Publicēts: 14.12.2024.
#dviskaidro
Rīcības plāns

Kārtība neatbilstību novēršanai un pašuzraudzības plāns ir būtiski elementi organizācijas datu aizsardzības sistēmā. Tie:

  • palīdz novērtēt iekšējos datu apstrādes procesus;
  • identificēt problēmas pirms tās ietekmējušas drošību;
  • nodrošina ātru reakciju gadījumos, ja tiek konstatētas neatbilstības.

Atbilstošu iekšējo kārtību izstrāde un regulāras apmācības veicina arī to, ka darbinieki zina, kā katrā konkrētā gadījumā rīkoties

Jāņa Datiņa bizness ir strauji paplašinājies. Viņš ir piesaistījis jaunus darbiniekus, un arī klientu skaits ir pieaudzis. Tamdēļ viņš nolēma izstrādāt  kārtību iekšējo datu aizsardzības procesu uzraudzībai un arī rīcības plānu, kā darbiniekiem rīkoties, ja tiek konstatētas kādas neatbilstības, kas varētu rezultēties ar klientu datu apstrādes un aizsardzības pārkāpumu.

Jau kopš uzņēmuma izveides brīža Jānis ir piesaistījis pats savu datu aizsardzības speciālistu, ar kura palīdzību tiek nodrošināts, ka visi klienta dati tiek apstrādāti atbilstoši Datu regulai. Lai sniegtu atbalstu arī citiem uzņēmējiem, Jānis kopā ar savu datu aizsardzības speciālistu ir sagatavojuši padomus par to, ko var iekļaut gan iekšējā kārtībā, lai uzraudzītu datu apstrādes procesus, gan arī rīcības plānā, ja tiek konstatētas neatbilstības.

1. Kārtība iekšējo procesu uzraudzībai

Kārtība iekšējo procesu uzraudzībai ietver sistemātisku un regulāru datu apstrādes darbību un politiku pārskatīšanu, lai pārliecinātos, ka tās atbilst Datu regulas prasībām. Tās mērķis ir izstrādāt procedūras un darbības plānu, lai risinātu neatbilstības, nodrošinātu datu aizsardzības sistēmas efektivitāti un novērstu pārrāvumus veikto pasākumu atbilstībā tiesību aktiem.

Ņem vērā! Kārtības izstrāde iekšējo procesu uzraudzībai nav risku izvērtēšana datu apstrādes procesos! Tomēr šādas kārtības ieviešanu var būt uzskatīt par vienu no risku mazināšanas pasākumiem.

Datu aizsardzības speciālists norāda, ka kārtībā būtu jāiekļauj vismaz:

  • tās mērķi un darbības joma, nosakot, uz kādiem procesiem un darbiniekiem tā attiecas. Piemēram, kārtība attiecas uz visām uzņēmuma datu apstrādes darbībām. Precīza mērķa un darbības jomas noteikšana arī veicinās darbinieku izpratni par viņu lomām un atbildību.
  • amati, kas atbildīgi par iekšējo procesu uzraudzību, neatbilstību identificēšanu un ziņošanu. Atbildību noteikšana un sadalījums novērš neskaidrības par to, kas ir atbildīgs par atbilstības nodrošināšanu un problēmu risināšanu;
  • iekšējo auditu veikšana, to procedūras un regularitāte, piemēram, reizi ceturksnī vai pusgadā. Kā identificēt neatbilstības, piemēram, darbinieka ziņojumi, sistēmas darbības procesu pārbaude, klientu sūdzības. Pašrevīzija palīdz identificēt neatbilstības un riskus jau laikus, kā arī ļauj tos savlaicīgi novērst un mazina iespējamību, ka datu aizsardzības pārkāpums varētu iestāties;
  • secīgu aprakstu, kādi soļi ir jāveic, kad tiek konstatētas neatbilstības, piemēram, ziņošana atbildīgajai personai, neatbilstības cēloņu analīze un pasākumu veikšana tās novēršanai (rīcības plāns konstatētu neatbilstību novēršanai);
  • var paredzēt atsevišķu sadaļu par saistītas dokumentācijas izstrādi, uzturēšanu un pārskatīšanu. Piemēram, incidentu izskatīšanas kārtība, privātuma politika, darbinieku apmācību plāns. Nosakot, kādus dokumentus nepieciešams izstrādāt un cik bieži tos nepieciešams pārskatīt, lai nodrošinātu, ka tajā ir atspoguļoti jaunākie tiesību aktu grozījumi un uzņēmuma prakse.

 

2. Rīcības plāns, ja tiek konstatētas neatbilstības

Rīcības plāna izstrāde neatbilstību novēršanai nodrošina uzņēmuma darbiniekiem pārskatāmu risinājumu, kas atbilst organizācijas politikai, lai novērstu problēmas un mazinātu riskus, kas varētu rasties no konstatētajām neatbilstībām.

Piemēram, ja tiek atklātas neatbilstības, tas tiek dokumentēts un nekavējoties ziņots atbildīgajai personai. Secīgi nākošie soļi ir problēmas novēršana, tās ietekmes mazināšana, cēloņu atrašana un darbs pie tā, lai nākotnē līdzīgas problēmas vairs nebūtu. Pēc problēmsituācijas atrisinājuma var apsvērt nākotnes rīcības plāna papildināšanu, ja tāda nepieciešamība tiek identificēta.

Datu aizsardzības speciālists norāda, ka rīcības plānā var iekļaut informāciju par:

  • identificēto neatbilstību, piemēram, ja personas datu apstrāde tiek veikta bez atbilstoša tiesiskā pamata;
  • to, kā tika konstatēta neatbilstība, piemēram, datu aizsardzības speciālists, izskatot iekšējos dokumentus, secināja, ka sākotnēji noteiktais tiesiskais pamats neatbilst reālai datu apstrādei un informē (e-pasts, ziņojums) par to uzņēmuma vadību vai citu atbildīgo personu;
  • korektīvajiem pasākumiem, lai novērstu neatbilstību, piemēram, ja neatbilstība ir būtiska, var būt nepieciešams informēt par to skartos datu subjektus;
  • termiņu neatbilstības novēršanai, piemēram, termiņu nosaka pēc tam, kad izvērtēts, kādu risku klientiem varētu radīt neatbilstība;
  • neatbilstības iemesli;
  • atbildīgā persona.

Jo uzmanīgāk un atbildīgāk uzņēmums izturēsies pret lietotāju personas datiem, jo lielāku uzticību tas radīs klienta un komersanta attiecībās. Tāpat, regulāri pārskatot personas datu apstrādes, datu drošības politikas un personas datu reģistrus, būs mazāka iespēja dažādiem starpgadījumiem, piemēram, datu noplūdēm vai klientu sūdzībām.