Lai vērstu sabiedrības uzmanību ikgadējai Eiropas datu aizsardzības dienai, kas tiek atzīmēta jau četrpadsmito gadu Eiropā, ASV un Kanādā, Datu valsts inspekcija ir sagatavojusi informāciju sabiedrībai par 2019. gadā paveikto.
Ikviens kopš 2018. gada 25 .maija ir dzirdējis par izmaiņām datu aizsardzībā - Vispārīgās datu aizsardzības regulas tieša piemērošana visās Eiropas Savienības dalībvalstīs. Vispārīgās datu aizsardzības regulas tapšanas un iedzīvināšanas procesā ir ieguldīts ievērojams darbs pie datu aizsardzības sistēmas reformas, kas ietekmējās no mūsdienu tehnoloģiju attīstības – digitalizācija, liels datu apjoms, kas var tikt apstrādāts un glabāts jebkurā pasaules vietā.
Ir pagājis pusotrs gads kopš Vispārīgās datu aizsardzības regulas tiešas piemērošanas uzsākšanas un izmaiņām normatīvajos aktos nacionālajā līmenī, bet saņemto iesniegumu, vēstuļu, jautājumu un darba apjoms nav mazinājies, jo, ņemot vērā starptautisko un nacionālo normatīvo aktu nosacījumus attiecībā pret iepriekšējo regulējumu personas datu apstrādes un aizsardzības jautājumos, Datu valsts inspekcijas saņemto iesniegumu saturs un uzsāktās pārbaudes ir kļuvušas komplicētākas.
Datu subjekta sūdzības
2019. gadā Datu valsts inspekcija saņēma un izskatīja 1236 sūdzības. Sūdzības Datu valsts inspekcija visbiežāk saņēma par nepamatotu komerciālo paziņojumu saņemšanu, datu nodošanu trešajām personām, publisko iestāžu amatpersonām, kuras bez tiesiska pamata ir skatījušas personas datus datu bāzē, neatbilstošas videonovērošanas veikšanu, kredītiestāžu veikto personas datu apstrādi un personas datu apstrādi sociālajās tīklošanas vietnēs, kas veiktas privātajām vajadzībām, bet satur citas personas datus.
Pārkāpumu paziņojumi
Viena no galvenajām izmaiņām, ko paredz Vispārīgā datu aizsardzības regulas ir pārziņa pienākumu personas datu aizsardzības pārkāpuma gadījumā bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, paziņo par pārkāpumu uzraudzības iestādei, izņemot gadījumus, kad ir maz ticams, ka personas datu aizsardzības pārkāpums varētu radīt risku fizisku personu tiesībām un brīvībām. Datu valsts inspekcijā 2019. gadā ir saņemti 107 datu aizsardzības pārkāpumu paziņojumi.
Pārbaudes un konstatētie pārkāpumi
Datu valsts inspekcijas amatpersonas uzsāka 109 pārbaudes lietas par iespējams nelikumīgām darbībām ar fiziskas personas datiem, neievērojot normatīvajos aktos noteiktās prasības. Izvērtējot saņemtās sūdzības, Datu valsts inspekcijas amatpersonas vispirms ņem vērā, vai sūdzības saturs atbilst Vispārīgās datu aizsardzības regulas tvērumam - personas datu apstrāde veikta automatizētiem līdzekļiem vai ir konstatējama tādu personas datu apstrāde, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem, kā arī to, vai datu subjekts pirms vēršanās Datu valsts inspekcijā ir vērsies pie pārziņa. Nereti privātpersonas sūdzas par drauga, kolēģa, kaimiņa veikto personas datu apstrādi privātām un mājsaimniecības vajadzībām, kas pēc būtības ir jārisina savstarpēji vienojoties vai tiesā civiltiesiskā kārtībā un šāda personas datu apstrāde uzskatāma par izņēmumu no Vispārīgās datu aizsardzības regulas tvēruma.
Piemērotie naudas sodi un citi korektīvie līdzekļi
Gadījumos, ja tiek konstatētas nelikumīgas darbības ar fiziskas personas datiem, tiek ņemti vērā Vispārīgās datu aizsardzības regulas 83.pantā noteiktie nosacījumi, piemēram, pārkāpuma būtība, smagums un ilgums, ņemot vērā attiecīgo datu apstrādes veidu, apmēru vai nolūku, ietekmēto personu skaitu un tiem nodarītā kaitējuma apmēru. Viens no svarīgākajiem aspektiem, kam Datu valsts inspekcija pievērš uzmanību ir pārziņa sadarbība ar uzraudzības iestādi (Latvijā – Datu valsts inspekcija), lai novērstu pārkāpumu, kā arī to, vai pārkāpums ir izdarīts ar vai bez iepriekšēja nodoma. Par konstatētajiem pārkāpumiem 2019. gadā Datu valsts inspekcija naudas sodu piemēroja 9 gadījumos intervālā no 300,00 – 150 000,00 euro apmērā. Iekasētais naudas sodu apmērs 2019.gadā ir 23 694 euro.
Ievērojot Vispārīgajā datu aizsardzības regulā noteiktās sankcijas, piemērojamais naudas sods var būt līdz 20 miljoniem euro vai 4% no iepriekšējā gada apgrozījuma, tā, piemēram, citās Eiropas Savienības dalībvalstīs piemēroto naudas sodu apmērs svārstās no 90,00 līdz 204,6 miljoniem euro. Saprotams, ka šie finanšu līdzekļi nāktu no uzņēmēju personīgā budžeta, līdz ar to Datu valsts inspekcija velta lielas pūles un strādā ar uzņēmējiem, lai nodrošinātu vienu no galvenajiem Vispārīgās datu aizsardzības regulas mērķiem – stiprināt fizisko personu tiesības uz personas datu aizsardzību, tādējādi Datu valsts inspekcijas mērķis ir panākt uzņēmuma atbilstību Vispārīgās datu aizsardzības regulas prasībām.
Vienlaikus vēršam uzmanību, ka Datu valsts inspekcijai ir pilnvaras uzlikt pagaidu vai galīgu apstrādes ierobežojumu, tostarp aizliegtu vispār veikt personas datu apstrādi, ja netiek ņemti vērā Vispārīgajā datu aizsardzības regulā noteiktie nosacījumi.
"Konsultē vispirms" princips
Ņemot vērā to, ka Vispārīgās datu aizsardzības regulas tieša piemērošana uzsākta 2018. gada 25. maijā, Datu valsts inspekcija 2019. gadā aktīvi turpināja darbu ar uzņēmējiem, lai kopīgi novērtu konstatētās neatbilstības Vispārīgās datu aizsardzības regulas noteikumiem, kuras tika kvalificētas kā maznozīmīgas. Datu valsts inspekcija 194 gadījumos izmantoja Vispārīgajā datu aizsardzības regulā noteiktās korektīvās pilnvaras, lai aizsargātu personas tiesības uz drošu datu apstrādi.
Lai veicinātu informētību un konsultētu uzņēmumus par personas datu apstrādes atbilstības nodrošināšanu uzņēmumā, Datu valsts inspekcija 2018.gada nogalē uzsāka īstenot Eiropas Savienības projektu "Vispārīgā datu aizsardzības regula – iespējas un atbildība mazajiem un vidējiem uzņēmumiem (MVU); tiesības un riski nepilngadīgām personām" (turpmāk – DPSME) Eiropas Komisijas Tieslietu ģenerāldirektorāta finanšu programmas "Tiesības, vienlīdzība un pilsonība" 2014.–2020. gadam ietvaros. 2019.gadā tika organizēti 10 semināri visos Latvijas reģionos (Rīgā, Jelgavā, Cēsīs, Jēkabpilī, Ventspilī, Valmierā, Daugavpilī, Liepājā, Ludzā), un gala konference Rīgā, 26.novembrī, kurā kopā ar Latvijas lektoriem pieredzē dalījās arī lektori no ārvalstīm. Šīs fāzes ietvaros tika izstrādāta arī rekomendācija – Ceļvedis datu apstrādē maziem un vidējiem uzņēmējiem (https://www.dvi.gov.lv/lv/zinas/rekomendacija-celvedis-datu-apstrade-maziem-un-videjiem-uznemejiem/ )
Neskaidrie jautājumi par datu apstrādi un aizsardzību
Ja mēs atskatāmies uz 2018. gadu un salīdzinām ar 2019. gadu, viennozīmīgi var norādīt, ka Latvijas sabiedrība ar vien vairāk apzinās un izprot savas iespējas un atbildību datu aizsardzības jomā. Ja 2018.gadā viens no izplatītākajiem jautājumiem, kurus Datu valsts inspekcija saņēma, bija, kas ir personas dati un kāds labumu sabiedrībai dod Vispārīgā datu aizsardzības regula, tad 2019.gadā saņemtie jautājumi bija specifiski par konkrētām nozarēm un datu apstrādes jomām - nebanku aizdevēju veiktajām apstrādes darbībām; namu apsaimniekotāju rīcību, sniedzot vai gluži pretēji nesniedzot datus; videonovērošana un ar tās atbilstību saistītie jautājumi; telefoniski un elektroniski saņemti nevēlami komerciāli paziņojumi, daudz jautājumu tika saņemts arī par dažādu uzņēmumu privātuma politikām un to atbilstību personas datu aizsardzības normatīvajam ietvaram.
Izplatītākais konsultācijas veids 2019. gada laikā ir telefonisku vai citādi attālinātu jautājumu uzdošana - Datu valsts inspekcija tam paredzētajās telefonkonsultāciju stundās (pašlaik pirmdienās un trešdienās no 14.30 – 16:30) atbildēja uz vairāk kā 1250 telefona zvaniem, sagatavojusi atbildes uz vairāk kā 800 konsultatīvajām vēstulēm (šajā skaitā neietilpst sūdzības un iesniegumi), savukārt klātienē sniegtas 63 konsultācijas.
2019. gadā Datu valsts inspekcijas amatpersonas sniedza 17 uzziņas privātpersonām Administratīvā procesa likuma noteiktajā kārtībā.
Lai padarītu sabiedrībai pieejamāku informācijas saņemšanu, Datu valsts inspekcija 2020.gada sākumā veica strukturālās izmaiņas un izveidoja Prevencijas nodaļu. Šī nodaļa savu darbu organizēs, ņemot vērā Datu valsts inspekcijas 2019.gadā apkopoto informāciju par personas datu aizsardzību konkrētās nozarēs, kā arī iedzīvotāju paustajām bažām par datu aizsardzības procesiem uzņēmumos, uzņēmumu grupās. Nodaļas darbības fokuss būs saistīts ar tās jomas uzņēmumu pārbaudi, par kuru 2019. gadā saņemts vairāk sūdzību un kuru rīcība Datu valsts inspekcijai ir bijusi vairāk jāskaidro sabiedrībai, atbildot un konsultējot. Pārbaužu rezultātā Prevencijas nodaļa vērtēs esošo datu apstrādes praksi nozarē, pārkāpumus (ja tādi tiks konstatēti) un palīdzēs uzņēmējiem nodrošināt personas datu aizsardzības procesu atbilstību normatīvajam ietvaram un līdzīgiem principiem visā datu apstrādes jomā.
Pieņemto lēmumu apstrīdēšana Datu valsts inspekcijas direktoram
Datu valsts inspekcijas amatpersonas 2019. gadā Latvijas Administratīvo pārkāpumu kodeksa vai Administratīvās procesa likuma ietvaros pieņēma 123 lēmumus, tai skaitā par atteikumu iekļaut personas datu aizsardzības speciālistu sarakstā, no tiem 16 (jeb 13%) tika apstrīdēti iestādes direktoram.
Nacionālā un starptautiskā sadarbība
Vieni no Datu valsts inspekcijas sadarbības partneriem komunikācijā ar sabiedrību ir masu informācijas līdzekļi nacionālā un starptautiskā līmenī. 2019. gadā kopumā tika sniegtas 89 intervijas klātienē vai attālināti par iestādes kompetencē esošajiem jautājumiem, skaidrojot iespējamos risinājumus par konkrētām situācijām vai sniedzot vispārīgu informāciju par personas datu apstrādes un aizsardzības jautājumiem.
Attiecībā uz sadarbību ar politikas ieviesējiem Latvijā Datu valsts inspekcija ir sniegusi 62 viedokļus par tiesību aktu projektiem, lai nodrošinātu nacionālo normatīvo aktu atbilstību Vispārīgās datu aizsardzības regulas prasībām.
Datu valsts inspekcija atzinīgi novērtē nozaru asociāciju sadarbību ar iestādi un ieguldījumu, sakārtojot neskaidros ar personas datu apstrādi un aizsardzību saistītos jautājumus, piemēram, "Latvijas Informācijas un komunikācijas tehnoloģiju asociācija" konsultējoties ar Datu valsts inspekciju izstrādāja "LIKTA vadlīnijas fizisko personu datu apstrādē", Latvijas Sertificēto personas datu aizsardzības speciālistu asociācija izstrādāja informatīvu materiālu "Bērnu dati bērnudārzos un skolās".
Inspekcija kā viens no partneriem piedalās arī Eiropas Komisijas pamatprogrammas pētniecībai un inovācijai "Apvārsnis 2020" ("Horizon 2020") 2016.–2017. gada darba programmas projekta Nr. 786741 "Mākoņplatforama mikrouzņēmumiem VDAR atbilstības nodrošināšanai" ("GDPR Compliance Cloud Platform for Micro Enterprises") (akronīms – SMOOTH) īstenošanā. (https://www.dvi.gov.lv/lv/smooth-jaunumi/par-projektu-h2020-ds-08-2017-smooth-nr-786741/ ;https://www.dvi.gov.lv/lv/smooth/; https://www.dvi.gov.lv/lv/1-lapa/par-smooth-projekta-makonplatformas-izstradi/ ).
Tā gaitā tiek izstrādāta SMOOTH mākoņa platforma, kas ietver risinājumus, kas ļaus veikt automātisku ar privātuma aizsardzību saistītu teksta dokumentu analīzi, veikt fizisko personu datu glabātavas analīzi, un tml. Papildus tam projekts paredz, ka platformas lietotājam būs iespēja izmantot viegli lasāmus materiālus par Vispārīgās datu aizsardzības regulas piemērošanas jautājumiem piemērotu tieši šai mērķauditorijai, kuru izstrādē (piemēram, Interaktīvā rokasgrāmata) piedalās arī Inspekcija.
Datu valsts inspekcija pastāvīgi piedalās Eiropas Datu aizsardzības kolēģijas plenārsēdēs, kā arī to apakšgrupu darbā. Papildus šai sadarbībai, Datu valsts inspekcija organizēja pieredzes apmaiņu ar Vācijas Reinzemes-Pfalcas iestādes Datu aizsardzības un informācijas brīvības jautājumos (Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz) iestādi. Vācijas kolēģa vizītes laikā notika apmaiņa ar iestāžu ar labo praksi un pieredzi personas datu aizsardzības jomā, apspriesti dažādi Regulas piemērošanas jautājumi, kā arī darba organizācijas procesi.
2019.gada otrajā pusē Datu valsts inspekcija uzņēma Moldovas datu aizsardzības iestādes pārstāvjus. Apmeklējuma ietvaros tika sniegta būtiskākā informācija par Datu valsts inspekcijas darbību un datu aizsardzības problemātiku. Veiksmīgās sadarbības rezultātā pagājušā gada nogalē Moldovā, Kišiņevā starp Latvijas Republikas Datu valsts inspekciju un Moldovas Republikas Nacionālo personas datu aizsardzības centru tika parakstīts savstarpējās sadarbības līgums.
Lai veicinātu konsekventu Regulas piemērošanu starp dalībvalstīm un veicinātu savstarpējo sadarbību pārbaužu lietu ietvaros, Eiropas Datu aizsardzības kolēģija ieviesa iekšējā lietvedības sistēmu (IMI) pārrobežu personas datu aizsardzības lietu izskatīšanai, lai nodrošinātu Regulas VII nodaļas noteikto uzdevumu realizācijai. 2019. gadā IMI sistēmā saņemts un izskatītas 1004 pārbaudes lietas, no kurām inspekcija iesaistījusies 61 pārbaudes lietā.
Kas sagaida 2020. gadā?
Atskatoties uz pagājušo – 2019. gadu, Datu valsts inspekcija 2020. gadā turpinās darbu pie iestādes kapacitātes stiprināšanas, lai nodrošinātu atbilstošu personas datu apstrādes uzraudzību un sabiedrības informēšanu par iespējām un riskiem datu aizsardzības jomā. 2020.gadam DVI kapacitātes stiprināšanai piešķirtas 5 (piecas) amata vietas un papildu finansējums 577 980 euro apmērā.
Datu valsts inspekcija 2019. gadā un turpmāk noteica uzraudzības prioritātes šādās jomās: videonovērošana (juridiskas personas veikta videonovērošanas bez informatīvajām zīmēm; videonovērošanas veikšana neatļautās telpās (ģērbtuves, labierīcības, dušas u.tml.)); datu subjektu tiesību ievērošana, gadījumā, ja ir pierādījumi tam, ka datu subjekts ir izmantojis tiesības un vērsies pie pārziņa, savukārt pārzinis nepilda vai nepilnīgi pilda Regulas noteiktos pienākumus; Datu valsts inspekcijas saskaņā ar Regulas 58.panta 2.punkta "a", "c" un "d" apakšpunktiem izdoto brīdinājumu izpilde.
Pašlaik ir sākusies nākamā DPSME projekta īstenošanas fāze, kuras gaitā plānots organizēt 10 seminārus nepilngadīgām personām vecumā no 13-17 gadiem dažādos Latvijas reģionos (https://www.dvi.gov.lv/lv/zinas/radosais-konkurss-jauniesiem-dati-ir-vertiba-sarga-tos/ ), kā arī - semināru noslēgumā organizēt jauniešiem konkursu. Tāpat paredzēts izdot pārskatāmu bukletu par jauniešiem svarīgākajiem datu aizsardzības jautājumiem, tostarp, datu aizsardzību sociālās tīklošanas vietnēs.
Datu valsts inspekcija arī 2020. gadā piedalīsies ikgadējā sarunu festivālā "LAMPA" par aktuālākajām tēmām personas datu aizsardzībā.
Saskaņā ar Fizisko personu datu apstrādes likuma 13.pantu Datu valsts inspekcijas darbības pārskats par 2019. gadu būs publicēts iestādes tīmekļvietnē līdz 2020. gada 1. martam.