Organizācijas (publiska vai privāta persona) [1] paziņojumu par iespējamu personas datu aizsardzības pārkāpumu iesniedz 72 stundu laikā no brīža, kad pārkāpums ir konstatēts. Vienlaikus, Datu regula arī paredz, ka ne visos gadījumos organizācijām ir jāiesniedz personas datu aizsardzības pārkāpuma paziņojums, piemēram, ja ir maz ticams, ka konkrētā pārkāpuma rezultātā var rasties risks fiziskas personas tiesībām un brīvībām tas nav jāsniedz.
#DVIskaidro “Kas ir un kā ziņot par personas datu aizsardzības pārkāpumu?” skaidrojām kas ir personas datu aizsardzības pārkāpums [2] un kādos gadījumos organizācijai ir pienākums to iesniegt uzraudzības iestādei. Šoreiz skaidrojuma mērķis ir sniegt ieskatu par to kā novērtēt riska smagumu, kas var rasties cilvēkam.
Atgādinām, ka ir izveidots vienkāršots pārkāpuma paziņošanas rīks organizācijām (paredzēts pārziņiem vai to pilnvarotajām personām), lai nodrošinātu Datu regulā noteiktā paziņošanas pienākuma izpildi.
- Ja risks un ietekme uz cilvēka tiesībām un brīvībām ir būtisks, organizācijai ir jāziņo par to uzraudzības iestādei un atsevišķi jāinformē par to pārkāpumā iesaistītās personas.
Brīdī, kad konstatēts personas datu aizsardzības pārkāpums un organizācijai ir jāizvērtē – ziņot vai neziņot par to uzraudzības iestādei un iesaistītajām personām tai ir jāizvērtē visi iespējamie riski, kas var radīt būtisku ietekmi uz cilvēka tiesībām un brīvībām, sekas un ticamību, ka tie var iestāties.
! Ja rodas šaubas, tad iesakām informēt uzraudzības iestādi un iesaistītās personas par notikušu pārkāpumu.
- Katrā konkrētā pārkāpuma gadījumā var atšķirties arī tā rezultātā cilvēkam radušies riski.
Piemēram, pieejamības un integritātes pārkāpumu gadījumā to radīto risku novēršana lielākoties būs organizācijas un cilvēka (kura dati iesaistīti pārkāpumā) ziņā. Pārkāpuma pārvaldība var tikt veikta kontrolēti, līdz ar to arī riski būs precīzi nosakāmi pašas organizācijas ietvaros.
Savukārt, konfidencialitātes pārkāpuma gadījumā organizācija var būt zaudējusi kontroli pār personas datiem, līdz ar to pārkāpuma pārvaldības process var nebūt pilnībā no organizācijas atkarīgs un līdz ar to pieņemams, ka šāda tipa pārkāpums var radīt grūtāk prognozējamus un smagākus riskus cilvēkam.
- Jo vairāk informācijas, ko cilvēks uzskata par īpaši aizsargājamu ir iesaistīta pārkāpumā, jo lielāku risku tas var radīt.
Ņem vērā, īpašo kategoriju datu iesaiste pārkāpumā rada paaugstinātu risku. Vienlaikus jebkurā gadījumā ir jāņem vērā, katra konkrētā pārkāpuma gadījuma konteksts.
Piemēram, ja drošības incidents saistīts ar organizāciju, kura specializējas plastiskās ķirurģijas operācijās,- tad tikai apstāklis, ka konkrētais cilvēks ir organizācijas klients radīs tam paaugstinātu risku, jo ļaus vienkāršiem līdzekļiem izsecināt ziņas par klientam iespējams veiktām ķirurģiskām manipulācijām.
Katrā konkrētā gadījumā ir jāvērtē kā datus var izmantot kopā ar citu vispārpieejamu informāciju par konkrēto cilvēku, kā arī to, kādus secinājumus par cilvēku var izdarīt, ja apvieno visas incidentā iesaistītās datu kategorijas.
Ņem vērā, ka katra situācija ir vērtējama dažādi, piemēram:
- jo sensitīvāki dati iekļuvuši pārkāpumā, jo mazāks to apjoms radīs paaugstinātu risku,
kā arī,
- paaugstinātu risku radīs arī salīdzinoši ikdienišķas informācijas iekļūšana pārkāpumā, ja tie skars lielu personas datu kategoriju skaitu, vai ja būs īpašs šīs informācijas apstrādes konteksts;
tāpat,
- paaugstināts risks veidojas, ja pārkāpums skar lielu cilvēku skaitu, jo šādā gadījumā iespējamā ietekme uz katru no tiem ir jāsummē.
- No identifikācijas veikšanai ieguldāmajām pūlēm būs atkarīgs cik liels ir risks identificēt konkrētu cilvēku.
Īpaši konfidencialitātes pārkāpuma gadījumā, nosakot riskus ir nepieciešams ņemt vērā cik lieli papildu resursi jāiegulda trešajai personai, lai starp citiem līdzīgiem cilvēkiem spētu atpazīt konkrēto indivīdu, kura personas dati iesaistīti pārkāpumā. Reizēm konkrēts cilvēks būs atpazīstams izmantojot tikai pārkāpumā iesaistīto informāciju, tomēr, ir iespējams arī, ka pārkāpumā skarto cilvēku identifikācijai nepieciešams ieguldīt papildu pūles, bet gala rezultātā vienalga izdodas identificēt katru indivīdu atsevišķi.
Ievērojami risku cilvēkam var mazināt ieviesti tehniski un organizatoriski datu aizsardzības pasākumi. Piemēram, notiekot pārkāpumam, datu pseidonimizācijas gadījumā to nonākšana neautorizētas trešās personas rīcībā, ja tiek pasargāta pseidonimizācijas atslēga, lai arī pilnībā risku fiziskai personai neizslēdz, to tomēr ievērojami mazina. Pārkāpumu, kuros iesaistīta pseidonimizētas informācijas apstrāde, gadījumā, nepieciešams atsevišķi vērtēt iespējamību, ka trešā persona, kuras rīcībā nonākuši dati būs gatava ieguldīt resursus, lai pseidonimizēto informāciju atkal attiecinātu uz konkrētu cilvēku. Šeit pārzinim palīdzētu incidenta būtības analīze (vai tas bijis mērķēts uzbrukums, kur trešā persona mērķtiecīgi izguvusi datu masīvu, vai nejaušība, kur dati izpausti nejaušības dēļ). Vērtējams, mērķēta uzbrukuma gadījumā ticamāks, ka trešā persona ieguldīs arī tālākus resursus informācijas atkodēšanai.
Iespējamās sekas konkrētam indivīdam
Katra konkrētā pārākuma gadījumā, cilvēkam ir iespējamas visdažādākās sekas – īpaši uzmanība pievēršama tādu datu iekļūšanai pārkāpumā, kas atsevišķi vai kopā ar citiem var būt izmantojami identitātes zādzībā vai krāpšanā, kuru nonākšana trešo personu rokās var novest pie fiziska kaitējuma nodarīšanas, izsaukt psiholoģisku diskomfortu, pazemot cilvēku vai kaitēt tā reputācijai.
Viens no aspektiem, kas vērtējams ir tas, vai organizācijas rīcībā ir informācija, kuras trešās personas rokās ir nonākuši personas dati. Piemēram, cilvēkam riski būs mazāki, ja dati nonāk, piemēram, organizācijas ilggadēja sadarbības partnera rīcībā, kurš turpina sadarbību ar organizāciju, vai arī dati organizācijas ietvaros izpausti nepareizam saņēmējam.
Vienlaikus arī šādos gadījumos ziņas par pārkāpumu glabājamas organizācijas pārkāpumu reģistrā.
Savukārt, ja organizācija nezin kā rīcībā pārkāpuma rezultātā dati ir nonākuši, tad arī jāpieņem potenciāli fiziskai personai lielāko kaitējumu radošais scenārijs, līdz ar to arī identificējamo risku apjoms ir lielāks.
- Cilvēka īpašās pazīmes
Vērtējot risku, būtiska nozīme ir arī konkrētā indivīda, kura dati iesaistīti pārkāpumā raksturojumam. Ja skarti ir, piemēram, bērnu, kas jau pēc noklusējuma ir uzskatāmi par īpaši aizsargājamiem datiem, tad šāds incidents būtu uzskatāms par augstāku risku izraisošu.
- Pārziņa īpašās pazīmes
Vērtējot iespējamo ietekmi uz cilvēku, kura dati iesaistīti pārkāpumā jāņem vērā arī organizācijas darbības joma un profils, ievērojot kā tas mijiedarbojas ar notikušā pārkāpuma būtību.
Piemēram, medicīnas iestādei zaudējot adrešu sarakstu ar klientiem, kuriem ir jāsaņem ziņas par savu medicīnisko izmeklējumu rezultātiem, riski cilvēkam ir uzskatāmi par augstākiem (jo savlaicīgi nesaņemot nepieciešamo, ar veselību saistīto, informāciju var veidoties tieši apdraudējumi cilvēka veselībai), salīdzinot ar gadījumu, ja ziņa par klientiem, kam sūtāmi komerciālie paziņojumi būs zaudējis lauksaimniecības tehnikas uzņēmums.
- Skarto cilvēku skaits
Jo lielāks skarto cilvēku skaits, jo lielāks risks ir jāpieņem organizācijai. Šis gan nenozīmē, ka, gadījumos, ja skarti tikai viena cilvēka dati, tad risks ir neliels, jo kā minēts augstāk, arī neliela skarto cilvēku skaita gadījumā, ievērojot apstrādes kontekstu – radušais risks var būt paaugstināts.
Informējam, ka pārkāpuma izvērtēšanas metodika ir aprakstīta Eiropas datu aizsardzības kolēģijas vadlīnijās [3], kurās izmantotās atziņas lielā mērā pārstāstītas šajā skaidrojumā. Nozīmīgs palīgs organizācijām vērtējot iespējamā pārkāpuma smagumu var būt arī Eiropas Savienības tīklu un informācijas drošības aģentūras (ENISA) metodoloģija pārkāpuma smaguma noteikšanai [4].