BDAR 34 str. numato, kad, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas turi pranešti duomenų subjektui. Pranešant labai svarbu, kad duomenų subjektams aiškia ir paprasta kalba būtų pranešta apie: asmens duomenų saugumo pažeidimo pobūdį (kas nutiko, kokie duomenys buvo pažeisti), duomenų apsaugos pareigūno kontaktinius duomenis (arba kito asmens, su kuriuo duomenų subjektai gali susisiekti dėl įvykusių duomenų saugumo pažeidimo), tikėtinas duomenų saugumo pažeidimo pasekmes, priemones, kurių ėmėsi duomenų valdytojas ir kurių siūlo imtis duomenų subjektams.
Duomenų subjektų informavimo būdus pasirenka pats duomenų valdytojas, kaip savo rekomendacijose dėmesį atkreipia VDAI, duomenų subjektas turėtų būti informuotas tiesiogiai, pvz., siunčiant pranešimą el. paštu, SMS žinute ar pan. Šis pranešimas turi būti atskirtas nuo kitos informacijos, tokios kaip nuolatiniai atnaujinimai, naujienlaiškiai ar standartiniai pranešimai. Tais atvejais, kai tiesioginio pranešimo duomenų subjektui pateikimas pareikalautų neproporcingai daug pastangų (pvz., yra daug duomenų subjektų ir ne visų kontaktai yra žinomi), apie įvykusį pažeidimą gali būti paskelbiama viešai arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai, pvz., pranešimas žinomos interneto svetainės antraštėje ar pranešimuose. Nors konkretaus termino informuoti duomenų subjektus BDAR nenumato, VDAI rekomenduoja tą padaryti per 72 val. nuo pažeidimo nustatymo momento. CityBee savo klientus pasirinko informuoti el. paštu, įmonės interneto svetainėje apie įvykusį pažeidimą informacijos šiai dienai paskelbta nėra. Kiekvienas duomenų valdytojas turi imtis reikiamų priemonių jo tvarkomų asmens duomenų apsaugai, tačiau taip pat turi nepamiršti, kad net ir saugiausios sistemos gali tapti programišių taikiniu ir būti pasiruošus pranešti apie duomenų saugumo pažeidimą yra itin svarbu. Tam duomenų valdytojams rekomenduojame: būti pasitvirtinus asmens duomenų saugumo pažeidimų nustatymo, tyrimo ir pranešimo apie juos tvarkos aprašą, būti paskyrus už asmens duomenų saugumo pažeidimų nustatymą, tyrimą ir pranešimą atsakingus asmenis, būti pasitvirtinus pranešimo duomenų subjektams apie duomenų saugumo pažeidimą formą, būti apgalvojus duomenų subjektų kategorijų informavimo būdus (pvz., kaip bus informuojami tie duomenų subjektai kurių kontaktiniai duomenys duomenų valdytojui žinomi ir tie, kurių duomenų valdytojas nežino), - būti pasirengus techniškai įgyvendinti visas aukščiau aptartas informavimo priemones.
|
|