Mūsu ikdiena arvien vairāk saistās ar digitālajiem pakalpojumiem (sākot ar samaksu par filmu platformu lietošanu un beidzot ar elektronisko pierakstīšanos pie sava ārsta), tādēļ arī valstis cenšas iet šo ceļu un attīstīt savas pakalpojumu sniegšanas un autentifikācijas sistēmas, lai katram pilsonim būtu viegli pieejami pakalpojumi no valsts puses. Tomēr katrai labi funkcionējošai sistēmai ir nepieciešami personu identifikācijas dati un attiecīga autentifikācija, tādēļ rodas jautājums par to, kā samērot sistēmu veiksmīgu darbību, bet tajā pašā laikā ievērot cilvēktiesību standartus un neapstrādāt personas datus tur, kur tas nav nepieciešams.
Mēs dzīvojam digitalizācijas laikmetā. Daudzas valstis jau ir pieņēmušas valsts juridiskās identitātes shēmas, kas apstrādā virkni personas datu, tostarp īpašu kategoriju personas datus, galvenokārt, lai apliecinātu indivīda juridiskās identitātes autentiskumu likuma priekšā un attiecībās ar valsti.
Juridiskās identitātes jēdziens ir attīstījies, pamatojoties uz Vispārējās cilvēktiesību deklarācijas 6. pantu, kurā noteikts, ka “ikvienam cilvēkam ir tiesības uz to, lai viņu kā personu visur atzītu tiesas priekšā.”
Eiropas Padomes Datu aizsardzības konsultatīvās komiteja 2022. gada 18. novembrī ir publicējusi jaunas Nacionālo digitālo identitāšu sistēmu pamatnostādnes, lai palīdzētu ievērot cilvēktiesību standartus valdībām un citiem dalībniekiem, kas iesaistīti juridiskās identitātes sistēmu izveidē un pārvaldībā un apstrādā dažādus personas datus (turpmāk – Pamatnostādnes).
Eiropas Savienības dalībvalstis arvien vairāk tiecas digitalizēt identitātes sistēmas, paredzot personas datu elektronisku apstrādi, kas bieži iet roku rokā ar personas autentifikāciju (piemēram, smart-id, internetbankas, biometrisko datu izmantošana). Galvenais pamatojums juridiskās identitātes digitalizācijai un valsts digitālās identitātes shēmu un sistēmu (turpmāk – NIDS) izveidei ir tas, ka tās ne tikai nodrošina un garantē juridisko drošību un noteiktību, bet arī atvieglo piekļuvi sociālajām un ekonomiskajām tiesībām un pabalstiem un nodrošina plašāku sabiedrības aizsardzību, piemēram, personisko un sabiedrisko drošību. Ar NIDS raksta kontekstā jāsaprot politikas, tiesību akti un tehnoloģijas, ar kuru palīdzību tiek apkopoti personas dati, lai noteiktu un digitāli pārstāvētu, pārbaudītu un pārvaldītu personas juridisko identitāti visos valsts politikā un tiesību aktos noteiktajos publiskajos (un privātajos) pakalpojumos. Vienkāršāk sakot, visi portāla www.latvija.lv pakalpojumi ir saistīti ar NIDS.
Ievērojot straujo digitalizāciju, šajās digitalizētajās valsts identitātes shēmās var papildus iekļaut demogrāfiskos un biometriskos datus un identifikatorus, kas savākti citās specifiskās nozaru sistēmās, piemēram, veselības aprūpes, sociālās labklājības vai pat mobilo SIM karšu reģistrācijas vai mobilo ierīču identitātes datu bāzēs. NIDS mērķis ir atspoguļot personas juridisko statusu, un tas var ietekmēt daudzus personas privātās dzīves aspektus, tostarp personas digitālo darbību privāto sfēru. Piemēram, NIDS var izmantot komerciālajā sektorā, lai sniegtu identitātes nodrošināšanas pakalpojumus, vai privātajā sektorā, ja valsts digitālā identitāte ir saistīta ar mobilā tālruņa numuru vai ierīces identifikatoru.
Lai gan NIDS var sniegt ievērojamus ieguvumus un aizsardzību dažādos kontekstos un ļaut indivīdiem iegūt un aizstāvēt svarīgas tiesības, šīs sistēmas ieviešana var arī negatīvi ietekmēt indivīdu, kopienu un indivīdu grupu cilvēktiesības. Šīs sekas var būt dažādas - no diskriminācijas un atstumtības līdz marginalizācijai, nepamatotai profilēšanai un uzraudzībai, personas kontroles pār savu identitāti zaudēšanai vai pat ļaunprātīgai identitātes zādzībai vai tās izmantošanai.
Pamatnostādņu mērķis ir piemērot Konvencijas par personu aizsardzību attiecībā uz personas datu automātisko apstrādi (turpmāk – Konvencija) principus un noteikumus. CETS protokola Nr. 223, ar ko groza Konvenciju, preambulā teikts, ka “cilvēka cieņa prasa, lai, apstrādājot personas datus, tiktu ieviesti aizsardzības pasākumi, lai pret indivīdiem neattiektos kā pret priekšmetiem.”
Pamatnostādnes ir vispārīgas un attiecas uz publisko un privāto sektoru, kā arī uz juridisko identitāti, ko vēlas pārstāvēt valsts digitālās identitātes shēmas. Paredzēts, ka Pamatnostādnes palīdzēs nodrošināt, ka NIDS ievēro un aizsargā cilvēktiesības un pamatbrīvības, gan politikas un projektēšanas posmā, gan visos datu apstrādes aspektos.
Apsverot personas datu apstrādi NIDS mērķu sasniegšanai, ir būtiski ņemt vērā Konvencijas preambulu un 1. pantu, kā arī nepieciešamību nodrošināt cilvēka cieņu un ievērot un nodrošināt ikviena indivīda tiesības un pamatbrīvības. Turpmāk tiks apskatīti Pamatnostādņu būtiskākie principi.
Apstrādes leģitimitāte
Saskaņā ar Konvencijas 5. pantu personas datus var apstrādāt, tikai pamatojoties uz piekrišanu vai kādu citu likumīgu pamatu, kas noteikts valsts tiesību aktos. Konvencijas 6. pantā arī noteikts, ka īpašu kategoriju datu apstrādei, piemēram, tādu datu apstrādei, kas atklāj personas etnisko piederību (bieži tiek izmantoti NIDS), vai tādu biometrisko datu apstrādei, kas unikāli identificē personu, ir jāpiemēro atbilstošas garantijas, kas noteiktas valsts tiesību aktos un papildina Konvencijā noteiktās garantijas.
Ņemot vērā attiecības starp valsti, pilsoņiem un citiem datu subjektiem, būtu jāpatur prātā, ka datu pārziņa un datu subjekta atrašanās dažādās varas pozīcijās dēļ piekrišanu principā nevar uzskatīt par piemērotu juridisko pamatu personas datu apstrādei, ko veic valsts iestādes.
Personas datu apstrādei NIDS ir jābūt nepieciešamai un samērīgai, un tai ir jābūt konkrētam juridiskajam pamatam, kas noteikts valsts tiesību aktos. Pirms personas datu apstrādes ir jāveic ietekmes novērtējums. NIDS ir jākalpo leģitīmam mērķim, piemēram, fiziskas personas juridiskās identitātes autentiskuma apliecināšanai saskaņā ar valsts konstitūciju un piemērojamām starptautiskajām tiesībām, nevis lietderības vai vēlamības pamatojumam. Tiesību aktos viegli pieejamā un saprotamā veidā jādefinē NIDS darbības joma un konkrēti personas datu, tostarp īpašu kategoriju datu, apstrādes nolūki.
Taisnīgums un pārredzamība
Pārredzamība ir viens no datu aizsardzības pamatprincipiem, kā aprakstīts Konvencijas 5. panta 4. punkta a) apakšpunktā. Tā ir ārkārtīgi svarīga, lai palīdzētu fiziskām personām saprast ne tikai to, kādi viņu dati tiks apstrādāti un kāpēc, bet arī to izmantošanas sekas un iespējamās sekas un riskus viņu privātumam un citām cilvēktiesībām un brīvībām.
Pamatnostādnēs noteikts, ka informācijai jābūt pieejamai viegli pieejamā veidā, vēlams, izmantojot digitālu ierīci, kas ļauj sekot līdzi attiecīgo personu personas datu ceļam NIDS, un tai jābūt salasāmai, saprotamai un piemērotai konkrētām personu grupām (piemēram, personām, kas ir neredzīgas vai ar zemu lasīt un rakstītprasmi).
Konkrēts(-i) un likumīgs(-i) mērķis(-i) un mērķa ierobežojums
Pirms NIDS ieviešanas ir svarīgi, lai valsts politikā un tiesību aktos par NIDS būtu skaidri norādīti likumīgie un atļautie nolūki, kādos personas datu, tostarp īpašu kategoriju datu (piemēram, personas unikāli identificējošu biometrisko datu), apstrāde tiek uzskatīta par likumīgu.
Pārziņiem un citām struktūrām, kas nodrošina aparatūru, programmatūru un pakalpojumus, kuri ļauj izmantot NIDS, ar projektēšanas un pastāvīgiem pasākumiem būtu jānodrošina, ka tiek apstrādāti tikai tie dati, kas nepieciešami NIDS likumā vai citos attiecīgos tiesību aktos noteiktajam mērķim. Ja apstrāde kļūst nesavienojama ar norādīto un likumīgo nolūku, dati nebūtu turpmāk jāapstrādā un būtu jādzēš.
Tā kā dažu kategoriju dati (piemēram, civilstāvokļa dati, dzimšanas datums, adrese) var sniegt detalizētu priekšstatu par personas privāto dzīvi, tos var ieviest digitālās identitātes shēmās tikai tad, ja tie ir nepieciešami un samērīgi ar izvirzīto leģitīmo mērķi.
Datu kvalitāte - precīza, adekvāta, atbilstoša un nepārmērīga
Precīzi
Ir svarīgi, lai tiktu pieņemti pasākumi, kas nodrošina visu apstrādāto personas datu precizitāti un lai neprecīzus personas datus varētu efektīvi un savlaicīgi labot, vai dzēst, jo īpaši, lai izvairītos no būtiskām negatīvām sekām personu cilvēktiesībām un pamatbrīvībām. Piemēram, nepareizas datu ievades dēļ nebūtu pieļaujama izslēgšana no pakalpojumiem vai sociālās aizsardzības pasākumiem, diskriminācija, nepareizas apsūdzības krimināllietā vai nepamatots arests un ieslodzījums.
Biometrisko datu izmantošana NIDS prasa papildu pasākumus, lai nodrošinātu iegūto, reģistrēto un salīdzināto biometrisko datu precizitāti. Tas pats attiecas arī uz gadījumiem, kad NIDS izmanto attiecībā uz personas biometriskajiem datiem identitātes pierādīšanai vai autentifikācijai.
Turklāt šādi pasākumi nepieciešami arī tādēļ, lai samazinātu biometrisko identitātes metožu un tehnoloģiju neobjektivitāti un neprecizitāti.
Pārbaude attiecībā uz “precizitāti” ir viena no pamatprasībām, kas jāievēro, īstenojot integrētu pieeju cilvēktiesībām, un nosacījums, kas jāizpilda pirms biometrisko identitātes tehnoloģiju iegādes un ieviešanas.
Adekvāti, atbilstoši un nepārmērīgi (datu minimizēšana)
Jāapstrādā tikai minimāli nepieciešamie dati, lai sasniegtu noteiktu un likumīgu mērķi vai mērķus. Vēlreiz jāatzīmē, ka būtu jāizvairās no tādu kategoriju datu apstrādes, kas nav noteikti nepieciešami paredzētajam mērķim - identificēt personu un ļaut piekļūt pakalpojumiem. Lai to panāktu, vispirms tiesību aktos ir jādefinē NIDS mērķis un jānodrošina atbilstošs juridiskais pamats.
Datiem jābūt samērīgiem un pietiekamiem, lai sasniegtu noteiktos mērķus, un tie nevar būt pārmērīgi attiecībā pret šiem mērķiem. Personas datus nedrīkst nepamatoti kopīgot (piemēram, nebūtu pamatoti kopīgot datus starp savstarpēji nesaistītām iestādēm). Personas datu apstrāde, kas var radīt nesamērīgu iejaukšanos indivīdu tiesībās uz privāto dzīvi un saistībā ar to arī citās cilvēktiesībās un pamatbrīvībās, būtu uzskatāma par pārmērīgu saskaņā ar Konvenciju un līdz ar to par nelikumīgu personas datu apstrādi.
Datu glabāšana
Personas datu glabāšanai jābūt samērīgai un nepieciešamai noteiktajiem un likumīgajiem mērķiem. Īpaša uzmanība būtu jāpievērš īpašas kategorijas datu, piemēram, biometrisko datu, glabāšanai. Dati būtu jādzēš vai jāglabā tikai tādā veidā, kas ļauj identificēt personu ne ilgāk, nekā tas ir nepieciešams konkrētajam mērķim, kuram dati tiek apstrādāti.
Apstrādes drošība
NIDS ietver (bieži vien sensitīvu) personas datu apstrādi, un var ietvert arī datus par neaizsargātām un riska grupām. Ja netiek nodrošināta datu un sistēmu drošība, tas var radīt nopietnas negatīvas sekas attiecībā uz cilvēktiesībām un pamatbrīvībām.
Ir ļoti svarīgi īstenot atbilstošus tehniskus un organizatoriskus pasākumus, lai aizsargātu datus un personu cilvēktiesības un pamatbrīvības. Atbilstošas drošības trūkums ir nelikumīga datu apstrāde, kas var, piemēram, izraisīt datu zādzību un/vai neatļautu piekļuvi datiem vai to izpaušanu. Tas var radīt kaitējumu, piemēram, uzmākšanos, vajāšanu, krāpšanu vai identitātes atdarināšanu. Svarīgi ir arī ņemt vērā, ka, ja reiz biometriskie dati ir kompromitēti, piemēram, nozagti, tos nevar aizstāt, jo nozagtās biometriskās veidnes var tikt izmantotas atkārtoti.
Atbildība
Konvencijas un jaunās paaudzes datu aizsardzības tiesību aktu galvenā prasība ir tāda, ka pārziņiem un attiecīgā gadījumā apstrādātājiem jāspēj pierādīt, ka viņu kontrolē esošo datu apstrāde atbilst minētajos instrumentos noteiktajiem principiem un pienākumiem.
Atbildība, kā arī indivīdu tiesību garantēšana ir vissvarīgākie aspekti, lai nodrošinātu personas datu aizsardzību un cilvēktiesību aizsardzību. Pamatnostādņu piemērošanas, nepārtrauktas pārredzamības un regulāra risku novērtējuma nodrošināšana ir būtiska NIDS leģitimizācijai.
Personu tiesības
Konvencijas 9. pantā personām ir paredzētas vairākas tiesības attiecībā uz viņu personas datu apstrādi. Personu tiesībām jābūt noteiktām tiesību aktos un tās jāpiemēro NIDS un visiem savstarpēji saistītiem vai savstarpēji atkarīgiem pakalpojumiem, kas pieprasa juridiskās identitātes apliecinājumu.
Konvencijā un starptautiskajos cilvēktiesību tiesību aktos, piemēram, Eiropas Cilvēktiesību konvencijā, noteiktās tiesības var ierobežot tikai tad, ja tas ir paredzēts likumā, ir nepieciešams un samērīgs pasākums demokrātiskā sabiedrībā konkrētiem un likumīgiem sabiedrības interešu mērķiem, kas definēti likumā, un ievērojot pamattiesību un pamatbrīvību būtību.
Personas ir jāinformē par viņu tiesībām un jebkādiem ierobežojumiem un apstākļiem, kādos ierobežojumus var piemērot. Personu tiesības ir piemērojamas neatkarīgi no personas pilsonības, valstspiederības vai uzturēšanās statusa.
Ieteikumi politikas veidotājiem un lēmumu pieņēmējiem
Pamatnostādnēs noteikts, ka politikas veidotājiem, neatkarīgi no tā, vai tie ir parlamenta deputāti, likumdevēji, valdības ierēdņi vai padomdevēji, ir būtiska loma, nosakot sabiedrības vērtības un juridiskās pieejas un standartus, kas jāpiemēro valsts digitālās identitātes shēmām. Tādēļ tiem būtu pienākums īstenot tādus soļus kā, piemēram, pieņemt uz cilvēktiesībām vērstu valsts politiku, izveidot neatkarīgu pārraudzības funkciju ar pilnvarām veikt revīziju un korektīvus izpildes pasākumus, kā arī veikt citus Pamatnostādnēs norādītos uzdevumus, lai tiktu ievēroti cilvēktiesību standarti.
Ieteikumi attiecībā uz pārziņiem
Konvencijas 2. pantā definētajiem pārziņiem - neatkarīgi no tā, vai tie ir publiskas vai privātas struktūras - jāievēro šajā dokumentā izklāstītās vadlīnijas un piemērojamos datu aizsardzības tiesību aktus. Pārziņiem pienācīgi jāņem vērā riski, kas apdraud indivīdu tiesības un brīvības, un jāspēj pierādīt, ka to veiktā apstrāde atbilst piemērojamajiem datu aizsardzības/privātuma aizsardzības tiesību aktiem.
Ieteikumi ražotājiem, pakalpojumu sniedzējiem un izstrādātājiem
Iekārtu ražotājiem, pakalpojumu sniedzējiem un NIDS izmantotās programmatūras izstrādātājiem būtu jāpieņem Konvencijā noteiktie galvenie datu aizsardzības principi, lai nodrošinātu personas cilvēktiesību un pamatbrīvību ievērošanu. Šo komersantu darbību ietekmē tas, ka pārziņiem un apstrādātājiem, kuriem tie piegādā iekārtas un sniedz pakalpojumus, ir jāievēro piemērojamie datu aizsardzības tiesību akti un jāizstrādā tāda datu apstrādes politika, kas ņem vērā un novērš vai līdz minimumam samazina riskus personu interesēm, cilvēktiesībām un pamatbrīvībām. Tāpat šie komersanti arī paši var apstrādāt datus, lai, piemēram, testētu aparatūru un programmatūru.
Lai pārziņi un apstrādātāji varētu ievērot Konvenciju, šādām struktūrām būtu jānodrošina, ka aparatūra, programmatūra un pakalpojumi, ko tās sniedz NIDS atbalstam, ir izstrādāti tā, lai nodrošinātu datu kvalitāti, mērķa ierobežošanu, datu minimizēšanu, kā arī to, ka dati netiek glabāti ilgāk kā nepieciešams konkrētajam mērķim. Būtiski, ka dati tiek pienācīgi dzēsti un apstrādāti tikai uz konkrēta juridiskā pamata. Arī pašas NIDS mērķim jābūt fizisku personu tiesību īstenošanas nodrošināšanai (tostarp tiesības uz labošanu, piekļuvi vai dzēšanu).
Ieteikumi uzraudzības datu aizsardzības iestādēm
Visupirms uzraudzības iestādēm būtu jāuzņemas aktīva loma, atbalstot valsts un citu piemērojamo datu aizsardzības tiesību aktu izpildi saskaņā ar Konvencijas IV nodaļu. Konvencijas 15. panta 3. punktā valstīm ir noteikts pienākums nodrošināt, ka priekšlikumi par jebkuru likumdošanas vai administratīvu pasākumu, kas saistīts ar personas datu apstrādi, tiek apspriesti ar uzraudzības iestādēm.
Uzraudzības iestādēm ir arī tiesības sniegt atzinumu par datu apstrādes darbībām, kas rada riskus personu tiesībām un brīvībām, ko var radīt NIDS. Uzraudzības iestādei būtu jāapsver iespēja sniegt šādus atzinumus par jebkuru priekšlikumu ieviest vai grozīt NIDS aspektu, ja ierosinātā apstrāde rada risku cilvēktiesībām un pamatbrīvībām.
Kopsavilkums
Ievērojot straujo digitalizāciju un tendenci pāriet uz e-pakalpojumu sniegšanu (piemēram, portāls latvija.lv), valsts digitalizētās identitātes shēmās var papildus iekļaut dažādus demogrāfiskos un biometriskos datus un identifikatorus, kas savākti citās specifiskās nozaru sistēmās, piemēram, veselības aprūpes sistēmā. Tādēļ līdz ar digitalizācijas jautājumiem rodas nepieciešamība risināt cilvēktiesību un datu aizsardzības jautājumiem.
Pamatnostādnes palīdz valdībām un citiem, kas iesaistīti personas juridiskās identitātes autentiskuma apliecināšanā, izprast nepieciešamos soļus, lai rastu taisnīgu līdzsvaru starp indivīda cilvēktiesībām un efektīvu valsts pārvaldi.
Raksts ir sagatavots ar Sabiedrības integrācijas fonda finansiālu atbalstu no Latvijas valsts budžeta līdzekļiem. Par raksta saturu atbild raksta autors saskaņā ar Cilvēktiesības.info lietošanas noteikumiem.