LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRAS

ĮSAKYMAS

DĖL PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ PATEIKIMO TVARKOS APRAŠO PATVIRTINIMO

2020 m. rugpjūčio 21 d. Nr. 3-470

Vilnius

Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) preambulės 88 punktu ir 24 straipsnio 1 dalimi:

1. T v i r t i n u Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo tvarkos aprašą (pridedama).

2. Į g a l i o j u laikinai einančią Tinklų ir tarptautinių ryšių departamento direktorės pareigas Kristiną Semėnę, jos nesant – Teisės ir personalo skyriaus patarėją Liutaurą Šlajų, nagrinėti pranešimus apie asmens duomenų saugumo pažeidimus ir atlikti kitus veiksmus, numatytus Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo tvarkos apraše.

3. P r i p a ž į s t u netekusiu galios Lietuvos Respublikos susisiekimo ministro 2018 m. liepos 26 d. įsakymą Nr. 3-385 „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo tvarkos aprašo patvirtinimo“.

Susisiekimo ministras Jaroslav Narkevič

PATVIRTINTA

Lietuvos Respublikos

susisiekimo ministro

2020 m. rugpjūčio 21 d. įsakymu Nr. 3-470

PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ PATEIKIMO TVARKOS APRAŠAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo tvarkos aprašas (toliau – Aprašas) reglamentuoja asmens duomenų saugumo pažeidimo nustatymo bei tyrimo tvarką, pranešimo apie asmens duomenų saugumo pažeidimą turinį, procedūrą, pateikimo duomenų subjektui ir Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) tvarką.

2. Šis Aprašas taikomas Lietuvos Respublikos susisiekimo ministerijai (toliau – Susisiekimo ministerija) tvarkant duomenų subjektų asmens duomenis ir juridiniams asmenims, veikiantiems kaip Susisiekimo ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų tvarkytojai, bei juridiniams asmenims, su kuriais sudaryta asmens duomenų tvarkymo sutartis, pavedant tvarkyti asmens duomenis pagal Susisiekimo ministerijos nurodymus (toliau kartu – duomenų tvarkytojai).

3. Šis Aprašas parengtas atsižvelgiant į 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679).

4. Šiame Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“.

II SKYRIUS

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO NUSTATYMAS, TYRIMAS IR PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ PATEIKIMAS

5. Susisiekimo ministerijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį ir gaunantis darbo užmokestį iš valstybės ir savivaldybių biudžetų ir valstybės pinigų fondų (toliau kartu – darbuotojai), sužinojęs ar pats nustatęs galimą asmens duomenų saugumo pažeidimą arba kai informacija apie galimą asmens duomenų saugumo pažeidimą gaunama iš duomenų tvarkytojo, žiniasklaidos ar kito šaltinio:

5.1. nedelsdamas, bet ne vėliau kaip per 2 darbo valandas nuo asmens duomenų saugumo pažeidimo paaiškėjimo momento, informuoja savo tiesioginį vadovą, susisiekimo ministro įgaliotą asmenį ir Susisiekimo ministerijos duomenų apsaugos pareigūną;

5.2. užpildo šio Aprašo 1 priede nurodytos formos Pranešimą apie asmens duomenų saugumo pažeidimą ir nedelsdamas, bet ne vėliau kaip per 2 darbo valandas nuo pažeidimo paaiškėjimo momento, perduoda jį susisiekimo ministro įgaliotam asmeniui ir Susisiekimo ministerijos duomenų apsaugos pareigūnui;

5.3. jei įmanoma, imasi priemonių asmens duomenų saugumo pažeidimui pašalinti ir galimoms neigiamoms jo pasekmėms sumažinti.

6. Duomenų tvarkytojai, sužinoję apie asmens duomenų saugumo pažeidimą, nedelsdami, bet ne vėliau kaip per 8 darbo valandas, apie tai praneša Susisiekimo ministerijai, pateikdami pranešimą, numatytą Reglamento (ES) 2016/679 33 straipsnio 3 dalyje, ir nurodo tuo metu įmanomą pateikti informaciją.

7. Susisiekimo ministro įgaliotas asmuo, gavęs Susisiekimo ministerijos darbuotojo užpildytą pranešimą ar duomenų tvarkytojo pranešimą (toliau kartu – pranešimas):

7.1. nedelsdamas nagrinėja pranešime nurodytas aplinkybes;

7.2. įvertina, ar padarytas asmens duomenų saugumo pažeidimas;

7.3. konsultuojasi su Susisiekimo ministerijos duomenų apsaugos pareigūnu;

7.4. jei asmens duomenų saugumo pažeidimas padarytas:

7.4.1. nustato padaryto pažeidimo tipą, asmens duomenų kategorijas, įskaitant specialių kategorijų asmens duomenis, kurios susijusios su pažeidimu, asmens duomenų saugumo pažeidimą lėmusias priežastis, apimtį (duomenų subjektų kategorijas ir skaičius), įvertina asmeniui padarytą žalą (t. y. riziką);

7.4.2. pasitelkia Susisiekimo ministerijos Informacinių sistemų skyriaus darbuotojus (asmens duomenų, tvarkomų Susisiekimo ministerijoje, saugumo pažeidimas) ar duomenų tvarkytojų informacinių technologijų specialistus (asmens duomenų, tvarkomų Susisiekimo ministerijos valdomuose registruose ir valstybės informacinėse sistemose, saugumo pažeidimas; asmens duomenų, tvarkomų pagal Susisiekimo ministerijos nurodymus, saugumo pažeidimas ir pan.), jei asmens duomenų saugumo pažeidimas yra susijęs su elektroninės informacijos saugos ir kibernetinio saugumo incidentu;

7.4.3. nustato, kokių skubių ir tinkamų priemonių būtina imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas (pvz., naudoti atsargines kopijas, siekiant atkurti prarastus ar sugadintus duomenis, ar kt.);

7.4.4. nustato, ar būtina nedelsiant pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą;

7.4.5. imasi kitų veiksmų, kurie yra būtini galimam pažeidimui nustatyti ir (ar) galimoms neigiamoms jo pasekmėms sumažinti.

8. Vertinant riziką, kuri gali atsirasti dėl asmens duomenų saugumo pažeidimo, turi būti atsižvelgiama į konkrečias asmens duomenų saugumo pažeidimo aplinkybes, pavojaus fizinių asmenų teisėms ir laisvėms atsiradimo tikimybę ir rimtumą.

9. Rizika nustatoma remiantis objektyviu įvertinimu ir atsižvelgiant į šiuos kriterijus:

9.1. asmens duomenų saugumo pažeidimo tipą (konfidencialumo pažeidimas, prieinamumo pažeidimas, vientisumo pažeidimas);

9.2. asmens duomenų pobūdį, apimtį (pvz., specialių kategorijų asmens duomenys);

9.3. kaip lengvai identifikuojamas fizinis asmuo;

9.4. pasekmių fiziniams asmenims rimtumą;

9.5. tam tikras fizinio asmens savybes (pvz., duomenys susiję su vaikais ar kitais pažeidžiamais asmenimis);

9.6. nukentėjusių fizinių asmenų skaičių;

9.7. tam tikras duomenų valdytojo savybes (pvz., veiklos pobūdį).

10. Vertinant riziką, yra laikoma, kad asmens duomenų saugumo pažeidimas, galintis kelti pavojų fizinių asmenų teisėms ir laisvėms, yra toks, dėl kurio, laiku nesiėmus tinkamų priemonių, fiziniai asmenys gali patirti kūno sužalojimą, materialinę ar nematerialinę žalą, pavyzdžiui, prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala atitinkamam fiziniam asmeniui.

11. Įvertinus riziką, nustatoma, kad yra:

11.1. maža rizikos tikimybė;

11.2. vidutinė rizikos tikimybė;

11.3. didelė rizikos tikimybė.

12. Duomenų tvarkytojai pateikia Susisiekimo ministerijai visą jos prašomą informaciją, susijusią su informavimu apie asmens duomenų saugumo pažeidimą ir jo tyrimu, per Susisiekimo ministerijos nurodytą terminą.

13. Susisiekimo ministro įgaliotas asmuo, atlikęs asmens duomenų saugumo pažeidimo tyrimą, surašo šio Aprašo 2 priede nurodytos formos Asmens duomenų saugumo pažeidimo tyrimo ataskaitą ir ją užregistruoja Susisiekimo ministerijos dokumentų valdymo sistemoje.

14. Asmens duomenų saugumo pažeidimo tyrimo ataskaita yra pateikiama Susisiekimo ministerijos kancleriui ir duomenų tvarkytojo vadovui, jei tai susiję su duomenų tvarkytojo atliekamais asmens duomenų tvarkymo veiksmais.

15. Atsižvelgdamas į Asmens duomenų saugumo pažeidimo tyrimo ataskaitą, Susisiekimo ministerijos kancleris prireikus tvirtina priemonių planą, kuriame numatomas būtinų techninių, organizacinių, administracinių ir kitų priemonių, padedančių išvengti asmens duomenų saugumo pažeidimų, poreikis, paskiria atsakingus plano vykdytojus ir nustato įgyvendinimo terminus.

16. Nustačius, kad asmens duomenų saugumo pažeidimas buvo ir kad yra rizika fizinių asmenų teisėms ir laisvėms, susisiekimo ministro įgaliotas asmuo nedelsdamas ir, jei įmanoma, nepraėjus 72 valandoms nuo to laiko, kai buvo sužinota apie asmens duomenų saugumo pažeidimą, pateikia Inspekcijai pranešimą apie asmens duomenų saugumo pažeidimą pagal Inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“ patvirtintą rekomenduojamą Pranešimo apie asmens duomenų saugumo pažeidimą formą.

17. Tuo atveju, kai asmens duomenų saugumo pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms, apie padarytą asmens duomenų saugumo pažeidimą Inspekcija ir duomenų subjektai nėra informuojami.

18. Kai apie padarytą asmens duomenų saugumo pažeidimą privaloma informuoti Inspekciją ir per 72 valandas yra neįmanoma ištirti padaryto asmens duomenų saugumo pažeidimo, pranešime Inspekcijai yra pateikiama tuo metu prieinama informacija, nurodyta Reglamento (ES) 2016/679 33 straipsnio 3 dalyje, nurodomos vėlavimo priežastys ir kada bus pateikta kita detalesnė informacija.

19. Tuo atveju, jei po pranešimo apie asmens duomenų saugumo pažeidimą Inspekcijai pateikimo, atlikus tolesnį tyrimą, yra nustatoma, kad asmens duomenų saugumo pažeidimas buvo sustabdytas ir faktiškai nebuvo jokio asmens duomenų saugumo pažeidimo, susisiekimo ministro įgaliotas asmuo nedelsdamas apie tai informuoja Inspekciją.

20. Susisiekimo ministerija nedelsdama ir, jei įmanoma, nepraėjus 72 valandoms nuo to laiko, kai buvo sužinota apie asmens duomenų saugumo pažeidimą, elektroniniu paštu, paštu, SMS žinute ar kitu būdu praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, Reglamento (ES) 2016/679 34 straipsnyje nustatyta tvarka, išskyrus šiame straipsnyje numatytas išimtis.

21. Duomenų subjektas gali būti informuojamas apie asmens duomenų saugumo pažeidimą vėliau, nesilaikant šio Aprašo 20 punkte nustatyto termino, jei yra įgyvendinamos tinkamos priemonės, kuriomis siekiama užkirsti kelią besikartojantiems ar panašiems asmens duomenų saugumo pažeidimams.

22. Duomenų tvarkytojai suteikia Susisiekimo ministerijai reikiamą pagalbą, kad būtų tinkamai pranešta apie asmens duomenų saugumo pažeidimą duomenų subjektui.

23. Jei tiesioginio pranešimo duomenų subjektui pateikimas pareikalautų neproporcingai daug pastangų, apie įvykusį asmens duomenų saugumo pažeidimą gali būti paskelbiama viešai arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai, pavyzdžiui, paskelbiama žinomos interneto svetainės pranešime ar jo antraštėje arba žinomoje spausdintinės žiniasklaidos reklamoje ar pan.

24. Jeigu tiriant asmens duomenų saugumo pažeidimą pradžioje nustatoma, kad nėra pavojaus fizinių asmenų teisėms ir laisvėms, tačiau detalesnio asmens duomenų saugumo pažeidimo tyrimo metu paaiškėja, kad toks pavojus gali kilti, rizika vertinama iš naujo.

25. Tuo atveju, kai yra įtariama, kad asmens duomenų saugumo pažeidimas turi nusikalstamos veikos požymių, informacija apie galimą nusikalstamą veiką pateikiama atitinkamoms valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą.

26. Kai padarytas asmens duomenų saugumo pažeidimas yra susijęs su kibernetiniu incidentu, informacija apie kibernetinį incidentą, susijusį su asmens duomenų saugumo pažeidimu, pateikiama Nacionaliniame kibernetinių incidentų valdymo plane, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, nurodytoms valstybės institucijoms šio plano nustatyta tvarka ir atvejais.

III SKYRIUS

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ APSKAITA

27. Asmens duomenų saugumo pažeidimų apskaitą tvarko susisiekimo ministro įgaliotas asmuo.

28. Susisiekimo ministro įgaliotas asmuo nedelsdamas, bet ne ilgiau kaip per 5 darbo dienas, įrašo informaciją apie asmens duomenų saugumo pažeidimą į šio Aprašo 3 priede nurodytos formos Asmens duomenų saugumo pažeidimų registravimo žurnalą, kai tik nustatomas asmens duomenų saugumo pažeidimo faktas ir įvertinama rizika. Prireikus žurnale esanti informacija gali būti papildoma ir (ar) koreguojama.

29. Užpildytas Asmens duomenų saugumo pažeidimų registravimo žurnalas, kuris gali būti ir elektroninis, saugomas 3 metus nuo paskutinio įrašo žurnale padarymo.

IV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

30. Asmens duomenų saugumo pažeidimo tyrimo ataskaitose ir Asmens duomenų saugumo pažeidimų registravimo žurnale esantys įrašai nuolat peržiūrimi, kad ateityje analogiški pažeidimai nesikartotų.

31. Darbuotojai turi susipažinti su Aprašu ir įsipareigoja jo laikytis.

32. Ne rečiau kaip kartą per metus Aprašas turi būti iš naujo apsvarstomas ir prireikus koreguojamas.

_________________