Vertikalus


Naujienų prenumerata


 

Konsultacijos
tel. (8 5) 212 7532
Priimamasis
tel. (8 5) 271 2804
ŽINIASKLAIDAI
tel. (8 5) 262 6516
  

 
 
 
 
 


Pradžia

Pranešimas apie duomenų saugumo pažeidimą

2018 m. gegužės 25 d. pradėjus taikyti Bendrąjį duomenų apsaugos reglamentą (BDAR) visos organizacijos, patyrusios duomenų saugumo pažeidimus, privalo ne tik imtis veiksmų pažeidimams pašalinti, bet ir informuoti apie tai Valstybinę duomenų apsaugos inspekciją.

Pranešimo apie duomenų saugumo pažeidimus forma
Inspekcija, siekdama padėti duomenų valdytojams atlikti pareigą pranešti apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai pagal Bendrojo duomenų apsaugos reglamento 33 straipsnį parengė „Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamą formą“, patvirtintą 2018 m. gegužės 24 d. Valstybinės duomenų apsaugos inspekcijos direktoriaus įsakymu Nr. 1T-53(1.12.) „Dėl pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“.

Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojama forma 

Pranešimo pateikimas elektroniniu būdu

 


Apie duomenų saugumo pažeidimus
Įvairių sričių specialistai bene kasdien akcentuoja saugumo elektroninėje erdvėje svarbą. Su tuo labai glaudžiai susijęs ir asmens duomenų saugumas, nes įvykus įvairiems saugumo incidentams, be kitos informacijos, kyla grėsmė ir asmens duomenims. Netinkamas asmens duomenų tvarkymas gali kelti įvairių grėsmių žmonių teisėms bei laisvėms, pavyzdžiui, diskriminacija, tapatybės vagystė ar suklastojimas, ekonominė ar socialinė žala, duomenų kontrolės praradimas, pakenkta reputacijai, prarastas asmens duomenų, kurie laikomi profesine paslaptimi, konfidencialumas ir kt.

 


DĖMESIO! Pažeidimą patyrusi organizacija pirmiausia turi imtis veiksmų pažeidimui pašalinti ir jį dokumentuoti
Netinkamai apsaugota prieiga prie asmenų duomenų yra duomenų saugumo pažeidimas, todėl būtina nedelsiant imtis visų priemonių padėčiai ištaisyti. Visų informacinių sistemų duomenų valdytojai privalo įgyvendinti teisės aktuose nustatytas organizacines ir technines saugumo priemones, kad būtų užtikrintas tinkamas asmens duomenų saugumas. Labai svarbu, kad įmonės, kuriančios informacines sistemas, pateiktų kokybišką produktą, o vykdydamos jų priežiūrą gebėtų nedelsiant šalinti trūkumus ir ištaisyti klaidas. Su asmens duomenimis susijusios įrangos kūrėjams ir gamintojams svarbu atkreipti dėmesį į BDAR 25 straipsnyje įtvirtintus pritaikytosios (angl. by design) ir standartizuotosios (angl. by default) duomenų apsaugos principus.

 


Svarbiausi pranešimo apie duomenų saugumo pažeidimus aspektai, pradėjus taikyti BDAR

  • 2018 m. gegužės 25 d. pradėjus taikyti BDAR apie duomenų saugumo pažeidimus Valstybinei duomenų apsaugos inspekcijai privalo pranešti visi duomenų valdytojai, ne tik tvarkantys valstybės informacinius išteklius ir viešųjų ryšių tinklus bei bendrovės viešųjų elektroninių ryšių paslaugų teikėjos, tais atvejais, jei kyla didelis pavojus duomenų saugumui.
  • Apie asmens duomenų saugumo pažeidimus privaloma pranešti Valstybinei duomenų apsaugos inspekcijai per 72 valandas.
  • Pranešime turi būti nurodoma:
    - Duomenų saugumo pažeidimo pobūdis, duomenų subjektų kategorijos, apytikslis skaičius, asmens duomenų įrašų kategorijas ir apytikslis skaičius;
    - Duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;
    - Aprašytos tikėtinos asmens duomenų saugumo pažeidimo pasekmės;
    - Aprašytos priemonės, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas.
  • Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus asmenų teisėms ir laisvėms, duomenų valdytojas nedelsdamas turi pranešti apie tai ir patiems žmonėms.
Valstybinė duomenų apsaugos inspekcija, gavusi pranešimą, įvertina pateiktą informaciją ir sprendžia, ar reikalingas tyrimas.
 
 

Sankcijos

Pagal naują asmens duomenų apsaugos teisinį reguliavimą organizacijoms už netinkamą asmens duomenų tvarkymą gresia įvairios sankcijos. Valstybinė duomenų apsaugos inspekcija gali teikti nurodymus dėl pažeidimų ištaisymo, papeikimus, nustatyti laikiną arba galutinį draudimą tvarkyti duomenis ir kt.

Privataus sektoriaus atstovams pažeidus Bendrojo duomenų apsaugos reglamento nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos. Taigi bauda gali siekti iki 2–4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 000–20 000 000 EUR. Tai maksimalios baudos, tačiau žemutinė baudų riba gali būti bet kuri minimali skaitinė išraiška.

Naujos redakcijos Asmens duomenų teisinės apsaugos įstatyme numatytos baudos viešojo sektoriaus institucijoms – iki 0,5–1 proc. metinio biudžeto, bet ne daugiau kaip iki 30–60 tūkst. Eur.

Pastaba: tuo atveju, jeigu valstybės institucija užsiima komercine veikla, tai jai atsakomybė bus taikoma kaip privatiems juridiniams asmenims, o ne kaip viešajam sektoriui.

 


Kam taikoma atsakomybė dėl pažeidimo?
Pagal Bendrąjį duomenų apsaugos reglamentą sankcijos yra skiriamos juridiniam asmeniui, o ne vadovui ar darbuotojui.

 


Pranešimas apie duomenų saugumo pažeidimą iki BDAR
Iki BDAR pagal Lietuvos Respublikos kibernetinio saugumo įstatymą viešojo administravimo subjektai, valdantys ir (arba) tvarkantys valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojai, viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų teikėjai, įvykus incidentui, turinčiam duomenų saugumo pažeidimo požymių, privalėjo apie tai pranešti VDAI.

Taip pat bendrovės, kurios yra viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjos, asmens duomenų saugumo pažeidimo atveju per 24 val. privalėjo pranešti apie šį pažeidimą Valstybinei duomenų apsaugos inspekcijai pagal Lietuvos Respublikos elektroninių ryšių įstatymą.






Paskutinis atnaujinimas: 2018-11-21 14:17:23