„3. Šis Aprašas parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendruoju duomenų apsaugos reglamentu).“

„5.2. užpildo šio Aprašo 1 priede nurodytos formos pranešimą apie asmens duomenų saugumo pažeidimą ir nedelsdamas, bet ne vėliau kaip per 2 darbo valandas nuo pažeidimo paaiškėjimo, ministerijos darbuotojas perduoda jį ministerijos darbuotojui, atsakingam už asmens duomenų apsaugą (toliau – duomenų apsaugos pareigūnas), o duomenų tvarkytojo darbuotojas – duomenų tvarkytojo vadovo paskirtam darbuotojui ir duomenų tvarkytojo duomenų apsaugos pareigūnui;“.

„6. Duomenų apsaugos pareigūnas, gavęs informaciją dėl duomenų tvarkytojo tvarkomų asmens duomenų galimai padarytų saugumo pažeidimų, persiunčia ją ministerijos vardu nagrinėti duomenų tvarkytojui per 1 darbo dieną nuo šios informacijos gavimo dienos.“

„9. Duomenų apsaugos pareigūnas ar duomenų tvarkytojo vadovo paskirtas darbuotojas, gavęs darbuotojo užpildytą pranešimą apie asmens duomenų saugumo pažeidimą, nurodytą Aprašo 5.2 papunktyje, ar duomenų tvarkytojo pranešimą, nurodytą Aprašo 7 ir (ar) 8 punktuose):“.

„9.4. nustato pažeidimo mastą bei galimą poveikį fizinių asmenų teisėms ir laisvėms. Nustatęs pavojų fizinių asmenų teisėms ir laisvėms, duomenų apsaugos pareigūnas per 72 valandas nuo sužinojimo apie asmens duomenų saugumo pažeidimą raštu informuoja Valstybinę duomenų apsaugos inspekciją (toliau – Inspekcija);“.

„11. Duomenų apsaugos pareigūnas ar duomenų tvarkytojo vadovo paskirtas darbuotojas, atlikęs asmens duomenų saugumo pažeidimo tyrimą ir kitus veiksmus, būtinus šio Aprašo 2 priede nurodytos formos asmens duomenų saugumo pažeidimo ataskaitai surašyti, surašo šią ataskaitą ir užregistruoja dokumentų valdymo sistemoje.“

„14. Duomenų apsaugos pareigūnas nedelsdamas, bet ne vėliau nei per 72 valandas, o kai tai susiję su duomenų tvarkytojo veiksmais – ne vėliau kaip per 48 valandas nuo pažeidimo paaiškėjimo, parengia pranešimą apie asmens duomenų saugumo pažeidimą pagal Pranešimo inspekcijai formą ir pagal savo kompetenciją užtikrina šio pranešimo pateikimą Inspekcijai ministerijos vardu.“

„16. Kai apie padarytą asmens duomenų saugumo pažeidimą privaloma informuoti Inspekciją ir per 72 valandas asmens duomenų saugumo pažeidimo, apie kurį gauta informacijos, ištirti nėra įmanoma, pranešime apie asmens duomenų saugumo pažeidimą Inspekcijai yra pateikiama tuo metu prieinama informacija, nurodyta Reglamento (ES) 2016/679 33 straipsnio 3 dalyje, vėlavimo priežastys ir kada bus pateikta kita išsamesnė informacija.“

„17. Tuo atveju, jei po Pranešimo apie asmens duomenų saugumo pažeidimą Inspekcijai pateikimo, atlikus tolesnį tyrimą, yra nustatoma, kad asmens duomenų saugumo incidentas buvo sustabdytas ir faktiškai nebuvo jokio asmens duomenų saugumo pažeidimo, duomenų apsaugos pareigūnas nedelsdamas, bet ne vėliau kaip per 72 valandas, apie tai informuoja Inspekciją ir užtikrina, kad ministerijos vardu būtų pateikta informacija Inspekcijai.“

„18. Duomenų apsaugos pareigūnas, o tuo atveju, kai asmens duomenų saugumo pažeidimas susijęs su duomenų tvarkytojo tvarkomais asmens duomenimis, – duomenų tvarkytojo vadovo paskirtas darbuotojas, nedelsdamas ir, jei įmanoma, nepraėjus 72 valandoms nuo pažeidimo paaiškėjimo, elektroniniu paštu, paštu, SMS žinute ar kitu būdu praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, Reglamento (ES) 2016/679 34 straipsnyje nustatyta tvarka, išskyrus šiame straipsnyje numatytas išimtis.“

„21. Tuo atveju, kai yra įtariama, kad asmens duomenų saugumo pažeidimas turi nusikalstamos veikos požymių, duomenų apsaugos pareigūnas ar duomenų tvarkytojo vadovo paskirtas darbuotojas inicijuoja informacijos apie galimai padarytą nusikalstamą veiką teikimą atitinkamoms valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą.“

„22. Kai padarytas asmens duomenų saugumo pažeidimas yra susijęs su kibernetiniu incidentu, duomenų apsaugos pareigūnas ar duomenų tvarkytojo vadovo paskirtas darbuotojas informuoja už kibernetinę saugą ministerijoje atsakingą asmenį, kuris inicijuoja informacijos apie kibernetinį incidentą, susijusį su asmens duomenų saugumo pažeidimu, teikimą Lietuvos Respublikos kibernetinio saugumo įstatyme nurodytoms valstybės institucijoms šio įstatymo nustatyta tvarka ir atvejais.“

„23. Duomenų apsaugos pareigūnas ar duomenų tvarkytojo vadovo paskirtas darbuotojas, nedelsdamas įrašo informaciją apie asmens duomenų saugumo pažeidimą į šio Aprašo 3 priede nurodytos formos Asmens duomenų saugumo pažeidimų registravimo žurnalą, kai tik nustatomas asmens duomenų saugumo pažeidimo padarymo faktas ir įvertinama asmens duomenų saugumo pažeidimo rizika. Nustačius, kad padarytas asmens duomenų saugumo pažeidimas kelia pavojų fizinių asmenų teisėms ir laisvėms, duomenų apsaugos pareigūnas apie tokį pažeidimą per 14 punkte nustatytą terminą informuoja Inspekciją ir nedelsdamas, bet ne vėliau nei per 24 valandas, įrašo informaciją apie tokį pažeidimą į šio Aprašo 4 priede nurodytos formos Asmens duomenų saugumo pažeidimų pranešimo Valstybinei duomenų apsaugos inspekcijai žurnalą.“

„24. Asmens duomenų saugumo pažeidimų registravimo žurnalai saugomi pas duomenų apsaugos pareigūną. Užpildytas Asmens duomenų saugumo pažeidimų registravimo žurnalas saugomas 3 metus nuo paskutinio įrašo žurnale padarymo.“