Rekomendacijos, ką reikėtų daryti įmonei, įvykus jos tvarkomų duomenų saugumo pažeidimui

Triniti

Pirmiausia, identifikavus duomenų saugumo pažeidimą, įmonė turėtų įsivertinti, ar minėtas pažeidimas gali kelti pavojų fizinių asmenų teisėms ir laisvėms.

Pavyzdžiui, toks pavojus mažai tikėtinas, jeigu prarasti asmens duomenys jau ir taip yra viešai prieinami ir publikuojami, o prieiga prie jų turi bet kuris suinteresuotas asmuo. Arba, pavyzdžiui, jeigu duomenų valdytojo prarasti asmens duomenys buvo užšifruoti, ir įsilaužėlis neturi rakto šiems duomenimis atšifruoti. Ir atvirkščiai, pavojus fizinių asmenų teisėms ir laisvėms beveik neabejotinas, jeigu prarastų duomenų faktas galėtų reikšti, jog fiziniai asmenys gali patirti kūno sužalojimą, jų tapatybė galėtų būti pavogta, suklastota, būtų pakenkta fizinio asmens reputacijai, saugomai profesiniai paslapčiai ar, pavyzdžiui, atsirastų finansinių nuostolių ir kt.

Jeigu duomenų valdytojas nustato, jog pavojus egzistuoja, apie asmens duomenų saugumo pažeidimą privalu pranešti duomenų apsaugos priežiūros institucijai. Lietuvoje tai – Lietuvos Respublikos valstybinė duomenų apsaugos inspekcija. Jei galintis kilti pavojaus yra didelis, papildomai apie įvykusį incidentą reikės informuoti ir nukentėjusius duomenų subjektus, tačiau detaliau apie tai toliau.

Antra, ypač svarbu, kad saugumo pažeidimo atveju duomenų valdytojas privalo veikti greitai, kadangi apie įvykusį incidentą kompetentingą instituciją informuoti privalu nepagrįstai nedelsiant, bet ne vėliau kaip per 72 valandas nuo sužinojimo apie įvykusi saugumo pažeidimą.

Paprastai duomenų valdytojas yra laikomas sužinojusiu apie duomenų valdytojo saugumo pažeidimą nuo tada, kai jis turi pagrįstą pagrindą manyti, kad saugumo pažeidimas iš tiesų įvyko, o tai kartu galėjo lemti fizinių asmenų duomenų pažeidimą.

Trečia, pranešime duomenų apsaugos institucijai būtinai turi būti aprašytas asmens duomenų saugumo pažeidimo pobūdis, įskaitant, jeigu įmanoma, atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat atitinkamos asmens duomenų įrašų kategorijos ir apytikslis skaičius, nurodyta duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys, aprašytos tikėtinos asmens duomenų saugumo pažeidimo pasekmės, priemonės, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas, įskaitant, jei tinkama, priemones galimoms neigiamoms jo pasekmėms sumažinti. Visoms šioms aplinkybėms aprašyti duomenų valdytojas gali naudoti Valstybinės duomenų apsaugos inspekcijos patvirtintą pranešimo apie įvykusį duomenų saugumo pažeidimą formą.

Pažymėtina, kad pagal duomenų apsaugos reikalavimus, jeigu informacijos neįmanoma pateikti tuo pačiu metu, informacija toliau nepagrįstai nedelsiant gali būti teikiama etapais.

Ketvirta, kaip minėta, jeigu dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinio asmens teisėms ir laisvėms, duomenų valdytojas, kaip galima greičiau ir bendradarbiaudamas kartu su priežiūros institucija bei laikantis jos ar kitų valdžios institucijų nurodymų, privalo paprasta ir suprantama kalba pranešti duomenų subjektams apie įvykusį incidentą ir pranešime nurodyti asmens duomenų saugumo pažeidimo pobūdį ir kitą priežiūros institucijai teikiamą informaciją, kartu pateikiant atitinkamam fiziniam asmeniui rekomendacijas, kaip sumažinti galimą neigiamą poveikį.

Penkta, duomenų valdytojas privalo dokumentuoti įvykusį duomenų saugumo pažeidimą, įskaitant su asmens duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi.

Pažymėtina, jog šios pareigos laikymasis, be kita ko, yra svarbus dėl to, jog priežiūros institucija turi teisę patikrinti, ar buvo atlikti visi reikalingi veiksmai, susiję su duomenų saugumo pažeidimo suvaldymu, ir kaip jie buvo atlikti. Taip pat, duomenų valdytojas turi pareigą parodyti, kad iš pažeidimo buvo pasimokyta bei imtasi reikalingų veiksmų, kad tokie pažeidimai ateityje nebepasikartotų.

Aukščiau nurodytų veiksmų sekos laikymasis įvykus duomenų saugumo pažeidimui yra būtinas. Nesiėmus jų, įmonė pažeistų savo, kaip duomenų valdytojo, pareigas, kas būtų laikoma savarankišku BDAR pažeidimu, o tai reikštų dar daugiau reputacinių bei finansinių nemalonumų, įskaitant galimybė taikyti papildomą baudą ar kitas poveikio priemones, o gal ir didesnio duomenų subjektų skundų skaičiaus dėl neteisėtai tvarkomų jų asmens duomenų.

Taigi, kiekvienai įmonei itin svarbu turėti iš anksto nustatytas bei pasitvirtintas aiškias ir konkrečias asmens duomenų saugumo pažeidimų valdymo taisykles, su jomis supažindinti už saugų asmens duomenų tvarkymą įmonėje atsakingus asmenis, juos reguliariai apmokyti, kad įvykus incidentui visi žinotų, kaip elgtis, kad tiek duomenų subjektams, tiek įmonei butų padaryta kuo mažiau žalos.