Lapas saturs

Atbilde

Vispārīgajā datu aizsardzības regulā (VDAR) datu aizsardzības iestādēm ir paredzētas dažādas iespējas, kurus tās var izmantot, ja konstatēta datu aizsardzības noteikumu neievērošana:

  • potenciāls pārkāpums — var izteikt brīdinājumu;
  • pārkāpums — var izteikt rājienu, noteikt pagaidu vai galīgu apstrādes aizliegumu, kā arī piemērot naudas sodu apmērā līdz EUR 20 miljoniem vai līdz 4 % no uzņēmuma kopējā visā pasaulē gūtā gada apgrozījuma.

Ir vērts atzīmēt, ka pārkāpuma gadījumā datu aizsardzības iestāde rājiena un/vai apstrādes aizlieguma vietā var uzlikt naudas sodu vai šīs sankcijas papildināt ar naudas sodu.

Iestādei jānodrošina, ka naudas sodi katrā konkrētā gadījumā ir iedarbīgi, samērīgi un atturoši. Tā ņems vērā vairākus faktorus, piemēram, pārkāpuma būtību, smagumu un ilgumu, to, vai pārkāpums izdarīts tīši vai neuzmanības dēļ, jebkādu rīcību, lai mazinātu kaitējumu, kas nodarīts datu subjektiem, organizācijas sadarbības pakāpi u. c.

Piemērs

Kāds uzņēmums tiešsaistē tirgo mājsaimniecības preces. Uzņēmuma tīmekļa vietnē patērētāji var iegādāties virtuves ierīces, galdus, krēslus un citas mājsaimniecības preces, ievadot savus bankas datus. Tīmekļa vietne cieta no kiberuzbrukuma, un uzbrucējs savā rīcībā ieguva šo personu datus. Šajā gadījumā šķiet, ka datu zaudēšanas iemesls ir tas, ka uzņēmums nebija īstenojis atbilstošus tehniskos pasākumus.

Šādā situācijā pirms lēmuma pieņemšanas par to, kādu korektīvo instrumentu izmantot, uzraudzības iestāde apsvērs vairākus faktorus. Tā apsvērs šādus faktorus: cik nopietnas bija IT sistēmas nepilnības? Cik ilgi IT infrastruktūra bija pakļauta šādam riskam? Vai iepriekš tika veikta testēšanai, lai novērstu šādus uzbrukumus? Cik liels klientu datu apjoms tikai nozagts/izpausts? Kāda veida personas dati tika nozagti — vai tie ietvēra sensitīvus datus? Uzraudzības iestāde ņems vērā šos un citus apsvērumus.

Atsauces