aA
Identifikavus duomenų saugumo pažeidimą, įmonė turėtų įsivertinti, ar minėtas pažeidimas gali kelti pavojų fizinių asmenų teisėms ir laisvėms.
Aurelija Rutkauskaitė
© Bendrovės archyvas

Pavyzdžiui, toks pavojus mažai tikėtinas, jeigu prarasti asmens duomenys jau ir taip yra viešai prieinami ir publikuojami, o prieiga prie jų turi bet kuris suinteresuotas asmuo. Arba, pavyzdžiui, jeigu duomenų valdytojo prarasti asmens duomenys buvo užšifruoti, ir įsilaužėlis neturi rakto šiems duomenimis atšifruoti. Ir atvirkščiai, pavojus fizinių asmenų teisėms ir laisvėms beveik neabejotinas, jeigu prarastų duomenų faktas galėtų reikšti, jog fiziniai asmenys gali patirti kūno sužalojimą, jų tapatybė galėtų būti pavogta, suklastota, būtų pakenkta fizinio asmens reputacijai, saugomai profesiniai paslapčiai ar, pavyzdžiui, atsirastų finansinių nuostolių ir kt.

Jeigu duomenų valdytojas nustato, jog pavojus egzistuoja, apie asmens duomenų saugumo pažeidimą privalu pranešti duomenų apsaugos priežiūros institucijai. Lietuvoje tai – Lietuvos Respublikos valstybinė duomenų apsaugos inspekcija. Jei galintis kilti pavojaus yra didelis, papildomai apie įvykusį incidentą reikės informuoti ir nukentėjusius duomenų subjektus, tačiau detaliau apie tai toliau.

Antra, ypač svarbu, kad saugumo pažeidimo atveju duomenų valdytojas privalo veikti greitai, kadangi apie įvykusį incidentą kompetentingą instituciją informuoti privalu nepagrįstai nedelsiant, bet ne vėliau kaip per 72 valandas nuo sužinojimo apie įvykusi saugumo pažeidimą.

Paprastai duomenų valdytojas yra laikomas sužinojusiu apie duomenų valdytojo saugumo pažeidimą nuo tada, kai jis turi pagrįstą pagrindą manyti, kad saugumo pažeidimas iš tiesų įvyko, o tai kartu galėjo lemti fizinių asmenų duomenų pažeidimą.

Trečia, pranešime duomenų apsaugos institucijai būtinai turi būti aprašytas asmens duomenų saugumo pažeidimo pobūdis, įskaitant, jeigu įmanoma, atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat atitinkamos asmens duomenų įrašų kategorijos ir apytikslis skaičius, nurodyta duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys, aprašytos tikėtinos asmens duomenų saugumo pažeidimo pasekmės, priemonės, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas, įskaitant, jei tinkama, priemones galimoms neigiamoms jo pasekmėms sumažinti. Visoms šioms aplinkybėms aprašyti duomenų valdytojas gali naudoti Valstybinės duomenų apsaugos inspekcijos patvirtintą pranešimo apie įvykusį duomenų saugumo pažeidimą formą.

Pažymėtina, kad pagal duomenų apsaugos reikalavimus, jeigu informacijos neįmanoma pateikti tuo pačiu metu, informacija toliau nepagrįstai nedelsiant gali būti teikiama etapais.

Ketvirta, kaip minėta, jeigu dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinio asmens teisėms ir laisvėms, duomenų valdytojas, kaip galima greičiau ir bendradarbiaudamas kartu su priežiūros institucija bei laikantis jos ar kitų valdžios institucijų nurodymų, privalo paprasta ir suprantama kalba pranešti duomenų subjektams apie įvykusį incidentą ir pranešime nurodyti asmens duomenų saugumo pažeidimo pobūdį ir kitą priežiūros institucijai teikiamą informaciją, kartu pateikiant atitinkamam fiziniam asmeniui rekomendacijas, kaip sumažinti galimą neigiamą poveikį.

Penkta, duomenų valdytojas privalo dokumentuoti įvykusį duomenų saugumo pažeidimą, įskaitant su asmens duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi.

Pažymėtina, jog šios pareigos laikymasis, be kita ko, yra svarbus dėl to, jog priežiūros institucija turi teisę patikrinti, ar buvo atlikti visi reikalingi veiksmai, susiję su duomenų saugumo pažeidimo suvaldymu, ir kaip jie buvo atlikti. Taip pat, duomenų valdytojas turi pareigą parodyti, kad iš pažeidimo buvo pasimokyta bei imtasi reikalingų veiksmų, kad tokie pažeidimai ateityje nebepasikartotų.

Aukščiau nurodytų veiksmų sekos laikymasis įvykus duomenų saugumo pažeidimui yra būtinas. Nesiėmus jų, įmonė pažeistų savo, kaip duomenų valdytojo, pareigas, kas būtų laikoma savarankišku BDAR pažeidimu, o tai reikštų dar daugiau reputacinių bei finansinių nemalonumų, įskaitant galimybė taikyti papildomą baudą ar kitas poveikio priemones, o gal ir didesnio duomenų subjektų skundų skaičiaus dėl neteisėtai tvarkomų jų asmens duomenų.

Taigi, kiekvienai įmonei itin svarbu turėti iš anksto nustatytas bei pasitvirtintas aiškias ir konkrečias asmens duomenų saugumo pažeidimų valdymo taisykles, su jomis supažindinti už saugų asmens duomenų tvarkymą įmonėje atsakingus asmenis, juos reguliariai apmokyti, kad įvykus incidentui visi žinotų, kaip elgtis, kad tiek duomenų subjektams, tiek įmonei butų padaryta kuo mažiau žalos.

Griežtai draudžiama DELFI paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti DELFI kaip šaltinį.
Įvertink šį straipsnį
Norėdami tobulėti, suteikiame jums galimybę įvertinti skaitomą DELFI turinį.
(3 žmonės įvertino)
3.6667

Top naujienos

Frakcijos x paieškos Seime: įtaria per balsavimą veikus organizuotai

Valstiečiai žalieji Seime yra pasirengę išsiaiškinti, kas sabotavo balsavimą dėl Seimo...

Karpavičiaus turtų dar reikės palaukti: teismas užšaldė antrai žmonai ir broliui paliktus milijonus (20)

Skandalingoje istorijoje, kurioje narpliojamas verslininko milijonieriaus Raimondo Karpavičiaus...

Karbauskis: nebežinau, ar turime daugumą, ieškome nebalsavusios frakcijos papildyta (251)

Lietuvos valstiečių ir žaliųjų sąjungos (LVŽS) pirmininkas Ramūnas Karbauskis jau ieško...

2020 m. sausio 19 d. siūloma paskelbti pirmalaikius Seimo rinkimus (50)

2020 m. sausio 19 d. siūloma paskelbti pirmalaikius Seimo rinkimus. Parlamentarų grupė,...

Laikui spaudžiant Johnsonas bandys dar kartą prastumti savo susitarimą su ES: laukia tikras kliūčių ruožas

Britų premjeras antradienį gali sulaukti balsavimo dėl „ Brexit “, tačiau jo kelyje yra...

Pranckietis: būsiu vienas iš pirmalaikių rinkimų iniciatorių papildyta: prabilo apie poreikį formuoti naują daugumą  (153)

Seimo pirmininkas Viktoras Pranckietis postą išsaugojo – valdančioji dauguma neįveikė antrojo...

Pasklidus dūmams iš Kauno „Akropolio“ evakuoti žmonės papildyta (22)

Antradienio popietę, apie 14 val., Kaune iš prekybos ir pramogų centro „ Akropolis “ evakuoti...

Visiškas valstiečių pralaimėjimas – Pranckietis po slapto balsavimo išsaugojo postą stebėkite komentarus tiesiogiai (556)

Antradienį rengiamas pakartotinis slaptas balsavimas Seime bus lemtingas parlamento vadovui Viktorui...

Įspėja apie plintantį raginimą valytis organizmą: preparatas gali sukelti žymiai didesnes problemas (7)

Dėl gaisro Alytuje vis dar tvyro nerimas. Socialiniuose tinkluose plinta nuotraukos su kritusiais...