Created by Unknown User (m.zvinyte@juridicon.lt), last modified by CPO on Oct 02, 2022
2020-ųjų metų iepos 24 d. Valstybinės duomenų apsaugos inspekcijos (VDAI) tinklalapyje buvo pranešta apie gautą pranešimą dėl Valstybės įmonėje Registrų centras įvykusio incidento, kurio metu buvo sutrikdytos minėtos įmonės informacinės sistemos. Dėl šio incidento kilo grėsmė šiose sistemose saugomiems asmens duomenims. Visuomenė informuota, kad šiuo metu atliekamas vidinis incidento ir galimo asmens duomenų saugumo pažeidimo tyrimas, kurį turi atlikti kiekvienas duomenų valdytojas, nustatęs arba sužinojęs, kad buvo galimai netyčia arba neteisėtai sunaikinti, prarasti, pakeisti, be leidimo atskleisti persiųsti, saugomi ar kitaip tvarkomi asmens duomenys arba prie jų be leidimo gauta prieiga. Kuo vadovautis ir kaip atlikti galimo duomenų saugumo pažeidimo tyrimą, kad būtų užtikrinta Bendrojo duomenų apsaugos reglamento (BDAR) nuostatų atitiktis?
Teisės aktai, kuriais reikalinga vadovautis atliekant galimo duomenų saugumo pažeidimo tyrimą
Duomenų valdytojas, tirdamas duomenų saugumo incidentą (galimą duomenų saugumo pažeidimą), turėtų vadovautis pagal BDAR 33-34 str. nuostatas, 29 straipsnio duomenų apsaugos darbo grupės gairėmis dėl pranešimo apie asmens duomenų saugumo pažeidimą pagal Reglamentą (ES) 2016/679, Patvirtinta 2017 m. spalio 3 d. Paskutinį kartą peržiūrėta ir patvirtinta 2018 m. vasario 6 d., Valstybinės duomenų apsaugos inspekcijos (VDAI) 2018 m. liepos 02 d. rekomendacija „Dėl asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos“ parengta ir patvirtinta Duomenų valdytojo asmens duomenų saugumo pažeidimų fiksavimo, tyrimo, dokumentavimo ir pranešimo apie juos VDAI bei duomenų subjektams tvarka. Šioje tvarkoje rekomenduojama numatyti procesus, kurių reikia laikytis įvykus pažeidimui:
Procesai, kurių reikia laikytis įvykus pažeidimui:
1) Pranešimas apie galimą pažeidimą (rekomenduojama nurodyti, kas (darbuotojai), kada (vos pastebėjus galimą pažeidimą), kam (įgaliotiems imtis priemonių asmenims) ir kokia forma (rekomenduotina informaciją teikti visais įmanomais būdais) turi pranešti apie galimą pažeidimą ir pan.);
2) Pranešimų tyrimo eiga (rekomenduojama nurodyti, koks saugumo incidentas tiriamas, kokiu būdu vertinama rizika, kada pranešama VDAI ir (ar) duomenų subjektui ir pan.);
3) Pažeidimų dokumentavimas (rekomenduojama nurodyti, kas registruoja asmens duomenų saugumo pažeidimus, kokia informacija turėtų būti įrašyta Asmens duomenų saugumo pažeidimų žurnale, kur ir kokia forma šis žurnalas pildomas, kiek laiko saugomas ir pan.);
4) Tyrimo rezultatų įforminimas, pažeidimų analizė ir prevencijos priemonių įgyvendinimo kontrolė (numatant, kada peržiūrimi žurnale esantys įrašai, kada atliekama pažeidimų analizė ir prevencijos priemonių įgyvendinimas).
Galimo duomenų saugumo pažeidimo tyrimo eiga
Vadovaujantis Valstybinės duomenų apsaugos inspekcijos (VDAI) 2018 m. liepos 02 d. rekomendacija „Dėl asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos“, sužinojęs apie galimą asmens duomenų saugumo pažeidimą, už jų tyrimą organizacijos paskirtas atsakingas asmuo turi atlikti pirminį tyrimą, kurio metu turi įvertinti galimas pasekmes asmenims, t.y., įvertinti riziką.
Pirmiausia reikalinga nustatyti, koks pažeidimo pobūdis (tipas). Vadovaujantis minėta rekomendacija, galimi pažeidimo tipai:
1) konfidencialumo pažeidimas – kai yra be leidimo ar neteisėtai atskleidžiami asmens duomenys arba gaunama prieiga prie jų;
2) prieinamumo pažeidimas – kai netyčia arba neteisėtai prarandama prieiga prie arba sunaikinami asmens duomenys;
3) vientisumo pažeidimas – kai asmens duomenys pakeičiami be leidimo ar netyčia.
Priklausomai nuo aplinkybių, Pažeidimas tuo pat metu gali sietis su asmens duomenų konfidencialumu, prieinamumu ir vientisumu, taip pat su kuriuo nors jų deriniu.
Priklausomai nuo pažeidimo pobūdžio (tipo), atliekant pirminį tyrimą ir siekiant nustatyti, ar pažeidimas iš tikrųjų įvyko, turėtų būti išsaugomi esamos situacijos įrodymai bei vėliau naudojamos visos tinkamos techninės ir organizacinės priemonės, pvz., duomenų srauto ir prisijungimų analizės įrankiai bei kt.
Vertinant riziką, kuri gali atsirasti dėl pažeidimo, turėtų būti atsižvelgiama į konkrečias pažeidimo aplinkybes, pavojaus duomenų subjekto teisėms ir laisvėms atsiradimo tikimybę ir rimtumą.
Rizika turėtų būti vertinama remiantis objektyviu įvertinimu ir atsižvelgiant į šiuos kriterijus:
1) asmens duomenų saugumo pažeidimo tipą;
2) asmens duomenų pobūdį, apimtis (pvz., specialių kategorijų asmens duomenys);
3) kaip lengvai identifikuojamas fizinis asmuo;
4) pasekmių rimtumą fiziniams asmenims;
5) specialias fizinio asmens savybes (pvz., duomenys susiję su vaikais ar kitais pažeidžiamais asmenimis);
6) nukentėjusiųjų fizinių asmenų skaičių;
7) specialias duomenų valdytojo savybes (pvz., veiklos pobūdį).
Vertinant riziką, turėtų būti laikoma, kad pažeidimas, galintis kelti pavojų asmenų teisėms ir laisvėms yra toks, dėl kurio, laiku nesiėmus tinkamų priemonių, fiziniai asmenys gali patirti kūno sužalojimą, materialinę ar nematerialinę žalą, pvz., prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi.
Įvertinus riziką rekomenduojama nustatyti rizikos tikimybės dydį:
1) žema rizikos tikimybė;
2) vidutinė rizikos tikimybė;
3) didelė (aukšta) rizikos tikimybė.
Įvertinęs ir nustatęs minėtus aspektus organizacijos atsakingas asmuo turi pateikti duomenų valdytojo vadovui (ar jo įgaliotam asmeniui) išvadą dėl pažeidimo buvimo ir rizikos fizinių asmenų teisėms bei laisvėms įvertinimo. Duomenų valdytojo vadovas (ar jo įgaliotas asmuo) turi priimti sprendimą dėl tolimesnių veiksmų, susijusių su asmens duomenų saugumo pažeidimu. Rizikoms vertinti gali būti naudojamas naudoti Allaw Rizikų fizinių asmenų teisėms ir laisvėms pagal BDAR vertinimo įrankis.
Pranešimai VDAI ir duomenų subjektams
Vadovaujantis BDAR 33 str. 3 d. ir Valstybinės duomenų apsaugos inspekcijos (VDAI) 2018 m. liepos 02 d. rekomendacija „Dėl asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos“, 29 straipsnio duomenų apsaugos darbo grupės gairėmis dėl pranešimo apie asmens duomenų saugumo pažeidimą pagal Reglamentą (ES) 2016/679, Patvirtinta 2017 m. spalio 3 d. Paskutinį kartą peržiūrėta ir patvirtinta 2018 m. vasario 6 d. tais atvejais, kai nustatoma, kad asmens duomenų saugumo pažeidimas kelia pavojų asmenų teisėms ir laisvėms duomenų valdytojas turi pranešti Valstybinei duomenų apsaugos inspekcijai (VDAI), užpildydamas VDAI direktoriaus patvirtintą formą ir nepraleisdamas 72 val. termino. Jeigu nustatoma, kad dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms duomenų valdytojas turi pranešti ir duomenų subjektams.
DAP vaidmuo duomenų saugumo incidentų tyrime
Remiantis BDAR 39 str. 1 d. a) ir b) punktais duomenų apsaugos pareigūnas informuoja duomenų valdytoją (tvarkytoją) ir jo darbuotojus apie jų prievoles ir stebi, kaip laikomasi BDAR bei konsultuoja ir atlieka kontaktinio asmens funkcijas kreipiantis ar teikiant pranešimus VDAI ar duomenų subjektams. Remiantis 29 straipsnio duomenų apsaugos darbo grupės nuomone, įvykus duomenų saugumo pažeidimui ar kitam incidentui visada privaloma nedelsiant pasikonsultuoti su duomenų apsaugos pareigūnu. Taigi, visuose aukščiau paminėtuose procesuose duomenų valdytojas gali tikėtis DAP pagalbos, t.y., duomenų apsaugos pareigūnas ne tik teikia konsultacijas, padeda numatyti pažeidimo valdymo ir prevencijos priemones, teikia išvadas dėl pažeidimo buvimo ir rizikos fizinių asmenų teisėms bei laisvėms įvertinimo, bet ir teikia pranešimus VDAI ir duomenų subjektams dėl įvykusio duomenų saugumo pažeidimo ir padeda dokumentuoti organizacijoje įvykusius duomenų saugumo incidentus.
Įvykusių duomenų saugumo incidentų dokumentavimas
Vadovaujantis BDAR 33 str. 5 d. ir Valstybinės duomenų apsaugos inspekcijos (VDAI) 2018 m. liepos 02 d. rekomendacija „Dėl asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos“, 29 straipsnio duomenų apsaugos darbo grupės gairėmis dėl pranešimo apie asmens duomenų saugumo pažeidimą pagal Reglamentą (ES) 2016/679, Patvirtinta 2017 m. spalio 3 d. Paskutinį kartą peržiūrėta ir patvirtinta 2018 m. vasario 6 d. visi asmens duomenų saugumo pažeidimai, nepriklausomai nuo to, ar apie juos buvo pranešta VDAI, ar ne, turėtų būti registruojami duomenų valdytojo Asmens duomenų saugumo pažeidimų registravimo žurnale.
Informacija apie asmens duomenų saugumo pažeidimą į Asmens duomenų saugumo pažeidimų registravimo žurnalą turėtų būti įvedama nedelsiant, kai tik nustatomas asmens duomenų saugumo pažeidimo faktas ir įvertinama rizika (rekomenduotina ne ilgiau kaip per 5 darbo dienas). Esant būtinybei, minėtame žurnale esanti informacija turėtų būti papildoma ir (ar) koreguojama. Asmens duomenų saugumo pažeidimų registravimo žurnalas turėtų būti tvarkomas raštu, įskaitant elektronine formą, ir saugomas pagal duomenų valdytojo patvirtintą dokumentų saugojimo tvarką.
Asmens duomenų saugumo pažeidimų registravimo žurnale turėtų būti nurodoma:
1) visi su asmens duomenų saugumo pažeidimu susiję faktai – pažeidimo priežastis, kas įvyko ir kokie asmens duomenys pažeisti;
2) asmens duomenų saugumo pažeidimo poveikis ir pasekmės;
3) taisomieji veiksmai (techninės priemonės), kurių buvo imtasi;
4) priežastys dėl su asmens duomenų saugumo pažeidimu susijusių sprendimų priėmimo (pvz., kodėl duomenų valdytojas nusprendė nepranešti apie pažeidimą VDAI ir (ar) duomenų subjektui, t. y. kodėl nusprendė, kad tikėtina, jog pažeidimas negali sukelti pavojaus fizinių asmenų teisėms ir laisvėms, arba kokią sąlygą įvykdė, kuomet pranešti apie Pažeidimą duomenų subjektui nereikia);
5) pranešimo VDAI pateikimo vėlavimo priežastys (jeigu pranešimą vėluojama pateikti ar pranešimas teikiamas etapais);
6) informacija, susijusi su pranešimu duomenų subjektui (pvz., ar buvo pranešta, kodėl nepranešta ir pan.);
7) kita reikšminga informacija susijusi su asmens duomenų saugumo pažeidimu (pvz., kad tyrimo metu nustatyta, jog faktiškai pažeidimo nebuvo, o buvo tik saugumo incidentas).
Duomenų valdytojas turėtų paskirti asmenį (darbuotoją), atsakingą už Asmens duomenų saugumo pažeidimų registravimo žurnalo pildymą. Remdamasi minėtame žurnale pateikta informacija, VDAI turi galėti patikrinti, kaip įgyvendinama duomenų valdytojo prievolė pranešti apie asmens duomenų saugumo pažeidimus.
VDAI rekomenduoja periodiškai peržiūrėti Asmens duomenų saugumo pažeidimų registravimo žurnale esančius įrašus ir numatyti, kokios prevencijos priemonės turėtų būti įgyvendintos bei kaip bus kontroliuojamas šių prevencijos priemonių įdiegimas, kad ateityje analogiški pažeidimai nesikartotų.
Duomenų saugumo incidentų prevencija
Siekiant išvengti duomenų saugumo pažeidimų, itin svarbu taikyti tinkamas ir duomenų tvarkymo procesų keliamas rizikas atitinkančias bei nuolat atnaujinamas technines ir organizacines duomenų saugumo priemones. Labai svarbu skirti dėmesį atitikties teisės aktų reikalavimams būklės stebėjimui bei kad parengti dokumentai: veiklos tęstinumo planas, atsarginių kopijų atlikimo tvarkos aprašas bei kitos organizacinės ir techninės priemonės būtų tinkamai taikomos, periodiškai peržiūrimos, tikrinamas jų efektyvumas ir nustačius poreikį įgyvendinamas jų atnaujinimas. Duomenų apsaugos teisės aktų stebėseną atlikti ir incidentų prevenciją organizacijoms vykdyti padeda Allaw komanda ir jos naudojamas įrankis Duomenų apsaugos teisinio reguliavimo stebėjimo įrankis.
Incidentas VĮ Registrų centre: aktualios nuostatos dėl incidentų tyrimo kiekvienam duomenų valdytojui
2020-ųjų metų iepos 24 d. Valstybinės duomenų apsaugos inspekcijos (VDAI) tinklalapyje buvo pranešta apie gautą pranešimą dėl Valstybės įmonėje Registrų centras įvykusio incidento, kurio metu buvo sutrikdytos minėtos įmonės informacinės sistemos. Dėl šio incidento kilo grėsmė šiose sistemose saugomiems asmens duomenims. Visuomenė informuota, kad šiuo metu atliekamas vidinis incidento ir galimo asmens duomenų saugumo pažeidimo tyrimas, kurį turi atlikti kiekvienas duomenų valdytojas, nustatęs arba sužinojęs, kad buvo galimai netyčia arba neteisėtai sunaikinti, prarasti, pakeisti, be leidimo atskleisti persiųsti, saugomi ar kitaip tvarkomi asmens duomenys arba prie jų be leidimo gauta prieiga. Kuo vadovautis ir kaip atlikti galimo duomenų saugumo pažeidimo tyrimą, kad būtų užtikrinta Bendrojo duomenų apsaugos reglamento (BDAR) nuostatų atitiktis?
Teisės aktai, kuriais reikalinga vadovautis atliekant galimo duomenų saugumo pažeidimo tyrimą
Duomenų valdytojas, tirdamas duomenų saugumo incidentą (galimą duomenų saugumo pažeidimą), turėtų vadovautis pagal BDAR 33-34 str. nuostatas, 29 straipsnio duomenų apsaugos darbo grupės gairėmis dėl pranešimo apie asmens duomenų saugumo pažeidimą pagal Reglamentą (ES) 2016/679, Patvirtinta 2017 m. spalio 3 d. Paskutinį kartą peržiūrėta ir patvirtinta 2018 m. vasario 6 d., Valstybinės duomenų apsaugos inspekcijos (VDAI) 2018 m. liepos 02 d. rekomendacija „Dėl asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos“ parengta ir patvirtinta Duomenų valdytojo asmens duomenų saugumo pažeidimų fiksavimo, tyrimo, dokumentavimo ir pranešimo apie juos VDAI bei duomenų subjektams tvarka. Šioje tvarkoje rekomenduojama numatyti procesus, kurių reikia laikytis įvykus pažeidimui:
Procesai, kurių reikia laikytis įvykus pažeidimui:
1) Pranešimas apie galimą pažeidimą (rekomenduojama nurodyti, kas (darbuotojai), kada (vos pastebėjus galimą pažeidimą), kam (įgaliotiems imtis priemonių asmenims) ir kokia forma (rekomenduotina informaciją teikti visais įmanomais būdais) turi pranešti apie galimą pažeidimą ir pan.);
2) Pranešimų tyrimo eiga (rekomenduojama nurodyti, koks saugumo incidentas tiriamas, kokiu būdu vertinama rizika, kada pranešama VDAI ir (ar) duomenų subjektui ir pan.);
3) Pažeidimų dokumentavimas (rekomenduojama nurodyti, kas registruoja asmens duomenų saugumo pažeidimus, kokia informacija turėtų būti įrašyta Asmens duomenų saugumo pažeidimų žurnale, kur ir kokia forma šis žurnalas pildomas, kiek laiko saugomas ir pan.);
4) Tyrimo rezultatų įforminimas, pažeidimų analizė ir prevencijos priemonių įgyvendinimo kontrolė (numatant, kada peržiūrimi žurnale esantys įrašai, kada atliekama pažeidimų analizė ir prevencijos priemonių įgyvendinimas).
Galimo duomenų saugumo pažeidimo tyrimo eiga
Vadovaujantis Valstybinės duomenų apsaugos inspekcijos (VDAI) 2018 m. liepos 02 d. rekomendacija „Dėl asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos“, sužinojęs apie galimą asmens duomenų saugumo pažeidimą, už jų tyrimą organizacijos paskirtas atsakingas asmuo turi atlikti pirminį tyrimą, kurio metu turi įvertinti galimas pasekmes asmenims, t.y., įvertinti riziką.
Pirmiausia reikalinga nustatyti, koks pažeidimo pobūdis (tipas). Vadovaujantis minėta rekomendacija, galimi pažeidimo tipai:
1) konfidencialumo pažeidimas – kai yra be leidimo ar neteisėtai atskleidžiami asmens duomenys arba gaunama prieiga prie jų;
2) prieinamumo pažeidimas – kai netyčia arba neteisėtai prarandama prieiga prie arba sunaikinami asmens duomenys;
3) vientisumo pažeidimas – kai asmens duomenys pakeičiami be leidimo ar netyčia.
Priklausomai nuo aplinkybių, Pažeidimas tuo pat metu gali sietis su asmens duomenų konfidencialumu, prieinamumu ir vientisumu, taip pat su kuriuo nors jų deriniu.
Priklausomai nuo pažeidimo pobūdžio (tipo), atliekant pirminį tyrimą ir siekiant nustatyti, ar pažeidimas iš tikrųjų įvyko, turėtų būti išsaugomi esamos situacijos įrodymai bei vėliau naudojamos visos tinkamos techninės ir organizacinės priemonės, pvz., duomenų srauto ir prisijungimų analizės įrankiai bei kt.
Vertinant riziką, kuri gali atsirasti dėl pažeidimo, turėtų būti atsižvelgiama į konkrečias pažeidimo aplinkybes, pavojaus duomenų subjekto teisėms ir laisvėms atsiradimo tikimybę ir rimtumą.
Rizika turėtų būti vertinama remiantis objektyviu įvertinimu ir atsižvelgiant į šiuos kriterijus:
1) asmens duomenų saugumo pažeidimo tipą;
2) asmens duomenų pobūdį, apimtis (pvz., specialių kategorijų asmens duomenys);
3) kaip lengvai identifikuojamas fizinis asmuo;
4) pasekmių rimtumą fiziniams asmenims;
5) specialias fizinio asmens savybes (pvz., duomenys susiję su vaikais ar kitais pažeidžiamais asmenimis);
6) nukentėjusiųjų fizinių asmenų skaičių;
7) specialias duomenų valdytojo savybes (pvz., veiklos pobūdį).
Vertinant riziką, turėtų būti laikoma, kad pažeidimas, galintis kelti pavojų asmenų teisėms ir laisvėms yra toks, dėl kurio, laiku nesiėmus tinkamų priemonių, fiziniai asmenys gali patirti kūno sužalojimą, materialinę ar nematerialinę žalą, pvz., prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi.
Įvertinus riziką rekomenduojama nustatyti rizikos tikimybės dydį:
1) žema rizikos tikimybė;
2) vidutinė rizikos tikimybė;
3) didelė (aukšta) rizikos tikimybė.
Įvertinęs ir nustatęs minėtus aspektus organizacijos atsakingas asmuo turi pateikti duomenų valdytojo vadovui (ar jo įgaliotam asmeniui) išvadą dėl pažeidimo buvimo ir rizikos fizinių asmenų teisėms bei laisvėms įvertinimo. Duomenų valdytojo vadovas (ar jo įgaliotas asmuo) turi priimti sprendimą dėl tolimesnių veiksmų, susijusių su asmens duomenų saugumo pažeidimu. Rizikoms vertinti gali būti naudojamas naudoti Allaw Rizikų fizinių asmenų teisėms ir laisvėms pagal BDAR vertinimo įrankis.
Pranešimai VDAI ir duomenų subjektams
Vadovaujantis BDAR 33 str. 3 d. ir Valstybinės duomenų apsaugos inspekcijos (VDAI) 2018 m. liepos 02 d. rekomendacija „Dėl asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos“, 29 straipsnio duomenų apsaugos darbo grupės gairėmis dėl pranešimo apie asmens duomenų saugumo pažeidimą pagal Reglamentą (ES) 2016/679, Patvirtinta 2017 m. spalio 3 d. Paskutinį kartą peržiūrėta ir patvirtinta 2018 m. vasario 6 d. tais atvejais, kai nustatoma, kad asmens duomenų saugumo pažeidimas kelia pavojų asmenų teisėms ir laisvėms duomenų valdytojas turi pranešti Valstybinei duomenų apsaugos inspekcijai (VDAI), užpildydamas VDAI direktoriaus patvirtintą formą ir nepraleisdamas 72 val. termino. Jeigu nustatoma, kad dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms duomenų valdytojas turi pranešti ir duomenų subjektams.
DAP vaidmuo duomenų saugumo incidentų tyrime
Remiantis BDAR 39 str. 1 d. a) ir b) punktais duomenų apsaugos pareigūnas informuoja duomenų valdytoją (tvarkytoją) ir jo darbuotojus apie jų prievoles ir stebi, kaip laikomasi BDAR bei konsultuoja ir atlieka kontaktinio asmens funkcijas kreipiantis ar teikiant pranešimus VDAI ar duomenų subjektams. Remiantis 29 straipsnio duomenų apsaugos darbo grupės nuomone, įvykus duomenų saugumo pažeidimui ar kitam incidentui visada privaloma nedelsiant pasikonsultuoti su duomenų apsaugos pareigūnu. Taigi, visuose aukščiau paminėtuose procesuose duomenų valdytojas gali tikėtis DAP pagalbos, t.y., duomenų apsaugos pareigūnas ne tik teikia konsultacijas, padeda numatyti pažeidimo valdymo ir prevencijos priemones, teikia išvadas dėl pažeidimo buvimo ir rizikos fizinių asmenų teisėms bei laisvėms įvertinimo, bet ir teikia pranešimus VDAI ir duomenų subjektams dėl įvykusio duomenų saugumo pažeidimo ir padeda dokumentuoti organizacijoje įvykusius duomenų saugumo incidentus.
Įvykusių duomenų saugumo incidentų dokumentavimas
Vadovaujantis BDAR 33 str. 5 d. ir Valstybinės duomenų apsaugos inspekcijos (VDAI) 2018 m. liepos 02 d. rekomendacija „Dėl asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos“, 29 straipsnio duomenų apsaugos darbo grupės gairėmis dėl pranešimo apie asmens duomenų saugumo pažeidimą pagal Reglamentą (ES) 2016/679, Patvirtinta 2017 m. spalio 3 d. Paskutinį kartą peržiūrėta ir patvirtinta 2018 m. vasario 6 d. visi asmens duomenų saugumo pažeidimai, nepriklausomai nuo to, ar apie juos buvo pranešta VDAI, ar ne, turėtų būti registruojami duomenų valdytojo Asmens duomenų saugumo pažeidimų registravimo žurnale.
Informacija apie asmens duomenų saugumo pažeidimą į Asmens duomenų saugumo pažeidimų registravimo žurnalą turėtų būti įvedama nedelsiant, kai tik nustatomas asmens duomenų saugumo pažeidimo faktas ir įvertinama rizika (rekomenduotina ne ilgiau kaip per 5 darbo dienas). Esant būtinybei, minėtame žurnale esanti informacija turėtų būti papildoma ir (ar) koreguojama. Asmens duomenų saugumo pažeidimų registravimo žurnalas turėtų būti tvarkomas raštu, įskaitant elektronine formą, ir saugomas pagal duomenų valdytojo patvirtintą dokumentų saugojimo tvarką.
Asmens duomenų saugumo pažeidimų registravimo žurnale turėtų būti nurodoma:
1) visi su asmens duomenų saugumo pažeidimu susiję faktai – pažeidimo priežastis, kas įvyko ir kokie asmens duomenys pažeisti;
2) asmens duomenų saugumo pažeidimo poveikis ir pasekmės;
3) taisomieji veiksmai (techninės priemonės), kurių buvo imtasi;
4) priežastys dėl su asmens duomenų saugumo pažeidimu susijusių sprendimų priėmimo (pvz., kodėl duomenų valdytojas nusprendė nepranešti apie pažeidimą VDAI ir (ar) duomenų subjektui, t. y. kodėl nusprendė, kad tikėtina, jog pažeidimas negali sukelti pavojaus fizinių asmenų teisėms ir laisvėms, arba kokią sąlygą įvykdė, kuomet pranešti apie Pažeidimą duomenų subjektui nereikia);
5) pranešimo VDAI pateikimo vėlavimo priežastys (jeigu pranešimą vėluojama pateikti ar pranešimas teikiamas etapais);
6) informacija, susijusi su pranešimu duomenų subjektui (pvz., ar buvo pranešta, kodėl nepranešta ir pan.);
7) kita reikšminga informacija susijusi su asmens duomenų saugumo pažeidimu (pvz., kad tyrimo metu nustatyta, jog faktiškai pažeidimo nebuvo, o buvo tik saugumo incidentas).
Duomenų valdytojas turėtų paskirti asmenį (darbuotoją), atsakingą už Asmens duomenų saugumo pažeidimų registravimo žurnalo pildymą. Remdamasi minėtame žurnale pateikta informacija, VDAI turi galėti patikrinti, kaip įgyvendinama duomenų valdytojo prievolė pranešti apie asmens duomenų saugumo pažeidimus.
VDAI rekomenduoja periodiškai peržiūrėti Asmens duomenų saugumo pažeidimų registravimo žurnale esančius įrašus ir numatyti, kokios prevencijos priemonės turėtų būti įgyvendintos bei kaip bus kontroliuojamas šių prevencijos priemonių įdiegimas, kad ateityje analogiški pažeidimai nesikartotų.
Duomenų saugumo incidentų prevencija
Siekiant išvengti duomenų saugumo pažeidimų, itin svarbu taikyti tinkamas ir duomenų tvarkymo procesų keliamas rizikas atitinkančias bei nuolat atnaujinamas technines ir organizacines duomenų saugumo priemones. Labai svarbu skirti dėmesį atitikties teisės aktų reikalavimams būklės stebėjimui bei kad parengti dokumentai: veiklos tęstinumo planas, atsarginių kopijų atlikimo tvarkos aprašas bei kitos organizacinės ir techninės priemonės būtų tinkamai taikomos, periodiškai peržiūrimos, tikrinamas jų efektyvumas ir nustačius poreikį įgyvendinamas jų atnaujinimas. Duomenų apsaugos teisės aktų stebėseną atlikti ir incidentų prevenciją organizacijoms vykdyti padeda Allaw komanda ir jos naudojamas įrankis Duomenų apsaugos teisinio reguliavimo stebėjimo įrankis.
Nuorodos