1. Asmens duomenų saugumo pažeidimų valdymo tvarkant asmens duomenis teisės aktais įgaliotiems duomenų tvarkytojams Lietuvos Respublikos teisingumo ministerijos valdomuose registruose ir valstybės informacinėse sistemose tvarkos aprašas (toliau – Aprašas) nustato asmens duomenų saugumo pažeidimų valdymo, pranešimų asmens duomenų priežiūros institucijai bei duomenų subjektams teikimo tvarką, kai asmens duomenis tvarko teisės aktais įgalioti duomenų tvarkytojai (toliau – duomenų tvarkytojai) Teisingumo ministerijos valdomuose registruose ir valstybės informacinėse sistemose.

2. Duomenų tvarkytojai Teisingumo ministerijos vardu atlieka asmens duomenų, tvarkomų Teisingumo ministerijos valdomuose registruose ir valstybės informacinėse sistemose, saugumo pažeidimų (toliau – asmens duomenų saugumo pažeidimas) tyrimą bei kitas reikalingas asmens duomenų saugumo pažeidimo valdymo procedūras, teikia pranešimus apie asmens duomenų saugumo pažeidimus Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektams Aprašo nustatyta tvarka, nebent kiti teisės aktai, reglamentuojantys Teisingumo ministerijos valdomų registrų ir valstybės informacinių sistemų veiklą, nustato kitaip.

3. Aprašas parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendruoju duomenų apsaugos reglamentu).

4. Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679.

5. Informacijos apie galimą asmens duomenų saugumo pažeidimą gavimo, nagrinėjimo ir asmens duomenų saugumo pažeidimo tyrimo bei asmens duomenų saugumo pažeidimo poveikio duomenų subjektų teisėms ir laisvėms vertinimo (toliau – poveikio duomenų subjektų teisėms ir laisvėms vertinimas) procedūras nustato duomenų tvarkytojas.

6. Teisingumo ministerija, gavusi informaciją dėl galimai padaryto asmens duomenų saugumo pažeidimo, persiunčia ją Teisingumo ministerijos vardu nagrinėti ir vertinti duomenų tvarkytojui per vieną darbo dieną nuo šios informacijos gavimo dienos.

7. Tai atvejais, kai duomenų tvarkytojas nustato, kad asmens duomenų saugumo pažeidimas yra padarytas, atliekamas poveikio duomenų subjektų teisėms ir laisvėms vertinimas. Poveikio duomenų subjektų teisėms ir laisvėms vertinimo išvados gali būti tokios:

8. Kai asmens duomenų saugumo pažeidimas nekelia pavojaus duomenų subjektų teisėms ir laisvėms, apie padarytą asmens duomenų saugumo pažeidimą Valstybinė duomenų apsaugos inspekcija ir duomenų subjektai nėra informuojami. Duomenų tvarkytojas informaciją apie tokius asmens duomenų saugumo pažeidimus Teisingumo ministerijai pateikia kartą per mėnesį.

9. Duomenų tvarkytojas privalo informuoti Valstybinę duomenų apsaugos inspekciją ir (ar) duomenų subjektus, jeigu to pareikalauja Teisingumo ministerija, gavusi informaciją pagal Aprašo 8 punktą ir įvertinusi, kad yra tikimybė kilti pavojui duomenų subjektų teisėms ir laisvėms dėl asmens duomenų saugumo pažeidimo.

10. Asmens duomenų saugumo pažeidimo, kuris gali sukelti pavojų duomenų subjektų teisėms ir laisvėms, atveju duomenų tvarkytojas ne vėliau kaip per 72 valandas nuo tada, kai sužinojo apie asmens duomenų saugumo pažeidimą, vadovaudamasis Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos apraše, patvirtintame Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T-72(1.12. E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“, nustatyta tvarka ir sąlygomis pateikia pranešimą apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai ir Teisingumo ministerijai. Pranešimas rengiamas Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojama forma, patvirtinta Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“.

11. Kai apie asmens duomenų saugumo pažeidimą privaloma informuoti Valstybinę duomenų inspekciją ir per 72 valandas padaryto asmens duomenų saugumo pažeidimo ištirti nėra įmanoma, pranešime apie asmens duomenų saugumo pažeidimą Valstybinei duomenų inspekcijai ir Teisingumo ministerijai pateikiama tuo metu prieinama informacija, nurodyta Reglamento (ES) 2016/679 33 straipsnio 3 dalyje, vėlavimo priežastys ir nurodoma data, kada bus pateikta detalesnė informacija.

12. Jei, pateikus pranešimą apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai ir atlikus tolesnį tyrimą, nustatoma, kad faktiškai nebuvo jokio asmens duomenų saugumo pažeidimo, duomenų tvarkytojas nedelsdamas apie tai informuoja Valstybinę duomenų apsaugos inspekciją ir Teisingumo ministeriją.

13. Jeigu abejojama, ar asmens duomenų saugumo pažeidimas gali sukelti pavojų duomenų subjektų teisės ir laisvėms ir ar reikia pateikti pranešimą apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai bei Teisingumo ministerijai, rekomenduotina pateikti pranešimą apie asmens duomenų saugumo pažeidimą.

14. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, duomenų tvarkytojas privalo nedelsdamas pranešti apie asmens duomenų saugumo pažeidimą tiesiogiai duomenų subjektui, Valstybinei asmens duomenų apsaugos inspekcijai ir Teisingumo ministerijai. Duomenų subjektui aiškia ir suprantama kalba pateikiama tokia informacija: nurodomi asmens duomenų saugumo pažeidimo pobūdis, duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas, pavardė ir kontaktiniai duomenys, tikėtinos asmens duomenų saugumo pažeidimo pasekmės ir priemonės, kurių buvo imtasi arba pasiūlyta imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas, taip pat priemonės galimoms neigiamoms jo pasekmėms sumažinti bei pagal galimybes atitinkamam fiziniam asmeniui skirtos rekomendacijos, kaip sumažinti galimą neigiamą poveikį. Pranešimas duomenų subjektui pateikiamas įprastu bendravimo su juo būdu, dedant maksimalias pastangas, kad jis pasiektų adresatą.

15. Aprašo 14 punkte nurodytas pranešimas duomenų subjektams apie asmens duomenų saugumo pažeidimus gali būti neteikiamas, jeigu yra bent viena iš Reglamento (ES) 2016/679 34 straipsnio 3 dalyje nurodytų sąlygų.

16. Duomenų tvarkytojas privalo informuoti duomenų subjektus apie asmens duomenų saugumo pažeidimą, jeigu to pareikalauja Valstybinė duomenų apsaugos inspekcija ar Teisingumo ministerija, įvertinusi, kad yra tikimybė, jog dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms.

17. Duomenų tvarkytojas pateikia Teisingumo ministerijai visą jos prašomą informaciją, susijusią su informavimu apie asmens duomenų saugumo pažeidimu, su pažeidimo tyrimu ir pažeidimo tyrimo rezultatais, per Teisingumo ministerijos nurodytą terminą.

18. Duomenų tvarkytojas visus asmens duomenų saugumo pažeidimus turi dokumentuoti ir registruoti duomenų tvarkytojo nustatyta tvarka.

19. Registruojant asmens duomenų saugumo pažeidimus turi būti nurodyta ši informacija:

20. Informacija apie asmens duomenų saugumo pažeidimų apskaitą turi būti pateikiama Valstybinei duomenų apsaugos inspekcijai ir Teisingumo ministerijai, joms pareikalavus.

21. Teisingumo ministerijos gauti duomenų tvarkytojo pranešimai apie asmens duomenų saugumo pažeidimus ir kita informacija, susijusi su asmens duomenų saugumo pažeidimų valdymu, pateikiama Teisingumo ministerijos darbuotojui, atsakingam už teisingumo ministro valdymo srities registro ir valstybės informacinės sistemos valdymą, bei duomenų apsaugos pareigūnui.

22. Teisingumo ministerija ir duomenų tvarkytojas bendradarbiauja, kad būtų tinkamai pranešama apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai ir (ar) duomenų subjektui.

23. Jei įtariama, kad asmens duomenų saugumo pažeidimas turi nusikalstamos veikos požymių, duomenų tvarkytojo atsakingas darbuotojas inicijuoja informacijos apie galimai padarytą nusikalstamą veiką teikimą atitinkamoms valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą.

24. Kai padarytas asmens duomenų saugumo pažeidimas yra susijęs su kibernetiniu incidentu, duomenų tvarkytojo atsakingas darbuotojas inicijuoja informacijos apie kibernetinį incidentą, susijusį su asmens duomenų saugumo pažeidimu, teikimą Lietuvos Respublikos kibernetinio saugumo įstatyme nurodytoms valstybės institucijoms šio įstatymo nustatyta tvarka ir atvejais.

25. Aprašo 23 ir 24 punktuose numatytais atvejais informacija pateikiama ir Teisingumo ministerijai.

26. Įvykus bet kokiam asmens duomenų saugumo pažeidimui, duomenų tvarkytojas privalo kuo greičiau imtis visų įmanomų priemonių asmens duomenų saugumo pažeidimams pašalinti, jų pasekmėms eliminuoti, siekdamas atkurti padėtį, buvusią iki įvykstant pažeidimui, taip pat imtis visų priemonių, kad pavojus arba galima žala duomenų subjektų teisėms ir laisvėms būtų sumažinta arba panaikinta.

27. Duomenų tvarkytojas ir Teisingumo ministerija periodiškai analizuoja informaciją apie įvykusius asmens duomenų apsaugos pažeidimus ir imasi prevencinių priemonių, kad ateityje analogiški asmens duomenų apsaugos pažeidimai nebūtų kartojami.