Duomenų pažeidimas yra tada, kai netyčia arba neteisėtai pažeidžiamas duomenų / informacijos saugumas. Tokiais pavyzdžiais gali būti:

Kaip pranešti

Jeigu sužinojote, kad informacija/duomenys galėjo būti pažeisti (kaip aprašyta aukščiau), labai svarbu apie tai kuo greičiau pranešti Organizacijai. Tai turėtumėte padaryti naudodami pranešimo apie duomenų saugumo pažeidimus formą. Taip pat turėtumėte pranešti savo tiesioginiam vadovui ir duomenų apsaugos pareigūnui.

Duomenų saugumo pranešimo forma

Kodėl svarbu greitai pranešti apie galimą duomenų saugumo pažeidimą?

Labai svarbu, kad organizacija galėtų nustatyti, kokiems duomenims/informacijai dėl pažeidimo galėjo kilti pavojus.

Jei organizacija mano, kad kyla didelis pavojus duomenų saugumui, per 72 valandas nuo sužinojimo apie incidentą ji privalo pranešti Valstybinei duomenų apsaugos inspekcijai, kad būtų laikomasi Bendrojo duomenų apsaugos reglamento (BDAR). 

Taip pat gali būti privaloma pranešti kitoms įstaigoms pagal kompetenciją:

  • Lietuvos policijai (jei galimai pažeidimas turi nusikalstamos veikos požymių) ir/ar
  • Nacionaliniam kibernetinio saugumo centrui (jei galimai pažeidimas galėjo paveikti kibernetinio saugumo subjektų ryšių ir informacines sistemas).

Jei duomenims / informacijai kyla pavojus, organizacijai gali tekti imtis priemonių jai apsaugoti. Labiau tikėtina, kad tai bus sėkminga, jei galėsime greitai imtis šių veiksmų.

Kas atsitiks po to, kai pranešama apie galimą pažeidimą?

Duomenų apsaugos pareigūnas bendradarbiaus su jūsų koordinatoriumi ir/ar struktūrinio vieneto vadovu, kad nustatytų detalesnę incidento informaciją.

Jei incidentas susijęs su duomenimis / informacija, susijusia su kitais asmenimis, organizacijai gali tekti informuoti šiuos asmenis apie galimą pažeidimą. Jei organizacija nusprendė informuoti Valstybinę duomenų apsaugos inspekciją apie pažeidimą, turėsime perduoti bet kokią papildomą informaciją, kad jie galėtų nuspręsti, ar reikia imtis kokių nors tolesnių veiksmų.

Jei duomenų apsaugos pareigūnas nustatys kokių nors priemonių, kurių būtų galima imtis, kad kažkas panašaus nepasikartotų, arba būtų geriau apsaugoti įrenginiuose esančius duomenis/informaciją, savo išvadoje jis pateiks atitinkamas rekomendacijas.

Tikslas

Siekiama užtikrinti greitą, veiksmingą ir organizuotą atsaką į galimą asmens duomenų saugumo pažeidimą, įvykdyti susijusias privalomas pareigas:

1.10. Pranešti priežiūros institucijai apie asmens duomenų saugumo pažeidimą, išskyrus atvejus, kai asmens duomenų saugumo pažeidimas, tikėtina, nekelia pavojaus fizinių asmenų teisėms ir laisvėms pagal Bendrovėje nustatytas procedūras1.11. Dokumentuose fiksuoti bet kokius asmens duomenų saugumo pažeidimus, įskaitant faktus, susijusius su asmens duomenų saugumo pažeidimu, jo pasekmes ir taisomuosius veiksmus, kurių buvo imtasi1.12. Prireikus nedelsiant pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą

Šis dokumentas yra skirtas naudoti įvykus tam tikram incidentui, kuris turi įtakos Organizacijos asmens duomenų, kurių valdytoju yra Organizacija, saugumui. Jame pateikiamos procedūros turi būti naudojamos kaip gairės, reaguojant į incidentą. Negalima numatyti tikslaus incidento pobūdžio ir jo poveikio, todėl, priimant sprendimus dėl veiksmų, kurių reikia imtis, reikalinga atsižvelgti į kiekvienu konkrečiu atveju susiklosčiusią situaciją. Bet kuriuo atveju apie nustatytą duomenų saugumo pažeidimą turite pranešti duomenų apsaugos pareigūnui.

Priemonės

Incidentas gali būti nustatomas įvairiais būdais ir per skirtingus šaltinius, priklausomai nuo incidento pobūdžio ir vietos.

  • vidiniai šaltiniai – kai kuriuos incidentus galima aptikti per programinės įrangos priemones, naudojamas organizacijos viduje, arba juos aptinka darbuotojai, pastebėję neįprastą veiklą.
  • išoriniai šaltiniai – apie kitus incidentus gali pranešti trečioji šalis, pvz., klientas, tiekėjas, asmens duomenų tvarkytojas ar teisėsaugos institucija, kuri sužino apie pažeidimą, galbūt dėl to, kad, pavyzdžiui, pavogta informacija tam tikru būdu buvo naudojama piktybiniais tikslais.

Dažnai pasitaiko, kad tarp incidento atsiradimo ir jo faktinio nustatymo įsiterpia laiko tarpsnis; vienas iš proaktyvaus požiūrio į informacijos saugumą tikslų – sumažinti šį laiko tarpsnį. Svarbiausias veiksnys yra tas, kad reagavimo į incidentą procedūra turi būti pradėta kuo greičiau vos tik jį nustačius, kad duotas atsakas būtų veiksmingas.

Veiklos

Proceso diagrama

Žingsnis po žingsnio gidas

Pranešti apie elektroninės informacijos saugos incidentą duomenų apsaugos pareigūnui. 

Išanalizuoti elektroninės informacijos saugos incidentą

Suformuoti reagavimo grupę

Sulaikyti

Pašalinti

Atkurti

Informuoti, jei reikia pagal DAP išvadą, pranešti kitoms įstaigoms pagal kompetenciją.

Atlikti veiksmus, pasibaigus incidentui

Rezultatas

  1. Sulaikytas, pašalintas informacijos saugumo incidentas, atkurtos sistemos;
  2. Užpildytas Elektroninės informacijos saugumo incidentų ir duomenų saugos pažeidimų registravimo žurnalas (ar kitas tam skirtas Organizacijos dokumentas)
  3. Įvykdytos privalomos informavimo pareigos.

Poveikis

  1. Fizinių asmenų teisės ir laisvės
  2. Organizacijos reputacija
Dokumentai
  1. Atmintinė darbuotojams ir valstybės tarnautojams dėl DAP
  2. Organizacijos Reagavimo į asmens duomenų saugumo incidentus tvarkos aprašas ar kitas dokumentas, reguliuojantis reagavimą į elektroninės informacijos saugos incidentus.
  3. Organizacijos Elektroninės informacijos saugumo incidentų ir duomenų saugos pažeidimų registravimo žurnalas (ar kitas tam skirtas Organizacijos dokumentas, pvz. Duomenų saugumo pažeidimų registracijos žurnalas). 
  4. Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojama forma (VDAI).
  5. Pranešimo apie asmens duomenų saugumo pažeidimą duomenų subjektams rekomenduojama forma.

Papildoma informacija

Pranešti duomenų apsaugos pareigūnui

Šio ekrano apačioje dešinėje iššokusiame lauke galite "gyvai" pranešti duomenų apsaugos pareigūnui apie:

  • nustatytą duomenų saugumo pažeidimą. 
  • papildomas aplinkybes, susijusias su duomenų saugumo pažeidimu.

Jei duomenų apsaugos pareigūnas neprisijungęs, prisijunkite ir palikite žinutę, kad mes užregistruotume Jūsų užklausą bei artimiausiu metu su Jumis susisiektume. Pranešti galite ir el. paštu arba per eDap.lt čia.