11.1.2017   

LT

Europos Sąjungos oficialusis leidinys

L 6/40

(1)

Komisijos ryšių ir informacinės sistemos yra neatsiejama jos veikimo dalis, o IT saugumo incidentų poveikis Komisijos veiklai, taip pat trečiosioms šalims, įskaitant asmenis, įmones ir valstybes nares, gali būti didelis;

(2)

yra daug grėsmių Komisijos ryšių ir informacinių sistemų ir jose tvarkomos informacijos konfidencialumui, vientisumui ir prieinamumui. Šios grėsmės, be kita ko, gali būti avarijos, klaidos, tyčiniai išpuoliai ar gamtos reiškiniai ir turi būti pripažįstamos veiklos rizika;

(3)

reikia užtikrinti ryšių ir informacinių sistemų apsaugos lygį, atitinkantį joms gresiančios rizikos tikimybę, poveikį ir pobūdį;

(4)

Komisijos IT saugumo priemonėmis turėtų būti užtikrinta, kad Komisijos ryšių ir informacinėse sistemose (RIS) tvarkoma informacija būtų apsaugota ir kad teisėtų naudotojų valdomos sistemos veiktų taip, kaip reikia, ir tada, kada reikia;

(5)

Komisijos IT saugumo politika turėtų būti įgyvendinama taip, kad būtų suderinama su Komisijos saugumo politikos nuostatomis;

(6)

Žmogiškųjų išteklių ir saugumo generalinio direktorato Saugumo direktoratas yra bendrai atsakingas už saugumą Komisijoje, o jį prižiūri ir už jį atsako už saugumą atsakingas Komisijos narys;

(7)

Komisijos koncepcija turėtų būti formuojama atsižvelgiant į ES politikos iniciatyvas ir teisės aktus dėl tinklų ir informacijos saugumo, pramonės standartus ir gerąją patirtį, kad būtų laikomasi visų atitinkamų teisės aktų ir būtų užtikrintas sąveikumas ir suderinamumas;

(8)

už ryšių ir informacines sistemas atsakingi Komisijos padaliniai turėtų parengti ir įgyvendinti tinkamas priemones, o siekiant užtikrinti efektyvumą ir veiksmingumą, IT saugumo priemonės, skirtos ryšių ir informacinėms sistemoms apsaugoti, turėtų būti koordinuojamos Komisijos mastu;

(9)

prieigos prie informacijos taisyklės ir procedūros, kuriomis užtikrinamas IT saugumas, įskaitant IT saugumo incidentų valdymą, turėtų būti proporcingos grėsmei Komisijai ar jos darbuotojams ir atitikti Europos Parlamento ir Tarybos reglamente (EB) Nr. 45/2001 (1) dėl asmenų apsaugos Sąjungos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo nustatytus principus ir būti nustatytos atsižvelgiant į profesinės paslapties principą, kaip numatyta SESV 339 straipsnyje;

(10)

ryšių ir informacinių sistemų, kuriose tvarkoma ES įslaptinta informacija (ESĮI), neskelbtina neįslaptinta informacija ir neįslaptinta informacija, politika ir taisyklės turi visiškai atitikti Komisijos sprendimus (ES, Euratomas) 2015/443 (2) ir (ES, Euratomas) 2015/444 (3);

(11)

Komisija turi peržiūrėti ir atnaujinti nuostatas dėl Komisijos naudojamų ryšių ir informacinių sistemų saugumo;

(12)

todėl Komisijos sprendimas C(2006) 3602 turėtų būti panaikintas,

1)

atskaitingas – atsakingas už veiksmus, sprendimus ir veiklos efektyvumą;

2)

ES CERT – ES institucijų ir agentūrų kompiuterinių incidentų tyrimo tarnyba. Jos užduotis – padėti Europos institucijoms apsisaugoti nuo tyčinių ir piktavališkų išpuolių, kurie pakenktų jų IT išteklių vientisumui ir padarytų žalos ES interesams. ES CERT veiklos sritis apima prevenciją, aptikimą, reagavimą ir atkūrimą;

3)

Komisijos padalinys – Komisijos generalinis direktoratas, tarnyba arba Komisijos nario kabinetas;

4)

Komisijos saugumo institucija – institucija, kurios funkcijos nustatytos Sprendime (ES), Euratomas) 2015/444;

5)

ryšių ir informacinė sistema (RIS) – bet kokia sistema, užtikrinanti galimybę tvarkyti informaciją elektroniniu būdu, įskaitant visas priemones, kurių reikia jos veikimui užtikrinti, taip pat infrastruktūrą, organizacinius, personalo ir informacijos išteklius. Ši apibrėžtis apima verslo taikomąsias programas, bendro naudojimo IT paslaugas, trečiųjų šalių teikiamas sistemas ir galutinių naudotojų įrenginius;

6)

organizacinio valdymo taryba (OVT) – organas, vykdantis aukščiausio lygio organizacinio valdymo priežiūrą, susijusią su Komisijos veikla ir administravimu;

7)

duomenų savininkas – asmuo, atsakingas už tam tikro RIS tvarkomo duomenų rinkinio apsaugą ir naudojimą;

8)

duomenų rinkinys – informacija, skirta tam tikram verslo procesui arba tam tikrai Komisijos veiklai;

9)

skubos procedūra – iš anksto nustatyti reagavimo į skubias situacijas metodai ir pareigos, kuriais siekiama išvengti didelio poveikio Komisijai;

10)

informacijos saugumo politika – informacijos saugumo tikslai, kurie yra arba turi būti nustatyti, įgyvendinti ir kontroliuojami. Ji apima sprendimus (ES, Euratomas) 2015/444 ir (ES, Euratomas) 2015/443, bet jais neapsiriboja;

11)

informacijos saugumo valdyba (ISV) – valdymo organas, padedantis organizacinio valdymo tarybai vykdyti su IT saugumu susijusias užduotis;

12)

vidaus IT paslaugų teikėjas – Komisijos padalinys, teikiantis bendro naudojimo IT paslaugas;

13)

IT saugumas, arba RIS saugumas – RIS ir jose tvarkomų duomenų rinkinių konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

14)

IT saugumo gairės – rekomenduojamos, bet neprivalomos priemonės, kurios padeda užtikrinti, kad būtų laikomasi IT saugumo standartų, arba kuriomis remiamasi, kai nenustatyta taikomų standartų;

15)

IT saugumo incidentas – bet koks įvykis, galintis neigiamai paveikti informacijos konfidencialumą, vientisumą ar RIS prieinamumą;

16)

IT saugumo priemonė – techninė arba organizacinė priemonė, kuria siekiama sumažinti IT saugumo riziką;

17)

IT saugumo poreikis – tiksliai ir nedviprasmiškai apibrėžti informacijos vieneto arba IT sistemos konfidencialumo, vientisumo ir prieinamumo lygiai, kuriais remiantis nustatomas reikiamas apsaugos lygis;

18)

IT saugumo tikslas – teiginys apie ketinimą atremti nustatytas grėsmes ir (arba) užtikrinti atitiktį nustatytiems organizaciniams saugumo reikalavimams arba prielaidoms;

19)

IT saugumo planas – IT saugumo priemonių, būtinų RIS saugumo poreikiams patenkinti, dokumentai;

20)

IT saugumo politika – IT saugumo tikslai, kurie yra arba turi būti nustatyti, įgyvendinti ir kontroliuojami. Ji apima šį sprendimą ir jo įgyvendinimo taisykles;

21)

IT saugumo reikalavimas – iš anksto nustatyta tvarka oficialiai įformintas IT saugumo poreikis;

22)

IT saugumo rizika – galimas IT saugumo grėsmės poveikis RIS, kuris gali būti padarytas pasinaudojant silpnomis RIS vietomis. IT saugumo riziką apibūdina du veiksniai: 1) netikrumas, t. y. tikimybė, kad grėsmė IT saugumui galėtų sukelti nepageidaujamą įvykį, ir 2) poveikis, t. y. galimi tokio nepageidaujamo įvykio padariniai RIS;

23)

IT saugumo standartai – specialios privalomos IT saugumo priemonės, padedančios užtikrinti ir remti IT saugumo politikos įgyvendinimą;

24)

IT saugumo strategija – projektai ir veiksmai, kuriais siekiama Komisijos tikslų ir kurie turi būti sukurti, įgyvendinti ir kontroliuojami;

25)

grėsmė IT saugumui – veiksnys, kuris gali lemti nepageidaujamą įvykį, per kurį būtų pakenkta RIS. Tokia grėsmė gali būti atsitiktinė arba tyčinė ir jai būdingi grėsmės elementai, galimi taikiniai ir puolimo būdai;

26)

vietos informatikos saugumo pareigūnas (VISP) – pareigūnas, atsakingas už Komisijos padalinio IT saugumo ryšius;

27)

terminai „asmens duomenys“, „asmens duomenų tvarkymas“, „duomenų valdytojas“ ir „asmens duomenų kaupimo rinkmenose sistema“ apibrėžti Reglamente (EB) Nr. 45/2001, ypač jo 2 straipsnyje;

28)

informacijos tvarkymas – visos RIS funkcijos, susijusios su duomenų rinkiniais, įskaitant informacijos kūrimą, keitimą, rodymą, saugojimą, perdavimą, šalinimą ir archyvavimą. RIS informacijos tvarkymas gali būti teikiamas kaip naudotojams skirtų funkcijų rinkinys ir kaip kitoms RIS skirtų IT paslaugų rinkinys;

29)

profesinė paslaptis – verslo informacijos, kuriai taikomas įpareigojimas saugoti profesinę paslaptį, visų pirma informacijos apie įmones, jų verslo ryšius ar išlaidų sudedamąsias dalis, kaip nustatyta SESV 339 straipsnyje, apsauga;

30)

atsakingas – įpareigotas veikti ir priimti sprendimus, kad būtų pasiekti reikiami rezultatai;

31)

saugumas Komisijoje – asmenų, turto ir informacijos saugumas Komisijoje, visų pirma fizinė asmenų ir turto neliečiamybė, informacijos, ryšių ir informacinių sistemų vientisumas, konfidencialumas ir prieinamumas, taip pat nevaržomas Komisijos veiklos vykdymas;

32)

bendro naudojimo IT paslauga – su informacijos tvarkymu susijusi paslauga, kurią RIS teikia kitoms RIS;

33)

sistemos savininkas – asmuo, bendrai atsakingas už RIS viešąjį pirkimą, kūrimą, integravimą, keitimą, naudojimą, techninę priežiūrą ir nurašymą;

34)

naudotojas – asmuo, besinaudojantis RIS funkcijomis Komisijoje arba išorėje.

a)

autentiškumas – užtikrinimas, kad informacija yra tikra ir gauta iš bona fide šaltinių;

b)

prieinamumas – savybė, kuri reiškia, kad leidimą turintis subjektas, pateikęs prašymą, gali gauti informaciją ir ja naudotis;

c)

konfidencialumas – savybė, kuri reiškia, kad informacija neatskleidžiama neturintiems leidimo asmenims, subjektams ar procesams;

d)

vientisumas – savybė, kuri reiškia, kad apsaugomas išteklių ir informacijos tikslumas ir visuma;

e)

nepaneigiamumas – galimybė įrodyti, kad veiksmas buvo atliktas ar įvykis įvyko, taigi to įvykio ar veiksmo negalima vėliau užginčyti;

f)

asmens duomenų apsauga – tinkamų asmens duomenų apsaugos priemonių teikimas visapusiškai laikantis Reglamento (EB) Nr. 45/2001;

g)

profesinė paslaptis – informacijos, kuriai taikomas profesinės paslapties įpareigojimas, visų pirma informacijos apie įmones, jų verslo ryšius ar išlaidų sudedamąsias dalis, kaip nustatyta SESV 339 straipsnyje, apsauga.

1)

užtikrina IT saugumo politikos ir Komisijos informacijos saugumo politikos darną;

2)

nustato leidimų saugant ir perduodant informaciją ryšių ir informacinėse sistemose naudoti šifravimo technologijas sistemą;

3)

informuoja Informatikos generalinį direktoratą apie konkrečias grėsmes, kurios galėtų labai paveikti RIS ir jose tvarkomų duomenų rinkinių saugumą;

4)

atlieka IT saugumo patikrinimus siekdamas įvertinti, ar Komisijos RIS atitinka saugumo politikos reikalavimus, ir praneša rezultatus ISV;

5)

nustato prieigos prie Komisijos RIS iš išorės tinklų leidimų sistemą bei susijusias tinkamas saugumo taisykles ir glaudžiai bendradarbiaudamas su Informatikos generaliniu direktoratu parengia susijusius IT saugumo standartus ir gaires;

6)

pasiūlo RIS paslaugų užsakymo principus ir taisykles, kuriais siekiama išlaikyti tinkamą informacijos saugumo kontrolę;

7)

glaudžiai bendradarbiaudamas su Informatikos generaliniu direktoratu parengia su 6 straipsniu susijusius IT saugumo standartus ir gaires.

1)

glaudžiai bendradarbiaudamas su Žmogiškųjų išteklių ir saugumo generaliniu direktoratu, kad būtų užtikrintas IT saugumo politikos ir Komisijos informacijos saugumo politikos nuoseklumas, parengia IT saugumo standartus ir gaires, išskyrus numatytus 6 straipsnyje, ir pasiūlo juos ISV;

2)

vertina visų Komisijos padalinių IT saugumo rizikos valdymo metodus, procesus ir rezultatus ir reguliariai teikia ataskaitas Informacijos saugumo valdybai;

3)

pasiūlo tęstinę IT saugumo strategiją, kurią peržiūri ir patvirtina ISV, o vėliau tvirtina organizacinio valdymo taryba, ir programą, apimančią IT saugumo strategijos įgyvendinimo projektų planus ir veiklą;

4)

stebi, kaip įgyvendinama Komisijos IT saugumo strategija, ir reguliariai teikia ataskaitas Informacijos saugumo valdybai;

5)

stebi IT saugumo riziką bei ryšių ir informacinėse sistemose įgyvendinamas IT saugumo priemones ir reguliariai teikia ataskaitas Informacijos saugumo valdybai;

(6)

Informacijos saugumo valdybai reguliariai teikia bendro šio sprendimo įgyvendinimo ir jo nuostatų laikymosi ataskaitas;

7)

pasikonsultavęs su Žmogiškųjų išteklių ir saugumo generaliniu direktoratu, pareikalauja, kad sistemos savininkai imtųsi konkrečių IT saugumo priemonių, siekdami sumažinti IT saugumo riziką Komisijos ryšių ir informacinėms sistemoms;

8)

užtikrina tinkamą Informatikos generalinio direktorato IT saugumo paslaugų katalogą, prieinamą sistemų ir duomenų savininkams, kad šie galėtų vykdyti su IT saugumu susijusias savo pareigas ir laikytis IT saugumo politikos ir standartų;

9)

sistemų ir duomenų savininkams pateikia tinkamus dokumentus ir prireikus su jais konsultuojasi dėl pastarųjų teikiamų IT paslaugų IT saugumo priemonių įgyvendinimo, kad sudarytų sąlygas laikytis IT saugumo politikos ir padėtų sistemų savininkams valdyti IT saugumo riziką;

10)

rengia reguliarius VISP tinklo posėdžius ir padeda VISP atlikti savo pareigas;

11)

bendradarbiaudamas su Komisijos padaliniais nustato IT saugumo mokymo poreikius, koordinuoja mokymo programas ir glaudžiai bendradarbiaudamas su Žmogiškųjų išteklių generaliniu direktoratu rengia, įgyvendina ir koordinuoja informuotumo apie IT saugumą didinimo kampanijas;

12)

užtikrina, kad sistemų savininkai, duomenų savininkai ir kiti IT saugumo funkcijų Komisijos padaliniuose vykdytojai būtų informuoti apie IT saugumo politiką;

13)

informuoja Žmogiškųjų išteklių ir saugumo generalinį direktoratą apie konkrečias grėsmes IT saugumui, incidentus ir Komisijos IT saugumo politikos išimtis, apie kuriuos pranešė sistemos savininkai ir kurie gali labai paveikti saugumą Komisijoje;

14)

vykdydamas savo IT paslaugų teikėjo funkciją pateikia Komisijai katalogą bendro naudojimo IT paslaugų, kurios užtikrina nustatytą saugumo lygį. Tai atliekama sistemingai vertinant, valdant ir stebint IT saugumo riziką, kad būtų įgyvendinamos saugumo priemonės, užtikrinančios galimybę pasiekti nustatytą saugumo lygį.

1)

oficialiai paskiria kiekvienos RIS savininką, kuris yra pareigūnas arba laikinasis darbuotojas ir kuris bus atsakingas už tos RIS IT saugumą, ir oficialiai paskiria kiekvieno RIS tvarkomo duomenų rinkinio savininką, kuris turėtų priklausyti tam pačiam administraciniam vienetui, kuris yra duomenų rinkinių, kuriems taikomas Reglamentas (EB) Nr. 45/2001, duomenų valdytojas;

2)

oficialiai paskiria VISP, kuris gali vykdyti pareigas nepriklausomai nuo sistemų savininkų ir duomenų savininkų. Gali būti paskirtas vieno arba kelių Komisijos padalinių VISP;

3)

užtikrina, kad būtų atlikti tinkami IT saugumo rizikos vertinimai bei parengti ir įgyvendinti IT apsaugos planai;

4)

užtikrina, kad Informatikos generaliniam direktoratui būtų reguliariai pateikiama IT saugumo rizikos ir priemonių santrauka;

5)

padedamas Informatikos generalinio direktorato užtikrina, kad būtų įgyvendinti tinkami procesai, procedūros ir sprendimai, užtikrinantys efektyvų su savo RIS susijusių IT saugumo incidentų aptikimą, pranešimą apie juos ir jų pašalinimą;

6)

susidarius IT saugumo ekstremaliajai situacijai pradeda skubos procedūrą;

7)

yra labiausiai atskaitingas už IT saugumą, įskaitant sistemos valdytojo ir duomenų savininko pareigas;

8)

prisiima riziką, susijusią su savo RIS ir duomenų rinkiniais;

9)

sprendžia visus duomenų savininkų ir sistemos savininkų nesutarimus, o jei nesutarimai išlieka, perduoda klausimą spręsti ISV;

10)

užtikrina, kad būtų įgyvendinti IT saugumo planai ir IT saugumo priemonės ir tinkamai išspręsti rizikos klausimai.

a)

užtikrina, kad RIS būtų suderinama su IT saugumo politika;

b)

užtikrina, kad RIS būtų tiksliai užregistruota atitinkamame inventoriaus apraše;

c)

bendradarbiaudamas su duomenų savininkais ir konsultuodamasis su Informatikos generaliniu direktoratu įvertina kiekvienos RIS IT saugumo riziką ir nustato IT saugumo poreikius;

d)

parengia saugumo planą, į kurį, kai tinkama, įtraukia išsamius įvertintos rizikos duomenis ir visas būtinas papildomas saugumo priemones;

e)

įgyvendina atitinkamas IT saugumo priemones, proporcingas nustatytai IT saugumo rizikai, ir laikosi ISV patvirtintų rekomendacijų;

f)

nustato visus priklausomybės nuo kitų RIS ir bendro naudojimo IT paslaugų atvejus ir, kai tinkama, įgyvendina saugumo priemones, remdamasis pasiūlytais tų RIS arba bendro naudojimo IT paslaugų saugumo lygiais;

g)

valdo ir stebi IT saugumo riziką;

h)

Komisijos padalinio vadovui reguliariai teikia savo RIS IT saugumo rizikos profilio ataskaitas ir Informatikos generaliniam direktoratui susijusios rizikos, rizikos valdymo veiklos ir saugumo priemonių, kurių buvo imtasi, ataskaitas;

i)

konsultuojasi su atitinkamo Komisijos padalinio (-ių) VISP dėl IT saugumo aspektų;

j)

naudotojams duoda nurodymus dėl RIS ir susijusių duomenų naudojimo, taip pat dėl jų pareigų, susijusių su RIS;

k)

dėl kiekvienos RIS, kurioje naudojama šifravimo technologija, prašo Žmogiškųjų išteklių ir saugumo generalinio direktorato, veikiančio kaip šifravimo institucija, leidimo;

l)

iš anksto konsultuojasi su Komisijos saugumo institucija dėl kiekvienos ES įslaptintos informacijos tvarkymo sistemos;

m)

užtikrina, kad visų iššifravimo raktų atsarginės kopijos būtų laikomos sąlyginio deponavimo paskyroje. Užšifruoti duomenys iššifruojami tik gavus leidimą Žmogiškųjų išteklių ir saugumo generalinio direktorato nustatyta tvarka;

n)

laikosi atitinkamų duomenų valdytojo (-ų) nurodymų dėl asmens duomenų apsaugos ir duomenų apsaugos taisyklių taikymo duomenų tvarkymo saugumui;

o)

Informatikos generaliniam direktoratui praneša apie visas Komisijos IT saugumo politikos išimtis ir jas tinkamai pagrindžia;

p)

Komisijos padalinio vadovui praneša apie visus neišsprendžiamus duomenų savininko ir sistemos savininko nesutarimus, prireikus atitinkamoms suinteresuotosioms šalims laiku praneša apie IT saugumo incidentus, atsižvelgdamas į jų sunkumą, kaip nustatyta 15 straipsnyje;

q)

užtikrina, kad, kai sistemas teikia trečiosios šalys, į užsakomųjų paslaugų sutartis būtų įtrauktos tinkamos IT saugumo nuostatos ir kad apie trečiųjų šalių teikiamose RIS įvykusius IT saugumo incidentus būtų pranešama pagal 15 straipsnį;

r)

užtikrina nustatytą ir dokumentais aiškiai pagrįstą RIS, kurios naudojamos teikiant bendro naudojimo IT paslaugas, saugumo lygį ir saugumo priemonių, kuriomis toje RIS užtikrinamas nustatytas saugumo lygis, įgyvendinimą.

a)

užtikrina, kad visi duomenų rinkiniai, už kuriuos jis atsakingas, būtų tinkamai klasifikuoti pagal sprendimus (ES, Euratomas) 2015/443 ir (ES, Euratomas) 2015/444;

b)

nustato informacijos saugumo poreikius ir apie juos informuoja atitinkamus sistemų savininkus;

c)

dalyvauja atliekant RIS rizikos vertinimą;

d)

Komisijos padalinio vadovui praneša apie visus neišsprendžiamus duomenų savininko ir sistemos savininko nesutarimus;

e)

praneša apie IT saugumo incidentus, kaip numatyta 15 straipsnyje.

a)

savo iniciatyva nustato ir informuoja sistemų savininkus, duomenų savininkus ir kitų IT saugumo pareigų vykdytojus Komisijos padalinyje (-iuose) apie IT saugumo politiką;

b)

dalyvaudamas VISP tinklo veikloje palaiko ryšius su Informatikos generaliniu direktoratu su IT saugumu susijusiais klausimais Komisijos padalinyje (-iuose);

c)

dalyvauja reguliariuose VISP susirinkimuose;

d)

bendrai stebi informacijos saugumo rizikos valdymo procesą ir informacijos sistemos saugumo planų rengimą ir įgyvendinimą;

e)

pataria duomenų savininkams, sistemos savininkams ir Komisijos padalinių vadovams su IT saugumu susijusiais klausimais;

f)

bendradarbiauja su Informatikos generaliniu direktoratu skleidžiant geriausią IT saugumo praktiką ir siūlo specialias informuotumo didinimo ir mokymo programas;

g)

Komisijos padalinio (-ių) vadovui (-ams) atsiskaito IT saugumo klausimais, nustato trūkumus ir tobulinimo priemones.

a)

laikosi IT saugumo politikos ir sistemos savininko duotų kiekvienos RIS naudojimo nurodymų;

b)

praneša apie IT saugumo incidentus, kaip numatyta 15 straipsnyje.

a)

turi teisę gauti visų incidentų įrašų informacijos santrauką, o paprašęs – išsamius įrašus;

b)

dalyvauja IT saugumo incidentų krizių valdymo grupės veikloje ir vykdant IT saugumo skubos procedūras;

c)

atsako už ryšius su teisėsaugos ir žvalgybos tarnybomis;

d)

atlieka kibernetinio saugumo teisminę ekspertizę pagal Sprendimo (ES, Euratomas) 2015/443 11 straipsnį;

e)

sprendžia dėl poreikio pradėti oficialų tyrimą;

f)

informuoja Informatikos generalinį direktoratą apie visus IT saugumo incidentus, kurie gali kelti pavojų kitoms RIS.

a)

nedelsdami praneša savo Komisijos padalinio vadovui, Informatikos generaliniam direktoratui ir Žmogiškųjų išteklių generaliniam direktoratui, VISP ir, kai tinkama, duomenų savininkui apie visus didelius IT saugumo incidentus, ypač tuos, kurie yra susiję su duomenų konfidencialumo pažeidimu;

b)

bendradarbiauja su atitinkamomis Komisijos institucijomis dėl pranešimo apie incidentus, reagavimo į juos ir padėties ištaisymo ir vykdo tų institucijų nurodymus.