Apstrādes darbību reģistrs (angliski record of processing activities, ROPA) ir iekšējs dokuments, kurā pārzinis uzskaita visas personas datu apstrādes darbības, ko tas veic — katrai norādot nolūku, datu subjektu un datu kategorijas, saņēmējus, glabāšanas termiņu un drošības pasākumus. To prasa Vispārīgās datu aizsardzības regulas 30. pants, un praksē tas ir pirmais dokuments, ko Datu valsts inspekcija (DVI) pieprasa jebkurā pārbaudē. Reģistrs nav birokrātiska formalitāte: tas ir atbilstības pamats, no kura izriet visi pārējie pienākumi — tiesiskā pamata izvēle, glabāšanas termiņu kontrole, līgumi ar apstrādātājiem un datu subjektu tiesību izpilde. Šis ceļvedis izklāsta, kam reģistrs obligāts, kādi lauki tajā jāiekļauj un kā to uzturēt tā, lai tas izturētu DVI pārbaudi.
Kas ir apstrādes darbību reģistrs un kāpēc tas svarīgs?
Reģistrs ir kartogrāfija visai personas datu apstrādei organizācijā. Tā pamatā ir atbilstības princips, ko GDPR sauc par pārskatatbildību (5. panta 2. punkts): pārzinim ne tikai jāievēro regula, bet arī jāspēj to pierādīt. Reģistrs ir tieši šis pierādījums — dokumentēta liecība par to, ka pārzinis zina, kādus datus tas apstrādā, kāpēc un uz kāda pamata.
Praksē reģistrs kalpo trim mērķiem. Pirmkārt, tas ir iekšējs pārvaldības rīks — bez apstrādes darbību uzskaites nav iespējams noteikt glabāšanas termiņus, atbildēt uz piekļuves pieprasījumiem vai novērtēt, kuras apstrādes rada augstu risku. Otrkārt, tas ir atbilstības pierādījums DVI priekšā. Treškārt, tas ir sākumpunkts riska pārvaldībai — no reģistra izriet, kurām apstrādēm nepieciešams novērtējums par ietekmi uz datu aizsardzību un kur trūkst līgumu ar apstrādātājiem.
Kam apstrādes darbību reģistrs ir obligāts?
Pēc vispārīgā principa reģistru uztur katrs pārzinis un katrs apstrādātājs. GDPR 30. pants gan paredz izņēmumu (30. panta 5. punkts): pienākums neattiecas uz organizācijām ar mazāk nekā 250 darbiniekiem. Tomēr šis atbrīvojums ir daudz šaurāks, nekā šķiet, jo tas nedarbojas, ja izpildās kaut viens no trim nosacījumiem:
- apstrāde var radīt risku datu subjektu tiesībām un brīvībām;
- apstrāde nav neregulāra (t. i., tā ir sistemātiska vai ierasta);
- apstrāde ietver īpašo kategoriju datus (9. pants) vai datus par sodāmību (10. pants).
Praksē tas nozīmē, ka gandrīz neviena organizācija atbrīvojumu neizmanto. Uzņēmums, kas apstrādā darbinieku algas, uztur klientu datubāzi vai izmanto tīmekļa analītiku, veic regulāru apstrādi — un tātad reģistrs tam ir obligāts neatkarīgi no darbinieku skaita. DVI konsekventi pieprasa reģistru arī no maziem uzņēmumiem, tāpēc uz 30. panta 5. punkta atbrīvojumu paļauties nav ieteicams.
Ko iekļaut pārziņa reģistrā (30. panta 1. punkts)?
Pārziņa reģistram jāsatur šādi lauki katrai apstrādes darbībai:
- pārziņa nosaukums un kontaktinformācija, attiecīgā gadījumā — kopīgā pārziņa, pārstāvja un datu aizsardzības speciālista kontakti;
- apstrādes nolūki — kāpēc dati tiek apstrādāti (piemēram, personāla vadība, klientu attiecību pārvaldība, tiešais mārketings);
- datu subjektu kategorijas (darbinieki, klienti, potenciālie klienti, piegādātāji) un personas datu kategorijas (kontaktdati, finanšu dati, veselības dati);
- saņēmēju kategorijas, kam dati izpausti vai tiks izpausti, tostarp saņēmēji trešās valstīs un starptautiskās organizācijas;
- nosūtīšana uz trešo valsti — attiecīgā valsts un piemērotās garantijas (44.–49. pants);
- paredzētie datu dzēšanas termiņi dažādām datu kategorijām;
- tehnisko un organizatorisko drošības pasākumu vispārīgs apraksts (32. pants).
Glabāšanas termiņi ir viens no biežāk aizmirstajiem laukiem, kaut arī tie ir tiešā glabāšanas ierobežojuma principa izpausme (5. panta 1. punkta “e” apakšpunkts). SIA “Lursoft IT” 65 000 EUR sods (DVI lēmums, publiskots 2021. gadā) tieši attiecās uz datu glabāšanu ilgāk, nekā pieļaujams — maksātnespējas dati tika glabāti piecus gadus, kur atļauts bija tikai viens. Precīzi definēti glabāšanas termiņi reģistrā ir pirmā aizsardzības līnija pret šāda veida pārkāpumu.
Ko iekļaut apstrādātāja reģistrā (30. panta 2. punkts)?
Apstrādātājam ir savs, atsevišķs reģistrs, kura saturs ir šaurāks. Tajā jānorāda:
- apstrādātāja un katra pārziņa nosaukums un kontaktinformācija, kā arī pārstāvja un DPO kontakti;
- apstrādes kategorijas, ko apstrādātājs veic katra pārziņa vārdā;
- nosūtīšana uz trešo valsti un attiecīgās garantijas;
- drošības pasākumu vispārīgs apraksts (32. pants).
Apstrādātāja reģistrs ir cieši saistīts ar datu apstrādes līgumu (28. pants): abi dokumenti atspoguļo, kādas apstrādes apstrādātājs veic un kura pārziņa uzdevumā. SIA “ZZ Dats” lieta (300 000 EUR sods 2025. gada 24. oktobrī) parāda, cik svarīga ir apstrādātāja skaidra pozīcija — uzņēmums bija apstrādātājs, kura 32. panta drošības pasākumu nepilnības noveda pie datu noplūdes, kas skāra gandrīz visas Latvijas pašvaldības.
Kādā formā uzturēt reģistru?
GDPR 30. panta 3. punkts prasa, lai reģistrs būtu rakstveidā, tostarp elektroniski. Formas ziņā regula ir elastīga: izklājlapa (piemēram, Excel) ir pilnībā pieņemama, un DVI to atzīst. Būtiska ir nevis forma, bet saturs un aktualitāte.
Praksē izklājlapas problēma nav pieņemamība, bet uzturēšana. Reģistrs nav vienreiz sagatavojams dokuments — tas ir jāatjaunina ikreiz, kad organizācija sāk jaunu apstrādi, nomaina apstrādātāju vai maina glabāšanas termiņu. Novecojis reģistrs ir gandrīz tikpat problemātisks kā tā trūkums, jo tas rada nepatiesu priekšstatu par faktisko apstrādi. Lielākās organizācijās, kur apstrādes darbību ir desmitiem, izklājlapa ātri kļūst nepārvaldāma, un tad noder specializēta programmatūra. Sākotnējai reģistra izveidei noderīgs ir apstrādes darbību reģistra paraugs, kas jau satur pareizo lauku struktūru. Reģistra pienākums Latvijā izriet ne tikai no GDPR, bet arī no Fizisko personu datu apstrādes likuma, kas piemērojams kopā ar regulu.
Reģistra iesniegšana DVI
GDPR 30. panta 4. punkts nosaka, ka pārzinim un apstrādātājam pēc pieprasījuma reģistrs jādara pieejams uzraudzības iestādei. Tas nozīmē, ka Datu valsts inspekcija var to pieprasīt jebkurā brīdī — un praksē tas ir tieši pirmais, ko iestāde prasa, uzsākot pārbaudi. Reģistrs nav jāiesniedz proaktīvi vai jāpublicē, bet tam jābūt gatavam uzrādīšanai nekavējoties.
Kā reģistrs saistās ar citiem atbilstības dokumentiem?
Reģistrs ir mezgls, no kura izriet visa pārējā atbilstības arhitektūra. No katras reģistrā uzskaitītās apstrādes izriet konkrēti pienākumi: ja apstrāde rada augstu risku, nepieciešams DPIA; ja to veic ārējs pakalpojumu sniedzējs, nepieciešams 28. panta līgums; ja apstrādes pamatā ir piekrišana, tā jādokumentē atbilstoši 7. panta prasībām. Tāpat reģistrs ir saistīts ar integrēto datu aizsardzību (25. pants), jo jaunu apstrādi vislabāk reģistrēt jau projektēšanas stadijā, nevis pēc tam. Ja organizācijā ir iecelts datu aizsardzības speciālists, reģistra uzturēšana bieži ir daļa no tā uzdevumiem, kaut arī juridiskā atbildība paliek pārzinim.
Biežāk uzdotie jautājumi
Vai maziem uzņēmumiem Latvijā ir jāuztur apstrādes darbību reģistrs?
Praksē jā. Lai gan GDPR 30. panta 5. punkts atbrīvo organizācijas ar mazāk nekā 250 darbiniekiem, atbrīvojums nedarbojas, ja apstrāde ir regulāra, rada risku vai ietver īpašo kategoriju datus. Uzņēmums, kas apstrādā darbinieku algas vai uztur klientu datubāzi, veic regulāru apstrādi, tāpēc reģistrs tam ir obligāts. DVI konsekventi pieprasa reģistru arī no maziem uzņēmumiem.
Vai izklājlapa ir pietiekama reģistram?
Jā. GDPR neprasa konkrētu formu — svarīgi, lai reģistrs būtu rakstveidā vai elektroniski un saturētu visus 30. panta laukus. Izklājlapa ir pieņemama un DVI to atzīst. Galvenā problēma ir nevis forma, bet reģistra uzturēšana aktualitātē, jo tas jāatjaunina ikreiz, kad mainās apstrāde.
Vai reģistrs jāiesniedz vai jāpublicē?
Nē. Reģistrs ir iekšējs dokuments, kas nav jāpublicē un nav proaktīvi jāiesniedz. Tomēr saskaņā ar 30. panta 4. punktu tas pēc pieprasījuma jādara pieejams Datu valsts inspekcijai. Praksē tas ir pirmais dokuments, ko DVI pieprasa pārbaudē, tāpēc tam vienmēr jābūt gatavam uzrādīšanai.
Secinājums
Apstrādes darbību reģistrs ir GDPR atbilstības stūrakmens un pirmais dokuments, ko pieprasa Datu valsts inspekcija. To uztur gan pārzinis, gan apstrādātājs, un praksē 30. panta 5. punkta atbrīvojums gandrīz nekad nedarbojas, jo lielākā daļa apstrāžu ir regulāras. Pareizi sagatavots reģistrs satur apstrādes nolūkus, datu un datu subjektu kategorijas, saņēmējus, glabāšanas termiņus un drošības pasākumus — un tieši precīzi glabāšanas termiņi ir tie, kas novērš Lursoft tipa pārkāpumus. Izklājlapa ir pieņemams sākums, taču izšķirošā ir reģistra uzturēšana aktualitātē. Organizācijām, kurām apstrādes darbību ir daudz, reģistra automatizēta pārvaldība kļūst praktiski nepieciešama; platformas kā Legiscope uztur reģistru dzīvu un sasaista to ar līgumiem un glabāšanas termiņiem, saglabājot datus ES infrastruktūrā. Sāciet ar reģistru — no tā izriet viss pārējais.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial