2018 m. gegužės 25 d. pradėjus taikyti Bendrąjį duomenų apsaugos reglamentą visos organizacijos, patyrusios duomenų saugumo pažeidimus, privalės ne tik imtis veiksmų pažeidimams pašalinti, bet ir informuoti apie tai Valstybinę duomenų apsaugos inspekciją.

Pranešimo apie duomenų saugumo pažeidimus forma
Inspekcija, siekdama padėti duomenų valdytojams atlikti pareigą pranešti apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai pagal Bendrojo duomenų apsaugos reglamento 33 straipsnį parengė „Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamą formą“, patvirtintą 2018 m. gegužės 24 d. Valstybinės duomenų apsaugos inspekcijos direktoriaus įsakymu Nr. 1T-53(1.12.) „Dėl pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“.

Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojama forma

Pranešimo pateikimas elektroniniu būdu


Apie duomenų saugumo pažeidimus
Įvairių sričių specialistai bene kasdien akcentuoja saugumo elektroninėje erdvėje svarbą. Su tuo labai glaudžiai susijęs ir asmens duomenų saugumas, nes įvykus įvairiems saugumo incidentams, be kitos informacijos, kyla grėsmė ir asmens duomenims. Netinkamas asmens duomenų tvarkymas gali kelti įvairių grėsmių žmonių teisėms bei laisvėms, pavyzdžiui, diskriminacija, tapatybės vagystė ar suklastojimas, ekonominė ar socialinė žala, duomenų kontrolės praradimas, pakenkta reputacijai, prarastas asmens duomenų, kurie laikomi profesine paslaptimi, konfidencialumas ir kt.

Netinkamai apsaugota prieiga prie asmenų duomenų yra duomenų saugumo pažeidimas, todėl būtina nedelsiant imtis visų priemonių padėčiai ištaisyti. Visų informacinių sistemų duomenų valdytojai privalo įgyvendinti teisės aktuose nustatytas organizacines ir technines saugumo priemones, kad būtų užtikrintas tinkamas asmens duomenų saugumas. Labai svarbu, kad įmonės, kuriančios informacines sistemas, pateiktų kokybišką produktą, o vykdydamos jų priežiūrą gebėtų nedelsiant šalinti trūkumus ir ištaisyti klaidas. Atsižvelgiant į tai, kad jau netrukus – gegužės 25-ąją – visose ES valstybėse narėse pradėsime taikyti BDAR, su asmens duomenimis susijusios įrangos kūrėjams ir gamintojams svarbu atkreipti dėmesį į BDAR 25 straipsnyje įtvirtintus pritaikytosios (angl. by design) ir standartizuotosios (angl. by default) duomenų apsaugos principus.


Pranešimas apie duomenų saugumo pažeidimą šiuo metu

Šiuo metu pagal Lietuvos Respublikos kibernetinio saugumo įstatymą viešojo administravimo subjektai, valdantys ir (arba) tvarkantys valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojai, viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų teikėjai, įvykus incidentui, turinčiam duomenų saugumo pažeidimo požymių, privalo apie tai pranešti VDAI.

Taip pat bendrovės, kurios yra viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjos, asmens duomenų saugumo pažeidimo atveju per 24 val. privalo pranešti apie šį pažeidimą Valstybinei duomenų apsaugos inspekcijai pagal Lietuvos Respublikos elektroninių ryšių įstatymą.


Svarbiausi pranešimo apie duomenų saugumo pažeidimus aspektai, pradėjus taikyti BDAR

  • 2018 m. gegužės 25 d. pradėjus taikyti BDAR apie duomenų saugumo pažeidimus Valstybinei duomenų apsaugos inspekcijai privalės pranešti visi duomenų valdytojai, ne tik tvarkantys valstybės informacinius išteklius ir viešųjų ryšių tinklus bei bendrovės viešųjų elektroninių ryšių paslaugų teikėjos.
  • Apie asmens duomenų saugumo pažeidimus bus privalu pranešti Valstybinei duomenų apsaugos inspekcijai per 72 valandas.
  • Pranešime turės būti nurodoma:
    - Duomenų saugumo pažeidimo pobūdis, duomenų subjektų kategorijos, apytikslis skaičius, asmens duomenų įrašų kategorijas ir apytikslis skaičius;
    - Duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;
    - Aprašytos tikėtinos asmens duomenų saugumo pažeidimo pasekmės;
    - Aprašytos priemonės, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas.
  • Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus asmenų teisėms ir laisvėms, duomenų valdytojas nedelsdamas turi pranešti apie tai ir patiems žmonėms.


Ypač svarbu atkreipti dėmesį, kad bet kuriuo atveju pažeidimą patyrusi organizacija pirmiausia turi imtis veiksmų pažeidimui pašalinti. O Valstybinė duomenų apsaugos inspekcija savo ruožtu gavusi pranešimą atliks tyrimą, kas įvyko, kieno klaida, įvertins, ar nukentėjo asmens duomenys.