Personas datu aizsardzība

Direktīva 95/46/EK ir Eiropas līmeņa atsauces teksts personas datu aizsardzības jomā. Tajā ir noteikts tiesiskais regulējums, lai veidotu līdzsvaru starp augstu personas privātās dzīves aizsardzības līmeni un brīvu personas datu apriti Eiropas Savienībā (ES). Lai to panāktu, direktīvā ir noteikti stingri personas datu vākšanas un izmantošanas ierobežojumi un ir noteikts, ka ikvienā dalībvalstī ir jāizveido neatkarīga valsts struktūra, kas atbildīga par visu ar personas datu apstrādi saistīto darbību uzraudzību.

AKTS

Eiropas Parlamenta un Padomes Direktīva 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti [skatīt grozošo(-os) aktu(-us)].

KOPSAVILKUMS

Šī direktīva ir piemērojama datiem, ko apstrādā ar automātiskiem līdzekļiem (piemēram, klientu informācijas datu bāzes), kā arī datiem, kas iekļauti vai ir paredzēti iekļaušanai kartotēkās, kuru apstrāde netiek veikta ar automatizētiem līdzekļiem (tradicionālas kartotēkas papīra formātā).

Direktīva nav piemērojama šādai datu apstrādei:

ko veic fiziska persona tikai un vienīgi personiska vai mājsaimnieciska pasākuma gaitā;
tādu pasākumu gaitā, uz kuriem neattiecas Kopienas tiesību akti, piemēram, uz sabiedrisko drošību, aizsardzību vai valsts drošību.

Direktīva ir paredzēta, lai aizsargātu personu tiesības un brīvības attiecībā uz personas datu aizsardzību, nosakot galvenos kritērijus datu apstrādes atzīšanai par likumīgu un datu kvalitātes principus.

Datu apstrāde ir likumīga tikai, ja:

datu subjekts nepārprotami devis savu piekrišanu;
vai apstrāde vajadzīga līguma, kurā datu subjekts ir līgumslēdzēja puse, izpildei;
vai apstrāde vajadzīga, lai izpildītu uz personas datu apstrādātāju attiecināmas juridiskas saistības;
vai apstrāde vajadzīga, lai aizsargātu datu subjekta būtiskas intereses;
vai apstrāde vajadzīga sabiedrības interesēs realizējama uzdevuma izpildei vai personas datu apstrādātājam vai trešajai personai piešķirto oficiālo pilnvaru realizācijai;
vai apstrāde vajadzīga personas datu apstrādātāja vai trešo personu likumīgo interešu ievērošanai, izņemot, ja šīs intereses ignorē, ņemot vērā datu subjekta pamattiesību un brīvību intereses, kurām nepieciešama aizsardzība.

Datu kvalitātes principi, kas jāievēro visās likumīgajās datu apstrādes darbībās, ir šādi:

personas datiem ir jābūt apstrādātiem godīgi un likumīgi, vāktiem konkrētiem, precīzi formulētiem un likumīgiem nolūkiem. Tiem jābūt adekvātiem, piederīgiem un ne pārmērīgiem, precīziem un nepieciešamības gadījumā atjauninātiem, tos nedrīkst glabāt ilgāk kā nepieciešams un drīkst izmantot tikai nolūkiem, kādiem tie apkopoti;
apstrādes īpašās kategorijas: ir jāaizliedz tādu personas datu apstrāde, kas atklāj rasi vai etnisko izcelsmi, politiskos uzskatus, reliģisko vai filozofisko pārliecību, dalību arodbiedrībās, kā arī uz veselību vai seksuālo dzīvi attiecināmu datu apstrāde. Šim noteikumam ir noteikti izņēmumi, piemēram, gadījumi, kad apstrāde vajadzīga, lai aizsargātu datu subjekta būtiskas intereses vai profilaktiskās medicīnas un medicīniskas diagnozes nolūkos.

Persona, kuras dati tiek apstrādāti - datu subjekts -, var izmantot šādas tiesības:

tiesības saņemt informāciju: personas datu apstrādātājam personai, no kuras tas vāc datus, kas uz to attiecas, ir jāsniedz noteikta informācija (personas datu apstrādātāja personas dati, apstrādes nolūki, datu saņēmēji utt.);
personu piekļuves tiesības datiem: katram datu subjektam ir tiesības iegūt no personas datu apstrādātāja;
tiesības iebilst pret datu apstrādi: datu subjektam, pamatojoties uz likumīgiem iemesliem, ir jābūt tiesībām iebilst pret datu, kas uz viņu attiecas, apstrādi. Tam ir jābūt arī iespējai pēc pieprasījuma un bez maksas iebilst pret personas datu apstrādi tiešas tirdzniecības nolūkiem. Tas ir jāinformē, pirms personas dati tiek atklāti trešajām personām tiešas tirdzniecības nolūkiem, kā arī ir jābūt tiesībām iebilst pret šādu datu atklāšanu.

Citi ar datu apstrādi saistīti aspekti:

atbrīvojumi no datu subjekta tiesībām un šo tiesību ierobežojumi: principus, kas attiecas uz datu kvalitāti, datu subjekta informēšanu, piekļuves tiesībām un datu apstrādes darbību nodošanu atklātībai, var ierobežot, lai citu starpā nodrošinātu aizsargpasākumus valsts drošībai, aizsardzībai, kriminālsodāmu noziedzīgu nodarījumu atklāšanai, dalībvalsts vai ES svarīgās ekonomiskās vai finansiālās interesēs vai datu subjekta aizsardzībai;
apstrādes konfidencialitāte un drošība: jebkura persona, darbojoties saskaņā ar personas datu apstrādātāja vai apstrādātāja pilnvarām, ieskaitot pašu datu apstrādātāju, kam ir piekļuve personu datiem, drīkst apstrādāt šos datus vienīgi saskaņā ar personas datu apstrādātāja norādījumiem. Turklāt personas datu apstrādātājam jāīsteno atbilstoši pasākumi, lai aizsargātu personas datus pret nejaušu vai nelikumīgu iznīcināšanu vai nejaušu pazaudēšanu, pārveidošanu, nesankcionētu atklāšanu vai piekļuvi;
uzraudzības iestādes informēšana par apstrādi: personas datu apstrādātājam pirms apstrādes darbības īstenošanas jāpaziņo par to uzraudzības iestādei. Uzraudzības iestāde pēc šādas informācijas saņemšanas veic iepriekšējas ar datu subjekta tiesībām un brīvībām saistītu potenciālo risku pārbaudes. Ir jānodrošina datu apstrādes darbību nodošana atklātībai, un uzraudzības iestādēm ir jāievieš datu apstrādes darbību reģistrs.

Katrai personai ir tiesības uz tiesiskas aizsardzības līdzekli par jebkuru tiesību, ko garantē minētajai datu apstrādei piemērojamais attiecīgās valsts likums, pārkāpumu. Tātad personām, kurām nodarīts kaitējums sakarā ar nelikumīgu personas datu apstrādi, ir tiesības saņemt kompensāciju par šo kaitējumu.

Personas datu pārsūtīšana no dalībvalsts trešām valstīm var notikt tikai tad, ja ir nodrošināts pietiekams aizsardzības līmenis. Lai gan gadījumā, ja pietiekams aizsardzības līmenis nav nodrošināts, pārsūtīšana nevar notikt, Direktīvā tomēr ir uzskaitīti vairāki izņēmumi, piemēram, datu subjekts ir devis savu piekrišanu pārsūtīšanai, pārsūtīšana ir vajadzīga līguma noslēgšanai, tā ir vajadzīga, pamatojoties uz svarīgām sabiedrības interesēm, kā arī, ja dalībvalstis ir apstiprinājusi saistošus korporatīvos noteikumus vai līguma standartklauzulas.

Direktīva sekmē valstu un Kopienas ētikas kodeksu izstrādi, lai veicinātu valstu un Kopienas noteikumu pareizu piemērošanu.

Katra dalībvalsts paredz to, ka viena vai vairākas valsts iestādes ir atbildīgas par noteikumu, ko dalībvalstis pieņēmušas saskaņā ar šo direktīvu, piemērošanas kontroli tās teritorijā.

Ir izveidota darba grupa personu aizsardzībai attiecībā uz personas datu apstrādi. Darba grupu veido valstu uzraudzības iestāžu pārstāvji, Kopienas iestādēm un struktūrām izveidoto iestāžu pārstāvji, kā arī Komisijas pārstāvis.

ATSAUCES

Akts	Stāšanās spēkā	Transponēšanas termiņš dalībvalstīs	Oficiālais Vēstnesis
Direktīva 95/46/EK	13.12.1995.	24.10.1998.	OV L 281, 23.11.1995.

Grozošais(-ie) akts(-i)	Stāšanās spēkā	Transponēšanas termiņš dalībvalstīs	Oficiālais Vēstnesis
Regula (EK) Nr. 1882/2003	20.11.2003.	-	OV L 284, 31.10.2003.

Direktīvas 95/46/EK turpmākie grozījumi un labojumi tika iekļauti pamattekstā. Šai konsolidētajai versijai ir tikai informatīva nozīme.

SAISTĪTIE AKTI

ZIŅOJUMS PAR ĪSTENOŠANAS GAITU

Komisijas 2007. gada 7. marta paziņojums Eiropas Parlamentam un Padomei: “Par Darba programmas labākai Datu aizsardzības direktīvas īstenošanai gaitu” [ COM(2007) 87 galīgā redakcija — Oficiālajā Vēstnesī nav publicēts].

Šajā paziņojumā ir izskatīts darbs, kas paveikts saskaņā ar Darba programmu labākai Datu aizsardzības direktīvas īstenošanai, kas ietverta pirmajā ziņojumā par Direktīvas 95/46/EK īstenošanu. Komisija norāda, ka piemērošana ir uzlabojusies, jo visas dalībvalstis ir transponējušas direktīvu. Tā arī precizē, ka direktīvu nevajadzētu grozīt.

Tā piebilst, ka:

turpinās sadarboties ar dalībvalstīm un vajadzības gadījumā sāks formālas pārkāpuma procedūras;
sagatavos skaidrojošu paziņojumu par dažiem direktīvas noteikumiem;
turpinās Darba programmas īstenošanu;
lielas tehnoloģiju attīstības gadījumā noteiktā jomā piedāvās nozares tiesību aktus ES līmenī;
turpinās sadarbību ar saviem ārējiem partneriem, it īpaši — Amerikas Savienotajām Valstīm.

Komisijas 2003. gada 15. maija ziņojums ar nosaukumu “Pirmais ziņojums par Datu aizsardzības direktīvas (95/46/EK) īstenošanu” [ COM(2003) 265 galīgā redakcija — Oficiālajā Vēstnesī nav publicēts].

Ziņojumā īpaši uzsvērti to apspriežu rezultāti, kuras Komisija veic ar valdībām, iestādēm, uzņēmumu federācijām, patērētāju asociācijām un pilsoņiem par Direktīvas 95/46/EK novērtējumu. Apspriežu rezultāti liecina, ka tikai nedaudzi atbalstītāji uzskata, ka direktīva būtu grozāma. Gluži pretēji — pēc konsultācijām ar dalībvalstīm Komisija konstatēja, ka lielākā daļa no tām, kā arī valstu uzraudzības iestādes, neuzskata, ka šajā posmā būtu nepieciešama direktīvas grozīšana.

Neraugoties uz kavējumiem un trūkumiem, kas konstatēti tās piemērošanā, direktīva ir izpildījusi savu galveno mērķi — novērst šķēršļus personas datu brīvai apritei starp dalībvalstīm. Turklāt Komisija uzskata, ka ir sasniegts mērķis garantēt augstu aizsardzības līmeni Kopienā, jo direktīvā noteiktais datu aizsardzības prasību līmenis ir viens no augstākajiem pasaulē.

Tomēr citi iekšējā tirgus politikas mērķi nav sasniegti. Dalībvalstīs joprojām būtiski atšķiras tiesību akti attiecībā uz datu aizsardzību. Šīs atšķirības liedz daudznacionālām organizācijām noteikt visas Eiropas mēroga politiku datu aizsardzības jautājumā. Komisija tādēļ paziņoja, ka darīs visu nepieciešamo, lai labotu šo situāciju, pēc iespējas izvairoties no nepieciešamības uzsākt formālu rīcību.

Ir atklātas trīs problēmas datu aizsardzības tiesību aktu ievērošanā ES:

trūkst resursu, kas paredzēti īstenošanai;
personas datu apstrādātāji tos ievēro ļoti nevienlīdzīgi;
iepriekš minētās parādības pamatā varētu būt datu subjektu samērā zemais savu tiesību pārzināšanas līmenis.

Lai varētu nodrošināt labāku Datu aizsardzības direktīvas piemērošanu, Komisija pieņēma Darba programmu, kurā iekļautas vairākas darbības, kas jāveic laikā no šā ziņojuma pieņemšanas līdz 2004. gadam. Šajās darbībās ir iekļautas šādas iniciatīvas:

pārrunas ar dalībvalstīm un iestādēm, kas atbildīgas par datu aizsardzību, par izmaiņām, kas veicamas to valstu tiesību aktos, lai tie pilnībā atbilstu direktīvas prasībām;
kandidātvalstu piesaistīšana centieniem, lai nodrošinātu kvalitatīvāku un vienveidīgāku direktīvas piemērošanu;
uzlabota informēšana par tiesību aktu kopumu, kas nodrošina direktīvas transponēšanu;
datu starptautiskas pārsūtīšanas nosacījumu vienkāršošana;
tādu tehnoloģiju veicināšana, kas uzlabo privātās dzīves aizsardzību;
Eiropas pašregulējuma un ētikas kodeksu veicināšana.

DIREKTĪVA PAR PRIVĀTO DZĪVI UN ELEKTRONISKO KOMUNIKĀCIJU

Eiropas Parlamenta un Padomes Direktīva 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju) [Oficiālais Vēstnesis L 201, 31.7.2002.].

Šī direktīva pieņemta 2002. gadā vienlaikus ar jauno tiesisko regulējumu elektronisko komunikāciju nozarē. Tajā ir ietverti noteikumi attiecībā uz vairākām samērā delikātām tēmām, piemēram, par savienojuma datu saglabāšanu, ko dalībvalstis veic policijas uzraudzības nolūkā (datu saglabāšana), nevēlamu elektronisko ziņojumu nosūtīšanu, sīkdatņu (“cookies”) izmantošanu un personas datu iekļaušanu publisko abonementu sarakstos.

Regulā (ES) Nr. 611/2013 ir paredzēti noteikumi par to, kā publiski pieejamu elektronisko komunikāciju pakalpojumu sniedzēji paziņo par personas datu aizsardzības pārkāpumiem gadījumos, kad to klientu personas dati ir pazaudēti, nozagti vai kā citādi apdraudēti.

Ja ir noticis personas datu aizsardzības pārkāpums un personas dati ir apdraudēti, saskaņā ar Direktīvu 2002/58/EK pakalpojumu sniedzējiem par šo pārkāpumu ir jāinformē valsts kompetentā datu aizsardzības iestāde (DAI) un atsevišķos gadījumos arī skartie abonenti un fiziskās personas. Regula (ES) Nr. 611/2013 paredz “tehniskus īstenošanas pasākumus” šo saistību izpildei.

Pakalpojumu sniedzējiem cita starpā:

24 stundu laikā pēc pārkāpuma konstatēšanas būtu jāinformē attiecīgā DAI par incidentu, lai to maksimāli apturētu;
izvērtējot, vai ir nepieciešams informēt abonentus un fiziskās personas, būtu jāņem vērā apdraudēto datu veids, piemēram, ja dati ir saistīti ar finanšu informāciju, e-pasta datiem, interneta žurnālfailiem, tīmekļa pārlūkošanas vēsturi utt.;
būtu jāsniedz DAI un/vai attiecīgajiem abonentiem vai fiziskajām personām detalizēta informācija par incidentu, tajā iesaistīto datu veidu un pasākumiem, kas tiek veikti tā likvidēšanai.

LĪGUMA STANDARTKLAUZULU IEVIEŠANA PERSONAS DATU NOSŪTĪŠANAI TREŠĀM VALSTĪM

Lēmums 2004/915/EK (2004. gada 27. decembris), ar ko groza Lēmumu Nr. 2001/497/EK attiecībā uz alternatīvu līguma standartklauzulu ieviešanu personas datu nosūtīšanai trešām valstīm [Oficiālais Vēstnesis L 385, 29.12.2004.].

Eiropas Komisija apstiprināja jaunas līguma standartklauzulas, kuras uzņēmumi var izmantot, lai nodrošinātu pienācīgas garantijas, nododot personas datus no ES trešām valstīm. Šīs jaunās klauzulas papildinās tās, kuras jau pastāv saskaņā ar Komisijas 2001. gada jūnija lēmumu (skatīt tālāk).

Komisijas Lēmums 2001/497/EK (2001. gada 15. jūnijs) par līguma standartklauzulām attiecībā uz personas datu nosūtīšanu trešām valstīm saskaņā ar Direktīvu 95/46/EK [Oficiālais Vēstnesis L 181, 4.7.2001.].

Šajā lēmumā ir noteiktas līguma standartklauzulas, kas nodrošina pienācīgu datu aizsardzības līmeni personas datiem, ko nodod no ES trešām valstīm. Lēmumā dalībvalstīm ir noteikts pienākums atzīt, ka sabiedrības vai struktūras, kas izmanto šādas standartklauzulas līgumos, kas saistīti ar personas datu nodošanu no ES trešām valstīm, nodrošina “pienācīgu datu aizsardzības līmeni”.

Komisijas Lēmums Nr. 2010/87/ES par līguma standartklauzulām attiecībā uz personas datu pārsūtīšanu trešās valstīs reģistrētiem apstrādātājiem saskaņā ar Eiropas Parlamenta un Padomes Direktīvu 95/46/EK [Oficiālais Vēstnesis L 39, 12.2.2010.].

Komisijas lēmumi, kas apliecina, ka vairākās trešās valstīs ir nodrošināts adekvāts personas datu aizsardzības līmenis saskaņā ar 25. panta 6. punktu: Komisija līdz šim ir atzinusi, ka adekvātu aizsardzību nodrošina Andora, Argentīna, Austrālija, Kanāda (tirdzniecības organizācijas), Šveice, Farēru salas, Gērnsija, Izraēla, Menas sala, Džērsija, Jaunzēlande, Urugvaja un ASV - ar Tirdzniecības departamenta Privātuma “drošības zonas” principu palīdzību.

DATU AIZSARDZĪBA, KO VEIC KOPIENAS IESTĀDES UN STRUKTŪRAS

Eiropas Parlamenta un Padomes Regula Nr. 45/2001/EK (2000. gada 18. decembris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti [Oficiālais Vēstnesis L 8, 12.1.2001.].

Šī regula ir paredzēta, lai nodrošinātu personas datu aizsardzību Eiropas Savienības iestādēs un struktūrās. Tekstā ir paredzēti:

noteikumi, kas garantē augstu aizsardzības līmeni personas datiem, ko apstrādā Kopienas iestādēs un struktūrās;
neatkarīgas uzraudzības iestādes izveide, kas atbildīga par šo noteikumu piemērošanas uzraudzību.

Pēdējo reizi atjaunots: 08.03.2014