Cik ilgi būs iespējams ignorēt GDPR?

Bažas radīja gan neziņa par to, vai turpmāk ik reizi ir obligāti jāinformē datu subjekts par viņa personas datu apstrādi un ir jālūdz izsniegt savu rakstveida piekrišanu personas datu apstrādei, gan arī brīdinājumi, ka personas datu apstrādes aizsardzības pārkāpumu gadījumos tiek paredzēts piemērot bargus sodus, kas atkarībā no pārkāpuma rakstura var sasniegt līdz pat EUR 20 000 000 vai līdz 4 % no komersanta kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks.

Saskaņā ar DVI statistiku[1] par periodu no VDAR piemērošanas dienas līdz 2018. gada 31. augustam, DVI ir saņēmusi:

• 880 sūdzības un iesniegumus par nelikumīgām darbībām ar fiziskas

personas datiem;

• 464 informatīvus jautājumus par personas datu apstrādes atbilstību

normatīvajam regulējumam;

• 11 uzziņas pieprasījumus;
• 20 personas datu aizsardzības pārkāpuma paziņojumus;
• 300 paziņojumus par personas datu aizsardzības speciālista iecelšanu;

Ņemot vērā to, ka 2017.gadā ietvaros DVI ir veikusi 927 pārbaudes, kas jau ir bijis par 55% vairāk, salīdzinot ar 2016. gadu[2], var sagaidīt, ka 2018. gadā pārbaužu skaits būs vēl lielāks.

Realizējot politiku konsultē vispirms, no VDAR pirmās piemērošanas dienas DVI pārsvarā ir aktīvi iesaistījusies VDAR izpratnes veidošanā un skaidrojumu sniegšanā komersantiem, privātpersonām un publiskām iestādēm. Tādēļ pagaidām Latvijā nav piemēroti sodi sakarā ar VDAR pārkāpumiem.

Arī Eiropas Savienībā kopumā ir pieaugusi tendence iedzīvotājiem vairāk aizdomāties par savu personas datu drošību un tiesībām tās aizsargāt. 2019. gada 25. janvārī tika publicēts[3] Eiropas Komisijas priekšsēdētāja vietnieka Timmermansa, priekšsēdētāja vietnieka Ansipa, komisāru Jourovas un Gabrielas kopīgais paziņojums, kurā norādīts, ka no VDAR spēkā stāšanās dienas Eiropas Savienības dalībvalstu datu aizsardzības iestādes ir saņēmušas vairāk nekā 95 000 sūdzību no iedzīvotājiem. Visvairāk sūdzību tika iesniegts sakarā ar datu apstrādi telemārketingā, reklāmas e-pastiem un video novērošanu. Savukārt vairāk nekā 41 000 paziņojumi tika iesniegti sakarā ar notikušo personas datu aizsardzības pārkāpumu, par kuru ir jāziņo attiecīgai nacionālai datu aizsardzības iestādei 72 stundu laikā no brīža, kad pārkāpums kļuvis zināms.

Pretēji Latvijas pieredzei, Eiropas Savienības valstu datu aizsardzības iestādes jau rudenī sāka izdot pirmos lēmumus par datu aizsardzības pārkāpumiem. Viens no pirmajiem sodiem EUR 4800,- apmērā tika piemērots Austrijā kādam uzņēmumam, kurš uzstādīja savas videokameras tādējādi, ka to redzes leņķis ietvēra arī ietvi, tātad, pārkāpjot VDAR prasības, tika nofilmēta publiskā telpa.[4] 2018. gada oktobrī Portugāles datu aizsardzības iestāde piemēroja kādai slimnīcai Lisabonā sodu kopumā EUR 400 000,- apmērā par trim VDAR pārkāpumiem, konstatējot to, ka pacientu informācija bija pieejama neierobežotam cilvēku lokam un netika ievēroti apstrādes pamatprincipi, ka netika piemēroti tehniskie organizatoriski pasākumi, lai nepieļautu neautorizētu pieeju personas datiem, kā arī, konstatējot nespēju nodrošināt ārstēšanās sistēmu un pakalpojumu nepārtrauktu konfidencialitāti, integritāti, pieejamību un noturību. [5]

Lielbritānijas datu aizsardzības iestāde – Information Commisioner’s Office, kopš VDAR piemērošanas dienas ir piemērojusi jau 27 naudas sodus [6], savukārt līdz šim vislielākais sods tika piemērots Francijā: 2019. gada 21. janvārī Francijas datu aizsardzības iestāde, izskatot divu asociāciju sūdzības (kas tika saņemtas jau pirmajā VDAR piemērošanas dienā - 2018. gada 25. maijā), piemēroja GOOGLE LLC sodu vairāk nekā 50 miljonu eiro apmērā par personas datu apstrādes pārredzamības principa nenodrošināšanu un neatbilstošu datu subjekta piekrišanu attiecībā uz personalizētu komerciālu paziņojumu saņemšanu.[7]

Tomēr nevar uzskatīt, ka datu aizsardzības iestādes pārbauda un soda tikai lielus uzņēmumus, un, tā kā Latvijā nav tāda giganta kā GOOGLE, tad DVI neveiks vietējo uzņēmumu atbilstību VDAR prasībām. Kā liecina pēdējā informācija, Latvijā jau ir uzsāktas vairāk nekā 30 administratīvā pārkāpuma lietas,^[8] un ir jāņem vērā, tas, ka jo lielāks ir uzņēmums un tā apstrādāto personas datu apjoms, jo lielāks var būt kaitējums un sekas no personas datu apstrādes aizsardzības pārkāpumiem. Kā parāda pētījumu kompānijas SKDS aptaujas dati, pilnīgu juridisko atbilstību GDPR prasībām ir nodrošinājuši tikai 39,3% uzņēmēju[9], kas liecina par vai nu par priekšstatu, ka VDAR prasības var nepiemērot un nekādas sankcijas tam nesekos, vai nu par nepietiekamu izpratni par VDAR, tās nozīmi un mērķiem.  Naudas sods nav vienīgās sekas, ar kurām ir jārēķinās uzņēmumam: piemēram, tādam uzņēmumam kā GOOGLE, kura apgrozījums ir mērāms desmitiem miljardiem eiro, diez vai būs grūtības nomaksāt piemēroto sodu, tomēr šāda negatīvā slava jebkurā gadījumā ir smags trieciens pa uzņēmuma reputāciju, klientu un sadarbības partneru uzticības līmeni.

Ja uzņēmums līdz šim vēl nav sakārtojis savus iekšējos dokumentus un procesus saskaņā ar VDAR prasībām, tad tas ir jādara nekavējoties, pirms tika zaudēta sadarbība ar klientu vai partneri, DVI ir uzsākusi administratīvo pārbaudi un uzlikusi sodu, vai pirms uzņēmums ir saņēmis pieprasījumu no datu subjekta vai ir notikusi neautorizēta piekļuve personas datiem.

[1] https://www.lps.lv/uploads/docs_module/Daiga_Avdejanova_VDPR_regulas_ieviesana.pdf

[3] http://europa.eu/rapid/press-release_STATEMENT-19-662_lv.htm

[4] https://digital.freshfields.com/post/102f39w/first-gdpr-fine-issued-by-austrian-data-protection-regulator

[5] https://iapp.org/news/a/first-gdpr-fine-in-portugal-issued-against-hospital-for-three-violations/

[6] https://ico.org.uk/action-weve-taken/enforcement/

[7] https://www.dvi.gov.lv/lv/zinas/francijas-datu-aizsardzibas-uzraudzibas-iestade-cnil-uzliek-google-llc-naudas-sodu-50-miljonu-eiro-apmera/

[8] http://www.la.lv/situacija-ar-datu-regulas-ieviesanu-latvija-ir-kritiska-uznemeji-saks-sanemt-sodus

[9] turpat