VALSTYBINĖS DUOMENŲ APSAUGOS INSPEKCIJOS
DIREKTORIUS
ĮSAKYMAS
DĖL INFORMACIJOS APIE KIBERNETINIUS INCIDENTUS, SUSIJUSIUS SU ASMENS DUOMENŲ SAUGUMO PAŽEIDIMAIS, IR TAIKYTAS ŠIŲ INCIDENTŲ VALDYMO PRIEMONES PATEIKIMO VALSTYBINEI DUOMENŲ APSAUGOS INSPEKCIJAI TVARKOS APRAŠO IR REKOMENDUOJAMOS INFORMACIJOS APIE KIBERNETINIUS INCIDENTUS, SUSIJUSIUS SU ASMENS DUOMENŲ SAUGUMO PAŽEIDIMAIS, IR TAIKYTAS ŠIŲ INCIDENTŲ VALDYMO PRIEMONES PATEIKIMO VALSTYBINEI DUOMENŲ APSAUGOS INSPEKCIJAI FORMOS PATVIRTINIMO
2015 m. vasario 25 d. Nr. 1T- 11 (1.12.E)
Vilnius
1. Informacijos apie kibernetinius incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir taikytas šių incidentų valdymo priemones pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašą (pridedama).
2. rekomenduojamą Informacijos apie kibernetinius incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir taikytas šių incidentų valdymo priemones pateikimo Valstybinei duomenų apsaugos inspekcijai formą (pridedama).
PATVIRTINTA
Valstybinės duomenų apsaugos inspekcijos
direktoriaus 2015 m. vasario 25 d.
įsakymu Nr. 1T-11 (1.12.E)
INFORMACIJOS APIE KIBERNETINIUS INCIDENTUS, SUSIJUSIUS SU ASMENS DUOMENŲ SAUGUMO PAŽEIDIMAIS, IR TAIKYTAS ŠIŲ INCIDENTŲ VALDYMO PRIEMONES PATEIKIMO VALSTYBINEI DUOMENŲ APSAUGOS INSPEKCIJAI TVARKOS APRAŠAS
1. Informacijos apie kibernetinius incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir taikytas šių incidentų valdymo priemones pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašas (toliau – Aprašas) nustato viešojo administravimo subjektams, valdantiems valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojams, viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjams, elektroninės informacijos prieglobos paslaugų teikėjams informacijos apie kibernetinius incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir taikytas šių incidentų valdymo priemones pateikimo Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) tvarką ir sąlygas.
2. Pagal Aprašą Inspekcijai teikiami pranešimai apie kibernetinius incidentus, dėl kurių atsitiktinai arba neteisėtai sunaikinami, prarandami, pakeičiami, be asmens sutikimo atskleidžiami asmens duomenys arba sudaroma galimybė naudotis tais duomenimis, kai jie buvo perduodami, saugomi arba kitaip tvarkomi (toliau – pranešimas).
3. Šiame Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Lietuvos Respublikos elektroninių ryšių įstatyme ir Lietuvos Respublikos kibernetinio saugumo įstatyme.
4. Kibernetinio incidento, susijusio su asmens duomenų saugumo pažeidimu, (toliau – kibernetinis incidentas) atveju viešojo administravimo subjektas, valdantis valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojas, elektroninės informacijos prieglobos paslaugų teikėjas privalo nedelsdamas, bet ne vėliau kaip per 3 darbo dienas nuo dienos, kurią nustatė kibernetinį incidentą, pateikti Inspekcijai pranešimą, kuriame turi būti nurodyta:
4.1. viešojo administravimo subjekto, valdančio valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojo, elektroninės informacijos prieglobos paslaugų teikėjo pavadinimas, juridinio asmens kodas ir buveinė, kontaktiniai duomenys: telefono ryšio numeris, elektroninio pašto adresas;
4.2. kontaktinio asmens, iš kurio galima gauti daugiau informacijos apie kibernetinį incidentą, duomenys (vardas, pavardė, telefono ryšio numeris, fakso numeris, elektroninio pašto adresas);
5. Viešojo administravimo subjektai, valdantys valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojai, viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjai, elektroninės informacijos prieglobos paslaugų teikėjai gali pateikti Inspekcijai, jų nuomone, ir kitą reikšmingą informaciją, susijusią su kibernetiniu incidentu.
6. Viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjas privalo pateikti Inspekcijai pranešimą Reglamento (ES) Nr. 611/2013 nustatytais terminais ir tvarka pagal jo 1 priedą nurodydamas, kad teikiamas pranešimas apie kibernetinį incidentą ir papildomai pateikdamas Aprašo 4.2 – 4.3 papunkčiuose nurodytą informaciją.
7. Pranešimas Inspekcijai teikiamas per Inspekcijos interneto svetainę www.ada.lt naudojantis elektronine paslaugų sistema; nesant tokios galimybės, pranešimas teikiamas elektroninio pašto adresu ada@ada.lt; nesant tokių galimybių, Inspekcija informuojama telefono ryšio numeriu (8 5) 271 2804 arba faksu (8 5) 261 9494.
8. Inspekcija, nustačiusi, kad viešojo administravimo subjekto, valdančio valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojo, viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjo, elektroninės informacijos prieglobos paslaugų teikėjo pranešime pateikta ne visa Aprašo 4 punkte nurodyta informacija arba pateikta netiksli ar neišsami informacija, per 2 darbo dienas nuo pranešimo gavimo dienos informuoja apie tai viešojo administravimo subjektą, valdantį valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytoją, viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėją, elektroninės informacijos prieglobos paslaugų teikėją ir paprašo ne vėliau kaip kitą darbo dieną nuo prašymo pateikimo dienos pranešimą papildyti, patikslinti ir (ar) ištaisyti.
9. Inspekcija, įvertinusi gautą informaciją, gali patikrinti asmens duomenų tvarkymo teisėtumą ir priimti sprendimus dėl asmens duomenų tvarkymo pažeidimų kibernetinėje erdvėje bei viešojo administravimo subjektams, valdantiems valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojams, viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjams, elektroninės informacijos prieglobos paslaugų teikėjams teikti rekomendacijas, duoti nurodymus dėl asmens duomenų apsaugos ir asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje, taikyti kitas įstatymuose numatytas poveikio priemones.
10. Viešojo administravimo subjektas, valdantis valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojas, viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjas, elektroninės informacijos prieglobos paslaugų teikėjas per Apraše nurodytus terminus nepateikęs pranešimo atsako įstatymų nustatyta tvarka.