PAIEŠKA:     
 
logo
 
UAB „DRUSKININKŲ VANDENYS“ ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ NUSTATYMO, TYRIMO, PRANEŠIMO APIE JUOS IR DOKUMENTAVIMO TAISYKLĖS
Priedas Nr.5

PATVIRTINTA
UAB „Druskininkų vandenys" direktoriaus
2018 m. spalio mėn. 10 d. Įsakymu Nr. 19

UAB „DRUSKININKŲ VANDENYS"
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ NUSTATYMO, TYRIMO, PRANEŠIMO APIE JUOS IR DOKUMENTAVIMO TAISYKLĖS

I SKYRIUS
BENDROSIOS NUOSTATOS

1. Šios Taisyklės reglamentuoja asmens duomenų saugumo pažeidimų aptikimo, pašalinimo ir pranešimo apie juos UAB „Druskininkų vandenys" (toliau - Bendrovė) tvarką.
2. Taisyklės parengtos vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau - BDAR) 33 ir 34 straipsniais, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (2018-06-30 įstatymo Nr. XIII-1426 redakcija, toliau - Įstatymas) ir kitais galiojančiais teisės aktais.
3. Asmens duomenų saugumo pažeidimas (toliau - Pažeidimas) - saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga (BDAR 4 straipsnio 12 punktas).
4. Atsakingas asmuo - Bendrovės vadovo įsakymu paskirtas asmuo ar struktūrinis padalinys, atsakingas už tinkamą pažeidimų valdymą (pažeidimų tyrimą, pranešimų teikimą, prevencinių priemonių įdiegimo kontrolę ir pan.).
5. VDAI - Valstybinė duomenų apsaugos inspekcija.
6. Kitos šiose Taisyklėse vartojamos sąvokos atitinka BDAR ir Įstatyme vartojamas sąvokas.
7. Šiose Taisyklėse nustatytų procedūrų privalo laikytis visi Bendrovės darbuotojai.
8. Šios Taisyklės taikomos ir Bendrovės duomenų tvarkytojams tik tais atvejais, kai tai aptarta su jais sudaromose duomenų tvarkymo sutartyse ir tiek, kiek su jais sudarytos duomenų tvarkymo sutartys ar galiojantys teisės aktai nenumato kitaip.

II SKYRIUS
INFORMAVIMAS APIE GALIMĄ PAŽEIDIMĄ

9. Bendrovės darbuotojas, sužinojęs ar pats nustatęs galimą Pažeidimą arba kai informacija apie galimą Pažeidimą gaunama iš duomenų tvarkytojo, žiniasklaidos ar bet kokio kito šaltinio, privalo nedelsdamas apie tai informuoti Atsakingą asmenį.
10. Pranešimas apie galimą Pažeidimą Atsakingam asmeniui pateikiamas žodžiu (tiesiogiai ar telefonu), raštu ar elektroninėmis priemonėmis.
11. Duomenų tvarkytojas, sužinojęs apie galimą Pažeidimą, privalo nedelsdamas (įprastai per 24 val.) apie tai pranešti Bendrovei. Tuo atveju, jei terminas nuo momento, kai Duomenų tvarkytojui tapo žinoma apie galimą Pažeidimą iki pranešimo Bendrovei yra ilgesnis nei 24 val., Duomenų tvarkytojas kartu su pranešimu pateikia Bendrovei paaiškinimą dėl uždelsto informacijos pateikimo.
12. Duomenų tvarkytojas apie Pažeidimą gali pranešti tiesiogiai VDAI, jeigu tai yra aiškiai numatyta duomenų tvarkymo sutartyje su duomenų valdytoju. Tačiau bet kuriuo atveju teisinę prievolę pranešti VDAI turi ir Bendrovė.


III SKYRIUS
PAŽEIDIMO TYRIMAS


13. Atsakingas asmuo, gavęs iš darbuotojo ar duomenų tvarkytojo informaciją apie galimą Pažeidimą, nedelsiant imasi šių veiksmų:
13.1. informuoja apie gautą informaciją dėl galimo pažeidimo Bendrovėje paskirtą duomenų apsaugos pareigūną,
13.2. atlieka pirminį tyrimą.
14. Pirminis tyrimas atliekamas siekiant išsiaiškinti, ar Pažeidimas įvyko, kokio tipo Pažeidimas įvyko bei įvertinti su pažeidimu susijusią riziką.
15. Atsakingas asmuo privalo pirminį tyrimą atlikti per kuo trumpesnį terminą, kuris įprastai negali viršyti 72 val.
16. Galimi Pažeidimo tipai:
16.1. Konfidencialumo pažeidimas - kai tyčia ar netyčia be leidimo ar neteisėtai atskleidžiami asmens duomenys ar gaunama prieiga prie jų;
16.2. Prieinamumo pažeidimas - kai tyčia ar netyčia neteisėtai prarandama prieiga prie arba sunaikinami asmens duomenys;
16.3. Vientisumo pažeidimas - kai tyčia ar netyčia asmens duomenys be leidimo pakeičiami.
17. Pažeidimas tuo pat metu gali būti vieno ar kelių tipų, t.y., sietis su asmens duomenų konfidencialumu, prieinamumu ir vientisumu, taip pat su kuriuo nors jų deriniu.
18. Priklausomai nuo Pažeidimo tipo, atliekant pirminį tyrimą, turi būti išsaugomi esamos situacijos įrodymai bei vėliau naudojamos visos tinkamos techninės ir organizacinės priemonės.
19. Vertinant riziką dėl Pažeidimo, atsižvelgiama į konkrečias Pažeidimo aplinkybes, pavojaus duomenų subjekto teisėms ir laisvėms atsiradimo tikimybę ir rimtumą.
20. Rizika vertinama objektyviu įvertinimu ir atsižvelgiant į šiuos kriterijus:
20.1. Pažeidimo tipą;
20.2. Asmens duomenų pobūdį ir apimtis;
20.3. Kaip lengvai identifikuojamas fizinis asmuo;
20.4. Pasekmių rimtumą fiziniams asmenims;
20.5. Specialias fizinio asmens savybes;
20.6. Nukentėjusių fizinių asmenų skaičių;
20.7. Specialias Bendrovės savybes.
21. Vertinant riziką, laikoma, kad Pažeidimas, galintis sukelti pavojų asmenų teisėms ir laisvėms yra tos, dėl kurio, laiku nesiėmus tinkamų priemonių, fiziniai asmenys gali patirti kūno sužalojimą, materialinę ar nematerialinę žalą.
22. Įvertinus riziką nustatoma vieno iš trijų tipų rizikos tikimybė:
22.1. Žema rizikos tikimybė;
22.2. Vidutinė rizikos tikimybė;
22.3. Didelė (aukšta) rizikos tikimybė.
23. Atlikęs šiose Taisyklėse nurodytą pirminį tyrimą, Atsakingas asmuo parengia Pažeidimo pirminio tyrimo išvadą pagal šių Taisyklių Priede Nr. 2 patvirtintą formą.
24. Pažeidimo pirminio tyrimo išvadą Atsakingas asmuo nepagrįstai nedelsdamas pateikia (raštu ar elektroninėmis priemonėmis) Bendrovės vadovui, o išvados kopiją - Bendrovėje paskirtam duomenų apsaugos pareigūnui. Bendrovės vadovas priima sprendimą dėl tolimesnių veiksmų, susijusių su Pažeidimu.
25. Po pirminio tyrimo atlikimo Atsakingas asmuo privalo:
25.1. įvertinti, ar apie Pažeidimą būtina pranešti VDAI ar/ir duomenų subjektams ir
25.2. imtis visų tinkamų techninių ir organizacinių priemonių, kad Pažeidimas būtų išsamiai ištirtas ir pašalintas bei nepasikartotų.
26. Bendrovė privalo pranešti VDAI apie visus asmens duomenų saugumo pažeidimus, išskyrus, kai tikėtina, kad toks Pažeidimas nekels pavojaus asmenų teisėms ir laisvėms.
27. Kai nustatoma, jog dėl Pažeidimo kyla didelė grėsmė fizinių asmenų teisėms ir laisvėms, Bendrovė apie Pažeidimą privalo pranešti tiek VDAI, tiek duomenų subjektui.


IV SKYRIUS
PRANEŠIMAS APIE PAŽEIDIMĄ VDAI

28. Atsakingo asmens parengtoje pirminio tyrimo išvadoje nustačius, kad Pažeidimas buvo ir, kad yra rizika fizinių asmenų teisėms ir laisvėms, Atsakingas asmuo nedelsdamas, tačiau ne vėliau kaip per 72 val. nuo sužinojimo apie Pažeidimą, privalo pranešti apie tai VDAI.
29. Pranešimas apie duomenų saugumo pažeidimą VDAI pateikiamas pagal Priede Nr. 3 numatytą rekomenduojamą formą arba laisvos formos pranešimu pateikiant žemiau nurodytą informaciją:
29.1. Duomenų valdytojo duomenis;
29.2. Duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, duomenis;
29.3. Duomenų saugumo pažeidimo pobūdį, įskaitant, jeigu įmanoma, atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat atitinkamų asmens duomenų įrašų kategorijas ir apytikslį skaičių;
29.4. Aprašytas priemones, kurių ėmėsi arba siūlo imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas arba kad būtų sumažintos jo sukeltos pasekmės;
29.5. Informaciją apie tai, ar apie asmens duomenų saugumo pažeidimą informuoti duomenų subjektai, jeigu duomenų subjektai neinformuojami, nurodomos priežastys;
29.6. Pranešimo vėlavimo priežastis, jeigu apie asmens duomenų saugumo pažeidimą pranešama vėliau nei per 72 valandas nuo tada, kai duomenų valdytojas sužinojo apie asmens duomenų saugumo pažeidimą.
30. Pranešimas apie Pažeidimą VDAI pateikiamas elektroniniu būdu VDAI interneto svetainėje.
31. Jeigu, įvertinus riziką, abejojama, ar ji yra ir ar reikia pranešti apie Pažeidimą VDAI, Atsakingam asmeniui taip pat rekomenduojama tokį pranešimą VDAI pateikti.
32. Jeigu, priklausomai nuo Pažeidimo pobūdžio, būtina atlikti išsamesnį tyrimą ir nustatyti visus svarbius faktus, susijusius su Pažeidimu ir per 72 val. nuo sužinojimo apie Pažeidimą pirminis tyrimas nėra baigiamas ir dėl objektyvių aplinkybių to padaryti neįmanoma, informaciją VDAI Atsakingas asmuo gali teikti etapais. Esant galimybei, apie informacijos teikimą etapais, VDAI turėtų būti informuota teikiant pirminį Pranešimą.
33. Jeigu po Pranešimo VDAI pateikimo, atlikus tolesnį tyrimą, yra nustatoma, kad saugumo incidentas buvo sustabdytas ir faktiškai nebuvo jokio Pažeidimo, Atsakingas asmuo apie tai nedelsiant praneša VDAI ir pažymi Žurnale.

V SKYRIUS
PRANEŠIMAS DUOMENŲ SUBJEKTUI

34. Nustačius, kad Pažeidimas buvo ir, kad yra didelė rizika fizinių asmenų teisėms ir laisvėms, Bendrovė privalo nedelsiant, įprastai ne vėliau kaip per 72 valandas, apie tai pranešti duomenų subjektui, kurio teisėms ir laisvėms dėl šio Pažeidimo gali kilti didelis pavojus. Už šios Bendrovės pareigos tinkamą įgyvendinimą atsako Atsakingas asmuo.
35. Tai, jog apie Pažeidimą buvo informuota VDAI, neatleidžia Bendrovės, kaip duomenų valdytojo, nuo pareigos informuoti duomenų subjektą.
36. Pranešime duomenų subjektui aiškia ir paprasta kalba pateikiama:
36.1. Pažeidimo pobūdžio aprašymas;
36.2. Duomenų apsaugos pareigūno kontaktiniai duomenys;
36.3. Tikėtinų Pažeidimo pasekmių aprašymas;
36.4. Priemonių, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad būtų pašalintas Pažeidimas, įskaitant (kai tinkama) priemonių galimoms neigiamoms jo pasekmėms sumažinti, aprašymas;
36.5. Kita reikšminga informacija, susijusi su Pažeidimu.
37. Duomenų subjektai apie Pažeidimą informuojami tiesiogiai el. paštu, SMS, paštu ar kitais būdais. Šis pranešimas privalo būti atskirtas nuo kitos siunčiamos informacijos, tokios kaip nuolatiniai atnaujinimai ar standartiniai pranešimai.
38. Kai tiesioginio pranešimo duomenų subjektui pateikimas pareikalautų neproporcingai daug pastangų, apie įvykusį Pažeidimą gali būti paskelbiama viešai arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuoti.
39. Bendrovė pasirenka tokius pranešimo duomenų subjektui būdus, kurie maksimaliai didintų galimybę tinkamai pranešti informaciją visiems nukentėjusiems asmenims.
40. Bendrovė gali pasirinkti kelis pranešimo duomenų subjektui apie Pažeidimą būdus.
41. Esant Pažeidimui, pranešimo duomenų subjektui teikti nereikia, jeigu:
41.1. Bendrovė įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos priemonės taikytos asmens duomenims, kuriems Pažeidimas turėjo poveikio;
41.2. Iš karto po Pažeidimo Bendrovė ėmėsi priemonių, kuriomis užtikrinama, kad nebegalėtų kilti didelis pavojus asmenų teisėms ir laisvėms;
41.3. Tai pareikalautų neproporcingai daug pastangų susisiekti su asmenimis. Tokiu atveju vietoj to apie Pažeidimą paskelbiama viešai arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.
42. Bendrovė turi galėti įrodyti VDAI, kad tinkamai vykdė pareigas informuoti duomenų subjektus arba sąlygos, kai duomenų subjektai neprivalėjo būti informuoti, iš tikrųjų egzistavo.
43. Jeigu tiriant Pažeidimą pradžioje nustatoma, kad nėra pavojaus fizinių asmenų teisėms ir laisvėms, tačiau detalesnio Pažeidimo tyrimo metu nustatoma, kad toks pavojus gali kilti, Bendrovė riziką turi įvertinti iš naujo.


VI SKYRIUS
PAŽEIDIMŲ DOKUMENTAVIMAS

44. Visi Pažeidimai, nepriklausomai nuo to, ar apie juos buvo pranešta VDAI, ar ne, registruojami Asmens duomenų saugumo pažeidimų žurnale (toliau - Žurnalas), pildomame pagal šių Taisyklių Priede Nr. 1 patvirtintą formą.
45. Informacija apie Pažeidimą į Žurnalą įvedama nedelsiant, kai tik atliekamas pirminis vertinimas (įprastai - ne vėliau kaip per 5 darbo dienas po pirminio vertinimo išvados surašymo). Esant būtinybei, Žurnale esanti informacija papildoma ir (ar) koreguojama.
46. Žurnale nurodoma:
46.1. Visi su Pažeidimu susiję faktai - Pažeidimo priežastis, kas įvyko ir kokie asmens duomenys pažeisti;
46.2. Pažeidimo poveikis ir pasekmės;
46.3. Techninės priemonės, kurių buvo imtasi;
46.4. Priežastys dėl su Pažeidimu susijusių sprendimų priėmimo;
46.5. Pranešimo VDAI pateikimo vėlavimo priežastys (jeigu Pranešimą vėluojama pateikti ar Pranešimas teikiamas etapais);
46.6. Informacija, susijusi su pranešimu duomenų subjektui;
46.7. Kita reikšminga informacija, susijusi su Pažeidimu.
47. Žurnalas tvarkomas raštu, įskaitant elektroninę formą, ir saugomas pagal Bendrovės patvirtintą dokumentų saugojimo tvarką.
48. Bendrovės paskirtas asmuo, atsakingas už Pažeidimų valdymą, laikomas atsakingu ir už Žurnalo pildymą.
49. Remdamasi Žurnale pateikta informacija, VDAI turi galėti patikrinti, kaip įgyvendinama Bendrovės, kaip duomenų valdytojo, prievolė pranešti apie Pažeidimus.
50. Žurnale esantys įrašai esant reikalui peržiūrimi ir numatoma, kokios prevencijos priemonės turėtų būti įgyvendintos bei kaip bus kontroliuojamas šių prevencijos priemonių įdiegimas, kad ateityje analogiški Pažeidimai nesikartotų.

 

VII SKYRIUS
BAIGIAMOSIOS NUOSTATOS


51. Bendrovė reguliariai, ne rečiau kaip kartą per 2 metus, atlieka pažeidimų analizę ir vertina, kokių reikėtų imtis Pažeidimų prevencijos priemonių.



UAB „DRUSKININKŲ VANDENYS"
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ
NUSTATYMO, TYRIMO, PRANEŠIMO APIE JUOS
IR DOKUMENTAVIMO TAISYKLIŲ,
patvirtintų direktoriaus
2018 m. ____________ __ d. įsakymo Nr. _________
1 priedas


ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ ŽURNALAS
Įrašo Nr.

 

PRANEŠIMO APIE GALIMĄ PAŽEIDIMĄ GAVIMAS


Pranešimo apie galimą pažeidimą data Asmuo, pranešęs apie galimą pažeidimą
Pranešimo apie pažeidimą gavimo aplinkybės ir turinys


PIRMINIS TYRIMAS


Pirminio tyrimo išvados data Pirminio tyrimo metu naudotos techninės priemonės
Pirminio tyrimo išvados santrauka (ar pažeidimas buvo, kokio tipo, kokia rizika)


PRANEŠIMAI VDAI IR DUOMENŲ SUBJEKTAMS APIE PAŽEIDIMĄ


Pranešimas VDAI Teiktas/neteiktas, jei teiktas - kada, jei neteiktas at teikiamas etapais - dėl kokių priežasčių
Pranešimai duomenų subjektams Teiktas/neteiktas, jei teiktas - kada ir kokiais būdais, jei neteiktas at teikiamas etapais - dėl kokių priežasčių


PAŽEIDIMO PASEKMĖS


Pažeidimo poveikis ir pasekmės
Pažeidimo priežastis
Taisomieji veiksmai
Kita reikšminga informacija


ĮRAŠO KOREKCIJOS


Data: Korekcijų turinys:

Atsakingas asmuo:
/Vardas, pavardė, parašas, data/

 


UAB „DRUSKININKŲ VANDENYS"
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ
NUSTATYMO, TYRIMO, PRANEŠIMO APIE JUOS
IR DOKUMENTAVIMO TAISYKLIŲ,
patvirtintų direktoriaus
2018 m. ____________ __ d. įsakymo Nr. _________
2 priedas


ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ PIRMINIO TYRIMO IŠVADA
Išvados data: Pirminį tyrimą atliko:
Pranešimo apie galimą pažeidimą data: Asmuo, pranešęs apie galimą pažeidimą:
Pranešimo apie pažeidimą gavimo aplinkybės ir turinys
Pirminio tyrimo metu naudotos techninės priemonės:
Išvados rezultatai:
Pažeidimo faktas: /įvertinti pažeidimas iš tiktųjų įvyko/neįvyko (gal buvo tik saugumo incidentas), ir pagrįsti, dėl ko taip manoma/
Pažeidimo tipas: /Konfidencialumo, prieinamumo, vientisumo - ar šių tipų derinys/
Rizikos vertinimo aprašymas: /Aprašoma, kaip buvo vertinama rizika, atsižvelgiant į pažeidimo tipą, asmens duomenų pobūdį ir apimtis, kaip lengvai identifikuojamas fizinis asmuo, pasekmių rimtumą fiziniams asmenims, specialias fizinio asmens savybes, nukentėjusių fizinių asmenų skaičių, specialias Bendrovės savybes/
Rizikos tikimybė Nėra/žema/vidutinė/aukšta
Pranešta įmonės vadovui: Taip/ne/data
Pranešimas VDAI:
Pranešimas duomenų subjektams:

Atsakingas asmuo:
/Vardas, pavardė, parašas, data/

 

 

 

 

 

 

 

 


UAB „DRUSKININKŲ VANDENYS"
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ
NUSTATYMO, TYRIMO, PRANEŠIMO APIE JUOS
IR DOKUMENTAVIMO TAISYKLIŲ
patvirtintų direktoriaus
2018 m. ____________ __ d. įsakymo Nr. _________
3 priedas

Pranešimas apie asmens duomenų saugumo pažeidimą


(duomenų valdytojo (juridinio asmens) pavadinimas, duomenų valdytojo atstovo pavadinimas, duomenų valdytojo (fizinio asmens) vardas, pavardė)

(juridinio asmens kodas ir buveinės adresas arba fizinio asmens kodas, gimimo data (jeigu asmuo neturi asmens kodo) ir asmens duomenų tvarkymo vieta

(telefono ryšio ir (ar) elektroninio pašto adresas, ir (ar) elektroninės siuntos pristatymo dėžutės adresas)


Valstybinei duomenų apsaugos inspekcijai

PRANEŠIMAS
APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ

_________________ Nr. ____
(data) (rašto numeris)

1.Asmens duomenų saugumo pažeidimo apibūdinimas

1.1. Asmens duomenų saugumo pažeidimo data ir laikas:

Asmens duomenų saugumo pažeidimo :

Data ______________ Laikas __________

Asmens duomenų saugumo pažeidimo nustatymo:

Data ______________ Laikas __________

1.2. Asmens duomenų saugumo pažeidimo vieta (pažymėti tinkamą (-us):

 Informacinė sistema
 Duomenų bazė
 Tarnybinė stotis
 Internetinė svetainė
 Debesų kompiuterijos paslaugos
 Nešiojami / mobilus įrenginiai
 Neautomatiniu būdu susistemintos bylos (archyvas)
 Kita _______________________________________________________________

1.3. Asmens duomenų saugumo pažeidimo aplinkybės (pažymėti tinkamą (-us):

 Asmens duomenų konfidencialumo praradimas (neautorizuota prieiga ar atskleidimas)
 Asmens duomenų vientisumo praradimas (neautorizuotas asmens duomenų pakeitimas)
 Asmens duomenų prieinamumo praradimas (asmens duomenų praradimas, sunaikinimas)

1.4. Apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius:
__________________________________________________________________________

1.5. Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos (atskiriamos pagal jai būdingą požymį):
____________________________________________________________________________________________________________________________________________________

1.6. Asmens duomenų, kurių saugumas pažeistas, kategorijos (pažymėti tinkamą (-as):

 Asmens tapatybę patvirtinantys asmens duomenys (vardas, pavardė, amžius, gimimo data, lytis ir kt.):
____________________________________________________________________________________________________________________________________________________

 Specialių kategorijų asmens duomenys (duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, ar narystę profesinėse sąjungose, genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie lytinį gyvenimą ir lytinę orientaciją):
______________________________________________________________________________________________________________________________________________________________________________________________________________________________

 Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas:
____________________________________________________________________________________________________________________________________________________

 Prisijungimo duomenys ir (ar) asmens identifikaciniai numeriai (pavyzdžiui, asmens kodas, mokėtojo kodas, slaptažodžiai):
____________________________________________________________________________________________________________________________________________________

 Kiti:
____________________________________________________________________________________________________________________________________________________

 Nežinomi (pranešimo teikimo metu)

1.7. Apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius:
__________________________________________________________________________

1.8. Kita duomenų valdytojo nuomone reikšminga informacija apie asmens duomenų saugumo pažeidimą:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________


2. Galimos asmens duomenų saugumo pažeidimo pasekmės

2.1. Konfidencialumo praradimo atveju:

 Asmens duomenų išplitimas labiau nei yra būtina ir duomenų subjekto kontrolės praradimas savo asmens duomenų atžvilgiu (pavyzdžiui, asmens duomenys išplito internete)
 Skirtingos informacijos susiejimas (pavyzdžiui, gyvenamosios vietos adreso susiejimas su asmens buvimo vieta realiu laiku)
 Galimas panaudojimas kitais, nei nustatytais ar neteisėtais tikslais (pavyzdžiui, komerciniais tikslais, asmens tapatybės pasisavinimo tikslu, informacijos panaudojimo prieš asmenį tikslu)
 Kita
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

2.2. Vientisumo praradimo atveju:

 Pakeitimas į neteisingus duomenis dėl ko asmuo gali netekti galimybės naudotis paslaugomis
 Pakeitimas į galiojančius duomenis, kad asmens duomenų tvarkymas būtų nukreiptas (pavyzdžiui, pavogta asmens tapatybė susiejant vieno asmens identifikuojančius duomenis su kito asmens biometriniais duomenimis)
 Kita
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


2.3. Duomenų prieinamumo praradimo atveju:

 Dėl asmens duomenų trūkumo negalima teikti paslaugų (pavyzdžiui, administracinių procesų sutrikdymas, dėl ko negalima prieiti, pavyzdžiui, prie asmens sveikatos istorijų ir teikti pacientams sveikatos paslaugų, arba įgyvendinti duomenų subjekto teises)
 Dėl klaidų asmens duomenų tvarkymo procesuose negalima teikti tinkamos paslaugos (pavyzdžiui, asmens sveikatos istorijoje neliko informacijos apie asmens alergijas, tam tikra informacija iš mokesčių deklaracijos išnyko, dėl ko negalima tinkamai apskaičiuoti mokesčių ir pan.)
 Kita
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


2.4. Kita:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________


3. Priemonės, kurių imtasi siekiant pašalinti pažeidimą ar sumažinti jo pasekmes

3.1. Taikytos priemonės siekiant sumažinti poveikį duomenų subjektams:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
3.2. Taikytos priemonės siekiant pašalinti asmens duomenų saugumo pažeidimą:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
3.3. Taikytos priemonės siekiant, kad pažeidimas nepasikartotų:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________

3.4. Kita:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________

4. Siūlomos priemonės sumažinti asmens duomenų saugumo pažeidimo pasekmėms
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________

5. Duomenų subjektų informavimas apie asmens duomenų saugumo pažeidimą

5.1. Duomenys apie informavimo faktą:

 Taip, duomenų subjektai informuoti (nurodoma data)____________________________
 Ne, bet jie bus informuoti (nurodoma data)____________________________________
 Ne

5.2. Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, neinformavimo priežastys:

 Ne, nes nekyla didelis pavojus duomenų subjektų teisėms ir laisvėms (nurodoma kodėl) ______________________________________________________________________________________________________________________________________________________________________________________________________________________________
 Ne, nes įgyvendintos tinkamos techninės ir organizacinės priemonės, užtikrinančios, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami (nurodomos kokios) ________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
 Ne, nes įgyvendintos tinkamos techninės ir organizacinės priemonės, užtikrinančios, kad nekiltų didelis pavojus duomenų subjektų teisėms ir laisvėms (nurodomos kokios) ________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
 Ne, nes tai pareikalautų neproporcingai daug pastangų ir apie tai viešai paskelbta (arba taikyta panaši priemonė) (nurodoma kada ir kur paskelbta informacija viešai arba jei taikyta kita priemonė, nurodoma kokia ir kada taikyta)
____________________________________________________________________________________________________________________________________________________
 Ne, nes dar neidentifikuoti duomenų subjektai, kurių asmens duomenų saugumas pažeistas

5.3. Informacija, kuri buvo pateikta duomenų subjektams (gali būti pridėtas pranešimo duomenų subjektui kopija):
______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

5.4. Būdas, kokiu duomenų subjektai buvo informuoti:

 Paštu
 Elektroniniu paštu
 Kitu būdu ______________________________________________________________

5.5. Informuotų duomenų subjektų skaičius _______________________________________

6. Asmuo galintis suteikti daugiau informacijos apie asmens duomenų saugumo pažeidimą (duomenų apsaugos pareigūnas ar kitas kontaktinis asmuo)

6.1. Vardas ir pavardė________________________________________________________

6.2. Telefono ryšio numeris ___________________________________________________

6.3. Elektroninio pašto adresas _________________________________________________

6.4. Pareigos _______________________________________________________________

6.5. Darbovietės pavadinimas ir adresas__________________________________________

__________________________________________________________________________

7. Pranešimo pateikimo Valstybinei duomenų apsaugos inspekcijai pateikimo vėlavimo priežastys

_____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

8. Kita reikšminga informacija

___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


(pareigos)

(parašas) (vardas, pavardė)

 

 
Sprendimas: LITS, TVS: JustPageIT.