BDAR duomenų pažeidimo pranešimas VDAI per 72 val: kas privalu 2026

Pagal BDAR 4 str. 12 p., asmens duomenų pažeidimas yra saugumo pažeidimas, dėl kurio įvyksta netyčinis ar neteisėtas sunaikinimas, praradimas, pakeitimas, neteisėtas atskleidimas arba prieiga prie perduotų, saugotų ar kitaip tvarkytų asmens duomenų. Tai apima: (1) kibernetinius incidentus (ransomware, nutekėjimus); (2) fizinius praradimus (pamestas nešiojamas kompiuteris, vogta dokumentų dėžė); (3) žmogiškas klaidas (el. laiškas pasiųstas ne tam gavėjui, netinkami leidimai sistemoje); (4) technines nesėkmes (serverio avarija, dėl kurios prarasti duomenys). Svarbu suprasti: ne kiekvienas saugumo incidentas yra duomenų pažeidimas – tik tas, kuris paveikia asmens duomenis.

Pagal BDAR 33 str. 1 d., duomenų valdytojas turi pranešti VDAI apie pažeidimą „nedelsiant ir, jei įmanoma, ne vėliau kaip per 72 valandas nuo tada, kai apie jį sužinojo". „Sužinojo" reiškia pagrįstą įsitikinimą, kad įvyko incidentas, paveikęs asmens duomenis – ne nuo preliminaraus įtarimo, o nuo momento, kai patvirtinama, kas atsitiko. Tai dažnai painioja organizacijas: jei IT pastebi įtariamą ataką 9:00, bet tik 15:00 patvirtinama, kad pavogti duomenys – 72 valandų atskaitos taškas yra 15:00. Jei pranešimas negalimas per 72 val., VDAI turi būti informuota apie vėlavimo priežastis. Praktikoje VDAI vertina vėlavimą ne tik pagal kalendorines valandas, bet ir pagal situacijos sudėtingumą.

Pranešti VDAI neprivaloma, jei pažeidimas „greičiausiai nekels rizikos fizinių asmenų teisėms ir laisvėms". Tai yra ribinis atvejis – reikia dokumentuoti savo sprendimo pagrindimą. Pavyzdžiai, kai nepranešama: (1) šifruotų duomenų nutekėjimas, jei raktas nebuvo kompromituotas; (2) vidinė žmogiška klaida, kai duomenys perduoti kitam tos pačios organizacijos darbuotojui su prieiga; (3) nepasiekiamas serveris trumpam laikui, jei duomenų nebuvo prarasta. Rizikos vertinimas turi apimti: duomenų kategorijas (jautrūs duomenys – visada didelė rizika), paveiktų asmenų skaičių, galimas pasekmes. Visi incidentai – net tie, apie kuriuos neinformavote VDAI – turi būti registruojami vidinėje pažeidimų byloje (BDAR 33 str. 5 d.).

Pranešimas VDAI privalo apimti: (1) pažeidimo pobūdį, įskaitant, jei įmanoma, paveiktų duomenų subjektų kategorijas ir apytikslį skaičių bei paveiktų įrašų kategorijas ir apytikslį skaičių; (2) duomenų apsaugos pareigūno (DPO) kontaktinę informaciją arba kito kontakto, kuris gali suteikti informaciją; (3) tikėtinas pasekmes; (4) priemones, kurių ėmėtės arba planuojate, siekdami ištaisyti pažeidimą ir sumažinti galimas neigiamas pasekmes. Jei visos informacijos nėra per 72 val., pranešimas gali būti teikiamas etapais – bet reikia inicijuoti procesą laiku. VDAI turi elektroninę formą savo svetainėje, kurią užpildote kelių žingsnių vedliu.

Jei pažeidimas „gali kelti didelę riziką" duomenų subjektams, pagal BDAR 34 str. privaloma pranešti ir jiems. Pranešimas turi būti aiškia kalba, paaiškinti: pažeidimo pobūdį, galimas pasekmes, priemones, ką asmuo turėtų daryti (pakeisti slaptažodžius, stebėti banko sąskaitas). Išimtys: (1) duomenys buvo šifruoti ir raktas neprarastas; (2) imtasi priemonių, užtikrinančių, kad didelė rizika nebeįvyks; (3) pranešti individualiai reikalautų neproporcingų pastangų – tada leidžiamas viešas pranešimas. Praktikoje: svarbu nebijoti pranešti – VDAI sankcijos už nepaskelbtą pažeidimą dažniausiai didesnės už reputacinę žalą.

Pagal BDAR 83 str. 4 d., nepranešimas apie pažeidimą per 72 val. gali užtraukti baudą iki 10 mln. EUR arba 2 % pasaulinės metinės apyvartos (pasirinkus didesnę sumą). Lietuvos VDAI 2023–2025 m. laikotarpiu paskirtos baudos: daugumoje atvejų 5 000–50 000 EUR už pranešimo vėlavimą ar trūkstamą turinį. Didžiausios baudos Lietuvoje – finansų sektoriuje (iki 350 000 EUR), kur jautrūs duomenys. VDAI linkusi mažinti baudas, kai organizacija bendradarbiauja, parodo aiškų incidento atsako procesą ir dokumentaciją. Rekomendacija: iš anksto parengti incidento atsako planą ir šabloną – tai sumažina reakcijos laiką ir baudos riziką.