1. Noteikumi nosaka obligātās prasības, kas jāievēro elektronisko sakaru komersantam, izstrādājot personas datu aizsardzības pārkāpumu izmeklēšanas un novēršanas iekšējo kārtību.
2. Elektronisko sakaru komersants nosaka personu vai struktūrvienību, kura ir atbildīga par personas datu aizsardzības pārkāpumu novēršanu un izmeklēšanu, kā arī ne retāk kā reizi gadā nodrošina atbildīgo personu apmācību personas datu aizsardzības un informācijas tehnoloģiju drošības jomā.
3. Elektronisko sakaru komersants izstrādā personas datu aizsardzības pārkāpumu izmeklēšanas un novēršanas iekšējo kārtību. Iekšējā kārtībā ietver:
3.1. personas datu apstrādes risku analīzi;
3.2. pasākumus, kas veicami pēc personas datu aizsardzības pārkāpuma konstatēšanas;
3.3. personas datu aizsardzības pārkāpuma izmeklēšanas un novēršanas procedūru aprakstu.
4. Personas datu apstrādes risku analīze ietver:
4.1. personas datu apstrādes apdraudējumu uzskaitījumu, apdraudējumu īstenošanās varbūtības novērtējumu un tuvošanās pazīmju uzskaitījumu;
4.2. personas datu apstrādes risku novērtējumu;
4.3. personas datu apstrādes riska mazināšanas pasākumus un tajos izmantojamos līdzekļus, pasākumu izpildes termiņus un par izpildi atbildīgās personas;
4.4. ietekmes novērtējumu uz elektronisko sakaru komersantu un datu subjektu, tai skaitā abonentu un lietotāju, ja notiek personas datu aizsardzības pārkāpums;
4.5. personas datu apstrādes riska mazināšanai veikto pasākumu lietderības novērtējumu.
5. Elektronisko sakaru komersantam ir pienākums analizēt personas datu apstrādes riskus, pirms tiek veiktas paredzētās izmaiņas datu apstrādē.