Pāriet uz galveno saturu

Kā rīkoties, ja mans uzņēmums/organizācija nav ievērojis datu aizsardzības noteikumus?

Atbilde

Vispārīgajā datu aizsardzības regulā (VDAR) datu aizsardzības iestādēm ir paredzētas dažādas iespējas, kurus tās var izmantot, ja konstatēta datu aizsardzības noteikumu neievērošana:

  • potenciāls pārkāpums — var izteikt brīdinājumu;
  • pārkāpums — var izteikt rājienu, noteikt pagaidu vai galīgu apstrādes aizliegumu, kā arī piemērot naudas sodu apmērā līdz EUR 20 miljoniem vai līdz 4 % no uzņēmuma kopējā visā pasaulē gūtā gada apgrozījuma.

Ir vērts atzīmēt, ka pārkāpuma gadījumā datu aizsardzības iestāde rājiena un/vai apstrādes aizlieguma vietā var uzlikt naudas sodu vai šīs sankcijas papildināt ar naudas sodu.

Iestādei jānodrošina, ka naudas sodi katrā konkrētā gadījumā ir iedarbīgi, samērīgi un atturoši. Tā ņems vērā vairākus faktorus, piemēram, pārkāpuma būtību, smagumu un ilgumu, to, vai pārkāpums izdarīts tīši vai neuzmanības dēļ, jebkādu rīcību, lai mazinātu kaitējumu, kas nodarīts datu subjektiem, organizācijas sadarbības pakāpi u. c.

Piemērs

Kāds uzņēmums tiešsaistē tirgo mājsaimniecības preces. Uzņēmuma tīmekļa vietnē patērētāji var iegādāties virtuves ierīces, galdus, krēslus un citas mājsaimniecības preces, ievadot savus bankas datus. Tīmekļa vietne cieta no kiberuzbrukuma, un uzbrucējs savā rīcībā ieguva šo personu datus. Šajā gadījumā šķiet, ka datu zaudēšanas iemesls ir tas, ka uzņēmums nebija īstenojis atbilstošus tehniskos pasākumus.

Šādā situācijā pirms lēmuma pieņemšanas par to, kādu korektīvo instrumentu izmantot, uzraudzības iestāde apsvērs vairākus faktorus. Tā apsvērs šādus faktorus: cik nopietnas bija IT sistēmas nepilnības? Cik ilgi IT infrastruktūra bija pakļauta šādam riskam? Vai iepriekš tika veikta testēšanai, lai novērstu šādus uzbrukumus? Cik liels klientu datu apjoms tikai nozagts/izpausts? Kāda veida personas dati tika nozagti — vai tie ietvēra sensitīvus datus? Uzraudzības iestāde ņems vērā šos un citus apsvērumus.

Atsauces

Example

A company sells online household material. Through its website, consumers can buy kitchen appliances, tables, chairs and other domestic goods by entering their bank details. The website suffered a cyber-attack leading to personal details being rendered available to the attacker. In this case, the lack of appropriate technical measures by the company seems to have been the cause of the data loss.

In this instance, various factors will be considered by the supervisory authority before deciding what corrective tool to use. Factors such as: how serious was the deficiency in the IT system? How long had the IT infrastructure been exposed to such a risk? Were tests carried out in the past to prevent such an attack? How many customers had their data stolen/disclosed? What type of personal data was affected – did it include sensitive data? All these and other considerations will be taken into account by the supervisory authority.