PRIENŲ RAJONO SAVIVALDYBĖS ADMINISTRACIJOS
DIREKTORIUS
ĮSAKYMAS
DĖL ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO FIKSAVIMO, DOKUMENTAVIMO, PRANEŠIMO APIE PAŽEIDIMĄ PATEIKIMO IR PAŽEIDIMO PAŠALINIMO PRIENŲ RAJONO SAVIVALDYBĖS ADMINISTRACIJOJE TVARKOS APRAŠO PATVIRTINIMO
2021 m. vasario 25 d. Nr. A3-148
Prienai
Vadovaudamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas) ir Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82 (1.12E) „Dėl pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“:
1. T v i r t i n u Asmens duomenų saugumo pažeidimo fiksavimo, dokumentavimo, pranešimo apie pažeidimą pateikimo ir pažeidimo pašalinimo Prienų rajono savivaldybės administracijoje tvarkos aprašą (toliau – Aprašas) (pridedama).
2. N u r o d a u:
2.1. Savivaldybės administracijos skyrių ir padalinių vadovams su šiuo įsakymu ir Aprašu per Savivaldybės dokumentų valdymo sistemą supažindinti pavaldžius darbuotojus;
2.2. Savivaldybės administracijos Bendrojo skyriaus vyriausiajai specialistei Dianai Martusevičienei:
2.1.1. su šiuo įsakymu per Savivaldybės dokumentų valdymo sistemą supažindinti Savivaldybės administracijos skyrių ir padalinių vadovus;
PATVIRTINTA
Prienų rajono savivaldybės
administracijos direktoriaus
2021 m. vasario 25 d.
įsakymu Nr. A3-148
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO FIKSAVIMO, DOKUMENTAVIMO, PRANEŠIMO APIE PAŽEIDIMĄ PATEIKIMO IR PAŽEIDIMO PAŠALINIMO PRIENŲ RAJONO SAVIVALDYBĖS ADMINISTRACIJOJE TVARKOS APRAŠAS
I SKYRIUS
BNDROSIOS NUOSTATOS
1. Asmens duomenų saugumo pažeidimo fiksavimo, dokumentavimo, pranešimo apie pažeidimą pateikimo ir pažeidimo pašalinimo Prienų rajono savivaldybės administracijoje tvarkos aprašas (toliau – Aprašas) nustato asmens duomenų saugumo pažeidimo fiksavimo, dokumentavimo bei pranešimo apie asmens duomenų saugumo pažeidimo turinį, procedūrą, pateikimo duomenų subjektui ir Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) tvarką.
2. Aprašas taikomas Prienų rajono savivaldybės administracijai (toliau – Administracija) tvarkant duomenų subjektų asmens duomenis ir juridiniams asmenims, veikiantiems kaip Administracijos valdomų duomenų tvarkytojams (toliau – duomenų tvarkytojai).
3. Aprašas parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas), Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82 (1.12E) „Dėl pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“.
4. Apraše vartojamos sąvokos:
4.1. Asmens duomenys – bet kokia informacija arba jos visuma apie fizinį asmenį, pagal kurią galima nustatyti fizinio asmens tapatybę. Tokia informacija gali būti vardas ir pavardė, asmens kodas, buvimo vietos duomenys, elektroninis paštas, fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės duomenys.
4.2. Asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami gauti, saugomi arba kitaip tvarkomi duomenys arba prie jų be leidimo gaunama prieiga.
4.3. Darbuotojas – Administracijos valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį.
II SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO FIKSAVIMO, DOKUMENTAVIMO, PRANEŠIMO APIE PAŽEIDIMĄ PATEIKIMO IR PAŽEIDIMO PAŠALINIMO PROCEDŪRA
6. Administracijos darbuotojas, sužinojęs, kad nebuvo užtikrintas asmens duomenų saugumas:
6.1. nedelsdamas, bet ne vėliau kaip per 4 darbo valandas nuo asmens duomenų saugumo pažeidimo paaiškėjimo momento, elektroniniu paštu, telefonu arba žodžiu informuoja savo tiesioginį vadovą ir duomenų apsaugos pareigūną;
6.2. imasi priemonių asmens duomenų saugumo pažeidimui pašalinti ir priemonių galimoms neigiamoms jo pasekmėms sumažinti;
7. Duomenų tvarkytojai, sužinoję apie asmens duomenų saugumo pažeidimą, ne vėliau kaip per 1 darbo dieną apie tai praneša Administracijos duomenų apsaugos pareigūnui, pateikdami pranešimą.
8. Duomenų apsaugos pareigūnas, gavęs Administracijos darbuotojo užpildytą pranešimą ar duomenų tvarkytojo pranešimą:
8.4. jei asmens duomenų saugumo pažeidimas padarytas, nustato asmens duomenų kategorijas, įskaitant specialių kategorijų asmens duomenis, kurios buvo susijusios su pažeidimu, pažeidimo priežastis, lėmusias asmens duomenų saugumo pažeidimą, apimtis (duomenų subjektų kategorijos ir skaičius), asmeniui padarytą žalą;
8.5. nustato, kokių skubių ir tinkamų priemonių būtina imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas (pvz., naudoti atsargines kopijas, siekiant atkurti prarastus ar sugadintus duomenis);
8.6. nustato, ar būtina nedelsiant pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą;
9. Duomenų tvarkytojai pateikia Administracijai visą jos prašomą informaciją, susijusią su informavimu apie asmens duomenų saugumo pažeidimą ir jo tyrimu, per Administracijos nurodytą terminą.
10. Duomenų apsaugos pareigūnas, atlikęs asmens duomenų saugumo pažeidimo tyrimą, surašo aprašo 2 priede nurodytos formos Asmens duomenų saugumo pažeidimo ataskaitą.
12. Atsižvelgiant į asmens duomenų saugumo pažeidimo ataskaitą, prireikus Administracijos direktorius tvirtina priemonių planą – jame numatomas būtinų techninių, organizacinių, administracinių ir kitų priemonių poreikis dėl asmens duomenų saugumo pažeidimo, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus.
13. Tuo atveju, jei yra nustatoma, kad dėl įvykusio asmens duomenų saugumo pažeidimo duomenų tvarkytojas turi imtis papildomų veiksmų ar užtikrinti papildomas asmens duomenų saugumo priemones, Administracijos direktorius duoda privalomus nurodymus duomenų tvarkytojui, jei asmens duomenų saugumo pažeidimas susijęs su duomenų tvarkytojo tvarkomomis informacinėmis sistemomis.
14. Duomenų apsaugos pareigūnas, nustatęs, kad asmens duomenų saugumo pažeidimas kelia pavojų fizinių asmenų teisėms ir laisvėms, nedelsdamas ir, jei įmanoma, nepraėjus 72 valandoms nuo to laiko, kai buvo sužinota apie asmens duomenų saugumo pažeidimą, informuoja Inspekciją, pateikdamas užpildytą Aprašo 1 priede nurodytos formos Pranešimą apie asmens duomenų saugumo pažeidimą.
15. Tuo atveju, kai duomenų apsaugos pareigūnas nustato, kad asmens duomenų saugumo pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms, apie padarytą asmens duomenų saugumo pažeidimą Inspekcija nėra informuojama.
16. Duomenų apsaugos pareigūnas nedelsdamas ir, jei įmanoma, nepraėjus 72 valandoms nuo to laiko, kai buvo sužinota apie asmens duomenų saugumo pažeidimą, praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui elektroniniu paštu, raštu ar kitu būdu, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms.
17. Tuo atveju, kai yra įtariama, kad asmens duomenų saugumo pažeidimas turi nusikalstamos veikos požymių, informacija apie galimą nusikalstamą veiką pateikiama atitinkamoms valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą.
18. Darbuotojai privalo Administracijos duomenų apsaugos pareigūnui pateikti visą informaciją, susijusią su asmens duomenų saugos pažeidimu, taip pat konsultuoti duomenų apsaugos pareigūną ir kitais jų kompetencijai priskirtais būdais padėti sustabdyti asmens duomenų saugos pažeidimą ir (arba) sumažinti jo sukeltus padarinius.
19. Duomenų apsaugos pareigūnas informaciją apie asmens duomenų saugumo pažeidimą įrašo į Aprašo 3 priede nurodytos formos Asmens duomenų saugumo pažeidimų registravimo žurnalą.
20. Asmens duomenų saugumo pažeidimų registravimo žurnalą ir Asmens duomenų saugumo pažeidimo ataskaitas saugo Administracijos asmens duomenų apsaugos pareigūnas.
III SKYRIUS
PRANEŠIMAS INSPEKCIJAI APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ
22. Asmens duomenų saugumo pažeidimo atveju duomenų apsaugos pareigūnas nepagrįstai nedelsdamas, bet ne vėliau kaip per 72 valandas nuo tada, kai sužinojo apie asmens duomenų saugumo pažeidimą, apie tai praneša Inspekcijai, kuri yra kompetentinga pagal Reglamento 55 straipsnį, nebent asmens duomenų saugumo pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms. Jeigu Inspekcijai apie asmens duomenų saugumo pažeidimą nepranešama per 72 valandas, prie pranešimo pridedamos vėlavimo priežastys.
23. Duomenų tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, nedelsdamas apie tai praneša duomenų valdytojui.
24. Aprašo 22 punkte nurodytame pranešime Inspekcijai turi būti nurodyta:
24.1. Duomenų valdytojo duomenys:
24.1.1. juridinio asmens pavadinimas, kodas, buveinės adresas, telefono ryšio numeris ir (ar) elektroninio pašto adresas, ir (ar) elektroninės siuntos pristatymo dėžutės adresas;
24.1.2. fizinio asmens vardas, pavardė, asmens kodas, gimimo data (jeigu asmuo neturi asmens kodo), asmens duomenų tvarkymo vieta, telefono ryšio numeris ir (ar) elektroninio pašto adresas, ir (ar) elektroninės siuntos pristatymo dėžutės adresas;
24.2. duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, duomenys:
24.3. asmens duomenų saugumo pažeidimo apibūdinimas:
24.3.3. asmens duomenų saugumo pažeidimo aplinkybės (asmens duomenų konfidencialumo praradimas (neautorizuota prieiga ar atskleidimas), asmens duomenų vientisumo praradimas (neautorizuotas asmens duomenų pakeitimas), asmens duomenų prieinamumo praradimas (asmens duomenų praradimas, sunaikinimas);
24.3.4. apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius ir kategorijos;
24.4. aprašytos priemonės, kurių ėmėsi arba siūlo imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas arba kad būtų sumažintos jo sukeltos pasekmės;
24.5. informacija apie tai, ar apie asmens duomenų saugumo pažeidimą informuoti duomenų subjektai, jeigu duomenų subjektai neinformuojami, nurodomos priežastys;
25. Duomenų apsaugos pareigūnas, pranešdamas apie asmens duomenų saugumo pažeidimą, Aprašo 24.1–24.5 papunkčiuose nurodytą informaciją pateikia visą iš karto arba keliais etapais, jeigu nurodytos informacijos neįmanoma pateikti tuo pačiu metu. Duomenų apsaugos pareigūnas informaciją keliais etapais teikia nepagrįstai nedelsdamas.
27. Pranešimas apie asmens duomenų saugumo pažeidimą Inspekcijai teikiamas vienu iš šių būdų:
27.2. elektroninio pašto adresu [email protected];
28. Inspekcija, nustačiusi, kad pranešime pateikta ne visa aprašo 24 punkte nurodyta informacija arba pateikta netiksli ar neišsami informacija, nedelsiant, bet ne vėliau kaip per 5 darbo dienas nuo pranešimo gavimo dienos, informuoja apie tai duomenų valdytoją ir paprašo ne vėliau kaip kitą darbo dieną nuo prašymo pateikimo dienos pranešimą papildyti, patikslinti ir (ar) ištaisyti. Ši nuostata netaikoma, kai duomenų valdytojas informaciją apie asmens duomenų saugumo pažeidimą teikia etapais.
IV SKYRIUS
PRANEŠIMAS DUOMENŲ SUBJEKTUI APIE ASMENS DUOMENŲ SAUGUMO
PAŽEIDIMĄ
29. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nepagrįstai nedelsdamas praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui.
30. Pranešime duomenų subjektui aiškia ir paprasta kalba aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama ši informacija:
30.1. nurodytas duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas ir pavardė (pavadinimas) ir kontaktiniai duomenys;
31. Pranešimo duomenų subjektui nereikalaujama, jeigu įvykdomos bet kurios toliau nurodytos sąlygos:
31.1. Administracija įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos priemonės taikytos duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio, visų pirma tas priemones, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su duomenimis, jie būtų nesuprantami, pavyzdžiui, šifravimo priemonės;
31.2. Administracija ėmėsi priemonių, kuriomis užtikrinama, kad nekiltų didelis pavojus duomenų subjektų teisėms ir laisvėms;
32. Jei Inspekcija, apsvarsčiusi tikimybę, kad dėl pažeidimo kils didelis pavojus, pareikalauja, kad Administracija informuotų duomenų subjektą apie asmens duomenų saugumo pažeidimą, Administracija nedelsdama praneša duomenų subjektui apie asmens duomenų saugumo pažeidimą.
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS