Gan grāmatvedības, gan personāla dokumentu informācijas kopumā ir iekļauti arī personas dati. Tieši fizisko personu datu apstrādei ir noteiktas specifiskas prasības, kas jāievēro, arī iznīcinot dokumentus pēc to glabāšanas termiņa beigām.

Grāmatvedības un personāla dokumentācijas kārtošanā ietilpst gan dokumentu veidošana, gan to glabāšana, gan arī iznīcināšana. Dokumentu iznīcināšanu veic, lai neatgriezeniski atbrīvotos no tajos ietvertās informācijas. Savukārt dokumentu iznīcināšanas brīdis noteikts dažādu normatīvo aktu prasībās.

Vispārīgais regulējums

Grāmatvedības dokumenti atspoguļo visus komersanta saimnieciskos darījumus, kā arī katru faktu vai notikumu, kas rada pārmaiņas uzņēmuma mantas stāvoklī (likuma "Par grāmatvedību" 2.pants). Savukārt personāla dokumentos ietvertas darba vai dienesta attiecības ar darbiniekiem vai amatpersonām, un tie ir, piemēram, darba līgums, rīkojums par personālsastāvu, atvaļinājumu grafiks, amata apraksts u.c. (Ministru kabineta (MK) noteikumu Nr.916 "Dokumentu izstrādāšanas un noformēšanas kārtība" 71.punkts).

Fizisko personu datu aizsardzības likuma (FPDAL) 2.panta 3.punktā paredzēts, ka personas dati ir jebkāda informācija, kas attiecas uz identificētu vai identificējamu fizisko personu (piemēram, vārds, uzvārds, personas kods, telefona numurs, e-pasts, IP adrese utt.). Sensitīvi ir personas dati, kas norāda tās rasi, etnisko izcelsmi, reliģisko, filozofisko un politisko pārliecību, dalību arodbiedrībās, kā arī sniedz informāciju par personas veselību vai seksuālo dzīvi. Datu apstrāde ir jebkura ar personas datiem veikta darbība, tostarp datu vākšana, reģistrēšana, ievadīšana, glabāšana, sakārtošana, pārveidošana, izmantošana, nodošana, pārraidīšana un izpaušana, bloķēšana vai dzēšana (FPDAL 2.panta 4.punkts). Tātad personas datu saturošu dokumentu iznīcināšana uzskatāma par datu apstrādi (dzēšanu), kuru veicot jāievēro likumā noteiktās prasības.

Persona, kas veic datu apstrādi, tostarp dzēšanu, ir vai nu pārzinis, vai operators atkarībā no tā, vai persona apstrādā savus vai arī sava klienta nodotus datus. Pārzinis ir persona, kas pati vai kopā ar citiem nosaka personas datu apstrādes mērķus un līdzekļus, kā arī atbild par personas datu apstrādi saskaņā ar likumu. Uzņēmums vienmēr būs savas grāmatvedības vai personālvadības dokumentu pārzinis, taču uzņēmums, kas izvēlas grāmatvedības kārtošanu uzticēt ārpakalpojuma sniedzējam, papildus algo arī operatoru, kas veic datu apstrādi pārziņa vārdā un uzdevumā. Taču pārzinis saglabā atbildību par operatora darbībām ar personas datiem. Tas ir svarīgi arī datu iznīcināšanas kontekstā, jo uzņēmums, kas piedāvā atbraukt uz uzņēmuma biroju, savākt "makulatūru" un to iznīcināt, arī veic datu apstrādi uzņēmuma vārdā, tādējādi uzņēmums ir atbildīgs, ka dokumenti patiešām ir iznīcināti.

Personas datu glabāšana

FPDAL nav noteikts konkrēts personas datu glabāšanas termiņš. No FPDAL 10.panta 1.daļā noteiktā izriet, ka pārzinis glabā personas datus tikai tik ilgi, cik šādi dati var objektīvi būt nepieciešami, lai sasniegtu mērķus, kuriem tie sākotnēji tika ievākti. Tātad datu uzglabāšanas ilgums dažādiem dokumentiem var atšķirties, jo noteikti dokumenti var būt nepieciešami ilgākā laika posmā, bet citi var novecot un kļūt nevajadzīgi ātrāk. Tādēļ saskaņā ar vispārīgo principu paredzēts katram uzņēmumam pašam izvērtēt, kādi dokumenti tam var būt nepieciešami un cik ilgi, ņemot vērā datu vākšanas mērķi. Atsevišķos gadījumos likumdevējs jau var būt veicis šādu izvērtējumu pārziņu vietā un noteicis glabāšanas termiņus atsevišķām dokumentu kategorijām. Šādos gadījumos pārziņiem šie termiņi ir saistoši.

Likuma "Par grāmatvedību" 10.panta 2.daļā noteikti glabāšanas termiņi šādiem grāmatvedības dokumentiem:

  • gada pārskatiem – līdz uzņēmuma reorganizācijai vai likvidācijai;
  • inventarizācijas sarakstiem, grāmatvedības reģistriem un grāmatvedības organizācijas dokumentiem – 10 gadi;
  • attaisnojuma dokumentiem par darbiniekiem aprēķināto mēnešalgu (darba samaksu) ar sadalījumu pa gadiem un mēnešiem – 75 gadi;
  • citiem dokumentiem – ne mazāk kā 5 gadi.

Atbilstoši Arhīvu likuma (AL) 4. un 5.pantam, kā arī saistīto MK noteikumu normām personāla dokumenti darba devējiem (privātpersonām) jāglabā līdz komercsabiedrības darbības izbeigšanai (kad tie jānodod valsts arhīvā). Pastāv arī viedoklis, ka personāla dokumenti privātpersonām pēc analoģijas ar publisko iestāžu pienākumiem jāglabā 75 gadus saskaņā ar AL 4.pantu. Tādējādi, ievērojot, ka Latvijā nav privātu kompāniju / darba devēju, kas būtu eksistējušas jau 75 gadus, šobrīd var tikai secināt, ka personāla dokumenti ir jāturpina glabāt līdz darbības izbeigšanai (proti, beztermiņa glabāšana).

Secināms, ka gadījumos, kad vairs nav sākotnējā mērķa, kura dēļ datu apstrāde tika veikta (darba attiecības ir izbeigušās un pusēm vairs nevar būt vienai pret otru nekādu prasījumu), vai arī attiecīgajam dokumentam ir iestājies likumā noteiktais glabāšanas termiņš, datu pārzinim vairs nav pamata turpināt šo datu apstādi (glabāšanu), līdz ar to dokumenti jāiznīcina. Dokumentu ilgāka glabāšana pieļaujama tikai tad, ja tam iespējams atrast citu tiesisko, nevis sākotnējo datu apstrādes pamatu.

Piemērs

Ja ar darbinieku noslēgts darba līgums, datu apstrāde darba attiecību ietvaros ir pamatota ar līgumsaistību pildīšanu. Taču, ja darba piedāvājuma vakancei piesakās vairāki pretendenti, tad pēc darbinieka pieņemšanas darbā pārējo pretendentu CV un citi personas dati ir nekavējoties jāiznīcina (jo līgums nav noslēgts), ja vien nav saņemta šo pretendentu piekrišana turpināt tos apstrādāt.

Personas datu iznīcināšana

Normatīvajos aktos nav regulēta kārtība vai veids, kādā dzēšami dokumenti, kuru glabāšana vairs nav nepieciešama. Atbilstoši normatīvajos aktos noteiktajam šajā procesā ir jānodrošina, ka informācija neatgriezeniski likvidēta un nenonāk pie trešajām personām. FPDAL 22.pantā paredzēts, ka pārzinim ir pienākums nodrošināt tehniskos un organizatoriskos pasākumus personas datu aizsardzībai. Minimālās prasības paredzētas MK noteikumos Nr.40 "Personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības" (MK noteikumi Nr.40). No šiem noteikumiem izriet, ka pārzinim ir pienākums izstrādāt iekšējos datu apstrādes aizsardzības noteikumus. Tātad likumdevējs nosaka tikai mērķi, kas būtu sasniedzams, bet līdzekļus, kā to sasniegt, izvēlas pats pārzinis. Proti, pārziņa kompetencē ir tas, kā tieši tiks veikta datu glabāšana vai iznīcināšana.

Tāpat jāizvēlas atbilstoši līdzekļi dokumentu dzēšanai vai iznīcināšanai. Tie ir atšķirīgi papīra formā glabātiem dokumentiem un elektroniski glabātiem datiem.

Likumdošanā nav noteikts konkrēts, obligāti izmantojams papīra formas dokumentu iznīcināšanas veids. Praksē izplatītākais dokumentu iznīcināšanas veids ir papīra smalcināšanas mašīnas. Izmantojot šo metodi, jāievēro, lai uz sasmalcinātās papīra masas daļām nebūtu atrodami personas dati. Tātad papīrs ir jāsasmalcina pietiekami sīki, lai nebūtu iespējams to atjaunot un attiecīgo informāciju atgūt. Parasti dokumentu smalcināšanai izmanto specializētus ārpakalpojumus, jo vidusmēra uzņēmumu birojos nav pietiekami jaudīga aprīkojuma lielāka apjoma dokumentu sasmalcināšanai.

Savukārt drošai elektronisko personas datu dzēšanai jāizmanto speciāla tam paredzēta programmatūra. Turklāt, nododot elektroniskās ierīces utilizācijā, tajos esošie datu nesēji, kuros glabājušies attiecīgie dati līdz to dzēšanai, būtu jāiznīcina. Piemēram, nododot darba datoru utilizācijai vai pārdodot to, vispirms būtu jāizņem un atbilstoši jāiznīcina tā cietais disks.

Svarīga datu dzēšanā ir arī autorizācija. Jebkuras darbības ar personas datiem drīkst veikt tikai tam atbilstoši pilnvarotas personas. Tas īpaši svarīgi ir aktīvajā datu apstrādes fāzē (datu vākšana un piekļuve), taču šis princips ir jāievēro arī iznīcināšanā. Tādēļ ir jārūpējas, lai datus iznīcinātu tikai personas, kas ir pilnvarotas veikt šo darbību. Atbilstoši FPDAL 27.panta 1.daļai pārzinim ir pienākums nodrošināt, ka fiziskās personas, ko pārzinis autorizējis apstrādāt personas datus, ievēro datu aizsardzības prasības, kā arī rakstiski apņemas neizpaust datus arī pēc darba attiecību izbeigšanās. Turklāt saskaņā ar MK noteikumu Nr.40 4.punktu pārzinim ir pienākums nodrošināt informāciju par datu apstrādi veikušās personas identitāti un laiku, kad tas izdarīts. Tātad pārzinim ir jādokumentē konkrēto personas datus saturošo dokumentu iznīcināšanas process, identificējot personu, kas to veikusi, un laiku, kad tas noticis.

Pārzinim iekšējos drošības noteikumos vajadzētu paredzēt MK noteikumiem Nr.40 atbilstošu (ieteicams – detalizētāku) personas datus saturošu dokumentu iznīcināšanas kārtību un tās kontroli. Tādējādi, darbiniekiem zinot precīzas darbības instrukcijas, tiek samazināts personas datu apdraudējuma risks.

Ja personas datu dzēšanai izmanto ārpakalpojumu, ārpakalpojuma sniedzējs kļūst par personas datu operatoru FPDAL 2.panta 6.punkta izpratnē, līdz ar to pārzinim ar viņu jāslēdz rakstveida līgums par pārziņa un operatora attiecību noregulējumu konkrēto personas datu apstrādē (FPDAL 14.pants). Pārzinim jāņem vērā, ka līguma noslēgšana atbildības nastu par datu apstrādi nepārnes personas datu operatoram – tā joprojām pilnā mērā visā procesa gaitā saglabājas pārzinim. Tādēļ pārzinim vajadzētu ievērot sevišķu rūpību, lai pārliecinātos, ka personas datu operators veic attiecīgo personas datu iznīcināšanu atbilstoši likumā noteiktajām prasībām.

Visbeidzot jānorāda, ka Latvijas Administratīvo pārkāpumu kodeksa 204.7pantā par pārkāpumiem personas datu apstrādē paredzēts naudas sods līdz 14 000 EUR. Tas attiecināms arī uz situācijām, kad nav ievērotas datu dzēšanas prasības.

Plānotas izmaiņas      

Jānorāda arī vērā ņemama aktualitāte personas datu aizsardzības jomā. Proti, no 25.05.2018. piemērojama Eiropas Parlamenta un Padomes regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula). Ar to tiek ieviests vienots vispārīgs personas datu aizsardzības regulējums Eiropas Savienībā. Par personas datu dzēšanu aktuāli varētu būt 2 būtiski aspekti. Pirmkārt, noteikta detalizētāka kārtība, kādos gadījumos un kādā kārtībā persona var lūgt tās datu dzēšanu. Otrkārt, paredzēta datu apstrādes reģistra ieviešana, kas rada pārzinim pienākumu veikt samērā detalizētu datu apstrādes darbību pierakstu. Savukārt sods par pretlikumīgu datu apstrādi pēc šīs regulas stāšanās spēkā varēs sasniegt pat 20 milj. eiro.