Datu valsts inspekcija arvien biežāk saņem darbinieku jautājumus par darba devēja veiktajām aptaujām, kuras mērķis ir uzzināt nodarbināto attieksmi par gatavību vakcinēties pret Covid-19. Pēc iedzīvotāju sniegtās informācijas, Datu valsts inspekcija ir konstatējusi, ka daži darba devēji, veicot minēto aptauju, no nodarbinātajiem iegūst informāciju ne tikai nodarbināto viedokli par gatavību vakcinēties pret Covid-19, bet arī nodarbinātā vārdu un uzvārdu.
Datu valsts inspekcija norāda, ka pirms personas datu apstrādes uzsākšanas, katrā konkrētajā gadījumā ir nepieciešams noteikt datu apstrādes nolūku (mērķi). Pēc iedzīvotāju sniegtās informācijas, Datu valsts inspekcija nodala divus savstarpēji saistītus, bet dažādus informācijas apstrādes nolūkus (mērķus) darbinieku aptaujas veikšanai:
- darbinieku attieksmes noskaidrošana par gatavību vakcinēties pret Covid-19 un
- darbinieku saraksta veidošana, lai iesniegtu pieprasījumu atbildīgajām iestādēm vakcīnai pret Covid-19 saņemšanai (darba devēja organizēta kolektīvā vakcinēšanās pret Covid-19).
Vēršam uzmanību, ka šis skaidrojums attiecas uz personas datu apstrādi, kuru veic darba devējs, lai noskaidrotu darbinieku attieksmi par gatavību vakcinēties pret Covid-19.
Datu valsts inspekcija paskaidro, ka nodarbinātā vārds, uzvārds ir personas dati[1] Vispārīgās datu aizsardzības regulas[2] (turpmāk – Regula) izpratnē, savukārt minēto personas datu iegūšana ir uzskatāma par personas datu apstrādi[3].
Ievērojot minēto, jāievēro, ka personas datu apstrāde ir likumīga tikai tādā apmērā kādā tas nepieciešams attiecīgā personas datu apstrādes nolūka (mērķa) sasniegšanai un tikai tad, ja personas datu apstrādei ir piemērojams vismaz viens no Regulas 6.panta 1.punktā minētajiem pamatojumiem – piekrišana, līguma izpilde, juridisks pienākums, sabiedrības intereses, vitālo interešu aizsardzība un leģitīmo interešu ievērošana. Proti, tikai pastāvot kādam no minētajiem tiesiskajiem pamatiem, personas datu apstrāde var tikt atzīta par tiesisku.
Papildus tiesiskā pamata nodrošināšanai, darba devējam veicot personas datu apstrādi, ir jāievēro arī Regulas 5.pantā minētie personas datu apstrādes principi un saskaņā ar tiem personas dati ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos (mērķis) (“datu minimizēšana”).
Datu valsts inspekcija atgādina, ka darba devējam, Regulā ir noteikti arī citi pienākumi, kas jāievēro, veicot datu apstrādi, tajā skaitā, tas, ka dati pēc noklusējuma tiek apstrādāti tikai minētā nolūka (mērķa) sasniegšanai, kā arī ir jānodrošina, ka pēc noklusējuma personas datus bez personas līdzdalības nedara pieejamus nenoteiktam fizisku personu skaitam[4].
Attiecīgi, lai veiktu datu apstrādi, darba devējs katrai šādai datu apstrādei nosaka tiesisko pamatu, nolūku (mērķi), nepieciešamos pasākumus un datu apjomu šī nolūka (mērķa) sasniegšanai, lai apstrāde būtu godprātīga un notiktu vienīgi nepieciešamajā un paredzētajā apjomā, tai skaitā, būtu atbilstoša Regulā noteiktajiem datu apstrādes principiem.
Datu valsts inspekcija secina, ka, lai sasniegtu informācijas apstrādes nolūku (mērķi) -darbinieku attieksmes noskaidrošana par gatavību vakcinēties pret Covid-19, darba devējam nav nepieciešams identificēt personas, kas sniedz atbildi, un, lai apkopotu kolektīva nostāju pret vakcināciju, pietiek ar anonīmu darbinieku sniegtu atbilžu apkopošanu.
Ņemot vērā minēto, Datu valsts inspekcija nekonstatē, ka darba devēja veiktai personas datu apstrādei, iegūstot darbinieku vārdus un uzvārdus, lai veiktu aptauju par darbinieku attieksmi par gatavību vakcinēties pret Covid-19, pastāv kāds no Regulas 6.panta 1.punktā minētajam tiesiskajam pamatam. Tāpat Datu valsts inspekcijas ieskatā, vārda un uzvārda norādīšana aptaujā nav samērīga ar personas datu apstrādes sasniedzamo nolūku (mērķi), kā to paredz Regulas 5.panta 1.punkta c) apakšpunkts un līdz ar to nolūku (mērķi) (noskaidrot nodarbināto viedokli par vakcinēšanos pret Covid-19) var sasniegt, neapstrādājot nodarbināto personas datus.
ATSAUCES UZ NORMATĪVO REGULĒJUMU:
[1] Vispārīgās datu aizsardzības regulas 4.panta 1.punktu personas dati ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem.
[2] Eiropas Parlamenta un Padomes 2016.gada 27.aprīļa Regulas Nr.2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula)
[3] Savukārt datu iegūšana atbilst Vispārīgās datu aizsardzības regulas 4.panta 2.punktā minētajam apstrādes jēdzienam (“apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana).
[4] Vispārīgās datu aizsardzības regulas 25.panta 2.punkts