Kopš Jānis Datiņš aprīlī atvēra savu trenažiera zāli, ikviens ir pamanījis, ka ir audzis ne tikai viņa uzņēmuma klientu loks, bet arī piedāvāto pakalpojumu klāsts, piemēram, Jānis ir izveidojis arī sociālo mediju platformu ar nosaukumu “Datiņa fitness” [1].
Neskatoties uz to, ka Jānis uzņēmējdarbībā ir pavisam nesen, viņš ieguvis ne tikai sadarbības partneru, bet arī klientu uzticību. Kā liecināja klientu aptaujas rezultāti, tad viņi par piedāvātājiem pakalpojumiem uzzina ne tikai no mārketinga aktivitātēm, bet arī no “draugs draugam” ieteikumiem. Svarīgi ir tas, ka Jānis ir atklāts pret saviem klientiem par sniegtajiem pakalpojumiem un arī to, kā un kādiem mērķiem tiek iegūti un apstrādāti viņu dati.
Jānis ļoti nopietni attiecas pret savu klientu datiem. Kad sarunas laikā ar citiem uzņēmējiem dzirdēja viedokli, ka incidentu reģistrs ir mazsvarīgs, jo atbilstoši Datu regulai nav pienākums to veidot, bet pienākums ziņot Datu valsts inspekcijai ir tikai noteiktos gadījumos [2], ja tas ietekmē klientu tiesības, Jānis vērsās pie savas sievas Alises un jautāja, kāpēc viņa vispār ieteica šādu reģistru veidot? Alise uzdeva Jānim pretjautājumus: “Kā Tu zināsi, ka par konkrēto incidentu ir jāziņo Datu valsts inspekcijai? Vai pārbaudes gadījumā varēsi pateikt, kad un cik bieži ir notikuši incidenti?”. Sarunas laikā viņi secināja, ka bieži vien netiek pievērsta uzmanība šāda reģistra izveidei, jo tas līdz šim nav noticis un organizācijas dzīvo pārliecībā, ka incidenti nekad nenotiks.
Alise, izvērtējot notikušo sarunu un neskaidrības par reģistra nepieciešamību, nolēma izveidot skaidrojumu, kāpēc incidentu reģistrs nav obligāts pasākums, bet ir noderīgs rīks ikvienai organizācijai.
Alise sāka ar to, ka efektīva incidentu pārvaldības procedūra nav tikai birokrātiska nepieciešamība. Novērtējot riskus, īstenojot dažādus aizsardzības pasākumus, integrējot incidentu pārvaldību savas organizācijas kultūrā un nosakot iesaistīto personu lomas un pienākumus, organizācijas var uzlabot datu drošību un nodrošināt atbilstību Datu regulas noteikumiem.
Savlaicīgi izveidots incidentu reģistrs ir nozīmīgs instruments, lai ne tikai novērstu datu aizsardzības pārkāpumu, bet arī operatīvi uz to reaģētu. Tas nozīmē, ka reģistra izveide nav tikai “ķeksīša pēc” un “izveidoju un aizmirsu”, tas ir jāievieš organizācijas kultūrā.
Kā varētu izskatīties incidentu reģistrs?
Incidentu pārvaldībai nepieciešama detalizēta dokumentācija. Ja noticis pārkāpums, organizācijām ir jāapkopo visa attiecīgā informācija un jāuzglabā tā incidenta reģistrā. Reģistrs ietver ne tikai vispārīgu informāciju par pārkāpumu, bet arī lēmumus par uzraudzības iestādēm un attiecīgajiem datu subjektiem. Nav universālas incidentu žurnāla veidnes, jo organizācijām tas būtu jāpielāgo savām konkrētajām vajadzībām, tomēr esam izveidojuši paraugu, kā varētu izskatīties incidentu reģistrs.
Iekļaujamā informācija
Sīkāka informācija par pārkāpumu
- Pārkāpuma datums: reģistra uzturētājs veic atzīmi, kad incidents ir noticis (reģistrēts).
- Skarto cilvēku skaits: reģistra uzturētājs norāda, cik personu skāris notikušais incidents.
- Pārkāpuma veids: reģistra uzturētājs norāda, kā noticis incidents, piemēram, personas dati nosūtīti kļūdas pēc, noticis drošības incidents, nedroši iznīcināti dati u.c. Detalizēti esam skaidrojuši #DVIskaidro “Kas ir un kā ziņot par personas datu aizsardzības pārkāpumu?” https://www.dvi.gov.lv/lv/jaunums/dviskaidro-14102022
- Detalizēts pārkāpuma raksturojums: reģistra uzturētājs detalizēti apraksta, kas noticis.
- Kā uzzināja par pārkāpumu: reģistra uzturētājs norāda, kā organizācija vai atbildīgās personas uzzināja par incidentu. Piemēram, publiski izskanēja ziņa vai pati persona vērsusies pie organizācijas.
- Skarto datu kategoriju apraksts: reģistra uzturētājs apraksta, kādi personas dati ir iekļauti incidentā, piemēram, vārds, uzvārds, kontaktinformācija.
Pārkāpuma sekas
- Reģistra uzturētājs detalizēti raksturo incidenta radītās sekas un riskus personas tiesībām. Detalizētāk esam skaidrojuši #DVIskaidro “Kā novērtēt personas datu aizsardzības pārkāpuma smagumu un tā ietekmi uz fizisku personu?” https://www.dvi.gov.lv/lv/jaunums/dviskaidro-25112022
Veiktie pasākumi
- Vai iesaistītās personas ir informētas? Reģistra uzturētājs atbilstoši izvērtējumam veic atzīmi, vai ir jāinformē incidentā skartās personas.
- Korektīvās darbības: reģistra uzturētājs norāda, kādas darbības ir veiktas, lai novērtu incidentu vai mīkstinātu radušās sekas.
- Nepieciešamība informēt uzraudzības iestādi: reģistra uzturētājs veic atzīmi, ka ir jāinformē uzraudzības iestāde. Detalizēti esam skaidrojuši #DVIskaidro “Kas ir un kā ziņot par personas datu aizsardzības pārkāpumu?” https://www.dvi.gov.lv/lv/jaunums/dviskaidro-14102022
- Datums, kad informēta uzraudzības iestāde: reģistra uzturētājs iekļauj detalizētu informāciju, kad uzraudzības iestāde ir informēta pirmo reizi. Kā arī norāda, vai ir nepieciešams to darīt atkārtoti. Piemēram, gadījumos, ja nav iespējams uzreiz sniegt visu informāciju, tad organizācijai ir pienākums iesniegt paziņojumu ne vēlāk kā 72 stundu laikā.
Kādi ir galvenie ieguvumi incidentu reģistra izveidei?
Alise norāda, ka organizācijas tikai iegūst, ja savlaicīgi izveido incidentu reģistru.
- Pārkāpuma seku novērtējums: ja notiek incidents, tad organizācija jau ir gatava veikt iespējamo risku izvērtēšanu uz personas tiesībām pārkāpuma gadījumā un tai nav jātērē laiks reģistra izvērtēšanai. Šis riska novērtējums ir būtisks, lai noteiktu, cik smags ir pārkāpums un kādas darbības būtu jāveic.
- Skarto datu subjektu informēšana: Incidentu reģistrā iekļautā informācija dod iespēju ātri reaģēt un izvērtēt nepieciešamību informēt personas, kuru tiesības un brīvības ir pakļautas lielam riskam konkrētā incidenta gadījumā.
- Uzraudzības iestādes informēšana: Incidentu reģistrā iekļautā informācija palīdz izvērtēt nepieciešamību un pieņemt ātru lēmumu informēt/neinformēt uzraudzības iestādi par notikušo incidentu. Jāņem vērā, ka Datu regula noteiktos gadījumos nosaka, ka organizācijai ir pienākums paziņot uzraudzības iestādei ne vēlāk kā 72 stundu laikā pēc tam, kad uzzinājusi par pārkāpumu.
- Dokumentācija: pat ja organizācijai nav jāziņo par visiem pārkāpumiem uzraudzības iestādei, ir ļoti svarīgi dokumentēt katru incidentu. Incidentu reģistrā iekļautā informācija ir apkopota vienā dokumentā, un organizācijai nav jātērē laiks, lai nepieciešamības gadījumā pārbaudītu katru notikušo incidentu un veiktās darbības. Piemēram, nepareizi nosūtīti e-pasti citiem klientiem. Ja šādas darbības regulāri atkārtojas sistēmas vai konkrētas personas rīcības rezultātā, tad incidentu reģistrs dod iespēju organizācijas vadītājam pieņemt lēmumu, kā rīkoties tālāk. Incidentu reģistra izveide un uzturēšana ļauj arī uzraudzības iestādēm pārbaudīt organizācijas atbilstību Datu regulas prasībām.
- Iekšējo procesu uzlabošana: Reģistra izveide, uzturēšana un tā analīze ļauj organizācijām mācīties no iepriekšējiem pārkāpumiem un īstenot preventīvus pasākumus, lai tie vairs neatkārtotos. Gaidīšana līdz pārkāpumam var novest pie zaudētas iespējas veikt nepieciešamos tehniskos un organizatoriskos uzlabojumus.
- Iekšējā sagatavotība: iepriekš izveidots reģistrs nodrošina, ka organizācija ir gatava rīkoties datu aizsardzības pārkāpuma gadījumā. Piemēram, tas ietver atbildīgās personas iecelšanu, reaģēšanas plānu izstrādi un saziņas kanālu izveidi ar attiecīgajām ieinteresētajām personām.
Personāls un apmācība: ir svarīgi nodrošināt darbinieku apmācību saistībā ar incidentu reģistra izveidi un iekļaujamās informācijas apjomu, kā arī informēt, kura ir atbildīgā persona par konkrēto datu ievadi reģistrā. Būtiska nozīme ir ātrai reaģēšanai un savlaicīgai ziņošanai par datu aizsardzības pārkāpumu. Apmācība palīdz darbiniekiem saprast, cik svarīgi ir ziņot par incidentiem, tiklīdz viņi par tiem uzzin.
Datu aizsardzības speciālists: ja organizācijā ir norīkots datu aizsardzības speciālists, iesakām sākotnēji konsultēties ar speciālistu par incidentu reģistra izveidi un nepieciešamās informācijas iekļaušanu. Datu aizsardzības speciālistam ir nozīmīga loma incidentu pārvaldībā, jo viņi var palīdzēt vadīt procesus, kas saistīti ar datu aizsardzības pārkāpumiem, risku novērtēšanu, pārkāpuma ietekmes mazināšanu un paziņošanas pienākumu izpildi.
Būsim pateicīgi, ja skaidrojuma kvalitātes novērtēšanas nolūkos aizpildīsiet šo aptauju https://www.visidati.lv/aptauja/2036992485/
Informatīvās atsauces:
[1] Platforma minēta #DVIskaidro: Kas ir “privātums pēc noklusējuma”? https://www.dvi.gov.lv/lv/jaunums/dviskaidro-kas-ir-privatums-pec-noklusejuma
[2] #DVIskaidro “Kas ir un kā ziņot par personas datu aizsardzības pārkāpumu?” https://www.dvi.gov.lv/lv/jaunums/dviskaidro-14102022
