Ziņas

Cik ilgi būs iespējams ignorēt GDPR?

Vispārīgās datu aizsardzības regula (VDAR) piemērošanas sākums 2018. gada 25. maijā raisīja vairākas diskusijas uzņēmēju vidū par to, kā turpmāk pielāgot savu komercdarbību VDAR prasībām un nodrošināt personas datu aizsardzību.

Bažas radīja gan neziņa par to, vai turpmāk ik reizi ir obligāti jāinformē datu subjekts par viņa personas datu apstrādi un ir jālūdz izsniegt savu rakstveida piekrišanu personas datu apstrādei, gan arī brīdinājumi, ka personas datu apstrādes aizsardzības pārkāpumu gadījumos tiek paredzēts piemērot bargus sodus, kas atkarībā no pārkāpuma rakstura var sasniegt līdz pat EUR 20 000 000 vai līdz 4 % no komersanta kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks.

Saskaņā ar DVI statistiku[1] par periodu no VDAR piemērošanas dienas līdz 2018. gada 31. augustam, DVI ir saņēmusi:

  • 880 sūdzības un iesniegumus par nelikumīgām darbībām ar fiziskas

personas datiem;

  • 464 informatīvus jautājumus par personas datu apstrādes atbilstību

normatīvajam regulējumam;

  • 11 uzziņas pieprasījumus;
  • 20 personas datu aizsardzības pārkāpuma paziņojumus;
  • 300 paziņojumus par personas datu aizsardzības speciālista iecelšanu;

Ņemot vērā to, ka 2017.gadā ietvaros DVI ir veikusi 927 pārbaudes, kas jau ir bijis par 55% vairāk, salīdzinot ar 2016. gadu[2], var sagaidīt, ka 2018. gadā pārbaužu skaits būs vēl lielāks.

Realizējot politiku konsultē vispirms, no VDAR pirmās piemērošanas dienas DVI pārsvarā ir aktīvi iesaistījusies VDAR izpratnes veidošanā un skaidrojumu sniegšanā komersantiem, privātpersonām un publiskām iestādēm. Tādēļ pagaidām Latvijā nav piemēroti sodi sakarā ar VDAR pārkāpumiem.

Arī Eiropas Savienībā kopumā ir pieaugusi tendence iedzīvotājiem vairāk aizdomāties par savu personas datu drošību un tiesībām tās aizsargāt. 2019. gada 25. janvārī tika publicēts[3] Eiropas Komisijas priekšsēdētāja vietnieka Timmermansa, priekšsēdētāja vietnieka Ansipa, komisāru Jourovas un Gabrielas kopīgais paziņojums, kurā norādīts, ka no VDAR spēkā stāšanās dienas Eiropas Savienības dalībvalstu datu aizsardzības iestādes ir saņēmušas vairāk nekā 95 000 sūdzību no iedzīvotājiem. Visvairāk sūdzību tika iesniegts sakarā ar datu apstrādi telemārketingā, reklāmas e-pastiem un video novērošanu. Savukārt vairāk nekā 41 000 paziņojumi tika iesniegti sakarā ar notikušo personas datu aizsardzības pārkāpumu, par kuru ir jāziņo attiecīgai nacionālai datu aizsardzības iestādei 72 stundu laikā no brīža, kad pārkāpums kļuvis zināms.

Pretēji Latvijas pieredzei, Eiropas Savienības valstu datu aizsardzības iestādes jau rudenī sāka izdot pirmos lēmumus par datu aizsardzības pārkāpumiem. Viens no pirmajiem sodiem EUR 4800,- apmērā tika piemērots Austrijā kādam uzņēmumam, kurš uzstādīja savas videokameras tādējādi, ka to redzes leņķis ietvēra arī ietvi, tātad, pārkāpjot VDAR prasības, tika nofilmēta publiskā telpa.[4] 2018. gada oktobrī Portugāles datu aizsardzības iestāde piemēroja kādai slimnīcai Lisabonā sodu kopumā EUR 400 000,- apmērā par trim VDAR pārkāpumiem, konstatējot to, ka pacientu informācija bija pieejama neierobežotam cilvēku lokam un netika ievēroti apstrādes pamatprincipi, ka netika piemēroti tehniskie organizatoriski pasākumi, lai nepieļautu neautorizētu pieeju personas datiem, kā arī, konstatējot nespēju nodrošināt ārstēšanās sistēmu un pakalpojumu nepārtrauktu konfidencialitāti, integritāti, pieejamību un noturību. [5]

Lielbritānijas datu aizsardzības iestāde – Information Commisioner’s Office, kopš VDAR piemērošanas dienas ir piemērojusi jau 27 naudas sodus [6], savukārt līdz šim vislielākais sods tika piemērots Francijā: 2019. gada 21. janvārī Francijas datu aizsardzības iestāde, izskatot divu asociāciju sūdzības (kas tika saņemtas jau pirmajā VDAR piemērošanas dienā - 2018. gada 25. maijā), piemēroja GOOGLE LLC sodu vairāk nekā 50 miljonu eiro apmērā par personas datu apstrādes pārredzamības principa nenodrošināšanu un neatbilstošu datu subjekta piekrišanu attiecībā uz personalizētu komerciālu paziņojumu saņemšanu.[7]

Tomēr nevar uzskatīt, ka datu aizsardzības iestādes pārbauda un soda tikai lielus uzņēmumus, un, tā kā Latvijā nav tāda giganta kā GOOGLE, tad DVI neveiks vietējo uzņēmumu atbilstību VDAR prasībām. Kā liecina pēdējā informācija, Latvijā jau ir uzsāktas vairāk nekā 30 administratīvā pārkāpuma lietas,[8] un ir jāņem vērā, tas, ka jo lielāks ir uzņēmums un tā apstrādāto personas datu apjoms, jo lielāks var būt kaitējums un sekas no personas datu apstrādes aizsardzības pārkāpumiem. Kā parāda pētījumu kompānijas SKDS aptaujas dati, pilnīgu juridisko atbilstību GDPR prasībām ir nodrošinājuši tikai 39,3% uzņēmēju[9], kas liecina par vai nu par priekšstatu, ka VDAR prasības var nepiemērot un nekādas sankcijas tam nesekos, vai nu par nepietiekamu izpratni par VDAR, tās nozīmi un mērķiem.  Naudas sods nav vienīgās sekas, ar kurām ir jārēķinās uzņēmumam: piemēram, tādam uzņēmumam kā GOOGLE, kura apgrozījums ir mērāms desmitiem miljardiem eiro, diez vai būs grūtības nomaksāt piemēroto sodu, tomēr šāda negatīvā slava jebkurā gadījumā ir smags trieciens pa uzņēmuma reputāciju, klientu un sadarbības partneru uzticības līmeni.

Ja uzņēmums līdz šim vēl nav sakārtojis savus iekšējos dokumentus un procesus saskaņā ar VDAR prasībām, tad tas ir jādara nekavējoties, pirms tika zaudēta sadarbība ar klientu vai partneri, DVI ir uzsākusi administratīvo pārbaudi un uzlikusi sodu, vai pirms uzņēmums ir saņēmis pieprasījumu no datu subjekta vai ir notikusi neautorizēta piekļuve personas datiem.

[1] https://www.lps.lv/uploads/docs_module/Daiga_Avdejanova_VDPR_regulas_ieviesana.pdf

[3] http://europa.eu/rapid/press-release_STATEMENT-19-662_lv.htm

[4] https://digital.freshfields.com/post/102f39w/first-gdpr-fine-issued-by-austrian-data-protection-regulator

[5] https://iapp.org/news/a/first-gdpr-fine-in-portugal-issued-against-hospital-for-three-violations/

[6] https://ico.org.uk/action-weve-taken/enforcement/

[7] https://www.dvi.gov.lv/lv/zinas/francijas-datu-aizsardzibas-uzraudzibas-iestade-cnil-uzliek-google-llc-naudas-sodu-50-miljonu-eiro-apmera/

[8] http://www.la.lv/situacija-ar-datu-regulas-ieviesanu-latvija-ir-kritiska-uznemeji-saks-sanemt-sodus

[9] turpat

Vēlaties uzzināt vairāk?
picture

Pārtikas produktu derīguma termiņa norāde kā ievērojams klimatu un pārtikas vides ilgtspēju ietekmējošs faktors visā ES

picture

ZAB NJORD sveic Zani Ozolu, kvalificētu juridisko ekspertu Latvijas un Vācijas tiesībās

Labeling

Pārtikas produktu marķēšana atbilstoši normatīvajiem aktiem

image

Pārtikas produktu marķēšanas prasībām atbilstošs iepakojuma marķējums – cieņpilnas komunikācijas līdzeklis

Unsplash

NJORD legislative news: Corporate Sustainability Directive

Unsplash

NJORD juridiskie jaunumi: 2023. gada 14. jūnijā ES Parlaments apstiprināja Mākslīgā intelekta akta priekšlikuma projektu

Digital Services Regulation

NJORD juridiskie jaunumi: 2022. gadā pieņemtā Digitālo pakalpojumu regula

Agreements

NJORD tiesu prakses jaunumi: Senāts pieņēmis spriedumu lietā priekšlīguma juridisko dabu

AI webinar NJORD

NJORD vasaras beigās aicina uz īsu vebināru "Mākslīgais intelekts un ar to saistītie aktuālie juridiskie jautājumi uzņēmējdarbībā".

LPVA webinar

NJORD aicina uz īsu LPVA vebināru par komerctiesību aktualitātēm

Commercial law amendments

NJORD aicina uz vebināru par tematu "Grozījumi Komerclikumā"

Legal 500 iekļāva NJORD Latvia vadošo advokātu biroju reitingā Latvijā

Jaunas prasības par komercsabiedrību patieso labuma guvēju reģistrāciju Latvijā

Mēs atrisināsim Jūsu problēmu