Novērtējums par ietekmi uz datu aizsardzību (angliski data protection impact assessment, DPIA) ir strukturēta procedūra, ar kuru pārzinis pirms apstrādes uzsākšanas novērtē, kādu risku tā rada datu subjektu tiesībām un brīvībām, un nosaka pasākumus šī riska mazināšanai. To prasa Vispārīgās datu aizsardzības regulas 35. pants, un tas obligāts vienmēr, kad apstrāde, jo īpaši izmantojot jaunas tehnoloģijas, var radīt augstu risku fizisko personu tiesībām un brīvībām. DPIA ir preventīvs instruments — tā mērķis ir identificēt un novērst riskus, pirms tie kļūst par pārkāpumiem. Latvijas pieredze rāda, cik dārga var būt šī soļa izlaišana: gan SIA “Tet”, gan SIA “ZZ Dats” lietās apstrādes projektēšanas un drošības riski, ko rūpīgs DPIA būtu atklājis, materializējās par miljonu eiro mēroga sodiem. Šis ceļvedis izklāsta, kad DPIA obligāts, kā to veikt un kad nepieciešama iepriekšēja apspriešanās ar Datu valsts inspekciju (DVI).
Kad DPIA ir obligāts (35. panta 1. un 3. punkts)?
Vispārīgais kritērijs (35. panta 1. punkts) ir augsts risks datu subjektu tiesībām un brīvībām. 35. panta 3. punkts precizē trīs gadījumus, kuros DPIA jebkurā gadījumā ir obligāts:
- Sistemātiska un plaša profilēšana ar tiesiskām sekām — personisko aspektu sistemātiska un visaptveroša automatizēta izvērtēšana, tostarp profilēšana, uz kuras pamata tiek pieņemti lēmumi ar tiesiskām sekām vai līdzīgi būtisku ietekmi.
- Īpašo kategoriju datu apstrāde lielā mērogā — 9. pantā minēto datu (veselība, biometrija, u. c.) vai datu par sodāmību (10. pants) apstrāde lielā mērogā.
- Publiski pieejamas vietas sistemātiska novērošana lielā mērogā — piemēram, plaša videonovērošana publiskā telpā.
Papildus tam Datu valsts inspekcija publicē sarakstu ar apstrādes veidiem, kuriem DPIA obligāts (35. panta 4. punkts). Pirms jaunas augsta riska apstrādes uzsākšanas pārzinim jāpārbauda šis saraksts. Pretējais saraksts (35. panta 5. punkts) — apstrādes, kurām DPIA nav vajadzīgs — arī var būt publicēts. Novērtējums par to, vai apstrāde rada augstu risku, cieši saistās ar apstrādes darbību reģistru (30. pants), jo tieši reģistrs parāda katras apstrādes raksturu un mērogu.
Kad DPIA nav vajadzīgs?
DPIA nav jāveic, ja apstrāde nerada augstu risku vai ja tā ir līdzīga apstrādei, kurai DPIA jau veikts. Tomēr piesardzīga pieeja ir dokumentēt arī negatīvo secinājumu — proti, kāpēc konkrētajai apstrādei DPIA nav vajadzīgs. Tas ir daļa no pārskatatbildības, un tas ļauj pārzinim pierādīt, ka jautājums ir apzināti izvērtēts.
DPIA saturs (35. panta 7. punkts)
GDPR 35. panta 7. punkts nosaka DPIA minimālo saturu — četrus obligātus elementus:
- Apstrādes sistemātisks apraksts — paredzēto apstrādes darbību un nolūku apraksts, tostarp, attiecīgā gadījumā, pārziņa leģitīmās intereses.
- Nepieciešamības un samērīguma novērtējums — vai apstrāde ir nepieciešama un samērīga attiecībā pret nolūkiem. Šis solis bieži tiek izlaists, kaut arī tas ir DPIA intelektuālais kodols: vai to pašu mērķi var sasniegt ar mazāku datu apjomu?
- Risku novērtējums — risku datu subjektu tiesībām un brīvībām novērtējums.
- Riska mazināšanas pasākumi — paredzētie pasākumi risku novēršanai, tostarp garantijas, drošības pasākumi un mehānismi datu aizsardzības nodrošināšanai.
Šie četri elementi veido loģisku ķēdi: aprakstīt apstrādi, pārbaudīt tās nepieciešamību, novērtēt risku un noteikt pasākumus. DPIA nav vienreizējs dokuments — ja apstrāde mainās, novērtējums jāpārskata.
Ja apstrādē iesaistīts ārējs pakalpojumu sniedzējs, DPIA riska novērtējumā jāņem vērā arī apstrādātāja drošības līmenis, un tas cieši sasaucas ar datu apstrādes līguma (28. pants) prasībām. Praksē DPIA un apstrādātāja izvēles pārbaude notiek paralēli: novērtējot risku, pārzinis vienlaikus pārliecinās, ka apstrādātājs sniedz pietiekamas garantijas. Ja šie divi procesi tiek atdalīti, rodas plaisa, kurā risks paliek nepamanīts.
DPO iesaiste (35. panta 2. punkts)
Ja organizācijā ir iecelts datu aizsardzības speciālists, pārzinim, veicot DPIA, jālūdz tā padoms (35. panta 2. punkts). DPO uzdevums ir konsultēt par novērtējuma metodoloģiju un pārraudzīt tā veikšanu. Tas ir viens no galvenajiem gadījumiem, kur DPO ekspertīze tieši samazina organizācijas juridisko risku.
Ko māca Tet un ZZ Dats lietas?
Divas Latvijas lietas ilustrē, kā DPIA būtu novērsis riskus, kas vēlāk kļuva par lieliem sodiem.
SIA “Tet” (1,2 miljoni EUR) — lielākais GDPR sods Latvijā. Tet neveica personas identitātes pārbaudi pirms “Tet+” straumēšanas pakalpojuma aktivizēšanas. 2020. gada decembrī pakalpojums tika reģistrēts, izmantojot nepilngadīgā datus, un pašapkalpošanās portālā, zinot svešu personas kodu, varēja iegūt personas vārdu, uzvārdu un adresi, jo līgums bija priekšaizpildīts. Tas ir tieši tāda projektēšanas kļūda, ko DPIA būtu atklājis: sistemātiska apstrādes apraksta un riska novērtējuma laikā būtu redzams, ka portāla arhitektūra ļauj piekļūt svešiem datiem, zinot vienīgi personas kodu. Lieta saistīta ar 5., 25. un 32. pantu, un Rīgas apgabaltiesa sodu apstiprināja 2024. gada jūnijā.
SIA “ZZ Dats” (300 000 EUR) — 2024. gada datu noplūde, kas skāra gandrīz visas Latvijas pašvaldības. DVI konstatēja 32. panta tehnisko un organizatorisko drošības pasākumu pārkāpumu. Arī šeit DPIA riska novērtējuma solis būtu identificējis drošības nepilnības pirms sistēmas ekspluatācijas. Abas lietas apstiprina vienkāršu principu: DPIA nav birokrātija, bet mehānisms, kas atklāj tieši tos riskus, kuri, palikuši nepamanīti, kļūst par pārkāpumiem un datu aizsardzības pārkāpumu paziņošanas gadījumiem. Publiski pieejamie DVI lēmumi apstiprina, ka lielākie Latvijas sodi ir saistīti tieši ar apstrādes projektēšanas un drošības kļūdām, ko preventīvs novērtējums būtu identificējis.
Iepriekšēja apspriešanās ar DVI (36. pants)
Ja DPIA parāda, ka apstrāde radītu augstu risku un pārzinis nespēj to pietiekami mazināt, pirms apstrādes uzsākšanas jāveic iepriekšēja apspriešanās ar DVI (36. panta 1. punkts). Tas nozīmē, ka pārzinis iesniedz DVI DPIA un citu informāciju, un iestāde astoņu nedēļu laikā (ar iespēju pagarināt) sniedz rakstiskas norādes.
Būtiski saprast slieksni: apspriešanās vajadzīga tikai tad, ja atlikušais risks — pēc visu paredzēto pasākumu piemērošanas — joprojām ir augsts. Ja pārzinis ar pienācīgiem pasākumiem risku mazina līdz pieņemamam līmenim, apspriešanās nav vajadzīga. Iepriekšēja apspriešanās ir izņēmums, nevis norma, un tā signalizē, ka apstrāde ir īpaši jutīga. Tā ir arī tieši saistīta ar integrēto datu aizsardzību (25. pants): jo labāk datu aizsardzība iestrādāta jau projektēšanas stadijā, jo mazāka iespēja, ka atlikušais risks paliks augsts.
Biežāk uzdotie jautājumi
Kad DPIA ir obligāts?
DPIA obligāts vienmēr, kad apstrāde var radīt augstu risku datu subjektu tiesībām. GDPR 35. panta 3. punkts nosaka trīs skaidrus gadījumus: sistemātiska un plaša profilēšana ar tiesiskām sekām, īpašo kategoriju datu apstrāde lielā mērogā un publiskas vietas sistemātiska novērošana lielā mērogā. Papildus jāpārbauda DVI publicētais saraksts ar apstrādēm, kurām DPIA obligāts.
Kas veic DPIA — pārzinis vai DPO?
DPIA veic pārzinis, jo tas ir atbildīgs par apstrādi. Ja organizācijā ir iecelts datu aizsardzības speciālists, pārzinim jālūdz tā padoms (35. panta 2. punkts). DPO konsultē par metodoloģiju un uzrauga novērtējuma veikšanu, bet lēmumus pieņem un atbildību nes pārzinis.
Kas jādara, ja DPIA parāda augstu risku?
Ja pēc visu riska mazināšanas pasākumu piemērošanas atlikušais risks joprojām ir augsts, pārzinim pirms apstrādes uzsākšanas jāveic iepriekšēja apspriešanās ar DVI (36. pants). Iestāde sniedz rakstiskas norādes astoņu nedēļu laikā. Ja risku izdodas mazināt līdz pieņemamam līmenim, apspriešanās nav vajadzīga.
Secinājums
Datu aizsardzības ietekmes novērtējums ir GDPR preventīvais instruments — veids, kā atklāt riskus, pirms tie kļūst par pārkāpumiem. Tas obligāts, kad apstrāde var radīt augstu risku, un jebkurā gadījumā trīs 35. panta 3. punkta situācijās: plašā profilēšanā, lielapjoma īpašo kategoriju datu apstrādē un publiskas vietas sistemātiskā novērošanā. DPIA saturs ir loģiska ķēde no apstrādes apraksta līdz nepieciešamības novērtējumam, risku analīzei un mazināšanas pasākumiem, un tajā jāiesaista DPO. Tet un ZZ Dats lietas parāda, cik dārgs ir izlaists DPIA — abos gadījumos rūpīgs riska novērtējums būtu atklājis projektēšanas vai drošības kļūmi, kas vēlāk kļuva par miljonu eiro sodiem. Ja atlikušais risks paliek augsts, nepieciešama iepriekšēja apspriešanās ar DVI. Organizācijām, kas regulāri veic augsta riska apstrādi, DPIA procesu strukturē un dokumentē platformas, piemēram, Legiscope, sasaistot novērtējumus ar apstrādes reģistru un glabājot datus ES infrastruktūrā.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial