Suvestinė redakcija nuo 2018-08-30

 

Įsakymas paskelbtas: TAR 2018-07-27, i. k. 2018-12533

 

         

VALSTYBINĖS DUOMENŲ APSAUGOS INSPEKCIJOS

DIREKTORIUS

 

ĮSAKYMAS

DĖL PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ PATEIKIMO VALSTYBINEI DUOMENŲ APSAUGOS INSPEKCIJAI TVARKOS APRAŠo

PATVIRTINIMO

 

2018 m. liepos 27  d. Nr. 1T-72(1.12.E)

Vilnius

 

 

Siekdamas padėti duomenų valdytojams atlikti pareigą pranešti apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai pagal 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) 33 straipsnį ir Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymo 29 straipsnį,

Preambulės pakeitimai:

Nr. 1T-83(1.12.E), 2018-08-29, paskelbta TAR 2018-08-29, i. k. 2018-13585

 

t v i r t i n u  Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašą (pridedama).

 

 

 

Direktorius                                                                                           Raimondas Andrijauskas

 

PATVIRTINTA

Valstybinės duomenų apsaugos inspekcijos

direktoriaus 2018 m. liepos 27 d.

įsakymu Nr. 1T-72(1.12.E)

 

 

PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ PATEIKIMO VALSTYBINEI DUOMENŲ APSAUGOS INSPEKCIJAI TVARKOS APRAŠAS

 

1.       Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašas (toliau – Aprašas) nustato Pranešimo apie asmens duomenų saugumo pateikimo Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) tvarką ir sąlygas.

2. Pagal Aprašą Inspekcijai teikiami pranešimai apie asmens duomenų saugumo pažeidimą vykdant 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) 33 straipsnyje ir Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymo (toliau – Įstatymas) 29 straipsnyje numatytą pareigą (toliau – pranešimas).

Punkto pakeitimai:

Nr. 1T-83(1.12.E), 2018-08-29, paskelbta TAR 2018-08-29, i. k. 2018-13585

 

3. Šiame Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679 ir Įstatyme.

Punkto pakeitimai:

Nr. 1T-83(1.12.E), 2018-08-29, paskelbta TAR 2018-08-29, i. k. 2018-13585

 

4.       Asmens duomenų saugumo pažeidimo atveju duomenų valdytojas privalo nedelsdamas, bet ne vėliau kaip per 72 valandas nuo tada, kai sužinojo apie asmens duomenų saugumo pažeidimą, pateikti Inspekcijai pranešimą, kuriame turi būti nurodyta:

4.1.    Duomenų valdytojo duomenys:

4.1.1. juridinio asmens pavadinimas, kodas, buveinės adresas, telefono ryšio numeris ir (ar) elektroninio pašto adresas, ir (ar) elektroninės siuntos pristatymo dėžutės adresas;

4.1.2. fizinio asmens vardas, pavardė, asmens kodas, gimimo data (jeigu asmuo neturi asmens kodo), asmens duomenų tvarkymo vieta, telefono ryšio numeris ir (ar) elektroninio pašto adresas, ir (ar) elektroninės siuntos pristatymo dėžutės adresas;

4.1.3. duomenų valdytojo atstovo, jeigu jis yra įgaliotas pagal Reglamento (ES) 2016/679 27 straipsnį, pavadinimas, kodas, buveinės adresas, telefono ryšio numeris ir (ar) elektroninio pašto adresas, ir (ar) elektroninės siuntos pristatymo dėžutės adresas;

4.2.    duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, duomenys:

4.2.1. vardas ir pavardė;

4.2.2. telefono ryšio numeris ir (ar) elektroninio pašto adresas;

4.2.3. pareigos;

4.2.4. darbovietės pavadinimas ir adresas;

Papunkčio pakeitimai:

Nr. 1T-83(1.12.E), 2018-08-29, paskelbta TAR 2018-08-29, i. k. 2018-13585

 

4.3.    asmens duomenų saugumo pažeidimo apibūdinimas:

4.3.1. asmens duomenų saugumo pažeidimo data, laikas ir vieta;

4.3.2. asmens duomenų saugumo pažeidimo nustatymo data ir laikas;

4.3.3. asmens duomenų saugumo pažeidimo aplinkybės (asmens duomenų konfidencialumo praradimas (neautorizuota prieiga ar atskleidimas), asmens duomenų vientisumo praradimas (neautorizuotas asmens duomenų pakeitimas), asmens duomenų prieinamumo praradimas (asmens duomenų praradimas, sunaikinimas);

Papunkčio pakeitimai:

Nr. 1T-83(1.12.E), 2018-08-29, paskelbta TAR 2018-08-29, i. k. 2018-13585

 

4.3.4. apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius ir kategorijos;

4.3.5. apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius ir kategorijos;

4.3.6. tikėtinos asmens duomenų saugumo pažeidimo pasekmės;

4.3.7. kita, duomenų valdytojo nuomone, reikšminga informacija;

4.4.    aprašytos priemonės, kurių ėmėsi arba siūlo imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas arba kad būtų sumažintos jo sukeltos pasekmės;

4.5.    informacija apie tai, ar apie asmens duomenų saugumo pažeidimą informuoti duomenų subjektai, jeigu duomenų subjektai neinformuojami, nurodomos priežastys;

4.6.    pranešimo vėlavimo priežastys, jeigu apie asmens duomenų saugumo pažeidimą pranešama vėliau nei per 72 valandas nuo tada, kai duomenų valdytojas sužinojo apie asmens duomenų saugumo pažeidimą.

41. Aprašo 4.1.2, 4.2.3, 4.2.4 papunkčiai netaikomi, kai teikiamas pranešimas pagal Įstatymą.

Papildyta punktu:

Nr. 1T-83(1.12.E), 2018-08-29, paskelbta TAR 2018-08-29, i. k. 2018-13585

 

5.       Duomenų valdytojas pranešdamas apie asmens duomenų saugumo pažeidimą, Aprašo 4.1–4.5 papunkčiuose nurodytą informaciją pateikia visą iš karto arba keliais etapais, jeigu nurodytos informacijos neįmanoma pateikti tuo pačiu metu. Duomenų valdytojas informaciją keliais etapais teikia nepagrįstai nedelsdamas.

6.       Pranešimą apie asmens duomenų saugumo pažeidimą pasirašo duomenų valdytojas (fizinis asmuo), duomenų valdytojo (juridinio asmens) vadovas ar jų įgaliotas asmuo, duomenų valdytojo atstovo, jeigu jis yra įgaliotas pagal Reglamento (ES) 2016/679 27 straipsnį, vadovas ar jo įgaliotas asmuo.

7.       Pranešimas apie asmens duomenų saugumo pažeidimą Inspekcijai teikiamas vienu iš šių būdų:

7.1.    per Inspekcijos interneto svetainę www.ada.lt naudojantis elektronine paslaugų sistema;

7.2.    elektroninio pašto adresu [email protected];

7.3.    paštu Inspekcijos buveinės adresu;

7.4.    Inspekcijos faksu;

7.5.    pateikiant pranešimą apie asmens duomenų saugumo pažeidimą Inspekcijoje.

8.       Inspekcija, nustačiusi, kad pranešime pateikta ne visa Aprašo 4 punkte nurodyta informacija arba pateikta netiksli ar neišsami informacija, nedelsiant, bet ne vėliau kaip per 5 darbo dienas nuo pranešimo gavimo dienos, informuoja apie tai duomenų valdytoją ir paprašo ne vėliau kaip kitą darbo dieną nuo prašymo pateikimo dienos pranešimą papildyti, patikslinti ir (ar) ištaisyti. Ši nuostata netaikoma, kai duomenų valdytojas informaciją apie asmens duomenų saugumo pažeidimą teikia etapais.

9. Inspekcija, įvertinusi gautą informaciją, gali pasinaudoti jai Reglamente (ES) 2016/679 ir Įstatyme numatytais tyrimo įgaliojimais ir taikyti numatytas poveikio priemones teisės aktų nustatyta tvarka.

Punkto pakeitimai:

Nr. 1T-83(1.12.E), 2018-08-29, paskelbta TAR 2018-08-29, i. k. 2018-13585

 

10.     Jei Inspekcija nusprendžia atlikti tyrimą ir (ar) tikrinimą, tikrinimas atliekamas Inspekcijos direktoriaus nustatyta tvarka.

11. Duomenų valdytojas nepateikęs pranešimo apie asmens duomenų saugumo pažeidimą Inspekcijai atsako Reglamente (ES) 2016/679 ar Įstatyme nustatyta tvarka.

Punkto pakeitimai:

Nr. 1T-83(1.12.E), 2018-08-29, paskelbta TAR 2018-08-29, i. k. 2018-13585

 

_______________________________

 

 

Pakeitimai:

 

1.

Valstybinė duomenų apsaugos inspekcija, Įsakymas

Nr. 1T-83(1.12.E), 2018-08-29, paskelbta TAR 2018-08-29, i. k. 2018-13585

Dėl Valstybinės duomenų apsaugos inspekcijos 2018 m. liepos 27 d. įsakymo Nr. 1T-72(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“ pakeitimo