Kā noteiks sodu par datu aizsardzības pārkāpumu?

16/01/18

Start adding items to your reading lists:
or
Save this item to:
This item has been saved to your reading list.

Autore: Silvija Alberte, ZAB "PricewaterhouseCoopers Legal" juriste. Raksts sagatavots portālam itiesibas.lv

 

 

Līdz ar Eiropas Parlamenta un Padomes Regulas 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK jeb Vispārīgās datu aizsardzības regulas (Regula) piemērošanu no 2018.gada maija aktuāls kļuvis arī jautājums par sodiem datu aizsardzības jomā. Regulā paredzēti ievērojami lielāki maksimālie sodu apmēri, nekā līdz šim, nosakot arī kritērijus, kas uzraugošajām iestādēm jāņem vērā, izvērtējot, vai piemērot administratīvo sodu, kā arī lemjot par tā apmēru.

Kritērijus administratīvo sodu piemērošanā ir svarīgi ņemt vērā, izvērtējot uzņēmuma riskus datu aizsardzības jomā, kā arī lemjot par ieviešamajiem datu aizsardzības pasākumiem. Aplūkosim Regulā noteiktos kritērijus, kā arī 29.panta darba grupas vadlīnijas par administratīvo sodu piemērošanu.

Salīdzinot ar Eiropas Parlamenta un Padomes Direktīvā 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti noteikto, Regulā paredzēts stingrāks pamats konsekventu administratīvo sodu noteikšanā, jo Regula ir tieši piemērojama. Tādējādi Regulas tiešā piemērojamība, kā arī tajā noteiktie administratīvo sodu piemērošanas kritēriji veicinās konsekventu sodu piemērošanu visās Eiropas Savienības valstīs.

Saskaņā ar Regulu uzraudzības iestādei, piemērojot administratīvos sodus, jānodrošina, ka katrā konkrētā gadījumā sodu piemērošana ir iedarbīga, samērīga un atturoša. Tādējādi piemērotajam soda apmēram jābūt samērīgam ar pārkāpuma:

  • būtību;
  • apmēru;
  • sekām.

 

 

 

 

Pārkāpuma būtība, smagums un ilgums

Regulas 83.panta 2.punkta a) apakšpunktā paredzēts: lemjot, vai piemērot administratīvo sodu, un pieņemot lēmumu par soda apmēru, jāņem vērā pārkāpuma būtība, smagums un ilgums, ievērojot attiecīgo datu apstrādes veidu, apmēru vai nolūku, kā arī pārkāpuma ietekmēto datu subjektu skaitu un tiem nodarītā kaitējuma apmēru.

Atkarībā no pieļautā pārkāpuma Regulā paredzēti 2 dažādi maksimālo sodu apmēri:

  • 10 milj. eiro vai 2% no uzņēmuma iepriekšējā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks;
  • 20 milj. eiro vai 4% no uzņēmuma iepriekšējā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks.

Dažādu maksimālo soda apmēru noteikšana norāda, ka atsevišķu Regulas noteikumu pārkāpums uzskatāms par relatīvi smagāku, nekā citu tās prasību pārkāpums. Neskatoties uz to, konkrētā pārkāpuma izvērtēšanai tiks ņemti vērā visi tā apstākļi, tādēļ konkrēti sodu apmēri atkarīgi no lietas apstākļiem.

Papildus, izvērtējot pārkāpuma smagumu, tiks ņemts vērā attiecīgajā datu apstrādē iesaistīto datu subjektu skaits. Saskaņā ar 29.panta darba grupas vadlīnijām, to identificējot, kopā ar datu apstrādes ilgumu būs iespējams noteikt:

  • vai pārkāpums radies atsevišķa notikuma rezultātā;
  • vai pārkāpums ir sistēmiska datu aizsardzības prasību neievērošana.

 

 

 

 

Tīšs vai aiz neuzmanības izdarīts pārkāpums

Saskaņā ar 29.panta darba grupas vadlīnijām par tīšu pārkāpumu varētu liecināt:

  • nelikumīga datu apstrāde, ko tieši atļāvusi uzņēmuma vadība;
  • pretēji uzņēmuma datu apstrādes politikām veikta datu apstrāde;
  • datu apstrāde veikta, neņemot vērā datu aizsardzības speciālista ieteikumus.

Piemēram, personas datu tirdzniecība mārketinga nolūkiem, neņemot vērā datu subjektu vēlmes
par datu izmantošanu, tiktu uzskatīta par tīšu pārkāpumu.

Savukārt tādi pārkāpumi kā nespēja veikt laicīgus tehniskos uzlabojumus vai arī neuzmanīga ieviesto datu aizsardzības politiku ievērošana varētu norādīt uz pārkāpumu, kas izdarīts aiz neuzmanības.

 

 

 

 

Rīcība kaitējuma mazināšanai

Saskaroties ar pārkāpumu, kurā nodarīts kaitējums datu subjektam, atbilstoši Regulas 83.panta 2.punkta c) apakšpunktam jāņem vērā datu pārziņa un apstrādātāja darbība (vai bezdarbība) šī kaitējuma mazināšanā. Lai mazinātu datu subjektam nodarīto kaitējumu, datu pārzinis vai apstrādātājs var veikt darbības, kas vērstas uz seku samazināšanu, ātri reaģējot uz iespējamo pārkāpumu. Saskaņā ar 29.panta darba grupas norādījumiem uzņēmumam jāspēj izmantot piemēroti līdzekļi kaitējuma mazināšanā.

Tādējādi datu pārziņiem vai apstrādātājiem, atzīstot savu pārkāpumu datu aizsardzības jomā un uzņemoties labot vai ierobežot nelikumīgās datu apstrādes sekas, kaitējums datu subjektam var tikt mazināts.

 

 

 

 

Atbildība par tehnisko un organizatorisko pasākumu ieviešanu

Izvērtējot administratīvā soda lielumu, saskaņā ar 29.panta darba grupas norādīto var tikt ņemta vērā pārziņa vai apstrādātāja tehnisko vai organizatorisko pasākumu ieviešana, kas var ietvert:

  • tehnisko un organizatorisko pasākumu ieviešanu saskaņā ar Regulas 25.pantā noteiktajām prasībām par integrētu datu aizsardzību (data protection by design) un datu aizsardzību pēc noklusējuma (data protection by default);
  • atbilstoša līmeņa datu drošības pasākumu ieviešanu;
  • atbilstošu datu aizsardzības politiku un procedūru ieviešanu un piemērošanu.

Izvērtējot datu pārziņa vai apstrādātāja ieviestos tehniskos vai organizatoriskos pasākumus uzņēmumā, jāņem vērā tirgus "labās prakses" metodes un procedūras, kā arī, ja pieejami, attiecīgās jomas prakses kodeksi, kuros norādīti veidi, kā risināt attiecīgās jomas ierastos drošības riskus, kas saistīti ar datu apstrādi. Uzņēmumam, ieviešot attiecīgos tehniskos un organizatoriskos pasākumus, varētu tikt piemērots mazāks soda apmērs, jo parādīts, ka uzņēmums, veicot personas datu apstrādi, nav aizmirsis datu aizsardzības jautājumus.

 

 

 

 

Iepriekšējie pārkāpumi

Konstatējot pārkāpumu datu aizsardzības jomā, tiks vērtēts, vai uzņēmumam ir bijis iepriekšējs datu apstrādes pārkāpums, paredzēts Regulas 83.panta 2.punkta e) apakšpunktā.

29.panta darba grupa skaidro, ka uzraugošajām iestādēm būtu jāvērtē, vai uzņēmums ir pieļāvis līdzīgus vai tādā pašā veidā izdarītus pārkāpumus. Tas varētu tikt konstatēts, ja uzņēmums veicis neatbilstošu savu risku novērtējumu vai arī nesniedz laicīgas atbildes uz datu subjektu pieprasījumiem, kā rezultātā līdzīgi pārkāpumi varētu tikt konstatēti atkārtoti.

Izvērtējot soda apmēru, iepriekš konstatēts datu apstrādes pārkāpums noteiktos gadījumos var liecināt par sistemātisku datu apstrādes regulējuma neievērošanu, kas ļautu uzraugošajām iestādēm piemērot lielāku sodu.

 

 

 

 

Sadarbība ar uzraugošajām iestādēm

Regulas 83.panta 2.punkta f) apakšpunktā paredzēts: izvērtējot pārkāpumu, jāņem vērā uzņēmuma sadarbība ar uzraugošo iestādi, lai atlīdzinātu pārkāpumu un mazinātu tā iespējamās nelabvēlīgās sekas.

Kā skaidro 29.panta darba grupa, tiks vērtēts, kā uzņēmums atbildējis uz uzraugošās iestādes pieprasījumiem izmeklēšanas laikā, rezultātā mazinot nelikumīgās datu apstrādes ietekmi uz datu subjektu tiesībām.

Sadarbojoties ar uzraugošajām iestādēm, tās var lemt par mazāka administratīvā soda piemērošanu.

Par sadarbību nav uzskatāma tikai normatīvajos aktos noteikto pienākumu izpilde. Proti, tas, ka uzņēmums izpilda tikai normatīvajos aktos noteiktās prasības, pats par sevi nav uzskatāms par pietiekamu pamatu noteikt mazākas sankcijas par pārkāpumu. Līdz ar to pārkāpuma gadījumā ir svarīgi ne tikai izpildīt normatīvajos aktos noteiktos pienākumus, bet arī veikt papildu darbības, lai demonstrētu sadarbību un veicinātu nelabvēlīgo seku mazināšanu un pārkāpuma atlīdzināšanu.

 

 

 

 

Personas datu kategorijas

Pārkāpuma smagums, nenoliedzami, saistīts ar tā rezultātā skartajām personas datu kategorijām. Saskaņā ar 29.panta darba grupas norādīto, vērtējot skartās personas datu kategorijas, uzraugošajām iestādēm jāņem vērā:

  • vai ir skarti īpašu kategoriju personas dati;
  • vai skartie personas dati ir tieši vai netieši identificējami;
  • vai apstrāde ietver tādus personas datus, kuru izplatīšana radītu tūlītējus zaudējumus;
  • vai dati ir tieši pieejami vai šifrēti.

Tādējādi lielāka soda risku rada personas datu aizsardzības pārkāpums saistībā ar īpašu kategoriju personas datiem, tieši identificējamiem datiem, kā arī datiem, kuru izplatīšana rada tūlītējus zaudējumus.

 

 

 

 

Ziņošana par pārkāpumu

Regulas 83.panta 2.punkta h) apakšpunktā paredzēts, ka jāņem vērā:

  • kā uzraugošā iestāde uzzinājusi par pārkāpumu;
  • vai pārzinis vai apstrādātājs ir ziņojis par pārkāpumu;
  • kādā apjomā ziņošana notikusi.

Datu pārzinim saskaņā ar Regulu ir pienākums ziņot par pārkāpumu. Kā norāda 29.panta darba grupa, pārzinim rīkojoties bezrūpīgi, nepaziņojot par pārkāpumu vai arī nepaziņojot par visiem pārkāpuma apstākļiem, ir pamats piemērot lielāku administratīvo sodu. Neveicot pienācīgu pārkāpuma novērtēšanu, pārzinis var neapzināt pārkāpuma apmēru, līdz ar to nespējot nodrošināt pilnīgu informācijas sniegšanu uzraugošajai iestādei. Tādēļ svarīgi ir ne tikai paziņot par pārkāpumu, bet arī veikt pārkāpuma novērtējumu, lai varētu laikus un pienācīgā apjomā ziņot.

 

 

 

 

Kopumā jāsecina, ka Regulā paredzētie kritēriji administratīvo sodu noteikšanā ir svarīgs informācijas avots uzņēmumiem, plānojot un izstrādājot procedūras un rīcības modeļus datu aizsardzības pasākumu ieviešanā, kā arī darbībās pēc datu aizsardzības pārkāpuma konstatēšanas.

Apkopojot iepriekš aplūkotos kritērijus, svarīgi ievērot, ka uzņēmuma rīcībai jābūt vērstai uz seku mazināšanu, arī ja pārkāpums jau ticis konstatēts. Tas ietver:

  • nepieciešamo priekšnosacījumu izpildi drošai personas datu apstrādei, piemēram, tehnisko un organizatorisko datu aizsardzības prasību ieviešana un, uzņēmuma datu aizsardzības risku novērtējums;
  • sadarbību ar uzraugošajām iestādēm;
  • laicīgu paziņošanu par pārkāpumu;
  • datu aizsardzības pārkāpuma seku mazināšanu.

 

 

 

 

Par PwC

PwC uzņēmumi palīdz juridiskām un fiziskām personām radīt tām nepieciešamo vērtību. Mūsu globālā tīkla uzņēmumos, kuri atrodas 157 valstīs, ir nodarbināti vairāk nekā 223 000 speciālistu, kuri sniedz kvalitatīvus revīzijas pakalpojumus, nodokļu un biznesa konsultācijas. Pastāstiet mums par sev būtisko un uzziniet vairāk, apmeklējot vietni www.pwc.lv.

“PwC” nozīmē PwC uzņēmumu tīklu un vienu vai vairākas tā dalīborganizācijas, no kurām katrai ir atsevišķas juridiskās personas statuss. Sīkāka informācija ir pieejama vietnē www.pwc.com/structure.

 

 

 

 

Par PwC Legal

Zvērinātu advokātu birojs PricewaterhouseCoopers Legal ir PwC uzņēmumu globālā tīkla daļa. PwC juridiskā prakse pašreiz veic darbību vairāk nekā 90 pasaules valstīs, tostarp arī Lietuvā un Igaunijā, kopumā nodarbinot vairāk nekā 3200 juristus, kuri sazinās 123 pasaules valstu valodās. Biroja galvenās prakses jomas ir uzņēmumu iegāde un apvienošana, reorganizācija, restrukturizācija un maksātnespēja, banku un finanšu tiesības, nekustamais īpašums un būvniecība, korporatīvās tiesības, nodokļu tiesības, darba tiesības, imigrācijas tiesības, datu aizsardzība, intelektuālais īpašums, konkurences tiesības, publiskā un privātā partnerība, publiskās un administratīvās tiesības, strīdu risināšana un pārstāvība tiesā.

 

 

Sazinieties ar mums

Sekojiet mums