LIETUVOS RESPUBLIKOS FINANSŲ MINISTRAS
ĮSAKYMAS
DĖL ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO FINANSŲ MINISTERIJOJE TYRIMO TVARKOS APRAŠO PATVIRTINIMO
2020 m. liepos 30 d. Nr. 1K-262
Vilnius
Siekdamas užtikrinti tinkamą 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) įgyvendinimą:
1. T v i r t i n u Asmens duomenų saugumo pažeidimo Finansų ministerijoje tyrimo tvarkos aprašą (pridedama).
2. N u s t a t a u šios sudėties Komisiją asmens duomenų saugumo pažeidimams Finansų ministerijoje tirti ir pranešimams apie asmens duomenų saugumo pažeidimus Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektams rengti (toliau – Komisija):
2.1. Finansų ministerijos Projektų valdymo skyriaus vedėjas, o jo nesant arba Komisijos veikloje negalint dalyvauti dėl komandiruotės, atostogų, laikino nedarbingumo ar kitų objektyvių priežasčių, – jo funkcijas laikinai atliekantis asmuo (Komisijos vadovas);
2.2. Finansų ministerijos valdomų ir tvarkomų informacinių sistemų saugos įgaliotinis, o jo nesant arba Komisijos veikloje negalint dalyvauti dėl komandiruotės, atostogų, laikino nedarbingumo ar kitų objektyvių priežasčių, – jo funkcijas laikinai atliekantis asmuo;
3. P a v e d u:
3.1. Komisijai atlikti šiuo įsakymu patvirtintame Asmens duomenų saugumo pažeidimo Finansų ministerijoje tyrimo tvarkos apraše nustatytas funkcijas;
4. N u s t a t a u, kad stebėtojo teisėmis Komisijos veikloje dalyvauja Finansų ministerijos Projektų valdymo skyriaus vyriausiasis specialistas, pagal pareigybės aprašymą atliekantis duomenų apsaugos pareigūno funkcijas, o jo nesant arba Komisijos veikloje negalint dalyvauti dėl komandiruotės, atostogų, laikino nedarbingumo ar kitų objektyvių priežasčių, – kitas šias funkcijas laikinai atliekantis asmuo.
PATVIRTINTA
Lietuvos Respublikos finansų ministro
2020 m. liepos 30 d. įsakymu Nr. 1K-262
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO FINANSŲ MINISTERIJOJE TYRIMO TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų saugumo pažeidimo Finansų ministerijoje tyrimo tvarkos apraše (toliau – Aprašas) reglamentuojama pranešimo apie galimą asmens duomenų saugumo pažeidimą rengimas ir teikimas, asmens duomenų saugumo pažeidimo tyrimas, Valstybinės duomenų apsaugos inspekcijos (toliau – Inspekcija) ir duomenų subjekto informavimas apie tai ir asmens duomenų saugumo pažeidimo įforminimas.
2. Aprašas taikomas Lietuvos Respublikos finansų ministerijai tvarkant duomenų subjektų asmens duomenis ir asmenims, veikiantiems kaip Finansų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų tvarkytojams, bei asmenims, su kuriais sudaryta asmens duomenų tvarkymo sutartis tvarkyti asmens duomenis pagal Finansų ministerijos nurodymus (toliau kartu – duomenų tvarkytojai).
3. Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas) ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų apsaugą.
II SKYRIUS
PRANEŠIMO APIE GALIMĄ ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ RENGIMAS IR TEIKIMAS
4. Finansų ministerijos valstybės tarnautojas ar pagal darbo sutartį dirbantis darbuotojas (toliau – darbuotojas), nustatęs arba sužinojęs iš visuomenės informavimo priemonių ar kitų informacijos šaltinių arba gavęs iš duomenų tvarkytojo informacijos apie galimą asmens duomenų saugumo pažeidimą:
4.1. nedelsdamas, ne vėliau kaip per 2 darbo valandas nuo sužinojimo apie galimą asmens duomenų saugumo pažeidimą momento, apie tai informuoja savo tiesioginį vadovą, užpildo Aprašo 1 priede nustatytos formos pranešimą apie galimą asmens duomenų saugumo pažeidimą (toliau – darbuotojo pranešimas apie pažeidimą) ir pateikia jį su Finansų ministerijos administracijos padalinio, kuriame dirba, vadovo pasirašytu raštu finansų ministro įsakymu sudarytos Komisijos galimiems asmens duomenų saugumo pažeidimams tirti ir pranešimams Inspekcijai ir duomenų subjektams rengti (toliau – Komisija) vadovui ir (arba) Komisiją techniškai aptarnaujančiam Finansų ministerijos administracijos padaliniui;
5. Duomenų tvarkytojai, sužinoję apie galimą asmens duomenų saugumo pažeidimą, nedelsdami, ne vėliau kaip per 24 valandas, Finansų ministerijai pateikia užpildytą Aprašo 2 priede nustatytos formos duomenų tvarkytojo pranešimą apie galimą asmens duomenų saugumo pažeidimą (toliau – duomenų tvarkytojo pranešimas apie pažeidimą) ir visą tuo metu turimą informaciją. Jei paaiškėja naujų aplinkybių dėl galimo asmens duomenų saugumo pažeidimo, ši informacija Finansų ministerijai turi būti pateikta nedelsiant, ne vėliau kaip per 24 valandas nuo jos paaiškėjimo momento. Šiame punkte nurodyti dokumentai ir turima informacija perduodami Komisijos vadovui.
III SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO TYRIMAS
6. Komisija, gavusi darbuotojo pranešimą apie pažeidimą ar duomenų tvarkytojo pranešimą apie pažeidimą (toliau kartu – Pranešimas) atlieka asmens duomenų saugumo pažeidimo tyrimą:
6.2. įvertina, ar Pranešime užtenka duomenų, kad būtų galima daryti išvadą, ar yra asmens duomenų saugumo pažeidimas;
6.3. jeigu įtaria, kad yra asmens duomenų saugumo pažeidimas:
6.3.1. nustato asmens duomenų saugumo pažeidimo tipą:
6.3.1.1. konfidencialumo pažeidimas – neleistinas arba netyčinis asmens duomenų atskleidimas arba prieigos prie asmens duomenų suteikimas;
6.3.3. nustato su pažeidimu susijusių asmens duomenų, įskaitant specialių kategorijų asmens duomenis, kategorijas;
6.3.4. nustato tikėtinas asmens duomenų saugumo pažeidimo pasekmes ir pažeidimo priežastis, lėmusias asmens duomenų saugumo pažeidimą;
6.3.5. įvertina pavojų fizinių asmenų teisėms ir laisvėms, kuris kyla dėl asmens duomenų apsaugos pažeidimo (tikimybę, kad pavojaus nėra, kad pavojus yra arba kad kyla didelis pavojus). Laikoma, kad asmens duomenų saugumo pažeidimas, galintis kelti didelį pavojų fizinių asmenų teisėms ir laisvėms, yra toks pažeidimas, dėl kurio, laiku nesiėmus tinkamų priemonių, duomenų subjektai, kurių asmens duomenų saugumas buvo pažeistas, gali patirti kūno sužalojimą, materialinės žalos (finansinių nuostolių) ar nematerialinės žalos – diskriminaciją, tapatybės vagystę arba klastojimą, pakenkimą reputacijai ir panašaus pobūdžio žalą, taip pat tokia materialinė ir (ar) nematerialinė žala gali būti padaryta, jei pažeidimas yra susijęs su asmens duomenimis, iš kurių galima sužinoti rasinę arba etninę kilmę, politines pažiūras, religinius arba filosofinius įsitikinimus arba priklausymą profesinei sąjungai arba kuriuose yra genetinių duomenų, duomenų apie asmens sveikatą arba lytinį gyvenimą, apkaltinamuosius nuosprendžius ir nusikalstamas veikas arba susijusias apsaugos priemones;
6.3.6. informuoja Finansų ministerijos administracijos padalinius, su kurių veikla susijęs asmens duomenų saugumo pažeidimas, kokių taisomųjų veiksmų turi būti nedelsiant imamasi, kad būtų užkirstas kelias asmens duomenų saugumo pažeidimui, įskaitant priemones, kad galimos neigiamos jo pasekmės neatsirastų arba būtų sumažintos;
6.5. pasitelkia kitus darbuotojus, kiek tai susiję su jų kompetencija, asmens duomenų saugumo pažeidimui tirti ar duomenų tvarkytojų informacinių technologijų specialistus, kai pagal turimus duomenis matyti, kad asmens duomenų saugumo pažeidimas yra susijęs su kibernetiniu incidentu, ir (ar) konsultuojasi su šiais darbuotojais ar specialistais;
6.6. rengdama išvadą, kad padarytas asmens duomenų saugumo pažeidimas, pateikia pasiūlymą (-us) taikyti priemones, kad dėl asmens duomenų saugumo pažeidimo neatsirastų neigiamų pasekmių ar jos būtų sumažintos (naudoti atsargines kopijas, siekiant atkurti prarastus ar sugadintus duomenis, ar taikyti kitas panašias priemones), dėl Aprašo 11, 13, 14 ir 15 punktuose nustatytų veiksmų ir sprendžia dėl pranešimo apie asmens duomenų saugumo pažeidimą Inspekcijai pagal Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamą formą, patvirtintą Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“ (toliau – pranešimas Inspekcijai), ir duomenų subjektui Aprašo IV ir V skyriuose nustatyta tvarka;
6.7. rengdama išvadą, kad padarytas asmens duomenų saugumo pažeidimas, ir nustačiusi galimos nusikalstamos veikos požymius, rengia atitinkamoms valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą, teikiamo pranešimo apie galimą nusikalstamą veiką, projektą ir pateikia jį Finansų ministerijos kancleriui.
7. Finansų ministerijos administracijos padaliniai, su kurių veikla susijęs asmens duomenų saugumo pažeidimas, turi Komisijai pateikti visą prašomą informaciją ir dokumentus, susijusius su asmens duomenų saugumo pažeidimu ir tyrimu, per jos nurodytą terminą.
8. Reikalingus asmens duomenų saugumo pažeidimo tyrimui duomenis ir informaciją duomenų tvarkytojai pateikia Finansų ministerijos rašte nurodytais terminais ir būdais.
9. Komisija, atlikusi asmens duomenų saugumo pažeidimo tyrimą:
9.1. nustačiusi asmens duomenų saugumo pažeidimą, užpildo Aprašo 3 priede nustatytos formos asmens duomenų saugumo pažeidimo tyrimo ataskaitą;
10. Asmens duomenų saugumo pažeidimo tyrimo ataskaitą ir asmens duomenų saugumo pažeidimo tyrimo, kai asmens duomenų saugumo pažeidimas nenustatytas, ataskaitą registruoja Finansų ministerijos duomenų apsaugos pareigūnas Aprašo 5 priede nustatytos formos asmens duomenų saugumo pažeidimų registracijos žurnale.
11. Asmens duomenų saugumo pažeidimo tyrimo ataskaita pateikiama Finansų ministerijos kancleriui ir duomenų tvarkytojo vadovui, jei asmens duomenų saugumo pažeidimas susijęs su duomenų tvarkytojo atliekamais asmens duomenų tvarkymo veiksmais.
12. Finansų ministerijos kancleris, susipažinęs su asmens duomenų saugumo pažeidimo tyrimo ataskaita, priima sprendimą dėl Komisijos pasiūlymo (-ų) įgyvendinimo.
13. Finansų ministerijos kancleris tvirtina Finansų ministerijos duomenų apsaugos pareigūno parengtą asmens duomenų saugumo pažeidimo ištaisymo priemonių planą (toliau – priemonių planas) – technines, organizacines, administracines ir kitas asmens duomenų saugumo pažeidimo ištaisymo priemones, jų įgyvendinimo terminus ir atsakingus už jų įgyvendinimą vykdytojus.
14. Priemonių planas netvirtinamas, jeigu asmens duomenų saugumo pažeidimo tyrimo ataskaitoje nurodyta, kad iki asmens duomenų saugumo pažeidimo tyrimo pradžios ar atliekant tyrimą buvo imtasi tinkamų taisomųjų veiksmų asmens duomenų saugumo pažeidimui pašalinti ir papildomų priemonių nesiūloma.
15. Jei asmens duomenų saugumo pažeidimo tyrimo ataskaitoje nurodoma, kad dėl įvykusio asmens duomenų saugumo pažeidimo duomenų tvarkytojas turi taikyti papildomas priemones ar užtikrinti esamų asmens duomenų saugumo priemonių taikymą, Finansų ministerijos kancleris duoda privalomus nurodymus duomenų tvarkytojui, jei asmens duomenų saugumo pažeidimas susijęs su duomenų tvarkytojo tvarkomais valstybės registrais ar informacinėmis sistemomis. Dokumentus dėl privalomų nurodymų duomenų tvarkytojui rengia asmenys, atsakingi už sutarties vykdymą.
IV SKYRIUS
INSPEKCIJOS INFORMAVIMAS
16. Komisija nedelsdama, jei įmanoma, nepraėjus 72 valandoms nuo momento, kai sužinojo apie asmens duomenų saugumo pažeidimą, parengia pranešimą Inspekcijai.
17. Kai asmens duomenų saugumo pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms, apie padarytą asmens duomenų saugumo pažeidimą Inspekcija ir duomenų subjektas neinformuojami.
18. Kai per 72 valandas neįmanoma ištirti, ar padarytas asmens duomenų saugumo pažeidimas, ir apie pažeidimą privaloma informuoti Inspekciją, pranešime Inspekcijai pateikiama tuo metu turima informacija, nurodyta Reglamento 33 straipsnio 3 dalyje, tyrimo vėlavimo priežastys ir nurodoma, kada bus pateikta kita detalesnė informacija. Kai pateikus pranešimą Inspekcijai toliau tęsiant asmens duomenų saugumo pažeidimo tyrimą nustatoma, kad buvo sustabdyti veiksmai, kurie būtų lėmę asmens duomenų saugumo pažeidimą, ir (ar) faktiškai nebuvo jokio asmens duomenų saugumo pažeidimo, Komisija nedelsdama apie tai parengia informaciją Inspekcijai.
19. Kai padarytas asmens duomenų saugumo pažeidimas yra susijęs su kibernetiniu incidentu, Finansų ministerijos Informacinių technologijų departamento parengta informacija apie kibernetinį incidentą pateikiama Kibernetinio saugumo įstatyme nurodytoms valstybės institucijoms šio įstatymo nustatyta tvarka ir atvejais.
V SKYRIUS
DUOMENŲ SUBJEKTO INFORMAVIMAS
20. Komisija nedelsdama, jei įmanoma, nepraėjus 72 valandoms nuo momento, kai buvo sužinota apie asmens duomenų saugumo pažeidimą, kuris gali kelti didelį pavojų fizinių asmenų teisėms ir laisvėms, kaip nustatyta Aprašo 6.3.5 papunktyje, išskyrus Reglamento 34 straipsnio 3 dalyje nustatytas išimtis, parengia duomenų subjektui rašytinį pranešimą, kuriame nurodo:
20.2. Finansų ministerijos duomenų apsaugos pareigūno arba kito atsakingo asmens, galinčio suteikti daugiau informacijos apie asmens duomenų saugumo pažeidimą, vardą, pavardę ir kontaktinius duomenis (telefono ryšio numeris, elektroninio pašto adresas);
20.4. priemones, kurios jau buvo pritaikytos arba kurias Komisija pasiūlė taikyti, kad būtų pašalintas asmens duomenų saugumo pažeidimas, įskaitant priemones galimoms neigiamoms asmens duomenų saugumo pažeidimo pasekmėms sumažinti, taip pat duomenų subjektui skirtas rekomendacijas, kaip sumažinti galimą neigiamą asmens duomenų saugumo pažeidimo poveikį;
21. Duomenų subjektas gali būti informuojamas nesilaikant Aprašo 20 punkte nustatyto termino, jeigu įgyvendinamos tinkamos priemonės, kuriomis neleidžiama atsirasti pakartotiniams ar panašiems asmens duomenų saugumo pažeidimams.
VI SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO ĮFORMINIMAS
23. Finansų ministerijos duomenų apsaugos pareigūnas per 5 darbo dienas nuo asmens duomenų saugumo pažeidimo tyrimo ataskaitos užregistravimo dienos užpildo asmens duomenų saugumo pažeidimų registracijos žurnalą. Prireikus asmens duomenų saugumo pažeidimų registracijos žurnale pateikta informacija gali būti tikslinama ir (ar) papildoma.
VII SKYRIUS
BAIGIAMOSIOS NUOSTATOS
25. Visi su asmens duomenų saugumo pažeidimo tyrimu ir pranešimų Inspekcijai ir duomenų subjektui pateikimu susiję dokumentai tvarkomi ir saugomi Lietuvos Respublikos finansų ministerijos darbo reglamente, patvirtintame Lietuvos Respublikos finansų ministro 2003 m. spalio 15 d. įsakymo Nr. 1K-251 „Dėl Lietuvos Respublikos finansų ministerijos darbo reglamento patvirtinimo“, nustatyta tvarka.
Asmens duomenų saugumo pažeidimo
Finansų ministerijoje tyrimo tvarkos
aprašo
1 priedas
(Pranešimo apie galimą asmens duomenų saugumo pažeidimą forma)
LIETUVOS RESPUBLIKOS FINANSŲ MINISTERIJOS
___________________________________________________
(administracijos padalinio pavadinimas)
___________________________________________________
(pareigų pavadinimas)
___________________________________________________
(vardas, pavardė)
PRANEŠIMAS
APIE GALIMĄ ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ
_____________ Nr. _________
(data)
Vilnius
Informuoju apie galimą asmens duomenų saugumo pažeidimą, pateikdamas man turimą informaciją apie jį:
| 1. Sužinojimo apie galimą asmens duomenų saugumo pažeidimą data, laikas (minučių tikslumu) |
Data ______________ Laikas __________
| 2. Galimo asmens duomenų saugumo pažeidimo padarymo data, laikas (minučių tikslumu) ir vieta |
Data ______________ Laikas __________ Vieta________________________________________
| 3. Galimo asmens duomenų saugumo pažeidimo pobūdis, esmė ir aplinkybės |
________________________________________________________________________________
________________________________________________________________________________
| 4. Duomenų subjektų kategorijos (pvz., darbuotojai, asmenys, pateikę prašymus, skundus ir pan.) ir duomenų subjektų skaičius (jei žinoma) |
________________________________________________________________________________
________________________________________________________________________________
| 5. Asmens duomenų kategorijos, susijusios su galimu asmens duomenų saugumo pažeidimu (pažymėti tinkamą (-as): |
Asmens tapatybę patvirtinantys asmens duomenys (vardas, pavardė, amžius, gimimo data, lytis ir kt.):
______________________________________________________________________________________________
Specialių kategorijų asmens duomenys (duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, ar narystę profesinėse sąjungose, genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie lytinį gyvenimą ir lytinę orientaciją):
______________________________________________________________________________________________
Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas:
______________________________________________________________________________________________
Prisijungimo duomenys ir (ar) asmens identifikaciniai numeriai (pavyzdžiui, asmens kodas, mokėtojo kodas, slaptažodžiai):
______________________________________________________________________________________________
Kiti duomenys:
______________________________________________________________________________________________
Nežinomi duomenys (pranešimo teikimo metu):
| 6. Kokių veiksmų ar priemonių buvo imtasi sužinojus apie galimą asmens duomenų saugumo pažeidimą (pvz., pakeisti kompiuterio slaptažodžiai, nutraukta neteisėta prieiga prie tvarkomų asmens duomenų, panaudotos atsarginės kopijos, siekiant atkurti prarastus ar sugadintus duomenis, atnaujinta programinė įranga, surinkti ne saugoti skirtoje vietoje palikti dokumentai su asmens duomenimis ir pan.) |
________________________________________________________________________________
________________________________________________________________________________
| (pareigų pavadinimas) |
|
(parašas) |
|
(vardas, pavardė) |
Asmens duomenų saugumo pažeidimo Finansų ministerijoje tyrimo tvarkos aprašo
2 priedas
(Duomenų tvarkytojo pranešimo apie galimą asmens duomenų saugumo pažeidimą forma)
(duomenų tvarkytojo pavadinimas)
(juridinio asmens kodas ir buveinės adresas)
(telefono ryšio numeris ir (ar) elektroninio pašto adresas)
Lietuvos Respublikos finansų ministerijai
DUOMENŲ TVARKYTOJO PRANEŠIMAS
APIE GALIMĄ ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ
_____________ Nr. _________
(data)
| 1. Galimo asmens duomenų saugumo pažeidimo apibūdinimas |
1.2. Galimo asmens duomenų saugumo pažeidimo vieta (pažymėti tinkamą (-us) variantą (-us):
Informacinė sistema
Duomenų bazė
Tarnybinė stotis
Interneto svetainė
Debesijos paslaugos
Nešiojamieji ar mobilieji įrenginiai
Neautomatiniu būdu susistemintos bylos (archyvas)
Kita ___________________________________________________________________
1.3. Galimo asmens duomenų saugumo pažeidimo aplinkybės (pažymėti tinkamą (-us) variantą (-us):
Asmens duomenų konfidencialumo praradimas (neautorizuota prieiga ar atskleidimas)
Asmens duomenų vientisumo praradimas (neautorizuotas asmens duomenų pakeitimas)
Asmens duomenų prieinamumo praradimas (asmens duomenų praradimas, sunaikinimas)
1.4. Apytikslis duomenų subjektų, kurių asmens duomenų saugumas galimai pažeistas, skaičius:
_____________________________________________________________________________
1.5. Duomenų subjektų, kurių asmens duomenų saugumas galimai pažeistas, kategorijos (skiriamos pagal jai būdingą požymį):
_____________________________________________________________________________
1.6. Asmens duomenų, kurių saugumas galimai pažeistas, kategorijos (pažymėti tinkamą (-as) kategoriją (-as):
Asmens tapatybę patvirtinantys asmens duomenys (vardas, pavardė, amžius, gimimo data, lytis ir kt.):
_____________________________________________________________________________
Specialių kategorijų asmens duomenys (duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, ar narystę profesinėse sąjungose, genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie lytinį gyvenimą ir lytinę orientaciją):
_____________________________________________________________________________
Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas:
_____________________________________________________________________________
Prisijungimo duomenys ir (ar) asmens identifikaciniai numeriai (pavyzdžiui, asmens kodas, mokėtojo kodas, slaptažodžiai):
_____________________________________________________________________________
Kiti duomenys:
_____________________________________________________________________________
Nežinomi duomenys (pranešimo teikimo metu):
1.7. Apytikslis asmens duomenų, kurių saugumas galimai pažeistas, skaičius:
_____________________________________________________________________________
1.8. Kita, duomenų tvarkytojo nuomone, reikšminga informacija apie galimą asmens duomenų saugumo pažeidimą:
_____________________________________________________________________________
| 2. Galimos asmens duomenų saugumo pažeidimo pasekmės |
2.1. Konfidencialumo praradimo atveju:
Asmens duomenų išplitimas labiau, nei yra būtina, ir duomenų subjekto kontrolės praradimas savo asmens duomenų atžvilgiu (pavyzdžiui, asmens duomenų išplitimas internete)
Skirtingos informacijos susiejimas (pavyzdžiui, gyvenamosios vietos adreso susiejimas su asmens buvimo vieta realiuoju laiku)
Galimas panaudojimas kitais nei nustatytais ar neteisėtais tikslais (pavyzdžiui, komerciniais, asmens tapatybės pasisavinimo, informacijos panaudojimo prieš asmenį tikslais)
Kita
_____________________________________________________________________________
2.2. Vientisumo praradimo atveju:
Duomenų pakeitimas į neteisingus duomenis, dėl ko asmuo gali netekti galimybės naudotis paslaugomis
Galiojančių duomenų pakeitimas, priskiriant juos kitam asmeniui (pavyzdžiui, pavogta asmens tapatybė susiejant vieno asmens identifikuojančius duomenis su kito asmens biometriniais duomenimis)
Kita
_____________________________________________________________________________
2.3. Duomenų prieinamumo praradimo atveju:
Dėl asmens duomenų trūkumo negalima teikti paslaugų (pavyzdžiui, sutrikdomi administraciniai procesai, dėl ko negalima prieiti prie asmens duomenų ir įgyvendinti duomenų subjekto teisių)
Dėl klaidų asmens duomenų tvarkymo procesuose negalima teikti tinkamų paslaugų (pavyzdžiui, tam tikra informacija iš informacinės sistemos išnyko, dėl ko negalima tinkamai suteikti administracinės paslaugos)
Kita
_____________________________________________________________________________
2.4. Kitais atvejais:
_____________________________________________________________________________
| 3. Priemonės, kurių imtasi siekiant pašalinti galimą pažeidimą ar sumažinti jo pasekmes |
3.1. Taikytos priemonės, siekiant sumažinti poveikį duomenų subjektams:
_____________________________________________________________________________
3.2. Taikytos priemonės, siekiant pašalinti galimą asmens duomenų saugumo pažeidimą:
_____________________________________________________________________________
3.3. Taikytos priemonės, siekiant, kad galimas asmens duomenų saugumo pažeidimas nepasikartotų:
_____________________________________________________________________________
3.4. Kita:
_____________________________________________________________________________
| 4. Siūlomos priemonės galimo asmens duomenų saugumo pažeidimo pasekmėms sumažinti |
_____________________________________________________________________________
| 5. Asmuo, galintis suteikti daugiau informacijos apie galimą asmens duomenų saugumo pažeidimą (duomenų apsaugos pareigūnas ar kitas kontaktinis asmuo) |
Asmens duomenų saugumo pažeidimo
Finansų ministerijoje tyrimo tvarkos
aprašo
3 priedas
(Asmens duomenų saugumo pažeidimo tyrimo ataskaitos forma)
KOMISIJA ASMENS DUOMENŲ SAUGUMO PAŽEIDIMAMS FINANSŲ MINISTERIJOJE TIRTI IR PRANEŠIMAMS APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMUS VALSTYBINEI DUOMENŲ APSAUGOS INSPEKCIJAI IR DUOMENŲ SUBJEKTAMS RENGTI
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO TYRIMO ATASKAITA
_____________ Nr. _________
(data)
Vilnius
| 1. Asmens duomenų saugumo pažeidimo aprašymas |
|
| 1.1. Asmens duomenų saugumo pažeidimo data, valanda (minučių tikslumu)
|
|
| 1.2. Asmens duomenų saugumo pažeidimo vieta (informacinė sistema, duomenų bazė, tarnybinė stotis, interneto svetainė, debesijos paslaugos, nešiojamieji ar mobilieji įrenginiai, neautomatiniu būdu susistemintos bylos (archyvas), kita)
|
|
| 1.3. Asmens duomenų saugumo pažeidimo nustatymo data, valanda (minučių tikslumu)
|
|
| 1.4. Darbuotojas, pranešęs apie asmens duomenų saugumo pažeidimą (vardas, pavardė, Finansų ministerijos administracijos padalinio, kuriame dirba darbuotojas, pavadinimas, telefono ryšio numeris, elektroninio pašto adresas)
|
|
| 1.5. Duomenų tvarkytojo, pranešusio apie asmens duomenų saugumo pažeidimą, pavadinimas, jo kontaktinio asmens duomenys (vardas, pavardė, telefono ryšio numeris, elektroninio pašto adresas)
|
|
| 1.6. Asmens duomenų saugumo pažeidimo pobūdis, esmė ir aplinkybės:
|
|
| 1.6.1. Asmens duomenų konfidencialumo praradimas (be leidimo ar neteisėtai atskleidžiami asmens duomenys arba gaunama prieiga prie jų) |
|
| 1.6.2. Asmens duomenų vientisumo praradimas (kai asmens duomenys pakeičiami be leidimo ar netyčia) |
|
| 1.6.3. Asmens duomenų prieinamumo praradimas (kai netyčia arba neteisėtai prarandama prieiga prie asmens duomenų arba jie sunaikinami)
|
|
| 1.7. Apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius
|
|
| 1.8. Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos (skiriamos pagal jai būdingą požymį)
|
|
| 1.9. Asmens duomenų, kurių saugumas pažeistas, kategorijos:
|
|
| 1.9.1. Asmens tapatybę patvirtinantys asmens duomenys (vardas, pavardė, amžius, gimimo data, lytis ir kt.)
|
|
| 1.9.2. Specialių kategorijų asmens duomenys (duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, ar narystę profesinėse sąjungose, genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie lytinį gyvenimą ir lytinę orientaciją)
|
|
| 1.9.3. Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas
|
|
| 1.9.4. Prisijungimo duomenys ir (ar) asmens identifikaciniai numeriai (pavyzdžiui, asmens kodas, mokėtojo kodas, slaptažodžiai)
|
|
| 1.9.5. Kiti duomenys
|
|
| 1.9.6. Duomenys nežinomi (ataskaitos rengimo metu)
|
|
| 1.10. Apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius
|
|
| 1.11. Asmens duomenų saugumo pažeidimo trukmė
|
|
| 1.12. Kita reikšminga informacija apie asmens duomenų saugumo pažeidimą (jei tokia yra)
|
|
| 2. Asmens duomenų saugumo pažeidimo rizikos vertinimas |
|
| 2.1. Priežastys, lėmusios asmens duomenų saugumo pažeidimą (pvz., duomenų ar įrangos, kurioje yra saugomi asmens duomenys, vagystė, netinkamos prieigos kontrolės priemonės, leidžiančios neteisėtai naudotis asmens duomenimis, įrangos gedimas, žmogiška klaida, įsilaužimo ataka ir pan.)
|
|
| 2.2. Asmens duomenų saugumo pažeidimo pasekmės: |
|
| 2.2.1. Konfidencialumo praradimo atveju:
|
|
| 2.2.1.1. Asmens duomenų išplitimas labiau, nei yra būtina, ir duomenų subjekto kontrolės praradimas savo asmens duomenų atžvilgiu (pavyzdžiui, asmens duomenų išplitimas internete) |
|
| 2.2.1.2. Skirtingos informacijos susiejimas (pavyzdžiui, gyvenamosios vietos adreso susiejimas su asmens buvimo vieta realiuoju laiku) |
|
| 2.2.1.3. Galimas asmens duomenų panaudojimas kitais nei nustatytais ar neteisėtais tikslais (pavyzdžiui, komerciniais, asmens tapatybės pasisavinimo, informacijos panaudojimo prieš asmenį tikslais) |
|
| 2.2.1.4. Kita |
|
| 2.2.2. Vientisumo praradimo atveju: |
|
| 2.2.2.1. Duomenų pakeitimas į neteisingus duomenis, dėl ko asmuo gali netekti galimybės naudotis paslaugomis |
|
| 2.2.2.2. Galiojančių duomenų pakeitimas, priskiriant juos kitam asmeniui (pavyzdžiui, pavogta asmens tapatybė susiejant vieną asmenį identifikuojančius duomenis su kito asmens biometriniais duomenimis) |
|
| 2.2.2.3. Kita |
|
| 2.2.3. Duomenų prieinamumo praradimo atveju: |
|
| 2.2.3.1. Dėl asmens duomenų trūkumo negalima teikti paslaugų (pavyzdžiui, sutrikdomi administraciniai procesai, dėl ko negalima prieiti prie asmens duomenų ir įgyvendinti duomenų subjekto teisių) |
|
| 2.2.3.2. Dėl klaidų asmens duomenų tvarkymo procesuose negalima teikti tinkamų paslaugų (pavyzdžiui, tam tikra informacija iš informacinės sistemos išnyko, dėl ko negalima tinkamai suteikti administracinės paslaugos) |
|
| 2.2.3.3. Kita
|
|
| 2.2.4. Kitos pasekmės (jei yra)
|
|
| 2.3. Ar dėl pažeistų asmens duomenų pobūdžio kyla didesnė žalos rizika? |
|
| 2.4. Dėl asmens duomenų saugumo pažeidimo nėra pavojaus fizinių asmenų teisėms ir laisvėms ( žema rizikos tikimybė) |
|
| 2.5. Dėl asmens duomenų saugumo pažeidimo yra ar gali kilti pavojus fizinių asmenų teisėms ir laisvėms (būtina pranešti Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) (vidutinė rizikos tikimybė) |
|
| 2.6. Dėl asmens duomenų saugumo pažeidimo yra ar gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms (būtina pranešti Inspekcijai ir duomenų subjektams) (aukšta rizikos tikimybė) |
|
| 2.7. Kas turėjo prieigą prie pažeistų asmens duomenų iki asmens duomenų saugumo pažeidimo padarymo? |
|
| 2.8. Kas gavo prieigą prie pažeistų asmens duomenų? |
|
| 2.9. Ar buvo kitų įvykių, kurie galėjo nulemti asmens duomenų saugumo pažeidimą? |
|
| 2.10. Ar iki asmens duomenų saugumo pažeidimo asmens duomenys buvo tinkamai užkoduoti, nuasmeninti ar kitaip lengvai neprieinami? |
|
| 2.11. Informacinių technologijų sistemos, įrenginiai, įranga, įrašai, susiję su asmens duomenų saugumo pažeidimu |
|
| 2.12. Ar tai yra sisteminė klaida, ar vienetinis incidentas? |
|
| 2.13. Kokia žala buvo padaryta duomenų subjektui ar Finansų ministerijai (tapatybės vagystė, grėsmė fiziniam saugumui ir emocinei gerovei, žala reputacijai, teisinė atsakomybė, konfidencialumo, saugumo nuostatų pažeidimas ir pan.)? |
|
| 3. Priemonės, kurios taikytos siekiant pašalinti pažeidimą, kad dėl jo neatsirastų neigiamų pasekmių, ar sumažinti jo neigiamas pasekmes
|
|
| 3.1. Taikytos priemonės, siekiant pašalinti asmens duomenų saugumo pažeidimą |
|
| 3.2. Taikytos priemonės, siekiant sumažinti poveikį duomenų subjektams |
|
| 3.3.Taikytos priemonės, siekiant, kad asmens duomenų saugumo pažeidimas nepasikartotų
|
|
| 3.4. Taikytos techninės priemonės asmens duomenų saugumo pažeidimo paveiktiems asmens duomenims, siekiant užtikrinti, kad asmens duomenys nebūtų prieinami neįgaliotiems asmenims |
|
| 3.5. Priemonės, kurias ketinama įgyvendinti, įskaitant priemones, kuriomis siekiama, kad dėl asmens duomenų saugumo pažeidimo neatsirastų neigiamų pasekmių ar jos būtų sumažintos |
|
| 3.6. Kitos priemonės
|
|
| 4. Pranešimų pateikimas |
|
| 4.1. Duomenų subjekto informavimas apie asmens duomenų saugumo pažeidimą: |
|
| 4.1.1. Duomenų subjektas informuotas (nurodoma data ir numeris) |
|
| 4.1.2. Duomenų subjektas neinformuotas, bet bus informuotas (nurodoma data) |
|
| 4.1.3. Duomenų subjektas neinformuotas |
|
| 4.2. Vėlavimo pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą priežastys
|
|
| 4.3. Priemonė, kuria buvo pateiktas pranešimas duomenų subjektui (paštu, elektroninio pašto pranešimu ar SMS pranešimu ir kt.)
|
|
| 4.4. Informuotų duomenų subjektų skaičius |
|
| 4.5. Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, neinformavimo priežastys:
|
|
| 4.5.1. Nėra didelio pavojaus duomenų subjektų teisėms ir laisvėms (nurodoma, kodėl nėra pavojaus)
|
|
| 4.5.2. Įgyvendintos tinkamos techninės ir organizacinės priemonės, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami (nurodomos priemonės)
|
|
| 4.5.3. Įgyvendintos tinkamos techninės ir organizacinės priemonės, kuriomis užtikrinama, kad nekiltų didelis pavojus duomenų subjektų teisėms ir laisvėms (nurodomos priemonės)
|
|
| 4.5.4. Nes informavimas pareikalautų neproporcingai daug pastangų, o apie asmens duomenų saugumo pažeidimą viešai paskelbta (arba taikyta panaši priemonė) (nurodoma, kada ir kur paskelbta informacija viešai, arba, jei taikyta kita priemonė, nurodoma, kokia ir kada taikyta)
|
|
| 4.5.5. Nes dar neidentifikuoti duomenų subjektai, kurių asmens duomenų saugumas pažeistas
|
|
| 4.6. Informacija, kuri buvo pateikta duomenų subjektams (gali būti pridėta pranešimo duomenų subjektui kopija)
|
|
| 4.7. Ar pranešta Inspekcijai apie asmens duomenų saugumo pažeidimą: |
|
| 4.7.1. Taip, Inspekcijai pranešta (nurodoma pranešimo data ir numeris) |
|
| 4.7.2. Ne, bet Inspekcijai bus pranešta (nurodoma data) |
|
| 4.7.3. Ne
|
|
| 4.8. Ar pranešta valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą, apie asmens duomenų saugumo pažeidimą, galimai turintį nusikalstamos veikos požymių: |
|
| 4.8.1. Taip, pranešta (nurodoma pranešimo data ir numeris, gavėjas) |
|
| 4.8.2. Ne, bet bus pranešta (nurodoma data, gavėjas) |
|
| 4.8.3. Ne
|
|
| 4.9. Vėlavimo pranešti Inspekcijai apie asmens duomenų saugumo pažeidimą priežastys
|
|
| 4.10. Nepranešimo apie asmens duomenų saugumo pažeidimą Inspekcijai priežastys
|
|
| 4.11. Ar pranešta valstybės institucijoms, nurodytoms Lietuvos Respublikos kibernetinio saugumo įstatyme, apie kibernetinį incidentą, susijusį su asmens duomenų saugumo pažeidimu: |
|
| 4.11.1. Taip, pranešta (nurodoma pranešimo data ir numeris, gavėjas) |
|
| 4.11.2. Ne, bet bus pranešta (nurodoma data, gavėjas) |
|
| 4.11.3. Ne
|
|
| 5. Komisijos išvada dėl asmens duomenų saugumo pažeidimo
|
|
| 6. Komisijos pasiūlymas (-ai)
|
|
| 7. Komisijos nario atskiroji nuomonė (jeigu yra)
|
|
Komisijos nariai:
| (pareigų pavadinimas) |
|
(parašas) |
|
(vardas, pavardė) |
| (pareigų pavadinimas) |
|
(parašas) |
|
(vardas, pavardė) |
| (pareigų pavadinimas) |
|
(parašas) |
|
(vardas, pavardė) |
Asmens duomenų saugumo pažeidimo
Finansų ministerijoje tyrimo tvarkos
aprašo
4 priedas
(Asmens duomenų saugumo pažeidimo tyrimo, kai asmens duomenų saugumo pažeidimas nenustatytas, ataskaitos forma)
KOMISIJA ASMENS DUOMENŲ SAUGUMO PAŽEIDIMAMS FINANSŲ MINISTERIJOJE TIRTI IR PRANEŠIMAMS APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMUS VALSTYBINEI DUOMENŲ APSAUGOS INSPEKCIJAI IR DUOMENŲ SUBJEKTAMS RENGTI
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO TYRIMO, KAI ASMENS DUOMENŲ SAUGUMO PAŽEIDIMAS NENUSTATYTAS, ATASKAITA
_____________ Nr. _________
(data)
Vilnius
| 1. Informacija apie asmens duomenų saugumo pažeidimą |
|
| 1.3. Asmens duomenų saugumo pažeidimo data, valanda (minučių tikslumu)
|
|
| 1.4. Asmens duomenų saugumo pažeidimo vieta (informacinė sistema, duomenų bazė, tarnybinė stotis, interneto svetainė, debesijos paslaugos, nešiojamieji ar mobilieji įrenginiai, neautomatiniu būdu susistemintos bylos (archyvas), kita)
|
|
| 1.3. Sužinojimo apie asmens duomenų saugumo pažeidimą data, valanda (minučių tikslumu)
|
|
| 1.4. Darbuotojas, pranešęs apie asmens duomenų saugumo pažeidimą (vardas, pavardė, Finansų ministerijos administracijos padalinio, kuriame dirba darbuotojas, pavadinimas, telefono ryšio numeris, elektroninio pašto adresas)
|
|
| 1.5. Duomenų tvarkytojo, pranešusio apie asmens duomenų saugumo pažeidimą, pavadinimas, jo kontaktinio asmens duomenys (vardas, pavardė, telefono ryšio numeris, elektroninio pašto adresas)
|
|
| 1.6. Asmens duomenų saugumo pažeidimo pobūdis, esmė ir aplinkybės
|
|
| 1.7. Kita reikšminga informacija apie asmens duomenų saugumo pažeidimą (jei tokios yra)
|
|
| 1.8. Asmens duomenų saugumo pažeidimą lėmusios priežastys
|
|
| 1.9. Asmens duomenų saugumo pažeidimo prielaidos – ar tai sisteminė klaida, ar vienetinis incidentas |
|
| 2. Priemonės, kurias ketinama įgyvendinti, kad panašūs incidentai nepasikartotų |
|
| 3. Komisijos išvada dėl asmens duomenų saugumo pažeidimo
|
|
| 4. Komisijos nario atskiroji nuomonė (jeigu yra)
|
|
Komisijos nariai:
| (pareigų pavadinimas) |
|
(parašas) |
|
(vardas, pavardė) |
| (pareigų pavadinimas) |
|
(parašas) |
|
(vardas, pavardė) |
| (pareigų pavadinimas) |
|
(parašas) |
|
(vardas, pavardė) |
Asmens duomenų saugumo pažeidimo Finansų
ministerijoje tyrimo tvarkos aprašo
5 priedas
(Asmens duomenų saugumo pažeidimų registracijos žurnalo forma)
LIETUVOS RESPUBLIKOS FINANSŲ MINISTERIJA
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ REGISTRACIJOS ŽURNALAS
| Eil.Nr. |
Asmens duomenų saugumo pažeidimo (toliau – pažeidimas) tyrimo ataskaitos data ir numeris |
Pažeidimo aprašymas (pažeidimo data, laikas (val., min.), pažeidimo pobūdis, priežastys, asmens duomenų, kurių saugumas pažeistas, kategorijos ir skaičius, duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos ir apytikslis skaičius) |
Pažeidimo nustatymo aplinkybės (pažeidimo nustatymo data, laikas (val., min.), asmuo, pranešęs apie pažeidimą (vardas, pavardė, pareigos) |
Pažeidimo pasekmės ir pavojus fizinių asmenų teisėms ir laisvėms |
Priemonės, kurių buvo imtasi, kad būtų pašalintas pažeidimas, įskaitant priemones galimoms neigiamoms pažeidimo pasekmėms sumažinti |
Informacija apie pranešimą Valstybinei duomenų apsaugos inspekcijai apie pažeidimą (jei apie pažeidimą nebuvo pranešta, nurodomi tokio sprendimo motyvai; jei apie pažeidimą buvo pranešta, nurodoma pranešimo data ir numeris, taip pat ar informacija teikiama etapais; jeigu pranešti apie pažeidimą buvo vėluojama, nurodomos vėlavimo priežastys) |
Informacija apie pranešimą duomenų subjektui apie pažeidimą (jei apie pažeidimą nebuvo pranešta, nurodomi tokio sprendimo motyvai; jei apie pažeidimą buvo pranešta, nurodoma pranešimo (-ų) data (-os), numeris (-iai) ir būdas (-ai); jeigu apie pažeidimą buvo vėluojama pranešti, nurodomos vėlavimo priežastys) |
Kita su pažeidimu susijusi reikšminga informacija |
| 1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|