APLINKOS APSAUGOS DEPARTAMENTO PRIE APLINKOS MINISTERIJOS DIREKTORIUS
įsakymas
DĖL ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO APLINKOS APSAUGOS DEPARTAMENTE PRIE APLINKOS MINISTERIJOS TVARKOS APRAŠO PATVIRTINIMO
2020 m. rugpjūčio 17 d. Nr. AD1-240
Vilnius
Vadovaudamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento) IV skyriaus 2 skirsniu:
1. T v i r t i n u Asmens duomenų saugumo pažeidimų valdymo Aplinkos apsaugos departamente prie Aplinkos ministerijos tvarkos aprašą (pridedama);
2. P a v e d u Aplinkos apsaugos departamento prie Aplinkos ministerijos duomenų apsaugos pareigūnui kontroliuoti, kaip vykdomas šis įsakymas.
PATVIRTINTA
Aplinkos apsaugos departamento
prie Aplinkos ministerijos direktoriaus
2020 m. rugpjūčio 17 d. įsakymu Nr. AD1-240
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO APLINKOS APSAUGOS DEPARTAMENTE PRIE APLINKOS MINISTERIJOS TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų saugumo pažeidimų valdymo Aplinkos apsaugos departamente prie Aplinkos ministerijos tvarkos aprašas (toliau – Aprašas) nustato asmens duomenų saugumo pažeidimų nustatymo, tyrimo, fiksavimo Aplinkos apsaugos departamente prie Aplinkos ministerijos (toliau – Departamentas) tvarką ir pranešimo apie asmens duomenų saugumo pažeidimą turinį ir pateikimo Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektams tvarką.
2. Aprašas taikomas duomenų valdytojui – Departamentui, tvarkančiam asmens duomenis, ir Departamento pasitelktiems juridiniams ir fiziniams asmenims, tvarkantiems asmens duomenis Departamento vardu ir pagal jo nurodymus (toliau – duomenų tvarkytojai).
3. Aprašas parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679), taip pat atsižvelgiant į Europos Parlamento ir Tarybos direktyvos 95/46/EB 29 straipsnio darbo grupės 2017 m. spalio 3 d. parengtas Pranešimo apie asmens duomenų saugumo pažeidimą gaires pagal Reglamentą 2016/679, Valstybinės duomenų apsaugos inspekcijos Rekomendaciją dėl asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos.
II SKYRIUS
UŽ ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMĄ ATSAKINGI ASMENYS
5. Už asmens duomenų saugumo pažeidimų valdymą Departamente atsakingas Departamento direktorius ar jo įgaliotas asmuo ir Departamento duomenų apsaugos pareigūnas (toliau – duomenų apsaugos pareigūnas).
6. Departamento valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį (toliau kartu – darbuotojas), sužinojęs apie galimą asmens duomenų saugumo pažeidimą (toliau – Pažeidimas), turi nedelsdamas, ne vėliau kaip per 2 darbo valandas, apie tai žodžiu, raštu ar elektroninėmis priemonėmis informuoti duomenų apsaugos pareigūną.
7. Duomenų tvarkytojai, sužinoję apie asmens duomenų saugumo pažeidimą, nedelsdami, ne vėliau kaip per 1 darbo dieną, apie tai raštu praneša duomenų apsaugos pareigūnui, pateikdami informaciją, numatytą Reglamento (ES) 2016/679 33 straipsnio 3 dalyje. Duomenų tvarkytojai pateikia duomenų apsaugos pareigūnui jo prašomą informaciją, susijusią su Pažeidimu ir jo tyrimu, per duomenų apsaugos pareigūno nurodytą terminą. Duomenų tvarkytojų pareigos, susijusios su pranešimu apie duomenų saugumo pažeidimą Departamentui bei su bendradarbiavimu tiriant pažeidimą, įtvirtinamos su duomenų tvarkytoju sudaromoje sutartyje.
III SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO TYRIMAS
9. Duomenų apsaugos pareigūnas turi imtis visų tinkamų techninių ir organizacinių priemonių, kad Pažeidimas būtų išsamiai ištirtas ir pašalintas (sustabdytas, ištaisytas) ir ateityje nepasikartotų.
10. Duomenų apsaugos pareigūnas, sužinojęs apie galimą Pažeidimą ir (ar) gavęs Aprašo 6 ir 7 punktuose nurodytą informaciją:
10.1. nedelsdamas nagrinėja pranešime nurodytas aplinkybes, atlieka galimai padaryto asmens duomenų saugumo pažeidimo tyrimą;
10.3. jei asmens duomenų saugumo pažeidimas padarytas, nustato, kokio tipo pažeidimas padarytas, asmens duomenų kategorijas, įskaitant specialių kategorijų asmens duomenis, kurios buvo susijusios su pažeidimu, pažeidimo priežastis, lėmusias asmens duomenų saugumo pažeidimą, apimtį (duomenų subjektų kategorijos ir skaičius), žalą, padarytą asmeniui;
10.4. pasitelkia darbuotojus (informacinių technologijų specialistus ir pan.) ir duomenų tvarkytojo darbuotojus, jei tai būtina;
10.5. nustato, kokių skubių ir tinkamų priemonių būtina imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas (pvz., naudoti atsargines kopijas, kad būtų atkurti prarasti ar sugadinti duomenys ar kt.);
11. Pažeidimo tyrimo metu nustatomas Pažeidimo tipas. Galimi Pažeidimo tipai:
11.1. Konfidencialumo pažeidimas – kai be leidimo ar neteisėtai atskleidžiami asmens duomenys arba gaunama prieiga prie jų;
11.2. Prieinamumo pažeidimas – kai netyčia arba neteisėtai prarandama prieiga prie asmens duomenų arba asmens duomenys sunaikinami;
12. Priklausomai nuo aplinkybių, Pažeidimas tuo pat metu gali būti priskiriamas keliems Aprašo 11 punkte nurodytiems tipams.
13. Pažeidimo tyrimo metu vertinama, kokį pavojų fizinių asmenų teisėms ir laisvėms kelia Pažeidimas.
14. Vertinant Pažeidimo keliamą pavojų, atsižvelgiama į konkrečias Pažeidimo aplinkybes ir šiuos kriterijus:
15. Vertinant Pažeidimą, laikoma, kad Pažeidimas, galintis kelti pavojų fizinių asmenų teisėms ir laisvėms, yra toks, dėl kurio, laiku nesiėmus tinkamų priemonių, fizinis asmuo gali patirti kūno sužalojimą, materialinę ar nematerialinę žalą (pvz., prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, saugomų profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala).
16. Tyrimo metu, įvertinus visas Pažeidimo aplinkybes ir nustačius, kad Pažeidimas kelia pavojų fizinių asmenų teisėms ir laisvėms, nustatomas pavojaus rimtumas:
17. Atliekant Pažeidimo tyrimą, išsaugomi esamos situacijos įrodymai bei įrodymai, kokios techninės ir organizacinės priemonės buvo pritaikytos.
18. Atlikus Pažeidimo tyrimą, duomenų apsaugos pareigūnas surašo išvadą, kurioje įvertinamas Pažeidimo buvimas ir jo keliamas pavojus fizinių asmenų teisėms ir laisvėms ir pateikiamas siūlymas dėl duomenų saugumo priemonių įgyvendinimo. Departamento direktorius ar jo įgaliotas asmuo priima sprendimą dėl tolesnių veiksmų, susijusių su Pažeidimu.
IV SKYRIUS
PRANEŠIMAS PRIEŽIŪROS INSTITUCIJAI
19. Nustačius, kad Pažeidimas buvo ir kad yra pavojus fizinių asmenų teisėms ir laisvėms, duomenų apsaugos pareigūnas nedelsdamas, ne vėliau kaip per 72 val., apie Pažeidimą praneša Valstybinei duomenų apsaugos inspekcijai pateikdamas užpildytą Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamą formą, patvirtintą Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“.
20. Jeigu, atsižvelgiant į Pažeidimo pobūdį, yra būtina atlikti išsamesnį tyrimą ir nustatyti visus svarbius faktus, susijusius su Pažeidimu, todėl per 72 val. nuo sužinojimo apie Pažeidimą neįmanoma pranešti Valstybinei duomenų apsaugos inspekcijai, duomenų apsaugos pareigūnas informaciją apie Pažeidimą teikia Valstybinei duomenų apsaugos inspekcijai etapais ir nurodo, kodėl visos informacijos neįmanoma pateikti iš karto.
21. Jeigu atlikus tyrimą abejojama, ar yra pavojus asmenų teisėms ir laisvėms ir ar reikia apie pažeidimą pranešti Valstybinei duomenų apsaugos inspekcijai, sprendimą dėl pranešimo apie Pažeidimą priima duomenų apsaugos pareigūnas suderinęs su Departamento direktoriumi ar jo įgaliotu asmeniu.
22. Pranešimas apie Pažeidimą Valstybinei duomenų apsaugos inspekcijai pateikiamas vadovaujantis Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo, patvirtinto Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T-72(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“, nustatyta tvarka ir užpildant Aprašo 1 priede nustatytą formą.
V SKYRIUS
PRANEŠIMAS DUOMENŲ SUBJEKTUI
23. Nustačius, kad Pažeidimas buvo ir dėl jo gali kilti šio Aprašo 16.3 arba 16.4 papunkčiuose nurodytas didelis ar labai didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų apsaugos pareigūnas nedelsdamas apie Pažeidimą praneša duomenų subjektui.
24. Pranešime duomenų subjektui glaustai ir aiškiai pateikiama ši informacija:
24.2. Duomenų apsaugos pareigūno ar kito Departamento darbuotojo, galinčio suteikti informaciją apie Pažeidimą ir jo valdymo priemones, vardas, pavardė ir duomenys ryšiams;
24.4. Priemonių, kurių ėmėsi arba imsis Departamentas, kad Pažeidimas būtų pašalintas, sumažintos galimos neigiamos jo pasekmės, aprašymas;
25. Duomenų subjektai apie Pažeidimą informuojami tiesiogiai siunčiant jiems pranešimą el. paštu, SMS žinute, paštu ar kitu būdu. Šis pranešimas siunčiamas atskirai nuo kitos informacijos, įprastai siunčiamos duomenų subjektui.
26. Pranešimas apie Pažeidimą duomenų subjektui neteikiamas, jeigu:
26.1. Buvo įgyvendintos tinkamos techninės ir organizacinės apsaugos priemonės ir tos priemonės taikytos asmens duomenims, kuriems Pažeidimas turėjo poveikį;
26.2. Iš karto po Pažeidimo Departamentas ėmėsi priemonių užtikrinti, kad nebegalėtų kilti didelis pavojus fizinių asmenų teisėms ir laisvėms;
26.3. Jeigu tiesioginio pranešimo duomenų subjektui pateikimas pareikalautų neproporcingai daug pastangų; tokiu atveju Departamentas informaciją apie įvykusį Pažeidimą paskelbia savo interneto svetainėje aiškiai, duomenų subjektams lengvai prieinamoje vietoje ir (ar) viešosios informacijos priemonėse.
VI SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ FIKSAVIMAS
28. Visi Pažeidimai, nepriklausomai nuo to, ar apie juos buvo pranešta Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektui, ar ne, registruojami Asmens duomenų saugumo pažeidimų registravimo žurnale (Aprašo 2 priedas) (toliau – Žurnalas).
29. Informacija apie Pažeidimą į Žurnalą įrašoma nedelsiant, ne vėliau kaip per 5 darbo dienas, kai tik nustatomas Pažeidimo faktas ir įvertinamas pavojus. Prireikus, atsižvelgiant į Pažeidimo tyrimo metu nustatytas papildomas aplinkybes, Žurnale esanti informacija papildoma ir (ar) patikslinama.
30. Žurnale nurodoma:
30.1. Darbuotojo ar kito subjekto, pranešusio apie pažeidimą, duomenys: vardas, pavardė, pareigos, kontaktiniai duomenys;
30.2. Su Pažeidimu susiję faktai: Pažeidimo nustatymo data, valanda (minučių tikslumu) ir vieta, Pažeidimo padarymo data ir vieta, Pažeidimo tipas, Pažeidimo pradžia, pabaiga, pobūdis, priežastis, kitos aplinkybės, pažeistų asmens duomenų kategorijos, paveiktų duomenų subjektų kategorijos;
30.5. Informacija, ar apie Pažeidimą buvo pranešta Valstybinei duomenų apsaugos inspekcijai (pranešimo Valstybinei duomenų apsaugos inspekcijai data ir numeris; jeigu pranešimas pateiktas praleidus Aprašo 19 punkte nustatytą terminą, nurodomos priežastys; jeigu Valstybinei duomenų apsaugos inspekcijai pranešta nebuvo, nurodomos priežastys);
30.6. Informacija, ar apie Pažeidimą buvo pranešta duomenų subjektui (pranešimo duomenų subjektui data ir numeris; jeigu duomenų subjektui pranešta nebuvo, nurodomos priežastys);
32. Žurnale esantys įrašai periodiškai, ne rečiau kaip kartą per metus, duomenų apsaugos pareigūno peržiūrimi ir kartu su Departamento direktoriumi ar jo įgaliotu asmeniu sprendžiama, kokios prevencinės priemonės turėtų būti įgyvendintos papildomai ir kaip reikėtų kontroliuoti šių priemonių įdiegimą, kad ateityje analogiški Pažeidimai nesikartotų.
VII SKYRIUS
BAIGIAMOSIOS NUOSTATOS
34. Atlikdamas Apraše nurodytas užduotis, duomenų apsaugos pareigūnas turi teisę pasitelkti Departamento su asmens duomenų saugumo pažeidimu susijusius darbuotojus, privalančius teikti jam tarnybinę pagalbą.
35. Jeigu įtariama, kad Pažeidimas turi nusikalstamos veikos požymių, informacija apie galimą nusikalstamą veiką pateikiama valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą.
36. Aprašas duomenų apsaugos pareigūno peržiūrimas periodiškai, ne rečiau kaip kartą per metus, arba įvykus organizaciniams, sisteminiams ar kitiems pokyčiams arba pasikeitus teisės aktų reikalavimams.
Asmens duomenų saugumo
pažeidimų valdymo Aplinkos
apsaugos departamente prie
Aplinkos ministerijos tvarkos aprašo
1 priedas
(Pranešimo apie asmens duomenų saugumo pažeidimą forma)
Valstybinei duomenų apsaugos inspekcijai
A. Juozapavičiaus g. 6, 09310 Vilnius
Tel.: (8 5) 271 2804, 279 1445
Faks. (8 5) 261 9494
El. paštas ada@ada.lt
PRANEŠIMAS APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ
_______
(data)
________
(vieta)
1. Duomenų valdytojas:
Aplinkos apsaugos departamentas prie Aplinkos ministerijos
Kodas 304766622
Smolensko g. 15, Vilnius
Tel. +370 5 21 63385
El. paštas info@aad.am.lt
2. Duomenų apsaugos pareigūnas:
3. Asmens duomenų saugumo pažeidimas:
3.1. Asmens duomenų saugumo pažeidimo data, laikas ir vieta:
________________________________________________________________________________
________________________________________________________________________________
3.2. Asmens duomenų saugumo pažeidimo nustatymo data ir laikas:
________________________________________________________________________________
________________________________________________________________________________
3.3. Asmens duomenų saugumo pažeidimo aplinkybės1:
________________________________________________________________________________
________________________________________________________________________________
3.4. Apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius ir kategorijos:
________________________________________________________________________________
________________________________________________________________________________
3.5. Apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius ir kategorijos:
________________________________________________________________________________
________________________________________________________________________________
3.6. Tikėtinos asmens duomenų saugumo pažeidimo pasekmės:
________________________________________________________________________________
________________________________________________________________________________
4. Priemonės, kurių duomenų valdytojas ėmėsi arba siūlo imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas arba kad būtų sumažintos neigiamos pasekmės:
________________________________________________________________________________
________________________________________________________________________________
5. Informacija apie tai, ar apie asmens duomenų saugumo pažeidimą informuoti duomenų subjektai (jeigu duomenų subjektai neinformuojami, nurodomos priežastys):
________________________________________________________________________________
________________________________________________________________________________
6. Pasiūlymai, kokių priemonių gali imtis duomenų subjektai, siekdami sumažinti ar išvengti asmens duomenų saugumo pažeidimo neigiamų padarinių (pildoma, jeigu įmanoma pateikti efektyvių pasiūlymų duomenų subjektui):
________________________________________________________________________________
________________________________________________________________________________
7. Vėlavimo pateikti informaciją Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) priežastys (pildoma, jeigu pranešimas teikiamas Inspekcijai praėjus daugiau kaip 72 val. po pažeidimo paaiškėjimo):
________________________________________________________________________________
________________________________________________________________________________
8. Ar su asmens duomenų saugumo pažeidimu susijusi informacija bus teikiama etapais (pildoma, jeigu pradiniame pranešime neįmanoma pateikti visos ir išsamios su asmens duomenų saugumo pažeidimu susijusios informacijos, ir informacija Inspekcijai numatoma teikti etapais):
________________________________________________________________________________
________________________________________________________________________________
(pareigos) (vardas ir pavardė)
Asmens duomenų saugumo pažeidimų valdymo
Aplinkos apsaugos departamente prie Aplinkos
ministerijos tvarkos aprašo
2 priedas
(Asmens duomenų saugumo pažeidimų registravimo žurnalo forma)
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ REGISTRAVIMO ŽURNALAS
Eil. Nr. |
Aplinkos apsaugos departamento prie Aplinkos ministerijos valstybės tarnautojo ar darbuotojo, dirbančio pagal darbo sutartį, ar kito subjekto, pranešusio apie pažeidimą, duomenys (vardas, pavardė, pareigos, kontaktiniai duomenys) |
Pažeidimo nustatymo data, valanda (minučių tikslumu) ir vieta |
Pažeidimo padarymo data ir vieta |
Pažeidimo tipas |
Pažeidimo pradžia ir pabaiga, pobūdis, priežastis, kitos aplinkybės |
Asmens duomenų, kurių saugumas pažeistas, kategorijos |
Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos |
Pažeidimo poveikis ir galimos pasekmės |
Priemonės, kurių buvo imtasi pažeidimui pašalinti ir (ar) neigiamoms pažeidimo pasekmėms sumažinti |
Informacija, ar apie pažeidimą buvo pranešta Valstybinei duomenų apsaugos inspekcijai (pranešimo data, numeris, pavėluoto pranešimo priežastys, priimto sprendimo neteikti pranešimo motyvai) |
Informacija, ar apie pažeidimą buvo pranešta duomenų subjektui (data ir numeris), arba nepranešimo priežastys |
Kita reikšminga informacija |
Žurnalą pildžiusio asmens vardas, pavardė, pareigos |
1. |
|
|
|
|
|
|
|
|
|
|
|
|
|
2. |
|
|
|
|
|
|
|
|
|
|
|
|
|
3. |
|
|
|
|
|
|
|
|
|
|
|
|
|
4. |
|
|
|
|
|
|
|
|
|
|
|
|
|
5. |
|
|
|
|
|
|
|
|
|
|
|
|
|
6. |
|
|
|
|
|
|
|
|
|
|
|
|
|
7. |
|
|
|
|
|
|
|
|
|
|
|
|
|
8. |
|
|
|
|
|
|
|
|
|
|
|
|
|
9. |
|
|
|
|
|
|
|
|
|
|
|
|
|
10. |
|
|
|
|
|
|
|
|
|
|
|
|
|
_____________________