Datu subjektu tiesību ierobežošana – Komisijas iekšējie noteikumi

SVARĪGĀKIE ASPEKTI

Personas dati ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”). Identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru (piemēram, vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem vai tiešsaistes identifikatoru) vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem.

Jauno ES tiesisko regulējumu par personas datu aizsardzību un brīvu apriti jo īpaši veido šādi tiesību akti:

• Vispārīgā datu aizsardzības regula (VDAR), kurā ir noteiktas fizisku personu tiesības attiecībā uz to personas datiem, ar kuru tās aizsargā saistībā ar to personas datu apstrādi ES valstī un nodrošina šādu datu brīvu apriti;
• Regula (ES) 2018/1725, kurā izklāstītas fizisku personu tiesības attiecībā uz viņu personas datiem, ar kuru tās aizsargā attiecībā uz personas datu apstrādi ES iestādēs, struktūrās, birojos un aģentūrās un nodrošina šādu datu brīvu apriti.

Šīs regulas ir uzskatāmas par līdzvērtīgām un jāinterpretē kā viens tiesību akts.

Regulas (ES) 2018/1725 25. pantā paredzēta iespēja, ka noteiktos gadījumos ES iestādes un struktūras var ierobežot fizisku personu tiesības ar nosacījumu, ka šādi ierobežojumi ir noteikti ES tiesību aktos. Saskaņā ar šo pantu Komisija ir pieņēmusi septiņus Komisijas lēmumus, kas ir pamats potenciāliem ierobežojumiem, lai aizsargātu svarīgus mērķus, kas ir ES sabiedrības vispārējās interesēs.

Pamatojoties uz šiem lēmumiem un pēc ierobežojumu nepieciešamības un samērīguma izvērtēšanas katrā konkrētā gadījumā, Eiropas Komisija nolemj, vai attiecīgajā gadījumā būtu jāierobežo fiziskās personas tiesības.

Var ierobežot šādas fizisko personu tiesības:

• tiesības uz informāciju par:
  • viņu personas datu apstrādi;
  • viņu personas datu aizsardzības pārkāpumiem, kas var radīt augstu risku attiecībā uz viņu tiesībām un brīvībām;
• tiesības piekļūt saviem personas datiem, tiesības uz savu personas datu dzēšanu vai savu personas datu apstrādes ierobežošanu.

Visi septiņi Komisijas lēmumi ir veidoti līdzīgā formātā, un katrā no tiem ir daži vai visi no tālāk aprakstītajiem elementiem:

• Priekšmets un darbības joma
  • Prasība katru datu subjekta pieprasījumu izvērtēt atsevišķi.
• Piemērojamie izņēmumi un ierobežojumi
  • Pirms ierobežojuma piemērošanas Komisija vispirms izvērtē, vai ir piemērojams kāds no Regulā (ES) 2018/1725 paredzētajiem datu subjektu tiesību izņēmumiem.
• Informācijas sniegšana datu subjektiem
  • Komisija savā tīmekļa vietnē publicē datu aizsardzības paziņojumus, kas visus datu subjektus informē par tās datu apstrādes darbībām attiecīgajā jomā.
  • Komisijai ir individuāli un atbilstošā formātā jāinformē visas tās personas, kuras individuāli skārusi izmeklēšana vai pasākums, kas veikts kādā no attiecīgajām jomām.
• Datu subjekta tiesības piekļūt saviem personas datiem, tiesības uz šo datu dzēšanu un tiesības uz apstrādes ierobežošanu
  • Ja Komisija ierobežo piekļuvi datiem, tiesības uz datu dzēšanu un/vai tiesības uz apstrādes ierobežošanu, tā attiecīgo datu subjektu informē par tās piemēroto ierobežojumu, tā galvenajiem iemesliem un par iespēju iesniegt sūdzību Eiropas Datu aizsardzības uzraudzītājam vai celt prasību Eiropas Savienības Tiesā.
• Ierobežojumu protokolēšana un reģistrēšana
  • Komisija protokolē visu piemēroto ierobežojumu iemeslus, tostarp ierobežojuma nepieciešamības un samērīguma novērtējumu.
• Ierobežojumu ilgums
  • Ierobežojumus piemēro tik ilgi, kamēr pastāv ierobežojumus pamatojošie iemesli.
• Izskatīšana, ko veic Eiropas Komisijas datu aizsardzības amatpersona
  • Datu aizsardzības amatpersonu bez liekas kavēšanās informē par ikvienu datu subjektu tiesību ierobežošanas gadījumu.
  • Datu aizsardzības amatpersonai pēc pieprasījuma jānodrošina piekļuve protokolam un iespējamajiem dokumentiem, kuros ir fiksēti attiecīgie faktu un juridiskie elementi.
  • Datu aizsardzības amatpersona var pieprasīt ierobežojuma pārskatīšanu un tā jāinformē par pieprasītās pārskatīšanas iznākumu.

Septiņi Komisijas lēmumi aptver datu subjektu ierobežojumus tālāk uzskaitītajās jomās:

• ES iestāžu iekšējā drošība
  • Attiecas uz personas datu apstrādi, lai Komisijā nodrošinātu personu, aktīvu un informācijas drošību.
  • Komisijai ir individuāli jāinformē liecinieki un personas, uz kurām attiecas drošības izmeklēšana, par viņu personas datu apstrādi.
  • Komisijai arī individuāli jāinformē personas, kuru datus apstrādā saistībā ar drošības pasākumiem, kas veikti saskaņā ar Lēmuma (ES, Euratom) 2015/443 7. panta 5. punktu.
  • Turklāt tai arī individuāli jāinformē personas, kuru datus apstrādā saistībā ar pārmeklēšanu Komisijas telpās un meklēšanu komunikācijas un informācijas sistēmām un aprīkojumā.
• Administratīvā izmeklēšana, pirmsdisciplinārās, disciplinārās un atstādināšanas procedūras
  • Regulā (ES) 2018/1725 noteiktās tiesības un pienākumus var ierobežot, ja tie apdraudētu administratīvo izmeklēšanu, pirmsdisciplināro, disciplināro un atstādināšanas procedūru mērķi vai negatīvi ietekmētu citu datu subjektu tiesības un brīvības.
• Personas veselības dati
  • Komisija, izskatot katru gadījumu atsevišķi, var ierobežot datu subjektu tiesības tieši piekļūt saviem psiholoģiska vai psihiatriska satura personas medicīniskajiem datiem, ja piekļuve šādiem datiem var radīt risku datu subjekta veselībai.
  • Šim ierobežojumam jābūt samērīgam ar to, kas ir absolūti nepieciešams datu subjekta aizsardzībai.
• Tirdzniecības aizsardzība un tirdzniecības politikas izmeklēšana
  • Regulā (ES) 2018/1725 noteiktās tiesības un pienākumus var ierobežot, ja to īstenošana apdraudētu Komisijas tirdzniecības politikas vai tirdzniecības aizsardzības darbību mērķi vai negatīvi ietekmētu citu datu subjektu tiesības un brīvības.
• Eiropas Birojs krāpšanas apkarošanai (OLAF)
  • Attiecas uz personas datu apstrādi, ko veic OLAF (kā arī tādu personas datu apstrādi, ko veic Komisijas dienesti un izpildaģentūras un kas jānosūta OLAF), lai izpildītu biroja uzdevumus.
  • Birojs savas izmeklēšanas darbības veic pilnīgi neatkarīgi no Komisijas.
  • OLAF lemj, vai būtu jāpiemēro datu subjektu tiesību izņēmumi.
  • OLAF savā tīmekļvietnē publicē paziņojumus par datu aizsardzību, ar kuriem tas informē visus datu subjektus par savām darbībām saistībā ar viņu personas datu apstrādi.
  • Biroja datu aizsardzības speciālists pārskata datu subjektu tiesību ierobežojumus.
• Iekšējās revīzijas darbības
  • Regulā (ES) 2018/1725 noteiktās tiesības un pienākumus var ierobežot kā daļu no apstrādes darbībām, ko Komisija veic savu iekšējās revīzijas darbību ietvaros ikreiz, kad datu subjektu tiesību īstenošana varētu apdraudēt iekšējās revīzijas darbību veikšanu (tai skaitā atklājot savus revīzijas instrumentus un metodes) vai negatīvi ietekmētu citu datu subjektu tiesības un brīvības.
  • Turklāt Komisijai varētu būt nepieciešams ierobežot datu subjektu tiesību piemērošanu, lai aizsargātu Komisijas dienestu vai citu Savienības iestāžu, struktūru, biroju un aģentūru vai dalībvalstu iestāžu un starptautisko organizāciju, kā arī Revīzijas progresa komitejas veiktās apstrādes darbības.
  • Komisija savā tīmekļvietnē publicētu datu aizsardzības paziņojumu veidā informē visas fiziskās personas par savām iekšējās revīzijas darbībām saistībā ar viņu personas datu apstrādi un par viņu tiesībām. Attiecīgā gadījumā Komisija nodrošina, ka ikviens datu subjekts tiek informēts atsevišķi un atbilstīgā formātā.
• Konkurence
  • Regulā (ES) 2018/1725 noteiktās tiesības un pienākumus var ierobežot, ja to īstenošana apdraudētu Komisijas izmeklēšanas un izpildes darbību mērķa sasniegšanu, tostarp tiktu atklāti tās izmeklēšanas instrumenti un metodes, vai negatīvi ietekmētu citu datu subjektu tiesības un brīvības.