Meklēt:
Skaidrs
  • Skaidrs
Datu “kolekcionēšana” – kādus datus uzņēmums drīkst glabāt?

Datu “kolekcionēšana” – kādus datus uzņēmums drīkst glabāt?

Dati ir jaunais zelts, tādēļ tos iegūst, glabā un analizē gan lieli starptautiski uzņēmumi, gan nelieli uzņēmumi ar dažiem darbiniekiem. Tomēr uzņēmumiem bieži vien trūkst konkrēta plāna par to komercdarbībai patiesi vajadzīgiem datiem, līdz ar to praksē robeža starp “nepieciešamiem datiem” un “pārmērīgu datu iegūšanu un glabāšanu” ir visai izplūdusi. Kā saprast, kādus personas datus uzņēmums drīkst glabāt savas komercdarbības mērķiem un no kādu datu apstrādes labāk izvairīties? Skaidro TEGOS Latvijas biroja vecākā juriste, Personas datu aizsardzības un privātuma prakses vadītāja Ilga Vaļko.

Kādēļ uzņēmumiem nepieciešami personas dati

Vairums uzņēmumu personas datu apstrādi veic, lai izpildītu tādas ikdienišķas uzņēmējdarbības funkcijas kā:

  • sniegtu pakalpojumus un piegādātu preces;
  • uzturētu attiecības ar klientiem, piemēram, sūtītu rēķinus;
  • izpildītu juridiskus pienākumus, piemēram, veiktu grāmatvedības datu uzskaiti;
  • realizētu mārketinga aktivitātes, izsūtot uzņēmuma jaunumus klientiem.

Datu glabāšana kā tāda nav aizliegta, tā ir pat nepieciešama, lai uzņēmums varētu īstenot ikdienas komercdarbību un izpildīt dažādus juridiskos pienākums. Savukārt nepamatota personas datu apstrāde, tostarp glabāšana, gan ir aizliegta.

Datu apstrādes tiesiskais pamats

Vispārīgās datu aizsardzības regulas (regula 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti) 6.pantā paredzēts, ka jebkādai personas datu apstrādei, tostarp arī glabāšanai, ir jābūt tiesiskam pamatam. Kopumā ir seši tiesiskie pamati personas datu apstrādei (tomēr praksē uzņēmumi standarta situācijās balstās uz 1.–3. un 6.pamatu):

  • Piekrišana. Persona skaidri piekrīt, ka tās dati tiek apstrādāti noteiktam mērķim, piemēram, mārketingam;
  • Līgums. Datu apstrāde nepieciešama līguma izpildei, piemēram, preču piegādei vai pakalpojuma sniegšanai;
  • Juridisks pienākums. Personas datu apstrādi paredz likums, piemēram, grāmatvedība, nodokļu uzskaite, pienākums veikt klienta izpēti;
  • Vitālo interešu aizsardzība. Retāk lietots pamats, ko izmanto situācijās, kad nepieciešams aizsargāt / glābt personas dzīvību, veselību;
  • Uzdevums sabiedrības interesēs. Attiecas uz publiskiem uzdevumiem vai valsts pārvaldes iestādēm;
  • Leģitīmās intereses. Uzņēmuma vai trešās puses pamatota interese, kas nepārsniedz personas tiesības, piemēram, videonovērošanas kameru uzstādīšana uzņēmumu tirdzniecības telpās ar mērķi nodrošināt drošību un īpašuma aizsardzību.

Uzņēmums var tiesiski apstrādāt un glabāt personas datus tikai tad, ja šādai darbībai pastāv kāds no šiem tiesiskajiem pamatiem. Ja šāda pamata nav, tad datu apstrāde būs pretlikumīga.

Datu apstrādes principi

Vispārīgās datu aizsardzības regulas 5.pantā noteikti vairāki principi, kurus ievērojot, uzņēmumiem kļūdīties praktiski nav iespējams:

  • Mērķa ierobežojums. Datus drīkst iegūt tikai konkrētam, skaidram mērķim. Ja dati vākti piegādes nodrošināšanai, tos nedrīkst vēlāk izmantot, piemēram, mārketingam, ja klients tam nav piekritis;
  • Datu minimizēšana. Tiek apstrādāti tikai minimāli nepieciešamie dati, lai izpildītu konkrētu funkciju. Piemēram, pieteikumam lojalitātes kartei pietiek ar e-pastu, nav nepieciešams prasīt personas kodu;
  • Precizitāte. Datiem jābūt aktuāliem. Ja klients maina adresi, uzņēmumam jāpārliecinās, ka sistēmā nav palikušas novecojušas ziņas;
  • Glabāšanas ierobežojums. Dati jāglabā tikai tik ilgi, cik tas nepieciešams apstrādes mērķa sasniegšanai un jādzēš vai jāanonimizē, tiklīdz šis mērķis ir sasniegts. Nav iemesla vai tiesiska pamata glabāt bijušo klientu informāciju desmitiem gadu, ja sadarbība beigusies;
  • Integritāte un konfidencialitāte. Jānodrošina datu drošība – tie nedrīkst “noplūst” vai būt pieejami tiem, kam nav tiesību tos apstrādāt;
  • Atbildība. Uzņēmumam jāspēj pierādīt, ka tas ievēro visus šos principus.

Vienkāršiem vārdiem izsakoties – ja uzņēmums nevar izvērsti un saprātīgi paskaidrot, kāpēc un cik ilgi kādi dati tiek glabāti, tad, visticamāk, tos nedrīkst glabāt vispār.

Nepieciešamības izvērtēšana

Jāuzsver, ka nav vienotas formulas, kas precīzi pateiktu, cik daudz un kādus personas datus uzņēmums drīkst glabāt un kādi dati vispār ir nepieciešami uzņēmuma ikdienas komercdarbībai. Vispārīgās datu aizsardzības regulas regulējumā ir noteikti datu apstrādes un glabāšanas principi un tiesiskie pamati, bet ikviena uzņēmuma uzdevums ir ņemt tos vērā un saprast, kādi dati un kāpēc nepieciešami, kāds tiesiskais pamats ir to apstrādei un kā nodrošināt datu aizsardzības principu ievērošanu.

Tomēr galvenais vadmotīvs ir atbilde uz jautājumu – vai uzņēmumam konkrētie personas dati ir nepieciešami, lai veiktu savu ikdienas komercdarbību? Papildus tam noteiktos gadījumos uz uzņēmumu attiecināmajā speciālajā regulējumā var būt noteikts pienākums uzņēmumam apstrādāt noteiktus personas datus. Katram uzņēmumam uz šo jautājumu jāraugās individuāli – ņemot vērā darbības jomu, sniegtos pakalpojumus, regulējumu un reālās vajadzības.

“Nepieciešamība” datu glabāšanā nav subjektīvs vai emocionāls jēdziens. Tai jābūt pierādāmai un loģiski pamatotai ar konkrēto komercdarbības procesu. Ja dati palīdz nodrošināt pakalpojumu, izpildīt juridiskas saistības vai uzturēt saziņu ar klientu, nepieciešamība ir pamatota. Bet, ja dati tiek iegūti tikai “drošībai” vai “tāpēc, ka visi tā dara”, tas nav attaisnojums. Šī pieeja prasa no uzņēmumiem iekšēju godīgumu un stratēģisku domāšanu – saprast, kas ir to darbības kodols un kādi dati tiešām to atbalsta. Tāpēc atbildīga datu pārvaldība ir arī biznesa brieduma pazīme: jo labāk uzņēmums apzinās savas vajadzības, jo drošāk, caurspīdīgāk un likumīgāk strādā ar personu informāciju.

Īpaši jāuzsver, ka datu aizsardzības regulējums nav radīts, lai kavētu uzņēmumu darbību, bet gan lai liktu domāt, kāpēc šie dati ir vajadzīgi, cik ilgi tie jāsaglabā un vai tiešām bez tiem nevar iztikt.

Izpratnes veidošanai zemāk sniegti ilustratīvi piemēri no krasi atšķirīgām darbības jomām. Šie piemēri uzskatāmi demonstrē uzņēmumu dažādās vajadzības un nepieciešamību pēc personas datu kategorijām. Respektīvi, dati, bez kuriem viens uzņēmums nevar veikt savu ikdienas komercdarbību, var būt pilnīgi nevajadzīgi un lieki uzņēmumam citā darbības sfērā.

Fintech uzņēmumi

Fintech jeb finanšu tehnoloģiju uzņēmumiem personas datu apstrāde bieži vien ir to pamatdarbības stūrakmens. Lai nodrošinātu maksājumu pakalpojumus, aizdevumu izsniegšanu vai investīciju platformas darbību, tiem nepieciešami precīzi un daudzveidīgi personas dati. Piemēram, lietotāja identifikācijai tiek iegūti dati par personu apliecinošu dokumentu, finanšu drošības nolūkos – konta numurs, ienākumu dati, darījumu vēsture un pat informācija par klienta ierīces vai IP adreses lietojumu.

Šo datu apstrādi nosaka gan Maksājumu pakalpojumu un elektroniskās naudas likums, gan Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likums. Tādējādi fintech uzņēmumam ir jāsabalansē divas intereses – nodrošināt caurspīdīgu un drošu finanšu pakalpojumu, vienlaikus nevācot liekus datus, kas nav tieši nepieciešami konkrētajam darījumam vai risku novērtējumam.

Apdrošināšanas sabiedrības

Apdrošināšanas sabiedrības, sniedzot dzīvības, veselības, īpašuma vai civiltiesiskās atbildības apdrošināšanas pakalpojumus, apstrādā plašu un bieži vien īpašu kategoriju personas datu klāstu. Lai izvērtētu riskus, izveidotu apdrošināšanas piedāvājumu un apstrādātu apdrošināšanas gadījumus, apdrošinātājiem nepieciešama informācija par klienta veselības stāvokli, mantisko stāvokli, iepriekšējiem negadījumiem, darba vietu, nodarbošanos un citām nozīmīgām niansēm.

Veselības aprūpes pakalpojumu sniedzēji

Veselības aprūpes pakalpojumu sniedzēji – slimnīcas, ģimenes ārsti, klīnikas, laboratorijas – apstrādā pacientu veselības datus, kas ir īpaši aizsargājami personas dati. Tie ietver informāciju par diagnozēm, analīžu rezultātiem, izmeklējumiem, ārstēšanu, kā arī informāciju par pacienta sociālajiem un dzīvesveida faktoriem, ja tie ir būtiski veselības aprūpei.

Šo datu apstrādi regulē Pacientu tiesību likums un citi veselības aprūpes normatīvie akti, kas nosaka gan datu glabāšanas termiņus, gan to, kādos gadījumos datus drīkst izpaust trešajām personām.

Veselības aprūpes iestādes drīkst apstrādāt tikai tos datus, kas nepieciešami medicīnisko pakalpojumu sniegšanai, aprūpes nepārtrauktības nodrošināšanai un tiesisko pienākumu izpildei.

Ko uzņēmums drīkst glabāt?

Dati, kas var būt nepieciešami lielākajai daļai uzņēmumu, veicot ikdienas uzņēmējdarbības funkcijas:

  • Klientu dati. Uzņēmumi apstrādā klientu vārdu, uzvārdu, kontaktinformāciju, pasūtījumu vēsturi un maksājumu informāciju, lai sniegtu pakalpojumus, apstrādātu pasūtījumus un risinātu sūdzības;
  • Mārketinga izsūtņu dati. Uzņēmums drīkst glabāt klientu e-pasta adreses, ja ir saņemta viņu piekrišana vai pastāv leģitīma interese, piemēram, ja runa ir par esošajiem klientiem. Tomēr visiem mārketinga paziņojumu saņēmējiem jādod skaidra iespēja atteikties no saziņas;
  • Darbinieku dati. Šie dati ir nepieciešami darba līgumu, personālvadības un algu uzskaites nolūkiem. Tomēr darba devējs nedrīkst glabāt vairāk, nekā nepieciešams, piemēram, informāciju par veselības vai ģimenes stāvokli, ja tam nav pamata;
  • Videonovērošana. Bieži sastopama prakse birojos un veikalos. Šajā gadījumā jāizvērtē leģitīma interese – drošība, zādzību novēršana –, un jānodrošina, ka ieraksti netiek glabāti ilgāk par nepieciešamo (parasti līdz 30 dienām).

Praktiski ieteikumi

Pamatrīcība, lai nodrošinātu uzņēmuma veiktās datu apstrādes atbilstību Vispārīgās datu aizsardzības regulas prasībām:

  • Jādefinē mērķi. Jānosaka, kādus datus uzņēmums vāc, kāpēc un cik ilgi glabā;
  • Jāizvēlas tiesiskais pamats. Vai ir piekrišana, līguma attiecības, juridisks pienākums, leģitīma interese;
  • Jāpārskata glabāšanas termiņi. Jāievieš noteikumi, nosakot, kad datus dzēš, kad anonimizē. Dažreiz datu glabāšanas termiņš paredzēts likumā, bet lielākoties to nosaka individuāli, ņemot vērā konkrēto datu apstrādes darbību;
  • Jāinformē personas. Jāizveido privātuma politika, jo klientam vai darbiniekam ir jāzina, kā viņa dati tiek izmantoti;
  • Jārūpējas par drošību. Pieejas tiesības, šifrēšana, rezerves kopijas ir daļa no atbildīgas glabāšanas.

Kad glabāšana kļūst par pārkāpumu

Datu valsts inspekcijas prakse rāda, ka biežākie pārkāpumi ir:

  • nav noteikti datu glabāšanas termiņi;
  • dati tiek glabāti ilgāk nekā nepieciešams;
  • trūkst skaidras informācijas klientiem par datu izmantošanu;
  • īpašo kategoriju personas dati tiek apstrādāti bez atbilstoša pamata.

Mazāk ir vairāk

Praktizējot personas datu aizsardzības jomā, ir novērots, ka uzņēmumiem visgrūtāk ir nevis tehniski nodrošināt datu drošību, bet gan emocionāli atteikties no vēlmes iegūt maksimāli daudz datu un tos glabāt. Dati dod sajūtu, ka uzņēmums ir informēts – jo vairāk uzņēmums zina par saviem klientiem, jo precīzāk var tos uzrunāt.

Taču Vispārīgās datu aizsardzības regulas morāle ir pavisam cita: datu aizsardzība ir uzticības jautājums. Jo caurspīdīgāk un atbildīgāk uzņēmums rīkojas ar personu datiem, jo drošāk tas jūtas un jo stabilāka kļūst sadarbība. Drošība un ētika ir tikpat svarīga vērtība kā cena vai produkta kvalitāte. Turklāt, jo mazāks personas datu apjoms ir uzņēmuma rīcībā, jo mazāk risku personas datu noplūdes gadījumā.