Fiziskās personas datu aizsardzība NILLTPFN jomā

Šogad 1. janvārī stājās spēkā NILLTPFN likuma grozījumi, kas ieviesa jaunas prasības attiecībā uz darbinieku apmācību. Tagad jānodrošina, lai ne tikai atbildīgie, bet visi likuma subjekta darbinieki atbilstoši to amata pienākumiem pārzinātu riskus, regulējošos normatīvos aktus un, kas ir nosacīts jauninājums, personas datu aizsardzības prasības NILLTPFN jomā.

Līdz grozījumu pieņemšanai fiziskās personas datu aizsardzības jautājumus NILLTPFN kontekstā uzraudzības un kontroles institūcijas īpaši neakcentēja. Visa uzmanība tika veltīta NILLTPFN jomai, tāpēc likuma subjekti pārsvarā koncentrējās uz tās prasību izpildi. Un, veicot, piemēram, klienta identifikāciju un izpēti, iespējams, ne vienmēr atcerējās par personas datu aizsardzības prasībām. 

Rakstā aplūkoti fiziskās personas datu aizsardzības jautājumi, kuriem jāpievērš uzmanība, izpildot NILLTPFN iekšējas kontroles sistēmas procedūras un veicot klienta datu apstrādi.

Apstrādes likumīgums

Vispārīgā datu aizsardzības regula (turpmāk — VDAR) ir spēkā kopš 2018. gada. Tās prasības jāievēro saimnieciskajā darbībā, tostarp izpildot NILLTPFN procedūras un veicot fiziskas personas datu apstrādi.

VDAR regula nosaka, ka fiziskas personas datu apstrāde ir likumīga, ja ir vismaz viens no šādiem pamatojumiem:

1. datu subjekts ir devis piekrišanu savu personas datu apstrādei;
2. apstrāde ir vajadzīga līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei;
3. apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu;
4. apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses;
5. apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs;
6. apstrāde ir vajadzīga pārziņa vai trešās personas leģitīmo interešu ievērošanai.

NILLTPFN jomā fiziskas personas datu apstrādei ir vismaz divi pamatojumi. Pirmais — uz NILLTPFN likuma subjektu, kas ir pārzinis VDAR izpratnē, attiecināms juridisks pienākums. Tas ir pienākums izpildīt likuma prasības, kas sevī ietver klienta datu apstrādi. Piemēram, NILLTPFN likuma subjektam ir pienākums apstrādāt fiziskas personas datus, lai:

• identificētu klientu un pārbaudītu identifikācijas datus;
• pārbaudītu un papildinātu klienta datus ar ārējo informācijas sistēmu palīdzību — VID, Uzņēmuma reģistra datiem;
• uzturētu klienta datus aktuālus;
• ziņotu par aizdomīgiem darījumiem.

Otrais pamatojums ir sabiedrības interesēs. NILLTPFN likumā ir ietverta atsevišķā norma, proti, 5.² pants, kas nosaka, ka "fizisko personu datu apstrāde likuma mērķa sasniegšanai likumā noteiktajā apjomā tiek veikta sabiedrības interesēs". Jāsaka, ka šis pants parādījās likumā salīdzinoši nesen — 2019. gadā. 

Tātad ir divi pamatojumi fiziskas personas datu apstrādei, turklāt tie izpildās pēc noklusējuma. Varētu būt arī trešais — klienta, kas ir datu subjekts VDAR izpratnē, piekrišana savu datu apstrādei. Šādu piekrišanu klients var dod, aizpildot klienta identifikācijas anketu.

Apstrādes principi

Personas datu apstrāde, kas tiek veikta NILLTPFN iekšējās kontroles sistēmas (turpmāk — IKS) ietvaros, ietver dažādas darbības. Tiek iegūta klienta identifikācijas informācija, tā tiek pārbaudīta. Izpētes gaitā tiek vākta papildu informācija par klientu, tostarp no valsts informācijas sistēmām un komerciālām datubāzēm. Darījumu attiecību laikā informācija par klientu regulāri tiek aktualizēta, kā arī tiek veikta klienta darījumu uzraudzība. Savukārt pēc darījumu attiecību izbeigšanas klienta izpētes informācija, ievērojot NILLTPFN likuma noteikto glabāšanas termiņu, tiek iznīcināta. Klienta dati var tikt nodoti trešajām pusēm, piemēram, ārpakalpojumu sniedzējiem, kopīgajam klienta izpētes rīkam. 

Veicot klienta datu apstrādi, jāievēro principi, kas ir noteikti VDAR.

Likumīgums, godprātība un pārredzamība

Lai nodrošinātu šī principa izpildi, klientam, kas ir datu subjekts, jāsniedz informācija par datu apstrādes pamatojumu un mērķi. Proti, klients jāinformē, ka tā personas dati tiek apstrādāti, lai izpildītu NILLTPFN likuma prasības, kas ir uz likuma subjektu attiecināms juridisks pienākums. Klients jāinformē arī par tā tiesībām un pienākumiem attiecībā uz datu sniegšanu. 

NILLTPFN likuma 28. pants nosaka, ka klientam "ir pienākums sniegt klienta izpētei nepieciešamo patieso informāciju un dokumentus, tajā skaitā par patiesajiem labuma guvējiem, klientu veiktajiem darījumiem, klientu un patieso labuma guvēju saimniecisko, personisko darbību, finansiālo stāvokli, naudas vai citu līdzekļu avotiem".

Nolūka ierobežojums

Šīs princips nozīmē, ka personas dati tiek vākti konkrētā, skaidrā un leģitīmā nolūkā. Tāpēc ir jābūt skaidri definētam mērķim, kuram tiek veikta datu apstrāde, proti, NILLTPFN likuma prasību izpildei. Klienta datu izmantošana citiem mērķiem, nesaņemot attiecīgu klienta piekrišanu, nav pieļaujama.

NILLTPFN likumā ir ietverta speciālā norma, kas saskan ar nolūka ierobežojuma principu, proti, 11.¹ panta 8. daļa nosaka, ka "likuma subjekts, piemērojot klienta izpētes pasākumus, iegūst un apstrādā fizisko personu datus atbilstoši šā likuma mērķiem vienīgi nolūkā novērst nelikumīgi iegūtu līdzekļu legalizēšanu un terorisma un proliferācijas finansēšanu un tos tālāk neapstrādā veidā, kas neatbilst minētajiem mērķiem. Personas datu apstrāde citiem mērķiem, tostarp komerciāliem mērķiem, ir aizliegta."

Datu minimizēšana

Ievērojot šo principu, jāiegūst tikai tie dati un informācija par klientu, kas ir nepieciešami NILLTPFN likuma izpildei. 

Kā zināms, veicot klienta izpēti, jāpiemēro uz risku balstīta pieeja (risk–based approach). NILLTPFN likuma 11.¹ pantā ir norādīts, ka, "nosakot klienta izpētes apjomu un kārtību, kā arī klienta izpētes gaitā iegūto dokumentu, personas datu un informācijas izvērtēšanas regularitāti, likuma subjekts ņem vērā NILLTPF riskus, kurus rada klients, tā rezidences (reģistrācijas) valsts, klienta saimnieciskā vai personiskā darbība, izmantojamie pakalpojumi un produkti un to piegādes kanāli, kā arī veiktie darījumi". Tas nozīmē, ka iegūstamās informācijas un datu apjoms ir atkarīgs no klienta riska — tam jābūt pamatotam un samērīgam ar risku.

Precizitāte

Šīs princips nozīmē, ka personas datiem ir jābūt precīziem un aktuāliem. 

Ar šo principu saskan NILLTPFN likuma 20. pants, kas tostarp nosaka, ka "likuma subjekts pēc darījuma attiecību uzsākšanas vai veicot gadījuma rakstura darījumus, bal≠stoties uz NILLTPF risku novērtējumu, pastāvīgi aktualizē informāciju par klienta saimniecisko vai personisko darbību". Ievērojot precizitātes principu un izpildot NILLTPFN likuma prasības, klienta dati un informācija jāaktualizē ar IKS noteikto regularitāti atbilstoši klienta riskam.

Glabāšanas ierobežojums

Šīs princips nosaka, ka personas dati jāglabā tādā veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk, kā nepieciešams nolūkā, kādā personas dati tiek apstrādāti.

NILLTPFN likuma 37. pants nosaka klienta izpētes dokumentu glabāšanas, atjaunošanas un iznīcināšanas prasības. Likums prasa piecus gadus pēc darījuma attiecību izbeigšanas vai gadījuma rakstura darījuma veikšanas glabāt un pēc tam iznīcināt:

• visu klienta izpētes gaitā iegūto informāciju;
• informāciju par visiem klienta veiktajiem maksājumiem;
• saraksti ar klientu, tai skaitā elektronisko saraksti.

Integritāte un konfidencialitāte

Saskaņā ar šo principu personas dati jāapstrādā tādā veidā, lai tiktu nodrošināta atbilstoša datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu. 

Šī principa praktiskā izpilde nozīmē, ka likuma subjektam jānodrošina atbilstoši tehniskie un organizatoriskie pasākumi, kas pasargā personas datus no nesankcionētas piekļuves vai pretlikumīgas izpaušanas.

Darbinieks, kas ir atbildīgs par fiziskās personas datu aizsardzību

Noteiktos gadījumos, piemēram, ja pārziņa pamatdarbība sastāv no apstrādes darbībām vai ietver īpašo kategoriju datu (dati par sodāmību, etnisko piederību, politiskajiem uzskatiem utt.) apstrādi plašā mērogā, VDAR prasa iecelt datu aizsardzības speciālistu. 

Visiem NILLTPFN likuma subjektiem nav obligāti jāieceļ atsevišķs datu aizsardzības speciālists. Datu aizsardzības speciālista uzdevumus, kuri noteikti VDAR, var pildīt arī cits darbinieks — tas varētu būt arī darbinieks, kas ir atbildīgs par NILLTPFN likuma prasību ievērošanu (turpmāk — atbildīgais darbinieks). Šinī gadījumā atbildīgajam darbiniekam ir jābūt speciālām zināšanām datu aizsardzības tiesību un prakses jomā, lai tas varētu veikt VDAR noteiktos uzdevumus, tostarp:

1. izstrādāt fiziskas personas datu apstrādes politiku, kas tiek piemērota IKS ietvaros;
2. uzraudzīt, vai tiek ievērotas VDAR prasības, veicot fiziskas personas datu apstrādi;
3. nodrošināt citu darbinieku informēšanu un apmācību;
4. veikt pienākumu sadali starp darbiniekiem, lai nodrošinātu fiziskas personas datu apstrādes politikas un IKS procedūru izpildi;
5. sadarboties ar uzraudzības iestādi — Datu valsts inspekciju. 

Minēto uzdevumu izpilde pilnīgi vai daļēji var tikt īstenota arī ārpakalpojumā.

Fiziskās personas datu apstrādes politika, kas tiek piemērota IKS ietvaros

Personas datu aizsardzības prasību ievērošanas nepieciešamība tagad ir tieši norādīta NILLTPFN likumā. Tāpēc ir pamats domāt, ka šis jautājums tiks iekļauts gan VID tvērumā, gan tiks izvērtēts ārpakalpojuma grāmatvežu licencēšanas procesā. Līdz ar to būtu lietderīgi pārbaudīt, vai IKS satur arī fiziskās personas datu aizsardzības politiku un procedūras un kā tās tiek izpildītas. Iespējams, ja ir nepieciešams, ieplānot darbinieku apmācību personas datu aizsardzības jautājumos. 

Fiziskās personas datu aizsardzība NILLTPFN jomā nav triviāls jautājums. Ņemot vērā datu apstrādes nolūku, pastāv virkne nianšu, tostarp datu subjekta tiesību ierobežojumi. Piemēram, ja datu subjekts pieprasa savu datu dzēšanu (tiesības "tikt aizmirstam"), tas neietekmē apstrādes veikšanu. Apstrāde ir pamatota un ir nepieciešama, lai izpildītu NILLTPFN likuma prasības, kas ir uz pārzini — likuma subjektu attiecināms juridisks pienākums.

Publicēts žurnāla “Bilance” 2022. gada aprīļa (484.) numurā.