#DVIskaidro: Datu aizsardzības speciālists uzņēmumu grupā

Publicēts: 03.06.2026.

Uz biroja galda novietota centrāla koka figūriņa, kuru savieno līnijas ar vairākām mazākām figūriņām, simbolizējot koordināciju un sadarbību uzņēmumu grupā. Fonā redzams klēpjdators, piezīmju bloks un telpaugs modernā biroja vidē.

Daudzi Latvijas uzņēmumi ir daļa no starptautiskām uzņēmumu grupām, kuru mātes uzņēmumi atrodas citās Eiropas Savienības dalībvalstīs vai ārpus Latvijas. Šādos gadījumos bieži rodas jautājums, vai katram grupas uzņēmumam ir nepieciešams savs datu aizsardzības speciālists (DAS) vai arī ir iespējams izmantot vienu speciālistu visai grupai.

Saskaņā ar Datu regulu ^[1] uzņēmumu grupa var iecelt vienu datu aizsardzības speciālistu ar noteikumu, ka katrs uzņēmums var viegli sazināties ar datu aizsardzības speciālistu. Tas nozīmē, ka situācijā, kur Latvijas uzņēmums ir daļa no starptautiskas grupas, var izmantot mātes uzņēmuma iecelto DAS, nodrošinot efektīvu komunikāciju un atbalstu.

Ko tieši dara grupas DAS?

DAS darbojas kā neatkarīgs padomdevējs, uzraugs un kontaktpersona starp uzņēmumu un uzraudzības iestādi. DAS palīdz, iesaka un kontrolē, taču viņš nepieņem gala lēmumus uzņēmuma vārdā. DAS piesaiste nemazina paša uzņēmuma atbildību par pieņemtajiem lēmumiem, lai nodrošinātu, ka datu apstrāde ir droša, likumīga un atbilst Datu regulai. Būtībā funkcijas un uzdevumi ^[2] ir tādi paši kā DAS, kas nav iecelts grupas uzņēmumā, tomēr izaicinājumi praksē noteikti ir vairāk.

Paziņošanas pienākums (DVI). Esam pamanījuši, ka reizēm šis pienākums tiek piemirsts. Neatkarīgi no tā, vai DAS atrodas citā valstī, Latvijas uzņēmumam, kas ir grupas uzņēmuma daļa, ir pienākums paziņot DVI par konkrētā DAS iecelšanu. Ja gadījumā jūs esat ieceltais DAS, lūdzu informējiet savu uzņēmumu par nepieciešamību paziņot.

Interešu konflikts. Saskaņā ar Datu regulu ^[1] DAS var pildīt citus uzdevumus un pienākumus. Savukārt pārzinis vai apstrādātājs nodrošina, lai neviens no minētajiem uzdevumiem un pienākumiem neradītu interešu konfliktu. Praksē ir zināmas situācijas, kad grupas DAS vienlaikus ieņem arī citu amatu mātes uzņēmumā (piemēram, IT nodaļas vadītājs, juridiskās nodaļas vadītājs), tomēr DAS nedrīkst ieņemt amatu, kurā viņš pats nosaka datu apstrādes nolūkus un līdzekļus. Ja grupas mērogā pastāv šāds interešu konflikts, tas ietekmē arī Latvijas uzņēmumu.

DAS pieejamība. Grupas uzņēmumos darba organizācija, procesi un laika zonas var būt atšķirīgas, tāpēc DAS funkciju īstenošana jāorganizē tā, lai nodrošinātu efektīvu pieejamību visā struktūrā. DAS pieejamība nozīmē viņa spēju efektīvi pildīt kontaktpunkta funkciju gan saziņai ar datu subjektiem, gan uzraudzības iestādēm, gan organizācijas iekšienē. Pieejamība paredz efektīvu un savlaicīgu saziņu, izmantojot atbilstošus saziņas kanālus (piemēram, e-pastu, tālruni vai citus drošus komunikācijas līdzekļus), nepieciešamības gadījumā nodrošinot arī fizisku klātbūtni.

DAS var atrasties citā valstī, ja organizācija nodrošina, ka viņš ir faktiski sasniedzams un spēj savlaicīgi iesaistīties datu aizsardzības jautājumu risināšanā. Tas ietver arī spēju sadarboties ar uzraudzības iestādēm un sniegt nepieciešamo informāciju bez nepamatotas kavēšanās.

Līdz ar to organizācijai jānodrošina:

skaidri definēti un darbiniekiem zināmi saziņas kanāli ar DAS;
pietiekami resursi DAS pienākumu efektīvai izpildei;
iekšējā procedūra DAS iesaistei datu aizsardzības jautājumos, tostarp plāns fiziskas klātbūtnes nodrošināšanai, ja nepieciešams (piemēram, pārbaudes laikā);
viegli pieejama DAS kontaktinformācija datu subjektiem un uzraudzības iestādēm neatkarīgi no DAS vai mātes uzņēmuma atrašanās vietas.

Komunikācija. Eiropas Datu aizsardzības kolēģijas vadlīnijas ^[2] nosaka, ka DAS ir jāspēj komunicēt vietējā valodā vai valodās, kas ir saprotamas datu subjektiem (klientiem, darbiniekiem) un uzraudzības iestādei.

Atšķirīga prakse. Darbojoties vairākās ES valstīs, DAS nevar paļauties uz universāliem risinājumiem, jo ir jāpārzina ne tikai Datu regula, bet arī katras valsts vietējie likumi un uzraudzības iestāžu specifiskās prasības. Lai gan Datu regula ir piemērojama visās ES dalībvalstīs, pastāv dažāda prakse konkrētu jautājumu risināšanā, tādēļ pārrobežu gadījumos ir jānodrošina sarežģīta sadarbība un jāizprot dažādu valstu iestāžu atšķirīgās pieejas.

Komanda. Viens cilvēks (DAS) var nezināt visu, kas notiek katrā grupas uzņēmumā, tāpēc ir svarīgi regulāri apmainīties ar informāciju. Grupa var iecelt vienu kopīgu DAS, ja viņš ir viegli sasniedzams no katra grupas uzņēmuma. Lai to praktiski īstenotu, DAS funkciju var nodrošināt arī vairāku personu komanda (DAS komanda vai atbalsta personāls) vai katrā grupas uzņēmumā norīkoti vietējie speciālisti, kas nodrošina informācijas plūsmu uz iecelto DAS. Šādā scenārijā nepieciešama skaidra atbildību sadale un iekšējo incidentu procedūra, piemēram, kas kam ziņo, ja notiek pārkāpums.

Piemēram, ja Latvijā notiek datu noplūde, bet grupas DAS atrodas Parīzē, kā tiek nodrošināts, ka informācija nonāk līdz DAS un lēmums par ziņošanu uzraudzības iestādei tiek pieņemts 72 stundu laikā?

DAS ārpus ES/EEZ. Ja mātes uzņēmums atrodas ārpus ES/EEZ, ir jāņem vērā papildu riski. Pirmkārt, vai DAS atrašanās vieta nodrošina pietiekamu izpratni par Datu regulu. Otrkārt, lai DAS no trešās valsts varētu piekļūt Latvijas uzņēmuma datiem (piemēram, auditējot sistēmas), notiek datu nodošana uz trešajām valstīm, kam nepieciešams atsevišķs tiesiskais pamats (piemēram, standarta līguma klauzulas vai arī saistošie uzņēmuma noteikumi).

Atsauces:

Datu regulas 38. panta 6. punkts
Guidelines on Data Protection Officers ('DPOs'), 10 lpp., https://ec.europa.eu/newsroom/article29/items/612048

Kādas ir labās ziņas?

Lai gan šādai DAS darbībai ir daudz izaicinājumu un vairums no tiem gulstas uz DAS pleciem, starptautiskās uzņēmumu grupās centralizēta datu aizsardzības funkcija palīdz: