APLINKOS APSAUGOS DEPARTAMENTO PRIE APLINKOS MINISTERIJOS DIREKTORIUS

įsakymas

DĖL ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO APLINKOS APSAUGOS DEPARTAMENTE PRIE APLINKOS MINISTERIJOS TVARKOS APRAŠO PATVIRTINIMO

2020 m. rugpjūčio 17 d. Nr. AD1-240

Vilnius

Vadovaudamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento) IV skyriaus 2 skirsniu:

1. T v i r t i n u Asmens duomenų saugumo pažeidimų valdymo Aplinkos apsaugos departamente prie Aplinkos ministerijos tvarkos aprašą (pridedama);

2. P a v e d u Aplinkos apsaugos departamento prie Aplinkos ministerijos duomenų apsaugos pareigūnui kontroliuoti, kaip vykdomas šis įsakymas.

Direktorė Olga Vėbrienė

PATVIRTINTA

Aplinkos apsaugos departamento

prie Aplinkos ministerijos direktoriaus

2020 m. rugpjūčio 17 d. įsakymu Nr. AD1-240

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO APLINKOS APSAUGOS DEPARTAMENTE PRIE APLINKOS MINISTERIJOS TVARKOS APRAŠAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Asmens duomenų saugumo pažeidimų valdymo Aplinkos apsaugos departamente prie Aplinkos ministerijos tvarkos aprašas (toliau – Aprašas) nustato asmens duomenų saugumo pažeidimų nustatymo, tyrimo, fiksavimo Aplinkos apsaugos departamente prie Aplinkos ministerijos (toliau – Departamentas) tvarką ir pranešimo apie asmens duomenų saugumo pažeidimą turinį ir pateikimo Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektams tvarką.

2. Aprašas taikomas duomenų valdytojui – Departamentui, tvarkančiam asmens duomenis, ir Departamento pasitelktiems juridiniams ir fiziniams asmenims, tvarkantiems asmens duomenis Departamento vardu ir pagal jo nurodymus (toliau – duomenų tvarkytojai).

3. Aprašas parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679), taip pat atsižvelgiant į Europos Parlamento ir Tarybos direktyvos 95/46/EB 29 straipsnio darbo grupės 2017 m. spalio 3 d. parengtas Pranešimo apie asmens duomenų saugumo pažeidimą gaires pagal Reglamentą 2016/679, Valstybinės duomenų apsaugos inspekcijos Rekomendaciją dėl asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos.

4. Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679.

II SKYRIUS

UŽ ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMĄ ATSAKINGI ASMENYS

5. Už asmens duomenų saugumo pažeidimų valdymą Departamente atsakingas Departamento direktorius ar jo įgaliotas asmuo ir Departamento duomenų apsaugos pareigūnas (toliau – duomenų apsaugos pareigūnas).

6. Departamento valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį (toliau kartu – darbuotojas), sužinojęs apie galimą asmens duomenų saugumo pažeidimą (toliau – Pažeidimas), turi nedelsdamas, ne vėliau kaip per 2 darbo valandas, apie tai žodžiu, raštu ar elektroninėmis priemonėmis informuoti duomenų apsaugos pareigūną.

7. Duomenų tvarkytojai, sužinoję apie asmens duomenų saugumo pažeidimą, nedelsdami, ne vėliau kaip per 1 darbo dieną, apie tai raštu praneša duomenų apsaugos pareigūnui, pateikdami informaciją, numatytą Reglamento (ES) 2016/679 33 straipsnio 3 dalyje. Duomenų tvarkytojai pateikia duomenų apsaugos pareigūnui jo prašomą informaciją, susijusią su Pažeidimu ir jo tyrimu, per duomenų apsaugos pareigūno nurodytą terminą. Duomenų tvarkytojų pareigos, susijusios su pranešimu apie duomenų saugumo pažeidimą Departamentui bei su bendradarbiavimu tiriant pažeidimą, įtvirtinamos su duomenų tvarkytoju sudaromoje sutartyje.

8. Duomenų apsaugos pareigūnas, gavęs Aprašo 6 ir 7 punktuose nurodytą informaciją arba apie Pažeidimą sužinojęs iš kitų šaltinių, nedelsdamas pradeda Pažeidimo tyrimą.

III SKYRIUS

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO TYRIMAS

9. Duomenų apsaugos pareigūnas turi imtis visų tinkamų techninių ir organizacinių priemonių, kad Pažeidimas būtų išsamiai ištirtas ir pašalintas (sustabdytas, ištaisytas) ir ateityje nepasikartotų.

10. Duomenų apsaugos pareigūnas, sužinojęs apie galimą Pažeidimą ir (ar) gavęs Aprašo 6 ir 7 punktuose nurodytą informaciją:

10.1. nedelsdamas nagrinėja pranešime nurodytas aplinkybes, atlieka galimai padaryto asmens duomenų saugumo pažeidimo tyrimą;

10.2. įvertina, ar padarytas asmens duomenų saugumo pažeidimas;

10.3. jei asmens duomenų saugumo pažeidimas padarytas, nustato, kokio tipo pažeidimas padarytas, asmens duomenų kategorijas, įskaitant specialių kategorijų asmens duomenis, kurios buvo susijusios su pažeidimu, pažeidimo priežastis, lėmusias asmens duomenų saugumo pažeidimą, apimtį (duomenų subjektų kategorijos ir skaičius), žalą, padarytą asmeniui;

10.4. pasitelkia darbuotojus (informacinių technologijų specialistus ir pan.) ir duomenų tvarkytojo darbuotojus, jei tai būtina;

10.5. nustato, kokių skubių ir tinkamų priemonių būtina imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas (pvz., naudoti atsargines kopijas, kad būtų atkurti prarasti ar sugadinti duomenys ar kt.);

10.6. nustato, ar būtina nedelsiant pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą.

11. Pažeidimo tyrimo metu nustatomas Pažeidimo tipas. Galimi Pažeidimo tipai:

11.1. Konfidencialumo pažeidimas – kai be leidimo ar neteisėtai atskleidžiami asmens duomenys arba gaunama prieiga prie jų;

11.2. Prieinamumo pažeidimas – kai netyčia arba neteisėtai prarandama prieiga prie asmens duomenų arba asmens duomenys sunaikinami;

11.3. Vientisumo pažeidimas – kai asmens duomenys pakeičiami be leidimo ar netyčia.

12. Priklausomai nuo aplinkybių, Pažeidimas tuo pat metu gali būti priskiriamas keliems Aprašo 11 punkte nurodytiems tipams.

13. Pažeidimo tyrimo metu vertinama, kokį pavojų fizinių asmenų teisėms ir laisvėms kelia Pažeidimas.

14. Vertinant Pažeidimo keliamą pavojų, atsižvelgiama į konkrečias Pažeidimo aplinkybes ir šiuos kriterijus:

14.1. Pažeidimo tipą;

14.2. Pažeidimo metu paveiktas asmens duomenų kategorijas ir paveiktų duomenų apimtį;

14.3. Pažeidimo metu paveiktas duomenų subjektų kategorijas ir šių subjektų specifines ypatybes;

14.4. Pasekmių rimtumą fiziniams asmenims;

14.5. Fizinio asmens identifikavimo galimybę;

14.6. Nukentėjusių fizinių asmenų skaičių;

14.7. Veiklos, kurią vykdant tvarkomi asmens duomenys, pobūdį;

14.8. Kitas reikšmingas aplinkybes.

15. Vertinant Pažeidimą, laikoma, kad Pažeidimas, galintis kelti pavojų fizinių asmenų teisėms ir laisvėms, yra toks, dėl kurio, laiku nesiėmus tinkamų priemonių, fizinis asmuo gali patirti kūno sužalojimą, materialinę ar nematerialinę žalą (pvz., prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, saugomų profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala).

16. Tyrimo metu, įvertinus visas Pažeidimo aplinkybes ir nustačius, kad Pažeidimas kelia pavojų fizinių asmenų teisėms ir laisvėms, nustatomas pavojaus rimtumas:

16.1. Žemas;

16.2. Vidutinis;

16.3. Didelis;

16.4. Labai didelis.

17. Atliekant Pažeidimo tyrimą, išsaugomi esamos situacijos įrodymai bei įrodymai, kokios techninės ir organizacinės priemonės buvo pritaikytos.

18. Atlikus Pažeidimo tyrimą, duomenų apsaugos pareigūnas surašo išvadą, kurioje įvertinamas Pažeidimo buvimas ir jo keliamas pavojus fizinių asmenų teisėms ir laisvėms ir pateikiamas siūlymas dėl duomenų saugumo priemonių įgyvendinimo. Departamento direktorius ar jo įgaliotas asmuo priima sprendimą dėl tolesnių veiksmų, susijusių su Pažeidimu.

IV SKYRIUS

PRANEŠIMAS PRIEŽIŪROS INSTITUCIJAI

19. Nustačius, kad Pažeidimas buvo ir kad yra pavojus fizinių asmenų teisėms ir laisvėms, duomenų apsaugos pareigūnas nedelsdamas, ne vėliau kaip per 72 val., apie Pažeidimą praneša Valstybinei duomenų apsaugos inspekcijai pateikdamas užpildytą Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamą formą, patvirtintą Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“.

20. Jeigu, atsižvelgiant į Pažeidimo pobūdį, yra būtina atlikti išsamesnį tyrimą ir nustatyti visus svarbius faktus, susijusius su Pažeidimu, todėl per 72 val. nuo sužinojimo apie Pažeidimą neįmanoma pranešti Valstybinei duomenų apsaugos inspekcijai, duomenų apsaugos pareigūnas informaciją apie Pažeidimą teikia Valstybinei duomenų apsaugos inspekcijai etapais ir nurodo, kodėl visos informacijos neįmanoma pateikti iš karto.

21. Jeigu atlikus tyrimą abejojama, ar yra pavojus asmenų teisėms ir laisvėms ir ar reikia apie pažeidimą pranešti Valstybinei duomenų apsaugos inspekcijai, sprendimą dėl pranešimo apie Pažeidimą priima duomenų apsaugos pareigūnas suderinęs su Departamento direktoriumi ar jo įgaliotu asmeniu.

22. Pranešimas apie Pažeidimą Valstybinei duomenų apsaugos inspekcijai pateikiamas vadovaujantis Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo, patvirtinto Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T-72(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“, nustatyta tvarka ir užpildant Aprašo 1 priede nustatytą formą.

V SKYRIUS

PRANEŠIMAS DUOMENŲ SUBJEKTUI

23. Nustačius, kad Pažeidimas buvo ir dėl jo gali kilti šio Aprašo 16.3 arba 16.4 papunkčiuose nurodytas didelis ar labai didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų apsaugos pareigūnas nedelsdamas apie Pažeidimą praneša duomenų subjektui.

24. Pranešime duomenų subjektui glaustai ir aiškiai pateikiama ši informacija:

24.1. Pažeidimo pobūdžio aprašymas;

24.2. Duomenų apsaugos pareigūno ar kito Departamento darbuotojo, galinčio suteikti informaciją apie Pažeidimą ir jo valdymo priemones, vardas, pavardė ir duomenys ryšiams;

24.3. Tikėtinų Pažeidimo pasekmių aprašymas;

24.4. Priemonių, kurių ėmėsi arba imsis Departamentas, kad Pažeidimas būtų pašalintas, sumažintos galimos neigiamos jo pasekmės, aprašymas;

24.5. Kita reikšminga informacija, susijusi su Pažeidimu, kuri, Departamento manymu, būtų svarbi duomenų subjektui.

25. Duomenų subjektai apie Pažeidimą informuojami tiesiogiai siunčiant jiems pranešimą el. paštu, SMS žinute, paštu ar kitu būdu. Šis pranešimas siunčiamas atskirai nuo kitos informacijos, įprastai siunčiamos duomenų subjektui.

26. Pranešimas apie Pažeidimą duomenų subjektui neteikiamas, jeigu:

26.1. Buvo įgyvendintos tinkamos techninės ir organizacinės apsaugos priemonės ir tos priemonės taikytos asmens duomenims, kuriems Pažeidimas turėjo poveikį;

26.2. Iš karto po Pažeidimo Departamentas ėmėsi priemonių užtikrinti, kad nebegalėtų kilti didelis pavojus fizinių asmenų teisėms ir laisvėms;

26.3. Jeigu tiesioginio pranešimo duomenų subjektui pateikimas pareikalautų neproporcingai daug pastangų; tokiu atveju Departamentas informaciją apie įvykusį Pažeidimą paskelbia savo interneto svetainėje aiškiai, duomenų subjektams lengvai prieinamoje vietoje ir (ar) viešosios informacijos priemonėse.

27. Departamentas išsaugo duomenų subjektams siųsto pranešimo tekstą ir įrodymus, kad toks pranešimas buvo išsiųstas.

VI SKYRIUS

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ FIKSAVIMAS

28. Visi Pažeidimai, nepriklausomai nuo to, ar apie juos buvo pranešta Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektui, ar ne, registruojami Asmens duomenų saugumo pažeidimų registravimo žurnale (Aprašo 2 priedas) (toliau – Žurnalas).

29. Informacija apie Pažeidimą į Žurnalą įrašoma nedelsiant, ne vėliau kaip per 5 darbo dienas, kai tik nustatomas Pažeidimo faktas ir įvertinamas pavojus. Prireikus, atsižvelgiant į Pažeidimo tyrimo metu nustatytas papildomas aplinkybes, Žurnale esanti informacija papildoma ir (ar) patikslinama.

30. Žurnale nurodoma:

30.1. Darbuotojo ar kito subjekto, pranešusio apie pažeidimą, duomenys: vardas, pavardė, pareigos, kontaktiniai duomenys;

30.2. Su Pažeidimu susiję faktai: Pažeidimo nustatymo data, valanda (minučių tikslumu) ir vieta, Pažeidimo padarymo data ir vieta, Pažeidimo tipas, Pažeidimo pradžia, pabaiga, pobūdis, priežastis, kitos aplinkybės, pažeistų asmens duomenų kategorijos, paveiktų duomenų subjektų kategorijos;

30.3. Pažeidimo poveikis ir galimos pasekmės;

30.4. Asmens duomenų saugumo priemonių, kurių buvo imtasi, aprašymas;

30.5. Informacija, ar apie Pažeidimą buvo pranešta Valstybinei duomenų apsaugos inspekcijai (pranešimo Valstybinei duomenų apsaugos inspekcijai data ir numeris; jeigu pranešimas pateiktas praleidus Aprašo 19 punkte nustatytą terminą, nurodomos priežastys; jeigu Valstybinei duomenų apsaugos inspekcijai pranešta nebuvo, nurodomos priežastys);

30.6. Informacija, ar apie Pažeidimą buvo pranešta duomenų subjektui (pranešimo duomenų subjektui data ir numeris; jeigu duomenų subjektui pranešta nebuvo, nurodomos priežastys);

30.7. Kita reikšminga informacija, susijusi su Pažeidimu;

30.8. Žurnalą pildžiusio asmens vardas, pavardė, pareigos.

31. Žurnalą pildo duomenų apsaugos pareigūnas.

32. Žurnale esantys įrašai periodiškai, ne rečiau kaip kartą per metus, duomenų apsaugos pareigūno peržiūrimi ir kartu su Departamento direktoriumi ar jo įgaliotu asmeniu sprendžiama, kokios prevencinės priemonės turėtų būti įgyvendintos papildomai ir kaip reikėtų kontroliuoti šių priemonių įdiegimą, kad ateityje analogiški Pažeidimai nesikartotų.

33. Žurnalas pateikiamas Valstybinei duomenų apsaugos inspekcijai jos prašymu. Už žurnalo pateikimą Valstybinei duomenų apsaugos inspekcijai atsakingas duomenų apsaugos pareigūnas.

VII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

34. Atlikdamas Apraše nurodytas užduotis, duomenų apsaugos pareigūnas turi teisę pasitelkti Departamento su asmens duomenų saugumo pažeidimu susijusius darbuotojus, privalančius teikti jam tarnybinę pagalbą.

35. Jeigu įtariama, kad Pažeidimas turi nusikalstamos veikos požymių, informacija apie galimą nusikalstamą veiką pateikiama valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą.

36. Aprašas duomenų apsaugos pareigūno peržiūrimas periodiškai, ne rečiau kaip kartą per metus, arba įvykus organizaciniams, sisteminiams ar kitiems pokyčiams arba pasikeitus teisės aktų reikalavimams.

37. Departamento darbuotojai su Aprašu supažindinami pasirašytinai per Vieningą dokumentų valdymo informacinę sistemą.

_________________________

Asmens duomenų saugumo

pažeidimų valdymo Aplinkos

apsaugos departamente prie

Aplinkos ministerijos tvarkos aprašo

1 priedas

(Pranešimo apie asmens duomenų saugumo pažeidimą forma)

Valstybinei duomenų apsaugos inspekcijai

A. Juozapavičiaus g. 6, 09310 Vilnius

Tel.: (8 5) 271 2804, 279 1445

Faks. (8 5) 261 9494

El. paštas ada@ada.lt

PRANEŠIMAS APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ

_______

(data)

________

(vieta)

1. Duomenų valdytojas:

Aplinkos apsaugos departamentas prie Aplinkos ministerijos

Kodas 304766622

Smolensko g. 15, Vilnius

Tel. +370 5 21 63385

El. paštas info@aad.am.lt

2. Duomenų apsaugos pareigūnas:

2.1. Vardas, pavardė, tel. Nr., el. paštas:

________________________________________________________________________________

3. Asmens duomenų saugumo pažeidimas:

3.1. Asmens duomenų saugumo pažeidimo data, laikas ir vieta:

________________________________________________________________________________

3.2. Asmens duomenų saugumo pažeidimo nustatymo data ir laikas:

________________________________________________________________________________

3.3. Asmens duomenų saugumo pažeidimo aplinkybės¹:

________________________________________________________________________________

3.4. Apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius ir kategorijos:

________________________________________________________________________________

3.5. Apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius ir kategorijos:

________________________________________________________________________________

3.6. Tikėtinos asmens duomenų saugumo pažeidimo pasekmės:

________________________________________________________________________________

3.7. Kita, duomenų valdytojo nuomone, reikšminga informacija:

________________________________________________________________________________

4. Priemonės, kurių duomenų valdytojas ėmėsi arba siūlo imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas arba kad būtų sumažintos neigiamos pasekmės:

________________________________________________________________________________

5. Informacija apie tai, ar apie asmens duomenų saugumo pažeidimą informuoti duomenų subjektai (jeigu duomenų subjektai neinformuojami, nurodomos priežastys):

________________________________________________________________________________

6. Pasiūlymai, kokių priemonių gali imtis duomenų subjektai, siekdami sumažinti ar išvengti asmens duomenų saugumo pažeidimo neigiamų padarinių (pildoma, jeigu įmanoma pateikti efektyvių pasiūlymų duomenų subjektui):

________________________________________________________________________________

7. Vėlavimo pateikti informaciją Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) priežastys (pildoma, jeigu pranešimas teikiamas Inspekcijai praėjus daugiau kaip 72 val. po pažeidimo paaiškėjimo):

________________________________________________________________________________

8. Ar su asmens duomenų saugumo pažeidimu susijusi informacija bus teikiama etapais (pildoma, jeigu pradiniame pranešime neįmanoma pateikti visos ir išsamios su asmens duomenų saugumo pažeidimu susijusios informacijos, ir informacija Inspekcijai numatoma teikti etapais):

________________________________________________________________________________

(pareigos) (vardas ir pavardė)

Asmens duomenų saugumo pažeidimų valdymo

Aplinkos apsaugos departamente prie Aplinkos

ministerijos tvarkos aprašo

2 priedas

(Asmens duomenų saugumo pažeidimų registravimo žurnalo forma)

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ REGISTRAVIMO ŽURNALAS

Eil. Nr.	Aplinkos apsaugos departamento prie Aplinkos ministerijos valstybės tarnautojo ar darbuotojo, dirbančio pagal darbo sutartį, ar kito subjekto, pranešusio apie pažeidimą, duomenys (vardas, pavardė, pareigos, kontaktiniai duomenys)	Pažeidimo nustatymo data, valanda (minučių tikslumu) ir vieta	Pažeidimo padarymo data ir vieta	Pažeidimo tipas	Pažeidimo pradžia ir pabaiga, pobūdis, priežastis, kitos aplinkybės	Asmens duomenų, kurių saugumas pažeistas, kategorijos	Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos	Pažeidimo poveikis ir galimos pasekmės	Priemonės, kurių buvo imtasi pažeidimui pašalinti ir (ar) neigiamoms pažeidimo pasekmėms sumažinti	Informacija, ar apie pažeidimą buvo pranešta Valstybinei duomenų apsaugos inspekcijai (pranešimo data, numeris, pavėluoto pranešimo priežastys, priimto sprendimo neteikti pranešimo motyvai)	Informacija, ar apie pažeidimą buvo pranešta duomenų subjektui (data ir numeris), arba nepranešimo priežastys	Kita reikšminga informacija	Žurnalą pildžiusio asmens vardas, pavardė, pareigos
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

_____________________