Datu aizsardzība

Integrēta datu aizsardzība (GDPR 25. pants): principi un prakse 2026

Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma (GDPR 25. pants): principi, praktiski pasākumi un DVI prasības Latvijā.

Also available in:English·Français

Integrēta datu aizsardzība (angliski data protection by design) un datu aizsardzība pēc noklusējuma (by default) pēc Vispārīgās datu aizsardzības regulas (VDAR) 25. panta prasa, lai pārzinis īstenotu atbilstošus tehniskos un organizatoriskos pasākumus datu aizsardzībai jau projektēšanas posmā un lai sistēma pēc noklusējuma apstrādātu tikai nepieciešamos personas datus. Tas nozīmē, ka datu aizsardzība nav pēdējā brīža papildinājums vai juridiska formalitāte, bet iebūvēta produkta un procesu arhitektūrā no paša sākuma. 25. pants pārvērš abstraktus principus — datu minimizāciju, glabāšanas ierobežojumu, drošību — konkrētās inženiertehniskās prasībās. Latvijā tā neievērošana ir izmaksājusi visdārgāk: Tet lietā pašapkalpošanās portāla dizaina kļūda ļāva ar svešu personas kodu iegūt citas personas datus, un sods bija 1,2 miljoni EUR. Šajā rakstā izklāstīti abi 25. panta pienākumi un to praktiskā īstenošana.

Integrēta datu aizsardzība (25. panta 1. punkts)

  1. panta 1. punkts nosaka, ka pārzinim gan apstrādes līdzekļu noteikšanas laikā (tātad projektēšanas posmā), gan pašā apstrādes laikā jāīsteno atbilstoši tehniskie un organizatoriskie pasākumi, kas paredzēti datu aizsardzības principu efektīvai īstenošanai un nepieciešamo garantiju integrēšanai apstrādē.

Izvēloties pasākumus, jāņem vērā:

  • jaunākās tehnikas (pieejamie tehnoloģiskie risinājumi);
  • īstenošanas izmaksas;
  • apstrādes raksturs, apjoms, konteksts un nolūki;
  • apstrādes radītie riski fizisko personu tiesībām un brīvībām.

Regula tieši nosauc pseidonimizāciju un datu minimizāciju kā piemērus. Būtība ir tāda, ka datu aizsardzība jāplāno pirms sistēmas izveides, nevis jālāpa pēc tam. Praksē tas nozīmē, ka datu aizsardzības apsvērumi jāiekļauj produkta prasībās, arhitektūras lēmumos un piegādātāju izvēlē.

Svarīgi saprast, ka 25. pants ir rezultāta, ne tikai nodoma pienākums: pārzinim jāspēj pierādīt, ka pasākumi patiešām efektīvi īsteno datu aizsardzības principus, nevis tikai formāli deklarēti. Eiropas Datu aizsardzības kolēģija (EDAK) savās vadlīnijās par 25. pantu uzsver, ka pasākumu efektivitāte jāizvērtē konkrētā apstrādes kontekstā un jāpārbauda visā apstrādes dzīves ciklā, ne tikai vienreiz projektēšanas sākumā. Tāpēc integrēta datu aizsardzība nav vienreizējs projekta posms, bet nepārtraukta prasība, kas jāpārskata ikreiz, kad mainās sistēma vai apstrādes nolūks.

Datu aizsardzība pēc noklusējuma (25. panta 2. punkts)

  1. panta 2. punkts pieprasa, lai pārzinis īstenotu pasākumus, kas nodrošina, ka pēc noklusējuma tiek apstrādāti tikai tie personas dati, kas nepieciešami katram konkrētam apstrādes nolūkam. Šis pienākums attiecas uz:
  • savākto datu apjomu;
  • apstrādes apmēru;
  • datu glabāšanas laiku;
  • datu pieejamību.

Praktiski nozīmīgākā prasība: personas datus pēc noklusējuma bez personas iejaukšanās nedrīkst darīt pieejamus nenoteiktam personu skaitam. Piemēram, jauna profila privātuma iestatījumiem pēc noklusējuma jābūt visstingrākajiem, un lietotājam pašam jāizvēlas tos atvieglot — nevis otrādi. “Pēc noklusējuma privāts” ir 25. panta 2. punkta kodols.

Sertifikācija (25. panta 3. punkts)

  1. panta 3. punkts paredz, ka apstiprināta sertifikācijas mehānisma (42. pants) izmantošana var kalpot par elementu, kas apliecina atbilstību 25. panta prasībām. Sertifikācija nav obligāta un pati par sevi neatbrīvo no atbildības, bet var būt daļa no pārskatatbildības pierādījumiem.

Praktiski pasākumi

  1. pants ir princips, kas prasa konkrētu īstenošanu. Zemāk — pasākumi, kas praksē realizē integrētu datu aizsardzību.

Datu minimizācija

Vāc tikai tos datus, kas patiešām nepieciešami nolūkam. Katram veidlapas laukam jābūt pamatojumam — ja datu nolūkam nevajag, to nevāc. Tas ir gan 5. panta minimizācijas princips, gan 25. panta praktiskā izpausme.

Pseidonimizācija

Aizstāj tiešos identifikatorus ar pseidonīmiem tā, ka datus bez papildu informācijas nevar saistīt ar konkrētu personu. Pseidonimizācija samazina noplūdes sekas, jo pati datu kopa vairs tieši neidentificē personas.

Piekļuves kontrole

Ierobežo piekļuvi datiem pēc principa “nepieciešams zināt”: katram darbiniekam vai sistēmai piekļuve tikai tiem datiem, kas vajadzīgi konkrētam uzdevumam. Tieši piekļuves kontroles trūkums bija Tet lietas kodols.

Noklusējuma privātuma iestatījumi

Pēc noklusējuma visstingrākie iestatījumi. Jauns konts, jauna funkcija, jauns pakalpojums — sāk ar minimālu datu izpaušanu, un lietotājs pats izvēlas to paplašināt.

Tet: klasisks by-design trūkums

SIA “Tet” lieta ir Latvijas mācību piemērs par to, kas notiek, kad integrēta datu aizsardzība nav ievērota. Pašapkalpošanās portāls bija projektēts tā, ka, zinot svešu personas kodu, varēja iegūt attiecīgās personas vārdu, uzvārdu un adresi. Tā ir tieša 25. panta pārkāpuma ilustrācija: sistēmas dizains ļāva nepiederošai personai piekļūt citu cilvēku datiem, jo trūka atbilstošas identitātes pārbaudes un piekļuves kontroles. Papildus Tet neveica personas identitātes pārbaudi pirms “Tet+” straumēšanas pakalpojuma aktivizēšanas, un 2020. gada decembrī pakalpojums tika reģistrēts, izmantojot nepilngadīgā datus. Lieta saistīta ar 5., 7., 25. un 32. pantu. Rezultāts — 1,2 miljoni EUR, lielākais GDPR sods Latvijā, ko 2023. gada aprīlī spēkā atstāja Rīgas pilsētas tiesa un 2024. gada jūnijā apstiprināja Rīgas apgabaltiesa. Ja portāls būtu projektēts ar korektu identitātes pārbaudi un piekļuves kontroli pēc noklusējuma, pārkāpuma nebūtu.

Kā ieviest 25. pantu izstrādes procesā

Integrēta datu aizsardzība nav vienreizējs pasākums, bet process, kas iekļauts produkta izstrādes ciklā. Praksē to īsteno ar dažiem konkrētiem soļiem. Prasību posmā katrai jaunai funkcijai uzdod jautājumu, kādi personas dati tai patiešām nepieciešami un ar kādu tiesisko pamatu — tā datu minimizācija tiek iekļauta specifikācijā, nevis pievienota vēlāk. Arhitektūras posmā izšķir, kur dati tiek glabāti, kā tie tiek šifrēti un pseidonimizēti un kā tiek īstenota piekļuves kontrole pēc principa “nepieciešams zināt”.

Izstrādes posmā noklusējuma iestatījumus konfigurē kā visstingrākos, glabāšanas termiņus iebūvē kā automātisku dzēšanu, un datu eksportu strukturētā formātā paredz jau sākotnēji. Testēšanas posmā pārbauda, vai nepiederoša persona nevar piekļūt svešiem datiem — tieši šī pārbaude Tet gadījumā nebija veikta. Visbeidzot piegādātāju izvēlē priekšroku dod tiem, kas paši nodrošina atbilstošus tehniskos pasākumus, un to fiksē līgumā. Šāda pieeja pārvērš 25. pantu no juridiskas prasības par inženiertehnisku standartu, kas darbojas automātiski.

25. pants kopainā ar citiem pienākumiem

Integrēta datu aizsardzība ir organizatoriskais pamats, uz kura balstās citi pienākumi. Augsta riska apstrādēm 25. pants darbojas roku rokā ar datu aizsardzības ietekmes novērtējumu (DPIA, 35. pants) — DPIA identificē riskus, un 25. panta pasākumi tos mazina jau dizainā. Katra apstrāde ar tās pasākumiem jāfiksē apstrādes darbību reģistrā (ROPA, 30. pants). Kad datus apstrādā ārpakalpojuma sniedzējs, 25. panta prasības jāpārnes uz to ar datu apstrādes līgumu (DPA, 28. pants), jo apstrādātājam arī jānodrošina atbilstoši tehniskie un organizatoriskie pasākumi. Datu aizsardzība pēc noklusējuma tieši ietekmē piekrišanas (7. pants) dizainu — neatzīmētas rūtiņas un skaidra nošķiršana ir by-default princips praksē. Savukārt eksporta funkcija, kas iebūvēta jau sistēmas dizainā, atvieglo datu pārnesamības tiesību (20. pants) izpildi. Nacionālās prasības papildus nosaka Fizisko personu datu apstrādes likums, un Datu valsts inspekcija (DVI) šos pasākumus vērtē pārbaudēs.

Biežāk uzdotie jautājumi

Kāda ir atšķirība starp “by design” un “by default”?

Integrēta datu aizsardzība (by design) nozīmē, ka datu aizsardzības pasākumi tiek iebūvēti sistēmā jau projektēšanas posmā. Datu aizsardzība pēc noklusējuma (by default) nozīmē, ka bez lietotāja iejaukšanās tiek apstrādāti tikai nepieciešamie dati un iestatījumi pēc noklusējuma ir visstingrākie.

Vai 25. pants attiecas uz maziem uzņēmumiem?

Jā. 25. pants attiecas uz katru pārzini neatkarīgi no izmēra. Pasākumu apjoms ir samērīgs — jāņem vērā izmaksas, apstrādes raksturs un riski —, taču pats pienākums iebūvēt datu aizsardzību sistēmā ir universāls.

Kādi ir tipiski integrētas datu aizsardzības pasākumi?

Datu minimizācija (vāc tikai nepieciešamo), pseidonimizācija, piekļuves kontrole pēc principa “nepieciešams zināt”, noklusējuma privātuma iestatījumi un iebūvēti glabāšanas termiņi ar automātisku dzēšanu. Pati regula tieši nosauc pseidonimizāciju un datu minimizāciju.

Vai sertifikācija ir obligāta?

Nē. Sertifikācija (25. panta 3. punkts, 42. pants) ir brīvprātīga un pati par sevi neatbrīvo no atbildības, taču to var izmantot kā elementu, kas apliecina atbilstību 25. panta prasībām.

Secinājums

Integrēta datu aizsardzība pēc VDAR 25. panta pārvērš datu aizsardzības principus konkrētās inženiertehniskās un organizatoriskās prasībās: pasākumi jāiebūvē jau projektēšanas posmā (by design), un sistēmai pēc noklusējuma jāapstrādā tikai nepieciešamie dati (by default). Praktiskie instrumenti ir datu minimizācija, pseidonimizācija, piekļuves kontrole un noklusējuma privātuma iestatījumi. Tet 1,2 miljonu EUR sods rāda, ka dizaina kļūda — piekļuve svešiem datiem ar personas kodu — nav teorētisks risks, bet dārga realitāte. Praktiskais sākumpunkts ir katras jaunas apstrādes riska novērtējums un pasākumu fiksēšana reģistrā. Platforma Legiscope palīdz saistīt apstrādes, riskus un pasākumus vienotā sistēmā ES infrastruktūrā. Sāciet ar principu “pēc noklusējuma privāts” — tas ir vienkāršākais veids, kā 25. pantu padarīt par ikdienas praksi, nevis dokumentu.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →