Anna Vladimirova-Krjukova: 9 datu aizsardzības soļi, par kuriem nevar aizmirst, ieviešot trauksmes celšanas sistēmu uzņēmumā
Foto: Privātais arhīvs

Šī gada 1. maijā Latvijā stājās spēkā Trauksmes celšanas likums (Likums), kura kontekstā aktualizējās arī jautājums par datu aizsardzību. Vienlaikus ir svarīgi atcerēties, ka pirms minētā likuma ieviešanas gan Latvijā, gan arī citās Eiropas Savienības (ES) dalībvalstīs jau eksistēja trauksmes celšanas sistēmas. Savukārt spēku zaudējušajā ES datu aizsardzības Direktīvā 95/46/EK un šobrīd spēkā esošajā ES Vispārīgajā datu aizsardzības regulā (VDAR) par trauksmes cēlēju un citu iesaistīto personu datu aizsardzību nekas konkrēti nav teikts. Tomēr par datu aizsardzību trauksmes cēlāju kontekstā ir spriests arī agrāk, par ko liecina 2006. gada tā saucamās 29. panta darba grupas viedoklis par datu aizsardzību attiecībā uz trauksmes celšanas sistēmu darbību tādās jomās kā grāmatvedība, audits, kukuļošana, banku un finanšu noziegumi (Viedoklis).

Dažās dalībvalstīs, kā arī ASV vai Nasdaq saistītajos uzņēmos jau ir ieviesta trauksmes celšanas sistēma. Tomēr atbilstība ASV normatīvo aktu prasībām negarantē atbilstību arī VDAR un Latvijas Trauksmes celšanas likumam. Tātad, kādām personas datu aizsardzības prasībām uzņēmumiem Latvijā jāpievērš uzmanība trauksmes celšanas procedūras darbības nodrošināšanai Likuma kontekstā?

Kas ir datu subjekti?

Ja saskaņā ar Likumu uzņēmumam ir pienākums ieviest iekšējo trauksmes celšanas sistēmu vai sistēma jau izveidota citu iemeslu dēļ, vai uzņēmumu skar (kā arī potenciāli var skart) trauksmes celšanas situācija, tam iestājas pienākums nodrošināt arī iesaistīto personu datu aizsardzību.

Šajā sakarā ir svarīgi atcerēties, ka iesaistītās personas ir ne tikai paši trauksmes cēlēji, bet arī viņu radinieki, kā arī trauksmes cēlēja ziņojumā minētās personas. Dažos gadījumos Likums tieši paredz konkrētus pienākumus šo personu datu aizsardzībai, tomēr vairākas nianses uzņēmumam ir svarīgi pārņemt no VDAR ieviešanas procesa.

Datu aizsardzības soļi

Ņemot vērā, ka trauksmes celšana var skart jebkuru uzņēmumu, ir ieteicams ņemt vērā un nepieciešamības gadījumā spert šādus soļus minēto personu datu aizsardzības nodrošināšanai:


  1. Informēt datu subjektus par datu apstrādi: VDAR 13. un 14. panti paredz informēšanas pienākumu. Tas attiecas uz tiem gadījumiem, kad uzņēmums saņem informāciju no pašas iesaistītās personas (piemēram, par trauksmes cēlēju no paša trauksmes cēlēja), kā arī uz situācijām, kad uzņēmumam informāciju par datu subjektu nodod cita persona (piemēram, informāciju par potenciālu pārkāpēju nodod trauksmes cēlējs). Lai proaktīvi izpildītu informēšanas pienākumu (pat, ja Likums neuzliek uzņēmumam pienākumu izveidot iekšējo trauksmes celšanas sistēmu), ir ieteicams papildināt uzņēmuma privātuma paziņojumus un līdzīgus dokumentus, kuri ir adresēti visiem iepriekš minētajiem datu subjektiem. Labojumos ir jāatspoguļo tāda personas datu apstrāde, kas var tikt potenciāli veikta trauksmes celšanas ietvaros. Pēc labojumu ieviešanas tie ir jānokomunicē atbilstošajiem datu subjektiem. Ja datu subjekts nav bijis informēts iepriekš, uzņēmumam ir pienākums sniegt viņam vai viņai atbilstošo informāciju, tiklīdz ir saņemtas ziņas no attiecīgā datu subjekta (piemēram, ziņojums), pirms tālākas datu apstrādes.

Papildus Valsts kancelejas "Labās prakses vadlīnijas iekšējās trauksmes celšanas sistēmas izveidei" norāda, ka informācijai par trauksmes celšanas ietvaros apstrādātājiem personas datiem, to aizsardzību un pieejamības ierobežojumiem arī ir jābūt norādītai iekšējās kārtības noteikumos.


  1. Noteikt minimāli nepieciešamo datu apjomu: līdzīgi kā citos personas datu apstrādes gadījumos uzņēmumam ir jāievēro nolūka ierobežojuma un datu minimizēšanas principi. Likums tieši neparedz kādus konkrētus personas datus uzņēmumam ir jāievāc un jāapstrādā trauksmes celšanas procedūras ietvaros. Tomēr 6. panta pirmajā daļā ir atsauce uz Iesnieguma likumā norādīto personas datu apjomu, kā arī trauksmes cēlēja veidlapām, kuras atrodamas, piemēram, Ministru kabineta mājas lapā. No šī nosacījuma izriet, ka uzņēmums nevar apstrādāt citus personas datus papildus trauksmes cēlēja vārdam, uzvārdam, personas kodam un kontaktinformācijai, izņemot, ja tas ir nepieciešams potenciāla pārkāpuma izmeklēšanai. Turklāt ir jāņem vērā, ka uzņēmumam (tostarp tā atsevišķiem darbiniekiem) ne vienmēr var būt tiesības apstrādāt visus ziņojumā norādītos personas datus. Tas tostarp izriet no Likuma 11. panta, saskaņā ar kuru trauksmes cēlēja personas dati tiek pseidonimizēti un var būt atklāti tikai tādām personām, kurām dati ir nepieciešami trauksmes cēlēja ziņojuma vai uz tā pamata ierosinātas pārkāpuma lietas izskatīšanai vai trauksmes cēlēja vai viņa radinieku aizsardzībai. Trauksmes cēlēja radinieku personas datu pseidonimizāciju Likums neparedz, bet Likuma 10. panta pirmajā daļa tomēr noteikts, ka arī radiniekiem ir tiesības uz identitātes aizsardzību, tāpēc uzņēmumam ir jārūpējas par piekļuves ierobežošanu arī trauksmes cēlēja radinieku personas datiem. Papildus arī trauksmes cēlēja ziņojumā minētajām personām ir tiesības uz viņu datu aizsardzību. Saņemot ziņojumu, uzņēmums var izpaust tajā minēto personu datus tikai to nodošanai personai vai institūcijai, kurai tā nepieciešama trauksmes cēlēja ziņojuma vai uz tā pamata ierosinātas pārkāpuma lietas izskatīšanai vai trauksmes cēlēja vai viņa radinieku aizsardzībai atbilstoši Likuma 12. panta pirmajai daļai.

Daži uzņēmumi var apsvērt iespēju ne tikai pseidonimizēt, bet arī anonimizēt datus, tā faktiski pārtraucot personas datu apstrādi. Tomēr šeit jāņem vērā, ka gadījumā, kad uz uzņēmumu attiecas Likuma prasības, tas paredz tikai datu pseidonimizāciju, un datu anonimizācija vairākos gadījumus var būt pat pretrunā ar Likuma mērķi. Papildus iepriekš minētais Viedoklis nosaka, ka izmantot anonimizētu informāciju (tostarp atļaut iesniegt anonīmus ziņojumus) nav ieteicams, jo tas drīzāk ir šķērslis trauksmes celšanas sistēmas funkcionēšanai.

Ja personas datu apstrāde trauksmes celšanas nolūkos uzņēmumā ir jaunums, tad veiktajai personas datu apstrādei arī jāpielāgo uzņēmumā esošais personas datu apstrādes darbību reģistrs.


  1. Nodrošināt datu apstrādes pamatu: ir nepieciešams pārliecināties, ka uzņēmumam ir pamats ievākt, glabāt un citādi apstrādāt personas datus, kuri ir saņemti trauksmes celšanas procedūras ietvaros. Ar Likuma spēkā stāšanos uzņēmumiem Latvijā šis uzdevums kļuva daudz vieglāks: ja Likums paredz pienākumus, kuru izpildei ir nepieciešams veikt personas datu apstrādi, uzņēmumam jau ir pamats veikt darbības ar Likumā noteikto procedūru saistītajiem personas datiem, ievērojot iepriekš minētos nolūka ierobežojuma un datu minimizēšanas principus. Ja tomēr uzņēmuma darbības ar personas datiem nav balstītas uz Likumā noteikto pienākumu, tad ir jāizvērtē, vai veiktā apstrāde var tikt pamatota ar uzņēmuma leģitīmo interešu aizsardzību atbilstoši VDAR un Viedoklim.

  2. Ievērot datu glabāšanas termiņus: Likums nenosaka trauksmes celšanas procedūras ietvaros apstrādāto personas datu uzglabāšanas termiņu. Tādējādi šajā gadījumā jāseko vispārīgajam VDAR noteiktajam glabāšanas ierobežojuma principam. Tas nozīmē, ka datus noteikti ir tiesības glabāt un citādi apstrādāt, kamēr ir aktuāla ziņojuma izskatīšana, kā arī kādu laiku pēc ziņojuma izskatīšanas (termiņš var būt atšķirīgs atkarībā no uzņēmuma darbības un konkrētas lietas specifikas). Savukārt, ja tiek identificēts, ka saņemtais ziņojums nav saistīts ar trauksmes celšanu, un ja tas vairs nav nepieciešams uzņēmumam citiem nolūkiem (piemēram, atbildes sniegšanai vai iekšējā konflikta atrisināšanai), tad saņemto dokumentu ir ieteicams iznīcināt.

  3. Nodrošināt VDAR atbilstošu personas datu nosūtīšanu ārpus ES: ja trauksmes cēlēja ziņojuma izskatīšanā ir iesaistīti uzņēmumi ārpus ES, uzņēmumam, kas nodod personas datus (attiecībā uz jebkuriem iepriekš minētajiem datu subjektiem), ir jānodrošina atbilstība VDAR prasībām par šādu datu apstrādi. Piemēram, vismazāk grūtību būs ar Eiropas Ekonomiskās zonas valstīm un Eiropas Komisijas sarakstā iekļautajām valstīm. Ja uzņēmuma grupai ir saistošie uzņēmuma noteikumi, tad nodošana var arī tikt nodrošināta ātrāk. Pārējos gadījumos uzņēmums var izvēlēties citus personas datu aizsardzības mehānismus, piemēram, standarta datu aizsardzības klauzulas vai VDAR 49. pantā minētās papildu garantijas.

  4. Nodrošināt datu drošību: drošības risinājums nozīmē ne tikai tehniskus, bet arī organizatoriskus risinājumus, par kuriem bieži aizmirst. Starp organizatoriskiem risinājumiem var būt iekšējā trauksmes celšanas procedūra (dažos gadījumos Likums uzliek uzņēmumam pienākumu izveidot iekšējo trauksmes celšanas sistēmu) vai atbilstošas apmācības, kas nodrošinātu personas datu konfidencialitāti, integritāti un pieejamību. Galvenais VDAR 32. pantā norādītais princips paliek spēkā: drošības risinājumiem jāatbilst riska līmenim.

  5. Ievērot datu subjekta tiesības: patlaban vairākos uzņēmumos jau ir ieviesta datu subjektu pieprasījumu izskatīšanas procedūra, ņemot vērā atbilstošo uzņēmumu īpatnības. Ja uzņēmumā tiks ieviesta arī iekšējā trauksmes celšanas sistēma vai ja pastāv varbūtība, ka uzņēmums saskarsies ar trauksmes cēlēju ziņojumiem biežāk, ir ieteicams pārskatīt datu subjektu pieprasījumu izskatīšanas procedūru. It īpaši tas attiecas uz datu subjekta tiesībām labot un dzēst personas datus, jo, piemēram, ne visos gadījumos uzņēmumam būs tiesības izdzēst saņemto trauksmes cēlēja ziņojumu.

  6. Nodrošināt datu aizsardzību no pakalpojumu sniedzēju puses: uzņēmumiem nav pienākums administrēt trauksmes celšanas procedūru, izmantojot tikai savus resursus. Darbības optimizēšanai uzņēmums var piesaistīt ārpakalpojuma sniedzēju, kas, cita starpā, var saņemt personas datus trauksmes celšanas procedūras pārvaldīšanai kā personas datu apstrādātājs. Šajā gadījumā uzņēmumam atbilstoši VDAR 28. pantam ir jānoslēdz līgums ar šādu pakalpojumu sniedzēju.

  7. Ietekmes novērtējums: atkarībā no tā, kādā datu apstrādē uzņēmums var būt vispārīgi iesaistīts un kādā jomā var tikt izskatīti trauksmes cēlēja ziņojumi, uzņēmumam ir jāpievērš uzmanība nepieciešamībai veikt vai papildināt jau paveikto VDAR 35. pantā minēto ietekmes novērtējumu.

Trauksmes celšanas procedūra (tostarp Likumā aprakstītajā formā) ir jaunums daudziem uzņēmumiem. Tomēr jāatceras, ka pat, ja uzņēmuma uzmanība tuvākajā laikā būs pievērsta tieši trauksmes celšanas jautājumam, vienlaicīgi ir svarīgi nodrošināt citu normatīvo aktu prasību ievērošanu, tostarp attiecībā uz personas datu aizsardzību.

Source

Pamanījāt kļūdu?
Iezīmējiet tekstu un nospiediet Ctrl + Enter!

Stingri aizliegts DELFI publicētos materiālus izmantot citos interneta portālos, masu informācijas līdzekļos vai jebkur citur, kā arī jebkādā veidā izplatīt, tulkot, kopēt, reproducēt vai kā citādi rīkoties ar DELFI publicētajiem materiāliem bez rakstiskas DELFI atļaujas saņemšanas, bet, ja atļauja ir saņemta, DELFI ir jānorāda kā publicētā materiāla avots.

Comment Form