Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento), 24 straipsnio 1 dalimi:

1.       T v i r t i n u Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo tvarkos aprašą (pridedama).

2.       Į g a l i o j u asmenis, nurodytus Lietuvos transporto saugos administracijos direktoriaus 2018 m. gegužės 28 d. įsakyme Nr. 2BE-180 „Dėl Lietuvos transporto saugos administracijos duomenų apsaugos pareigūno skyrimo“, nagrinėti pranešimus apie asmens duomenų saugumo pažeidimus ir atlikti kitus veiksmus, numatytus Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo tvarkos apraše.

3.       I n f o r m u o j u, kad šis įsakymas nustatyta tvarka skelbiamas Teisės aktų registre ir Lietuvos transporto saugos administracijos interneto svetainėje.

Administracijos direktorius                                                                                      Genius Lukošius

1. Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo tvarkos aprašas (toliau –Aprašas) nustato pranešimo apie asmens duomenų saugumo pažeidimą (toliau – pranešimas) pateikimo, nagrinėjimo bei informacijos apie jį pateikimo duomenų subjektui ir Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) tvarką.

2. Aprašas taikomas Lietuvos transporto saugos administracijai (toliau – Administracija) tvarkant duomenų subjektų asmens duomenis ir juridiniams asmenims, su kuriais sudaryta asmens duomenų tvarkymo sutartis, tvarkant asmens duomenis pagal Administracijos nurodymus (toliau – duomenų tvarkytojai).

3. Aprašas parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679), 33–34 straipsniais.

4. Apraše vartojamos sąvokos:

5. Kitos Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679 ir Lietuvos Respublikos kibernetinio saugumo įstatyme.

6. Administracijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį (toliau kartu – darbuotojai), sužinojęs ar pats nustatęs galimą asmens duomenų saugumo pažeidimą:

7. Duomenų tvarkytojai, sužinoję apie asmens duomenų saugumo pažeidimą, nedelsdami, bet ne vėliau kaip per 12 valandų nuo sužinojimo momento apie tai praneša Administracijos duomenų apsaugos pareigūno el. paštu dap@ltsa.lt, pateikdami pranešimą, kurio turinys numatytas Reglamento (ES) 2016/679 33 straipsnio 3 dalyje, ir nurodydami tiek informacijos, kiek jos įmanoma pateikti tuo metu. Gautas pranešimas užregistruojamas Administracijos dokumentų valdymo sistemoje ir perduodamas susipažinti Administracijos duomenų apsaugos pareigūnams.

Punkto pakeitimai:

Nr. 2BE-275, 2022-11-07, paskelbta TAR 2022-11-07, i. k. 2022-22559

8. Administracijos duomenų apsaugos pareigūnai, gavęs darbuotojų užpildytą pranešimą ar duomenų tvarkytojų pranešimus (toliau kartu – pranešimas):

9. Duomenų tvarkytojai pateikia Administracijai visą prašomą informaciją, susijusią su informavimu apie asmens duomenų saugumo pažeidimą ir jo tyrimu, per Administracijos nurodytą terminą.

10. Administracijos duomenų apsaugos pareigūnai, atlikę galimai įvykusio asmens duomenų saugumo pažeidimo tyrimą ir nustatę, kad asmens duomenų saugumo pažeidimas nebuvo padarytas, surašo Asmens duomenų saugumo incidento ataskaitą (2 priedas) ir ją užregistruoja Administracijos dokumentų valdymo sistemoje.

11. Administracijos duomenų apsaugos pareigūnai, atlikę galimai įvykusio asmens duomenų saugumo pažeidimo tyrimą ir nustatę, kad asmens duomenų saugumo pažeidimas yra padarytas, surašo Asmens duomenų saugumo pažeidimo ataskaitą (3 priedas) ir ją užregistruoja Administracijos dokumentų valdymo sistemoje. Užpildyta ir Administracijos dokumentų valdymo sistemoje užregistruota Asmens duomenų saugumo pažeidimo ataskaita prilyginama Asmens duomenų saugumo pažeidimų registravimo žurnalui.

12. Asmens duomenų saugumo incidento ataskaita arba Asmens duomenų saugumo pažeidimo ataskaita pateikiama Administracijos direktoriui ir duomenų tvarkytojo vadovui, jei tai susiję su duomenų tvarkytojo atliekamais asmens duomenų tvarkymo veiksmais.

13. Asmens duomenų saugumo pažeidimo ataskaitoje numatomas būtinų techninių, organizacinių, administracinių ir kitų priemonių poreikis dėl asmens duomenų saugumo pažeidimo pašalinimo bei  nurodomi atsakingi vykdytojai.

14. Jeigu nustatoma, kad asmens duomenų saugumo pažeidimas nesukelia pavojaus duomenų subjektų teisėms ir laisvėms, apie asmens duomenų saugumo pažeidimą Inspekcija ir duomenų subjektas nėra informuojami.

15. Jeigu nustatoma, kad asmens duomenų saugumo pažeidimas kelia pavojų duomenų subjektų teisėms ir laisvėms, kaip nurodyta Aprašo 4.3 papunktyje, Administracijos duomenų apsaugos pareigūnai ne vėliau nei per 72 valandas nuo to laiko, kai buvo sužinota apie asmens duomenų saugumo pažeidimą, pateikia Inspekcijai Pranešimą apie asmens duomenų saugumo pažeidimą, patvirtintą Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“.

16. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, Administracijos duomenų apsaugos pareigūnai nepagrįstai nedelsdami praneša apie asmens duomenų saugumo pažeidimą duomenų subjektams pateikdami Pranešimą duomenų subjektams apie asmens duomenų saugumo pažeidimą (4 priedas).

17. Jeigu Inspekcija, išnagrinėjusi Aprašo 15 punkte nustatyta tvarka pateiktą pranešimą nustato, kad dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, Administracijos duomenų apsaugos pareigūnai nepagrįstai nedelsdami apie asmens duomenų saugumo pažeidimą informuoja duomenų subjektą, pateikdami Aprašo 16 punkte nurodytą Pranešimą duomenų subjektams apie asmens duomenų saugumo pažeidimą, jeigu duomenų subjektas nebuvo informuotas iki tol, ir imasi kitų Inspekcijos nurodytų veiksmų asmens duomenų saugumo pažeidimui pašalinti ar neigiamoms pažeidimo pasekmėms sumažinti.

18. Tuo atveju, kai yra įtariama, kad asmens duomenų saugumo pažeidimas turi nusikalstamos veikos požymių, Administracijos duomenų apsaugos pareigūnai informaciją apie galimą nusikalstamą veiką pateikia atitinkamoms valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą.

19. Kai padarytas asmens duomenų saugumo pažeidimas yra susijęs su kibernetiniu incidentu, informaciją apie kibernetinį incidentą, susijusį su asmens duomenų saugumo pažeidimu, Administracijos duomenų apsaugos pareigūnai pateikia Lietuvos Respublikos kibernetinio saugumo įstatyme nurodytoms valstybės institucijoms šio įstatymo nustatyta tvarka ir atvejais.

20. Siekdama sustiprinti asmens duomenų apsaugą Administracija gali imtis papildomų, šiame Apraše nenumatytų apsaugos priemonių.

21. Šiame Apraše įtvirtintų nuostatų nesilaikymas laikomas tarnybinių (darbo) pareigų vykdymo pažeidimu ir už juos taikoma Lietuvos Respublikos teisės aktuose numatyta atsakomybė.