Sodi par datu aizsardzības pārkāpumiem būs bargi

26/01/18

Silvija Alberte, ZAB "PricewaterhouseCoopers Legal" juriste,
Raksts ir sagatavots publikācijai ifinanses.lv

Līdz ar Eiropas Parlamenta un Padomes Regulas 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK jeb Vispārīgās datu aizsardzības regulas (Regula) piemērošanu no 2018.gada maija aktuāls kļuvis arī jautājums par sodiem datu aizsardzības jomā. Regulā paredzēti ievērojami lielāki maksimālie sodi nekā līdz šim, nosakot arī kritērijus, kas uzraugošajām iestādēm jāņem vērā, izvērtējot, vai piemērot administratīvo sodu, kā arī lemjot par tā apmēru.

Kritērijus administratīvo sodu piemērošanā ir svarīgi ņemt vērā, izvērtējot uzņēmuma riskus datu aizsardzības jomā, kā arī lemjot par ieviešamajiem datu aizsardzības pasākumiem. Aplūkosim Regulā noteiktos kritērijus, kā arī 29.panta darba grupas vadlīnijas par administratīvo sodu piemērošanu.

Salīdzinot ar Eiropas Parlamenta un Padomes Direktīvā 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti noteikto, Regulā paredzēts stingrāks pamats konsekventu administratīvo sodu noteikšanā, jo Regula ir tieši piemērojama. Tādējādi Regulas tiešā piemērojamība, kā arī tajā noteiktie administratīvo sodu kritēriji veicinās konsekventu sodu piemērošanu visās Eiropas Savienības valstīs.

Saskaņā ar Regulu uzraudzības iestādei, piemērojot administratīvos sodus, jānodrošina, ka katrā konkrētā gadījumā sods ir iedarbīgs, samērīgs un atturošs. Tādējādi piemērotajam sodam jābūt samērīgam ar pārkāpuma būtību, apmēru un sekām.

Pārkāpuma būtība, smagums un ilgums

Regulas 83.panta 2.punkta a) apakšpunktā paredzēts: lemjot, vai piemērot naudas administratīvo sodu, un pieņemot lēmumu par soda apmēru, jāņem vērā pārkāpuma būtība, smagums un ilgums, ievērojot attiecīgo datu apstrādes veidu, apmēru vai nolūku, kā arī pārkāpuma ietekmēto datu subjektu skaitu un tiem nodarītā kaitējuma apmēru.

Atkarībā no pieļautā pārkāpuma Regulā paredzēti 2 dažādi maksimālo sodu apmēri:

10 milj. eiro vai 2% no uzņēmuma iepriekšējā gada apgrozījuma atkarībā no tā, kura summa ir lielāka;

20 milj. eiro vai 4% no uzņēmuma iepriekšējā gada apgrozījuma atkarībā no tā, kura summa ir lielāka.

Dažādu maksimālo soda apmēru noteikšana norāda, ka atsevišķu Regulas noteikumu pārkāpums uzskatāms par relatīvi smagāku nekā citu tās prasību pārkāpums. Neskatoties uz to, pārkāpuma izvērtēšanai tiks ņemti vērā visi tā apstākļi, tādēļ sods atkarīgs no lietas apstākļiem.

Izvērtējot pārkāpuma smagumu, papildus tiks ņemts vērā attiecīgajā datu apstrādē iesaistīto datu subjektu skaits. Saskaņā ar 29.panta darba grupas vadlīnijām, to identificējot, kopā ar datu apstrādes ilgumu būs iespējams noteikt:

  • vai pārkāpums radies atsevišķa notikuma rezultātā;
  • vai pārkāpums ir sistēmiska datu aizsardzības prasību neievērošana.

Tīšs vai neuzmanības dēļ izdarīts pārkāpums

Saskaņā ar 29.panta darba grupas vadlīnijām par tīšu pārkāpumu var liecināt:

  • nelikumīga datu apstrāde, ko tieši atļāvusi uzņēmuma vadība;
  • pretēji uzņēmuma datu apstrādes politikai veikta datu apstrāde;
  • datu apstrāde, neņemot vērā datu aizsardzības speciālista ieteikumus.

Piemēram, personas datu tirdzniecība mārketinga nolūkiem, neņemot vērā datu subjektu vēlmes par datu izmantošanu, tiktu uzskatīta par tīšu pārkāpumu.

Savukārt tādi pārkāpumi kā nespēja laikus veikt tehniskos uzlabojumus vai arī neuzmanīga ieviestās datu aizsardzības politikas ievērošana var norādīt uz pārkāpumu, kas izdarīts neuzmanības dēļ.

Rīcība kaitējuma mazināšanai

Saskaroties ar pārkāpumu, kurā nodarīts kaitējums datu subjektam, atbilstoši Regulas 83.panta 2.punkta c) apakšpunktam jāņem vērā datu pārziņa un apstrādātāja darbība (vai bezdarbība) šī kaitējuma mazināšanā. Lai mazinātu datu subjektam nodarīto kaitējumu, datu pārzinis vai apstrādātājs var mazināt sekas, ātri reaģējot uz iespējamo pārkāpumu. Saskaņā ar 29.panta darba grupas norādījumiem uzņēmumam jāspēj izmantot piemēroti līdzekļi kaitējuma mazināšanā.

Tādējādi, datu pārziņiem vai apstrādātājiem atzīstot savu pārkāpumu datu aizsardzības jomā un uzņemoties labot vai ierobežot nelikumīgās datu apstrādes sekas, kaitējums datu subjektam var tikt mazināts.

Atbildība par tehnisko un organizatorisko pasākumu ieviešanu

Izvērtējot administratīvā soda lielumu, saskaņā ar 29.panta darba grupas norādīto var tikt ņemta vērā pārziņa vai apstrādātāja tehnisko vai organizatorisko pasākumu ieviešana, kas var ietvert:

  • tehnisko un organizatorisko pasākumu ieviešanu saskaņā ar Regulas 25.pantā noteiktajām prasībām par integrētu datu aizsardzību (data protection by design) un datu aizsardzību pēc noklusējuma (data protection by default);
  • atbilstoša līmeņa datu drošības pasākumu ieviešanu;
  • atbilstošu datu aizsardzības politiku un procedūru ieviešanu un piemērošanu.

Izvērtējot datu pārziņa vai apstrādātāja ieviestos tehniskos vai organizatoriskos pasākumus uzņēmumā, jāņem vērā tirgus labās prakses metodes un procedūras, kā arī, ja pieejami, attiecīgās jomas prakses kodeksi, kuros norādīts, kā risināt attiecīgās jomas izplatītākos drošības riskus, kas saistīti ar datu apstrādi. Uzņēmumam, ieviešot attiecīgos tehniskos un organizatoriskos pasākumus, varētu tikt piemērots mazāks soda apmērs, ja parādīts, ka tas, veicot personas datu apstrādi, nav aizmirsis datu aizsardzības jautājumus.

Iepriekšējie pārkāpumi

Konstatējot pārkāpumu datu aizsardzības jomā, tiks vērtēts, vai uzņēmums jau iepriekš ir pārkāpis datu apstrādes nosacījumus, paredzēts Regulas 83.panta 2.punkta e) apakšpunktā.

29.panta darba grupa skaidro, ka uzraugošajām iestādēm būtu jāvērtē, vai uzņēmums ir pieļāvis līdzīgus vai tādā pašā veidā izdarītus pārkāpumus. Tas varētu tikt konstatēts, ja uzņēmums veicis neatbilstošu savu risku novērtējumu vai arī laikus nesniedz atbildes uz datu subjektu pieprasījumiem, kā rezultātā līdzīgi pārkāpumi varētu tikt konstatēti atkārtoti.

Izvērtējot soda apmēru, iepriekš konstatēts datu apstrādes pārkāpums noteiktos gadījumos var liecināt par sistemātisku datu apstrādes regulējuma neievērošanu, kas ļautu uzraugošajām iestādēm piemērot lielāku sodu.

Sadarbība ar uzraugošajām iestādēm

Regulas 83.panta 2.punkta f) apakšpunktā paredzēts: izvērtējot pārkāpumu, jāņem vērā uzņēmuma sadarbība ar uzraugošo iestādi, lai atlīdzinātu pārkāpumu un mazinātu tā iespējamās nelabvēlīgās sekas.

Kā skaidro 29.panta darba grupa, tiks vērtēts, kā uzņēmums atbildējis uz uzraugošās iestādes pieprasījumiem izmeklēšanas laikā, mazinot nelikumīgās datu apstrādes ietekmi uz datu subjektu tiesībām. Ja uzņēmums sadarbojas ar uzraugošajām iestādēm, tās var lemt par mazāka administratīvā soda piemērošanu.

Par sadarbību nav uzskatāma tikai normatīvajos aktos noteikto pienākumu izpilde. Proti, tas, ka uzņēmums izpilda tikai normatīvajos aktos noteiktās prasības, pats par sevi nav uzskatāms par pietiekamu pamatu noteikt mazākas sankcijas par pārkāpumu. Līdz ar to pārkāpuma gadījumā ir svarīgi ne tikai izpildīt normatīvajos aktos noteiktos pienākumus, bet arī veikt papildu darbības, lai demonstrētu sadarbību un veicinātu nelabvēlīgo seku mazināšanu un pārkāpuma atlīdzināšanu.

Personas datu kategorijas

Pārkāpuma smagums, nenoliedzami, saistīts ar tā skartajām personas datu kategorijām. Saskaņā ar 29.panta darba grupas norādīto, vērtējot skartās personas datu kategorijas, uzraugošajām iestādēm jāņem vērā:

  • vai ir skarti īpašu kategoriju personas dati;
  • vai skartie personas dati ir tieši vai netieši identificējami;
  • vai apstrāde ietver tādus personas datus, kuru izplatīšana radītu tūlītējus zaudējumus; vai dati ir tieši pieejami vai šifrēti.

Tādējādi lielāka soda risku rada personas datu aizsardzības pārkāpums saistībā ar īpašu kategoriju personas datiem, tieši identificējamiem datiem, kā arī datiem, kuru izplatīšana rada tūlītējus zaudējumus.

Ziņošana par pārkāpumu

Regulas 83.panta 2.punkta h) apakšpunktā paredzēts, ka jāņem vērā šādi aspekti:

  • kā uzraugošā iestāde uzzinājusi par pārkāpumu;
  • vai pārzinis vai apstrādātājs ir ziņojis par pārkāpumu;
  • kādā apjomā ziņošana notikusi.

Datu pārzinim saskaņā ar Regulu ir pienākums ziņot par pārkāpumu. Kā norāda 29.panta darba grupa, pārzinim rīkojoties bezrūpīgi, nepaziņojot par pārkāpumu vai arī neziņojot par visiem pārkāpuma apstākļiem, ir pamats piemērot lielāku administratīvo sodu. Neveicot pienācīgu pārkāpuma novērtēšanu, pārzinis var neapzināt pārkāpuma apmēru, līdz ar to nespējot nodrošināt pilnīgu informācijas sniegšanu uzraugošajai iestādei. Tādēļ svarīgi ir ne tikai paziņot par pārkāpumu, bet arī veikt pārkāpuma novērtējumu, lai varētu laikus un pienācīgā apjomā ziņot.

Kopumā jāsecina, ka Regulā paredzētie kritēriji administratīvo sodu noteikšanā ir svarīgs informācijas avots uzņēmumiem, plānojot un izstrādājot procedūras un rīcības modeļus datu aizsardzības pasākumu ieviešanā, kā arī darbībās pēc datu aizsardzības pārkāpuma konstatēšanas.

Apkopojot iepriekš aplūkotos kritērijus, svarīgi ievērot, ka uzņēmumam jācenšas mazināt sekas arī tad, ja pārkāpums jau ticis konstatēts. Šāda rīcība ietver:

  • nepieciešamo priekšnosacījumu izpildi drošai personas datu apstrādei, piemēram, tehnisko un organizatorisko datu aizsardzības prasību ieviešanu un uzņēmuma datu aizsardzības risku novērtējumu;
  • sadarbību ar uzraugošajām iestādēm;
  • laicīgu paziņošanu par pārkāpumu;
  • datu aizsardzības pārkāpuma seku mazināšanu.

Par PwC

PwC uzņēmumi palīdz radīt juridiskām un fiziskām personām vajadzīgo vērtību. Mūsu uzņēmumu tīklā 158 valstīs strādā vairāk nekā 236 000 speciālistu, kuru uzdevums ir sniegt kvalitatīvus revīzijas pakalpojumus, kā arī nodokļu un biznesa konsultācijas. Uzziniet vairāk un pastāstiet mums par sev būtisko, apmeklējot mūs www.pwc.lv.

“PwC” apzīmē PwC uzņēmumu tīklu, kā arī vienu vai vairākus tā dalībniekus, kurā katrai dalīborganizācijai ir atsevišķas juridiskās personas statuss. Sīkāka informācija atrodama www.pwc.com/structure.

Sazinieties ar mums

Evija Baula
Mārketinga un komunikācijas vadītāja
Tel: +371 67094400
E-pasts

Aija Panke
Zvērināta advokāte / sertificēta datu aizsardzības speciāliste
Tel: +371 67094400
E-pasts

Sekojiet mums