LAT
Datu drošība e-komercijā
Šodien visus uzņēmumus var uzskatīt par datu uzņēmumiem. Preču un pakalpojumu elektroniskās tirdzniecības veikali, jeb e-komercija (“e-veikals”) neizbēgami vāc, glabā un apstrādā indivīdu personas datus, kas nozīmē to, ka e-veikaliem ir obligāti jāievēro Vispārīgās datu aizsardzības regulas (“regula”) prasības.
E-veikali parasti apstrādā lielu personas datu apjomu un tas ir viens no iemesliem kāpēc 29.panta darba grupa (“WP29”), kuru līdz ar regulas stāšanās spēkā aizstāja Eiropas datu aizsardzības padome (EDPB), uzskatīja, ka e-komercija ir viens no sektoriem, kas rada vislielākos datu aizsardzības un privātuma riskus Eiropas savienības (“ES”) pilsoņiem.
ATBILSTĪBAS NODROŠINĀŠANA
Pats būtiskākais solis ceļā uz datu aizsardzības likumu prasību ievērošanu ir pastāvīga informētība par to, kādi personas dati ir jūsu uzņēmumā, kāpēc jūs tos vācat, kur tie tiek glabāti un kam tiek sūtīti.
Jums jāpārbauda visas datu vākšanas un apstrādes darbības, ko veicat e-veikala darbības ietvaros. Ir pilnīgi iespējams, ka tādas pārbaudes rezultātā tiks identificētas apstrādes darbības, kuras jūs vairs neveicat, un personas dati, kuri jums vairs nav nepieciešami. Pat ja jūsu e-veikals ir tikai starpnieks personas datu nodošanas procesā, jums ir pienākums apzināt šos datus un nodrošināt to aizsardzību.
Atcerieties, ka atbilstības ieviešana un uzturēšana e-veikalā nav vienreizējs uzdevums: atbilstības prasības ir jāiekļauj katrā jaunajā datu apstrādes procesā.
Regula pieprasa veikt saprātīgu darbību apjomu, lai izvairītos no datu pārkāpumiem, kā arī jau iepriekš tiem sagatavoties. Jums vajadzētu pārbaudīt savas tehniskās sistēmas, kā arī ar cilvēkiem saistītos procesus, lai identificētu faktorus, kas potenciāli varētu izraisīt datu drošības pārkāpumus.
PIRCĒJU TIESĪBAS
Tiesības saņemt informāciju
E-veikaliem ir jānodrošina, lai pircēji, viņu personas datu iegūšanas brīdī vai pirms tam, būtu informēti par to, ka e-veikals vāc, izmanto, aplūko vai citādi apstrādā viņu personas datus. Regula nosaka, ka informācijai un saziņai, kas saistīta ar minēto personas datu apstrādi, ir jābūt viegli pieejamai un viegli saprotamai, kā arī ir jāizmanto skaidra un vienkārša valoda. Turklāt, regula nosaka arī minimālo informācijas apjomu, kuru e-veikalam būtu jāziņo pircējiem. Šādu informāciju var sniegt elektroniski, piemēram, publicējot to e-veikala vietnē.
Obligāts informācijas sniegšanas priekšnosacījums - e-veikalam ir jāziņo pircējiem plānoto datu apstrādes informāciju pirms šo personas datu iegūšanas. Minētais ir nepieciešams, lai katrs pircējs spētu realizēt savas privātuma tiesības un izlemt par datu nodošanu e-veikalam, izvērtējot e-veikala sniegto informāciju. Par pareizo praksi informācijas sniegšanā tiešsaistē tiek uzskatīta personas datu apstrādes noteikumu paziņošana pircēju reģistrācijas procesa pirmajā solī, pirms pircējs tiek lūgts sniegt savus datus. Ja e-veikals neparedz pircēju reģistrāciju, iepazīšanos ar minētiem noteikumiem ir jānodrošina cita procesa ietvaros, piemērām, pirkuma noformēšanas brīdī.
Tiesības piekļūt saviem datiem
Pircējam ir tiesības pieprasīt informāciju vai attiecībā uz viņu tiek vai netiek apstrādāti personas dati, un, ja tiek, tad saņemt informāciju par to, kādus datus apstrādā e-veikals, uz kāda juridiskā pamata tos apstrādā, kā arī citu informāciju, kas skar šādu datu apstrādi. Regula nosaka, ka e-veikalam ir pienākums atbildēt uz datu subjekta pieprasījumiem bez nepamatotas kavēšanās un vēlākais viena mēneša laikā un minēt iemeslus, ja e-veikals neplāno izpildīt nevienu šādu pieprasījumu. Nepieciešamības gadījumā šo termiņu var pagarināt vēl uz diviem mēnešiem, ņemot vērā pieprasījumu sarežģītību un skaitu. E-veikalam būtu jānodrošina arī līdzekļi, ar kuriem pieprasījumus var izdarīt elektroniski, īpaši gadījumos, kad personas datus apstrādā, izmantojot elektroniskus līdzekļus.
Svarīgi
atcerēties, ka pat tad, kad e-veikals neveic pieprasījumā minēto datu apstrādi,
vai neapstrādā datus, kas tajā minēti, šo apstākli nevar uzskatīt par pamatu
atbildes nesniegšanai uz pircēja pieprasījumu. Atbilde uz pieprasījumu ir
jāsniedz vienmēr un tā ignorēšana ir uzskatāma par datu aizsardzības likumu
normu pārkāpumu, par ko pircējs var iesniegt sūdzību uzraugošajā iestādē vai
tiesā. Ja e-veikals izmanto savas tiesības atteikt sniegt informāciju, tam
ir pienākums uzskatāmi parādīt, ka pieprasījums ir acīmredzami nepamatots vai
pārmērīgs.
Fizisko personu datu aizsardzības likums, kas zaudējis
spēku ar Fizisko personu datu apstrādes likuma spēkā stāšanās brīdi, paredzēja
ierobežojumu datu subjektam bez maksas saņemt rakstveidā pieprasīto informāciju
vai pamatotu rakstveida atteikumu ne biežāk kā divas reizes gadā. Taču Fizisko
personu datu apstrādes likums to vairs neparedz. Tā vietā, e-veikalam ir
jāvadās no regulā ietvertām tiesībām lūgt pircēju maksāt par sniegto
informāciju saprātīgu samaksu, kas balstīta uz administratīvām izmaksām, ja
pircēja atkārtotie pieprasījumi rada e-veikalam administratīvos izdevumus.
Tiesības labot datus un tiesības “tikt aizmirstam”
Pircējiem ir tiesības panākt, lai e-veikals bez nepamatotas kavēšanās labotu neprecīzus pircēja personas datus, kā arī tiesības uz savu personas datu dzēšanu un apstrādes neturpināšanu, ja (i) personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie vākti; (ii) pircējs ir atsaucis savu piekrišanu apstrādei vai (iii) iebilst pret savu personas datu apstrādi, kas balstīta uz e-veikala leģitīmajām interesēm vai sabiedrības interesēm un apstrādi, kuru realizē tiešās tirgvedības nolūkos; vai (iv) personas dati ir apstrādāti nelikumīgi; vai (v) personas dati ir jādzēš, lai nodrošinātu, ka tiek pildīts e-veikala juridisks pienākums.
Turklāt, ir jāatceras, ka e-veikalam ir pienākums informēt sadarbības partnerus, kuri sniedz pakalpojumus, kas ietver pircēju personas datu apstrādi, par to, ka pircējs ir īstenojis savas tiesības labot datus vai tos dzēst.Tiesības ierobežot apstrādi
Regulas 18.pants piešķīra datu subjektiem tiesības īslaicīgi ierobežot savu personas datu apstrādi un tāpēc e-veikala pircēji var iesniegt pieprasījumu ierobežot viņu datu apstrādi ja ir viens no šādiem apstākļiem: (i) pircējs apstrīd personas datu precizitāti – uz laiku, kurā e-veikals var pārbaudīt personas datu precizitāti; (ii) apstrāde ir nelikumīga, un pircējs iebilst pret personas datu dzēšanu un tās vietā pieprasa datu izmantošanas ierobežošanu; (iii) e-veikalam personas dati apstrādei vairs nav vajadzīgi, taču tie ir nepieciešami pircējam, lai celtu, īstenotu vai aizstāvētu likumīgas prasības; (iv) pircējs ir iebildis pret apstrādi, kas pamatojas uz e-veikala leģitīmajām interesēm, vai kura tiek veikta sabiedrības interesēs – uz laiku, kamēr nav pārbaudīts, vai e-veikala leģitīmie iemesli nav svarīgāki par pircēja leģitīmajiem iemesliem.
Tiesības iebilst pret apstrādi
Tiesības iebilst tiek piemērotas tādai personas datu apstrādei, kuru pārzinis veic, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim piešķirtas oficiālas pilnvaras, vai pamatojoties uz savām vai trešās personas leģitīmajām interesēm.
Visbiežāk leģitīmās intereses kalpo par pamatu e-veikala pircēju datu apstrādei mārketinga vajadzībām, un, ja pircējs iebilst pret šādu viņu datu apstrādi, minētā apstrāde ir jāaptur.
Atbilstoši regulā noteiktajam, e-veikala leģitīmās intereses var būt apstrādes juridiskais pamats tikai tad, ja pircēju intereses vai pamattiesības nav svarīgākas par e-veikala interesēm, kā arī, ja pircējs personas datu vākšanas laikā un saistībā ar to var pamatoti sagaidīt, ka var notikt minētajā nolūkā paredzētā apstrāde. Līdz ar to e-veikalam katru reizi, pamatojot pircēju datu apstrādi ar savām leģitīmajām interesēm, ir jāveic līdzsvara pārbaude, lai līdzsvarotu savas un pircēju tiesības un brīvības.
Tāpēc, saņemot pircēju iebildumus viņu datu apstrādei citos šajā sadaļā minētajos gadījumos, e-veikalam būtu jāpierāda, ka viņa pārliecinošās leģitīmās intereses ir svarīgākas par pircēju pamattiesībām un brīvībām.
Tiesības uz datu pārnesamību
Datu subjektiem ir tiesības uz datu pārnesamību tikai situācijās, kad pārzinis veic datu apstrādi ar automatizētiem līdzekļiem (i) uz datu subjekta piekrišanas pamata, vai (ii) datu apstrāde ir vajadzīga līguma izpildei; un tikai tad, ja datu pārnešana no viena pārziņa pie otrā ir tehniski iespējama.
Neskatoties uz to, ka regula neuzliek pārziņiem pienākumu izstrādāt konkrētu datu glabāšanas formātu, saskaņā ar regulas 20.pantu, datu subjektam ir tiesības saņemt personas datus attiecībā uz sevi strukturētā, plaši izmantotā un mašīnlasāmā formātā.
Atbildot uz datu pārnešanas pieprasījumu, pārzinis darbojas saskaņā ar datu subjekta instrukcijām un nav atbildīgs par datu saņēmēja atbilstību datu aizsardzības likumu prasībām.
Tiesības, kas attiecas uz automatizētu individuālu lēmumu pieņemšanu un profilēšanu
Automatizēta lēmumu pieņemšana ir process, kura ietvaros tiek pieņemts lēmums bez cilvēka iejaukšanās tajā un kura rezultāts rada juridiskas sekas attiecībā uz datu subjektu vai ievērojami ietekmē datu subjektu – piemēram, tiešsaistē iesniegta kredītpieteikuma automātisks noraidījums. Šāda apstrāde ietver “profilēšanu”, kas izpaužas kā jebkura veida automatizēta personas datu apstrāde, kurā izvērtē ar fizisku personu saistītus personiskus aspektus, jo īpaši, lai analizētu vai prognozētu aspektus saistībā ar datu subjekta sniegumu darbā, ekonomisko situāciju, veselību, interesēm, uzvedību, atrašanās vietu vai pārvietošanos, ja šādai apstrādei ir juridiskas sekas attiecībā uz fizisko personu vai viņu ievērojami ietekmē.[1]
Regula nosaka, ka datu subjektiem ir tiesības nebūt tādu lēmumu subjektiem, taču atļauj automatizētu individuālu lēmumu pieņemšanu un profilēšanu, ja to atļauj citi Eiropas Savienības vai dalībvalsts tiesību akti, vai tas ir nepieciešams, lai noslēgtu vai izpildītu līgumu starp datu subjektu un datu pārzini, vai datu subjekts ir devis tam savu piekrišanu.Autors: Marina Briškena, eGDPR