Datu aizsardzība

Datu subjektu pieprasījumu (DSAR) programmatūra 2026 Latvijā

Datu subjektu pieprasījumu (DSAR) programmatūra 2026: kā Latvijas uzņēmumi pārvalda piekļuves, dzēšanas un pārnesamības pieprasījumus VDAR mēneša termiņā.

Also available in:English·da·fi

Datu subjektu pieprasījumu jeb DSAR (data subject access request) programmatūra automatizē VDAR 12.–22. pantā noteikto datu subjektu tiesību izpildi — piekļuvi (15. pants), dzēšanu (17. pants), labošanu (16. pants), pārnesamību (20. pants) un iebildumus (21. pants). Latvijas uzņēmumam pareizais rīks reģistrē katru pieprasījumu, kontrolē viena mēneša atbildes termiņu, palīdz atrast attiecīgos datus visās sistēmās un dokumentē atbildi. Termiņa neievērošana ir viens no biežākajiem VDAR pārkāpumiem, jo bez sistēmas pieprasījumi viegli pazūd starp nodaļām. Tālāk apskatu, kādas ir datu subjektu tiesības, kāpēc manuāla apstrāde nedarbojas un ko meklēt DSAR programmatūrā Latvijas kontekstā.

Kādas ir datu subjektu tiesības?

VDAR piešķir datu subjektiem vairākas tiesības, un katrai ir savs izpildes termiņš un nosacījumi:

Tiesības Pants Ko uzņēmumam jādara
Piekļuve 15. pants Sniegt datu kopiju un informāciju par apstrādi
Labošana 16. pants Izlabot neprecīzus datus
Dzēšana (“tiesības tikt aizmirstam”) 17. pants Dzēst datus, ja nav pamata to glabāt
Apstrādes ierobežošana 18. pants Apturēt apstrādi noteiktos gadījumos
Pārnesamība 20. pants Sniegt datus strukturētā, mašīnlasāmā formātā
Iebildumi 21. pants Pārtraukt apstrādi (piemēram, tiešo mārketingu)

Galvenais praktiskais pienākums ir termiņš: uz pieprasījumu jāatbild bez nepamatotas kavēšanās un ne vēlāk kā viena mēneša laikā, ko sarežģītos gadījumos var pagarināt vēl par diviem mēnešiem. Pilnu piekļuves tiesību skaidrojumu skatiet mūsu piekļuves tiesību pārskatā.

Kāpēc manuāla pieprasījumu apstrāde nedarbojas?

Bez sistēmas datu subjektu pieprasījumi rada trīs problēmas. Pirmkārt, termiņi pazūd — pieprasījums, kas nonāk vispārējā e-pastā, viegli paliek nepamanīts, līdz mēneša termiņš ir pārkāpts. Otrkārt, datu atrašana ir sarežģīta — piekļuves pieprasījumam jāatrod visi personas dati visās sistēmās (CRM, e-pasts, grāmatvedība, mārketings), kas manuāli prasa dienas. Treškārt, dokumentācijas trūkst — DVI pārbaudē uzņēmumam jāpierāda, ka pieprasījumi tika izpildīti termiņā, bet bez reģistra šādu pierādījumu nav. Programmatūra šīs problēmas risina, reģistrējot katru pieprasījumu, kontrolējot termiņus un dokumentējot atbildi.

Ko meklēt DSAR programmatūrā?

Latvijas uzņēmumam DSAR rīka izvēli izšķir pieci kritēriji: pieprasījumu reģistrēšana ar termiņu kontroli; identitātes pārbaudes atbalsts (lai dati netiktu izsniegti nepareizai personai); datu atrašanas atbalsts visās sistēmās; atbildes dokumentēšana pierādījumam DVI vajadzībām; un latviešu valodas saziņa ar datu subjektu. Papildus svarīga ir saite uz apstrādes reģistru, jo reģistrs parāda, kur konkrētie dati atrodas, kas paātrina pieprasījuma izpildi.

Kā DSAR programmatūra ietaupa darbu?

Piekļuves pieprasījuma manuāla izpilde vidējam uzņēmumam prasa vairākas dienas — datu meklēšana, apkopošana, trešo personu datu aizklāšana un atbildes sagatavošana. Programmatūra šo procesu strukturē, saistot pieprasījumu ar apstrādes reģistru un kontrolējot termiņu. Šajā ziņā integrēta platforma, piemēram, Legiscope, pieprasījumu pārvaldību saista ar apstrādes reģistru un termiņu kontroli ES infrastruktūrā ar latviešu valodas izvadi, kas datu subjektu tiesību izpildi padara par strukturētu procesu, nevis ad-hoc meklēšanu. Pilnu rīku salīdzinājumu skatiet labākās VDAR programmatūras pārskatā, bet cenu analīzi — VDAR programmatūras cenu pārskatā.

Datu subjektu tiesības DVI praksē

Datu subjektu tiesību neievērošana ir viens no biežākajiem iemesliem sūdzībām DVI. 2024. gadā Datu valsts inspekcija saņēma 693 sūdzības, un liela daļa no tām attiecās tieši uz neizpildītiem pieprasījumiem — piemēram, dzēšanas pieprasījumiem, uz kuriem uzņēmums nereaģēja. Vairākos DVI lēmumos sods piemērots tieši par to, ka uzņēmums neizpildīja datu subjekta pieprasījumu vai neatbildēja termiņā. Tāpēc strukturēta pieprasījumu apstrāde nav tikai efektivitātes jautājums, bet arī tiešs veids, kā samazināt sūdzību un sodu risku. Latvijas datu aizsardzības kontekstu kopumā skatiet datu aizsardzības ceļvedī Latvijā, bet sodu apskatu — DVI sodu pārskatā.

Kā izpildīt pieprasījumu soli pa solim

Datu subjekta pieprasījuma izpilde ir strukturēts process, ko var sadalīt piecos soļos. Pirmais ir reģistrēšana — pieprasījums jāfiksē tā saņemšanas dienā, jo no šī brīža sākas viena mēneša termiņš. Otrais ir identitātes pārbaude — uzņēmumam jāpārliecinās, ka pieprasījumu iesniedz pati persona, nevis trešā persona; ja ir pamatotas šaubas, drīkst pieprasīt papildu informāciju identitātes apstiprināšanai, bet ne pārmērīgi. Trešais ir datu atrašana — jāapzina visi personas dati visās sistēmās, ko palīdz izdarīt apstrādes reģistrs, kas norāda, kur konkrētie dati atrodas. Ceturtais ir sagatavošana — dati jāapkopo, jāaizklāj trešo personu dati un jāsagatavo atbilde saprotamā formā. Piektais ir dokumentēšana — atbilde un tās datums jāfiksē pierādījumam, ka pieprasījums izpildīts termiņā. Programmatūra šos piecus soļus strukturē un automātiski kontrolē termiņu.

Kad drīkst atteikt vai pagarināt termiņu?

Pieprasījuma izpilde nav bez izņēmumiem. Termiņu var pagarināt vēl par diviem mēnešiem, ja pieprasījums ir sarežģīts vai to ir daudz — bet par pagarinājumu un tā iemeslu datu subjekts jāinformē mēneša laikā. Atteikt izpildi drīkst tikai šauros gadījumos: ja pieprasījums ir acīmredzami nepamatots vai pārmērīgs (piemēram, atkārtots bez jauna pamata), vai ja izpilde aizskartu citu personu tiesības. Piekļuves gadījumā, piemēram, nedrīkst izsniegt datus, kas atklātu trešās personas informāciju. Dzēšanas pieprasījumu (17. pants) drīkst noraidīt, ja datu glabāšanai ir juridisks pamats — piemēram, grāmatvedības datu glabāšanas termiņš. Katrs atteikums vai pagarinājums jāpamato rakstiski, jo tieši nepamatots atteikums bieži noved pie sūdzības DVI. Šo izņēmumu pareiza piemērošana ir viens no iemesliem, kāpēc strukturēta pieprasījumu apstrāde ir svarīgāka par ad-hoc atbildēm.

Drošība pieprasījumu izpildē

Datu subjektu pieprasījumu izpilde pati par sevi rada drošības risku, ko bieži neievēro. Piekļuves pieprasījuma izpildē uzņēmums apkopo un nosūta personas datus — ja tas notiek nešifrētā e-pastā vai nepareizai personai, izpildes process kļūst par jaunu pārkāpumu. Tāpēc identitātes pārbaude nav formalitāte, bet drošības pasākums: dati nedrīkst nonākt pie tā, kas uzdodas par datu subjektu. Praksē ir bijuši gadījumi, kad krāpnieki izmanto piekļuves pieprasījumus, lai iegūtu svešus datus. Droša pieprasījumu izpilde ietver identitātes pārbaudi, datu nosūtīšanu drošā kanālā un trešo personu datu aizklāšanu pirms izsniegšanas. Programmatūra šo procesu padara drošāku, jo tā strukturē identitātes pārbaudi un dokumentē, kam un kā dati tika nosūtīti. Šī saikne starp datu subjektu tiesībām un drošību ir viens no iemesliem, kāpēc pieprasījumu apstrāde nav jāatstāj ad-hoc e-pasta sarakstei. Latvijas datu aizsardzības kontekstu skatiet datu aizsardzības ceļvedī Latvijā.

Manuāla pret automatizētu pieprasījumu apstrādi

Atšķirība starp manuālu un programmatūras atbalstītu pieprasījumu apstrādi kļūst redzama tieši tur, kur uzņēmumi visbiežāk pieļauj kļūdas — termiņa kontrolē un datu atrašanā.

Solis Manuāli Ar programmatūru
Reģistrēšana E-pasts vispārējā pastkastē, viegli pazūd Automātiska reģistrācija ar datumu
Termiņa kontrole Manuāla atcerēšanās Automātisks atgādinājums pirms termiņa
Datu atrašana Meklēšana katrā sistēmā atsevišķi Saite uz apstrādes reģistru
Dokumentēšana Nekonsekventa vai iztrūkstoša Automātisks pierādījumu žurnāls

Praksē manuālā pieeja darbojas, kamēr pieprasījumu ir maz un tie ienāk paredzami. Problēma sākas tad, kad pieprasījumu skaits pieaug vai kad tie ienāk vienlaikus ar citiem steidzamiem uzdevumiem — tieši tad termiņš tiek nokavēts. Programmatūra šo risku novērš, jo tā termiņu neaizmirst neatkarīgi no slodzes.

Kā izvēlēties DSAR rīku Latvijas MVU

Latvijas mazam vai vidējam uzņēmumam izvēli izšķir divi jautājumi. Pirmais — vai rīks saista pieprasījumu ar apstrādes reģistru. Bez šīs saites datu atrašana paliek manuāls uzdevums, un lielākā daļa DSAR izpildes laika tiek patērēta tieši datu meklēšanai. Otrais — vai rīks nodrošina latviešu valodas saziņu un ES mitināšanu. Datu subjektam atbilde jāsniedz saprotamā valodā, un pati atbildes sagatavošana nedrīkst kļūt par datu nodošanu ārpus ES. Šo iemeslu dēļ atsevišķa DSAR rīka iegāde reti ir izdevīga — pieprasījumu pārvaldība ir efektīvākā kā daļa no plašākas VDAR platformas, kas jau uztur apstrādes reģistru un drošības dokumentāciju. Tieši šī integrācija atšķir reālu laika ietaupījumu no vienkārša pieprasījumu saraksta izklājlapā.

Trešais praktiskais kritērijs ir audita pēdas kvalitāte. DVI pārbaudē vai sūdzības gadījumā uzņēmumam jāspēj pierādīt ne tikai to, ka pieprasījums tika izpildīts, bet arī kad tas saņemts, kad un kā uz to atbildēts un kā pārbaudīta pieprasītāja identitāte. Rīks, kas katru šo soli automātiski datē un saglabā, pārvērš aizstāvību pārbaudē par dažu klikšķu jautājumu. Bez šādas pēdas uzņēmums var būt izpildījis pieprasījumu korekti, bet nespēt to pierādīt — un VDAR pārskatatbildības loģikā nepierādāma atbilstība praksē tiek vērtēta kā tās trūkums. Tieši tāpēc dokumentēšanas solis, ne pati atbilde, bieži izšķir sūdzības iznākumu. Šī iemesla dēļ Latvijas uzņēmumam, kas apstrādā daudz pieprasījumu vai darbojas jomās ar biežām sūdzībām — piemēram, e-komercijā vai tiešajā mārketingā —, strukturēta pieprasījumu apstrāde ar automātisku audita pēdu nav greznība, bet praktisks riska mazināšanas instruments, kas tieši samazina sodu iespējamību.

Biežāk uzdotie jautājumi

Cik maksā datu subjektu pieprasījumu programmatūra?

DSAR funkcionalitāte parasti ietilpst VDAR platformas pamatcenā — aptuveni 79–299 eiro mēnesī MVU segmentā (Legiscope, Dastra). Atsevišķa DSAR rīka iegāde reti ir izdevīga, jo pieprasījumu apstrāde jāsaista ar apstrādes reģistru, kas parāda, kur dati atrodas.

Cik ilgā laikā jāatbild uz datu subjekta pieprasījumu?

Uz pieprasījumu jāatbild bez nepamatotas kavēšanās un ne vēlāk kā viena mēneša laikā no tā saņemšanas. Sarežģītos gadījumos vai lielā pieprasījumu skaitā termiņu var pagarināt vēl par diviem mēnešiem, par to informējot datu subjektu.

Vai par pieprasījuma izpildi drīkst prasīt samaksu?

Parasti nē — pieprasījuma izpilde ir bezmaksas. Uzņēmums drīkst prasīt saprātīgu samaksu vai atteikties tikai tad, ja pieprasījums ir acīmredzami nepamatots vai pārmērīgs, piemēram, atkārtots, taču šis izņēmums jāpierāda uzņēmumam.

Vai datu subjekts var pieprasīt datu dzēšanu jebkurā gadījumā?

Nē. Dzēšanas tiesības (17. pants) nav absolūtas. Uzņēmums drīkst atteikt dzēšanu, ja datu glabāšanai ir juridisks pamats — piemēram, grāmatvedības vai nodokļu likumā noteiktais glabāšanas termiņš, līguma izpilde vai juridisku prasību aizstāvība. Katrs atteikums jāpamato un jāpaziņo datu subjektam. Ja pamata glabāšanai nav, dati jādzēš bez nepamatotas kavēšanās.

Secinājums

Datu subjektu pieprasījumu programmatūra automatizē VDAR 12.–22. pantā noteikto tiesību izpildi, kontrolējot viena mēneša termiņu un dokumentējot atbildi. Latvijas uzņēmumam tas ir tiešs veids, kā samazināt sūdzību un sodu risku, jo neizpildīti pieprasījumi ir viens no biežākajiem iemesliem sūdzībām DVI. Pareizais rīks reģistrē katru pieprasījumu, saista to ar apstrādes reģistru un nodrošina latviešu valodas saziņu ar datu subjektu, padarot tiesību izpildi par strukturētu procesu. Apskatiet Legiscope darbībā — piesakieties 15 minūšu demonstrācijai

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →