Kaip elgtis įvykus asmens duomenų saugumo pažeidimui?
Su saugumu elektroninėje erdvėje glaudžiai susijusi ir asmens duomenų apsauga, nes įvykus kibernetinės erdvės saugumo incidentui gali kilti įvairių grėsmių žmonių teisėms bei laisvėms, pavyzdžiui, diskriminacija, tapatybės vagystė ar suklastojimas, ekonominė ar socialinė žala, duomenų kontrolės, asmens duomenų, kurie laikomi profesine paslaptimi, konfidencialumo praradimas, geros reputacijos netekimas, sugadintas įvaizdis.
Asmens duomenų saugumo pažeidimu laikomas toks incidentas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga. Šis asmens duomenų saugumo pažeidimo apibrėžimas pateikiamas 2018 m. gegužės 25 d. pradėtame taikyti Bendrajame duomenų apsaugos reglamente ir Asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatyme.
Svarbu atkreipti dėmesį, kad įvykus asmens duomenų apsaugos reformai ir pradėjus taikyti naujas asmens duomenų apsaugos taisykles visos įmonės, įstaigos, kitos organizacijos ir asmenys, tvarkantys asmens duomenis su profesija susijusiais tikslais, t. y. duomenų valdytojai, patyrę duomenų saugumo pažeidimus, privalo ne tik imtis veiksmų pažeidimams pašalinti, bet ir informuoti apie tai priežiūros instituciją – Valstybinę duomenų apsaugos inspekciją.
Valstybinė duomenų apsaugos inspekcija, siekdama padėti asmens duomenis tvarkančioms organizacijoms suprasti, kokios pareigos joms tenka įvykus asmens duomenų saugumo pažeidimui, parengė rekomendaciją „Dėl asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos“.
Šioje rekomendacijoje apžvelgta:
– Kas yra asmens duomenų saugumo pažeidimai;
– Kokiems asmenims privaloma pranešti apie galimą asmens duomenų saugumo pažeidimą;
– Kaip turi vykti asmens duomenų saugumo pažeidimo tyrimas;
– Pareiga pateikti pranešimą priežiūros institucijai ne vėliau kaip per 72 val. nuo sužinojimo apie pažeidimą, o jeigu abejojama, ar yra rizika fizinių asmenų teisėms ir laisvėms ir ar reikia pranešti apie pažeidimą Valstybinei duomenų apsaugos inspekcijai – rekomenduojama pranešti;
– Kokiais atvejais pranešimas turi būti pateikiamas ir duomenų subjektui, t. y. asmeniui, kurio asmens duomenys susiję su incidentu;
– Asmens duomenų saugumo pažeidimų dokumentavimo pareiga.
Minėtą rekomendaciją (https://www.ada.lt/go.php/lit/Rekomendacija-del-asmens-duomenu-saugumo-pazeidimu-nustatymo-tyrimo-praneimo-apie-juos-ir-dokumentavimo-tvarkos-2018-m) ir Valstybinei duomenų apsaugos inspekcijai teikiamo pranešimo formą bei galimybę pateikti pranešimą elektroniniu būdu (https://www.ada.lt/go.php/lit/Pranesimas-apie-duomenu-saugumo-pazeidima-bdar/4/1) galite rasti inspekcijos interneto svetainėje.