Datu aizsardzība

Datu pārkāpumu pārvaldības procedūra un reģistrs: template 2026

Datu aizsardzības pārkāpumu pārvaldības procedūra un pārkāpumu reģistrs pēc GDPR 33.-34. panta: pilns template, soļi un biežākās kļūdas.

Also available in:English·Français

Šis ir gatavs datu aizsardzības pārkāpumu pārvaldības template, kas sastāv no divām daļām: soli pa solim procedūras, ko aktivizēt brīdī, kad notiek personas datu pārkāpums, un pārkāpumu reģistra, kurā katrs incidents jādokumentē neatkarīgi no tā, vai par to paziņo uzraudzības iestādei. Abi izpilda Vispārīgās datu aizsardzības regulas 33. un 34. panta prasības — paziņot Datu valsts inspekcijai (DVI) 72 stundu laikā, attiecīgā gadījumā informēt datu subjektus un dokumentēt katru pārkāpumu (33. panta 5. punkts). Zemāk sniegta pilna procedūra ar lomām un termiņiem, gatava reģistra tabula ar aizpildītiem piemēriem, pēc tam norādes, kā to pielāgot, un biežākās kļūdas.

A. Pārkāpumu pārvaldības procedūra

DATU AIZSARDZĪBAS PĀRKĀPUMU PĀRVALDĪBAS PROCEDŪRA [Uzņēmuma nosaukums]. Spēkā no [dd.mm.gggg].

Lomas:

  • Atbildīgā persona [amats] — koordinē reaģēšanu un uztur reģistru;
  • Datu aizsardzības speciālists (DPO) [ja iecelts] — novērtē risku un konsultē par paziņošanu;
  • Vadība [amats] — pieņem galīgo lēmumu par paziņošanu un resursiem.

1. solis. Konstatēšana un reģistrēšana Ikviens darbinieks, kas pamana iespējamu pārkāpumu (nozaudēts dators, kļūdaini nosūtīts e-pasts, aizdomas par uzlaušanu), nekavējoties, bet ne vēlāk kā [1] stundas laikā ziņo atbildīgajai personai uz [e-pasts / tālrunis]. Atbildīgā persona incidentu tūlīt ieraksta pārkāpumu reģistrā, fiksējot konstatēšanas datumu un laiku. 72 stundu skaitīšana sākas brīdī, kad pārzinim kļūst zināms par pārkāpumu.

2. solis. Ierobežošana un sākotnējais novērtējums Atbildīgā persona veic tūlītējus pasākumus, lai ierobežotu pārkāpumu (piem. atsauc e-pastu, bloķē kontu, izolē sistēmu, maina paroles) un noskaidro faktus: kas notika, kad, kādi dati un cik personu ir skartas.

3. solis. Riska novērtējums Kopā ar DPO novērtē, vai pārkāpums rada risku vai augstu risku datu subjektu tiesībām un brīvībām, ņemot vērā datu raksturu (vai skarti īpašo kategoriju dati, finanšu dati, paroles), personu skaitu un iespējamās sekas (identitātes zādzība, finansiāls zaudējums, reputācijas kaitējums).

4. solis. Paziņošana DVI (33. pants) Ja pārkāpums rada risku, atbildīgā persona 72 stundu laikā no konstatēšanas paziņo DVI ar tās oficiālo paziņošanas kanālu. Paziņojumā iekļauj 33. panta 3. punkta saturu: a) pārkāpuma raksturu, skarto datu un datu subjektu kategorijas un aptuveno skaitu; b) DPO vai kontaktpunkta vārdu un kontaktinformāciju; c) iespējamās sekas; d) veiktos vai plānotos pasākumus, tostarp seku mazināšanai. Ja 72 stundās nav visas informācijas, paziņo, kas zināms, un pārējo sniedz pakāpeniski (33. panta 4. punkts).

5. solis. Paziņošana datu subjektiem (34. pants) Ja pārkāpums rada augstu risku, atbildīgā persona bez nepamatotas kavēšanās informē skartos datu subjektus skaidrā valodā, aprakstot pārkāpuma raksturu, sekas, veiktos pasākumus un kontaktpunktu. Paziņojums nav vajadzīgs, ja dati bija šifrēti, risks novērsts vai paziņošana prasītu nesamērīgas pūles (tad — publisks paziņojums).

6. solis. Dokumentēšana (33. panta 5. punkts) Neatkarīgi no tā, vai paziņots DVI, atbildīgā persona pilnībā dokumentē pārkāpumu reģistrā: faktus, sekas un veiktos pasākumus. Šī dokumentācija ļauj DVI pārbaudīt atbilstību.

7. solis. Pēcpārbaude un pasākumi Pēc incidenta noslēgšanas vadība kopā ar DPO izvērtē cēloņus un ievieš pasākumus atkārtošanās novēršanai (tehniskas izmaiņas, apmācība, procesu korekcijas). Rezultātu fiksē reģistrā.

B. Pārkāpumu reģistrs

Nr. Konstatēšanas datums/laiks Apraksts Datu un subjektu kategorijas Skarto personu skaits Riska novērtējums Vai paziņots DVI (datums) Vai paziņots datu subjektiem Veiktie pasākumi
1 12.03.2026, 09:15 Darbinieks kļūdaini nosūtīja algu sarakstu uz nepareizu e-pastu Vārdi, algas dati; darbinieki 24 Augsts risks Jā, 13.03.2026 E-pasts atsaukts, saņēmējs apstiprināja dzēšanu, atgādinājums par pārbaudi pirms sūtīšanas
2 05.05.2026, 14:40 Nozaudēts nešifrēts USB ar klientu kontaktiem Vārdi, e-pasti, tālruņi; klienti ~150 Risks (ne augsts) Jā, 06.05.2026 Nē (zems risks subjektiem) Ieviesta USB šifrēšana un aizliegums glabāt datus ārējos datu nesējos

Reģistru uztur kā izklājlapu vai atbilstības rīkā; katrs incidents — viena rinda, tostarp tie, par kuriem netiek paziņots DVI. Tieši šis reģistrs ir pirmais, ko DVI pārbauda, izvērtējot, vai pārzinis pārkāpumus pārvalda sistemātiski.

Kā pielāgot

Pirmais solis ir piešķirt lomas ar konkrētiem vārdiem un kontaktiem, nevis amatiem abstrakti. Procedūra strādā tikai tad, ja darbinieks krīzes brīdī zina, kam tieši zvanīt. Ja organizācijā ir iecelts datu aizsardzības speciālists, tā loma riska novērtējumā un konsultācijā par paziņošanu ir centrālā; ja DPO nav, šo funkciju jāuzņemas skaidri noteiktai atbildīgajai personai.

Pielāgojiet iekšējos termiņus tā, lai tie ietilptu 72 stundās. Iekšējais ziņošanas termiņš (1. solis) jātur īss — jo ātrāk atbildīgā persona uzzina, jo vairāk laika paliek riska novērtējumam un paziņojuma sagatavošanai. Detalizētu skaidrojumu par termiņa skaitīšanu un DVI paziņošanas saturu sniedz pārkāpuma paziņošanas 72 stundu ceļvedis.

Īpaši svarīgi ir saskaņot procedūru ar apstrādātājiem. Apstrādātājam pārkāpums jāpaziņo pārzinim bez kavēšanās, un šim termiņam jābūt ierakstītam datu apstrādes līgumā — praktisks formulējums atrodams datu apstrādes līguma paraugā. Beidzot, integrējiet procedūru ar riska pārvaldību kopumā: apstrādes, kurām veikts novērtējums par ietekmi uz datu aizsardzību (35. pants), parasti ir tās pašas, kurās pārkāpums radītu augstu risku, tāpēc DPIA rezultāti palīdz ātrāk novērtēt incidentu.

Biežākās kļūdas

Pirmā kļūda ir 72 stundu termiņa nepareiza skaitīšana. Termiņš sākas, kad pārzinim kļūst zināms par pārkāpumu, nevis kad tas pilnībā izmeklēts. Gaidīšana uz “pilnu ainu” pirms paziņošanas ir tieša kļūda — 33. panta 4. punkts skaidri atļauj paziņot pakāpeniski.

Otrā kļūda ir nedokumentēt pārkāpumus, par kuriem nepaziņo DVI. 33. panta 5. punkts prasa reģistrēt katru pārkāpumu neatkarīgi no riska. Tukšs reģistrs nenozīmē, ka pārkāpumu nav bijis — tas nozīmē, ka tie nav dokumentēti, un DVI to interpretē kā pārskatatbildības trūkumu.

Trešā, un juridiski dārgākā kļūda ir apstrādātāja neuzraudzīšana un vājš 32. panta drošības līmenis. To spilgti parāda SIA “ZZ Dats” lieta: 2025. gada 24. oktobrī DVI piemēroja 300 000 EUR sodu par 32. panta pārkāpumu pēc datu noplūdes, kas skāra gandrīz visas Latvijas pašvaldības. ZZ Dats bija apstrādātājs, taču pašvaldības kā pārziņi saņēma rājienus par nepietiekamu apstrādātāja uzraudzību (28. pants). Pārkāpumu procedūra ir vērtīga tikai tad, ja to atbalsta reāli drošības pasākumi, kas iebūvēti sistēmā jau projektēšanas stadijā — tas ir integrētas datu aizsardzības princips (25. pants).

Ceturtā kļūda ir procedūra bez apmācības. Dokuments plauktā neko nedod, ja darbinieki nezina pirmo soli. Piektā kļūda ir aizmirst par datu subjektu paziņošanu augsta riska gadījumā (34. pants) — paziņošana DVI to neaizstāj.

Biežāk uzdotie jautājumi

No kura brīža skaita 72 stundas?

No brīža, kad pārzinim kļūst zināms par pārkāpumu — proti, kad ir pamatota pārliecība, ka noticis personas datu drošības incidents. Termiņš nesākas no incidenta izcelšanās, bet no tā konstatēšanas, un tas neapstājas nedēļas nogalēs. Ja 72 stundās nav visas informācijas, paziņo DVI to, kas zināms, un pārējo sniedz pakāpeniski (33. panta 4. punkts). Detalizētāk to izklāsta 72 stundu paziņošanas ceļvedis.

Vai par katru pārkāpumu jāpaziņo DVI?

Nē. DVI paziņo tikai par pārkāpumiem, kas rada risku datu subjektu tiesībām. Ja risks ir maz ticams (piem. dati bija droši šifrēti), paziņošana DVI nav obligāta. Tomēr dokumentēt reģistrā jebkuru pārkāpumu ir obligāti (33. panta 5. punkts) — tieši šo dokumentāciju DVI pārbauda, lai izvērtētu, vai riska novērtējums bijis pareizs.

Kas notiek, ja pārkāpums notiek pie apstrādātāja?

Apstrādātājam pārkāpums bez nepamatotas kavēšanās jāpaziņo pārzinim, un pārzinis izpilda 33. un 34. panta pienākumus. ZZ Dats lieta rāda, ka pārzinis nevar atbildību pilnībā novelt uz apstrādātāju: pašvaldības kā pārziņi saņēma norādes par nepietiekamu apstrādātāja uzraudzību. Tāpēc paziņošanas termiņam jābūt ierakstītam apstrādes līgumā un apstrādātāja drošība faktiski jāuzrauga.

Secinājums

Pārkāpumu pārvaldības procedūra un reģistrs ir 33. un 34. panta praktiskā izpausme, un DVI pārbaudē reģistrs bieži ir pirmais dokuments, kas parāda, vai pārzinis incidentus pārvalda sistemātiski. Šis template dod gan reaģēšanas soļus ar skaidrām lomām, gan dokumentēšanas struktūru, taču tā vērtība atklājas tikai reālā incidentā: izšķir tas, cik ātri darbinieks ziņo, cik precīzi tiek novērtēts risks un vai drošības pasākumi vispār ir pietiekami. ZZ Dats lieta atgādina, ka procedūra neaizsargā bez reālas drošības un apstrādātāja uzraudzības. Organizācijām, kuras vēlas, lai reaģēšana, dokumentēšana un termiņu kontrole notiktu automātiski un vienuviet, platformas kā Legiscope sasaista pārkāpumu reģistru ar apstrādes reģistru un līgumiem, glabājot datus ES infrastruktūrā. Sagatavojiet procedūru mierā — incidentā tam vairs nebūs laika.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →