Novērtējums par ietekmi uz datu aizsardzību
Eiropas Parlamenta un Padomes 2016.gada 27.aprīļa regulas
Nr.2016/679 par fizisku personu aizsardzību attiecībā uz
personas datu apstrādi un šādu datu brīvu apriti un ar ko
atceļ Direktīvu 95/46/EK (turpmāk – Regula) ir paredzēts
pārziņa pienākums noteiktos gadījumos veikt novērtējumu par
ietekmi uz datu aizsardzību (Regulas 35.panta trešā daļa).
Datu valsts inspekcija paskaidro, ka, izvērtējot gadījumus,
kad novērtējums par ietekmi uz datu aizsardzību veicams, ir
secināms, ka tas pēc būtības ir risku analīzes rīks, kurš
izmantojams pārziņa veiktās personas datu apstrādes
paškontrolei. Pirmkārt, tas ir jāveic gadījumos, kad ir
iespējams augsts risks attiecībā uz fizisku personu tiesībām
un brīvībām. Otrkārt, viens no ietekmes novērtējuma
galvenajiem uzdevumiem ir identificēt galvenos riskus un
iespējamos pasākumus konstatēto risku mazināšanai.
Datu valsts inspekcija vērš uzmanību, ka, lai arī
novērtējuma par ietekmi uz datu aizsardzību veikšana ir
jauns pienākums, Latvijā vēl pagājušā gada sākumā tika
piemēroti Ministru kabineta 2015.gada 12.maija noteikumi
“Kārtība, kādā sagatavo un iesniedz personas datu apstrādes
atbilstības novērtējumu”, kas noteica idejiski radniecīga
pašvērtējuma veikšanu. Sekojošie ieteikumi novērtējuma par
ietekmi uz datu aizsardzību veikšanai (turpmāk – Ieteikumi)
ir veidoti lielā mērā balstoties uz iepriekš pieminētajiem
Ministru kabineta noteikumiem. Vienlaikus Datu valsts
inspekcija informē, ka, izmantojot iepriekš pieminētos
Ieteikumus, tas ir veicams, paturot prātā katra novērtējuma
veicēja atsevišķo vajadzību, un nepieciešamības gadījumā
veicot arī tādas darbības, kas Ieteikumos nav paredzētas.
Vienlaikus personām, kas veiks novērtējumu par ietekmi uz
datu aizsardzību, ir jāsaprot, ka minētais process ir daļa
no Regulas paredzētās pārskatatbildības sistēmas. Papildus
iepriekš minētajam pārziņiem ir jāapzinās, ka novērtējums
par ietekmi uz datu aizsardzību ir pastāvīgs process.
Pārziņiem ir jāseko līdzi, vai datu apstrāde, kura neradīja
lielus riskus fiziskas personām tiesībām un brīvībām
pagātnē, piemēram, ņemot vērā tehnoloģiju attīstību, nerada
riskus pašlaik. Pārziņiem nevajadzētu paļauties, ka datu
apstrāde ir statiska rakstura, ja pārzinis tajā neveic
izmaiņas, jo riskus veiktajai datu apstrādei rada arī ārēji
faktori.
Saskaņā ar Regulas galvenais apstāklis, kas jāņem vērā
pārzinim, analizējot, vai ir veicams novērtējums par ietekmi
uz datu aizsardzību, ir augsts risks fiziskas personas
tiesībām un brīvībām. Papildus iepriekš minētajam
likumdevējs Regulas 35.panta 3.punktā ir identificējis trīs
gadījumus, kad pārzinim jo īpaši būtu jāvērtē augsta riska
personu tiesībām un brīvībām iestāšanās.
Pārziņiem nav jāuzskata, ka, ja plānotā vai veiktā datu
apstrāde neatbilst kādai no Regulas 35.panta 3.punktā
pieminētajām, tad novērtējums par ietekmi uz datu
aizsardzību nav veicams. Izšķirošais faktors ietekmes
novērtējuma veikšanai ir augsts risks datu subjekta tiesībām
un brīvībām, līdz ar to novērtējuma par ietekmi uz datu
aizsardzību veikšanas nepieciešamību vērtēt nepieciešams
arī datu apstrādēm, kas norādītas Regulas 35.panta 3.punkta
apakšpunktos.
Datu valsts inspekcija vērš uzmanību, ka, ņemot vērā
ietekmes novērtējuma lomu pārskatatbildības nodrošināšanas
mehānismā, gadījumos, kad pārzinim ir šaubas par novērtējuma
par ietekmi uz datu aizsardzību nepieciešamību, ir
rekomendējams novērtējumu par ietekmi uz datu aizsardzību
veikt. Datu valsts inspekcija informē, ka novērtējums par
ietekmi uz datu aizsardzību var atvieglot pārziņa pienākumu
veikšanu gan attiecībā uz datu subjektu tiesību
nodrošināšanu, gan arī uz nepieciešamo tehnisko un
organizatorisko datu aizsardzības drošības pasākumu
ieviešanu.
Datu valsts inspekcija skaidro, ka negatīva atbilde uz kādu
no zemāk norādītajiem jautājumiem nenozīmē, ka apstrāde nav
veicama, tomēr noteiktu drošības procesu iztrūkums var
liecināt par riskiem personas datu apstrādei kuru novēršanai
ir jāparedz attiecīgi risinājumi.
I. Personas datu apstrādes vispārīgs apraksts
|
Iestādes nosaukums |
|
|
Kontaktinformācija |
|
|
Novērtētājs (vārds, uzvārds) |
|
|
Kontaktinformācija |
|
|
Novērtējuma veikšanas periods |
|
|
Vai novērtējuma par ietekmi uz datu aizsardzību
veikšanas procesā iesaistīts datu aizsardzības
speciālists? |
jā 
nē |
|
Vai novērtējuma par ietekmi uz datu aizsardzību
veikšanas procesā ir pieprasīts datu subjektu vai
viņu pārstāvju viedoklis? Ja ir tad kāds ir iegūtais
viedoklis, ja nav tad kāpēc viedoklis nav iegūts? |
jā
nē |
|
Kāds ir personas datu apstrādes mērķis*?
*Ar mērķi saprotam konkrēti definētu rezultātu,
kas sasniedzams ar plānoto personas datu apstrādi
(piemēram, _______________________) |
|
|
Kāds ir personas datu apstrādes nolūks*?
*Ar nolūku saprotam veidu kā tiek plānots iepriekš
norādīto mērķi sasniegt
(piemēram, ________________________) |
|
|
Kāds ir plānotās personas datu apstrādes raksturs? |
|
|
Tai skaitā kādā veidā notiek personas datu apstrāde
– manuāli vai automatizēti? |
|
|
Sniedziet plānotās personas datu apstrādes
funkcionālu aprakstu. |
|
|
Kāpēc šāda rakstura apstrāde svarīga konkrēto nolūku
sasniegšanai? |
|
|
Vai personas datu apstrādes mērķi nosaka normatīvie
akti?
Ja atbilde ir "jā", norādiet normatīvos aktus, kas
paredz datu apstrādi |
jā
nē |
|
Kādus personas datus, (piemēram, vārds, uzvārds,
personas kods) tiek plānots apstrādāt personas
datu apstrādes mērķa sasniegšanai? |
•
•
•
• |
|
Ja tiek apstrādāti īpašo kategoriju personas dati,
norādiet tos |
|
|
Vai īpašo kategoriju personas datu apstrāde ir
nodalīta no pārējo personas datu apstrādes?
Ja atbilde ir "jā", raksturojiet procedūru, kā tas
tiek nodrošināts.
Ja atbilde ir "nē", norādiet iemeslus |
jā
nē |
|
Vai personas datu apstrāde ir uzticēta personas datu
apstrādātājam? |
jā
nē |
|
Vai ar personas datu apstrādātāju ir/tiks noslēgts
rakstisks līgums? |
jā
nē |
|
Vai līgumā ar personas datu apstrādes apstrādātāju
ietverti Regulas 28.panta 3.punkta nosacījumi? |
jā
nē |
|
Norādiet citas datu saņēmēju kategorijas, ja tādas
ir. |
|
|
Norādiet apstrādāt plānoto personas datu glabāšanas
ilgumu? |
Personas dati |
Glabāšanas ilgums |
Apstrādes tiesiskais pamats |
|
Norādiet resursus, kas tiks izmantoti personas datu
apstrādē.
*Ja apstrādē tiek plānots piesaistīt
apstrādātājus, uzskaite ir veicama sadarbībā ar
operatoriem. |
Resursi
*Piemēram
Aparatūra, programmatūra, tīkli, cilvēki,
informācijas apmaiņas kanāli papīra formāta
informācijas apmaiņai u.c. |
Apstrādes process kurā līdzeklis tiks izmantots |
|
Vai apstrādes atbilstības nodrošināšanai tiks
izmantots apstiprināts rīcības kodekss? |
jā
nē |
|
Ja atbilde Jā, sniedziet sīkāku informāciju par
rīcības kodeksu |
|
| |
|
|
|
|
II. Nepieciešamības un samērīguma novērtējums
|
1. Atbilstība datu aizsardzības principiem |
|
Vai apstrāde tiek veikta konkrētos, skaidros un
leģitīmos nolūkos (atbilstoši Regulas 5.panta
1.punkta b)apakšpunktam)? |
jā
nē |
|
Kāds ir plānotās personas datu apstrādes tiesiskais
pamats atbilstoši Regulas 6.pantam |
|
|
Ja tiek veikta īpašo kategoriju datu apstrāde
norādiet plānotās personas datu apstrādes tiesisko
pamatu atbilstoši Regulas 9.pantam. |
|
|
Vai personas datu apstrādes mērķi var sasniegt,
vispār neapstrādājot personas datus vai apstrādājot
mazākā apjomā? Pamatojiet |
var
nevar |
|
Vai visi apstrādājamie dati ir nepieciešami personas
datu apstrādes mērķa sasniegšanai?
Ja atbilde ir "jā", uzskaitiet šos datus, norādot,
kādēļ tie nepieciešami personas datu apstrādes mērķa
sasniegšanai.
Ja atbilde ir "nē", norādiet iemeslus |
jā
nē |
|
Kā tiek noteikti personas datu glabāšanas termiņi
(piemēram, atbilstoši normatīvajam aktam, līgumam,
datu subjekta piekrišanai)?
Pamatojiet termiņa izvēli |
|
|
Ja personas datu glabāšanas termiņš ir noteikts
normatīvajā aktā, norādiet to |
|
|
Ja personas datu glabāšanas termiņš netiek regulēts
ar ārēju normatīvo aktu, norādiet, cik bieži tiek
izvērtēti personas datu glabāšanas termiņi |
|
|
Kāda kārtība ir paredzēta, lai periodiski izvērtētu
apstrādājamo personas datu apjomu un to atbilstību
personas datu apstrādes mērķa sasniegšanai? Cik
bieži šī kārtība tiek pārskatīta?
Ja kārtība nav paredzēta, norādiet iemeslus un
paskaidrojiet, kā tiek nodrošināts, lai personas
datu apjoms visā to apstrādes laikā nepārsniegtu
personas datu apstrādes mērķa sasniegšanai
nepieciešamo |
|
|
Ja personas datu apstrāde vairs nav nepieciešama
personas datu apstrādes mērķa sasniegšanai: |
|
|
1. Kā tiek izvērtēta personas datu apstrāde, lai
noteiktu, kuri dati ir dzēšami? |
1. |
|
2. Kurš ir atbildīgs par personas datu novērtēšanu,
lai noteiktu, kuri dati un kad ir dzēšami? |
2. |
|
3. Vai informācijas sistēmā ir ieviesta automatizēta
paziņojuma saņemšana, kas norāda uz nepieciešamību
dzēst personas datus? |
3. |
|
Vai ir izstrādātas vadlīnijas/kārtība attiecībā uz
personas datu dzēšanu? |
jā
nē |
|
Kā tiek nodrošināta pareizu (precīzu, aktuālu)
personas datu apstrāde? |
|
|
Norādiet dokumentu, kurā ir noteikta kārtība, kā un
cik bieži tiek aktualizēti (precizēti) personas dati |
|
|
Cik bieži veic pārbaudes, vai apstrādāti tiek
pareizi (precīzi, aktuāli) dati? Norādiet
pamatojumu, kādēļ ir izvēlēts šāds periodiskums un
vai tas nodrošina tikai pareizu (precīzu, aktuālu)
personas datu apstrādi |
|
|
Vai ir vērtēti zaudējumi*, kas var rasties no
neaktuālu datu apstrādes?
*Pārzinim varētu būt nepieciešams izvērtēt gan
zaudējumus datu subjektam no iespējamā risku
viedokļa, gan pārzinim no potenciālā apdraudējuma
pārziņu mērķu sasniegšanai viedokļa. |
jā
nē |
|
Integritāte |
|
|
Pārskatatbildība |
|
|
2. Datu subjekta tiesību nodrošināšana |
|
Vai personas dati tiek iegūti no datu subjekta? |
jā
nē |
|
Vai informācija par datu subjektu tiek saņemta no
trešajām personām?
Ja atbilde ir "jā", norādiet informācijas saņemšanas
kārtību un tiesisko pamatu šādas informācijas
saņemšanai |
jā
nē |
|
Kādi norādītie apstrādē izmantotie personas dati
tiek iegūti no datu subjekta. |
|
|
Vai ir nodrošināta datu subjekta informēšana par
viņa personas datu apstrādi neatkarīgi no tā, vai
personas dati ir vai nav iegūti no datu subjekta?
Ja atbilde ir "jā", norādiet, kādā veidā un kādā
gadījumā datu subjekts tiek informēts par viņa
personas datu apstrādi, un kāda satura informācija
tiek sniegta.
Ja atbilde ir "nē", norādiet, kādēļ datu subjekts
netiek informēts |
jā
nē |
|
Vai ir izstrādāta kārtība/procedūra datu subjekta
identifikācijai? |
jā
nē |
|
Vai datu subjektam tiek nodrošināta iespēja iegūt
informāciju par personām, kuras ir saņēmušas
informāciju par šo datu subjektu?
Ja atbilde ir "jā", norādiet, par kādu laikposmu
šāda informācija tiek sniegta.
Ja atbilde ir "nē", norādiet, kādēļ informācija
netiek sniegta |
jā
nē |
|
Vai datu subjektam ir nodrošinātas tiesības piekļūt
saviem personas datiem?
Ja atbilde ir "jā", raksturojiet kārtību, kādā tiek
nodrošinātas datu subjekta piekļuves tiesības saviem
personas datiem.
Ja atbilde ir "nē", norādiet, kāpēc datu subjekta
piekļuves tiesības nav nodrošinātas |
jā
nē |
|
Kā tiek nodrošināta personas datu atrašana pēc datu
subjekta pieprasījuma? |
|
|
Vai datu subjektam pēc tā pieprasījuma tiek sniegta
informācija par personas datu apstrādi?
Ja atbilde ir "jā", norādiet informācijas sniegšanas
kārtību |
jā
nē |
|
Vai pārzinim ir tiesības atteikt datu subjektam
piekļuvi viņa personas datiem?
Ja atbilde ir "jā", norādiet, kādā gadījumā |
jā
nē |
|
Vai notiek automatizēta lēmumu pieņemšana,
pamatojoties uz apstrādātajiem personas datiem? Kādā
gadījumā pārzinis pārskata šādus lēmumus? |
jā
nē |
|
Vai datu subjektam ir nodrošinātas tiesības labot
savus personas datus atbilstoši Regulas 16.pantam?
Ja atbilde ir "jā", norādiet, kādā veidā šīs datu
subjekta tiesības tiek nodrošinātas.
Ja atbilde ir "nē", norādiet iemeslus |
jā
nē |
|
Vai datu subjektam ir nodrošinātas tiesības dzēst
savus datus atbilstoši Regulas 17.pantam?
Ja atbilde ir “jā”, norādiet, kādā veidā šīs datu
subjekta tiesības tiek nodrošinātas.
Ja atbilde ir “nē”, norādiet iemeslus. |
jā
nē |
|
Vai datu subjektam ir nodrošinātas tiesības
ierobežot savu datu apstrādi atbilstoši Regulas
18.pantam?
Ja atbilde ir “jā”, norādiet, kādā veidā šīs datu
subjekta tiesības tiek nodrošinātas.
Ja atbilde ir “nē”, norādiet iemeslus. |
jā
nē |
|
Vai pārzinim ir izstrādāta kārtība attiecībā uz
Regulas 19.pantā noteiktā pienākuma realizāciju?
Ja nav izstrādāta – Kāpēc? |
jā
nē |
|
Vai datu subjektam ir nodrošinātas tiesības uz savu
datu pārnesamību atbilstoši Regulas 20.pantam?
Ja atbilde ir “jā”, norādiet, kādā veidā šīs datu
subjekta tiesības tiek nodrošinātas.
Ja atbilde ir “nē”, norādiet iemeslus. |
jā
nē |
|
Vai datu subjektam ir nodrošinātas tiesības iebilst
savu datu apstrādei atbilstoši Regulas 21.pantam?
Ja atbilde ir “jā”, norādiet, kādā veidā šīs datu
subjekta tiesības tiek nodrošinātas.
Ja atbilde ir “nē”, norādiet iemeslus. |
jā
nē |
III. Risku datu subjekta tiesībām un brīvībām analīze
-
Risku analīze veicama to datu apstrādes darbību
kopumam/iem, kas nepieciešams/i norādītā
personas datu apstrādes mērķa sasniegšanai,
atbilstoši Regulas 35.panta 1.punktam.
|
|
|
Identificējiet cik pirmajā punktā minēto datu
apstrādes kopumu ir Jūsu organizācijā |
|
|
DK1 |
|
|
|
DK2 |
|
|
|
Novērtējiet, cik lielā mērā 1.punktā minētais datu
apstrādes kopums/i rada riskus datu subjekta
tiesībām un brīvībām. Novērtējiet ietekmi skalā
Augsta (A), Vidēja (V), Zema (Z). Sekojiet, lai
vairākumā rindu būtu vismaz viens Augsts un viens
Zems vērtējums. |
|
|
|
DK1 |
DK2 |
DK3 |
|
|
Informācijas pilnīga vai daļēja atklāšana
neautorizētām personām (konfidencialitāte) |
|
|
|
|
|
Informācijas neautorizēta labošana (integritāte) |
|
|
|
|
|
Informācijas sistēmas nepieejamība vienu stundu
(pieejamība) |
|
|
|
|
|
Informācijas sistēmas nepieejamība vienu dienu
(pieejamība) |
|
|
|
|
|
Identificējiet 10 riska scenārijus, kas var radīt
iepriekšējā solī ietvertajā tabulā norādīto ietekmi,
kas novērtēta kā Augsta. No visiem scenārijiem
iekļaujiet tos, kuri var radīt lielāko ietekmi.
Katram scenārijam norādiet, kāda informācija vai
informācijas sistēma tiks ietekmēta (vai visas),
kādā veidā tas notiks, kāda tieši būs ietekme, kas
tieši to uzsāks (darbinieks, neautorizēta persona,
dabas spēki, tehnoloģiska kļūda vai tml.). Esiet
īsi, bet konkrēti. |
|
|
R1 |
|
|
|
R2 |
|
|
|
R3 |
|
|
|
R4 |
|
|
|
R5 |
|
|
|
R6 |
|
|
|
R7 |
|
|
|
R8 |
|
|
|
R9 |
|
|
|
R10 |
|
|
|
Novērtējiet riskus: |
|
|
|
Novērtējiet relatīvo risku ietekmi uz organizāciju
skalā no 6 līdz 10. Piešķiriet 10 riskam, kurš
iestāšanās gadījumā datu apstrādi ietekmēs
visvairāk. Piešķiriet 6 riskam, kurš iestāšanās
gadījumā datu apstrādi ietekmēs vismazāk.
Novērtējiet relatīvo risku varbūtību skalā no 1 līdz
5. Piešķiriet 1 riskam, kura iestāšanās varbūtība ir
mazākā. Piešķiriet 5 riskam, kura iestāšanās
varbūtība ir lielākā. Sareiziniet ietekmi un
varbūtību un ierakstiet riska vērtējumu kolonnā.
Kolonnā prioritāte ierakstiet 1 riskam ar lielāko
vērtību un secīgi līdz 10 – riskam ar mazāko
vērtību. |
|
|
|
Ietekme |
Varbūtība |
Riska vērtējums |
Prioritāte |
|
|
R1 |
|
|
|
|
|
|
R2 |
|
|
|
|
|
|
R3 |
|
|
|
|
|
|
R4 |
|
|
|
|
|
|
R5 |
|
|
|
|
|
|
R6 |
|
|
|
|
|
|
R7 |
|
|
|
|
|
|
R8 |
|
|
|
|
|
|
R9 |
|
|
|
|
|
|
R10 |
|
|
|
|
|
|
Identificējiet esošos riska mazināšanas pasākumus |
|
|
|
Vai ir izstrādāti personas datu apstrādes
aizsardzības noteikumi? |
jā
nē |
|
|
Kādā kārtībā darbiniekus informē par pienākumu
neizpaust personas datus (tostarp pēc darba,
dienesta vai citu tiesisko attiecību izbeigšanās)?
Kā tiek kontrolēta šā pienākuma ievērošana? |
|
|
|
Par informācijas resursiem, tehniskajiem resursiem
un personas datu aizsardzību atbildīgā persona |
|
|
|
Kādi personas datu aizsardzības pasākumi tiek
piemēroti informācijas tehnoloģijām? |
|
|
|
Raksturojiet aizsardzības pasākumus, kas ir ieviesti
pēc neautorizētas un prettiesiskas piekļuves
personas datiem, kas ir apstrādāti automatizēti vai
manuāli |
|
|
|
Vai īpašo kategoriju personas datu apstrādei ir
noteikts lielāks (augstāks) datu aizsardzības
līmenis?
Ja atbilde ir "jā", raksturojiet noteikto
aizsardzības līmeni |
jā
nē |
|
|
Vai pārzinim ir izstrādāti informācijas sistēmu
drošības noteikumi? |
jā
nē |
|
|
Vai ir noteiktas par informācijas sistēmu drošības
pārvaldību un īstenošanu atbildīgās personas? |
jā
nē |
|
|
Vai iestādē tiek veikta informācijas sistēmu risku
analīze? |
jā
nē |
|
|
Vai pārzinis ir izstrādājis informācijas sistēmu
piekļuves kontroles procedūras?
Ja atbilde ir "jā", kā iestāde pārvalda informācijas
sistēmu lietotāju kontus? |
jā
nē |
|
|
Kādas ir prasības lietotāju kontu parolēm vai citiem
kontu aizsardzības rīkiem? |
|
|
|
Vai ir noteikti pienākumi informācijas sistēmu
lietotājiem? Kādi? |
jā
nē |
|
|
Vai pārzinis ir veicis drošības apmācība personālam,
kas veic datu apstrādi informācijas sistēmās? Cik
bieži minētā drošības apmācība tiek veikta, kāds ir
tās saturs? |
jā
nē |
|
|
Vai pārzinis pirms informācijas sistēmas nodošanas
ekspluatācijā veic drošības atbilstības pārbaudi?
Ja atbilde ir "jā", norādiet pārbaudes norises
kārtību |
jā
nē |
|
|
Vai pārzinis ir izstrādājis informācijas sistēmas
uzturēšanas kārtība un procedūras? |
jā
nē |
|
|
Vai pārzinis ir nodrošinājis informācijas sistēmas
notikumu reģistrēšanu un monitorēšanu?
Raksturojiet kārtību |
jā
nē |
|
|
Vai pārzinis nodrošina datu rezerves kopiju
veidošanu un pārbaudi?
Raksturojiet kārtību |
jā
nē |
|
|
Vai pārzinis izmanto ārējas informācijas sistēmas,
kas savienotas ar pārzinis informācijas sistēmām?
Ja atbilde ir "jā", kāda ir kārtība un nosacījumi,
saskaņā ar kuriem izveido sadarbību ar citām
iestādēm? |
jā
nē |
|
|
Kādas tehnoloģijas un rīki tiek izmantoti, lai
savienotu sistēmas? |
|
|
|
Vai pārziņa informācijas sistēmām var piekļūt
attālināti?
Ja atbilde ir "jā", kāda ir attālinātas piekļuves
procedūra un nosacījumi? |
jā
nē |
|
|
Vai pārzinim ir noteikta kārtība ārējo atmiņas
ierīču pārvaldībai un lietošanai? |
jā
nē |
|
|
Vai informācijas sistēmās tiek izmantota datu
šifrēšana?
Ja atbilde ir "jā", raksturojiet to |
jā
nē |
|
|
Vai pirms informācijas publiskošanas tiek izvērtēts
tās konfidencialitātes līmenis un iespējamie riski? |
jā
nē |
|
|
Vai pārzinis ir izstrādājis incidentu pārvaldības
kārtība un procedūras? |
jā
nē |
|
|
Vai pārzinis ir izstrādājis kārtību atklāto trūkumu
novēršanai? |
jā
nē |
|
|
Vai ir izstrādāti iekšējie noteikumi personas datu
nodošanai valstīm, kas nav Eiropas Savienības vai
Eiropas Ekonomikas zonas dalībvalstis?
Ja atbilde ir "jā", raksturojiet tajos ietvertos
principus.
Ja atbilde ir "nē", norādiet, kādēļ šādi noteikumi
nav izstrādāti |
jā
nē |
|
Attiecībā uz riskiem ar prioritāti 1, 2 un 3
aprakstiet būtiskākos šobrīd organizācijā veiktos
organizatoriskos un tehniskos kontroles pasākumus,
kas samazina šo risku potenciālo ietekmi uz
organizāciju vai risku iestāšanās varbūtību.
Apraksties gan tādus pasākumus, kas novērš riska
iestāšanos, gan tādus, kas atklāj riska iestāšanās
faktu, gan arī tādus, kas novērš riska ietekmes
radītās sekas. |
|
|
|
Apraksts |
Riski |
|
|
K1 |
|
|
|
|
K2 |
|
|
|
|
K3 |
|
|
|
|
K4 |
|
|
|
|
K5 |
|
|
|
|
K6 |
|
|
|
|
K7 |
|
|
|
|
K8 |
|
|
|
|
K9 |
|
|
|
|
K10 |
|
|
|
|
Riska mazināšanas pasākumu plāns |
|
Nosakiet nākošās risku analīzes veikšanas datumu un
izveidojiet plānu ar pasākumiem, kurus paredzat
veikt līdz nākošajai riska analīzei. Šiem pasākumiem
ir jāspēj mazināt vismaz viens no riskiem ar
prioritāti 1, 2 vai 3. Vēlams izvēlēties potenciālās
ietekmes ziņā lietderīgāko (cenas/ietekmes
attiecības ziņā) piedāvājumu. Dodiet priekšroku īsā
laikā īstenojamiem pasākumiem, kas var būtiski
samazināt risku pēc iespējas lielākam būtisko
informācijas sistēmu skaitam. Apsveriet arī esošo,
iepriekšējā solī identificēto pasākumu uzlabošanas
vai pilnveidošanas iespējas. Sakārtojiet izpildes
prioritāšu secībā. |
|
|
P1 |
|
|
|
P2 |
|
|
|
P3 |
|
|
|
P4 |
|
|
|
P5 |
|
|
|
P6 |
|
|
|
P7 |
|
|
|
P8 |
|
|
|
P9 |
|
|
|
P10 |
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
IV. Ieteikumi trūkumu novēršanai
|
Datu aizsardzības speciālista komentāri, ja tādi ir |
|
|
Secinājumi un konstatētie trūkumi
|
|
|
Ieteikumi trūkumu novēršanai
|
|
|
Termiņš trūkumu novēršanai
|
|
|
Nepieciešamība veikt iepriekšēju apspriešanos ar
uzraudzības iestādi atbilstoši Regulas 36.pantam. |
jā
nē |