LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRAS
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO 2019 M. KOVO 28 D. ĮSAKYMO NR. V-385 „DĖL ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO TVARKOS APRAŠO PATVIRTINIMO“ PAKEITIMO
2023 m. gruodžio 20 d. Nr. V-1343
Vilnius
P a k e i č i u Lietuvos Respublikos sveikatos apsaugos ministro 2019 m. kovo 28 d. įsakymą Nr. V-385 „Dėl Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašo patvirtinimo“:
1. Pakeičiu 2 punktą ir jį išdėstau taip:
„2. Įgalioju atlikti veiksmus, numatytus šiuo įsakymu patvirtintame Asmens duomenų saugumo pažeidimų valdymo tvarkos apraše:
2.1. Sveikatos sistemos informacinių išteklių vystymo skyriaus vyriausiąjį specialistą Vytautą Gavėnavičių, o jo laikinai nesant – Sveikatos sistemos informacinių išteklių vystymo skyriaus patarėją Simoną Gricienę – dėl asmens duomenų, tvarkomų registruose ir valstybės informacinėse sistemose, kurių duomenų valdytoja yra Lietuvos Respublikos sveikatos apsaugos ministerija (toliau – Ministerija), saugumo pažeidimų;
2.2. Veiklos administravimo skyriaus vyriausiąjį specialistą (IT klausimams) Mantą Matkėną, o jo laikinai nesant – Veiklos administravimo skyriaus vedėją Kamilę Katkutę – dėl asmens duomenų, tvarkomų Ministerijos informacinėje sistemoje ir (ar) apdorojamų kitomis Ministerijos informacinių technologijų priemonėmis, pažeidimų;
2. Pakeičiu nurodytu įsakymu patvirtintą Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašą:
2.1. Pakeičiu 2 punktą ir jį išdėstau taip:
„2. Aprašas taikomas Ministerijai, Ministerijos duomenų apsaugos pareigūnui, registrų bei valstybės informacinių sistemų, kurių duomenų valdytoja yra Ministerija, duomenų tvarkytojams bei juridiniams asmenims, su kuriais sudaryta asmens duomenų tvarkymo sutartis tvarkyti asmens duomenis pagal Ministerijos nurodymus (toliau kartu – duomenų tvarkytojai).“
2.2. Pakeičiu 12 punktą ir jį išdėstau taip:
„12. Ministerijos duomenų apsaugos pareigūnas nedelsdamas, bet ne vėliau kaip per 24 valandas nuo pranešimo gavimo momento, išnagrinėja pranešime nurodytas aplinkybes, įvertina, ar padarytas pažeidimas, jei pažeidimas padarytas, nustato, kokio pobūdžio (tipo) pažeidimas padarytas, asmens duomenų, kurių saugumas pažeistas, kategorijas, įskaitant specialių kategorijų asmens duomenis, pažeidimo priežastis, pažeidimo apimtis (duomenų subjektų kategorijos ir jų skaičius), esamas ir (ar) galimas pasekmes ir žalą, padarytą duomenų subjektui (-ams), įvertina pavojų duomenų subjekto teisėms ir laisvėms (toliau – rizika), kuris gali atsirasti dėl galimo pažeidimo, Aprašo 14 ir 15 punktuose nustatyta tvarka ir per DVS pateikia Ministerijos kancleriui (ar jo įgaliotam asmeniui) išvadą dėl pažeidimo buvimo ir rizikos.“
2.3. Pakeičiu 16 punktą ir jį išdėstau taip:
„16. Jeigu per 24 val. nuo pranešimo gavimo momento dėl objektyvių priežasčių nebuvo nustatytos visos aplinkybės, nurodytos Aprašo 14 punkte, Ministerijos duomenų apsaugos pareigūnas atlieka tolesnį pažeidimo tyrimą. Šiame punkte nurodytas tyrimas turi būti atliktas ir Aprašo 3 priede nustatytos formos Asmens duomenų saugumo pažeidimo ataskaita (toliau – Ataskaita) parengta ir per DVS pateikta Ministerijos kancleriui ir duomenų tvarkytojo vadovui, jei tai susiję su duomenų tvarkytojo atliekamais asmens duomenų tvarkymo veiksmais, ne vėliau kaip per 20 darbo dienų nuo pažeidimo paaiškėjimo dienos.“