Pereiti prie pagrindinio turinio

Kas yra duomenų saugumo pažeidimas ir ką daryti duomenų saugumo pažeidimo atveju?

Atsakymas

Duomenų saugumas yra pažeidžiamas, kai įvyksta su duomenimis, už kuriuos jūsų įmonė ar organizacija yra atsakinga, susijęs saugumo incidentas, dėl kurio pažeidžiamas duomenų konfidencialumas, prieinamumas ar vientisumas. Apie duomenų saugumo pažeidimą, kuris gali kelti pavojų asmens teisėms ir laisvėms, jūsų įmonė ar organizacija turi pranešti priežiūros institucijai nepagrįstai nedelsdama ir nuo to laiko, kai apie jį buvo sužinota, praėjus ne daugiau kaip 72 valandoms. Jeigu jūsų įmonė ar organizacija yra duomenų tvarkytojas, apie kiekvieną duomenų saugumo pažeidimą ji turi pranešti duomenų valdytojui.

Jeigu duomenų saugumo pažeidimas kelia didelį pavojų atitinkamiems asmenims, jie taip pat turėtų būti informuoti (nebent yra imtasi veiksmingų techninių ir organizacinių apsaugos priemonių arba kitų priemonių, kuriomis užtikrinama, kad toks pavojus nebegalėtų kilti).

Labai svarbu, kad jūs, kaip organizacija, įgyvendintumėte tinkamas technines ir organizacines priemones, kad būtų išvengta galimų duomenų apsaugos pažeidimų.

Pavyzdžiai

Organizacija turi pranešti DAI ir fiziniams asmenims
Buvo atskleisti tekstilės įmonės darbuotojų duomenys, įskaitant asmeninius adresus, šeimos sudėtį, mėnesinį darbo užmokestį ir paraiškas dėl medicininių išlaidų kompensavimo. Tokiu atveju tekstilės įmonė apie pažeidimą privalo pranešti priežiūros institucijai. Kadangi į asmens duomenis patenka neskelbtini duomenys, kaip antai sveikatos duomenys, įmonė turi pranešti ir darbuotojams.

Ligoninės darbuotojas nusprendžia nukopijuoti pacientų duomenis į kompaktinį diską ir paskelbia juos internete. Ligoninė apie tai sužino po kelių dienų. Vos tik sužinojusi apie tai, ji turi per 72 valandas pranešti priežiūros institucijai ir pacientams, nes tarp asmens duomenų buvo neskelbtinos informacijos, kaip antai apie tai, ar pacientas serga vėžiu, laukiasi ir pan. Šiuo atveju abejotina, kad ligoninė ėmėsi tinkamų techninių ir organizacinių apsaugos priemonių. Jeigu ji būtų ėmusis tinkamų apsaugos priemonių (pvz., duomenų šifravimo), pavojaus nebūtų ir pacientams nereikėtų pranešti.

Įmonė privalo pranešti klientams, o šiems gali tekti pranešti DAI ir fiziniams asmenims
Debesijos paslaugas teikianti įmonė prarado kelis standžiuosius diskus, kuriuose yra keliems klientams priklausančių asmens duomenų. Apie šį pažeidimą ji turi pranešti savo klientams iš karto po to, kai apie jį sužino. Tuomet klientai turi pranešti DAI ir fiziniams asmenims, priklausomai nuo to, kokius duomenis tvarkė duomenų tvarkytojas.

Nuorodos

Examples

Organisation must notify the DPA and individuals
The data of a textile company’s employees has been disclosed. The data included the personal addresses, family composition, monthly salary and medical claims of each employee. In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well.

A hospital employee decides to copy patients’ details onto a CD and publishes them online. The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc., it has to inform the patients as well. In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures.  If it had indeed implemented appropriate protection measures (for example encrypting the data), a material risk would be unlikely and it could be exempt from notifying the patients.

Company must notify clients and they may then have to notify the DPA and individuals
A cloud service loses several hard drives containing personal data belonging to several of its clients. It has to notify those clients as soon as it becomes aware of the breach. Its clients must notify the DPA and the individuals depending on the data that was processed by the data processor.