GDPR neievērošanas risks: kas katram vadītājam jāsaprot līdz 2026. gadam

Izpratne par GDPR neatbilstības risku uzņēmumam

Par ko īsti mēs runājam?

Kopš 2018. gada maija Vispārīgā datu aizsardzības regula (VDAR) regulē visas darbības, kas tiek veiktas ar personas datiem: vākšanu, glabāšanu, pārsūtīšanu, profilēšanu un dzēšanu. Jebkura organizācija, kas apstrādā šos datus — klienti, potenciālie klienti, darbinieki, piegādātāji —, ietilpst tās darbības jomā neatkarīgi no tās lieluma vai nozares.

GDPR neievērošana nav tikai administratīva kļūda. Tā paredz civiltiesisku, administratīvu un dažreiz arī kriminālatbildību datu pārzinim, kas visbiežāk ir pats uzņēmums un tā juridiskais pārstāvis.

Kurš tas patiesībā ir ietekmēts?

Noteikums ir plašs: ja jūsu uzņēmums apstrādā Eiropas Savienībā dzīvojošu personu personas datus, tas skar jūs. Tas attiecas gan uz vietējo mazumtirgotāju, kas pārvalda lojalitātes programmu, gan uz starptautisku grupu pārvaldošo holdinga uzņēmumu.

Priekšplānā ir trīs dalībnieki: datu pārziņi, datu apstrādātāji (IT pakalpojumu sniedzēji, mārketinga aģentūras, mitināšanas pakalpojumu sniedzēji) un visi kopīgie pārziņi. Katram no tiem var tikt piemērotas sankcijas neatkarīgi, un daudzi uzņēmumi par to nezina.

Kāpēc šī tēma atkal kļūst par aktuālu tematu?

Ilgu laiku GDPR piemērošana šķita nevienmērīga. Tās dienas ir beigušās. 2022. gadā CNIL (Francijas Datu aizsardzības iestāde) ieviesa vienkāršotu sankciju procedūru, kas ļauj tai ātri piemērot naudas sodus līdz 20 000 eiro, neatklājot organizācijas identitāti. Tā rezultātā 2024. gadā tika izdotas 69 vienkāršotas sankcijas, kas ir gandrīz trīs reizes vairāk nekā 2023. gadā.

Svarīgākajās lietās iesaistītās summas strauji pieaug. Tikai 2025. gadā divi ar sīkdatnēm saistīti spriedumi vien sasniedza 475 miljonus eiro, tostarp 325 miljonus eiro Google un 150 miljonus eiro Shein. Vēstījums ir skaidrs: mazāk lietu, bet priekšzīmīgi sodi.

Kāds sods tiek piemērots uzņēmumam, kas neievēro GDPR prasības?

CNIL uzliktie administratīvie sodi

GDPR nosaka divus ierobežojumus. Pirmais, līdz 10 miljoniem eiro vai 2 % no globālā gada apgrozījuma, ir vērsts uz tādiem pārkāpumiem kā apstrādes reģistra neesamība vai ietekmes novērtējuma neveikšana. Otrais, līdz 20 miljoniem eiro vai 4 % no globālā apgrozījuma, paredz sodus par vissmagākajiem pārkāpumiem: juridiskā pamata trūkumu, datu subjekta tiesību pārkāpumiem un neregulētu starptautisku datu pārsūtīšanu.

Visizteiktākais CNIL sods pēdējos gados nav vairāku miljonu eiro sods, bet gan tas, kas 2024. gada decembrī tika piespriests Amazon France Logistique: 32 miljoni eiro par novērošanu, kas tiek uzskatīta par nesamērīgu ar pasūtījumu komplektētāju novērošanu. Vēstījums ir skaidrs: pat sistēma, kas tiek pasniegta kā "produktīva", var pārkāpt nelegalitātes robežu, ja tā pārkāpj darbinieku privātumu.

GDPR kriminālsodi

Papildus administratīvajiem aspektiem Francijas kriminālkodekss paredz ar VDAR saistītus kriminālsodus — brīvības atņemšanu līdz pieciem gadiem un 300 000 eiro naudas sodu fiziskām personām un 1,5 miljonus eiro juridiskām personām. Šie sodi attiecas uz krāpniecisku datu vākšanu, sensitīvu datu apstrādi bez juridiska pamata un datu ļaunprātīgu izmantošanu. Lai gan šāda veida kriminālvajāšana joprojām ir reta, to var pievienot CNIL (Francijas Datu aizsardzības iestādes) procedūrai.

Netiešās sekas, bieži vien visdārgākās

GDPR sankcijas izmaksas ievērojami pārsniedz naudas sodu: kaitējums tēlam, īpaši uzņēmumu (B2B) tirgos, kur atbilstība ir kļuvusi par pirkšanas kritēriju; līgumu zaudēšana, jo daži klienti tagad savos iepirkumu uzaicinājumos pieprasa oficiālu atbilstības apliecinājumu; attiecīgo personu individuālas vai kolektīvas prasības par tiesisko aizsardzību; iekšējās koriģējošās izmaksas, kas bieži vien pārsniedz pašu naudas sodu.

Kā tiek uzsākta CNIL revīzija?

Kontroles avoti un veidi

CNIL auditu var ierosināt sūdzība (2024. gadā CNIL saņēma gandrīz 17 800), uzņēmuma nosūtīts pārkāpuma paziņojums, ikgadējs prioritārs jautājums vai negatīvs atspoguļojums plašsaziņas līdzekļos. Pastāv četri formāti: pārbaude uz vietas, uzklausīšana, tiešsaistes pārskatīšana un dokumentu pārskatīšana. Pēdējais, izmantojot detalizētu anketu, ir visbiežākais un visvairāk nenovērtētais.

Procedūra

Ja tiek konstatēti pārkāpumi, CNIL vispirms izdod oficiālu paziņojumu ar noteiktu termiņu. 2024. gadā tika izdoti 180 oficiāli paziņojumi. Bieži vien šī ir pēdējā iespēja izvairīties no publiskas sankcijas. Pretējā gadījumā ierobežotas pilnvaras izskatoša komisija uzsāk procedūru, kas var ilgt no sešiem līdz astoņpadsmit mēnešiem. Lai iegūtu plašāku informāciju, varat skatīt… Viqtor ceļvedis par GDPR atbilstības auditu.

Visbiežāk sastopamās ievainojamības jomas uzņēmējdarbībā

Nepareiza datu pārvaldība

Šis ir galvenais riska faktors. Daudzi uzņēmumi 2018. gadā izstrādāja GDPR politiku, iesniedza to un nekad nav atkārtoti pārskatījuši. Tomēr rīki, pakalpojumu sniedzēji un datu plūsmas pastāvīgi attīstās. Bez nepārtrauktas uzraudzības plaisa no realitātes palielinās. Šis jautājums pilnībā ietilpst vadības kompetencē: GDPR 5.2. pantā noteiktais atbildības princips prasa jebkurā laikā pierādīt atbilstību. Tas nav līdzekļu izmantošanas pienākums, bet gan pierādīšanas pienākums.

Datu aizsardzības speciālista prombūtne vai slikts pozicionējums

Datu aizsardzības speciālista (DPO) iecelšana ir obligāta valsts iestādēm, organizācijām, kas plašā mērogā apstrādā sensitīvus datus, vai tām, kas sistemātiski uzrauga personas. Praksē daudzi uzņēmumi gūst labumu no šāda speciālista iecelšanas pat bez oficiāla pienākuma, jo tas stiprina atbildības ķēdi. Tomēr DPO ir jābūt nepieciešamajiem resursiem, lai rīkotos: tieša piekļuve vadībai, budžets, neatkarība un iesaistīšanās projektos. Vairākas nesenas sankcijas ir īpaši vērstas pret uzņēmumiem, kas iecēluši tikai formālu DPO.

Nepietiekami dimensionēta tehniskā drošība

Tas ir kļuvis par galveno iemeslu ievērojamām sankcijām. 2025. gadā 29% no Eiropas sodiem bija saistīti ar nepietiekamiem tehniskiem un organizatoriskiem pasākumiem. Lieta “Free and Free Mobile”, kas tika sankcionēta 2026. gada janvārī ar kopējo summu 42 miljoni eiro, lieliski ilustrē šo aspektu: daudzfaktoru autentifikācijas trūkums VPN piekļuvē un eksfiltrācijas atklāšanas sistēmu neefektivitāte tika uzskatīti par nopietniem pārkāpumiem pēc tam, kad ielaušanās apdraudēja 24 miljonus līgumu.

Lai strukturētu šo dimensiju, Viqtor GDPR pārvaldības modulis piedāvā tieši lietojamu Bībeles vienkāršības darbības ietvaru.