Kontekstā ar plānoto Vispārīgās datu aizsardzības regulas 2016/679 (“Regula”) piemērošanu no 2018. gada maija aktuāls ir kļuvis jautājums par lielajiem sodiem. Regula nosaka ievērojami lielākus maksimālā soda apmērus, turklāt tajā ir definēti konkrēti kritēriji, kurus uzraugošajām iestādēm būs jāņem vērā, lemjot par administratīvā soda piemērošanu vai tā apmēru. Šajā rakstā aplūkojam vairākus Regulā noteiktos kritērijus, kā arī 29. panta darba grupas1 izstrādātās vadlīnijas par administratīvo sodu piemērošanu. Kritērijus administratīvo sodu piemērošanā ir svarīgi ņemt vērā, gan izvērtējot uzņēmuma riskus datu aizsardzības jomā, gan lemjot par ieviešamajiem datu aizsardzības pasākumiem.
Salīdzinot ar Direktīvu 95/46/EK, Regula liek stingrāku pamatu konsekventai administratīvo sodu noteikšanai, jo Regula ir tieši piemērojama. Saskaņā ar Regulu uzraugošajai iestādei ir jānodrošina, lai katrā konkrētā gadījumā administratīvo sodu piemērošana būtu iedarbīga, samērīga un atturoša.
2 Proti, piemērotajam sodam ir jābūt samērīgam gan ar pārkāpuma būtību un smagumu, gan tā sekām.
3
Pārkāpuma būtība, smagums un ilgums
Saskaņā ar Regulas 83. panta 2. punkta (a) apakšpunktu, lemjot par administratīvā soda piemērošanu vai tā apmēru, ir jāvērtē pārkāpuma būtība, smagums un ilgums, ņemot vērā attiecīgo datu apstrādes veidu, apmēru vai nolūku, kā arī ietekmēto datu subjektu skaitu un tiem nodarītā kaitējuma apmēru.
Atkarībā no izdarītā pārkāpuma Regula nosaka divus dažādus maksimālā soda apmērus:
- 10 miljoni eiro vai 2% no gada globālā apgrozījuma;
- 20 miljoni eiro vai 4% no gada globālā apgrozījuma.
Dažādu maksimālā soda apmēru noteikšana var norādīt uz to, ka atsevišķu Regulas noteikumu pārkāpums tiek uzskatīts par relatīvi būtiskāku nekā citu Regulas noteikumu pārkāpums. Tomēr konkrētā pārkāpuma izvērtēšanā tiks ņemti vērā visi lietas apstākļi, tādējādi konkrēti sodu apmēri būs atkarīgi no lietas apstākļiem.
Izvērtējot pārkāpuma smagumu, tiks ņemts vērā arī iesaistīto datu subjektu skaits. Tas ļaus konstatēt, vai pārkāpums ir radies atsevišķa notikuma rezultātā vai arī tā ir sistēmiska datu aizsardzības prasību neievērošana.
Tīšs vai aiz neuzmanības izdarīts pārkāpums
Saskaņā ar darba grupas vadlīnijām uz tīšu pārkāpumu var norādīt nelikumīga datu apstrāde, ko tieši atļāvusi uzņēmuma vadība, neņemot vērā datu aizsardzības speciālista ieteikumus (piemēram, personas datu tirdzniecība mārketinga nolūkiem, neņemot vērā datu subjektu vēlmes attiecībā uz datu izmantošanu).
Savukārt tādi pārkāpumi kā nespēja veikt savlaicīgus tehniskos uzlabojumus vai arī neuzmanīga ieviestās datu aizsardzības politikas ievērošana var norādīt uz pārkāpumu, kas izdarīts aiz neuzmanības.
Rīcība, lai mazinātu kaitējumu
Saskaroties ar pārkāpumu, kas nodara kaitējumu datu subjektam, tiek ņemta vērā datu pārziņa un apstrādātāja darbība (vai bezdarbība) kaitējuma mazināšanā. Lai mazinātu datu subjektam nodarīto kaitējumu, datu pārzinis vai apstrādātājs var laicīgi novērst pārkāpumu, ātri reaģējot uz iespējamo pārkāpumu un neļaujot tam attīstīties un radīt būtiskas sekas.
Atbildība par tehnisko un organizatorisko pasākumu ieviešanu
Saskaņā ar darba grupas norādīto datu pārziņa vai apstrādātāja atbildība par tehnisko vai organizatorisko pasākumu ieviešanu var ietvert –
a) tehnisko un organizatorisko pasākumu ieviešanu saskaņā ar Regulas 25. pantā noteiktajām prasībām par integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma;
b) atbilstoša līmeņa datu drošības pasākumu ieviešanu;
c) atbilstošas datu aizsardzības politikas un procedūru ieviešanu un piemērošanu.
Iepriekšējie pārkāpumi
Konstatējot pārkāpumu datu aizsardzības jomā, atbilstoši Regulas 83. panta 2. daļas (e) apakšpunktam tiks vērtēts, vai uzņēmumam ir bijuši pārkāpumi iepriekš. Darba grupa skaidro, ka uzraugošajām iestādēm būtu jāvērtē, vai uzņēmums ir pieļāvis tamlīdzīgus vai tādā pašā veidā izdarītus pārkāpumus. To varētu konstatēt gadījumā, ja uzņēmums ir neatbilstoši novērtējis savus riskus vai arī savlaicīgi nesniedz atbildes uz datu subjektu pieprasījumiem, kā rezultātā līdzīgi pārkāpumi varētu notikt atkārtoti.
Sadarbība ar uzraugošajām iestādēm
Saskaņā ar Regulas 83. panta 2. daļas (f) apakšpunktu, izvērtējot pārkāpumu, tiks ņemts vērā, vai uzņēmums sadarbojas ar uzraugošo iestādi, lai atlīdzinātu pārkāpumu un mazinātu tā iespējamās nelabvēlīgās sekas. Kā skaidro darba grupa, tiks vērtēts, kā uzņēmums ir atbildējis uz uzraugošās iestādes pieprasījumiem izmeklēšanas laikā, kā rezultātā ir mazināta ietekme uz datu subjektu tiesībām.
Ja uzņēmums sadarbojas ar uzraugošajām iestādēm, lai atlīdzinātu pārkāpumu un mazinātu tā iespējamās nelabvēlīgās sekas, tad uzraugošās iestādes var lemt par mazāka administratīvā soda piemērošanu. Kā skaidro darba grupa, normatīvajos aktos noteikto pienākumu izpilde pati par sevi nebūtu uzskatāma par sadarbību, kas pamato mazāku sankciju noteikšanu. Tātad pārkāpuma gadījumā ir svarīgi ne tikai izpildīt normatīvajos aktos noteiktos pienākumus, bet arī veikt papildu darbības, lai demonstrētu sadarbību un veicinātu nelabvēlīgo seku mazināšanu un pārkāpuma atlīdzināšanu.
Personas datu kategorijas
Pārkāpuma smagums ir saistīts ar tā rezultātā skartajām personas datu kategorijām. Kā skaidro darba grupa, vērtējot skartās kategorijas, uzraugošajām iestādēm būtu jāņem vērā šādi faktori:
- vai ir skarti īpašu kategoriju personas dati;
- vai skartie personas dati ir tieši vai netieši identificējami;
- vai apstrāde ietver tādus personas datus, kuru izplatīšana radītu tūlītējus zaudējumus;
- vai dati ir tieši pieejami vai šifrēti.
Ziņošana par pārkāpumu
Saskaņā ar Regulas 83. panta 2. daļas (h) apakšpunktu tiek ņemts vērā, kādā veidā uzraugošā iestāde ir uzzinājusi par pārkāpumu, vai datu pārzinis vai apstrādātājs ir ziņojis par pārkāpumu, un kādā apjomā ziņošana ir notikusi.
Datu pārzinim ir pienākums ziņot par pārkāpumu saskaņā ar Regulu. Ja pārzinis rīkojas bezrūpīgi, nepaziņo par pārkāpumu vai arī paziņo tikai par dažiem pārkāpuma apstākļiem, tad ir pamats piemērot lielāku administratīvā soda apmēru. Kā skaidro darba grupa, neveicot pienācīgu pārkāpuma novērtēšanu, pārzinis var nezināt tā apmēru, kā rezultātā viņš uzraugošajai iestādei nespēs sniegt pilnīgu informāciju. Tādēļ svarīgi ir ne tikai paziņot par pārkāpumu, bet arī pienācīgi to novērtēt, lai spētu ziņot laicīgi un pienācīgā apjomā.
_____________________
1 Šī datu aizsardzības darba grupa ir izveidota atbilstoši direktīvas 95/46/EK 29. pantam.
2 Eiropas Parlamenta un Padomes Regula (ES) 2017/679 (Vispārīgā datu aizsardzības regula)
3 Darba grupas 2017. gada 3. oktobra vadlīnijas par administratīvo sodu piemērošanu un noteikšanu Regulas 2016/679 vajadzībām
