Komerctiesības 07:00, 20. Nov. 2019

Uz pārbaudi ierodas Datu valsts inspekcija

2019-11-20

Karīna Kļaviņa, ZAB "PricewaterhouseCoopers Legal", juriste

No šī mēneša sākam jaunu rakstu sēriju, kurā aplūkosim dažādu valsts iestāžu pilnvaras, ierodoties pārbaudēs pie uzņēmumu un iestāžu vadītājiem. Šoreiz par Datu valsts inspekciju un tās kompetencē esošajiem jautājumiem.

Pagājis vairāk nekā gads, kopš Latvijas uzņēmumiem, organizācijām, kā arī valsts un pašvaldību iestādēm jānodrošina darbības atbilstība Eiropas Parlamenta un Padomes regulas 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK jeb Vispārīgās datu aizsardzības regulas (Regula) prasībām. Uzraudzības iestādes apliecinājušas, ka gatavas pildīt tām ar Regulu uzticētos uzdevumus un pilnā apjomā īstenot piešķirtās pilnvaras, nebaidoties piemērot iespaidīgus sodus par Regulas pārkāpumiem.

Sodi ir bargi

"Bailes" no Datu valsts inspekcijas (DVI) kļuvušas reālas, īpaši šobrīd, kad DVI paziņojusi par tās pieņemto lēmumu, piemērojot komersantam, kas sniedz pakalpojumus internetveikalā, 7000 eiro naudas sodu par datu subjekta tiesību neievērošanu un nesadarbošanos ar DVI. Piemērotais sods var šķist "niecīgs", tomēr jāņem vērā, ka pārkāpumā iesaistīts tikai viens datu subjekts un tas nav radījis būtisku kaitējumu datu subjekta tiesībām un brīvībām.

Jāpiemin arī Polijas uzraudzības iestādes piemērotais naudas sods 645 tūkst. eiro apmērā internetveikalam, kura izmantotie tehniskie un organizatoriskie pasākumi nebija atbilstoši riskam, ko rada personas datu apstrāde. Uzraudzības iestāde secināja, ka pārkāpums bija pietiekami nopietns un tajā iesaistīts liels datu subjektu skaits.

Arī mūsu kaimiņvalstī Lietuvā uzraugošā institūcija par personas datu drošības pārkāpumiem kādai elektronisko maksājumu iestādei piemēroja administratīvo naudas sodu 61 500 eiro apmērā. Kā lēmumā norādījusi uzraudzības iestāde, tā uzskata, ka naudas soda piemērošanai saskaņā ar Regulu jābūt nozīmīgam signālam citiem uzņēmumiem, kas tiesību akta noteikumus ievēro tikai deklaratīvi. Lietā konstatēts, ka uzņēmums nebija uzraudzības iestādei ziņojis par datu aizsardzības pārkāpumu, lai gan šāds pienākums paredzēts Regulā.

Lai gan lielai daļai uzņēmumu Regulas pirmais gads pagājis, ieviešot tās prasības dzīvē un saprotot, kas jāmaina un jāuzlabo, lai tās nepārkāptu, diemžēl joprojām ir uzņēmumi, kas uzskata, ka datu aizsardzība ir tikai formalitāte, ko, ja nepieciešams, var izpildīt, ieviešot uzņēmumā procedūru, kas eksistē tikai "uz papīra", to arī uzrādot DVI un tādējādi novēršot iespēju, ka varētu konstatēt datu aizsardzības pārkāpumu. Šis raksts noderīgs gan tiem, kas saprot, ko reāli nozīmē uzņēmumā ieviest ar Regulu noteiktās prasības, gan arī tiem, kas joprojām uzskata, ka Regulā noteiktās prasības ir tikai formalitāte un iespējamie administratīvie naudas sodi par to pārkāpumiem neattiecas uz viņiem.

Regula paplašināja pilnvaras

Ar Regulas piemērošanu ievērojami paplašinātas arī DVI pilnvaras. Ar Fizisko personu datu apstrādes likumā noteikto nacionālo regulējumu stiprināta DVI neatkarība, precizētas tās funkcijas, kā arī kārtība, kādā ieceļ DVI vadību.

DVI uzrauga un īsteno Regulas piemērošanu un veicina sabiedrības informētību un izpratni par datu apstrādes riskiem, noteikumiem un tiesībām. Tāpat DVI atbilstoši savai kompetencei konsultē valdību u.c. iestādes un struktūras par likumdošanas un administratīvajiem pasākumiem saistībā ar fizisku personu tiesību un brīvību aizsardzību, kas attiecināma uz datu apstrādi.

Lai veicinātu Regulā noteikto prasību izpildi, izvērtējot datu aizsardzības pārkāpuma smagumu, DVI piemēro "konsultē vispirms" principu, lai nodrošinātu, ka uzņēmējiem skaidri saprotamas Regulas prasības.

Regulā DVI paredzēta iespēja naudas soda vietā, ja tas fiziskai personai radītu nesamērīgu slogu, izteikt rājienu. Arī administratīvā atbildība par Regulas pārkāpumiem noteikta Regulā un nav iekļauta nacionālajā regulējumā.

Personas datu apstrādes atbilstības

Saskaņā ar Regulā noteiktajiem uzdevumiem DVI izvērtē datu subjektu, struktūras, organizācijas vai apvienības iesniegtās sūdzības un atbilstošā apjomā tās izmeklē, saprātīgā termiņā informējot sūdzības iesniedzēju par lietas virzību un izmeklēšanas rezultātiem, īpaši, ja nepieciešama papildu izmeklēšana vai koordinācija ar citu uzraudzības iestādi.

Regulas kontekstā DVI savā darbībā ir neatkarīga institūcija. Tā pārstāv Latviju un aktīvi darbojas Eiropas Datu aizsardzības kolēģijā (European Data Protection Board), kas ir neatkarīga Eiropas Savienības (ES) struktūra, kura nodrošina Regulas konsekventu piemērošanu Eiropā un no tās tieši izrietošo tiesisko pienākumu realizāciju.

DVI Regulas 58.pantā regulētos lēmumus par tiesiskajiem pienākumiem var pieņemt Administratīvā procesa likumā noteiktajā kārtībā. Savukārt administratīvos sodus iespējams piemērot kārtībā, kas paredzēta administratīvo pārkāpumu lietvedību (procesu) regulējošos normatīvajos aktos.

Ja noticis ļaunākais un DVI pieņēmusi lēmumu, kas uzņēmumam var būt jāapstrīd, inspekcijas amatpersonas lēmums vispirms pārsūdzams tās direktorei. Savukārt DVI direktores pieņemtais lēmums jāpārsūdz tiesā. Jāņem vērā, ka DVI pieņemtā lēmuma apstrīdēšana un pārsūdzēšana neaptur tā darbību, izņemot tad, ja lēmums apturēts ar iesnieguma vai pieteikuma izskatītāja lēmumu.

Sodi līdz pat 20 milj. eiro

Regulas 83.pantā noteikto nav iespējams ignorēt nevienam, kas apstrādā, plāno apstrādāt datus vai tikai domā sākt savu uzņēmējdarbību, jo normā noteiktie naudas sodi var sasniegt pat 20 milj. eiro vai – uzņēmuma gadījumā – līdz 4% no uzņēmuma kopējā visā pasaulē iepriekšējā finanšu gadā gūtā apgrozījuma atkarībā no tā, kura summa ir lielāka.

Uzraudzības iestādei (Latvijā tā ir DVI) jānodrošina, ka par Regulas 83.panta 4., 5. un 6.punktā noteiktajiem pārkāpumiem piemērotie administratīvie naudas sodi katrā konkrētajā gadījumā ir iedarbīgi, samērīgi un atturoši. Tāpat administratīvais naudas sods piemērojams vienlaikus ar tiesiskajiem pienākumiem vai to vietā.

Lemjot piemērot administratīvo naudas sodu, DVI jāizvērtē pārkāpuma būtība, smagums un ilgums, ņemot vērā datu apstrādes veidu, apmēru vai nolūku, kā arī ietekmēto datu subjektu skaitu un tiem nodarīto kaitējumu. Vērtējot pārkāpuma smagumu, būtiski, vai tas izdarīts tīši vai aiz neuzmanības. Pārkāpuma veidu (nozīmīgs vai nebūtisks pārkāpums) nosaka, ņemot vērā pārkāpuma raksturu – pārkāpuma rezultātā neatbilstoši apstrādāto personas datu apjomu, veidu, aizskarto datu subjektu skaitu, personu skaitu, kas saņēmušas personas datus neatbilstoši Regulai veiktās apstrādes rezultātā, pārkāpuma sekas, ilgumu u.c. pārkāpuma raksturu ietekmējošos apstākļus.

Tāpat jāņem vērā, ka jebkura rīcība, kas mazina kaitējumu fiziskajai personai (datu subjektam), kā arī atbilstoši tehniskie un organizatoriskie pasākumi, kuri liecina, ka uzņēmums nodrošinājis atbilstošu aizsardzības līmeni un izturējies atbildīgi pret tā rīcībā esošajiem personas datiem, ir pamats, lai DVI, izvērtējot piemērojamo naudas soda apmēru, to samazinātu, ievērojot konstatētos apstākļus.

Lai gan brīdī, kad, iespējams, noticis būtisks datu aizsardzības pārkāpums, par ko varētu piemērot Regulas 83.pantā noteikto naudas sodu, pēdējais, par ko uzņēmums domā, ir pienākums vērsties DVI un ziņot par notikušo incidentu uzņēmumā, tomēr tā ir viena no būtiskākajām darbībām šādā situācijā. Īpaši svarīgi sniegt DVI iespējami vairāk informācijas par pārkāpumu.

Sniegt pilnvērtīgu informāciju par pārkāpumu uzņēmums var tikai tad, ja nodrošinājis Regulā noteikto pasākumu izpildi un ievērojis DVI u.c. uzraudzības iestāžu sniegto informāciju par tehniskajiem un organizatoriskajiem pasākumiem, kas jāievieš, lai veikto personas datu apstrādi varētu uzskatīt par likumīgu un uzņēmums būtu izpildījis pienākumu nodrošināt personas datu apstrādes procesu, kas ļauj pierādīt, ka uzņēmuma veiktā apstrāde ir atbilstoša datu aizsardzības normatīvā regulējuma prasībām.

Pirms Regulas tiešas piemērošanas sākuma DVI noteica personas datu apstrādes riska jomas, izvērtējot ar personas datu apstrādi saistītos riskus, pārkāpumu skaitu noteiktās personas datu apstrādes jomās, kā arī ārvalstu pieredzi un sniegto informāciju par konkrētu jomu būtiskajiem riskiem. Šobrīd, ņemot vērā uzraudzības iestāžu konstatētos pārkāpumus un piemērotos naudas sodus, secināms, ka riska jomas noteiktas pareizi. Lai uzņēmums varētu nodrošināties, ka veicis visus pasākumus konstatēto un iespējamo risku novēršanai un īstenojis atbilstošus tehniskos un organizatoriskos pasākumus, lai pasargātu sevi no naudas soda piemērošanas, uzņēmumiem būtiski sagatavot ietekmes uz datu aizsardzību novērtējumu. Novērtējums palīdzēs novērst ar datu apstrādi saistītos riskus un uzskatāmi pierādīt Regulā noteikto datu apstrādes principu ievērošanu.

Regulas otrais gads

DVI direktore Daiga Avdejanova norādījusi, ka pirmais gads pēc Regulas ieviešanas aizvadīts bez būtiskiem satricinājumiem. Tomēr vienlaikus direktore norādījusi, ka tas izdevies, pateicoties sadarbībai ar partneriem un DVI darbam, nodrošinot konsultācijas un informāciju iedzīvotājiem un organizācijām. Tāpat DVI direktore apliecinājusi, ka turpināsies darbi, lai veicinātu visu iesaistīto pušu vienotu izpratni par fizisku personu datu drošību, apstrādi un izmantošanu un nepieļautu atšķirīgu Regulas normu interpretāciju. Tā noteikti ir laba ziņa, jo vismaz pirmšķietami rodas iespaids, ka DVI joprojām plāno ievērot "konsultē vispirms" principu. Tomēr, ņemot vērā citu uzraudzības iestāžu pieņemto lēmumu regularitāti, uz to nav ieteicams paļauties.

Kā jau minēts, DVI, piemērojot Regulu Latvijā, ievēro "konsultē vispirms" principu, t.i., primāri konsultē klientus un sniedz tiem atbalstu, jo inspekcijai svarīgi būt uzticamam uzņēmumu un fizisku personu palīgam un partnerim, īstenojot Regulā noteiktās prasības par tiesisku personas datu apstrādi un aizsardzību un veidojot vidi, kurā cilvēks spēj kontrolēt savu datu apstrādi un efektīvi īstenot savas tiesības.

Oficiālā statistika liecina, ka pirmajā Regulas darbības gadā principu "konsultē vispirms" DVI izmantoja 107 pārkāpumos, aicinot datu pārzini novērst nepilnības personas datu apstrādē un aizsardzībā, nevis piemērojot sodus. Sankcijas piemērotas tikai 31 pārkāpumam (no 333 konstatētajiem).

Apstrādājot personas datus, svarīgi atcerēties, ka savlaikus sakārtot procesus ir ieguldījums sekmīgā ilgtermiņa darbībā. Tehnoloģiju attīstība notiek nemitīgi, tāpēc datu aizsardzība vienmēr ir process, nevis padarīts darbs, par ko varētu aizmirst. Datu aizsardzība un drošība ir arī sabiedrības un uzņēmumu tiesiskuma un reputācijas priekšnosacījums gan Latvijā, gan ES kopumā.

0 Komentāri

Lai komentētu, autorizējies!

Citi raksti no šīs rubrikas

Subrogācija apdrošināšanas tiesībās

Praksē bieži ir sastopami gadījumi, kad apdrošinātājs savā prasībā par zaudējumu atlīdzināšanu atsaucas uz subrogācijas tiesībām. Tomēr apdrošināšanas līgumu tiesisko attiecību kontekstā subrogācijas jēdziens joprojām nav plaši saprotams. Skaidrojam!

Komerctiesības 06:00, 6. Nov. 2024

Atbildība par koplietošanas auto bojājumiem

Mūsdienās koplietošanas auto platformas ir kļuvušas par vienu no populārākajām pārvietošanās iespējām, piedāvājot lietotājiem elastību un ērtumu. Daudzi uzņēmumi saviem darbiniekiem piedāvā iespēju izmantot koplietošanas automašīnas darba vajadzībām, izmantojot uzņēmuma maksājumu kartes vai kontus. Taču rodas jautājums – vai šādās situācijās koplietošanas auto platforma var pieprasīt uzņēmumam segt zaudējumus par auto bojājumiem, un kā iespējams pierādīt, ka konkrētais darbinieks nav bijis atbildīgs par bojājumiem?

Komerctiesības 06:00, 21. Okt. 2024

Īpašuma pirmpirkuma tiesības

Kam pienākas īpašuma pirmpirkuma tiesības? Kuros gadījumos tās ir spēkā? Kādā veidā būtu jāpaziņo par šīm tiesībām un kā par tām uzzināt? Skaidrojam!

Komerctiesības 06:00, 16. Okt. 2024

Kas ir balto apkaklīšu noziegumi?

Termins “balto apkaklīšu noziegumi” ir ne vien bieži dzirdams filmās un juristu sarunās, bet arī lietots biznesa dzīvē. Tomēr nereti, tiekoties ar klientiem un sadarbības partneriem, ir nācies saskarties ar to, ka izpratne par to, kas tas īsti ir un kā šajos jautājumos var palīdzēt juristi, nav pilnīga.

Komerctiesības 06:00, 6. Sep. 2024

Kad 2 gadu garantija ir obligāta?

Klients iemaksā naudu savā pakalpojumu kontā, lai saņemtu kādus kredītpunktus, kurus uzkrājot, var iegādāties kādus labumus attiecīgajā uzņēmumā. Vai šādi iemaksātajai naudai un saņemtajiem bonusiem ir jāievēro 2 gadu garantija? Vai uzņēmums var savā akcijas piedāvājumā noteikt, ka šādi kredītpunkti izmantojami līdz konkrētam datumam, tādējādi termiņš sanāk īsāks par 2 gadiem? Vai dāvanu kartē iemaksātajai naudai nav piemērojams 2 gadu derīguma termiņš? Kur novilkt robežu – kuriem pakalpojumiem ir un kuriem nav 2 gadu garantija?

Klausies

Komerctiesības 06:00, 21. Aug. 2024

Dzīvokļu īpašnieku mazākuma tiesības pieņemt lēmumus

Lai sekmētu daudzdzīvokļu dzīvojamo māju atjaunošanu un atbilstošu uzturēšanu, 2024.gada 30.maijā pieņemti grozījumi Dzīvokļa īpašuma likumā. Tie dod iespēju dzīvokļu īpašniekiem par mājai būtiskiem jautājumiem lemt arī tad, ja daļa iedzīvotāju neiesaistās šo jautājumu risināšanā. Ko mainīs šie grozījumi? Kad māju kopības varēs just to darbību?

Komerctiesības 06:00, 14. Aug. 2024

Pamatkapitāla palielināšanas noteikumi

Kā palielināt sabiedrības ar ierobežotu atbildību pamatkapitālu un kas jāiekļauj pamatkapitāla palielināšanas noteikumos? Kas būtu jāizvērtē uzņēmumam, pieņemot lēmumu palielināt pamatkapitālu? Vai obligāti kopā ar pamatkapitāla palielināšanas noteikumiem jāiesniedz arī jauno dalībnieku pieteikumi daļu iegūšanai?

Klausies

Komerctiesības 06:00, 2. Aug. 2024

Kreditoru prasījumu pieteikšana maksātnespējas procesā

Uzņēmuma debitoram ir uzsākts maksātnespējas process. Kādas ir kreditoru iespējas atgūt līdzekļus, ja parādniekam ir pasludināta maksātnespēja? Kā kreditoram pieteikt prasījumu?

Komerctiesības 06:00, 12. Jūl. 2024

Mantošanas kārtība – atbilstoša laikam

2025.gada 1.janvārī stāsies spēkā grozījumi Civillikumā, Notariāta likumā un Kredītu reģistra likumā, kas paredz izmaiņas mantošanas kārtībā. Izmaiņas būtiski ietekmēs kā mantiniekus, tā kreditorus. Kādas izmaiņas gaidāmas? Kas jau šobrīd būtu jāņem vērā?

Komerctiesības 06:00, 10. Jūl. 2024

Kopīgi noteikumi preču remontēšanas veicināšanai

Remontējamu preču priekšlaicīga izmešana palielina atkritumu daudzumu un rada siltumnīcefekta gāzu emisiju, kā arī lielāku pieprasījumu pēc vērtīgiem resursiem jaunu preču ražošanā, norādījusi Eiropas Komisija. Tādēļ, lai realizētu Eiropas Savienības zaļā kursa mērķi par ilgtspējīgu patēriņu, maija izskaņā pieņemta direktīva par kopīgiem noteikumiem preču remontēšanas veicināšanai (tā sauktā right to repair jeb R2R direktīva).

Komerctiesības 06:00, 28. Jūn. 2024

Top jauns regulējums dzīvojamo māju privatizācijas procesu pabeigšanai

Lai gan īpašuma tiesību reforma uzsākta līdz ar Latvijas neatkarības atgūšanu, privatizācijas procesi ieilguši. Dzīvojamo māju privatizācijas pabeigšanai šobrīd nav noteikts gala termiņš. Šobrīd ir sagatavots Valsts un pašvaldību dzīvojamo māju privatizācijas pabeigšanas likumprojekts un ar to saistītie likumprojekti (Pabeigšanas likumi), lai šo procesu novestu līdz galam.

Komerctiesības 06:00, 21. Jūn. 2024

Nekustamā īpašuma kadastrālā uzmērīšana

Kad nepieciešama inventarizācijas lieta? Vai ir noteikts termiņš, kad tā jāsagatavo? Vai drīkst pārdot nekustamo īpašumu, kam vēl nav sagatavota inventarizācijas lieta?

Komerctiesības 06:00, 10. Jūn. 2024

Kadastrālā vērtība, ņemot vērā ekonomisko labumu

Nekustamā īpašuma kadastrālās vērtības noteikšanas principi nav pārskatīti kopš 2005.gada. Jau labu laiku notiek diskusijas, ka šo vērtību noteikšanas kārtību nepieciešams aktualizēt atbilstoši reālajai situācijai. 2024.gada 30.maijā trešajā lasījumā ir pieņemti grozījumi Nekustamā īpašuma valsts kadastra likumā, nosakot masveida kadastrālās vērtēšanas mērķus un principus. Kas mainīsies, vai un kā šīs izmaiņas ietekmēs nekustamā īpašuma nodokļa maksājumus?

Komerctiesības 06:00, 5. Jūn. 2024

Nomnieka tiesības nekustamā īpašuma izsoles gadījumā

Iznomātājs, kurš nodevis nomā nekustamo īpašumu, var nonākt situācijā, kurā tas kļūst par parādnieku. Pret nomas priekšmetu var tikt vērsta piedziņa, kā rezultātā tiek rīkota izsole. Tādēļ bieži vien nomniekam rodas jautājums, vai nekustamā īpašuma izsoles gadījumā var tikt skartas viņa nomas tiesības.

Komerctiesības 06:00, 15. Mai. 2024

Valsts amatpersonu ierobežojumi ienākumu gūšanai

Šī gada 14.martā stājās spēkā grozījumi likumā “Par interešu konflikta novēršanu valsts amatpersonu darbībā”, kas paredz valsts amatpersonām – pašvaldību domju deputātiem – papildu ierobežojumus ienākumu gūšanai. Apskatām tos!

Komerctiesības 06:00, 30. Apr. 2024

Skatīt vairāk...

Personāla ilgtspējas pasākumi un reprezentatīvās dāvanas 26.11.2024	Atkārtots! Izmaiņas algu aprēķinā no 2025.gada 1.janvāra 27.11.2024
Vidējās izpeļņas aprēķins standarta un nestandarta situācijās 28.11.2024	Kā izvēlēties piemērotāko e-rēķinu aprites risinājumu? 03.12.2024

Mēs novērtējam Tavu privātumu

Uz pārbaudi ierodas Datu valsts inspekcija