GDPR Ieviešana un Nacionālais Regulējums Latvijā
Eiropas Savienības Vispārīgā datu aizsardzības regula (GDPR) ir piemērojama kopš 2018. gada 25. maija, nodrošinot vienotu datu aizsardzības standartu visā blokā. Latvijā GDPR prasību ieviešanai tika pieņemts Fizisko personu datu apstrādes likums (DPL), kas stājās spēkā 2018. gada 5. jūlijā, aizstājot iepriekšējo fizisko personu datu aizsardzības likumu. Šis likums kalpo kā nacionālais ietvars GDPR piemērošanai Latvijā.
Latvijas atbildīgā uzraudzības iestāde datu aizsardzības jautājumos ir Datu valsts inspekcija (DVI), kas pārstāv Latviju arī Eiropas Datu aizsardzības padomē. DVI ir plašas pilnvaras, tostarp datu aizsardzības veicināšana, sertifikācijas procedūru uzraudzība, datu aizsardzības speciālistu kvalifikācijas pārbaude un inspekciju veikšana, lai nodrošinātu atbilstību likumiem un regulām.
Latvijas Specifiskās Atkāpes un Izaicinājumi
Lai gan GDPR ir tieši piemērojama, dalībvalstīm ir tiesības noteikt specifiskas atkāpes noteiktās jomās. Latvijā bērna piekrišanas vecums tiešsaistes pakalpojumiem ir noteikts 13 gadi, kamēr GDPR paredz diapazonu no 13 līdz 16 gadiem. Tāpat nacionālais regulējums paredz izņēmumus datu apstrādei valsts drošības, sabiedriskās drošības, nodokļu jautājumu, nelikumīgi iegūtu līdzekļu legalizācijas novēršanas un finanšu tirgus uzraudzības jomās.
DPL nenoteic īpašus nosacījumus sensitīvu datu apstrādei, taču ir nepieciešama datu subjekta derīga piekrišana. Personas dati par mirušām personām tiek aizsargāti, ja tie varētu attiekties uz dzīvām personām vai tās ietekmēt, un veselības dati netiek izpausti pat pēc pacienta nāves. DPL neparedz specifiskas atkāpes attiecībā uz tiešsaistes privātumu, elektronisko mārketingu vai datu pārkāpumu paziņošanas pienākumiem, taču DVI ir izstrādājusi datu pārkāpumu paziņošanas veidni.
DVI Uzraudzība un Piemērotie Sodi
Datu valsts inspekcija aktīvi veic uzraudzības funkcijas. 2022. gadā DVI saņēma 708 sūdzības no datu subjektiem, uzsāka 865 iespējamo pārkāpumu pārbaudes un 12 gadījumos piemēroja naudas sodus par GDPR pārkāpumiem. 2024. gadā DVI veica 991 auditu, saņēma 693 sūdzības, identificēja 178 pārkāpumus un piemēroja 49 korektīvos pasākumus.
Par GDPR pārkāpumiem DVI var piemērot administratīvos naudas sodus līdz pat 20 miljoniem eiro vai 4% no uzņēmuma iepriekšējā finanšu gada kopējā pasaules apgrozījuma, atkarībā no tā, kura summa ir lielāka. Latvijā ir bijuši vairāki ievērojami sodi:
- 2019. gadā e-komercijas uzņēmumam tika piemērots 150 000 eiro sods par informēšanas pienākuma neievērošanu un datu izmantošanu mārketinga aktivitātēm, kas nebija savienojamas ar sākotnējo datu apstrādes mērķi. Sākotnēji sods bija gandrīz 300 000 eiro, taču tika samazināts.
- 2020. gada beigās SIA “Lursoft IT” saņēma 65 000 eiro sodu par prettiesisku personas datu apstrādi, publiskojot juridiskās personas reģistrācijas lietas nepubliskās daļas tīmekļa vietnē.
- 2024. gadā telesakaru uzņēmumam “Tet” tika piemērots 1,2 miljonu eiro sods par drošības pārkāpumiem.
- Kopumā 2024. gadā DVI piemēroja naudas sodus 8 200 eiro apmērā 20 lietās, visvairāk sūdzību saņemot par personas datu apstrādi sociālajos tīklos un videonovērošanu.
Jāatzīmē, ka Latvijā publiskās iestādes nevar tikt sodītas ar naudas sodu par datu pārkāpumiem, atšķirībā no Lietuvas. Datu drošības tirgus Latvijā prognozē būtisku izaugsmi, līdz 2025. gada beigām sasniedzot 1,18 miljonus ASV dolāru.