Pranešimas apie asmens duomenų saugumo pažeidimą

2018 m. gegužės 25 d. pradėjus taikyti Bendrąjį duomenų apsaugos reglamentą (BDAR) visos organizacijos, patyrusios duomenų saugumo pažeidimus, privalo ne tik imtis veiksmų pažeidimams pašalinti, bet ir informuoti apie tai Valstybinę duomenų apsaugos inspekciją.

Kokiu būdu galima pateikti Valstybinei duomenų apsaugos inspekcijai pranešimą apie duomenų saugumo pažeidimą:

  1. Užpildant El. paslaugos formą El. valdžios vartuose.
  2. NaudojantisEl. siuntų sistema E.pristatymas (siuntos pristatymas E.pristatymo sistemoje turi teisinę ir įrodomąją galią, atitinkančią registruotojo laiško įteikimą).
  3. El. parašų pasirašytų dokumentų siuntimas el. paštu [email protected].
  4. Dokumento pateikimas registruotu paštu ar įteikimas vietoje VDAI patalpose.

Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojama forma (Aktuali redakcija su 2022-07-25 Nr. 1T-105 (1.12.E) pakeitimais)


Informuojame, kad Jums kreipiantis į Valstybinę duomenų apsaugos inspekciją su pranešimu apie asmens duomenų saugumo pažeidimą Jūsų asmens duomenis Valstybinė duomenų apsaugos inspekcija tvarkys  tikrinimų (prevencinių, ES informacinių sistemų (Šengeno, Muitinės, Vizų, Eurodac), pranešimų apie asmens duomenų saugumo pažeidimus, kt.) ir auditų atlikimo ir, kai taikoma, tarptautinio bendradarbiavimo, įskaitant įgyvendinant nuoseklumą, užtikrinimo tikslais. Daugiau informacijos apie Jūsų asmens duomenų tvarkymą (teisinius pagrindus, saugojimo terminus, duomenų subjekto teises ir kt.) skaitykite prie šio laiško prisegtame Privatumo pranešimas


Rekomendacijos
VDAI Rekomendacija dėl asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos (2018 m.)
EDPB Gairės 01/2021 dėl pranešimo apie asmens duomenų saugumo pažeidimą pavyzdžių (2021 m.)
EDPB Guidelines 9/2022 on personal data breach notification under GDPR (2022 m. / vyksta viešos konsultacijos)


Apie duomenų saugumo pažeidimus
Įvairių sričių specialistai bene kasdien akcentuoja saugumo elektroninėje erdvėje svarbą. Su tuo labai glaudžiai susijęs ir asmens duomenų saugumas, nes įvykus įvairiems saugumo incidentams, be kitos informacijos, kyla grėsmė ir asmens duomenims. Netinkamas asmens duomenų tvarkymas gali kelti įvairių grėsmių žmonių teisėms bei laisvėms, pavyzdžiui, diskriminacija, tapatybės vagystė ar suklastojimas, ekonominė ar socialinė žala, duomenų kontrolės praradimas, pakenkta reputacijai, prarastas asmens duomenų, kurie laikomi profesine paslaptimi, konfidencialumas ir kt.


DĖMESIO! Pažeidimą patyrusi organizacija pirmiausia turi imtis veiksmų pažeidimui pašalinti ir jį dokumentuoti
Netinkamai apsaugota prieiga prie asmenų duomenų yra duomenų saugumo pažeidimas, todėl būtina nedelsiant imtis visų priemonių padėčiai ištaisyti. Visų informacinių sistemų duomenų valdytojai privalo įgyvendinti teisės aktuose nustatytas organizacines ir technines saugumo priemones, kad būtų užtikrintas tinkamas asmens duomenų saugumas. Labai svarbu, kad įmonės, kuriančios informacines sistemas, pateiktų kokybišką produktą, o vykdydamos jų priežiūrą gebėtų nedelsiant šalinti trūkumus ir ištaisyti klaidas. Su asmens duomenimis susijusios įrangos kūrėjams ir gamintojams svarbu atkreipti dėmesį į BDAR 25 straipsnyje įtvirtintus pritaikytosios (angl. by design) ir standartizuotosios (angl. by default) duomenų apsaugos principus.


Svarbiausi pranešimo apie duomenų saugumo pažeidimus aspektai, pradėjus taikyti BDAR

  • 2018 m. gegužės 25 d. pradėjus taikyti BDAR apie duomenų saugumo pažeidimus Valstybinei duomenų apsaugos inspekcijai privalo pranešti visi duomenų valdytojai, ne tik tvarkantys valstybės informacinius išteklius ir viešųjų ryšių tinklus bei bendrovės viešųjų elektroninių ryšių paslaugų teikėjos, tais atvejais, jei kyla didelis pavojus duomenų saugumui.
  • Apie asmens duomenų saugumo pažeidimus privaloma pranešti Valstybinei duomenų apsaugos inspekcijai per 72 valandas.
  • Pranešime turi būti nurodoma:
    - Duomenų saugumo pažeidimo pobūdis, duomenų subjektų kategorijos, apytikslis skaičius, asmens duomenų įrašų kategorijas ir apytikslis skaičius;
    - Duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;
    - Aprašytos tikėtinos asmens duomenų saugumo pažeidimo pasekmės;
    - Aprašytos priemonės, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas.
  • Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus asmenų teisėms ir laisvėms, duomenų valdytojas nedelsdamas turi pranešti apie tai ir patiems žmonėms.
Valstybinė duomenų apsaugos inspekcija, gavusi pranešimą, įvertina pateiktą informaciją ir sprendžia, ar reikalingas tyrimas.

Sankcijos

Pagal naują asmens duomenų apsaugos teisinį reguliavimą organizacijoms už netinkamą asmens duomenų tvarkymą gresia įvairios sankcijos. Valstybinė duomenų apsaugos inspekcija gali teikti nurodymus dėl pažeidimų ištaisymo, papeikimus, nustatyti laikiną arba galutinį draudimą tvarkyti duomenis ir kt.

Privataus sektoriaus atstovams pažeidus Bendrojo duomenų apsaugos reglamento nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos. Taigi bauda gali siekti iki 2–4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 000–20 000 000 EUR. Tai maksimalios baudos, tačiau žemutinė baudų riba gali būti bet kuri minimali skaitinė išraiška.

Naujos redakcijos Asmens duomenų teisinės apsaugos įstatyme numatytos baudos viešojo sektoriaus institucijoms – iki 0,5–1 proc. metinio biudžeto, bet ne daugiau kaip iki 30–60 tūkst. Eur.

Pastaba: tuo atveju, jeigu valstybės institucija užsiima komercine veikla, tai jai atsakomybė bus taikoma kaip privatiems juridiniams asmenims, o ne kaip viešajam sektoriui.


Kam taikoma atsakomybė dėl pažeidimo?
Pagal Bendrąjį duomenų apsaugos reglamentą sankcijos yra skiriamos juridiniam asmeniui, o ne vadovui ar darbuotojui.


Pranešimas apie duomenų saugumo pažeidimą iki BDAR
Iki BDAR pagal Lietuvos Respublikos kibernetinio saugumo įstatymą viešojo administravimo subjektai, valdantys ir (arba) tvarkantys valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojai, viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų teikėjai, įvykus incidentui, turinčiam duomenų saugumo pažeidimo požymių, privalėjo apie tai pranešti VDAI.

Taip pat bendrovės, kurios yra viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjos, asmens duomenų saugumo pažeidimo atveju per 24 val. privalėjo pranešti apie šį pažeidimą Valstybinei duomenų apsaugos inspekcijai pagal Lietuvos Respublikos elektroninių ryšių įstatymą.

Atnaujinimo data: 2023-09-11