VALSTYBINĖS DUOMENŲ APSAUGOS INSPEKCIJOS
DIREKTORIUS
ĮSAKYMAS
DĖL PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ PATEIKIMO VALSTYBINEI DUOMENŲ APSAUGOS INSPEKCIJAI TVARKOS APRAŠo
PATVIRTINIMO
2018 m. liepos 27 d. Nr. 1T-72(1.12.E)
Vilnius
Siekdamas padėti duomenų valdytojams atlikti pareigą pranešti apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai pagal 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) 33 straipsnį,
t v i r t i n u Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašą (pridedama).
PATVIRTINTA
Valstybinės duomenų apsaugos inspekcijos
direktoriaus 2018 m. liepos 27 d.
įsakymu Nr. 1T-72(1.12.E)
PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ PATEIKIMO VALSTYBINEI DUOMENŲ APSAUGOS INSPEKCIJAI TVARKOS APRAŠAS
1. Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašas (toliau – Aprašas) nustato Pranešimo apie asmens duomenų saugumo pateikimo Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) tvarką ir sąlygas.
2. Pagal Aprašą Inspekcijai teikiami pranešimai apie asmens duomenų saugumo pažeidimą vykdant 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) 33 straipsnyje numatytą pareigą (toliau – pranešimas).
4. Asmens duomenų saugumo pažeidimo atveju duomenų valdytojas privalo nedelsdamas, bet ne vėliau kaip per 72 valandas nuo tada, kai sužinojo apie asmens duomenų saugumo pažeidimą, pateikti Inspekcijai pranešimą, kuriame turi būti nurodyta:
4.1. Duomenų valdytojo duomenys:
4.1.1. juridinio asmens pavadinimas, kodas, buveinės adresas, telefono ryšio numeris ir (ar) elektroninio pašto adresas, ir (ar) elektroninės siuntos pristatymo dėžutės adresas;
4.1.2. fizinio asmens vardas, pavardė, asmens kodas, gimimo data (jeigu asmuo neturi asmens kodo), asmens duomenų tvarkymo vieta, telefono ryšio numeris ir (ar) elektroninio pašto adresas, ir (ar) elektroninės siuntos pristatymo dėžutės adresas;
4.2. duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, duomenys:
4.3. asmens duomenų saugumo pažeidimo apibūdinimas:
4.3.3. asmens duomenų saugumo pažeidimo aplinkybės (asmens duomenų konfidencialumo praradimas (neautorizuota prieiga ar atskleidimas), asmens duomenų integralumo praradimas (neautorizuotas asmens duomenų pakeitimas), asmens duomenų valdymo kontrolės praradimas (asmens duomenų praradimas, sunaikinimas);
4.3.4. apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius ir kategorijos;
4.4. aprašytos priemonės, kurių ėmėsi arba siūlo imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas arba kad būtų sumažintos jo sukeltos pasekmės;
4.5. informacija apie tai, ar apie asmens duomenų saugumo pažeidimą informuoti duomenų subjektai, jeigu duomenų subjektai neinformuojami, nurodomos priežastys;
5. Duomenų valdytojas pranešdamas apie asmens duomenų saugumo pažeidimą, Aprašo 4.1–4.5 papunkčiuose nurodytą informaciją pateikia visą iš karto arba keliais etapais, jeigu nurodytos informacijos neįmanoma pateikti tuo pačiu metu. Duomenų valdytojas informaciją keliais etapais teikia nepagrįstai nedelsdamas.
6. Pranešimą apie asmens duomenų saugumo pažeidimą pasirašo duomenų valdytojas (fizinis asmuo), duomenų valdytojo (juridinio asmens) vadovas ar jų įgaliotas asmuo, duomenų valdytojo atstovo, jeigu jis yra įgaliotas pagal Reglamento (ES) 2016/679 27 straipsnį, vadovas ar jo įgaliotas asmuo.
7. Pranešimas apie asmens duomenų saugumo pažeidimą Inspekcijai teikiamas vienu iš šių būdų:
7.2. elektroninio pašto adresu [email protected];
8. Inspekcija, nustačiusi, kad pranešime pateikta ne visa Aprašo 4 punkte nurodyta informacija arba pateikta netiksli ar neišsami informacija, nedelsiant, bet ne vėliau kaip per 5 darbo dienas nuo pranešimo gavimo dienos, informuoja apie tai duomenų valdytoją ir paprašo ne vėliau kaip kitą darbo dieną nuo prašymo pateikimo dienos pranešimą papildyti, patikslinti ir (ar) ištaisyti. Ši nuostata netaikoma, kai duomenų valdytojas informaciją apie asmens duomenų saugumo pažeidimą teikia etapais.
9. Inspekcija, įvertinusi gautą informaciją, gali pasinaudoti jai Reglamente (ES) 2016/679 numatytais tyrimo įgaliojimais ir imtis šiame reglamente numatytų taisomųjų veiksmų.
10. Jei Inspekcija nusprendžia atlikti tyrimą ir (ar) tikrinimą, tikrinimas atliekamas Inspekcijos direktoriaus nustatyta tvarka.
11. Duomenų valdytojas nepateikęs pranešimo apie asmens duomenų saugumo pažeidimą Inspekcijai atsako Reglamente (ES) 2016/679 nustatyta tvarka.