417. Article

Kontekstā ar Likuma, Sankciju likuma un citu saistīto Latvijas Republikas un ES tiesību aktu ievērošanu šo tiesību aktu subjektu klientu (arī potenciālo klientu) personas datu apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams kāds no šādiem tiesiskajiem pamatiem: 417.1. juridiskais pienākums Datu regulas 6. panta 1. punkta "c" apakšpunkts, kas ļauj apstrādāt personas datus, "lai izpildītu uz pārzini attiecināmu juridisku pienākumu" nodrošināt Likuma, Sankciju likuma un citu saistīto Latvijas Republikas un ES tiesību aktu prasību ievērošanu. Šis ir primārais datu apstrādes tiesiskais pamats, kas izriet no Likuma, Sankciju likuma un citiem saistītajiem Latvijas Republikas un ES tiesību aktiem, jo šo tiesību aktu subjektiem uzliek par pienākumu veikt noteiktu datu apstrādi, piemēram, veikt klienta izpēti vai padziļināto izpēti atbilstoši Likumam, un šāda pienākuma izpildē pārzinim nav piešķirta rīcības brīvība. Tādējādi Datu regulas 6. panta 1. punkta "c" apakšpunkts neattiecas uz brīvprātīgām vienpusējām attiecībām un publiskām un privātām partnerībām, kurās datus apstrādā vairāk, nekā noteikts tiesību aktā. Turklāt pašām juridiskajām saistībām jābūt pietiekami skaidrām attiecībā uz personas datu apstrādi, ko tās paredz. Līdz ar to Datu regulas 6. panta 1. punkta "c" apakšpunkts ir piemērojams, pamatojoties uz tiesību normām, kurās skaidri norādīts apstrādes veids un objekts, un pārzinim nav piešķirta nesamērīga rīcības brīvība attiecībā uz tā juridisko saistību ievērošanu. Tiesību aktos dažkārt var būt noteikts tikai vispārējs mērķis, bet konkrētākas saistības ir noteiktas citā līmenī, piemēram, vai nu sekundārajos tiesību aktos, vai ar valsts iestādes saistošu lēmumu konkrētā gadījumā. Tas var radīt juridiskas saistības arī saskaņā ar Datu regulas 6. panta 1. punkta "c" apakšpunktu, ja apstrādes veids un objekts ir pienācīgi definēts un tiem piemērojams pienācīgs juridiskais pamats65; 417.2. sabiedrības intereses Datu regulas 6. panta 1. punkta "e" apakšpunkts, kas ļauj apstrādāt personas datus, "lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras" atbilstoši Latvijas Republikas vai ES tiesību aktiem. Šā tiesiskā pamata piemērošanai tāpat kā Datu regulas 6. panta 1. punkta "c" apakšpunkta piemērošanai apstrādes pamatu nosaka ar: a) ES tiesību aktiem; b) dalībvalsts tiesību aktiem, kas piemērojami pārzinim. Datu regulas 6. panta 1. punkta "e" apakšpunkta piemērošanai tiesību aktā var būt ietverti konkrēti noteikumi, lai pielāgotu Datu regulas noteikumu piemērošanu, t.sk.: vispārēji nosacījumi, kas reglamentē pārziņa īstenotu apstrādes likumību; apstrādājamo datu veidi; attiecīgie datu subjekti; vienības, kurām personas dati var tikt izpausti, un mērķi, kādiem tie var tikt izpausti; apstrādes nolūka ierobežojumi; glabāšanas termiņi; apstrādes darbības un apstrādes procedūras, tostarp pasākumi, lai nodrošinātu likumīgu un godprātīgu apstrādi, piemēram, citās īpašās datu apstrādes situācijās, kas paredzētas Datu regulas IX nodaļā. ES vai dalībvalsts tiesību akti atbilst sabiedrības interešu mērķim un ir samērīgi ar izvirzīto leģitīmo mērķi. Arī Datu regulas 45. apsvērumā skaidrots, ka, ja apstrādi veic saskaņā ar juridisku pienākumu, kas attiecināms uz pārzini, vai ja apstrāde ir nepieciešama, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot oficiālas pilnvaras, apstrādes pamatam vajadzētu būt noteiktam ES vai dalībvalsts tiesību aktos. Datu regulā katrai atsevišķai apstrādei nav prasīts konkrēts tiesību akts. Var pietikt ar tiesību aktu, uz ko balstās vairākas datu apstrādes darbības, pamatojoties uz juridisku pienākumu, kas pārzinim jāpilda, vai arī, ja apstrāde ir nepieciešama, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot oficiālas pilnvaras. Tādējādi Datu regulas 6. panta 1. punkta "e" apakšpunktā atrodamas līdzības ar 6. panta 1. punkta "c" apakšpunktu, jo uzdevums sabiedrības interesēs bieži balstās uz tiesību aktu noteikumiem vai no tiem izriet. Tomēr Datu regulas 6. panta 1. punkta "c" apakšpunkta piemērošanas joma, salīdzinot ar Datu regulas 6. panta 1. punkta "e" apakšpunktu, ir stingri ierobežota. Līdz ar to galvenā atšķirība, piemērojot šos tiesiskos pamatus, ir tā, ka Datu regulas 6. panta 1. punkta "c" apakšpunkta piemērošanā pārzinim nav rīcības brīvības, jo personas datu apstrāde būs noteikta ar tiesību aktu. Līdz ar to secināms, ka šis tiesiskais pamats ir piemērojams datu apstrādei, lai sasniegtu Likuma mērķus, kā tas noteikts Likuma 5.2 panta pirmajā daļā. Šis tiesiskais pamats ir atbilstošs arī Sankciju likuma piemērošanai personas datu apstrādes kontekstā, jo šā likuma subjekts veic šajā likumā noteiktā uzdevuma vai deleģējuma izpildi. Līdz ar to var uzskatīt, ka personas datu apstrāde ir nepieciešama sabiedrības interešu aizsardzībai. Ņemot vērā iepriekš minēto, praksē jānošķir situācijas, kad datu apstrāde tiek veikta, pamatojoties uz Datu regulas 6. panta 1. punkta "c" un "e" apakšpunktu. Šā panta 1. punkta "e" apakšpunkts piemērojams gadījumos, kad tiesību akts nenosaka ne datu apstrādes apjomu, ne veidu un neuzliek konkrētu juridisko pienākumu. Piemēram, šo tiesisko pamatu piemēro datu apstrādei, kas tiek veikta atbilstoši Likuma 44. pantam, kurš nosaka kredītiestāžu un finanšu iestāžu tiesības savstarpēji apmainīties ar informāciju (skatīt rokasgrāmatas 5.7. apakšnodaļu). Šo pamatu var piemērot arī situācijā, kad kredītiestāde novērtē savu klientu datus, izmantojot kredīta uzziņas datubāzi vai nelikumīgi iegūtu līdzekļu legalizēšanas un terorisma finansēšanas novēršanas vai krāpšanas datubāzi. Savukārt situācijās, kad pārzinim nav rīcības brīvības, jo jāizpilda juridiskais pienākums, datu apstrāde ir jāveic uz "c" apakšpunkta pamata; 417.3. leģitīmās intereses Datu regulas 6. panta 1. punkta "f" apakšpunkts, kas ļauj veikt personas datu apstrādi "pārziņa vai trešo personu leģitīmo interešu ievērošanai", pamatojot katru gadījumu atsevišķi. Uz šo tiesisko pamatu var balstīties, piemēram, lai: celtu, īstenotu vai aizstāvētu likumīgas prasības; glabātu datus papildus termiņam, kas noteikts Likuma 37. panta otrajā daļā (skatīt rokasgrāmatas 461. punktu); apmainītos ar datiem sankciju ievērošanas vajadzībām. Lai veiktu personas datu apstrādi uz šā tiesiskā pamata, pārzinim ir nepieciešams veikt novērtējumu, vai un kādas konkrētas pārziņa vai trešās personas leģitīmās intereses konkrētajā datu apstrādes gadījumā būs vērtējamas augstāk par datu subjekta pamattiesībām, pamatbrīvībām un interesēm. Līdzsvarojot intereses, pārziņi tiek aicināti izmantot 29. panta Datu aizsardzības darba grupas izstrādāto Atzinumu 06/2014 par personas datu apstrādātāja leģitīmo interešu jēdzienu saskaņā ar Direktīvas 95/46/EK 7. pantu66. Par datu subjektu tiesībām iebilst pret datu apstrādi, kas balstīta uz šo tiesisko pamatu, informācija sniegta rokasgrāmatas 7.5. apakšnodaļā. Interešu balansēšanas novērtējums ir jāveic katrā individuālā gadījumā, ņemot vērā datu subjekta un pārziņa interešu līdzsvarošanu. Lai nodrošinātu pārskatatbildības principu, izvērtējumu būtu ieteicams dokumentēt. Vienlaikus, ja pārziņa rīcībā ir izstrādāti iekšējie normatīvie akti vai vadlīnijas, kurās ir aprakstīta personas datu apstrādes nepieciešamība un kārtība, atsevišķs izvērtējums nav nepieciešams. Interešu līdzsvarošana jāveic, sākotnēji definējot nolūku, kura sasniegšanai datu apstrāde nepieciešama (nolūkam jābūt likumīgam, skaidram un reālam), jāveic novērtējums, kādēļ noteiktā nolūka sasniegšanai nepieciešama personas datu apstrāde (piemēram, kādēļ šo nolūku nav iespējams sasniegt, izmantojot personas privātumu mazāk skarošus līdzekļus), jāveic sākotnējais līdzsvara novērtējums (apstrādātāja interešu veids (komercintereses, sabiedrības intereses, pamattiesības u.c.)), jānovērtē potenciālais kaitējums, ja apstrāde netiek veikta, datu subjekta statuss (piemēram, nepilngadīgais, pensionārs, nodarbinātais), datu apstrādes veids, datu subjekta tiesību aizskāruma lielums, datu subjekta pamatotās gaidas, ietekmes samērojums ar labumu, piemērotie papildu drošības pasākumi (datu minimizācija, ieviestie tehniskie un organizatoriskie pasākumi u.c.), pārredzamības nodrošināšana, citu datu subjekta tiesību nodrošināšana (t.sk. tas, vai un kā datu subjekts var iebilst pret savu personas datu apstrādi atbilstoši Datu regulas 21. pantam). Ja līdzsvarošanas novērtējums nav veikts vai, to veicot, minētie aspekti nav ņemti vērā, personas datu apstrāde neatbildīs Datu regulas prasībām. Papildus saskaņā ar Datu regulas 21. panta 1. punktu pārzinim būtu jāparedz datu subjektam tiesības jebkurā laikā iebilst pret savu personas datu apstrādi, balstoties uz iemesliem, kas saistīti ar tā īpašo situāciju. Pārzinim būtu jānodrošina, ka iebildumu gadījumā personas dati vairs netiek apstrādāti, izņemot, ja pārzinis norāda uz pārliecinošiem leģitīmiem apstrādes iemesliem, kas ir svarīgāki par datu subjekta interesēm, tiesībām un brīvībām, vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības. Par datu subjektu tiesībām iebilst pret datu apstrādi, kas balstīta uz šo tiesisko pamatu, informācija sniegta rokasgrāmatas 7.5. apakšnodaļā; 417.4. piekrišana Datu regulas 6. panta 1. punkta "a" apakšpunkts. Piemēram, klients sniedz piekrišanu dažādu bankas jaunumu saņemšanai. Datu pārziņa pienākums ir nodrošināt, ka klients sniedz piekrišanu saskaņā ar Datu regulas prasībām un pirms piekrišanas sniegšanas tam ir pieejama visa nepieciešamā informācija. Klienta piekrišana nav nepieciešama klienta personas datu aktualizēšanai (labošanai), ja kredītiestāde iegūst datus no oficiālajiem reģistriem, kuriem ir publiskā ticamība, piemēram, no Iedzīvotāju reģistra. Ja pastāv iespēja, kredītiestāde var pārjautāt klientam, vai tās rīcībā esošā informācija ir precīza. Saskaņā ar Datu regulas 5. panta 1. punkta "d" apakšpunktu personas dati ir precīzi un, ja vajadzīgs, atjaunināti. Ir jāveic visi saprātīgie pasākumi, lai nodrošinātu, ka neprecīzi personas dati tiek atjaunināti, ņemot vērā Datu regulas 19. pantu, kas paredz, ka pārzinis katram saņēmējam, kuram personas dati ir izpausti, ziņo par jebkuru personas datu labojumu, dzēšanu vai apstrādes ierobežošanu, kas veikta saskaņā ar Datu regulas 16. pantu, 17. panta 1. punktu un 18. pantu, izņemot, ja izrādās, ka tas nav iespējams, vai ja tas ir saistīts ar nesamērīgi lielām pūlēm. Pārzinis informē datu subjektu par minētajiem saņēmējiem, ja datu subjekts to pieprasa. 420 (FKTK 24.05.2022. ieteikumu Nr. 77 redakcijā) 7.2. Īpašu kategoriju personas datu apstrāde(Apakšnodaļa FKTK 24.05.2022. ieteikumu Nr. 77 redakcijā)