< Atpakaļ uz rakstu sarakastu

15/01/2026

Neautorizēta piekļuve personas datiem kā kriminālnoziegums: ko māca Horvātijas tiesas spriedums un kā tas attiecas uz Latviju

Kāpēc šis spriedums ir būtisks Latvijas uzņēmumiem?

 

Horvātijas tiesas spriedums lietā K-648/2025-2 izgaismo problēmu, kas ir aktuāla visā Eiropas Savienībā, tostarp Latvijā – darbinieku neautorizētu piekļuvi personas datiem un šo datu izmantošanu ārpus darba pienākumiem.

 

Lai gan spriedums pieņemts Horvātijā, tas balstās uz Vispārīgās datu aizsardzības regulas (GDPR) principiem un krimināltiesiskām normām, kas pēc būtības ir salīdzināmas arī ar Latvijas tiesisko regulējumu. Līdz ar to, šis spriedums kalpo kā skaidrs brīdinājums Latvijas uzņēmumiem: personas datu apstrādes pārkāpumi var novest ne tikai pie DVI sodiem, bet arī pie kriminālatbildības.

 

 

 

 

 

1. Horvātijas tiesas sprieduma būtība: kas notika?

Horvātijas tiesa atzina darbinieku par vainīgu divos noziegumos:

  • neatļautā personas datu izmantošanā (pēc būtības – GDPR 6. panta pārkāpums),
  • nelikumīgā piekļuvē informācijas sistēmai.

Faktiskie apstākļi

Darbinieks, kuram darba devējs jau bija ierobežojis piekļuvi informācijas sistēmām, izmantoja kolēģes piekļuves datus (paroli), lai:

  • vairākkārt piekļūtu klientu personas datiem,
  • iegūtu 848 dokumentus, kas saturēja 334 klientu personas datus,
  • nosūtītu šos dokumentus uz savu darba e-pastu,
  • pēc tam – uz privāto e-pastu.

Tiesas vērtējums

Tiesa šādu rīcību atzina par smagu privātuma pārkāpumu un piesprieda:

  • 6 mēnešu nosacītu brīvības atņemšanu.

Svarīgi uzsvērt – atbildība iestājās ne tikai par datu izmantošanu, bet jau par pašu piekļuves faktu, kas notika bez tiesiska pamata.

2. Ko šis spriedums nozīmē Latvijas uzņēmumiem?

Lai gan spriedums pieņemts Horvātijā, tā juridiskā loģika ir tieši piemērojama arī Latvijā.

Iespējamās sekas Latvijā:

Kriminālatbildība

  • Krimināllikuma 145. pants – nelikumīgas darbības ar fiziskās personas datiem
  • Krimināllikuma 241. pants – nelikumīga piekļuve informācijas sistēmai

Administratīvā atbildība

  • Datu valsts inspekcijas (DVI) piemērotie sodi par GDPR pārkāpumiem

Civiltiesiskās sekas

  • klientu prasības par morālo kaitējumu,
  • zaudējumu atlīdzība un līgumsodi.

Reputācijas riski

  • klientu uzticības zudums,
  • publiski datu aizsardzības incidenti.

3. Galvenās atziņas Latvijas uzņēmumiem

3.1. Piekļuves tiesības jāierobežo stingri un dokumentēti

Spriedums parāda: ar formālu piekļuves atslēgšanu nepietiek, ja netiek nodrošināta kontrole.

Labā prakse Latvijā:

  • divu faktoru autentifikācija,
  • regulāra paroļu maiņa,
  • dokumentēta piekļuves tiesību piešķiršana un atņemšana.

3.2. Paroļu koplietošana – kritisks drošības pārkāpums

Darbinieka iespēja izmantot kolēģes paroli liecina par vāju drošības kultūru.

Pareiza rīcība:

  • skaidra paroles nekoplietošanas politika,
  • regulāras darbinieku apmācības,
  • tehniski risinājumi, kas liedz paralēlus pieslēgumus no dažādām ierīcēm.

3.3. Personas datu nosūtīšana uz privātiem e-pastiem – augsta riska situācija

Šis ir viens no biežākajiem pārkāpumiem Latvijas uzņēmumos.

Ieteikumi:

  • bloķēt dokumentu pārsūtīšanu uz ārējiem e-pastiem,
  • izmantot drošas failu apmaiņas platformas.

3.4. Iekšējā izmeklēšana nav formalitāte

Horvātijas lietā izšķiroša nozīme bija pierādījumiem un auditācijas pierakstiem.

Latvijas uzņēmumiem jānodrošina:

  • incidentu reģistrs,
  • skaidra izmeklēšanas procedūra,
  • piekļuves žurnālu un pierādījumu saglabāšana.

3.5. Darbinieku apmācības – reāls riska samazināšanas instruments

Darbinieki bieži pārkāpj noteikumus nevis ļaunprātīgi, bet neizpratnes dēļ.

Ieteikumi:

  • regulāras GDPR un IT drošības apmācības,
  • praktiski piemēri un simulācijas,
  • apmācību dokumentēšana (īpaši svarīgi DVI pārbaudēs).

4. Praktiski piemēri no Latvijas uzņēmumu ikdienas

Piemērs 1.

Personāla speciālists lejupielādē CV un glabā tos privātajā datorā.
→ GDPR pārkāpums, iespējams DVI sods un kriminālatbildība.

Piemērs 2.

Pārdošanas darbinieks pēc darba attiecību beigām pārsūta uz savu privāto datu nesēju klientu sarakstu.
→ Situācija, kas faktiski atbilst Horvātijas sprieduma gadījumam.

Piemērs 3.

Grāmatvedis nosūta dokumentus uz savu Gmail, lai “ērtāk strādātu mājās”.
→ Augsta riska datu aizsardzības pārkāpums.

5. Kā uzņēmumiem sevi pasargāt? Praktisks check-list

Tehniskie pasākumi

  • piekļuves tiesību pārvaldība,
  • auditācijas pieraksti un monitorings,
  • droša e-pasta infrastruktūra,
  • regulāra paroļu maiņa.

Organizatoriskie pasākumi

  • iekšējie datu apstrādes noteikumi,
  • incidentu vadības politika,
  • darbinieku apmācības,
  • konfidencialitātes pienākums.

Juridiskie pasākumi

  • datu apstrādes reģistri,
  • riska novērtējumi,
  • līgumi ar apstrādātājiem,
  • dokumentēta piekļuves tiesību politika.

Kāpēc šis spriedums ir īpaši vērtīgs?

Horvātijas tiesas spriedums ir skaidrs signāls: personas datu aizsardzība nav formalitāte. Tā ir juridiska, tehniska un organizatoriska sistēma, kuras neievērošana var novest līdz kriminālatbildībai.

Latvijas uzņēmumiem šis spriedums ir iespēja pārskatīt savas procedūras un novērst riskus, pirms notiek incidents ar nopietnām sekām.

 

Ja Tev ir radušies kādi jautājumi, droši raksti, mēs palīdzēsim.

< Atpakaļ uz rakstu sarakastu