Asmens duomenų saugumo pažeidimas (BDAR 33, 34)

Iš Studento Vikis.

(Skirtumai tarp versijų)
Peršokti į: navigaciją, paiešką
S (Personal data breach: wiki)
(LT)
Eilutė 1: Eilutė 1:
 +
:: EN: ''[[Personal data breach]]''
 +
'''Asmens duomenų saugumo pažeidimas''' - saugumo pažeidimas, dėl kurio netyčia arba neteisėtai ''sunaikinami'', ''prarandami'', ''pakeičiami'', ''be leidimo atskleidžiami'' persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga. ([[BDAR 4. Apibrėžtys|BDAR 4]].12)
'''Asmens duomenų saugumo pažeidimas''' - saugumo pažeidimas, dėl kurio netyčia arba neteisėtai ''sunaikinami'', ''prarandami'', ''pakeičiami'', ''be leidimo atskleidžiami'' persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga. ([[BDAR 4. Apibrėžtys|BDAR 4]].12)
Eilutė 11: Eilutė 13:
Neteisėtas duomenų tvarkymas - duomenų tvarkymas bet kokia forma, kuria pažeidžiamas BDAR.
Neteisėtas duomenų tvarkymas - duomenų tvarkymas bet kokia forma, kuria pažeidžiamas BDAR.
-
* [http://www.privacy-regulation.eu/lt/4.htm BDAR 4. Apibrėžtys]
+
* [http://www.privacy-regulation.eu/lt/4.htm#a4_nr12 BDAR 4(12). Apibrėžtys]
* [http://www.privacy-regulation.eu/lt/33.htm BDAR 33. Pranešimas priežiūros institucijai apie asmens duomenų saugumo pažeidimą]
* [http://www.privacy-regulation.eu/lt/33.htm BDAR 33. Pranešimas priežiūros institucijai apie asmens duomenų saugumo pažeidimą]
* [http://www.privacy-regulation.eu/lt/34.htm BDAR 34. Pranešimas duomenų subjektui apie asmens duomenų saugumo pažeidimą]
* [http://www.privacy-regulation.eu/lt/34.htm BDAR 34. Pranešimas duomenų subjektui apie asmens duomenų saugumo pažeidimą]
Eilutė 28: Eilutė 30:
* '''Gairės dėl pranešimo apie asmens duomenų saugumo pažeidimą''' pagal Reglamentą (ES) 2016/679, [[Article 29 Data Protection Working Party|Art. 29 WP]]
* '''Gairės dėl pranešimo apie asmens duomenų saugumo pažeidimą''' pagal Reglamentą (ES) 2016/679, [[Article 29 Data Protection Working Party|Art. 29 WP]]
-
__NOTOC__
+
==BDAR==
-
 
+
: [http://www.privacy-regulation.eu/lt/33.htm 33. Pranešimas priežiūros institucijai apie asmens duomenų saugumo pažeidimą]
-
=Personal data breach=
+
: [http://www.privacy-regulation.eu/lt/34.htm 34. Pranešimas duomenų subjektui apie asmens duomenų saugumo pažeidimą]
-
'''[[Personal data breach]]''' - a breach of security leading to the accidental or unlawful ''destruction'', ''loss'', ''alteration'', unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed. ([[GDPR]] 4.12)
+
-
 
+
-
Availability breach:
+
-
* '''Destruction''' of personal data is where the data no longer exists, or no longer exists in a form that is of any use to the controller.
+
-
* '''Loss''' of personal data - the data may still exist, but the controller has lost control or access to it, or no longer has it in its possession.
+
-
 
+
-
'''Alteration''' (damage) - Integrity breach - of personal data is where personal data has been altered, corrupted, or is no longer complete.
+
-
 
+
-
'''Unauthorised processing''' - Confidentiality breach - disclosure of personal data to (or access by) recipients who are not authorised to receive (or access) the data, or any other form of processing which violates the GDPR.
+
-
 
+
-
Unlawful processing - any form of processing which violates the GDPR.
+
-
 
+
-
* [http://www.privacy-regulation.eu/en/4.htm GDPR 4. Definitions]
+
-
 
+
-
==Notification about personal data breach==
+
-
Once the controller has '''become aware''', a notifiable breach must be notified without undue delay, and where feasible, not later than 72 hours.
+
-
 
+
-
After first being '''informed of a potential breach''' by an individual, a media organisation, or another source, or when it has itself '''detected a security incident''', the controller may undertake a short period of investigation in order to establish whether or not a breach has in fact occurred. During this period of investigation the controller '''may not be regarded as being “aware”'''. However, it is expected that the initial investigation should begin as soon as possible and establish with a reasonable degree of certainty whether a breach has taken place; a more detailed investigation can then follow.
+
-
 
+
-
If a controller fails to act in a timely manner and it becomes apparent that a '''breach did occur''', this could be considered as a failure to notify in accordance with Article 33.
+
-
 
+
-
The controller and processor should have appropriate technical and organisational measures in place to ensure an appropriate level of security of personal data: the ability to detect, address, and report a breach in a timely manner should be seen as essential elements of these measures. (GDPR 32)
+
-
 
+
-
[[WP29]] recommends that the DPO is promptly informed about the existence of a breach and is involved throughout the breach management and notification process.
+
-
 
+
-
* [https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052 '''Guidelines on Personal data breach notification''' under Regulation 2016/679 (wp250rev.01)], [[Article 29 Data Protection Working Party|Art. 29 WP]]
+
[[category:BDAR]]
[[category:BDAR]]

2019-10-08T13:41:06 versija

EN: Personal data breach

Asmens duomenų saugumo pažeidimas - saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga. (BDAR 4.12)

Prieinamumo pažeidimas:

  • Asmens duomenų sunaikinimas - tai situacija, kai duomenų nebelieka arba jų nebelieka tokia forma, kad duomenų valdytojas juos galėtų naudoti.
  • Asmens duomenų praradimas - tai situacija, kai duomenys galbūt tebėra, tačiau duomenų valdytojas jų nebevaldo, netenka prieigos prie jų arba nebegali jais disponuoti.

Asmens duomenų pakeitimas (sugadinimas) - vientisumo pažeidimas - tai situacija, kai asmens duomenys pakeičiami, iškraipomi arba dalis duomenų dingsta.

Asmens duomenų atskleidimas be leidimo - konfidencialumo pažeidimas - asmens duomenų atskleidimas arba prieigos prie duomenų suteikimas duomenų gavėjams, kurie neturi leidimo gauti (arba prieiti prie) duomenų.

Neteisėtas duomenų tvarkymas - duomenų tvarkymas bet kokia forma, kuria pažeidžiamas BDAR.

Pranešimas apie asmens duomenų saugumo pažeidimą

Duomenų valdytojui sužinojus apie pažeidimą, apie kurį turi būti pranešta, apie jį turi būti pranešta nepagrįstai nedelsiant, o jei įmanoma, ne vėliau kaip per 72 valandas.

Duomenų valdytojas, asmens, žiniasklaidos organizacijos ar kito šaltinio informuotas apie galimą pažeidimą arba pats nustatęs saugumo incidentą, gali atlikti trumpą tyrimą, kad nustatytų, ar (asmens duomenų) pažeidimas iš tikrųjų buvo padarytas. Šio tyrimo laikotarpiu valdytojas negali būti laikomas „žinančiu“ apie pažeidimą. Tačiau, tikimasi, kad kuo skubiau bus pradėtas pirminis tyrimas ir pakankamai patikimai nustatyta, ar buvo padarytas pažeidimas; tada gali būti atliekamas išsamesnis tyrimas.

Jei duomenų valdytojas laiku nesiima veiksmų ir paaiškėja, kad pažeidimas buvo padarytas, tai gali būti laikoma reikalavimo pranešti pagal 33 straipsnį neįvykdymu. (Sakinio vertimas: Mykolas OK. Žr. anglišką tekstą.)

Duomenų valdytojas ir duomenų tvarkytojas turėtų įgyvendinti tinkamas technines ir organizacines priemones, kad būtų užtikrintas tinkamas asmens duomenų saugumo lygis: gebėjimas laiku nustatyti, pašalinti pažeidimą ir pranešti aoie jį turėtų būti vertinami kaip esminiai šių priemonių aspektai. (BDAR 32)

WP29 rekomenduoja, kad duomenų apsaugos pareigūnas būtų skubiai informuojamas apie tai, kad buvo padarytas pažeidimas, ir dalyvautų visame pažeidimo valdymo ir pranešimo apie jį procese.

  • Gairės dėl pranešimo apie asmens duomenų saugumo pažeidimą pagal Reglamentą (ES) 2016/679, Art. 29 WP

BDAR

33. Pranešimas priežiūros institucijai apie asmens duomenų saugumo pažeidimą
34. Pranešimas duomenų subjektui apie asmens duomenų saugumo pažeidimą
Asmeniniai įrankiai
Google AdSense