Piekļuves tiesības pēc Vispārīgās datu aizsardzības regulas (VDAR) 15. panta dod datu subjektam tiesības saņemt no pārziņa apstiprinājumu, vai viņa personas dati tiek apstrādāti, un — ja tiek — piekļūt šiem datiem, kā arī saņemt precīzi noteiktu informāciju par apstrādi. Pārzinim šis pieprasījums jāizpilda viena mēneša laikā (VDAR 12. panta 3. punkts), pirmā datu kopija ir bezmaksas (15. panta 3. punkts), un atteikties izpildīt vai pieprasīt maksu var tikai stingri ierobežotos gadījumos. Praksē tieši piekļuves tiesību neizpilde vai novēlota izpilde ir viena no biežākajām sūdzībām, ko saņem Datu valsts inspekcija (DVI). Šajā rakstā izklāstīts, kas tieši jāiekļauj atbildē, kā skaitīt termiņus, kā pārbaudīt pieprasītāja identitāti un kad piekļuvi drīkst ierobežot.
Ko ietver piekļuves tiesības (15. pants)?
Piekļuves tiesības sastāv no divām daļām. Pirmā ir apstiprinājums, vai personas dati par datu subjektu vispār tiek apstrādāti. Otrā — ja apstrāde notiek — ir piekļuve pašiem datiem un informācijai par apstrādi. Šī informācija nav brīvi izvēlēta: VDAR 15. panta 1. punkts uzskaita konkrētus elementus, kuri datu subjektam jāsniedz.
Pārzinim atbildē jānorāda:
- apstrādes nolūki — kāpēc dati tiek apstrādāti;
- attiecīgo personas datu kategorijas — kādi dati (piemēram, kontaktinformācija, maksājumu vēsture, atrašanās vieta);
- saņēmēji vai saņēmēju kategorijas, kam dati ir vai tiks izpausti, tostarp saņēmēji trešās valstīs;
- paredzētais glabāšanas termiņš vai, ja to nav iespējams norādīt, kritēriji tā noteikšanai;
- datu subjekta tiesības pieprasīt labošanu, dzēšanu, apstrādes ierobežošanu un iebilst pret apstrādi;
- tiesības iesniegt sūdzību uzraudzības iestādei (Latvijā — DVI);
- ja dati nav iegūti no paša datu subjekta — pieejamā informācija par datu avotu;
- vai notiek automatizēta lēmumu pieņemšana, tostarp profilēšana (22. pants), un, ja notiek, jēgpilna informācija par attiecīgo loģiku, kā arī paredzamās sekas.
Ja personas dati tiek nosūtīti uz trešo valsti vai starptautisku organizāciju, datu subjektam ir tiesības tikt informētam par attiecīgajām atbilstošajām garantijām (15. panta 2. punkts).
Datu kopija un tās forma
Papildus informācijai par apstrādi datu subjektam ir tiesības saņemt apstrādē esošo personas datu kopiju (15. panta 3. punkts). Pirmā kopija ir bezmaksas. Par turpmākajām kopijām pārzinis var pieprasīt saprātīgu maksu, kas balstīta uz administratīvajām izmaksām. Ja pieprasījums iesniegts elektroniski, informācija jāsniedz plaši izmantotā elektroniskā formātā, ja vien datu subjekts nelūdz citādi. Svarīgi: kopijas izsniegšana nedrīkst nelabvēlīgi ietekmēt citu personu tiesības un brīvības (15. panta 4. punkts) — piemēram, dokumentā, kas attiecas uz pieprasītāju, var būt trešo personu dati, kuri pirms izsniegšanas jāaizklāj vai jārediģē.
Kā izpildīt pieprasījumu praksē
Identitātes pārbaude
Pirms datu izsniegšanas pārzinim jāpārliecinās, ka pieprasījumu iesniedz pati persona, uz kuru dati attiecas. VDAR 12. panta 6. punkts ļauj pieprasīt papildu informāciju identitātes apstiprināšanai, ja ir pamatotas šaubas. Tomēr šī pārbaude jāveic samērīgi — nedrīkst prasīt vairāk datu, nekā nepieciešams. Latvijā īpaša piesardzība attiecas uz personas kodu: to nedrīkst pieprasīt automātiski, ja identitāti var apliecināt ar mazāk invazīviem līdzekļiem. Nepietiekama identitātes pārbaude ir bīstama abos virzienos — Tet lietā (1,2 miljoni EUR) tieši svešas identitātes izmantošana pašapkalpošanās vidē bija viens no pārkāpuma pamatiem.
Termiņš un tā pagarināšana
Pamattermiņš ir viens mēnesis no pieprasījuma saņemšanas (12. panta 3. punkts). To var pagarināt par vēl diviem mēnešiem, ja pieprasījumi ir sarežģīti vai daudzskaitlīgi, taču par pagarinājumu un tā iemesliem datu subjekts jāinformē mēneša laikā. Ja pārzinis nerīkojas, tas mēneša laikā jāinformē datu subjektu par bezdarbības iemesliem un tiesībām vērsties DVI. Termiņa neievērošana ir patstāvīgs pārkāpums neatkarīgi no tā, vai dati galu galā tiek izsniegti.
Kad piekļuvi drīkst ierobežot vai atteikt
Pārzinis var atteikties rīkoties vai pieprasīt maksu, ja pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, jo īpaši to atkārtošanās dēļ (12. panta 5. punkts) — taču pierādīšanas pienākums gulstas uz pārzini. Kā minēts, piekļuvi ierobežo arī citu personu tiesības (15. panta 4. punkts). Papildu ierobežojumus var noteikt nacionālie likumi VDAR 23. panta ietvaros — Latvijā tie noteikti Fizisko personu datu apstrādes likumā, piemēram, attiecībā uz noziedzīgu nodarījumu izmeklēšanu. Vispārīgs atteikums “komerciālas konfidencialitātes” dēļ nav pieļaujams.
Saikne ar citām datu subjekta tiesībām
Piekļuves tiesības bieži ir pirmais solis, kam seko citi pieprasījumi. Kad datu subjekts ir redzējis, kādi dati tiek glabāti, viņš var izmantot tiesības tikt aizmirstam pēc 17. panta vai datu pārnesamības tiesības pēc 20. panta. Atšķirībā no pārnesamības tiesībām, piekļuves tiesības attiecas uz visiem personas datiem — arī tiem, kas iegūti no trešām personām vai atvasināti — neatkarīgi no apstrādes tiesiskā pamata. Ja apstrāde balstīta uz piekrišanu (7. pants), atbildē jānorāda arī tiesības to atsaukt.
Efektīva piekļuves pieprasījumu izpilde nav iespējama bez precīza apstrādes darbību reģistra (ROPA, 30. pants): tieši reģistrs ļauj ātri noteikt, kur dati atrodas, kādi ir nolūki, saņēmēji un glabāšanas termiņi (5. pants). Daudzu 15. panta atbildes elementu — nolūki, saņēmēji, tiesības — jau ir jābūt aprakstītiem publiskajā privātuma politikā, tāpēc konsekventa politika būtiski atvieglo atbildes sagatavošanu.
Biežākās kļūdas piekļuves pieprasījumu izpildē
Praksē pārziņi piekļuves pieprasījumus izpilda nepilnīgi vairāku atkārtotu kļūdu dēļ. Pirmā ir nepilnīga atbilde — datu subjektam nosūta tikai datu kopiju, bet neietver 15. panta 1. punktā prasīto informāciju par nolūkiem, saņēmējiem un glabāšanas termiņiem. Otrā ir termiņa nokavēšana, jo pieprasījumu neatpazīst kā formālu 15. panta pieprasījumu — datu subjektam nav pienākuma minēt konkrētu pantu, un pat mutisks vai e-pastā izteikts lūgums iedarbina viena mēneša termiņu.
Trešā izplatīta kļūda ir pārmērīga identitātes pārbaude, kad pārzinis pieprasa personas apliecinājuma kopiju vai personas kodu, lai gan identitāti var apstiprināt vienkāršāk, piemēram, caur jau autentificētu klienta kontu. Ceturtā ir trešo personu datu neaizklāšana — dokumentā, kas attiecas uz pieprasītāju, atstāj citu personu datus, tā pārkāpjot 15. panta 4. punktu. Piektā ir atteikums bez pamata, atsaucoties uz “komerciālu konfidencialitāti” vai “iekšēju dokumentu”, lai gan tie nav derīgi ierobežojumi. Visas piecas kļūdas novērš skaidra iekšējā procedūra ar pieprasījumu reģistrēšanu, standarta atbildes veidni un termiņu kontroli.
Kā DVI vērtē piekļuves tiesību pārkāpumus
Datu valsts inspekcija piekļuves tiesību lietās vērtē vairākus faktorus: vai atbilde sniegta termiņā, vai tā ir pilnīga (visi 15. panta elementi), vai identitātes pārbaude bijusi samērīga un vai atteikums ir tiesiski pamatots. DVI lēmumi un naudas sodu apmēra noteikšanas kritēriji rāda, ka soda apmēru ietekmē pārkāpuma ilgums, skarto personu skaits un pārziņa sadarbība. Maksimālais sods par datu subjekta tiesību pārkāpumiem ir līdz 20 miljoniem EUR vai 4 % no gada apgrozījuma (83. panta 5. punkts). Praksē vairums Latvijas sodu ir daudz mērenāki, taču sistemātiska piekļuves pieprasījumu ignorēšana rada reālu sankciju risku.
Biežāk uzdotie jautājumi
Cik ilgā laikā jāatbild uz piekļuves pieprasījumu?
Pamattermiņš ir viens mēnesis no pieprasījuma saņemšanas. To var pagarināt par vēl diviem mēnešiem, ja pieprasījums ir sarežģīts vai to ir daudz, bet par pagarinājumu un tā iemesliem datu subjekts jāinformē pirmā mēneša laikā. Termiņa neievērošana ir patstāvīgs VDAR pārkāpums.
Vai par datu kopiju drīkst prasīt maksu?
Pirmā personas datu kopija vienmēr ir bezmaksas. Par turpmākajām kopijām pārzinis var pieprasīt saprātīgu maksu, kas balstīta uz administratīvajām izmaksām. Maksu vai atteikumu drīkst piemērot arī tad, ja pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, taču pārzinim tas jāspēj pierādīt.
Vai drīkst prasīt personas kodu identitātes pārbaudei?
Tikai tad, ja tas patiešām nepieciešams un identitāti nevar apliecināt ar mazāk invazīviem līdzekļiem. Identitātes pārbaudei jābūt samērīgai — nedrīkst vākt vairāk datu, nekā vajadzīgs. Latvijā personas koda pieprasīšana bez pamata pati par sevi var būt pārkāpums.
Vai piekļuves tiesības attiecas uz visiem datiem?
Jā. Atšķirībā no pārnesamības tiesībām piekļuve attiecas uz visiem apstrādē esošajiem personas datiem, tostarp datiem, kas iegūti no trešām personām vai atvasināti. Ierobežojumi ir tikai tad, ja izsniegšana skartu citu personu tiesības un brīvības vai to paredz likums.
Secinājums
Piekļuves tiesības pēc VDAR 15. panta ir viens no praktiski visbiežāk izmantotajiem datu subjekta instrumentiem un vienlaikus viens no biežākajiem sūdzību iemesliem DVI. Korekta izpilde nozīmē: pilnīgu atbildi ar visiem 15. panta 1. punkta elementiem, bezmaksas pirmo datu kopiju, samērīgu identitātes pārbaudi un stingru viena mēneša termiņa ievērošanu. Praksē to nav iespējams nodrošināt bez aktuāla apstrādes reģistra un skaidras iekšējās procedūras. Rīki kā Legiscope automatizē reģistra uzturēšanu un datu subjektu pieprasījumu termiņu kontroli, saglabājot datus ES infrastruktūrā. Sāciet ar to, lai katrs piekļuves pieprasījums tiktu reģistrēts un izpildīts termiņā — tas ir vienkāršākais veids, kā izvairīties no sūdzības un soda.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial