LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRAS

 

ĮSAKYMAS

DĖL LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO 2019 M. KOVO 28 D. ĮSAKYMO NR. V-385 „DĖL ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO TVARKOS APRAŠO PATVIRTINIMO“ PAKEITIMO

 

2022 m. lapkričio 11 d. Nr. V-1664

Vilnius

 

 

1. P a k e i č i u Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašą, patvirtintą Lietuvos Respublikos sveikatos apsaugos ministro 2019 m. kovo 28 d. įsakymu Nr. V-385 „Dėl Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašo patvirtinimo“, ir jį išdėstau nauja redakcija (pridedama).

2. P a v e d u Dokumentų valdymo ir asmenų priėmimo skyriui su šiuo įsakymu supažindinti Lietuvos Respublikos sveikatos apsaugos ministerijos valstybės tarnautojus ir darbuotojus, dirbančius pagal darbo sutartis.

 

 

 

Sveikatos apsaugos ministras                                                                                   Arūnas Dulkys

 

 

PATVIRTINTA

Lietuvos Respublikos sveikatos apsaugos ministro

2019 m. kovo 28 d. įsakymu Nr. V-385

(Lietuvos Respublikos sveikatos apsaugos ministro

2022 m. lapkričio 11 d. įsakymo Nr. V-1664

redakcija)

 

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO TVARKOS APRAŠAS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašas (toliau – Aprašas) nustato asmens duomenų saugumo pažeidimų (toliau – pažeidimas) ir jų priežasčių klasifikavimą, pranešimo apie pažeidimus Lietuvos Respublikos sveikatos apsaugos ministerijai (toliau – Ministerija), Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) ir duomenų subjektams, pažeidimų tyrimo, jų ir jų pasekmių pašalinimo ir mažinimo, pažeidimų prevencijos ir dokumentavimo tvarką.

2. Aprašas taikomas Ministerijai, registrų bei valstybės informacinių sistemų, kurių duomenų valdytoja yra Ministerija, duomenų tvarkytojams bei juridiniams asmenims, su kuriais sudaryta asmens duomenų tvarkymo sutartis tvarkyti asmens duomenis pagal Ministerijos nurodymus (toliau kartu – duomenų tvarkytojai).

3. Aprašas parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas).

4. Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679 ir Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme.

 

II SKYRIUS

PAŽEIDIMŲ IR JŲ PRIEŽASČIŲ KLASIFIKAVIMAS

 

5. Pažeidimai pagal pobūdį (tipą) yra:

5.1. konfidencialumo pažeidimas – netyčinis arba neteisėtas asmens duomenų laikinas ar nuolatinis atskleidimas ar prieigos prie asmens duomenų suteikimas asmenims, kurie neturi teisės susipažinti su asmens duomenimis;

5.2. prieinamumo pažeidimas – neteisėtas, laikinas ar nuolatinis prieigos prie asmens duomenų praradimas arba asmens duomenų sunaikinimas;

5.3. vientisumo pažeidimas – neteisėtas asmens duomenų laikinas ar nuolatinis pakeitimas;

5.4. mišraus pobūdžio (tipo) pažeidimas – asmens duomenų konfidencialumo, prieinamumo ir vientisumo pažeidimas ar bet kurių Aprašo 5.1–5.3 papunkčiuose nurodytų pažeidimų derinys.

6. Pažeidimai gali būti nulemti šių priežasčių:

6.1. netyčiniai veiksmai, kai asmens duomenų saugumas pažeidžiamas neturint tikslo tai padaryti (dėl duomenų tvarkymo klaidos, informacijos laikmenų, duomenų įrašų ištrynimo, sunaikinimo ar sistemų sutrikimų dėl elektros tiekimo nutrūkimo, įvykusio dėl asmens veiklos, kompiuterinio viruso, paskleisto dėl asmens veiklos, vidaus taisyklių pažeidimo, sistemos priežiūros trūkumo, programinės įrangos testų atlikimo, netinkamos duomenų laikmenų priežiūros, netinkamo ryšio linijų pajėgumo ir apsaugos nustatymo, kompiuterių integravimo į tinklą, netinkamos kompiuterinių programų apsaugos parinkimo ir kt.);

6.2. tyčiniai veiksmai, kai asmens duomenų saugumas pažeidžiamas sąmoningai turint tikslą tai padaryti (neteisėtas įsibrovimas į asmens duomenų tvarkytojo patalpas, asmens duomenų laikmenų saugyklas, informacines sistemas, kompiuterių tinklą, tyčinis nustatytų taisyklių tvarkant asmens duomenis pažeidimas, sąmoningas kompiuterinio viruso platinimas, asmens duomenų vagystė, neteisėtas naudojimasis kito Ministerijos valstybės tarnautojo ar darbuotojo, dirbančio pagal darbo sutartį (toliau kartu – darbuotojas), teisėmis ir kt.);

6.3. force majeure ir kiti netikėti įvykiai, kurių negalima kontroliuoti, numatyti ir užkirsti kelio jų atsiradimui (žaibas, gaisras, potvynis, užliejimas, audros, elektros instaliacijos degimas, temperatūros ir (ar) drėgmės pakitimų poveikis, purvo, dulkių ir magnetinių laukų įtaka, techninės avarijos, išskyrus nurodytas Aprašo 6.1 papunktyje, ir kt.).

 

III SKYRIUS

PRANEŠIMAS APIE GALIMĄ PAŽEIDIMĄ IR JO NAGRINĖJIMAS

 

7. Ministerijos darbuotojas, sužinojęs ar pats nustatęs galimą pažeidimą, arba kai informacija apie galimą pažeidimą gaunama iš duomenų tvarkytojo, žiniasklaidos ar kito šaltinio (toliau – galimo pažeidimo paaiškėjimas), privalo:

7.1. tą pačią darbo dieną ne vėliau kaip per 2 darbo valandas nuo galimo pažeidimo paaiškėjimo momento informuoti žodžiu, raštu ar elektroninėmis priemonėmis savo tiesioginį vadovą, ministro įgaliotą asmenį ir Ministerijos duomenų apsaugos pareigūną;

7.2. užpildyti Aprašo 1 priede nustatytos formos pranešimą apie galimą asmens duomenų saugumo pažeidimą (toliau – Pranešimas apie galimą asmens duomenų saugumo pažeidimą), kuris registruojamas Dokumentų valdymo sistemoje (toliau – DVS), ir nedelsdamas, bet ne vėliau kaip per 4 darbo valandas nuo galimo pažeidimo paaiškėjimo momento, perduoti jį per DVS ir elektroniniu paštu [email protected] Ministerijos duomenų apsaugos pareigūnui;

7.3. jei įmanoma, imtis priemonių pašalinti galimą pažeidimą ir priemonių galimoms neigiamoms jo pasekmėms sumažinti.

8. Duomenų tvarkytojas paaiškėjus galimam pažeidimui privalo:

8.1. nedelsdamas, bet ne vėliau kaip per 24 valandas nuo galimo pažeidimo paaiškėjimo momento, apie tai pranešti Ministerijai oficialiu raštu bei Ministerijos duomenų apsaugos pareigūnui elektroninio pašto adresu [email protected], pateikdamas Pranešimą apie galimą asmens duomenų saugumo pažeidimą (Aprašo 1 priedas);

8.2. Aprašo V skyriuje nustatytais atvejais ir tvarka Ministerijos vardu pranešti apie galimą pažeidimą Inspekcijai ir Aprašo VI skyriuje nustatytais atvejais ir tvarka – duomenų subjektams. Apie atliktą duomenų subjektų informavimą duomenų tvarkytojas privalo nedelsdamas, ne vėliau nei tą pačią dieną, informuoti Ministeriją. Prieš pranešant Inspekcijai, pranešimas apie galimą pažeidimą turi būti suderintas su Ministerijos duomenų apsaugos pareigūnu;

8.3. kai asmens duomenų, tvarkomų registruose ir valstybinėse informacinėse sistemose, kurių duomenų valdytoja yra Ministerija, arba pagal Ministerijos nurodymus, galimas saugumo pažeidimas yra susijęs su kibernetiniu incidentu, informaciją apie galimą pažeidimą kartu su informacija apie kibernetinį incidentą pateikti Lietuvos Respublikos kibernetinio saugumo įstatyme nurodytoms valstybės institucijoms Lietuvos Respublikos kibernetinio saugumo įstatymo nustatyta tvarka ir atvejais;

8.4. kuo greičiau imtis priemonių pažeidimams pašalinti ir (ar) jų pasekmėms sumažinti ar pašalinti, siekiant atkurti padėtį, kuri buvo prieš pažeidimą;

8.5. informaciją apie galimą pažeidimą fiksuoti Asmens duomenų saugumo pažeidimų registracijos žurnale (Aprašo 2 priedas) (toliau – Žurnalas);

8.6. bendradarbiauti su Ministerija tiriant pažeidimą ir per Ministerijos nurodytą terminą teikti Ministerijai visą jos prašomą su informavimu apie pažeidimą ir jo tyrimu susijusią informaciją ir dokumentus, įskaitant užpildytą Žurnalą.

9. Ministro įgaliotas asmuo pagal kompetenciją privalo bendradarbiauti ir operatyviai teikti Ministerijos duomenų apsaugos pareigūnui visą jo prašomą su informavimu apie pažeidimą ir jo tyrimu susijusią informaciją ir dokumentus.

10. Ministerijos duomenų apsaugos pareigūnas, gavęs Aprašo 7.2 ar 8.1 papunktyje nurodytą pranešimą (toliau kartu – pranešimas), privalo:

10.1. atlikti pažeidimo tyrimą Aprašo IV skyriaus nustatyta tvarka;

10.2. pasitelkti ministro įgaliotus asmenis pagal kompetenciją (asmens duomenų, tvarkomų Ministerijoje, saugumo pažeidimo atveju) ar ministro įgaliotus asmenis ir duomenų tvarkytojų darbuotojus pagal kompetenciją (asmens duomenų, tvarkomų registruose ir valstybės informacinėse sistemose, kurių duomenų valdytoja yra Ministerija, saugumo pažeidimo ir asmens duomenų, tvarkomų pagal Ministerijos nurodymus, saugumo pažeidimo atveju), jei pažeidimas yra susijęs su elektroninės informacijos saugos ir (ar) kibernetiniu incidentu;

10.3. asmens duomenų, tvarkomų Ministerijoje, saugumo galimo pažeidimo atveju, kai galimas pažeidimas yra susijęs su kibernetiniu incidentu, informaciją apie galimą pažeidimą kartu su informacija apie kibernetinį incidentą pateikti Lietuvos Respublikos kibernetinio saugumo įstatyme nurodytoms valstybės institucijoms Lietuvos Respublikos kibernetinio saugumo įstatymo nustatyta tvarka ir atvejais;

10.4. informaciją apie galimą pažeidimą fiksuoti Žurnale;

10.5. bendradarbiauti su Inspekcija dėl pažeidimų;

10.6. teikti rekomendacijas Ministerijos darbuotojams, atsakingiems už pažeidimo ir (ar) jo pasekmių pašalinimą ir (ar) sumažinimą, ir (ar) duomenų tvarkytojui dėl tinkamų techninių ir organizacinių priemonių, kad pažeidimas būtų išsamiai ištirtas ir jis ir (ar) jo pasekmės būtų pašalintos ir (ar) sumažintos ir pažeidimas ateityje nepasikartotų, taikymo ir (arba) pats imtis šių veiksmų;

10.7. stebėti, kaip vykdomos Reglamente (ES) 2016/679 ir Apraše nustatytos Ministerijos pareigos, susijusios su pažeidimų valdymu.

11. Kai yra įtariama, kad pažeidimas turi nusikalstamos veikos požymių, informacija apie galimą nusikalstamą veiką pateikiama valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą, teisės aktų, reguliuojančių tokios informacijos teikimą, nustatyta tvarka. Asmens duomenų, tvarkomų registruose ir valstybinėse informacinėse sistemose, kurių duomenų valdytoja yra Ministerija, arba pagal Ministerijos nurodymus, saugumo pažeidimo atveju tokį pranešimą pateikia duomenų tvarkytojas, o asmens duomenų, tvarkomų Ministerijoje, saugumo pažeidimo atveju – Ministerijos duomenų apsaugos pareigūnas.

 

IV SKYRIUS

PAŽEIDIMO TYRIMAS

 

12. Ministerijos duomenų apsaugos pareigūnas nedelsdamas, bet ne vėliau kaip per 24 valandas nuo pranešimo gavimo momento, išnagrinėja pranešime nurodytas aplinkybes, įvertina, ar padarytas pažeidimas, jei pažeidimas padarytas, nustato, kokio pobūdžio (tipo) pažeidimas padarytas, asmens duomenų, kurių saugumas pažeistas, kategorijas, įskaitant specialių kategorijų asmens duomenis, pažeidimo priežastis, pažeidimo apimtis (duomenų subjektų kategorijos ir jų skaičius), esamas ir (ar) galimas pasekmes ir žalą, padarytą duomenų subjektui (-ams), įvertina pavojų duomenų subjekto teisėms ir laisvėms (toliau – rizika), kuris gali atsirasti dėl galimo pažeidimo, Aprašo 14 ir 15 punktuose nustatyta tvarka ir pateikia Ministerijos kancleriui (ar jo įgaliotam asmeniui) išvadą dėl pažeidimo buvimo ir rizikos.

13. Pažeidimo tyrimo metu ministro įgalioti asmenys ir (ar) duomenų tvarkytojas pagal kompetenciją privalo bendradarbiauti ir operatyviai teikti Ministerijos duomenų apsaugos pareigūnui visą jo prašomą su pažeidimu susijusią informaciją ir dokumentus.

14. Rizika vertinama objektyviai įvertinus pažeidimo aplinkybes ir atsižvelgiant į:

14.1. pažeidimo pobūdį (tipą);

14.2. asmens duomenų pobūdį, kategoriją (pvz., specialių kategorijų asmens duomenys), asmens duomenų, kurių saugumas pažeistas pažeidimu, apimtį;

14.3. duomenų subjekto identifikavimo galimybę tiesiogiai ar netiesiogiai pasinaudojant pažeidimo objektu esančiais duomenimis;

14.4. padarinių duomenų subjektui sunkumą. Vertinant riziką turi būti laikoma, kad pažeidimas, galintis kelti pavojų duomenų subjektų teisėms ir laisvėms, yra toks, dėl kurio, laiku nesiėmus tinkamų priemonių, kyla grėsmė duomenų subjektų sveikatai ir (ar) gyvybei ar grėsmė patirti materialinę ar nematerialinę žalą, pvz., prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala. Preziumuojama, kad pažeidimas kelia riziką, kai jis yra susijęs su specialių kategorijų asmens duomenimis;

14.5. duomenų subjekto savybes (pvz., vaikas ar kitas pažeidžiamas asmuo);

14.6. duomenų subjektų, kurių asmens duomenų saugumas buvo pažeistas, skaičių;

14.7. duomenų valdytojo savybes (pvz., veiklos pobūdį).

15. Įvertinus riziką nustatoma, kad yra:

15.1. maža rizika, kai nustatoma, kad pavojaus duomenų subjekto teisėms ir laisvėms nėra;

15.2. vidutinė rizika, kai nustatoma, kad dėl asmens duomenų saugumo pažeidimo yra arba gali kilti nedidelis pavojus duomenų subjektų teisėms ir laisvėms;

15.3. didelė rizika, kai nustatoma, kad dėl asmens duomenų saugumo pažeidimo yra arba gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms.

16. Jeigu per 24 val. nuo pranešimo gavimo momento dėl objektyvių priežasčių nebuvo nustatytos visos aplinkybės, nurodytos Aprašo 14 punkte, Ministerijos duomenų apsaugos pareigūnas atlieka tolesnį pažeidimo tyrimą. Šiame punkte nurodytas tyrimas turi būti atliktas ir Aprašo 3 priede nustatytos formos Asmens duomenų saugumo pažeidimo ataskaita (toliau – Ataskaita) parengta ir pateikta Ministerijos kancleriui ir duomenų tvarkytojo vadovui, jei tai susiję su duomenų tvarkytojo atliekamais asmens duomenų tvarkymo veiksmais, ne vėliau kaip per 20 darbo dienų nuo pažeidimo paaiškėjimo dienos.

17. Jeigu išvadoje dėl pažeidimo buvimo ir rizikos nurodyta, kad rizikos nėra, tačiau Aprašo 16 punkte nurodyto pažeidimo tyrimo metu nustatoma, kad rizika gali kilti, arba pažeidimo metu pasikeitė rizikos laipsnis, Ministerijos duomenų apsaugos pareigūnas turi riziką vertinti iš naujo Aprašo 14 ir 15 punktuose nustatyta tvarka.

 

V SKYRIUS

PRANEŠIMAS INSPEKCIJAI

 

18. Aprašo 15.2 ir 15.3 papunkčiuose nurodytais atvejais asmens duomenų, tvarkomų Ministerijoje, saugumo pažeidimo atveju Ministerijos duomenų apsaugos pareigūnas, o asmens duomenų, tvarkomų registruose ir valstybės informacinėse sistemose, kurių duomenų valdytoja yra Ministerija, arba pagal Ministerijos nurodymus, saugumo pažeidimo atveju Ministerijos vardu duomenų tvarkytojas ne vėliau kaip per 72 valandas nuo galimo pažeidimo paaiškėjimo momento Inspekcijos nustatyta tvarka ir sąlygomis praneša apie pažeidimą Inspekcijai (toliau – pranešimas Inspekcijai) ir pranešimo Inspekcijai kopiją pateikia Ministerijai. Jeigu abejojama dėl rizikos priskyrimo Aprašo 15.2 ar 15.3 papunkčiuose nurodytam rizikos lygiui, vis tiek apie pažeidimą pranešama Inspekcijai.

19. Kai sužinojus apie galimai įvykusį pažeidimą nėra objektyvių galimybių per 72 valandas nustatyti, ar pažeidimas tikrai įvyko, Inspekcijai per 72 valandas nuo sužinojimo apie galimai įvykusį pažeidimą būtina pateikti pranešimą apie pažeidimą, nurodant tiek informacijos, kiek tuo metu yra žinoma. Jeigu, įvertinus riziką, abejojama, ar ji yra ir ar reikia pranešti apie pažeidimą Inspekcijai, būtina pranešti.

20. Jeigu atliekamas Aprašo 16 punkte nurodytas tyrimas, Inspekcijai informacija gali būti teikiama etapais. Apie informacijos teikimą etapais Ministerija arba duomenų tvarkytojas Inspekciją informuoja pranešime Inspekcijai.

21. Jeigu po pranešimo Inspekcijai pateikimo, atlikus Aprašo 16 punkte nurodytą tolesnį tyrimą, yra nustatoma, kad saugumo incidentas buvo sustabdytas ir nebuvo pažeidimo, apie tai ne vėliau kaip per 3 darbo dienas nuo šios informacijos paaiškėjimo momento Ministerija arba duomenų tvarkytojas informuoja Inspekciją ir pažymi Žurnale.

 

VI SKYRIUS

PRANEŠIMAS DUOMENŲ SUBJEKTUI

 

22. Aprašo 15.3 papunktyje nurodytu atveju asmens duomenų, tvarkomų Ministerijoje, saugumo pažeidimo atveju Ministerijos duomenų apsaugos pareigūnas, o asmens duomenų, tvarkomų registruose ir valstybės informacinėse sistemose, kurių duomenų valdytoja yra Ministerija, arba pagal Ministerijos nurodymus, saugumo pažeidimo atveju Ministerijos vardu duomenų tvarkytojas privalo nedelsdamas (rekomenduojama per 72 val. nuo galimo pažeidimo paaiškėjimo momento) apie tai raštu pranešti duomenų subjektui, kurio teisėms ir laisvėms dėl šio pažeidimo kyla didelė rizika. Pranešimas rengiamas ir teikiamas šio skyriaus ir Aprašo V skyriaus mutatis mutandis nustatyta tvarka.

23. Pranešime duomenų subjektui aiškia ir paprasta kalba pateikiama:

23.1. pažeidimo pobūdžio aprašymas;

23.2. Ministerijos duomenų apsaugos pareigūno, duomenų tvarkytojo duomenų apsaugos pareigūno arba kito kontaktinio asmens vardas, pavardė (pavadinimas) ir kontaktiniai duomenys;

23.3. galimų pažeidimo pasekmių aprašymas;

23.4. priemonių, kurių ėmėsi Ministerija ir (ar) duomenų tvarkytojas arba siūlo imtis duomenų subjektui, kad būtų pašalintas pažeidimas ir (ar) pašalintos ar sumažintos galimos neigiamos jo pasekmės, aprašymas (pvz., kad apie pažeidimą yra informuota Inspekcija ir kad yra gautas patarimas dėl pažeidimo pasekmių pašalinimo ar sumažinimo; siūlymas duomenų subjektui pasikeisti slaptažodžius ir kt.);

23.5. kita reikšminga informacija, susijusi su pažeidimu, kuri, Ministerijos ar duomenų tvarkytojo manymu, turėtų būti pateikta duomenų subjektui.

24. Pranešimo pateikimo būdas pasirenkamas atsižvelgiant į tai, kokius duomenų subjekto kontaktinius duomenis tvarko Ministerija ir (ar) duomenų tvarkytojas, ir į tai, kuris būdas geriausiai užtikrintų, kad pranešimas pasiektų adresatą. Šis pranešimas turi būti atskirtas nuo kitos siunčiamos informacijos, tokios kaip nuolatiniai atnaujinimai, naujienlaiškiai ar standartiniai pranešimai. Gali būti taikomi keli pranešimo duomenų subjektui apie pažeidimą būdai.

25. Pranešimas duomenų subjektui apie pažeidimą neteikiamas, išskyrus, jei teikti pranešimą reikalauja Inspekcija, šiais atvejais:

25.1. Ministerija ir (ar) duomenų tvarkytojas įgyvendino tinkamas technines ir organizacines asmens duomenų apsaugos priemones, kurios užtikrino, kad įvykus pažeidimui nekils rizika, ir tos priemonės taikytos asmens duomenims, kuriems pažeidimas turėjo poveikio (pvz., asmens duomenys buvo šifruoti);

25.2. iš karto po pažeidimo Ministerija ir (ar) duomenų tvarkytojas ėmėsi priemonių, kuriomis užtikrinama, kad nebegalėtų kilti rizika;

25.3. reikėtų neproporcingai daug pastangų susisiekti su duomenų subjektais (pvz., kai jų kontaktiniai duomenys buvo prarasti dėl pažeidimo arba nežinomi). Tokiu atveju Aprašo 23 punkte nurodyta informacija apie pažeidimą paskelbiama viešai arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai, pvz., pranešimas interneto svetainėje, spaudoje ar pan.

26. Jeigu Ministerija ar duomenų tvarkytojas pranešimo duomenų subjektui apie pažeidimą neteikė, asmens duomenų, tvarkomų Ministerijoje, saugumo pažeidimo atveju Ministerija, o asmens duomenų, tvarkomų registruose ir valstybės informacinėse sistemose, kurių duomenų valdytoja yra Ministerija, arba pagal Ministerijos nurodymus, saugumo pažeidimo atveju Ministerijos vardu duomenų tvarkytojas turi pagrįsti Inspekcijai, kad įvykdė vieną iš Aprašo 25 punkte nurodytų sąlygų.

 

VII SKYRIUS

ŽURNALO DUOMENŲ TVARKYMAS

 

27. Ministerija ir duomenų tvarkytojas tvarko atskirus Žurnalus.

28. Žurnale nurodoma:

28.1. visi su pažeidimu susiję faktai – pažeidimo priežastis, kas įvyko ir kokie asmens duomenys pažeisti;

28.2. pažeidimo poveikis ir pasekmės;

28.3. taisomieji veiksmai (techninės priemonės), kurių buvo imtasi;

28.4. su pažeidimu susijusių sprendimų priėmimo priežastys (pvz., kodėl duomenų valdytojas nusprendė nepranešti apie pažeidimą Inspekcijai ir (ar) duomenų subjektui, t. y. kodėl nusprendė, kad rizika žema, arba kokią Aprašo 25 punkte nurodytą sąlygą įvykdė);

28.5. pranešimo Inspekcijai pateikimo vėlavimo priežastys (jeigu pranešimą vėluojama pateikti ar pranešimas teikiamas etapais);

28.6. informacija, susijusi su pranešimu duomenų subjektui (pvz., ar buvo pranešta, kodėl nepranešta ir pan.);

28.7. kita reikšminga informacija, susijusi su pažeidimu (pvz., kad tyrimo metu nustatyta, jog Pažeidimo nebuvo, o buvo tik saugumo incidentas).

29. Už Žurnalo pildymą ir saugojimą atsakingas Ministerijos duomenų apsaugos pareigūnas. Žurnale registruojami visi pažeidimai, nepaisant to, ar apie juos pranešta Inspekcijai ir (ar) duomenų subjektui, ar tokie pažeidimai kelia riziką. Žurnalas gali būti popierinės arba elektroninės formos. Užpildytas Žurnalas saugomas 5 metus nuo paskutinio įrašo Žurnale datos.

30. Informacija apie pažeidimą į Žurnalą turi būti įrašoma nedelsiant, kai tik paaiškėja galimas pažeidimas, bet ne ilgiau kaip per 5 darbo dienas nuo galimo pažeidimo paaiškėjimo momento. Kai pasikeičia Žurnale nurodyta informacija arba paaiškėja nauja informacija, Žurnale esanti informacija turi būti papildoma ir (ar) koreguojama.

31. Žurnalas yra pateikiamas Inspekcijai jai pareikalavus.

32. Ministerijos duomenų apsaugos pareigūnas kartą per ketvirtį peržiūri Žurnale esančius įrašus ir pasiūlo Ministerijos kancleriui, kokios prevencijos priemonės turėtų būti įgyvendintos bei kaip turėtų būti kontroliuojamas šių prevencijos priemonių įdiegimas, kad ateityje tokie patys pažeidimai nesikartotų.

 

VIII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

33. Ministerijos darbuotojai ir duomenų tvarkytojai privalo išsaugoti esamos situacijos, susijusios su galimu pažeidimu, įrodymus, kad vėliau naudojant technines ir organizacines priemones (pvz., duomenų srauto ir prisijungimų analizės įrankius ar kt.) būtų galima tirti pažeidimą.

34. Prireikus Ministerijoje gali būti sudaryta darbo grupė pažeidimams (įskaitant jų priežastis, pasekmes) tirti bei pasiūlymams Ministerijos kancleriui, kaip  išvengti pažeidimų ateityje, teikti. Ministerija nuolat tobulina vidinius procesus, atsižvelgdama į nustatytas pažeidimų priežastis.

35. Atsižvelgiant į Ataskaitą, prireikus rengiamas Ministerijos kanclerio tvirtinamas priemonių planas, kuriame numatomos būtinos techninės, organizacinės, administracinės ir kitos priemonės, reikalingos užkirsti kelią pažeidimams, jų pasekmėms pašalinti ar sumažinti, nurodomi atsakingi priemonių vykdytojai ir įgyvendinimo terminai.

______________

 

part_bf8c0754f08a4026afa3c6f7d681fa7f_end