Back to the top

Duomenų saugos pažeidimų pranešimo tvarkos aprašas

Duomenų saugos pažeidimų pranešimo tvarkos aprašas

Duomenų saugos pažeidimų pranešimo tvarkos aprašas (angl. Personal Data Breach Notification Procedure) – organizacijos vidaus teisės aktas, kuriuo įgyvendinami BDAR reikalavimai. Konkrečiai, nustatoma 33-34 BDAR str. įtvirtinta duomenų valdytojo pareiga pranešti apie duomenų saugos pažeidimą priežiūros institucijai ir duomenų subjektui įgyvendinimo tvarka. Šis dokumentas yra organizacijos asmens duomenų tvarkymo dokumentacijos dalis, taip pat Reagavimo į asmens duomenų saugumo incidentus tvarkos aprašo, kuriame aprašomas bendras reagavimo į Bendrovės  asmens duomenų saugumo pažeidimus procesas, dalis.

BDAR reikalavimai numato, kad priežiūros institucijai apie duomenų saugos pažeidimą pranešama per 72 valandas, o duomenų subjektams nepagrįstai nedelsiant. VDAI rekomendacijose dėl techninių ir organizacinių duomenų saugumo priemonių[1] nustatyta, kad tiek duomenų valdytojai, tiek duomenų tvarkytojai turi turėti atitinkamas procedūras pranešti apie asmens duomenų saugumo pažeidimus. Atsižvelgiant į tai bei kadangi BDAR yra nustatomi įpareigojantys terminai, duomenų saugos pažeidimų pranešimo tvarkos aprašas reikalingas, jog organizacijoje būtų nustatyta tvarka kaip toks pranešimas būtų greitai perduodamas adresatams. Taigi šio aprašo tikslas ir pagrindinė paskirtis yra nustatyti pranešimų apie asmens duomenų saugumo pateikimo priežiūros institucijai ir duomenų subjektui eigą.

Duomenų saugos pažeidimų pranešimo tvarkos aprašas turi numatyti:

  • kaip informacija pateikiama tiek priežiūros institucijai, tiek ir duomenų subjektams,
  • Abiem atvejais, prieš teikiant pranešimą, turi būti priimtas sprendimas, todėl apraše nurodoma, ką reikia įvertinti, prieš priimant tokį sprendimą, pvz., prieš teikiant pranešimą priežiūros institucijai turi būti įvertinamas pažeidimo pavojaus lygis. Antrasis žingsnis yra paties pranešimo siuntimas. Aprašas nustato tokių pranešimų formas, turinį, pateikimo būdus, pvz., numatyta, kompetentinga priežiūros institucija ir kiti reikalingi duomenys (siuntimo būdai, adresas ir pan.) Prie aprašo yra pridėtos atitinkamų pranešimų formos.

Tinkamai parengtas duomenų saugos pažeidimų pranešimo tvarkos aprašas leis greitai ir efektyviai perduoti informaciją BDAR nustatytiems subjektams, juo įgyvendinama dalis procedūros – Reagavimas į asmens duomenų saugumo incidentus, nors pastarajam būtinas atskiras aprašas.

[1]  Valstybinė duomenų apsaugos inspekcija. TINKAMŲ ORGANIZACINIŲ IR TECHNINIŲ DUOMENŲ SAUGUMO PRIEMONIŲ ĮGYVENDINIMO GAIRĖS ASMENS DUOMENŲ VALDYTOJAMS IR TVARKYTOJAMS. 2018-10-31. https://www.ada.lt/go.php/lit/20-minimaliu-reikalavimu-kurie-pades-apsaugoti-asmens-duomenis-kiekvienoje-organizacijoje-,14 p.

Kategorijos: Asmens duomenų apsauga, Informacinės technologijos, Pardavimai ir rinkodara, Personalas, Taisyklės, instrukcijos, tvarkos
© 2025 DOMUS AUREA, UAB