Šī vietne izmanto sīkdatnes, lai sniegtu jums atsaucīgāku un personalizētu pakalpojumu. Izmantojot šo vietni, jūs piekrītat mūsu sīkdatņu izmantošanai. Lūdzu, izlasiet mūsu PRIVĀTUMA POLITIKU, lai iegūtu plašāku informāciju par mūsu izmantotajām sīkdatnēm un to dzēšanu vai bloķēšanu.
Viedoklis:

Kā 44 EUR vērts darījums var novest līdz 150 000 EUR lielam sodam?

27 jūlijs 2020

Publiskajā telpā nonākušais Datu valsts inspekcijas (DVI) 2019. gada 8. novembra lēmums (šobrīd gan tikai tā anonimizēts tulkojums angļu valodā) lietā Nr. L-2-4.3/4627, ar kuru piemērots līdz šim lielākais administratīvais sods par datu apstrādes pārkāpumiem Latvijā reģistrētam e-komercijas uzņēmumam, atspoguļo jau sen zināmo - Vispārīgās datu aizsardzības regulas (VDAR) centrā ir fiziskā persona. Un vairums personu mūsdienu pasaulē parasti grib zināt, kas apstrādās viņu datus, kā ar šīm personām sazināties, kādi ir to personas datu apstrādes nolūki un cik ilgi to dati tiks glabāti. Tieši šīs informācijas nesniegšana vai nepilnīga sniegšana ir bijusi pamats soda 150 000 EUR apmērā piemērošanai konkrētajā gadījumā. Savukārt persona, kas bija iesniegusi sūdzību, bija iegādājusies preci nieka 44 EUR vērtībā. 

Publiskajā telpā nonākušais Datu valsts inspekcijas (DVI) 2019. gada 8. novembra lēmums (šobrīd gan tikai tā anonimizēts tulkojums angļu valodā) lietā Nr. L-2-4.3/4627, ar kuru piemērots līdz šim lielākais administratīvais sods par datu apstrādes pārkāpumiem Latvijā reģistrētam e-komercijas uzņēmumam, atspoguļo jau sen zināmo - Vispārīgās datu aizsardzības regulas (VDAR) centrā ir fiziskā persona. Un vairums personu mūsdienu pasaulē parasti grib zināt, kas apstrādās viņu datus, kā ar šīm personām sazināties, kādi ir to personas datu apstrādes nolūki un cik ilgi to dati tiks glabāti. Tieši šīs informācijas nesniegšana vai nepilnīga sniegšana ir bijusi pamats soda 150 000 EUR apmērā piemērošanai konkrētajā gadījumā. Savukārt persona, kas bija iesniegusi sūdzību, bija iegādājusies preci nieka 44 EUR vērtībā. 

Kam šajā gadījumā būtiski pievērst uzmanību? Lemjot par administratīvā soda apmēru, DVI saskaņā ar VDAR 83. panta otro daļu ir ņēmusi vērā tajā skaitā, bet ne tikai:

  • pārkāpuma būtību, smagumu un ilgumu (uzņēmums, veicot tirdzniecību vairākos interneta veikalos, apstrādāja personu datus, nesniedzot datu subjektiem VDAR 13. pantā noteikto informāciju un tādā veidā neievērojot pārredzamības un pārskatatbildības principus); 
  • to, vai pārkāpums izdarīts tīši vai neuzmanības dēļ (DVI atzina, ka pārkāpums ir bijis tīšs);
  • ietekmēto datu subjektu skaitu (lai gan precīzu subjektu skaitu noteikt nav bijis iespējams, DVI atzina, ka, ņemot vērā uzņēmuma pārvaldīto interneta veikalu skaitu un uzņēmuma apgrozījumu 2017.gadā, kas bija nepilni 12,5 miljoni eiro, ietekmēto subjektu skaits ir uzskatāms par nozīmīgu);
  • jebkādus attiecīgus pārziņa vai apstrādātāja iepriekšējus pārkāpumus (uzņēmums nebija iepriekš sodīts par līdzīgiem pārkāpumiem);
  • sadarbības pakāpi ar uzraudzības iestādi (uzņēmums procesa laikā bija sniedzis pretrunīgu informāciju).

Vēlreiz atgādinām, ka fiziskām personām vajadzētu būt pārredzamam tam, ka viņu personas datus vāc, izmanto, aplūko vai citādi apstrādā, un tam, kādā apjomā personas dati tiek vai tiks apstrādāti. VDAR 13. pants paredz, ka, ja personas datus vāc no datu subjekta, pārzinis personas datu iegūšanas laikā datu subjektam sniedz visu šādu informāciju: 

  • kas ir pārzinis (uzņēmuma kontaktinformācija un attiecīgā gadījumā arī datu aizsardzības speciālista kontaktinformācija);
  • kāpēc jūsu uzņēmums/organizācija izmantos to personas datus (nolūki);
  • attiecīgo personas datu kategorijas;
  • datu apstrādes juridiskais pamatojums;
  • cik ilgi tiks glabāti dati;
  • personas datu saņēmēji vai saņēmēju kategorijas, ja tādi ir;
  • tas, vai attiecīgo personu dati tiks nosūtīti saņēmējam ārpus ES;
  • ka attiecīgajām personām ir tiesības iegūt datu kopiju (tiesības piekļūt personas datiem) un citas pamattiesības (labošana vai dzēšana, vai apstrādes ierobežošana attiecībā uz datu subjektu, vai tiesības iebilst pret apstrādi, kā arī tiesības uz datu pārnesamību);
  • šo personu tiesības iesniegt sūdzību datu aizsardzības iestādei;
  • šo personu tiesības jebkurā laikā atsaukt savu piekrišanu;
  • attiecīgā gadījumā — tas, vai pastāv automatizēta lēmumu pieņemšana, un tajā ietvertā loģika, kā arī šādu darbību sekas.

Turklāt, kā tas arī uzsvērts DVI lēmumā un VDAR preambulas 39. apsvērumā, pārredzamības principa pamatā ir prasība, ka visa informācija un saziņa, kas saistīta ar minēto personas datu apstrādi, ir viegli pieejama un viegli saprotama un ka ir jāizmanto skaidra un vienkārša valoda.