Draudimo rinkos bendrovės „Lloyd’s“ 2016 metais atlikto tyrimo metu nustatyta, kad iš tirtų stambių Europos Sąjungos bendrovių net 92 procentai patyrė duomenų saugumo pažeidimus. Duomenų saugumas bendrovėje gali būti pažeistas dėl įvairiausių priežasčių, pradedant nuo įsilaužėlių įsibrovimo į bendrovės vidaus tinklus ar patekimo bendrovės patalpas iki netyčinio duomenų laikmenos ar nešiojamo kompiuterio praradimo. Tai lemia, kad nei viena bendrovė, nepriklausomai nuo savo veikloje naudojamų apsaugos priemonių, negali būti visiškai tikra, kad duomenų saugumo pažeidimas tikrai neįvyks.

2016 m. balandžio 14 d. Europos Parlamento plenariniame posėdyje priimtas Europos Parlamento ir Tarybos Reglamentas dėl asmenų apsaugos tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (Bendrasis duomenų apsaugos reglamentas, toliau - Reglamentas). Tiesiogiai taikytinas visose Europos Sąjungos valstybėse narėse nuo 2018 m. gegužės 25 dienos, Reglamentas įneš nemažai naujovių, tarp jų ir duomenų valdytojo pareigą tam tikrais atvejais pranešti duomenų subjektams ir nacionalinei priežiūros institucijai (Lietuvos atveju – Valstybinei duomenų apsaugos inspekcijai) apie duomenų saugumo pažeidimus. Nors tokio pobūdžio teisiniai mechanizmai kai kuriose Jungtinių Amerikos Valstijų jurisdikcijose veikia dar nuo 2003 metų, Europos Sąjungos lygiu tokie reikalavimai visuose pramonės sektoriuose veikiančioms bendrovėms numatyti pirmą kartą. Reglamento 33 ir 34 straipsniai nustato konkrečias informavimo pareigas duomenų saugumo pažeidimo atveju. Pareigos informuoti nevykdymo atveju priežiūros institucija galės bendrovėms taikyti administracines sankcijas, tarp jų ir administracines baudas iki 10 mln. EUR arba iki 2 % jų ankstesnių finansinių metų bendros metinės pasaulinės apyvartos.   

Pranešimas Valstybinei duomenų apsaugos inspekcijai

Asmens duomenų valdytojas nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip per 72 valandoms nuo sužinojimo apie asmens duomenų saugumo pažeidimą, privalės apie jį pranešti priežiūros institucijai. Tokiame Reglamente nustatytame įpareigojime galima pastebėti tam tikrų neaiškumų, kurie turėtų būti išspręsti po Reglamento įsigaliojimo pradėjus jį taikyti praktiškai. Pavyzdžiui, nėra aišku, ar „sužinojimas“ apie asmens duomenų saugumo pažeidimą turėtų reikšti momentą, kai bendrovei kyla įtarimas, kad duomenų saugumo pažeidimas galėjo įvykti, ar momentą, kai bendrovė įsitikina pažeidimo egzistavimo faktu, o, atsižvelgiant į pakankamai trumpą terminą, tai gali turėti esminę reikšmę. Tokia sąvoka kaip „nepagrįstai nedelsdamas“ taip pat turėtų būti sukonkretinta, tikėtina, kad Europos Sąjungos lygiu tai turėtų padaryti Europos duomenų apsaugos valdyba išleisdama gaires šia tema.

Jeigu priežiūros institucijai apie asmens duomenų saugumo pažeidimą nebus pranešama per 72 valandas, prie pranešimo turės būti pridedamos vėlavimo priežastys, taip sudarant sąlygas duomenų valdytojams nukrypti nuo apibrėžto ir pakankamai trumpo pranešimo termino. Minėtas terminas akivaizdžių ir nesudėtingų pažeidimų atveju yra daugiau nei pakankamas, tačiau sudėtingesnių pažeidimų (pavyzdžiui, įsilaužimo į vidaus tinklą) tyrimas gali užtrukti gerokai ilgiau. Ši problema taip pat sprendžiama Reglamente nustatant teisę bendrovėms esant pagrindui teikti informaciją etapais.

Pranešti atsakingai institucijai nereikia tada, jei asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms (pastebėtina, kad tai platesnė sąvoka nei „privatumas“). Kaip šių metų rugsėjo 19 dieną paskelbtoje rekomendacijoje pažymėjo Bavarijos duomenų apsaugos institucija (BayLDA), ši nuostata reiškia, kad apie duomenų saugumo pažeidimus priežiūros institucijai nereikės pranešti tik išimtiniais atvejais.

Duomenų subjektų informavimas

Reglamento 34 str. 1 dalyje nustatyta duomenų valdytojo pareiga nepagrįstai nedelsiant pranešti duomenų subjektui apie duomenų saugumo pažeidimą tada, kai dėl jo gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms. Tokios sąvokos kaip „nepagrįstai nedelsiant“ ir „didelis pavojus“ šiuo atveju palieka pakankamai vietos interpretacijai ir praktikos formavimuisi, tačiau akivaizdu, kad bendrovės, ypač tada, kai prarasti specialių kategorijų asmens duomenys, negalės vengti duomenų subjektų informavimo pareigos. Didžiosios Britanijos duomenų apsaugos institucija Informacijos komisaro biuras (ICO) yra pateikusi poziciją, kad „didelis pavojus“ šiuo atveju turėtų būti suprantamas kaip reiškiantis didesnės grėsmės egzistavimą nei priežiūros institucijų informavimo pareigos atsiradimo atveju. Taip pat pastebėtina, kad kiekvienas duomenų subjektas šiuo atveju turės būti informuojamas asmeniškai, o viešas paskelbimas ir kitos panašaus pobūdžio priemonės bus taikytinos tik tada, jei tiesioginis informavimas pareikalautų neproporcingai daug pastangų. 

Tokio pobūdžio informavimo pareiga nedidelei daliai duomenų valdytojų nebus naujiena. Šiuo metu LR elektronikos ryšių įstatyme yra numatyta, kad viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjai privalo pranešti apie duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai, o esant ypatingai elektroninių ryšių tinklo saugumo grėsmei informuoti abonentus ar registruotus naudotojus apie tokią grėsmę. Šios iš Europos Parlamento ir Tarybos Direktyvos 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) 2009 metais priimtų pakeitimų kildinamos pranešimo pareigos Europos duomenų apsaugos priežiūros pareigūnas siūlo nuo Reglamento įsigaliojimo atsisakyti tam, kad būtų išvengta pranešimų dubliavimosi, tačiau kol kas nėra aišku, ar tai bus padaryta.

Priemonės keliamiems reikalavimams įgyvendinti 

Siekdamos sėkmingai įgyvendinti naujas su duomenų saugumo pažeidimais susijusias pareigas, bendrovės turėtų nustatyti vidines reagavimo į pažeidimus taisykles tam, kad bendrovės darbuotojai tokio įvykio atveju turėtų konkrečias instrukcijas, kaip atpažinti duomenų apsaugos pažeidimą bei kokių veiksmų imtis ir taip objektyviai sureaguotų į pažeidimą. Taip pat rekomenduotinas ir duomenų apsaugos audito atlikimas, kuris leistų nustatyti, kokie ir kaip asmens duomenys yra tvarkomi, kur saugomi, kaip jie perduodami bendrovės viduje ir kitus aspektus, leidžiančius užtikrinti, kad duomenų saugumo pažeidimas būtų nustatytas ir į jį būtų tinkamai sureaguota laiku. 

Tinkamas pasirengimas galimam pažeidimui reikalingas ir tam, kad priežiūros institucijai pateiktas pranešimas atitiktų Reglamente keliamus turinio reikalavimus, tokius kaip duomenų saugumo pažeidimo pobūdžio aprašymas, tikėtinų pažeidimo pasekmių įvardijimas ir bendrovės taikytų ar siūlytų taikyti pažeidimo pašalinimo arba pasekmių sumažinimo priemonių išdėstymas. Be to, Reglamentas įpareigoja duomenų valdytojus vesti vidinį pažeidimų registrą – dokumentuoti visus asmens duomenų saugumo pažeidimus, jų poveikį ir taisomuosius veiksmus tam, kad esant poreikiui galėtų visą tai pateikti priežiūros institucijai, todėl bendrovės darbuotojai turi būti pasirengę efektyviai ir laiku tai atlikti.

Iš technologinių priemonių reikšmingiausiu duomenų saugumo pažeidimų atvejais laikytinas šifravimas. Pareigos informuoti duomenų subjektus duomenų valdytojas galės išvengti tada, jei šifravimo ar kitų techninių priemonių pagalba užtikrins, kad teisės susipažinti su asmens duomenimis neturinčiam asmeniui duomenys nebus suprantami.