Datu aizsardzība

Datu aizsardzība Latvijā 2026: pilnīgs VDAR ceļvedis uzņēmumiem

Datu aizsardzība Latvijā 2026: VDAR, Fizisko personu datu apstrādes likums, DVI uzraudzība un sodi (Tet 1,2 milj. EUR). Praktisks ceļvedis pārziņiem.

Also available in:da·English

Datu aizsardzība Latvijā balstās uz diviem savstarpēji papildinošiem tiesību aktiem: tieši piemērojamo Vispārīgo datu aizsardzības regulu (VDAR) un nacionālo Fizisko personu datu apstrādes likumu, kas spēkā kopš 2018. gada 5. jūlija. Uzraudzības iestāde ir Datu valsts inspekcija (DVI), kas izskata sūdzības, veic pārbaudes un piemēro administratīvos sodus. Praksē tas nozīmē, ka ikvienam Latvijas pārzinim jāievēro tie paši pienākumi, kas visā ES — apstrādes darbību reģistrs (30. pants), datu subjektu tiesību nodrošināšana (12.–22. pants), pārkāpumu paziņošana 72 stundu laikā (33. pants) un līgumi ar apstrādātājiem (28. pants) —, bet ar dažām Latvijas specifiskām niansēm, piemēram, attiecībā uz personas kodu un bērnu piekrišanas vecumu. Šis ceļvedis apkopo, kā datu aizsardzība Latvijā darbojas 2026. gadā un ko tas nozīmē uzņēmumam praksē.

Kas regulē datu aizsardzību Latvijā?

Latvijas datu aizsardzības sistēmu veido trīs līmeņi. Pirmais ir VDAR — Regula (ES) 2016/679, kas ir tieši piemērojama un veido lielāko daļu pienākumu. Otrais ir Fizisko personu datu apstrādes likums, kas VDAR papildina jomās, kurās regula dalībvalstīm atstāj rīcības brīvību: DVI pilnvaras, sankciju piemērošana, datu apstrāde žurnālistikas, akadēmiskās un mākslinieciskās izpausmes vajadzībām, kā arī atsevišķi procesuālie jautājumi. Trešais līmenis ir nozaru normatīvie akti — piemēram, elektronisko sakaru, kredītiestāžu vai veselības aprūpes regulējums, kas nosaka papildu prasības konkrētās nozarēs.

Divi jautājumi Latvijā regulēti īpaši. Bērna piekrišanas vecums informācijas sabiedrības pakalpojumiem ir noteikts 13 gadi, tāpēc pakalpojumu sniedzējiem, kas vēršas pie nepilngadīgajiem, jāpārbauda vecāku piekrišanas nepieciešamība. Personas kods ir sensitīvs identifikators, kura apstrādei jābūt pamatotai ar konkrētu tiesisko pamatu — tā nepamatota vākšana un publiskošana ir viens no biežākajiem DVI konstatētajiem pārkāpumiem.

Kas ir Datu valsts inspekcija (DVI)?

Datu valsts inspekcija ir tiešās pārvaldes iestāde tieslietu ministra padotībā un vienlaikus VDAR paredzētā neatkarīgā uzraudzības iestāde Latvijā. DVI izskata fizisko personu sūdzības, konsultē pārziņus un apstrādātājus, veic pārbaudes, pieņem lēmumus un piemēro administratīvos sodus. Iestādi vada direktore Jekaterina Macuka. Visa informācija par pienākumiem, veidlapas un lēmumi pieejami dvi.gov.lv.

DVI 2024. gadā saņēma 693 sūdzības un 148 trešo personu ziņojumus, piemēroja 49 korektīvos pasākumus un pieņēma 23 administratīvo pārkāpumu lēmumus. Salīdzinājumā ar lielo dalībvalstu uzraudzības iestādēm tas ir neliels apjoms, taču aktivitāte pieaug, un naudas sodu līmenis pēdējos gados ir būtiski audzis. Sīkāku iestādes darbības aprakstu skatiet mūsu Datu valsts inspekcijas ceļvedī.

Kādi ir galvenie pārziņa pienākumi?

Latvijas pārziņa pienākumi neatšķiras no pārējās ES, bet praksē DVI pārbaudēs uzsvars gulstas uz dažiem konkrētiem dokumentiem:

Pienākums VDAR pants Ko tas nozīmē praksē
Apstrādes darbību reģistrs 30. pants Strukturēts datu apstrādes reģistrs (ROPA) ar tiesisko pamatu un glabāšanas termiņiem
Datu subjektu tiesības 12.–22. pants Piekļuves, dzēšanas un pārnesamības pieprasījumu izpilde mēneša laikā
Pārkāpumu paziņošana 33.–34. pants Paziņojums DVI 72 stundu laikā, augsta riska gadījumā — arī datu subjektiem
Līgumi ar apstrādātājiem 28. pants Rakstisks līgums ar katru pakalpojuma sniedzēju, apakšapstrādātāju kontrole
Ietekmes novērtējums 35. pants Novērtējums par ietekmi uz datu aizsardzību (DPIA) augsta riska apstrādēm
Datu aizsardzības speciālists 37. pants DPO iecelšana, ja to prasa apstrādes raksturs

Reģistrs (30. pants) ir dokuments, ko DVI pieprasa pirmo, un tā trūkums vai novecošana ir izplatīts sākuma punkts pārbaudēs. Tāpēc reālā atbilstība sākas ar dzīvu, aktuālu reģistru, nevis ar vienreiz sagatavotu izklājlapu.

Kad Latvijā jāieceļ datu aizsardzības speciālists (DPO)?

Datu aizsardzības speciālista iecelšana ir obligāta VDAR 37. panta gadījumos: publiskā sektora iestādēm, pārziņiem, kuru pamatdarbība ir plaša un sistemātiska personu novērošana, kā arī tiem, kas plaši apstrādā īpašu kategoriju datus. Latvijā tas praksē attiecas uz valsts un pašvaldību iestādēm, veselības aprūpes iestādēm, apdrošinātājiem, bankām un uzņēmumiem, kuru darbība balstās uz profilēšanu. DPO var būt darbinieks vai ārpakalpojuma sniedzējs, taču tam jābūt neatkarīgam un jāziņo augstākajai vadībai. Ieteicams DPO iecelšanu un tā darbību dokumentēt, jo to pārbauda gan DVI, gan datu subjekti.

Datu aizsardzības uzraudzība un sodi

Naudas sodus Latvijā piemēro pati DVI administratīvā procesa kārtībā — atšķirībā, piemēram, no Dānijas, kur soda apmēru nosaka tiesa. Lielākais sods līdz šim ir 1,2 miljoni eiro uzņēmumam SIA “Tet”, ko DVI piemēroja par nepilngadīgo personu datu apstrādi elektronisko sakaru līgumu noslēgšanā un nodošanu parādu piedziņas uzņēmumam; sodu 2024. gadā apstiprināja Rīgas apgabaltiesa, un tas kļuva galīgs. 2025. gadā DVI piemēroja 300 000 eiro sodu apstrādātājam SIA “ZZ Dats” par 32. panta drošības pienākumu neizpildi saistībā ar pašvaldību datu noplūdi, kas skāra gandrīz visas Latvijas pašvaldības; uzņēmums lēmumu pārsūdzēja.

Vienlaikus jāsaprot mērogs: vairums Latvijas sodu ir mēreni — no dažiem simtiem līdz dažiem tūkstošiem eiro (piemēram, 2 000 eiro slimnīcai, 1 000 eiro medijam, 500 eiro par nepamatotu videonovērošanu 2024. gadā). Sodu tendence tomēr aug, un pilnu apskatu ar verificētiem lēmumiem skatiet sadaļā DVI sodi 2025.

Kā datu aizsardzība saskaras ar NIS2 un DORA?

  1. gadā datu aizsardzība vairs nav izolēta joma. Divi jauni ES regulējumi Latvijā rada papildu pienākumus, kas daļēji pārklājas ar VDAR:
  • NIS2 — pārņemts ar Nacionālās kiberdrošības likumu, kas spēkā kopš 2024. gada 1. septembra un uzliek kiberdrošības prasības būtisko un svarīgo pakalpojumu sniedzējiem. Uzraudzību koordinē Nacionālais kiberdrošības centrs sadarbībā ar CERT.LV. Sīkāk skatiet NIS2 Latvijā.
  • DORA — Regula (ES) 2022/2554, kas piemērojama kopš 2025. gada 17. janvāra un uzliek digitālās noturības prasības finanšu sektoram; uzraudzību veic Latvijas Banka. Sīkāk skatiet DORA Latvijā.

Šo regulējumu drošības prasības (incidentu paziņošana, IKT risku pārvaldība) daļēji pārklājas ar VDAR 32. panta un 33. panta pienākumiem, tāpēc uzņēmumam ir izdevīgi tos pārvaldīt vienotā sistēmā, nevis atsevišķi.

Kā panākt atbilstību praksē?

Latvijas uzņēmumam ceļš uz atbilstību sākas ar četriem soļiem. Pirmkārt, izveidojiet apstrādes darbību reģistru ar tiesisko pamatu un glabāšanas termiņu katrai apstrādei. Otrkārt, sakārtojiet līgumus ar visiem apstrādātājiem un pārbaudiet apakšapstrādātājus. Treškārt, ieviesiet procedūru datu subjektu pieprasījumu un pārkāpumu paziņošanas termiņu ievērošanai. Ceturtkārt, augsta riska apstrādēm veiciet ietekmes novērtējumu. Šo darbu var veikt manuāli izklājlapās, taču tas ātri noveco; VDAR platforma, piemēram, Legiscope, automatizē reģistra uzturēšanu, līgumu auditu un termiņu kontroli, saglabājot datus ES infrastruktūrā. Rīku salīdzinājumu skatiet VDAR programmatūras pārskatā.

Sīkdatnes un tiešais mārketings Latvijā

Divi praktiski jautājumi Latvijas uzņēmumiem rada visvairāk sūdzību DVI. Sīkdatnes mājaslapā, kas nav strikti nepieciešamas (piemēram, analītika un reklāma), prasa lietotāja piekrišanu pirms to ievietošanas — piekrišanas logam jābūt skaidram, ar iespēju atteikties tikpat viegli kā piekrist. Iepriekš atzīmētas rūtiņas un “turpinot pārlūkot, jūs piekrītat” pieejas neatbilst VDAR. Tiešais mārketings — komerciāli e-pasti un ziņas — parasti prasa saņēmēja iepriekšēju piekrišanu (opt-in), izņemot esošiem klientiem par līdzīgām precēm, ar iespēju atteikties katrā ziņā. Abos gadījumos uzņēmumam jāspēj pierādīt piekrišanu, tāpēc tā jādokumentē. Šie divi jautājumi bieži ir pirmais, ko datu subjekts pamana un par ko sūdzas, tāpēc to sakārtošana ir zema riska, augstas atdeves solis.

Datu nodošana ārpus ES

Personas datu nodošana uz valstīm ārpus ES/EEZ ir īpaši regulēta. Ja Latvijas uzņēmums izmanto pakalpojumu sniedzēju, kas datus apstrādā ASV vai citā trešā valstī (piemēram, mākoņa vai mārketinga rīku), tam jānodrošina VDAR V nodaļas garantijas — lēmums par aizsardzības līmeņa pietiekamību, standarta līgumu klauzulas vai citi mehānismi. Pēc Schrems II sprieduma šādām nodošanām bieži nepieciešams arī papildu novērtējums. Praktiskākais veids, kā šo sarežģījumu novērst, ir izvēlēties ES bāzētus pakalpojumu sniedzējus un rīkus, kas datus glabā ES teritorijā. Tieši tāpēc daudzi Latvijas uzņēmumi VDAR pārvaldībai izvēlas ES mitinātas platformas, kas novērš transatlantiskas datu nodošanas jautājumu pilnībā.

Biežāk uzdotie jautājumi

Kāds likums Latvijā regulē personas datu aizsardzību?

Datu aizsardzību Latvijā regulē tieši piemērojamā Vispārīgā datu aizsardzības regula (VDAR) kopā ar nacionālo Fizisko personu datu apstrādes likumu, kas spēkā kopš 2018. gada 5. jūlija. Nacionālais likums papildina VDAR jomās, kurās regula pieļauj dalībvalstu rīcības brīvību.

Kas ir datu aizsardzības uzraudzības iestāde Latvijā?

Uzraudzības iestāde ir Datu valsts inspekcija (DVI) — tiešās pārvaldes iestāde tieslietu ministra padotībā. DVI izskata sūdzības, veic pārbaudes, konsultē pārziņus un piemēro administratīvos sodus par VDAR pārkāpumiem.

Cik liels ir lielākais VDAR sods Latvijā?

Lielākais sods ir 1,2 miljoni eiro uzņēmumam SIA “Tet”, ko DVI piemēroja par nepilngadīgo datu apstrādi un nodošanu parādu piedziņai; sodu 2024. gadā apstiprināja Rīgas apgabaltiesa. Vairums pārējo Latvijas sodu tomēr ir daudz mērenāki — no dažiem simtiem līdz dažiem tūkstošiem eiro.

Vai maziem uzņēmumiem Latvijā jāievēro VDAR?

Jā. VDAR 30. panta 5. punkta atbrīvojums uzņēmumiem ar mazāk nekā 250 darbiniekiem praksē neattiecas ne uz vienu uzņēmumu, kas apstrādā darbinieku datus, uztur klientu datubāzi vai izmanto tīmekļa analītiku. Tāpēc arī maziem uzņēmumiem nepieciešams reģistrs un pamata atbilstības dokumentācija.

Secinājums

Datu aizsardzība Latvijā 2026. gadā balstās uz VDAR un Fizisko personu datu apstrādes likumu, un to uzrauga Datu valsts inspekcija, kuras aktivitāte un sodu līmenis pieaug — no dažu simtu eiro sodiem līdz 1,2 miljoniem eiro Tet lietā. Praktiskā atbilstība sākas ar dzīvu apstrādes reģistru, sakārtotiem apstrādātāju līgumiem un procedūrām datu subjektu tiesību un pārkāpumu paziņošanas termiņu ievērošanai. Uzņēmumiem, kuriem papildus piemērojams NIS2 vai DORA, ir izdevīgi šos pienākumus pārvaldīt vienotā sistēmā. Sāciet ar apstrādes reģistru — tas ir dokuments, ko DVI pieprasa pirmo, un pamats visai turpmākajai atbilstībai.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →