VALSTYBINĖS ATOMINĖS ENERGETIKOS SAUGOS

INSPEKCIJOS VIRŠININKAS

 

ĮSAKYMAS

DĖL VALSTYBINĖS ATOMINĖS ENERGETIKOS SAUGOS INSPEKCIJOS VIRŠININKO 2019 M. VASARIO 27 D. ĮSAKYMO „DĖL ASMENS DUOMENŲ SAUGUMO PAŽEIDIMų VALDYMO VALSTYBINĖJE ATOMINĖS ENERGETIKOS SAUGOS INSPEKCIJOJE TAIsYKLIŲ PATVIRTINIMO“ PAKEITIMO

 

2024 m. sausio 23 d. Nr. 22.3-18

Vilnius

 

 

Siekdamas įgyvendinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento) 33 ir 34 straipsnio reikalavimus:

1.  P a k e i č i u Asmens duomenų saugumo pažeidimų valdymo Valstybinėje atominės energetikos saugos inspekcijoje taisykles, patvirtintas Valstybinės atominės energetikos saugos inspekcijos viršininko 2019 m. vasario 27 d. įsakymu Nr. 22.3-43 „Dėl Asmens duomenų saugumo pažeidimų valdymo Valstybinėje atominės energetikos saugos inspekcijoje taisyklių patvirtinimo“ ir išdėstau jas nauja redakcija (pridedama).

2.  S k i r i u Administravimo departamento Teisės ir personalo skyriaus vyriausiąją specialistę Dovilę Momkienę, jai nesant – Administravimo departamento direktorę Laurą Razgutę-Povilavičienę, atsakinga už asmens duomenų saugumo pažeidimų valdymą.

3.  P a v e d u Administravimo departamento Informacinių technologijų skyriaus vyriausiajai specialistei Sigitai Vinskienei su šiuo įsakymu pasirašytinai supažindinti visus Valstybinės atominės energetikos saugos inspekcijos valstybės pareigūnus, valstybės tarnautojus ir darbuotojus, dirbančius pagal darbo sutartį.

 

 

 

Viršininkas                                                                                                               Michail Demčenko

 

 

PATVIRTINTA

Valstybinės atominės energetikos

saugos inspekcijos viršininko

2019 m. vasario 27 d. įsakymu

Nr. 22.3-43

(2024 m. sausio 23 d. Įsakymo

Nr. 22.3-18 redakcija)

 

 

 

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO VALSTYBINĖJE ATOMINĖS ENERGETIKOS SAUGOS INSPEKCIJOJE TAISYKLĖS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.       Asmens duomenų saugumo pažeidimų valdymo Valstybinėje atominės energetikos saugos inspekcijoje taisyklės (toliau – Taisyklės) reglamentuoja asmens duomenų saugumo pažeidimų (toliau – Pažeidimas) valdymą Valstybinėje atominės energetikos saugos inspekcijoje (toliau – VATESI), nustato Pažeidimų aptikimo, sustabdymo (pašalinimo), asmens duomenų saugumo pažeidimų pranešimo formavimo ir teikimo Valstybinei duomenų apsaugos inspekcijai (toliau – VDAI) bei duomenų subjektui tvarką.

2.       Taisyklės taikomos VATESI tvarkant duomenų subjektų asmens duomenis ir asmenims, veikiantiems kaip VATESI valdomų informacinių sistemų duomenų tvarkytojai, bei asmenims, su kuriais sudaryta asmens duomenų tvarkymo sutartis tvarkyti asmens duomenis pagal VATESI nurodymus.

3.       Pranešimai apie asmens duomenų saugumo pažeidimus teikiami Valstybinei duomenų apsaugos inspekcijai (toliau – VDAI) ir duomenų subjektams, vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) 33 ir 34 straipsniais.

4.       Taisyklėse vartojamos sąvokos:

4.1.    darbuotojas – VATESI valstybės pareigūnas, valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį;

4.2.    Atsakingas asmuo – VATESI viršininko paskirtas darbuotojas arba darbuotojų grupė, atsakinga už Pažeidimų valdymą (Pažeidimo tyrimą, pranešimą apie Pažeidimą VDAI ir asmens duomenų subjektams, prevencinių priemonių įdiegimo kontrolę).

5.       Kitos Taisyklėse vartojamos sąvokos atitinka Reglamente (ES) 2016/679 ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme vartojamas sąvokas.

 

 

II SKYRIUS

PAŽEIDIMŲ IR JŲ PRIEŽASČIŲ KLASIFIKAVIMAS

 

6.       Pažeidimai pagal pobūdį (tipą) yra:

6.1.    konfidencialumo pažeidimas – netyčinis arba neteisėtas asmens duomenų laikinas ar nuolatinis atskleidimas ar prieigos prie asmens duomenų suteikimas asmenims, kurie neturi teisės susipažinti su asmens duomenimis;

6.2.    prieinamumo pažeidimas – netyčinis arba neteisėtas, laikinas ar nuolatinis prieigos prie asmens duomenų praradimas arba asmens duomenų sunaikinimas;

6.3.    vientisumo pažeidimas – netyčinis arba neteisėtas asmens duomenų laikinas ar nuolatinis pakeitimas;

6.4.    mišraus pobūdžio (tipo) pažeidimas – asmens duomenų konfidencialumo, prieinamumo ir vientisumo pažeidimas ar bet kurių Taisyklių 6.1–6.3 papunkčiuose nurodytų pažeidimų derinys.

7.       Pažeidimai gali būti nulemti šių priežasčių:

7.1.    netyčiniai veiksmai, kai asmens duomenų saugumas pažeidžiamas neturint tikslo tai padaryti (dėl žmogiškosios klaidos, dėl duomenų tvarkymo klaidos, informacijos laikmenų, duomenų įrašų ištrynimo, sunaikinimo ar sistemų sutrikimų dėl elektros tiekimo nutrūkimo, įvykusio dėl asmens veiklos, kompiuterinio viruso, paskleisto dėl asmens veiklos, vidaus taisyklių pažeidimo, sistemos priežiūros trūkumo, programinės įrangos testų atlikimo, netinkamos duomenų laikmenų priežiūros, netinkamo ryšio linijų pajėgumo ir apsaugos nustatymo, kompiuterių integravimo į tinklą, netinkamos kompiuterinių programų apsaugos parinkimo ir kt.);

7.2.    tyčiniai veiksmai, kai asmens duomenų saugumas pažeidžiamas sąmoningai turint tikslą tai padaryti (neteisėtas įsibrovimas į asmens duomenų tvarkytojo patalpas, asmens duomenų laikmenų saugyklas, informacines sistemas, kompiuterių tinklą, tyčinis nustatytų taisyklių tvarkant asmens duomenis pažeidimas, sąmoningas kompiuterinio viruso platinimas, asmens duomenų vagystė, neteisėtas naudojimasis kito VATESI darbuotojo teisėmis ir kt.);

7.3.    force majeure ir kiti netikėti įvykiai, kurių negalima kontroliuoti, numatyti ir užkirsti kelio jų atsiradimui (žaibas, gaisras, potvynis, užliejimas, audros, elektros instaliacijos degimas, temperatūros ir (ar) drėgmės pakitimų poveikis, purvo, dulkių ir magnetinių laukų įtaka, techninės avarijos, išskyrus nurodytas Aprašo 7.1 papunktyje, ir kt.).

8.       Pavojų duomenų subjektų teisėms ir laisvėms keliančiu laikytinas toks Pažeidimas, dėl kurio duomenų subjektas galėtų patirti kūno sužalojimą, materialinę ar nematerialinę žalą, teisių ir laisvių apribojimą, diskriminaciją, galėtų būti pavogta ar suklastota asmens tapatybė, neleistinai panaikinti pseudonimai, pakenkta jo reputacijai, prarastas asmens duomenų, sudarančių profesinę paslaptį, konfidencialumas arba padaryta kita ekonominė ar socialinė žala.

 

III SKYRIUS

PRANEŠIMO APIE GALIMĄ ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ PATEIKIMAS VATESI

 

9.       VATESI darbuotojas, nustatęs ar sužinojęs apie galimą Pažeidimą, arba kai informacija apie galimą Pažeidimą gavo iš duomenų tvarkytojo, žiniasklaidos ar kito šaltinio, privalo,:

9.1.    nepagrįstai nedelsdamas, bet ne vėliau nei per 2 darbo valandas, visomis įmanomomis komunikavimo priemonėmis (asmeniškai, telefonu, elektroniniu paštu, ir (ar) kitomis komunikacijos priemonėmis) informuoti apie galimą Pažeidimą savo tiesioginį vadovą, Atsakingą asmenį ir duomenų apsaugos pareigūną.

 

9.2.    parengti Pranešimą apie asmens duomenų saugumo pažeidimą (toliau – Pranešimas apie pažeidimą)  (Taisyklių 1 priedas) pats arba jo tiesioginis vadovas, arba, nesant tokiai galimybei – duomenų apsaugas pareigūnas. Pranešimą apie Pažeidimą Atsakingas asmuo registruoja Dokumentų valdymo bendrojoje informacinėje sistemoje (toliau – DBSIS) ir ne vėliau kaip per 4 darbo valandas nuo Pažeidimo paaiškėjimo momento Pranešimą apie pažeidimą perduoda VATESI viršininkui ir  duomenų apsaugos pareigūnui susipažinti.

9.3.    jei įmanoma, imtis priemonių pašalinti Pažeidimą ir priemonių galimoms neigiamoms pasekmėms sumažinti.

 

10.     Duomenų apsaugos pareigūnas, sužinojęs apie galimą asmens duomenų saugumo pažeidimą, taip pat turi teisę užpildyti Pranešimą apie pažeidimą, kurį per DBSIS pateikia Atsakingam asmeniui 9.2 p. nurodytiems veiksmams atlikti, o VATESI struktūrinio padalinio vadovą, su kuriuo susijęs galimas Pažeidimas, susipažinti. VATESI struktūrinis padalinys gavęs duomenų apsaugos pareigūno pranešimą privalo (jeigu įmanoma) imtis priemonių pašalinti galimą asmens duomenų saugumo pažeidimą ir imtis priemonių galimoms neigiamoms jo pasekmėms sumažinti.

 

11.     Duomenų tvarkytojai, sužinoję apie galimą Pažeidimą, nedelsdami, bet ne vėliau kaip per 24 valandas, VATESI pateikia pranešimą, kurio turinys numatytas Reglamento (ES) 2016/679  33 straipsnio 3 dalyje, ir pateikia tiek informacijos, kiek jos įmanoma pateikti tuo metu. Gautas pranešimas užregistruojamas DBSIS ir perduodamas VATESI viršininkui paskirti atsakingu vykdytoju Atsakingą asmenį, o duomenų apsaugos pareigūnui pateikiamas susipažinti. Tuo atveju, jei terminas nuo momento, kai duomenų tvarkytojui tapo žinoma apie galimą asmens duomenų saugumo pažeidimą, iki pranešimo VATESI yra ilgesnis nei 24 valandos, duomenų tvarkytojas kartu su pranešimu pateikia VATESI paaiškinimą dėl uždelsto informacijos pateikimo. Duomenų tvarkytojai suteikia VATESI pagalbą, kurios reikia, kad būtų tinkamai pranešta apie Pažeidimą duomenų subjektui ir VDAI.

 

IV SKYRIUS

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO TYRIMAS

 

12.     Gavęs informaciją apie Pažeidimą, Atsakingas asmuo kaip įmanoma greičiau (taip, kad tyrimas būtų baigtas ir būtų galima pranešti VDAI apie Pažeidimą per Taisyklių 25 punkte nurodytą terminą) pradeda Pažeidimo tyrimą.

13.     Atsakingas asmuo, atlikdamas Pažeidimo tyrimą:

13.1.  nagrinėja Pranešime nurodytas aplinkybes ir įvertina, ar padarytas Pažeidimas. Kiek įmanoma tiksliau surenka duomenis ir įrodymus apie įvykusį asmens duomenų saugumo pažeidimą (pvz., kas, kada ir iš kokio įrenginio jungėsi prie duomenų bazės ar informacinės sistemos, kam per klaidą išsiųsti asmens duomenys, kokiomis aplinkybėmis buvo prarastas įrenginys su asmens duomenimis ir kt.);

13.2.  Jei Pažeidimas padarytas:

13.2.1. nustato Pažeidimo pobūdį (tipą), duomenų subjektų kategorijas ir jų kiekį, asmens duomenų kategorijas, jų pobūdį ir kiekį;

13.2.2. atlieka Pažeidimo rizikos įvertinimą. Pažeidimo rizika vertinama atsižvelgiant į šiuos kriterijus:

13.2.2.1.   Pažeidimo pobūdis (tipas) – nustatomas Pažeidimo pobūdis: nuo padaryto Pažeidimo pobūdžio gali priklausyti pavojaus duomenų subjektams dydis;

13.2.2.2.   asmens duomenų pobūdis, jautrumas ir kiekis – nustatomas asmens duomenų, kurių saugumas buvo pažeistas, pobūdis, jautrumas ir jų kiekis: kuo jautresni asmens duomenys ir kuo didesnis jų kiekis, tuo didesnis žalos pavojus;

13.2.2.3.   galimybė identifikuoti fizinį asmenį – įvertinama, ar neįgaliotiems asmenims, kuriems tapo prieinami asmens duomenys, bus lengva nustatyti konkrečių asmenų tapatybę arba susieti tuos duomenis su kita informacija (pvz., tinkamai užšifruoti asmens duomenys nebus suprantami neįgaliotiems asmenims, todėl pažeidimas padarys mažesnį poveikį duomenų subjektams);

13.2.2.4.   fizinio asmens specifiniai ypatumai – nustatomi fizinių asmenų, kurių asmens duomenims kilo pavojus, specifiniai ypatumai: kuo asmenys yra labiau pažeidžiami (pvz., vaikai, negalią turintys asmenys), tuo didesnį poveikį pažeidimas gali jiems padaryti;

13.2.2.5.   nukentėjusių duomenų subjektų skaičius – nustatomas nukentėjusių asmenų skaičius: kuo daugiau yra asmenų, kuriems Pažeidimas turi poveikio, tuo didesnis žalos pavojus;

13.2.2.6.   pasekmės, sukeltos fiziniams asmenims – įvertinamos visos galimos Pažeidimo pasekmės bei jų rimtumas; taip pat atsižvelgiama į pasekmių ilgalaikiškumą: jei pažeidimo pasekmės yra ilgalaikės, tai poveikis fiziniams asmens bus didesnis.

13.2.3. pasitelkia kitus VATESI darbuotojus pagal jų kompetencija ir (ar) duomenų tvarkytojų informacinių technologijų specialistus, kai pagal turimus duomenis matyti, kad asmens duomenų saugumo pažeidimas yra susijęs su kibernetiniu incidentu, ir (ar) konsultuojasi su šiais darbuotojais ar specialistais;

13.2.4. jei Pažeidimas yra susijęs su elektroninės informacijos saugos incidentu, pasitelkia VATESI ar duomenų tvarkytojo informacinių technologijų specialistus, informacinių sistemų saugos įgaliotinį;

13.2.5. nustato, kokių priemonių būtina imtis, kad būtų pašalintas Pažeidimas (pavyzdžiui, naudoti atsargines kopijas, siekiant atkurti prarastus ar sugadintus duomenis),

13.2.6. informuoja struktūrinius padalinius, su kurių veikla susijęs Pažeidimas, kokių taisomųjų veiksmų turi būti nedelsiant imamasi, kad būtų užkirstas kelias pakartotiniam Pažeidimui,

13.2.7. sprendžia, ar būtina apie Pažeidimą pranešti VDAI ar VDAI ir duomenų subjektui.

13.2.8. konsultuojasi su duomenų apsaugos pareigūnu.

14.     Duomenų tvarkytojai ir struktūriniai padaliniai, su kurių veikla susijęs Pažeidimas, turi Atsakingam asmeniui pateikti visą prašomą informaciją ir dokumentus, susijusius su Pažeidimu ir jo tyrimu, per Atsakingo asmens nurodytą terminą.

15.     Atliekant Pažeidimo tyrimą ir siekiant nustatyti, ar Pažeidimas iš tikrųjų įvyko, esamos situacijos įrodymai privalo būti fiksuojami dokumentuose ir užtikrinamas jų atsekamumas.

16.     Atsakingas asmuo, atlikęs Pažeidimo tyrimą ir nustatęs, kad:

16.1.  Pažeidimas nebuvo padarytas, užpildo Asmens duomenų saugumo pažeidimo tyrimo, kai asmens duomenų saugumo pažeidimas nenustatytas, ataskaitą (Taisyklių 2 priedas);

16.2.  Pažeidimas buvo padarytas, užpildo Asmens duomenų saugumo pažeidimo tyrimo ataskaitą (Taisyklių 3 priedas).

17.     Parengus Asmens duomenų saugumo pažeidimo tyrimo ataskaitą, jos pabaigoje parašoma išvada dėl Pažeidimo buvimo ir įvertinama fizinių asmenų teisėms ir laisvėms rizikos tikimybė:

17.1.  žema rizikos tikimybė – nėra pavojaus fizinių asmenų teisėms ir laisvėms;

17.2.  vidutinė rizikos tikimybė – yra ar gali kilti pavojus fizinių asmenų teisėms ir laisvėms;

17.3.  didelė rizikos tikimybė – yra ar gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms.

18.     Asmens duomenų saugumo pažeidimo tyrimo ataskaitą ir Asmens duomenų saugumo pažeidimo tyrimo, kai asmens duomenų saugumo pažeidimas nenustatytas, ataskaitą (toliau – kartu Ataskaita) derina jos rengime dalyvavę asmenys, pasirašo Atsakingas asmuo, su Ataskaita supažindinamas duomenų apsaugos pareigūnas.

19.     Ataskaitą registruoja Atsakingas asmuo DBSIS. Ataskaita pateikiama VATESI viršininkui ir duomenų tvarkytojui, jei tai susiję su duomenų tvarkytojo atliekamais asmens duomenų tvarkymo veiksmais.

20.     VATESI viršininkas, atsižvelgdamas į Ataskaitą, jei reikia, tvirtina priemonių planą (toliau – Planas) (Taisyklių 4 priedas), kuriame numatomas būtinų techninių, organizacinių, administracinių ir kitų priemonių poreikis dėl Pažeidimo, paskiria atsakingus vykdytojus ir nustato priemonių įgyvendinimo terminus. Planą pasirašo Atsakingas asmuo, tvirtina VATESI viršininkas. Patvirtintas Planas teikiamas susipažinti duomenų apsaugos pareigūnui (Taisyklių 4 priedas).

21.     Planas netvirtinamas, jeigu Ataskaitoje nurodyta, kad iki Pažeidimo tyrimo pradžios ar atliekant tyrimą buvo imtasi tinkamų taisomųjų veiksmų asmens duomenų saugumo pažeidimui pašalinti ir papildomų priemonių nesiūloma.

22.     Sprendžiant Pažeidimo pašalinimo klausimą bei tvirtinant Planą, pirmiausia būtina atlikti veiksmus, siekiant apriboti ar sustabdyti Pažeidimą. Priklausomai nuo konkrečių Pažeidimo aplinkybių, turėtų būti atlikti tokie veiksmai, kaip: ištrinti asmens duomenis nuotoliniu būdu iš pamesto ar pavogto nešiojamo / mobilaus įrenginio (telefono, nešiojamo kompiuterio ir kt.), jei yra techninės galimybės; jei asmens duomenys per klaidą išsiunčiami ne tam adresatui, kuriam jie buvo skirti, kuo skubiau kreiptis į jį su prašymu ištrinti atsiųstus asmens duomenis be galimybės juos atkurti ir patvirtinti ištrynimo faktą; pakeisti prisijungimo prie duomenų bazės ar informacinės sistemos vardus ir slaptažodžius; naudoti atsargines kopijas, siekiant atkurti prarastus, sugadintus ar pakeistus duomenis ir kt.).

23.     Jei Ataskaitoje nurodoma, kad dėl įvykusio Pažeidimo duomenų tvarkytojas turi taikyti papildomas priemones ar užtikrinti esamų asmens duomenų saugumo priemonių taikymą, VATESI viršininkas duoda privalomus nurodymus duomenų tvarkytojui, jei Pažeidimas susijęs su duomenų tvarkytojo tvarkomais valstybės registrais ar informacinėmis sistemomis. Dokumentus dėl privalomų nurodymų duomenų tvarkytojui rengia asmenys, atsakingi už sutarties vykdymą.

24.     Veiksmai, skirti atitaisyti žalą, sukeltą Pažeidimo, turėtų būti nukreipti ne vien į esamo Pažeidimo priežasties pašalinimą, bet ir skirti neleisti Pažeidimui pasikartoti. Būtina atsižvelgti į trūkumus ir asmens duomenų tvarkymo silpnąsias vietas, išaiškėjusias Pažeidimo metu, bei imtis priemonių tuos trūkumus pašalinti.

 

V SKYRIUS

PRANEŠIMAS PRIEŽIŪROS INSTITUCIJAI

 

25.     Pažeidimo tyrimo metu nustačius, kad Pažeidimas buvo ir, kad yra vidutinė arba didelė rizikos fizinių asmenų teisėms ir laisvėms tikimybė, Atsakingas asmuo nedelsdamas, ne vėliau kaip per 72 valandas nuo Pažeidimo nustatymo momento, praneša apie Pažeidimą VDAI.

26.     Jeigu, įvertinus riziką, nustatoma, kad rizikos fizinių asmenų teisėms ir laisvėms tikimybė yra žema ir abejojama, ar reikia pranešti apie Pažeidimą VDAI, galutinį sprendimą priima VATESI viršininkas.

27.     Jeigu, priklausomai nuo Pažeidimo pobūdžio, VATESI yra būtina atlikti išsamesnį tyrimą ir nustatyti visus svarbius faktus, susijusius su Pažeidimu (pavyzdžiui, dar nėra išsiaiškinta Pažeidimo apimtis), ir per 72 valandas nuo sužinojimo apie Pažeidimą dėl objektyvių aplinkybių to padaryti neįmanoma, pranešimui reikalinga informacija gali būti teikiama etapais. Apie informacijos teikimą etapais VDAI turėtų būti informuota teikiant pirminį pranešimą.

28.     Pranešimas apie Pažeidimą teikiamas VDAI Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo, patvirtinto VDAI direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T-72(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“ (su visais aktualiais pakeitimais), nustatyta tvarka ir sąlygomis, užpildant Pranešimo apie asmens duomenų saugumo pažeidimą formą, patvirtintą VDAI direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“ (toliau – Pranešimas VDAI) (Taisyklių 5 priedas).

29.     Pranešimas VDAI derinamas su duomenų apsaugos pareigūnu, Pranešimą VDAI pasirašo Atsakingas asmuo, raštą, kuriuo siunčiamas dokumentas, pasirašo VATESI viršininkas.

 

30.     Pranešimas VDAI užregistruojamas DBSIS ir pateikiamas VDAI vienu iš būdų:

 

30.1per VDAI interneto svetainę vdai.lrv.lt naudojantis elektronine paslaugų sistema;

30.2.  naudojantis el. siuntų sistema E. pristatymas,

30.3.  siunčiant dokumentus el. paštu ada@ada.lt;

30.4 įteikiant asmeniškai VDAI patalpose, tais atvejais, kai nėra galimybės pasinaudoti 30.1-30.3 punktuose nurodytais būdais.

31.     Jeigu po Pranešimo VDAI pateikimo, atlikus tolesnį tyrimą, yra nustatoma, kad saugumo incidentas buvo sustabdytas ir faktiškai nebuvo jokio Pažeidimo, apie tai nedelsiant, bet ne vėliau nei per 1 darbo dieną nuo tokio fakto sužinojimo, turėtų būti informuojama VDAI.

32.     Tuo atveju, kai yra įtariama, kad Pažeidimas turi nusikalstamos veikos požymių, informacija apie galimą nusikalstamą veiką pateikiama atitinkamoms valstybinėms institucijoms, įgaliotoms atlikti ikiteisminį tyrimą teisės aktų, reglamentuojančių tokios informacijos teikimą, nustatyta tvarka.

33.     Jeigu Pažeidimas paveikia fizinių asmenų duomenis daugiau negu vienoje Europos Sąjungos valstybėje narėje ir yra reikalinga pranešti šioms valstybių narių priežiūros institucijoms, VATESI turėtų pranešti vadovaujančiai priežiūros institucijai. Kilus abejonių, kuri priežiūros institucija yra vadovaujanti ir nustačius, kad Pažeidimas įvyko Lietuvos Respublikoje, VATESI apie Pažeidimą turėtų pranešti VDAI. Šiuo atveju teikiant Pranešimą VDAI, nurodoma, ar toks Pažeidimas apima ir kitose Europos Sąjungos valstybėse narėse esančias duomenų valdytojo buveines, ir kuriose Europos Sąjungos valstybėse narėse esančius duomenų subjektus Pažeidimas galėjo paveikti.

 

 

 

VI SKYRIUS

PRANEŠIMAS DUOMENŲ SUBJEKTUI

 

34.     Nustačius, kad Pažeidimas buvo ir, kad yra didelė rizikos fizinių asmenų teisėms ir laisvėms tikimybė, Atsakingas asmuo nedelsdamas, ne vėliau kaip per 72 valandas nuo Pažeidimo nustatymo momento, praneša apie Pažeidimą duomenų subjektui, kurio teisėms ir laisvėms dėl šio Pažeidimo gali kilti didelis pavojus.

 

35.     Pranešime duomenų subjektui aiškia ir paprasta kalba pateikiama ši informacija:

 

35.1.  Pažeidimo pobūdžio aprašymas;

 

35.2.  duomenų apsaugos pareigūno arba kito kontaktinio asmens vardas, pavardė ir kontaktiniai duomenys;

 

35.3.  tikėtinų Pažeidimo pasekmių aprašymas;

 

35.4.  priemonių, kurių ėmėsi arba pasiūlė imtis VATESI, kad būtų pašalintas Pažeidimas, įskaitant (kai tinkama) priemonių galimoms neigiamoms jo pasekmėms sumažinti, aprašymas (pavyzdžiui, kad apie Pažeidimą yra informuota VDAI ir, kad yra gautas patarimas dėl Pažeidimo tvarkymo ir jo poveikio sumažinimo; siūlymas duomenų subjektui pasikeisti slaptažodžius);

 

35.5.  kita reikšminga informacija, susijusi su Pažeidimu, kuri, VATESI manymu, turėtų būti pateikta duomenų subjektui.

 

36.     Duomenų subjektai apie Pažeidimą informuojami tiesiogiai siunčiant jiems pranešimą el. paštu, paštu ir (ar) kitais būdais.

 

37.     Jei tiesioginio pranešimo duomenų subjektui pateikimas pareikalautų neproporcingai daug pastangų, apie įvykusį Pažeidimą informuojama VATESI interneto svetainėje ir (arba) kitos žinomos interneto svetainės antraštėje ar pranešimuose, kitose medijose.

 

38.     Esant Pažeidimui, pranešimo duomenų subjektui teikti nereikia, jeigu:

 

38.1.  VATESI įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos priemonės taikytos asmens duomenims, kuriems Pažeidimas turėjo poveikio;

 

38.2.  iš karto po Pažeidimo VATESI ėmėsi priemonių, kuriomis užtikrinama, kad nebegalėtų kilti didelis pavojus asmenų teisėms ir laisvėms;

 

38.3.  tai pareikalautų neproporcingai daug pastangų susisiekti su asmenimis (pavyzdžiui, kai jų kontaktiniai duomenys buvo prarasti dėl Pažeidimo arba nežinomi). Tokiu atveju apie Pažeidimą paskelbiama viešai arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.

VII SKYRIUS

PRANEŠIMAS DUOMENŲ VALDYTOJUI NUO DUOMENŲ TVARKYTOJO

 

 

39.     Jeigu VATESI duomenis tvarko kaip duomenų tvarkytoja, o ne duomenų valdytoja, tuomet VATESI, jeigu sutartyje su duomenų valdytoju nenumatyta kitaip, informuoja duomenų valdytoją apie galimai įvykusį Pažeidimą ne vėliau kaip per 24 valandas nuo sužinojimo apie galimą Pažeidimą momento.

 

40.     Informuojant duomenų valdytoją apie galimai įvykusį Pažeidimą pateikiama visa Reglamento (ES) 2016/679 33 straipsnyje nurodyta informacija. Duomenų valdytojui reikalaujant gali būti teikiama ir kita su Pažeidimo tyrimu susijusi informacija, galinti padėti duomenų valdytojui įgyvendinti pareigą pranešti VDAI ir (ar) duomenų subjektams.

 

41.     Duomenų valdytojo prašymu VATESI darbuotojai privalo bendradarbiauti, teikti visą reikiamą informaciją ir vykdyti visus duomenų valdytojo teikiamus nurodymus duomenų tvarkymo sutartyje nustatyta tvarka.

 

 

VIII SKYRIUS

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ DOKUMENTAVIMAS

 

42.     Visi Pažeidimai, nepriklausomai nuo to, ar buvo pranešta VDAI, yra registruojami VATESI Asmens duomenų saugumo pažeidimų žurnale (toliau – Žurnalas).

 

43.     Informacija apie Pažeidimą į Žurnalą turėtų būti įvedama nedelsiant, kai tik nustatomas Pažeidimo faktas ir įvertinama rizika, bet ne ilgiau kaip per 5 darbo dienas nuo sužinojimo apie galimą Pažeidimą momento.

 

44.     Žurnale turi būti nurodoma:

 

44.1.  visi su Pažeidimu susiję faktai – Pažeidimo priežastis, kas įvyko ir kokie asmens duomenys pažeisti;

 

44.2.  Pažeidimo poveikis ir pasekmės;

 

44.3.  taisomieji veiksmai (techninės priemonės), kurių buvo imtasi;

 

44.4.  priežastys dėl su Pažeidimu susijusių sprendimų priėmimo (pavyzdžiui, kodėl duomenų valdytojas nusprendė nepranešti apie Pažeidimą VDAI ir (ar) duomenų subjektui, t. y. kodėl nusprendė, kad tikėtina, jog Pažeidimas negali sukelti pavojaus fizinių asmenų teisėms ir laisvėms, arba kokią sąlygą įvykdė, kuomet pranešti apie Pažeidimą duomenų subjektui nereikia);

 

44.5.  Pranešimo VDAI pateikimo vėlavimo priežastys (jeigu Pranešimą vėluojama pateikti ar Pranešimas teikiamas etapais);

 

44.6.  informacija, susijusi su pranešimu duomenų subjektui (pavyzdžiui, ar buvo pranešta, kodėl nepranešta);

 

44.7.  kita reikšminga informacija, susijusi su Pažeidimu (pavyzdžiui, kad tyrimo metu nustatyta, jog faktiškai Pažeidimo nebuvo, o buvo tik informacinio saugumo incidentas).

 

45.     Žurnalas gali būti popierinės arba elektroninės formos. Užpildytas Žurnalas saugomas  3 metus nuo paskutinio įrašo Žurnale datos.

 

46.     Kai pasikeičia Žurnale nurodyta informacija arba paaiškėja nauja informacija, Žurnale esanti informacija turi būti papildoma ir (ar) koreguojama.

 

47.     Už Žurnalo pildymą, tvarkymą ir saugojimą atsako duomenų apsaugos pareigūnas.

 

48.     Vadovaudamasi Žurnale pateikta informacija, VDAI turi galėti patikrinti, kaip įgyvendinama duomenų valdytojo prievolė pranešti apie Pažeidimus.

 

49.     Žurnale esančius įrašus esant reikalui, bet ne rečiau kaip kartą per metus, peržiūri Atsakingas asmuo ir, pasitelkęs kompetentingus darbuotojus, teikia VATESI viršininkui pasiūlymus, kokios prevencijos priemonės turėtų būti įgyvendintos bei, kaip bus kontroliuojamas šių prevencijos priemonių įdiegimas, kad ateityje analogiški Pažeidimai nesikartotų.

 

 

IX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

50.     VATESI darbuotojai supažindinami su Taisyklėmis ir jų pakeitimais DBSIS priemonėmis. Susipažindami su Taisyklių nuostatomis darbuotojai įsipareigoja laikytis šiose Taisyklėse nustatytų reikalavimų.

51.     Taisyklės peržiūrimos ir, esant poreikiui, atnaujinamos pasikeitus asmens duomenų apsaugą reglamentuojantiems teisės aktams ar jų įgyvendinimo praktikai, taip pat pasikeitus VATESI atliekamam asmens duomenų tvarkymui, bet ne rečiau kaip kartą per dvejus metus. Kaip laikomasi šių Taisyklių nuostatų, stebi, jas peržiūri ir, esant poreikiui, jas atnaujina duomenų apsaugos pareigūnas.

52.     Visi asmenys, turintys prieigą prie VATESI tvarkomų asmens duomenų privalo žinoti ir vadovautis šiomis Taisyklėmis Pažeidimo atveju.

 

_______________________

 

 

Asmens duomenų saugumo pažeidimų

valdymo Valstybinėje atominės energetikos

saugos inspekcijoje taisyklių

1 priedas 

 

 

(Pranešimo apie asmens duomenų saugumo pažeidimą forma)

 

 

 

VALSTYBINĖ ATOMINĖS ENERGETIKOS SAUGOS INSPEKCIJA

 

________________________________________________

(pareigų pavadinimas)

 

________________________________________________

(vardas, pavardė)

 

 

 

PRANEŠIMAS

 

APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ

 

 

 

_____________ Nr. _________

 

Vilnius

 

 

 

Informuoju apie asmens duomenų saugumo pažeidimą, pateikdamas man turimą informaciją apie jį:

 

 

 

1. Asmens duomenų saugumo pažeidimo nustatymo data, valanda (minučių tikslumu) ir vieta:

 

.

 

2. Asmens duomenų saugumo pažeidimo padarymo data, laikas ir vieta:

 

.

 

3. Asmens duomenų saugumo pažeidimo pobūdis, esmė ir aplinkybės:

 

.

 

4. Duomenų subjektų kategorijos (pavyzdžiui, darbuotojai, asmenys, pateikę prašymus, skundus) ir jų skaičius (jei žinoma):

 

.

 

5. Asmens duomenų kategorijos, susijusios su asmens duomenų saugumo pažeidimu:

 

5.1. asmens duomenys (išvardijami pažeisti asmens duomenys: vardas, pavardė, asmens kodas, adresas, telefono numeris, elektroninio pašto adresas ar kiti duomenys):

 

.

 

 

5.2. specialių kategorijų asmens duomenys (pažymimi pažeisti specialių kategorijų asmens duomenys):

 

Duomenys, susiję su asmens sveikata

Biometriniai duomenys

Duomenys, susiję su asmens politinėmis pažiūromis, religiniais, filosofiniais įsitikinimais

Duomenys, susiję su asmens naryste profesinėse sąjungose

Duomenys, susiję su asmens rasine ar etnine kilme

Duomenys, susiję su asmens lytiniu gyvenimu ir lytine orientacija

 

 

6. Kokių priemonių buvo imtasi sužinojus apie padarytą asmens duomenų saugumo pažeidimą (pavyzdžiui, pakeisti kompiuterio slaptažodžiai, nutraukta neteisėta prieiga prie tvarkomų asmens duomenų, panaudotos atsarginės kopijos, siekiant atkurti prarastus ar sugadintus duomenis, atnaujinta programinė įranga, surinkti ne saugojimui skirtoje vietoje palikti dokumentai su asmens duomenimis):

 

.

 

 

 

_____________________                       _________________         ________________________

(pareigos)                                                             (parašas)                                                           (vardas, pavardė)

 

 

 

Paaiškinimas: Pasirašoma, jeigu forma yra pildoma popieriuje.

_________________________

 

 

Asmens duomenų saugumo pažeidimų

valdymo Valstybinėje atominės energetikos

saugos inspekcijoje taisyklių

2 priedas 

 

 

(Asmens duomenų saugumo pažeidimo tyrimo, kai asmens duomenų saugumo pažeidimas nenustatytas, ataskaitos forma)

 

 

 

VALSTYBINĖ ATOMINĖS ENERGETIKOS SAUGOS INSPEKCIJA

 

 

 

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO TYRIMO, KAI ASMENS DUOMENŲ SAUGUMO PAŽEIDIMAS NENUSTATYTAS, ATASKAITA

 

___________________ Nr. ____________

Vilnius

 

 

1. Informacija apie asmens duomenų saugumo pažeidimą

 

1.3. Asmens duomenų saugumo pažeidimo data, valanda (minučių tikslumu)

 

1.4. Asmens duomenų saugumo pažeidimo vieta (informacinė sistema, duomenų bazė, tarnybinė stotis, interneto svetainė, debesijos paslaugos, nešiojamieji ar mobilieji įrenginiai, neautomatiniu būdu susistemintos bylos (archyvas), kita)

 

1.3. Sužinojimo apie asmens duomenų saugumo pažeidimą data, valanda (minučių tikslumu)

 

1.4. VATESI darbuotojas, pranešęs apie asmens duomenų saugumo pažeidimą (vardas, pavardė, struktūrinio padalinio, kuriame dirba darbuotojas, pavadinimas, telefono ryšio numeris, elektroninio pašto adresas)

 

1.5. Duomenų tvarkytojo, pranešusio apie asmens duomenų saugumo pažeidimą, pavadinimas, jo kontaktinio asmens duomenys (vardas, pavardė, telefono ryšio numeris, elektroninio pašto adresas)

 

1.6. Asmens duomenų saugumo pažeidimo pobūdis, esmė ir aplinkybės

 

1.7. Kita reikšminga informacija apie asmens duomenų saugumo pažeidimą (jei tokios yra)

 

1.8. Asmens duomenų saugumo pažeidimą lėmusios priežastys

 

1.9. Asmens duomenų saugumo pažeidimo prielaidos – ar tai sisteminė klaida, ar vienetinis incidentas

 

2. Priemonės, kurias ketinama įgyvendinti, kad panašūs incidentai nepasikartotų

 

3. Konsultaciją suteikęs asmuo, konsultacijos metu įvertintos aplinkybės

 

4. Atsakingo asmens išvada dėl asmens duomenų saugumo pažeidimo

 

 

 

 

 

Atsakingas asmuo:

 

_____________________                       _________________         ________________________

(pareigos)                                                                                (parašas)                                                           (vardas, pavardė)

 

 

 

Susipažino:

 

Duomenų apsaugos pareigūnas (parašas)                                                 (vardas, pavardė)

 

 

 

Paaiškinimas: Pasirašoma, jeigu forma yra pildoma popieriuje.

______________________

 

 

Asmens duomenų saugumo pažeidimų

valdymo Valstybinėje atominės energetikos

saugos inspekcijoje taisyklių

3 priedas 

 

 

(Asmens duomenų saugumo pažeidimo tyrimo ataskaitos forma)

 

 

 

VALSTYBINĖ ATOMINĖS ENERGETIKOS SAUGOS INSPEKCIJA

 

 

 

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO TYRIMO ATASKAITA

 

___________________ Nr. ____________

Vilnius

 

 

 

1. Asmens duomenų saugumo pažeidimo aprašymas

 

1.1. Asmens duomenų saugumo pažeidimo nustatymo data, valanda (minučių tikslumu) ir vieta

 

1.2. Darbuotojas, pranešęs apie asmens duomenų saugumo pažeidimą (vardas, pavardė, padalinio, kuriame dirba darbuotojas, pavadinimas, telefono numeris, elektroninio pašto adresas)

 

1.3. Duomenų tvarkytojo, pranešusio apie asmens duomenų saugumo pažeidimą, pavadinimas, jo kontaktinio asmens duomenys (vardas, pavardė, telefono ryšio numeris, elektroninio pašto adresas)

 

1.4. Asmens duomenų saugumo pažeidimo padarymo data ir vieta

 

1.5. Asmens duomenų pažeidimo trukmė

 

 

1.6. Asmens duomenų saugumo pažeidimo tipas, esmė ir aplinkybės:

 

1.6.1. Asmens duomenų konfidencialumo praradimas

 

1.6.2. Asmens duomenų vientisumo praradimas

 

1.6.3. Asmens duomenų prieinamumo praradimas

 

1.7. Duomenų subjektų kategorijos ir jų skaičius

 

1.8. Asmens duomenų kategorijos, susijusios su asmens duomenų saugumo pažeidimu:

 

1.8.1. Asmens duomenys

 

1.8.2. Specialių kategorijų asmens duomenys

 

1.9. Apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius

 

2. Asmens duomenų saugumo pažeidimo rizikos įvertinimas

 

2.1. Priežastys, lėmusios asmens duomenų saugumo pažeidimą (pavyzdžiui, duomenų ar įrangos, kurioje yra saugomi asmens duomenys, vagystė, netinkamos prieigos kontrolės priemonės, leidžiančios neteisėtai naudotis asmens duomenimis, įrangos gedimas, žmogiška klaida, įsilaužimo ataka)

 

2.2. Asmens duomenų saugumo pažeidimo pasekmės:

 

2.2.1. Atsitiktinai arba neteisėtai sunaikinti asmens duomenys

 

2.2.2. Atsitiktinai arba neteisėtai prarasti asmens duomenys

 

2.2.3. Atsitiktinai arba neteisėtai pakeisti asmens duomenys

 

2.2.4. Be duomenų subjekto sutikimo atskleisti asmens duomenys

 

2.2.5. Sudaryta galimybė naudotis asmens duomenimis

 

2.2.6. Asmens duomenų išplitimas labiau nei tai yra būtina ir duomenų subjekto kontrolės praradimas savo asmens duomenų atžvilgiu

 

2.2.7. Skirtingos informacijos susiejimas

 

2.2.8. Asmens duomenų panaudojimas neteisėtais tikslais

 

2.2.9. Dėl asmens duomenų trūkumo negalima teikti paslaugų

 

2.2.10. Dėl klaidų asmens duomenų tvarkymo procesuose negalima teikti tinkamos paslaugos

 

2.2.11. Kita

 

2.3. Ar pažeistų asmens duomenų pobūdis kelia didelę žalos riziką?

 

2.4. Dėl asmens duomenų saugumo pažeidimo nėra pavojaus fizinių asmenų teisėms ir laisvėms (žema rizikos tikimybė)

 

2.5. Dėl asmens duomenų saugumo pažeidimo yra ar gali kilti pavojus fizinių asmenų teisėms ir laisvėms (būtina pranešti VDAI) (vidutinė rizikos tikimybė)

 

2.6. Dėl asmens duomenų saugumo pažeidimo yra ar gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms (būtina pranešti VDAI ir duomenų subjektams) (didelė rizikos tikimybė)

 

 

 

2.7. Kas turėjo prieigą prie pažeistų asmens duomenų iki asmens duomenų saugumo pažeidimo padarymo?

 

2.8. Kas gavo prieigą prie pažeistų asmens duomenų po asmens duomenų saugumo pažeidimo?

 

2.9. Ar buvo kiti įvykiai, kurie galėjo turėti poveikį asmens duomenų saugumo pažeidimo padarymui?

 

2.10. Ar iki asmens duomenų saugumo pažeidimo asmens duomenys buvo tinkamai užkoduoti, anonimizuoti ar kitaip lengvai neprieinami?

 

2.11. Informacinės sistemos, įrenginiai, įranga, įrašai, susiję su asmens duomenų saugumo pažeidimu

 

2.12. Ar tai yra sisteminė klaida ar vienetinis incidentas?

 

2.13. Kokia žala buvo padaryta duomenų subjektui ar VATESI (tapatybės vagystė, grėsmė fiziniam saugumui ir emocinei gerovei, žala reputacijai, teisinė atsakomybė, konfidencialumo, saugumo nuostatų pažeidimas ir panašiai)?

 

2.14. Kokių veiksmų ir (ar) priemonių buvo imtasi sužinojus apie padarytą asmens duomenų saugumo pažeidimą?

 

2.15. Kokios taikytos priemonės, siekiant sumažinti poveikį duomenų subjektams?

 

2.16. Kokios techninės priemonės buvo taikomos asmens duomenų saugumo pažeidimo paveiktiems asmens duomenims, užtikrinant, kad asmens duomenys nebūtų prieinami neįgaliotiems asmenims?

 

2.17. Techninės ir (ar) organizacinės saugumo priemonės, kurios įgyvendintos dėl asmens duomenų saugumo pažeidimo, taip pat siekiant, kad pažeidimas nepasikartotų

 

2.18. Techninės ir (ar) organizacinės saugumo priemonės, kurios ketinamos įgyvendinti dėl asmens duomenų saugumo pažeidimo, įskaitant ir priemones sumažinti asmens duomenų saugumo pažeidimo pasekmėms

 

3. Pranešimų pateikimas

 

3.1. Ar pranešta duomenų subjektui apie asmens duomenų saugumo pažeidimą:

 

3.1.1. Taip

(Pranešimo turinys ir data)

 

 

3.1.2. Ne

 

3.1.3. Bus informuota vėliau

 

3.1.4. Duomenų subjektas tokią informaciją jau turi

 

3.2. Pranešimo duomenų subjektui būdas (paštu, elektroninio pašto pranešimu ar SMS pranešimu ir kt.)

 

3.3. Informuotų duomenų subjektų skaičius

 

3.4. Ar pranešta VDAI apie asmens duomenų saugumo pažeidimą:

 

3.4.1. Taip

(Pranešimo data ir numeris)

 

3.4.2. Ne

 

3.5. Ar pranešta valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą, apie asmens duomenų saugumo pažeidimą, galimai turintį nusikalstamos veikos požymių:

 

3.5.1. Taip

(rašto data ir numeris, adresatas)

 

3.5.2. Ne

 

3.6. Ar pranešta valstybės institucijoms, nurodytoms Lietuvos Respublikos kibernetinio saugumo įstatyme, apie kibernetinį incidentą, susijusį su asmens duomenų saugumo pažeidimu:

 

3.6.1. Taip

(rašto data ir numeris, adresatas)

 

3.6.2. Ne

 

3.7. Nepranešimo apie asmens duomenų saugumo pažeidimą duomenų subjektui priežastys:

 

3.7.1. ne, nes nekyla didelis pavojus duomenų subjektų teisėms ir laisvėms (nurodomos priežastys)

 

3.7.2. ne, nes įgyvendintos tinkamos techninės ir organizacinės priemonės, užtikrinančios, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami (nurodomos techninės ir organizacinės priemonės)

 

3.7.3. ne, nes įgyvendintos tinkamos techninės ir organizacinės priemonės, užtikrinančios, kad nekiltų didelis pavojus duomenų subjektų teisėms ir laisvėms (nurodomos techninės ir organizacinės priemonės)

 

3.7.4. ne, nes tai pareikalautų neproporcingai daug pastangų ir apie tai viešai paskelbta (arba taikyta panaši priemonė) (nurodoma kada ir kur paskelbta informacija viešai arba jei taikyta kita priemonė, nurodoma kokia ir kada taikyta)

 

3.7.5. ne, nes dar neidentifikuoti duomenų subjektai, kurių asmens duomenų saugumas pažeistas

 

3.8. Vėlavimo pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą priežastys

 

3.9. Nepranešimo apie asmens duomenų saugumo pažeidimą VDAI priežastys

 

3.10. Vėlavimo pranešti VDAI apie asmens duomenų saugumo pažeidimą priežastys

 

 

Išvada dėl Pažeidimo buvimo ir rizikos fizinių asmenų teisėms bei laisvėms įvertinimo:

 

__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

 

 

 

Atsakingas asmuo (parašas)                                                                     (vardas, pavardė)

 

 

 

Susipažino:

 

Duomenų apsaugos pareigūnas (parašas)                                                 (vardas, pavardė)

 

 

 

Paaiškinimas: Pasirašoma, jeigu forma yra pildoma popieriuje.

_____________________

 

 

Asmens duomenų saugumo pažeidimų

valdymo Valstybinėje atominės energetikos

saugos inspekcijoje taisyklių

4 priedas 

 

 

(Asmens duomenų saugumo pažeidimo priemonių plano forma)

 

VALSTYBINĖ ATOMINĖS ENERGETIKOS SAUGOS INSPEKCIJA

 

 

 

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO PRIEMONIŲ PLANAS

 

_____________ Nr. _________

 

Vilnius

 

 

 

Asmens duomenų saugumo pažeidimo aprašymas

Asmens duomenų saugumo pažeidimo priežastys

Veiksmai, kurių imamasi šiems asmens duomenų saugumo pažeidimams išvengti

Už veiksmų įgyvendinimą atsakingi asmenys

Veiksmų įgyvendinimo terminai

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Atsakingas asmuo:

 

 

 

____________________               _________________ __________________________

 

(pareigos)                                        (parašas)                                    (vardas ir pavardė)

 

Paaiškinimas: Pasirašoma, jeigu forma yra pildoma popieriuje

___________________________________

 

 

Asmens duomenų saugumo pažeidimų

valdymo Valstybinėje atominės energetikos

saugos inspekcijoje taisyklių

5 priedas 

 

 

(Pranešimo apie asmens duomenų saugumo pažeidimą forma)

 

 

 

VALSTYBINĖ ATOMINĖS ENERGETIKOS SAUGOS INSPEKCIJA                                                

 

Juridinio asmens kodas 188784898, buveinės adresas: A. Goštauto g. 12, LT-01108, Vilnius                        

 

tel.: (8 5)2661584; el. pašto adresas: atom@vatesi.lt;  elektroninės siuntos pristatymo dėžutės adresas: 188784898

 

 

 

Valstybinei duomenų apsaugos inspekcijai

 

 

 

PRANEŠIMAS

 

APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ

 

________ Nr. ___________

 

(data) (rašto numeris)

 

 

 

1.Asmens duomenų saugumo pažeidimo apibūdinimas

 

 

1.1. Asmens duomenų saugumo pažeidimo data ir laikas:

 

 

 

Asmens duomenų saugumo pažeidimo:

 

 

 

Data ______________ Laikas __________

 

 

 

Asmens duomenų saugumo pažeidimo nustatymo:

 

 

 

Data ______________ Laikas __________

 

 

 

1.2. Asmens duomenų saugumo pažeidimo vieta (pažymėti tinkamą (-us):

 

 

 

           Informacinė sistema

 

           Duomenų bazė

 

           Tarnybinė stotis

 

           Internetinė svetainė

 

           Debesų kompiuterijos paslaugos

 

           Nešiojami / mobilus įrenginiai

 

           Neautomatiniu būdu susistemintos bylos (archyvas)

 

           Kita __________________________________________________________________________

 

 

 

1.3. Asmens duomenų saugumo pažeidimo aplinkybės (pažymėti tinkamą (-us):

 

 

 

    Asmens duomenų konfidencialumo praradimas (neautorizuota prieiga ar atskleidimas)

 

    Asmens duomenų vientisumo praradimas (neautorizuotas asmens duomenų pakeitimas)

 

    Asmens duomenų prieinamumo praradimas (asmens duomenų praradimas, sunaikinimas)

 

 

 

1.4. Apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius:

 

______________________________________________________________________________________

 

1.5. Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos (atskiriamos pagal jai būdingą požymį):

 

____________________________________________________________________________________________________________________________________________________________________________

 

1.6. Asmens duomenų, kurių saugumas pažeistas, kategorijos (pažymėti tinkamą (-as):

 

 

 

    Asmens tapatybę patvirtinantys asmens duomenys (vardas, pavardė, amžius, gimimo data, lytis ir kt.):

 

____________________________________________________________________________________________________________________________________________________________________________

 

_Specialių kategorijų asmens duomenys (duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, ar narystę profesinėse sąjungose, genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie lytinį gyvenimą ir lytinę orientaciją):

 

__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

 

_Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas:

 

____________________________________________________________________________________________________________________________________________________________________________

 

_Prisijungimo duomenys ir (ar) asmens identifikaciniai numeriai (pavyzdžiui, asmens kodas, mokėtojo kodas, slaptažodžiai):

 

____________________________________________________________________________________________________________________________________________________________________________

 

_Kiti:

 

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

 

_Nežinomi (pranešimo teikimo metu)

 

 

 

1.7. Apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius:

 

______________________________________________________________________________________

 

 

 

1.8. Išsamiau apibūdinkite asmens duomenų saugumo pažeidimą, nurodykite (jei žinote) priežastis dėl kurių įvyko asmens duomenų saugumo pažeidimas ir pateikite kitą, duomenų valdytojo nuomone, reikšmingą informaciją:

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

 

 

1.9. Pranešimas kitoms įstaigoms pagal kompetenciją:

 

 

 

    Ar informacija apie šį pažeidimą buvo perduota Lietuvos policijai? (jei galimai pažeidimas turi nusikalstamos veikos požymių)

 

    Ar informacija apie šį pažeidimą buvo perduota Nacionaliniam kibernetinio saugumo centrui? (jei galimai pažeidimas galėjo paveikti kibernetinio saugumo subjektų ryšių ir informacines sistemas)

 

 

 

2.   Galimos asmens duomenų saugumo pažeidimo pasekmės

 

 

2.1. Konfidencialumo praradimo atveju:

 

 

 

    Asmens duomenų išplitimas labiau nei yra būtina ir duomenų subjekto kontrolės praradimas savo asmens duomenų atžvilgiu (pavyzdžiui, asmens duomenys išplito internete)

 

    Skirtingos informacijos susiejimas (pavyzdžiui, gyvenamosios vietos adreso susiejimas su asmens buvimo vieta realiu laiku)

 

    Galimas panaudojimas kitais, nei nustatytais ar neteisėtais tikslais (pavyzdžiui, komerciniais tikslais, asmens tapatybės pasisavinimo tikslu, informacijos panaudojimo prieš asmenį tikslu)

 

    Kita

 

____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

 

2.2. Vientisumo praradimo atveju:

 

 

 

Pakeitimas į neteisingus duomenis dėl ko asmuo gali netekti galimybės naudotis paslaugomis

 

Pakeitimas į galiojančius duomenis, kad asmens duomenų tvarkymas būtų nukreiptas (pavyzdžiui, pavogta asmens tapatybė susiejant vieno asmens identifikuojančius duomenis su kito asmens biometriniais duomenimis)

 

Kita

 

____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

 

2.3. Duomenų prieinamumo praradimo atveju:

 

 

 

Dėl asmens duomenų trūkumo negalima teikti paslaugų (pavyzdžiui, administracinių procesų sutrikdymas, dėl ko negalima prieiti, pavyzdžiui, prie asmens sveikatos istorijų ir teikti pacientams sveikatos paslaugų, arba įgyvendinti duomenų subjekto teises)

 

Dėl klaidų asmens duomenų tvarkymo procesuose negalima teikti tinkamos paslaugos (pavyzdžiui, asmens sveikatos istorijoje neliko informacijos apie asmens alergijas, tam tikra informacija iš mokesčių deklaracijos išnyko, dėl ko negalima tinkamai apskaičiuoti mokesčių ir pan.)

 

Kita

 

______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

 

 

 

2.4. Kita:

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

 

 

3.   Priemonės, kurių imtasi siekiant pašalinti pažeidimą ar sumažinti jo pasekmes

 

 

3.1. Taikytos priemonės siekiant sumažinti poveikį duomenų subjektams:

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

3.2. Taikytos priemonės siekiant pašalinti asmens duomenų saugumo pažeidimą:

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

 

 

3.3. Taikytos priemonės siekiant, kad pažeidimas nepasikartotų:

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

 

 

3.4. Kita:

 

______________________________________________________________________________________

 

_____________________________________________________________________________________

 

_____________________________________________________________________________________

 

_____________________________________________________________________________________

 

 

 

4.   Siūlomos priemonės sumažinti asmens duomenų saugumo pažeidimo pasekmėms

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

 

 

5.   Duomenų subjektų informavimas apie asmens duomenų saugumo pažeidimą

 

 

5.1. Duomenys apie informavimo faktą:

 

 

 

    Taip, duomenų subjektai informuoti (nurodoma data) _________________________________________

 

    Ne, bet jie bus informuoti (nurodoma data) _________________________________________________

 

    Ne

 

 

 

5.2. Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, neinformavimo priežastys:

 

 

 

    Ne, nes nekyla didelis pavojus duomenų subjektų teisėms ir laisvėms (nurodoma kodėl) ______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

 

 

_Ne, nes įgyvendintos tinkamos techninės ir organizacinės priemonės, užtikrinančios, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami (nurodomos kokios)

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

 

 

_Ne, nes įgyvendintos tinkamos techninės ir organizacinės priemonės, užtikrinančios, kad nekiltų didelis pavojus duomenų subjektų teisėms ir laisvėms (nurodomos kokios) ________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

 

 

_Ne, nes tai pareikalautų neproporcingai daug pastangų ir apie tai viešai paskelbta (arba taikyta panaši priemonė) (nurodoma kada ir kur paskelbta informacija viešai arba jei taikyta kita priemonė, nurodoma kokia ir kada taikyta)

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

 

 

_Ne, nes dar neidentifikuoti duomenų subjektai, kurių asmens duomenų saugumas pažeistas

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

 

 

5.3. Informacija, kuri buvo pateikta duomenų subjektams (gali būti pridėtas pranešimo duomenų subjektui kopija):

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

 

 

5.4. Būdas, kokiu duomenų subjektai buvo informuoti:

 

 

 

    Paštu

 

    Elektroniniu paštu

 

    Kitu būdu __________________________________________________________________________

 

 

 

5.5. Informuotų duomenų subjektų skaičius ___________________________________________________

 

 

 

6.  Asmuo galintis suteikti daugiau informacijos apie asmens duomenų saugumo pažeidimą (duomenų apsaugos pareigūnas ar kitas kontaktinis asmuo)[1]

 

 

6.1. Vardas ir pavardė ____________________________________________________________________

 

 

 

6.2. Telefono ryšio numeris _______________________________________________________________

 

 

 

6.3. Elektroninio pašto adresas _____________________________________________________________

 

 

 

6.4. Pareigos ___________________________________________________________________________

 

 

 

6.5. Darbovietės pavadinimas ir adresas ______________________________________________________

 

 

 

7.  Pranešimo pateikimo Valstybinei duomenų apsaugos inspekcijai pateikimo vėlavimo priežastys

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

 

 

8.   Kita reikšminga informacija

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

______________________________________________________________________________________

 

 

 

 

 

(pareigos)

 

 

 

 

 

(parašas)

 

(vardas, pavardė)

_________________

 


[1] Kai pranešimas apie asmens duomenų saugumo pažeidimą teikiamas pagal Įstatymo 29 straipsnį, nenurodomi šios formos 6.4 ir 6.5 papunkčiuose nurodyti duomenys.