Latvijas datu privātuma likumi: VDAR, DVI uzraudzība un atbilstības ceļvedis (2026)

Latvija datu privātumu īsteno ar ES Vispārīgo datu aizsardzības regulu (VDAR, Regula 2016/679) un nacionālo Fizisko personu datu apstrādes likumu, kas spēkā kopš 2018. gada 5. jūlija, ko papildina Satversmes 96. pantā noteiktā konstitucionālā garantija un Krimināllikuma 145. pantā paredzētie kriminālsodi.
Latvijā darbojas viens no visplašākajiem datu aizsardzības regulējumiem ES, apvienojot tieši piemērojamo VDAR ar nacionālajiem ieviešanas tiesību aktiem, kriminālsankcijām un konstitucionālu privātuma garantiju, kas pastāv jau vairāk nekā desmit gadus pirms VDAR. Uzņēmumiem, kas apstrādā Latvijas iedzīvotāju datus, atbilstībai jāpievērš uzmanība visiem trim līmeņiem.
Šajā rakstā aplūkots pilns Latvijas datu aizsardzības regulējums: konstitucionālais pamats, ieviešanas likums, uzraudzības iestādes pilnvaras un uzraudzības prakse, paziņošana par pārkāpumiem, datu subjekta tiesības, prasības datu aizsardzības speciālistam, pārrobežu datu nosūtīšana, ES Mākslīgā intelekta akta pārklāšanās un kriminālatbildība saskaņā ar Latvijas Krimināllikumu.
Šis raksts aplūko Latvijas datu aizsardzības tiesības saskaņā ar VDAR un nacionālo Fizisko personu datu apstrādes likumu. Tas neaplūko nozarei specifiskus regulējumus, piemēram, elektronisko sakaru tiesības vai finanšu uzraudzības noteikumus. ES līmeņa regulējumu skatīt mūsu ES datu privātuma likumu pārskatā. Latvijas sarunu ierakstīšanas piekrišanas noteikumus skatīt sadaļā Latvijas ierakstīšanas likumi.
Ātrā atbilde: kādi ir Latvijas datu privātuma likumi?
Latvijas galvenie datu privātuma instrumenti ir ES Vispārīgā datu aizsardzības regula (VDAR, Regula 2016/679) un Fizisko personu datu apstrādes likums, kas stājās spēkā 2018. gada 5. jūlijā. VDAR ir tieši piemērojama visās ES dalībvalstīs bez transponēšanas; nacionālais likums to papildina jomās, kurās VDAR dalībvalstīm piešķir rīcības brīvību. Abu instrumentu ievērošanu uzrauga Datu valsts inspekcija (DVI). Privātumam ir arī konstitucionāla aizsardzība saskaņā ar Latvijas Satversmes 96. pantu, ko Satversmes tiesa izmantojusi, lai atceltu nesamērīgas datu atklāšanas prasības. Lielākajai daļai praktisko atbilstības jautājumu noteicošie ir VDAR pienākumi; FPDAL papildina ar nacionālām īpatnībām attiecībā uz piekrišanas vecumu, datu aizsardzības speciālista kvalifikācijas pārbaudi, datu apstrādi darba tiesisko attiecību kontekstā un kriminālprocesa uzsākšanas kārtību.
Konstitucionālais pamats: Satversmes 96. pants
Latvijas apņemšanās aizsargāt privātumu konstitucionāli sakņojas laikā pirms VDAR. Satversmes 96. pants nosaka: "Ikvienam ir tiesības uz privātās dzīves, mājokļa un korespondences neaizskaramību." Latvijas Satversmes tiesa ir atzinusi, ka 96. pants aptver arī personas datu aizsardzību, ne tikai fiziskas telpas un saziņu.
Satversmes tiesa 96. pantu aktīvi piemērojusi datu aizsardzības kontekstā. 2021. gada spriedumā tiesa atzina, ka Ceļu satiksmes likuma 141. panta otrā daļa, kas personas pārkāpumu punktus padarīja par vispārpieejamu publisku informāciju, nav savienojama ar 96. pantu, jo privātās dzīves ierobežojums nebija samērīgs ne ar vienu leģitīmu sabiedrības interesi. Agrākās lietās tiesa vērtēja, vai tiesību akts, kas publiskā sektora darba devējiem prasīja savās tīmekļvietnēs vismaz astoņus gadus publicēt darbinieku atalgojuma datus, ir saderīgs ar 96. pantu, un konstatēja nesamērīgu iejaukšanos privātajā dzīvē.
Šie spriedumi nosaka neatkarīgu nacionālo standartu: pat ja ES tiesības neprasa konkrētu aizsardzības līmeni, Latvijas tiesību aktus, kas atklāj personas datus bez pietiekama pamatojuma, var atcelt saskaņā ar Satversmi. Konstitucionālais pamats nostiprina VDAR un pievieno papildu slāni, kas nacionālajam likumdevējam jāievēro, īstenojot VDAR dalībvalstīm piešķirto rīcības brīvību.

Fizisko personu datu apstrādes likums (FPDAL)
Fizisko personu datu apstrādes likumu Latvijas Saeima pieņēma 2018. gada 21. jūnijā, un tas stājās spēkā 2018. gada 5. jūlijā. Tas aizstāja iepriekšējo Fizisko personu datu aizsardzības likumu, kas datu apstrādi Latvijā regulēja kopš 2000. gada. Jaunais likums tika izstrādāts tieši, lai īstenotu VDAR pieejamās nacionālās rīcības brīvības, nevis lai izveidotu neatkarīgu datu aizsardzības regulējumu.
Struktūra un galvenie noteikumi
FPDAL veido deviņas nodaļas ar 39 pantiem. Nodaļas regulē: likuma darbības jomu; uzraudzības iestādi un tās pilnvaras; likumīgus apstrādes pamatus konkrētos nacionālos kontekstos; datu subjekta tiesības un to īstenošanu; pārziņu un apstrādātāju pienākumus; tiesiskās aizsardzības līdzekļus, atbildību un administratīvās sankcijas; noziedzīgus nodarījumus; un pārejas noteikumus.
Galvenie nacionālie noteikumi, ko FPDAL pievieno VDAR regulējumam, ir šādi:
- Bērnu digitālās piekrišanas vecums. FPDAL nosaka minimālo vecumu derīgai piekrišanai informācijas sabiedrības pakalpojumiem 13 gadus, izmantojot VDAR 8. pantā paredzēto iespēju pazemināt noklusējuma slieksni no 16 gadiem. Bērniem, kas jaunāki par 13 gadiem, nepieciešama vecāku vai aizbildņa piekrišana.
- Personas kods. FPDAL nosaka īpašus noteikumus Latvijas personas koda apstrādei, kas ir īpaši sensitīvs identifikators, ko izmanto gan publiskajā, gan privātajā pārvaldē.
- Datu aizsardzības speciālista kvalifikācijas pārbaude. FPDAL piešķir DVI pilnvaras organizēt datu aizsardzības speciālistu kvalifikācijas eksāmenus un uzturēt sertificētu kandidātu sarakstu. DVI sarakstā iekļauta datu aizsardzības speciālista iecelšana nav obligāta, taču pārziņi var izvēlēties kandidātu no šī saraksta.
- Datu apstrāde darba tiesisko attiecību kontekstā. FPDAL pieļauj noteiktas apstrādes darbības darba tiesiskajās attiecībās, tostarp apstrādi saistībā ar pieļaujamiem jautājumiem darba interviju laikā un apstrādi saistībā ar darba devēja pienākumu noskaidrot arodbiedrības dalību pirms uzteikuma izsniegšanas.
- Sabiedrības interešu un pētniecības atkāpes. FPDAL ievieš VDAR paredzētās pētniecības un arhivēšanas atkāpes, ierobežojot datu subjekta piekļuves, labošanas, dzēšanas un iebilduma tiesības attiecībā uz apstrādi, kas veikta zinātniskiem, vēsturiskiem vai statistikas nolūkiem, ciktāl šo tiesību īstenošana būtiski kavētu pētniecības mērķi.
Valodas prasības
FPDAL nenosaka privātuma paziņojumu valodu. Tomēr Latvijas valsts valodas tiesību akti prasa, lai saziņa ar patērētājiem, valsts iestādēm un darbiniekiem notiktu latviešu valodā. Praksē privātuma paziņojumiem un piekrišanas veidlapām, kas adresētas Latvijas iedzīvotājiem, jābūt pieejamām latviešu valodā.
Datu valsts inspekcija (DVI)
Datu valsts inspekcija (DVI) ir Latvijas nacionālā uzraudzības iestāde personas datu aizsardzības jomā. DVI, kas dibināta 2001. gadā un darbojas kā funkcionāli neatkarīga iestāde Ministru kabineta pakļautībā, ir visas VDAR 58. pantā noteiktās pilnvaras.
Izmeklēšanas pilnvaras
DVI drīkst veikt datu aizsardzības pārbaudes, apmeklēt telpas, kurās notiek apstrāde, ar visiem likumīgajiem līdzekļiem pieprasīt informāciju no pārziņiem un apstrādātājiem, kā arī iegūt piekļuvi visiem personas datiem un informācijai, kas nepieciešama tās izmeklēšanai. Tā var arī uzdot paziņotajai institūcijai iesniegt revīzijas ziņojumus un pieprasīt piekļuvi sertifikācijas institūcijām.
Korektīvās pilnvaras
DVI drīkst izdot brīdinājumus, ja plānotā apstrāde varētu pārkāpt VDAR, izdot rājienus, ja apstrāde to jau ir pārkāpusi, uzdot pārziņiem un apstrādātājiem izpildīt datu subjekta pieprasījumus, noteikt pagaidu vai pastāvīgus apstrādes aizliegumus un piemērot administratīvos naudas sodus saskaņā ar VDAR 83. pantu. Tā var arī atsaukt vai apturēt sertifikātu.
Konsultatīvās un atļauju piešķiršanas pilnvaras
DVI sniedz atzinumus par tiesību aktu projektiem un administratīviem pasākumiem. Tā apstiprina saistošos uzņēmuma noteikumus (SUN). Tā publicē vadlīnijas par konkrētiem apstrādes jautājumiem un izskata datu subjektu sūdzības. Pārziņiem, kas vēlas izmantot SUN kā nosūtīšanas mehānismu, pirms to izmantošanas jāsaņem DVI apstiprinājums.
Datu aizsardzības speciālista sertifikācijas funkcija
DVI sertifikācijas funkcija datu aizsardzības speciālistiem ir īpatna salīdzinājumā ar citām ES uzraudzības iestādēm. Inspekcija organizē kvalifikācijas eksāmenus un uztur publiski pieejamu sarakstu ar datu aizsardzības speciālistiem, kas tos nokārtojuši. Šī funkcija organizācijām nodrošina valsts apstiprinātu mehānismu kvalificētu kandidātu noteikšanai, lai gan tas nav vienīgais pieļaujamais veids, kā iecelt datu aizsardzības speciālistu saskaņā ar VDAR 37. panta 5. punktu.
DVI stratēģiskās prioritātes
DVI stratēģiskais plāns 2021.-2025. gadam par prioritāti izvirzīja līdzsvarotu pieeju: smagu pārkāpumu apkarošanu, apvienojot to ar izglītošanu un proaktīvām vadlīnijām pārziņiem un apstrādātājiem. Inspekcija strādāja, lai samazinātu birokrātisko slogu, vienlaikus nodrošinot jēgpilnus tiesiskās aizsardzības līdzekļus datu subjektiem. Plāna perioda beigās DVI pievērsusi papildu uzmanību ar mākslīgo intelektu saistītiem datu apstrādes riskiem pēc ES Mākslīgā intelekta akta stāšanās spēkā.
Apstrādes tiesiskie pamati
Latvija nemaina VDAR 6. panta 1. punktā noteiktos sešus apstrādes tiesiskos pamatus. Pārziņiem pirms apstrādes uzsākšanas jānosaka un jādokumentē derīgs tiesiskais pamats. Seši pamati ir šādi:
| Tiesiskais pamats | VDAR pants | Galvenie apsvērumi Latvijā |
|---|---|---|
| Piekrišana | 6. panta 1. punkta a) apakšpunkts | Jābūt brīvi dotai, konkrētai, informētai un nepārprotamai. DEPO DIY uzraudzības lieta noteica, ka pakalpojuma pieejamības padarīšana atkarīga no piekrišanas atceļ tās brīvprātīgo raksturu. |
| Līgums | 6. panta 1. punkta b) apakšpunkts | Apstrādei jābūt objektīvi nepieciešamai līguma izpildei, nevis tikai ērtai. |
| Juridisks pienākums | 6. panta 1. punkta c) apakšpunkts | Pienākumam jābūt noteiktam pārzinim ar ES vai Latvijas tiesību aktu. |
| Vitāli svarīgas intereses | 6. panta 1. punkta d) apakšpunkts | Attiecas tikai uz situācijām, kad datu subjekts nevar dot piekrišanu un ir apdraudēta dzīvība. |
| Sabiedrības interesēs veikts uzdevums | 6. panta 1. punkta e) apakšpunkts | Attiecas uz valsts iestādēm un privātām struktūrām, kas īsteno oficiālas pilnvaras. |
| Leģitīmas intereses | 6. panta 1. punkta f) apakšpunkts | Nepieciešams līdzsvara tests; nav pieejams valsts iestādēm, kas darbojas oficiālo pilnvaru ietvaros. DVI šo pamatu rūpīgi vērtē darba tiesisko attiecību un mārketinga kontekstā. |
Attiecībā uz īpašu kategoriju datiem saskaņā ar VDAR 9. pantu (veselības, biometriskie, ģenētiskie, rases, reliģiskie, politiskie un līdzīgi dati) FPDAL neievieš papildu nacionālos nosacījumus papildus 9. panta 2. punktā minētajiem izņēmumiem. Pārziņiem jāpaļaujas uz vienu no šiem uzskaitītajiem izņēmumiem, kā arī uz tiesisko pamatu saskaņā ar 6. pantu.
Datu subjekta tiesības
Latvija īsteno standarta astoņas VDAR datu subjekta tiesības: tiesības uz informāciju (13.-14. pants), piekļuvi (15. pants), labošanu (16. pants), dzēšanu (17. pants), apstrādes ierobežošanu (18. pants), pārnesamību (20. pants), iebildumu (21. pants) un tiesības saistībā ar automatizētu lēmumu pieņemšanu (22. pants). FPDAL dažām no šīm tiesībām ievieš nacionāli specifiskus ierobežojumus.
Piekļuves tiesību ierobežojumi
Piekļuves tiesības nav piemērojamas, ja apstrāde tiek veikta valsts drošības, valsts aizsardzības, sabiedriskās drošības, krimināltiesisku darbību vai nodokļu un finanšu tirgus dalībnieku uzraudzības nolūkos. Pārziņiem, kas paļaujas uz šiem izņēmumiem, tomēr jāinformē datu subjekti par to, ka notiek apstrāde (izņemot, ja pat tas apdraudētu drošības nolūkus), un jāinformē DVI.
Pētniecības un arhivēšanas atkāpes
Zinātniskās vai vēsturiskās pētniecības, statistikas nolūkiem vai arhivēšanas nolūkiem sabiedrības interesēs datu subjektu piekļuves, labošanas, dzēšanas un iebilduma tiesības var ierobežot tiktāl, ciktāl to pilnīga īstenošana kavētu vai nopietni traucētu pētniecības vai arhivēšanas mērķi. Pārziņiem, kas paļaujas uz šīm atkāpēm, jābūt ieviestiem atbilstošiem aizsardzības pasākumiem.
Oficiālas publikācijas
Attiecībā uz datiem, kas apstrādāti oficiālās publikācijās, piemēram, oficiālajos izdevumos, tiesības uz dzēšanu automātiski nav piemērojamas, lai gan DVI var uzdot dzēst datus, ja tā secina, ka datu subjekta tiesības ir svarīgākas par sabiedrības interesi publicēšanā.
Prasības paziņošanai par pārkāpumiem
Latvija ievēro VDAR 33. un 34. pantā noteikto paziņošanas par pārkāpumiem regulējumu bez būtiskām nacionālām atkāpēm. ZZ Dats lieta (aplūkota uzraudzības sadaļā) ilustrē neatbilstošas paziņošanas un drošības pasākumu sekas.
Paziņošana DVI
Pārzinim 72 stundu laikā pēc uzzināšanas par personas datu aizsardzības pārkāpumu jāpaziņo par to DVI, izņemot, ja nav ticams, ka pārkāpums radīs risku fizisko personu tiesībām un brīvībām. Ja paziņošana kavējas ilgāk par 72 stundām, pārzinim jāsniedz pamatots kavējuma skaidrojums. Paziņojumus par pārkāpumiem iesniedz DVI īpašajā tiešsaistes portālā pazinojums.dvi.gov.lv.
Paziņojumā jāietver: pārkāpuma raksturs un skarto datu kategorijas; aptuvenais skarto datu subjektu un ierakstu skaits; datu aizsardzības speciālista vai cita kontaktpunkta vārds, uzvārds un kontaktinformācija; iespējamo seku apraksts; kā arī veikto vai plānoto pasākumu apraksts pārkāpuma novēršanai un tā seku mazināšanai.
Skarto personu informēšana
Ja ir ticams, ka pārkāpums radīs augstu risku personu tiesībām un brīvībām, pārzinim bez nepamatotas kavēšanās jāinformē arī skartie datu subjekti. Paziņojumam pārkāpums jāapraksta skaidrā, vienkāršā valodā, un tajā jāsniedz tā pati informācija par sekām un novēršanas pasākumiem.
Personu informēšana nav nepieciešama, ja: pārzinis piemērojis šifrēšanu vai citus pasākumus, kas padara datus nesaprotamus; turpmāki pasākumi novērsuši augsto risku; vai individuāla informēšana prasītu nesamērīgas pūles, un tādā gadījumā to var aizstāt ar publisku paziņojumu.
Apstrādātāja pienākumi
Apstrādātājiem bez nepamatotas kavēšanās jāinformē pārzinis pēc uzzināšanas par pārkāpumu, neatkarīgi no tā, vai pārkāpums, iespējams, radīs risku datu subjektiem. Šis pienākums apstrādātājam ir beznosacījuma; tieši pārziņa turpmākais vērtējums nosaka, vai jāinformē DVI un personas.

DVI uzraudzības pasākumi un ievērojamākie naudas sodi
Latvija nav starp ES aktīvākajām VDAR uzraudzības iestādēm pēc lietu skaita, taču DVI ir piemērojusi būtiskus naudas sodus un vērsusies pret sistēmiskiem pārkāpumiem dažādās nozarēs. Turpmāk aprakstītas nozīmīgākās uzraudzības lietas.
SIA Tet: 1 200 000 eiro (lēmums 2022. gadā, tiesa apstiprina 2024. gada jūnijā)
Lielākais VDAR naudas sods Latvijas vēsturē tika piemērots SIA Tet, vienam no Latvijas lielākajiem telekomunikāciju un interneta pakalpojumu uzņēmumiem. DVI pēc savas iniciatīvas uzsāka izmeklēšanu par Tet praksi nodot klientu personas datus ārpustiesas parādu piedziņas pakalpojumu sniedzējiem.
DVI konstatēja vairākus VDAR 5. panta 1. punkta un 6. panta 1. punkta pārkāpumus. Konkrēti, Tet pirms pakalpojumu līgumu noslēgšanas nepārbaudīja klientu identitāti. Nododot personas datus parādu piedziņas pakalpojumu sniedzējiem, uzņēmums nebija pārliecinājies, vai pamatā esošie klientu dati ir precīzi. Vienā gadījumā, tā kā Tet nebija pārbaudījusi klienta iesniegto informāciju, nepilngadīgas personas dati bez jebkāda tiesiskā pamata vai piekrišanas tika nodoti parādu piedziņas uzņēmumam. Tet arī bez atļaujas savās sistēmās salīdzināja vecos un jaunos klientu datus, pārkāpjot nolūka ierobežojuma un precizitātes principus.
DVI sākotnēji piemēroja 3 200 000 eiro naudas sodu. Ņemot vērā mīkstinošus apstākļus, tostarp uzņēmuma sadarbību izmeklēšanā un veiktos koriģējošos pasākumus, DVI naudas sodu samazināja līdz 1 200 000 eiro. Tet lēmumu pārsūdzēja tiesā. 2024. gada jūnijā Rīgas apgabaltiesa DVI lēmumu atstāja spēkā pilnībā. Spriedums ir galīgs un nav tālāk pārsūdzams.
SIA ZZ Dats: 300 000 eiro (2025. gada oktobris)
- gada oktobrī DVI piemēroja 300 000 eiro naudas sodu SIA ZZ Dats, IT pakalpojumu uzņēmumam, kas Latvijas pašvaldībām darbojas kā datu apstrādātājs. Lieta radās saistībā ar datu aizsardzības pārkāpumu, kas notika laikā no 2024. gada 29. oktobra līdz 2. novembrim, kad tehniska ievainojamība ZZ Dats Vienotajā pašvaldību informācijas sistēmā ļāva nesankcionētām personām piekļūt personas datiem un tos kopēt.
Pārkāpums skāra 42 Latvijas pašvaldības (visas, izņemot Rīgu). Apdraudētie dati ietvēra pašvaldību iedzīvotāju un darbinieku vārdus, uzvārdus, personas kodus un adreses. DVI konstatēja, ka ZZ Dats pārkāpusi VDAR 32. pantu, neieviešot drošības pasākumus, kas atbilstu tās apstrādes darbību riskam.
Papildus naudas soda piemērošanai ZZ Dats, DVI izteica rājienus arī pašvaldībām to kā datu pārziņu statusā, kuras apstrādi bija deleģējušas ZZ Dats. ZZ Dats naudas sodu ir pārsūdzējusi Rīgas pilsētas tiesā. Šī lieta ir nozīmīgākā publiskā sektora datu aizsardzības pārkāpuma uzraudzības lieta Latvijas VDAR uzraudzības vēsturē.
SIA DEPO DIY: piekrišanas pārkāpumi
DVI izmeklēja SIA DEPO DIY, lielu mazumtirdzniecības tīklu, pēc patērētāju sūdzību saņemšanas. Klientiem, kas atteicās no lojalitātes kartes un tādējādi no piekrišanas personas datu apstrādei, tika liegta piekļuve noteiktiem papildu pakalpojumiem. DVI atzina, ka piekrišanu saskaņā ar VDAR 4. panta 11. punktu nevar uzskatīt par brīvi dotu, ja tās atteikums izraisa pakalpojuma zaudēšanu. Inspekcija arī konstatēja, ka DEPO DIY nepareizi norādījusi piekrišanu kā tiesisko pamatu ar rēķiniem saistītai apstrādei, kaut arī šī apstrāde faktiski nebija atkarīga no klienta izvēles, kā arī konstatēja datu minimizēšanas principa pārkāpumus.
SIA Lursoft IT: 65 000 eiro
DVI piemēroja SIA Lursoft IT 65 000 eiro naudas sodu par maksātnespējas reģistra datu publicēšanu pēc maksātnespējas procesa izbeigšanas, kā arī par nepubliskiem uzņēmumu reģistrācijas numuriem, kas saņemti no Uzņēmumu reģistra, publicēšanu, pārkāpjot vienošanos ar šo iestādi. DVI konstatēja VDAR 5. panta 1. punkta a), b), c) apakšpunkta un 6. panta 1. punkta pārkāpumus, secinot, ka Lursoft nebija tiesiska pamata turpināt apstrādāt un publicēt šos datus.
SIA QUANTRUM: audio ierakstīšana ar videonovērošanas kamerām
DVI konstatēja, ka SIA QUANTRUM ar videonovērošanas kamerām veikusi arī audio ierakstīšanu, pārkāpjot VDAR 5. panta 1. punkta a) un c) apakšpunktu un 6. panta 1. punktu. Inspekcija uzdeva uzņēmumam pārtraukt audio ierakstīšanu saistībā ar tā videonovērošanas sistēmu. Lieta noteica, ka audio fiksācijai kopā ar videonovērošanu nepieciešams īpašs, neatkarīgs pamatojums, un lielākajā daļā komerciālo apstākļu tā, visticamāk, ir nesamērīga.
Interneta veikals: 7000 eiro (2019. gads)
Viena no DVI agrākajām VDAR uzraudzības lietām bija 7000 eiro naudas sods, kas tika piemērots interneta veikalam par datu aizsardzības pārkāpumiem. Lai gan salīdzinājumā ar vēlākajiem naudas sodiem tas bija neliels, lieta jau no paša sākuma apliecināja DVI nodomu īstenot VDAR prasības visās nozarēs.
Prasības datu aizsardzības speciālistam
Latvija nepaplašina obligātās datu aizsardzības speciālista iecelšanas prasības ārpus tām, kas noteiktas VDAR 37. panta 1. punktā. Datu aizsardzības speciālists jāieceļ trīs gadījumos: ja apstrādi veic valsts iestāde vai institūcija (izņemot tiesas, kas darbojas tiesu varas ietvaros); ja pamatdarbība prasa regulāru un sistemātisku datu subjektu novērošanu lielā apmērā; un ja pamatdarbība ietver īpašu kategoriju datu vai ar sodāmību saistītu datu apstrādi lielā apmērā.
DVI kvalificēto speciālistu saraksts
DVI uztur publiski pieejamu sarakstu ar personām, kas nokārtojušas tās datu aizsardzības speciālistu kvalifikācijas eksāmenus. Pārziņi un apstrādātāji drīkst iecelt kandidātu no šī saraksta vai jebkuru citu personu, kurai ir ekspertu zināšanas un profesionālās īpašības, kas nepieciešamas saskaņā ar VDAR 37. panta 5. punktu. DVI arī periodiski veic pārbaudes, lai pārliecinātos, ka esošie datu aizsardzības speciālisti joprojām atbilst kvalifikācijas standartam.
Ja datu aizsardzības speciālists ir iecelts, pārzinim vai apstrādātājam jāpublicē viņa kontaktinformācija un jāpaziņo tā DVI. Datu aizsardzības speciālists nedrīkst saņemt norādījumus par savu uzdevumu izpildi un tam jāatskaitās tieši augstākajam vadības līmenim.
Pārrobežu datu nosūtīšana
Latvija starptautiskai datu nosūtīšanai piemēro standarta VDAR V nodaļas regulējumu. Eiropas Komisijas atbilstības lēmumi nodrošina vienkāršāko nosūtīšanas mehānismu: personas dati var brīvi plūst bez papildu aizsardzības pasākumiem uz valstīm, par kurām Komisija noteikusi, ka tās nodrošina līdzvērtīgu aizsardzības līmeni. Pašreizējo atbilstības lēmumu sarakstu uztur Eiropas Komisija.
Nosūtīšanai uz valstīm, kurām nav atbilstības lēmuma, pieejamie mehānismi ir šādi:
- Standarta līguma klauzulas (SLK). 2021. gada Komisijas SLK (kas ietver pārziņa-pārziņa, pārziņa-apstrādātāja, apstrādātāja-pārziņa un apstrādātāja-apstrādātāja moduļus) ir visplašāk izmantotais mehānisms. SLK izmantošanai nav nepieciešams iepriekšējs DVI apstiprinājums.
- Saistošie uzņēmuma noteikumi (SUN). SUN grupas iekšējai datu nosūtīšanai pirms izmantošanas jāapstiprina DVI. DVI ir kompetentā uzraudzības iestāde SUN pieteikumiem, kuros vadošā loma ir Latvijai.
- Sertifikācija, rīcības kodeksi un ad hoc līgumi. Pieejami, taču praksē mazāk izplatīti.
- VDAR 49. panta atkāpes. Neregulārai nosūtīšanai, kuras pamatā ir piekrišana, līguma izpildes nepieciešamība, sabiedrības intereses, tiesību aizsardzības prasības vai vitāli svarīgas intereses. DVI jāinformē par nosūtīšanu, kas balstīta uz 49. panta 1. punkta pēdējā daļā minēto leģitīmo interešu atkāpi.
Nosūtīšanas ietekmes novērtējumi saskaņā ar Latvijas tiesību aktiem nav formāla likumiska prasība, taču EDAK vadlīnijas pēc Schrems II sprieduma tos iesaka kā riska pārvaldības rīku visai uz SLK balstītai nosūtīšanai uz augsta riska jurisdikcijām.
ES Mākslīgā intelekta akta pārklāšanās
ES Mākslīgā intelekta akts (Regula 2024/1689) stājās spēkā 2024. gada 1. augustā un tiek piemērots pakāpeniski visā ES. Aizliegumi nepieņemama riska mākslīgā intelekta praksei stājās spēkā 2025. gada 2. februārī; pārvaldības noteikumi un pienākumi vispārīga lietojuma mākslīgā intelekta modeļiem stājās spēkā 2025. gada 2. augustā; pilns regulējums, tostarp pienākumi augsta riska mākslīgā intelekta sistēmām, tiek piemērots no 2026. gada 2. augusta.
Latvijas Mākslīgā intelekta akta ieviešana
Latvija pieņēma nacionālos tiesību aktus, lai īstenotu Mākslīgā intelekta aktu vienlaikus ar DORA pienākumiem. Likums par digitālo operacionālo noturību un mākslīgā intelekta izmantošanu finanšu tirgū stājās spēkā 2025. gada 1. oktobrī. Šis likums par kompetento iestādi mākslīgā intelekta sistēmām, ko izmanto tās uzraudzītie finanšu tirgus dalībnieki, nosaka Latvijas Banku.
Mākslīgā intelekta sistēmām ārpus finanšu sektora Latvija noteikusi vairākas tirgus uzraudzības iestādes. DVI ir tirgus uzraudzības iestāde tieši attiecībā uz aizliegtu mākslīgā intelekta praksi un augsta riska mākslīgā intelekta sistēmām, kā tās definētas Mākslīgā intelekta aktā. DVI esošā VDAR pieredze padara to par dabisku iestādi mākslīgā intelekta lietojumiem, kas saistīti ar personas datu apstrādi, sistemātisku novērošanu vai biometrisko identifikāciju.
VDAR un Mākslīgā intelekta akta mijiedarbība
Mākslīgā intelekta akts un VDAR tieši mijiedarbojas attiecībā uz mākslīgā intelekta sistēmām, kas apstrādā personas datus. Ja augsta riska mākslīgā intelekta sistēma apstrādā personas datus, pārziņiem vienlaikus jāievēro abi regulējumi. Mākslīgā intelekta akta prasības par datu pārvaldību (10. pants), pārredzamību (13. pants) un atbilstības novērtējumiem papildina VDAR pienākumus attiecībā uz likumīgu apstrādi, datu minimizēšanu un pārskatatbildību.
Galvenās mijiedarbības jomas ir šādas:
- Apmācības dati. VDAR nolūka ierobežojuma un datu minimizēšanas principi attiecas uz datiem, kas izmantoti mākslīgā intelekta sistēmu apmācībai, ne tikai uz apstrādi lietošanas laikā.
- Automatizēta lēmumu pieņemšana. VDAR 22. panta tiesības attiecas uz lēmumiem, kas pieņemti, pamatojoties tikai uz automatizētu apstrādi, un kam ir tiesiskas vai līdzīgi nozīmīgas sekas, tostarp uz mākslīgā intelekta pieņemtiem lēmumiem nodarbinātības, kredītu, apdrošināšanas un publisko pakalpojumu jomā.
- Biometriskie dati. Mākslīgā intelekta sistēmas, kas izmanto biometrisko identifikāciju vai kategorizāciju, apstrādā īpašu kategoriju datus saskaņā ar VDAR 9. pantu, kam nepieciešams gan VDAR 9. panta 2. punkta izņēmums, gan atbilstība Mākslīgā intelekta akta aizliegumiem attiecībā uz reāllaika biometrisko identifikāciju publiskās vietās no attāluma.
- Datu aizsardzības ietekmes novērtējumi un Mākslīgā intelekta akta riska novērtējumi. Pārziņiem, kas ievieš augsta riska mākslīgā intelekta sistēmas, kuras vienlaikus ir augsta riska apstrāde saskaņā ar VDAR, jāveic gan datu aizsardzības ietekmes novērtējums, gan Mākslīgā intelekta akta atbilstības novērtējums, kuru tvērums būtiski pārklājas.
Sankcijas un kriminālatbildība
Latvijas sankciju regulējums apvieno VDAR administratīvos naudas sodus ar kriminālsankcijām saskaņā ar nacionālo Krimināllikumu, tādējādi iestādēm nodrošinot plašāku uzraudzības instrumentu klāstu, nekā to sniedz tikai VDAR.
Administratīvie naudas sodi saskaņā ar VDAR 83. pantu
DVI drīkst piemērot naudas sodus saskaņā ar VDAR divlīmeņu struktūru:
| Līmenis | Maksimālais naudas sods | Aptvertie pārkāpumi |
|---|---|---|
| Zemākais līmenis | 10 000 000 eiro vai 2% no globālā gada apgrozījuma (piemēro augstāko) | 8., 11., 25.-39., 42.-43. pants; apstrādātāju pienākumi; sertifikācijas institūciju pienākumi |
| Augstākais līmenis | 20 000 000 eiro vai 4% no globālā gada apgrozījuma (piemēro augstāko) | 5.-7., 9., 12.-22., 44.-49., 58. panta 2. punkts; pamatprincipi, tiesiskie pamati, datu subjekta tiesības, pārrobežu nosūtīšanas noteikumi |
DVI naudas soda apmēru aprēķina, ņemot vērā tādus faktorus kā pārkāpuma raksturs, smagums un ilgums; vai pārkāpums bijis tīšs vai nolaidīgs; skarto datu subjektu skaits; iesaistīto datu kategorijas; sadarbības pakāpe izmeklēšanā; iepriekšēji pārkāpumi; un ieviestie tehniskie un organizatoriskie pasākumi. Tet lieta (sākotnējie 3,2 miljoni eiro samazināti līdz 1,2 miljoniem eiro par sadarbību un koriģējošiem pasākumiem) ilustrē, kā praksē darbojas mīkstinoši apstākļi.
Kriminālsodi saskaņā ar Krimināllikuma 145. pantu
Latvijas Krimināllikuma 145. pants, kura nosaukums ir "Nelikumīgas darbības ar fizisko personu datiem", paredz trīs kriminālatbildības līmeņus:
Pirmais līmenis: nelikumīgas darbības ar personas datiem, kas rada būtisku kaitējumu. Sods ietver brīvības atņemšanu līdz diviem gadiem, īslaicīgu brīvības atņemšanu, piespiedu darbu vai naudas sodu.
Otrais līmenis: pārzinis vai apstrādātājs, kas veic nelikumīgu personas datu apstrādi atriebības, mantas iegūšanas vai izspiešanas nolūkā. Par to piemēro brīvības atņemšanu līdz četriem gadiem, vai alternatīvi īslaicīgu brīvības atņemšanu, piespiedu darbu vai naudas sodu.
Trešais līmenis: vardarbības, draudu, uzticēšanās ļaunprātīgas izmantošanas, viltus vai negodprātības izmantošana, lai piespiestu pārzini, apstrādātāju vai datu subjektu veikt nelikumīgas datu apstrādes darbības. Par to piemēro brīvības atņemšanu līdz pieciem gadiem.
Šīs krimināltiesību normas rada personisku atbildību fiziskām personām, papildinot organizācijas atbildību, ko regulē VDAR administratīvie naudas sodi. Vadošs darbinieks, kas konkurences priekšrocību gūšanai dod rīkojumu par nelikumīgu datu nosūtīšanu, vai kas draud datu subjektam, lai liegtu tam īstenot savas tiesības, papildus jebkuram uzņēmuma naudas sodam var saskarties ar personisku kriminālvajāšanu.
Nesenās izmaiņas (2024.-2026. gads)
Kopš iepriekšējā šī raksta pārskatīšanas Latvijas datu aizsardzības jomu ietekmējušas vairākas nozīmīgas izmaiņas.
2024. gada jūnijs: Tet naudas sods apstiprināts. Rīgas apgabaltiesa apstiprināja DVI piemēroto 1 200 000 eiro naudas sodu SIA Tet, padarot to par galīgu un nepārsūdzamu uzraudzības iznākumu. Lieta nostiprināja principu, ka telekomunikāciju pakalpojumu sniedzējiem jāpārbauda klientu dati pirms to nodošanas trešo pušu parādu piedziņas pakalpojumu sniedzējiem, un tie nedrīkst paļauties uz nepārbaudītu klientu iesniegto informāciju kā precīzu datu avotu.
2024. gada oktobris-novembris: ZZ Dats pašvaldību datu pārkāpums. No 2024. gada 29. oktobra līdz 2. novembrim tehniska ievainojamība ZZ Dats pašvaldību informācijas sistēmā ļāva nesankcionēti piekļūt 42 Latvijas pašvaldību iedzīvotāju personas datiem. Pārkāpuma rezultātā tika atklāti vārdi, uzvārdi, personas kodi un adreses. Incidents izraisīja tūlītēju DVI izmeklēšanu, kas noslēdzās ar 2025. gada oktobra naudas sodu.
2025. gada februāris: Mākslīgā intelekta akta ieviešanas plānošana. Latvijas Ministru kabinets izskatīja Viedās administrācijas un reģionālās attīstības ministrijas sagatavoto informatīvo ziņojumu par Mākslīgā intelekta akta ieviešanu, nosakot atbildīgās institūcijas un nepieciešamās darbības pirms regulas pilnas piemērošanas termiņa 2026. gada augustā.
2025. gada augusts: vispārīga lietojuma mākslīgā intelekta modeļu pienākumi stājas spēkā. No 2025. gada 2. augusta Latvijā un visās ES dalībvalstīs sāka piemērot ES Mākslīgā intelekta akta pārvaldības noteikumus un pienākumus vispārīga lietojuma mākslīgā intelekta modeļiem. Pamatmodeļu un lielo valodas modeļu nodrošinātājiem jāievēro dokumentēšanas, pārredzamības un autortiesību ievērošanas prasības.
2025. gada oktobris: DVI kļūst par mākslīgā intelekta tirgus uzraudzības iestādi. 2025. gada 1. oktobrī stājās spēkā Latvijas likums par digitālo operacionālo noturību un mākslīgā intelekta izmantošanu finanšu tirgū. Vienlaikus DVI tika oficiāli noteikta par tirgus uzraudzības iestādi aizliegtai mākslīgā intelekta praksei un augsta riska mākslīgā intelekta sistēmām, būtiski paplašinot tās uzraudzības mandātu ārpus datu aizsardzības jomas.
2025. gada oktobris: ZZ Dats naudas sods 300 000 eiro apmērā. DVI piemēroja savu otro lielāko VDAR naudas sodu IT apstrādātājam ZZ Dats par 2024. gada novembra pašvaldību datu pārkāpumu. ZZ Dats to pārsūdzējusi Rīgas pilsētas tiesā; naudas sods vēl nav galīgs.
Uzņēmumu atbilstība: praktiski soļi
Organizācijām, kas darbojas Latvijā vai apstrādā Latvijas iedzīvotāju personas datus, jāpievērš uzmanība šādām prioritātēm:
Datu kartēšana un tiesiskā pamata dokumentēšana. Dokumentēt visas apstrādes darbības Apstrādes darbību reģistrā (ADR) saskaņā ar VDAR 30. pantu. Katrai darbībai jānosaka un jādokumentē tiesiskais pamats. DEPO DIY lieta apliecina DVI gatavību rūpīgi izvērtēt, vai norādītais tiesiskais pamats ir precīzs un vai piekrišana ir patiesi brīvprātīga.
Piekrišanas mehānisma pārbaude. Pārskatīt visus piekrišanas procesus, lai pārliecinātos, ka piekrišana ir konkrēta, informēta, brīvi dota un nepārprotama. Jānodrošina, ka atteikšanās no piekrišanas nerada tādu pakalpojumu zaudēšanu, uz kuriem personai citādi būtu tiesības.
Paziņošanas par pārkāpumiem procedūras. Jāizveido dokumentētas iekšējās procedūras pārkāpumu atklāšanai, smaguma novērtēšanai un paziņošanai DVI 72 stundu laikā. ZZ Dats lieta apliecina, ka neatbilstoši tehniskie drošības pasākumi, kas noved pie liela mēroga pārkāpuma, radīs būtiskus naudas sodus saskaņā ar 32. pantu neatkarīgi no tā, vai paziņotais pārkāpums saistīts ar tīšu rīcību.
Atbilstība bērnu datu prasībām. Ja pakalpojumiem var piekļūt bērni, jāievieš vecuma pārbaude, kas atbilst 13 gadu piekrišanas slieksnim. Lietotājiem, kas jaunāki par 13 gadiem, jāizveido procesi vecāku piekrišanas iegūšanai un pārbaudei.
Datu aizsardzības speciālista iecelšanas izvērtēšana. Jānosaka, vai obligāta datu aizsardzības speciālista iecelšana ir nepieciešama saskaņā ar VDAR 37. panta 1. punktu. Ja datu aizsardzības speciālists tiek iecelts, jāizvērtē, vai kandidāti no DVI kvalificēto speciālistu saraksta atbilst organizācijas prasībām, un jānodrošina, ka datu aizsardzības speciālistam piešķirta VDAR 38. pantā prasītā neatkarība.
Pārrobežu datu nosūtīšanas pārskatīšana. Jākartē visa personas datu nosūtīšana uz valstīm ārpus EEZ. Nosūtīšanai uz valstīm bez atbilstības lēmuma jānodrošina spēkā esošas 2021. gada SLK, un jāapsver, vai augsta riska jurisdikcijām nepieciešami nosūtīšanas ietekmes novērtējumi.
Gatavība Mākslīgā intelekta aktam. Ieviešot mākslīgā intelekta sistēmas, kas apstrādā personas datus, jāizvērtē, vai tās ietilpst Mākslīgā intelekta akta III pielikumā noteiktajās augsta riska kategorijās. Atbilstošām sistēmām jāveic gan datu aizsardzības ietekmes novērtējums, gan Mākslīgā intelekta akta atbilstības novērtējums. Jāpārskata apmācības datu prakses atbilstība VDAR. Jāseko līdzi DVI izstrādājamajām vadlīnijām par mākslīgā intelekta uzraudzību, jo tā tagad ir Latvijas noteiktā tirgus uzraudzības iestāde augsta riska mākslīgajam intelektam.
Šis raksts sniedz vispārīgu juridisku informāciju par Latvijas datu aizsardzības regulējumu, kas pārbaudīta 2026. gada maijā. Tas nav uzskatāms par juridisku konsultāciju. Šīs jomas tiesību akti bieži mainās. Konkrētas situācijas izvērtēšanai konsultējieties ar Latvijā licencētu juristu.
Frequently Asked Questions
Kāds ir galvenais datu aizsardzības likums Latvijā?
Latvijas datu aizsardzības regulējumu veido divi galvenie instrumenti. ES Vispārīgā datu aizsardzības regula (VDAR, Regula 2016/679) ir tieši piemērojama kā ES tiesību akts un regulē lielāko daļu personas datu apstrādes darbību. Fizisko personu datu apstrādes likums (FPDAL), kas spēkā kopš 2018. gada 5. jūlija, papildina VDAR, īstenojot nacionālās atvēršanas klauzulas, ko regula atstāj dalībvalstu ziņā. Tās ietver digitālās piekrišanas vecumu (Latvijā noteikts 13 gadi), datu aizsardzības speciālistu kvalifikāciju, DVI iecelšanu un pilnvaras, kā arī kriminālsodu noteikumus. Privātumam ir arī konstitucionāla aizsardzība saskaņā ar Latvijas Satversmes 96. pantu.
Kas uzrauga datu aizsardzības tiesību aktu ievērošanu Latvijā?
Datu valsts inspekcija (DVI), kas dibināta 2001. gadā, ir Latvijas neatkarīgā uzraudzības iestāde. Tai ir pilnas izmeklēšanas, korektīvās un konsultatīvās pilnvaras saskaņā ar VDAR 58. pantu, tostarp tiesības pārbaudīt apstrādes darbības, izteikt rājienus un brīdinājumus, uzdot nodrošināt atbilstību, noteikt pagaidu vai pastāvīgus apstrādes aizliegumus un piemērot administratīvos naudas sodus līdz 20 miljoniem eiro vai 4% no globālā gada apgrozījuma. Kopš 2025. gada oktobra DVI saskaņā ar ES Mākslīgā intelekta aktu darbojas arī kā tirgus uzraudzības iestāde aizliegtai mākslīgā intelekta praksei un augsta riska mākslīgā intelekta sistēmām.
Kāds ir lielākais VDAR naudas sods, ko piemērojusi DVI?
Lielākais VDAR naudas sods Latvijas uzraudzības vēsturē ir 1 200 000 eiro, kas piemērots SIA Tet (telekomunikāciju un interneta pakalpojumu uzņēmumam) par VDAR 5. panta 1. punkta un 6. panta 1. punkta pārkāpumiem. Pārkāpumi ietvēra nepārbaudītu klientu datu, tostarp nepilngadīgas personas datu, nodošanu parādu piedziņas pakalpojumu sniedzējiem bez derīga tiesiskā pamata. DVI sākotnēji piemēroja 3 200 000 eiro naudas sodu; mīkstinoši apstākļi, tostarp sadarbība un koriģējošie pasākumi, noveda pie tā samazināšanas līdz 1 200 000 eiro. 2024. gada jūnijā Rīgas apgabaltiesa naudas sodu atstāja spēkā; lēmums ir galīgs un tālāk nav pārsūdzams.
Kas notika ZZ Dats datu aizsardzības pārkāpuma lietā?
No 2024. gada 29. oktobra līdz 2. novembrim tehniska ievainojamība ZZ Dats Vienotajā pašvaldību informācijas sistēmā ļāva nesankcionēti piekļūt 42 Latvijas pašvaldību turētajiem personas datiem. Tika atklāti iedzīvotāju un pašvaldību darbinieku vārdi, uzvārdi, personas kodi un adreses. 2025. gada oktobrī DVI saskaņā ar VDAR 32. pantu piemēroja SIA ZZ Dats 300 000 eiro naudas sodu par to, ka nebija ieviesti tās apstrādes darbību riskam atbilstoši drošības pasākumi. ZZ Dats lēmumu pārsūdzējusi Rīgas pilsētas tiesā. Pašvaldības kā datu pārziņi saņēma rājienus.
Cik ātri par datu aizsardzības pārkāpumu jāziņo DVI?
Pārziņiem 72 stundu laikā pēc uzzināšanas par personas datu aizsardzības pārkāpumu par to jāpaziņo DVI, izņemot, ja nav ticams, ka pārkāpums radīs risku fizisko personu tiesībām un brīvībām. Ja paziņošana kavējas ilgāk par 72 stundām, pārzinim jāsniedz pamatots skaidrojums. Paziņojumus iesniedz DVI tiešsaistes portālā pazinojums.dvi.gov.lv. Datu apstrādātājiem bez nepamatotas kavēšanās jāinformē pārzinis pēc uzzināšanas par pārkāpumu neatkarīgi no novērtētā riska līmeņa. Pēc tam pārzinis lemj, vai jāinformē DVI un skartās personas.
Vai Latvijā par datu aizsardzības pārkāpumiem fiziskām personām var iestāties kriminālatbildība?
Jā. Latvijas Krimināllikuma 145. pants nosaka trīs kriminālatbildības līmeņus par nelikumīgām darbībām ar personas datiem. Pirmā līmeņa pārkāpumi, kas rada būtisku kaitējumu, paredz brīvības atņemšanu līdz diviem gadiem. Otrā līmeņa pārkāpumi, kad pārzinis vai apstrādātājs nelikumīgi apstrādā datus atriebības, mantas iegūšanas vai izspiešanas nolūkā, paredz sodu līdz četriem gadiem. Trešā līmeņa pārkāpumi, kad kāds izmanto vardarbību, draudus vai viltu, lai piespiestu veikt nelikumīgu datu apstrādi, paredz sodu līdz pieciem gadiem. Šie kriminālsodi tiek piemēroti papildus administratīvajiem naudas sodiem, nevis to vietā.
Kāds ir minimālais vecums digitālai piekrišanai Latvijā?
Latvija noteikusi minimālo vecumu derīgai piekrišanai informācijas sabiedrības pakalpojumiem 13 gadus, izmantojot VDAR 8. pantā paredzēto iespēju pazemināt noklusējuma 16 gadu slieksni. Tas Latviju padara par vienu no ES dalībvalstīm ar zemāko digitālās piekrišanas vecumu. Bērniem, kas jaunāki par 13 gadiem, piekrišanu jādod vai jāapstiprina vecākam vai likumiskajam aizbildnim. Organizācijām, kas piedāvā digitālos pakalpojumus bērniem, jāveic saprātīgi pasākumi, lai pārbaudītu vecāku pilnvarojumu, ņemot vērā pieejamās tehnoloģijas.
Kāda loma DVI ir saskaņā ar ES Mākslīgā intelekta aktu?
Pēc tam, kad 2025. gada 1. oktobrī stājās spēkā Latvijas likums par digitālo operacionālo noturību un mākslīgā intelekta izmantošanu finanšu tirgū, DVI tika noteikta par tirgus uzraudzības iestādi aizliegtai mākslīgā intelekta praksei un augsta riska mākslīgā intelekta sistēmām saskaņā ar ES Mākslīgā intelekta aktu. Tas nozīmē, ka DVI var izmeklēt un veikt uzraudzības pasākumus pret mākslīgā intelekta sistēmām, kas izmanto aizliegtu praksi (piemēram, valsts iestāžu veiktu sociālo vērtēšanu vai reāllaika biometrisko identifikāciju publiskās vietās), kā arī pret augsta riska mākslīgā intelekta sistēmām, kas neatbilst Mākslīgā intelekta akta prasībām. Mākslīgā intelekta sistēmām, ko izmanto finanšu tirgus dalībnieki, tirgus uzraudzības iestāde ir Latvijas Banka.
Vai personas datu nosūtīšanai no Latvijas ārpus ES ir nepieciešams DVI apstiprinājums?
Tas ir atkarīgs no nosūtīšanas mehānisma. Nosūtīšanai uz valstīm, par kurām Eiropas Komisija pieņēmusi atbilstības lēmumu, papildu darbības nav nepieciešamas. Nosūtīšanai, izmantojot standarta līguma klauzulas (SLK), arī nav nepieciešams iepriekšējs DVI apstiprinājums. Tomēr saistošajiem uzņēmuma noteikumiem (SUN) pirms to izmantošanas nepieciešams DVI apstiprinājums. Par nosūtīšanu saskaņā ar VDAR 49. panta 1. punkta leģitīmo interešu atkāpi jāpaziņo DVI. Ja Latvijā bāzētas darbības ir iesaistītas nosūtīšanā, uz kuru attiecas uzraudzības iestāžu sadarbība saskaņā ar VDAR vienas pieturas aģentūras mehānismu, DVI piedalās kā ieinteresētā uzraudzības iestāde.
Sources and References
- Fizisko personu datu apstrādes likums (likumi.lv)(likumi.lv).gov
- Datu valsts inspekcija (DVI)(dvi.gov.lv).gov
- EDAK Latvija(edpb.europa.eu).gov
- GDPRhub DVI Latvija(gdprhub.eu)
- GDPRhub DVI SIA TET(gdprhub.eu)
- ZZ Dats 300 000 eiro naudas sods, LSM.lv(eng.lsm.lv)
- Tet 1,2 miljonu eiro naudas soda tiesas spriedums, LSM.lv(eng.lsm.lv)
- DVI 7000 eiro naudas sods interneta veikalam(edpb.europa.eu).gov
- Latvijas Mākslīgā intelekta akta ieviešanas plāns, VARAM(varam.gov.lv).gov
- Latvijas DORA un Mākslīgā intelekta akta likums, DataGuidance(dataguidance.com)
- VDAR oficiālais teksts, EUR-Lex(eur-lex.europa.eu).gov
- White & Case VDAR Latvija(whitecase.com)
- DLA Piper datu aizsardzība Latvijā(dlapiperdataprotection.com)
- Linklaters datu aizsardzība Latvijā(linklaters.com)
- ES Tiesas 2021. gada spriedums par datu aizsardzību Latvijā(curia.europa.eu).gov
- Latvijas Satversmes tiesa, pārkāpumu punkti un 96. pants(satv.tiesa.gov.lv).gov
- Latvijas Saeima, personas datu apstrāde(saeima.lv).gov
- ES Mākslīgā intelekta akta oficiālais teksts(eur-lex.europa.eu).gov