Datu aizsardzības incidenta ziņošanas kārtība
Mūsdienu digitālajā laikmetā personas datu aizsardzības incidenti notiek arvien biežāk, tādēļ uzņēmumiem ir ļoti svarīgi būt labi sagatavotiem un precīzi apzināties, kā rīkoties, ja šāds datu pārkāpums notiek. Ātras un efektīvas reakcijas nozīmi nevar pārvērtēt, jo nespēja laicīgi ziņot ietekmētajām pusēm un uzraudzības iestādēm var rezultēties nopietnās juridiskās, finansiālās un reputācijas sekās. Kā ziņot par datu aizsardzības pārkāpumiem?
Personas datu aizsardzības pārkāpums
Personas datu aizsardzības pārkāpuma ziņošanas prasības ir noteiktas regulā 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (Vispārīgā datu aizsardzības regula). Regulas 4.panta 12.daļā datu aizsardzības incidents jeb “personas datu aizsardzības pārkāpums” ir definēts kā drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem.
Personas datu aizsardzības pārkāpums var būt jebkurš incidents, kas ietekmē personas datu konfidencialitāti, integritāti vai pieejamību. Tas, piemēram, var būt kiberuzbrukums, kurā tiek nozagti klientu dati – vārdi, adreses, maksājumu karšu dati. Tajā pašā laikā datu pārkāpums neaprobežojas tikai ar kiberuzbrukumiem. Arī incidenti ārpus digitālās vides var būt uzskatāmi par datu pārkāpumiem. Piemēram, ja uzņēmuma birojā tiek nozagta dokumentu mape ar darbinieku personīgās informācijas datiem vai pazūd zibatmiņa, kurā atrodas dokumenti, fotoattēli vai video, kas satur personas datus (neatkarīgi no tā, vai šie dati ir vai nav šifrēti), arī tas tiktu uzskatīts par personas datu aizsardzības pārkāpumu, jo tiek apdraudēta šo datu konfidencialitāte un pieejamība, un attiecīgi arī šādiem gadījumiem var piemērot datu pārkāpuma ziņošanas pienākumu.
Ziņošanas pienākumi
Ja ir noticis personas datu pārkāpums, uzņēmumam var iestāties incidenta ziņošanas pienākums. Šajā gadījumā ir jāizšķir, kādā lomā uzņēmums veic incidenta skarto personas datu apstrādi, proti, kā:
- personas datu pārzinis (persona, kas nosaka personas datu apstrādes nolūkus un līdzekļus);
- personas datu apstrādātājs (persona, kas pārziņa vārdā apstrādā personas datus).
Personas datu pārziņa pienākumi
Personas datu pārzinim datu aizsardzības regulējums paredz pienākumu noteiktās situācijās par personas datu pārkāpumu ziņot datu aizsardzības uzraudzības iestādei un attiecīgajām personām. Proti, Vispārīgās datu aizsardzības regulas 33.panta 1.daļa nosaka – ja ir noticis personas datu pārkāpums, izņemot gadījumus, kad ir maz ticams, ka personas datu aizsardzības pārkāpums varētu radīt risku fizisku personu tiesībām un brīvībām, pārzinim bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam ir kļuvis zināms, ir jāpaziņo uzraudzības iestādei par personas datu pārkāpumu. Gadījumos, kad pārzinis nav paziņojis uzraudzības iestādei par pārkāpumu 72 stundu laikā, paziņojumā ir jānorāda kavēšanās iemesli.
Tātad, ja pārzinis secina, ka pārkāpums var radīt jebkādu risku fiziskai personai, tad ir jāziņo uzraudzības iestādei, tai sniedzot regulas 33.panta 3.daļā norādīto informāciju jeb datu aizsardzības pārkāpuma paziņojumu, kurā ir norādīts vismaz datu pārkāpuma raksturs, ietekmētās fizisku personu kategorijas (piemēram, klienti un/vai darbinieki) un aptuvenais skaits, datu ierakstu kategorijas un to aptuvenais skaits, pārziņa un datu aizsardzības speciālista (ja tāds norīkots) kontaktinformācija, apraksts par datu pārkāpuma iespējamajām sekām, kā arī apraksts par pasākumiem, ko pārzinis veicis vai plāno veikt, lai novērstu datu pārkāpumu un/vai mazinātu pārkāpuma iespējamās nelabvēlīgās sekas. Ja pārzinim nav pieejama visa nepieciešamā informācija par datu pārkāpumu, tad paziņojumu var sniegt pa daļām – 72 stundu laikā var sniegt sākotnējo paziņojumu uzraudzības iestādei ar pārzinim pieejamo informāciju, bet pārējo informāciju, kad tā ir pieejama, tomēr pārmērīgi nevilcinoties.
Ja pārzinis darbojas Latvijā un tā vadošā uzraudzības iestāde ir Latvijā, tad uzraudzības iestāde, kurai jāiesniedz paziņojums par personas datu aizsardzības pārkāpumu, ir Latvijas Datu valsts inspekcija (DVI). Sniedzot informāciju par datu pārkāpumu DVI, var izmantot DVI Personas datu apstrādes aizsardzības pārkāpuma paziņojuma formu un nosūtīt to elektroniski parakstītu uz DVI oficiālo e-pastu ar norādi “Paziņojums par personas datu aizsardzības pārkāpumu”, vai arī augšupielādēt vai aizpildīt to, izmantojot portālu Latvija.lv. Paziņojums jāaizpilda un jāparaksta pārzinim (piemēram, pārziņa valdes loceklim) vai pilnvarotajai personai. Pēdējā gadījumā pie paziņojuma ir obligāti jāpievieno pilnvara, uz kuras pamata tiek aizpildīts datu pārkāpuma paziņojums.
Situācijās, kad personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinim saskaņā ar Vispārīgās datu aizsardzības regulas 34.pantu līdztekus DVI ziņojumam bez nepamatotas kavēšanās jāpaziņo arī fiziskām personām par to datu aizsardzības pārkāpumu. Šādā gadījumā personām jāpaziņo par datu pārkāpuma raksturu, jānorāda pārziņa un datu aizsardzības speciālista (ja tāds ir norīkots) kontaktinformācija, pārkāpuma iespējamās sekas personai, kā arī jāsniedz informācija par to, ko pārzinis jau ir darījis vai plāno darīt, lai mazinātu pārkāpuma sekas personai (vai arī, ko pati persona var proaktīvi darīt). Ziņojuma saturs personai ir līdzīgs tam, kas jāsniedz uzraudzības iestādei. Taču atšķirība ir tāda, ka fiziskām personām šī informācija ir jāsniedz skaidrā un vienkāršā valodā, lai visas skartās personas to var saprast un izprast iespējamās sekas.
Tātad, lai konstatētu, vai pārzinim ir iestājies incidenta ziņošanas pienākums un par to ir jāziņo uzraudzības iestādei vai fiziskai personai, pārzinim ir jāveic datu pārkāpuma un iespējamās ietekmes uz skarto personu izvērtējums. Tas jādara, lai noteiktu, vai pārkāpums nerada risku (nav jāziņo nevienam), rada zemu vai vidēju risku (jāziņo uzraudzības iestādei) vai var radīt augstu risku (jāziņo uzraudzības iestādei un skartajām personām).
Piemēri
Ja datu pārkāpuma gadījumā tiek zaudēta kontrole, “noplūst” fizisku personu maksājumu karšu dati, tad, visticamāk, šāds pārkāpums šīm personām var radīt augstu risku, un par to būtu jāziņo gan uzraudzības iestādei, gan pašām ietekmētajām personām. Tas ļautu veikt preventīvas darbības, proti, uzmanīt savu karšu maksājumu aktivitātes un/vai pieņemt lēmumu bloķēt karšu datus, lai mazinātu pārkāpuma iespējamo ietekmi.
Cita situācija ir, ja datu pārkāpums rodas tādēļ, ka uz mirkli tiek nozaudēta zibatmiņa, kurā ir saglabāts ierobežots daudzums uzņēmuma darbinieku datu, un šie dati ir pareizi šifrēti, tad, visticamāk, ir maza iespējamība, ka attiecīgajiem darbiniekiem varētu būt jebkāda ietekme no šī incidenta, it īpaši, ja vēlāk šī zibatmiņa tiek atrasta un nav nekādu pazīmju, ka kāds būtu mēģinājis piekļūt tajā esošajai informācijai.
Svarīgi, ka datu pārziņi šo izvērtējumu veic rakstiski un dokumentē visas darbības, kas veiktas saistībā ar datu pārkāpumu, tā izmeklēšanu un atgūšanos no tā. Pārzinim ir jāglabā datu pārkāpumu reģistrs (piemēram, “Excel” faila formātā), kurā ir reģistrēti visi datu aizsardzības pārkāpumi, arī tie, kas nav ziņoti uzraudzības iestādei vai fiziskām personām.
Personas datu apstrādātāja pienākumi
Jāvērš uzmanība, ka saskaņā ar Vispārīgās datu aizsardzības regulas 33.panta 2.daļu pārkāpuma ziņošanas pienākums uzraudzības iestādei un fiziskām personām attiecas tikai uz personas datu pārziņiem. Vispārīgā datu aizsardzības regula paredz, ka tiklīdz personas datu apstrādātājam kļuvis zināms par personas datu aizsardzības pārkāpumu, viņam bez nepamatotas kavēšanās ir jāpaziņo par to pārzinim. Praksē lielākoties ietekmēto datu pārzinis būs apstrādātāja klients, kura vārdā apstrādātājs veic datu apstrādi, kam būs jāziņo par datu pārkāpumu un kurš tālāk vai nu pats, vai ar apstrādātāja palīdzību vērtēs, vai pārkāpums ir jāziņo uzraudzības iestādei vai fiziskām personām. Šāds ziņošanas pienākums apstrādātājam parasti ir pielīgts arī datu apstrādes līgumā ar datu pārzini, ko kā obligātu prasību paredz Vispārīgās datu aizsardzības regulas 28.pants. Praksē ļoti bieži šādos līgumos ir norāde, ka apstrādātājam ir nekavējoties, bet ne vēlāk kā līdz noteiktam stundu skaitam (piemēram, ne vēlāk kā 24 stundu laikā) no brīža, kad ir kļuvis zināms par datu pārkāpumu, par to ir jāziņo pārzinim. Šāda prasība tiek iekļauta un ir uzskatāma par saprātīgu, lai pats pārzinis var laicīgi sākt izvērtēt iespējamo ietekmi uz fiziskām personām, piemērot nepieciešamos ietekmes mazināšanas pasākumus un izpildīt savu pienākumu ziņot par pārkāpumu uzraudzības iestādei vai personām.
Jāņem vērā, ka uzņēmums, kas lielākoties darbojas kā personas datu apstrādātājs, noteiktos gadījumos veic personas datu apstrādi arī kā datu pārzinis. Tas nozīmē, ka pašam uzņēmumam jau laicīgi jāsaprot, kāda ir tā datu apstrādes loma.
Piemērs
Ārpakalpojuma grāmatvedības uzņēmums, kas sniedz grāmatvedības pakalpojumus citām juridiskām personām (klienti – datu pārziņi), attiecībā uz no šo klientu iegūtajiem personas datiem darbosies kā datu apstrādātāji. Šādā gadījumā, ja ir noticis datu pārkāpums, kas skar attiecīgā klienta personas datus, grāmatvedības uzņēmumam ir pienākums nekavējoties informēt attiecīgo klientu – datu pārzini – un izpildīt datu apstrādes līguma, kas noslēgts ar šo pārzini, prasības attiecībā uz personas datu aizsardzības pārkāpumiem. Taču, ja datu pārkāpums ir skāris šī grāmatvedības uzņēmuma darbinieku personas datus, tad attiecībā uz šiem datiem grāmatvedības uzņēmums lielākoties būs uzskatāms par datu pārzini un uz to būs attiecināmas iepriekš minētās ietekmes izvērtējuma un ziņošanas uzraudzības iestādei vai fiziskām personām prasības.
Visbeidzot, jāatzīmē, ka iepriekš minētās ziņošanas prasības attiecas tikai uz gadījumiem, kad tiek piemērotas Vispārējās datu aizsardzības regulas normas. Noteiktos gadījumos, kad uz uzņēmumu attiecas kiberdrošības regulējums vai tas ir speciālo likumu subjekts, uz to var attiekties papildu ziņošanas un incidentu izvērtēšanas prasības, ko nosaka attiecīgi piemērojamie likumi. Piemēram, ja datu pārkāpums ir saistīts ar kiberdrošības incidentu un uzņēmums ir Informācijas tehnoloģiju drošības likuma (vai nākotnē Nacionālās kiberdrošības likuma) subjekts, tad papildus pienākumam ziņot DVI, iespējams, būs jāziņo arī Informācijas tehnoloģiju drošības incidentu novēršanas institūcijai (CERT).
Neziņošanas sekas
Datu pārkāpumu ziņošanas pienākumu neizpilde var radīt nopietnas sekas uzņēmumiem un to klientiem. Pirmkārt, par ziņošanas pienākumu neizpildi var piemērot administratīvo sodu līdz 10 000 000 eiro vai līdz 2% iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks. Neziņošanas gadījumā datu apstrādātājs var būt papildus pakļauts arī sankcijām, kas izriet no līguma ar datu pārzini.
Ne tikai paša personas datu aizsardzības pārkāpuma esamība, bet arī neziņošana par pārkāpumu var radīt būtisku kaitējumu uzņēmuma reputācijai, kā arī ietekmēt fizisku personu iespējas ierobežot pārkāpumu iespējamo ietekmi uz tiem. Tas paaugstina risku, ka personas varētu izvirzīt civilprasības pret attiecīgo uzņēmumu par nodarītajiem zaudējumiem.
Ja ir noticis personas datu aizsardzības pārkāpums, ietekmētajam uzņēmumam jāveic vairāki steidzami un svarīgi uzdevumi:
- jāveic pārkāpuma cēloņa identificēšana;
- jāaptur pārkāpums un jāveic pasākumi, lai mazinātu pārkāpuma ietekmi;
- jāanalizē pārkāpuma iespējamā ietekme uz fiziskām personām;
- noteiktos gadījumos jāinformē uzraudzības iestāde/iestādes un skartās personas.
Lai to efektīvi pārvaldītu, uzņēmumam jābūt iepriekš izstrādātam datu aizsardzības pārkāpuma reakcijas plānam, kas nosaka, vai tam ir iekšējā kapacitāte pārvaldīt incidentu vai nepieciešams piesaistīt ārējos partnerus, piemēram, juristus un izmeklētājus, potenciālos sadarbības partnerus laicīgi informējot, pirms rodas pārkāpums. Ņemot vērā īsos pārkāpumu ziņošanas termiņus, šim plānam jānodrošina, ka viss uzņēmuma personāls apzinās savus uzdevumus un atbildību un ir iecelta galvenā persona, kas ir atbildīga par datu pārkāpumu plānu īstenošanu. Turklāt proaktīvi pasākumi, piemēram, regulāri drošības auditi un darbinieku apmācības var ievērojami uzlabot uzņēmuma gatavību datu incidentiem, lai mazinātu iespējamās sekas sev, saviem klientiem un fiziskām personām.
Publikācija – iTiesības
Saistītie pakalpojumi