Security concept - Locks on digital screen

BDAR reikalavimai pranešimams apie duomenų apsaugos pažeidimus

Asmens duomenų apsaugos pažeidimas – tai atsitiktinis arba neteisėtas asmens duomenų sunaikinimas, praradimas, pakeitimas, pažeidimas, neautorizuotas priėjimas ir atskleidimas. Asmens duomenų apsaugos pažeidimai įtraukia:

  • neautorizuotų trečiųjų šalių prieiga;
  • sąmoningas ar atsitiktinis duomenų valdytojo ar tvarkytojo veiksmas arba neveikimas;
  • asmens duomenų siuntimas neteisingam gavėjui;
  • prarasta ar pavogta kompiuterinė technika, kurioje saugomi asmens duomenys
  • asmens duomenų keitimas neturint leidimo; ir
  • prieigos prie asmens duomenų praradimas.

Pranešimas apie duomenų apsaugos pažeidimą atsakingoms institucijoms

BDAR aiškiai nurodo, kad nutikus bet kokiam saugumo nutikimui, turi būti kuo greičiau nustatoma ar buvo pažeista asmens duomenų sauga, jei taip, nedelsiant reikia imtis veiksmų, kad pažeidimas būtų išspręstas, jei reikalaujama, pranešti apie jį Valstybinei duomenų apsaugos inspekcijai (VDAI). Privaloma nustatyti galimą riziką asmens subjekto teisėms ir laisvėms. Jei rizika numatoma, reikia apie tai pranešti VDAI, jei rizika mažai tikėtina, tuomet pranešimas VDAI nebūtinas.  Bet kuriuo atveju, BDAR nurodo, kad būtina registruoti kiekvieną pažeidimą, nepriklausomai nuo to ar informacija apie ji pateikiama VDAI (duomenų apsaugos inspekcijų EU sąrašas).

Asmens duomenų saugumo pažeidimo atveju duomenų valdytojas nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip per 72 valandoms nuo tada, kai jis sužino apie asmens duomenų saugumo pažeidimą, apie tai praneša VDAI.

  • asmens duomenų saugumo pažeidimo pobūdžio aprašymas, įskaitas, kai įmanoma:
  • suinteresuotų asmenų kategorijos ir numatomas skaičius;
  • suinteresuotų asmens duomenų įrašų kategorijos ir numatomas skaičius;
  • duomenų apsaugos pareigūno kontaktinė informacija (jei įmonė tokį turi) ar kito asmens kontaktinė informacija, kuris gali suteikti daugiau informacijos;
  • numatomi duomenų apsaugos pažeidimo padariniai; ir
  • priemonių aprašymas, kurių buvo imtasi, o pasiūlyta imtis, siekiant išspręsti duomenų apsaugos pažeidimus, įskaitant priemones, kurių buvo imtasi siekiant sušvelninti bet kokį neigiamą poveikį.

Jeigu priežiūros institucijai apie asmens duomenų saugumo pažeidimą nepranešama per 72 valandas, prie pranešimo pridedamos vėlavimo priežastys.

Pranešimas apie duomenų apsaugos pažeidimą asmens duomenų subjektams

BDAR nurodo, kad nutikus duomenų apsaugos pažeidimui, kuris, numatoma, kelia grėsmę asmens duomenų subjektų teisėms ir laisvėms, būtina nedelsiant apie tai jiems pranešti. Viena pagrindinių asmens duomenų subjekto informavimo priežasčių – padėti jiems imtis priemonių, kurios apsaugotų nuo duomenų apsaugos pažeidimo padarinių. Pranešimas apie pažeidimą turi būti pateiktas aiškia ir suprantama kalba, ir nurodytas nors vienas iš žemiau pateiktų punktų:

  • duomenų apsaugos pareigūno kontaktinė informacija (jei įmonė tokį turi) ar kito asmens kontaktinė informacija, kuris gali suteikti daugiau informacijos;
  • numatomi duomenų apsaugos pažeidimo padariniai; ir
  • priemonių aprašymas, kurių buvo imtasi, o pasiūlyta imtis, siekiant išspręsti duomenų apsaugos pažeidimus, įskaitant priemones, kurių buvo imtasi siekiant sušvelninti bet kokį neigiamą poveikį.

Pranešimas apie duomenų apsaugos pažeidimą, gaunamas iš duomenų tvarkytojo

Jei Jūsų įmonė naudojasi duomenų tvarkytojo paslaugomis ir tas duomenų tvarkytojas patiria duomenų apsaugos pažeidimą, jis privalo nedelsiant pranešti Jums apie nutikimą. Informacija pateikiama pranešime apie pažeidimą turi būti detaliai nurodoma sutartyje tarp Jūsų įmonės ir duomenų tvarkytojo. 

 

Share on facebook
Share on linkedin
Share on twitter
Share on pinterest
Share on email

Try our GDPR Compliance Tool GDPR Register for 14-days.

No credit card required.

Latest Posts
Duomenų apsaugos pareigūno vaidmuo ir pareigos

Duomenų apsaugos pareigūno vaidmuo ir pareigos

Atsižvelgiant į naujausią CPO žurnalo apklausą, mes aiškinamės, koks yra duomenų apsaugos pareigūno (DAP) vaidmuo. Šiame straipsnyje bus atsakyta į...
Skirta pirmoji BDAR bauda Lietuvoje

Skirta pirmoji BDAR bauda Lietuvoje

Praėjus metams po BDAR įsigaliojimo, Lietuvos valstybinė duomenų apsaugos inspekcija (VDAI) skyrė pirmą administracinę baudą. Įmonei UAB „Mister Tango“, kuri...
Poveikio duomenų apsaugai vertinimo vadovas

Poveikio duomenų apsaugai vertinimo vadovas

Bendrasis duomenų apsaugos reglamentas (BDAR) reikalauja, kad įmonės ir organizacijos, kurių duomenų tvarkymas gali sukelti pavojų fizinių asmenų interesams, atliktų poveikio asmens...
BDAR ir B2B rinkodara

BDAR ir B2B rinkodara

Perduodant asmeninius duomenis tiesioginei rinkodarai B2B ir B2C veikloje, reikia vadovautis dviem atskirais ES lygmens reglamentais. Elektroninių ryšių įstatymu (ERĮ)...
BDAR: Teisėti interesai

BDAR: Teisėti interesai

BDAR nurodo 6 teisėtumo pagrindus asmens duomenų tvarkymui ir teisėti interesai - vienas jų.Teisėti interesai nenurodo konkretaus duomenų tvarkymo tikslo, todėl tai...
Šeši mėnesiai su GDPR. Kas įvyko?

Šeši mėnesiai su GDPR. Kas įvyko?

BDAR, įsigaliojęs 2018 m. gegužės 25 d., išplėtė ES duomenų apsaugos zonos aprėptį, pristatė naujoves, turinčios įtakos tiek įmonėms, tiek...
Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Beveik kiekvienas verslo sektorius, vykdydamas kasdienes operacijas, į jas integruoja įvairias technologijas. IT infrastruktūra ir praktika, jei ji nėra reguliariai...
Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Įsigaliojus BDAR, asmens duomenų apsauga tapo sudėtingesnė sveikatos priežiūros sektoriui -  duomenys turi būti tvarkomi remiantis holistiniu požiūriu. Organizacijose turi būti...
Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius surenka didžiulį kiekį asmens duomenų, todėl būtina imtis reikiamų veiksmų, kad būtų išvengta finansinių pasekmių dėl...
Google Analytics: IP Anonimizacija

Google Analytics: IP Anonimizacija

Daugelis įmonių naudoja "Google Analytics" kaip pagalbinę priemonę, kad surinktų vertingos informacijos apie klientų elgesį svetainėse, mobiliosse programėlėse ir kt....

Zpracovává vaše společnost osobní údaje?


Zpracovávat vaše společnost osobní údaje fyzických osob, jako jsou:

  • Údaje zaměstnanců, zákazníků, uchazečů o zaměstnání nebo pacientů včetně:
    • Jméno nebo osobní identifikační číslo
    • Kontaktní údaje (e-mailová adresa, telefonní číslo, adresa)
    • Bankovní údaje, plat, údaje o pasu nebo jiné osobní údaje

 

Ar Jūsų įmonė renka ir tvarko fizinių asmenų asmens duomenis? 


Asmens duomenys gali būti:

  • Kliento, darbuotojo. paciento, kandidato į darbo vietą ir kt. 
    • Vardas ar asmens  numeris 
    • Kontaktinė informacija (el.pašto adresas, telefono numeris, adresas ir kt)
    • Banko sąskaitos  duomenys, atlyginimo dydis, paso duomenys ar bet kokia kita asmeninė informacija. 

Onko yrityksessäsi enemmän, kuin 250 työntekijää?


Kas teie ettevõte kogub ja töötleb isikuandmeid?


Kas teie ettevõte kogub ja töötleb füüsiliste isikutega seotud andmeid nagu näiteks:

Töötajate, klientide, tööle kandideerijate, patsientide:

  • Nimi, isikukood
  • E-posti aadress, telefoninumber, kodune aadress
  • Pangakontonumber, palgasumma, krediitkaardiandmed või mõnda muut tüüpi isiklikud andmed

Does your company collect any personal data?


Does your company collect and process any personal data of natural persons such as:

  • Employees, Customers, Job Applicants or Patients including:
    • Name or personal ID number
    • Contact details (Email address, Phone number, Address)
    • Bank details, Salary amounts, Passport details or any other personal data