Datu aizsardzība

Datu apstrādes reģistra (ROPA) programmatūra 2026 Latvijā

Datu apstrādes reģistra (ROPA) programmatūra 2026: kā Latvijas uzņēmumi automatizē VDAR 30. panta reģistru. Obligātie lauki, rīki, cenas un DVI prasības.

Also available in:English·da·fi

Datu apstrādes reģistra jeb ROPA (records of processing activities) programmatūra automatizē VDAR 30. pantā noteiktā apstrādes darbību reģistra izveidi un uzturēšanu. Latvijas uzņēmumam pareizais rīks strukturē katru apstrādi ar obligātajiem laukiem — apstrādes nolūku, datu subjektu un datu kategorijām, saņēmējiem, glabāšanas termiņu un drošības pasākumiem —, uztur reģistru aktuālu ar automātiskiem atgādinājumiem un sagatavo eksportu latviešu valodā DVI vajadzībām. Reģistrs ir pirmais dokuments, ko Datu valsts inspekcija pieprasa pārbaudē, tāpēc tā izveide un uzturēšana ir atbilstības pamats. Tālāk apskatu 30. panta obligātos laukus, kāpēc izklājlapas nedarbojas ilgtermiņā un ko meklēt reģistra programmatūrā Latvijas kontekstā.

Kas jāietver apstrādes reģistrā (30. pants)?

VDAR 30. pants nosaka obligāto saturu, kas atšķiras pārziņiem un apstrādātājiem. Pārziņa reģistrā jāietver:

Lauks Ko tas nozīmē
Pārziņa dati Nosaukums, kontaktinformācija, DPO (ja iecelts)
Apstrādes nolūki Kāpēc dati tiek apstrādāti (algas, klienti, mārketings)
Datu subjektu kategorijas Darbinieki, klienti, piegādātāji
Datu kategorijas Kontaktinformācija, finanšu dati, īpašu kategoriju dati
Saņēmēji Kam dati tiek nodoti (apstrādātāji, iestādes)
Nodošana uz trešām valstīm Vai un ar kādām garantijām
Glabāšanas termiņi Cik ilgi dati tiek glabāti
Drošības pasākumi Tehniskie un organizatoriskie pasākumi (32. pants)

Apstrādātāja reģistrs (30. panta 2. punkts) ir vienkāršāks, bet arī obligāts. Katram laukam jābūt aizpildītam un aktuālam — tieši nepilnīgi vai novecojuši lauki ir biežākais trūkums DVI pārbaudēs.

Kāpēc izklājlapas reģistram nedarbojas?

Vairums Latvijas uzņēmumu sāk ar reģistru Excel failā, un sākumā tas šķiet pietiekami. Problēma rodas uzturēšanā. Izklājlapa noveco katru reizi, kad tiek pievienots jauns pakalpojumu sniedzējs, mainīts glabāšanas termiņš vai uzsākta jauna apstrāde — un šīs izmaiņas reti tiek atspoguļotas. Rezultātā DVI pārbaudē tiek uzrādīts reģistrs, kas neatbilst reālajai apstrādei. Turklāt izklājlapa nesaista apstrādes ar attiecīgajiem apstrādātāju līgumiem un neatgādina par pārskatīšanas termiņiem. Programmatūra šīs problēmas risina, padarot reģistru par dzīvu dokumentu ar automātiskiem atgādinājumiem un saiti uz līgumiem un ietekmes novērtējumiem.

Ko meklēt reģistra programmatūrā?

Latvijas uzņēmumam reģistra rīka izvēli izšķir seši kritēriji:

  • 30. panta pilnīgums — visi obligātie lauki gan pārzinim, gan apstrādātājam.
  • MI bāzēta ģenerēšana — reģistra izveide no vadītām anketām, nevis tukšas veidnes.
  • Saite uz līgumiem — katra apstrāde savienota ar attiecīgo apstrādātāja līgumu (28. pants).
  • Termiņu atgādinājumi — automātiska glabāšanas un pārskatīšanas termiņu kontrole.
  • Latviešu valodas eksports — dokuments, ko var iesniegt DVI.
  • ES mitināšana — datu glabāšana ES bez nodošanas ārpus tās.

Šo kritēriju atšķirība ir liela: veidņu bāzēti rīki prasa daudz manuāla darba, savukārt MI bāzētas platformas reģistru ģenerē dažās minūtēs no vadītām anketām.

Kā reģistra programmatūra ietaupa darbu?

Manuāla reģistra izveide vidējam uzņēmumam prasa desmitiem stundu — katras apstrādes identificēšana, tiesiskā pamata noteikšana, saņēmēju un termiņu dokumentēšana. MI bāzēta programmatūra šo procesu saīsina līdz minūtēm, ģenerējot reģistra melnrakstu no vadītām anketām, ko pēc tam pārbauda un papildina. Šajā ziņā Legiscope MI ģenerē atbilstošu 30. panta reģistru dažās minūtēs un saista katru apstrādi ar attiecīgo līgumu ES infrastruktūrā ar latviešu valodas izvadi. Metodiku izstrādājuši pētnieki ar doktora grādu datu aizsardzības tiesībās. Pilnu rīku salīdzinājumu skatiet labākās VDAR programmatūras pārskatā, bet cenu analīzi — VDAR programmatūras cenu pārskatā.

Reģistrs kā atbilstības pamats

Apstrādes reģistrs nav tikai formāls pienākums — tas ir visas atbilstības pamats. Reģistrs nosaka, kuras apstrādes prasa ietekmes novērtējumu, kuri pakalpojumu sniedzēji prasa līgumu, un kuri dati jādzēš pēc termiņa. Tāpēc Datu valsts inspekcija to pieprasa pirmo: reģistrs parāda, vai uzņēmums vispār pārzina savas apstrādes. Novecojis vai neesošs reģistrs ir izplatītākais Latvijas atbilstības trūkums, un tā uzturēšana ir vienkāršākais veids, kā samazināt DVI pārbaudes risku. Latvijas datu aizsardzības kontekstu kopumā skatiet datu aizsardzības ceļvedī Latvijā, bet DVI pārbaužu praksi — DVI ceļvedī.

Kā izveidot apstrādes reģistru soli pa solim

Reģistra izveide ir strukturēts process, kas neprasa juridisku izglītību, ja to veic sistemātiski. Pirmais solis ir apstrāžu apzināšana — jāapzina katra darbība, kurā tiek izmantoti personas dati: algas un personāla vadība, klientu attiecības, mārketings, mājaslapa un tās analītika, videonovērošana, piegādātāju pārvaldība. Otrais solis ir tiesiskā pamata noteikšana — katrai apstrādei jānosaka viens no VDAR 6. panta pamatiem (līgums, juridisks pienākums, leģitīmas intereses, piekrišana). Trešais solis ir datu un subjektu kategoriju dokumentēšana — kādi dati un par kuriem cilvēkiem tiek apstrādāti. Ceturtais solis ir glabāšanas termiņu noteikšana — cik ilgi katri dati tiek glabāti un kad tie tiek dzēsti. Piektais solis ir saņēmēju un drošības pasākumu fiksēšana — kam dati tiek nodoti un kā tie tiek aizsargāti. MI bāzēta programmatūra šos soļus vada ar anketām, ģenerējot reģistra melnrakstu, ko pēc tam pārbauda un papildina.

Biežākās kļūdas apstrādes reģistrā

DVI pārbaudēs atkārtojas dažas tipiskas reģistra kļūdas, un to zināšana palīdz tās novērst jau sākumā. Pirmā ir novecošana — reģistrs tika izveidots vienreiz un vairs nav atjaunināts, tāpēc tas neatspoguļo jaunas apstrādes un pakalpojumu sniedzējus. Otrā ir trūkstoši glabāšanas termiņi — daudzi reģistri norāda apstrādi, bet ne to, cik ilgi dati tiek glabāti, kas ir viens no biežākajiem trūkumiem. Trešā ir neskaidrs tiesiskais pamats — apstrādei norādīta “piekrišana” tur, kur patiesībā ir līgums vai juridisks pienākums, vai otrādi. Ceturtā ir īpašu kategoriju datu neatzīmēšana — veselības, biometrijas vai citu jutīgu datu apstrāde nav īpaši izcelta, lai gan tā prasa papildu pamatu (9. pants). Piektā ir saites trūkums uz līgumiem — reģistrs neparāda, kuri apstrādātāji ir saistīti ar katru apstrādi. Programmatūra šīs kļūdas novērš, jo tā piespiež aizpildīt katru obligāto lauku un atgādina par pārskatīšanu.

Pārziņa un apstrādātāja reģistrs: atšķirības

VDAR 30. pants nosaka divus atšķirīgus reģistrus atkarībā no lomas, un uzņēmumam jāsaprot, kurā tas atrodas. Pārziņa reģistrs (30. panta 1. punkts) ir plašāks un ietver apstrādes nolūkus, datu un subjektu kategorijas, saņēmējus, nodošanu uz trešām valstīm, glabāšanas termiņus un drošības pasākumus. Apstrādātāja reģistrs (30. panta 2. punkts) ir šaurāks un dokumentē apstrādi, ko apstrādātājs veic katra pārziņa uzdevumā — pārziņu kategorijas, apstrādes veidus, nodošanu un drošības pasākumus. Daudzi uzņēmumi ir vienlaikus gan pārziņi (piemēram, par saviem darbiniekiem un klientiem), gan apstrādātāji (piemēram, sniedzot pakalpojumu citam uzņēmumam), tāpēc tiem jāuztur abi reģistri. ZZ Dats lieta, kur sods 300 000 eiro tika piemērots tieši apstrādātājam par 32. panta drošības neizpildi, parāda, ka apstrādātāja pienākumi nav mazāk nozīmīgi. Programmatūra šo atšķirību pārvalda, ļaujot vienā sistēmā uzturēt gan pārziņa, gan apstrādātāja reģistru. DVI lomu un pārbaužu praksi skatiet DVI ceļvedī.

Biežāk uzdotie jautājumi

Cik maksā datu apstrādes reģistra programmatūra?

Reģistra funkcionalitāte parasti ietilpst VDAR platformas pamatcenā — aptuveni 79–299 eiro mēnesī MVU segmentā (Legiscope, Dastra). Atsevišķa reģistra rīka iegāde reti ir izdevīga, jo reģistrs jāsaista ar līgumiem, ietekmes novērtējumiem un datu subjektu pieprasījumiem, tāpēc vairums uzņēmumu izvēlas integrētu platformu.

Vai visiem uzņēmumiem Latvijā jāuztur apstrādes reģistrs?

Praktiski jā. VDAR 30. panta 5. punkta atbrīvojums uzņēmumiem ar mazāk nekā 250 darbiniekiem attiecas tikai uz gadījuma rakstura, zema riska apstrādi bez īpašu kategoriju datiem — nosacījumi, ko neizpilda neviens uzņēmums, kas apstrādā darbinieku vai klientu datus. Tāpēc DVI pārbaudē reģistru pieprasa arī no mazākiem uzņēmumiem.

Kas jāietver apstrādes reģistrā?

Pārziņa reģistrā jāietver apstrādes nolūki, datu subjektu un datu kategorijas, saņēmēji, nodošana uz trešām valstīm, glabāšanas termiņi un drošības pasākumi. Apstrādātāja reģistrs (30. panta 2. punkts) ir vienkāršāks, bet arī obligāts.

Secinājums

Datu apstrādes reģistra programmatūra automatizē VDAR 30. panta reģistra izveidi un — vēl svarīgāk — tā uzturēšanu, kas izklājlapās parasti neizdodas. Latvijas uzņēmumam pareizais rīks ģenerē reģistru ar visiem obligātajiem laukiem, saista apstrādes ar līgumiem un ietekmes novērtējumiem, atgādina par termiņiem un sagatavo eksportu latviešu valodā DVI vajadzībām. Tā kā reģistrs ir pirmais dokuments, ko DVI pieprasa, un visas atbilstības pamats, tā uzturēšana ar MI bāzētu platformu ir vienkāršākais veids, kā samazināt pārbaudes risku. Apskatiet Legiscope reģistra ģenerēšanu — piesakieties 15 minūšu demonstrācijai

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →