When do you need to notify a data breach?
Vai jūsu apstrādātie personas dati ir pazaudēti, nozagti vai nopludināti?
Is the processing likely to result in high risks?
Vai man ir jāveic NIDA?
Jā, jums ir jāveic NIDA
Vai pēc NIDA joprojām pastāv lieli riski?
Vai man ir jāveic NIDA?
No personal data breach has occurred.
Consult your Data Protection Authority
You don’t need to notify the data protection authority or individuals.
You need to document all data breaches in a record.
Datu aizsardzības pārkāpumiem var negatīvi ietekmēt jūsu organizāciju. Finansiāli zaudējumi, naudas sodi, klientu uzticības zaudēšana - datu aizsardzības pārkāpumu ietekme var būt milzīga. Tāpēc ir svarīgi ievērot kiberdrošības paraugpraksi un procedūras drošības incidentu novēršanai. Neskatoties uz to, jums joprojām var rasties datu aizsardzības pārkāpums, par kuru jums, iespējams, būs jāpaziņo attiecīgajai datu aizsardzības iestādei (DAI) vai jāpaziņo skartajām personām.
Kas ir “personas datu aizsardzības pārkāpums”
Personas datu aizsardzības pārkāpums ir “drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem”.
Organizācijām būtu jāapzinās, ka personas datu aizsardzības pārkāpums var attiekties ne tikai uz personas datu “nozaudēšanu”. Tas ietver incidentus, kas ietekmē personas datu konfidencialitāti, integritāti vai pieejamību. Svarīgi, ka datu aizsardzības pārkāpumi ietver gan nejaušus (piemēram, e-pasta vēstules nosūtīšana nepareizajam adresātam, USB atslēgas ar klientu datiem nozaudēšana vai nejauša medicīnisko datu, kuriem nav kopiju, dzēšana), gan apzinātus (piemēram, pikšķerēšanas uzbrukumi, lai iegūtu piekļuvi klientu datiem) drošības incidentus.
Citiem vārdiem sakot, tās ir situācijas, kad persona piekļūst datiem vai nodod tos tālāk bez pienācīgas atļaujas vai kad personas dati tiek padarīti nepieejami, izspiedējvīrusam veicot šifrēšanu, vai notiek nejauša nozaudēšana vai iznīcināšana. Lai gan visi personas datu aizsardzības pārkāpumi ir drošības incidenti, ne visi drošības incidenti noteikti ir personas datu aizsardzības pārkāpumi (jo konkrētajā drošības incidentā var nebūt nekādu personas datu).
Lasīt vairāk
Pārziņu pienākumi
Ja jūsu MVU darbojas kā pārzinis, attiecībā uz datu aizsardzības pārkāpumiem ir trīs galvenie principi:
- personas datu aizsardzības pārkāpumu dokumentēšana;
- paziņošana attiecīgajai datu aizsardzības iestādei (DAI) par jebkuru personas datu aizsardzības pārkāpumu 72 stundu laikā, ja vien tas nerada risku personām; un
- par šo pārkāpumu bez nepamatotas kavēšanās informē personas, ja pārkāpums varētu radīt tām augstu risku.
Ir ārkārtīgi svarīgi, lai pārziņi izprastu un izpildītu šos pienākumus un iepriekš īstenotu atbilstošas procedūras, kas tiem ļautu objektīvi un savlaicīgi noteikt, vai ir nepieciešams kāds no iepriekš minētajiem paziņojumiem.
Jebkurā gadījumā par visiem pārkāpumiem, tostarp pārkāpumiem, par kuriem nav ziņots datu aizsardzības iestādei, jo risks tiek uzskatīts par maz ticamu, pārzinim saskaņā ar VDAR 33. panta 5. punktu ir jādokumentē vismaz pamatinformācija par pārkāpumu, tā novērtējumu, tā ietekmi un veiktajām koriģējošajām darbībām.
Ko darīt un kā rīkoties?
Paziņošana attiecīgajai DAI
Saskaņā ar VDAR 33. panta 1. punktu par visiem datu aizsardzības pārkāpumiem būtu jāziņo attiecīgajai DAI, izņemot gadījumus, kad maz ticams, ka tie varētu radīt kādu risku privātpersonām. Lai atvieglotu šo paziņošanu, datu aizsardzības iestādes ir ieviesušas procedūras vai tiešsaistes veidlapas, kas palīdz jums soli pa solim sniegt visu nepieciešamo informāciju.
Ja pārkāpums notiek pārrobežu apstrādes un paziņošanas kontekstā, pārzinim, ja tas veic uzņēmējdarbību EEZ, ir jāpaziņo vadošajai DAI. Tādējādi, izstrādājot savu rīcības plānu reaģēšanai uz pārkāpumiem, pārzinim jau būtu jāveic novērtējums par to, kurai vadošajai DAI būs jāpaziņo. Ja pārzinim ir šaubas par vadošās DAI identitāti, viņam vismaz jāpaziņo vietējai datu aizsardzības iestādei vietā, kur noticis pārkāpums.
Ja paziņojums ir nepieciešams, tas jāveic pēc iespējas ātrāk un 72 stundu laikā no brīža, kad ir kļuvis zināms par pārkāpumu. Ja tas nav iespējams, paziņojumam jāpievieno kavēšanās iemesls. Uzskatāms, ka organizācijai ir “kļuvis zināms” par pārkāpumu, ja ir pamatota pārliecība, ka ir noticis incidents un ir apdraudēti personas dati.
Lai kompetentajai datu aizsardzības iestādei varētu pierādīt, kad un kā jūs uzzinājāt par datu aizsardzības pārkāpumu, visām organizācijām ir ieteicams iekšējās datu aizsardzības procedūrās ieviest sistēmu, kurā reģistrēt, kā un kad tās uzzināja par incidentu un kā tās novērtēja iespējamo pārkāpuma risku.
Ja 72 stundu laikā nav iespējams sniegt visu būtisko informāciju DAI, paziņošana būtu jāveic vairākos posmos. Būtu jāiesniedz pirmais paziņojums, un papildu informāciju var sniegt pa posmiem.
Tāpat saskaņā ar VDAR 33. panta 2. punktu, ja jūsu MVU ir datu apstrādātājs, kas apstrādā personas datus citas organizācijas vārdā, jums bez nepamatotas kavēšanās ir jāinformē datu pārzinis par jebkuru personas datu aizsardzības pārkāpumu. Tas ir ļoti svarīgi, lai datu pārzinis varētu laikus izpildīt savus paziņošanas pienākumus. Prasības attiecībā uz ziņošanu par pārkāpumiem būtu arī jānosaka līgumā starp pārzini un apstrādātāju, kā noteikts VDAR 28. pantā.
Paziņojumā attiecīgajai DAI par personas datu aizsardzības pārkāpumu vismaz:
- apraksta personas datu aizsardzības pārkāpuma būtību, tostarp, ja iespējams, attiecīgo personu kategorijas un aptuveno skaitu, kā arī attiecīgo personas datu ierakstu kategorijas un aptuveno skaitu;
- paziņo datu aizsardzības speciālista (DAS) vārdu un kontaktinformāciju vai citu kontaktpunktu, kur var iegūt vairāk informācijas;
- apraksta personas datu aizsardzības pārkāpuma iespējamās sekas; un
- apraksta pasākumus, ko MVU veicis vai ierosinājis veikt, lai novērstu personas datu aizsardzības pārkāpumu, tostarp attiecīgā gadījumā pasākumus tā iespējamās nelabvēlīgās ietekmes mazināšanai.
Informācija skartajām personām
Par dažiem datu aizsardzības pārkāpumiem bez liekas kavēšanās ir jāpaziņo skartajām personām. Tas attiecas uz gadījumiem, kad personas datu aizsardzības pārkāpums var radīt augstu risku fiziskas personas tiesībām un brīvībām.
Šīs prasības mērķis ir nodrošināt, lai datu subjekti varētu veikt nepieciešamos piesardzības pasākumus, ja ir notikuši incidenti, kas var radīt augstu risku tiem.
Šāda saziņa ar privātpersonām ir jāveic nekavējoties un attiecīgā gadījumā ciešā sadarbībā ar kompetento DAI. Gadījumos, kad ir jāsamazina tūlītējs risks personām, ir nepieciešama ātra saziņa.
Ir gadījumi, kad pārziņiem nebūs jāziņo fiziskām personām, piemēram:
- pārzinis bija šifrējis datus, un šifrēšanas atslēga netika apdraudēta;
- pārzinis ir veicis turpmākus pasākumus, lai nodrošinātu, ka augstais risks fizisko personu tiesībām un brīvībām vairs nepastāv;
vai
- individuāla paziņošana prasītu nesamērīgas pūles. Tomēr šādā gadījumā pārzinim ir jānodrošina, ka personas tiek vienlīdz efektīvi informētas ar publisku paziņojumu vai līdzīgu pasākumu.
Šajā paziņojumā personai skaidrā un vienkāršā valodā būtu jāapraksta personas datu aizsardzības pārkāpuma būtība un jāietver vismaz šāda informācija:
- datu aizsardzības speciālista vai cita kontaktpunkta, no kura var saņemt papildu informāciju, vārds un kontaktinformācija;
- personas datu aizsardzības pārkāpuma iespējamo seku apraksts; un
- apraksts par pasākumiem, ko organizācija veikusi vai ierosinājusi veikt, lai novērstu personas datu aizsardzības pārkāpumu, tostarp attiecīgā gadījumā pasākumi tā iespējamās nelabvēlīgās ietekmes mazināšanai.
- Paziņojumā būtu arī jāapraksta ieteikumi attiecīgajām personām, lai mazinātu pārkāpuma iespējamās nelabvēlīgās sekas.
Pārziņi un apstrādātāji tiek mudināti iepriekš plānot un ieviest procesus, lai varētu atklāt un nekavējoties ierobežot pārkāpumu, novērtēt risku personām un pēc tam noteikt, vai ir nepieciešams par pārkāpumu informēt kompetento DAI un vajadzības gadījumā – skartās personas.
Kad jums ir jāpaziņo par datu aizsardzības pārkāpumu?
