Apsilankyti fondia.lt
Šis turinys yra susijęs su Lietuvos teisės aktais.
 

Asmens duomenų saugumo pažeidimai

Asmens duomenų saugumo pažeidimas - bet koks saugumo incidentas dėl kurio įvyksta duomenų konfidencialumo, prieinamumo ir vientisumo pažeidimai.

Asmens duomenų saugumo pažeidimu yra laikomi šie atvejai:

  • pamestas arba pavogtas įrenginys, kuriame yra asmens duomenų, pvz., USB atmintinė arba kompiuteris.

  • įsilaužimas į sistemą.

  • elektros energijos tiekimo nutraukimas arba techniniai sunkumai, dėl kurių klientai negali naudotis savo duomenimis.

  • išpirkos reikalaujančios programinės įrangos atakos.

  • asmens duomenų atskleidimas netinkamam asmeniui.

  • tinklo atakos, kai kibernetinis nusikaltėlis viešai paskelbia asmens duomenis.

  • išsiųstas el. laiškas klientams naudojant lauką „gavėjas“ arba „kopija“, kad visi gavėjai matytų kitų gavėjų el. pašto adresus.

Pažeidimas gali sukelti įvairių formų neigiamą poveikį nukentėjusiems asmenims ir gali sukelti turtinę arba neturtinę žalą. Tokios pasekmės gali būti diskriminacija, tapatybės vagystė, sukčiavimas, ekonominiai nuostoliai, žala reputacijai ir tai, kad asmuo nebegali kontroliuoti savo asmens duomenų naudojimo.

Jei pažeidimas turi įtakos duomenų valdytojui, duomenų tvarkytojas nedelsdamas apie tai praneša duomenų valdytojui. Tiek duomenų valdytojas, tiek duomenų tvarkytojas asmens duomenis saugo taip, kad jie būtų tinkamai apsaugoti atsižvelgiant į su duomenų tvarkymu susijusį pavojų. Iš anksto parengiamos gairės, kaip elgtis duomenų saugumo pažeidimo atveju. Svarbu nedelsiant reaguoti į tokius incidentus, dokumentuoti jų poveikį ir taisomuosius veiksmus, kurių buvo imtasi. Dokumentacija turi leisti priežiūros institucijai patikrinti, ar duomenų valdytojas įvykdė savo pareigą pranešti apie incidentą.

Jei dėl duomenų saugumo pažeidimo kyla pavojus fizinio asmens teisėms ir laisvėms, apie tai nepagrįstai nedelsiant turi būti informuota priežiūros institucija. Pranešimas turi būti pateiktas per 72 valandas nuo tada, kai duomenų valdytojas sužinojo apie asmens duomenų saugumo pažeidimą. Jei pranešimas nepateikiamas per 72 valandų terminą, duomenų valdytojas privalo pateikti priežiūros institucijai pagrįstą paaiškinimą.

Jei pažeidimas gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms, duomenų subjektas taip pat turi teisę būti informuotas nepagrįstai nedelsiant. Tačiau pranešti nebūtina, jei:

  • duomenų valdytojas įgyvendino tinkamas technines ir organizacines apsaugos priemones, užtikrinančias, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami.

  • duomenų valdytojas ėmėsi techninių ir organizacinių priemonių, užtikrinančių, kad nekiltų didelis pavojus duomenų subjektų teisėms ir laisvėms.

  • pranešimo pateikimas pareikalautų neproporcingai daug pastangų, pavyzdžiui, tais atvejais, kai duomenų valdytojas neturi duomenų subjektų kontaktinių duomenų. Tokiais atvejais duomenų valdytojas turėtų naudoti viešuosius pranešimus arba imtis panašių veiksmų, kad informuotų duomenų subjektus tokiu pat veiksmingu būdu.