Pirmo reizi Latvijā piemērots sods par personas datu apstrādes pārkāpumu EUR 150`000 apmērā. Ko no šīs situācijas varam mācīties, un vai sekos vēl citi?

Lai gan pirmā informācija par sodu parādījās jau 2019.gada novembrī, tomēr soda galīga piemērošana un informācijas sniegšana sabiedrībai par pieņemto lēmumu prasīja zināmu laiku, jo saskaņā ar Vispārīgās datu aizsardzības regulas (turpmāk tekstā – GDPR) noteiktajām prasībām, minētais lēmums bija jāsaskaņo ar citām Eiropas uzraudzības iestādēm.

Sods ir piemērots e-komercijas uzņēmumam, kura 2017.gada apgrozījums sastādījis EUR 12,470,064.00. Attiecīgi, par konstatētajiem pārkāpumiem piemērots sods 1 % apmērā, kas kopā veidoja gandrīz EUR 300’000 lielu sodu, tomēr saskaņā ar Administratīvā pārkāpuma kodeksa 35. panta otrās daļas nosacījumiem, sods tika samazināts līdz EUR 150'000, kas veidojas no pamatsoda un papildsoda.

Lai arī piemērotais naudas sods var šķist liels, tomēr saskaņā ar Regulu par konstatēto pārkāpumu soda apmērs var tikt noteikts līdz EUR 20 000 000 vai, uzņēmuma gadījumā, līdz 4 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma.

Uzņēmumam primāri tika piemērots naudas sods par Regulas 13.panta nosacījumu (informēšanas pienākums) neievērošanu, kā arī par tā apstrādāto (klienta) personas datu apstrādi mērķim, kas nav savienojams ar sākotnējo datu apstrādes mērķi. Datu subjekts personas datus iesniedza, lai noformētu preces iegādi EUR 44 apmērā, bet faktiski personas dati tika izmantoti arī mārketinga aktivitātēm.

Datu valsts inspekcijas piemērotais sods izgaismo vairākas būtiskas nianses, kas ir jāņem vērā, apstrādājot personas datus. Visbūtiskākais, kas jāliek aiz auss uzņēmējiem un, ko arī uzskatāmi parāda piemērotais naudas sods ir tas, ka nav maznozīmīgu darījumu! Konkrētajā gadījumā – darījuma, kura ietvaros tika veikta personas datu apstrāde, vērtība bija vien EUR 44, tomēr tas rezultējās ar līdz šim lielāko piemēroto naudas sodu par datu aizsardzības pārkāpumu Latvijā, ko piemērojusi Datu valsts inspekcija.

No visa iepriekš minētā var izdarīt tikai vienu secinājumu. Tikai ar GDPR pamatlietu ieviešanu un to formālu nodrošināšanu uzņēmumā var nebūt pietiekami, lai garantētu biznesa stabilitāti. Tikai GDPR prasību pilnīga ieviešana, pielāgošana un pārskatīšana katras konkrētas nozares uzņēmumā var kalpot par stabilitātes garantu tālākai biznesa attīstībai.

Nepienācīga informēšana par personas datu apstrādi

Piemērotais sods skaidri parāda, ka, lai nodrošinātu Regulas prasību izpildi, būtiski nošķirt piekrišanu u.c. apstrādes tiesisko pamatu nodrošināšanu no informēšanas. Informācijai par personas datu apstrādi jāietver vismaz šāds saturs:

• par apstrādes faktu, kas, kāpēc, cik ilgi tiks darīts ar personas datiem;
• kura persona kā pārzinis būs atbildīga par apstrādi, kas būs vai iespējams būs personas datu saņēmēji;
• vai personas datu iesniegšana ir pienākums vai tiesības, kādas sekas iestāsies datu nesniegšanas gadījumā;
• kādas ir citas ar šo datu apstrādi saistītās personas tiesības.

Būtiskākais ir saprast, ka tikai Privātuma paziņojuma vai jebkāda cita šķietami “pareizi” izveidota dokumenta publicēšana uzņēmuma mājaslapās, kuras savas komercdarbības nodrošināšanai izmanto uzņēmumi, ir nepietiekoši maz un tas nekādā gadījumā nenodrošinās, ka uzņēmuma veiktā personas datu apstrāde būs atbilstoša Regulai.

Bieži Regulas pārkāpumi tiek pieļauti, kad uzņēmums veic apstrādi vairākiem un dažādiem nolūkiem dažādu procesu ietvaros, bet informēšanas nolūkos izstrādā vienu vispārīgu privātuma paziņojumu. Tāpat arī sīkdatņu paziņojumi vairumā gadījumu ir tādi, kas neatbilst patiesajai situācijai, nemaz nerunājot par uzņēmuma iekšējo dokumentāciju un tās izstrādi atbilstoši Regulas prasībām. Nepietiekama uzmanība tiek pievērsta arī personas datu apstrādei, kas tiek veikta ar uzņēmuma darbinieku personas datiem, tai skaitā datu apstrādei, kuru veic paši uzņēmuma darbinieki, neapzinoties, ka veiktā datu apstrāde ir pretēja Regulā noteiktajam.