Datu aizsardzība

Datu aizsardzības speciālists (DPO): loma un kad obligāts 2026

Datu aizsardzības speciālista (DPO) loma pēc GDPR 37.-39. panta: kad iecelšana obligāta, uzdevumi, neatkarība un DVI prasības Latvijā.

Also available in:English·Français·Deutsch

Datu aizsardzības speciālists (angliski data protection officer, DPO) ir persona, kuras uzdevums ir uzraudzīt organizācijas atbilstību datu aizsardzības prasībām, konsultēt vadību un darbiniekus un būt kontaktpunktam saziņai ar Datu valsts inspekciju (DVI) un datu subjektiem. To regulē Vispārīgās datu aizsardzības regulas 37.–39. pants. DPO iecelšana ir obligāta trīs gadījumos: publiskā sektora iestādēm, organizācijām, kuru pamatdarbība ietver regulāru un sistemātisku datu subjektu novērošanu lielā mērogā, un tām, kas lielā mērogā apstrādā īpašo kategoriju vai sodāmības datus. Būtiski uzsvērt jau sākumā: DPO ir uzraugs un konsultants, nevis atbildīgā persona — juridiskā atbildība par atbilstību paliek pārzinim. Šis ceļvedis izklāsta, kad iecelšana obligāta, kādi ir DPO uzdevumi, kā nodrošināma tā neatkarība un ko sagaida DVI Latvijā.

Kad DPO iecelšana ir obligāta (37. panta 1. punkts)?

GDPR 37. panta 1. punkts paredz trīs gadījumus, kuros DPO iecelšana ir obligāta:

  • Publiskā sektora iestādes — valsts un pašvaldību iestādēm DPO jāieceļ vienmēr (izņemot tiesas, tām pildot tiesu funkcijas).
  • Regulāra un sistemātiska novērošana lielā mērogā — ja pārziņa vai apstrādātāja pamatdarbība ietver tādas apstrādes darbības, kuru dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana lielā mērogā (piemēram, profilēšana, uzvedības izsekošana, plaša videonovērošana).
  • Īpašo kategoriju datu apstrāde lielā mērogā — ja pamatdarbība ietver īpašo kategoriju datu (9. pants) vai datu par sodāmību (10. pants) apstrādi lielā mērogā (piemēram, slimnīcas, apdrošinātāji).

Latvijā tas praksē attiecas uz valsts un pašvaldību iestādēm, veselības aprūpes iestādēm, bankām, apdrošinātājiem un uzņēmumiem, kuru darbība balstās uz profilēšanu vai plašu novērošanu. Ārpus šiem gadījumiem organizācija var iecelt DPO brīvprātīgi — taču tad tam piemēro tos pašus 37.–39. panta noteikumus par uzdevumiem un neatkarību. Ja iecelšana nav obligāta, ir svarīgi šo secinājumu dokumentēt, jo arī tas ir daļa no pārskatatbildības.

Kā novērtēt, vai pienākums attiecas uz jums?

Jēdzieni “lielā mērogā” un “regulāra un sistemātiska novērošana” GDPR nav skaitliski definēti, tāpēc katra organizācija vērtē tos, ņemot vērā datu subjektu skaitu, datu apjomu, apstrādes ilgumu un ģeogrāfisko tvērumu. Novērtējums jādokumentē neatkarīgi no tā, vai secinājums ir pozitīvs vai negatīvs. Šis novērtējums cieši saistās ar apstrādes darbību reģistru (30. pants), jo tieši reģistrs parāda, cik plaša un sistemātiska ir organizācijas apstrāde.

Kādi ir DPO uzdevumi (39. pants)?

GDPR 39. pants nosaka DPO uzdevumu minimumu:

  • informēt un konsultēt pārzini, apstrādātāju un darbiniekus par to pienākumiem saskaņā ar GDPR un citiem datu aizsardzības noteikumiem;
  • uzraudzīt atbilstību GDPR un iekšējai datu aizsardzības politikai, tostarp pienākumu sadali, darbinieku apmācību un auditus;
  • konsultēt par datu aizsardzības ietekmes novērtējumu (DPIA) un uzraudzīt tā veikšanu saskaņā ar 35. pantu;
  • sadarboties ar DVI un būt tās kontaktpunktam;
  • būt kontaktpunktam datu subjektiem jautājumos par to datu apstrādi un tiesību izmantošanu.

Pildot uzdevumus, DPO pienācīgi ņem vērā risku, kas saistīts ar apstrādi. Tas nozīmē, ka DPO nevar visam pievērst vienādu uzmanību, bet koncentrējas uz augstāka riska apstrādēm. Praksē DPO bieži ir arī tas, kas uztur apstrādes reģistru un pārrauga pārkāpumu paziņošanas procedūru, kaut arī formāli 39. pants šos uzdevumus tieši neuzliek.

Neatkarība un interešu konflikta aizliegums (38. pants)

DPO neatkarība ir GDPR uzstādījuma centrā. 38. pants paredz vairākas garantijas:

  • Nekādu norādījumu par uzdevumu izpildi — DPO nedrīkst saņemt norādījumus par to, kā pildīt savus uzdevumus. Vadība nevar likt DPO nonākt pie noteikta secinājuma.
  • Aizsardzība pret atlaišanu vai sodīšanu — DPO nedrīkst atlaist vai sodīt par tā uzdevumu pildīšanu. Tas rada paaugstinātu aizsardzību pret represijām.
  • Tieša ziņošana augstākajai vadībai — DPO ziņo tieši pārziņa vai apstrādātāja augstākajam vadības līmenim.
  • Resursu nodrošināšana — pārzinim jānodrošina DPO ar resursiem, piekļuvi datiem un iespēju uzturēt savu ekspertīzi.

Īpaši svarīgs ir interešu konflikta aizliegums (38. panta 6. punkts). DPO var pildīt arī citus pienākumus, bet tie nedrīkst radīt interešu konfliktu. Praksē tas nozīmē, ka DPO nevar būt persona, kas nosaka apstrādes nolūkus un līdzekļus, — piemēram, IT direktors, mārketinga vadītājs vai valdes loceklis parasti nevar būt DPO, jo tie paši pieņem lēmumus, kurus DPO uzdevums ir uzraudzīt.

Kvalifikācija, iekšējs vai ārējs DPO un paziņošana DVI

Kvalifikācija (37. panta 5. punkts). DPO ieceļ, pamatojoties uz profesionālajām īpašībām un jo īpaši speciālām zināšanām datu aizsardzības tiesībās un praksē. GDPR neprasa konkrētu sertifikātu — nav obligātas oficiālas DPO sertifikācijas. Zināšanu līmenim jāatbilst apstrādes sarežģītībai un riskam.

Iekšējs vai ārējs (37. panta 6. punkts). DPO var būt organizācijas darbinieks vai ārpakalpojuma sniedzējs, kas pilda uzdevumus uz pakalpojumu līguma pamata. Uzņēmumu grupa var iecelt vienu DPO, ja tas ir viegli sasniedzams no katras vienības. Ārējs DPO ir izplatīts risinājums maziem un vidējiem uzņēmumiem, kam nav resursu pilnas slodzes speciālistam.

Paziņošana DVI (37. panta 7. punkts). Pārzinim un apstrādātājam DPO kontaktinformācija jāpublicē un jāpaziņo Datu valsts inspekcijai. Tas nodrošina, ka gan datu subjekti, gan iestāde zina, ar ko sazināties. Kontaktinformācija bieži tiek norādīta arī privātuma politikā. DPO iecelšanas pienākums Latvijā izriet gan no GDPR, gan no Fizisko personu datu apstrādes likuma, kas piemērojams kopā ar regulu.

DPO nav juridiski atbildīgā persona

Būtisks princips, ko organizācijas nereti pārprot: par atbilstību atbild pārzinis, nevis DPO. GDPR 24. pants uzliek atbildību pārzinim, un DPO loma ir uzraudzīt un konsultēt, nevis pieņemt lēmumus vai uzņemties juridisko atbildību. Ja organizācija neievēro DPO ieteikumu, atbild pārzinis, taču šī atšķirība neatbrīvo DPO no godprātīgas uzdevumu pildīšanas. Šī atbildības sadale ir tieši saistīta ar integrēto datu aizsardzību (25. pants) un pārziņa vispārīgo pārskatatbildību.

DPO praktiskā vieta organizācijā

Praksē DPO efektivitāte ir atkarīga no tā, cik agri tas tiek iesaistīts. GDPR 38. panta 1. punkts prasa, lai DPO tiktu pienācīgi un savlaicīgi iesaistīts visos jautājumos, kas saistīti ar datu aizsardzību. Tas nozīmē, ka DPO nedrīkst uzzināt par jaunu apstrādi tikai pēc tās uzsākšanas — tam jābūt iesaistītam jau projektu plānošanas stadijā. Efektīvs DPO uztur ciešu saikni ar IT, personāla, mārketinga un juridisko funkciju, jo tieši šajās jomās rodas lielākā daļa apstrādes darbību. Latvijā, kur DVI aktivitāte un sodu līmenis pieaug, DPO agrīna iesaiste ir viens no lētākajiem veidiem, kā samazināt risku — daudz lētāks nekā pārkāpuma novēršana pēc tam, kad tas jau noticis. Tāpēc DPO iecelšana bez reālas iesaistes un resursiem ir tikai formalitāte, kas atbilstību nenodrošina.

Biežāk uzdotie jautājumi

Vai maziem uzņēmumiem Latvijā ir jāieceļ DPO?

Ne vienmēr. Pienākums iecelt DPO rodas tikai 37. panta 1. punkta gadījumos — publiskā sektora iestādēm, regulārai un sistemātiskai novērošanai lielā mērogā vai īpašo kategoriju datu apstrādei lielā mērogā. Daudziem maziem uzņēmumiem tas nav obligāti, taču secinājums jādokumentē. Uzņēmums var iecelt DPO arī brīvprātīgi, tad piemērojot tos pašus 37.–39. panta noteikumus.

Vai DPO var būt uzņēmuma direktors vai IT vadītājs?

Parasti nē. GDPR 38. panta 6. punkts aizliedz interešu konfliktu. Personas, kas nosaka apstrādes nolūkus un līdzekļus — direktors, IT vadītājs, mārketinga vadītājs —, nevar būt DPO, jo tās uzraudzītu savus lēmumus. DPO jābūt neatkarīgam no tiem, kuru darbību tas kontrolē.

Vai DPO ir juridiski atbildīgs par pārkāpumiem?

Nē. Par atbilstību GDPR atbild pārzinis (24. pants), nevis DPO. DPO loma ir uzraudzīt, konsultēt un ziņot, bet ne pieņemt lēmumus vai uzņemties juridisko atbildību. Ja pārzinis neievēro DPO ieteikumu un notiek pārkāpums, atbildība gulstas uz pārzini.

Secinājums

Datu aizsardzības speciālists ir organizācijas iekšējais atbilstības uzraugs un tilts uz Datu valsts inspekciju. Iecelšana ir obligāta publiskā sektora iestādēm, plašai un sistemātiskai novērošanai un lielapjoma īpašo kategoriju datu apstrādei; pārējos gadījumos to var iecelt brīvprātīgi. DPO uzdevumi ir informēt, uzraudzīt atbilstību, konsultēt par DPIA un sadarboties ar DVI, un tos pilda pilnīgā neatkarībā — bez norādījumiem, bez interešu konflikta un ar aizsardzību pret atlaišanu. GDPR neprasa konkrētu sertifikātu, un DPO var būt gan iekšējs, gan ārējs, tostarp viens visai uzņēmumu grupai; tā kontakti jāpaziņo DVI. Galvenais, ko paturēt prātā: DPO uzrauga, bet juridiski atbild pārzinis. Organizācijām, kas vēlas dot DPO strukturētu darba vidi, noder platformas, piemēram, Legiscope, kas apkopo reģistru, līgumus un riska novērtējumus vienuviet, saglabājot datus ES infrastruktūrā.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →