DVI 2019.gada nogalē piemēroja naudas sodu 150 000 euro apmērā sabiedrībai ar ierobežotu atbildību “Shopping Service” par prettiesiskām darbībām ar fiziskas personas datiem, neievērojot datu apstrādes pamatprincipus un datu subjekta (personas) tiesības Vispārīgās datu aizsardzības regulas kontekstā.
Īss situācijas apraksts: 2018.gadā DVI saņēma Spānijas datu aizsardzības iestādes pārsūtītu Spānijas pilsoņa sūdzību par interneta veikala veikto personas datu apstrādi, neievērojot VDAR III nodaļā noteiktās datu subjekta tiesības, liedzot iepazīties ar VDAR 13.panta 1.punktā noteikto informāciju, kas sniedzama, ja datu subjekta personas datus vāc no datu subjekta. Ņemot vērā to, ka Komersants ir reģistrēts Latvijas Republikā, pamatojoties uz VDAR 63.pantā noteikto konsekvences mehānismu, DVI uzsāka pārbaudi par minēto veikto personas datu apstrādi.
Pārbaudes ietvaros DVI konstatēja, ka komersants veicot personas datu apstrādi, neievēroja VDAR 5.panta 1.punkta "a" apakšpunktā, 2.punktā un 12.panta 1.punktā noteikto, proti, nav sniegusi datu subjektam (klientam) VDAR 13.pantā noteikto informāciju, tādējādi, nenodrošinot pārredzamības un pārskatatbildības principa ievērošanu fizisku personu (klientu) personas datu apstrādē ilgstošā laika periodā, kas vērsta uz patērētājiem – fiziskām personām vairākās Eiropas Savienības dalībvalstīs.
Komersanta veikala interneta vietnē bija ievietota privātuma politika (turpmāk-Politika), kurā bija norādīts, ka Komersants ir atbildīgs par no datu subjekta saņemto personisko informāciju un ir tās pārzinis. Vietnē latviešu valodā tika ievietota informācija par produktu un iespēju to pasūtīt, nododot pārzinim (komersantam) savus personas datus (vārds, telefona numurs).
Pārbaudes ietvaros, izvērtējot Politikā esošo informāciju, proti, tās atbilstību VDAR un FPDAL, DVI konstatēja vairākas neatbilstības, tostarp:
- Datu subjektam (klientam) Vietnē izvietotajā pasūtījuma logā ar aktīvu rīcību (atzīmējot lodziņā) bija iespēja dot piekrišanu viņa datu apstrādei – “Es dodu atļauju apstrādāt savus personas datus saskaņā ar privātuma politiku”, bet nav iespēja iepazīties ar Politiku latviešu valodā (valsts valodā), jo tā bija pieejama tikai angļu valodā.
- Politikā bija norādīts, ka komersants ir apņēmies ievērot visaugstākos datu privātuma standartus, kas atbilst VDAR standartiem, un komersants datu subjekta informāciju izmantos tikai skaidri aprakstītiem mērķiem, saskaņā ar datu subjekta datu aizsardzības tiesībām, bet tajā nebija skaidri aprakstīti personas datu apstrādes mērķi.
- Politikā bija norādīta informācija par to, kādām trešajām personām komersants var nodot datu subjekta (klienta) personas datus, bet nebija norādīts to nodošanas nolūks.
- Politikā bija norādīts, ka personiskās informācijas izmantošana saskaņā ar Eiropas Savienības datu aizsardzības likumiem ir jāpamato ar vienu no vairākiem juridiskiem pamatiem, un komersantam tika prasīts norādīt katras politikas izmantošanas pamatus, bet Politikā nevienam datu apstrādes procesam nebija norādes uz VDAR 6.panta 1.punktā minētajiem tiesiskajiem pamatiem.
- Politika neietvēra datu subjektu pilnīgu tiesību aprakstu.
Konkrētajā gadījumā DVI par Komersanta darbībām piemēroja VDAR 83.panta 5.punkta "a" un "b" apakšpunktā noteikto naudas soda apmēru[1], attiecīgi saskaņā ar VDAR 83.panta 2.punktā noteikumu pārkāpumiem "a" apakšpunktu - apstrādes pamatprincipi, tostarp nosacījumi par piekrišanu, ievērojot VDAR 5., 6., 7. un 9. pantu un "b" apakšpunktu - datu subjekta tiesības saskaņā ar 12.–22. pantu, ņemot vērā pārkāpuma būtību, smagumu un ilgumu, to, vai pārkāpums izdarīts tīši vai neuzmanības dēļ, ietekmēto datu subjektu skaitu, pārziņa iepriekšējos pārkāpumus, sadarbības pakāpi ar uzraudzības iestādi un jebkādus citus pastiprinošus vai mīkstinošus apstākļus, kas piemērojami lietas apstākļiem, nosakot naudas sodu 1% apmērā no komersanta 2017.gada neto apgrozījuma perioda beigās.
Saskaņā ar VDAR 6.panta 1.punktu apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no 6.panta 1.punktā minētajiem pamatojumiem. VDAR ir noteikti seši vispārīgi tiesiskie pamati: piekrišana, līguma izpilde, juridisks pienākums, sabiedrības intereses, vitālo interešu aizsardzība un leģitīmo interešu ievērošana. Papildus tiesiskā pamata nodrošināšanai, veicot personas datu apstrādi, ir jāievēro arī VDAR 5.pants, saskaņā ar kuru, lai aizsargātu personas (datu subjekta) intereses, pārzinis nodrošina godprātīgu un likumīgu personas datu apstrādi, kā arī personas datu apstrādi tikai atbilstoši paredzētajam mērķim un tam nepieciešamajā apjomā.
Ievērojot VDAR 5.panta 2.punktā noteikto pārskatatbildības principu, tieši pārzinim ir pienākums nodrošināt tādu personas datu apstrādes procesu, kas ļauj pierādīt, ka pārziņa veiktā personas datu apstrāde ir atbilstoša datu aizsardzības normatīvā regulējuma prasībām.
Pārredzamības princips sevī ietver datu subjekta tiesības būt informētam un VDAR 12.pants nosaka, ka pārzinis veic atbilstošus pasākumus, lai kodolīgā, pārredzamā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, datu subjektam sniegtu visu 13. un 14. pantā minēto informāciju [..], no kā izriet, ka pārzinim ir pienākums nodrošināt datu subjektu ar iespēju pārraudzīt datu apstrādi.
VDAR 58.apsvērums nosaka, ka pārredzamības principa pamatā ir prasība, ka visa informācija, kas adresēta sabiedrībai vai datu subjektam, ir kodolīga, viegli pieejama un viegli saprotama un ka tiek izmantota skaidra un vienkārša valoda un papildus – vajadzības gadījumā – vizualizācija. Šādu informāciju var sniegt elektroniski, piemēram, darot to pieejamu sabiedrībai tīmekļa vietnē. Tas ir jo īpaši svarīgi situācijās, kad iesaistīto personu skaits un praksē izmantoto tehnoloģiju sarežģītība apgrūtina datu subjekta iespējas zināt un saprast, vai tiek vākti viņa personas dati, kas to dara un kādā nolūkā.
Datu valsts inspekcijas lēmums stājās spēkā un netika pārsūdzēts.
[1] Administratīvus naudas sodus apmērā līdz EUR 20 000 000 vai, uzņēmuma gadījumā, līdz 4 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks, saskaņā ar 2. punktu.