Foto: LETA
Pēdējos mēnešos daudzkārt pieminētā Vispārīgā datu aizsardzības regula (turpmāk – Regula) vieš daudz neskaidrību. Laikā, kad uzņēmumi, kuru rīcībā ir liels personas datu apjoms un darbība izvērsta Eiropas Savienības valstīs, iegulda daudz pūļu un veic izmaiņas datu glabāšanas un apstrādes procesos, Latvijas tieslietu ministrs akcentē, ka būtiskas pārmaiņas Regula nenesīs, tāpat joprojām Saeimā nav pieņemts Regulai atbilstīgs likums. Turklāt ir daži aspekti, kas plašāk nav apspriesti, taču prasa skaidrojumus.

Tulkojuma precizitāte

Regulas teksts ir sarežģīts, tāpēc tās izpratnes sekmēšana ir ļoti būtiska, ja vēlamies, lai praksē pārziņi (fiziska vai juridiska persona, kura nosaka datu apstrādes mērķus un līdzekļus, kā arī atbild par datu apstrādi) nodrošina Regulas prasību īstenošanu. Analizējot Regulu, īpašu uzmanību pievērsu tās tekstam vācu valodā, tādēļ ka viens no Regulas virzītājiem bija vācu politiķis – eiroparlamentārietis J.F. Albrehts. Vācu tulkojums lingvistiski daudz skaidrāk nosaka Regulas prasības. Salīdzinot Regulas tekstu latviešu un vācu valodā, nākas secināt, ka tulkojums latviešu valodā ir neprecīzs, kas tikai sarežģī tās uztveršanu un rada interpretācijas iespējas Regulas piemērošanā.

Daži piemēri: Regulas 7. panta pirmais punkts: "Ja apstrāde pamatojas uz piekrišanu, pārzinim ir jāspēj uzskatāmi parādīt, ka datu subjekts ir piekritis savu personas datu apstrādei." Ne angļu, ne vācu valodā Regulas tekstā vārda "uzskatāmi" nav. Jautājums, kādēļ šāds uzsvērums ir pievienots Regulas tekstam latviešu valodā?

Savukārt Regulas 30. panta pirmais punkts latviešu valodā norāda uz "reģistru", bet ne vācu, ne angļu valodā šāda termina nav. Šajās valodās ir skaidri norādīts, ka pārzinis nodrošina personas datu apstrādes aprakstu – aprakstot procesus, kas tiek darīts, kurš to dara, kurā brīdī.

Tāpat Regulas 25. panta pirmajā punktā jēdziens "the state of the art" latviski iztulkots kā "tehnikas līmenis". Kas ar to jāsaprot? Visticamāk, jēdziena verifikācijai izmantots Regulas vācu valodas teksts, kur norādīts "Stand der Technik", kas, tikai burtiski tulkojot, nozīmē tehnikas līmeni, taču šā jēdziena nozīme ir cita. Jēdziens būtu tulkojams kā šī brīža vispārpieņemtais risinājums, turklāt ne tikai tehnoloģiskais, bet arī organizatoriskais. Lai to paskaidrotu, minēšu piemēru no medicīnas par krūts vēža skrīningu. Cīņai ar krūts vēzi noteikta vecuma grupas sievietēm tiek nosūtīts Nacionālā veselības dienesta uzaicinājums veikt konkrētu izmeklējumu (mamogrāfiju), kuru apmaksā valsts. Viss šis organizatoriskais process, ne tikai pats izmeklējums, ir jāsaprot kā "state of the art". Otrs piemērs no auto industrijas.

Vācijā "state of the art" šobrīd ir tādu automašīnu ražošana, kurās ir iebūvēts sensors, kas raida signālu attiecīgajiem dienestiem par indivīda atrašanās vietu brīdī, kad persona ir nonākusi autoavārijā. Šāda pieeja ļauj nodrošināt pēc iespējas ātrāku atbildīgo dienestu rīcību un palīdzību indivīdam. Mūsdienīgie risinājumi vai pieeja jautājuma risināšanai ir strauji mainīga, tādēļ Regulā, lai tās teksts nebūtu regulāri jāmaina, ir iekļauts šāds vispārinājums.

Konsultatīvais darbs izpalicis

Regulas preambulas 95. un 96. apsvērumā angļu un vācu valodas tekstā tiek runāts par konsultācijām ar uzraugošo iestādi, bet latviskajā tulkojumā – "ar uzraudzības iestādi būtu jāapspriežas". Ir skaidrs, ka norāde attiecas uz konsultācijām ar uzraudzības iestādi kopš tā brīža, kad Regula tika pieņemta. Turklāt konsultēšana jānodrošina arī pēc Regulas spēkā stāšanās. Tātad divu gadu laikā, kad Latvijai bija iespēja sagatavoties Regulas prasību piemērošanai, personas datu aizsardzības uzraudzības institūcijai bija jākonsultē pārziņi, tai skaitā uzņēmēji, lai viņiem būtu iespēja pēc iespējas kvalitatīvāk sagatavoties izmaiņām personas datu apstrādes nosacījumos.

Attiecīgi, ja Regula būtu precīzi pārtulkota, Latvijas uzņēmēji būtu zinājuši, ka viņiem ir tiesības doties uz Datu valsts inspekciju un atbilstoši savas darbības specifikai saņemt konsultācijas un – kā nepārprotami norādīts vācu tekstā – arī saistošus norādījumus. Pat ja kādas konsultācijas ir bijušas, Datu valsts inspekcijas konsultāciju sniegšanas pakalpojums nav ticis publiski piedāvāts, līdz ar to lielākā daļa uzņēmēju gatavošanos Regulas prasībām nodrošinājusi, piesaistot datu aizsardzības speciālistus, kuri diemžēl ļoti dažādi interpretē gaidāmās izmaiņas normatīvajā regulējumā. Rezultātā pārzinim nav iespējas pārliecināties, ka speciālista skaidrojums atbilst uzraugošās iestādes nostājai konkrētā jautājumā, un tas rada risku, ka izvēlētie risinājumi nebūs Regulai atbilstoši, lai gan no uzņēmēju puses jautājuma sakārtošanā būs ieguldīts ne mazums resursu.

Personas datu aizsardzības speciālisti savu sertifikāciju ir ieguvuši, nokārtojot maksas eksāmenu Datu valsts inspekcijā, bet tas nav kārtots jaunās Regulas kontekstā. Tādēļ Latvijā nav vienotas datu aizsardzības speciālistu izpratnes par jaunās Regulas prasībām. Praksē esmu saskāries ar situāciju – cik speciālistu, tik viedokļu. Kā uzņēmējam izšķirties, kurš no piedāvātajiem risinājumiem ir atbilstošākais?!

Kurš un kā izvērtēs intereses

Personas datu apstrādes likumprojektā, kas šobrīd tiek skatīts Saeimas Juridiskajā komisijā, Datu valsts inspekcijai ir paredzēts plašs tiesību uzskaitījums, tai skaitā tiesības apturēt datu apstrādi. Daudziem uzņēmumiem tas nozīmē darbības apturēšanu. Piemēram, veselības nozarē līdz ar datu apstrādes apturēšanu pastāv būtiski ierobežojumi sniegt pakalpojumu. Pašlaik neatbildēts ir jautājums: cik lielā mērā personas tiesības uz datu aizsardzību ir augstākstāvošas par citām cilvēktiesību jomām? Vai būs pārkāpums, ja medicīnas personāls glābs pacienta dzīvību, pametot novārtā iesāktos datu aizsardzības darbus – nepaspēs iziet no IT sistēmas vai pārliecināties, ka nekur nav atstājis trešajām personām pieejamus pacienta datus?

Interešu samērošana ir tik vispārīga, ka pašlaik nevienam nav īstas skaidrības, kur personas datu aizsardzības intereses beidzas un tiek aizskartas citas, iespējams, būtiskākas sabiedrības vai konkrēta cilvēka intereses. Vai Latvijas tiesas ir gatavas skatīt lietas datu aizsardzības jomā, nosakot samērīgu lietu izskatīšanas laiku, īpaši gadījumos, ja uzraugošā institūcija būs apturējusi uzņēmuma darbību (noteikusi aizliegumu personas datu apstrādei) un pārzinis vērsīsies tiesā, lai to apstrīdētu?

Eiropas datu aizsardzības uzraugs Dž. Butarelli ir norādījis, ka datu aizsardzības uzraudzības iestāžu veiktie uzraudzības procesi būs ļoti svarīgi datu aizsardzības sekmēšanai Eiropas Savienībā. Svarīgi, kādu uzraudzības ceļu (konsultējošu vai sodošu) izvēlēsies iet katras valsts uzraudzības iestāde. Piemēram, Lielbritānijas datu aizsardzības uzraudzības iestāde ir publicējusi vadlīnijas par pamatkritērijiem, kas tiks ievēroti, veicot uzraudzības pasākumus. Turklāt vadlīnijas ir nodotas publiskai apspriedei, lai sabiedrība var izteikt viedokli par to, vai pats uzraudzības process ir saprotams. Gala rezultātā ir jāpanāk, ka personas datu aizsardzībā ir novērojami uzlabojumi un uz citu valstu fona Eiropas Savienības dalībvalstis kļūtu par piemēru, kā Regulas "zelta standartu" ieviest praksē digitālajā laikmetā un vienlaicīgi sekmēt (nevis bremzēt!) inovatīvus risinājumus un tehnoloģiju attīstību.

Attieksme un līdzšinējais darbs cerības nevieš

Uzņēmējiem nav skaidrs, kāpēc netika noteikts pārejas periods Fizisko personu datu aizsardzības likuma normām, kas līdz šim paredzēja personas datu apstrādes reģistrēšanu Datu valsts inspekcijā. Pieteikumi tika pieņemti vēl maijā, lai gan minētā likuma norma zaudēs spēku šā gada 25. maijā. Pārziņi, nomaksājot valsts nodevu, turpināja reģistrēt datu apstrādes, lai gan šis process tik īsu brīdi pirms Regulas spēkā stāšanās uzskatāms par formālu. Turklāt Datu valsts inspekcijas pieņemtajos lēmumos nav nevienas norādes, ka ar 2018. gada 25. maiju plānotas izmaiņas un reģistrācija vairs nebūs nepieciešama.

Tas ir tik svarīgais attieksmes jautājums. Kā datu aizsardzības uzraudzības iestāde Latvijā sekmē izpratni par personas datu aizsardzību, neskaidrojot sarežģītos juridiskos jautājumus, vien norādot, ka Regulas normu izpratne ir pārziņa atbildība? Uzticēšanās šai iestādei un tās darbības caurskatāmība ir ļoti būtiska, lai indivīdi iestādei uzticētos un vērstos pie tās pēc padoma.

Ar nožēlu jāsaka, ka tie pārziņi, kas veic sensitīvo personas datu apstrādi, ir vēl sliktākā situācijā, jo Regulas 9. panta 4. punkts paredz, ka dalībvalstis var saglabāt vai ieviest papildu nosacījumus, tostarp ierobežojumus, attiecībā uz ģenētisko datu, biometrisko datu vai veselības datu apstrādi. Joprojām nav skaidrs, vai šādas stingrākas prasības tiek plānotas, tādējādi ir apgrūtināta vai pat neiespējama pārziņa kvalitatīva sagatavošanās Regulas normu īstenošanai.

Uzņēmēji ir gatavi ieviest Regulas prasības, bet, lai to pareizi izdarītu, ir svarīgs profesionāls datu aizsardzības uzraudzības institūcijas atbalsts. Aicinu aktivizēties visas nozares, kuru pamatdarbība cieši saistīta ar personas datu aizsardzību, vēršoties pie uzraugošās institūcijas un veidojot darba grupas vai iesaistoties konsultatīvajās padomēs, lai sekmētu vienotas izpratnes veidošanu par personas datu apstrādi un aizsardzību konkrētajā jomā.

Seko "Delfi" arī Instagram vai YouTube profilā – pievienojies, lai uzzinātu svarīgāko un interesantāko pirmais!