Plašas diskusijas izraisījusi Dr. oec. Ievas Kalves publikācija “Pases dati darba devējam nav jāzina” (“iFinanses”, maijs 2019), un to būtība ir tāda, ka nav viennozīmīgi skaidrs, vai un kad uzņēmumiem vai organizācijām ir atļauts vai ir pienākums iegūt un saglabāt darbinieku vai klientu, vai citu personu pases datus. No personas datu aizsardzības un Vispārīgās datu aizsardzības regulas viedokļa raugoties, šī situācija ir samērā skaidri atrisināta.
Kad ir pienākums?
Būtiski ir atcerēties, ka sekas atšķiras, ja pase tiek uzrādīta vai tā tiek nokopēta vai norakstīti tajā esošie dati. Pirmajā gadījumā tā ir tikai īslaicīga datu aplūkošana, savukārt otrajā – datu saglabāšana. Līdz ar to jānodrošina, lai arī šī datu saglabāšana notiek atbilstoši personas datu aizsardzības, tostarp Vispārīgās datu aizsardzības regulas), prasībām.
Atbilstoši Vispārīgajai datu aizsardzības regulai uzņēmumiem un organizācijām ir pienākums pases datus iegūt un saglabāt, piemēram, saglabājot pases kopiju vai norakstot pases datus, ja šāds pienākums tieši konkrētajā gadījumā ir noteikts ārējā normatīvajā aktā – piemēram, likumā vai Ministru kabineta (MK) noteikumos.
Piemēram, saskaņā ar Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likumu, uzsākot darījuma attiecības ar fizisku personu, šī likuma subjekts izgatavo šo personu apliecinoša dokumenta kopiju, uz kura pamata veikta šī klienta identifikācija.
Kā arī, piemēram, saskaņā ar MK noteikumu Nr.584 “Kases operāciju uzskaites noteikumi” 14.3.apakšpunktu kases ieņēmumu orderim obligāti ir šādi rekvizīti (identifikācijas dati): fiziskās personas — skaidrās naudas maksātāja — vārds, uzvārds un personas kods (rezidentiem), personu apliecinoša dokumenta dati (dokumenta nosaukums, numurs, izsniegšanas datums un vieta) vai personas identifikācijas kods un valsts nosaukums (nerezidentiem), ievērojot šo noteikumu 26.punktā noteikto kārtību attiecībā uz ārvalsts valūtas pirkšanas darījumiem.
Tulkojot šo punktu gan gramatiski, gan pēc tā jēgas un mērķa, ir skaidrs, ka rezidenta identificēšanai ir pietiekami iegūt un saglabāt tā vārdu, uzvārdu un personas kodu, bet personu apliecinoša dokumenta dati nav nepieciešami, jo tie ir lieki – nav nepieciešami rezidenta identificēšanai. Savukārt, ja skaidras naudas maksātājs ir nerezidents, tad jāiegūst un jāsaglabā arī personu apliecinoša dokumenta dati. Tādā veidā šajā punktā tiek ievērots arī viens no Vispārīgajā datu aizsardzības regulā paredzētajiem personas datu aizsardzības principiem – personas dati ir jāapstrādā tikai tādā veidā un apjomā, kas nodrošina konkrētā procesa mērķa sasniegšanu. Pretēja šim principam ir rīcība, iegūstot un saglabājot tādus personas datus, kas nav nepieciešami, piemēram, iegūstot un saglabājot rezidenta pases datus, ja mērķa sasniegšanai pietiek ar rezidenta vārda, uzvārda un personas koda iegūšanu un saglabāšanu.
Līdz ar to likumos un citos ārējos normatīvajos aktos noteiktos pienākumus nedrīkst tulkot un piemērot paplašināti, piemēram, saglabāt pases kopiju, ja likumā noteikts pienākums saglabāt atsevišķus pases datus.
Arī atbilstoši Darba likumam darba līguma noslēgšanas gadījumā darba devēja pienākums ir lūgt darbiniekam uzrādīt personu apliecinošu dokumentu, nevis šī dokumenta datus ierakstīt darba līgumā vai izveidot dokumenta kopiju.
Vai un kad ir tiesības?
Ja likums vai cits ārējais normatīvais akts kā pienākumu neparedz pases kopijas vai pases datu saglabāšanu, tad atbilstoši Vispārīgajai datu aizsardzības regulai drīkst saglabāt pases kopiju vai pases datus, bet tikai, ievērojot visus regulā noteiktos priekšnoteikumus. Tai skaitā uzņēmumam vai organizācijai, kura vēlas saglabāt darbinieku vai klientu pases kopiju vai pases datus, ir jāspēj apliecināt, ka šī darbība nodrošina tiesiska mērķa sasniegšanu un ka šo mērķi nav iespējams sasniegt ar cita veida vai mazāka apjoma personas datu izmantošanu. Piemēram, uzņēmumam jāspēj pierādīt, ka tā izraudzītā mērķa sasniegšanai noderīga ir pases kopijas iegūšana un kāpēc to nevar sasniegt bez tās.
Līdzšinējā praksē neesam bieži konstatējuši gadījumus, kad uzņēmumam vai organizācijai savu interešu aizsardzībai ir noderējusi iegūtā darbinieka vai klienta pases kopija. Attiecībā uz atsevišķu pases datu norakstīšanu tiesisks mērķis varētu būt vieglāk un biežāk konstatējams, piemēram, norakstot pases numuru, darba devējs var apliecināt, ka darba līguma noslēgšanas brīdī ir izpildījis likumā noteikto pienākumu, lūdzot uzrādīt pasi, jo iepriekš attiecībās ar darbiniekiem vai uzraudzības iestādēm darba devējam ir bijusi nepieciešamība šī pienākuma izpildi apliecināt.
Papildus tiesiskā mērķa pastāvēšanai būtiski ir nodrošināt, lai indivīds, piemēram, darbinieks vai klients, tiek atbilstoši informēts par šo procesu un tā sekām, tai skaitā par personu apliecinošā dokumenta kopijas iegūšanas vai tajā esošo datu norakstīšanas tiesisko mērķi, pamatojumu, datu glabāšanas ilgumu, iespējamajiem saņēmējiem. Šī informēšana jāveic tā, lai uzņēmums vai organizācija, kura vēlas datus saglabāt, nepieciešamības gadījumā, piemēram, Datu valsts inspekcijai, varētu pierādīt, kad un kāda informācija indivīdam tika sniegta šī indivīda datu iegūšanas gadījumā. Līdz ar to šo informāciju darbiniekiem vai klientiem datu iegūšanas brīdī vislabāk ir sniegt rakstiskā veidā, piemēram, rakstiskas privātuma politikas, atrunas formātā, saglabājot apliecinājumu, ka klientam vai darbiniekam šī atruna bija pieejama.
Veicot iepriekš minēto informēšanu, indivīdiem jāsniedz arī informācija, ka drīkst iebilst pret personu apliecinošā dokumenta datu saglabāšanu, ja uzskata, ka tādā veidā tiek nesamērīgi ierobežotas tā tiesības. Jārēķinās, ka indivīdi šīs tiesības var arī izmantot, un tādā gadījumā uzņēmumam vai organizācijai jāspēj sniegt pārliecinoša atbilde vai jāatsakās no ieceres saglabāt datus.
Pienākums informēt par personas datu iegūšanu pastāv arī tad, ja personu apliecinošā dokumenta datus saglabāt pieprasa likums. Ja datu saglabāšana ir paša uzņēmuma vai organizācijas iniciatīva, informēšana ir komplicētāka, un galvenais priekšnoteikums – datu iegūšanai jābūt tiesiskai. Līdz ar to, ja uzņēmums vai organizācija vēlas, piemēram, pasi ne tikai aplūkot, bet arī saglabāt tās datus, ieteikums ir šī procesa ieviešanai piesaistīt arī personas datu aizsardzības ekspertu, lai tas palīdzētu nodrošināt Vispārīgajai datu aizsardzības regulai atbilstošu datu iegūšanu un saglabāšanu, tādā veidā izvairoties no milzīgajiem regulā paredzētajiem sodiem.
Sabiedrības, tai skaitā valsts iestādes, nav pietiekami zinošas par personas datu aizsardzības prasībām, līdz ar to joprojām var būt gadījumi, kad personu apliecinošo dokumentu datu saglabāšana tiek pieprasīta un veikta nepamatoti, aizskarot indivīdu privātumu un radot papildu pienākumus attiecībā uz iegūto datu aizsardzību. Līdz ar to ikviens, kurš, pildot darba pienākumus, pieprasa vai aicina, piemēram, klientus iesniegt pases kopiju, vai noraksta pases datus, vai kuram kā klientam vai darbiniekam tiek pieprasīts ne tikai uzrādīt pasi, bet tā tiek arī nokopēta vai tās dati tiek norakstīti, aicināts padomāt, vai šī rīcība ir nepieciešama. Rodoties šaubām par šīs rīcības nepieciešamību, ikvienam ir iespēja rosināt šo procesu pārvērtēt.
Raksts pilnā apmērā publicēts žurnālā iFinanses.