Atbilde
Datu aizsardzības pārkāpums rodas, ja attiecībā uz datiem, kas ir jūsu uzņēmuma/organizācijas atbildībā, noticis drošības incidents, kura rezultātā pārkāpta to konfidencialitāte, pieejamība vai integritāte. Ja tas noticis un ja pārkāpums rada risku fiziskas personas tiesībām un brīvībām, jūsu uzņēmumam/organizācijai bez nepamatotas kavēšanās par to ir jāpaziņo uzraudzības iestādei (ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums jums kļuvis zināms). Ja jūsu uzņēmums/organizācija ir datu apstrādātājs, par jebkuru datu pārkāpumu tam jāziņo datu pārzinim.
Ja datu pārkāpums rada lielu risku fiziskajām personām, kuras tas skāris, tad jums jāinformē arī šīs personas, ja vien nav ieviesti efektīvi tehniski un organizatoriski aizsargpasākumi vai citi pasākumi, ar ko nodrošina, lai minētais risks, visticamāk, vairs nevarētu materializēties.
Ļoti būtiski, lai jūs kā organizācija īstenotu atbilstošus tehniskus un organizatoriskus pasākumus, lai novērstu iespējamus datu aizsardzības pārkāpumus.
Piemēri
Organizācijai ir jāinformē datu aizsardzības iestāde un attiecīgās fiziskās personas
Ir izpausti kāda tekstilizstrādājumu ražošanas uzņēmuma darbinieku dati. Šie dati ietver informāciju par šo personu adresēm, ģimenes sastāvu, ikmēneša algu un ārstēšanās izdevumu atmaksas pieprasījumiem. Šajā gadījumā tekstilizstrādājumu ražošanas uzņēmumam par šo pārkāpumu ir jāziņo datu aizsardzības iestādei. Tā kā personas dati ietver sensitīvus datus, piemēram, datus par veselību, uzņēmumam par šo pārkāpumu jāpaziņo arī darbiniekiem.
Kādas slimnīcas darbinieks nolemj nokopēt pacientu informāciju kompaktdiskā un to publicē internetā. Pēc dažām dienām par to uzzina slimnīca. Tiklīdz slimnīca par to ir uzzinājusi, tai 72 stundu laikā ir jāinformē uzraudzības iestāde un, tā kā šie personas dati satur tādu sensitīvu informāciju kā datus par saslimstību ar vēzi vai grūtniecību, tai ir jāinformē arī pacienti. Šajā gadījumā būtu šaubas, vai slimnīca ir īstenojusi atbilstošus tehniskus un organizatoriskus aizsargpasākumus. Ja tā būtu patiešām īstenojusi atbilstošus aizsargpasākumus (piemēram, veikusi datu šifrēšanu), tad materiāls risks būtu maz ticams, un tai varētu nebūtu pienākuma informēt pacientus.
Uzņēmumam ir jāinformē klienti un, iespējams, tiem pēc tam ir jāinformē datu aizsardzības iestāde un attiecīgās fiziskās personas
Kāds mākoņdatošanas pakalpojumu sniedzējs nozaudē vairākus cietos diskus, kas satur personas datus, kuri pieder vairākiem tā klientiem. Tam par šo incidentu ir jāinformē savi klienti, tiklīdz tas ir uzzinājis par pārkāpumu. Atkarībā no tā, kāda veida datus apstrādājis datu apstrādātājs, klientiem ir jāinformē arī datu aizsardzības iestāde un attiecīgās fiziskās personas.
Atsauces
Examples
Organisation must notify the DPA and individuals
The data of a textile company’s employees has been disclosed. The data included the personal addresses, family composition, monthly salary and medical claims of each employee. In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well.
A hospital employee decides to copy patients’ details onto a CD and publishes them online. The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc., it has to inform the patients as well. In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures. If it had indeed implemented appropriate protection measures (for example encrypting the data), a material risk would be unlikely and it could be exempt from notifying the patients.
Company must notify clients and they may then have to notify the DPA and individuals
A cloud service loses several hard drives containing personal data belonging to several of its clients. It has to notify those clients as soon as it becomes aware of the breach. Its clients must notify the DPA and the individuals depending on the data that was processed by the data processor.