26/01/18
Silvija Alberte, ZAB "PricewaterhouseCoopers Legal" juriste,
Raksts ir sagatavots publikācijai ifinanses.lv
Kritērijus administratīvo sodu piemērošanā ir svarīgi ņemt vērā, izvērtējot uzņēmuma riskus datu aizsardzības jomā, kā arī lemjot par ieviešamajiem datu aizsardzības pasākumiem. Aplūkosim Regulā noteiktos kritērijus, kā arī 29.panta darba grupas vadlīnijas par administratīvo sodu piemērošanu.
Salīdzinot ar Eiropas Parlamenta un Padomes Direktīvā 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti noteikto, Regulā paredzēts stingrāks pamats konsekventu administratīvo sodu noteikšanā, jo Regula ir tieši piemērojama. Tādējādi Regulas tiešā piemērojamība, kā arī tajā noteiktie administratīvo sodu kritēriji veicinās konsekventu sodu piemērošanu visās Eiropas Savienības valstīs.
Saskaņā ar Regulu uzraudzības iestādei, piemērojot administratīvos sodus, jānodrošina, ka katrā konkrētā gadījumā sods ir iedarbīgs, samērīgs un atturošs. Tādējādi piemērotajam sodam jābūt samērīgam ar pārkāpuma būtību, apmēru un sekām.
Regulas 83.panta 2.punkta a) apakšpunktā paredzēts: lemjot, vai piemērot naudas administratīvo sodu, un pieņemot lēmumu par soda apmēru, jāņem vērā pārkāpuma būtība, smagums un ilgums, ievērojot attiecīgo datu apstrādes veidu, apmēru vai nolūku, kā arī pārkāpuma ietekmēto datu subjektu skaitu un tiem nodarītā kaitējuma apmēru.
Atkarībā no pieļautā pārkāpuma Regulā paredzēti 2 dažādi maksimālo sodu apmēri:
10 milj. eiro vai 2% no uzņēmuma iepriekšējā gada apgrozījuma atkarībā no tā, kura summa ir lielāka;
20 milj. eiro vai 4% no uzņēmuma iepriekšējā gada apgrozījuma atkarībā no tā, kura summa ir lielāka.
Dažādu maksimālo soda apmēru noteikšana norāda, ka atsevišķu Regulas noteikumu pārkāpums uzskatāms par relatīvi smagāku nekā citu tās prasību pārkāpums. Neskatoties uz to, pārkāpuma izvērtēšanai tiks ņemti vērā visi tā apstākļi, tādēļ sods atkarīgs no lietas apstākļiem.
Izvērtējot pārkāpuma smagumu, papildus tiks ņemts vērā attiecīgajā datu apstrādē iesaistīto datu subjektu skaits. Saskaņā ar 29.panta darba grupas vadlīnijām, to identificējot, kopā ar datu apstrādes ilgumu būs iespējams noteikt:
Saskaņā ar 29.panta darba grupas vadlīnijām par tīšu pārkāpumu var liecināt:
Piemēram, personas datu tirdzniecība mārketinga nolūkiem, neņemot vērā datu subjektu vēlmes par datu izmantošanu, tiktu uzskatīta par tīšu pārkāpumu.
Savukārt tādi pārkāpumi kā nespēja laikus veikt tehniskos uzlabojumus vai arī neuzmanīga ieviestās datu aizsardzības politikas ievērošana var norādīt uz pārkāpumu, kas izdarīts neuzmanības dēļ.
Saskaroties ar pārkāpumu, kurā nodarīts kaitējums datu subjektam, atbilstoši Regulas 83.panta 2.punkta c) apakšpunktam jāņem vērā datu pārziņa un apstrādātāja darbība (vai bezdarbība) šī kaitējuma mazināšanā. Lai mazinātu datu subjektam nodarīto kaitējumu, datu pārzinis vai apstrādātājs var mazināt sekas, ātri reaģējot uz iespējamo pārkāpumu. Saskaņā ar 29.panta darba grupas norādījumiem uzņēmumam jāspēj izmantot piemēroti līdzekļi kaitējuma mazināšanā.
Tādējādi, datu pārziņiem vai apstrādātājiem atzīstot savu pārkāpumu datu aizsardzības jomā un uzņemoties labot vai ierobežot nelikumīgās datu apstrādes sekas, kaitējums datu subjektam var tikt mazināts.
Izvērtējot administratīvā soda lielumu, saskaņā ar 29.panta darba grupas norādīto var tikt ņemta vērā pārziņa vai apstrādātāja tehnisko vai organizatorisko pasākumu ieviešana, kas var ietvert:
Izvērtējot datu pārziņa vai apstrādātāja ieviestos tehniskos vai organizatoriskos pasākumus uzņēmumā, jāņem vērā tirgus labās prakses metodes un procedūras, kā arī, ja pieejami, attiecīgās jomas prakses kodeksi, kuros norādīts, kā risināt attiecīgās jomas izplatītākos drošības riskus, kas saistīti ar datu apstrādi. Uzņēmumam, ieviešot attiecīgos tehniskos un organizatoriskos pasākumus, varētu tikt piemērots mazāks soda apmērs, ja parādīts, ka tas, veicot personas datu apstrādi, nav aizmirsis datu aizsardzības jautājumus.
Konstatējot pārkāpumu datu aizsardzības jomā, tiks vērtēts, vai uzņēmums jau iepriekš ir pārkāpis datu apstrādes nosacījumus, paredzēts Regulas 83.panta 2.punkta e) apakšpunktā.
29.panta darba grupa skaidro, ka uzraugošajām iestādēm būtu jāvērtē, vai uzņēmums ir pieļāvis līdzīgus vai tādā pašā veidā izdarītus pārkāpumus. Tas varētu tikt konstatēts, ja uzņēmums veicis neatbilstošu savu risku novērtējumu vai arī laikus nesniedz atbildes uz datu subjektu pieprasījumiem, kā rezultātā līdzīgi pārkāpumi varētu tikt konstatēti atkārtoti.
Izvērtējot soda apmēru, iepriekš konstatēts datu apstrādes pārkāpums noteiktos gadījumos var liecināt par sistemātisku datu apstrādes regulējuma neievērošanu, kas ļautu uzraugošajām iestādēm piemērot lielāku sodu.
Regulas 83.panta 2.punkta f) apakšpunktā paredzēts: izvērtējot pārkāpumu, jāņem vērā uzņēmuma sadarbība ar uzraugošo iestādi, lai atlīdzinātu pārkāpumu un mazinātu tā iespējamās nelabvēlīgās sekas.
Kā skaidro 29.panta darba grupa, tiks vērtēts, kā uzņēmums atbildējis uz uzraugošās iestādes pieprasījumiem izmeklēšanas laikā, mazinot nelikumīgās datu apstrādes ietekmi uz datu subjektu tiesībām. Ja uzņēmums sadarbojas ar uzraugošajām iestādēm, tās var lemt par mazāka administratīvā soda piemērošanu.
Par sadarbību nav uzskatāma tikai normatīvajos aktos noteikto pienākumu izpilde. Proti, tas, ka uzņēmums izpilda tikai normatīvajos aktos noteiktās prasības, pats par sevi nav uzskatāms par pietiekamu pamatu noteikt mazākas sankcijas par pārkāpumu. Līdz ar to pārkāpuma gadījumā ir svarīgi ne tikai izpildīt normatīvajos aktos noteiktos pienākumus, bet arī veikt papildu darbības, lai demonstrētu sadarbību un veicinātu nelabvēlīgo seku mazināšanu un pārkāpuma atlīdzināšanu.
Pārkāpuma smagums, nenoliedzami, saistīts ar tā skartajām personas datu kategorijām. Saskaņā ar 29.panta darba grupas norādīto, vērtējot skartās personas datu kategorijas, uzraugošajām iestādēm jāņem vērā:
Tādējādi lielāka soda risku rada personas datu aizsardzības pārkāpums saistībā ar īpašu kategoriju personas datiem, tieši identificējamiem datiem, kā arī datiem, kuru izplatīšana rada tūlītējus zaudējumus.
Regulas 83.panta 2.punkta h) apakšpunktā paredzēts, ka jāņem vērā šādi aspekti:
Datu pārzinim saskaņā ar Regulu ir pienākums ziņot par pārkāpumu. Kā norāda 29.panta darba grupa, pārzinim rīkojoties bezrūpīgi, nepaziņojot par pārkāpumu vai arī neziņojot par visiem pārkāpuma apstākļiem, ir pamats piemērot lielāku administratīvo sodu. Neveicot pienācīgu pārkāpuma novērtēšanu, pārzinis var neapzināt pārkāpuma apmēru, līdz ar to nespējot nodrošināt pilnīgu informācijas sniegšanu uzraugošajai iestādei. Tādēļ svarīgi ir ne tikai paziņot par pārkāpumu, bet arī veikt pārkāpuma novērtējumu, lai varētu laikus un pienācīgā apjomā ziņot.
Kopumā jāsecina, ka Regulā paredzētie kritēriji administratīvo sodu noteikšanā ir svarīgs informācijas avots uzņēmumiem, plānojot un izstrādājot procedūras un rīcības modeļus datu aizsardzības pasākumu ieviešanā, kā arī darbībās pēc datu aizsardzības pārkāpuma konstatēšanas.
Apkopojot iepriekš aplūkotos kritērijus, svarīgi ievērot, ka uzņēmumam jācenšas mazināt sekas arī tad, ja pārkāpums jau ticis konstatēts. Šāda rīcība ietver:
PwC uzņēmumi palīdz radīt juridiskām un fiziskām personām vajadzīgo vērtību. Mūsu uzņēmumu tīklā 158 valstīs strādā vairāk nekā 236 000 speciālistu, kuru uzdevums ir sniegt kvalitatīvus revīzijas pakalpojumus, kā arī nodokļu un biznesa konsultācijas. Uzziniet vairāk un pastāstiet mums par sev būtisko, apmeklējot mūs www.pwc.lv.
“PwC” apzīmē PwC uzņēmumu tīklu, kā arī vienu vai vairākus tā dalībniekus, kurā katrai dalīborganizācijai ir atsevišķas juridiskās personas statuss. Sīkāka informācija atrodama www.pwc.com/structure.