📄 Likuma teksts
Zaudējis spēku - Grozījumi "Ieteikumos noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas un sankciju riska pārvaldīšanas iekšējās kontroles sistēmas izveidei un klientu izpētei"
Uzmanību! Jūs lietojat neatbilstošu interneta pārlūkprogrammu.
Lai varētu lietot visas Likumi.lv piedāvātās iespējas, piedāvājam BEZ MAKSAS ielādēt jaunāku pārlūkprogrammas versiju. Iesakām izmēģināt arī vietnes MOBILO VERSIJU - m.likumi.lv (piemērota arī mazāk jaudīgiem datoriem).
nerādīt turpmāk šo paziņojumu
Apstiprināt
Paldies par viedokli!
Rādīt vēlāk
LATVIJAS REPUBLIKAS TIESĪBU AKTI
veidi
tēmas
visvairāk skatītie
jaunākie
LV
EN
uz sākumu
meklēt
Izvērstā meklēšana
Noklusējuma vērtības
Izvērstā meklēšana
Kā meklēt?
Meklēt nosaukumā
meklēt locījumos
meklēt frāzi
Meklēt tekstā
meklēt locījumos
meklēt frāzi
Izdevējs
Veids
nemeklēt grozījumos
Pieņemts
Stājas spēkā
Dokumenta Nr.
līdz
līdz
Publicēts LV
Zaudējis spēku
Redakcija uz
līdz
līdz
Statuss:
spēkā esošs
vēl nav spēkā
zaudējis spēku
meklēt
notīrīt
Tiesību akts ir zaudējis spēku.
Finanšu un kapitāla tirgus komisijas
ieteikumi Nr. 77
Rīgā 2022. gada 24. maijā
(Finanšu un kapitāla tirgus komisijas
padomes
sēdes protokols Nr. 22 2. p.)
Grozījumi
"Ieteikumos noziedzīgi iegūtu līdzekļu legalizācijas un
terorisma un proliferācijas finansēšanas novēršanas un sankciju
riska pārvaldīšanas iekšējās kontroles sistēmas izveidei un
klientu izpētei"
Izdarīt Finanšu un kapitāla tirgus komisijas 2021. gada 21.
decembra ieteikumos Nr. 169 "Ieteikumi noziedzīgi iegūtu
līdzekļu legalizācijas un terorisma un proliferācijas
finansēšanas novēršanas un sankciju riska pārvaldīšanas iekšējās
kontroles sistēmas izveidei un klientu izpētei" (turpmāk -
ieteikumi) šādus grozījumus:
1. Papildināt ieteikumu satura rādītāju aiz 6. nodaļas ar
norādi par 7. nodaļu šādā redakcijā: "7. Fizisko personu
datu apstrāde NILLTPFN un sankciju ievērošanas jomā".
2. Papildināt ieteikumus ar 3.7. punktu šādā redakcijā:
"3.7. septītā nodaļa "Fizisko personu datu apstrāde
NILLTPFN un sankciju ievērošanas jomā" skaidro dažādus
problēmjautājumus, kas radušies, praksē piemērojot Vispārīgās
datu aizsardzības regulas un Noziedzīgi iegūtu līdzekļu
legalizācijas un terorisma un proliferācijas finansēšanas
novēršanas likuma prasības."
3. Papildināt ieteikumus ar 7. nodaļu šādā redakcijā:
"7. Fizisko personu datu apstrāde NILLTPFN un sankciju
ievērošanas jomā63
7.1. Fizisko personu datu apstrādes pamatprincipi un
tiesiskais pamats Likuma, Sankciju likuma un citu saistīto
tiesību aktu un Datu regulas64kontekstā
411. Atbilstoši Eiropas Savienības Pamattiesību hartas 8.
panta 1. punktam un Līguma par Eiropas Savienības darbību 16.
panta 1. punktam fizisko personu aizsardzība attiecībā uz
personas datu apstrādi ir pamattiesības.
412. Datu regula ir ES normatīvais akts par fizisko personu
datu apstrādi un aizsardzību, un tās 6. panta 1. punktā ir
noteikti šādi vispārīgi tiesiskie pamati fizisko personu datu
apstrādei: piekrišana, līguma noslēgšana un izpilde, juridisks
pienākums, sabiedrības intereses, vitālo interešu aizsardzība,
leģitīmo interešu ievērošana. Šie tiesiskie pamati attiecas arī
uz NILLTPFN un sankciju ievērošanas vajadzībām nepieciešamo datu
vākšanu un apstrādi.
413. Atbilstoši Likuma 2. pantā noteiktajam Likuma mērķis ir
novērst NILLTPF, savukārt atbilstoši Sankciju likuma 2. panta
pirmajā daļā noteiktajam šā likuma mērķis ir nodrošināt mieru,
drošību un tiesiskumu atbilstoši Latvijas starptautiskajām
saistībām un nacionālajām interesēm, ieviešot starptautiskās
sankcijas.
414. Datu regulā ir noteikti šādi datu apstrādes
pamatprincipi, kas jāievēro, apstrādājot fizisko personu datus:
likumīgums, godprātība un pārredzamība, nolūka ierobežojums, datu
minimizēšana, precizitāte, glabāšanas ierobežojums, integritāte
un konfidencialitāte, pārskatatbildība.
415. Apstrādājot fizisko personu datus Likumā norādīto mērķu
sasniegšanai, jāievēro uz risku balstīta pieeja un
proporcionalitātes princips.
416. Iestādei savā darbībā jāpanāk līdzsvars starp
nepieciešamajiem pasākumiem, lai īstenotu vispārējās klienta
intereses un NILLTPFN mērķus, kā arī privātuma un citu personas
pamattiesību ievērošanu. Atbilstība NILLTPFN prasībām
jānodrošina, vienlaikus ievērojot Datu regulas noteikumus un
citas datu aizsardzības prasības kopumā.
417. Kontekstā ar Likuma, Sankciju likuma un citu saistīto
Latvijas Republikas un ES tiesību aktu ievērošanu šo tiesību aktu
subjektu klientu (arī potenciālo klientu) personas datu apstrāde
ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams
kāds no šādiem tiesiskajiem pamatiem:
417.1. juridiskais pienākums - Datu regulas 6. panta 1.
punkta "c" apakšpunkts, kas ļauj apstrādāt
personas datus, "lai izpildītu uz pārzini attiecināmu
juridisku pienākumu" nodrošināt Likuma, Sankciju likuma un
citu saistīto Latvijas Republikas un ES tiesību aktu prasību
ievērošanu. Šis ir primārais datu apstrādes tiesiskais pamats,
kas izriet no Likuma, Sankciju likuma un citiem saistītajiem
Latvijas Republikas un ES tiesību aktiem, jo šo tiesību aktu
subjektiem uzliek par pienākumu veikt noteiktu datu apstrādi,
piemēram, veikt klienta izpēti vai padziļināto izpēti
atbilstoši Likumam, un šāda pienākuma izpildē pārzinim nav
piešķirta rīcības brīvība.
Tādējādi Datu regulas 6. panta 1. punkta "c"
apakšpunkts neattiecas uz brīvprātīgām vienpusējām attiecībām un
publiskām un privātām partnerībām, kurās datus apstrādā vairāk,
nekā noteikts tiesību aktā.
Turklāt pašām juridiskajām saistībām jābūt pietiekami skaidrām
attiecībā uz personas datu apstrādi, ko tās paredz. Līdz ar to
Datu regulas 6. panta 1. punkta "c" apakšpunkts ir
piemērojams, pamatojoties uz tiesību normām, kurās skaidri
norādīts apstrādes veids un objekts, un pārzinim nav piešķirta
nesamērīga rīcības brīvība attiecībā uz tā juridisko saistību
ievērošanu.
Tiesību aktos dažkārt var būt noteikts tikai vispārējs mērķis,
bet konkrētākas saistības ir noteiktas citā līmenī, piemēram, vai
nu sekundārajos tiesību aktos, vai ar valsts iestādes saistošu
lēmumu konkrētā gadījumā. Tas var radīt juridiskas saistības arī
saskaņā ar Datu regulas 6. panta 1. punkta "c"
apakšpunktu, ja apstrādes veids un objekts ir pienācīgi definēts
un tiem piemērojams pienācīgs juridiskais
pamats65;
417.2. sabiedrības intereses - Datu regulas 6. panta 1.
punkta "e" apakšpunkts, kas ļauj apstrādāt
personas datus, "lai izpildītu uzdevumu, ko veic sabiedrības
interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās
pilnvaras" atbilstoši Latvijas Republikas vai ES tiesību
aktiem.
Šā tiesiskā pamata piemērošanai tāpat kā Datu regulas 6. panta
1. punkta "c" apakšpunkta piemērošanai apstrādes pamatu
nosaka ar: a) ES tiesību aktiem; b) dalībvalsts tiesību aktiem,
kas piemērojami pārzinim.
Datu regulas 6. panta 1. punkta "e" apakšpunkta
piemērošanai tiesību aktā var būt ietverti konkrēti noteikumi,
lai pielāgotu Datu regulas noteikumu piemērošanu, t.sk.:
vispārēji nosacījumi, kas reglamentē pārziņa īstenotu apstrādes
likumību; apstrādājamo datu veidi; attiecīgie datu subjekti;
vienības, kurām personas dati var tikt izpausti, un mērķi, kādiem
tie var tikt izpausti; apstrādes nolūka ierobežojumi; glabāšanas
termiņi; apstrādes darbības un apstrādes procedūras, tostarp
pasākumi, lai nodrošinātu likumīgu un godprātīgu apstrādi,
piemēram, citās īpašās datu apstrādes situācijās, kas paredzētas
Datu regulas IX nodaļā. ES vai dalībvalsts tiesību akti atbilst
sabiedrības interešu mērķim un ir samērīgi ar izvirzīto leģitīmo
mērķi.
Arī Datu regulas 45. apsvērumā skaidrots, ka, ja apstrādi veic
saskaņā ar juridisku pienākumu, kas attiecināms uz pārzini, vai
ja apstrāde ir nepieciešama, lai izpildītu uzdevumu, ko veic
sabiedrības interesēs vai īstenojot oficiālas pilnvaras,
apstrādes pamatam vajadzētu būt noteiktam ES vai dalībvalsts
tiesību aktos. Datu regulā katrai atsevišķai apstrādei nav
prasīts konkrēts tiesību akts. Var pietikt ar tiesību aktu, uz ko
balstās vairākas datu apstrādes darbības, pamatojoties uz
juridisku pienākumu, kas pārzinim jāpilda, vai arī, ja apstrāde
ir nepieciešama, lai izpildītu uzdevumu, ko veic sabiedrības
interesēs vai īstenojot oficiālas pilnvaras.
Tādējādi Datu regulas 6. panta 1. punkta "e"
apakšpunktā atrodamas līdzības ar 6. panta 1. punkta
"c" apakšpunktu, jo uzdevums sabiedrības interesēs
bieži balstās uz tiesību aktu noteikumiem vai no tiem izriet.
Tomēr Datu regulas 6. panta 1. punkta "c"
apakšpunkta piemērošanas joma, salīdzinot ar Datu regulas 6.
panta 1. punkta "e" apakšpunktu, ir stingri ierobežota.
Līdz ar to galvenā atšķirība, piemērojot šos tiesiskos pamatus,
ir tā, ka Datu regulas 6. panta 1. punkta "c"
apakšpunkta piemērošanā pārzinim nav rīcības brīvības, jo
personas datu apstrāde būs noteikta ar tiesību aktu.
Līdz ar to secināms, ka šis tiesiskais pamats ir piemērojams
datu apstrādei, lai sasniegtu Likuma mērķus, kā tas noteikts
Likuma 5.2 panta pirmajā daļā.
Šis tiesiskais pamats ir atbilstošs arī Sankciju likuma
piemērošanai personas datu apstrādes kontekstā, jo šā likuma
subjekts veic šajā likumā noteiktā uzdevuma vai deleģējuma
izpildi. Līdz ar to var uzskatīt, ka personas datu apstrāde ir
nepieciešama sabiedrības interešu aizsardzībai.
Ņemot vērā iepriekš minēto, praksē jānošķir situācijas, kad
datu apstrāde tiek veikta, pamatojoties uz Datu regulas
6. panta 1. punkta "c" un "e"
apakšpunktu. Šā panta 1. punkta "e" apakšpunkts
piemērojams gadījumos, kad tiesību akts nenosaka ne datu
apstrādes apjomu, ne veidu un neuzliek konkrētu juridisko
pienākumu. Piemēram, šo tiesisko pamatu piemēro datu
apstrādei, kas tiek veikta atbilstoši Likuma 44. pantam,
kurš nosaka kredītiestāžu un finanšu iestāžu tiesības savstarpēji
apmainīties ar informāciju (skatīt rokasgrāmatas 5.7.
apakšnodaļu). Šo pamatu var piemērot arī situācijā, kad
kredītiestāde novērtē savu klientu datus, izmantojot kredīta
uzziņas datubāzi vai nelikumīgi iegūtu līdzekļu legalizēšanas un
terorisma finansēšanas novēršanas vai krāpšanas datubāzi.
Savukārt situācijās, kad pārzinim nav rīcības brīvības, jo
jāizpilda juridiskais pienākums, datu apstrāde ir jāveic uz
"c" apakšpunkta pamata;
417.3. leģitīmās intereses - Datu regulas 6. panta 1.
punkta "f" apakšpunkts, kas ļauj veikt personas datu
apstrādi "pārziņa vai trešo personu leģitīmo interešu
ievērošanai", pamatojot katru gadījumu atsevišķi. Uz šo
tiesisko pamatu var balstīties, piemēram, lai: celtu, īstenotu
vai aizstāvētu likumīgas prasības; glabātu datus papildus
termiņam, kas noteikts Likuma 37. panta otrajā daļā (skatīt
rokasgrāmatas 461. punktu); apmainītos ar datiem sankciju
ievērošanas vajadzībām.
Lai veiktu personas datu apstrādi uz šā tiesiskā pamata,
pārzinim ir nepieciešams veikt novērtējumu, vai un kādas
konkrētas pārziņa vai trešās personas leģitīmās intereses
konkrētajā datu apstrādes gadījumā būs vērtējamas augstāk par
datu subjekta pamattiesībām, pamatbrīvībām un interesēm.
Līdzsvarojot intereses, pārziņi tiek aicināti izmantot 29. panta
Datu aizsardzības darba grupas izstrādāto Atzinumu 06/2014 par
personas datu apstrādātāja leģitīmo interešu jēdzienu saskaņā ar
Direktīvas 95/46/EK 7. pantu66. Par datu subjektu
tiesībām iebilst pret datu apstrādi, kas balstīta uz šo tiesisko
pamatu, informācija sniegta rokasgrāmatas 7.5. apakšnodaļā.
Interešu balansēšanas novērtējums ir jāveic katrā individuālā
gadījumā, ņemot vērā datu subjekta un pārziņa interešu
līdzsvarošanu.
Lai nodrošinātu pārskatatbildības principu, izvērtējumu būtu
ieteicams dokumentēt. Vienlaikus, ja pārziņa rīcībā ir izstrādāti
iekšējie normatīvie akti vai vadlīnijas, kurās ir aprakstīta
personas datu apstrādes nepieciešamība un kārtība, atsevišķs
izvērtējums nav nepieciešams.
Interešu līdzsvarošana jāveic, sākotnēji definējot nolūku,
kura sasniegšanai datu apstrāde nepieciešama (nolūkam jābūt
likumīgam, skaidram un reālam), jāveic novērtējums, kādēļ
noteiktā nolūka sasniegšanai nepieciešama personas datu apstrāde
(piemēram, kādēļ šo nolūku nav iespējams sasniegt, izmantojot
personas privātumu mazāk skarošus līdzekļus), jāveic sākotnējais
līdzsvara novērtējums (apstrādātāja interešu veids
(komercintereses, sabiedrības intereses, pamattiesības u.c.)),
jānovērtē potenciālais kaitējums, ja apstrāde netiek veikta, datu
subjekta statuss (piemēram, nepilngadīgais, pensionārs,
nodarbinātais), datu apstrādes veids, datu subjekta tiesību
aizskāruma lielums, datu subjekta pamatotās gaidas, ietekmes
samērojums ar labumu, piemērotie papildu drošības pasākumi (datu
minimizācija, ieviestie tehniskie un organizatoriskie pasākumi
u.c.), pārredzamības nodrošināšana, citu datu subjekta tiesību
nodrošināšana (t.sk. tas, vai un kā datu subjekts var iebilst
pret savu personas datu apstrādi atbilstoši Datu regulas
21. pantam). Ja līdzsvarošanas novērtējums nav veikts vai,
to veicot, minētie aspekti nav ņemti vērā, personas datu apstrāde
neatbildīs Datu regulas prasībām.
Papildus saskaņā ar Datu regulas 21. panta 1. punktu pārzinim
būtu jāparedz datu subjektam tiesības jebkurā laikā iebilst pret
savu personas datu apstrādi, balstoties uz iemesliem, kas
saistīti ar tā īpašo situāciju. Pārzinim būtu jānodrošina, ka
iebildumu gadījumā personas dati vairs netiek apstrādāti,
izņemot, ja pārzinis norāda uz pārliecinošiem leģitīmiem
apstrādes iemesliem, kas ir svarīgāki par datu subjekta
interesēm, tiesībām un brīvībām, vai lai celtu, īstenotu vai
aizstāvētu likumīgas prasības. Par datu subjektu tiesībām iebilst
pret datu apstrādi, kas balstīta uz šo tiesisko pamatu,
informācija sniegta rokasgrāmatas 7.5. apakšnodaļā;
417.4. piekrišana - Datu regulas 6. panta 1. punkta
"a" apakšpunkts. Piemēram, klients sniedz piekrišanu
dažādu bankas jaunumu saņemšanai. Datu pārziņa pienākums ir
nodrošināt, ka klients sniedz piekrišanu saskaņā ar Datu regulas
prasībām un pirms piekrišanas sniegšanas tam ir pieejama visa
nepieciešamā informācija.
Klienta piekrišana nav nepieciešama klienta personas datu
aktualizēšanai (labošanai), ja kredītiestāde iegūst datus no
oficiālajiem reģistriem, kuriem ir publiskā ticamība, piemēram,
no Iedzīvotāju reģistra. Ja pastāv iespēja, kredītiestāde var
pārjautāt klientam, vai tās rīcībā esošā informācija ir precīza.
Saskaņā ar Datu regulas 5. panta 1. punkta "d"
apakšpunktu personas dati ir precīzi un, ja vajadzīgs,
atjaunināti. Ir jāveic visi saprātīgie pasākumi, lai nodrošinātu,
ka neprecīzi personas dati tiek atjaunināti, ņemot vērā Datu
regulas 19. pantu, kas paredz, ka pārzinis katram saņēmējam,
kuram personas dati ir izpausti, ziņo par jebkuru personas datu
labojumu, dzēšanu vai apstrādes ierobežošanu, kas veikta saskaņā
ar Datu regulas 16. pantu, 17. panta 1. punktu un
18. pantu, izņemot, ja izrādās, ka tas nav iespējams, vai ja
tas ir saistīts ar nesamērīgi lielām pūlēm. Pārzinis informē datu
subjektu par minētajiem saņēmējiem, ja datu subjekts to
pieprasa.
7.2. Īpašu kategoriju personas datu
apstrāde
418. Atbilstoši Datu regulas 9. panta 1. punktam ir aizliegta
īpašu kategoriju personas datu apstrāde, proti, tādu personas
datu apstrāde, kas atklāj rases vai etnisko piederību,
politiskos uzskatus, reliģisko vai filozofisko pārliecību vai
dalību arodbiedrībās un ģenētiskos datus, biometrijas datus, lai
veiktu fiziskas personas unikālu identifikāciju, veselības datus
vai datus par fiziskas personas dzimumdzīvi vai seksuālo
orientāciju. Tomēr šo punktu nepiemēro, ja ir piemērojams
kāds no Datu regulas 9. panta 2. punktā norādītajiem izņēmumiem
vai 9. panta 4. punkts, ja noteikta ES dalībvalsts ir
paredzējusi citu kārtību attiecībā uz veselības, ģenētisko vai
biometrijas datu apstrādi. Šie izņēmumi ir piemērojami papildus
tiesiskajam pamatam, kas jānosaka atbilstoši Datu regulas 6.
panta 1. punktam (skatīt rokasgrāmatas 7.1. apakšnodaļu).
Piemēram, ja parasto personas datu apstrāde notiek sabiedrības
interesēs (Datu regulas 6. panta 1. punkta "e"
apakšpunkts), īpašu kategoriju personas datu apstrāde var notikt,
pamatojoties uz Datu regulas 9. panta 2. punkta "g"
apakšpunktā minēto papildu nosacījumu, ja šāda datu apstrāde
izriet no ES vai tās dalībvalsts tiesību aktiem. Uzskatāms,
ka Likumā un Sankciju likumā ietvertās sabiedrības intereses ir
būtiskas.
419. Pirms datu apstrādes pārzinim jāpārbauda, vai konkrētajā
gadījumā tiek veikta īpašu kategoriju personas datu apstrāde.
Praksē šādu datu apstrāde var arī nenotikt, ja nav tiešā nolūka
šos datus iegūt un apstrādāt. Piemēram, veicot naudas
izcelsmes pārbaudi, pārzinis iegūst informāciju par to, ka nauda
tiek pārskaitīta no valsts, kur prevalē viena reliģiskā
pārliecība. Līdz ar to var rasties nepareizs priekšstats, ka tiek
apstrādāti dati par fiziskās personas reliģisko pārliecību.
Secinājums tiek izdarīts no informācijas par valsti, nevis tieši
no tā, ka konkrētai personai ir X reliģiskā pārliecība. Līdz ar
to informācija par valsti automātiski nevar būt uzskatāma par
informāciju par konkrētas personas reliģisko pārliecību.
Tomēr, pārbaudot politiski
nozīmīgas personas statusu, var netiešā veidā iegūt īpašu
kategoriju personas datus - datus par šīs personas politiskajiem
uzskatiem (saistībā ar piederību noteiktai politiskajai partijai)
-, taču to apstrāde atkarīga no nolūka esamības un tā, vai ir
atbilstošs tiesiskais pamats šos datus apstrādāt.
Biometrijas datu apstrāde
420. Attiecībā uz biometrijas datu apstrādi papildus
jāņem vērā, ka atbilstoši Datu regulas 4. panta
14. punktam biometrijas dati ir "personas dati pēc
specifiskas tehniskas apstrādes, kuri attiecas uz fiziskas
personas fiziskajām, fizioloģiskajām vai uzvedības pazīmēm, kas
ļauj veikt vai apstiprina minētās fiziskās personas unikālu
identifikāciju, piemēram, sejas attēli vai daktiloskopijas
dati".
421. Biometrijas datu kā īpašu kategoriju personas datu
apstrāde ir iespējama, ja pastāv vismaz viens no Datu regulas 6.
panta 1. punktā minētajiem tiesiskajiem pamatiem un papildus kāds
no nosacījumiem, kas minēti Datu regulas 9. panta 2. vai 4.
punktā.
Kā piemēru var minēt Ministru kabineta 03.07.2018.
noteikumu Nr. 392679. punktu, kas nosaka, ka,
neklātienes identifikācijas gadījumā izmantojot
videoidentifikāciju vai personu apliecinošā dokumenta
fotouzņēmuma un pašportreta elektroniskā fotouzņēmuma
salīdzināšanu ar tehniskiem līdzekļiem, Likuma subjekts veic no
personas iegūto personas biometrijas datu atpazīšanu un
salīdzināšanu. Ņemot vērā, ka apstrādi nosaka normatīvais
regulējums, biometrijas datu apstrādes tiesiskais pamats izriet
no Datu regulas 6. panta 1. punkta "c" apakšpunkta un
9. panta 2. punkta "g" apakšpunkta. Likuma 22.
panta otrās daļas 1. punkta "b" apakšpunkts
paredz, ka Likuma subjekts veic klienta padziļinātu izpēti,
tostarp, uzsākot un uzturot darījuma attiecības vai veicot
gadījuma rakstura darījumu ar klientu, kas nav personīgi
piedalījies identifikācijas procedūrā klātienē, izņemot gadījumu,
kad tiek izpildīts šāds nosacījums: klienta identifikācija,
izmantojot tehnoloģiskos risinājumus, kas ietver
videoidentifikāciju vai drošu elektronisko parakstu, vai citus
tehnoloģiskos risinājumus, tiek veikta Ministru kabineta
noteiktajā apjomā un kārtībā. Likuma 22. panta trešā daļa paredz,
ka atbilstoši šā panta otrās daļas 1. punkta
"b" apakšpunktam Ministru kabinets nosaka klienta
identifikācijas apjomu un kārtību, izmantojot tehnoloģiskos
risinājumus, kas ietver videoidentifikāciju vai drošu
elektronisko parakstu, vai citus tehnoloģiskos risinājumus.
Attiecīgi Ministru kabineta 03.07.2018. noteikumi Nr. 392 paredz
iespēju NILLTPF riska noteikšanai izmantot tādu tehnoloģisko
risinājumu kā videoidentifikācija (7.2. apakšpunkts) vai personu
apliecinoša dokumenta fotouzņēmuma un pašportreta elektroniska
fotouzņēmuma salīdzināšana (7.4. apakšpunkts) u.c. Šo noteikumu
9. punkts paredz, ka Likuma subjekts šo noteikumu 7.2. un 7.4.
apakšpunktā minētajā gadījumā, izmantojot noteiktus risinājumus
(tostarp tehnoloģiskos), nodrošina to identifikācijas dokumenta
drošības elementu pārbaudi, kurus iespējams un nepieciešams
tehniski pārbaudīt attālināti, kā arī attālinātās identifikācijas
laikā veic no personas iegūto personas biometrijas datu
atpazīšanu un salīdzināšanu. Piemērojot šo noteikumu 7.2. vai
7.4. apakšpunktu, personu apliecinoša dokumenta ekrānuzņēmums
uzskatāms par ekvivalentu personu apliecinoša dokumenta kopijai
likuma izpratnē. Līdz ar to secināms, ka, ja Likuma subjekts veic
neklātienes identifikāciju, tad šāds pienākums tam izriet no
normatīvā regulējuma (Datu regulas 6. panta 1. punkta
"c" apakšpunkts).
422. Atbilstoši Datu regulas 51. apsvērumā noteiktajam
"fotogrāfiju apstrāde nebūtu sistemātiski jāuzskata par
īpašu kategoriju personas datu apstrādi, jo uz tām biometrijas
datu definīcija attiecas tikai tad, kad tās apstrādās ar
konkrētiem tehniskiem līdzekļiem, kas ļauj veikt fiziskas
personas unikālu identifikāciju vai
autentifikāciju".
Piemērs
Biometrijas datu apstrāde ir gadījums, kad Likuma
subjekts, lai izpildītu Likuma prasības klienta
identifikācijai, apstrādā biometrijas datus ar tehniskajiem
līdzekļiem, lai unikāli identificētu konkrēto klientu.
Visbiežāk tas tiek darīts, izmantojot veidnes, ko izveido,
izgūstot būtiskākās iezīmes no biometrijas izejas datiem,
piemēram, sejas mērījumus no attēla (šādu veidni sauc par
biometrisko matrici). Identifikācija konkrētajā gadījumā
var nebūt personas vārda, uzvārda vai personas koda
noteikšana, bet gan personas unikāla nošķiršana no citām
personām un iespēja personu atpazīt atkārtotā
saskarsmē.
Savukārt, ja informācijas apstrādes nolūks ir vienas
datu kategorijas nodalīšana no citas, bet unikāla fiziskas
personas identifikācija ar tehniskajiem līdzekļiem šajā
procesā netiek veikta, piemēram, gadījumos, kad
kredītiestādes darbinieks vizuāli salīdzina iesūtītu
klienta pašportreta fotouzņēmumu ar iesūtīto personu
apliecinošā dokumenta personas attēlu, tad to neuzskata par
biometrijas datu apstrādi.
423. Nofilmēto materiālu, kurā redzams indivīds, pašu
par sevi nevar uzskatīt par biometrijas datiem saskaņā ar Datu
regulas 9. pantu, ja tas nav ticis īpaši tehniski apstrādāts, lai
atvieglotu indivīda identificēšanu. Lai to uzskatītu par īpašas
kategorijas personas datu apstrādi (Datu regulas 9. pants),
biometrijas datiem jābūt apstrādātiem "nolūkā veikt fiziskas
personas unikālu identifikāciju".
424. Eiropas Datu aizsardzības kolēģijas Pamatnostādņu 3/2019
par personas datu apstrādi, izmantojot videoierīces,68
5.1. nodaļas "Vispārēji apsvērumi biometrijas datu
apstrādē" 76. punkts nosaka kritērijus, kas jāņem vērā
attiecībā uz Datu regulas 4. panta 14. punkta un
9. panta piemērošanu:
424.1. Datu veids - dati, kas attiecas uz fiziskas personas
fiziskajām, fizioloģiskajām vai uzvedības pazīmēm.
Piemērs
Personas fotoattēls tiek salīdzināts ar personas
pašportreta fotouzņēmumu vai video attēlu reālajā laikā -
tas viennozīmīgi attiecas uz personas fiziskajām pazīmēm
(sejas punkti).
424.2. Apstrādes līdzekļi un veids - dati "pēc
specifiskas tehniskas apstrādes".
Piemērs
Veicot neklātienes identifikāciju, personas fotogrāfija
(personu apliecinoša dokumenta attēls un personas
pašportreta fotouzņēmums vai personas sejas video attēls
reālajā laikā) ar tehniskiem līdzekļiem tiek apstrādāta,
lai iegūtu informāciju, ka dokumenta foto attēlotā persona
ir tā pati persona, kas izmanto, piemēram, mobilo
lietotni.
424.3. Apstrādes nolūks - datiem jābūt izmantotiem nolūkā
veikt fiziskas personas unikālu identifikāciju.
Piemērs
Unikāla identifikācija būtu tādā gadījumā, ja pēc
fotoattēlu iesniegšanas mobilajā lietotnē ar tehniskiem
līdzekļiem būtu iespējams identificēt konkrētu fizisko
personu, proti, ja pēc fotoattēla šī persona tiktu atpazīta
kā, piemēram, Jānis Bērziņš.
425. Ja konstatēts, ka ar plānoto, jo īpaši jauno, tehnoloģiju
tiks apstrādāti biometrijas dati, tad, ņemot vērā apstrādes
raksturu, apjomu, kontekstu un nolūkus, saskaņā ar Datu regulas
35. panta 1. punktu jāvērtē nepieciešamība veikt
novērtējumu par ietekmi uz datu aizsardzību, ja vien nav
piemērojami šā panta 10. punktā minētie izņēmumi (skatīt
rokasgrāmatas 7.4. apakšnodaļu).
426. Likums nosaka, ka Likuma subjektam ir jāveic klienta
izpēte Likumā noteiktajos gadījumos. Piemēram, Likuma
11.1 panta pirmās daļas 5. punkts paredz, ka klienta
izpētes pasākumi ir uz risku novērtējumu balstīts darbību kopums,
kura ietvaros Likuma subjekts "nodrošina klienta izpētes
gaitā iegūto dokumentu, personas datu un informācijas
uzglabāšanu, regulāru izvērtēšanu un aktualizēšanu atbilstoši
piemītošajiem riskiem, bet ne retāk kā reizi piecos
gados". Līdz ar to secināms, ka arī biometrijas dati
būtu jāuzglabā, ja tie ir iegūti klienta izpētes ietvaros.
Ministru kabineta 03.07.2018. noteikumu Nr. 392 14. punkts
nosaka, ka, "ja atbilstoši šo noteikumu prasībām var
piemērot šo noteikumu 7.4. apakšpunktā paredzēto neklātienes
identifikācijas veidu, tad likuma subjekts nodrošina attēla
auditācijas pierakstu ar nemaināmu laika zīmogu, neklātienē
identificētās fiziskās personas vārdu un uzvārdu, kā arī
interneta savienojuma IP adresi". Fizisko personu datu
apstrādes likuma (turpmāk - FPDA likums) 37. panta otrā daļa
nosaka: "Ja pārzinim ir noteikts pienākums nodrošināt
sistēmas auditācijas pierakstu uzglabāšanu, tie ir uzglabājami ne
ilgāk kā vienu gadu pēc ieraksta izdarīšanas, ja normatīvie akti
vai apstrādes raksturs nenosaka citādi." Ņemot vērā, ka
datu apstrādi nosaka Likums, datu glabāšanas termiņš jānosaka
atbilstoši Likumam.
427. Sīkāka informācija par biometrijas datu apstrādi
skaidrota arī šādos resursos:
https://www.dvi.gov.lv/lv/dviskaidro-biometrijas-datu-apstradi-mazumtirdznieciba;
https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_lv.pdf;
https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2012/wp193_lv.pdf.
7.3. Personas datu apstrāde par
sodāmību un pārkāpumiem
428. Atbilstoši Datu regulas 10. pantam personas datu apstrāde
par sodāmību un pārkāpumiem vai ar tiem saistītiem drošības
pasākumiem jāveic, pamatojoties uz kādu no Datu regulas
6. panta 1. punktā noteiktajiem tiesiskajiem pamatiem
(skatīt rokasgrāmatas 7.1. apakšnodaļu) un tikai oficiālās
iestādes kontrolē vai tad, ja apstrādi atļauj ES vai tās
dalībvalsts tiesību akti.
"Oficiālās iestādes kontrolē" nozīmē, ka apstrādi
par sodāmību vai pārkāpumiem var veikt tikai tās iestādes, kurām
šī apstrāde ir pamatota, piemēram, noteikta normatīvajā aktā, vai
kompetentās iestādes, ja to veic krimināltiesību jomā. Oficiālās
iestādes nevar personas datus darīt publiski pieejamus,
neuzliekot personai, kura pieprasa piekļuvi, pienākumu pamatot šo
datu iegūšanu ar konkrētām interesēm. Piemēram, lai iegūtu
izziņu par personas sodāmību, personai vai uzņēmumam būtu
jāvēršas ar pieprasījumu pie Iekšlietu ministrijas Informācijas
centra kā Sodu reģistra turētāja un jāpamato savs
pieprasījums.
Saskaņā ar Likuma 41. panta otrās daļas 4. punktu Likuma
prasību izpildei kredītiestādēm jāiegūst dati no Sodu reģistra,
jo tajā noteikts, ka kredītiestādēm un apdrošināšanas
komersantiem, ciktāl tie veic dzīvības apdrošināšanas vai citas
ar līdzekļu uzkrāšanu saistītas apdrošināšanas darbības, šajā
likumā noteikto pienākumu izpildei ir tiesības pieprasīt un bez
maksas saņemt, kā arī glabāt un citādi apstrādāt informāciju
no Sodu reģistra - ziņas par klienta, tā patieso labuma
guvēju un pārstāvju, kā arī par personas, kura izteikusi vēlmi
uzsākt darījuma attiecības ar kredītiestādi vai apdrošināšanas
komersantu, tās patieso labuma guvēju un pārstāvju sodāmību par
noziedzīgiem nodarījumiem tautsaimniecībā, kas nav dzēsta vai
noņemta, veicot klienta NILLTPF riska novērtējumu, kā arī
gadījumos, kad tiek vērtēta nepieciešamība ziņot Finanšu
izlūkošanas dienestam par aizdomīgu darījumu vai atturēties no
aizdomīga darījuma veikšanas.
Ņemot vērā, ka Likumā ir noteikts skaidrs pamatojums datu par
sodāmību un pārkāpumiem apstrādei, tad to var veikt.
Ja pārzinim nav pieejama informācija no oficiālās datubāzes
par sodāmību vai nav pieejams tiesas spriedums, kas ir stājies
spēkā, nevar būt runa par sodāmības datu apstrādi.
Vienlaikus jāuzsver, ka Eiropas Savienības Tiesa spriedumā
C-439/19 ir norādījusi, ka pārkāpumu uzskaites punkti, kuri
reģistrēti vadītājiem par ceļu satiksmes noteikumu pārkāpumiem,
ir uzskatāmi par personas datiem par sodāmību un
pārkāpumiem Datu regulas 10. panta izpratnē, norādot, ka tie
veido personas datu apstrādi par "pārkāpumiem". Līdz ar
to dati par sodāmību un pārkāpumiem attiecas gan uz krimināliem,
gan noteiktos gadījumos uz administratīviem pārkāpumiem.
429. Ja tiesībaizsardzības iestādes pieprasa informāciju no
kredītiestādes un informācijas pieprasījums satur, piemēram,
ziņas par ierosināto krimināllietu vai administratīvo lietu vai
piemērotiem drošības pasākumiem, šādi dati nebūtu jāuzskata
par personas datiem par sodāmību un pārkāpumiem. Taču, ja
tiesībaizsardzības iestādes pieprasa veikt noteiktas darbības,
piemēram, bloķēt kontu, pieprasījumā esošie dati būtu
jāuzskata par datiem, kas saistīti ar drošības pasākumiem. No
tiesībaizsardzības iestādēm iegūtos datus var uzskatīt par
tādiem, kas saņemti oficiālās iestādes kontrolē.
430. Gadījumos, kad tiek veikta klienta izpēte Likuma
ietvaros, ir atļauts izmantot informācijas līdzekļos publiski
pieejamo, tostarp negatīvo, informāciju, izvērtējot katrai
atsevišķai situācijai atbilstošās informācijas aktualitāti un
izvairoties no pārmērīgas datu apstrādes. Datu pārziņa pienākums
ir izmantot autoritatīvus avotus un izvairīties no tādiem, kuri
varētu sniegt maldinošu vai nepatiesu informāciju par indivīdu.
Atkarībā no konkrētās situācijas jāņem vērā tik sena informācija,
cik tā varētu būt noderīga atbilstoši faktiskajiem apstākļiem un
saderīga ar datu apstrādes nolūku.
7.4. Datu regulā noteikto iekšējo
procesu atbilstības nodrošināšana
431. Ievērojot normatīvo aktu juridisko hierarhiju starp
Likumu un Datu regulu, kolīzijas situācijā augstāks spēks ir Datu
regulai.
432. Saskaņā ar Datu regulas 24. panta 1. un 2.
punktu, ņemot vērā apstrādes raksturu, apjomu, kontekstu un
nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes
riskus attiecībā uz fizisku personu tiesībām un brīvībām,
pārzinis īsteno atbilstošus tehniskus un organizatoriskus
pasākumus, lai nodrošinātu un spētu uzskatāmi parādīt, ka
apstrāde notiek saskaņā ar šo regulu. Ja nepieciešams, minētos
pasākumus pārskata un atjaunina.
433. Atbilstoši Datu regulas 35. panta 1. punktam, ja datu
apstrādes veids, jo īpaši, izmantojot jaunās tehnoloģijas, kā arī
ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus,
varētu radīt augstu risku fizisko personu tiesībām un brīvībām,
pārzinim ir pienākums pirms apstrādes veikt novērtējumu, kā
plānotās apstrādes darbības ietekmēs fiziskās personas datu
aizsardzību, proti, novērtējumu par ietekmi uz datu aizsardzību
(turpmāk - NIDA).
434. Datu valsts inspekcija ir sagatavojusi sarakstu
"Apstrādes darbību veidi, attiecībā uz kuriem ir
rekomendējams veikt datu aizsardzības ietekmes novērtējumu
saskaņā ar Datu regulas 35. panta
4. punktu"69. Daži piemēri no šī
saraksta, kad pārzinim jāveic NIDA:
- finanšu iestāde novērtē savu klientu datus, izmantojot
kredīta uzziņas datubāzi vai nelikumīgi iegūtu līdzekļu
legalizēšanas un terorisma finansēšanas novēršanas vai krāpšanas
datubāzi (skatīt rokasgrāmatas 417.2. punktu);
- biometrijas datu (skatīt rokasgrāmatas 7.2.
apakšnodaļu) apstrāde ar mērķi identificēt fizisku personu
kopā ar vismaz vienu no kritērijiem;
- automātiska personas datu apstrāde plašā mērogā un datu
apstrāde, kā pamatā ir profilēšana (skatīt rokasgrāmatas 7.7.
apakšnodaļu).
435. Izņēmums ir noteikts Datu regulas 35. panta 10. punktā,
kas paredz, ka, ja saskaņā ar Datu regulas 6. panta 1. punkta
"c" un "e" apakšpunktu veiktās apstrādes
tiesiskais pamats ir noteikts Latvijas Republikas vai ES tiesību
aktos, kuri ir piemērojami pārzinim, un minētie tiesību akti
reglamentē konkrēto apstrādes darbību vai minēto darbību kopumu,
un NIDA jau ir veikts kā daļa no vispārējā ietekmes novērtējuma
saistībā ar minētā tiesiskā pamata pieņemšanu, Datu regulas
35. panta 1.-7. punktu (attiecas uz to, kā un kad jāveic
NIDA) nepiemēro.
Datu regulas 93. apsvērums paredz, ka, ja pieņem dalībvalsts
tiesību aktus, kuri ir publiskas iestādes vai publiskas
struktūras uzdevumu izpildes pamatā un ar kuriem regulē attiecīgo
konkrēto apstrādes darbību vai apstrādes darbību kopumu,
dalībvalstis var uzskatīt, ka pirms apstrādes darbībām ir
nepieciešams veikt NIDA.
No minētā secināms, ka sākotnējais vispārējais ietekmes
novērtējums ir jāveic likumdevējam normatīvā akta izstrādes
procesā, savukārt pārziņiem būtu jāveic NIDA attiecībā uz
normatīvajā aktā minēto personas datu apstrādi tikai tad, ja tas
būtu atsevišķi noteikts normatīvajā aktā.
7.5. Datu subjektu tiesību
īstenošana
436. Ikviens pārzinis savā darbībā ir atbildīgs par Datu
regulā noteikto principu ievērošanu. Īpaši svarīgs ir
pārredzamības princips, jo pārziņa pienākums ir nodrošināt datu
subjektam pārskatāmu, saprotamu, vispusīgu informāciju par esošo
vai plānoto personas datu apstrādi. Uzsākot personas datu
apstrādi un nenodrošinot skaidras un saprotamas informācijas
pieejamību datu subjektam, tiek apdraudēta datu subjekta tiesību
realizēšana un Datu regulas noteikumu ievērošana.
437. Attiecībā uz informācijas sniegšanu 29. panta Datu
aizsardzības darba grupa Pārredzamības pamatnostādnēs saskaņā ar
Regulu 2016/67970 ir uzsvērusi, ka personas datu
apstrādes nolūkiem un tiesiskajam pamatam ir jābūt skaidram,
informācijai ir jābūt konkrētai un galīgai, bez abstrakcionisma,
neviennozīmīga formulējuma vai plašām interpretācijas iespējām.
Datu regulas 12. panta 1. punkts nosaka, ka pārzinis veic
atbilstošus pasākumus, lai kodolīgā, pārredzamā, saprotamā un
viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu,
datu subjektam sniegtu visu Datu regulas 13. un
14. pantā minēto informāciju un nodrošinātu visu Datu
regulas 15.-22. pantā un 34. pantā minēto saziņu
attiecībā uz apstrādi, jo īpaši attiecībā uz visu informāciju,
kas konkrēti paredzēta bērnam. Informācija ir sniedzama un datu
subjekta tiesības ir īstenojamas, ja vien nepastāv datu subjekta
tiesību ierobežojumi (skatīt rokasgrāmatas
442.-449. punktu).
438. Pārzinis informāciju sniedz rakstiski vai citā veidā,
tostarp vajadzības gadījumā elektroniskā formā, piemēram, savā
tīmekļa vietnē. Pēc datu subjekta pieprasījuma informāciju
var sniegt mutiski, tostarp vajadzības gadījumā identificējot
datu subjektu pirms informācijas sniegšanas. Vispārīgas
informācijas sniegšanai par datu apstrādi datu subjekta pilnā
identifikācija nav nepieciešama, ja vien to neparedz tiesību akti
vai pārziņa iekšējās kārtības noteikumi. Kredītiestādēm ir
rekomendējams apmācīt darbiniekus, kas tieši komunicē ar
klientiem, par datu apstrādes nolūkiem un to pamatojumu, lai
darbinieki varētu paskaidrot datu apstrādes nepieciešamību.
439. Uzskatāms, ka pārzinis ir sniedzis nepieciešamo
informāciju atbilstoši Datu regulas 12.-14. pantam, ja pārzinis
iekļauj savā privātuma politikas dokumentā vai citā dokumentā
(piemēram, līgumā ar klientu) vispārīgu informāciju par
to, ka tiek veikta datu apstrāde NILLTPFN jomā, pamatojoties uz
juridisko pienākumu vai sabiedrības interesēm. Par datu apstrādes
nolūkiem, kas pamatoti ar citiem tiesiskajiem pamatiem
(piemēram, pārziņa leģitīmajām interesēm), informācija
jāsniedz atsevišķi, bet ir pieļaujams darīt to tajos pašos
dokumentos.
440. Pārskatatbildības princips ir īpaši svarīgs tieši tādēļ,
ka, nesniedzot datu subjektam pārskatāmu, saprotamu, vispusīgu
informāciju par esošo vai plānoto personas datu apstrādi, datu
subjekts nevar pienācīgi īstenot savas datu aizsardzības
tiesības, ja vien tās nav ierobežotas.
441. Attiecībā uz informācijas sniegšanu 29. panta Datu
aizsardzības darba grupa Pārredzamības pamatnostādnēs saskaņā ar
Regulu 2016/67971 ir uzsvērusi, ka personas datu
apstrādes nolūkiem un tiesiskajam pamatam ir jābūt skaidram,
informācijai ir jābūt konkrētai un galīgai, bez abstrakcionisma,
neviennozīmīga formulējuma vai plašām interpretācijas iespējām.
Tādējādi pārziņa pienākums ir nodrošināt datu subjektu ar
informāciju par datu apstrādes nolūku un tiesisko pamatu tādā
veidā, lai datu subjektam būtu viennozīmīgi saprotams gan veiktās
personas datu apstrādes nolūks, gan tiesiskais pamats. Katras
apstrādes nolūki būtu nodalāmi, ievērojot Datu regulā noteiktos
personas datu apstrādes principus, tostarp "nolūka
ierobežojumu" un "datu minimizēšanas"
principus.
442. Datu regulas 12. panta 2. punkts nosaka, ka pārzinis
veicina datu subjekta tiesību īstenošanu saskaņā ar Datu regulas
15.-22. pantu.
443. Saskaņā ar Datu regulas 12. panta 3. punktu pārzinis
bez nepamatotas kavēšanās un jebkurā gadījumā mēneša laikā pēc
pieprasījuma saņemšanas datu subjektu informē par darbību, kas
pēc pieprasījuma veikta saskaņā ar Datu regulas
15.-22. pantu. Vajadzības gadījumā minēto laikposmu var
pagarināt vēl par diviem mēnešiem, ņemot vērā pieprasījumu
sarežģītību un skaitu. Pārzinis informē datu subjektu par jebkuru
šādu pagarinājumu un kavēšanās iemesliem mēneša laikā pēc
pieprasījuma saņemšanas.
444. Pārzinis sniedz atbildi rakstiski, piemēram, nosūta datu
subjektam elektroniskā formā (e-pasta ziņojumā vai kā ziņu
internetbankā), izsniedz filiālē vai nosūta ar pasta komersanta
starpniecību. Saskaņā ar Datu regulas 12. panta 3. punktu, ja
datu subjekts pieprasījumu iesniedz elektroniskā formā,
informāciju tam, ja iespējams, sniedz elektroniskā formā,
izņemot, ja datu subjekts pieprasa citādi. Pēc datu subjekta
pieprasījuma informāciju var sniegt mutiski - ar noteikumu,
ka pirms informācijas sniegšanas datu subjekta identitāte ir
pierādīta veidos, kādus paredz tiesību akti vai pārziņa iekšējās
kārtības noteikumi.
445. Datu regulas 23. panta 1. punktā noteikts, ka saskaņā ar
ES vai dalībvalsts tiesību aktiem, kas piemērojami datu pārzinim
vai apstrādātājam, ar leģislatīvu pasākumu var ierobežot to
pienākumu un tiesību darbības jomu, kas paredzētas
12.-22. pantā un 34. pantā, kā arī 5. pantā,
ciktāl tā noteikumi atbilst 12.-22. pantā paredzētajām
tiesībām un pienākumiem, ja ar šādu ierobežojumu tiek
ievērota pamattiesību un pamatbrīvību būtība un tas demokrātiskā
sabiedrībā ir nepieciešams un samērīgs, lai garantētu noziedzīgu
nodarījumu novēršanu, izmeklēšanu, atklāšanu vai saukšanu pie
atbildības par tiem, vai kriminālsodu izpildi, tostarp
aizsardzību pret sabiedriskās drošības apdraudējumiem un to
novēršanu ("d" apakšpunkts), citus svarīgus ES vai
dalībvalsts vispārējo sabiedrības interešu mērķus, jo īpaši ES
vai dalībvalstij svarīgas ekonomiskās vai finanšu intereses,
tostarp monetāros, budžeta un nodokļu jautājumus, sabiedrības
veselību un sociālo nodrošinājumu ("e"
apakšpunkts).
446. FPDA likuma 26. pantā paredzēts, ka, ievērojot Datu
regulas 23. pantu, datu subjekta tiesības var ierobežot citos
normatīvajos aktos paredzētos gadījumos. Savukārt saskaņā ar FPDA
likuma 27. panta pirmo daļu datu subjektam nav tiesību saņemt
Datu regulas 15. pantā norādīto informāciju, ja šo informāciju
aizliegts izpaust saskaņā ar normatīvajiem aktiem, lai
nodrošinātu sabiedrības finansiālās intereses nodokļu
aizsardzības, noziedzīgi iegūtu līdzekļu legalizācijas un
terorisma finansēšanas novēršanas jomā vai finanšu tirgus
dalībnieku uzraudzību un to garantiju sistēmu darbību,
noregulējuma piemērošanu un makroekonomisko analīzi.
447. Minētie datu subjekta tiesību ierobežojumi noteikti
Likuma 5.2 panta otrajā daļā, kas paredz, ka Likuma
subjekti, slēgtā vai atvērtā kopīgā klienta izpētes rīka
pakalpojuma sniedzēji, uzraudzības un kontroles institūcijas,
Finanšu izlūkošanas dienests, Uzņēmumu reģistrs un Likuma 41.
pantā minēto reģistru pārziņi datu subjektam nesniedz informāciju
par Likuma ietvaros veikto datu apstrādi NILLTPFN jomā, izņemot
publiski pieejamos datus. Likuma 5.2 panta otrā daļa
jāinterpretē kopsakarā ar Datu regulas 23. pantu un
jāuzskata, ka Likumā minētais ierobežojums attiecas tikai uz datu
subjekta piekļuves tiesībām.
Līdz ar to Likums ierobežo datu subjekta tiesības piekļūt
personas datiem, kurus kredītiestāde par to apstrādā Likuma mērķu
sasniegšanai. Ņemot vērā, ka pats ierobežojums satur izņēmumu -
"izņemot publiski pieejamus datus" -, tas būtu jāsaprot
tā, ka datu subjektam tomēr ir pieeja noteiktai daļai no personas
datiem un attiecībā uz noteiktu personas datu kategoriju tam ir
piekļuves tiesības. Publiski pieejami dati ir tādi personas dati,
kas vienlīdz pieejami gan Likuma subjektam, gan datu subjektam.
Piemēram, par publiski pieejamiem datiem var tikt uzskatīti
paša datu subjekta Likuma subjektam sniegtie dati par sevi un
informācija, kas ir bez maksas pieejama valsts publiski pieejamos
reģistros (piemēram, Uzņēmumu reģistrā pieejamie dati, kas nav
uzskatāmi par juridiskās personas datiem). Par publiski
pieejamiem datiem nevar tikt uzskatīti personas dati, kas tiek
iegūti klienta izpētes rezultātā, apkopojot informāciju gan no
publiski pieejamiem, gan no publiski nepieejamiem avotiem. Datu
subjekta piekļuves tiesības ir īstenojamas atbilstoši Datu
regulas 15. pantā noteiktajam un būtu nodalāmas no dokumentu
kopiju izsniegšanas.
Personas datu kopija nav tas pats, kas dokumenta kopija. Datu
regulas 15. pantā noteikto datu subjekta tiesību mērķis ir
datu subjekta kontroles pār personas datu izmantošanu noteikšana,
līdz ar to datu subjektam ir tiesības zināt, kādus datus par to
pārzinis apstrādā, bet tiesības nav attiecināmas uz visām to
materiālu kopijām, kuras atrodas pārziņa rīcībā, kas, iespējams,
satur komercnoslēpumu, trešo personu datus u.c. informāciju.
Datu regulā norādītie pārziņa pienākumi, proti, piekļuves
attiecīgajiem personas datiem apstiprinājums un personas datu
kopijas nodrošināšana, ir vienlīdz saistīti ar datu subjekta
kontroli pār tā personas datiem, t.sk. iespēju labot kļūdas vai
neprecizitātes datos, nevis datu subjekta tiesībām kontrolēt
pārzini un tā rīcībā esošo informāciju.
Datu subjektu tiesību realizācija ir saistāma ar minēto
tiesību iekļaušanas Datu regulā mērķi, proti, Datu regulas
preambulas 7. apsvērumā ir minēts, ka fiziskai personai būtu
jāspēj kontrolēt savus datus. Līdz ar to arī datu subjekta
tiesību īstenošana attiecināma uz pasākumiem, ko datu subjekts
veiktu savu datu apstrādes kontroles nodrošināšanai (1. vai
konkrētā persona manus datus apstrādā; 2. vai attiecībā uz
mani, pamatojoties uz datiem, tiek pieņemti kādi lēmumi;
3. vai dati, kas tiek apstrādāti, ir precīzi; 4. vai
mani dati tiek nodoti kādam citam u.c.). Līdz ar to personas
datu kopijas izsniegšanas jautājums nav saistīts ar dokumentu
kopiju saņemšanu no pārziņa lietvedības sistēmas vai citas
pārziņa sistēmas, jo personas datu kopija nav dokumentu kopija.
Proti, ar datu kopiju saprotama informācija, kas atspoguļo
pārziņa rīcībā esošos datu subjekta personas datus tādā formā un
veidā, kādā tie tiek apstrādāti, piemēram, pārziņa rīcībā ir šādi
personas dati: vārds, uzvārds (Jānis Bērziņš), dzimšanas
vieta (Aizkraukle) u.tml.
Attiecībā uz citu datu subjekta tiesību piemērošanu būtu jāņem
vērā tiesību uz piekļuvi datiem īstenošanas piemērošana un
tiesiskais pamats katrai konkrētai personas datu apstrādei. Datu
subjekta tiesību īstenošana ir jāizvērtē kopsakarā ar personas
datu apstrādes tiesisko pamatu un Datu regulā noteiktajiem datu
subjektu tiesību nodrošināšanas priekšnosacījumiem.
Vērtējot tiesības uz datu dzēšanu, jāņem vērā, ka tās nevar
tikt izmantotas, ja iestājas Datu regulas 17. panta 3. punkta
"b" apakšpunktā minētais nosacījums, atbilstoši kuram
datu dzēšana nav iespējama, ja dati jāapstrādā atbilstoši ES vai
dalībvalsts tiesību aktiem, piemēram, Likumam.
Tāpat vērtējams katras personas datu apstrādes tiesiskais
pamats, lai novērtētu, vai var tikt izmantotas tiesības uz datu
pārnesamību un tiesības iebilst pret savu datu apstrādi
atbilstoši Datu regulas 20. un 21. pantam. Tiesības uz datu
pārnesamību nevar tikt izmantotas, ja attiecībā uz klienta izpēti
datu apstrādes tiesiskais pamats nav Datu regulas 6. panta 1.
punkta "a" vai "b" apakšpunkts, bet gan
Datu regulas 6. panta 1. punkta "c", "e" vai
"f" apakšpunkts.
Tāpat tiesības iebilst nevar tikt attiecinātas uz datu
apstrādi, kas tiek veikta uz likuma pamata (Datu regulas 6. panta
1. punkta "c" apakšpunkts). Tiesības iebilst varētu
tikt izmantotas tikai attiecībā uz tādu datu apstrādi, kas veikta
uz Datu regulas 6. panta 1. punkta "e" vai
"f" apakšpunkta pamata, turklāt šādā gadījumā datu
subjektam būtu jāpamato sava sevišķā situācija un apstākļi.
Tiesības labot personas datus var tikt piemērotas tiem
personas datiem, kurus datu subjekts ir iesniedzis pats vai
attiecībā uz kuriem datu subjekts ir sniedzis pamatotu
informāciju par to neprecizitāti. Datu subjekta tiesības labot
datus var īstenot, iesniedzot pieprasījumu Likuma subjektam, vai
datu subjekts tos var labot pats, izmantojot Likuma subjektu
radītos elektroniskos rīkus, piemēram, internetbankā katrs
klients var mainīt savu saziņas adresi, tālruņa numuru, e-pastu,
darbavietu u.tml. Saņemot precizētus datus no datu subjekta,
pārzinim nav jāveic grozījumi vēsturiski veiktās klientu izpētes
lietās, jo līdz labojumu iesniegšanai šie dati bija pareizi un
aktuāli. Tiesības labot datus attiecas uz personas datu apstrādi
nākotnē, sākot ar labojumu veikšanas dienu. Ja personas dati ir
iegūti no cita pārziņa, datu subjektam sākotnēji ir jāvēršas pie
pārziņa, kas ir atbildīgs par konkrēto datu precizitāti.
Piemēram, attiecībā uz Uzņēmumu reģistra reģistros
uzturētajiem datiem būtu jāvēršas Uzņēmumu reģistrā, savukārt par
Fizisko personu reģistrā uzturētajiem datiem - Pilsonības un
migrācijas lietu pārvaldē.
448. Ja tiesību ierobežojums nav noteikts tiesību aktā, datu
subjektam jāspēj īstenot savas tiesības. Piemēram, Sankciju
likumā datu subjekta tiesību ierobežojumi nav noteikti, līdz ar
to datu subjekts var īstenot savas tiesības. Taču, ja datu
apstrāde Sankciju likuma ietvaros tiek veikta kopsakarā ar
Likumu, piemērojami datu subjekta tiesību ierobežojumi.
449. Gadījumos, kad datu subjekta tiesības nav ierobežotas un
datu subjekts var īstenot tiesības uz datu dzēšanu (Datu regulas
17. pants), jāņem vērā, ka šīs tiesības var īstenot tikai pēc
Likumā noteiktā datu glabāšanas termiņa beigām (skatīt
rokasgrāmatas 7.8. apakšnodaļu), ja vien citi normatīvie akti
nenosaka ilgāku glabāšanas termiņu vai nepastāv cits pamats datus
glabāt ilgāk (piemēram, lai celtu, īstenotu vai aizstāvētu
likumīgas prasības).
7.6. Fizisko personu datu apstrāde
sadarbībā ar citiem Likuma subjektiem (nacionālā un starptautiskā
līmenī)
450. Fizisko personu datu apmaiņa Likuma 44. panta kontekstā
ir atļauta Likumā noteikto mērķu īstenošanai. Uzskatāms, ka šādas
datu apmaiņas tiesiskais pamats ir sabiedrības intereses.
451. Atbilstoši Likuma 44. pantam datu apmaiņa ir atļauta
vairākos nolūkos:
451.1. pēc korespondentbankas vai citas maksājuma izpildē
iesaistītās maksājumu iestādes vai elektroniskās naudas iestādes
pieprasījuma "kredītiestāde, maksājumu iestāde vai
elektroniskās naudas iestāde sniedz tai savu klientu un to
patieso labuma guvēju vai pilnvaroto personu identifikācijas un
izpētes gaitā iegūto informāciju un dokumentus, kas attiecas uz
darījumu, saistībā ar kuru maksājums tiek veikts" (44.
panta pirmā daļa). Šo datu nodošana korespondentbankai ir
pieļaujama uz Datu regulas 49. panta 1. punkta "b"
apakšpunkta pamata (nosūtīšana ir nepieciešama, lai izpildītu
līgumu starp pārzini un datu subjektu), ja korespondentbanka
atrodas ārpus ES vai Eiropas Ekonomikas zonas un Eiropas Komisija
attiecībā uz to nav pieņēmusi lēmumu par aizsardzības līmeņa
pietiekamību un nav nodrošinātas atbilstošas garantijas datu
nodošanai. Minētajā gadījumā kredītiestāde nenodotu informāciju,
ja klients neiniciētu maksājumu. Taču svarīgi atcerēties par datu
pārziņa pienākumu nodrošināt skaidras un saprotamas informācijas
sniegšanu klientam pirms līguma noslēgšanas un pārskatatbildības
principa ievērošanu (skatīt rokasgrāmatas 7.5. apakšnodaļu);
451.2. "kredītiestādēm un finanšu iestādēm šā likuma
mērķu īstenošanai ir tiesības tieši vai ar šo iestāžu pilnvarotas
institūcijas starpniecību savstarpēji apmainīties ar savu klientu
un to patieso labuma guvēju vai pilnvaroto personu
identifikācijas un izpētes gaitā iegūto informāciju un
dokumentiem, kā arī ar informāciju par personām, ar kurām šajā
likumā noteiktajā kārtībā nav uzsāktas vai ir izbeigtas darījuma
attiecības" (44. panta otrā daļa);
451.3. "kredītiestādēm un finanšu iestādēm vai to
pilnvarotām institūcijām, tai skaitā grupas ietvaros, šā likuma
mērķu īstenošanai ir tiesības izveidot, uzturēt un elektroniski
apstrādāt personas datus, izveidot un uzturēt personas datu
apstrādes sistēmas par klientiem un personām, ar kurām šajā
likumā noteiktajā kārtībā nav uzsāktas vai ir izbeigtas darījuma
attiecības, šo personu patiesajiem labuma guvējiem un
pilnvarotajām personām. Šādos gadījumos uz veikto personas datu
apstrādi neattiecas datu subjekta tiesības pieprasīt informāciju
par datu apstrādi, tai skaitā tās mērķiem, saņēmējiem, iegūšanas
avotiem, tiesības piekļūt saviem datiem un pieprasīt to
grozīšanu, iznīcināšanu, apstrādes pārtraukšanu vai
aizliegšanu" (44. panta trešā daļa).
Kā piemēru par datu apmaiņu pārziņu grupas ietvaros
ES robežās var minēt šādu situāciju: mātes uzņēmums kā pārzinis
nodod datus meitas uzņēmumam kā citam pārzinim.
7.7. Automatizēta lēmuma
pieņemšana
452. Saskaņā ar Datu regulas 22. panta 1. punktu datu
subjektam ir tiesības nebūt tāda lēmuma subjektam, kura pamatā ir
tikai automatizēta apstrāde, tostarp profilēšana, kas attiecībā
uz datu subjektu rada tiesiskās sekas vai līdzīgā veidā
ievērojami ietekmē datu subjektu.
Saskaņā ar Komisijas klientu izpētes noteikumu72 2.
nodaļu un citiem punktiem kredītiestādei, licencētai maksājumu
iestādei un licencētai elektroniskās naudas iestādei ir
jānodrošina automatizēta riska novērtējuma aprēķināšana, kas,
izmantojot uz riska izvērtējumu balstītu pieeju, atspoguļo ar
klientu (datu subjektu) saistīto NILLTPF risku skaitliskā
izteiksmē (scoring sistēma). Turklāt atkarībā no
piemērojamā tehnoloģiskā risinājuma skaitliskais vērtējums var
būt arī par pamatu automatizēta lēmuma pieņemšanai (minēto
noteikumu 13. punkts). Izņēmuma gadījumos kredītiestāde,
licencēta maksājumu iestāde un licencēta elektroniskās naudas
iestāde var nepiemērot automatizētu riska skaitlisko novērtējumu.
Tam jāatbilst iestādes riskam, un ir jāsaņem Komisijas rakstveida
piekrišana. Šādos gadījumos kredītiestādei, licencētai maksājumu
iestādei un licencētai elektroniskās naudas iestādei ir pienākums
pierādīt, ka tā objektīvi nodrošinās klientam piemītošā riska
izvērtējumu un noteiks klientam piemītošajam riskam atbilstošu
veicamo klienta izpētes pasākumu apjomu.
453. Aprakstītajā gadījumā var tikt pieņemts lēmums, kura
pamatā ir automatizēta apstrāde un kurš attiecībā uz datu
subjektu rada tiesiskās sekas vai līdzīgā veidā ievērojami
ietekmē datu subjektu (Datu regulas 22. panta 1. punkts),
piemēram, datu subjektam var tikt atteikta norēķinu konta
atvēršana vai attiecībā uz datu subjektu veikta padziļināta
izpēte.
454. Ņemot vērā, ka skaitliskā novērtējuma mērķis ir izvērtēt
konkrētus ar datu subjektu saistītus personiskus aspektus, kas
varētu norādīt uz risku saistībā ar tā iespējamu iesaisti
NILLTPF, šāda vērtēšana uzskatāma par profilēšanu (Datu regulas
4. panta 4. punkts).
455. Aprakstītajā gadījumā automatizētā lēmuma pieņemšana var
ietvert profilēšanu. Ņemot vērā, ka šāda datu apstrāde tiek
veikta uz Komisijas izdotā tiesību akta pamata, piemērojams Datu
regulas 22. panta 2. punkta "b" apakšpunktā minētais
izņēmums, atbilstoši kuram šāda datu apstrāde ir atļauta un uz to
neattiecas datu subjekta tiesības nebūt šāda lēmuma
subjektam.
7.8. Datu glabāšana
456. Saskaņā ar Datu regulas 5. panta 1. punkta "e"
apakšpunktu personas dati tiek glabāti veidā, kas pieļauj datu
subjektu identifikāciju, ne ilgāk, kā tas nepieciešams nolūkiem,
kādos attiecīgos personas datus apstrādā.
457. Personas datus var glabāt ilgāk, ja personas dati tiks
apstrādāti tikai arhivēšanas nolūkos sabiedrības interesēs,
zinātniskās vai vēstures pētniecības nolūkos vai statistikas
nolūkos saskaņā ar Datu regulas 89. panta 1. punktu, ar
noteikumu, ka tiek īstenoti atbilstoši tehniskie un
organizatoriskie pasākumi, kas Datu regulā paredzēti, lai
aizsargātu datu subjekta tiesības un brīvības ("glabāšanas
ierobežojums").
458. Personas dati uzskatāmi par dzēstiem tad, kad tos nav
iespējams atjaunot vai kā citādi atgūt. Ja dati no sistēmas tiek
dzēsti (piemēram, gadījumos, kad to turpmāka glabāšana sistēmā
vairs nav nepieciešama vai atbilstoša Datu regulai), tad arī
sistēmas apakšsistēmās vai citur dublētie dati ir jādzēš, ja vien
šai atsevišķajai apstrādei nav cita (jauna) tiesiskā pamata Datu
regulas izpratnē. Datu dzēšanas vietā ir pieļaujams veikt datu
anonimizāciju, veicot to tādā veidā, ka šīs darbības rezultātā
datu subjekts vairs nav identificēts vai identificējams.
459. Fizisko personu dati tiek dzēsti tad, kad to glabāšanas
mērķis ir sasniegts, un neatkarīgi no tā, kādā formātā tie tiek
glabāti.
460. Attiecībā uz klienta lietas glabāšanu, ņemot vērā, ka
klienta lieta (klienta dokumenti, kuri tiek glabāti gan
vienkopus, gan atsevišķi) var sastāvēt no dokumentiem ar dažādiem
glabāšanas termiņiem, uzskatāms, ka iestāde ir tiesīga uzglabāt
visu dokumentu kopumu, t.sk. līgumus, 10 gadus pēc visu
darījuma attiecību izbeigšanas ar klientu (atbilstoši Civillikuma
1895. pantā noteiktajam vispārīgajam saistību tiesību
noilguma termiņam, lai aizsargātu savas leģitīmās intereses
prasības gadījumā).
461. Likuma 37. panta otrās daļas redakcijā, kas bija
spēkā līdz 08.11.2017., bija noteikts pienākums Likuma subjektam
vismaz piecus gadus pēc darījuma attiecību izbeigšanas glabāt
klientu datus noteiktā apjomā. Savukārt ar 09.11.2017. spēkā
stājušos likumu "Grozījumi Noziedzīgi iegūtu līdzekļu
legalizācijas un terorisma finansēšanas novēršanas likumā"
(turpmāk - 09.11.2017. grozījumi) Likuma 37. panta otrā daļa
izteikta jaunā redakcijā, nosakot, ka Likuma subjekts klienta
datus noteiktā apjomā glabā piecus gadus pēc darījuma attiecību
izbeigšanas vai gadījuma rakstura darījuma veikšanas. Vienlaikus
ar 09.11.2017. grozījumiem Likuma 37. pants ir papildināts
ar 2.1 daļu, kas paredz pienākumu Likuma subjektam
iznīcināt tā rīcībā esošos dokumentus un informāciju par personu
pēc šajā pantā noteiktā dokumentu un informācijas glabāšanas
termiņa beigām. Līdz ar to uzskatāms, ka ar 09.11.2017. grozījumu
stāšanos spēkā Likuma subjektiem ir zudis juridiskais pienākums
glabāt klientu datus ilgāk par pieciem gadiem, ja vien nepastāv
cits nolūks un tiesiskais pamats datu glabāšanai. Likuma
subjektiem, kuri klientu datu glabāšanas termiņu bija noteikuši
ilgāku par pieciem gadiem pēc darījuma attiecību izbeigšanas, ar
09.11.2017. grozījumu stāšanos spēkā bija pienākums pārskatīt šo
datu glabāšanas termiņu, kā arī, pienākot glabāšanas termiņa
beigām, iznīcināt to rīcībā esošos dokumentus un informāciju par
klientu, kas radusies, izpildot Likumā noteiktās prasības, ja
vien nepastāv cits nolūks un tiesiskais pamats datu glabāšanai.
Turklāt jāņem vērā, ka ar Datu regulas spēkā stāšanos pārziņiem
arī bija jāpārskata personas datu apstrādes procesi un jānosaka
glabāšanas termiņi atbilstoši Datu regulas prasībām. Tāpat
saskaņā ar Likuma 7. panta pirmās daļas 11. punktu, izveidojot
IKS, Likuma subjekti paredz vismaz politiku un procedūru
regulāras darbības pārskatīšanas prasības un kārtību atbilstoši
grozījumiem normatīvajos aktos vai Likuma subjekta darbības
procesos, sniegtajos pakalpojumos, pārvaldības struktūrā, klientu
bāzē vai darbības reģionos.
462. Atbilstoši Likuma 37. panta otrajai daļai klienta izpētes
lietā iegūtā informācija jāglabā piecus gadus pēc darījuma
attiecību izbeigšanas. Pēc noteiktā termiņa beigām minētā
informācija (dokumenti) ir jāiznīcina, ja vien Likuma subjekts
nav saņēmis Likuma 37. panta trešajā daļā minēto norādījumu
pagarināt glabāšanas termiņu vai nav iestājies kāds cits gadījums
(skatīt rokasgrāmatas 463.-465. punktu).
Piemērs
Ja kredītiestāde izbeidz darījuma attiecības ar klientu,
tomēr klienta saistības attiecībā uz izsniegto aizdevumu
saglabājas, proti, ir spēkā aizdevuma līgums, tad
kredītiestāde no aizdevuma līguma izrietošo saistību
tiesību nodrošināšanai dokumentus glabās atbilstoši
Civillikumā noteiktajam noilguma termiņam (10 gadi) vai
aizdevuma piedziņas gadījumā līdz saistību pilnīgai
dzēšanai vai atzīšanai par spēkā neesošām, savukārt klienta
izpētes lieta tiks glabāta Likumā noteikto termiņu, proti,
piecus gadus pēc darījuma attiecību izbeigšanas, ja nav
saņemti norādījumi pagarināšanai vai nav cita pamata datu
glabāšanai. Izņēmums ir dati, kas iegūti Likuma ietvaros un
saistīti ar aizdevuma izsniegšanu, - tie būtu jāglabā, līdz
izbeidzas darījuma attiecības, kas izriet no aizdevuma
līguma, un papildus termiņu, kas noteikts Likuma 37. pantā,
ja vien nav cita pamata datu glabāšanai.
Par darījuma attiecību izbeigšanas datumu būtu jāuzskata
datums, kad visos klienta kontos ir nulles atlikums un
kredītiestāde ir slēgusi klienta pēdējo kontu.
Pēc darījuma attiecību izbeigšanas un saistībā ar
aizdevuma līgumu jauniegūtie dati NILLTPFN jomā būtu
jāglabā atbilstoši Likuma 37. pantam, ja vien nav cita
pamata datu glabāšanai.
463. Kredītiestādei var būt pārliecinošas leģitīmas intereses
turpināt klienta izpētes dokumentu (materiālu) apstrādi
(t.sk. glabāšanu) papildus piecus gadus gadījumos, kad nav
saņemti Likuma 37. panta trešajā daļā minētie
norādījumi. Turklāt tas nav pretrunā ar AML IV
direktīvas73 40. panta nosacījumiem, taču
kredītiestādei pirms glabāšanas termiņa pagarināšanas būtu jāveic
rūpīgs uzglabāšanas nepieciešamības un samērīguma novērtējums (uz
riska izvērtējumu balstīta pieeja).
Piemērs
"Zini savu klientu" ("know your
customer") lietas glabāšanas termiņu varētu
pagarināt augsta NILLTPF riska klientiem.
464. Ja pret kredītiestādi ir ierosināta izmeklēšana vai
tiesvedība, ir pieļaujams datus glabāt tik ilgi, cik nepieciešams
tieši šim nolūkam, tātad arī vairāk nekā piecus vai 10 gadus, kas
paredzēti Likuma 37. pantā. Glabāšanas termiņa pamatojumam būtu
jāveic rūpīgs novērtējums.
465. Datu, kas tiek apstrādāti tikai atbilstoši Sankciju
likumam, glabāšanas termiņu pārzinis nosaka patstāvīgi, ievērojot
Datu regulas 5. panta 1. punkta "e" apakšpunktā minēto
glabāšanas ierobežojuma principu.
7.9. Darbinieku apmācība
466. Katra pārziņa pienākums ir regulāri (piemēram, reizi
gadā) veikt darbinieku apmācību, ņemot vērā katra darbinieka
amata pienākumus un darba specifiku. Pārziņa pienākums ir
izvērtēt, vai attiecīgais darbinieks ikdienas darbā saskaras ar
datu aizsardzības jautājumiem, apkalpo klientus un spēj ikvienam
klientam sniegt attiecīgo informāciju skaidrā, saprotamā un
vienkāršā valodā, tādā veidā realizējot pārskatatbildības
principu. Tikai pats pārzinis spēj izanalizēt sava biznesa
specifiku, iesaistīto darbinieku zināšanu līmeni un nepieciešamās
prasmes, lai noteiktu, cik padziļināta apmācība vajadzīga.
Vienotas un konkrētas prasības katram pārzin …
MI skaidrojums pēc oficiālā likuma teksta. Orientējošs, neaizstāj juridisku konsultāciju.