#DVIskaidro “Kas ir un kā ziņot par personas datu aizsardzības pārkāpumu?”

Gadījumā, ja, neskatoties uz ieviestajiem drošības pasākumiem, notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana, ir noticis personas datu aizsardzības pārkāpums (turpmāk – Pārkāpums) [1].

Viens no pārziņa (turpmāk – Organizācija) [2] uzdevumiem ir nodrošināt, ka atbilstoši datu apstrādes raksturam, apmēram, kontekstam, nolūkiem un pastāvošiem riskiem, tiek ieviesti atbilstīgi tehniski un organizatoriski pasākumi, lai nodrošinātu tādu drošības līmeni, kas atbilst šiem riskiem. [3]

Pārkāpumus var iedalīt atbilstoši trīs plaši pazīstamiem informācijas drošības principiem:

1. Konfidencialitātes incidents – kur notikusi neautorizēta vai nejauša personas datu izpaušana vai piekļūšana tiem;
2. Integritātes incidents – kad notikušas neautorizētas vai nejaušas izmaiņas personas datos;
3. Pieejamības incidents – kad noticis nejaušs vai neautorizēts piekļuves personas datiem zaudējums vai arī personas dati iznīcināti.

• Pārkāpuma piemērs - konfidencialitāte: Hakeri ir atraduši drošības “caurumu” organizācijas informācijas sistēmā un izguvuši Organizācijas datu bāzi ar klientu personas datiem.
• Pārkāpuma piemērs - integritāte: Nepareizi organizētas SQL rindas dēļ zudusi mākonī glabātas klientu datu bāzes ierakstu integritāte. Kā rezultātā jaunie ieraksti tiek piešķirti neatbilstošiem references laukiem – praktiski tas nozīmē, ka viena klienta saistītā informācija tiek attiecināta uz citu klientu.
• Pārkāpuma piemērs - pieejamība: Organizācijas nepareizas rezerves kopiju veidošanas politikas dēļ esošā datu bāze tiek pārrakstīta ar pusgadu vecu rezerves kopiju, bez iespējas atjaunot uz aktuālāku datu bāzes versiju. Rezultātā pēdējā pusgadā ierakstītā informācija, tai skaitā atjaunotajā sistēmā glabātie personas dati, neatgriezeniski zaudēti.

Organizācijai ir jābūt izstrādātai un ieviestai iekšējai procedūrai kā noteikt vai noticis Pārkāpums, gan arī procedūrai kā vērtēt Pārkāpuma rezultātā iestājušos riskus.

Ja drošības incidents noticis uzņēmumā, kas rīkojas Organizācijas noteiktu mērķu sasniegšanai ar Organizācijas izvēlētiem līdzekļiem (Apstrādātājs) [4], tad šim uzņēmumam tiklīdz tam kļuvis zināms par personas datu aizsardzības pārkāpumu ir bez nepamatotas kavēšanās jāpaziņo par to Organizācijai.

Organizācijas rīcība katra atsevišķa Pārkāpuma gadījumā ir saistīta ar iespējamiem riskiem fizisku personu tiesībām un brīvībām, kas Pārkāpuma rezultātā var iestāties. Līdz ar to katra identificēta pārkāpuma gadījumā tūlīt pēc vai vienlaicīgi ar loģiskajiem tehniskajiem soļiem (piemēram, nelikumīgas piekļuves cēloņu novēršanas) ir veicama iespējamo risku fiziskās personas tiesībām un brīvībām novērtēšana.

Ja tiek noteikts, ka Pārkāpums var radīt augstu risku fiziskas personas tiesībām un brīvībām:

1. Organizācijai bez nepamatotas kavēšanās jāpaziņo fiziskajām personām, kuras Pārkāpums skar.
2. Organizācijai ne vēlāk kā 72 stundu laikā jāpaziņo uzraudzības iestādei par Pārkāpumu. Ja tomēr paziņošana notiek vēlāk, tad jāskaidro iemesli kāpēc notikusi kavēšanās.
3. Rūpīgi jāizmeklē Pārkāpuma cēloņi un jāveic pasākumi, lai novērstu atkārtotus Pārkāpumus nākotnē.

Ja tiek noteikts, ka ir ticams, ka Pārkāpums ticami varētu radīt riskus fiziskas personas tiesībām un brīvībām:

1. Organizācijai ne vēlāk kā 72 stundu laikā jāpaziņo uzraudzības iestādei par Pārkāpumu. Ja tomēr paziņošana notiek vēlāk, tad jāskaidro iemesli kāpēc notikusi kavēšanās.

2. Rūpīgi jāizmeklē Pārkāpuma cēloņi un jāveic pasākumi, lai novērstu atkārtotus Pārkāpumus nākotnē.

Ja tiek noteikts, ka ir maz ticams, ka Pārkāpums varētu radīt risku fiziskas personas tiesībām un brīvībām:

Rūpīgi jāizmeklē Pārkāpuma cēloņi un jāveic pasākumi, lai novērstu atkārtotus Pārkāpumus nākotnē.

Izvērsti dažādu Pārkāpuma piemēru analīze veikta Eiropas datu aizsardzības kolēģijas vadlīnijās. [5]

Kā ziņot par pārkāpumu?

Paziņojumu par Pārkāpumu uzraudzības iestādei iesniedz Organizācija vai tās pilnvarotā persona (pievienojot pilnvarojuma dokumentu).

!Veidlapa/forma ir aizpildāma tikai Organizācijām vai fiziskām personām, kas apstrādā personas datus, un kuru rīcībā ir informācija par Pārkāpuma iestāšanos attiecībā uz tā pārziņā esošajiem personas datiem.

Ir izveidots vienkāršots pārkāpuma paziņošanas rīks. Ar pārkāpuma paziņošanas rīku iespējams iepazīties šeit: https://www.dvi.gov.lv/lv/pdap  

!Ja un ciktāl informāciju nav iespējams sniegt vienlaikus, informāciju var sniegt pa posmiem bez turpmākas nepamatotas kavēšanās. Ja paziņošana nav notikusi 72 stundu laikā, paziņojumam pievieno kavēšanās iemeslus.

Norādām, ka ziņošana par Pārkāpumu būtu jāuzskata par līdzekli, kas stiprina atbilstību personas datu aizsardzības normatīvajam ietvaram. Savukārt neziņošana par Pārkāpumu var būt iemesls korektīvo līdzekļu  piemērošanai.

Plašāka informācija par personas datu aizsardzības pārkāpumu pieejama 29.panta darba grupas 2017.gada 3.oktobra Pamatnostādnēs par personas datu aizsardzības pārkāpumu paziņošanu saskaņā ar Regulu 2016/679 [6].

IFORMATĪVĀS ATSAUCES:

Datu regula - Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016.gada 27.aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula)

[1] Datu regulas 4.panta 12.punkts

[2] Datu regulas 4.panta 7.punkts

[3] Datu regulas 32.panta 1.punkts

[4] Datu regulas 4.panta 8.punkts

[5] 2021. gada 14. decembra Pamatnostādnes 01/2021 par personas datu aizsardzības pārkāpumu paziņošanu— piemēri

[6] 2017.gada 3.oktobra Pamatnostādnes par personas datu aizsardzības pārkāpumu paziņošanu saskaņā ar Regulu 2016/679.