2024. gada nogalē tika konstatēta plaša personas datu noplūde, kas skāra gandrīz visas Latvijas pašvaldības. Noplūdušie dati tika glabāti un uzturēti SIA “ZZ Dats” informācijas sistēmā. Datu valsts inspekcija (Inspekcija), saņemot informāciju par iespējamu personas datu aizsardzības pārkāpumu, nekavējoties uzsāka pārbaudi, lai noskaidrotu incidenta apstākļus un atbildīgo personu rīcību.
Pārbaudes rezultātā Inspekcija atzina SIA “ZZ Dats” par vainīgu Datu regulas 32. pantā noteikto prasību neievērošanā. Minētais pants paredz, ka gan pārziņiem, gan apstrādātājiem ir pienākums ieviest atbilstošus tehniskos un organizatoriskos drošības pasākumus, lai nodrošinātu personas datu aizsardzību pret nejaušu vai nelikumīgu iznīcināšanu, zudumu, izpaušanu vai nesankcionētu piekļuvi tiem.
Inspekcija secināja, ka uzņēmums nebija pietiekami nodrošinājis apstrādātāja pienākumu izpildi atbilstoši regulas prasībām, tamdēļ par konstatēto pārkāpumu uzņēmumam piemērots administratīvais sods – naudas sods 300 000 eiro apmērā. SIA “ZZ Dats” šo lēmumu ir pārsūdzējusi Rīgas pilsētas tiesā.
Naudas sods uzņēmumam noteikts, ievērojot Inspekcijas izstrādāto sodu aprēķināšanas metodi, kurās noteikti vienoti principi soda apmēra aprēķināšanai atbilstoši Datu regulas 83. pantam. Šī ieviestā metode ir balstīta uz EDAK vadlīnijām.
Saistībā ar notikušo datu noplūdi Inspekcija pieņēmusi arī lēmumus par iesaistītajām pašvaldībām, kurām par nepietiekamu uzraudzību pār apstrādātāja darbību izteikti rājieni. Pašvaldības šos rājienus varēja pārsūdzēt Inspekcijas direktorei. Ņemot vērā, ka lietas izskatīšana vēl turpinās, lēmumi nav publiski pieejami, savukārt lēmumam par administratīvā soda piemērošanu SIA “ZZ Dats” ir noteikts ierobežotas pieejamības statuss.