When do you need to notify a data breach?

Ar Jūsų tvarkomi asmens duomenys buvo prarasti, pavogti ar pažeisti?

Is the processing likely to result in high risks?

Do any exceptions apply?

It’s important that you notify the competent data protection authority (DPA) within 72h.

If the data breach affects individuals in more than one country across Europe, you need to notify the lead DPA.

Is the data breach likely to result in a high risk to individuals’ rights and freedoms?

Ar man reikia atlikti PDAV?

Taip, jums reikia atlikti PDAV

Ar didelė rizika išlieka po atlikto PDAV?

Ar man reikia atlikti PDAV?

No personal data breach has occurred.

Consult your Data Protection Authority

You don’t need to notify the data protection authority or individuals.

You need to document all data breaches in a record.

Duomenų saugumo pažeidimai gali turėti neigiamą poveikį jūsų organizacijai. Nuo finansinių nuostolių, baudų iki klientų pasitikėjimo mažėjimo –  duomenų saugumo pažeidimų poveikis gali būti didžiulis. Todėl labai svarbu įgyvendinti gerąsias kibernetinio saugumo patirtis ir procedūras, siekiant užkirsti kelią saugumo incidentams. Nepaisant to, vis tiek galite patirti duomenų saugumo pažeidimą, apie kurį gali tekti pranešti atitinkamai duomenų apsaugos institucijai (DAI) arba informuoti nukentėjusius asmenis. 

Kas yra „asmens duomenų saugumo pažeidimas“

Asmens duomenų saugumo pažeidimas reiškia „saugumo pažeidimą, dėl kurio atsitiktinai arba neteisėtai sunaikinami, prarandami, pakeičiami, neteisėtai atskleidžiami asmens duomenys arba suteikiama prieiga prie jų“.

Organizacijos turėtų žinoti, kad asmens duomenų saugumo pažeidimas gali apimti daug daugiau nei tik asmens duomenų „praradimą“. Tai apima incidentus, darančius poveikį asmens duomenų konfidencialumui, vientisumui ar prieinamumui. Svarbu tai, kad asmens duomenų saugumo pažeidimai apima saugumo incidentus, kurie yra tiek atsitiktiniai (pvz., el. laiško siuntimas netinkamam gavėjui, USB rakto, kuriame yra klientų duomenys, praradimas ar atsitiktinis medicininių duomenų ištrininmas, kurių atsarginių kopijų nėra), tiek tyčiniai (pvz., sukčiavimo atakos siekiant gauti prieigą prie klientų duomenų).

Kitaip tariant, tai apima atvejus, kai kas nors gauna prieigą prie asmens duomenų arba perduoda juos be tinkamo leidimo arba kai asmens duomenys tampa neprieinami dėl jų užšifravimo panaudojant išpirkos reikalaujančią programinę įrangą arba atsitiktinai prarandami ar sunaikinami. Nors visi asmens duomenų saugumo pažeidimai yra saugumo incidentai, ne visi saugumo incidentai būtinai yra asmens duomenų saugumo pažeidimai (nes gali nebūti jokių asmens duomenų, susijusių su konkrečiu saugumo incidentu).

Duomenų valdytojų pareigos

Jei jūsų MVĮ veikia kaip duomenų valdytoja, yra trys pagrindiniai principai, susiję su duomenų saugumo pažeidimais.

  1. dokumentuoti bet kokius asmens duomenų saugumo pažeidimus.
  2. per 72 valandas pranešti atitinkamai duomenų apsaugos institucijai (DAI) apie bet kokį asmens duomenų saugumo pažeidimą, išskyrus atvejus, kai mažai tikėtina, kad dėl jo kils pavojus asmenims; ir
  3. nepagrįstai nedelsiant pranešti apie tą pažeidimą asmenims, kai dėl pažeidimo gali kilti didelis pavojus jų teisėms.

Labai svarbu, kad duomenų valdytojai suprastų ir laikytųsi šių įsipareigojimų bei iš anksto įgyvendintų atitinkamas procedūras, kurios leistų jiems laiku objektyviai nustatyti, ar reikia kurio nors iš aukščiau minėtų pranešimų.

Bet kuriuo atveju dėl visų pažeidimų, net ir tų, apie kuriuos nebuvo pranešta duomenų apsaugos institucijai, remiantis tuo, kad jie buvo įvertinti kaip nekeliantys pavojaus, duomenų valdytojas privalo užregistruoti bent pagrindines pažeidimo detales, jo įvertinimą, jo poveikį ir priemones, kurių buvo imtasi reaguojant, kaip reikalaujama pagal BDAR 33 straipsnio 5 dalį.

Ką daryti ir kaip imtis veiksmų?

 

Pranešimas apie duomenų pažeidimą atitinkamai DAI

Pagal BDAR 33 straipsnio 1 dalį apie visus duomenų saugumo pažeidimus turėtų būti pranešta atitinkamai DAI, išskyrus tuos, kurie neturėtų kelti jokio pavojaus asmenims. Tam, kad būtų lengviau pranešti apie įvykusį pažeidimą, DAI parengė pranešimų formas ar elektroninius vedlius, kurie padės jums žingsnis po žingsnio užtikrinti, kad pateiktumėte visą reikiamą informaciją.

Jei pažeidimas padaromas tvarkant duomenis keliose skirtingose valstybėse, ir apie jį būtina pranešti, duomenų valdytojas, jei jis įsisteigęs EEE, turi apie tai pranešti vadovaujančiai DAI. Vadinasi, rengdamas savo atsako į pažeidimus planą, duomenų valdytojas turėtų įvertinti, kuri DAI yra vadovaujanti ir jai teikti pranešimus. Jei duomenų valdytojui kyla abejonių dėl vadovaujančios DAI nustatymo, tuomet reikėtų pranešti valstybės, kurioje įvyko duomenų saugumo pažeidimas, DAI.

Kai reikia pranešti, tai turi būti padaryta kuo greičiau bet ne vėliau kaip per 72 valandas po to, kai buvo sužinota apie pažeidimą. Jei tai neįmanoma, būtina pateikti vėlavimo priežastis. Laikoma, kad organizacija „sužino“, tuomet, kai yra pakankamai aišku, kad įvyko saugumo incidentas ir kilo pavojus asmens duomenims.

Siekiant įrodyti atitinkamai DAI, kada ir kaip paaiškėjo, kad įvyko asmens duomenų saugumo pažeidimas, rekomenduojama, kad kiekviena organizacija, nustatydama savo vidaus procedūras, susijusias su asmens duomenų saugumo pažeidimais, įdiegtų sistemą, kurioje būtų registruojama, kaip ir kada jos sužinojo apie asmens duomenų saugumo pažeidimus ir kaip buvo įvertinta galima pažeidimo keliama rizika.

Jei per 72 valandas DAI neįmanoma pateikti visos svarbios informacijos, pranešimas turėtų būti teikiamas keliais etapais. Pateikus pirminį pranešimą,  papildoma informacija galėtų būti teikiama kitais etapais.

Be to, pagal BDAR 33 straipsnio 2 dalį, jei jūsų MVĮ yra duomenų tvarkytojas, tvarkantis asmens duomenis kitos organizacijos vardu, apie bet kokį asmens duomenų saugumo pažeidimą privalote nedelsdamas pranešti duomenų valdytojui. Tai labai svarbu, kad duomenų valdytojas galėtų laiku įvykdyti savo pareigą pranešti įvykusį incidentą. Pranešimo apie pažeidimus reikalavimai taip pat turėtų būti išsamiai išdėstyti duomenų valdytojo ir duomenų tvarkytojo sutartyje, kaip reikalaujama pagal BDAR 28 straipsnį.

Pranešime atitinkamai DAI apie asmens duomenų saugumo pažeidimą reikia nurodyti:

  • apibūdinti asmens duomenų saugumo pažeidimo pobūdį, kai įmanoma nurodant atitinkamų asmens duomenų kategorijas ir apytikslį paveiktų asmenų skaičių, taip pat atitinkamų asmens duomenų įrašų kategorijas ir apytikslį skaičių;
  • pranešti duomenų apsaugos pareigūno (DAP) arba kito kontaktinio asmens, kuris gali suteikti daugiau informacijos, vardą, pavardę ir kontaktinius duomenis;
  • apibūdinti tikėtinas asmens duomenų saugumo pažeidimo pasekmes; ir
  • apibūdinti priemones, kurių buvo imtasi arba kurių MVĮ ketina imtis, kad suvaldytų asmens duomenų saugumo pažeidimą, įskaitant, kai reikalinga, priemones galimam neigiamam jo poveikiui sušvelninti.

Pranešimas apie šį pažeidimą nukentėjusiems asmenims

Be to, apie kai kuriuos duomenų saugumo pažeidimus turi būti nedelsiant pranešama nukentėjusiems asmenims. Taip yra tada, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinio asmens teisėms ir laisvėms.

Šio reikalavimo tikslas – užtikrinti, kad nukentėję asmenys galėtų imtis būtinų atsargumo priemonių įvykus incidentams, dėl kurių jiems gali kilti didelė rizika.

Tokie pranešimai asmenims turi būti pateikiami nedelsiant ir prireikus glaudžiai bendradarbiaujant su atitinkama DAI. Tais atvejais, kai nedelsiant reikia sumažinti tiesioginį pavojų asmenims, komunikacija turi būti greita. 

Yra aplinkybių, kai duomenų valdytojai neprivalo pranešti asmenims, pavyzdžiui:

  • duomenų valdytojas užšifravo duomenis ir nebuvo pažeisti šifravimo raktai;
  • duomenų valdytojas ėmėsi tolesnių priemonių, kuriomis užtikrinama, kad nebekiltų didelio pavojaus asmenų teisėms ir laisvėms;

arba

  • tam reikėtų neproporcingų pastangų. Tačiau tokiu atveju duomenų valdytojas vis tiek privalo viešu pranešimu ar panašia priemone užtikrinti, kad asmenys būtų vienodai veiksmingai informuojami.

 

Šiame pranešime asmeniui aiškia ir paprasta kalba turėtų būti įvardintas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama bent ši informacija:

  • duomenų apsaugos pareigūno arba kito kontaktinio asmens, kuris gali suteikti daugiau informacijos, vardas, pavardė (pavadinimas) ir kontaktiniai duomenys;
  • galimų asmens duomenų saugumo pažeidimo pasekmių aprašymas; ir
  • priemonės, kurių ėmėsi arba ketina imtis organizacija, kad pašalintų asmens duomenų saugumo pažeidimą, įskaitant, kai tinkama, priemones galimam neigiamam jo poveikiui sušvelninti.
  • Pranešime taip pat turėtų būti pateikiamos atitinkamiems asmenims skirtos rekomendacijos, kaip sušvelninti galimą neigiamą pažeidimo poveikį.

Duomenų valdytojai ir duomenų tvarkytojai raginami iš anksto planuoti ir įdiegti procesus, kad būtų galima nustatyti ir nedelsiant sustabdyti pažeidimą, įvertinti asmenims kylančią riziką ir nustatyti, ar būtina pranešti apie pažeidimą kompetentingai duomenų apsaugos institucijai, ir prireikus pranešti apie pažeidimą atitinkamiems asmenims.

Kada reikia pranešti apie duomenų saugumo pažeidimą?

Kada reikia pranešti apie duomenų saugumo pažeidimą?