Lai gan incidentu reģistra izveidi Vispārīgā Datu aizsardzības regula neuzliek par obligātu pienākumu (pienākums ir ziņot Datu valsts inspekcijai tikai noteiktos gadījumos), tas tomēr ir būtisks palīgs uzņēmuma darbā, palīdzot saprast, kad par konkrēto incidentu ir jāziņo Datu valsts inspekcijai (DVI), pārbaudes gadījumā pateikt, kad un cik bieži ir notikuši incidenti, un tamlīdzīgās situācijās, atgādina DVI. Efektīva incidentu pārvaldības procedūra nav tikai birokrātiska nepieciešamība. Novērtējot riskus, īstenojot dažādus aizsardzības pasākumus, integrējot incidentu pārvaldību savas organizācijas kultūrā un nosakot iesaistīto personu lomas un pienākumus, organizācijas var uzlabot datu…
Lai turpinātu lasīt šo rakstu,
nepieciešams iegādāties abonementu
Lai gan incidentu reģistra izveidi Vispārīgā Datu aizsardzības regula neuzliek par obligātu pienākumu (pienākums ir ziņot Datu valsts inspekcijaitikai noteiktos gadījumos), tas tomēr ir būtisks palīgs uzņēmuma darbā, palīdzot saprast, kad par konkrēto incidentu ir jāziņo Datu valsts inspekcijai (DVI), pārbaudes gadījumā pateikt, kad un cik bieži ir notikuši incidenti, un tamlīdzīgās situācijās, atgādina DVI.
Efektīva incidentu pārvaldības procedūra nav tikai birokrātiska nepieciešamība. Novērtējot riskus, īstenojot dažādus aizsardzības pasākumus, integrējot incidentu pārvaldību savas organizācijas kultūrā un nosakot iesaistīto personu lomas un pienākumus, organizācijas var uzlabot datu drošību un nodrošināt atbilstību regulas noteikumiem.
Savlaicīgi izveidots incidentu reģistrs ir nozīmīgs instruments, lai ne tikai novērstu datu aizsardzības pārkāpumu, bet arī operatīvi uz to reaģētu. Tas nozīmē, ka reģistra izveide nav tikai “ķeksīša pēc” un “izveidoju un aizmirsu”, tas ir jāievieš organizācijas kultūrā.
Kā varētu izskatīties incidentu reģistrs?
Incidentu pārvaldībai nepieciešama detalizēta dokumentācija. Ja noticis pārkāpums, organizācijām ir jāapkopo visa attiecīgā informācija un jāuzglabā tā incidenta reģistrā. Reģistrs ietver ne tikai vispārīgu informāciju par pārkāpumu, bet arī lēmumus par uzraudzības iestādēm un attiecīgajiem datu subjektiem. Nav universālas incidentu žurnāla veidnes, jo organizācijām tas būtu jāpielāgo savām konkrētajām vajadzībām, tomēr DVI izveidojusi paraugu, kā varētu izskatīties incidentu reģistrs.
Incidentu reģistrs
Iekļaujamā informācija
Sīkāka informācija par pārkāpumu
Pārkāpuma datums: reģistra uzturētājs veic atzīmi, kad incidents ir noticis (reģistrēts).
Skarto cilvēku skaits: reģistra uzturētājs norāda, cik personu skāris notikušais incidents.
Pārkāpuma veids: reģistra uzturētājs norāda, kā noticis incidents, piemēram, personas dati nosūtīti kļūdas pēc, noticis drošības incidents, nedroši iznīcināti dati u.c.
Detalizēts pārkāpuma raksturojums: reģistra uzturētājs detalizēti apraksta, kas noticis.
Kā uzzināja par pārkāpumu: reģistra uzturētājs norāda, kā organizācija vai atbildīgās personas uzzināja par incidentu. Piemēram, publiski izskanēja ziņa vai pati persona vērsusies pie organizācijas.
Skarto datu kategoriju apraksts: reģistra uzturētājs apraksta, kādi personas dati ir iekļauti incidentā, piemēram, vārds, uzvārds, kontaktinformācija.
Pārkāpuma sekas
Reģistra uzturētājs detalizēti raksturo incidenta radītās sekas un riskus personas tiesībām.
Veiktie pasākumi
Vai iesaistītās personas ir informētas? Reģistra uzturētājs atbilstoši izvērtējumam veic atzīmi, vai ir jāinformē incidentā skartās personas.
Korektīvās darbības: reģistra uzturētājs norāda, kādas darbības ir veiktas, lai novērtu incidentu vai mīkstinātu radušās sekas.
Nepieciešamība informēt uzraudzības iestādi: reģistra uzturētājs veic atzīmi, ka ir jāinformē uzraudzības iestāde.
Datums, kad informēta uzraudzības iestāde: reģistra uzturētājs iekļauj detalizētu informāciju, kad uzraudzības iestāde ir informēta pirmo reizi. Kā arī norāda, vai ir nepieciešams to darīt atkārtoti. Piemēram, gadījumos, ja nav iespējams uzreiz sniegt visu informāciju, tad organizācijai ir pienākums iesniegt paziņojumu ne vēlāk kā 72 stundu laikā.
Kādi ir galvenie ieguvumi incidentu reģistra izveidei?
Pārkāpuma seku novērtējums: ja notiek incidents, tad organizācija jau ir gatava veikt iespējamo risku izvērtēšanu uz personas tiesībām pārkāpuma gadījumā un tai nav jātērē laiks reģistra izvērtēšanai. Šis riska novērtējums ir būtisks, lai noteiktu, cik smags ir pārkāpums un kādas darbības būtu jāveic.
Skarto datu subjektu informēšana: Incidentu reģistrā iekļautā informācija dod iespēju ātri reaģēt un izvērtēt nepieciešamību informēt personas, kuru tiesības un brīvības ir pakļautas lielam riskam konkrētā incidenta gadījumā.
Uzraudzības iestādes informēšana: Incidentu reģistrā iekļautā informācija palīdz izvērtēt nepieciešamību un pieņemt ātru lēmumu informēt/neinformēt uzraudzības iestādi par notikušo incidentu. Jāņem vērā, ka Datu regula noteiktos gadījumos nosaka, ka organizācijai ir pienākums paziņot uzraudzības iestādei ne vēlāk kā 72 stundu laikā pēc tam, kad uzzinājusi par pārkāpumu.
Dokumentācija: pat ja organizācijai nav jāziņo par visiem pārkāpumiem uzraudzības iestādei, ir ļoti svarīgi dokumentēt katru incidentu. Incidentu reģistrā iekļautā informācija ir apkopota vienā dokumentā, un organizācijai nav jātērē laiks, lai nepieciešamības gadījumā pārbaudītu katru notikušo incidentu un veiktās darbības. Piemēram, nepareizi nosūtīti e-pasti citiem klientiem. Ja šādas darbības regulāri atkārtojas sistēmas vai konkrētas personas rīcības rezultātā, tad incidentu reģistrs dod iespēju organizācijas vadītājam pieņemt lēmumu, kā rīkoties tālāk. Incidentu reģistra izveide un uzturēšana ļauj arī uzraudzības iestādēm pārbaudīt organizācijas atbilstību Datu regulas prasībām.
Iekšējo procesu uzlabošana: Reģistra izveide, uzturēšana un tā analīze ļauj organizācijām mācīties no iepriekšējiem pārkāpumiem un īstenot preventīvus pasākumus, lai tie vairs neatkārtotos. Gaidīšana līdz pārkāpumam var novest pie zaudētas iespējas veikt nepieciešamos tehniskos un organizatoriskos uzlabojumus.
Iekšējā sagatavotība: iepriekš izveidots reģistrs nodrošina, ka organizācija ir gatava rīkoties datu aizsardzības pārkāpuma gadījumā. Piemēram, tas ietver atbildīgās personas iecelšanu, reaģēšanas plānu izstrādi un saziņas kanālu izveidi ar attiecīgajām ieinteresētajām personām.
Personāls un apmācība: ir svarīgi nodrošināt darbinieku apmācību saistībā ar incidentu reģistra izveidi un iekļaujamās informācijas apjomu, kā arī informēt, kura ir atbildīgā persona par konkrēto datu ievadi reģistrā. Būtiska nozīme ir ātrai reaģēšanai un savlaicīgai ziņošanai par datu aizsardzības pārkāpumu. Apmācība palīdz darbiniekiem saprast, cik svarīgi ir ziņot par incidentiem, tiklīdz viņi par tiem uzzin.
Datu aizsardzības speciālists: ja organizācijā ir norīkots datu aizsardzības speciālists, iesakām sākotnēji konsultēties ar speciālistu par incidentu reģistra izveidi un nepieciešamās informācijas iekļaušanu. Datu aizsardzības speciālistam ir nozīmīga loma incidentu pārvaldībā, jo viņi var palīdzēt vadīt procesus, kas saistīti ar datu aizsardzības pārkāpumiem, risku novērtēšanu, pārkāpuma ietekmes mazināšanu un paziņošanas pienākumu izpildi.
"Bilances" abonēšanai - dažādas iespējas. Izvēlies sev izdevīgāko!
Interesenti var izvēlēties, kā abonēt un lasīt BILANCI - to iespējams saņemt gan drukātā veidā savā pastkastītē, gan lasīt e-vidē portālā tiešsaistē, gan izvēlēties Grāmatveža komplektu vai Bilances Zelta komplektu, kam arī iespējams gan papīra, gan elektroniskais formāts. Uzziniet vairāk, kādas iespējas piedāvā katrs no variantiem!
*Abonements tiks atjaunots automātiski, līdz izvēlēsies to pārtraukt
Šajā tīmekļa vietnē tiek izmantotas sīkdatnes
Mēs izmantojam nepieciešamās sīkdatnes, lai analizētu apmeklējuma plūsmu un nodrošinātu savu interneta resursu pieejamību. Mēs analizējam, kā lietotāji izmanto mūsu interneta resursus un dalāmies ar datiem ar sociālo tīklu, reklāmas un datu analītikas partneriem, kas var izmantot šo informāciju, sniedzot savus pakalpojumus.Lasīt vairāk ...
Turpinot lietot mūsu tīmekļa vietni, jūs apstiprināt mūsu sīkdatnes. Apstiprināt visas
Ja vēlaties mainīt savus sīkdatņu iestatījumus, klikšķiniet uz PERSONALIZĒT, lai sniegtu kontrolētu piekrišanu.
Sīkdatnes
Šī tīmekļa vietne izmanto sīkfailus
Sīkfaili ir mazi teksta faili, ko var izmantot tīmekļa vietnēs, lai lietotāja pieredzi padarītu efektīvāku.
Likums nosaka, ka mēs varam saglabāt sīkfailus jūsu ierīcē, ja tie ir pilnīgi nepieciešams šīs vietnes darbībai. Citu veidu sīkfailiem ir nepieciešama jūsu atļauja.
Šī vietne izmanto dažādu veidu sīkdatnes. Daži sīkfaili tiek izvietoti pēc trešās puses pakalpojumiem, kas parādās mūsu lapās.
Jūs varat jebkurā laikā mainīt vai atsaukt savu piekrišanu, izmantojot mūsu tīmekļa vietnes sadaļu Sīkdatņu deklarēšana.
Personas datu apstrādes politikā varat uzzināt, kas mēs esam, kā jūs varat ar mums sazināties un kā mēs apstrādājam personas datus.
Jūsu piekrišana attiecas uz šādām jomām: www.plz.lv
Nepieciešamie sīkfaili palīdz padarīt tīmekļa vietni par izmantojamu, nodrošinot pamata funkcijas, piemēram, lappuses navigāciju un piekļuvi drošām vietām tīmekļa vietnē. Tīmekļa vietne bez šiem sīkfailiem nevar pareizi funkcionēt.
Statistikas sīkfaili palīdz tīmekļa vietņu īpašniekiem izprast, kā apmeklētāji mijiedarbojas ar tīmekļa vietnēm, vācot un anonīmi pārskatot informāciju.
Mārketinga sīkfaili tiek izmantoti, lai sekotu līdzi apmeklētājiem tīmekļa vietnēs. Nolūks ir parādīt atbilstošas un atsevišķus lietotājus interesējošas reklāmas, tādējādi tās ir daudz izdevīgākas izdevējiem un trešo personu reklāmdevējiem.
Lai gan incidentu reģistra izveidi Vispārīgā Datu aizsardzības regula neuzliek par obligātu pienākumu (pienākums ir ziņot Datu valsts inspekcijai tikai noteiktos gadījumos), tas tomēr ir būtisks palīgs uzņēmuma darbā, palīdzot saprast, kad par konkrēto incidentu ir jāziņo Datu valsts inspekcijai (DVI), pārbaudes gadījumā pateikt, kad un cik bieži ir notikuši incidenti, un tamlīdzīgās situācijās, atgādina DVI. Efektīva incidentu pārvaldības procedūra nav tikai birokrātiska nepieciešamība. Novērtējot riskus, īstenojot dažādus aizsardzības pasākumus, integrējot incidentu pārvaldību savas organizācijas kultūrā un nosakot iesaistīto personu lomas un pienākumus, organizācijas var uzlabot datu…
