Suvestinė redakcija nuo 2024-06-04
Įsakymas paskelbtas: TAR 2020-08-03, i. k. 2020-16802
Nauja redakcija nuo 2024-06-04:
Nr. 1K-182, 2024-05-29, paskelbta TAR 2024-06-03, i. k. 2024-10046
LIETUVOS RESPUBLIKOS FINANSŲ MINISTRAS
ĮSAKYMAS
DĖL ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO FINANSŲ MINISTERIJOJE TYRIMO TVARKOS APRAŠO PATVIRTINIMO
2020 m. liepos 30 d. Nr. 1K-262
Vilnius
Siekdama užtikrinti tinkamą 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) įgyvendinimą:
1. T v i r t i n u Asmens duomenų saugumo pažeidimo Finansų ministerijoje tyrimo tvarkos aprašą (pridedama).
2. S u d a r a u šios sudėties Komisiją asmens duomenų saugumo pažeidimams Finansų ministerijoje tirti ir pranešimams apie asmens duomenų saugumo pažeidimus Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektams rengti (toliau – Komisija):
2.1. Finansų ministerijos Viešųjų investicijų ir projektų vertinimo skyriaus vedėjas, o jo nesant arba jam Komisijos veikloje negalint dalyvauti dėl komandiruotės, atostogų, laikinojo nedarbingumo ar kitų objektyvių priežasčių, – jo funkcijas laikinai atliekantis asmuo (Komisijos vadovas);
2.2. Finansų ministerijos valdomų ir tvarkomų informacinių sistemų saugos įgaliotinis, o jo nesant arba jam Komisijos veikloje negalint dalyvauti dėl komandiruotės, atostogų, laikinojo nedarbingumo ar kitų objektyvių priežasčių, – jo funkcijas laikinai atliekantis asmuo;
3. P a v e d u:
3.1. Komisijai atlikti šiuo įsakymu patvirtintame Asmens duomenų saugumo pažeidimo Finansų ministerijoje tyrimo tvarkos apraše nustatytas funkcijas;
4. N u s t a t a u, kad stebėtojo teisėmis Komisijos veikloje dalyvauja Finansų ministerijos Viešųjų investicijų ir projektų vertinimo skyriaus vyriausiasis specialistas, pagal pareigybės aprašymą atliekantis duomenų apsaugos pareigūno funkcijas, o jo nesant arba jam Komisijos veikloje negalint dalyvauti dėl komandiruotės, atostogų, laikinojo nedarbingumo ar kitų objektyvių priežasčių, – kitas šias funkcijas laikinai atliekantis asmuo.
PATVIRTINTA
Lietuvos Respublikos finansų ministro
2020 m. liepos 30 d. įsakymu Nr. 1K-262
(Lietuvos Respublikos finansų ministro
2024 m. gegužės 29 d. įsakymo Nr. 1K-182
redakcija)
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO FINANSŲ MINISTERIJOJE TYRIMO TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų saugumo pažeidimo Finansų ministerijoje tyrimo tvarkos apraše (toliau – Aprašas) reglamentuojamas pranešimo apie galimą asmens duomenų saugumo pažeidimą rengimas ir teikimas, asmens duomenų saugumo pažeidimo tyrimas, Valstybinės duomenų apsaugos inspekcijos (toliau – Inspekcija) ir duomenų subjekto informavimas apie asmens duomenų saugumo pažeidimą ir asmens duomenų saugumo pažeidimo įforminimas.
2. Aprašas taikomas Lietuvos Respublikos finansų ministerijai tvarkant duomenų subjektų asmens duomenis ir asmenims, veikiantiems kaip Finansų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų tvarkytojams, bei asmenims, su kuriais sudaryta asmens duomenų tvarkymo sutartis tvarkyti asmens duomenis pagal Finansų ministerijos nurodymus, (toliau kartu – duomenų tvarkytojai).
3. Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų apsaugą.
II SKYRIUS
PRANEŠIMO APIE GALIMĄ ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ RENGIMAS IR TEIKIMAS
4. Finansų ministerijos valstybės tarnautojas ar pagal darbo sutartį dirbantis darbuotojas (toliau kartu – darbuotojas), nustatęs arba sužinojęs iš visuomenės informavimo priemonių ar kitų informacijos šaltinių arba gavęs iš duomenų tvarkytojo informacijos apie galimą asmens duomenų saugumo pažeidimą:
4.1. nedelsdamas, ne vėliau kaip per 2 darbo valandas nuo sužinojimo apie galimą asmens duomenų saugumo pažeidimą momento, apie tai informuoja savo tiesioginį vadovą, Finansų ministerijos duomenų apsaugos pareigūną, užpildo Aprašo 1 priede nustatytos formos pranešimą apie galimą asmens duomenų saugumo pažeidimą (toliau – darbuotojo pranešimas apie pažeidimą) ir jį su Finansų ministerijos struktūrinio padalinio, kuriame dirba, vadovo pasirašytu raštu pateikia šiuo finansų ministro įsakymu sudarytos Komisijos asmens duomenų saugumo pažeidimams Finansų ministerijoje tirti ir pranešimams apie asmens duomenų saugumo pažeidimus Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektams rengti (toliau – Komisija) vadovui ir (arba) Komisiją techniškai aptarnaujančiam Finansų ministerijos struktūriniam padaliniui;
5. Duomenų tvarkytojai, sužinoję apie galimą asmens duomenų saugumo pažeidimą:
5.1. nedelsdami, ne vėliau kaip per 24 valandas nuo galimo asmens duomenų saugumo pažeidimo paaiškėjimo momento, Finansų ministerijai oficialiu raštu bei Finansų ministerijos duomenų apsaugos pareigūnui elektroninio pašto adresu dap@finmin.lt pateikia užpildytą Aprašo 2 priede nustatytos formos duomenų tvarkytojo pranešimą apie galimą asmens duomenų saugumo pažeidimą (toliau – duomenų tvarkytojo pranešimas apie pažeidimą) ir visą tuo metu turimą informaciją. Jei paaiškėja naujų aplinkybių dėl galimo asmens duomenų saugumo pažeidimo, šią informaciją duomenų tvarkytojai Finansų ministerijai pateikia nedelsdami, ne vėliau kaip per 24 valandas nuo jos paaiškėjimo momento;
III SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO TYRIMAS
6. Komisija, gavusi darbuotojo pranešimą apie pažeidimą ar duomenų tvarkytojo pranešimą apie pažeidimą (toliau kartu – Pranešimas), atlieka asmens duomenų saugumo pažeidimo tyrimą:
6.2. įvertina, ar Pranešime užtenka duomenų, kad būtų galima daryti išvadą, ar yra asmens duomenų saugumo pažeidimas;
6.3. jeigu įtaria, kad yra asmens duomenų saugumo pažeidimas:
6.3.1. nustato asmens duomenų saugumo pažeidimo tipą:
6.3.1.1. konfidencialumo pažeidimas – neleistinas arba netyčinis asmens duomenų atskleidimas arba prieigos prie asmens duomenų suteikimas;
6.3.3. nustato su asmens duomenų saugumo pažeidimu susijusių asmens duomenų, įskaitant specialių kategorijų asmens duomenis, kategorijas;
6.3.4. nustato tikėtinas asmens duomenų saugumo pažeidimo pasekmes ir priežastis, lėmusias asmens duomenų saugumo pažeidimą;
6.3.5. įvertina pavojų fizinių asmenų teisėms ir laisvėms, kuris kyla dėl asmens duomenų saugumo pažeidimo (tikimybę, kad pavojaus nėra, kad pavojus yra arba kad kyla didelis pavojus). Laikoma, kad asmens duomenų saugumo pažeidimas, galintis kelti didelį pavojų fizinių asmenų teisėms ir laisvėms, yra toks pažeidimas, dėl kurio, laiku nesiėmus tinkamų priemonių, duomenų subjektai, kurių asmens duomenų saugumas pažeistas, gali patirti kūno sužalojimą, materialinės žalos (finansinių nuostolių) ar nematerialinės žalos – diskriminaciją, tapatybės vagystę arba klastojimą, pakenkimą reputacijai ir panašaus pobūdžio žalą, taip pat tokia materialinė ir (ar) nematerialinė žala gali būti padaryta, jei pažeidimas yra susijęs su asmens duomenimis, iš kurių galima sužinoti rasinę arba etninę kilmę, politines pažiūras, religinius arba filosofinius įsitikinimus arba priklausymą profesinei sąjungai arba kurie apima genetinius duomenis, duomenis apie asmens sveikatą arba lytinį gyvenimą, apkaltinamuosius nuosprendžius ir nusikalstamas veikas arba susijusias apsaugos priemones;
6.3.6. žodžiu ar raštu informuoja Finansų ministerijos struktūrinius padalinius, su kurių veikla susijęs asmens duomenų saugumo pažeidimas, kokių taisomųjų veiksmų turi būti nedelsiant imamasi, kad būtų užkirstas kelias asmens duomenų saugumo pažeidimui, įskaitant priemones, kad galimos neigiamos jo pasekmės neatsirastų arba būtų sumažintos;
6.5. pasitelkia kitus darbuotojus, kiek tai susiję su jų kompetencija, asmens duomenų saugumo pažeidimui tirti ar duomenų tvarkytojų informacinių technologijų specialistus, kai pagal turimus duomenis matyti, kad asmens duomenų saugumo pažeidimas yra susijęs su kibernetiniu incidentu, ir (ar) konsultuojasi su šiais darbuotojais ar specialistais;
6.6. rengdama išvadą, kad padarytas asmens duomenų saugumo pažeidimas, parengia Finansų ministerijos kancleriui pasiūlymą (-us) taikyti priemones, kad dėl asmens duomenų saugumo pažeidimo neatsirastų neigiamų pasekmių ar jos būtų sumažintos (naudoti atsargines kopijas, siekiant atkurti prarastus ar sugadintus duomenis, ar taikyti kitas panašias priemones), taip pat priemones, kuriomis siekiama užkirsti kelią panašiems asmens duomenų saugumo pažeidimams kilti ateityje, (toliau kartu – Priemonės) ir sprendžia dėl pranešimo apie asmens duomenų saugumo pažeidimą Inspekcijai pagal Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamą formą, patvirtintą Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“, (toliau – pranešimas Inspekcijai) ir pranešimo apie asmens duomenų saugumo pažeidimą duomenų subjektui (toliau – pranešimas duomenų subjektui) rengimo Aprašo IV ir V skyriuose nustatyta tvarka;
7. Finansų ministerijos struktūriniai padaliniai, su kurių veikla susijęs asmens duomenų saugumo pažeidimas, turi bendradarbiauti ir Komisijai bei Finansų ministerijos duomenų apsaugos pareigūnui žodžiu ar raštu prašant per jų nurodytą terminą pateikti jiems visą informaciją ir dokumentus, susijusius su asmens duomenų saugumo pažeidimu ir tyrimu.
8. Asmens duomenų saugumo pažeidimo tyrimo metu darbuotojai turi nedelsdami imtis veiksmų, kad asmens duomenų saugumo pažeidimas būtų kaip įmanoma greičiau sustabdytas ir sumažinta dėl tokio pažeidimo galimų neigiamų pasekmių apimtis, vykdyti Komisijos ir Finansų ministerijos duomenų apsaugos pareigūno žodžiu ar raštu pateiktas rekomendacijas.
9. Duomenų tvarkytojai turi bendradarbiauti ir Finansų ministerijai prašant jos nurodytais terminais ir būdais pateikti jai visus reikalingus asmens duomenų saugumo pažeidimui tirti duomenis ir informaciją.
10. Komisija, atlikusi asmens duomenų saugumo pažeidimo tyrimą:
10.1. nustačiusi asmens duomenų saugumo pažeidimą, užpildo Aprašo 3 priede nustatytos formos asmens duomenų saugumo pažeidimo tyrimo ataskaitą;
11. Asmens duomenų saugumo pažeidimo tyrimo ataskaitą ir asmens duomenų saugumo pažeidimo tyrimo, kai asmens duomenų saugumo pažeidimas nenustatytas, ataskaitą registruoja Finansų ministerijos duomenų apsaugos pareigūnas Aprašo 5 priede nustatytos formos asmens duomenų saugumo pažeidimų registracijos žurnale.
12. Asmens duomenų saugumo pažeidimo tyrimo ataskaitą Komisijos primininkas pateikia Finansų ministerijos kancleriui ir duomenų tvarkytojo vadovui, jei asmens duomenų saugumo pažeidimas susijęs su duomenų tvarkytojo atliekamais asmens duomenų tvarkymo veiksmais.
13. Finansų ministerijos kancleris, susipažinęs su asmens duomenų saugumo pažeidimo tyrimo ataskaita, priima sprendimą dėl Komisijos pasiūlymo (-ų) įgyvendinimo. Jeigu Komisija siūlo įgyvendinti Priemones, Finansų ministerijos kancleris, naudodamasis Finansų ministerijoje naudojama dokumentų valdymo informacine sistema, priima sprendimą (suformuoja pavedimą) dėl siūlomų Priemonių įgyvendinimo, paskiria už jų įgyvendinimą atsakingus Finansų ministerijos struktūrinius padalinius ar darbuotojus ir nustato Priemonių įgyvendinimo terminus.
14. Jei asmens duomenų saugumo pažeidimo tyrimo ataskaitoje nurodoma, kad dėl įvykusio asmens duomenų saugumo pažeidimo duomenų tvarkytojas turi taikyti papildomas priemones ar užtikrinti esamų asmens duomenų saugumo priemonių taikymą, Finansų ministerijos kancleris duoda privalomus nurodymus duomenų tvarkytojui. Dokumentus dėl privalomų nurodymų duomenų tvarkytojui rengia darbuotojai, atsakingi už asmens duomenų tvarkymo sutarties vykdymą.
IV SKYRIUS
INSPEKCIJOS INFORMAVIMAS
15. Komisija nedelsdama, jei įmanoma, nepraėjus 72 valandoms nuo momento, kai sužinojo apie asmens duomenų saugumo pažeidimą, parengia pranešimą Inspekcijai.
16. Kai asmens duomenų saugumo pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms, apie padarytą asmens duomenų saugumo pažeidimą Inspekcija neinformuojama.
17. Kai per 72 valandas neįmanoma ištirti, ar padarytas asmens duomenų saugumo pažeidimas, ir apie pažeidimą privaloma informuoti Inspekciją, pranešime Inspekcijai pateikiama tuo metu turima informacija, nurodyta Reglamento (ES) 2016/679 33 straipsnio 3 dalyje, nurodomos tyrimo vėlavimo priežastys ir kada bus pateikta išsamesnė informacija. Kai pateikus pranešimą Inspekcijai toliau tęsiant asmens duomenų saugumo pažeidimo tyrimą nustatoma, kad buvo sustabdyti veiksmai, kurie būtų lėmę asmens duomenų saugumo pažeidimą, ir (ar) faktiškai nebuvo jokio asmens duomenų saugumo pažeidimo, Komisija nedelsdama apie tai informuoja Inspekciją.
18. Kai padarytas asmens duomenų saugumo pažeidimas yra susijęs su kibernetiniu incidentu, Finansų ministerijos Informacinių technologijų departamento parengta informacija apie kibernetinį incidentą pateikiama Kibernetinio saugumo įstatyme nurodytoms valstybės institucijoms šio įstatymo nustatyta tvarka ir atvejais.
V SKYRIUS
DUOMENŲ SUBJEKTO INFORMAVIMAS
19. Komisija nedelsdama, jei įmanoma, nepraėjus 72 valandoms nuo momento, kai sužinojo apie asmens duomenų saugumo pažeidimą, kuris gali kelti didelį pavojų fizinių asmenų teisėms ir laisvėms, kaip nustatyta Aprašo 6.3.5 papunktyje, išskyrus Reglamento (ES) 2016/679 34 straipsnio 3 dalyje nustatytas sąlygas, parengia rašytinį pranešimą duomenų subjektui, kuriame nurodo:
19.2. Finansų ministerijos duomenų apsaugos pareigūno arba kito atsakingo asmens, galinčio suteikti daugiau informacijos apie asmens duomenų saugumo pažeidimą, vardą, pavardę ir kontaktinius duomenis (telefono ryšio numeris, elektroninio pašto adresas);
19.4. priemones, kurios jau buvo pritaikytos arba kurias Komisija pasiūlė taikyti, kad būtų pašalintas asmens duomenų saugumo pažeidimas, įskaitant priemones galimoms neigiamoms asmens duomenų saugumo pažeidimo pasekmėms sumažinti, taip pat duomenų subjektui skirtas rekomendacijas, kaip sumažinti galimą neigiamą asmens duomenų saugumo pažeidimo poveikį;
20. Duomenų subjektas gali būti informuojamas nesilaikant Aprašo 19 punkte nustatyto termino, jeigu įgyvendinamos priemonės, kuriomis neleidžiama atsirasti pakartotiniams ar panašiems asmens duomenų saugumo pažeidimams.
VI SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO ĮFORMINIMAS
22. Finansų ministerijos duomenų apsaugos pareigūnas per 5 darbo dienas nuo asmens duomenų saugumo pažeidimo tyrimo ataskaitos užregistravimo dienos užpildo nustatytos formos asmens duomenų saugumo pažeidimų registracijos žurnalą. Prireikus asmens duomenų saugumo pažeidimų registracijos žurnale pateikta informacija gali būti tikslinama ir (ar) papildoma.
VII SKYRIUS
BAIGIAMOSIOS NUOSTATOS
24. Visi su asmens duomenų saugumo pažeidimo tyrimu ir pranešimų Inspekcijai ir duomenų subjektui teikimu susiję dokumentai tvarkomi ir saugomi Lietuvos Respublikos finansų ministerijos darbo reglamente, patvirtintame Lietuvos Respublikos finansų ministro 2003 m. spalio 15 d. įsakymu Nr. 1K-251 „Dėl Lietuvos Respublikos finansų ministerijos darbo reglamento patvirtinimo“, nustatyta tvarka.
Asmens duomenų saugumo pažeidimo
Finansų ministerijoje tyrimo tvarkos
aprašo
1 priedas
(Pranešimo apie galimą asmens duomenų saugumo pažeidimą forma)
LIETUVOS RESPUBLIKOS FINANSŲ MINISTERIJOS
___________________________________________________
(struktūrinio padalinio pavadinimas)
___________________________________________________
(pareigų pavadinimas)
___________________________________________________
(vardas, pavardė)
PRANEŠIMAS
APIE GALIMĄ ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ
_____________ Nr. _________
(data)
Vilnius
Informuoju apie galimą asmens duomenų saugumo pažeidimą, pateikdamas (-a) man turimą informaciją apie jį:
| 1. Sužinojimo apie galimą asmens duomenų saugumo pažeidimą data, laikas (minučių tikslumu) |
Data ______________ Laikas __________
| 2. Galimo asmens duomenų saugumo pažeidimo padarymo data, laikas (minučių tikslumu) ir vieta |
Data ______________ Laikas __________ Vieta________________________________________
| 3. Galimo asmens duomenų saugumo pažeidimo pobūdis, esmė ir aplinkybės |
________________________________________________________________________________
________________________________________________________________________________
| 4. Duomenų subjektų kategorijos (pvz., Finansų ministerijos valstybės tarnautojas ar pagal darbo sutartį dirbantis darbuotojas, asmenys, pateikę prašymus, skundus ir pan.) ir duomenų subjektų skaičius (jei žinoma) |
________________________________________________________________________________
________________________________________________________________________________
| 5. Asmens duomenų kategorijos, susijusios su galimu asmens duomenų saugumo pažeidimu, (pažymėti tinkamą (-as) kategoriją (-as): |
Asmens tapatybę patvirtinantys asmens duomenys (vardas, pavardė, amžius, gimimo data, lytis ir kt.):
______________________________________________________________________________________________
Specialių kategorijų asmens duomenys (duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus arba narystę profesinėse sąjungose, genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie lytinį gyvenimą ir lytinę orientaciją):
______________________________________________________________________________________________
Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas:
______________________________________________________________________________________________
Prisijungimo duomenys ir (ar) asmens identifikaciniai numeriai (pavyzdžiui, asmens kodas, mokėtojo kodas, slaptažodžiai):
______________________________________________________________________________________________
Kiti duomenys:
______________________________________________________________________________________________
Nežinomi duomenys (pranešimo teikimo metu):
| 6. Kokių veiksmų ar priemonių buvo imtasi sužinojus apie galimą asmens duomenų saugumo pažeidimą (pvz., pakeisti kompiuterio slaptažodžiai, nutraukta neteisėta prieiga prie tvarkomų asmens duomenų, panaudotos atsarginės kopijos, siekiant atkurti prarastus ar sugadintus duomenis, atnaujinta programinė įranga, surinkti ne saugoti skirtoje vietoje palikti dokumentai su asmens duomenimis ir pan.) |
________________________________________________________________________________
________________________________________________________________________________
| (pareigų pavadinimas) |
|
(parašas) |
|
(vardas, pavardė) |
Asmens duomenų saugumo pažeidimo Finansų ministerijoje tyrimo tvarkos aprašo
2 priedas
(Duomenų tvarkytojo pranešimo apie galimą asmens duomenų saugumo pažeidimą forma)
(duomenų tvarkytojo pavadinimas)
(juridinio asmens kodas ir buveinės adresas)
(telefono ryšio numeris ir (ar) elektroninio pašto adresas)
Lietuvos Respublikos finansų ministerijai
DUOMENŲ TVARKYTOJO PRANEŠIMAS
APIE GALIMĄ ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ
_____________ Nr. _________
(data)
| 1. Galimo asmens duomenų saugumo pažeidimo apibūdinimas |
1.1. Galimo asmens duomenų saugumo pažeidimo data ir laikas:
Data ______________ Laikas __________
1.2. Galimo asmens duomenų saugumo pažeidimo vieta (pažymėti tinkamą (-us) variantą (-us):
Informacinė sistema
Duomenų bazė
Tarnybinė stotis
Interneto svetainė
Debesijos paslaugos
Nešiojamieji ar mobilieji įrenginiai
Neautomatiniu būdu susistemintos bylos (archyvas)
Kita ___________________________________________________________________
1.3. Galimo asmens duomenų saugumo pažeidimo tipas (pažymėti tinkamą (-us) variantą (-us):
Asmens duomenų konfidencialumo praradimas (neautorizuota prieiga ar atskleidimas)
Asmens duomenų vientisumo praradimas (neautorizuotas asmens duomenų pakeitimas)
Asmens duomenų prieinamumo praradimas (asmens duomenų praradimas, sunaikinimas)
1.4. Apytikslis duomenų subjektų, kurių asmens duomenų saugumas galimai pažeistas, skaičius:
_____________________________________________________________________________
1.5. Duomenų subjektų, kurių asmens duomenų saugumas galimai pažeistas, kategorijos (skiriamos pagal jai būdingą požymį):
_____________________________________________________________________________
1.6. Asmens duomenų, kurių saugumas galimai pažeistas, kategorijos (pažymėti tinkamą (-as) kategoriją (-as):
Asmens tapatybę patvirtinantys asmens duomenys (vardas, pavardė, amžius, gimimo data, lytis ir kt.):
_____________________________________________________________________________
Specialių kategorijų asmens duomenys (duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus arba narystę profesinėse sąjungose, genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie lytinį gyvenimą ir lytinę orientaciją):
_____________________________________________________________________________
Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas:
_____________________________________________________________________________
Prisijungimo duomenys ir (ar) asmens identifikaciniai numeriai (pavyzdžiui, asmens kodas, mokėtojo kodas, slaptažodžiai):
_____________________________________________________________________________
Kiti duomenys:
_____________________________________________________________________________
Nežinomi duomenys (pranešimo teikimo metu):
1.7. Apytikslis asmens duomenų, kurių saugumas galimai pažeistas, skaičius:
_____________________________________________________________________________
1.8. Kita, duomenų tvarkytojo nuomone, reikšminga informacija apie galimą asmens duomenų saugumo pažeidimą:
_____________________________________________________________________________
| 2. Galimos asmens duomenų saugumo pažeidimo pasekmės |
2.1. Konfidencialumo praradimo atveju:
Asmens duomenų išplitimas labiau, nei yra būtina, ir duomenų subjekto kontrolės praradimas savo asmens duomenų atžvilgiu (pavyzdžiui, asmens duomenų išplitimas internete)
Skirtingos informacijos susiejimas (pavyzdžiui, gyvenamosios vietos adreso susiejimas su asmens buvimo vieta realiuoju laiku)
Galimas asmens duomenų panaudojimas kitais nei nustatytais ar neteisėtais tikslais (pavyzdžiui, komerciniais, asmens tapatybės pasisavinimo, informacijos panaudojimo prieš asmenį tikslais)
Kita
_____________________________________________________________________________
2.2. Vientisumo praradimo atveju:
Duomenų pakeitimas į neteisingus duomenis, dėl ko asmuo gali netekti galimybės naudotis paslaugomis
Galiojančių duomenų pakeitimas, priskiriant juos kitam asmeniui (pavyzdžiui, pavogta asmens tapatybė vieno asmens identifikuojančius duomenis susiejant su kito asmens biometriniais duomenimis)
Kita
_____________________________________________________________________________
2.3. Duomenų prieinamumo praradimo atveju:
Dėl asmens duomenų trūkumo negalima teikti paslaugų (pavyzdžiui, sutrikdomi administraciniai procesai, dėl ko negalima prieiti prie asmens duomenų ir įgyvendinti duomenų subjekto teisių)
Dėl klaidų asmens duomenų tvarkymo procesuose negalima teikti tinkamų paslaugų (pavyzdžiui, tam tikra informacija iš informacinės sistemos išnyko, dėl ko negalima tinkamai suteikti administracinės paslaugos)
Kita
_____________________________________________________________________________
2.4. Kitais atvejais:
_____________________________________________________________________________
| 3. Priemonės, kurių imtasi siekiant pašalinti galimą pažeidimą ar sumažinti jo pasekmes |
3.1. Taikytos priemonės, siekiant sumažinti poveikį duomenų subjektams:
_____________________________________________________________________________
3.2. Taikytos priemonės, siekiant pašalinti galimą asmens duomenų saugumo pažeidimą:
_____________________________________________________________________________
3.3. Taikytos priemonės, siekiant, kad galimas asmens duomenų saugumo pažeidimas nepasikartotų:
_____________________________________________________________________________
3.4. Kita:
_____________________________________________________________________________
| 4. Siūlomos priemonės galimo asmens duomenų saugumo pažeidimo pasekmėms sumažinti |
_____________________________________________________________________________
| 5. Asmuo, galintis suteikti daugiau informacijos apie galimą asmens duomenų saugumo pažeidimą (duomenų apsaugos pareigūnas ar kitas atsakingas asmuo) |
5.1. Vardas ir pavardė __________________________________________________________________________
5.2. Telefono ryšio numeris ______________________________________________________________________
5.3. Elektroninio pašto adresas ___________________________________________________________________
5.4. Pareigų pavadinimas ________________________________________________________________________
| (pareigų pavadinimas) |
|
(parašas) |
|
(vardas, pavardė) |
Asmens duomenų saugumo pažeidimo
Finansų ministerijoje tyrimo tvarkos
aprašo
3 priedas
(Asmens duomenų saugumo pažeidimo tyrimo ataskaitos forma)
KOMISIJA ASMENS DUOMENŲ SAUGUMO PAŽEIDIMAMS FINANSŲ MINISTERIJOJE TIRTI IR PRANEŠIMAMS APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMUS VALSTYBINEI DUOMENŲ APSAUGOS INSPEKCIJAI IR DUOMENŲ SUBJEKTAMS RENGTI
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO TYRIMO ATASKAITA
_____________ Nr. _________
(data)
Vilnius
| 1. Asmens duomenų saugumo pažeidimo aprašymas |
|
| 1.1. Asmens duomenų saugumo pažeidimo data, valanda (minučių tikslumu) |
|
| 1.2. Asmens duomenų saugumo pažeidimo vieta (informacinė sistema, duomenų bazė, tarnybinė stotis, interneto svetainė, debesijos paslaugos, nešiojamieji ar mobilieji įrenginiai, neautomatiniu būdu susistemintos bylos (archyvas), kita) |
|
| 1.3. Asmens duomenų saugumo pažeidimo nustatymo data, valanda (minučių tikslumu) |
|
| 1.4. Finansų ministerijos valstybės tarnautojas ar pagal darbo sutartį dirbantis darbuotojas (toliau kartu – darbuotojas), pranešęs apie asmens duomenų saugumo pažeidimą, (vardas, pavardė, Finansų ministerijos struktūrinio padalinio, kuriame dirba darbuotojas, pavadinimas, telefono ryšio numeris, elektroninio pašto adresas) |
|
| 1.5. Duomenų tvarkytojo, pranešusio apie asmens duomenų saugumo pažeidimą, pavadinimas, jo kontaktinio asmens duomenys (vardas, pavardė, telefono ryšio numeris, elektroninio pašto adresas) |
|
| 1.6. Asmens duomenų saugumo pažeidimo pobūdis, esmė ir aplinkybės: |
|
| 1.6.1. Asmens duomenų konfidencialumo praradimas (be leidimo ar neteisėtai atskleidžiami asmens duomenys arba gaunama prieiga prie jų) |
|
| 1.6.2. Asmens duomenų vientisumo praradimas (kai asmens duomenys pakeičiami be leidimo ar netyčia) |
|
| 1.6.3. Asmens duomenų prieinamumo praradimas (kai netyčia arba neteisėtai prarandama prieiga prie asmens duomenų arba jie sunaikinami) |
|
| 1.7. Apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius |
|
| 1.8. Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos (skiriamos pagal joms būdingus požymius) |
|
| 1.9. Asmens duomenų, kurių saugumas pažeistas, kategorijos: |
|
| 1.9.1. Asmens tapatybę patvirtinantys asmens duomenys (vardas, pavardė, amžius, gimimo data, lytis ir kt.) |
|
| 1.9.2. Specialių kategorijų asmens duomenys (duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus arba narystę profesinėse sąjungose, genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie lytinį gyvenimą ir lytinę orientaciją) |
|
| 1.9.3. Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas
|
|
| 1.9.4. Prisijungimo duomenys ir (ar) asmens identifikaciniai numeriai (pavyzdžiui, asmens kodas, mokėtojo kodas, slaptažodžiai) |
|
| 1.9.5. Kiti duomenys |
|
| 1.9.6. Duomenys nežinomi (ataskaitos rengimo metu) |
|
| 1.10. Apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius |
|
| 1.11. Asmens duomenų saugumo pažeidimo trukmė |
|
| 1.12. Kita reikšminga informacija apie asmens duomenų saugumo pažeidimą (jei tokia yra) |
|
| 2. Asmens duomenų saugumo pažeidimo rizikos vertinimas |
|
| 2.1. Priežastys, lėmusios asmens duomenų saugumo pažeidimą, (pvz., duomenų ar įrangos, kurioje saugomi asmens duomenys, vagystė, netinkamos prieigos kontrolės priemonės, leidžiančios neteisėtai naudotis asmens duomenimis, įrangos gedimas, žmogiškoji klaida, įsilaužimo ataka ir pan.) |
|
| 2.2. Asmens duomenų saugumo pažeidimo pasekmės: |
|
| 2.2.1. Konfidencialumo praradimo atveju: |
|
| 2.2.1.1. Asmens duomenų išplitimas labiau, nei yra būtina, ir duomenų subjekto kontrolės praradimas savo asmens duomenų atžvilgiu (pavyzdžiui, asmens duomenų išplitimas internete) |
|
| 2.2.1.2. Skirtingos informacijos susiejimas (pavyzdžiui, gyvenamosios vietos adreso susiejimas su asmens buvimo vieta realiuoju laiku) |
|
| 2.2.1.3. Galimas asmens duomenų panaudojimas kitais nei nustatytais ar neteisėtais tikslais (pavyzdžiui, komerciniais, asmens tapatybės pasisavinimo, informacijos panaudojimo prieš asmenį tikslais) |
|
| 2.2.1.4. Kita |
|
| 2.2.2. Vientisumo praradimo atveju: |
|
| 2.2.2.1. Asmens duomenų pakeitimas į neteisingus duomenis, dėl ko asmuo gali netekti galimybės naudotis paslaugomis |
|
| 2.2.2.2. Galiojančių asmens duomenų pakeitimas, priskiriant juos kitam asmeniui (pavyzdžiui, pavogta asmens tapatybė vieną asmenį identifikuojančius duomenis susiejant su kito asmens biometriniais duomenimis) |
|
| 2.2.2.3. Kita |
|
| 2.2.3. Asmens duomenų prieinamumo praradimo atveju: |
|
| 2.2.3.1. Dėl asmens duomenų trūkumo negalima teikti paslaugų (pavyzdžiui, sutrikdomi administraciniai procesai, dėl ko negalima prieiti prie asmens duomenų ir įgyvendinti duomenų subjekto teisių) |
|
| 2.2.3.2. Dėl klaidų asmens duomenų tvarkymo procesuose negalima teikti tinkamų paslaugų (pavyzdžiui, tam tikra informacija iš informacinės sistemos išnyko, dėl ko negalima tinkamai suteikti administracinės paslaugos) |
|
| 2.2.3.3. Kita |
|
| 2.2.4. Kitos pasekmės (jei yra) |
|
| 2.3. Dėl pažeistų asmens duomenų pobūdžio kyla didesnė žalos rizika |
|
| 2.4. Dėl asmens duomenų saugumo pažeidimo nėra pavojaus fizinių asmenų teisėms ir laisvėms (žema rizikos tikimybė) |
|
| 2.5. Dėl asmens duomenų saugumo pažeidimo yra ar gali kilti pavojus fizinių asmenų teisėms ir laisvėms (būtina pranešti Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) (vidutinė rizikos tikimybė) |
|
| 2.6. Dėl asmens duomenų saugumo pažeidimo yra ar gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms (būtina pranešti Inspekcijai ir duomenų subjektams) (aukšta rizikos tikimybė) |
|
| 2.7. Kas turėjo prieigą prie pažeistų asmens duomenų iki asmens duomenų saugumo pažeidimo padarymo? |
|
| 2.8. Kas gavo prieigą prie pažeistų asmens duomenų? |
|
| 2.9. Ar buvo kitų įvykių, kurie galėjo nulemti asmens duomenų saugumo pažeidimą? |
|
| 2.10. Ar iki asmens duomenų saugumo pažeidimo asmens duomenys buvo tinkamai užkoduoti, nuasmeninti ar kitaip lengvai neprieinami? |
|
| 2.11. Informacinių technologijų sistemos, įrenginiai, įranga, įrašai, susiję su asmens duomenų saugumo pažeidimu |
|
| 2.12. Ar tai yra sisteminė klaida, ar vienetinis incidentas? |
|
| 2.13. Kokia žala buvo padaryta duomenų subjektui ar Finansų ministerijai (tapatybės vagystė, grėsmė fiziniam saugumui ir emocinei gerovei, žala reputacijai, teisinė atsakomybė, konfidencialumo, saugumo nuostatų pažeidimas ir pan.)? |
|
| 3. Priemonės, kurios taikytos siekiant pašalinti asmens duomenų saugumo pažeidimą, kad dėl jo neatsirastų neigiamų pasekmių, ar sumažinti jo neigiamas pasekmes |
|
| 3.1. Taikytos priemonės, siekiant pašalinti asmens duomenų saugumo pažeidimą |
|
| 3.2. Taikytos priemonės, siekiant sumažinti poveikį duomenų subjektams |
|
| 3.3. Taikytos priemonės, siekiant, kad asmens duomenų saugumo pažeidimas nepasikartotų |
|
| 3.4. Taikytos techninės priemonės asmens duomenų saugumo pažeidimo paveiktiems asmens duomenims, siekiant užtikrinti, kad asmens duomenys nebūtų prieinami neįgaliotiems asmenims |
|
| 3.5. Priemonės, kurias ketinama įgyvendinti, įskaitant priemones, kuriomis siekiama, kad dėl asmens duomenų saugumo pažeidimo neatsirastų neigiamų pasekmių ar jos būtų sumažintos, ir priemones, kuriomis siekiama užkirsti kelią panašiems asmens duomenų saugumo pažeidimams kilti ateityje |
|
| 3.6. Kitos priemonės |
|
| 4. Pranešimų pateikimas |
|
| 4.1. Duomenų subjekto informavimas apie asmens duomenų saugumo pažeidimą: |
|
| 4.1.1. Duomenų subjektas informuotas (nurodoma pranešimo data ir numeris) |
|
| 4.1.2. Duomenų subjektas neinformuotas, bet bus informuotas (nurodoma data) |
|
| 4.1.3. Duomenų subjektas neinformuotas |
|
| 4.2. Vėlavimo pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą priežastys |
|
| 4.3. Priemonė, kuria buvo pateiktas pranešimas duomenų subjektui, (paštu, elektroninio pašto pranešimu ar SMS pranešimu ir kt.) |
|
| 4.4. Informuotų duomenų subjektų skaičius |
|
| 4.5. Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, neinformavimo priežastys: |
|
| 4.5.1. Nėra didelio pavojaus duomenų subjektų teisėms ir laisvėms (nurodoma, kodėl nėra pavojaus) |
|
| 4.5.2. Įgyvendintos tinkamos techninės ir organizacinės priemonės, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami, (nurodomos priemonės) |
|
| 4.5.3. Įgyvendintos tinkamos techninės ir organizacinės priemonės, kuriomis užtikrinama, kad nekiltų didelis pavojus duomenų subjektų teisėms ir laisvėms, (nurodomos priemonės) |
|
| 4.5.4. Informavimas pareikalautų neproporcingai daug pastangų, o apie asmens duomenų saugumo pažeidimą paskelbta viešai (arba taikyta panaši priemonė) (nurodoma, kada ir kur paskelbta informacija viešai, arba, jei taikyta kita priemonė, nurodoma, kokia ir kada taikyta) |
|
| 4.5.5. Dar neidentifikuoti duomenų subjektai, kurių asmens duomenų saugumas pažeistas |
|
| 4.6. Informacija, kuri buvo pateikta duomenų subjektams, (gali būti pridėta pranešimo duomenų subjektui kopija) |
|
| 4.7. Ar pranešta Inspekcijai apie asmens duomenų saugumo pažeidimą: |
|
| 4.7.1. Taip, Inspekcijai pranešta (nurodoma pranešimo data ir numeris) |
|
| 4.7.2. Ne, bet Inspekcijai bus pranešta (nurodoma data) |
|
| 4.7.3. Ne |
|
| 4.8. Ar pranešta ikiteisminio tyrimo institucijoms apie asmens duomenų saugumo pažeidimą, galimai turintį nusikalstamos veikos požymių: |
|
| 4.8.1. Taip, pranešta (nurodoma pranešimo data ir numeris, gavėjas) |
|
| 4.8.2. Ne, bet bus pranešta (nurodoma data, gavėjas) |
|
| 4.8.3. Ne |
|
| 4.9. Vėlavimo pranešti Inspekcijai apie asmens duomenų saugumo pažeidimą priežastys |
|
| 4.10. Nepranešimo apie asmens duomenų saugumo pažeidimą Inspekcijai priežastys |
|
| 4.11. Ar pranešta valstybės institucijoms, nurodytoms Lietuvos Respublikos kibernetinio saugumo įstatyme, apie kibernetinį incidentą, susijusį su asmens duomenų saugumo pažeidimu: |
|
| 4.11.1. Taip, pranešta (nurodoma pranešimo data ir numeris, gavėjas) |
|
| 4.11.2. Ne, bet bus pranešta (nurodoma data, gavėjas) |
|
| 4.11.3. Ne |
|
| 5. Komisijos išvada dėl asmens duomenų saugumo pažeidimo |
|
| 6. Komisijos pasiūlymas (-ai) |
|
| 7. Komisijos nario atskiroji nuomonė (jeigu yra) |
|
Komisijos nariai:
| (pareigų pavadinimas) |
|
(parašas) |
|
(vardas, pavardė) |
| (pareigų pavadinimas) |
|
(parašas) |
|
(vardas, pavardė) |
| (pareigų pavadinimas) |
|
(parašas) |
|
(vardas, pavardė) |
Asmens duomenų saugumo pažeidimo
Finansų ministerijoje tyrimo tvarkos
aprašo
4 priedas
(Asmens duomenų saugumo pažeidimo tyrimo, kai asmens duomenų saugumo pažeidimas nenustatytas, ataskaitos forma)
KOMISIJA ASMENS DUOMENŲ SAUGUMO PAŽEIDIMAMS FINANSŲ MINISTERIJOJE TIRTI IR PRANEŠIMAMS APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMUS VALSTYBINEI DUOMENŲ APSAUGOS INSPEKCIJAI IR DUOMENŲ SUBJEKTAMS RENGTI
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO TYRIMO, KAI ASMENS DUOMENŲ SAUGUMO PAŽEIDIMAS NENUSTATYTAS, ATASKAITA
_____________ Nr. _________
(data)
Vilnius
| 1. Informacija apie asmens duomenų saugumo pažeidimą |
|
| 1.1. Asmens duomenų saugumo pažeidimo data, valanda (minučių tikslumu) |
|
| 1.2. Asmens duomenų saugumo pažeidimo vieta (informacinė sistema, duomenų bazė, tarnybinė stotis, interneto svetainė, debesijos paslaugos, nešiojamieji ar mobilieji įrenginiai, neautomatiniu būdu susistemintos bylos (archyvas), kita) |
|
| 1.3. Sužinojimo apie asmens duomenų saugumo pažeidimą data, valanda (minučių tikslumu) |
|
| 1.4. Finansų ministerijos valstybės tarnautojas ar pagal darbo sutartį dirbantis darbuotojas (toliau kartu – darbuotojas), pranešęs apie asmens duomenų saugumo pažeidimą, (vardas, pavardė, Finansų ministerijos struktūrinio padalinio, kuriame dirba darbuotojas, pavadinimas, telefono ryšio numeris, elektroninio pašto adresas) |
|
| 1.5. Duomenų tvarkytojo, pranešusio apie asmens duomenų saugumo pažeidimą, pavadinimas, jo kontaktinio asmens duomenys (vardas, pavardė, telefono ryšio numeris, elektroninio pašto adresas) |
|
| 1.6. Asmens duomenų saugumo pažeidimo pobūdis, esmė ir aplinkybės |
|
| 1.7. Kita reikšminga informacija apie asmens duomenų saugumo pažeidimą (jei tokia yra) |
|
| 1.8. Asmens duomenų saugumo pažeidimą lėmusios priežastys |
|
| 1.9. Asmens duomenų saugumo pažeidimo prielaidos – ar tai sisteminė klaida, ar vienetinis incidentas |
|
| 2. Priemonės, kurias ketinama įgyvendinti, kad panašūs incidentai nepasikartotų |
|
| 3. Komisijos išvada dėl asmens duomenų saugumo pažeidimo |
|
| 4. Komisijos nario atskiroji nuomonė (jeigu yra) |
|
Komisijos nariai:
| (pareigų pavadinimas) |
|
(parašas) |
|
(vardas, pavardė) |
| (pareigų pavadinimas) |
|
(parašas) |
|
(vardas, pavardė) |
| (pareigų pavadinimas) |
|
(parašas) |
|
(vardas, pavardė) |
Asmens duomenų saugumo pažeidimo Finansų
ministerijoje tyrimo tvarkos aprašo
5 priedas
(Asmens duomenų saugumo pažeidimų registracijos žurnalo forma)
LIETUVOS RESPUBLIKOS FINANSŲ MINISTERIJA
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ REGISTRACIJOS ŽURNALAS
| Eil.Nr. |
Asmens duomenų saugumo pažeidimo (toliau – pažeidimas) tyrimo ataskaitos data ir numeris |
Pažeidimo aprašymas (pažeidimo data, laikas (val., min.), pažeidimo pobūdis, priežastys, asmens duomenų, kurių saugumas pažeistas, kategorijos ir skaičius, duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos ir apytikslis skaičius) |
Pažeidimo nustatymo aplinkybės (pažeidimo nustatymo data, laikas (val., min.), asmuo, pranešęs apie pažeidimą (vardas, pavardė, pareigos) |
Pažeidimo pasekmės ir pavojus fizinių asmenų teisėms ir laisvėms |
Priemonės, kurių buvo imtasi, kad būtų pašalintas pažeidimas, įskaitant priemones galimoms neigiamoms pažeidimo pasekmėms sumažinti |
Informacija apie pranešimą apie pažeidimą Valstybinei duomenų apsaugos inspekcijai (jei apie pažeidimą nebuvo pranešta, nurodomi tokio sprendimo motyvai; jei apie pažeidimą buvo pranešta, nurodoma pranešimo data ir numeris, taip pat ar informacija teikiama etapais; jeigu pranešti apie pažeidimą buvo vėluojama, nurodomos vėlavimo priežastys) |
Informacija apie pranešimą apie pažeidimą duomenų subjektui (jei apie pažeidimą nebuvo pranešta, nurodomi tokio sprendimo motyvai; jei apie pažeidimą buvo pranešta, nurodoma pranešimo (-ų) data (-os), numeris (-iai) ir būdas (-ai); jeigu apie pažeidimą buvo vėluojama pranešti, nurodomos vėlavimo priežastys) |
Kita su pažeidimu susijusi reikšminga informacija |
| 1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Pakeitimai:
1.
Lietuvos Respublikos finansų ministerija, Įsakymas
Nr. 1K-182, 2024-05-29, paskelbta TAR 2024-06-03, i. k. 2024-10046
Dėl finansų ministro 2020 m. liepos 30 d. įsakymo Nr. 1K-262 „Dėl Asmens duomenų saugumo pažeidimo Finansų ministerijoje tyrimo tvarkos aprašo patvirtinimo“ pakeitimo