Pereiti prie pagrindinio turinio
Europos piliečių iniciatyva

Duomenų apsaugos gairės. 11 klausimas

Grįžti į pagrindinį organizatoriams skirtų Duomenų apsaugos gairių puslapį

 

Duomenų apsaugos gairės. 11 klausimas

Ką turėtumėte daryti asmens duomenų saugumo pažeidimo atveju?  

Taikoma 2 atvejo scenarijui, išskyrus atvejus, kai naudojamasi Komisijos keitimosi rinkmenomis paslauga

Asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga.

Pranešimas duomenų saugumo pažeidimą

Asmens duomenų saugumo pažeidimo atveju organizatorių grupės atstovas privalo nedelsdamas ir, iš principo, praėjus ne daugiau kaip 72 valandoms nuo tada, kai sužino apie asmens duomenų saugumo pažeidimą, apie jį pranešti kompetentingai duomenų apsaugos institucijai, nebent manoma, kad pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms.

Į pranešimą įtraukiama bent:

  • duomenų saugumo pažeidimo aprašymas, įskaitant pasirašiusiųjų, kuriems padarytas poveikis, skaičių ir duomenų, kuriems daromas poveikis, kategorijas;
  • duomenų apsaugos pareigūno (ar kito atitinkamo kontaktinio asmens) vardas, pavardė ir kontaktiniai duomenys;
  • tikėtinos duomenų saugumo pažeidimo pasekmės, atsižvelgiant į pažeidimo turinį, ir
  • priemonės, kurių ėmėsi duomenų valdytojas, kad ištaisytų arba sušvelnintų pažeidimą.

Kai informacijos neįmanoma pateikti vienu metu, informacija gali būti pateikiama etapais nedelsiant.

Atstovas taip pat turi dokumentuoti faktus, jų poveikį ir taisomuosius veiksmus, kurių jau imtasi (arba kurių reikia imtis nedelsiant, pateikiant jų planą).

Pavojus teisėms ir laisvėms

Be to, kai dėl pažeidimo gali kilti didelis pavojus pasirašiusiųjų teisėms ir laisvėms, jie turi būti atitinkamai informuojami, išskyrus atvejus, kai:

  • įgyvendinus priemones (pvz., šifravimą, jei raktas nepažeistas) duomenys tapo nesuprantami arba užtikrinama, kad rizika nebepasikartotų, arba
  • atskiras pranešimas pasirašantiems asmenims pareikalautų neproporcingų pastangų. Tokiu atveju vietoj to galėtų būti paskelbtas viešas pranešimas apie pažeidimą, informuojant pasirašiusiuosius.

PASTABA 

Tuo atveju, kai duomenys tvarkomi bendrai su Komisija ir jeigu duomenų saugumo pažeidimas nėra priskirtinas organizatorių grupės narių elgesiui, pirmiau nurodytas prievoles vykdo Komisija. Prireikus ir kiek įmanoma, organizatorių grupė turėtų padėti Komisijai tvarkyti asmens duomenų saugumo pažeidimus.

Nuorodos

Norite mokytis ir bendradarbiauti?