16/01/18
Autore: Silvija Alberte, ZAB "PricewaterhouseCoopers Legal" juriste. Raksts sagatavots portālam itiesibas.lv
Kritērijus administratīvo sodu piemērošanā ir svarīgi ņemt vērā, izvērtējot uzņēmuma riskus datu aizsardzības jomā, kā arī lemjot par ieviešamajiem datu aizsardzības pasākumiem. Aplūkosim Regulā noteiktos kritērijus, kā arī 29.panta darba grupas vadlīnijas par administratīvo sodu piemērošanu.
Salīdzinot ar Eiropas Parlamenta un Padomes Direktīvā 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti noteikto, Regulā paredzēts stingrāks pamats konsekventu administratīvo sodu noteikšanā, jo Regula ir tieši piemērojama. Tādējādi Regulas tiešā piemērojamība, kā arī tajā noteiktie administratīvo sodu piemērošanas kritēriji veicinās konsekventu sodu piemērošanu visās Eiropas Savienības valstīs.
Saskaņā ar Regulu uzraudzības iestādei, piemērojot administratīvos sodus, jānodrošina, ka katrā konkrētā gadījumā sodu piemērošana ir iedarbīga, samērīga un atturoša. Tādējādi piemērotajam soda apmēram jābūt samērīgam ar pārkāpuma:
Regulas 83.panta 2.punkta a) apakšpunktā paredzēts: lemjot, vai piemērot administratīvo sodu, un pieņemot lēmumu par soda apmēru, jāņem vērā pārkāpuma būtība, smagums un ilgums, ievērojot attiecīgo datu apstrādes veidu, apmēru vai nolūku, kā arī pārkāpuma ietekmēto datu subjektu skaitu un tiem nodarītā kaitējuma apmēru.
Atkarībā no pieļautā pārkāpuma Regulā paredzēti 2 dažādi maksimālo sodu apmēri:
Dažādu maksimālo soda apmēru noteikšana norāda, ka atsevišķu Regulas noteikumu pārkāpums uzskatāms par relatīvi smagāku, nekā citu tās prasību pārkāpums. Neskatoties uz to, konkrētā pārkāpuma izvērtēšanai tiks ņemti vērā visi tā apstākļi, tādēļ konkrēti sodu apmēri atkarīgi no lietas apstākļiem.
Papildus, izvērtējot pārkāpuma smagumu, tiks ņemts vērā attiecīgajā datu apstrādē iesaistīto datu subjektu skaits. Saskaņā ar 29.panta darba grupas vadlīnijām, to identificējot, kopā ar datu apstrādes ilgumu būs iespējams noteikt:
Saskaņā ar 29.panta darba grupas vadlīnijām par tīšu pārkāpumu varētu liecināt:
Piemēram, personas datu tirdzniecība mārketinga nolūkiem, neņemot vērā datu subjektu vēlmes
par datu izmantošanu, tiktu uzskatīta par tīšu pārkāpumu.
Savukārt tādi pārkāpumi kā nespēja veikt laicīgus tehniskos uzlabojumus vai arī neuzmanīga ieviesto datu aizsardzības politiku ievērošana varētu norādīt uz pārkāpumu, kas izdarīts aiz neuzmanības.
Saskaroties ar pārkāpumu, kurā nodarīts kaitējums datu subjektam, atbilstoši Regulas 83.panta 2.punkta c) apakšpunktam jāņem vērā datu pārziņa un apstrādātāja darbība (vai bezdarbība) šī kaitējuma mazināšanā. Lai mazinātu datu subjektam nodarīto kaitējumu, datu pārzinis vai apstrādātājs var veikt darbības, kas vērstas uz seku samazināšanu, ātri reaģējot uz iespējamo pārkāpumu. Saskaņā ar 29.panta darba grupas norādījumiem uzņēmumam jāspēj izmantot piemēroti līdzekļi kaitējuma mazināšanā.
Tādējādi datu pārziņiem vai apstrādātājiem, atzīstot savu pārkāpumu datu aizsardzības jomā un uzņemoties labot vai ierobežot nelikumīgās datu apstrādes sekas, kaitējums datu subjektam var tikt mazināts.
Izvērtējot administratīvā soda lielumu, saskaņā ar 29.panta darba grupas norādīto var tikt ņemta vērā pārziņa vai apstrādātāja tehnisko vai organizatorisko pasākumu ieviešana, kas var ietvert:
Izvērtējot datu pārziņa vai apstrādātāja ieviestos tehniskos vai organizatoriskos pasākumus uzņēmumā, jāņem vērā tirgus "labās prakses" metodes un procedūras, kā arī, ja pieejami, attiecīgās jomas prakses kodeksi, kuros norādīti veidi, kā risināt attiecīgās jomas ierastos drošības riskus, kas saistīti ar datu apstrādi. Uzņēmumam, ieviešot attiecīgos tehniskos un organizatoriskos pasākumus, varētu tikt piemērots mazāks soda apmērs, jo parādīts, ka uzņēmums, veicot personas datu apstrādi, nav aizmirsis datu aizsardzības jautājumus.
Konstatējot pārkāpumu datu aizsardzības jomā, tiks vērtēts, vai uzņēmumam ir bijis iepriekšējs datu apstrādes pārkāpums, paredzēts Regulas 83.panta 2.punkta e) apakšpunktā.
29.panta darba grupa skaidro, ka uzraugošajām iestādēm būtu jāvērtē, vai uzņēmums ir pieļāvis līdzīgus vai tādā pašā veidā izdarītus pārkāpumus. Tas varētu tikt konstatēts, ja uzņēmums veicis neatbilstošu savu risku novērtējumu vai arī nesniedz laicīgas atbildes uz datu subjektu pieprasījumiem, kā rezultātā līdzīgi pārkāpumi varētu tikt konstatēti atkārtoti.
Izvērtējot soda apmēru, iepriekš konstatēts datu apstrādes pārkāpums noteiktos gadījumos var liecināt par sistemātisku datu apstrādes regulējuma neievērošanu, kas ļautu uzraugošajām iestādēm piemērot lielāku sodu.
Regulas 83.panta 2.punkta f) apakšpunktā paredzēts: izvērtējot pārkāpumu, jāņem vērā uzņēmuma sadarbība ar uzraugošo iestādi, lai atlīdzinātu pārkāpumu un mazinātu tā iespējamās nelabvēlīgās sekas.
Kā skaidro 29.panta darba grupa, tiks vērtēts, kā uzņēmums atbildējis uz uzraugošās iestādes pieprasījumiem izmeklēšanas laikā, rezultātā mazinot nelikumīgās datu apstrādes ietekmi uz datu subjektu tiesībām.
Sadarbojoties ar uzraugošajām iestādēm, tās var lemt par mazāka administratīvā soda piemērošanu.
Par sadarbību nav uzskatāma tikai normatīvajos aktos noteikto pienākumu izpilde. Proti, tas, ka uzņēmums izpilda tikai normatīvajos aktos noteiktās prasības, pats par sevi nav uzskatāms par pietiekamu pamatu noteikt mazākas sankcijas par pārkāpumu. Līdz ar to pārkāpuma gadījumā ir svarīgi ne tikai izpildīt normatīvajos aktos noteiktos pienākumus, bet arī veikt papildu darbības, lai demonstrētu sadarbību un veicinātu nelabvēlīgo seku mazināšanu un pārkāpuma atlīdzināšanu.
Pārkāpuma smagums, nenoliedzami, saistīts ar tā rezultātā skartajām personas datu kategorijām. Saskaņā ar 29.panta darba grupas norādīto, vērtējot skartās personas datu kategorijas, uzraugošajām iestādēm jāņem vērā:
Tādējādi lielāka soda risku rada personas datu aizsardzības pārkāpums saistībā ar īpašu kategoriju personas datiem, tieši identificējamiem datiem, kā arī datiem, kuru izplatīšana rada tūlītējus zaudējumus.
Regulas 83.panta 2.punkta h) apakšpunktā paredzēts, ka jāņem vērā:
Datu pārzinim saskaņā ar Regulu ir pienākums ziņot par pārkāpumu. Kā norāda 29.panta darba grupa, pārzinim rīkojoties bezrūpīgi, nepaziņojot par pārkāpumu vai arī nepaziņojot par visiem pārkāpuma apstākļiem, ir pamats piemērot lielāku administratīvo sodu. Neveicot pienācīgu pārkāpuma novērtēšanu, pārzinis var neapzināt pārkāpuma apmēru, līdz ar to nespējot nodrošināt pilnīgu informācijas sniegšanu uzraugošajai iestādei. Tādēļ svarīgi ir ne tikai paziņot par pārkāpumu, bet arī veikt pārkāpuma novērtējumu, lai varētu laikus un pienācīgā apjomā ziņot.
Kopumā jāsecina, ka Regulā paredzētie kritēriji administratīvo sodu noteikšanā ir svarīgs informācijas avots uzņēmumiem, plānojot un izstrādājot procedūras un rīcības modeļus datu aizsardzības pasākumu ieviešanā, kā arī darbībās pēc datu aizsardzības pārkāpuma konstatēšanas.
Apkopojot iepriekš aplūkotos kritērijus, svarīgi ievērot, ka uzņēmuma rīcībai jābūt vērstai uz seku mazināšanu, arī ja pārkāpums jau ticis konstatēts. Tas ietver:
PwC uzņēmumi palīdz juridiskām un fiziskām personām radīt tām nepieciešamo vērtību. Mūsu globālā tīkla uzņēmumos, kuri atrodas 157 valstīs, ir nodarbināti vairāk nekā 223 000 speciālistu, kuri sniedz kvalitatīvus revīzijas pakalpojumus, nodokļu un biznesa konsultācijas. Pastāstiet mums par sev būtisko un uzziniet vairāk, apmeklējot vietni www.pwc.lv.
“PwC” nozīmē PwC uzņēmumu tīklu un vienu vai vairākas tā dalīborganizācijas, no kurām katrai ir atsevišķas juridiskās personas statuss. Sīkāka informācija ir pieejama vietnē www.pwc.com/structure.
Zvērinātu advokātu birojs PricewaterhouseCoopers Legal ir PwC uzņēmumu globālā tīkla daļa. PwC juridiskā prakse pašreiz veic darbību vairāk nekā 90 pasaules valstīs, tostarp arī Lietuvā un Igaunijā, kopumā nodarbinot vairāk nekā 3200 juristus, kuri sazinās 123 pasaules valstu valodās. Biroja galvenās prakses jomas ir uzņēmumu iegāde un apvienošana, reorganizācija, restrukturizācija un maksātnespēja, banku un finanšu tiesības, nekustamais īpašums un būvniecība, korporatīvās tiesības, nodokļu tiesības, darba tiesības, imigrācijas tiesības, datu aizsardzība, intelektuālais īpašums, konkurences tiesības, publiskā un privātā partnerība, publiskās un administratīvās tiesības, strīdu risināšana un pārstāvība tiesā.