Laiku pa laikam nākas dzirdēt par datu aizsardzības pārkāpumiem, kad personas dati e-pastā nosūtīti nepareizam saņēmējam. Jautājums ir, kā rīkoties, ja tas ir noticis?

Rīcības soļi, ja personas dati nosūtīti nepareizam saņēmējam

Pirms sākam rīkoties, ir svarīgi noteikt, vai datu pārkāpums ir radījis augstu risku fiziskas personas tiesībām un brīvībām. Vispārīgā datu aizsardzības regula (VDAR) nosaka, ka personas datiem, kas pēc savas būtības ir īpaši sensitīvi saistībā ar pamattiesībām un brīvībām, pienākas īpaša aizsardzība, jo apstrādes konteksts, piemēram, īpašu kategoriju datiem, kas ietver informāciju par personas veselību, var radīt nopietnu risku pamattiesībām un brīvībām. Tādā gadījumā ir:

• jāsazinās ar personām, kas saņēmušas šos datus, un jālūdz tos dzēst un nenodot tālāk;
• jāsazinās ar datu subjektu un jāpaskaidro notikušais pārkāpums vai arī jārīko publiskā informēšana;
• nekavējoties, taču ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums pārzinim kļuvis zināms, jāpaziņo par to datu aizsardzības iestādei. Ja notiek kavēšanās, jānorāda tās iemesls;
• jāsagatavo iekšējā dokumentācija par notikušo datu pārkāpumu.¹

Pārzinim nav jāpaziņo datu subjektam par notikušo datu aizsardzības pārkāpumu, ja ir veikti atbilstoši drošības pasākumi, tostarp personas datu šifrēšana vai citi pasākumi, kas novērš neautorizētu piekļuvi.²

Ja datu pārkāpums nav radījis kaitējumu un ir maz ticams, ka tas varētu radīt risku fizisku personu tiesībām un brīvībām, tad ir:

• jāsazinās ar personām, kas saņēmušas šos datus, un jālūdz tos dzēst un nenodot tālāk;
• jāsagatavo iekšējā dokumentācija par notikušo datu pārkāpumu.

Sazinoties ar personu, kuras dati nosūtīti nepareizajam adresātam, un ar personu, kas tos saņēmusi, jāievēro pārredzamības princips. Tas nozīmē, ka visai informācijai, kas adresēta personas datu saņēmējam, sabiedrībai vai datu subjektam, ir jābūt kodolīgai, viegli pieejamai un viegli saprotamai. Turklāt valodai jābūt skaidrai un vienkāršai.

Kā izvairīties no datu aizsardzības pārkāpumiem?

Lai novērstu datu aizsardzības pārkāpumus un to atkārtošanos, ieteicams ieviest prasības attiecībā uz datu aizsardzību:

• jāsagatavo standarti vēstuļu un e-pasta ziņojumu sūtīšanai;
• jāapmāca personāls par to, kā nosūtāmas vēstules un e-pasta ziņojumi;
• jāsagatavo mācības un rokasgrāmatas par to, kā rīkoties gadījumos, kuri izraisa personas datu aizsardzības pārkāpumu, un kam par tiem jāpaziņo;
• jāveicina izpratne par biežāk sastopamajām kļūdām, kas var izraisīt datu aizsardzības pārkāpumus;
• jāatspējo automātiskā pabeigšana, ievadot e-pasta adreses;
• jāveic citi atbilstoši pasākumi, kas var palīdzēt aizsargāt personas datus un novērst pārkāpumus.³