Kādas ir biežākās kļūdas uzņēmumu privātuma politikās?

Datu valsts inspekcija 2024. gadā veica preventīvu pārbaudi trīsdesmit Latvijā reģistrētu komersantu, kuru pamatdarbība saistīta ar mazumtirdzniecību pa pastu vai interneta veikalos, tīmekļa vietnēs publicētajām privātuma politikām. Tās ietvaros tika pārbaudīta privātumu politiku satura atbilstība Vispārīgās datu aizsardzības regulas (Datu regulas) 13. un 14. panta prasībām.

Šī pārbaude bija nepieciešama, lai apzinātu Datu valsts inspekcijas līdzšinējā ieguldījuma rezultātus. Proti, vai tie atspoguļojas pārziņu privātuma politikās, un lai pārbaudītu, vai komersantu publicētā informācija ir skaidra, saprotama un atbilstoša Datu regulai. Pārbaude pamatā tika veikta, salīdzinot pārziņu privātuma politikās sniegto informāciju ar Datu regulas 13. pantā (pārbaudes gaitā secināts, ka visi pārziņi iegūst datus vien no datu subjekta, līdz ar to Datu regulas 14. panta nosacījumu izpilde netika pārbaudīta) norādīto obligāti sniedzamo informāciju. Tāpat paralēli pamata pārbaudei tika vērsta uzmanība arī uz politikas atrašanās vietu, pārredzamību un uz virspusēji pamanāmām nepilnībām, piemēram, nepareizi uzstādītu sīkdatņu baneri vai arī to, ka politika pieejama vien, uzklikšķinot uz šī banera, un nav atrodama nekur citur tīmekļa vietnē.

Noslēdzot pārbaudi, tika secināts, ka pārbaudīto komersantu gadījumā situācija kopumā nav kritiska, taču tika saskatīti būtiski trūkumi šī pienākuma izpildes uztverē. Vienlaikus vismaz daži trūkumi privātuma politikas saturā vai tās publicēšanas vietā vai veidā tika konstatēti katrā pārbaudītajā dokumentā. Inspekcija pieņem, ka šādu dokumentu sagatavot sākotnēji ir grūtāk, jo nav pietiekamas izpratnes par tā nepieciešamību un saturu, tāpēc arī savās vēstulēs Inspekcija uzsvēra, ka jebkurš pārzinis var izmantot un pielāgot savai situācijai Inspekcijas sagatavoto privātuma politikas veidni. Tāpat arī Inspekcija vērsa uzmanību uz pieejamiem bezmaksas materiāliem, kas atvieglotu informācijas sagatavošanu.

Pārbaudes gaitā izkristalizējās arī tas, ka atsevišķi pārziņi privātuma politiku (datu apstrādes noteikumus) publicējuši grūti atrodamā vietā savā tīmekļa vietnē, “sapludinot” to ar citiem, piemēram, veikala noteikumiem. Tāpat novērots, ka tiek izmantotas, iespējams, no citas valodas tulkotas standarta privātuma politikas, kurā iekļauti tādi vispārīgi apgalvojumi kā "bez Jūsu atļaujas nenodosim datus trešajām personām; datus apstrādājam atbilstoši datu aizsardzības prasībām; ar šīs privātuma politikas izlasīšanu Jūs piekrītat tās saturam" u.c. Inspekcija vairākkārt pārziņiem norādīja, ka privātuma politikas saturam jābūt skaidram, saprotami pasniegtam un konkrētam. Vienlaikus pārziņa atbildību pret savu klientu datiem pierāda nevis rakstisks apgalvojums, ka tas apstrādā datus atbilstoši, bet gan skaidra noteikumu izpilde. Tāpat nojaušams, ka tad, kad komersanta privātuma politika sagatavota ar dažādiem trūkumiem, tas var liecināt par pārziņa neizpratni par datu apstrādes procesiem uzņēmumā kā tādiem. Tādējādi uzsverams, ka, uzskaitot un pārredzot savus datu apstrādes procesus uzņēmumā, ir vieglāk sagatavot arī citu informāciju un tādējādi veicināt darbības atbilstību Datu regulai. Pārējie trūkumi publicētajās politikās bija saistīti ar Datu regulas 13. pantā norādītās informācijas nesniegšanu vai kļūdainu sniegšanu, piemēram, attiecībā uz uzraudzības iestādes kontaktinformāciju, datu subjekta tiesībām, informāciju par personām (apstrādātāji, sadarbības partneri), kuriem nodoti klienta personas dati, bet visbiežāk ar nekorekti norādītiem datu apstrādes nolūkiem un likumiskajiem pamatiem.

Vairāk par pieļautajām kļūdām, kuras novērotas preventīvajā pārbaudē, aprakstīts Inspekcijas skaidrojumā: "Kādas nepilnības visbiežāk novērojam privātuma politikās?". Inspekcija aicina uzņēmumus ar to iepazīties un novērst nepilnības arī savās privātuma politikās.

Lasiet arī:

• EST aktualitātes personas datu apstrādes un darba lietās
• EST aktualitātes personas datu apstrādes un patērētāju tiesību aizsardzības lietās