GDPR nav abstrakts regulējums, kas pastāv tikai Briseles dokumentos. Latvijā Datu valsts inspekcija (DVI) aktīvi uzrauga un soda — un sodu apmēri pieaug ar katru gadu. 2025. gadā DVI izskatīja rekordlielu sūdzību skaitu, un vairāki sodi pārsniedza simts tūkstošu eiro robežu. Kas notiek ar uzņēmumu, kad GDPR pārkāpums kļūst par realitāti?
Šajā rakstā apskatīsim konkrētas sekas — finansiālās, juridiskās un reputācijas — un sniegsim praktiskus ieteikumus, kā no tām izvairīties.
DVI sodi — cik reāli tie ir?
GDPR paredz divus sodu līmeņus. Par mazāk nopietniem pārkāpumiem (piemēram, nepilnīga dokumentācija, datu aizsardzības speciālista neiecelšana) — līdz 10 miljoniem EUR vai 2% no gada apgrozījuma. Par nopietniem pārkāpumiem (datu apstrāde bez tiesiskā pamata, datu subjektu tiesību ignorēšana) — līdz 20 miljoniem EUR vai 4% no gada apgrozījuma, atkarībā no tā, kura summa ir lielāka.
Latvijā DVI sodi pagaidām nav sasnieguši miljonus, bet tie ir pietiekami lieli, lai būtiski ietekmētu maza vai vidēja uzņēmuma finanses. DVI ņem vērā vairākus faktorus — pārkāpuma raksturu un smagumu, skartos datu subjektus, pārkāpuma ilgumu, uzņēmuma sadarbību izmeklēšanā un iepriekš veiktos drošības pasākumus.
Svarīgi saprast — DVI var sodīt ne tikai par pašu datu noplūdi, bet arī par nepietiekamiem aizsardzības pasākumiem, novēlotu paziņošanu vai trūkstošu dokumentāciju. Tas nozīmē, ka sods var sekot arī tad, ja faktiski dati nav nonākuši ārpusē, bet uzņēmums nav ievērojis procedūras.
Finansiālie zaudējumi ārpus sodiem
DVI sods bieži ir tikai aisberga redzamā daļa. Reālie zaudējumi var ietvert:
Incidenta izmeklēšanas izmaksas. Digitālā ekspertīze, ārējo konsultantu piesaiste, juridiskā palīdzība. Vidēji Latvijas uzņēmumam tas var izmaksāt no 5 000 līdz 50 000 EUR atkarībā no incidenta mēroga.
Darbības pārtraukuma zaudējumi. Ja izspiedējvīruss šifrē jūsu sistēmas un jūs nevarat apkalpot klientus, katrs dīkstāves laiks nozīmē tiešos ieņēmumu zaudējumus. Pēc nozares datiem, vidējais dīkstāves laiks pēc izspiedējvīrusa uzbrukuma ir 22 dienas.
Klientu zaudēšana. Datu noplūde tieši ietekmē klientu uzticību. Pētījumi rāda, ka 60–80% klientu apsvērs pakalpojumu sniedzēja maiņu pēc nopietna datu aizsardzības pārkāpuma.
Juridiskās prasības. GDPR dod datu subjektiem tiesības pieprasīt kompensāciju par kaitējumu. Kolektīvās prasības Eiropā kļūst aizvien izplatītākas, un Latvija nav izņēmums.
Paaugstinātas apdrošināšanas prēmijas. Pēc incidenta kiberdrošības apdrošināšanas prēmijas var pieaugt 2–3 reizes vai apdrošinātājs var atteikt polisi vispār.
72 stundu paziņošanas pienākums
GDPR 33. pants nosaka — ja personas datu aizsardzības pārkāpums rada risku fizisko personu tiesībām, datu pārzinis paziņo DVI 72 stundu laikā no brīža, kad pārkāpums kļuvis zināms. Ja pārkāpums rada augstu risku, jāpaziņo arī pašiem datu subjektiem.
72 stundas izklausās daudz, bet praksē tas ir ļoti maz. Lai izpildītu šo termiņu, uzņēmumam ir jāspēj:
- Identificēt, ka incidents ir noticis (bez SOC uzraudzības tas var aizņemt nedēļas)
- Novērtēt, vai skarti personas dati
- Noteikt skartos datu subjektus un datu kategorijas
- Sagatavot paziņojumu DVI noteiktajā formātā
- Dokumentēt veiktos pasākumus
Bez iepriekš sagatavota incidentu reaģēšanas plāna un trenētas komandas tas ir gandrīz neiespējami. Vairāk par rīcību incidenta gadījumā lasiet mūsu rakstā Kā rīkoties pēc kiberuzbrukuma.
Reputācijas kaitējums — neredzamais sods
Finansiālie zaudējumi ir aprēķināmi, bet reputācijas kaitējums ir grūtāk izmērāms un bieži postošāks. Latvijā, kur biznesa vide ir salīdzinoši neliela un personīgas attiecības ir svarīgas, datu noplūdes ziņa izplatās ātri.
GDPR 34. pants noteiktos gadījumos pieprasa publiski informēt datu subjektus par pārkāpumu. Tas nozīmē, ka jūsu klienti, partneri un konkurenti uzzina par incidentu. Mediji, it īpaši nozares portāli, labprāt atspoguļo šādus gadījumus.
Reputācijas atjaunošana pēc nopietna GDPR pārkāpuma prasa gadus un ievērojamus ieguldījumus — gan drošības uzlabošanā, gan komunikācijā un attiecību atjaunošanā ar klientiem.
Reāli piemēri no Latvijas un Baltijas
DVI publisko savu lēmumu kopsavilkumus, un tie sniedz labu priekšstatu par tipiskajiem pārkāpumiem:
Nepietiekama piekļuves kontrole. Uzņēmums, kur visiem darbiniekiem bija piekļuve pilnai klientu datu bāzei, lai gan lielākā daļa to neizmantoja darba vajadzībām. Pēc darbinieka atlaišanas noplūda klientu dati.
Novēlota paziņošana. Organizācija atklāja datu noplūdi, bet paziņoja DVI tikai pēc 3 nedēļām, cerot problēmu atrisināt iekšēji. Papildu sods par procedūras neievērošanu.
Trūkstoša dokumentācija. Uzņēmumam formāli bija drošības politika, bet nebija pierādījumu par tās ievērošanu — ne žurnālu, ne apmācību atskaišu, ne testu protokolu.
Igaunijā un Lietuvā ir piemēroti vēl lielāki sodi — Igaunijas datu aizsardzības inspekcija sodīja finanšu sektora uzņēmumu par vairāk nekā 200 000 EUR. Šie precedenti parāda tendenci, kas skars arī Latviju.
Kā pasargāt uzņēmumu
Labā ziņa — GDPR pārkāpumu sekas ir novēršamas ar sistemātisku pieeju:
Ieviesiet tehniskos pasākumus. Šifrēšana, daudzfaktoru autentifikācija, piekļuves kontrole pēc mazāko tiesību principa, ugunsmūris un tīkla segmentēšana. Tie nav greznība — tie ir GDPR 32. panta tiešā prasība.
Izveidojiet incidentu reaģēšanas plānu. Dokumentēts, testēts plāns ar skaidriem pienākumiem un termiņiem. Plānā ietveriet GDPR paziņošanas procedūras — kas paziņo, kam, kādā formātā.
Nodrošiniet SOC uzraudzību. Nepārtraukta drošības uzraudzība ļauj identificēt incidentus agrīnā stadijā — pirms tie pārvēršas par pilna mēroga datu noplūdi. Bez uzraudzības pārkāpums var palikt nepamanīts mēnešiem.
Apmāciet darbiniekus. Lielākā daļa GDPR pārkāpumu sākas ar cilvēka kļūdu — pikšķerēšanas e-pastu, nepareizu datu nosūtīšanu, neatļautu piekļuvi. Regulāras apmācības būtiski samazina šo risku.
Dokumentējiet visu. DVI novērtē ne tikai to, vai pasākumi pastāv, bet arī pierādījumus par to ieviešanu. Žurnāli, apmācību atskaites, testu protokoli, piekļuves pārskatīšanas akti — tas viss ir jūsu aizsardzība audita gadījumā.
Biežāk uzdotie jautājumi (BUJ)
Vai DVI soda arī mazus uzņēmumus? Jā. GDPR attiecas uz ikvienu organizāciju, kas apstrādā personas datus, neatkarīgi no lieluma. DVI soda proporcionalitātes principa ietvaros — mazam uzņēmumam sods būs mazāks nekā lielam, bet tas joprojām var būt ievērojams. Turklāt pārējās sekas (klientu zaudēšana, juridiskās izmaksas) skar mazos uzņēmumus pat smagāk, jo tiem ir mazāk resursu, lai atgūtos.
Ko darīt, ja atklāju datu noplūdi — paziņot vai gaidīt? Paziņot nekavējoties. 72 stundu termiņš sākas no brīža, kad pārkāpums ir kļuvis zināms. Kavēšanās pasliktina situāciju — DVI piemēros papildu sodu par novēlotu paziņošanu, un jūsu sadarbības gatavība tiks novērtēta zemāk. Turklāt agrīna paziņošana ļauj ātrāk sākt kaitējuma ierobežošanu.
Vai kiberdrošības apdrošināšana sedz GDPR sodus? Tas ir atkarīgs no konkrētās polises. Daudzas apdrošināšanas polises sedz incidenta izmeklēšanas un reaģēšanas izmaksas, bet regulatīvie sodi bieži ir izslēgti vai ierobežoti. Turklāt apdrošinātājs var atteikt izmaksu, ja konstatē, ka uzņēmums nav ievērojis pamata drošības prakses. Skatiet mūsu detalizēto rakstu par kiberdrošības apdrošināšanu.
Kā GDPR pārkāpums ietekmē attiecības ar biznesa partneriem? Būtiski. Daudzi uzņēmumi ietver GDPR atbilstības prasības līgumos ar partneriem un piegādātājiem. Pēc pārkāpuma partneri var pieprasīt auditu, pastiprināt līguma noteikumus vai pārtraukt sadarbību. B2B segmentā uzticamība ir pamats — un GDPR pārkāpums to grauj tieši.
Vai pietiek ar tehnoloģiskajiem risinājumiem, lai izvairītos no GDPR pārkāpumiem? Nē. GDPR prasības ir gan tehniskas, gan organizatoriskas. Tehnoloģija (šifrēšana, SOC, MFA) ir nepieciešama, bet tikpat svarīgas ir procedūras, apmācības un dokumentācija. Uzņēmums ar lielisku tehnoloģiju, bet bez incidentu reaģēšanas plāna vai darbinieku apmācībām, joprojām ir GDPR neatbilstošs.
Vai vēlaties uzlabot sava uzņēmuma kiberdrošību? Sazinieties ar securIT — [email protected] vai +371 27555221.