VALSTYBINĖS DUOMENŲ APSAUGOS INSPEKCIJOS

DIREKTORIUS

ĮSAKYMAS

DĖL PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ REKOMENDUOJAMOS FORMOS PATVIRTINIMO

2018 m. rugpjūčio 29 d. Nr. 1T-82(1.12.E)

Vilnius

Siekdamas padėti duomenų valdytojams atlikti pareigą pranešti apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai pagal 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) 33 straipsnį ir Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymo 29 straipsnį,

t v i r t i n u Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamą formą (pridedama).

Direktorius Raimondas Andrijauskas

Forma patvirtinta

Valstybinės duomenų apsaugos inspekcijos

direktoriaus 2018 m. rugpjūčio 29 d.

įsakymu Nr. 1T-82(1.12.E)

(Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojama forma)

(duomenų valdytojo (juridinio asmens) pavadinimas, duomenų valdytojo atstovo pavadinimas, duomenų valdytojo (fizinio asmens) vardas, pavardė)^{^[1]}

(juridinio asmens kodas ir buveinės adresas arba fizinio asmens kodas, gimimo data (jeigu asmuo neturi asmens kodo) ir asmens duomenų tvarkymo vieta

(telefono ryšio numeris ir (ar) elektroninio pašto adresas, ir (ar) elektroninės siuntos pristatymo dėžutės adresas)

Valstybinei duomenų apsaugos inspekcijai

PRANEŠIMAS

APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ

________ Nr. ___________

(data) (rašto numeris)

1.Asmens duomenų saugumo pažeidimo apibūdinimas

1.1. Asmens duomenų saugumo pažeidimo data ir laikas:

Asmens duomenų saugumo pažeidimo:

Data ______________ Laikas __________

Asmens duomenų saugumo pažeidimo nustatymo:

Data ______________ Laikas __________

1.2. Asmens duomenų saugumo pažeidimo vieta (pažymėti tinkamą (-us):

ð Informacinė sistema

ð Duomenų bazė

ð Tarnybinė stotis

ð Internetinė svetainė

ð Debesų kompiuterijos paslaugos

ð Nešiojami / mobilus įrenginiai

ð Neautomatiniu būdu susistemintos bylos (archyvas)

ð Kita ___________________________________________________________________

1.3. Asmens duomenų saugumo pažeidimo aplinkybės (pažymėti tinkamą (-us):

ð Asmens duomenų konfidencialumo praradimas (neautorizuota prieiga ar atskleidimas)

ð Asmens duomenų vientisumo praradimas (neautorizuotas asmens duomenų pakeitimas)

ð Asmens duomenų prieinamumo praradimas (asmens duomenų praradimas, sunaikinimas)

1.4. Apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius:

_____________________________________________________________________________

1.5. Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos (atskiriamos pagal jai būdingą požymį):

__________________________________________________________________________________________________________________________________________________________

1.6. Asmens duomenų, kurių saugumas pažeistas, kategorijos (pažymėti tinkamą (-as):

ð Asmens tapatybę patvirtinantys asmens duomenys (vardas, pavardė, amžius, gimimo data, lytis ir kt.):

__________________________________________________________________________________________________________________________________________________________

ð Specialių kategorijų asmens duomenys (duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, ar narystę profesinėse sąjungose, genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie lytinį gyvenimą ir lytinę orientaciją):

__________________________________________________________________________________________________________________________________________________________

ð Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas:

__________________________________________________________________________________________________________________________________________________________

ð Prisijungimo duomenys ir (ar) asmens identifikaciniai numeriai (pavyzdžiui, asmens kodas, mokėtojo kodas, slaptažodžiai):

__________________________________________________________________________________________________________________________________________________________

ð Kiti:

ð Nežinomi (pranešimo teikimo metu)

1.7. Apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius:

_____________________________________________________________________________

1.8. Kita duomenų valdytojo nuomone reikšminga informacija apie asmens duomenų saugumo pažeidimą:

_____________________________________________________________________________

2. Galimos asmens duomenų saugumo pažeidimo pasekmės

2.1. Konfidencialumo praradimo atveju:

ð Asmens duomenų išplitimas labiau nei yra būtina ir duomenų subjekto kontrolės praradimas savo asmens duomenų atžvilgiu (pavyzdžiui, asmens duomenys išplito internete)

ð Skirtingos informacijos susiejimas (pavyzdžiui, gyvenamosios vietos adreso susiejimas su asmens buvimo vieta realiu laiku)

ð Galimas panaudojimas kitais, nei nustatytais ar neteisėtais tikslais (pavyzdžiui, komerciniais tikslais, asmens tapatybės pasisavinimo tikslu, informacijos panaudojimo prieš asmenį tikslu)

ð Kita

______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

2.2. Vientisumo praradimo atveju:

ð Pakeitimas į neteisingus duomenis dėl ko asmuo gali netekti galimybės naudotis paslaugomis

ð Pakeitimas į galiojančius duomenis, kad asmens duomenų tvarkymas būtų nukreiptas (pavyzdžiui, pavogta asmens tapatybė susiejant vieno asmens identifikuojančius duomenis su kito asmens biometriniais duomenimis)

ð Kita

2.3. Duomenų prieinamumo praradimo atveju:

ð Dėl asmens duomenų trūkumo negalima teikti paslaugų (pavyzdžiui, administracinių procesų sutrikdymas, dėl ko negalima prieiti, pavyzdžiui, prie asmens sveikatos istorijų ir teikti pacientams sveikatos paslaugų, arba įgyvendinti duomenų subjekto teises)

ð Dėl klaidų asmens duomenų tvarkymo procesuose negalima teikti tinkamos paslaugos (pavyzdžiui, asmens sveikatos istorijoje neliko informacijos apie asmens alergijas, tam tikra informacija iš mokesčių deklaracijos išnyko, dėl ko negalima tinkamai apskaičiuoti mokesčių ir pan.)

ð Kita

2.4. Kita:

_____________________________________________________________________________

3. Priemonės, kurių imtasi siekiant pašalinti pažeidimą ar sumažinti jo pasekmes

3.1. Taikytos priemonės siekiant sumažinti poveikį duomenų subjektams:

_____________________________________________________________________________

_________________________________________________________________

3.2. Taikytos priemonės siekiant pašalinti asmens duomenų saugumo pažeidimą:

_____________________________________________________________________________

3.3. Taikytos priemonės siekiant, kad pažeidimas nepasikartotų:

_____________________________________________________________________________

3.4. Kita:

__________________________________________________________________________________________________________________________________________________________

_____________________________________________________________________________

4. Siūlomos priemonės sumažinti asmens duomenų saugumo pažeidimo pasekmėms

__________________________________________________________________________________________________________________________________________________________

_____________________________________________________________________________

5. Duomenų subjektų informavimas apie asmens duomenų saugumo pažeidimą

5.1. Duomenys apie informavimo faktą:

ð Taip, duomenų subjektai informuoti (nurodoma data) _______________________________

ð Ne, bet jie bus informuoti (nurodoma data) _______________________________________

ð Ne

5.2. Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, neinformavimo priežastys:

ð Ne, nes nekyla didelis pavojus duomenų subjektų teisėms ir laisvėms (nurodoma kodėl) _____________________________________________________________________________

_____________________________________________________________________________

ð Ne, nes įgyvendintos tinkamos techninės ir organizacinės priemonės, užtikrinančios, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami (nurodomos kokios)

_____________________________________________________________________________

ð Ne, nes įgyvendintos tinkamos techninės ir organizacinės priemonės, užtikrinančios, kad nekiltų didelis pavojus duomenų subjektų teisėms ir laisvėms (nurodomos kokios) ____

_____________________________________________________________________________

ð Ne, nes tai pareikalautų neproporcingai daug pastangų ir apie tai viešai paskelbta (arba taikyta panaši priemonė) (nurodoma kada ir kur paskelbta informacija viešai arba jei taikyta kita priemonė, nurodoma kokia ir kada taikyta)

_____________________________________________________________________________

ð Ne, nes dar neidentifikuoti duomenų subjektai, kurių asmens duomenų saugumas pažeistas

_____________________________________________________________________________

5.3. Informacija, kuri buvo pateikta duomenų subjektams (gali būti pridėtas pranešimo duomenų subjektui kopija):

_____________________________________________________________________________

5.4. Būdas, kokiu duomenų subjektai buvo informuoti:

ð Paštu

ð Elektroniniu paštu

ð Kitu būdu __________________________________________________________________

5.5. Informuotų duomenų subjektų skaičius ___________________________________________

6. Asmuo galintis suteikti daugiau informacijos apie asmens duomenų saugumo pažeidimą (duomenų apsaugos pareigūnas ar kitas kontaktinis asmuo)^{^[2]}

6.1. Vardas ir pavardė ____________________________________________________________

6.2. Telefono ryšio numeris _______________________________________________________

6.3. Elektroninio pašto adresas _____________________________________________________

6.4. Pareigos ___________________________________________________________________

6.5. Darbovietės pavadinimas ir adresas ______________________________________________

7. Pranešimo pateikimo Valstybinei duomenų apsaugos inspekcijai pateikimo vėlavimo priežastys

_____________________________________________________________________________

8. Kita reikšminga informacija

_____________________________________________________________________________

(pareigos)

(parašas)

(vardas, pavardė)

______________________________

^{^[1]} Kai pranešimas apie asmens duomenų saugumo pažeidimą teikiamas pagal Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymo (toliau – Įstatymas) 29 straipsnį, nurodomi tik duomenų valdytojo (juridinio asmens) duomenys.

^{^[2]} Kai pranešimas apie asmens duomenų saugumo pažeidimą teikiamas pagal Įstatymo 29 straipsnį, nenurodomi šios formos 6.4 ir 6.5 papunkčiuose nurodyti duomenys.