Bezprecedenta Lēmumā DVI analizē Pakalpojuma sniedzēja veikto personas datu apstrādes ietekmes uz fizisko personu datu aizsardzību novērtējumu, secinot, ka risku novēršanas pasākumi nav bijuši pietiekami, kā arī pārkāpuma smagumu. DVI piemērotais sods pašreiz ir lielākais līdz šim piemērotais sods par Vispārīgās datu aizsardzības regulas (turpmāk – Datu regula) pārkāpumiem ne tikai Latvijā, bet arī visā Baltijā. Turklāt piemērota soda apmērs vairākkārt pārsniedz lielākā līdz šim publiski zināmā DVI piemērotā soda par Datu regulas pārkāpumiem apmēru.
Konstatētie pārkāpumi:
DVI direktore Jekaterina Macuka (turpmāk - DVI direktore) Lēmumā norāda, ka ir konstatēti vairāki Pakalpojuma sniedzēja pārkāpumi[1]:
- Klientam, piesakot elektronisko sakaru pakalpojumu, pakalpojums tiek nodrošināts un
pieslēgts, klientam neapstiprinot līgumu. Tādējādi Pakalpojuma sniedzējs apstrādā tādu personu datus, kuru identitāte nav pārbaudīta, pārkāpjot Datu regulas 5.panta 1.punkta a) un d) apakšpunktus;
- Personai, kura līgumu nav apstiprinājusi, Pakalpojuma sniedzējs izraksta rēķinu par sniegtajiem pakalpojumiem, iegrāmatojot un glabājot personas datus;
- Klienta, kurš nav apstiprinājis līgumu un nav veicis izsniegto rēķinu apmaksu, personas datus Pakalpojuma sniedzējs nodeva ārpustiesas parādu piedziņas uzņēmumam.
- Ievietojot minētos līgumus klientu pašapkalpošanās sistēmā lietotāja kontā, Pakalpojuma sniedzējs izpauž personas koda īpašnieka datus (vārdu, uzvārdu, dzimšanas datumu un dzīves vietas adresi) trešajām personām, kuras izmantoja šīs personas datus.
- Pakalpojuma sniedzējs salīdzina jauno klientu personas datus ar tās datu bāzē pieejamiem esošo un bijušo klientu datiem.[2]
Soda apmēra noteikšana:
Lēmumā tiek analizēti kritēriji, kuri ietekmē soda apmēra noteikšanu. Viens no kritērijiem soda apmēra noteikšanā ir apstāklis, vai pārkāpums izdarīts tīši vai neuzmanības dēļ. Lēmumā tiek skaidrots, ka pārkāpums bija izdarīts tīši, jo lai gan Pakalpojuma sniedzējs bija apzinājis un izvērtējis riskus, tomēr tie nebija attiecīgi novērtēti un nebija ieviesti atbilstoši riska kontroles pasākumi. DVI direktore norāda, ka par tīši izdarītu jeb apzinātu pārkāpumu var uzskatīt tādu, kas ietver sevī gan zināšanas, gan apzinātību attiecībā uz pārkāpuma raksturu, savukārt netīši jeb aiz neuzmanības izdarīts pārkāpums nozīmē, ka nav bijis nodoms izraisīt pārkāpumu, kaut arī pārzinis ir pārkāpis likumā noteikto rūpības pienākumu.[3]
Ievērojot minēto, DVI direktores ieskatā Pakalpojuma sniedzēja rīcībā ir saskatāmas tīši veikta pārkāpuma pazīmes. Uz to konkrēti norāda rīcība, veicot personas datu apstrādes ietekmes uz personu datu aizsardzību novērtējumu, konstatējot, ka sākotnējā riska iestāšanās, kad persona mēģina pieteikt pakalpojumu, iesniedzot citas personas datus, ir ticama un kā riska mazinošos pasākumus norādot, piemēram, PMLP rīka ieviešanu un e-pasta verifikāciju, kas nevar tikt uzskatīti par efektīviem pasākumiem minētā riska novēršanai. Paļaušanās, ka patērētāji kopumā ir labticīgi un neveiks prettiesiskas darbības, izmantojot citu personu personas datus, nenozīmē, ka Pakalpojuma sniedzējam nav jāveic visas iespējamās risku mazinošās darbības, lai pārliecinātos, ka pakalpojuma pieteikšanas brīdī šādas prettiesiskas darbības nav iespējams veikt. Ievērojot minēto, DVI direktore secina, ka Pakalpojuma sniedzējs apzinājās, ka šāds risks pastāv, turklāt sākotnēji tas novērtēts kā ticams, tomēr risku mazinošie pasākumi netika izvēlēti atbilstoši minētajam riskam, jo pat pēc minēto pasākumu ieviešanas bija iespējams pieteikt pakalpojumu, izmantojot citas personas personas datus.[4]
Vēl viens kritērijs soda apmēra noteikšanā ir pārkāpuma ilgums. Jo ilgāks ir pārkāpuma veikšanas laiks, jo lielāku nozīmi DVI var pievērst šim apstāklim. DVI direktores ieskatā ir būtiski ņemt vērā laika posmu, kādā bija pieejams pieteikt pakalpojumu bez internetbankas autentifikācijas. Konkrētajā gadījumā pakalpojuma pieteikšana bez internetbankas autentifikācijas un personas identitātes pārbaudes, nepārliecinoties, vai personas vārds un uzvārds atbilst personas norādītajam personas kodam, nodrošināta gandrīz gadu.
DVI ieskatā, viens no būtiskākajiem aspektiem, kas jāņem vērā, vērtējot pārkāpuma smagumu, ir tas, vai personas datu apstrāde ir saistīta ar pārziņa (personas, kas nosaka personas datu apstrādes nolūkus un līdzekļus) pamatdarbību. Proti, ja personas datu apstrāde ir saistīta ar pārziņa pamatdarbību, tai arī attiecīgi jātiek pievērstai lielākai pārziņa uzmanībai, un pārzinis nevar aizbildināties ar normatīvā regulējuma nepietiekamu pārzināšanu vai atkārtotām darbinieku pieļautām kļūdām. Konkrētajā gadījumā personas datu apstrāde ir tikai daļa no Pakalpojuma sniedzēja pamatdarbības, kas veikta, lai sniegtu klientiem pakalpojumus. DVI ir ņemusi vērā šo apstākli, lai noteiktu zemāku sodu.[5]
Atbilstoši Datu regulas 83. panta 5. punkta a) apakšpunktā noteiktajam 4% slieksnim, maksimālais piemērojamais naudas sods, ievērojot, ka Pakalpojuma sniedzēja apgrozījums pārsniedz 200 miljonus gadā, ir 8 024 733,84 EUR. Ņemot vērā konstatēto vidējo pārkāpuma smagumu, DVI noteica sākotnējo soda piemērošanas diapazonu 10-20% apmērā no piemērojamā maksimālā soda, proti, starp 802 473,38 EUR un 1 604 946,77 EUR. Ievērojot, ka ir saskatāma Pakalpojuma sniedzēja rīcība, lai novērstu neatbilstošas personas datu apstrādes gadījumus, sākotnējais soda piemērošanas punkts noteikts 15% apmērā no maksimāli piemērojamā naudas soda (1 604 946,77 EUR) summas, t.i., 240 742,02 EUR. Vienlaikus, ņemot vērā DVI lēmumā analizēto soda apmēra kritēriju noteikšanas izvērtējumu, sākotnējam soda piemērošanas punktam noteica koeficientu 5, nonākot pie soda apmēra 1 203 710,10 EUR.[6]
Sekas
Lēmuma nobeigumā tiek secināts, ka izvēlētais naudas soda apmērs ir atturošs, proti, tāds, kam ir patiess preventīvs efekts. Naudas sods ir atturošs, ja tas neļauj personai pārkāpt Eiropas Savienības tiesībās izvirzītos mērķus un noteikumus. Ņemot vērā lietas apstākļus un Pakalpojuma sniedzēja rīcību, piemērojot naudas sodu EUR 1 203 710,10 EUR apmērā, būtu pietiekams, lai atturētu Pakalpojuma sniedzēju no turpmākiem datu apstrādes pārkāpumiem.[7]
Pakalpojuma sniedzējs skaidro, ka uzņēmums ir ieviesis un ievēro stingras prasības privātpersonu datu aizsardzībai, ko turpina arvien pilnveidot atbilstoši jauninājumiem, labākajai praksei, ekspertu un uzraugošo institūciju rekomendācijām, kā arī biznesa attīstības prasībām.[8]
[1] Datu valsts inspekcijas 2022. gada 5. oktobra lēmums Nr. [..]. Pieejams: https://www.dvi.gov.lv/lv/media/1874/download
[2] Datu valsts inspekcijas 2022. gada 5. oktobra lēmums Nr. [..]. Pieejams: https://www.dvi.gov.lv/lv/media/1874/download
[3] Datu valsts inspekcijas 2022. gada 5. oktobra lēmums Nr. [..]. Pieejams: https://www.dvi.gov.lv/lv/media/1874/download
[4] Datu valsts inspekcijas 2022. gada 5. oktobra lēmums Nr. [..]. Pieejams: https://www.dvi.gov.lv/lv/media/1874/download
[5] Datu valsts inspekcijas 2022. gada 5. oktobra lēmums Nr. [..]. Pieejams: https://www.dvi.gov.lv/lv/media/1874/download
[6] Datu valsts inspekcijas 2022. gada 5. oktobra lēmums Nr. [..]. Pieejams: https://www.dvi.gov.lv/lv/media/1874/download
[7] Datu valsts inspekcijas 2022. gada 5. oktobra lēmums Nr. [..]. Pieejams: https://www.dvi.gov.lv/lv/media/1874/download
[8]Pakalpojuma sniedzējs tiesā apstrīd Datu valsts inspekcijas lēmumu par milzu sodu. Pieejams: https://jauns.lv/raksts/bizness/523025-tet-tiesa-apstrid-datu-valsts-inspekcijas-lemumu-par-milzu-sodu
