Novērtējums par ietekmi uz datu aizsardzību
Eiropas Parlamenta un Padomes 2016.gada 27.aprīļa regulas Nr.2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (turpmāk – Regula) ir paredzēts pārziņa pienākums noteiktos gadījumos veikt novērtējumu par ietekmi uz datu aizsardzību (Regulas 35.panta trešā daļa).
Datu valsts inspekcija paskaidro, ka, izvērtējot gadījumus, kad novērtējums par ietekmi uz datu aizsardzību veicams, ir secināms, ka tas pēc būtības ir risku analīzes rīks, kurš izmantojams pārziņa veiktās personas datu apstrādes paškontrolei. Pirmkārt, tas ir jāveic gadījumos, kad ir iespējams augsts risks attiecībā uz fizisku personu tiesībām un brīvībām. Otrkārt, viens no ietekmes novērtējuma galvenajiem uzdevumiem ir identificēt galvenos riskus un iespējamos pasākumus konstatēto risku mazināšanai.
Datu valsts inspekcija vērš uzmanību, ka, lai arī novērtējuma par ietekmi uz datu aizsardzību veikšana ir jauns pienākums, Latvijā vēl pagājušā gada sākumā tika piemēroti Ministru kabineta 2015.gada 12.maija noteikumi “Kārtība, kādā sagatavo un iesniedz personas datu apstrādes atbilstības novērtējumu”, kas noteica idejiski radniecīga pašvērtējuma veikšanu. Sekojošie ieteikumi novērtējuma par ietekmi uz datu aizsardzību veikšanai (turpmāk – Ieteikumi) ir veidoti lielā mērā balstoties uz iepriekš pieminētajiem Ministru kabineta noteikumiem. Vienlaikus Datu valsts inspekcija informē, ka, izmantojot iepriekš pieminētos Ieteikumus, tas ir veicams, paturot prātā katra novērtējuma veicēja atsevišķo vajadzību, un nepieciešamības gadījumā veicot arī tādas darbības, kas Ieteikumos nav paredzētas.
Vienlaikus personām, kas veiks novērtējumu par ietekmi uz datu aizsardzību, ir jāsaprot, ka minētais process ir daļa no Regulas paredzētās pārskatatbildības sistēmas. Papildus iepriekš minētajam pārziņiem ir jāapzinās, ka novērtējums par ietekmi uz datu aizsardzību ir pastāvīgs process. Pārziņiem ir jāseko līdzi, vai datu apstrāde, kura neradīja lielus riskus fiziskas personām tiesībām un brīvībām pagātnē, piemēram, ņemot vērā tehnoloģiju attīstību, nerada riskus pašlaik. Pārziņiem nevajadzētu paļauties, ka datu apstrāde ir statiska rakstura, ja pārzinis tajā neveic izmaiņas, jo riskus veiktajai datu apstrādei rada arī ārēji faktori.
Saskaņā ar Regulas galvenais apstāklis, kas jāņem vērā pārzinim, analizējot, vai ir veicams novērtējums par ietekmi uz datu aizsardzību, ir augsts risks fiziskas personas tiesībām un brīvībām. Papildus iepriekš minētajam likumdevējs Regulas 35.panta 3.punktā ir identificējis trīs gadījumus, kad pārzinim jo īpaši būtu jāvērtē augsta riska personu tiesībām un brīvībām iestāšanās.
Pārziņiem nav jāuzskata, ka, ja plānotā vai veiktā datu apstrāde neatbilst kādai no Regulas 35.panta 3.punktā pieminētajām, tad novērtējums par ietekmi uz datu aizsardzību nav veicams. Izšķirošais faktors ietekmes novērtējuma veikšanai ir augsts risks datu subjekta tiesībām un brīvībām, līdz ar to novērtējuma par ietekmi uz datu aizsardzību veikšanas nepieciešamību vērtēt nepieciešams arī datu apstrādēm, kas norādītas Regulas 35.panta 3.punkta apakšpunktos.
Datu valsts inspekcija vērš uzmanību, ka, ņemot vērā ietekmes novērtējuma lomu pārskatatbildības nodrošināšanas mehānismā, gadījumos, kad pārzinim ir šaubas par novērtējuma par ietekmi uz datu aizsardzību nepieciešamību, ir rekomendējams novērtējumu par ietekmi uz datu aizsardzību veikt. Datu valsts inspekcija informē, ka novērtējums par ietekmi uz datu aizsardzību var atvieglot pārziņa pienākumu veikšanu gan attiecībā uz datu subjektu tiesību nodrošināšanu, gan arī uz nepieciešamo tehnisko un organizatorisko datu aizsardzības drošības pasākumu ieviešanu.
Datu valsts inspekcija skaidro, ka negatīva atbilde uz kādu no zemāk norādītajiem jautājumiem nenozīmē, ka apstrāde nav veicama, tomēr noteiktu drošības procesu iztrūkums var liecināt par riskiem personas datu apstrādei kuru novēršanai ir jāparedz attiecīgi risinājumi.
I. Personas datu apstrādes vispārīgs apraksts
Iestādes nosaukums |
|
|||
Kontaktinformācija |
|
|||
Novērtētājs (vārds, uzvārds) |
|
|||
Kontaktinformācija |
|
|||
Novērtējuma veikšanas periods |
|
|||
Vai novērtējuma par ietekmi uz datu aizsardzību veikšanas procesā iesaistīts datu aizsardzības speciālists? |
jā nē |
|||
Vai novērtējuma par ietekmi uz datu aizsardzību veikšanas procesā ir pieprasīts datu subjektu vai viņu pārstāvju viedoklis? Ja ir tad kāds ir iegūtais viedoklis, ja nav tad kāpēc viedoklis nav iegūts? |
jā nē |
|||
Kāds ir personas datu apstrādes mērķis*? *Ar mērķi saprotam konkrēti definētu rezultātu, kas sasniedzams ar plānoto personas datu apstrādi (piemēram, _______________________) |
|
|||
Kāds ir personas datu apstrādes nolūks*? *Ar nolūku saprotam veidu kā tiek plānots iepriekš norādīto mērķi sasniegt (piemēram, ________________________) |
|
|||
Kāds ir plānotās personas datu apstrādes raksturs? |
|
|||
Tai skaitā kādā veidā notiek personas datu apstrāde – manuāli vai automatizēti? |
|
|||
Sniedziet plānotās personas datu apstrādes funkcionālu aprakstu. |
|
|||
Kāpēc šāda rakstura apstrāde svarīga konkrēto nolūku sasniegšanai? |
|
|||
Vai personas datu apstrādes mērķi nosaka normatīvie akti? Ja atbilde ir "jā", norādiet normatīvos aktus, kas paredz datu apstrādi |
jā nē |
|||
Kādus personas datus, (piemēram, vārds, uzvārds, personas kods) tiek plānots apstrādāt personas datu apstrādes mērķa sasniegšanai? |
• • • • |
|||
Ja tiek apstrādāti īpašo kategoriju personas dati, norādiet tos |
|
|||
Vai īpašo kategoriju personas datu apstrāde ir nodalīta no pārējo personas datu apstrādes? Ja atbilde ir "jā", raksturojiet procedūru, kā tas tiek nodrošināts. Ja atbilde ir "nē", norādiet iemeslus |
jā nē |
|||
Vai personas datu apstrāde ir uzticēta personas datu apstrādātājam? |
jā nē |
|||
Vai ar personas datu apstrādātāju ir/tiks noslēgts rakstisks līgums? |
jā nē |
|||
Vai līgumā ar personas datu apstrādes apstrādātāju ietverti Regulas 28.panta 3.punkta nosacījumi? |
jā nē |
|||
Norādiet citas datu saņēmēju kategorijas, ja tādas ir. |
|
|||
Norādiet apstrādāt plānoto personas datu glabāšanas ilgumu? |
Personas dati |
Glabāšanas ilgums |
Apstrādes tiesiskais pamats |
|
Norādiet resursus, kas tiks izmantoti personas datu apstrādē. *Ja apstrādē tiek plānots piesaistīt apstrādātājus, uzskaite ir veicama sadarbībā ar operatoriem. |
Resursi *Piemēram Aparatūra, programmatūra, tīkli, cilvēki, informācijas apmaiņas kanāli papīra formāta informācijas apmaiņai u.c. |
Apstrādes process kurā līdzeklis tiks izmantots |
||
Vai apstrādes atbilstības nodrošināšanai tiks izmantots apstiprināts rīcības kodekss? |
jā nē |
|||
Ja atbilde Jā, sniedziet sīkāku informāciju par rīcības kodeksu |
|
|||
II. Nepieciešamības un samērīguma novērtējums
1. Atbilstība datu aizsardzības principiem |
|
Vai apstrāde tiek veikta konkrētos, skaidros un leģitīmos nolūkos (atbilstoši Regulas 5.panta 1.punkta b)apakšpunktam)? |
jā nē |
Kāds ir plānotās personas datu apstrādes tiesiskais pamats atbilstoši Regulas 6.pantam |
|
Ja tiek veikta īpašo kategoriju datu apstrāde norādiet plānotās personas datu apstrādes tiesisko pamatu atbilstoši Regulas 9.pantam. |
|
Vai personas datu apstrādes mērķi var sasniegt, vispār neapstrādājot personas datus vai apstrādājot mazākā apjomā? Pamatojiet |
var nevar |
Vai visi apstrādājamie dati ir nepieciešami personas datu apstrādes mērķa sasniegšanai? Ja atbilde ir "jā", uzskaitiet šos datus, norādot, kādēļ tie nepieciešami personas datu apstrādes mērķa sasniegšanai. Ja atbilde ir "nē", norādiet iemeslus |
jā nē |
Kā tiek noteikti personas datu glabāšanas termiņi (piemēram, atbilstoši normatīvajam aktam, līgumam, datu subjekta piekrišanai)? Pamatojiet termiņa izvēli |
|
Ja personas datu glabāšanas termiņš ir noteikts normatīvajā aktā, norādiet to |
|
Ja personas datu glabāšanas termiņš netiek regulēts ar ārēju normatīvo aktu, norādiet, cik bieži tiek izvērtēti personas datu glabāšanas termiņi |
|
Kāda kārtība ir paredzēta, lai periodiski izvērtētu apstrādājamo personas datu apjomu un to atbilstību personas datu apstrādes mērķa sasniegšanai? Cik bieži šī kārtība tiek pārskatīta? Ja kārtība nav paredzēta, norādiet iemeslus un paskaidrojiet, kā tiek nodrošināts, lai personas datu apjoms visā to apstrādes laikā nepārsniegtu personas datu apstrādes mērķa sasniegšanai nepieciešamo |
|
Ja personas datu apstrāde vairs nav nepieciešama personas datu apstrādes mērķa sasniegšanai: |
|
1. Kā tiek izvērtēta personas datu apstrāde, lai noteiktu, kuri dati ir dzēšami? |
1. |
2. Kurš ir atbildīgs par personas datu novērtēšanu, lai noteiktu, kuri dati un kad ir dzēšami? |
2. |
3. Vai informācijas sistēmā ir ieviesta automatizēta paziņojuma saņemšana, kas norāda uz nepieciešamību dzēst personas datus? |
3. |
Vai ir izstrādātas vadlīnijas/kārtība attiecībā uz personas datu dzēšanu? |
jā nē |
Kā tiek nodrošināta pareizu (precīzu, aktuālu) personas datu apstrāde? |
|
Norādiet dokumentu, kurā ir noteikta kārtība, kā un cik bieži tiek aktualizēti (precizēti) personas dati |
|
Cik bieži veic pārbaudes, vai apstrādāti tiek pareizi (precīzi, aktuāli) dati? Norādiet pamatojumu, kādēļ ir izvēlēts šāds periodiskums un vai tas nodrošina tikai pareizu (precīzu, aktuālu) personas datu apstrādi |
|
Vai ir vērtēti zaudējumi*, kas var rasties no neaktuālu datu apstrādes? *Pārzinim varētu būt nepieciešams izvērtēt gan zaudējumus datu subjektam no iespējamā risku viedokļa, gan pārzinim no potenciālā apdraudējuma pārziņu mērķu sasniegšanai viedokļa. |
jā nē |
Integritāte |
|
Pārskatatbildība |
|
2. Datu subjekta tiesību nodrošināšana |
|
Vai personas dati tiek iegūti no datu subjekta? |
jā nē |
Vai informācija par datu subjektu tiek saņemta no trešajām personām? Ja atbilde ir "jā", norādiet informācijas saņemšanas kārtību un tiesisko pamatu šādas informācijas saņemšanai |
jā nē |
Kādi norādītie apstrādē izmantotie personas dati tiek iegūti no datu subjekta. |
|
Vai ir nodrošināta datu subjekta informēšana par viņa personas datu apstrādi neatkarīgi no tā, vai personas dati ir vai nav iegūti no datu subjekta? Ja atbilde ir "jā", norādiet, kādā veidā un kādā gadījumā datu subjekts tiek informēts par viņa personas datu apstrādi, un kāda satura informācija tiek sniegta. Ja atbilde ir "nē", norādiet, kādēļ datu subjekts netiek informēts |
jā nē |
Vai ir izstrādāta kārtība/procedūra datu subjekta identifikācijai? |
jā nē |
Vai datu subjektam tiek nodrošināta iespēja iegūt informāciju par personām, kuras ir saņēmušas informāciju par šo datu subjektu? Ja atbilde ir "jā", norādiet, par kādu laikposmu šāda informācija tiek sniegta. Ja atbilde ir "nē", norādiet, kādēļ informācija netiek sniegta |
jā nē |
Vai datu subjektam ir nodrošinātas tiesības piekļūt saviem personas datiem? Ja atbilde ir "jā", raksturojiet kārtību, kādā tiek nodrošinātas datu subjekta piekļuves tiesības saviem personas datiem. Ja atbilde ir "nē", norādiet, kāpēc datu subjekta piekļuves tiesības nav nodrošinātas |
jā nē |
Kā tiek nodrošināta personas datu atrašana pēc datu subjekta pieprasījuma? |
|
Vai datu subjektam pēc tā pieprasījuma tiek sniegta informācija par personas datu apstrādi? Ja atbilde ir "jā", norādiet informācijas sniegšanas kārtību |
jā nē |
Vai pārzinim ir tiesības atteikt datu subjektam piekļuvi viņa personas datiem? Ja atbilde ir "jā", norādiet, kādā gadījumā |
jā nē |
Vai notiek automatizēta lēmumu pieņemšana, pamatojoties uz apstrādātajiem personas datiem? Kādā gadījumā pārzinis pārskata šādus lēmumus? |
jā nē |
Vai datu subjektam ir nodrošinātas tiesības labot savus personas datus atbilstoši Regulas 16.pantam? Ja atbilde ir "jā", norādiet, kādā veidā šīs datu subjekta tiesības tiek nodrošinātas. Ja atbilde ir "nē", norādiet iemeslus |
jā nē |
Vai datu subjektam ir nodrošinātas tiesības dzēst savus datus atbilstoši Regulas 17.pantam?
Ja atbilde ir “jā”, norādiet, kādā veidā šīs datu subjekta tiesības tiek nodrošinātas.
Ja atbilde ir “nē”, norādiet iemeslus. |
jā nē |
Vai datu subjektam ir nodrošinātas tiesības ierobežot savu datu apstrādi atbilstoši Regulas 18.pantam?
Ja atbilde ir “jā”, norādiet, kādā veidā šīs datu subjekta tiesības tiek nodrošinātas.
Ja atbilde ir “nē”, norādiet iemeslus. |
jā nē |
Vai pārzinim ir izstrādāta kārtība attiecībā uz Regulas 19.pantā noteiktā pienākuma realizāciju?
Ja nav izstrādāta – Kāpēc? |
jā nē |
Vai datu subjektam ir nodrošinātas tiesības uz savu datu pārnesamību atbilstoši Regulas 20.pantam?
Ja atbilde ir “jā”, norādiet, kādā veidā šīs datu subjekta tiesības tiek nodrošinātas.
Ja atbilde ir “nē”, norādiet iemeslus. |
jā nē |
Vai datu subjektam ir nodrošinātas tiesības iebilst savu datu apstrādei atbilstoši Regulas 21.pantam?
Ja atbilde ir “jā”, norādiet, kādā veidā šīs datu subjekta tiesības tiek nodrošinātas.
Ja atbilde ir “nē”, norādiet iemeslus. |
jā nē |
III. Risku datu subjekta tiesībām un brīvībām analīze
|
|
|||||||||
Identificējiet cik pirmajā punktā minēto datu apstrādes kopumu ir Jūsu organizācijā |
|
|||||||||
DK1 |
|
|
||||||||
DK2 |
|
|
||||||||
Novērtējiet, cik lielā mērā 1.punktā minētais datu apstrādes kopums/i rada riskus datu subjekta tiesībām un brīvībām. Novērtējiet ietekmi skalā Augsta (A), Vidēja (V), Zema (Z). Sekojiet, lai vairākumā rindu būtu vismaz viens Augsts un viens Zems vērtējums. |
|
|||||||||
|
DK1 |
DK2 |
DK3 |
|
||||||
Informācijas pilnīga vai daļēja atklāšana neautorizētām personām (konfidencialitāte) |
|
|
|
|
||||||
Informācijas neautorizēta labošana (integritāte) |
|
|
|
|
||||||
Informācijas sistēmas nepieejamība vienu stundu (pieejamība) |
|
|
|
|
||||||
Informācijas sistēmas nepieejamība vienu dienu (pieejamība) |
|
|
|
|
||||||
Identificējiet 10 riska scenārijus, kas var radīt iepriekšējā solī ietvertajā tabulā norādīto ietekmi, kas novērtēta kā Augsta. No visiem scenārijiem iekļaujiet tos, kuri var radīt lielāko ietekmi. Katram scenārijam norādiet, kāda informācija vai informācijas sistēma tiks ietekmēta (vai visas), kādā veidā tas notiks, kāda tieši būs ietekme, kas tieši to uzsāks (darbinieks, neautorizēta persona, dabas spēki, tehnoloģiska kļūda vai tml.). Esiet īsi, bet konkrēti. |
|
|||||||||
R1 |
|
|
||||||||
R2 |
|
|
||||||||
R3 |
|
|
||||||||
R4 |
|
|
||||||||
R5 |
|
|
||||||||
R6 |
|
|
||||||||
R7 |
|
|
||||||||
R8 |
|
|
||||||||
R9 |
|
|
||||||||
R10 |
|
|
||||||||
Novērtējiet riskus: |
|
|
||||||||
Novērtējiet relatīvo risku ietekmi uz organizāciju skalā no 6 līdz 10. Piešķiriet 10 riskam, kurš iestāšanās gadījumā datu apstrādi ietekmēs visvairāk. Piešķiriet 6 riskam, kurš iestāšanās gadījumā datu apstrādi ietekmēs vismazāk. Novērtējiet relatīvo risku varbūtību skalā no 1 līdz 5. Piešķiriet 1 riskam, kura iestāšanās varbūtība ir mazākā. Piešķiriet 5 riskam, kura iestāšanās varbūtība ir lielākā. Sareiziniet ietekmi un varbūtību un ierakstiet riska vērtējumu kolonnā. Kolonnā prioritāte ierakstiet 1 riskam ar lielāko vērtību un secīgi līdz 10 – riskam ar mazāko vērtību. |
|
|||||||||
|
Ietekme |
Varbūtība |
Riska vērtējums |
Prioritāte |
|
|||||
R1 |
|
|
|
|
|
|||||
R2 |
|
|
|
|
|
|||||
R3 |
|
|
|
|
|
|||||
R4 |
|
|
|
|
|
|||||
R5 |
|
|
|
|
|
|||||
R6 |
|
|
|
|
|
|||||
R7 |
|
|
|
|
|
|||||
R8 |
|
|
|
|
|
|||||
R9 |
|
|
|
|
|
|||||
R10 |
|
|
|
|
|
|||||
Identificējiet esošos riska mazināšanas pasākumus |
|
|
||||||||
Vai ir izstrādāti personas datu apstrādes aizsardzības noteikumi? |
jā nē |
|
||||||||
Kādā kārtībā darbiniekus informē par pienākumu neizpaust personas datus (tostarp pēc darba, dienesta vai citu tiesisko attiecību izbeigšanās)? Kā tiek kontrolēta šā pienākuma ievērošana? |
|
|
||||||||
Par informācijas resursiem, tehniskajiem resursiem un personas datu aizsardzību atbildīgā persona |
|
|
||||||||
Kādi personas datu aizsardzības pasākumi tiek piemēroti informācijas tehnoloģijām? |
|
|
||||||||
Raksturojiet aizsardzības pasākumus, kas ir ieviesti pēc neautorizētas un prettiesiskas piekļuves personas datiem, kas ir apstrādāti automatizēti vai manuāli |
|
|
||||||||
Vai īpašo kategoriju personas datu apstrādei ir noteikts lielāks (augstāks) datu aizsardzības līmenis? Ja atbilde ir "jā", raksturojiet noteikto aizsardzības līmeni |
jā nē |
|
||||||||
Vai pārzinim ir izstrādāti informācijas sistēmu drošības noteikumi? |
jā nē |
|
||||||||
Vai ir noteiktas par informācijas sistēmu drošības pārvaldību un īstenošanu atbildīgās personas? |
jā nē |
|
||||||||
Vai iestādē tiek veikta informācijas sistēmu risku analīze? |
jā nē |
|
||||||||
Vai pārzinis ir izstrādājis informācijas sistēmu piekļuves kontroles procedūras? Ja atbilde ir "jā", kā iestāde pārvalda informācijas sistēmu lietotāju kontus? |
jā nē |
|
||||||||
Kādas ir prasības lietotāju kontu parolēm vai citiem kontu aizsardzības rīkiem? |
|
|
||||||||
Vai ir noteikti pienākumi informācijas sistēmu lietotājiem? Kādi? |
jā nē |
|
||||||||
Vai pārzinis ir veicis drošības apmācība personālam, kas veic datu apstrādi informācijas sistēmās? Cik bieži minētā drošības apmācība tiek veikta, kāds ir tās saturs? |
jā nē |
|
||||||||
Vai pārzinis pirms informācijas sistēmas nodošanas ekspluatācijā veic drošības atbilstības pārbaudi? Ja atbilde ir "jā", norādiet pārbaudes norises kārtību |
jā nē |
|
||||||||
Vai pārzinis ir izstrādājis informācijas sistēmas uzturēšanas kārtība un procedūras? |
jā nē |
|
||||||||
Vai pārzinis ir nodrošinājis informācijas sistēmas notikumu reģistrēšanu un monitorēšanu? Raksturojiet kārtību |
jā nē |
|
||||||||
Vai pārzinis nodrošina datu rezerves kopiju veidošanu un pārbaudi? Raksturojiet kārtību |
jā nē |
|
||||||||
Vai pārzinis izmanto ārējas informācijas sistēmas, kas savienotas ar pārzinis informācijas sistēmām? Ja atbilde ir "jā", kāda ir kārtība un nosacījumi, saskaņā ar kuriem izveido sadarbību ar citām iestādēm? |
jā nē |
|
||||||||
Kādas tehnoloģijas un rīki tiek izmantoti, lai savienotu sistēmas? |
|
|
||||||||
Vai pārziņa informācijas sistēmām var piekļūt attālināti? Ja atbilde ir "jā", kāda ir attālinātas piekļuves procedūra un nosacījumi? |
jā nē |
|
||||||||
Vai pārzinim ir noteikta kārtība ārējo atmiņas ierīču pārvaldībai un lietošanai? |
jā nē |
|
||||||||
Vai informācijas sistēmās tiek izmantota datu šifrēšana? Ja atbilde ir "jā", raksturojiet to |
jā nē |
|
||||||||
Vai pirms informācijas publiskošanas tiek izvērtēts tās konfidencialitātes līmenis un iespējamie riski? |
jā nē |
|
||||||||
Vai pārzinis ir izstrādājis incidentu pārvaldības kārtība un procedūras? |
jā nē |
|
||||||||
Vai pārzinis ir izstrādājis kārtību atklāto trūkumu novēršanai? |
jā nē |
|
||||||||
Vai ir izstrādāti iekšējie noteikumi personas datu nodošanai valstīm, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstis? Ja atbilde ir "jā", raksturojiet tajos ietvertos principus. Ja atbilde ir "nē", norādiet, kādēļ šādi noteikumi nav izstrādāti |
jā nē |
|||||||||
Attiecībā uz riskiem ar prioritāti 1, 2 un 3 aprakstiet būtiskākos šobrīd organizācijā veiktos organizatoriskos un tehniskos kontroles pasākumus, kas samazina šo risku potenciālo ietekmi uz organizāciju vai risku iestāšanās varbūtību. Apraksties gan tādus pasākumus, kas novērš riska iestāšanos, gan tādus, kas atklāj riska iestāšanās faktu, gan arī tādus, kas novērš riska ietekmes radītās sekas. |
|
|||||||||
|
Apraksts |
Riski |
|
|||||||
K1 |
|
|
|
|||||||
K2 |
|
|
|
|||||||
K3 |
|
|
|
|||||||
K4 |
|
|
|
|||||||
K5 |
|
|
|
|||||||
K6 |
|
|
|
|||||||
K7 |
|
|
|
|||||||
K8 |
|
|
|
|||||||
K9 |
|
|
|
|||||||
K10 |
|
|
|
|||||||
Riska mazināšanas pasākumu plāns |
||||||||||
Nosakiet nākošās risku analīzes veikšanas datumu un izveidojiet plānu ar pasākumiem, kurus paredzat veikt līdz nākošajai riska analīzei. Šiem pasākumiem ir jāspēj mazināt vismaz viens no riskiem ar prioritāti 1, 2 vai 3. Vēlams izvēlēties potenciālās ietekmes ziņā lietderīgāko (cenas/ietekmes attiecības ziņā) piedāvājumu. Dodiet priekšroku īsā laikā īstenojamiem pasākumiem, kas var būtiski samazināt risku pēc iespējas lielākam būtisko informācijas sistēmu skaitam. Apsveriet arī esošo, iepriekšējā solī identificēto pasākumu uzlabošanas vai pilnveidošanas iespējas. Sakārtojiet izpildes prioritāšu secībā. |
|
|||||||||
P1 |
|
|
||||||||
P2 |
|
|
||||||||
P3 |
|
|
||||||||
P4 |
|
|
||||||||
P5 |
|
|
||||||||
P6 |
|
|
||||||||
P7 |
|
|
||||||||
P8 |
|
|
||||||||
P9 |
|
|
||||||||
P10 |
|
|
||||||||
|
|
|
||||||||
IV. Ieteikumi trūkumu novēršanai
Datu aizsardzības speciālista komentāri, ja tādi ir |
|
Secinājumi un konstatētie trūkumi |
|
Ieteikumi trūkumu novēršanai |
|
Termiņš trūkumu novēršanai |
|
Nepieciešamība veikt iepriekšēju apspriešanos ar uzraudzības iestādi atbilstoši Regulas 36.pantam. |
jā nē |
Novērtētājs |
|
|
|