Asmens duomenų apsaugos pažeidimas – tai atsitiktinis arba neteisėtas asmens duomenų sunaikinimas, praradimas, pakeitimas, pažeidimas, neautorizuotas priėjimas ir atskleidimas. Asmens duomenų apsaugos pažeidimai įtraukia:
- neautorizuotų trečiųjų šalių prieiga;
- sąmoningas ar atsitiktinis duomenų valdytojo ar tvarkytojo veiksmas arba neveikimas;
- asmens duomenų siuntimas neteisingam gavėjui;
- prarasta ar pavogta kompiuterinė technika, kurioje saugomi asmens duomenys
- asmens duomenų keitimas neturint leidimo; ir
- prieigos prie asmens duomenų praradimas.
Pranešimas apie duomenų apsaugos pažeidimą atsakingoms institucijoms
BDAR aiškiai nurodo, kad nutikus bet kokiam saugumo nutikimui, turi būti kuo greičiau nustatoma ar buvo pažeista asmens duomenų sauga, jei taip, nedelsiant reikia imtis veiksmų, kad pažeidimas būtų išspręstas, jei reikalaujama, pranešti apie jį Valstybinei duomenų apsaugos inspekcijai (VDAI). Privaloma nustatyti galimą riziką asmens subjekto teisėms ir laisvėms. Jei rizika numatoma, reikia apie tai pranešti VDAI, jei rizika mažai tikėtina, tuomet pranešimas VDAI nebūtinas. Bet kuriuo atveju, BDAR nurodo, kad būtina registruoti kiekvieną pažeidimą, nepriklausomai nuo to ar informacija apie ji pateikiama VDAI (duomenų apsaugos inspekcijų EU sąrašas).
Asmens duomenų saugumo pažeidimo atveju duomenų valdytojas nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip per 72 valandoms nuo tada, kai jis sužino apie asmens duomenų saugumo pažeidimą, apie tai praneša VDAI.
- asmens duomenų saugumo pažeidimo pobūdžio aprašymas, įskaitas, kai įmanoma:
- suinteresuotų asmenų kategorijos ir numatomas skaičius;
- suinteresuotų asmens duomenų įrašų kategorijos ir numatomas skaičius;
- duomenų apsaugos pareigūno kontaktinė informacija (jei įmonė tokį turi) ar kito asmens kontaktinė informacija, kuris gali suteikti daugiau informacijos;
- numatomi duomenų apsaugos pažeidimo padariniai; ir
- priemonių aprašymas, kurių buvo imtasi, o pasiūlyta imtis, siekiant išspręsti duomenų apsaugos pažeidimus, įskaitant priemones, kurių buvo imtasi siekiant sušvelninti bet kokį neigiamą poveikį.
Jeigu priežiūros institucijai apie asmens duomenų saugumo pažeidimą nepranešama per 72 valandas, prie pranešimo pridedamos vėlavimo priežastys.
Pranešimas apie duomenų apsaugos pažeidimą asmens duomenų subjektams
BDAR nurodo, kad nutikus duomenų apsaugos pažeidimui, kuris, numatoma, kelia grėsmę asmens duomenų subjektų teisėms ir laisvėms, būtina nedelsiant apie tai jiems pranešti. Viena pagrindinių asmens duomenų subjekto informavimo priežasčių – padėti jiems imtis priemonių, kurios apsaugotų nuo duomenų apsaugos pažeidimo padarinių. Pranešimas apie pažeidimą turi būti pateiktas aiškia ir suprantama kalba, ir nurodytas nors vienas iš žemiau pateiktų punktų:
- duomenų apsaugos pareigūno kontaktinė informacija (jei įmonė tokį turi) ar kito asmens kontaktinė informacija, kuris gali suteikti daugiau informacijos;
- numatomi duomenų apsaugos pažeidimo padariniai; ir
- priemonių aprašymas, kurių buvo imtasi, o pasiūlyta imtis, siekiant išspręsti duomenų apsaugos pažeidimus, įskaitant priemones, kurių buvo imtasi siekiant sušvelninti bet kokį neigiamą poveikį.
Pranešimas apie duomenų apsaugos pažeidimą, gaunamas iš duomenų tvarkytojo
Jei Jūsų įmonė naudojasi duomenų tvarkytojo paslaugomis ir tas duomenų tvarkytojas patiria duomenų apsaugos pažeidimą, jis privalo nedelsiant pranešti Jums apie nutikimą. Informacija pateikiama pranešime apie pažeidimą turi būti detaliai nurodoma sutartyje tarp Jūsų įmonės ir duomenų tvarkytojo.