.Arī Eiropas savienības tiesa lietā Nr. C-25/17 ir norādījusi, ka [..]Šajā ziņā nav nozīmes jautājumam par to, saskaņā ar kādu precīzu kritēriju un precīzi kādā formā katra [..] savāktie personas dati faktiski ir sakārtoti, ciktāl šis kopums ļauj viegli atrast datus par noteiktu kontaktēto personu[..].”

Ievērojot minēto, ja pārzinis saglabās datus, lai “pierādītu” darījuma esamību un it sevišķi, ja klients būs arī pats datu subjekts un pakalpojuma izpildes ietvaros tika apstrādāti konkrētā klienta - datu subjekta dati, tad visticamākais, organizācija būs izveidojusi sistēmu tādejādi, ka visa informācija, kas saistīta ar konkrēto pakalpojumu būs viegli pieejama. Bez tam, bez ievērības nevar atstāt arī apstākli, ka jau kartotēkas jēdziena skaidrojumā ir iekļauts, ka informācija var būt izkliedēti un nav prasība to glabāt viena sistēmā vai datu nesējā. Noteicošais ir atlase un pieejamība.

[2] Kā jau iepriekš secināts, Autoresprāt, attiecībā uz personas datu apstrādi, kas tiek veikta, lai pārzinis nodrošinātos ar pierādījumiem par darījuma esamību un norises apstākļiem, tiesiskais pamats personas datu apstrādei, visticamākais, būs Regulas 6.panta 1. punkta f) apakšpunkts: “[..] apstrāde ir vajadzīga pārziņa vai trešās personas leģitīmo interešu ievērošanai, izņemot, ja datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama personas datu aizsardzība, ir svarīgākas par šādām interesēm, jo īpaši, ja datu subjekts ir bērns.” Šajā gadījumā Pārzinim ir uzlikta augsta atbildības latiņa, nosakot nepieciešamo personas datu apjomu mērķa sasniegšanai un vai šis apjoms ir samērīgs ar datu subjekta, iespējamo, tiesību un pamatbrīvību aizskārumu. Vēsturiski, piemērojot jau Fizisko personu datu aizsardzības likuma 7.panta 6.punktu, kas ir analoģisks Regulas 6.panta 1. punkta f) apakšpunktam, pārziņi nepievērsa pienācīgu uzmanību korekta, tā sauktā, “līdzsvara testa” veikšanai, kā rezultātā, praksē bieži ieskicējas apstrādes, kur būtu saskatāma pārmērīga datu apstrāde. 

 Pieņemot un ieviešot Regulu tās virsmērķis bija atgriest datu subjektiem kontroli pār saviem personas datiem, kā arī nodrošināt apstrādē iesaistīto atbildīgu attieksmi pret personas datiem. Šī mērķa sasniegšanai Regulā ir iekļautas vairākas tiesības un pienākumi, kuriem būtu jānodrošina pārskatāma un kontrolēta personas datu plūsma.

Regulas 21.pants 1.punkts piešķir datus subjektam tiesības iebilst pret savu personas datu apstrādi, it sevišķi, ja datu apstrāde ir pamatota ar 6.panta 1.punkta e) vai f) apakšpunktu. Šajā gadījumā pārzinim ir jāspēj norādīt uz pārliecinošiem leģitīmiem apstrādes iemesliem, kas ir svarīgāki par datu subjekta tiesībām un brīvībām. Gadījumos, ja datu subjekts iebilst pret šo datu apstrādi (piemēram, apjoms, termiņš) un pārzinis nespēj pamatot šo savu pārliecinošo leģitīmo interesi, datu subjektam ir tiesības “tikt aizmirstam” atbilstoši Regulas 17.panta 1.punkta c) apakšpunktam. Protams, pārzinis var iespītēties un palikt pie savas pārliecības, bet tad tam, iespējams, nāksies rēķināties arī ar datu subjekta tiesībām prasīt ierobežot personas datu apstrādi, atbilstoši Regulas 18.panta 1.punkta d) apakšpunktam.

Uzziņā norādītajā situācijas aprakstā, tulkojot Regulu, lai sasniegtu taisnīgāko un lietderīgāko rezultātu, datu subjekts kā ieinteresētā persona attiecībā uz datu apstrādi, tās esamību vai neesamību, netika pieminēts. Regulas virsmērķis uzliek par pienākumu visos gadījumos, kad tiek vērtēta nepieciešamība veikt personas datu apstrādi, analīzes centrā tomēr ielikt datu subjektu, kā tas, kas tiks darīt var ietekmēt datu subjektu. Attiecīgajā situācijā kā piemērs tika minēta dzimšanas apliecība, bet tik pat labi tulkojamais dokuments varēja būt medicīniskā dokumentācija ar visām diagnozēm. Veicot risku analīzi datu subjekta tiesībām un pamatbrīvībām, kā viens no stūrakmeņiem, kas ir jāanalizē ir arī apstāklis, kā apstrādātie personas dati ietekmēs (vai var ietekmēt) datu subjektu, ja attiecīgo informāciju iegūs nepilnvarotas personas. 

21.gadsmitā, kad gan lieli, gan mazi uzņēmēji cenšas savu darbību digitalizēt, analīzes ietvaros bez ievērības nevar atstāt arī kiberdrošības risku, kad informācija mēdz “noplūst”, kas, savukārt, ja tiek sekots Uzziņā norādītajiem secinājumiem, Pārzinim rada papildus risku, jo tas ir spiests veidot datu bāzes, kur glabājas personas dati, lai gan faktiski tā ikdienas komercdarbībā attiecīgie personas dati nav nepieciešami. Tādejādi, Pārzinis no “vilka bēgot var ieskriet lācim ķepās”, proti, tam paaugstinās personas datu aizsardzības pārkāpuma risks un iespējamība, ka tam būs personas datu aizsardzības pārkāpums par ko ir jāziņo Datu valsts inspekcijai. Tāpat vienmēr ir jāatceras, ka ja būs noticis personas datu aizsardzības pārkāpums, tad ļoti iespējams, ka uzņēmumam būs jātērē arī savi resursi (gan finanšu, gan laika), lai palīdzētu datu subjektam minimalizēt risku viņa tiesībām un pamatbrīvībām.

[3] Iesniedzējs, uzdodot jautājumu, cita starpā precizēja, ka klients var būt arī juridiska persona, kas viennozīmīgi izslēdz apstākli, ka klients ir pats datu subjekts, jo datu subjekts var būt tikai fiziska persona. No šī precizējuma ieskicējās vismaz trīs scenāriji, kas Uzziņā nav izdalīti, bet Autoresprāt ir būtiski:

* klients fiziska persona - pats datu subjekts;

* klients fiziska persona - Pārzinis pār personas datiem (piemēram, iesniedz pilnvaru tulkošanai), kā rezultātā, Iesniedzējs, visticamākais, ir atzīstams par personas datu apstrādātāju;

* Klients juridiska personas - Pārzinis, kur Iesniedzējs ir atzīstams par personas datu apstrādātāju.

 Uzziņā pamatā tika analizēts apstāklis, ja klients ir datu subjekts, otro un trešo scenāriju vispār neapskatot, kur starp klientu un Iesniedzēju ir saskatāmas pārziņa - apstrādātāja attiecības. Iepazīstoties ar Regulas 28.panta nosacījumiem, secināms, ka jau Regulā ir noteikts standarts kā pārzinim un apstrādātājam ir savstarpēji jādarbojas. Kā būtiskākais nosacījums Uzziņas kontekstā ir 28.panta trešā punkta h) apakšpunktā nostiprinātais pienākums apstrādātajam pēc apstrādes pakalpojuma sniegšanas pabeigšanas pēc pārziņa izvēles dzēst vai atdot visus personas datus un dzēst esošās kopijas, ja vien Savienības vai dalībvalsts tiesību aktos nav paredzēta personas datu glabāšana. Kā jau Autore secināja iepriekš, vispārējos gadījumos, sniedzot tulkošanas pakalpojumus, attiecībā uz personas datu apstrādi (kas apstrādāti pakalpojuma sniegšanas laikā) Savienības vai dalībvalsts tiesību aktos nav paredzēta personas datu glabāšana.

Rezumējot visu iepriekš teikto, Autoresprāt sekojot Uzziņā minētajām atziņām par “juridisku pienākumu” glabāt personas datus, tiek radīti apstākļi, kas ir pretrunā Vispārīgās datu aizsardzības regulas Nr.2016/679 garam.