MUITINĖS DEPARTAMENTO
PRIE LIETUVOS RESPUBLIKOS FINANSŲ MINISTERIJOS
GENERALINIS DIREKTORIUS
ĮSAKYMAS
DĖL ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ TYRIMO LIETUVOS RESPUBLIKOS MUITINĖJE TVARKOS APRAŠO PATVIRTINIMO
2020 m. rugpjūčio 17 d. Nr. 1B-654
Vilnius
Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 24 straipsnio 1 dalimi, Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymo 17 straipsnio 1 dalimi:
T v i r t i n u Asmens duomenų saugumo pažeidimų tyrimo Lietuvos Respublikos muitinėje tvarkos aprašą (pridedama).
PATVIRTINTA
Muitinės departamento prie Lietuvos
Respublikos finansų ministerijos
generalinio direktoriaus
2020 m. rugpjūčio 17 d. įsakymu Nr. 1B-654
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ TYRIMO LIETUVOS RESPUBLIKOS MUITINĖJE TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų saugumo pažeidimų tyrimo Lietuvos Respublikos muitinėje tvarkos aprašas (toliau – Aprašas) nustato pranešimo apie asmens duomenų saugumo pažeidimą pateikimo ir asmens duomenų saugumo pažeidimų tyrimo tvarką.
2. Šis Aprašas parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos Reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau - Reglamentas (ES) 2016/679) ir Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ir gynybos tikslais, teisinės apsaugos įstatymu (kai asmens duomenys tvarkomi nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas tikslais).
3. Aprašas taikomas Lietuvos Respublikos muitinei tvarkant duomenų subjektų asmens duomenis ir juridiniams asmenims, veikiantiems kaip muitinės įstaigų valdomų registrų ir valstybės informacinių sistemų duomenų tvarkytojai bei juridiniams asmenims, su kuriais sudaryta asmens duomenų tvarkymo sutartis tvarkyti asmens duomenis pagal muitinės įstaigos nurodymus (toliau – duomenų tvarkytojai).
4. Asmens duomenų saugumo pažeidimų atvejais, kai asmens duomenys tvarkomi nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ir gynybos tikslais, šis Aprašas taikomas tiek, kiek jis neprieštarauja Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ir gynybos tikslais, teisinės apsaugos įstatymui.
II SKYRIUS
PAŽEIDIMŲ IR JŲ PRIEŽASČIŲ KLASIFIKAVIMAS
6. Pažeidimai pagal pobūdį (tipą) yra:
6.1. konfidencialumo pažeidimas – netyčinis arba neteisėtas asmens duomenų laikinas ar nuolatinis atskleidimas ar prieigos prie asmens duomenų suteikimas asmenims, kurie neturi teisės susipažinti su asmens duomenimis;
6.2. prieinamumo pažeidimas – neteisėtas, laikinas ar nuolatinis prieigos prie asmens duomenų praradimas arba asmens duomenų sunaikinimas;
7. Pažeidimai gali būti nulemti šių priežasčių:
7.1. netyčiniai veiksmai, kai asmens duomenų saugumas pažeidžiamas neturint tikslo tai padaryti (dėl duomenų tvarkymo klaidos, informacijos laikmenų, duomenų įrašų ištrynimo, sunaikinimo ar sistemų sutrikimų dėl elektros tiekimo nutrūkimo, įvykusio dėl asmens veiklos, kompiuterinio viruso, paskleisto dėl asmens veiklos, vidaus taisyklių pažeidimo, sistemos priežiūros trūkumo, programinės įrangos testų atlikimo, netinkamos duomenų laikmenų priežiūros, netinkamo ryšio linijų pajėgumo ir apsaugos nustatymo, kompiuterių integravimo į tinklą, netinkamos kompiuterinių programų apsaugos parinkimo ir kt.);
7.2. tyčiniai veiksmai, kai asmens duomenų saugumas pažeidžiamas sąmoningai turint tikslą tai padaryti (neteisėtas įsibrovimas į asmens duomenų tvarkytojo patalpas, asmens duomenų laikmenų saugyklas, informacines sistemas, kompiuterių tinklą, tyčinis nustatytų taisyklių tvarkant asmens duomenis pažeidimas, sąmoningas kompiuterinio viruso platinimas, asmens duomenų vagystė, neteisėtas naudojimasis kito muitinės pareigūno, valstybės tarnautojo ar darbuotojo, dirbančio pagal darbo sutartį (toliau kartu – darbuotojas), teisėmis ir kt.);
7.3. force majeure ir kiti netikėti įvykiai, kurių negalima kontroliuoti, numatyti ir užkirsti kelio jų atsiradimui (žaibas, gaisras, potvynis, užliejimas, audros, elektros instaliacijos degimas, temperatūros ir (ar) drėgmės pakitimų poveikis, purvo, dulkių ir magnetinių laukų įtaka, techninės avarijos, išskyrus nurodytas Aprašo 7.1 papunktyje, ir kt.).
III SKYRIUS
PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ PATEIKIMAS
8. Darbuotojai, sužinoję ar patys nustatę galimą asmens duomenų saugumo pažeidimą arba kai informacija apie galimą asmens duomenų saugumo pažeidimą gaunama iš duomenų tvarkytojo ar kito šaltinio:
8.2. užpildo šio Aprašo 1 priede nustatytos formos Pranešimą apie asmens duomenų saugumo pažeidimą (toliau – Pranešimas) ir nedelsdami, bet ne vėliau kaip per 2 darbo valandas nuo pažeidimo paaiškėjimo momento, pateikia jį Muitinės departamento prie Lietuvos Respublikos finansų ministerijos (toliau – Muitinės departamentas) generalinio direktoriaus patarėjui, atsakingam už asmens duomenų apsaugą Lietuvos Respublikos muitinėje (toliau - asmens duomenų apsaugos pareigūnas) elektroninio pašto adresu duomenuapsauga@lrmuitine.lt. Pranešime nurodoma kokių priemonių buvo imamasi (jeigu buvo įmanoma) siekiant pašalinti asmens duomenų saugumo pažeidimą ir priemonių galimoms neigiamoms jo pasekmėms sumažinti. Pranešime nurodoma visa tuo metu žinoma informacija. Pranešimas gali būti tikslinamas atsiradus papildomai informacijai.
9. Duomenų tvarkytojai, sužinoję apie asmens duomenų saugumo pažeidimą, nedelsdami, bet ne vėliau kaip per 24 darbo valandas, apie tai praneša Muitinės departamentui oficialiu raštu bei elektroninio pašto adresu duomenuapsauga@lrmuitine.lt, aprašydami asmens duomenų saugumo pažeidimo pobūdį, įskaitant, jeigu įmanoma, atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat atitinkamų asmens duomenų įrašų kategorijas ir apytikslį skaičių, duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardą ir pavardę (pavadinimą) ir kontaktinius duomenis; aprašomos tikėtinos asmens duomenų pažeidimo pasekmės, priemonės, kurių ėmėsi arba siūlo imtis duomenų tvarkytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas, įskaitant (jeigu taikoma), priemones galimoms neigiamoms jo pasekmėms sumažinti. Duomenų tvarkytojai suteikia Muitinės departamentui pagalbą, kurios reikia, kad būtų tinkamai pranešta apie asmens duomenų saugumo pažeidimą duomenų subjektui ir Valstybinei duomenų apsaugos inspekcijai.
IV SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO TYRIMO TVARKA
11. Tyrimas dėl asmens duomenų saugumo pažeidimo yra pradedamas gavus Pranešimą arba bet kokios pagrįstos informacijos, sudarančios pagrindo manyti, kad buvo pažeistas asmens duomenų saugumas. Šiame punkte nurodytą informaciją asmens duomenų apsaugos pareigūnas registruoja Pranešimų apie galimą asmens duomenų saugumo pažeidimą registravimo žurnale (Aprašo 4 priedas).
12. Tyrimo metu objektyviai įvertinamos pažeidimo aplinkybės ir atsižvelgiama į:
12.2. asmens duomenų pobūdį, kategoriją (pvz., specialių kategorijų asmens duomenys), asmens duomenų, kurių saugumas pažeistas pažeidimu, apimtį;
12.3. duomenų subjekto identifikavimo galimybę tiesiogiai ar netiesiogiai pasinaudojant pažeidimo objektu esančiais duomenimis;
12.4. padarinių duomenų subjektui sunkumą. Vertinant riziką turi būti laikoma, kad pažeidimas, galintis kelti pavojų duomenų subjektų teisėms ir laisvėms, yra toks, dėl kurio, laiku nesiėmus tinkamų priemonių, kyla grėsmė duomenų subjektų sveikatai ir (ar) gyvybei ar grėsmė patirti materialinę ar nematerialinę žalą, pvz., prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala. Preziumuojama, kad pažeidimas kelia riziką, kai pažeidimas yra susijęs su specialių kategorijų asmens duomenimis;
13. Įvertinus 12 punkte nurodytą informaciją nustatoma, kad yra:
13.2. vidutinė rizika, kai nustatoma, kad dėl asmens duomenų saugumo pažeidimo yra / gali kilti nedidelis pavojus duomenų subjektų teisėms ir laisvėms;
14. Asmens duomenų apsaugos pareigūnas, gavęs Aprašo 11 punkte nurodytą informaciją:
14.1. nedelsdamas nagrinėja gautą informaciją ir įvertina, ar įvyko asmens duomenų saugumo pažeidimas;
14.2. nustatęs, kad asmens duomenų saugumo pažeidimas įvyko teritorinėje muitinėje ar specialiojoje muitinės įstaigoje, nedelsdamas elektroniniu paštu persiunčia gautą pranešimą Saugos administravimo pakomitečių nariams;
14.3. prireikus pasitelkia saugos įgaliotinį, jei asmens duomenų saugumo pažeidimas yra susijęs su elektroninės informacijos saugos incidentu ir kibernetinio saugumo specialistą, jei asmens duomenų saugumo pažeidimas susijęs su kibernetiniu incidentu, ar kitus kompetentingus darbuotojus;
14.4. nustatęs, kad asmens duomenų saugumo pažeidimas padarytas:
14.4.1. nustato asmens duomenų kategorijas, įskaitant specialių kategorijų asmens duomenis, kurios buvo susijusios su pažeidimu, pažeidimo priežastis, lėmusias asmens duomenų saugumo pažeidimą, apimtį (duomenų subjektų kategorijas ir skaičius), žalą, padarytą duomenų subjektui;
14.4.2. nustato, kokių skubių ir tinkamų priemonių būtina imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas (pvz., naudoti atsargines kopijas, siekiant atkurti prarastus, sugadintus ar pakeistus duomenis);
14.4.3. nustato, ar yra Reglamento (ES) 2016/679 34 straipsnyje nustatyti pagrindai, dėl kurių būtina nedelsiant pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą, ir, esant šiems pagrindams, parengia pranešimo projektą, kuriame nurodoma Reglamento (ES) 2016/679 34 straipsnio 2 dalyje nurodoma informacija. Pranešimas duomenų subjektui neteikiamas esant bent vienai Reglamento (ES) 2016/679 34 straipsnio 3 dalyje nustatytai sąlygai;
14.4.4. nustato, ar yra Reglamento (ES) 2016/679 33 straipsnyje nustatyti pagrindai pranešti Valstybinei duomenų apsaugos inspekcijai apie asmens duomenų saugumo pažeidimą, ir, esant šiems pagrindams, jei įmanoma, nepraėjus 72 valandoms nuo to laiko, kai buvo sužinota apie asmens duomenų saugumo pažeidimą, informuoja Valstybinę duomenų apsaugos inspekciją, pateikdamas užpildytą Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamą formą, patvirtintą Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. gegužės 24 d. įsakymu Nr. 1T-53 (1.12) „Dėl pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“. Kai atsižvelgiant į pažeidimo pobūdį būtina atlikti išsamų tyrimą ir nustatyti papildomas svarbias aplinkybes, susijusias su pažeidimu, ir per 72 valandas nuo sužinojimo apie pažeidimą momento dėl objektyvių priežasčių to padaryti neįmanoma, pranešime Valstybinei duomenų apsaugos inspekcijai pateikiama tuo metu prieinama informacija, nurodant kada bus pateikta detalesnė informacija. Pranešimas Valstybinei duomenų apsaugos inspekcijai neteikiamas, jeigu asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms;
14.4.5. imasi kitų veiksmų, kurie yra būtini galimam asmens duomenų saugumo pažeidimui nustatyti ir (ar) galimoms neigiamoms jo pasekmėms sumažinti;
15. Nepranešimo apie įvykusį asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai ir (ar) duomenų subjektams priežastys nurodomos Asmens duomenų saugumo pažeidimo ataskaitoje.
16. Saugos administravimo pakomitetis, gavęs iš asmens duomenų apsaugos pareigūno pranešimą apie asmens duomenų saugumo pažeidimą teritorinėje muitinėje ar specialiojoje muitinės įstaigoje, sudarantį pagrindą manyti, kad buvo pažeistas asmens duomenų saugumas, arba bet kokią kitą Aprašo 11 punkte nurodytą informaciją:
16.1. nustato asmens duomenų kategorijas, įskaitant specialių kategorijų asmens duomenis,
kurios buvo susijusios su pažeidimu, pažeidimo priežastis, lėmusias asmens duomenų saugumo pažeidimą, apimtį (duomenų subjektų kategorijos ir skaičius), žalą, padarytą duomenų subjektui;
16.2. nustato kokių skubių ir tinkamų priemonių būtina imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas (pvz., naudoti atsargines kopijas, siekiant atkurti prarastus, sugadintus ar pakeistus duomenis);
16.3. imasi veiksmų, kurie yra būtini galimam asmens duomenų saugumo pažeidimui nustatyti ir (ar) galimoms neigiamoms jo pasekmėms sumažinti;
17. Asmens duomenų apsaugos pareigūnas, atlikęs Aprašo 14 punkte numatytus veiksmus, teikia Muitinės departamento generaliniam direktoriui ir, jeigu asmens duomenų saugumo pažeidimas įvyko teritorinėje muitinėje ar specialiojoje muitinės įstaigoje, šių įstaigų vadovams Asmens duomenų saugumo pažeidimo ataskaitą.
18. Atsižvelgiant į Asmens duomenų saugumo pažeidimo ataskaitą, prireikus priemonių planą, kuriame numatomas būtinų techninių, organizacinių, administracinių ir kitų priemonių poreikis dėl asmens duomenų saugumo pažeidimo, tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Muitinės departamento generalinis direktorius.
19. Tuo atveju, jei yra nustatoma, kad dėl įvykusio asmens duomenų saugumo pažeidimo duomenų tvarkytojas turi imtis papildomų veiksmų ar užtikrinti papildomas asmens duomenų saugumo priemones, Muitinės departamento generalinis direktorius duoda privalomus nurodymus duomenų tvarkytojui, jei asmens duomenų saugumo pažeidimas susijęs su duomenų tvarkytojo tvarkomais valstybės registrais ar informacinėmis sistemomis.
20. Tuo atveju, kai yra įtariama, kad asmens duomenų saugumo pažeidimas turi nusikalstamos veikos požymių, informacija apie galimą nusikalstamą veiką pateikiama atitinkamoms valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą.
21. Kai padarytas asmens duomenų saugumo pažeidimas yra susijęs su kibernetiniu incidentu, informacija apie asmens duomenų saugumo pažeidimą pateikiama Muitinės informacinių technologijų paslaugų centrui (ITPC) el. paštu ITPC@lrmuitine.lt
22. Tuo atveju, kai yra įtariama, kad asmens duomenų saugumo pažeidimas turi neteisėtos muitinės darbuotojo veikos, turinčios tarnybinio nusižengimo, administracinio, darbo drausmės ar kitokio teisės pažeidimo požymių, asmens duomenų apsaugos pareigūnas, apie tai, atlikęs Aprašo 14 punkte numatytus veiksmus, tarnybiniu pranešimu informuoja Muitinės departamento generalinį direktorių.
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
24. Darbuotojai privalo esant asmens duomenų apsaugos pareigūno ir Saugos administravimo pakomitečių kreipimuisi pateikti visą informaciją, susijusią su asmens duomenų saugos pažeidimu, taip pat konsultuoti asmens duomenų apsaugos pareigūną ir Saugos administravimo pakomitečius ir kitais jų kompetencijai priskirtais būdais padėti sustabdyti asmens duomenų saugos pažeidimą ir (arba) sumažinti jo sukeltus padarinius.
25. Asmens duomenų apsaugos pareigūnas informaciją apie asmens duomenų saugumo pažeidimą įrašo į šio Aprašo 3 priede nurodytos formos Asmens duomenų saugumo pažeidimų registravimo žurnalą (toliau – žurnalas) ne vėliau kaip per 5 darbo dienas nuo Asmens duomenų saugumo pažeidimo ataskaitos įregistravimo. Prireikus (pvz., paaiškėjus naujoms aplinkybėms) žurnale esanti informacija gali būti papildoma ir (ar) koreguojama.
Asmens duomenų saugumo pažeidimų
tyrimo Lietuvos Respublikos muitinėje
tvarkos aprašo
1 priedas
___________________________________
(muitinės įstaigos pavadinimas)
____________________________________________
(struktūrinio padalinio pavadinimas)
________________________________________________
(darbuotojo pareigų pavadinimas)
_________________________________________________
(darbuotojo vardas, pavardė)
PRANEŠIMAS
APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ
_____________ Nr. _________
_________
(vieta)
Informuoju apie asmens duomenų saugumo pažeidimą, pateikdamas mano turimą informaciją apie jį:
1. Asmens duomenų saugumo pažeidimo data ir laikas:
2. Asmens duomenų saugumo pažeidimo vieta (pažymėti tinkamą (-us):
□ Informacinė sistema
□ Duomenų bazė
□ Tarnybinė stotis
□ Internetinė svetainė
□ Debesų kompiuterijos paslaugos
□ Nešiojami/mobilūs įrenginiai
□ Neautomatiniu būdu susistemintos bylos (archyvas)
□ Kita __________________________________________________________________________
________________________________________________________________________________
3. Asmens duomenų saugumo pažeidimo aplinkybės (pažymėti tinkamą (-as):
□ Asmens duomenų konfidencialumo praradimas (neautorizuota prieiga ar atskleidimas)
□ Asmens duomenų vientisumo praradimas (neautorizuotas asmens duomenų pakeitimas)
□ Asmens duomenų prieinamumo praradimas (asmens duomenų praradimas, sunaikinimas)
□ Mišraus pobūdžio pažeidimas
4. Apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius (jei žinoma):
________________________________________________________________________________
5. Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos (atskiriamos pagal jai būdingą požymį, pvz. darbuotojai, asmenys, pateikę prašymus, skundus ir pan.):
________________________________________________________________________________
6. Asmens duomenų, kurių saugumas pažeistas, kategorijos (pažymėti tinkamą (-as):
□ Asmens tapatybę patvirtinantys asmens duomenys (vardas, pavardė, amžius, gimimo data, asmens kodas, lytis, gyvenamoji vieta ar adresas, telefono ryšio numeris, elektroninio pašto adresas, asmens dokumento duomenys ir kt.):
________________________________________________________________________________
□ Specialių kategorijų asmens duomenys (duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, ar narystę profesinėse sąjungose, genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie lytinį gyvenimą ir lytinę orientaciją):
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
□ Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas:
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
□ Prisijungimo duomenys ir (ar) asmens identifikaciniai numeriai (pavyzdžiui, vartotojo vardas, asmens kodas, mokėtojo kodas, slaptažodis):
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
□ Kiti:
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
□ Nežinomi (pranešimo teikimo metu)
7. Jei buvo vėluojama pateikti šį Pranešimą apie asmens duomenų saugumo pažeidimą, nurodyti priežastis, sąlygojusias vėlavimą:
________________________________________________________________________________
________________________________________________________________________________
8. Kokių veiksmų/priemonių buvo imtasi sužinojus apie padarytą asmens duomenų saugumo pažeidimą (pvz., pakeisti kompiuterio slaptažodžiai, nutraukta neteisėta prieiga prie tvarkomų asmens duomenų, panaudotos atsarginės kopijos, siekiant atkurti prarastus ar sugadintus duomenis, atnaujinta programinė įranga, surinkti ne saugojimui skirtoje vietoje palikti dokumentai su asmens duomenimis ir pan.):
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________ ______________________
(pareigos) (vardas, pavardė, parašas)
Asmens duomenų saugumo pažeidimų
tyrimo Lietuvos Respublikos muitinėje
tvarkos aprašo
2 priedas
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO ATASKAITA
___________ Nr. ____________
(data) (rašto numeris)
| 1. Asmens duomenų saugumo pažeidimo aprašymo kriterijai |
Konkretaus duomenų saugumo pažeidimo įvertinimas pagal aprašymo kriterijus |
| 1.1. Asmens duomenų saugumo pažeidimo nustatymo data, valanda (minučių tikslumu) ir vieta |
|
| 1.2. Darbuotojas ar duomenų tvarkytojas, pranešęs apie asmens duomenų saugumo pažeidimą (padalinys, vardas, pavardė, telefonas, adresas) |
|
| 1.3. Asmens duomenų saugumo pažeidimo padarymo data ir vieta |
|
| 1.4. Asmens duomenų saugumo pažeidimo pobūdis, esmė ir aplinkybės |
|
| 1.5. Duomenų subjektų kategorijos ir jų skaičius |
|
| 1.6. Kaip ilgai tęsėsi asmens duomenų saugumo pažeidimas? |
|
| 1.7. Asmens duomenų kategorijos, susijusios su asmens duomenų saugumo pažeidimu: |
|
| 1.7.1. Asmens duomenys |
|
| 1.7.2. Specialių kategorijų asmens duomenys |
|
| 2. Asmens duomenų saugumo pažeidimo rizikos įvertinimas |
|
| 2.1. Priežastys, lėmusios asmens duomenų saugumo pažeidimą (pvz., duomenų ar įrangos, kurioje yra saugomi asmens duomenys, vagystė, netinkamos prieigos kontrolės priemonės, leidžiančios neteisėtai naudotis asmens duomenimis, įrangos gedimas, žmogiška klaida, įsilaužimo ataka ir pan.) |
|
| 2.2. Asmens duomenų saugumo pažeidimo pasekmės: |
|
| 2.2.1. Atsitiktinai arba neteisėtai sunaikinti asmens duomenys |
|
| 2.2.2. Atsitiktinai arba neteisėtai prarasti asmens duomenys |
|
| 2.2.3. Atsitiktinai arba neteisėtai pakeisti asmens duomenys |
|
| 2.2.4. Be duomenų subjekto sutikimo atskleisti asmens duomenys |
|
| 2.2.5. Sudaryta galimybė naudotis asmens duomenimis |
|
| 2.2.6. Kita |
|
| 2.3. Ar pažeistų asmens duomenų pobūdis kelia didesnę žalos riziką? |
|
| 2.4. Kas turėjo prieigą prie pažeistų asmens duomenų iki asmens duomenų saugumo pažeidimo padarymo? |
|
| 2.5. Kas gavo prieigą prie pažeistų asmens duomenų? |
|
| 2.6. Ar buvo kokių kitų įvykių, kurie galėjo turėti poveikį asmens duomenų saugumo pažeidimo padarymui? |
|
| 2.7. Ar iki asmens duomenų saugumo pažeidimo asmens duomenys buvo tinkamai užkoduoti, anonimizuoti ar kitaip lengvai neprieinami? |
|
| 2.8. IT sistemos, įrenginiai, įranga, įrašai, susiję su asmens duomenų saugumo pažeidimu |
|
| 2.9. Ar tai yra sisteminė klaida ar vienetinis incidentas? |
|
| 2.10. Kokia žala buvo padaryta duomenų subjektui ar muitinės įstaigai (tapatybės vagystė, grėsmė fiziniam saugumui ir emocinei gerovei, žala reputacijai, teisinė atsakomybė, konfidencialumo, saugumo nuostatų pažeidimas ir pan.)? |
|
| 2.11. Dėl asmens duomenų saugumo pažeidimo nėra pavojaus fizinių asmenų teisėms ir laisvėms (žema rizikos tikimybė) |
|
| 2.12. Dėl asmens duomenų saugumo pažeidimo yra / gali kilti pavojus fizinių asmenų teisėms ir laisvėms (būtina pranešti Valstybinei duomenų apsaugos inspekcijai) (vidutinė rizikos tikimybė) |
|
| 2.13. Dėl asmens duomenų saugumo pažeidimo yra / gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms (būtina pranešti Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektams) (aukšta rizikos tikimybė) |
|
| 2.14. Kokių veiksmų/priemonių buvo imtasi sužinojus apie padarytą asmens duomenų saugumo pažeidimą? |
|
| 2.15. Kokios techninės priemonės buvo taikomos asmens duomenų saugumo pažeidimo paveiktiems asmens duomenims, užtikrinant, kad asmens duomenys nebūtų prieinami neįgaliotiems asmenims? |
|
| 2.16. Techninės ir/ar organizacinės saugumo priemonės, kurios įgyvendintos ar ketinamos įgyvendinti dėl asmens duomenų saugumo pažeidimo |
|
| 3. Pranešimų pateikimas |
|
| 3.1. Ar pranešta duomenų subjektui apie asmens duomenų saugumo pažeidimą: |
|
|
|
|
| 3.1.1. Taip |
(Pranešimo turinys) |
| 3.1.2. Ne |
|
| 3.2. Pranešimo duomenų subjektui būdas (elektroninio pašto pranešimu ar SMS pranešimu ir kt.) |
|
| 3.3 Informuotų duomenų subjektų skaičius |
|
| 3.4. Ar pranešta Valstybinei duomenų apsaugos inspekcijai apie asmens duomenų saugumo pažeidimą: |
|
| 3.4.1. Taip |
(rašto data ir numeris) |
| 3.4.2. Ne |
|
| 3.4. Ar pranešta valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą, apie asmens duomenų saugumo pažeidimą, galimai turintį nusikalstamos veikos požymių: |
|
| 3.4.1. Taip |
(rašto data ir numeris, adresatas) |
| 3.4.2. Ne |
|
| 3.5. Ar pranešta valstybės institucijoms, nurodytoms Lietuvos Respublikos kibernetinio saugumo įstatyme, apie kibernetinį incidentą, susijusį su asmens duomenų saugumo pažeidimu: |
|
| 3.5.1. Taip |
(rašto data ir numeris, adresatas) |
| 3.5.2. Ne |
|
| 3.6. Nepranešimo apie asmens duomenų saugumo pažeidimą duomenų subjektui priežastys |
|
| 3.7. Vėlavimo pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą priežastys |
|
| 3.8. Nepranešimo apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai priežastys |
|
| 3.9. Vėlavimo pranešti Valstybinei duomenų apsaugos inspekcijai apie asmens duomenų saugumo pažeidimą priežastys |
|
| Duomenų apsaugos pareigūnas |
(vardas, pavardė, parašas) |
| Saugos administravimo pakomitetis (pildoma, jei asmens duomenų saugumo pažeidimas įvyko teritorinėje muitinėje ar specialiojoje muitinės įstaigoje) |
(nario vardas, pavardė, parašas) |
Asmens duomenų saugumo pažeidimų tyrimo
Lietuvos Respublikos muitinėje
tvarkos aprašo
3 priedas
(Žurnalo forma)
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ REGISTRAVIMO ŽURNALAS
| Eil. Nr. |
Duomenų saugumo pažeidimo ataskaitos data ir numeris |
Pradžia (metai, mėnuo, diena, valanda) |
Asmens duomenų saugumo pažeidimo aprašymas, su duomenų saugumo pažeidimu susiję faktai (priežastys, poveikis, pasekmės) |
Duomenų saugumo pažeidimo tipas (konfidencialumo, pasiekiamumo, vientisumo) |
Ar buvo pranešta Valstybinei duomenų apsaugos inspekcijai, duomenų subjektams (jei ne, nurodyti priežastis). Vėlavimo pranešti Valstybinei duomenų apsaugos inspekcijai, duomenų subjektams priežastys (jei taikoma)
|
Taisomieji veiksmai, kurių buvo imtasi, įskaitant organizacines-technines priemones |
Pabaiga (metai, mėnuo, diena, valanda) |
Pašalino (vardas, pavardė, parašas) |
Duomenų apsaugos pareigūnas (vardas, pavardė, parašas) |
Kita reikšminga informacija, susijusi su pažeidimu |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Asmens duomenų saugumo pažeidimų tyrimo
Lietuvos Respublikos muitinėje
tvarkos aprašo
4 priedas
(Žurnalo forma)
PRANEŠIMŲ APIE GALIMĄ ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ REGISTRAVIMO ŽURNALAS
| Eil. Nr. |
Pranešimą apie galimą asmens duomenų saugumo pažeidimą pateikęs subjektas (jeigu žinomas) |
Pranešimo gavimo Muitinės departamente data |
Trumpas asmens duomenų saugumo pažeidimo aprašymas |
Duomenų apsaugos pareigūnas arba kitas asmuo, įgaliotas atlikti asmens duomenų saugumo pažeidimo tyrimą (vardas, pavardė, parašas) |
Kita reikšminga informacija, susijusi su pažeidimu |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|