Prasību ievērošana
Rīcība datu aizsardzības pārkāpuma gadījumā
Personas datu aizsardzības pārkāpums
Par personas datu aizsardzības pārkāpumu ir uzskatāma jebkura no turpmāk minētajām situācijām:
-
Jūsu apstrādātos personas datus aplūko, saņem, tiem piekļūst vai tie kļūst pieejami neatļautām personām
-
Piemēri:
-
personas datus saturošs fails tiek nosūtīts nepareizajai personai;
-
neatļautai personai ir bijusi piekļuve jūsu sistēmām, un pastāv iespēja, ka šī persona bija spējīga piekļūt, kopēt, skatīt, iznīcināt utt. personas datus;
-
personas datus saturoša datubāze bija publiski pieejama, un jūs nespējat precīzi noteikt, vai kāds tai piekļuva vai ne;
-
dažiem darbiniekiem bija “tikai lasāms” piekļuve personas datiem, kuriem viņi nedrīkstēja piekļūt, un jūs nespējat precīzi noteikt, vai viņi tiem piekļuva vai ne;
-
darbinieka konts ir ticis uzlauzts, un jūs nespējat precīzi noteikt, vai urķis piekļuva personas datiem, kas bija pieejami darbiniekam.
-
-
-
Personas dati ir pazaudēti, iznīcināti vai bojāti.
-
“Iznīcināšana”: dati vairs nepastāv vai vairs nepastāv pārzinim noderīgā veidā.
-
“Bojāti”: personas dati ir mainīti, bojāti vai vairs nav pilnīgi.
-
“Pazaudēti”: dati, iespējams, joprojām pastāv, bet pārzinis ir zaudējis kontroli pār tiem vai piekļuvi tiem, vai dati vairs neatrodas viņa valdījumā.
-
Piemēri:
-
ir pazaudēts klēpjdators vai datu nesējs (piemēram, USB zibatmiņa), pat ja ierīce ir šifrēta;
-
neizdodas izgūt personas datus saturošu failu;
-
personas datus saturošs fails ir šifrēts ar izspiedējprogrammatūru;
-
ir pazaudēta parole šifrētam personas datus saturošam failam, un nav pieejama neviena cita faila kopija.
-
-
Paziņojums datu aizsardzības iestādei
-
Par datu aizsardzības pārkāpumiem pārzinim ir jāziņo datu aizsardzības iestādei 72 stundu laikā no pārkāpuma konstatēšanas brīža, izņemot, ja ir maz ticams, ka datu aizsardzības pārkāpums radīs risku fizisko personu tiesībām un brīvībām (piemēram, dati tika šifrēti).
-
Ja par pārkāpumu netiek paziņots 72 stundu laikā, pārzinim ir jāinformē datu aizsardzības iestāde par šāda kavējuma iemesliem.
-
Paziņošana var notikt etapos, proti, pieejamā informācija var būt daļa no sākotnējās informācijas, un vēlāk failam var tikt pievienota papildinformācija.
-
Paziņojumā jāietver vismaz šāda informācija:
-
personas datu aizsardzības pārkāpuma raksturs, tostarp, ja iespējams, attiecīgo datu subjektu kategorijas un aptuvenais skaits, kā arī attiecīgo personas datu kategorijas un aptuvenais vienību skaits;
-
datu aizsardzības speciālista vai citas kontaktpersonas, kas var sniegt sīkāku informāciju, vārds un kontaktinformācija; iespējamās pārkāpuma sekas;
-
pārziņa veiktie vai ierosinātie pasākumi, lai novērstu datu aizsardzības pārkāpumu, tostarp, ja iespējams, pasākumi jebkuru iespējamo nelabvēlīgo seku mazināšanai.
-
-
Pārzinim ir atbilstoši jādokumentē visi personas datu aizsardzības pārkāpumi, tostarp saistītie fakti, sekas un veiktie korektīvie pasākumi.
Paziņojums attiecīgajām personām
-
Ja ir ticams, ka personas datu aizsardzības pārkāpums radīs risku fizisko personu tiesībām un brīvībām, pārzinim bez nepamatotas kavēšanās ir jāinformē datu subjekti par pārkāpumu.
-
Pārzinim ir pienākums skaidrā un vienkāršā valodā aprakstīt personas datu aizsardzības pārkāpuma raksturu, kā arī norādīt:
-
datu aizsardzības speciālista vai citas kontaktpersonas, kas var sniegt sīkāku informāciju, vārds un kontaktinformācija; personas datu aizsardzības pārkāpuma iespējamās sekas;
-
pārziņa veiktie vai ierosinātie pasākumi, lai novērstu pārkāpumu, tostarp, ja iespējams, pasākumi jebkuru iespējamo nelabvēlīgo seku mazināšanai.
-
-
Ja pārzinis nav informējis datu subjektus par pārkāpumu, uzraudzības iestāde pēc pārkāpuma radītā riska izvērtēšanas var pieprasīt to darīt.
-
Pārzinim nav pienākuma informēt datu subjektus par personas datu aizsardzības pārkāpumu, ja:
-
tas ir īstenojis atbilstošus tehniskos un organizatoriskos aizsardzības pasākumus, kas tika piemēroti pārkāpumā skartajiem personas datiem, jo īpaši tādus pasākumus kā šifrēšana, kas personas datus padara nesaprotamus jebkurai personai, kurai nav atļauts piekļūt minētajiem datiem;
-
pēc tam ir veikti pasākumi, lai, visticamāk, vairs nevarētu materializēties augstais risks attiecībā uz datu subjektu tiesībām un brīvībām; vai
-
tas prasītu nesamērīgi lielas pūles; šādā gadījumā pārzinim jāizmanto publiska saziņa vai jāveic līdzīgi pasākumi, lai nodrošinātu, ka datu subjekti tiek informēti vienlīdz efektīvā veidā.
-
-
Apstrādātāja loma
-
Apstrādātājam, uzzinot par personas datu aizsardzības pārkāpumu, ir pienākums bez nepamatotas kavēšanās informēt pārzini.
-
Datu aizsardzības pārkāpumu politika
Izstrādājiet datu aizsardzības pārkāpumu politiku, kurā aprakstāt, kā jūsu darbiniekiem ir jārīkojas datu aizsardzības pārkāpuma gadījumā, kuras personas par to ir jāinformē utt. Nodrošiniet, ka darbinieki ir informēti par šīs politikas saturu.
Datu aizsardzības pārkāpumu reģistrs
Ir jāizstrādā datu aizsardzības pārkāpumu reģistrs. Šajā reģistrā jums ir jānorāda ne tikai tie datu aizsardzības pārkāpumi, par kuriem bija nepieciešams ziņot, bet arī tie datu aizsardzības pārkāpumi, par kuriem nebija nepieciešams ziņot.
Laiks rīkoties!
-
Novērtējiet jūsu organizācijā ieviestos tehniskos un operatīvos drošības pasākumus un nepieciešamības gadījumā veiciet atbilstošus uzlabojumus.
-
Izstrādājiet datu aizsardzības pārkāpumu politiku un datu aizsardzības pārkāpumu reģistru.
-
Nodrošiniet jūsu sistēmu regulāru pārbaudi, ko veic ārpakalpojuma sniedzējs.
-
Ieviesiet atbilstošu datu aizsardzības pārkāpumu paziņošanas procedūru.
-
Apmāciet darbiniekus un darbuzņēmējus par drošības jautājumiem.
Avoti