Jaunā Eiropas Savienības personas datu aizsardzības regula teju ikvienā uzņēmumā kļūst par arvien apspriestāku jautājumu, jo tās spēkā stāšanās termiņš (2018.gada 25.maijs) strauji tuvojas. Tādēļ jau ceturto gadu pēc kārtas, sadarbojoties ar “Latvijas Sertificēto Personas Datu Aizsardzības Speciālistu Asociāciju”, viens no vadošajiem kiberdrosības uzņēmumiem Baltijā “Data Security Solutions” 26.aprīlī rīko Latvijas lielāko personas datu aizsardzības regulas pasākumu (EU GDPR - General Data Protection Regulation) “Digitālā Ēra 2017”, kurā vadošie speciālisti no privātā un valsts sektora dalīsies pieredzē un zināšanās, aplūkojot jaunākos un inovatīvākos risinājumus, kā arī jaunākās tirgus tendences un regulatīvās normas kā Latvijā, tā visā Eiropas Savienībā. Vairāk: https://digitalaera.dss.lv/
Digitala Era 2017 - ZAB Skopiņa & Azanda - Jūlija Terjuhana - Tiesības uz datu pārnesamību
1. Tiesības uz datu pārnesamību
JūlijaTerjuhana
juriste ZAB Skopiņa & Azanda
datu aizsardzības speciāliste
MA in InformationTechnology Law, University ofTartu
2. Avoti
• Vispārīgā datu aizsardzības regula
• Datu aizsardzības direktīvas 29.panta darba grupas vadlīnijas (16.12.2017)
• Datu aizsardzības direktīvas 29.panta darba grupas pārskatītas vadlīnijas
(05.04.2017)
3. Tiesību uz datu pārnesamību priekšrocības
• Palīdz īstenotVienotā digitālā tirgus konceptu (brīva datu kustība ES
ietvaros)
• Sniedz datu subjektam kontroli pār saviem datiem
• Stiprina datu subjekta iespējas izvēlēties sev piemērotu pakalpojuma
sniedzēju un bez grūtībām pārvietot savus datus no viena datu pārziņa pie
otra
4. Vispārīgās personas datu aizsardzības regulas
20.pants
• 1. Datu subjektam ir tiesības saņemt personas datus attiecībā uz sevi, kurus viņš
sniedzis pārzinim, strukturētā, plaši izmantotā un mašīnlasāmā formātā un ir tiesības
minētos datus nosūtīt citam pārzinim, un pārzinis, kuram attiecīgie personas dati
sniegti, tam nerada nekādus šķēršļus, ja:
a) apstrāde pamatojas uz piekrišanu, ievērojot 6. panta 1. punkta a) apakšpunktu vai
9. panta 2. punkta a) apakšpunktu, vai uz līgumu, ievērojot 6. panta 1. punkta b)
apakšpunktu; un
b) apstrādi veic ar automatizētiem līdzekļiem.
• 2. Īstenojot savas tiesības uz datu pārnesamību saskaņā ar 1. punktu, datu subjektam ir
tiesības uz personas datu nosūtīšanu tieši no viena pārziņa citam pārzinim, ja tas ir
tehniski iespējams.
• 3. Šā panta 1. punktā minēto tiesību īstenošana neskar 17. pantu. Minētās tiesības
neattiecas uz apstrādi, kas ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības
interesēs vai īstenojot pārzinim likumīgi piešķirtas oficiālas pilnvaras.
• 4. Tiesības, kas minētas 1. punktā, neietekmē nelabvēlīgi citu personu tiesības un
brīvības.
5. Tiesību uz datu pārnesamību piemērošana
Tiesības piemēro:
• ja datu subjekts personas datus ir sniedzis ar savu piekrišanu vai
• ja apstrāde ir nepieciešama, lai izpildītu līgumu.
Tiesības nepiemēro:
• ja apstrādei ir tāds juridiskais pamats, kas nav piekrišana vai līgums.
• kad personas datu apstrāde ir vajadzīga, lai izpildītu juridisku pienākumu, kas
pārzinim jāpilda, vai lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai
īstenojot pārzinim piešķirtas oficiālas pilnvaras.
6. Tiesību uz datu pārnesamību elementi
• «Dati» - jebkāda informācija par identificētu vai identificējamu fizisku
personu
• «Tiesības saņemt personas datus attiecībā uz sevi»
• Neattiecas uz anonimizētiem datiem
• Attiecas uz pseidonimizētiem datiem, jo iespējas rekonstruēt saikni ar identificējamu personu
• Gan verbāli, gan neverbāli dati
• «Datus, kurus datu subjekts sniedzis pārzinim»
• Tieši
• Izmantojot pakalpojumu
• Jebkāda veida datus - t.sk., kontaktu sarakstus, dziesmu atskaņošanas sarakstus, iepirkuma
sarakstus no internetveikaliem, meklējumu vēsturi, datplūsmas datus (traffic data), atrašanās
vietas datus (location data), informāciju par pulsu no aplikācijām u.c.
9. Tiesību uz datu pārnesamību elementi
• Pārnesamie dati
• Kas atrodas atsevišķās ierīcēs (t.sk. valkājamas viedierīces – wearables)
• Kas atrodas datu informācijas sistēmās
• Atrodas «mākonī» vai pie pārziņa izvēlēta operatora
10. Datu pārnese
• Datu pārziņa pienākums informēt datu subjektu par tiesībām uz datu pārnesamību
(Regulas 13., 14.p.)
• Datu pārnesi veic pats datu subjekts vai datu pārzinis, ja tas tehniski iespējams
• Datu subjekta tiesības prasīt pārsūtīt informāciju no viena datu pārziņa otram
• Viena biznesa sektora ietvaros (t.sk. tiešajiem konkurentiem)
• Starp atšķirīgu sektoru pārstāvjiem
• Neuzliek pienākumu datu pārziņiem obligāti pieņemt datus, ko tam nodod
• Saņemot datus, jaunajam datu pārzinim skaidri jādefinē datu apstrādes mērķis
• Datu pārzinim nebūtu jāpatur apstrādei tie dati, kas tam nav nepieciešami mērķa
sasniegšanai
• Datu pārzinis nedrīkst kavēt tiesību uz datu pārnesamību īstenošanu neizpildītu saistību
dēļ
11. Trešo personu tiesības
• Tiesība uz datu pārnesi jāīsteno, neietekmējot trešo personu tiesības
• Problēmjautājums- ko darīt ar datiem, kas skar vairākas personas vienlaikus?
• Viens no risinājumiem – papildināt privātuma politiku, ietverot lietotāja piekrišanu, ja
trešās personas pieprasa datus, kas satur arī viņa datus
• Datu aizsardzības direktīvas 29.panta darba grupas skaidrojums – datus nedrīkst nodot,
ja to nodošana negatīvi ietekmēs trešo personu tiesības
• Nedrīkst atturēt trešās personas no savu tiesību īstenošanas
• Jaunais datu pārzinis nedrīkst apkopot un izmantot trešo personu datus bez tiesiska
pamata
12. Pienākums atbildēt uz pieprasījumu
• Datu pārzinim jāsniedz atbilde datu subjektam neatkarībā no tā, vai tehniski ir vai nav
iespēja īstenot tiesības uz datu pārnesamību
• Pārzinis bez nepamatotas kavēšanās un jebkurā gadījumā mēneša laikā pēc
pieprasījuma saņemšanas informē datu subjektu (Regulas 12.pants)
• Jānodrošina tiesību īstenošana bez maksas, izņemot, ja datu subjekta pieprasījumi ir
acīmredzami nepamatoti vai pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ.
• Tādā gadījuma pārzinis var :
• a) pieprasīt saprātīgu maksu, ņemot vērā administratīvās izmaksas, kas saistītas ar informācijas
vai saziņas nodrošināšanu vai pieprasītās darbības veikšanu; vai arī
• b) atteikties izpildīt pieprasījumu.
• Pārzinim ir pienākums uzskatāmi parādīt, ka pieprasījums ir acīmredzami nepamatots
vai pārmērīgs. (Regulas 12.pants)
13. Tehniskie aspekti
• Datu pārziņi būtu jāmudina izstrādāt savstarpēji izmantojamus formātus, kas
nodrošina datu pārnešanu. [..] Datu subjekta tiesībām nosūtīt vai saņemt
personas datus par sevi nebūtu jārada pārziņiem pienākums ieviest vai uzturēt
apstrādes sistēmas, kas ir tehniski saderīgas. (Regulas 68.apsvērums)
• Tehniski būtu jāapsver 2 risinājumi:
• Datu kopuma (vai vairāku daļu) nodošana starp datu pārziņiem
• Automatizēta rīka ieviešana nepieciešamo datu izguvei (Datu aizsardzības direktīvas
29.panta darba grupas ieteikums)
14. Tehniskie aspekti
• Datu pārnešanai izmantot plaši izmantotus atvērtos datu formātus (open format):
XML, JSON, CSV u.c. (Datu aizsardzības direktīvas 29.panta darba grupas ieteikums)
• Funkcionēšanai nepieciešamie metadati būtu jāsaglabā
• Komercnoslēpumu saturoši metadati būtu jādzēš
• Pārnese jānodrošina, ievērojot vispārējo datu apstrādes principu, kas uzliek
pienākumu veikt datu apstrādi tādā veidā, lai tiktu nodrošināta atbilstoša personas
datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret
nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos
vai organizatoriskos pasākumus (Regulas 5.panta 1.daļa)
15. «Mājas darbs» datu pārziņiem
• 1.izlemt, kādā formātā dati tiks nosūtīti jaunajam datu pārzinim
• 2.apzināt formātu savietojamību
• 3.apsvērt iespējamo tehnisko risinājumu ieviešanu
• 4.apzināt uzglabājamo datu struktūru, lai nodrošinātu efektīvu datu
pārnesamības īstenošanu