Kas yra asmens duomenų saugumo pažeidimas?
Asmens duomenų saugumo pažeidimas reiškia saugumo pažeidimą, dėl kurio neatsargiai arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga.
Asmens duomenų saugumo pažeidimai pagal informacijos saugumo principus skirstomi į:
1. Konfidencialumo pažeidimą – neleistinas arba netyčinis asmens duomenų atskleidimas arba prieigos prie asmens duomenų suteikimas.
2. Vientisumo pažeidimą – neleistinas arba netyčinis asmens duomenų pakeitimas.
3. Prieinamumo pažeidimą – netyčinis arba neleistinas prieigos prie asmens duomenų praradimas arba asmens duomenų sunaikinimas.
Atsižvelgiant į aplinkybes pažeidimas vienu metu gali būti susijęs su asmens duomenų konfidencialumu, vientisumu ir prieinamumu. Asmens duomenų saugumo pažeidimas gali įvykti dėl žmogiškosios klaidos, vagystės, kibernetinio incidento, neleistinos (neautorizuotos) prieigos prie asmens duomenų, įrenginių ar programinės įrangos gedimo, saugos sistemos spragos, nenumatytos (force majeure) aplinkybės ir kitų priežasčių.
Visi asmens duomenų saugumo pažeidimai yra saugumo incidentai, tačiau ne visi saugumo incidentai būtinai yra asmens duomenų saugumo pažeidimai. Įvykus asmens duomenų saugumo pažeidimui, duomenų valdytojas negali užtikrinti BDAR įtvirtintų bendrųjų asmens duomenų tvarkymo principų.
Kokie asmens duomenų saugumo pažeidimai sukelia pavojų fizinių asmenų teisėms ir laisvėms?
Sukeliantys pavojų fizinių asmenų teisėms ir laisvėms laikomi tokie asmens duomenų pažeidimai, kurie gali sukelti šias pasekmes – kūno sužalojimą, turtinę ir neturtinę žalą, finansinius nuostolius, diskriminaciją, tapatybės vagystę ar suklastojimą, pakenkimą reputacijai, konfidencialios informacijos atskleidimą, pseudonimų panaikinimą, galimybės naudotis savo teisėmis praradimą, negalėjimą kontroliuoti savo duomenų.
Kada duomenų valdytojas privalo pranešti Valstybinei duomenų apsaugos inspekcijai apie duomenų saugumo pažeidimą?
Duomenų valdytojas privalo pranešti Valstybinei duomenų apsaugos inspekcijai apie bet kokį asmens duomenų saugumo pažeidimą, išskyrus atvejus, kai gali įrodyti, kad asmens duomenų saugumo pažeidimas nesukels pavojaus fizinių asmenų teisėms ir laisvėms. Visi asmens duomenų saugumo pažeidimai (taip pat ir tie, apie kuriuos nereikia pranešti) privalo būti registruojami nurodant su asmens duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi. Remiantis atskaitomybės principu, Valstybinei duomenų apsaugos inspekcijai paprašius, duomenų valdytojas privalo pateikti šią informaciją.
Asmens duomenų saugumo pažeidimo atveju duomenų valdytojas nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip per 72 valandoms nuo tada, kai jis sužino apie asmens duomenų saugumo pažeidimą, apie tai praneša Valstybinei duomenų apsaugos inspekcijai. Pranešime turi būti pateikiama:
1. Duomenų saugumo pažeidimo pobūdis, duomenų subjektų kategorijos, apytikslis skaičius, asmens duomenų įrašų kategorijas ir apytikslis skaičius.
2. Duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys.
3. Aprašytos tikėtinos asmens duomenų saugumo pažeidimo pasekmės.
4. Aprašytos priemonės, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas.
Valstybinė duomenų apsaugos inspekcija, gavusi pranešimą, įvertina pateiktą informaciją ir sprendžia, ar reikalingas tyrimas. Jeigu Valstybinei duomenų apsaugos inspekcijai apie asmens duomenų saugumo pažeidimą nepranešama per 72 valandas, prie pranešimo pridedamos vėlavimo priežastys.
Duomenų tvarkytojai apie kiekvieną asmens duomenų saugumo pažeidimą privalo pranešti savo duomenų valdytojui. Šią prievolę duomenų valdytojas įtvirtina susitarimuose su duomenų tvarkytojais, kurių paslaugomis naudojasi.
Kada duomenų valdytojas privalo pranešti fiziniams asmenims apie įvykusį duomenų saugumo pažeidimą?
Jei duomenų saugumo pažeidimas gali sukelti didelį pavojų fizinių asmenų teisėms ir laisvėms, BDAR įpareigoja apie tai pranešti tiesiogiai ir nedelsdami. Kitaip tariant, tai turėtų įvykti kuo greičiau. Pranešime pateikiamas:
1. Duomenų apsaugos pareigūno ar kito atsakingo asmens, vardas, pavardė ir kontaktiniai duomenys.
2. Asmens duomenų pažeidimo galimų padarinių aprašymas.
3. Priemonės, kurių buvo imtasi arba kurių siūloma imtis siekiant pašalinti asmens duomenų saugumo pažeidimą. Nesant galimybių pašalinti asmens duomenų saugumo pažeidimo, priemones, kurių buvo imtasi siekiant sušvelninti galimą neigiamą poveikį.
Valstybinė duomenų apsaugos inspekcija gali įpareigoti duomenų valdytoją informuoti fizinius asmenis apie įvykusį duomenų saugumo pažeidimą, jeigu yra pagrindas, kad kyla didelis pavojus fizinių asmenų teisėms ir laisvėms.
