Suvestinė redakcija nuo 2023-10-27
Įsakymas paskelbtas: TAR 2020-04-08, i. k. 2020-07281
ŠIAULIŲ MIESTO SAVIVALDYBĖS ADMINISTRACIJOS
DIREKTORIUS
ĮSAKYMAS
DĖL ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ ŠIAULIŲ MIESTO SAVIVALDYBĖS ADMINISTRACIJOJE VALDYMO TAISYKLIŲ PATVIRTINIMO
2020 m. balandžio 8 d. Nr. A-478
Šiauliai
Vadovaudamasis Lietuvos Respublikos vietos savivaldos įstatymo 29 straipsnio 8 dalies 2 punktu, 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu,
1. Tvirtinu Asmens duomenų saugumo pažeidimų Šiaulių miesto savivaldybės administracijoje valdymo taisykles (pridedama).
2. Įpareigoju:
2.1. Šiaulių miesto savivaldybės administracijos struktūrinių padalinių vadovus užtikrinti, kad nustačius galimą duomenų saugumo pažeidimą ne vėliau kaip per 2 darbo valandas nuo galimo pažeidimo paaiškėjimo momento būtų informuotas Šiaulių miesto savivaldybės administracijos direktorius ir Administracijos duomenų apsaugos pareigūnas.
Šiaulių miesto savivaldybės
administracijos direktoriaus
2020 m. balandžio 8 d.
įsakymu Nr. A-478
(2023 m. spalio 26 d. įsakymo
Nr. A-1071 redakcija)
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ ŠIAULIŲ MIESTO SAVIVALDYBĖS ADMINISTRACIJOJE VALDYMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų saugumo pažeidimų Šiaulių miesto savivaldybės administracijoje taisyklės (toliau – Taisyklės) reglamentuoja asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pašalinimo, pranešimo Valstybinei duomenų apsaugos inspekcijai (toliau – VDAI), duomenų subjektams tvarką bei asmens duomenų saugumo pažeidimų įforminimą Šiaulių miesto savivaldybės administracijoje (toliau – Administracija).
2. Taisyklės taikomos Administracijai tvarkant duomenų subjektų asmens duomenis ir asmenims, veikiantiems kaip Administracijos valdomų informacinių sistemų duomenų tvarkytojams, bei asmenims, su kuriais sudaryta asmens duomenų tvarkymo sutartis tvarkyti asmens duomenis pagal Administracijos nurodymus.
3. Taisyklės parengtos vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau – Įstatymas) ir kitais galiojančiais teisės aktais, reglamentuojančiais asmens duomenų apsaugą.
4. Taisyklėse vartojamos sąvokos:
4.1. Asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami gauti, saugomi arba kitaip tvarkomi duomenys arba prie jų be leidimo gaunama prieiga;
4.2. Administracijos darbuotojas – Administracijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį;
II SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO NUSTATYMAS
6. Asmens duomenų saugumo pažeidimai pagal pobūdį (tipą) yra:
6.1. Konfidencialumo pažeidimas – netyčia ar neteisėtai atskleidžiami asmens duomenys arba prie asmens duomenų suteikiama prieiga tam teisės neturintiems asmenims;
6.2. Prieinamumo pažeidimas – netyčia ar neteisėtai prarandama prieiga prie asmens duomenų arba asmens duomenys yra sunaikinami;
7. Pavojų duomenų subjektų teisėms ir laisvėms keliančiu laikytinas toks asmens duomenų saugumo pažeidimas, dėl kurio duomenų subjektas galėtų patirti kūno sužalojimą, materialinę ar nematerialinę žalą, teisių ir laisvių apribojimą, diskriminaciją, galėtų būti pavogta ar suklastota asmens tapatybė, neleistinai panaikinti pseudonimai, pakenkta jo reputacijai, prarastas asmens duomenų, sudarančių profesinę paslaptį, konfidencialumas arba padaryta kita ekonominė ar socialinė žala.
8. Asmens duomenų saugumo pažeidimas gali įvykti dėl šių priežasčių:
8.1. žmogiškoji klaida (pvz., asmens duomenys persiųsti ne tam adresatui, kuriam jie buvo skirti; ne saugojimui skirtoje vietoje palikti dokumentai, kuriuose yra asmens duomenų; pamesti nešiojamieji ar mobilieji įrenginiai (telefonas, nešiojamasis kompiuteris, išorinės duomenų laikmenos), kuriuose saugomi asmens duomenys, ir kt.);
8.2. vagystė (pvz., pavogti nešiojamieji ar mobilieji įrenginiai, kuriuose saugomi asmens duomenys; pavogtos neautomatiniu būdu susistemintos bylos, kuriose yra asmens duomenų, ir kt.);
8.3. kibernetinė ataka (pvz., duomenų bazėje ar informacinėje sistemoje esantys asmens duomenys užšifruojami, naudojant išpirkos reikalaujančią programą; internete paskelbiami informacinių sistemų naudotojų vardai ir slaptažodžiai ir kt.);
8.4. neleistina (neautorizuota) prieiga prie asmens duomenų (pvz., įgaliojimų neturintys asmenys patenka į patalpas, kuriose saugomos bylos su asmens duomenimis; įgaliojimų neturintys asmenys prisijungia prie duomenų bazių ar informacinių sistemų ir kt.);
8.5. įrenginių ar programinės įrangos gedimas, saugos sistemos spragos (pvz., energijos tiekimo nutrūkimas, dėl kurio negalima prieiga prie asmens duomenų; programos kodo, kuriuo kontroliuojamas prieigos teisių suteikimas informacinių sistemų naudotojams, klaida ir kt.);
III SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ TYRIMAS IR PAŠALINIMAS
9. Administracijos darbuotojas, nustatęs ar sužinojęs apie galimą asmens duomenų saugumo pažeidimą, arba kai informacija apie galimą asmens duomenų saugumo pažeidimą gavo iš duomenų tvarkytojo, žiniasklaidos ar kito šaltinio, privalo:
9.1. nedelsdamas, bet ne vėliau kaip per 2 darbo valandas, informuoti savo tiesioginį vadovą, Administracijos direktorių ir duomenų apsaugos pareigūną asmeniškai, el. paštu, telefonu, ir / arba kitomis komunikacijos priemonėmis;
9.2. Administracijos darbuotojas ar jo tiesioginis vadovas privalo užpildyti pranešimą apie galimą asmens duomenų saugumo pažeidimą (toliau – pranešimas) (Taisyklių 1 priedas), kuris registruojamas dokumentų valdymo sistemoje (toliau – DVS) ir nedelsiant, bet ne vėliau kaip per 4 darbo valandas nuo galimo asmens duomenų saugumo pažeidimo paaiškėjimo momento, perduodamas per DVS Administracijos direktoriui, o duomenų apsaugos pareigūnui pateikiamas susipažinti;
10. Duomenų tvarkytojai, sužinoję apie galimą asmens duomenų saugumo pažeidimą, nedelsdami, bet ne vėliau kaip per 24 valandas, Administracijai pateikia pranešimą, kurio turinys numatytas Reglamento 33 straipsnio 3 dalyje, ir pateikia tiek informacijos, kiek jos įmanoma pateikti tuo metu. Gautas pranešimas užregistruojamas Administracijos DVS ir perduodamas Administracijos direktoriui, o duomenų apsaugos pareigūnui pateikiamas susipažinti. Tuo atveju, jei terminas nuo momento, kai duomenų tvarkytojui tapo žinoma apie galimą asmens duomenų saugumo pažeidimą, iki pranešimo Administracijai yra ilgesnis nei 24 valandos, duomenų tvarkytojas kartu su pranešimu pateikia Administracijai paaiškinimą dėl uždelsto informacijos pateikimo. Duomenų tvarkytojai suteikia Administracijai pagalbą, kurios reikia, kad būtų tinkamai pranešta apie asmens duomenų saugumo pažeidimą duomenų subjektui ir VDAI.
11. Duomenų apsaugos pareigūnas, sužinojęs apie galimą asmens duomenų saugumo pažeidimą, taip pat turi teisę užpildyti Taisyklių 9.2 papunktyje nurodytą pranešimą, kurį per DVS pateikia Administracijos direktoriui, o Administracijos struktūriniui padaliniui, su kuriuo susijęs galimas asmens duomenų saugumo pažeidimas, susipažinti. Administracijos struktūrinis padalinys gavęs duomenų apsaugos pareigūno pranešimą privalo (jeigu įmanoma), imtis priemonių pašalinti galimą asmens duomenų saugumo pažeidimą ir imtis priemonių galimoms neigiamoms jo pasekmėms sumažinti.
12. Administracijos direktorius, gavęs pranešimą, rašytine rezoliucija arba įsakymu paskiria Atsakingą asmenį, kuris pradeda asmens duomenų saugumo pažeidimo tyrimą bei imasi kitų būtinų veiksmų. Atsakingas asmuo:
12.1. nagrinėja pranešime nurodytas aplinkybes ir įvertina, ar įvyko asmens duomenų saugumo pažeidimas;
12.2. kiek įmanoma tiksliau surenka duomenis ir įrodymus apie įvykusį asmens duomenų saugumo pažeidimą (pvz., kas, kada ir iš kokio įrenginio jungėsi prie duomenų bazės ar informacinės sistemos, kam per klaidą išsiųsti asmens duomenys, kokiomis aplinkybėmis buvo prarastas įrenginys su asmens duomenimis ir kt.);
12.3. jei asmens duomenų saugumo pažeidimas padarytas, nustato pažeidimo pobūdį, priežastis, asmens duomenų kategorijas, jų pobūdį ir kiekį, duomenų subjektų kategorijas ir jų kiekį, nustato ar asmens duomenų saugumo pažeidimas tikėtinai gali kelti pavojų fizinių asmenų teisėms ir laisvėms, įvertina padarytą žalą fiziniams asmenims bei tikėtinas pažeidimo pasekmes. Vertinant rizikos lygį, atsižvelgiama į konkrečias asmens duomenų saugumo pažeidimo aplinkybes, pavojaus duomenų subjektų teisėms ir laisvėms atsiradimo tikimybę ir rimtumą. Rizikos lygis vertinamas atsižvelgiant į šiuos kriterijus:
12.3.1. asmens duomenų saugumo pažeidimo pobūdį (tipą) - nustatomas asmens duomenų saugumo pažeidimo pobūdis: nuo padaryto pažeidimo pobūdžio gali priklausyti pavojaus duomenų subjektams dydis;
12.3.2. asmens duomenų pobūdį, jautrumą ir kiekį - nustatomas asmens duomenų, kurių saugumas buvo pažeistas, pobūdis, jautrumas ir jų kiekis: kuo jautresni asmens duomenys ir kuo didesnis jų kiekis, tuo didesnis žalos pavojus;
12.3.3. galimybė identifikuoti fizinį asmenį – įvertinama, ar neįgaliotiems asmenims, kuriems tapo prieinami asmens duomenys, bus lengva nustatyti konkrečių asmenų tapatybę arba susieti tuos duomenis su kita informacija (pvz., tinkamai užšifruoti asmens duomenys nebus suprantami neįgaliotiems asmenims, todėl pažeidimas padarys mažesnį poveikį duomenų subjektams);
12.3.4. fizinio asmens specifiniai ypatumai – nustatomi fizinių asmenų, kurių asmens duomenims kilo pavojus, specifiniai ypatumai: kuo asmenys yra labiau pažeidžiami (pvz., vaikai, negalią turintys asmenys), tuo didesnį poveikį pažeidimas gali jiems padaryti;
12.3.5. nukentėjusių duomenų subjektų skaičius – nustatomas nukentėjusių asmenų skaičius: kuo daugiau yra asmenų, kuriems asmens duomenų saugumo pažeidimas turi poveikio, tuo didesnis žalos pavojus;
12.5. pasitelkia kitus Administracijos darbuotojus, kiek tai susiję su jų kompetencija, asmens duomenų saugumo pažeidimui tirti ar duomenų tvarkytojų informacinių technologijų specialistus, kai pagal turimus duomenis matyti, kad asmens duomenų saugumo pažeidimas yra susijęs su kibernetiniu incidentu, ir (ar) konsultuojasi su šiais darbuotojais ar specialistais;
12.6. jei asmens duomenų saugumo pažeidimas yra susijęs su elektroninės informacijos saugos incidentu, pasitelkia Administracijos ar duomenų tvarkytojo informacinių technologijų specialistus, informacinių sistemų saugos įgaliotinį;
12.7. informuoja Administracijos struktūrinius padalinius, su kurių veikla susijęs asmens duomenų saugumo pažeidimas, kokių taisomųjų veiksmų turi būti nedelsiant imamasi, kad būtų užkirstas kelias asmens duomenų saugumo pažeidimui, įskaitant priemones, kad galimos neigiamos jo pasekmės neatsirastų arba būtų sumažintos;
13. Atsakingas asmuo, įvertinęs Taisyklių 12.3 papunktyje nurodytą informaciją, nustato vieną iš trijų rizikos tikimybių lygių – maža, vidutinė ar aukšta rizikos tikimybė.
13.2. vidutinė rizika - kai nustatoma, kad dėl asmens duomenų saugumo pažeidimo yra / gali kilti nedidelis pavojus duomenų subjektų teisėms ir laisvėms;
14. Duomenų tvarkytojai ir Administracijos struktūriniai padaliniai, su kurių veikla susijęs asmens duomenų saugumo pažeidimas, turi Atsakingam asmeniui pateikti visą prašomą informaciją ir dokumentus, susijusius su asmens duomenų saugumo pažeidimu ir tyrimu, per jo nurodytą terminą.
15. Atliekant asmens duomenų saugumo pažeidimo tyrimą ir siekiant nustatyti, ar asmens duomenų saugumo pažeidimas iš tikrųjų įvyko, esamos situacijos įrodymai privalo būti fiksuojami dokumentuose ir užtikrinamas jų atsekamumas.
16. Atsakingas asmuo, atlikęs asmens duomenų saugumo pažeidimo tyrimą ir nustatęs, kad:
16.1. asmens duomenų saugumo pažeidimas buvo padarytas, užpildo Asmens duomenų saugumo pažeidimo tyrimo ataskaitą (Taisyklių 2 priedas);
17. Asmens duomenų saugumo pažeidimo tyrimo ataskaita ir Asmens duomenų saugumo pažeidimo tyrimo, kai asmens duomenų saugumo pažeidimas nenustatytas, ataskaitą pateikiama Administracijos direktoriui ir duomenų tvarkytojo vadovui, jei tai susiję su duomenų tvarkytojo atliekamais asmens duomenų tvarkymo veiksmais, bei duomenų apsaugos pareigūnui susipažinti. Ataskaitos yra registruojamos DVS, jas registruoja duomenų apsaugos pareigūnas.
18. Atsižvelgdamas į asmens duomenų saugumo pažeidimo tyrimo ataskaitą, Administracijos direktorius, jei reikia, tvirtina priemonių planą (toliau - Planas) (Taisyklių 4 priedas), kuriame numatomas būtinų techninių, organizacinių, administracinių ir kitų priemonių poreikis dėl asmens duomenų saugumo pažeidimo, paskiria atsakingus vykdytojus ir nustato priemonių įgyvendinimo terminus. Planą pasirašo Administracijos direktorius ir Atsakingas asmuo. Pasirašytas Planas teikiamas susipažinti duomenų apsaugos pareigūnui.
19. Planas netvirtinamas, jeigu asmens duomenų saugumo pažeidimo tyrimo ataskaitoje nurodyta, kad iki asmens duomenų saugumo pažeidimo tyrimo pradžios ar atliekant tyrimą buvo imtasi tinkamų taisomųjų veiksmų asmens duomenų saugumo pažeidimui pašalinti ir papildomų priemonių nesiūloma.
20. Sprendžiant asmens duomenų saugumo pažeidimo pašalinimo klausimą bei tvirtinant Planą, pirmiausia būtina atlikti veiksmus, siekiant apriboti ar sustabdyti asmens duomenų saugumo pažeidimą. Priklausomai nuo konkrečių asmens duomenų saugumo pažeidimo aplinkybių, turėtų būti atlikti tokie veiksmai, kaip: ištrinti asmens duomenis nuotoliniu būdu iš pamesto ar pavogto nešiojamo / mobilaus įrenginio (telefono, nešiojamo kompiuterio ir kt.); jei asmens duomenys per klaidą išsiunčiami ne tam adresatui, kuriam jie buvo skirti, kuo skubiau kreiptis į jį su prašymu ištrinti atsiųstus asmens duomenis be galimybės juos atkurti ir patvirtinti ištrynimo faktą; pakeisti prisijungimo prie duomenų bazės ar informacinės sistemos vardus ir slaptažodžius; naudoti atsargines kopijas, siekiant atkurti prarastus, sugadintus ar pakeistus duomenis ir kt.).
21. Jei asmens duomenų saugumo pažeidimo tyrimo ataskaitoje nurodoma, kad dėl įvykusio asmens duomenų saugumo pažeidimo duomenų tvarkytojas turi taikyti papildomas priemones ar užtikrinti esamų asmens duomenų saugumo priemonių taikymą, Administracijos direktorius duoda privalomus nurodymus duomenų tvarkytojui, jei asmens duomenų saugumo pažeidimas susijęs su duomenų tvarkytojo tvarkomais valstybės registrais ar informacinėmis sistemomis. Dokumentus dėl privalomų nurodymų duomenų tvarkytojui rengia asmenys, atsakingi už sutarties vykdymą.
22. Veiksmai, skirti atitaisyti žalą, sukeltą asmens duomenų saugumo pažeidimo, turėtų būti nukreipti ne vien į esamo asmens duomenų saugumo pažeidimo priežasties pašalinimą, bet ir skirti neleisti asmens duomenų saugumo pažeidimui pasikartoti. Būtina atsižvelgti į trūkumus ir asmens duomenų tvarkymo silpnąsias vietas, kurios buvo išnaudotos įvykdant asmens duomenų saugumo pažeidimą bei imtis priemonių tuos trūkumus pašalinti.
IV SKYRIUS
PRANEŠIMAS APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ VALSTYBINEI DUOMENŲ APSAUGOS INSPEKCIJAI
23. Asmens duomenų saugumo pažeidimo tyrimo metu nustačius, kad asmens duomenų saugumo pažeidimas įvyko, Atsakingas asmuo, jeigu įmanoma, ne vėliau kaip per 72 valandas nuo tada, kai tapo žinoma apie asmens duomenų saugumo pažeidimą, apie tai informuoja VDAI.
24. Jeigu nustatoma, kad asmens duomenų saugumo pažeidimas nesukelia pavojaus duomenų subjektų teisėms ir laisvėms, apie asmens duomenų saugumo pažeidimą VDAI nėra informuojama.
25. Tais atvejais, kai atsižvelgiant į asmens duomenų saugumo pažeidimo pobūdį būtina atlikti išsamų tyrimą bei nustatyti visus svarbius faktus, susijusius su asmens duomenų saugumo pažeidimu, ir per 72 valandas nuo sužinojimo apie pažeidimą momento dėl objektyvių aplinkybių to padaryti neįmanoma, pranešime VDAI yra pateikiama tuo metu prieinama informacija, nurodomos vėlavimo priežastys ir kada bus pateikta detalesnė informacija.
26. VDAI informuojama Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo, patvirtinto VDAI direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T-72(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“ (su visais aktualiais pakeitimais), nustatyta tvarka ir sąlygomis, užpildant Pranešimo apie asmens duomenų saugumo pažeidimo formą, patvirtintą VDAI direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“.
27. Jeigu įvertinus riziką, abejojama, ar pažeidimas kelia pavojų fizinių asmenų teisėms ir laisvėms, apie asmens duomenų saugumo pažeidimą pranešama VDAI.
28. Jeigu po pranešimo VDAI pateikimo, atlikus tolesnį tyrimą, yra nustatoma, kad asmens duomenų saugumo pažeidimas buvo sustabdytas ir faktiškai pažeidimo nebuvo, apie tai nedelsiant informuojama VDAI.
29. Tuo atveju, kai yra įtariama, kad asmens duomenų saugumo pažeidimas turi nusikalstamos veikos požymių, informacija apie galimą nusikalstamą veiką pateikiama atitinkamoms valstybinėms institucijoms, įgaliotoms atlikti ikiteisminį tyrimą teisės aktų, reglamentuojančių tokios informacijos teikimą, nustatyta tvarka.
V SKYRIUS
PRANEŠIMAS APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ DUOMENŲ SUBJEKTUI
30. Tyrimo metu nustačius, kad dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, Atsakingas asmuo, jeigu įmanoma, praėjus ne daugiau kaip 72 valandoms nuo to laiko, kai buvo sužinota apie asmens duomenų saugumo pažeidimą, praneša apie tai duomenų subjektui, kurio teisėms ir laisvėms gali kilti didelis pavojus.
31. Duomenų subjektas informuojamas tiesiogiai, t. y. siunčiant jam pranešimą paštu, elektroniniu paštu ar kitu būdu. Pranešimas duomenų subjektui siunčiamas atskirai nuo kitos siunčiamos informacijos, kaip naujienlaiškiai ar standartiniai pranešimai.
32. Pranešime apie įvykusį asmens duomenų saugumo pažeidimą duomenų subjektui aiškia ir paprasta kalba pateikiama ši informacija:
32.1. duomenų apsaugos pareigūno ar kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas, pavardę ir kontaktiniai duomenys;
32.2. asmens duomenų saugumo pažeidimo pobūdis ir tikėtinų asmens duomenų saugumo pažeidimo pasekmių aprašymas;
33. Pranešimas apie įvykusį asmens duomenų saugumo pažeidimą duomenų subjektui neteikiamas, jeigu:
33.1. Administracija įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos priemonės taikytos asmens duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio, visų pirma tas priemones, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, šifravimo priemones;
33.2. Administracija iškart po asmens duomenų saugumo pažeidimo ėmėsi priemonių, kurios užtikrina, kad didelis pavojus duomenų subjektų teisėms ir laisvėms nebekils;
33.3. tiesioginio pranešimo duomenų subjektui pateikimas pareikalautų neproporcingai didelių pastangų, pvz., jei jų kontaktiniai duomenys buvo prarasti dėl asmens duomenų saugumo pažeidimo arba iš pradžių nebuvo žinomi. Tokiu atveju apie asmens duomenų saugumo pažeidimą viešai paskelbiama Šiaulių miesto savivaldybės interneto svetainėje www.siauliai.lt arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.
34. Nepranešimo apie įvykusį pažeidimą VDAI ir (ar) duomenų subjektams priežastys nurodomos Asmens duomenų saugumo pažeidimo tyrimo ataskaitoje.
35. Jei VDAI, apsvarsčiusi tikimybę, kad dėl įvykusio asmens duomenų saugumo pažeidimo kils didelis pavojus, pareikalauja, kad Administracija informuotų duomenų subjektą apie asmens duomenų saugumo pažeidimą, Atsakingas asmuo nedelsdama praneša duomenų subjektui apie įvykusį asmens duomenų saugumo pažeidimą.
36. Jeigu tiriant asmens duomenų saugumo pažeidimą, pradžioje nustatoma, kad nėra pavojaus fizinių asmenų teisėms ir laisvėms, tačiau detalesnio asmens duomenų saugumo pažeidimo tyrimo metu nustatoma, kad toks pavojus gali kilti, Atsakingas asmuo turėtų riziką vertinti iš naujo.
37. Tam tikroms aplinkybėmis, kai tai yra pagrįsta, Atsakingas asmuo pasitaręs su teisėsaugos institucijomis ir atsižvelgdamas į teisėtus teisėsaugos interesus, gali atidėti asmenų, kuriems asmens duomenų saugumo pažeidimas turi poveikio, informavimą apie asmens duomenų saugumo pažeidimą iki to laiko, kai tai netrukdys asmens duomenų saugumo pažeidimo tyrimams.
38. Kai padarytas asmens duomenų saugumo pažeidimas yra susijęs su kibernetiniu incidentu, informaciją apie kibernetinį incidentą, susijusį su asmens duomenų saugumo pažeidimu, Atsakingas asmuo pateikia Administracijos darbuotojui, atsakingam už kibernetinę saugą, kuris, jei yra pagrindas, inicijuoja informacijos perdavimą Lietuvos Respublikos kibernetinio saugumo įstatyme nurodytoms valstybės institucijoms šio įstatymo nustatyta tvarka ir atvejais.
VI SKYRIUS
PRANEŠIMAS DUOMENŲ VALDYTOJUI NUO DUOMENŲ TVARKYTOJO
39. Jeigu Administracija duomenis tvarko kaip duomenų tvarkytoja, o ne duomenų valdytoja, tuomet Administracija laikosi visų Taisyklių II ir III skyriuose nustatytų reikalavimų ir, jeigu sutartyje su duomenų valdytoju nenumatyta kitaip, informuoja duomenų valdytoją apie galimai įvykusį asmens duomenų saugumo pažeidimą.
40. Informuojant duomenų valdytoją apie galimai įvykusį asmens duomenų saugumo pažeidimą pateikiama visa Reglamento 33 straipsnyje nurodyta informacija. Duomenų valdytojui reikalaujant gali būti teikiama ir kita su asmens duomenų saugumo pažeidimo tyrimu susijusi informacija, galinti padėti duomenų valdytojui įgyvendinti pareigą pranešti VDAI ir (ar) duomenų subjektams.
VII SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ DOKUMENTAVIMAS
42. Visi asmens duomenų saugumo pažeidimai, nepriklausomai nuo to, ar apie juos buvo pranešta VDAI ir (ar) duomenų subjektui, ar tokie asmens duomenų saugumo pažeidimai kelia riziką, registruojami Asmens duomenų saugumo pažeidimų žurnale (toliau – Žurnalas) (Taisyklių 5 priedas). Į Žurnalą informaciją įveda duomenų apsaugos pareigūnas.
43. Informacija apie asmens duomenų saugumo pažeidimą į Žurnalą turi būti įvedama nedelsiant, kai tik paaiškėja galimas asmens duomenų saugumo pažeidimas, bet ne vėliau kaip per 5 darbo dienas nuo galimo asmens duomenų saugumo pažeidimo paaiškėjimo momento. Kai pasikeičia Žurnale nurodyta informacija arba paaiškėja nauja informacija, Žurnale esanti informacija turi būti papildoma ir (ar) koreguojama.
44. Asmens duomenų saugumo pažeidimo procedūra laikoma baigta, kai asmens duomenų saugumo pažeidimas laikytinas pašalintu, o visiems reikiamiems asmenims apie asmens duomenų saugumo pažeidimą yra pranešta arba nustatyta ir dokumentuota, kodėl ši pareiga Administracijai netaikoma bei užpildžius Žurnalą.
45. Remdamasi Žurnale pateikta informacija, VDAI turi galėti patikrinti, kaip įgyvendinama Administracijos, kaip duomenų valdytojos, prievolė pranešti apie asmens duomenų saugumo pažeidimus.
46. Žurnale esantys įrašai esant reikalui peržiūrimi ir numatoma, kokios prevencijos priemonės turėtų būti įgyvendintos bei kaip bus kontroliuojamas šių prevencijos priemonių įdiegimas, kad ateityje analogiški asmens duomenų saugumo pažeidimai nesikartotų.
VIII SKYRIUS
BAIGIAMOSIOS NUOSTATOS
48. Administracijos darbuotojai su Taisyklėmis bei jų pakeitimais yra supažindinami pasirašytinai, gavę užduotį susipažinti DVS pažangiuoju (nekvalifikuotu) elektroniniu parašu, kuris prilyginamas rašytiniam parašui ir taip įsipareigoja laikytis šiose Taisyklėse nustatytų reikalavimų.
49. Taisyklės peržiūrimos ir, poreikiui esant, atnaujinamos pasikeitus asmens duomenų apsaugą reglamentuojantiems teisės aktams ar jų įgyvendinimo praktikai, taip pat pasikeitus Administracijos atliekamam asmens duomenų tvarkymui, bet ne rečiau kaip kartą per vienerius metus. Kaip laikomasi šių Taisyklių nuostatų, stebi, jas peržiūri ir jų atnaujinimą nustatęs poreikį inicijuoja duomenų apsaugos pareigūnas.
50. Visi asmenys, turintys prieigą prie Administracijos tvarkomų asmens duomenų privalo žinoti ir vadovautis šiomis Taisyklėmis asmens duomenų saugumo pažeidimo atveju.
Priedo pakeitimai:
Nr. A-1071, 2023-10-26, paskelbta TAR 2023-10-26, i. k. 2023-20866
Asmens duomenų saugumo pažeidimų
Šiaulių miesto savivaldybės administracijoje
valdymo taisyklių
1 priedas
(Pranešimo apie galimą asmens duomenų saugumo pažeidimą forma)
ŠIAULIŲ MIESTO SAVIVALDYBĖS ADMINISTRACIJOS
_________________________________________________
(Administracijos struktūrinio padalinio pavadinimas)
__________________________________________________
(pareigų pavadinimas)
__________________________________________________
(vardas, pavardė)
PRANEŠIMAS
APIE GALIMĄ ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ
_____________ Nr. _________
(data)
Šiauliai
Informuoju apie galimą asmens duomenų saugumo pažeidimą, pateikdamas turimą informaciją:
1. Nustatymo ir/ar sužinojimo apie galimą asmens duomenų saugumo pažeidimo data, laikas ir vieta:
2. Galimo asmens duomenų saugumo pažeidimo padarymo data, laikas ir vieta:
3. Galimo asmens duomenų saugumo pažeidimo esmė ir aplinkybės:
4. Duomenų subjektų kategorijos (pvz., Administracijos darbuotojai, asmenys, pateikę prašymus, skundus, asmenys, užsisakę Savivaldybės naujienlaiškius ir kt.) ir apytikslis jų skaičius:
5. Asmens duomenų, susijusių su galimu asmens duomenų saugumo pažeidimu, kategorijos (pažymėti tinkamą (-us)):
☐ Asmens tapatybę patvirtinantys duomenys (vardas, pavardė, gimimo data, lytis ir kt.)
☐ Asmens identifikaciniai ar prisijungimo duomenys (asmens kodas, mokėtojo kodas, slaptažodžiai ir kt.)
☐ Asmens kontaktiniai duomenys (gyvenamosios vietos adresas, telefono numeris, elektroninio pašto adresas ir kt.)
☐ Specialių kategorijų asmens duomenys (duomenys, susiję su asmens sveikata, genetiniai duomenys, biometriniai duomenys, duomenys, susiję su asmens rasine ar etnine kilme, duomenys, susiję su asmens politinėmis pažiūromis, religiniais, filosofiniais įsitikinimais ar naryste profesinėse sąjungose, duomenys, susiję su asmens lytiniu gyvenimu ir lytine orientacija)
☐ Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas
☐ Kiti asmens duomenys (įrašyti):
6. Kokių veiksmų (priemonių) buvo imtasi sužinojus apie galimą asmens duomenų saugumo pažeidimą (pvz., pakeisti prisijungimo prie informacinės sistemos slaptažodžiai, panaudotos atsarginės kopijos siekiant atkurti prarastus ar sugadintus duomenis, atnaujinta programinė įranga, surinkti ne saugojimui skirtoje vietoje palikti dokumentai su asmens duomenimis ir kt.):
__________________________ _________________ __________________________
(pareigos) (parašas) (vardas ir pavardė)
Priedo pakeitimai:
Nr. A-1071, 2023-10-26, paskelbta TAR 2023-10-26, i. k. 2023-20866
Asmens duomenų saugumo pažeidimų
Šiaulių miesto
savivaldybės administracijoje
valdymo taisyklių
2 priedas
(Asmens duomenų saugumo pažeidimo tyrimo ataskaitos forma)
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO TYRIMO ATASKAITA
_____________ Nr. _________
(data, dokumento numeris)
Šiauliai
1. Asmens duomenų saugumo pažeidimo aprašymas
1.1. Asmens duomenų saugumo pažeidimo data ir laikas:
Asmens duomenų saugumo pažeidimo data laikas
Asmens duomenų saugumo pažeidimo nustatymo data laikas
1.2. Asmens duomenų saugumo pažeidimo vieta (pažymėti tinkamą (-us):
☐ Informacinė sistema
☐ Duomenų bazė
☐ Tarnybinė stotis
☐ Internetinė svetainė
☐ Debesų kompiuterijos paslaugos
☐ Nešiojami / mobilūs įrenginiai
☐ Neautomatiniu būdu susistemintos bylos (archyvas)
☐ Kita (įrašyti):
1.3. Asmens duomenų saugumo pažeidimo pobūdis (pažymėti tinkamą (-us):
☐ Konfidencialumo pažeidimas (neautorizuota prieiga ar atskleidimas)
☐ Vientisumo pažeidimas (neautorizuotas asmens duomenų pakeitimas)
☐ Prieinamumo pažeidimas (asmens duomenų praradimas, sunaikinimas)
☐ Mišraus pobūdžio pažeidimas
1.4. Asmens duomenų, kurių saugumas pažeistas, kategorijos (pažymėti tinkamą (-us) ir aprašyti):
☐ Asmens tapatybę patvirtinantys duomenys (vardas, pavardė, gimimo data, lytis ir kt.):
☐ Asmens identifikaciniai ar prisijungimo duomenys (asmens kodas, mokėtojo kodas, slaptažodžiai ir kt.):
☐Asmens kontaktiniai duomenys (gyvenamosios vietos adresas, telefono numeris, elektroninio pašto adresas ir kt.):
☐Specialių kategorijų asmens duomenys (duomenys, susiję su asmens sveikata, genetiniai duomenys, biometriniai duomenys, duomenys, susiję su asmens rasine ar etnine kilme, duomenys, susiję su asmens politinėmis pažiūromis, religiniais, filosofiniais įsitikinimais ar naryste profesinėse sąjungose, duomenys, susiję su asmens lytiniu gyvenimu ir lytine orientacija ir):
☐Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas:
☐Kiti asmens duomenys, įskaitant ir jautresnius (finansiniai duomenys, duomenys apie vaikus):
1.5. Apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius:
1.6. Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos (Administracijos darbuotojai, asmenys, pateikę prašymus, skundus, asmenys, užsisakę Savivaldybės naujienlaiškius ir kt.):
1.7. Apytikslis duomenų subjektų (fizinių asmenų), kurių asmens duomenų saugumas pažeistas, skaičius:
1.8. Darbuotojas, pranešęs apie asmens duomenų saugumo pažeidimą (vardas, pavardė, Administracijos struktūrinio padalinio, kuriame dirba darbuotojas, pavadinimas, telefono numeris, elektroninio pašto adresas):
1.9. Duomenų tvarkytojas, pranešęs apie asmens duomenų saugumo pažeidimą (pavadinimas, kontaktinio asmens duomenys (vardas, pavardė, telefono numeris, elektroninio pašto adresas):
2. Asmens duomenų saugumo pažeidimo keliamos rizikos duomenų subjektų teisėms ir laisvėms įvertinimas
2.1. Specifiniai fizinių asmenų, kurių asmens duomenų saugumas buvo pažeistas, ypatumai (vaikai, asmenys su negalia ir kt.):
2.2. Galimybė identifikuoti fizinį asmenį (pvz., iki asmens duomenų saugumo pažeidimo asmens duomenys buvo tinkamai užšifruoti, anonimizuoti, arba iki saugumo pažeidimo asmens duomenims šifravimas nebuvo taikomas ir kt.):
2.3. Kas gavo prieigą prie asmens duomenų, kurių saugumas pažeistas?
2.4. Ar buvo kokių kitų įvykių ar aplinkybių, turėjusių poveikį asmens duomenų saugumo pažeidimo padarymui?
2.5. Kokia galima žala padaryta fiziniams asmenims (duomenų subjektams)?
2.6. Galimos bendrosios asmens duomenų saugumo pažeidimo pasekmės:
☐kūno sužalojimas
☐turtinė arba neturtinė žala
☐diskriminacija
☐pavogta ir suklastota tapatybė
☐finansiniai nuostoliai
☐pakenkta reputacijai
☐užkertamas kelias kontroliuoti savo duomenis
☐kita:
2.6.1. Konfidencialumo pažeidimo atveju (pažymėti tinkamą (-us)):
☐ Asmens duomenų išplitimas ir duomenų subjekto kontrolės praradimas savo asmens duomenų atžvilgiu (pvz., asmens duomenys išplito internete)
☐ Skirtingos informacijos susiejimas (pvz., gyvenamosios vietos adreso susiejimas su asmens buvimo vieta realiu laiku)
☐ Galimas panaudojimas kitais, nei nustatytais ar neteisėtais tikslais (pvz., komerciniais tikslais, asmens tapatybės pasisavinimo tikslu, informacijos panaudojimo prieš asmenį tikslu)
☐ Kita:
2.6.2. Vientisumo pažeidimo atveju (pažymėti tinkamą (-us)):
☐ Pakeitimas į neteisingus duomenis, dėl ko asmuo gali netekti galimybės naudotis paslaugomis
☐ Pakeitimas į kitus duomenis, kad asmens duomenų tvarkymas būtų nukreiptas tam tikra linkme (pvz., pavogta asmens tapatybė susiejant vieno asmens identifikuojančius duomenis su kito asmens biometriniais duomenimis)
☐ Kita:
2.6.3. Prieinamumo pažeidimo atveju (pažymėti tinkamą (-us)):
☐ Dėl asmens duomenų trūkumo negalima teikti paslaugų (pvz., administracinių procesų sutrikdymas, dėl ko negalima prieiti prie tvarkomų asmens duomenų ir įgyvendinti duomenų subjekto teisę susipažinti su jo tvarkomais asmens duomenimis)
☐ Dėl klaidų asmens duomenų tvarkymo procesuose negalima teikti tinkamos paslaugos (pvz., tam tikra informacija iš informacinės sistemos išnyko, dėl ko negalima tinkamai suteikti administracinės paslaugos)
☐ Kita:
2.6.4. Mišraus pobūdžio pažeidimo atveju (pažymėti tinkamą (-us):
☐ Vienas ar keli iš 2.6.1. – 2.6.3. punktuose numatytų atvejų (nurodyti konkrečiai kuris (-ie))
☐ Kita:
2.7. Asmens duomenų saugumo pažeidimo sukeltos rizikos duomenų subjektų teisėms ir laisvėms lygis:
☐ Žema rizika tikimybė (dėl asmens duomenų saugumo pažeidimo nėra pavojaus fizinių asmenų teisėms ir laisvėms)
☐ Vidutinė rizikos tikimybė (dėl asmens duomenų saugumo pažeidimo yra / gali kilti pavojus fizinių asmenų teisėms ir laisvėms)
☐ Aukštos rizikos tikimybė (dėl asmens duomenų saugumo pažeidimo yra / gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms)
2.8. Kokių veiksmų / priemonių buvo imtasi sužinojus apie padarytą asmens duomenų saugumo pažeidimą?
2.9. Kokios taikytos priemonės siekiant sumažinti neigiamą poveikį duomenų subjektams?
2.10. Kokios techninės priemonės buvo taikomos asmens duomenų saugumo pažeidimo paveiktiems asmens duomenims užtikrinant, kad asmens duomenys nebūtų prieinami neįgaliotiems asmenims?
2.11. Techninės ir / ar organizacinės saugumo priemonės, kurios įgyvendintos dėl asmens duomenų saugumo pažeidimo, taip pat siekiant, kad pažeidimas nepasikartotų:
2.12. Techninės ir / ar organizacinės saugumo priemonės, kurios ketinamos įgyvendinti dėl asmens duomenų saugumo pažeidimo, įskaitant ir priemones sumažinti asmens duomenų saugumo pažeidimo pasekmes:
3. Pranešimų apie asmens duomenų saugumo pažeidimą pateikimas
3.1. Ar pranešta Valstybinei duomenų apsaugos inspekcijai (toliau – VDAI) apie asmens duomenų saugumo pažeidimą?
☐ Taip
Pranešimo VDAI data numeris
☐ Ne (nurodomos nepranešimo VDAI priežastys):
☐ Apie duomenų saugumo pažeidimą pranešta VDAI vėliau nei per 72 valandas (nurodomos vėlavimo pranešti VDAI priežastys):
3.2. Ar pranešta duomenų subjektui apie asmens duomenų saugumo pažeidimą?
☐ Taip
Pranešimo duomenų subjektui data numeris (jeigu pranešimas užregistruotas)
Pranešimo duomenų subjektui būdas (pažymėti tinkamą (-us): ☐ paštu ☐ elektroniniu paštu ☐ trumpąja žinute (SMS) ☐ kitais būdais
Informuotų duomenų subjektų skaičius
Pranešimo duomenų subjektui turinys:
☐ Ne (nurodomos nepranešimo duomenų subjektui priežastys):
☐ Apie duomenų saugumo pažeidimą duomenų subjektams pranešta vėliau nei per 72 valandas (nurodomos vėlavimo pranešti duomenų subjektui priežastys):
☐ Apie saugumo pažeidimą pranešta viešai (nurodoma kada ir kur paskelbta informacija viešai arba jei taikyta kita priemonė, nurodoma kokia ir kada taikyta):
3.3. Ar pranešta valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą, apie asmens duomenų saugumo pažeidimą, galimai turintį nusikalstamos veikos požymių (jeigu taip, nurodoma rašto data ir numeris):
Administracijos direktorius:
__________________________ _________________ __________________________
(pareigos) (parašas) (vardas ir pavardė)
Atsakingas asmuo:
__________________________ _________________ __________________________
(pareigos) (parašas) (vardas ir pavardė)
Priedo pakeitimai:
Nr. A-1071, 2023-10-26, paskelbta TAR 2023-10-26, i. k. 2023-20866
Asmens duomenų saugumo pažeidimų
Šiaulių miesto
savivaldybės administracijoje
valdymo taisyklių
3 priedas
(Asmens duomenų saugumo pažeidimo tyrimo, kai asmens duomenų saugumo pažeidimas nenustatytas, ataskaitos forma)
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO TYRIMO, KAI ASMENS DUOMENŲ SAUGUMO PAŽEIDIMAS NENUSTATYTAS, ATASKAITA
_____________ Nr. _________
(data)
Šiauliai
| 1. Informacija apie asmens duomenų saugumo pažeidimą |
|
| 1.3. Asmens duomenų saugumo pažeidimo data, valanda (minučių tikslumu)
|
|
| 1.4. Asmens duomenų saugumo pažeidimo vieta (informacinė sistema, duomenų bazė, tarnybinė stotis, interneto svetainė, debesijos paslaugos, nešiojamieji ar mobilieji įrenginiai, neautomatiniu būdu susistemintos bylos (archyvas), kita)
|
|
| 1.3. Sužinojimo apie asmens duomenų saugumo pažeidimą data, valanda (minučių tikslumu)
|
|
| 1.4. Administracijos darbuotojas, pranešęs apie asmens duomenų saugumo pažeidimą (vardas, pavardė, Administracijos struktūrinio padalinio, kuriame dirba Administracijos darbuotojas, pavadinimas, telefono ryšio numeris, elektroninio pašto adresas)
|
|
| 1.5. Duomenų tvarkytojo, pranešusio apie asmens duomenų saugumo pažeidimą, pavadinimas, jo kontaktinio asmens duomenys (vardas, pavardė, telefono ryšio numeris, elektroninio pašto adresas)
|
|
| 1.6. Asmens duomenų saugumo pažeidimo pobūdis, esmė ir aplinkybės
|
|
| 1.7. Kita reikšminga informacija apie asmens duomenų saugumo pažeidimą (jei tokios yra)
|
|
| 1.8. Asmens duomenų saugumo pažeidimą lėmusios priežastys
|
|
| 1.9. Asmens duomenų saugumo pažeidimo prielaidos – ar tai sisteminė klaida, ar vienetinis incidentas |
|
| 2. Priemonės, kurias ketinama įgyvendinti, kad panašūs incidentai nepasikartotų |
|
| 3. Konsultaciją suteikęs asmuo, konsultacijos metu įvertintos aplinkybės |
|
| 4. Atsakingo asmens išvada dėl asmens duomenų saugumo pažeidimo
|
|
Administracijos direktorius:
__________________________ _________________ _____________________
(pareigos) (parašas) (vardas ir pavardė)
Atsakingas asmuo:
__________________________ _________________ ___________________
(pareigos) (parašas) (vardas ir pavardė)
Priedo pakeitimai:
Nr. A-1071, 2023-10-26, paskelbta TAR 2023-10-26, i. k. 2023-20866
Asmens duomenų saugumo pažeidimų
Šiaulių miesto savivaldybės administracijoje
valdymo taisyklių
4 priedas
(Asmens duomenų saugumo pažeidimo priemonių plano forma)
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO PRIEMONIŲ PLANAS
_____________ Nr. _________
(data, dokumento numeris)
Šiauliai
| Asmens duomenų saugumo pažeidimo aprašymas |
Asmens duomenų saugumo pažeidimo priežastys |
Veiksmai, kurių imamasi šiems asmens duomenų saugumo pažeidimams išvengti |
Už veiksmų įgyvendinimą atsakingi asmenys |
Veiksmų įgyvendinimo terminai |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Administracijos direktorius:
____________________ _________________ __________________________
(pareigos) (parašas) (vardas ir pavardė)
Atsakingas asmuo:
____________________ _________________ __________________________
(pareigos) (parašas) (vardas ir pavardė)
Priedo pakeitimai:
Nr. A-1071, 2023-10-26, paskelbta TAR 2023-10-26, i. k. 2023-20866
Asmens duomenų saugumo pažeidimų
Šiaulių miesto savivaldybės administracijoje
valdymo taisyklių
5 priedas
(Asmens duomenų saugumo pažeidimų žurnalo forma)
Šiaulių miesto savivaldybės administracija
(duomenų valdytojas)
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ ŽURNALAS
| Eil. Nr. |
Asmens duomenų saugumo pažeidimo aprašymas (pažeidimo data, laikas (val., min.), pažeidimo pobūdis, priežastys, asmens duomenų, kurių saugumas pažeistas, kategorijos ir skaičius, duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos ir apytikslis skaičius) |
Pažeidimo poveikis ir pasekmės fizinių asmenų teisėms ir laisvėms |
Priemonės, kurių buvo imtasi, kad būtų pašalintas pažeidimas, įskaitant priemones galimoms neigiamoms pažeidimo pasekmėms sumažinti |
Pažeidimo nustatymo aplinkybės (pažeidimo nustatymo data, laikas (val., min.), asmuo, pranešęs apie pažeidimą (vardas, pavardė, pareigos) |
Informacija apie pranešimą Valstybinei duomenų apsaugos inspekcijai apie pažeidimą (jei apie pažeidimą nebuvo pranešta, nurodomi tokio sprendimo motyvai; jei apie pažeidimą buvo pranešta, nurodoma pranešimo data ir numeris, taip pat ar informacija teikiama etapais; jeigu pranešti apie pažeidimą buvo vėluojama, nurodomos vėlavimo priežastys) |
Informacija apie pranešimą duomenų subjektui apie pažeidimą (jei apie pažeidimą nebuvo pranešta, nurodomi tokio sprendimo motyvai; jei apie pažeidimą buvo pranešta, nurodoma pranešimo (-ų) data (-os), numeris (-iai) ir būdas (-ai); jeigu apie pažeidimą buvo vėluojama pranešti, nurodomos vėlavimo priežastys) |
Kita reikšminga informacija susijusi su pažeidimu |
| 1. |
|
|
|
|
|
|
|
| 2. |
|
|
|
|
|
|
|
| 3. |
|
|
|
|
|
|
|
| 4. |
|
|
|
|
|
|
|
| 5. |
|
|
|
|
|
|
|
| 6. |
|
|
|
|
|
|
|
| 7. |
|
|
|
|
|
|
|
| 8. |
|
|
|
|
|
|
|
| 9. |
|
|
|
|
|
|
|
| ... |
|
|
|
|
|
|
|
Papildyta priedu:
Nr. A-1071, 2023-10-26, paskelbta TAR 2023-10-26, i. k. 2023-20866
Pakeitimai:
1.
Šiaulių miesto savivaldybės administracija, Įsakymas
Nr. A-1071, 2023-10-26, paskelbta TAR 2023-10-26, i. k. 2023-20866
Dėl Šiaulių miesto savivaldybės administracijos direktoriaus 2020 m. balandžio 8 d. įsakymo Nr. A-478 „Dėl Asmens duomenų saugumo pažeidimų Šiaulių miesto savivaldybės administracijoje valdymo taisyklių patvirtinimo“ pakeitimo