Institucijos

Parengta rekomendacija dėl asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos

Valstybinė duomenų apsaugos inspekcija parengė rekomendaciją „Dėl asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos“.

Asmens duomenų saugumo pažeidimu laikomas toks incidentas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga. Šis asmens duomenų saugumo pažeidimo apibrėžimas pateikiamas 2018 m. gegužės 25 d. pradėtame taikyti Bendrajame duomenų apsaugos reglamente ir Asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatyme.

Įvykus asmens duomenų apsaugos reformai ir pradėjus taikyti naujas asmens duomenų apsaugos taisykles visos įmonės, įstaigos, kitos organizacijos ir asmenys, tvarkantys asmens duomenis su profesija susijusiais tikslais, t. y. duomenų valdytojai, patyrę duomenų saugumo pažeidimus, privalo ne tik imtis veiksmų pažeidimams pašalinti, bet ir informuoti apie tai priežiūros instituciją – Valstybinę duomenų apsaugos inspekciją.

Rekomendacijoje apžvelgta:
– Kas yra asmens duomenų saugumo pažeidimai;
– Kokiems asmenims privaloma pranešti apie galimą asmens duomenų saugumo pažeidimą;
– Kaip turi vykti asmens duomenų saugumo pažeidimo tyrimas;
– Pareiga pateikti pranešimą priežiūros institucijai ne vėliau kaip per 72 val. nuo sužinojimo apie pažeidimą, o jeigu abejojama, ar yra rizika fizinių asmenų teisėms ir laisvėms ir ar reikia pranešti apie pažeidimą Valstybinei duomenų apsaugos inspekcijai – rekomenduojama pranešti;
– Kokiais atvejais pranešimas turi būti pateikiamas ir duomenų subjektui, t. y. asmeniui, kurio asmens duomenys susiję su incidentu;
– Asmens duomenų saugumo pažeidimų dokumentavimo pareiga.

Galimi Pažeidimo tipai:
– „Konfidencialumo pažeidimas“ – kai yra be leidimo ar neteisėtai atskleidžiami asmens duomenys arba gaunama prieiga prie jų;
– „Prieinamumo pažeidimas“ – kai netyčia arba neteisėtai prarandama prieiga prie arba sunaikinami asmens duomenys;
– „Vientisumo pažeidimas“ – kai asmens duomenys pakeičiami be leidimo ar netyčia.
Priklausomai nuo aplinkybių, pažeidimas tuo pat metu gali sietis su asmens duomenų konfidencialumu, prieinamumu ir vientisumu, taip pat su kuriuo nors jų deriniu.

Atkreipiame dėmesį, kad neseniai yra parengta rekomendacija „Dėl reikalavimų teisės aktų projektams, kuriais reglamentuojamas asmens duomenų tvarkymas“ ir rekomendacija „Dėl duomenų tvarkymo veiklos įrašų“.

 

Back to top button