Trešdaļmiljons par datu pārkāpumiem 1
Raivis Šveicars, “Latvijas Avīze”, AS “Latvijas Mediji”
Divu gadu laikā Datu valsts inspekcija fiziskas un juridiskas personas Latvijā sodījusi ar kopumā 346 441,98 eiro naudas sodiem par Vispārīgās datu aizsardzības regulas (VDAR) pārkāpumiem. Trim uzņēmumiem piespriestie lielākie naudas sodi veido 91% no divu gadu laikā visu uzlikto sodu kopsummas. Rājieni un aicinājumi kļūdas labot izteikti vēl vairākiem simtiem. Daži no lēmumiem pārsūdzēti, taču lielākā daļa jau stājusies spēkā.
Par pārkāpumiem ziņojuši spāņi
Lielākais sods divu gadu laikā piemērots e-komercijas uzņēmumam SIA “Shopping Service”, kam 2020. gada sākumā Datu valsts inspekcija (DVI) uzlika 150 000 eiro naudas sodu par prettiesiskām darbībām ar fiziskas personas datiem. Interesanti, ka sūdzību DVI saņēmusi no Spānijas datu aizsardzības iestādes, jo pārkāpumu iestāde atklājusi “Shopping Service” Spānijas vietnē. Iestāde interneta vietnē veikusi uztura bagātinātāja kontrolpirkumu, atklājot vairākus rupjus pārkāpumus, par ko ziņojusi DVI, kas attiecīgi sākusi savu izmeklēšanu. Šobrīd interneta vietne vairs neeksistē, jo nepastāv arī pats SIA “Shopping Service” – Krievijas pilsonim Aleksandram Kazačkovam piederošais uzņēmums kļuvis maksātnespējīgs. Pēdējoreiz uzņēmums gada pārskatu iesniedzis 2017. gadā, kad tas apgrozījis 12,4 miljonus eiro, bet vēl gadu iepriekš – 23,5 miljonus.
Uzņēmuma maksātnespējas administratore centās panākt soda atcelšanu, taču nesekmīgi. Vispārīgās datu aizsardzības regulas (VDAR) vēsta, ka uzņēmumiem var piemērot sodu, kas ir līdz 20 miljoniem eiro vai līdz 4% no uzņēmuma apgrozījuma, tāpēc 150 000 eiro sods vēl uzskatāms par samērā maigu, jo tas ir mazāks pat par 1% no apgrozījuma. DVI soda piemērošanu pamatoja ar to, ka “Shopping Service” pakalpojumus sniedzis vairākas valstīs, kas nozīmē, ka pārkāpumi skāruši ļoti lielu skaitu cilvēku dažādās ES valstīs.
Tiesa naudas sodus var atcelt
Ievērojamu sodu pērn saņēma arī labi zināmais e-komercijas uzņēmums SIA “SS”. Tajā ikviens interesents var ievietot pārdošanas sludinājumus. Pērn maijā DVI uzņēmumu sodīja ar 100 000 eiro naudas sodu par nekorektu personas datu apstrādi, pieprasot personu apliecinoša dokumenta kopiju.
Pēc publiski pieejamā DVI lēmuma var spriest, ka piemērotais naudas sods ir mazs, kaut gan DVI pārkāpumu klasificējusi kā vidēji smagu. Pagājušā gada beigās Rīgas pilsētas Vidzemes priekšpilsētas tiesa gan DVI lēmumu atcēla, jo DVI, piemērojot uzņēmumam sodu, nav noskaidrojusi apstākļus attiecībā uz datumiem, kad SIA “SS” pārtrauca glabāt personu datus.
Tiesa arī konstatēja, ka DVI nevienā no lietā esošajiem pieprasījumiem nav lūgusi uzņēmumam sniegt informāciju par to, vai uzņēmums joprojām turpina personu apliecinošu dokumentu kopiju iegūšanu.
Inspekcijas pārstāve Agita Silniece “Latvijas Avīzei” sacīja, ka DVI nepiekrīt tiesai un uzskata, ka tā nav izvērtējusi kompānijas veikto personas datu apstrādi pēc būtības. Iesniegta apelācija.
2021. gadu SIA “SS” uzņēmums noslēdza ar 8,88 miljonu eiro apgrozījumu un 4,5 miljonu peļņu. Uzņēmums pieder Jurim Līnim un Andrejam Kivackim.
Tāpat 65 000 eiro sodu pērn saņēma SIA “Lursoft IT” par prettiesisku personas datu apstrādi, publiskojot tīmekļa vietnē personas datus saturošus dokumentus. DVI konstatēja, ka “Lursoft”, neievērojot Maksātnespējas likumā noteikto termiņu, savā tīmekļa vietnē esošajā Maksātnespējas reģistra datubāzē publicēja informāciju par vēsturiskajiem fiziskās personas maksātnespējas procesiem ilgāk nekā vienu gadu pēc ieraksta par fiziskās personas maksātnespējas procesa izbeigšanu izdarīšanas dienas. Respektīvi, tīmekļa vietnē informācija par vēsturiskajiem fiziskās personas maksātnespējas procesiem bija pieejama piecus gadus. “Lursoft” lēmumu pārsūdzēja tiesā, taču tiesa iesniegumu noraidīja.
“”Lursoft” normatīvo aktu interpretācija atšķiras no DVI interpretācijas. Īpaši interpretācijas atšķiras jautājumā par to, vai “Lursoft” ir tiesības nodrošināt Noziedzīgu iegūtu līdzekļu legalizācijas novēršanas likuma subjektiem pakalpojumus, kas palīdz veikt klientu padziļinātu izpēti un kredītrisku izvērtēšanu,” skaidroja “Lursoft” valdes locekle Daiga Kiopa. Viņa uzsvēra, ka uzņēmums lietas izskatīšanas gaitā vairākkārt prasīja DVI sniegt konsultācijas un ieteikumus, bet uzņēmums tos tā arī nesaņēma.
“Lursoft” pirms gada publicētajā bloga ierakstā minēts, ka DVI tā laika direktores Daigas Avdejanovas sniegtajā uzziņā bija norādīts, ka aizliegums publiskot datus par fizisku personu maksātnespējas procesiem gadu pēc to izbeigšanas attiecināms uz Uzņēmumu reģistru. Tādēļ uzņēmumam neesot saprotams, kāpēc DVI kā iestādes pozīcija pēc pāris gadiem šajā jautājumā bijusi diametrāli pretēja iepriekš uzziņā norādītajam.
Var izteikt arī rājienu
Trīs lielākie naudas sodi veido 91% no visu divu gadu laikā piespriesto sodu kopsummas. Pārējie uzliktie sodi par VDAR pārkāpumiem jau ir krietni mazāki. Piemēram, 15 000 eiro sodu 2020. gada beigās saņēma igauņiem piederošais SIA “HH Invest”, kas tolaik pārvaldīja pazīstamo internetveikalu “Xnet.lv”.
Jau pēc DVI lēmuma “Xnet” pārņēma lietuviešu SIA “Pigu Latvia” (pieder cits internetveikals “220.lv”), kura pārdošanas vadītājs Kārlis Ozols sacīja, ka viņa rīcībā nav informācijas par tā laika notikumiem ap “Xnet”, tāpēc nevar tos komentēt. Viņš gan uzsvēra, ka “220.lv” pārvaldnieks lielu uzmanību pievērš personas datu aizsardzībai un kiberdrošībai. “Grupa ir izstrādājusi un apstiprinājusi gan vispārējo personas datu apstrādes politiku, gan atsevišķu personas datu subjektu datu apstrādes procesus un politikas. Tāpat arī grupa šobrīd ievieš papildu informācijas drošības pārvaldības sistēmu, kas ir jau apstiprināta grupas tiešsaistes platformā “Pigu.lt” Lietuvā, lai iegūtu attiecīgo ISO sertifikātu.”
DVI pārstāve Agita Silniece, salīdzinot Latvijas un citu ES valstu uzņēmumu pārkāpumus un spēju pielāgoties VDAR, sacīja, ka Latvijas uzņēmumi saskaras ar līdzīgiem izaicinājumiem un problēmām: “Gan pārkāpumi, gan piemēri pozitīvu risinājumu atrašanā Latvijā un citur Eiropas Savienībā pēc būtības ievērojami neatšķiras.”
Uzņēmumi Latvijā visvairāk grēkojot ar atklātības trūkumu saziņā ar iedzīvotājiem attiecībā uz plānotajām darbībām ar personas datiem. Atbilstoši Datu regulai ir noteikts daudzums informācijas, kas skaidrā un saprotamā veidā ir jāsniedz uzņēmējam tām personām, kuru personas datus tas plāno apstrādāt. Bieži vien uzņēmumi šādu informāciju nesniedz vai sniedz ļoti sarežģītā valodā un lietotāji nesaprot veiktās apstrādes būtību.
Datu regula paredz vairākas soda iespējas, un administratīvais sods ir tikai viens no tiem. “Primārie uzdevumi ir norādīt pārzinim par konstatētajām nepilnībām un sniegt ierosinājumus to novēršanai. Soda piemērošana tiek izvēlēta kā galējais līdzeklis par smagiem regulas pārkāpumiem,” stāsta Silniece.
