1. Noteikumi nosaka obligātās prasības, kuras elektronisko sakaru komersantam ir pienākums ievērot, izstrādājot galalietotāju personas datu aizsardzības pārkāpumu izmeklēšanas un novēršanas iekšējo kārtību.

2. Elektronisko sakaru komersants nosaka personu vai struktūrvienību, kura ir atbildīga par personas datu aizsardzības pārkāpumu novēršanu un izmeklēšanu, kā arī ne retāk kā reizi gadā nodrošina atbildīgo personu apmācību personas datu aizsardzības un informācijas tehnoloģiju drošības jomā.

3. Elektronisko sakaru komersants izstrādā personas datu aizsardzības pārkāpumu izmeklēšanas un novēršanas iekšējo kārtību. Iekšējā kārtībā ietver:

3.1. personas datu apstrādes risku analīzi;

3.2. pasākumus, kas veicami pēc personas datu aizsardzības pārkāpuma konstatēšanas;

3.3. personas datu aizsardzības pārkāpuma izmeklēšanas un novēršanas procedūru aprakstu.

4. Personas datu apstrādes risku analīze ietver:

4.1. personas datu apstrādes apdraudējumu uzskaitījumu, apdraudējumu īstenošanās varbūtības novērtējumu un tuvošanās pazīmju uzskaitījumu;

4.2. personas datu apstrādes risku novērtējumu;

4.3. personas datu apstrādes riska mazināšanas pasākumus un tajos izmantojamos līdzekļus, pasākumu izpildes termiņus un par izpildi atbildīgās personas;

4.4. ietekmes novērtējumu uz elektronisko sakaru komersantu un datu subjektu, tai skaitā galalietotāju, ja notiek personas datu aizsardzības pārkāpums;

4.5. personas datu apstrādes riska mazināšanai veikto pasākumu lietderības novērtējumu.

5. Elektronisko sakaru komersantam ir pienākums analizēt personas datu apstrādes riskus, pirms tiek veiktas paredzētās izmaiņas datu apstrādē.

6. Atzīt par spēku zaudējušiem Ministru kabineta 2011. gada 9. augusta noteikumus Nr. 627 "Obligātās prasības, kas jāievēro, izstrādājot personas datu aizsardzības pārkāpumu izmeklēšanas un novēršanas iekšējo kārtību" (Latvijas Vēstnesis, 2011, 128. nr.).