Datu aizsardzība

Datu pārnesamības tiesības (GDPR 20. pants): ceļvedis 2026

Datu pārnesamības tiesības pēc GDPR 20. panta: kad tās piemēro, formāti, atšķirība no piekļuves tiesībām un praktiska izpilde Latvijā.

Also available in:English

Datu pārnesamības tiesības pēc Vispārīgās datu aizsardzības regulas (VDAR) 20. panta dod datu subjektam tiesības saņemt savus personas datus strukturētā, plaši izmantotā un mašīnlasāmā formātā un nosūtīt tos citam pārzinim bez pirmā pārziņa kavēšanas. Atšķirībā no piekļuves tiesībām šīs tiesības nav universālas: tās piemēro tikai tad, ja apstrāde balstīta uz piekrišanu vai līgumu un tiek veikta automatizēti. Ja tehniski iespējams, datu subjekts var pieprasīt datu tiešu nosūtīšanu no viena pārziņa otram (20. panta 2. punkts). Šo tiesību mērķis ir ekonomisks — atvieglot pakalpojumu maiņu un mazināt “iesprostošanu” pie viena pakalpojuma sniedzēja. Šajā ceļvedī izklāstīts, kad tiesības piemēro, kādi ir formātu un drošības nosacījumi un ar ko tās atšķiras no 15. panta piekļuves tiesībām.

Kad piemēro datu pārnesamības tiesības (20. panta 1. punkts)

Lai iestātos datu pārnesamības tiesības, vienlaikus jāizpildās diviem nosacījumiem:

  1. Apstrādes tiesiskais pamats ir vai nu piekrišana (6. panta 1. punkta a) apakšpunkts vai 9. panta 2. punkta a) apakšpunkts īpašo kategoriju datiem), vai līgums (6. panta 1. punkta b) apakšpunkts).
  2. Apstrāde tiek veikta ar automatizētiem līdzekļiem — tātad ne uz papīra glabātiem datiem.

Ja apstrāde balstīta uz citu tiesisko pamatu — juridisku pienākumu (6. panta 1. punkta c) apakšpunkts), sabiedrības interesēm (6. panta 1. punkta e) apakšpunkts) vai leģitīmām interesēm (6. panta 1. punkta f) apakšpunkts) —, pārnesamības tiesības nepiemēro. Tas ir būtisks ierobežojums: piemēram, dati, ko uzņēmums glabā uz likumā noteikta pienākuma pamata, nav pārnesami, lai gan uz tiem attiecas piekļuves tiesības.

Kādi dati ir pārnesami

Pārnesamas ir tikai tās datu kategorijas, ko datu subjekts ir sniedzis pārzinim. Tas ietver:

  • aktīvi un apzināti sniegtus datus — piemēram, reģistrācijas veidlapā ievadīto informāciju;
  • novērotus datus, kas radušies, datu subjektam izmantojot pakalpojumu — piemēram, darījumu vēsture, meklējumu žurnāli, viedierīces ģenerētie mērījumi.

Pārnesamībā neietilpst atvasinātie vai secinātie dati, ko pārzinis izveidojis pats — piemēram, kredītreitings, profilēšanas rezultāts vai riska novērtējums. Šie dati paliek pieejami tikai piekļuves tiesību ietvaros, bet nav jānodod pārnešanai.

Formāts un tiešā nosūtīšana

Strukturēts, mašīnlasāms formāts

Dati jāsniedz strukturētā, plaši izmantotā un mašīnlasāmā formātā — praksē tas nozīmē tādus formātus kā CSV, XML vai JSON, nevis, piemēram, skenētu PDF vai attēlu. Mērķis ir sadarbspēja: saņēmējam pārzinim jāspēj datus faktiski importēt un izmantot. VDAR neuzliek pārzinim pienākumu ieviest tehniski saderīgas sistēmas ar konkurentiem, taču izvēlētajam formātam jābūt tādam, kas neapgrūtina turpmāku izmantošanu.

Tiešā nosūtīšana (20. panta 2. punkts)

Ja tas ir tehniski iespējams, datu subjektam ir tiesības panākt, ka dati tiek nosūtīti tieši no viena pārziņa otram. Pārzinim nav pienākuma izveidot tehniski saderīgas apstrādes sistēmas, taču tam ir jārīkojas godprātīgi, ja tiešā nosūtīšana ir īstenojama. Šī norma jo īpaši attiecas uz nozarēm, kur pakalpojumu maiņa ir bieža — telekomunikācijas, banku pakalpojumi, tiešsaistes platformas.

Termiņš un maksa

Piemēro vispārīgos 12. panta noteikumus: pieprasījums jāizpilda viena mēneša laikā, ar pagarinājumu par diviem mēnešiem sarežģītos gadījumos, un pirmā izpilde ir bezmaksas. Identitāte jāpārbauda tāpat kā citu tiesību gadījumā (12. panta 6. punkts).

Ar ko pārnesamība atšķiras no piekļuves tiesībām

Šīs divas tiesības bieži jauc, taču tās atšķiras vairākos būtiskos aspektos:

Kritērijs Pārnesamība (20. pants) Piekļuve (15. pants)
Tiesiskais pamats Tikai piekrišana vai līgums Jebkurš pamats
Apstrādes veids Tikai automatizēta Jebkurš veids
Datu apjoms Tikai sniegtie un novērotie dati Visi personas dati, arī atvasinātie
Formāts Strukturēts, mašīnlasāms Kopija, parasti elektroniska
Nosūtīšana citam pārzinim Jā, ja tehniski iespējams Nav paredzēta

Praksē tas nozīmē: ja datu subjekts vēlas redzēt visu, ko par viņu zina, viņš izmanto piekļuves tiesības; ja viņš vēlas paņemt savus datus līdzi citam pakalpojumam, viņš izmanto pārnesamības tiesības. Abas tiesības var izmantot paralēli — un pārzinim jāspēj tās atšķirt, jo atbildes saturs un formāts atšķiras: piekļuves gadījumā pietiek ar saprotamu kopiju, savukārt pārnesamības gadījumā datiem jābūt strukturētiem un mašīnlasāmiem.

Praktiski piemēri, kad tiesības piemēro un kad ne

Teorija kļūst skaidra piemēros. Piemēro: klients vēlas mainīt e-pasta pakalpojumu sniedzēju un pieprasa savus e-pastus un kontaktu sarakstu strukturētā formātā — apstrāde balstīta uz līgumu un ir automatizēta, tāpēc pārnesamība piemērojama. Tāpat sociālā tīkla lietotājs, kas piekritis datu apstrādei, var pieprasīt savas ziņas un augšupielādētos failus, lai tos pārnestu uz citu platformu. Fitnesa lietotnes lietotājs var saņemt savus soļu un sirdsdarbības mērījumus (novērotie dati) mašīnlasāmā formātā.

Nepiemēro: banka, kas glabā klienta darījumu vēsturi uz juridiska pienākuma pamata (naudas atmazgāšanas novēršana), nav pakļauta pārnesamībai attiecībā uz šiem datiem, lai gan klients tos var redzēt piekļuves ietvaros. Tāpat kredītiestādes izveidots kredītreitings ir atvasināts dati un nav pārnesams. Nodokļu iestādes vai citas publiskās funkcijas ietvaros apstrādāti dati arī paliek ārpus pārnesamības, jo tiesiskais pamats ir sabiedrības intereses, nevis piekrišana vai līgums. Šie piemēri parāda, ka pirmais solis vienmēr ir noskaidrot apstrādes tiesisko pamatu.

Citu personu tiesību aizsardzība (20. panta 4. punkts)

Pārnesamības tiesības nedrīkst nelabvēlīgi ietekmēt citu personu tiesības un brīvības. Tas ir īpaši aktuāli, ja pārnesamie dati satur arī trešo personu datus — piemēram, kontaktu saraksts vai ziņojumu vēsture ar citām personām. Saņēmējs pārzinis šādus trešo personu datus drīkst apstrādāt tikai attiecībā uz sākotnējo datu subjektu un tikai tam, lai sniegtu pakalpojumu, nevis, piemēram, mārketingam.

Kā sagatavoties pārnesamības pieprasījumiem

Pārnesamības pieprasījumu izpilde prasa iepriekšēju sagatavošanos. Uzņēmumam jāzina, kuras apstrādes balstās uz piekrišanu vai līgumu, jo tikai tās ir pakļautas pārnesamībai — šo informāciju uztur apstrādes darbību reģistrs (ROPA, 30. pants). Ja apstrāde balstīta uz piekrišanu (7. pants), pārnesamība ir gandrīz vienmēr piemērojama, tāpēc piekrišanas pārvaldība un pārnesamība ir cieši saistītas. Pārnesamības tiesību tehnisko izpildi būtiski atvieglo integrēta datu aizsardzība (25. pants): ja sistēma jau projektēšanas posmā paredz eksportu strukturētā formātā, pieprasījuma izpilde ir triviāla. Datu subjekts pēc pārnešanas var arī izmantot tiesības tikt aizmirstam (17. pants), lūdzot dzēst datus no sākotnējā pakalpojuma. Nacionālos precizējumus nosaka Fizisko personu datu apstrādes likums, bet pašas pārnesamības tiesības ir tieši piemērojamas no VDAR.

Biežāk uzdotie jautājumi

Vai visi mani dati ir pārnesami?

Nē. Pārnesamas ir tikai tās datu kategorijas, ko datu subjekts pats ir sniedzis vai kas radušās, viņam izmantojot pakalpojumu (novērotie dati). Atvasinātie dati — piemēram, profilēšanas vai reitinga rezultāti — nav jāpārnes, lai gan uz tiem attiecas piekļuves tiesības.

Vai pārnesamības tiesības piemēro, ja apstrāde balstīta uz leģitīmām interesēm?

Nē. Pārnesamību piemēro tikai apstrādei uz piekrišanas vai līguma pamata. Ja apstrādes tiesiskais pamats ir leģitīmās intereses, juridisks pienākums vai sabiedrības intereses, datu pārnesamības tiesības nav piemērojamas.

Kādā formātā jāsniedz dati?

Strukturētā, plaši izmantotā un mašīnlasāmā formātā — praksē CSV, XML vai JSON. Formātam jābūt tādam, ko saņēmējs pārzinis var faktiski importēt; skenēts PDF vai attēls neatbilst prasībai.

Vai uzņēmumam jānodrošina tieša datu nosūtīšana konkurentam?

Tikai tad, ja tas ir tehniski iespējams. Pārzinim nav pienākuma izveidot savietojamas sistēmas ar citiem pārziņiem, taču, ja tieša nosūtīšana ir īstenojama, tā jāveic pēc datu subjekta lūguma.

Vai datu pārnesamības pieprasījumu var atteikt?

Pārzinis var atteikt vai daļēji izpildīt pieprasījumu, ja tas neatbilst 20. panta nosacījumiem — piemēram, ja apstrādes tiesiskais pamats ir leģitīmās intereses vai juridisks pienākums, nevis piekrišana vai līgums, vai ja pieprasītie dati ir atvasināti, nevis datu subjekta sniegti. Atteikums vienmēr jāpamato, un datu subjekts jāinformē par tiesībām iesniegt sūdzību Datu valsts inspekcijā (DVI) un vērsties tiesā. Turklāt pārnesamība nedrīkst nelabvēlīgi ietekmēt citu personu tiesības un brīvības (20. panta 4. punkts), tāpēc, ja dati satur trešo personu informāciju, izpildes apjoms var būt attiecīgi ierobežots.

Secinājums

Datu pārnesamības tiesības pēc VDAR 20. panta ir šauras, bet praktiski nozīmīgas: tās piemēro tikai automatizētai apstrādei uz piekrišanas vai līguma pamata un aptver tikai datu subjekta sniegtos un novērotos datus. To būtība ir dot cilvēkiem iespēju paņemt savus datus līdzi, mainot pakalpojumu sniedzēju. Uzņēmumam galvenais sagatavošanās solis ir zināt, kuras apstrādes balstās uz piekrišanu vai līgumu, un nodrošināt eksportu mašīnlasāmā formātā jau sistēmas dizainā. Platforma Legiscope palīdz uzturēt apstrādes reģistru ar tiesiskajiem pamatiem un pārvaldīt datu subjektu pieprasījumus ES infrastruktūrā. Sāciet ar tiesisko pamatu kartēšanu — tā uzreiz redzēsiet, uz kurām apstrādēm pārnesamība vispār attiecas.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →