Puslapio turinys

Atsakymas

Duomenų saugumas yra pažeidžiamas, kai įvyksta su duomenimis, už kuriuos jūsų įmonė ar organizacija yra atsakinga, susijęs saugumo incidentas, dėl kurio pažeidžiamas duomenų konfidencialumas, prieinamumas ar vientisumas. Apie duomenų saugumo pažeidimą, kuris gali kelti pavojų asmens teisėms ir laisvėms, jūsų įmonė ar organizacija turi pranešti priežiūros institucijai nepagrįstai nedelsdama ir nuo to laiko, kai apie jį buvo sužinota, praėjus ne daugiau kaip 72 valandoms. Jeigu jūsų įmonė ar organizacija yra duomenų tvarkytojas, apie kiekvieną duomenų saugumo pažeidimą ji turi pranešti duomenų valdytojui.

Jeigu duomenų saugumo pažeidimas kelia didelį pavojų atitinkamiems asmenims, jie taip pat turėtų būti informuoti (nebent yra imtasi veiksmingų techninių ir organizacinių apsaugos priemonių arba kitų priemonių, kuriomis užtikrinama, kad toks pavojus nebegalėtų kilti).

Labai svarbu, kad jūs, kaip organizacija, įgyvendintumėte tinkamas technines ir organizacines priemones, kad būtų išvengta galimų duomenų apsaugos pažeidimų.

Pavyzdžiai

Organizacija turi pranešti DAI ir fiziniams asmenims
Buvo atskleisti tekstilės įmonės darbuotojų duomenys, įskaitant asmeninius adresus, šeimos sudėtį, mėnesinį darbo užmokestį ir paraiškas dėl medicininių išlaidų kompensavimo. Tokiu atveju tekstilės įmonė apie pažeidimą privalo pranešti priežiūros institucijai. Kadangi į asmens duomenis patenka neskelbtini duomenys, kaip antai sveikatos duomenys, įmonė turi pranešti ir darbuotojams.

Ligoninės darbuotojas nusprendžia nukopijuoti pacientų duomenis į kompaktinį diską ir paskelbia juos internete. Ligoninė apie tai sužino po kelių dienų. Vos tik sužinojusi apie tai, ji turi per 72 valandas pranešti priežiūros institucijai ir pacientams, nes tarp asmens duomenų buvo neskelbtinos informacijos, kaip antai apie tai, ar pacientas serga vėžiu, laukiasi ir pan. Šiuo atveju abejotina, kad ligoninė ėmėsi tinkamų techninių ir organizacinių apsaugos priemonių. Jeigu ji būtų ėmusis tinkamų apsaugos priemonių (pvz., duomenų šifravimo), pavojaus nebūtų ir pacientams nereikėtų pranešti.

Įmonė privalo pranešti klientams, o šiems gali tekti pranešti DAI ir fiziniams asmenims
Debesijos paslaugas teikianti įmonė prarado kelis standžiuosius diskus, kuriuose yra keliems klientams priklausančių asmens duomenų. Apie šį pažeidimą ji turi pranešti savo klientams iš karto po to, kai apie jį sužino. Tuomet klientai turi pranešti DAI ir fiziniams asmenims, priklausomai nuo to, kokius duomenis tvarkė duomenų tvarkytojas.

Nuorodos

  • 29 straipsnio darbo grupės gairės dėl pranešimo apie asmens duomenų saugumo pažeidimus pagal Reglamentą 2016/679, 2017 m. spalio 3 d. (WP 250)
  • BDAR 4 straipsnio 12 dalis, 33 ir 34 straipsniai bei 85–88 konstatuojamosios dalys