Datu aizsardzība

Datu aizsardzības pārkāpuma paziņošana 72 stundās (33.-34. pants) 2026

Datu aizsardzības pārkāpuma paziņošana DVI 72 stundu laikā pēc GDPR 33.-34. panta: kad, kā, saturs un paziņošana datu subjektiem.

Also available in:English·Français

Datu aizsardzības pārkāpuma gadījumā pārzinim par to jāpaziņo Datu valsts inspekcijai (DVI) bez nepamatotas kavēšanās un ne vēlāk kā 72 stundu laikā pēc tam, kad pārkāpums kļuvis tam zināms. To nosaka Vispārīgās datu aizsardzības regulas 33. pants. Vienīgais izņēmums ir gadījums, kad pārkāpums, visticamāk, nerada risku fizisko personu tiesībām un brīvībām. Ja risks ir augsts, papildus jāpaziņo arī pašiem datu subjektiem (34. pants). 72 stundu termiņš ir īss, tāpēc paziņošanas procedūrai jābūt sagatavotai iepriekš, nevis improvizētai krīzes brīdī. Šis ceļvedis izklāsta, kad paziņošana obligāta, kāds ir tās saturs, kā notiek paziņošana datu subjektiem un ko māca SIA “ZZ Dats” lieta.

Kas ir personas datu aizsardzības pārkāpums?

GDPR 4. panta 12. punkts definē personas datu aizsardzības pārkāpumu kā drošības pārkāpumu, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem. Praksē tie ir trīs pārkāpumu veidi:

  • konfidencialitātes pārkāpums — neatļauta piekļuve datiem vai to izpaušana (piemēram, datu noplūde, uzlaušana, e-pasta nosūtīšana nepareizam adresātam);
  • integritātes pārkāpums — datu neatļauta pārveidošana;
  • pieejamības pārkāpums — datu nozaudēšana vai iznīcināšana (piemēram, izspiedējvīrusa uzbrukums, kas šifrē datus).

Ne katrs incidents ir paziņojams — izšķirošais ir tas, vai pārkāpums rada risku datu subjektu tiesībām. Taču katrs incidents ir jādokumentē, kā izklāstīts tālāk.

Paziņošana DVI 72 stundu laikā (33. pants)

GDPR 33. panta 1. punkts nosaka pamatpienākumu: pārzinis par pārkāpumu paziņo DVI bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā pēc tam, kad pārkāpums tam kļuvis zināms. Termiņš sākas nevis no paša pārkāpuma brīža, bet no brīža, kad pārzinis to konstatē (kļūst tam zināms ar pietiekamu pārliecību).

Izņēmums ir šaurs: paziņošana nav vajadzīga, ja pārkāpums, visticamāk, nerada risku fizisko personu tiesībām un brīvībām. Piemēram, ja pazaudēti dati bija droši šifrēti un atslēga nav apdraudēta, risks var būt pietiekami mazs. Tomēr šis novērtējums jādokumentē — pārzinim jāspēj pamatot, kāpēc tas nolēma nepaziņot.

Ja paziņojumu nav iespējams sniegt 72 stundu laikā, to var iesniegt vēlāk, pievienojot kavēšanās pamatojumu (33. panta 1. punkts). Pieļaujama arī posmveida paziņošana (33. panta 4. punkts) — sākotnēji pieejamā informācija tiek sniegta nekavējoties, bet pārējā vēlāk, kad tā kļūst zināma.

Paziņojuma saturs (33. panta 3. punkts)

Paziņojumā DVI jāietver vismaz:

  • pārkāpuma raksturs — tostarp, ja iespējams, skarto datu subjektu kategorijas un aptuvenais skaits, kā arī skarto personas datu ierakstu kategorijas un aptuvenais skaits;
  • datu aizsardzības speciālista vai cita kontaktpunkta vārds un kontaktinformācija, kur var iegūt papildu informāciju;
  • pārkāpuma iespējamās sekas;
  • veiktie vai plānotie pasākumi pārkāpuma novēršanai un tā iespējamo nelabvēlīgo seku mazināšanai.

Latvijā paziņošana notiek caur DVI pārkāpumu paziņošanas portālu (pdap), kas nodrošina strukturētu veidlapu ar visiem prasītajiem laukiem.

Visi pārkāpumi jādokumentē (33. panta 5. punkts)

Pat ja pārkāpums netiek paziņots DVI, tas jādokumentē iekšēji (33. panta 5. punkts) — norādot pārkāpuma faktus, tā sekas un veiktos pasākumus. Šī dokumentācija ļauj DVI pārbaudīt atbilstību 33. pantam. Praksē tas nozīmē, ka organizācijai jāuztur pārkāpumu reģistrs, kurā fiksēts katrs incidents — arī tie, kas netika paziņoti, kopā ar pamatojumu, kāpēc paziņošana nebija vajadzīga. Strukturētu pamatu tam sniedz pārkāpumu pārvaldības procedūra un reģistrs.

Paziņošana datu subjektiem (34. pants)

Ja pārkāpums, visticamāk, radīs augstu risku fizisko personu tiesībām un brīvībām, pārzinim bez nepamatotas kavēšanās jāpaziņo arī pašiem datu subjektiem (34. panta 1. punkts). Paziņojumam jābūt skaidrā un vienkāršā valodā, un tajā jāapraksta pārkāpuma raksturs, kontaktpunkts, iespējamās sekas un veiktie pasākumi.

Paziņošana datu subjektiem nav vajadzīga trīs gadījumos (34. panta 3. punkts): ja dati bija aizsargāti ar atbilstošiem pasākumiem (piemēram, šifrēšanu), kas padara tos nesalasāmus; ja pārzinis pēc pārkāpuma veicis pasākumus, kas novērš augsta riska materializēšanos; vai ja individuāla paziņošana prasītu nesamērīgas pūles — tad pieļaujams publisks paziņojums. Šis slieksnis ir augstāks nekā paziņošanai DVI: DVI paziņo par jebkuru risku, bet datu subjektiem — tikai par augstu risku.

Riska novērtējums — vai pārkāpums rada risku un vai tas ir augsts — nav intuitīvs, tāpēc daudzas organizācijas to sagatavo iepriekš. Ja apstrādei jau veikts datu aizsardzības ietekmes novērtējums (35. pants), tas ievērojami atvieglo pārkāpuma seku novērtēšanu, jo riski un iespējamās sekas jau ir identificēti. Tas ir vēl viens iemesls, kāpēc preventīvie instrumenti un reaktīvā paziņošana ir savstarpēji saistīti: laba sagatavošanās pirms apstrādes uzsākšanas paātrina rīcību krīzes brīdī.

Apstrādātāja pienākums (33. panta 2. punkts)

GDPR 33. panta 2. punkts nosaka, ka apstrādātājs, konstatējis pārkāpumu, bez nepamatotas kavēšanās paziņo par to pārzinim. Apstrādātājs pats neziņo DVI — tas ir pārziņa pienākums —, bet tam nekavējoties jāinformē pārzinis, lai tas varētu ievērot 72 stundu termiņu. Tāpēc datu apstrādes līgumā (28. pants) jāietver skaidra pārkāpumu paziņošanas procedūra ar konkrētiem termiņiem, pretējā gadījumā pārzinis var uzzināt par pārkāpumu par vēlu.

Ko māca SIA “ZZ Dats” lieta?

SIA “ZZ Dats” lieta (300 000 EUR sods 2025. gada 24. oktobrī) ir Latvijas skaidrākais piemērs drošības pārkāpumam ar plašām sekām. 2024. gadā notikusī datu noplūde skāra gandrīz visas Latvijas pašvaldības, un DVI konstatēja GDPR 32. panta tehnisko un organizatorisko drošības pasākumu pārkāpumu. ZZ Dats bija apstrādātājs, tāpēc lieta ilustrē divas lietas vienlaikus: pirmkārt, apstrādātāja pienākumu nodrošināt 32. panta drošību un paziņot pārziņiem par pārkāpumu; otrkārt, pašvaldību kā pārziņu atbildību par paziņošanu DVI un datu subjektiem. Plaša mēroga pārkāpums, kas skar daudzas pašvaldības un desmitiem tūkstošu iedzīvotāju, gandrīz noteikti sasniedz “augsta riska” slieksni, kas prasa paziņošanu arī datu subjektiem saskaņā ar 34. pantu.

Lieta izgaismo arī 72 stundu termiņa praktisko izaicinājumu ķēdes apstrādē. Kad pārkāpums notiek apstrādātāja infrastruktūrā, kas apkalpo daudzus pārziņus, katram pārzinim atsevišķi jāievēro savs 72 stundu termiņš no brīža, kad tas uzzina par pārkāpumu. Ja apstrādātājs kavējas ar paziņošanu pārziņiem, tie visi vienlaikus nonāk termiņa pārkāpuma riskā. Tieši tāpēc apstrādātāja paziņošanas termiņš 28. panta līgumā jānosaka konkrēti — piemēram, 24 vai 48 stundu laikā —, lai pārzinim atliktu pietiekami daudz laika savas paziņošanas sagatavošanai.

Biežāk uzdotie jautājumi

No kura brīža sākas 72 stundu termiņš?

Termiņš sākas nevis no paša pārkāpuma, bet no brīža, kad pārzinis to konstatē — kad ar pietiekamu pārliecību uzzina, ka noticis personas datu drošības pārkāpums. Ja 72 stundu laikā paziņot nav iespējams, to var izdarīt vēlāk, pievienojot kavēšanās pamatojumu. Pieļaujama arī posmveida paziņošana, sniedzot informāciju pa daļām, kad tā kļūst zināma.

Vai vienmēr jāpaziņo datu subjektiem?

Nē. Datu subjektiem paziņo tikai tad, ja pārkāpums, visticamāk, radīs augstu risku to tiesībām un brīvībām. Šis slieksnis ir augstāks nekā paziņošanai DVI. Paziņošana datu subjektiem nav vajadzīga, ja dati bija šifrēti un nesalasāmi, ja augsta riska materializēšanās novērsta ar pēcpasākumiem vai ja individuāla paziņošana prasītu nesamērīgas pūles — tad pieļaujams publisks paziņojums.

Kas paziņo DVI — pārzinis vai apstrādātājs?

DVI paziņo pārzinis. Apstrādātājs, konstatējis pārkāpumu, bez nepamatotas kavēšanās paziņo pārzinim (33. panta 2. punkts), lai tas varētu ievērot 72 stundu termiņu. Tāpēc datu apstrādes līgumā jāiekļauj skaidra paziņošanas procedūra ar konkrētiem termiņiem, kādos apstrādātājam jāinformē pārzinis.

Secinājums

Datu aizsardzības pārkāpuma paziņošana ir viens no GDPR laika ziņā jutīgākajiem pienākumiem: pārzinim par pārkāpumu jāpaziņo DVI 72 stundu laikā pēc tā konstatēšanas, izņemot, ja pārkāpums, visticamāk, nerada risku. Ja risks ir augsts, papildus jāinformē arī datu subjekti skaidrā valodā. Paziņojumam DVI jāsatur pārkāpuma raksturs, skaitliskās kategorijas, kontaktpunkts, iespējamās sekas un veiktie pasākumi, un Latvijā to iesniedz caur DVI portālu pdap. Pat nepaziņoti pārkāpumi jādokumentē iekšējā reģistrā. Apstrādātājam par pārkāpumu nekavējoties jāziņo pārzinim, tāpēc paziņošanas procedūru jāiekļauj 28. panta līgumā. ZZ Dats lieta parāda, cik plaša var būt pārkāpuma ietekme un cik svarīga ir sagatavota procedūra. 72 stundas nav laiks, kurā izstrādāt procesu no nulles — tas jāsagatavo iepriekš. Platformas, piemēram, Legiscope, uztur pārkāpumu reģistru un paziņošanas procedūru gatavībā, sasaistot tos ar apstrādes reģistru un līgumiem un glabājot datus ES infrastruktūrā.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →