Datu pārkāpuma paziņojums

Datu pārkāpuma paziņojums ir juridiska prasība informēt uzraudzības iestādes un dažos gadījumos arī skartās personas, ja personas dati ir apdraudēti drošības pārkāpuma rezultātā. Saskaņā ar VDAR pārziniem ir pienākums 72 stundu laikā pēc brīža, kad viņi uzzinājuši par pārkāpumu, kas rada risku personu tiesībām un brīvībām, informēt savu uzraudzības iestādi, kā arī tieši informēt skartās personas, ja pārkāpums rada augstu risku.

Juridiskais pamats

"Personas datu pārkāpuma gadījumā pārzinis bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundas pēc tam, kad uzzinājis par to, paziņo par personas datu pārkāpumu uzraudzības iestādei, kas ir kompetenta saskaņā ar 55. pantu, izņemot gadījumus, kad ir maz ticams, ka personas datu pārkāpums radīs risku fizisku personu tiesībām un brīvībām."

— 33. panta 1. punkts, Regula (ES) 2016/679 (VDAR)

"Ja ir ticams, ka personas datu pārkāpums radīs augstu risku fizisku personu tiesībām un brīvībām, pārzinis bez nepamatotas kavēšanās paziņo par personas datu pārkāpumu datu subjektam."

— 34. panta 1. punkts, Regula (ES) 2016/679 (VDAR)

Kāpēc tas ir svarīgi

Datu pārkāpuma paziņošanas pienākumi attiecas uz jebkuru organizāciju, kas apstrādā personas datus politiskās reklāmas pakalpojumu kontekstā. Sponsoriem, izdevējiem un politiskās reklāmas pakalpojumu sniedzējiem saskaņā ar Regulu 2024/900 tas nozīmē, ka jebkura nesankcionēta piekļuve, zaudēšana vai izmaiņas personas datos, kas tiek izmantoti mērķauditorijas atlasē vai reklāmu piegādē, ir nekavējoties jāziņo attiecīgajai datu aizsardzības iestādei.

72 stundu paziņošanas termiņš ir stingrs un sākas no brīža, kad organizācija uzzina par pārkāpumu, nevis no brīža, kad tā pabeidz izmeklēšanu. Organizācijām ir jābūt iekšējiem procesiem, lai ātri atklātu, izmeklētu un ziņotu par pārkāpumiem. Nepaziņošana var izraisīt naudas sodus līdz 10 miljoniem eiro vai 2% no globālā gada apgrozījuma saskaņā ar VDAR.

Īpaši attiecībā uz politisko reklāmu pārkāpumi, kas skar mērķauditorijas atlases datus, vēlētāju profilus vai politiskās preferences, ir īpaši jutīgi. Šie pārkāpumi var pakļaut personas manipulācijām, diskriminācijai vai atriebības kaitējumam, padarot savlaicīgu paziņošanu par būtisku demokrātisko procesu un individuālo tiesību aizsardzībai.

Galvenie punkti

Pārziņiem ir jāpaziņo savai uzraudzības iestādei 72 stundu laikā pēc tam, kad viņi uzzinājuši par pārkāpumu, izņemot gadījumus, kad ir maz ticams, ka pārkāpums apdraudēs personu tiesības un brīvības
Ja pārkāpums rada augstu risku personām, tās ir jāinformē tieši bez nepamatotas kavēšanās
Paziņojumos ir jāapraksta pārkāpuma raksturs, to personu kategorijas un aptuvens skaits, kā arī ierakstu skaits, kas ir skarts, un veiktie pasākumi, lai to novērstu
Apstrādātājiem ir nekavējoties jāinformē pārziņi, tiklīdz atklāts pārkāpums, lai pārziņi varētu ievērot savus paziņošanas termiņus
Organizācijām ir jāuztur visu pārkāpumu dokumentācija, tostarp to, par kuriem nav ziņots, lai pierādītu atbilstību
Sodi par nepaziņošanu var sasniegt 10 miljonus eiro vai 2% no globālā gada apgrozījuma, atkarībā no tā, kurš ir lielāks

Datu pārkāpuma paziņojums pret pārredzamības paziņojumu

Lai gan abi ietver izpaušanas pienākumus, datu pārkāpuma paziņojumam un pārredzamības paziņojumiem ir dažādi mērķi. Datu pārkāpuma paziņojums ir reaktīva, ar incidentu saistīta prasība, kas tiek izraisīta, kad personas datu drošība ir apdraudēta. Tas ir jāsniedz uzraudzības iestādēm 72 stundu laikā un skartajām personām, ja pastāv augsts risks.

Pārredzamības paziņojums (piemēram, privātuma paziņojums, kas nepieciešams saskaņā ar VDAR 13.-14. pantu, vai pārredzamības paziņojums politiskajai reklāmai saskaņā ar Regulu 2024/900) ir proaktīvs, pastāvīgs pienākums informēt personas par to, kā tiek apstrādāti viņu dati pirms vai datu vākšanas brīdī. Pārredzamības paziņojumi ir preventīvi un informatīvi; pārkāpumu paziņojumi ir korektīvi un steidzami.

Aspekts	Datu pārkāpuma paziņojums	Pārredzamības paziņojums
Aktivizētājs	Drošības incidents	Datu vākšana/apstrāde
Laiks	72 stundas (iestādei)	Pirms/vākšanas brīdī
Auditorija	Iestāde + skartās personas	Visi datu subjekti
Mērķis	Incidenta reakcija	Pastāvīga pārredzamība

Saistītie termini

Personas dati
Datu aizsardzības iestāde
Pārzinis
Apstrādātājs
VDAR atbilstība
Mērķauditorijas atlases metodes
Drošības pasākumi
Uzraudzības iestāde
Privātuma paziņojums
Datu subjekta tiesības

Jā. Kā ES regula, TTPA ir tieši piemērojama visās dalībvalstīs bez nepieciešamības pēc valsts transponēšanas. Dalībvalstīm ir jāieceļ iestādes un jānosaka sankcijas.

Pārredzamības prasības nodrošina, ka visi politiskie dalībnieki darbojas saskaņā ar vienādiem noteikumiem. Vēlētāji var redzēt, kam ir resursi un kā tie tiek izmantoti, atbalstot godīgu konkurenci.

Pārredzamība veido uzticēšanos, parādot vēlētājiem, ka politiskie aktori darbojas atklāti. Slēpta finansēšana vai mērķauditorijas atlase grauj uzticību demokrātiskiem procesiem.

Prasot skaidru marķēšanu un pieejamu pārredzamības informāciju, TTPA palīdz cilvēkiem atpazīt politisko reklāmu un saprast, kas cenšas tos ietekmēt.

Politiskā reklāma ietver jebkuru maksas ziņojumu, kas veicina politisko dalībnieku, ietekmē balsu došanas uzvedību, ietekmē vēlēšanu vai tautas nobalsošanu rezultātus vai ietekmē likumdošanas vai regulatīvos procesus. Tā ietver arī jebkuru reklāmu, ko izplata politiskais dalībnieks vai tā vārdā.

Nē. TTPA neietekmē valstu tiesību aktus par politiskās reklāmas saturu, kampaņu finansēšanu, vēlēšanu periodiem vai vispārējiem politiskās reklāmas aizliegumiem. Tā papildina esošos valstu tiesību aktus ar pārredzamības prasībām.

Oficiālais nosaukums ir Eiropas Parlamenta un Padomes Regula (ES) 2024/900 par politiskās reklāmas pārredzamību un mērķorientāciju. Tā tika publicēta 2024. gada 20. martā.

Jā. TTPA attiecas uz visu politisko reklāmu neatkarīgi no tā, vai tā ir tiešsaistē vai bezsaistē, tostarp drukāto reklāmu, reklāmas stendus, televīziju, radio un digitālos kanālus. III nodaļā noteiktie mērķauditorijas atlases noteikumi attiecas tikai uz tiešsaistes reklāmu.