Suvestinė redakcija nuo 2018-08-30
Įsakymas paskelbtas: TAR 2018-07-27, i. k. 2018-12533
VALSTYBINĖS DUOMENŲ APSAUGOS INSPEKCIJOS
DIREKTORIUS
ĮSAKYMAS
DĖL PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ PATEIKIMO VALSTYBINEI DUOMENŲ APSAUGOS INSPEKCIJAI TVARKOS APRAŠo
PATVIRTINIMO
2018 m. liepos 27 d. Nr. 1T-72(1.12.E)
Vilnius
Siekdamas padėti duomenų valdytojams atlikti pareigą pranešti apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai pagal 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) 33 straipsnį ir Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymo 29 straipsnį,
Preambulės pakeitimai:
Nr. 1T-83(1.12.E), 2018-08-29, paskelbta TAR 2018-08-29, i. k. 2018-13585
t v i r t i n u Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašą (pridedama).
PATVIRTINTA
Valstybinės duomenų apsaugos inspekcijos
direktoriaus 2018 m. liepos 27 d.
įsakymu Nr. 1T-72(1.12.E)
PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ PATEIKIMO VALSTYBINEI DUOMENŲ APSAUGOS INSPEKCIJAI TVARKOS APRAŠAS
1. Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašas (toliau – Aprašas) nustato Pranešimo apie asmens duomenų saugumo pateikimo Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) tvarką ir sąlygas.
2. Pagal Aprašą Inspekcijai teikiami pranešimai apie asmens duomenų saugumo pažeidimą vykdant 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) 33 straipsnyje ir Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymo (toliau – Įstatymas) 29 straipsnyje numatytą pareigą (toliau – pranešimas).
Punkto pakeitimai:
Nr. 1T-83(1.12.E), 2018-08-29, paskelbta TAR 2018-08-29, i. k. 2018-13585
3. Šiame Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679 ir Įstatyme.
Punkto pakeitimai:
Nr. 1T-83(1.12.E), 2018-08-29, paskelbta TAR 2018-08-29, i. k. 2018-13585
4. Asmens duomenų saugumo pažeidimo atveju duomenų valdytojas privalo nedelsdamas, bet ne vėliau kaip per 72 valandas nuo tada, kai sužinojo apie asmens duomenų saugumo pažeidimą, pateikti Inspekcijai pranešimą, kuriame turi būti nurodyta:
4.1. Duomenų valdytojo duomenys:
4.1.1. juridinio asmens pavadinimas, kodas, buveinės adresas, telefono ryšio numeris ir (ar) elektroninio pašto adresas, ir (ar) elektroninės siuntos pristatymo dėžutės adresas;
4.1.2. fizinio asmens vardas, pavardė, asmens kodas, gimimo data (jeigu asmuo neturi asmens kodo), asmens duomenų tvarkymo vieta, telefono ryšio numeris ir (ar) elektroninio pašto adresas, ir (ar) elektroninės siuntos pristatymo dėžutės adresas;
4.2. duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, duomenys:
4.2.4. darbovietės pavadinimas ir adresas;
Papunkčio pakeitimai:
Nr. 1T-83(1.12.E), 2018-08-29, paskelbta TAR 2018-08-29, i. k. 2018-13585
4.3. asmens duomenų saugumo pažeidimo apibūdinimas:
4.3.3. asmens duomenų saugumo pažeidimo aplinkybės (asmens duomenų konfidencialumo praradimas (neautorizuota prieiga ar atskleidimas), asmens duomenų vientisumo praradimas (neautorizuotas asmens duomenų pakeitimas), asmens duomenų prieinamumo praradimas (asmens duomenų praradimas, sunaikinimas);
Papunkčio pakeitimai:
Nr. 1T-83(1.12.E), 2018-08-29, paskelbta TAR 2018-08-29, i. k. 2018-13585
4.3.4. apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius ir kategorijos;
4.4. aprašytos priemonės, kurių ėmėsi arba siūlo imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas arba kad būtų sumažintos jo sukeltos pasekmės;
4.5. informacija apie tai, ar apie asmens duomenų saugumo pažeidimą informuoti duomenų subjektai, jeigu duomenų subjektai neinformuojami, nurodomos priežastys;
41. Aprašo 4.1.2, 4.2.3, 4.2.4 papunkčiai netaikomi, kai teikiamas pranešimas pagal Įstatymą.
Papildyta punktu:
Nr. 1T-83(1.12.E), 2018-08-29, paskelbta TAR 2018-08-29, i. k. 2018-13585
5. Duomenų valdytojas pranešdamas apie asmens duomenų saugumo pažeidimą, Aprašo 4.1–4.5 papunkčiuose nurodytą informaciją pateikia visą iš karto arba keliais etapais, jeigu nurodytos informacijos neįmanoma pateikti tuo pačiu metu. Duomenų valdytojas informaciją keliais etapais teikia nepagrįstai nedelsdamas.
6. Pranešimą apie asmens duomenų saugumo pažeidimą pasirašo duomenų valdytojas (fizinis asmuo), duomenų valdytojo (juridinio asmens) vadovas ar jų įgaliotas asmuo, duomenų valdytojo atstovo, jeigu jis yra įgaliotas pagal Reglamento (ES) 2016/679 27 straipsnį, vadovas ar jo įgaliotas asmuo.
7. Pranešimas apie asmens duomenų saugumo pažeidimą Inspekcijai teikiamas vienu iš šių būdų:
8. Inspekcija, nustačiusi, kad pranešime pateikta ne visa Aprašo 4 punkte nurodyta informacija arba pateikta netiksli ar neišsami informacija, nedelsiant, bet ne vėliau kaip per 5 darbo dienas nuo pranešimo gavimo dienos, informuoja apie tai duomenų valdytoją ir paprašo ne vėliau kaip kitą darbo dieną nuo prašymo pateikimo dienos pranešimą papildyti, patikslinti ir (ar) ištaisyti. Ši nuostata netaikoma, kai duomenų valdytojas informaciją apie asmens duomenų saugumo pažeidimą teikia etapais.
9. Inspekcija, įvertinusi gautą informaciją, gali pasinaudoti jai Reglamente (ES) 2016/679 ir Įstatyme numatytais tyrimo įgaliojimais ir taikyti numatytas poveikio priemones teisės aktų nustatyta tvarka.
Punkto pakeitimai:
Nr. 1T-83(1.12.E), 2018-08-29, paskelbta TAR 2018-08-29, i. k. 2018-13585
10. Jei Inspekcija nusprendžia atlikti tyrimą ir (ar) tikrinimą, tikrinimas atliekamas Inspekcijos direktoriaus nustatyta tvarka.
11. Duomenų valdytojas nepateikęs pranešimo apie asmens duomenų saugumo pažeidimą Inspekcijai atsako Reglamente (ES) 2016/679 ar Įstatyme nustatyta tvarka.
Punkto pakeitimai:
Nr. 1T-83(1.12.E), 2018-08-29, paskelbta TAR 2018-08-29, i. k. 2018-13585
Pakeitimai:
1.
Valstybinė duomenų apsaugos inspekcija, Įsakymas
Nr. 1T-83(1.12.E), 2018-08-29, paskelbta TAR 2018-08-29, i. k. 2018-13585
Dėl Valstybinės duomenų apsaugos inspekcijos 2018 m. liepos 27 d. įsakymo Nr. 1T-72(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“ pakeitimo