< Atpakaļ uz rakstu sarakastu

14/01/2026

Valsts iestāžu pieprasījumi pēc personas datiem: kāpēc ar atsauci uz likuma pantu nepietiek un kāda ir uzņēmuma atbildība

Plaši izplatīta, bet bīstama prakse

 

Uzņēmumu praksē regulāri sastopama situācija:
valsts iestāde pieprasa personas datus, pieprasījumā norādot vien atsauci uz likuma pantu, un uzņēmums – bez padziļinātas analīzes – šos datus izsniedz.

 

Šādi rīkojas ne tikai mazi uzņēmumi, bet arī: bankas, pasta komersanti, platformas un digitālo pakalpojumu sniedzēji, finanšu un e-komercijas uzņēmumi.

 

Praksē bieži pieprasījumus izsaka: Valsts ieņēmumu dienests, Valsts policija, citas valsts un pašvaldību iestādes.

 

Tomēr būtiska patiesība, kas bieži tiek ignorēta, ir šāda:

 

“Valsts iestādes pieprasījums pats par sevi neatbrīvo uzņēmumu no atbildības par personas datu aizsardzību!”
Valsts iestāžu pieprasījumi personas datiem un uzņēmuma atbildība kā datu pārzinim

Photo by AbsolutVision on Unsplash

 

 

 

 

 

 

Pamatprincips: uzņēmums ir personas datu pārzinis

Neatkarīgi no tā, kas pieprasa datus, uzņēmums, kas tos glabā un izsniedz, ir personas datu pārzinis.

Tas nozīmē:

  • uzņēmums pats lemj par personas datu izpaušanu;
  • uzņēmums pats atbild par to, vai datu izsniegšana ir tiesiska;
  • atbildība par pārkāpumu nepāriet uz valsts iestādi.

Ja vēlāk tiek konstatēts datu aizsardzības pārkāpums, arguments “mēs tikai izpildījām valsts iestādes pieprasījumu” nepasargā no atbildības.

Senāts ir paudis šādu atziņu: Personas datu apstrāde tiek sākta ar personas datu izpaušanas pieprasījumu. (Latvijas Republikas Senāta Administratīvo lietu departamenta 2022.gada 25.oktobra spriedums lietā Nr. SKA 78/2022).

Attiecīgi, uz šādu datu apstrādi ir attiecināmi personas datu apstrādes principi (minimizācija, nolūka ierobežojumi, glabāšanas ierobežojums, konfidencialitāte u.c.)

Tas nozīmē, ka:

  • uz pieprasījumu attiecas visi personas datu apstrādes principi;
  • datu apstrāde sākas jau ar pieprasījuma saņemšanu;
  • pieprasījums pats par sevi ir juridiski vērtējams.

Šī atziņa ir universāla un attiecas uz jebkuru valsts iestādi, ne tikai VID.

Kāpēc atsauce uz likuma pantu nav pietiekama?

Praksē bieži sastopams pieprasījums ar šādu struktūru:

“Pamatojoties uz [likuma pantu], lūdzam sniegt šādus personas datus…”
Šāda pieeja rada maldīgu drošības sajūtu, taču datu aizsardzības tiesībās ar to nepietiek.

Likumīga personas datu izpaušana prasa vairāk nekā:

  • formālu atsauci uz normu;
  • vispārīgu norādi uz iestādes funkcijām.

Pieprasījumam ir jāatbilst personas datu apstrādes pamatprincipiem, nevis tikai procesuālām prasībām!

Galvenie jautājumi, kas uzņēmumam ir jāuzdod katrā gadījumā

1. Kāds ir konkrētais personas datu apstrādes nolūks?

Pieprasījumā jābūt skaidri saprotamam:

  • kādēļ šie dati tiek pieprasīti;
  • kādā procesā tie tiks izmantoti;
  • kāds sabiedrības interesēs veicams uzdevums tiek īstenots.

Vispārīgi formulējumi, piemēram:

  • “dienesta funkciju veikšanai”,
  • “likumā noteikto uzdevumu izpildei”,

parasti nav pietiekami, lai uzņēmums varētu pārliecināties par pieprasījuma tiesiskumu.

2. Vai pieprasīto datu apjoms ir minimāli nepieciešamais?

Datu minimizācijas princips prasa, lai:

  • tiktu pieprasīti tikai tie dati, kas ir objektīvi nepieciešami;
  • netiktu vākti “visi iespējamie dati, katram gadījumam”.

Ja valsts iestāde pieprasa:

  • visus klientu datus,
  • visu noteikta perioda darījumu informāciju,
  • visu platformas lietotāju sarakstu,

Uzņēmumam ir tiesības (un pienākums) izvērtēt, vai mērķi nevar sasniegt ar šaurāku, mērķētāku datu apjomu.

3. Vai pieprasījums ir pietiekami konkrēts un pārbaudāms?

Tiesiskam pieprasījumam jābūt formulētam tā, lai:

  • uzņēmums varētu izvērtēt tā likumību;
  • vēlāk būtu iespējama tiesas kontrole.

Ja pieprasījums ir pārāk plašs, abstrakts vai neskaidrs, tas rada risku tieši uzņēmumam kā pārzinim.

Valsts iestāžu pieprasījumi un “automātiskās izpildes” risks

Viens no lielākajiem praktiskajiem riskiem ir automatizēta pieprasījumu izpilde:

  • bez juridiska izvērtējuma,
  • bez dokumentēta pamatojuma,
  • bez datu apjoma samērīguma analīzes.

Šāda prakse:

  • palielina administratīvo sodu risku,
  • apdraud uzņēmuma reputāciju,
  • var radīt atbildību pret datu subjektiem.

Svarīgi uzsvērt:
valsts iestādes pieprasījums nav līdzvērtīgs tiesas nolēmumam, un tas neatslogo pārziņa pienākumus.

Praktiski ieteikumi uzņēmumiem

Lai mazinātu riskus, uzņēmumiem ieteicams:

  • Izveidot iekšēju procedūru, kā tiek izvērtēti valsts iestāžu datu pieprasījumi.
  • Vienmēr dokumentēt izvērtējumu, pat ja dati tiek izsniegti.
  • Nepieciešamības gadījumā prasīt pieprasījuma precizēšanu.
  • Neuzskatīt atsauci uz likuma pantu par pietiekamu pamatojumu.
  • Iesaistīt kvalificētu datu aizsardzības speciālistu.

Secinājumi

Valsts iestāžu pieprasījumi pēc personas datiem ir ikdienas realitāte, taču tie nav automātiski izpildāmi.

Uzņēmumam kā personas datu pārzinim ir:

  • pienākums kritiski izvērtēt katru pieprasījumu,
  • atbildība par datu aizsardzības principu ievērošanu,
  • risks, ja šī atbildība tiek ignorēta.

Tieši šajā punktā satiekas administratīvās tiesības un personas datu aizsardzība, un kļūdas šajā krustpunktā uzņēmumiem var izmaksāt dārgi.

Juridiskā palīdzība

Savā praksē regulāri palīdzam uzņēmumiem:

  • izvērtēt valsts iestāžu pieprasījumu tiesiskumu,
  • sagatavot juridiski korektas atbildes,
  • izstāvēt uzņēmuma intereses datu aizsardzības strīdos.

Savlaicīga juridiska analīze bieži vien ir efektīvākais veids, kā novērst riskus vēl pirms tie pārtop sankcijās vai tiesvedībā.

 

Ja Tev ir radušies kādi jautājumi, droši raksti, mēs palīdzēsim.

< Atpakaļ uz rakstu sarakastu