LIETUVOS RESPUBLIKOS Ekonomikos ir inovacijų MINISTRAS

 

įsakymas

DĖL PRANEŠIMŲ APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMUS TEIKIMO IR NAGRINĖJIMO TVARKOS APRAŠO PATVIRTINIMO

 

2019 m. vasario 26 d. Nr. 4-125

Vilnius

 

 

Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento) 24 straipsnio 1 dalimi, 33 ir 34 straipsniais:

1. T v i r t i n u pridedamą Pranešimų apie asmens duomenų saugumo pažeidimus teikimo ir nagrinėjimo tvarkos aprašą (toliau – Aprašas).

2. P a v e d u Lietuvos Respublikos ekonomikos ir inovacijų ministerijos Teisės departamentui nagrinėti pranešimus apie asmens duomenų saugumo pažeidimus ir atlikti kitus veiksmus, nurodytus Apraše.

 

 

 

Ekonomikos ir inovacijų ministras                                                                Virginijus Sinkevičius

 

PATVIRTINTA

Lietuvos Respublikos ekonomikos ir

inovacijų ministro    

2019 m. vasario 26 d. įsakymu Nr. 4-125

 

PRANEŠIMŲ APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMUS TEIKIMO IR NAGRINĖJIMO TVARKOS APRAŠAS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Pranešimų apie asmens duomenų saugumo pažeidimus teikimo ir nagrinėjimo tvarkos aprašas (toliau – Aprašas) nustato pranešimų apie asmens duomenų saugumo pažeidimus teikimo, nagrinėjimo ir informavimo apie asmens duomenų saugumo pažeidimus tvarką.

2. Šis Aprašas taikomas Lietuvos Respublikos ekonomikos ir inovacijų ministerijai (toliau –ministerija) tvarkant duomenų subjektų asmens duomenis ir juridiniams asmenims, veikiantiems kaip ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų tvarkytojai (toliau kartu – duomenų tvarkytojai). Asmens duomenų saugumo pažeidimus ministerijos vardu šio Aprašo nustatyta tvarka nagrinėja duomenų tvarkytojai, jei kitaip nėra nustatyta registrų ar informacinių sistemų nuostatuose.

3. Šis Aprašas parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendruoju duomenų apsaugos reglamentu) (OL 2016 L 119, p. 1) (toliau – Reglamentas (ES) 2016/679).

4. Šiame Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų apsaugą.

 

II SKYRIUS

PRANEŠIMŲ APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMUS TEIKIMO, NAGRINĖJIMO IR INSPEKCIJOS INFORMAVIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMUS REIKALAVIMAI

 

5. Pats nustatęs galimai padarytą asmens duomenų saugumo pažeidimą arba gavęs informaciją apie galimai padarytą asmens duomenų saugumo pažeidimą iš visuomenės informavimo priemonių ar kitų šaltinių (toliau – pažeidimo paaiškėjimas):

5.1. nedelsdamas, bet ne vėliau kaip per 2 darbo valandas nuo pažeidimo paaiškėjimo, ministerijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį (toliau kartu – darbuotojai), informuoja savo tiesioginį vadovą ir ministerijos duomenų apsaugos pareigūną, o duomenų tvarkytojo darbuotojas – savo tiesioginį vadovą ir duomenų tvarkytojo duomenų apsaugos pareigūną;

5.2. užpildo šio Aprašo 1 priede nurodytos formos pranešimą apie asmens duomenų saugumo pažeidimą ir nedelsdamas, bet ne vėliau kaip per 2 darbo valandas nuo pažeidimo paaiškėjimo, ministerijos darbuotojas perduoda jį ministerijos Teisės departamento vadovo paskirtam darbuotojui (toliau – Teisės departamento darbuotojas), o duomenų tvarkytojo darbuotojas – duomenų tvarkytojo vadovo paskirtam darbuotojui ir duomenų tvarkytojo duomenų apsaugos pareigūnui;

5.3. jei įmanoma, imasi priemonių pašalinti galimai padarytą asmens duomenų saugumo pažeidimą ir priemonių galimoms neigiamoms jo pasekmėms sumažinti.

6. Teisės departamento darbuotojas, gavęs informaciją dėl duomenų tvarkytojo tvarkomų asmens duomenų galimai padarytų saugumo pažeidimų, persiunčia ją ministerijos vardu nagrinėti duomenų tvarkytojui per 1 darbo dieną nuo šios informacijos gavimo dienos.

7. Duomenų tvarkytojas, gavęs informaciją apie asmens duomenų saugumo pažeidimą, nedelsdamas, bet ne vėliau kaip per 24 darbo valandas nuo pažeidimo paaiškėjimo, apie tai praneša ministerijai, pateikdamas pranešimą apie asmens duomenų saugumo pažeidimą, atitinkantį Reglamento (ES) 2016/679 33 straipsnio 3 dalyje nurodytus reikalavimus, nebent kiti teisės aktai nustato kitaip.

8. Kartu su Aprašo 7 punkte nurodytu pranešimu duomenų tvarkytojas pateikia ministerijai užpildytą pranešimą apie asmens duomenų saugumo pažeidimą pagal Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“ patvirtintą rekomenduojamą Pranešimo apie asmens duomenų saugumo pažeidimą formą (toliau – Pranešimo Inspekcijai forma).

9. Teisės departamento darbuotojas ar duomenų tvarkytojo vadovo paskirtas darbuotojas, gavęs darbuotojo užpildytą pranešimą apie asmens duomenų saugumo pažeidimą, nurodytą Aprašo 5.2 papunktyje, ar duomenų tvarkytojo pranešimą, nurodytą Aprašo 7 ir (ar) 8 punktuose):

9.1. nedelsdamas nagrinėja pranešime nurodytas aplinkybes, atlieka galimai padaryto asmens duomenų saugumo pažeidimo tyrimą;

9.2. įvertina, ar padarytas asmens duomenų saugumo pažeidimas;

9.3. jei asmens duomenų saugumo pažeidimas padarytas, nustato kokio tipo pažeidimas padarytas, asmens duomenų kategorijas, įskaitant specialių kategorijų asmens duomenis, kurios buvo susijusios su pažeidimu, pažeidimo priežastis, lėmusias asmens duomenų saugumo pažeidimą, apimtį (duomenų subjektų kategorijos ir skaičius), žalą, padarytą asmeniui;

9.4. konsultuojasi su duomenų apsaugos pareigūnu;

9.5. pasitelkia darbuotojus (informacinių technologijų specialistus ir pan.), jei yra būtina;

9.6. nustato, kokių skubių ir tinkamų priemonių būtina imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas (pvz., naudoti atsargines kopijas, siekiant atkurti prarastus ar sugadintus duomenis ar kt.);

9.7. nustato, ar būtina nedelsiant pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą.

10. Duomenų tvarkytojai pateikia ministerijai visą jos prašomą informaciją, susijusią su informavimu apie asmens duomenų saugumo pažeidimą, pažeidimo tyrimu ir pažeidimo tyrimo rezultatais, per ministerijos nurodytą terminą, jei terminas nenurodytas – nedelsdami nuo pažeidimo tyrimą įforminančių dokumentų gavimo dienos.

11. Teisės departamento darbuotojas ar duomenų tvarkytojo vadovo paskirtas darbuotojas, atlikęs asmens duomenų saugumo pažeidimo tyrimą ir kitus veiksmus, būtinus šio Aprašo 2 priede nurodytos formos asmens duomenų saugumo pažeidimo ataskaitai surašyti, surašo šią ataskaitą ir užregistruoja dokumentų valdymo sistemoje bei pasirašytinai supažindina ministerijos ar duomenų tvarkytojo duomenų apsaugos pareigūną.

12. Aprašo 11 punkte nurodyta Asmens duomenų saugumo pažeidimo ataskaita yra pateikiama ministerijos kancleriui, kai asmens duomenų saugumo pažeidimas nesusijęs su duomenų tvarkytojo veiksmais, ir atitinkamai duomenų tvarkytojo vadovui ir ministerijos kancleriui, jei asmens duomenų saugumo pažeidimas susijęs su duomenų tvarkytojo atliekamais asmens duomenų tvarkymo veiksmais.

13. Ministerijos kancleris ir (ar) duomenų tvarkytojo vadovas, prireikus, atsižvelgdami į Aprašo 11 punkte nurodytą asmens duomenų saugumo pažeidimo ataskaitą, tvirtina priemonių planą, kuriame numatomas būtinų techninių, organizacinių, administracinių ir kitų priemonių poreikis dėl asmens duomenų saugumo pažeidimo, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus.

14. Teisės departamento darbuotojas nedelsdamas ir, jei įmanoma, nepraėjus 72 valandoms, o kai tai susiję su duomenų tvarkytojo veiksmais – ne vėliau kaip per 48 valandas nuo pažeidimo paaiškėjimo, parengia pranešimą apie asmens duomenų saugumo pažeidimą pagal Pranešimo inspekcijai formą ir pagal savo kompetenciją užtikrina šio pranešimo pateikimą Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) ministerijos vardu.

15. Tuo atveju, kai asmens duomenų saugumo pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms, apie padarytą asmens duomenų saugumo pažeidimą Inspekcija ir duomenų subjektai nėra informuojami.

16. Kai apie padarytą asmens duomenų saugumo pažeidimą privaloma informuoti Inspekciją ir per 72 valandas padaryto asmens duomenų saugumo pažeidimo ištirti nėra įmanoma, pranešime apie asmens duomenų saugumo pažeidimą Inspekcijai yra pateikiama tuo metu prieinama informacija, nurodyta Reglamento (ES) 2016/679 33 straipsnio 3 dalyje, vėlavimo priežastys ir kada bus pateikta kita detalesnė informacija.

17. Tuo atveju, jei po Pranešimo apie asmens duomenų saugumo pažeidimą Inspekcijai pateikimo, atlikus tolesnį tyrimą, yra nustatoma, kad asmens duomenų saugumo incidentas buvo sustabdytas ir faktiškai nebuvo jokio asmens duomenų saugumo pažeidimo, Teisės departamento darbuotojas nedelsdamas apie tai informuoja Inspekciją ir užtikrina, kad ministerijos vardu būtų pateikta informacija Inspekcijai.

 

III SKYRIUS

DUOMENŲ SUBJEKTŲ INFORMAVIMAS

 

18. Teisės departamento darbuotojas, o tuo atveju, kai asmens duomenų saugumo pažeidimas susijęs su duomenų tvarkytojo tvarkomais asmens duomenimis, – duomenų tvarkytojo vadovo paskirtas darbuotojas, nedelsdamas ir, jei įmanoma, nepraėjus 72 valandoms nuo pažeidimo paaiškėjimo, elektroniniu paštu, paštu, SMS žinute ar kitu būdu praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, Reglamento (ES) 2016/679 34 straipsnyje nustatyta tvarka, išskyrus šiame straipsnyje numatytas išimtis.

19. Duomenų subjektas gali būti informuojamas apie asmens duomenų saugumo pažeidimą vėliau, nesilaikant šio Aprašo 18 punkte nustatyto termino, jei yra įgyvendinamos tinkamos priemonės, kuriomis siekiama užkirsti kelią besikartojantiems ar panašiems asmens duomenų saugumo pažeidimams.

 

IV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

20. Duomenų valdytojas ir duomenų tvarkytojai bendradarbiauja, teikia pagalbą, kurios reikia, kad būtų tinkamai pranešta apie asmens duomenų saugumo pažeidimą Inspekcijai ir (ar) duomenų subjektui.

21. Tuo atveju, kai yra įtariama, kad asmens duomenų saugumo pažeidimas turi nusikalstamos veikos požymių, Teisės departamento darbuotojas ar duomenų tvarkytojo vadovo paskirtas darbuotojas inicijuoja informacijos apie galimai padarytą nusikalstamą veiką teikimą atitinkamoms valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą.

22. Kai padarytas asmens duomenų saugumo pažeidimas yra susijęs su kibernetiniu incidentu, Teisės departamento darbuotojas ar duomenų tvarkytojo vadovo paskirtas darbuotojas inicijuoja informacijos apie kibernetinį incidentą, susijusį su asmens duomenų saugumo pažeidimu, teikimą Lietuvos Respublikos kibernetinio saugumo įstatyme nurodytoms valstybės institucijoms šio įstatymo nustatyta tvarka ir atvejais.

23. Teisės departamento darbuotojas ar duomenų tvarkytojo vadovo paskirtas darbuotojas, nedelsdamas įrašo informaciją apie asmens duomenų saugumo pažeidimą į šio Aprašo 3 priede nurodytos formos Asmens duomenų saugumo pažeidimų registravimo žurnalą, kai tik nustatomas asmens duomenų saugumo pažeidimo padarymo faktas ir įvertinama asmens duomenų saugumo pažeidimo rizika.

24. Asmens duomenų saugumo pažeidimų registravimo žurnalai saugomi pas Teisės departamento darbuotoją ir duomenų tvarkytojo vadovo paskirtą darbuotoją. Užpildytas Asmens duomenų saugumo pažeidimų registravimo žurnalas saugomas 3 metus nuo paskutinio įrašo žurnale padarymo.

_____________

 

Pranešimų apie asmens duomenų saugumo

pažeidimus teikimo ir nagrinėjimo tvarkos aprašo

1 priedas

 

(Pranešimo apie asmens duomenų saugumo pažeidimą formos pavyzdys)

 

LIETUVOS RESPUBLIKOS EKONOMIKOS IR INOVACIJŲ MINISTERIJOS

____________________________________________

(struktūrinio padalinio pavadinimas)

__________________________________________________

(pareigų pavadinimas)

___________________________________________________

(vardas, pavardė)

 

PRANEŠIMAS

APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ

 

______________________

(data)

Vilnius

 

Informuoju apie asmens duomenų saugumo pažeidimą, pateikdamas mano turimą informaciją apie jį:

 

1. Asmens duomenų saugumo pažeidimo nustatymo data, valanda (minučių tikslumu) ir vieta:         

________________________________________________________________________________

________________________________________________________________________________

 

2. Asmens duomenų saugumo pažeidimo padarymo data, laikas ir vieta: ________________

________________________________________________________________________________

 

3. Asmens duomenų saugumo pažeidimo pobūdis, esmė ir aplinkybės __________________

________________________________________________________________________________

________________________________________________________________________________

________________________________________________________________________________

________________________________________________________________________________

 

4. Duomenų subjektų kategorijos (pvz., darbuotojai, asmenys, pateikę prašymus, skundus ir pan.) ir jų skaičius (jei žinoma) _______________________________________________________________

________________________________________________________________________________

________________________________________________________________________________

 

5. Asmens duomenų kategorijos, susijusios su asmens duomenų saugumo pažeidimu:

 

5.1. Asmens duomenys

 

 

Vardas

 

 

 

Pavardė

 

 

 

Asmens kodas

 

 

 

Adresas

 

 

 

Telefono ryšio numeris

 

 

 

Elektroninio pašto adresas

 

 

 

Banko sąskaitos numeris

 

 

 

Banko kortelės numeris

 

 

 

Prisijungimo duomenys (vartotojo vardas, slaptažodis)

 

 

 

Asmens dokumento (-ų) duomenys

 

 

 

Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas

 

 

 

Kiti duomenys

 

 

 

 

 

 

 

5.2. Specialių kategorijų asmens duomenys

 

 

Duomenys, susiję su asmens sveikata

 

 

 

Biometriniai duomenys

 

 

 

Duomenys, susiję su asmens politinėmis pažiūromis, religiniais, filosofiniais įsitikinimais

 

 

 

Duomenys, susiję su asmens naryste profesinėse sąjungose

 

 

 

Duomenys, susiję su asmens rasine ar etnine kilme

 

 

 

Duomenys, susiję su asmens lytiniu gyvenimu ir lytine orientacija

 

 

 

6. Kokių veiksmų ar priemonių buvo imtasi po pažeidimo paaiškėjimo (pvz., pakeisti kompiuterio slaptažodžiai, nutraukta neteisėta prieiga prie tvarkomų asmens duomenų, panaudotos atsarginės kopijos, siekiant atkurti prarastus ar sugadintus duomenis, atnaujinta programinė įranga, surinkti ne saugojimui skirtoje vietoje palikti dokumentai su asmens duomenimis ir pan.) _____________________________________________

________________________________________________________________________________

 

_____________________                                                                                   __________________

(pareigos)                                                                                                      (vardas, pavardė)

 

Pranešimų apie asmens duomenų saugumo

pažeidimus teikimo ir nagrinėjimo tvarkos aprašo

2 priedas

 

(Asmens duomenų saugumo pažeidimo ataskaitos formos pavyzdys)

 

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO ATASKAITA

 

_____________ Nr. _________

                                                                (data)               (registracijos numeris)

 

1. Asmens duomenų saugumo pažeidimo aprašymas

 

 

1.1. Asmens duomenų saugumo pažeidimo nustatymo data, valanda (minučių tikslumu) ir vieta

 

 

 

1.2. Valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį (toliau kartu – darbuotojai), pranešęs apie asmens duomenų saugumo pažeidimą (vardas, pavardė, Lietuvos Respublikos ekonomikos ir inovacijų ministerijos (toliau – ministerija) struktūrinio padalinio, kuriame dirba darbuotojas, pavadinimas, telefono Nr., elektroninio pašto adresas)

 

 

 

1.3. Juridinio asmens, veikiančio kaip ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų tvarkytojas, ar juridinio asmens, su kuriuo ministerija sudarė asmens duomenų tvarkymo sutartį (toliau kartu – duomenų tvarkytojai), pranešusio apie asmens duomenų saugumo pažeidimą, pavadinimas, jo kontaktinio asmens duomenys (vardas, pavardė, telefono Nr., elektroninio pašto adresas)

 

 

 

1.4. Asmens duomenų saugumo pažeidimo padarymo data ir vieta

 

 

 

1.5. Asmens duomenų saugumo pažeidimo pobūdis, esmė ir aplinkybės

 

 

 

1.5.1. Asmens duomenų konfidencialumo praradimas (be leidimo ar neteisėtai atskleidžiami asmens duomenys arba gaunama prieiga prie jų)

 

 

1.5.2. Asmens duomenų vientisumo praradimas (kai asmens duomenys pakeičiami be leidimo ar netyčia)

 

 

1.5.3. Asmens duomenų prieinamumo praradimas (kai netyčia arba neteisėtai prarandama prieiga prie jų arba sunaikinami asmens duomenys)

 

 

 

1.6. Duomenų subjektų, su kurių asmens duomenimis susijęs pažeidimas, kategorijos ir jų skaičius

 

 

 

1.7. Kaip ilgai tęsėsi asmens duomenų saugumo pažeidimas?

 

 

 

1.8. Asmens duomenų kategorijos, susijusios su asmens duomenų saugumo pažeidimu:

 

 

1.8.1. Asmens duomenys

 

 

 

1.8.2. Specialių kategorijų asmens duomenys

 

 

 

1.9. Apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius

 

 

2. Asmens duomenų saugumo pažeidimo rizikos įvertinimas

 

 

2.1. Priežastys, lėmusios asmens duomenų saugumo pažeidimą (pvz., duomenų ar įrangos, kurioje yra saugomi asmens duomenys, vagystė, netinkamos prieigos kontrolės priemonės, leidžiančios neteisėtai naudotis asmens duomenimis, įrangos gedimas, žmogiška klaida, įsilaužimo ataka ir pan.)

 

 

 

2.2. Asmens duomenų saugumo pažeidimo pasekmės:

 

 

2.2.1. Atsitiktinai arba neteisėtai sunaikinti asmens duomenys

 

 

2.2.2. Atsitiktinai arba neteisėtai prarasti asmens duomenys

 

 

2.2.3. Atsitiktinai arba neteisėtai pakeisti asmens duomenys

 

 

2.2.4. Be duomenų subjekto sutikimo atskleisti asmens duomenys

 

 

2.2.5. Sudaryta galimybė naudotis asmens duomenimis

 

 

2.2.6. Asmens duomenų išplitimas labiau nei tai yra būtina ir duomenų subjekto kontrolės praradimas savo asmens duomenų atžvilgiu

 

 

2.2.7. Skirtingos informacijos susiejimas

 

 

2.2.8. Asmens duomenų panaudojimas neteisėtais tikslais

 

 

2.2.9. Dėl asmens duomenų trūkumo negalima teikti paslaugų

 

 

2.2.10. Dėl klaidų asmens duomenų tvarkymo procesuose negalima teikti tinkamos paslaugos

 

 

2.2.11. Kita

 

 

2.3. Ar pažeistų asmens duomenų pobūdis kelia didelę žalos riziką?

 

 

2.4. Dėl asmens duomenų saugumo pažeidimo nėra pavojaus fizinių asmenų teisėms ir laisvėms (maža rizikos tikimybė)

 

 

2.5. Dėl asmens duomenų saugumo pažeidimo yra ar gali kilti pavojus fizinių asmenų teisėms ir laisvėms (būtina pranešti Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) (vidutinė rizikos tikimybė)

 

 

2.6. Dėl asmens duomenų saugumo pažeidimo yra ar gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms (būtina pranešti Inspekcijai ir duomenų subjektams) (didelė) rizikos tikimybė)

 

 

2.7. Kas turėjo prieigą prie pažeistų asmens duomenų iki asmens duomenų saugumo pažeidimo padarymo?

 

 

2.8. Kas gavo prieigą prie pažeistų asmens duomenų?

 

 

2.9. Ar buvo kokių kitų įvykių, kurie galėjo turėti poveikį asmens duomenų saugumo pažeidimo padarymui?

 

 

2.10. Ar iki asmens duomenų saugumo pažeidimo asmens duomenys buvo tinkamai užkoduoti, anonimizuoti ar kitaip lengvai neprieinami?

 

 

2.11. IT sistemos, įrenginiai, įranga, įrašai, susiję su asmens duomenų saugumo pažeidimu

 

 

2.12. Ar tai yra sisteminė klaida ar vienetinis incidentas?

 

 

2.13. Kokia žala buvo padaryta duomenų subjektui ar ministerijai (tapatybės vagystė, grėsmė fiziniam saugumui ir emocinei gerovei, žala reputacijai, teisinė atsakomybė, konfidencialumo, saugumo nuostatų pažeidimas ir pan.)?

 

 

2.14. Kokių veiksmų ar priemonių buvo imtasi po paaiškėjimo apie padarytą asmens duomenų saugumo pažeidimą?

 

 

2.15. Kokios taikytos priemonės, siekiant sumažinti poveikį duomenų subjektams?

 

 

2.16. Kokios techninės priemonės buvo taikomos asmens duomenų saugumo pažeidimo paveiktiems asmens duomenims, siekiant užtikrinti, kad asmens duomenys nebūtų prieinami neįgaliotiems asmenims?

 

 

2.17. Techninės ir (ar) organizacinės saugumo priemonės, kurios įgyvendintos dėl asmens duomenų saugumo pažeidimo, taip pat siekiant, kad pažeidimas nepasikartotų

 

 

2.18. Techninės ir (ar) organizacinės saugumo priemonės, kurias ketinama įgyvendinti dėl asmens duomenų saugumo pažeidimo, įskaitant ir priemones, skirtas asmens duomenų saugumo pažeidimo pasekmėms sumažinti

 

 

3. Pranešimų pateikimas

 

 

3.1. Ar pranešta duomenų subjektui apie asmens duomenų saugumo pažeidimą:

 

 

3.1.1. Taip

(Pranešimo turinys ir data)

 

3.1.2. Ne

 

 

3.1.3. Bus informuota vėliau

 

 

3.1.4. Duomenų subjektas tokią informaciją jau turi

 

 

3.2. Pranešimo duomenų subjektui būdas (paštu, elektroninio pašto pranešimu ar SMS pranešimu ir kt.)

 

 

 

3.3. Informuotų duomenų subjektų skaičius

 

 

3.4. Ar pranešta Inspekcijai apie asmens duomenų saugumo pažeidimą:

 

 

3.4.1. Taip

(rašto data ir numeris)

 

3.4.2. Ne

 

 

3.5. Ar pranešta valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą, apie asmens duomenų saugumo pažeidimą, galimai turintį nusikalstamos veikos požymių:

 

 

3.5.1. Taip

(rašto data ir numeris, adresatas)

 

3.5.2. Ne

 

 

3.6. Ar pranešta valstybės institucijoms, nurodytoms Lietuvos Respublikos kibernetinio saugumo įstatyme, apie kibernetinį incidentą, susijusį su asmens duomenų saugumo pažeidimu:

 

 

3.6.1. Taip

(rašto data ir numeris, adresatas)

 

3.6.2. Ne

 

 

3.7. Nepranešimo apie asmens duomenų saugumo pažeidimą duomenų subjektui priežastys:

 

 

3.7.1. ne, nes nekyla didelis pavojus duomenų subjektų teisėms ir laisvėms (nurodomos priežastys)

 

 

3.7.2. ne, nes įgyvendintos tinkamos techninės ir organizacinės priemonės, užtikrinančios, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami (nurodomos kokios)

 

 

3.7.3. ne, nes įgyvendintos tinkamos techninės ir organizacinės priemonės, užtikrinančios, kad nekiltų didelis pavojus duomenų subjektų teisėms ir laisvėms (nurodomos kokios)

 

 

3.7.4. ne, nes tai pareikalautų neproporcingai daug pastangų ir apie tai viešai paskelbta (arba taikyta panaši priemonė) (nurodoma, kada ir kur paskelbta informacija viešai arba, jei taikyta kita priemonė, nurodoma, kokia priemonė ir kada taikyta)

 

 

3.7.5. ne, nes dar neidentifikuoti duomenų subjektai, kurių asmens duomenų saugumas pažeistas

 

 

3.8. Vėlavimo pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą priežastys

 

 

 

3.9. Nepranešimo apie asmens duomenų saugumo pažeidimą Inspekcijai priežastys

 

 

 

3.10. Vėlavimo pranešti Inspekcijai apie asmens duomenų saugumo pažeidimą priežastys

 

 

 

Šią ataskaitą parengė ministerijos Teisės departamento vadovo paskirtas darbuotojas arba duomenų tvarkytojo vadovo paskirtas darbuotojas

(vardas, pavardė, parašas)

 

Su šia ataskaita susipažino ministerijos arba duomenų tvarkytojo duomenų apsaugos pareigūnas

(vardas, pavardė, parašas)

 

 

 

_______________________

 

Pranešimų apie asmens duomenų saugumo

pažeidimus teikimo ir nagrinėjimo tvarkos aprašo

3 priedas

 

(Asmens duomenų saugumo pažeidimų registravimo žurnalo formos pavyzdys)

 

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ REGISTRAVIMO ŽURNALAS

 

Eil. Nr.

Asmens duomenų saugumo pažeidimo aprašymas

Pradžia

(metai, mėnuo, diena, valanda)

Pabaiga

(metai, mėnuo, diena, valanda)

Pašalino

(vardas, pavardė, parašas)

Asmens duomenų saugumo pažeidimo ataskaitos data ir numeris

Teisės departamento vadovo paskirtas darbuotojas ar duomenų tvarkytojo vadovo paskirtas darbuotojas

(vardas, pavardė,

parašas)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

                                                        ________________________