Duomenų valdytojų atsakomybė dėl duomenų saugumo pažeidimo

Bendrojo duomenų apsaugos reglamento (BDAR) 4 straipsnio 12 dalyje apibrėžtas asmens duomenų saugumo pažeidimas: „ – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga“.

BDAR nustatyta Duomenų valdytojų ir tvarkytojų atsakomybė dėl asmens duomenų saugumo pažeidimo. BDAR preambulės 85 punkte nurodyta: „dėl asmens duomenų saugumo pažeidimo, jei dėl jo laiku nesiimama tinkamų priemonių, fiziniai asmenys gali patirti kūno sužalojimą, materialinę ar nematerialinę žalą, pavyzdžiui, prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala atitinkamam fiziniam asmeniui“.

Todėl duomenų valdytojas įpareigojamas vos sužinojęs, kad padarytas asmens duomenų saugumo pažeidimas, pranešti kompetentingai priežiūros institucijai (Lietuvoje Valstybinei duomenų apsaugos inspekcijai) apie asmens duomenų saugumo pažeidimą nepagrįstai nedelsdamas ir, jei įmanoma, nuo to laiko, kai apie tai buvo sužinota, praėjus ne daugiau kaip 72 valandoms. BDAR nurodytais atvejais apie asmens duomenų pažeidimą privalo būti informuojamas ir duomenų subjektas.

Bendrojo duomenų apsaugos reglamento 83 straipsnyje numatomos taip pat ir administracinės baudos, kurių dydis priklauso nuo pažeidimo pobūdžio, sunkumo ir trukmės, atsižvelgiant į atitinkamo duomenų tvarkymo pobūdį, aprėptį ar tikslą, taip pat į nukentėjusių duomenų subjektų skaičių ir jų patirtos žalos dydį. Reglamento reikalavimus pažeidusiems duomenų valdytojams ir tvarkytojams taip pat gali tekti atlyginti ir duomenų subjekto dėl pažeidimo patirtą turtinę bei neturtinę žalą.

Duomenų saugumo pažeidimo ir kitais asmens duomenų tvarkymo atvejais, tvarkomų asmens duomenų veiklos įrašai, užtikrinantys atskaitomybės ir skaidrumo principus, gali padėti įrodyti, kad asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Svarbų vaidmenį asmens duomenų saugumo pažeidimo valdymui pagal BDAR atlieka duomenų apsaugos pareigūnas, tačiau tik ten kur vadovaujantis teisės aktais buvo nuspręsta jį skirti. Plačiau apie pasirengimą duomenų saugumo pažeidimo valdymui projekte, skirtam Duomenų apsaugos pareigūnui.