Atzinums

Likumprojekta 4.² pants nosaka, ka Brīvprātīgās sadarbības programmas ietvaros iegūtos personas datus nodod nepersonalizētā veidā Izložu un azartspēļu uzraudzības inspekcijai, kopsakarā ar Anotācija minēto, ka šāda informācija ir nepieciešama azartspēļu nozari uzraugošo valsts institūciju rīcībā savlaicīgi iespējams identificēt negatīvas tendences azartspēļu spēlēšanā iesaistītajai sabiedrības daļai un attiecīgi rīkoties, lai novērstu to. Ņemot vērā, ka šādai programmai personai ir iespēja pieteikties brīvprātīgi, tad Inspekcijai nav saprotams, kāpēc šīs programmas ietvaros azartspēļu organizētājam ir nepieciešami personas dati, ja tiek nodota Izložu un azartspēļu uzraudzības inspekcijai nepersonalizēta informācija. Saskaņā ar Datu regulas 5. panta 1. punkta "c" apakšpunktu personas datus apstrādā tikai tiktāl, ciktāl tas nepieciešams nolūka sasniegšanai ("datu minimizēšana"), ja personas dati gala rezultātā nolūka sasniegšanai nav nepieciešami, tad nav pamata šādu datu apstrādi paredzēt Likumprojektā.
Papildus Inspekcija norāda, ka saskaņā ar Datu regulas 5. panta 1. punkta "b" apakšpunktu personas datus apstrādā konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā. Ņemot vērā,ka persona varēs brīvprātīgi pieteikties programmai un tai tiks piedāvāti personalizēti labumi un rīki, var secināt, ka vismaz no azartspēļu organizētāju puses personas datu apstrāde notiks. Arī, lai sniegtu nepersonalizētus datu Inspekcijai, ir nepieciešams no sākumā apstrādāt personas datus. Šobrīd no Likumprojekta nav iespējams konstatēt, kāds ir šī panta noteiktās programmas un plānotas personas datu apstrādes nolūks, nosacījumi, personas datu apjoms,kuru plānots apstrādāt. Atbilstoši Datu regulas 6. panta 3. punktam Likumprojektā ir nepieciešams arī noteikt personas datu apstrādes nolūku, kā arī apstrādājamo datu veidus, ja tomēr personas dati tiek apstrādāti.
Ņemot vērā minēto, ir nepieciešams papildināt Likumprojektu vai Anotācijā norādīt Datu regulai atbilstošo informāciju par Brīvprātīgās sadarbības programmas ietvaros veikto personas datu apstrādi. 

 

-

Tiesības uz personas datu aizsardzību ir nostiprinātas Eiropas Savienības Pamattiesību hartas 8. pantā, tā pirmajā daļā paredzot ikvienas personas tiesības uz savu personas datu aizsardzību. Ņemot vērā to, ka personas datu apstrāde valsts informācijas sistēmā ir uzskatāma par īpaši dziļi iejaukšanos personas pamattiesībās, šādu rīku izmantošanas iespēja un to galvenie nosacījumi būtu jāparedz likumā. Proti, likumā ir nosakāms personas datu nolūks, tiesiskais pamats, veids, kādā plānots apstrādāt personas datus, personas datu apstrādes pārzinis, apstrādājamo personas datu kategorijas, vienības, kurām personas dati tiks izpausti un ietekmētie datu subjekti, ievērojot Datu regulas 6. panta 3. punktu. Papildus Inspekcija norāda, ka ņemot vērā, ka Likumprojekts paredz īpašas kategoriju personas datu apstrādi, tad atbilstoši Datu regulas 9. panta 2. punkt "b" apakšpunktam ir jāparedz piemērotas garantijas datu subjekta pamattiesībām un interesēm. Šobrīd no Likumprojekta nav iespējams gūt pārliecību, kāda personas datu apstrāde notiek minētajā vienotajā izložu un azartspēļu uzraudzības informācijas sistēmā, kādos nolūkos tā tiek veikta, un cik daudz personas datu tajā tiks glabāti. Truklāt likumprojektā vispār nav iekļauta informācija par šādas valsts informācijas sistēmas nolūku, pārzini, datu subjektu kategorijas, kuras tiks apstrādātas sisitēmā.  Personas datu nodošanu attiecīgajā sisitēmā regulē vairāki likuma panti, bet neviens pants nenosaka ne pašas sistēmas eksistenci, ne darbības nolūku, ne noteikumus. Ievērojot minēto, lūdzam izvērtēt iespēju iestrādāt likumprojektā attiecīgo regulējumu, lai arī personai, lasot likumu būtu saprotams,kurā sisitēmā, kādus personas datus un ar kādu nolūku valsts iestādes apstrādā, kuram ir iekļūve attiecīgiem datiem, t.i. iekļaut regulējumu, lai nodrošinātu atbilstību Datu regulas 6.panta 3.punktam un 9.panta 2.punktam. 
Gadījumā, ja iestādāts attiecīgu regulējumu likumā netiek uzskatīts par iespējamu, lai nodrošinātu noteikumu projekta tālāku virzību, lūdzam anotācijas 8.1.3 punktu papildināt, ietverot tajā Datu valsts inspekcijas minēto viedokli, ka, lai nodrošinātu pamattiesību uz personas datu aizsardzību tiesiskumu, gadījumā kad tiek veidota valsts informācijas sistēma, kurā tiek apstrādāts liels personas datu apjoms, likumā ir nepeiciešams iekļaut attiecīgās personas datu apstrādes nolūku un citu Datu regulas 6.panta 3.punktā noteikto informāciju, pretejā gadījumā attiecīgais normatīvais regulējums var tikt uzskatīts par neatbilstošu Datu regulas prasībām un veikta personas datu apstrāde var tiki uzskatīta par nelikumīgu. 

-

Inspekcija norāda, ka būtiska loma, lai noteiktu personas datu apstrādes samērīgumu, ir personas datu glabāšanas termiņiem. Ievērojot minēto, termiņi būtu nosakāmi jau likuma līmenī. Norādām, ka saskaņā ar Datu regulas 5. panta 1. daļas "e" apakšpunktā noteikto “glabāšanas ierobežojuma” principu, personas datus nav pieļaujams glabāt ilgāk kā nepieciešams nolūkam, kādos attiecīgos personas datus apstrādā. Šobrīd Likumprojektā ir noteikts, ka apmeklētāju reģistrā iekļautā informācija reizi mēnesī apkopojama un iesniedzama Izložu un azartspēļu uzraudzības inspekcijai, kas nodrošina šīs informācijas saglabāšanu piecus gadus, bet Anotācijā nav izvērtēts šī glabāšanas termiņa samērīgums.
Papildus norādām Anotācijā ir noteikts, ka azartspēļu organizatora tiesiskais pamats personas datu apstrādei ir no likuma izrietošs pienākums, proti, personas reģistrācijas un identitātes pārbaude, tādējādi anotācijā būtu paskaidrojams, kurā brīdi azartspēļu organizators džēš minētos datus. Vai tie tiek dzēsti uzreiz pēc tam, kad tiek nodoti Inspekcijai, vai arī tiek glabāti ilgāk. Papildus tam Anotācijā būtu jāpaskaidro konkrētais - 5 gadi, glabāšanas termiņš Inspekcijai, norādot kādu nolūku sasniegšanai dati tiek glabāti un kādā veidā tiek izmantoti. 

-

Likumprojekta grozījumu 4.² pants paredz Brīvprātīgās sadarbības programmas ietvaros apstrādāt personas datus, 36.¹ pants paredz personas datus apstrādāt azartspēļu spēlētāju paradumu monitoringam, 39. panta ietvaros paredz apstrādāt personas datus Azartspēļu organizēšanas vietu apmeklētāju reģistrācijai izveidojot spēlētājiem apmeklētāja karti un 79.² pants paredz apstrādāt personas datus interaktīvo izložu spēlētāju paradumu monitoringam. Šo minēto personas datu apstrādei atbilstoši Datu regulas 35. pantam ir veikts novērtējums par ietekmi uz datu aizsardzību (NIDA). Inspekcija norāda, ka NIDA ir jābūt apskatītiem visiem datu apstrādes aspektiem un rezultātā konstatēts, ka datu apstrāde ir vajadzīga un samērīga. Šobrīd Inspekcija ir konstatējusi, ka NIDA jāprecizē un, ka plānota apstrāde potenciāli neatbilst Datu regulas prasībām un nav pārliecība, ka ar šādu personas datu apstrādi samērīgums ir ievērots. NIDA un arī pašā Likumprojektā ir secināms, ka ir problēmas noteikt personas datu apstrādes nolūku, jo atbilstoši Datu regulas 5. panta 1. punkta "b" apakšpunktam, tas tiek jaukts ar vēlamajiem sasniedzamajiem mērķiem. NIDA iztrūkst jebkādas informācijas par tehniskajiem un organizatoriskajiem līdzekļiem, kādā tiks veikta datu apstrāde. Ņemot vērā no Likumprojekta ir secināms, ka tiks apstrādāti arī Datu regulas 9. panta noteiktie īpašu kategorijas personas dati, tad atbilstoši Datu regulas 9. panta 2. punkta “g” apakšpunktam ir jāparedz piemērotus un konkrētus pasākumus datu subjekta pamattiesību un interešu aizsardzībai, proti, pašā Likumprojektā jau ir jānosaka kādi organizatoriskie un tehniskie līdzekļi tiks izmantoti šo personas datu apstrādei. Inspekcija secina, ka šobrīd NIDA nav secināms, ka datu apstrāde ir samērīga, līdz ar to arī nav konstatējams, ka paredzētā datu apstrāde atbilst Datu regulai. Ņemot vērā īso termiņu, kādā tika saņemts precizētais NIDA, Inspekcija viedokli par precizēto NIDA sniegs atsevišķi. 
 

-

Anotācijā ir norādīts, ka "Personu datu apstrāde pie katra azartspēļu organizētāja tiks nodrošināta uz katras personas sniegtās piekrišanas pamata. Azartspēļu organizatora tiesiskais pamats ir no likuma izrietošs pienākums, proti, personas reģistrācijas un identitātes pārbaude, spēlētāja konta un personificētās spēlētāja kartes izveide un vienotas minimālās prasības, kas jāievēro, lai novērstu riskam pakļauto spēlētāju turpmāku dalību azartspēlēs (intervences pasākumi), no leģitīmās intereses tas ir tik tālu, cik azartspēļu organizators var šo pasākumu pēc iespējas efektīvāk organizēt. Likumdevējs neiejaucās šajā procesā, azartspēļu organizators ir atbildīgs par tehnisko un organizatorisko datu vākšanu, tam ir rīcības brīvība un leģitīmā interese. Azartspēļu organizators drīkst apstrādāt personas datus tikai tad, kad no attiecīgās personas ir iegūta piekrišana.''
Inspekcija norāda, ka Likumprojektā tiek paredzēta personu datu apstrāde, tajā ir iekļauts tiesiskais pamats un ir paredzēta tajā skaitā īpašu kategoriju personas datu apstrāde, jo viens no datu apstrādes nolūks ir mazināt azartspēļu atkarības un pasargāt no azartspēļu atkarības izveidošanās riska, pamatojoties uz Datu regulā iekļauto tiesisko pamatu - "piekrišana", jeb datu apstrādi pamatot ar Datu regulas 6. panta pirmā punkta "a" apakšpunktu un 9. panta otrā punkta "a" apakšpunktu nav pieļaujams. Inspekcija norāda, ka tiesiskā pamata "piekrišana" izmantošana tiek pieļauta tikai tādā gadījumā, ja piekrišana, atbilstoši Datu regulas 32.apsvērumam, ir dota ar skaidri apstiprinošu darbību, kas nozīmē brīvi sniegtu, konkrētu, apzinātu un viennozīmīgu norādi par datu subjekta piekrišanu ar viņu saistīto personas datu apstrādi. Proti, ja datu apstrādi pamato ar "piekrišanu", tad datu subjektam ir jābūt iespējai atteikties no datu apstrādes un saņemt pakalpojumu bez tās. Piekrišanai ir jābūt labprātīgi (brīvi) sniegtai, kas nozīmē savās spējās neierobežota indivīda brīvprātīga lēmuma pieņemšanu, kuru neietekmē nekādi spaidi (piespiešana), tomēr konkrētajā gadījumā nav konstatējama iespēja pamatot datu apstrādi ar Datu regulas 6. panta pirmā punkta "a" apakšpunktu.
Papildus Inspekcija norāda, ka NIDA izvērtējumā arī ir novērojama šī pati problemātika. Inspekcijai nav saprotams, kāds tiesiskais pamats ir attiecināms uz Likumprojektā iekļauto datu apstrādi.
 

-

Likumprojektā tiek paredzēta liela apjoma personas datu apstrāde, kas iekļauj sevī arī personu profilēšanu, jo tiek veikts personu uzvedības un darbību monitorings, liela apjoma datu saglabāšanu par apmeklētājiem un spēlētājiem, veidojot atsevišķus reģistrus, apmeklētāju kārtiņu izveidošanu un uzturēšanu, brīvprātīgo programmu, datu nodošanu un glabāšanu valsts uzraudzības institūcijā, normas tiek veidotas sadrumstaloti, lielākoties iekļaujot deleģējumu Ministru kabinetam noteikt plānoto apstrādi. Pirms likumprojekta izstrādes novērtējums par ietekmi uz datu aizsardzību netika veikts, likumprojekta normas un anotācija šobrīd nesniedz skaidru priekšstatu par plānoto personas datu apstrādi.Minētais Datu valsts inspekcijai kā personas datu aizsardzības uzraudzības iestādei neļauj gūt pārliecību ,ka plānota personas datu apstrāde atbilst Datu regulas noteikumiem, it īpaši Datu regulas 5.pantā noteiktajiem likumības (dati tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā), datu minimizēšanas (ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos), nolūka ierobežojumu (tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā) un glabāšanas ierobežojuma (tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā) principiem. Turklāt, ņemot vērā, ka tiek apstrādāti personas dati, kas norāda uz azartspēļu atkarību un kurus var uzskatīt par īpašo kategoriju datiem Datu regulas 9.panta izpratnē (dati par veselību), likumprojektā būtu vēl rūpīgāk jāvērtē plānota apstrāde un jāparedz garantijas datu subjektiem,ka dati tiks izmantoti tikai konkrētajam mērķim un tikai gadījumos, kad cita rīcības alternatīva nav iespējama. 
Ņemot vērā, ka attiecīgā regulējuma ieviešana ir politikas veidotāja atbildība un tam ir pienākums to veidot atbilstošu citu normatīvo aktu prasībām, izšķiršanas par noteiktu cilvēktiesību ierobežojumu ieviešanu ir politikas veidotāja ziņā, kā arī institūciju, kuras būs personas datu apstrādes pārziņi ziņā (Datu regulas 5.panta 2.punkts - pārzinis ir atbildīgs par personas datu apstrādes atbilstību 5. panta 1. punktam un to var uzskatāmi parādīt). Ja pārzinis uzskata, ka Likumprojektā iekļautā datu apstrāde atbilst Datu regulai,  Inspekcija nevar šo viedokli mainīt. 
Līdz ar to, ja likumprojekta izstrādātājs uzskata, ka likumprojektā atrunāta personas datu apstrāde atbilst Datu regulas prasībām, tas var virzīt Likumprojektu un anotāciju kā saskaņoto projektu, iekļaujot anotācijā Datu valsts inspekcijas augstāk izteikto viedokli par riskiem attiecībā uz Likumprojektā paredzētas personas datu apstrādes neatbilstību Datu regulas principiem.  

-