Valstybinė duomenų apsaugos inspekcija - Pranešimas apie duomenų saugumo pažeidimą







Vertikalus


Naujienų prenumerata


 

Konsultacijos
tel. (8 5) 212 7532
Priimamasis
tel. (8 5) 271 2804
ŽINIASKLAIDAI
tel. (8 5) 262 6516
  

 
 
 
 
 


Pradžia

Pranešimas apie duomenų saugumo pažeidimą

2018 m. gegužės 25 d. pradėjus taikyti Bendrąjį duomenų apsaugos reglamentą (BDAR) visos organizacijos, patyrusios duomenų saugumo pažeidimus, privalo ne tik imtis veiksmų pažeidimams pašalinti, bet ir informuoti apie tai Valstybinę duomenų apsaugos inspekciją.

Pranešimo apie duomenų saugumo pažeidimus forma
Inspekcija, siekdama padėti duomenų valdytojams atlikti pareigą pranešti apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai pagal Bendrojo duomenų apsaugos reglamento 33 straipsnį parengė „Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamą formą“, patvirtintą 2018 m. gegužės 24 d. Valstybinės duomenų apsaugos inspekcijos direktoriaus įsakymu Nr. 1T-53(1.12.) „Dėl pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“.

Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojama forma 

Pranešimo pateikimas elektroniniu būdu


Apie duomenų saugumo pažeidimus
Įvairių sričių specialistai bene kasdien akcentuoja saugumo elektroninėje erdvėje svarbą. Su tuo labai glaudžiai susijęs ir asmens duomenų saugumas, nes įvykus įvairiems saugumo incidentams, be kitos informacijos, kyla grėsmė ir asmens duomenims. Netinkamas asmens duomenų tvarkymas gali kelti įvairių grėsmių žmonių teisėms bei laisvėms, pavyzdžiui, diskriminacija, tapatybės vagystė ar suklastojimas, ekonominė ar socialinė žala, duomenų kontrolės praradimas, pakenkta reputacijai, prarastas asmens duomenų, kurie laikomi profesine paslaptimi, konfidencialumas ir kt.

Netinkamai apsaugota prieiga prie asmenų duomenų yra duomenų saugumo pažeidimas, todėl būtina nedelsiant imtis visų priemonių padėčiai ištaisyti. Visų informacinių sistemų duomenų valdytojai privalo įgyvendinti teisės aktuose nustatytas organizacines ir technines saugumo priemones, kad būtų užtikrintas tinkamas asmens duomenų saugumas. Labai svarbu, kad įmonės, kuriančios informacines sistemas, pateiktų kokybišką produktą, o vykdydamos jų priežiūrą gebėtų nedelsiant šalinti trūkumus ir ištaisyti klaidas. Su asmens duomenimis susijusios įrangos kūrėjams ir gamintojams svarbu atkreipti dėmesį į BDAR 25 straipsnyje įtvirtintus pritaikytosios (angl. by design) ir standartizuotosios (angl. by default) duomenų apsaugos principus.


Svarbiausi pranešimo apie duomenų saugumo pažeidimus aspektai, pradėjus taikyti BDAR

  • 2018 m. gegužės 25 d. pradėjus taikyti BDAR apie duomenų saugumo pažeidimus Valstybinei duomenų apsaugos inspekcijai privalo pranešti visi duomenų valdytojai, ne tik tvarkantys valstybės informacinius išteklius ir viešųjų ryšių tinklus bei bendrovės viešųjų elektroninių ryšių paslaugų teikėjos.
  • Apie asmens duomenų saugumo pažeidimus privaloma pranešti Valstybinei duomenų apsaugos inspekcijai per 72 valandas.
  • Pranešime turi būti nurodoma:
    - Duomenų saugumo pažeidimo pobūdis, duomenų subjektų kategorijos, apytikslis skaičius, asmens duomenų įrašų kategorijas ir apytikslis skaičius;
    - Duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;
    - Aprašytos tikėtinos asmens duomenų saugumo pažeidimo pasekmės;
    - Aprašytos priemonės, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas.
  • Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus asmenų teisėms ir laisvėms, duomenų valdytojas nedelsdamas turi pranešti apie tai ir patiems žmonėms.
DĖMESIO! Pažeidimą patyrusi organizacija pirmiausia turi imtis veiksmų pažeidimui pašalinti. O Valstybinė duomenų apsaugos inspekcija, gavusi pranešimą, įvertina pateiktą informaciją ir sprendžia, ar reikalingas tyrimas.
 

Pranešimas apie duomenų saugumo pažeidimą iki BDAR
Iki BDAR pagal Lietuvos Respublikos kibernetinio saugumo įstatymą viešojo administravimo subjektai, valdantys ir (arba) tvarkantys valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojai, viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų teikėjai, įvykus incidentui, turinčiam duomenų saugumo pažeidimo požymių, privalėjo apie tai pranešti VDAI.

Taip pat bendrovės, kurios yra viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjos, asmens duomenų saugumo pažeidimo atveju per 24 val. privalėjo pranešti apie šį pažeidimą Valstybinei duomenų apsaugos inspekcijai pagal Lietuvos Respublikos elektroninių ryšių įstatymą.






Paskutinis atnaujinimas: 2018-11-16 13:44:48