LIETUVOS TRANSPORTO SAUGOS ADMINISTRACIJOS

DIREKTORIUS

ĮSAKYMAS

DĖL PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ PATEIKIMO TVARKOS APRAŠO PATVIRTINIMO

2019 m. balandžio 16 d. Nr. 2BE-109

Vilnius

Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento) (OL 2016 L 119, p. 1) 24 straipsnio 1 dalimi:

1. T v i r t i n u Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo tvarkos aprašą (pridedama).

2. Į g a l i o j u Projektų valdymo skyriaus patarėją Gintarą Serbentą, o jo nesant Projektų valdymo skyriaus vyriausiąjį specialistą Vytautą Zakšauską, nagrinėti pranešimus apie asmens duomenų saugumo pažeidimus ir atlikti kitus veiksmus, numatytus Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo tvarkos apraše.

3. I n f o r m u o j u, kad šis įsakymas nustatyta tvarka skelbiamas Teisės aktų registre ir Lietuvos transporto saugos administracijos interneto svetainėje.

Administracijos direktorius Genius Lukošius

PATVIRTINTA

Lietuvos transporto saugos administracijos

direktoriaus

2019 m. balandžio 16 d. įsakymu Nr. 2BE-109

PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ PATEIKIMO TVARKOS APRAŠAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo tvarkos aprašas (toliau –Aprašas) nustato pranešimo apie asmens duomenų saugumo pažeidimo nagrinėjimo bei informacijos apie jį pateikimo duomenų subjektui ir Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) tvarką.

2. Aprašas taikomas Lietuvos transporto saugos administracijai (toliau – Administracija) tvarkant duomenų subjektų asmens duomenis ir juridiniams asmenims, su kuriais sudaryta asmens duomenų tvarkymo sutartis, tvarkant asmens duomenis pagal Administracijos nurodymus (toliau – duomenų tvarkytojai).

3. Aprašas parengtas pagal 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrąjį duomenų apsaugos reglamentą) (OL 2016 L 119, p. 1) (toliau – Reglamentas (ES) 2016/679).

4. Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679.

II SKYRIUS

PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ PROCEDŪRA

5. Administracijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį (toliau kartu – darbuotojai), sužinojęs ar pats nustatęs galimą asmens duomenų saugumo pažeidimą arba kai informacija apie galimą asmens duomenų saugumo pažeidimą gaunama iš duomenų tvarkytojo, žiniasklaidos ar kito šaltinio:

5.1. užpildo Pranešimą apie asmens duomenų saugumo pažeidimą (1 priedas) ir nedelsdamas, bet ne vėliau kaip per 2 darbo valandas nuo asmens duomenų saugumo pažeidimo paaiškėjimo momento, perduoda jį Administracijos direktoriaus įgaliotam asmeniui ir Administracijos duomenų apsaugos pareigūnui, įpareigotam atlikti Reglamento (ES) 2016/679 39 straipsnyje nurodytas užduotis;

5.2. jei įmanoma, imasi priemonių pašalinti asmens duomenų saugumo pažeidimą ir sumažinti galimas neigiamas jo pasekmes.

6. Duomenų tvarkytojai, sužinoję apie asmens duomenų saugumo pažeidimą, nedelsdami, bet ne vėliau kaip per 3 darbo valandas, apie tai praneša Administracijai el. paštu ltsa@ltsa.lrv.lt, pateikdami pranešimą, kurio turinys numatytas Reglamento (ES) 2016/679 33 straipsnio 3 dalyje, ir nurodydami tiek informacijos, kiek jos įmanoma pateikti tuo metu.

7. Administracijos direktoriaus įgaliotas asmuo, gavęs darbuotojų užpildytą pranešimą ar duomenų tvarkytojų pranešimus (toliau kartu – pranešimas):

7.1. nedelsdamas nagrinėja pranešime nurodytas aplinkybes;

7.2. įvertina, ar padarytas asmens duomenų saugumo pažeidimas;

7.3. jei asmens duomenų saugumo pažeidimas padarytas, nustato, kokio tipo pažeidimas padarytas, taip pat nustato asmens duomenų kategorijas, kurios buvo susijusios su pažeidimu, pažeidimo priežastis, lėmusias asmens duomenų saugumo pažeidimą, apimtį (duomenų subjektų kategorijas ir skaičių), žalą, padarytą asmeniui;

7.4. konsultuojasi su Administracijos duomenų apsaugos pareigūnu;

7.5. pasitelkia Administracijos Projektų valdymo skyriaus darbuotojus (asmens duomenų, tvarkomų Administracijoje, saugumo pažeidimas) ar duomenų tvarkytojų informacinių technologijų specialistus (asmens duomenų, tvarkomų pagal Administracijos nurodymus, saugumo pažeidimas ir pan.), jei asmens duomenų saugumo pažeidimas yra susijęs su elektroninės informacijos saugos ir kibernetinio saugumo incidentu;

7.6. nustato, kokių skubių ir tinkamų priemonių būtina imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas (pvz., naudoti atsargines kopijas, siekiant atkurti prarastus ar sugadintus duomenis ar kt.);

7.7. nustato, ar būtina nedelsiant pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą.

8. Duomenų tvarkytojai pateikia Administracijai visą prašomą informaciją, susijusią su informavimu apie asmens duomenų saugumo pažeidimą ir jo tyrimu, per Administracijos nurodytą terminą.

9. Administracijos direktoriaus įgaliotas asmuo, atlikęs asmens duomenų saugumo pažeidimo tyrimą, surašo Asmens duomenų saugumo pažeidimo ataskaitą (2 priedas) ir ją užregistruoja Administracijos dokumentų valdymo sistemoje. Užpildyta ir Administracijos dokumentų valdymo sistemoje užregistruota Asmens duomenų saugumo pažeidimo ataskaita prilyginama Asmens duomenų saugumo pažeidimų registravimo žurnalui.

10. Asmens duomenų saugumo pažeidimo ataskaita pateikiama Administracijos direktoriui ir duomenų tvarkytojo vadovui, jei tai susiję su duomenų tvarkytojo atliekamais asmens duomenų tvarkymo veiksmais.

11. Atsižvelgiant į Asmens duomenų saugumo pažeidimo ataskaitą, prireikus sudaromas priemonių planas, kuriame numatomas būtinų techninių, organizacinių, administracinių ir kitų priemonių poreikis dėl asmens duomenų saugumo pažeidimo pašalinimo. Planą tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Administracijos direktorius.

12. Administracijos direktoriaus įgaliotas asmuo nedelsdamas ir, jei įmanoma, nepraėjus 72 valandoms nuo to laiko, kai buvo sužinota apie asmens duomenų saugumo pažeidimą, pateikia Inspekcijai Pranešimą apie asmens duomenų saugumo pažeidimą, patvirtintą Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“.

13. Tuo atveju, kai yra įtariama, kad asmens duomenų saugumo pažeidimas turi nusikalstamos veikos požymių, Administracijos direktoriaus įgaliotas asmuo informaciją apie galimą nusikalstamą veiką pateikia atitinkamoms valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą.

14. Kai padarytas asmens duomenų saugumo pažeidimas yra susijęs su kibernetiniu incidentu, informaciją apie kibernetinį incidentą, susijusį su asmens duomenų saugumo pažeidimu, Administracijos direktoriaus įgaliotas asmuo pateikia Lietuvos Respublikos kibernetinio saugumo įstatyme nurodytoms valstybės institucijoms šio įstatymo nustatyta tvarka ir atvejais.

III SKYRIUS

BAIGIAMOSIOS NUOSTATOS

15. Siekdama sustiprinti asmens duomenų apsaugą, Administracija gali imtis papildomų, šiame Apraše nenumatytų apsaugos priemonių.

16. Šiame Apraše įtvirtintų nuostatų nesilaikymas laikomas tarnybinių (darbo) pareigų vykdymo pažeidimu ir už juos taikoma Lietuvos Respublikos teisės aktuose numatyta atsakomybė.

_____________