Noriu pranešti apie galimą duomenų saugumo pažeidimą
Duomenų pažeidimas yra tada, kai netyčia arba neteisėtai pažeidžiamas duomenų / informacijos saugumas. Tokiais pavyzdžiais gali būti:
- žmogiškoji klaida
- vagystė
- kibernetinė ataka
- neleistina (neautorizuota) prieiga prie asmens duomenų
- įrenginių ar programinės įrangos gedimas, saugos sistemos spragos
- nenumatytos (force majeure) aplinkybės ir kitos priežastys
Kaip pranešti
Jeigu sužinojote, kad informacija/duomenys galėjo būti pažeisti (kaip aprašyta aukščiau), labai svarbu apie tai kuo greičiau pranešti Organizacijai. Tai turėtumėte padaryti naudodami pranešimo apie duomenų saugumo pažeidimus formą. Taip pat turėtumėte pranešti savo tiesioginiam vadovui ir duomenų apsaugos pareigūnui.
Duomenų saugumo pranešimo forma
Kodėl svarbu greitai pranešti apie galimą duomenų saugumo pažeidimą?
Labai svarbu, kad organizacija galėtų nustatyti, kokiems duomenims/informacijai dėl pažeidimo galėjo kilti pavojus.
Jei organizacija mano, kad kyla didelis pavojus duomenų saugumui, per 72 valandas nuo sužinojimo apie incidentą ji privalo pranešti Valstybinei duomenų apsaugos inspekcijai, kad būtų laikomasi Bendrojo duomenų apsaugos reglamento (BDAR).
Taip pat gali būti privaloma pranešti kitoms įstaigoms pagal kompetenciją:
- Lietuvos policijai (jei galimai pažeidimas turi nusikalstamos veikos požymių) ir/ar
- Nacionaliniam kibernetinio saugumo centrui (jei galimai pažeidimas galėjo paveikti kibernetinio saugumo subjektų ryšių ir informacines sistemas).
Jei duomenims / informacijai kyla pavojus, organizacijai gali tekti imtis priemonių jai apsaugoti. Labiau tikėtina, kad tai bus sėkminga, jei galėsime greitai imtis šių veiksmų.
Kas atsitiks po to, kai pranešama apie galimą pažeidimą?
Duomenų apsaugos pareigūnas bendradarbiaus su jūsų koordinatoriumi ir/ar struktūrinio vieneto vadovu, kad nustatytų detalesnę incidento informaciją.
Jei incidentas susijęs su duomenimis / informacija, susijusia su kitais asmenimis, organizacijai gali tekti informuoti šiuos asmenis apie galimą pažeidimą. Jei organizacija nusprendė informuoti Valstybinę duomenų apsaugos inspekciją apie pažeidimą, turėsime perduoti bet kokią papildomą informaciją, kad jie galėtų nuspręsti, ar reikia imtis kokių nors tolesnių veiksmų.
Jei duomenų apsaugos pareigūnas nustatys kokių nors priemonių, kurių būtų galima imtis, kad kažkas panašaus nepasikartotų, arba būtų geriau apsaugoti įrenginiuose esančius duomenis/informaciją, savo išvadoje jis pateiks atitinkamas rekomendacijas.
Tikslas
Siekiama užtikrinti greitą, veiksmingą ir organizuotą atsaką į galimą asmens duomenų saugumo pažeidimą, įvykdyti susijusias privalomas pareigas:
1.10. Pranešti priežiūros institucijai apie asmens duomenų saugumo pažeidimą, išskyrus atvejus, kai asmens duomenų saugumo pažeidimas, tikėtina, nekelia pavojaus fizinių asmenų teisėms ir laisvėms pagal Bendrovėje nustatytas procedūras, 1.11. Dokumentuose fiksuoti bet kokius asmens duomenų saugumo pažeidimus, įskaitant faktus, susijusius su asmens duomenų saugumo pažeidimu, jo pasekmes ir taisomuosius veiksmus, kurių buvo imtasi, 1.12. Prireikus nedelsiant pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą
Šis dokumentas yra skirtas naudoti įvykus tam tikram incidentui, kuris turi įtakos Organizacijos asmens duomenų, kurių valdytoju yra Organizacija, saugumui. Jame pateikiamos procedūros turi būti naudojamos kaip gairės, reaguojant į incidentą. Negalima numatyti tikslaus incidento pobūdžio ir jo poveikio, todėl, priimant sprendimus dėl veiksmų, kurių reikia imtis, reikalinga atsižvelgti į kiekvienu konkrečiu atveju susiklosčiusią situaciją. Bet kuriuo atveju apie nustatytą duomenų saugumo pažeidimą turite pranešti duomenų apsaugos pareigūnui.
Priemonės
Incidentas gali būti nustatomas įvairiais būdais ir per skirtingus šaltinius, priklausomai nuo incidento pobūdžio ir vietos.
- vidiniai šaltiniai – kai kuriuos incidentus galima aptikti per programinės įrangos priemones, naudojamas organizacijos viduje, arba juos aptinka darbuotojai, pastebėję neįprastą veiklą.
- išoriniai šaltiniai – apie kitus incidentus gali pranešti trečioji šalis, pvz., klientas, tiekėjas, asmens duomenų tvarkytojas ar teisėsaugos institucija, kuri sužino apie pažeidimą, galbūt dėl to, kad, pavyzdžiui, pavogta informacija tam tikru būdu buvo naudojama piktybiniais tikslais.
Dažnai pasitaiko, kad tarp incidento atsiradimo ir jo faktinio nustatymo įsiterpia laiko tarpsnis; vienas iš proaktyvaus požiūrio į informacijos saugumą tikslų – sumažinti šį laiko tarpsnį. Svarbiausias veiksnys yra tas, kad reagavimo į incidentą procedūra turi būti pradėta kuo greičiau vos tik jį nustačius, kad duotas atsakas būtų veiksmingas.
Veiklos
Proceso diagrama
Žingsnis po žingsnio gidas
Pranešti apie elektroninės informacijos saugos incidentą duomenų apsaugos pareigūnui.
Ištirti elektroninės informacijos saugos incidentą. Skaitykite: Noriu padėti tirti galimą asmens duomenų saugos pažeidimą
Suformuoti reagavimo grupę
Sulaikyti
Pašalinti
Atkurti
Informuoti, jei reikia pagal DAP išvadą, pranešti kitoms įstaigoms pagal kompetenciją.
Atlikti veiksmus, pasibaigus incidentui
Rezultatas
- Sulaikytas, pašalintas informacijos saugumo incidentas, atkurtos sistemos;
- Užpildytas Elektroninės informacijos saugumo incidentų ir duomenų saugos pažeidimų registravimo žurnalas (ar kitas tam skirtas Organizacijos dokumentas)
- Parengta incidento tyrimo išvada.
- Įvykdytos privalomos informavimo pareigos.
Poveikis
- Fizinių asmenų teisės ir laisvės
- Organizacijos reputacija
Dokumentai
- Atmintinė darbuotojams ir valstybės tarnautojams dėl DAP
- Organizacijos Reagavimo į asmens duomenų saugumo incidentus tvarkos aprašas ar kitas dokumentas, reguliuojantis reagavimą į elektroninės informacijos saugos incidentus.
- Organizacijos Elektroninės informacijos saugumo incidentų ir duomenų saugos pažeidimų registravimo žurnalas (ar kitas tam skirtas Organizacijos dokumentas, pvz. Duomenų saugumo pažeidimų registracijos žurnalas).
- Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojama forma (VDAI).
- Pranešimo apie asmens duomenų saugumo pažeidimą duomenų subjektams rekomenduojama forma.
Papildoma informacija
Kur šis puslapis paminėtas
- Page: Atmintinė darbuotojams ir valstybės tarnautojams dėl DAP
- Blog: Būk tikras, kad nenaudoji „BeReal“ darbo vietoje
- Page: Duomenų saugumo pažeidimų valdymas
- Page: Išorinis duomenų apsaugos pareigūnas
- Blog: Laiku ir tinkamai nesureaguosite į gautą informaciją apie sistemos pažeidžiamumus – rizikuojate ne tik prarasti asmens duomenis, bet ir gauti baudą
- Page: Noriu padėti tirti galimą asmens duomenų saugos pažeidimą
- Blog: Olandijos duomenų apsaugos tarnyba skyrė 475 000 Eur baudą Booking.com už vėlavimą pranešti apie duomenų saugumo pažeidimą
Panašūs straipsniai
-
Blog:
-
Page:
-
Page:
-
Page:
-
Page:
Kur eiti toliau
- Page: 1.10. Pranešti priežiūros institucijai apie asmens duomenų saugumo pažeidimą, išskyrus atvejus, kai asmens duomenų saugumo pažeidimas, tikėtina, nekelia pavojaus fizinių asmenų teisėms ir laisvėms pagal Bendrovėje nustatytas procedūras
- Page: 1.11. Dokumentuose fiksuoti bet kokius asmens duomenų saugumo pažeidimus, įskaitant faktus, susijusius su asmens duomenų saugumo pažeidimu, jo pasekmes ir taisomuosius veiksmus, kurių buvo imtasi
- Page: 1.12. Prireikus nedelsiant pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą
- Page: Atmintinė darbuotojams ir valstybės tarnautojams dėl DAP
- https://allaw.lt/legaldesk/plugins/servlet/desk/portal/76/create/423
- https://vdai.lrv.lt/uploads/vdai/documents/files/ADSP_Pranesimo_forma_2022-07.docx
- Page: Noriu padėti tirti galimą asmens duomenų saugos pažeidimą
Pranešti duomenų apsaugos pareigūnui
Šio ekrano apačioje dešinėje iššokusiame lauke galite "gyvai" pranešti duomenų apsaugos pareigūnui apie:
- nustatytą duomenų saugumo pažeidimą.
- papildomas aplinkybes, susijusias su duomenų saugumo pažeidimu.
Jei duomenų apsaugos pareigūnas neprisijungęs, prisijunkite ir palikite žinutę, kad mes užregistruotume Jūsų užklausą bei artimiausiu metu su Jumis susisiektume. Pranešti galite ir el. paštu arba per eDap.lt čia.