23.02.2021.a. määras Läti isikuandmete kaitse järelevalveasutus Datu valsts inspekcija 65 000 EUR haldustrahvi firmale SIA “Lursoft IT”.

Otsuse kohaselt rikkus see Läti ettevõte GDPR järgmisi aluspõhimõtteid:

1. artikli 5 lõike 1 punkti a – seaduslikkus, õiglus ja läbipaistvus;
2. artikli 5 lõike 1 punkti b – eesmärgi piirang;
3. artikli 5 lõike 1 punkti c – võimalikult väheste andmete kogumine;
4. artikli 6 lõige 1 – isikuandmete töötlemise õiguslikud alused.

SIA “Lursoft IT” kui vastutav töötleja avaldas oma äritegevuse huvides veebilehel (lursoft.lv) Läti äriregistrist pärinevaid võlglaste isikuandmeid.

Läti pankrotiseaduse kohaselt on füüsiliste isikute maksehäireid puudutavad andmed  avalikud tähtajaliselt – kuni 1 aasta jooksul pärast pankrotimenetluse lõppu. Seetõttu on andmete avaldamine pärast selle tähtaja möödumist Läti pankrotiseaduse rikkumine.

Läti isikuandmete järelevalveasutus otsustas, et kuigi vastav seadus reguleerib otseselt küll ainult riikliku äriregistri tegevust, kohaldub see seadus isikuandmete kaitse aspektis ka Lursoft’ile ehk maksehäirete alast teavet ei tohi keegi avaldada pärast seaduses sätestatud avaldamistähtaja lõppu.

Läti äriregistrit reguleeriv seadus näeb ette isikute õiguse kasutada äriregistris olevaid andmeid ning kõigil on õigus neid sealt küsida ja ka saada. Siiski ei anna see „igamehe“ juurdepääsuõigus järelevalveasutuse hinnangul saajale õigust avaldada neid andmeid omaenda eraõiguslikul veebilehel.

Läti järelevalveasutus selgitas, mida tähendab GDPR artikli 6 lõike 1 punktis e sätestatud õiguslik alus – „isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks“. Selliseid avalikes huvides olevaid ülesandeid saab kooskõlas artikli 6 lõikega 3 panna täitmiseks ainult Euroopa Liidu või liikmesriigi siseriikliku õigusaktiga, mitte lepinguga.

Antud õiguslikule alusele saab vastutav töötleja tugineda vaid kahel juhul:

• Kui vastutaval töötlejal on ametlik volitus või vajadus töödelda isikuandmeid avalikes huvides oleva ülesande täitmiseks;
• Kui vastutav töötleja ei ole avaliku võimu kandja, kuid on kohustatud andmeid avaldama kolmandale isikule.

Samuti selgitas Läti järelevalveasutus GDPR artikli 5 lõike 1 punktides c ja f sisalduvate õiguslike aluste ulatust. Artikli 6 lõike 1 punktis c sätestatud „juriidiline kohustus“ tähendab õigusaktis sätestatud selgesõnalist kohustust, ning eraõiguslike isikute vahelise lepingu punkt selliseks ei kvalifitseeru.