Aizvadītajā mēnesī informējām par šī gada pirmo datu aizsardzības pārkāpumu rekordu, proti, naudas soda piepriešanu 10,4 miljonu eiro apmērā elektronikas mazumtirgotājam Notebooksbilliger.de par darbinieku videonovērošanu, kas neatbilst GDPR prasībām. Situācijas problemātiku un Latvijas piemēru komentē Datu valsts inspekcija (DVI).
Kāpēc piemēroja sodu?
Datu valsts inspekcija informē, ka Lejassaksijas datu aizsardzības iestāde konkrētajā gadījumā sodu piemērojusi par to, ka apstrāde veikta bez atbilstoša tiesiskā pamata un par atsevišķiem Regulas principiem neatbilstošu informācijas apstrādes apjomu.
Lejassaksijas datu aizsardzības iestāde ņēma vērā, ka divu gadu garumā veiktā videonovērošana, kur ieraksti bieži glabāti pat 60 dienas, neselektīvi novērojot visus darbiniekus un atsevišķu kameru gadījumā arī klientus, nevērtējot kādās telpās apstrāde būs lietderīga mērķa sasniegšanai (novērotas ne tikai noliktavas un pārdošanas platība, bet arī koplietošanas telpas), nav proporcionāla sasniedzamajam mērķim, jo uzņēmums nav apsvēris, vai nav iespējams plānoto personas datu apstrādes mērķi sasniegt ar mazāk privātumu aizskarošiem līdzekļiem.
Videonovērošanas izmantošana mazumtirdzniecībā
DVI vērš uzmanību, ka Latvijā lielākoties videonovērošana īpašuma aizsardzības nolūkā tiek īstenota, pamatojoties uz Regulas 6.panta 1.punkta f) apakšpunktā norādīto leģitīmo interesi. Tādējādi veiktās personas datu aizsardzības atbilstība ne tikai mazumtirdzniecībā, bet arī citos gadījumos, kur videonovērošanas nolūks ir saistīts ar īpašuma aizsardzību un zādzību novēršanu, ir neatņemami saistīts ar pārziņa (videonovērošanas veicēja) un datu subjekta (personas, kas tiek novērota) likumīgo interešu līdzsvarošanu (likumīgo interešu līdzsvarošanas izvērtējums ir neatņemama Regulas 6.panta 1.punkta f) apakšpunkta piemērošanas daļa).
Ja līdzsvarošana ir atbilstoši veikta, videonovērošanu drīkst izmantot. Savukārt gadījumā, ja interešu līdzsvarošana nebūs veikta atbilstoši, tad arī veiktā videonovērošana nebūs atbilstoša.
Kā veic interešu līdzsvarošanu?
Interešu līdzsvarošanas process:
- Sākotnēji jādefinē nolūks, kura sasniegšanai datu apstrāde nepieciešama (nolūkam jābūt likumīgam, skaidram un reālam)
- Tāpat jāveic novērtējums, kādēļ mērķa sasniegšanai nepieciešama personas datu apstrāde (piemēram, kādēļ mērķi nav iespējams sasniegt, izmantojot personas privātumu mazāk skarošus līdzekļus)
- Nedrīkst aizmirst par sākotnējo līdzsvara novērtējumu – jānosaka apstrādātāja interešu veids (piemēram, komercintereses, sabiedrības intereses, pamattiesības)
- Jānovērtē potenciālais kaitējums, ja apstrāde netiek veikta
- Jānosaka datu subjekta statuss (piemēram, nepilngadīgais, pensionārs, nodarbinātais), datu apstrādes veids, datu subjekta tiesību aizskāruma lielums (datu subjekta pamatotās gaidas, ietekmes samērojums ar labumu), piemērotie papildu drošības pasākumi (piemēram, datu minimizācija, ieviestie tehniskie un organizatoriskie pasākumi)
- Jānodrošina pārredzamība un citu datu subjekta tiesības
Ja minētais process nav veikts, personas datu apstrāde neatbildīs Regulas prasībām.
Latvijas piemērs
DVI norāda, ka Latvijā salīdzinošos apstākļos, kad visā lielveikalu ķēdē ar ievērojamu darbinieku skaitu un ikgadējo apgrozījumu tiek sistemātiski veikta ne tikai noliktavu un pārdošanas telpu videonovērošana, līdzšinēji pārkāpumi nav konstatēti.