Suvestinė redakcija nuo 2021-03-27
Įsakymas paskelbtas: TAR 2021-01-05, i. k. 2021-00118
VIEŠOSIOS ĮSTAIGOS TRANSPORTO KOMPETENCIJŲ AGENTŪROS
Direktorius
ĮSAKYMAS
DĖL ASMENS DUOMENŲ APSAUGOS ĮGYVENDINIMO VIEŠOJOJE ĮSTAIGOJE TRANSPORTO KOMPETENCIJŲ AGENTŪROJE
2021 m. sausio 5 d. Nr. 2-2
Vilnius
Vadovaudamasis Viešosios įstaigos Transporto kompetencijų agentūros įstatų, patvirtintų Lietuvos Respublikos susisiekimo ministro 2020 m. liepos 27 d. įsakymu Nr. 3-430 „Dėl viešosios įstaigos Transporto kompetencijų agentūros reorganizavimo“, 48.11 papunkčiu ir atsižvelgdamas į 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nuostatas,
2. Asmens duomenų saugumo pažeidimų tyrimo viešojoje įstaigoje Transporto kompetencijų agentūroje tvarkos aprašą.
3. Duomenų subjekto teisių įgyvendinimo viešojoje įstaigoje Transporto kompetencijų agentūroje taisykles.
4. Asmens duomenų tvarkymo operacijų viešojoje įstaigoje Transporto kompetencijų agentūroje poveikio duomenų apsaugai vertinimo atlikimo tvarkos aprašą.
Papildyta punktu:
Nr. 2-41, 2021-03-23, paskelbta TAR 2021-03-26, i. k. 2021-05944
PATVIRTINTA
Viešosios įstaigos Transporto kompetencijų agentūros direktoriaus
2021 m. sausio 5 d. įsakymu Nr. 2-2
DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO VIEŠOJOJE ĮSTAIGOJE TRANSPORTO KOMPETENCJŲ AGENTŪROJE TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Duomenų subjekto teisių įgyvendinimo viešojoje įstaigoje Transporto kompetencijų agentūroje taisyklių (toliau – Taisyklės) tikslas – nustatyti duomenų subjektų teisių įgyvendinimo viešojoje įstaigoje Transporto kompetencijų agentūroje (toliau – TKA) tvarką siekiant įgyvendinti atskaitomybės principą.
2. Įgyvendinant duomenų subjekto teises vadovaujamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir TKA direktoriaus patvirtintomis Viešosios įstaigos Transporto kompetencijų agentūros asmens duomenų tvarkymo taisyklėmis (toliau – Asmens duomenų tvarkymo taisyklės).
II SKYRIUS
TEISĖ GAUTI INFORMACIJĄ APIE DUOMENŲ TVARKYMĄ
4. Informacija apie TKA atliekamą duomenų subjekto asmens duomenų tvarkymą, nurodyta BDAR 13 ir 14 straipsniuose, pateikiama raštu (Asmens duomenų tvarkymo taisyklių 6 priede nustatyta forma) arba žodžiu, atsižvelgiant į tai, kokiu būdu duomenų subjektas kreipiasi į TKA.
6. Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto, apie šio duomenų subjekto asmens duomenų tvarkymą informuojama:
6.1. per 10 darbo dienų nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;
6.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba
III SKYRIUS
TEISĖ SUSIPAŽINTI SU DUOMENIMIS
8. TKA esant duomenų subjekto prašymu įgyvendinti teisę susipažinti su savo asmens duomenimis turi pateikti:
8.2. su asmens duomenų tvarkymu susijusią informaciją, numatytą BDAR 15 straipsnio 1 ir 2 dalyse, jeigu duomenų subjekto asmens duomenys tvarkomi;
9. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta tvarkomų asmens duomenų kopija ir kita forma, nei TKA pateikia, tačiau už tai gali būti imamas TKA direktoriaus nustatyto dydžio mokestis. Kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip, informacija pateikiama įprastai naudojama elektronine forma. Ši teisė gauti kopiją negali daryti neigiamo poveikio kitų teisėms ir laisvėms.
IV SKYRIUS
TEISĖ REIKALAUTI IŠTAISYTI DUOMENIS
10. Duomenų subjektas, vadovaudamasis BDAR 16 straipsniu, turi teisę reikalauti, kad bet kokie jo tvarkomi netikslūs asmens duomenys būtų ištaisyti, o neišsamūs papildyti.
11. Siekiant įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, TKA gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus.
12. Jeigu duomenų subjekto asmens duomenys (ištaisyti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, TKA šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
V SKYRIUS
TEISĖ REIKALAUTI IŠTRINTI DUOMENIS („TEISĖ BŪTI PAMIRŠTAM“)
13. Duomenų subjekto teisė ištrinti jo asmens duomenis („teisė būti pamirštam“) įgyvendinama BDAR 17 straipsnyje numatytais atvejais.
14. Duomenų subjekto teisė reikalauti ištrinti asmens duomenis („teisė būti pamirštam“) gali būti neįgyvendinta BDAR 17 straipsnio 3 dalyje numatytais atvejais.
15. TKA, gavusi duomenų subjekto prašymą, privalo nedelsdama, bet ne vėliau kaip per 10 darbo dienų nuo prašymo gavimo dienos, atlikti prašymo įvertinimą, siekdama nustatyti, ar duomenų subjekto pateiktas prašymas yra pagrįstas.
16. Jeigu yra nustatoma, kad duomenų subjekto pateiktas prašymas yra pagrįstas, TKA privalo:
16.1. nedelsdama, bet ne vėliau kaip per 5 darbo dienas, ištrinti su duomenų subjektu susijusius asmens duomenis;
16.2. jeigu nėra galimybių nedelsiant ištrinti duomenų subjekto asmens duomenų, sustabdyti duomenų subjekto asmens duomenų tvarkymo veiksmus;
16.3. ne vėliau kaip per 5 darbo dienas nuo asmens duomenų ištrynimo informuoti:
16.3.2. duomenų gavėjus apie duomenų subjekto prašymu ištrintus asmens duomenis, jeigu duomenų subjekto asmens duomenys buvo teikiami duomenų gavėjams. Informuoti duomenų gavėjų nereikia, kai pateikti tokią informaciją neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, asmens duomenų saugojimo laikotarpio, nepagrįstai didelių sąnaudų). Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
VI SKYRIUS
TEISĖ APRIBOTI DUOMENŲ TVARKYMĄ
17. BDAR 18 straipsnio 1 dalyje numatytais atvejais TKA įgyvendina duomenų subjekto teisę apriboti jo asmens duomenų tvarkymą.
18. TKA, gavusi duomenų subjekto prašymą apriboti jo asmens duomenų tvarkymą, privalo nedelsdama, bet ne vėliau kaip per 10 darbo dienų nuo prašymo gavimo dienos, atlikti prašymo įvertinimą, siekdama nustatyti, ar duomenų subjekto pateiktas prašymas yra pagrįstas.
19. Jeigu yra nustatoma, kad duomenų subjekto pateiktas prašymas yra pagrįstas, TKA privalo:
19.2. nedelsdama, bet ne vėliau kaip per 5 darbo dienas nuo sprendimo dėl asmens duomenų tvarkymo apribojimo priėmimo, informuoti duomenų subjektą apie jo asmens duomenų tvarkymo apribojimą ir, jeigu yra galimybė, nurodyti preliminarų laikotarpį, kurio metu bus apribotas duomenų subjekto asmens duomenų tvarkymas;
19.3. jeigu duomenų subjekto asmens duomenys (kurių tvarkymas apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, ne vėliau kaip per 5 darbo dienas nuo sprendimo dėl asmens duomenų tvarkymo apribojimo priėmimo TKA šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
VII SKYRIUS
TEISĖ Į DUOMENŲ PERKELIAMUMĄ
22. Duomenų subjektas teisės į duomenų perkeliamumą neturi tų asmens duomenų atžvilgiu, kurie tvarkomi neautomatiniu būdu susistemintose rinkmenose, pavyzdžiui, popierinėse bylose.
23. TKA, gavusi duomenų subjekto prašymą dėl jo duomenų perkeliamumo, privalo nedelsdama, bet ne vėliau kaip per 10 darbo dienų nuo prašymo gavimo dienos, atlikti prašymo įvertinimą, siekdama nustatyti, ar duomenų subjekto pateiktas prašymas yra pagrįstas.
24. Duomenų subjektas, kreipdamasis dėl teisės į duomenų perkeliamumą, turi nurodyti, ar pageidauja, kad jo asmens duomenys būtų persiųsti jam ar kitam duomenų valdytojui. Tiesiogiai kitam duomenų valdytojui duomenys perkeliami tik jei yra tam techninės galimybės.
25. Pagal duomenų subjekto prašymą perkelti jo asmens duomenys nėra automatiškai ištrinami. Jeigu duomenų subjektas to pageidauja, turi kreiptis į TKA dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) įgyvendinimo.
26. Jeigu duomenų subjekto prašymas dėl asmens duomenų perkėlimo įgyvendinamas, duomenų subjekto asmens duomenis perkeliant kitam duomenų valdytojui, TKA nevertina, ar duomenų valdytojas, kuriam bus perkelti duomenų subjekto asmens duomenys, turi teisinį pagrindą gauti duomenų subjekto asmens duomenis ir ar šis duomenų valdytojas užtikrins tinkamas asmens duomenų saugumo priemones. TKA neprisiima atsakomybės už perkeltų asmens duomenų tolesnį tvarkymą, kurį atliks kitas duomenų valdytojas.
VIII SKYRIUS
TEISĖ NESUTIKTI SU DUOMENŲ TVARKYMU
27. Duomenų subjektas, vadovaudamasis BDAR 21 straipsniu, turi teisę dėl su juo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad TKA tvarkytų jo asmens duomenis.
28. TKA, gavusi duomenų subjekto prašymą dėl nesutikimo, kad TKA tvarkytų jo asmens duomenis, privalo nedelsdama, bet ne vėliau kaip per 10 darbo dienų nuo prašymo gavimo dienos, atlikti prašymo įvertinimą, siekdama nustatyti, ar duomenų subjekto pateiktas prašymas yra pagrįstas.
29. Duomenų subjektui išreiškus nesutikimą su asmens duomenų tvarkymu, toks tvarkymas atliekamas tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių atliekamas asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus.
IX SKYRIUS
PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES PATEIKIMAS
30. Kreiptis dėl duomenų subjekto teisių įgyvendinimo duomenų subjektas turi teisę žodžiu arba raštu, pateikiant prašymą tiesiogiai, paštu, per kurjerius arba elektroninių ryšių priemonėmis TKA ar duomenų apsaugos pareigūnui, kurio kontaktai nurodyti TKA interneto svetainėje. Dėl informavimo apie asmens duomenų tvarkymą pagal BDAR 13 ir 14 straipsnius taip pat turi teisę kreiptis žodžiu.
31. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi žodžiu ar prašymas pateiktas raštu asmeniškai, duomenų subjektas turi patvirtinti savo tapatybę, pateikdamas asmens tapatybę patvirtinantį dokumentą. To nepadarius, duomenų subjekto teisės nėra įgyvendinamos. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal BDAR 13 ir 14 straipsnius.
32. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi raštu, pateikiant prašymą paštu, per kurjerius tuomet kartu su prašymu turi būti pateikta notaro patvirtinta asmens tapatybę patvirtinančio dokumento kopija. Teikiant prašymą elektroninėmis priemonėmis, prašymas turi būti pasirašytas kvalifikuotu elektroniniu parašu. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal BDAR 13 ir 14 straipsnius.
33. Prašymas įgyvendinti duomenų subjekto teises turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyti duomenų subjekto vardas, pavardė, adresas ir (ar) kiti kontaktiniai duomenys ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo, taip pat informacija apie tai, dėl kokios ar kokių duomenų subjekto teisių įgyvendinimo kreipiamasi, bei aplinkybės, pagrindžiančios prašymą, kai kreipiamasi dėl asmens duomenų ištaisymo, ištrynimo, asmens duomenų tvarkymo apribojimo ar nesutikimo dėl asmens duomenų tvarkymo.
35. Asmens atstovas prašyme turi nurodyti savo vardą, pavardę, adresą ir (ar) kitus kontaktinius duomenis ryšiui palaikyti, kuriais asmens atstovas pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę, adresą, informaciją apie tai, dėl kokios ar kokių duomenų subjekto teisių įgyvendinimo kreipiamasi, bei aplinkybes, pagrindžiančias prašymą. Atstovas turi pridėti atstovavimą patvirtinantį dokumentą ar notaro patvirtintą jo kopiją.
36. Esant abejonių dėl duomenų subjekto tapatybės, TKA prašo papildomos informacijos, reikalingos ja įsitikinti.
37. Kreipiantis raštu dėl duomenų subjekto teisių įgyvendinimo, rekomenduojama pateikti Taisyklių priede nustatytos formos prašymą.
X SKYRIUS
PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES NAGRINĖJIMAS
39. Gavus duomenų subjekto prašymą, ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, jam pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Jeigu bus vėluojama pateikti informaciją, per nurodytą terminą duomenų subjektas informuojamas apie tai, nurodant vėlavimo priežastis ir apie galimybę pateikti skundą Valstybinei duomenų apsaugos inspekcijai.
40. Jeigu prašymas pateiktas nesilaikant Taisyklių IX skyriuje nustatytos tvarkos ir reikalavimų arba esant Taisyklių 44 punkte nurodytoms aplinkybėms, jis gali būti nenagrinėjamas, ir nedelsiant, bet ne vėliau kaip per 5 darbo dienas, duomenų subjektas apie tai informuojamas ir nurodomos prašymo nenagrinėjimo priežastys.
41. Jeigu prašymo nagrinėjimo metu nustatoma, jog duomenų subjekto teisės yra apribotos BDAR 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.
42. Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba.
43. Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai, išskyrus teisės aktų nustatytus atvejus, kai informacija teikiama mokamai.
44. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma, dėl jų pasikartojančio turinio, TKA gali imti TKA direktoriaus nustatyto dydžio mokestį arba atsisakyti imtis veiksmų pagal duomenų subjekto prašymą (šiuo atveju TKA privalo įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas).
45. TKA veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti BDAR 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai, A. Juozapavičius g. 6, Vilnius, el. paštas ada@ada.lt, interneto svetainė www.ada.lt, taip pat Regionų apygardos administraciniam teismui.
Duomenų subjekto teisių įgyvendinimo
viešojoje įstaigoje Transporto kompetencijų
agentūroje taisyklių
priedas
(prašymo įgyvendinti duomenų subjekto teisę (-es) forma)
_____________________________________________________________
(vardas ir pavardė)
___________________________________________________
(atstovo vardas ir pavardė, jeigu prašymą pateikia duomenų subjekto atstovas)
___________________________________________________
(adresas ir (ar) kiti kontaktiniai duomenys ryšiams palaikyti)
Viešajai įstaigai
Transporto kompetencijų agentūrai
PRAŠYMAS
ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISĘ (-ES)
____________
(Data)
________
(Vieta)
1. Prašau įgyvendinti šią (šias) duomenų subjekto teisę (-es):
(Tinkamą langelį pažymėkite kryželiu):
Teisę gauti informaciją apie duomenų tvarkymą
Teisę susipažinti su duomenimis
Teisę reikalauti ištaisyti duomenis
Teisę reikalauti ištrinti duomenis („teisė būti pamirštam“)
Teisę apriboti duomenų tvarkymą
Teisę į duomenų perkeliamumą
Teisę nesutikti su duomenų tvarkymu
2. Nurodykite, ko konkrečiai prašote ir pateikite kiek įmanoma daugiau informacijos, kuri leistų tinkamai įgyvendinti Jūsų teisę (-es) (pavyzdžiui, jeigu norite gauti asmens duomenų kopiją, nurodykite, kokių konkrečiai duomenų (pavyzdžiui, 2018 m. x mėn. x d. elektroninio pašto laiško kopiją, 2018 m. x mėn. x d. vaizdo įrašo (x val. x min. – x val. x min.) kopiją pageidaujate gauti; jeigu norite ištaisyti duomenis, nurodykite, kokie konkrečiai Jūsų asmens duomenys yra netikslūs; jeigu nesutinkate, kad būtų tvarkomi Jūsų asmens duomenys, tuomet nurodykite argumentus, kuriais grindžiate savo nesutikimą, nurodykite dėl kokio konkrečiai duomenų tvarkymo nesutinkate; jeigu kreipiatės dėl teisės į duomenų perkeliamumą įgyvendinimo, prašome nurodyti, kokių duomenų atžvilgiu šią teisę pageidaujate įgyvendinti, ar pageidaujate juos perkelti į savo įrenginį ar kitam duomenų valdytojui, jeigu pastarajam, tuomet nurodykite kokiam):
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________
__________________________________.
PRIDEDAMA[1]:
4. _________________________________________________________________________.
(Parašas) (Vardas, pavardė)
_______________
PATVIRTINTA
Viešosios įstaigos Transporto kompetencijų agentūros direktoriaus
2021 m. sausio 5 d. įsakymu Nr. 2-2
VIEŠOSIOS ĮSTAIGOS TRANSPORTO KOMPETENCIJŲ AGENTŪROS
ASMENS DUOMENŲ TVARKYMO
TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Viešosios įstaigos Transporto kompetencijų agentūros asmens duomenų tvarkymo taisyklės (toliau – Taisyklės) nustato pagrindines asmens duomenų tvarkymo ir duomenų saugos organizacines priemonės viešojoje įstaigoje Transporto kompetencijų agentūroje (toliau – TKA).
2. Taisyklių nuostatos taikomos TKA darbuotojams, kurie tvarko TKA esančius asmens duomenis arba eidami savo pareigas juos sužino. Prieiga prie asmens duomenų gali būti suteikiama tik tiems darbuotojams, kuriems asmens duomenys yra reikalingi jų pareiginiuose nuostatuose nustatytoms funkcijoms vykdyti. Taisyklės TKA tvarkomiems registrams ir valstybės informacinėse sistemoms taikomos tiek, kiek to nereglamentuoja šių registrų ir informacinių sistemų nuostatai.
3. Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme (toliau – ADTAĮ).
II SKYRIUS
ASMENS DUOMENŲ TVARKYMAS
PIRMASIS SKIRSNIS
ASMENS DUOMENŲ TVARKYMO BENDROSIOS NUOSTATOS
5. Detalūs asmens duomenų tvarkymo TKA pagrindai, tikslai, saugojimo terminai bei kita su duomenų tvarkymu susijusi informacija išdėstyti Transporto kompetencijų agentūros asmens duomenų tvarkymo veiklos įrašuose (Taisyklių III skyrius, 4 ir 5 priedai).
6. Asmens duomenys TKA gali būti tvarkomi tik tuo tikslu, kuriuo yra renkami. Jeigu asmens duomenys nėra būtini tam, kad būtų pasiektas konkretus tikslas, jie negali būti tvarkomi. Konkrečiam tikslui pasiekti yra tvarkomas kiek įmanoma mažesnis kiekis asmens duomenų. Asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, turi būti nedelsiant ištrinami arba ištaisomi – TKA imamasi visų pagrįstų priemonių užtikrinti, kad būtų laikomasi BDAR 5 straipsnio 1 dalyje nustatytų principų. Asmens duomenys tvarkomi ir saugomi ne ilgiau negu nustatytas jų saugojimo terminas, kuris turi būti ne ilgesnis, negu yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi. Asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, įgyvendinus atitinkamas technines ir organizacines priemones, siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas).
7. TKA asmens duomenys gali būti tvarkomi tik tada, jeigu yra bent viena iš BDAR 6 straipsnio 1 dalyje įtvirtintų teisėto tvarkymo sąlygų.
8. Draudžiama tvarkyti specialių kategorijų asmens duomenis, išskyrus tuos atvejus, jeigu yra bent viena iš BDAR 9 straipsnio 2 dalyje numatytų sąlygų.
9. Darbuotojai prieš kiekvieną asmens duomenų tvarkymo operaciją (veiksmą) privalo įvertinti, ar toks asmens duomenų tvarkymas atitinka Taisyklių 4 ir 6 punktuose įtvirtintus reikalavimus, bei užtikrinti, kad kiekviena duomenų tvarkymo operacija (veiksmas) atitiktų minėtus reikalavimus, taip pat įvertinti, ar toks asmens duomenų tvarkymas turi bent vieną Taisyklių 7 ar 8 punktuose įtvirtintą asmens duomenų tvarkymo pagrindą, bei užtikrinti, kad asmens duomenys nebūtų tvarkomi, jei nėra bent vieno iš minėtų teisinių pagrindų.
10. TKA asmens duomenys nėra tvarkomi tiesioginės rinkodaros tikslais. TKA veikloje nėra vykdomas profiliavimas.
11. TKA vidaus dokumentuose papildomi duomenų subjektų identifikavimo duomenys, tokie kaip asmens kodas, jeigu tai nėra būtina duomenų subjekto tapatybei nustatyti, kitam teisėtam tikslui pasiekti arba jeigu to nenustato teisės aktai, nenaudojami.
12. Siekiant užtikrinti, kad asmens duomenys TKA būtų saugomi tik nustatytą terminą, visi TKA tvarkomi asmens duomenys yra fiksuojami duomenų tvarkymo veiklos įrašuose kartu nurodant jų saugojimo terminus. Pasibaigus asmens duomenų saugojimo terminui, jis gali būti pratęstas, jeigu TKA nustato, kad saugoti asmens duomenis toliau yra būtina, ypač atsižvelgiant į būtinybę panaudoti asmens duomenis kaip įrodymą ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos (toliau – Inspekcija) vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais teisės aktų nustatytais atvejais. Prieš priimant sprendimą pratęsti asmens duomenų saugojimo terminą, konsultuojamasi su TKA duomenų apsaugos pareigūnu.
13. Tais atvejais, kai atsižvelgiant į asmens duomenų ir duomenų subjektų kategoriją, duomenų tvarkymo pobūdį, aprėptį, kontekstą, tikslus, duomenų subjektų teisėms bei laisvėms gali kilti didelis pavojus, TKA, prieš pradėdama vykdyti duomenų tvarkymo operacijas (veiksmus) ir tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimą.
ANTRASIS SKIRSNIS
REIKALAVIMAI SUTIKIMUI, KAIP ASMENS DUOMENŲ TVARKYMO PAGRINDUI
14. Asmens duomenys sutikimo pagrindu tvarkomi:
14.2. kai, atsižvelgiant į duomenų tvarkymo tikslą ar duomenų kiekį, TKA neturi kito teisinio pagrindo tvarkyti asmens duomenis ar įvykdyti kitus BDAR nustatytus įpareigojimus visa apimtimi. Jeigu asmens duomenys, atsižvelgiant į jų kiekį ir tvarkymo tikslus, gali būti tvarkomi bent vienu BDAR įtvirtintų pagrindų, duomenų subjekto sutikimas papildomai nėra prašomas pateikti;
15. Duomenų subjekto sutikimas dėl asmens duomenų tvarkymo yra užpildomas raštu ir teikiamas TKA pagal Taisyklių 3 priede nustatytą formą.
16. Duomenų subjekto sutikimai gali būti renkami šiais būdais: raštu, įskaitant gautus elektroninėmis priemonėmis, žodžiu ar veiksmais, jeigu yra galimybė įrodyti, kad toks sutikimas buvo duotas, ir jeigu duomenų subjektas savo veiksmais aiškiai sutinka su siūlomu jo asmens duomenų tvarkymu. Pirmenybė kiekvienu atveju yra teikiama duomenų subjekto sutikimams, gautiems raštu (įskaitant gautus elektroninėmis priemonėmis), o kiti sutikimo būdai gali būti naudojami tik kiekvienu konkrečiu atveju įsitikinus, kad yra įmanoma įrodyti duomenų subjekto sutikimo davimo faktą. Duomenų subjekto tylėjimas, iš anksto pažymėti laukai arba neveikimas nelaikomi duomenų subjekto sutikimu.
17. Visais atvejais, kai asmens duomenys yra tvarkomi duomenų subjekto sutikimo pagrindu, TKA privalo kaupti ir turėti įrodymus, kad duomenų subjektas davė tokį sutikimą.
18. Kai asmens duomenys yra tvarkomi sutikimo pagrindu, tvarkomi tik tie asmens duomenys, tais tikslais, kurie nurodyti sutikime, ir su jais atliekamos tik tos tvarkymo operacijos (veiksmai), kurios nurodytos sutikime. Jeigu keičiasi tvarkomų duomenų kiekis, tvarkymo tikslas ar tvarkymo operacijos (veiksmai), privaloma gauti papildomą sutikimą tokiam duomenų tvarkymui arba turi egzistuoti kitas Taisyklėse, BDAR įtvirtintas asmens duomenų tvarkymo teisinis pagrindas.
19. Sutikimas gali būti asmens duomenų tvarkymo pagrindas, jei atitinka šiuos reikalavimus:
19.1. duotas laisva duomenų subjekto valia. Vertinant, ar sutikimas duotas laisva valia, atsižvelgiama į šias aplinkybes:
19.1.1. ar sutarties vykdymui nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti (tokiu atveju nelaikoma, kad sutikimas duotas laisva valia);
19.1.2. ar duomenų subjektas yra verčiamas duoti sutikimą, neturi realaus pasirinkimo dėl sutikimo davimo, patiria spaudimą, negali realiai kontroliuoti sutikimo davimo bei asmens duomenų pateikimo ar gali susilaukti neigiamų pasekmių (tiesioginių ir netiesioginių), jeigu sutikimas nebus duotas (tokiais atvejais nelaikoma, kad sutikimas duotas laisva valia);
19.1.3. jeigu yra aiški TKA ir duomenų subjekto padėties neatitiktis ir dėl to tikėtina, kad sutikimas, atsižvelgiant į visas to konkretaus atvejo aplinkybes, gali nebūti duotas laisva valia. Tokiu atveju TKA imasi papildomų priemonių užtikrinti, kad sutikimas būtų duodamas laisva valia;
19.1.4. jeigu sutikimas yra siejamas su keliais duomenų tvarkymo tikslais ar keliomis duomenų tvarkymo operacijomis (veiksmais), duomenų subjektams turi būti sudaryta galimybė sutikti ne su visais tikslais ar operacijomis (veiksmais), o tik su atskirais tikslais ar operacijomis (veiksmais), jeigu jie nėra tarpusavyje tiesiogiai susiję. Priešingu atveju nelaikoma, kad sutikimas duotas laisva valia;
19.2. sutikimas yra konkretus ir išsamus. Laikoma, kad sutikimas yra konkretus ir išsamus, jeigu jis atitinka šiuos reikalavimus:
19.2.2. nurodyti konkretūs asmens duomenys, kurie bus tvarkomi konkrečiais duomenų tvarkymo tikslais;
19.3. sutikimą duomenų subjektas davė tinkamai informuotas. Tam, kad šis reikalavimas būtų įvykdytas, prieš duomenų subjektui pasirašant sutikimą jam turi būti pateikta BDAR 13 straipsnyje nurodyta informacija bei informuojama apie duomenų subjekto teisę bet kuriuo metu atšaukti savo sutikimą. Informacija gali būti pateikta raštu, žodžiu, audiovizualinėmis žinutėmis, tačiau visais atvejais tokiu būdu, kad TKA turėtų galimybę įrodyti, jog informacija duomenų subjektui buvo pateikta ir kad ji atitinka BDAR 13 straipsnyje įtvirtintą turinį;
20. Visais atvejais sutikimas turi būti gaunamas prieš atliekant duomenų tvarkymo operacijas (veiksmus), dėl kurių gaunamas sutikimas.
21. Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Duomenų subjektui atšaukus sutikimą, draudžiama tvarkyti asmens duomenis tais tikslais ir atlikti duomenų tvarkymo operacijas (veiksmus), kurios buvo atliekamos tokio sutikimo pagrindu, išskyrus atvejus, kai tokiam duomenų tvarkymui egzistuoja kitas Taisyklėse ar BDAR įtvirtintas asmens duomenų tvarkymo teisinis pagrindas. Sutikimui atšaukti yra sudaromos analogiškos sąlygos kaip ir sutikimui duoti, draudžiama apsunkinti ar sudaryti papildomas sąlygas sutikimui atšaukti. Sutikimo atšaukimas negali sukelti duomenų subjektui neigiamų padarinių, įskaitant paslaugos kokybės sumažinimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie šiame punkte išdėstytas nuostatas privalo būti informuojamas prieš jam duodant sutikimą.
22. Sutikimas galioja iki jo atšaukimo momento arba iki sutikime nurodyto jo galiojimo termino pabaigos.
23. Sutikimas ir jame nurodyti asmens duomenys yra saugomi trejus metus nuo sutikimo atšaukimo arba jo galiojimo termino pabaigos, arba nuo TKA sprendimo nebetvarkyti asmens duomenų sutikime nustatytais tikslais priėmimo dienos, išskyrus atvejus, kai teisės aktai numato kitokį duomenų saugojimo terminą. Jei sutikimo duomenys naudojami kaip įrodymai ikiteisminiame ar kitokiame tyrime, įskaitant ir Inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje arba kitais įstatymų nustatytais atvejais, asmens duomenys gali būti saugomi tiek, kiek reikia šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
TREČIASIS SKIRSNIS
DUOMENŲ SUBJEKTŲ INFORMAVIMAS
24. TKA privalo informuoti duomenų subjektą apie jo asmens duomenų tvarkymo veiklą. Kai asmens duomenys gaunami iš paties duomenų subjekto, duomenų subjektui pateikiama informacija apie asmens duomenų tvarkymą, nurodyta BDAR 13 straipsnyje, pagal Taisyklių 6 priede nustatytą formą.
25. Taisyklių 24 punkte nurodyta informacija duomenų subjektui pateikiama prieš gaunant asmens duomenis arba asmens duomenų gavimo metu.
26. Taisyklių 24 ir 25 punktai netaikomi, jeigu duomenų subjektas jau turi informaciją apie jo asmens duomenų tvarkymą, ir tokia apimtimi, kiek tos informacijos jis jau turi.
27. Kai asmens duomenys gaunami ne iš paties duomenų subjekto, TKA privalo duomenų subjektui pateikti Taisyklių 6 priede nustatytos formos informaciją apie asmens duomenų tvarkymą, nurodytą BDAR 14 straipsnyje.
28. Kai asmens duomenys gaunami ne iš paties duomenų subjekto, šių Taisyklių 27 punkte nurodyta informacija duomenų subjektui pateikiama:
28.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti, – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu;
29. Taisyklių 27 ir 28 punktai netaikomi tiek, kiek:
29.2. tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų, arba jeigu dėl informavimo pareigos gali tapti neįmanoma pasiekti to tvarkymo tikslus arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus. Tokiais atvejais TKA imasi tinkamų priemonių duomenų subjekto teisėms ir laisvėms ir teisėtiems interesams apsaugoti, įskaitant viešą informacijos apie asmens duomenų tvarkymą paskelbimą TKA interneto svetainės skiltyje „Asmens duomenų apsauga“;
30. Jei TKA ketina toliau tvarkyti asmens duomenis kitu tikslu, nei tas, kuriuo asmens duomenys buvo renkami, prieš toliau tvarkydama asmens duomenis TKA pateikia duomenų subjektui informaciją apie kitą tikslą ir informaciją, kaip nurodyta Taisyklių 6 priede.
III SKYRIUS
DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI
32. TKA duomenų tvarkymo veiklos įrašai yra tvarkomi pagal Taisyklių 4 ir 5 prieduose nustatytas formas. TKA vykdoma asmens duomenų tvarkymo veikla privalo tiksliai atitikti duomenų tvarkymo veiklos įrašuose aprašytą veiklą.
33. TKA yra tvarkomi tik tie asmens duomenys ir tik tuo tikslu bei tuo teisiniu pagrindu, kurie nurodyti duomenų tvarkymo veiklos įrašuose.
36. Duomenų tvarkymo veiklos įrašai turi būti teisingi, aktualūs ir išsamūs, atspindėti realią TKA duomenų tvarkymo veiklą.
37. Darbuotojai nedelsiant informuoja duomenų apsaugos pareigūną, jeigu TKA duomenų tvarkymo veiklos įrašai neatitinka TKA realaus poreikio dėl asmens duomenų tvarkymo, pateikdami duomenų tvarkymo veiklos įrašų užpildytą formą (Taisyklių 4 ir 5 priedai), kuri registruojama TKA dokumentų valdymo sistemoje.
38. TKA periodiškai, ne rečiau kaip vieną kartą per metus, tikrinama, ar TKA vykdoma asmens duomenų tvarkymo veikla atitinka duomenų tvarkymo veiklos įrašus. Už šias patikras yra atsakingas duomenų apsaugos pareigūnas, prireikus TKA direktoriaus sprendimu gali būti sudaroma komisija. Patikros rezultatai yra įforminami išvada, kurioje nurodoma, ar TKA vykdoma asmens duomenų tvarkymo veikla atitinka duomenų tvarkymo veiklos įrašus, nurodomi trūkumai, jeigu tokie nustatyti, bei rekomendacijos, kaip nustatytus trūkumus ištaisyti. Patikros išvados pateikiamos TKA direktoriui.
39. Duomenų apsaugos pareigūnas atlieka nuolatines patikras TKA, ar TKA vykdoma asmens duomenų tvarkymo veikla atitinka duomenų tvarkymo veiklos įrašus. Patikrų metu gali būti tikrinama konkreti duomenų tvarkymo operacija (veiksmas), konkrečios duomenų subjektų kategorijos duomenų tvarkymo veikla, konkretus duomenų tvarkymo veiklos epizodas. Patikros rezultatai yra įforminami protokolu, kuriame nurodoma, ar tikrinta TKA vykdoma asmens duomenų tvarkymo veikla atitinka duomenų tvarkymo veiklos įrašus, nurodomi trūkumai, jeigu tokie nustatyti. Patikros protokolas yra teikiamas TKA direktoriui.
IV SKYRIUS
DUOMENŲ APSAUGOS PAREIGŪNAS
40. TKA direktorius įsakymu paskiria TKA duomenų apsaugos pareigūną ir, jam negalint vykdyti funkcijų ir atlikti užduočių, jį pavaduojantį asmenį.
41. TKA duomenų apsaugos pareigūno kontaktiniai duomenys (vardas, pavardė, el. pašto adresas ir telefono ryšio numeris), jo funkcijos ir uždaviniai yra skelbiami TKA interneto svetainėje skiltyje „Asmens duomenų apsauga“ ir Taisyklių 3-7 prieduose nustatytose formose. Duomenų apsaugos pareigūno kontaktiniai duomenys pranešami Inspekcijai.
V SKYRIUS
DUOMENŲ SUBJEKTŲ TEISĖS IR JŲ ĮGYVENDINIMO TVARKA
42. Duomenų subjektai turi visas BDAR įtvirtintas teises:
VI SKYRIUS
DARBUOTOJŲ ASMENS DUOMENŲ TVARKYMO YPATUMAI
44. Darbuotojų asmens duomenys yra tvarkomi šiais pagrindais: darbo sutarties ar kitos su darbuotoju sudarytos sutarties sudarymas ir vykdymas, teisės aktuose nustatytų teisinių prievolių vykdymas, TKA ar trečiųjų asmenų teisėtas interesas (pavyzdžiui, TKA materialinės nuosavybės apsauga, darbuotojų produktyvumo ir komunikacijos gerinimas, konfidencialios informacijos apsauga, asmens duomenų, už kuriuos atsakinga TKA, apsauga, klientų turto ir interesų apsauga, darbuotojų bei klientų teisių ir saugumo užtikrinimas ir kt.).
45. TKA gali būti tvarkomi tik tie darbuotojų asmens duomenys, kurie yra būtini darbo sutarčiai ar kitai su darbuotoju sudarytai sutarčiai sudaryti ir vykdyti, teisės aktuose nustatytoms TKA teisinėms prievolėms vykdyti, konkrečiam TKA teisėtam interesui apsaugoti. Darbuotojų duomenų tvarkymo tikslai numatyti duomenų tvarkymo veiklos įrašuose.
46. TKA draudžiama tvarkyti su darbu ir jų teisių įgyvendinimu nesusijusius (perteklinius) darbuotojų asmens duomenis, taip pat pateikti darbuotojo asmens duomenis tretiesiems asmenims, išskyrus įstatymuose ir šiose Taisyklėse nustatytus atvejus.
47. Draudžiama tvarkyti pretendento eiti pareigas arba dirbti darbus ir darbuotojo asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, išskyrus atvejus, kai šie asmens duomenys būtini patikrinti, ar asmuo atitinka įstatymuose ir (ar) įgyvendinamuosiuose teisės aktuose nustatytus reikalavimus pareigoms eiti arba darbams dirbti ir atsakomybei teisės aktų nustatyta tvarka taikyti.
48. Pretendento eiti pareigas arba dirbti darbus asmens duomenis, susijusius su kvalifikacija, profesiniais gebėjimais ir dalykinėmis savybėmis, galima rinkti iš buvusio darbdavio, prieš tai informavus pretendentą, o iš esamo darbdavio – tik pretendento sutikimu.
49. Viešai prieinami asmens duomenys apie pretendentą, pretenduojantį eiti pareigas arba dirbti darbus, ar darbuotojus gali būti renkami tik tiek ir tik tokia apimtimi, kiek tie asmens duomenys yra tiesiogiai reikalingi ir aktualūs darbo pareigoms ir funkcijoms, į kurias pretenduojama, vykdyti. Apie šią galimybę pretendentai yra informuojami darbo skelbime.
50. Pretendento, neatrinkto eiti pareigas asmens duomenys saugomi ne ilgiau nei 3 mėnesius nuo momento, kai pretendentui buvo pranešta, kad su juo nebus sudaryta darbo sutartis. Ilgesnį terminą tokie asmens duomenys gali būti saugomi tik tada, jeigu yra gaunamas pretendento sutikimas, atitinkantis šiose Taisyklėse įtvirtintus reikalavimus, arba atsiranda kitas teisinis pagrindas ilgiau saugoti duomenis.
51. Pasibaigus darbo teisiniams santykiams, nauji duomenys apie buvusį darbuotoją gali būti renkami tik esant teisiniam pagrindui ir tik tiek, kiek jie yra susiję ir būtini remiantis konkrečiu teisiniu pagrindu pagrįstam tikslui pasiekti. Apie tokį duomenų rinkimą šie asmenys yra informuojami pateikiant užpildytą Taisyklių 6 priedo formą.
52. Darbuotojas TKA darbo funkcijoms vykdyti suteiktą kompiuterį, elektroninį paštą ir kitus TKA įrenginius, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą naudoja tik su darbu susijusiais tikslais ir tik darbo funkcijoms vykdyti. Darbuotojams yra draudžiama naudoti kompiuterius, telefonus ir kitą TKA suteiktą įrangą, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą asmeniniais tikslais, juose kaupti asmeninio pobūdžio informaciją, asmens duomenis, išskyrus Taisyklių 53 punkte numatytą išimtį. Jeigu darbuotojas naudoja kompiuterius, telefonus ir kitą TKA suteiktą įrangą, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą asmeniniais tikslais, juose kaupia asmeninio pobūdžio informaciją ir asmens duomenis, darbuotojas prisiima riziką, kad tokią informaciją, asmens duomenis TKA gali sužinoti patikrinimo metu. TKA neužtikrina darbuotojų asmeninės informacijos konfidencialumo darbuotojams asmeniniais tikslais naudojant elektroninį paštą, internetą, socialinius tinklus ir programinę įrangą.
53. Interneto paslaugos gali būti naudojamos ir asmeniniais tikslais (socialinių tinklų naudojimas, asmeniniai mokestiniai ir bankiniai pervedimai, elektroninio pašto paslauga, momentiniai susirašinėjimai asmeniniais tikslais ir pan.), kiek tai netrukdo optimaliai ir kokybiškai atlikti darbo pareigas, nepažeidžiant Taisyklių 68 punkte nurodytų reikalavimų.
54. Darbuotojai savo darbo funkcijas atlieka tik naudodami TKA kompiuterius, elektroninius paštus ir kitus TKA įrenginius, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą, išskyrus tuos atvejus, kai TKA direktorius ar jo įgaliotas asmuo priima sprendimą dėl leidimo TKA darbuotojui darbo funkcijas atlikti naudojantis asmeninėmis priemonėmis. Darbuotojai, turintys nuotolinę prieigą prie TKA infrastuktūros, privalo imtis visų priemonių, kad būtų užtikrintas informacijos ir duomenų saugumas bei konfidencialumas, o TKA privalo padėti darbuotojui įgyvendinti šią pareigą.
55. Nuolatinį TKA darbuotojui suteikto kompiuterio, elektroninio pašto ir kitų TKA įrenginių, prietaisų, įtaisų, informacijos ir ryšių technologijų, programinės įrangos stebėjimą ar tikrinimą vykdyti draudžiama. TKA darbuotojams suteiktos darbo priemonės, įranga, įskaitant elektroninius paštus, kompiuterius, mobiliuosius telefonus, juose esantys asmens duomenys, kiti duomenys bei informacija gali būti tikrinami tik esant šioms sąlygoms:
55.2. yra pagrindas manyti, kad darbuotojas padarė darbo pareigų pažeidimą arba vykdė veiklą, nesuderinamą su TKA interesais, arba vykdė teisės aktams prieštaraujančią veiklą, arba TKA siekia patikrinti, ar darbuotojas laikosi įsipareigojimų TKA, tinkamai vykdo teisės aktų, įskaitant TKA vidinių dokumentų, reikalavimus, arba egzistuoja kitos svarbios tokį patikrinimą pagrindžiančios priežastys;
56. Šiose Taisyklėse įtvirtintas tikrinimas vykdomas limituota apimtimi, t. y. apibrėžtas konkretus laikotarpis, už kurį tikrinama, tikrinamas konkretaus projekto vykdymas, tikrinamas konkrečių funkcijų vykdymas ir tikrinamas tik tiek, kiek yra būtina išsiaiškinti šiose Taisyklėse išdėstytas aplinkybes ir apginti TKA interesus. Duomenų apsaugos pareigūnas teikia konsultacijas, kad tikrinimas nepažeistų BDAR, Taisyklių nuostatų bei duomenų subjektų teisės į privatumą.
57. Vaizdo stebėjimas ir garso įrašymas darbuotojų darbo vietose gali būti vykdomas tik tada, kai dėl darbo specifikos būtina užtikrinti asmenų, turto ar visuomenės saugumą, ir kitais atvejais, kai kiti būdai ar priemonės yra nepakankami ir (arba) netinkami siekiant išvardytų tikslų, išskyrus atvejus, kai tiesiogiai siekiama kontroliuoti darbo kokybę ir mastą. Apie vaizdo stebėjimą ir garso įrašymą konkrečioje vietoje informuojama vaizdiniu žymeniu matomoje vietoje.
58. Tvarkant vaizdo ir (ar) garso duomenis darbo vietoje ir TKA patalpose ar teritorijose, kuriose dirba jos darbuotojai, tvarkant asmens duomenis, susijusius su darbuotojų elgesio, vietos ar judėjimo stebėsena, šie darbuotojai apie tokį jų asmens duomenų tvarkymą turi būti informuojami būdu, įrodančiu informavimo faktą.
VII SKYRIUS
VAIZDO DUOMENŲ TVARKYMO YPATUMAI
59. Vaizdo stebėjimas TKA patalpose ar teritorijose vykdomas vadovaujantis BDAR, ADTAĮ, kitų įstatymų bei teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą, nuostatomis.
60. Vykdant vaizdo stebėjimą darbo vietoje ir TKA patalpose ar teritorijose, kuriose dirba TKA darbuotojai, jie apie tokį jų vaizdo duomenų tvarkymą turi būti informuoti Taisyklių 7 priede nustatytos formos vaizdiniu žymeniu (informaciniu lipduku) matomoje vietoje.
61. Vaizdo stebėjimas su garso įrašymu TKA patalpose ar teritorijoje gali būti vykdomas, kai dėl darbo specifikos būtina užtikrinti asmenų, turto ar visuomenės saugumą ir kitais atvejais, kai kiti būdai ar priemonės yra nepakankami ir (arba) netinkami siekiant išvardintų tikslų, išskyrus atvejus, kai tiesiogiai siekiama kontroliuoti kokybę ir mastą.
VIII SKYRIUS
GARSO ĮRAŠŲ DARYMAS
62. Kai TKA atlieka jai priskirtas funkcijas, įskaitant ir vidaus administravimą, gali būti daromas garso įrašymas.
63. Garso įrašai turi būti daromi specialiai tik šiems tikslams skirtais nešiojamaisiais įrenginiais, išskyrus atvejus, kai kyla būtinybė garso įrašus daryti kitokiais įrenginiais. Skaitmeninis garso įrašas perkeliamas į kompiuterinę laikmeną ir saugomas TKA. Pasibaigus būtinybei tvarkyti garso įrašuose esančius duomenis garso įrašai sunaikinami.
64. Duomenų subjektų teisės, susijusios su garso įrašų duomenų tvarkymu, įgyvendinamos Taisyklių V skyriuje nustatyta tvarka. Įgyvendinant duomenų subjekto teisę susipažinti su tvarkomais savo asmens duomenimis, t. y. duomenų subjektui susipažinti gali būti pateikiama tik garso įrašo dalis, susijusi su pačiu duomenų subjektu.
IX SKYRIUS
ASMENS DUOMENŲ SAUGUMO NUOSTATOS
66. TKA įgyvendina organizacines ir technines priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. TKA taikomos asmens duomenų apsaugos priemonės nurodytos Taisyklių 1 priede.
67. TKA darbuotojai per 3 darbo dienas nuo darbo TKA pradžios turi pasirašyti Taisyklių 2 priede nustatytos formos konfidencialumo pasižadėjimą. Konfidencialumo principas reiškia, kad asmenims, tvarkantiems asmens duomenis, be duomenų valdytojo sutikimo draudžiama juos atskleisti, gavus trečiųjų asmenų prašymus dėl tokio atskleidimo, išskyrus įstatymų numatytus atvejus.
68. Darbuotojams, kurie naudojasi TKA suteiktu elektroniniu paštu, interneto prieiga ir kita informacinių ir komunikacinių technologijų įranga, draudžiama:
68.1. skelbti TKA konfidencialią informaciją, vidinius dokumentus, jais dalintis su kitais ne TKA dirbančiais asmenimis, jei tai nėra susiję su darbinių funkcijų vykdymu;
68.2. naudoti elektroninį paštą ir interneto prieigą asmeniniams komerciniams ar politiniams tikslams, Lietuvos Respublikos įstatymais draudžiamai veiklai, šmeižiančio, įžeidžiančio, grasinamojo pobūdžio ar visuomenės dorovės ir moralės principams prieštaraujančiai informacijai, kompiuterių virusams, masinei piktybiškai informacijai siųsti ar kitiems tikslams, kurie gali pažeisti TKA ar kitų asmenų teisėtus interesus;
68.3. perduoti TKA priklausančią informacinių technologijų ir komunikacinių technologijų techninę ir programinę įrangą tretiesiems asmenims, jei toks perdavimas nėra susijęs su darbinių funkcijų vykdymu ar gali bet kokiu būdu pakenkti TKA interesams;
68.4. diegti, saugoti, naudoti, kopijuoti ar platinti bet kokią neautorizuotą, neteisėtą, autorių teises pažeidžiančią programinę įrangą;
69. Asmens duomenų tvarkymo funkcijas vykdantys darbuotojai, siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, turi tinkamai saugoti duomenų rinkmenas bei vengti nereikalingų kopijų darymo. TKA dokumentų kopijos, kuriose nurodomi asmens duomenys, turi būti sunaikintos taip, kad šių duomenų nebūtų galima atkurti ir atpažinti jų turinio. Praradęs asmens duomenis darbuotojas, tvarkantis asmens duomenis, nedelsiant apie tai informuoja TKA direktorių ir duomenų apsaugos pareigūną TKA direktoriaus patvirtinto Asmens duomenų saugumo pažeidimų tyrimo viešojoje įstaigoje Transporto kompetencijų agentūroje tvarkos aprašo nustatyta tvarka. Prarastų asmens duomenų atkūrimą organizuoja informacinių technologijų specialistai.
70. Duomenų subjektams, pateikusiems prašymą susipažinti su savo asmens duomenimis ir kaip jie tvarkomi TKA, sudaromos sąlygos susipažinti su dokumentais, kuriuose yra jų asmens duomenys, TKA patalpose. TKA darbuotojai susipažinimui parengia su asmens duomenų subjektu susijusią medžiagą ir, jeigu reikia, ją nuasmenina, nustačius kito asmens duomenų buvimą.
71. Asmens duomenų saugojimo vietos nurodytos TKA duomenų tvarkymo veiklos įrašuose. Dokumentai, kuriuose yra asmens duomenų, neturi būti laikomi visiems prieinamose vietose. Nešiojamuose kompiuteriuose, planšetėse ar kitose nešiojamose priemonėse asmens duomenys gali būti tvarkomi tik esant būtinumui (pavyzdžiui, vykstant ar grįžtant į/iš patikrinimų ar susitikimų).
72. Duomenys iš archyviniam saugojimui perduotų TKA darbuotojų asmens bylų tretiesiems asmenims susipažinti teikiami tik tais atvejais, kai tą leidžia įstatymai ir kiti teisės aktai, ar TKA direktoriaus ar jo įgalioto asmens sprendimu.
73. TKA darbuotojai darbo kompiuteriuose privalo naudoti slaptažodžius, sudarytus iš ne mažiau kaip 8 simbolių. Slaptažodžiai turi būti keičiami periodiškai ne rečiau kaip kartą per 3 mėnesius, taip pat susidarius tam tikroms aplinkybėms (pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimams, kad slaptažodis tapo žinomas tretiesiems asmenims, ir pan.). Šiuos slaptažodžius žino tik darbuotojas, dirbantis su konkrečiu kompiuteriu. Kompiuteriuose rekomenduojama naudoti ekrano užsklandą su slaptažodžiu.
74. TKA darbuotojų kompiuteriuose esančios kompiuterinės bylos, kuriose kaupiami asmens duomenys, negali būti prieinamos kitų kompiuterių naudotojams.
75. Visuose TKA kompiuteriuose antivirusinė programa turi būti nustatyta atsinaujinti automatiškai kiekvieną dieną.
76. TKA interneto svetainė sukurta taip, kad maksimaliai apribotų galimybes viešai veikiančioms interneto paieškos sistemoms bei paieškos variklių robotams kopijuoti TKA svetainėje esančią informaciją, taip pat neleistų šioms sistemoms ir robotams surasti anksčiau skelbtos, bei iš TKA interneto svetainės jau pašalintos informacijos kopijų.
X SKYRIUS
ASMENS DUOMENŲ TVARKYMAS DUOMENŲ TVARKYTOJO STATUSU
77. Šio skyriaus nuostatos yra taikomos tais atvejais, kai TKA tvarko duomenis kaip duomenų tvarkytoja. TKA, kaip duomenų tvarkytojos, duomenų tvarkymo veikla yra fiksuojama duomenų tvarkymo veiklos įrašų registre.
78. TKA turi teisę tvarkyti kitų duomenų valdytojų duomenis tik tada, jeigu duomenų valdytojas yra aiškiai nustatęs ir nurodęs duomenų tvarkymo dalyką ir trukmę, duomenų tvarkymo pobūdį ir tikslą, asmens duomenų rūšis ir duomenų subjektų kategorijas bei duomenų valdytojo prievoles ir teises.
79. Tais atvejais, kai TKA tvarko duomenis kaip duomenų tvarkytoja, TKA privalo laikytis duomenų valdytojo nustatyto duomenų tvarkymo tikslo, priemonių ir kitų duomenų tvarkymo sąlygų, taip pat privalo tvarkyti tik tokį kiekį duomenų ir tik tokią trukmę, kurią nurodė duomenų valdytojas.
80. TKA turi teisę tvarkyti asmens duomenis kaip duomenų tvarkytoja tik esant bent vienam iš šių teisinių pagrindų:
80.1. sudaryta sutartis su duomenų valdytoju. Gali būti sudaryta atskira duomenų tvarkymo sutartis arba atskiros duomenų tvarkymo veiklos nuostatos įtrauktos į kitą sutartį;
81. Kai TKA konkrečiai duomenų tvarkymo veiklai duomenų valdytojo vardu atlikti pasitelkia kitą duomenų tvarkytoją, sutartimi ar kitu teisės aktu tam kitam duomenų tvarkytojui nustatomos tos pačios duomenų apsaugos prievolės, kaip ir prievolės, nustatytos TKA teisės aktų bei duomenų valdytojo, visų pirma prievolė pakankamai užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos taip, kad duomenų tvarkymas atitiktų BDAR reikalavimus.
82. Visais atvejais, be duomenų valdytojo nustatytų papildomų pareigų, TKA, tvarkydama duomenis kaip duomenų tvarkytoja, turi šias pareigas:
82.1. tvarkyti asmens duomenis tik pagal duomenų valdytojo dokumentais įformintus nurodymus, išskyrus atvejus, kai tai daryti reikalaujama pagal teisės aktų reikalavimus, kurie yra taikomi TKA. Tokiu atveju TKA, prieš pradėdama tvarkyti duomenis, praneša apie tokį teisinį reikalavimą duomenų valdytojui, išskyrus atvejus, kai pagal teisės aktus toks pranešimas yra draudžiamas dėl svarbių viešojo intereso priežasčių;
82.2. užtikrinti, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą;
82.3. imtis visų techninių ir organizacinių priemonių, kad būtų užtikrintas tvarkomų duomenų saugumas;
82.5. atsižvelgdama į duomenų tvarkymo pobūdį, padėti duomenų valdytojui taikydama tinkamas technines ir organizacines priemones, kiek tai įmanoma, kad būtų įvykdyta duomenų valdytojo prievolė atsakyti į prašymus, susijusius su duomenų subjektų teisių įgyvendinimu;
82.6. padėti duomenų valdytojui įgyvendinti jo prievoles pranešti apie Asmens duomenų saugumo pažeidimus bei atlikti poveikio duomenų apsaugai vertinimą, atsižvelgiant į duomenų tvarkymo pobūdį ir TKA turimą informaciją;
82.7. užbaigus teikti su duomenų tvarkymu susijusias paslaugas, ištrinti arba grąžinti duomenų valdytojui visus asmens duomenis ir ištrinti esamas jų kopijas, išskyrus atvejus, kai teisės aktai nustato reikalavimą asmens duomenis saugoti;
XI SKYRIUS
ASMENS DUOMENŲ PERDAVIMAS TRETIESIEMS ASMENIMS
84. TKA turi teisę sutarties pagrindu duomenų tvarkymo veiksmams atlikti pasitelkti duomenų tvarkytoją. TKA pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos taip, kad duomenų tvarkymas atitiktų BDAR ir Taisyklių reikalavimus ir būtų užtikrintas duomenų subjekto teisių įgyvendinimas bei apsauga.
85. Prieš pasitelkiant konkretų duomenų tvarkytoją pagal sutartį, konsultuojamasi su duomenų apsaugos pareigūnu, ar duomenų tvarkytojas pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos taip, kad duomenų tvarkymas atitiktų BDAR ir Taisyklių reikalavimus ir būtų užtikrintas duomenų subjekto teisių įgyvendinimas ir apsauga.
XII SKYRIUS
ASMENS DUOMENŲ PERDAVIMAS Į TREČIĄSIAS VALSTYBES IR TARPTAUTINES ORGANIZACIJAS
87. Perduoti asmens duomenis į trečiąją valstybę arba tarptautinę organizaciją galima tik esant bent vienai iš šių sąlygų:
87.1. yra priimtas Europos Komisijos sprendimas, kad atitinkama trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečioje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamo lygio apsaugą;
87.2. jeigu nėra priimtas Europos Komisijos sprendimas dėl tinkamo apsaugos lygio užtikrinimo arba nenustatytos tinkamos apsaugos priemonės, asmens duomenys gali būti perduoti į trečiąją valstybę arba tarptautinei organizacijai tik tuo atveju, jeigu TKA yra nustačiusi tinkamas apsaugos priemones, įskaitant tai, kad duomenų subjektams bus užtikrinta galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis.
88. Jeigu nėra priimtas Europos Komisijos sprendimas dėl tinkamo apsaugos lygio užtikrinimo arba nenustatytos tinkamos apsaugos priemonės, kaip nurodyta BDAR 46 straipsnio 2 ir 3 dalyse, asmens duomenų perdavimas į trečiąją valstybę arba tarptautinei organizacijai gali būti atliekamas tik tada, jeigu egzistuoja bent viena iš BDAR 49 straipsnio 1 dalyje nurodytų sąlygų.
XIII SKYRIUS
BAIGIAMOSIOS NUOSTATOS
89. Asmuo, kurio asmens duomenys yra tvarkomi, pastebėjęs, kad TKA darbuotojas galbūt pažeidė šias Taisykles, ADTAĮ ar BDAR nuostatas, apie tai informuoja TKA direktorių ar TKA duomenų apsaugos pareigūną TKA interneto svetainėje nurodytais kontaktais.
Viešosios įstaigos Transporto kompetencijų
agentūros asmens duomenų tvarkymo taisyklių
1 priedas
ASMENS DUOMENŲ APSAUGOS PRIEMONIŲ SĄRAŠAS
1. Fizinė prieiga prie kompiuterinės įrangos:
2. Programinės įrangos naudotojai:
2.1. prieigos prie asmens duomenų slaptažodžiai suteikiami, keičiami ir saugomi užtikrinant jų konfidencialumą;
3. Prieiga prie vidinio tinklo:
3.2. nutolę įrenginiai prie vidinio tinklo jungiasi saugiu ryšio kanalu (VPN, skirtinėmis linijomis ir pan.);
4. Atsarginių duomenų kopijų naudojimas:
5. Apsauga nuo vagystės:
5.1. ribojamas ir kontroliuojamas neįgaliotų asmenų patekimas į patalpas, kuriose saugomi asmens duomenys;
6. Programinės įrangos klaidos:
7. Apsauga nuo kenkėjiškos programinės įrangos:
7.1. tarnybinėse stotyse ir kompiuterinėse darbo vietose įdiegtos ir nuolatos atnaujinamos vidinio tinklo antivirusinės programos;
8. Programinės įrangos naudojimas:
8.2. nuolat atliekama naudotojų kompiuterinėse darbo vietose naudojamos programinės įrangos kontrolė;
8.3. darbuotojams nesuteiktos teisės patiems diegti programinę įrangą, nebent tai nustatyta pareiginiuose nuostatuose;
9. Programinės įrangos naudotojų švietimas:
10. Apsauga nuo duomenų perdavimo tinklo įrangos gedimų:
11. Apsauga nuo kompiuterinės įrangos gedimų:
13. Apsauga nuo ugnies:
14. Apsauga nuo užliejimo:
15. Apsauga nuo temperatūros ir drėgmės svyravimų:
16. Apsauga nuo elektros srovės tiekimo sutrikimų:
17. Apsauga nuo maitinimo ir ryšio linijų gedimų:
Viešosios įstaigos Transporto kompetencijų
agentūros asmens duomenų tvarkymo taisyklių
2 priedas
(konfidencialumo pasižadėjimo forma)
VIEŠOSIOS ĮSTAIGOS TRANSPORTO KOMPETENCIJŲ AGENTŪROS KONFIDENCIALUMO PASIŽADĖJIMAS
Aš suprantu, kad:
- savo darbe tvarkysiu asmens duomenis, kurie negali būti atskleisti ar perduoti neįgaliotiems asmenims ar institucijoms;
- draudžiama perduoti neįgaliotiems asmenims slaptažodžius ir kitus duomenis, leidžiančius programinių ir techninių priemonių pagalba sužinoti asmens duomenis ar sudaryti sąlygas susipažinti su asmens duomenimis;
- netinkamas asmens duomenų tvarkymas užtraukia atsakomybę pagal Lietuvos Respublikos įstatymus.
Aš įsipareigoju:
- saugoti asmens duomenų paslaptį;
- tvarkyti asmens duomenis vadovaudamasis Lietuvos Respublikos įstatymais ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą;
- neatskleisti, nesudaryti sąlygų įvairiomis priemonėmis susipažinti su tvarkoma informacija nei vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija tiek viešosios įstaigos Transporto kompetencijų agentūros (toliau – TKA) viduje, tiek už jos ribų;
- pranešti savo vadovui ir duomenų apsaugos įgaliotiniui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę asmens duomenų saugumui;
- saugoti ir tik įstatymų bei kitų teisės aktų nustatyta tvarka naudoti konfidencialią informaciją, kuri man taps žinoma atliekant savo darbo funkcijas.
Aš žinau:
- kad už šio įsipareigojimo nesilaikymą, 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – BDAR), ir Lietuvos Respublikos asmens duomenų teisinė apsaugos įstatymo (toliau – ADTAĮ) pažeidimą turėsiu atsakyti pagal galiojančius Lietuvos Respublikos įstatymus;
- kad asmuo, patyręs žalą dėl neteisėto asmens duomenų tvarkymo arba kitų duomenų valdytojo ar duomenų tvarkytojo veiksmų (veikimo ar neveikimo), turi teisę reikalauti atlyginti jam padarytą turtinę ar neturtinę žalą;
- kad šis įsipareigojimas galios visą mano darbo laiką TKA, perėjus dirbti į kitas pareigas arba pasibaigus darbo santykiams.
Aš esu susipažinęs su BDAR ir ADTAĮ.
Susipažinau
__________________________________________________________________________
(pareigos, vardas, pavardė) (parašas) (data)
Viešosios įstaigos Transporto kompetencijų
agentūros asmens duomenų tvarkymo taisyklių
3 priedas
(sutikimo dėl asmens duomenų tvarkymo pavyzdinė forma)
SUTIKIMAS DĖL ASMENS DUOMENŲ TVARKYMO
20__ m.___________________ __ d.
Nr.
__________________
(vieta)
Aš,_______________________________________________________________________,
(asmens vardas, pavardė / pavadinimas, gimimo data / įmonės kodas)
sutinku ir esu informuotas (-a), kad:
1. Viešoji įstaiga Transporto kompetencijų agentūra (toliau – TKA) gautų ir tvarkytų toliau išvardytus mano asmens duomenis[2]:
___________________________________________________________________________________
_____________________________________________________________________________
2. Išvardyti asmens duomenys būtų tvarkomi šiais tikslais[3]:
________________________________________________________________________________
________________________________________________________________________________
3. Su išvardytais asmens duomenimis būtų atliekami šie tvarkymo veiksmai[4]:
________________________________________________________________________________
________________________________________________________________________________
4. Asmens duomenys būtų gaunami iš[5]:
manęs, _________________________________________________________________________
________________________________________________________________________________
5. Asmens duomenys būtų perduoti ______________________[6]. Duomenų gavėjai tokius asmens duomenis tvarkytų šiame sutikime nurodytais tikslais.
6. TKA duomenis tvarkys teisėtai, sąžiningai ir skaidriai, laikydamasi teisės aktų nustatytų reikalavimų, tik šiame sutikime nustatytais tikslais.
TKA naudoja įvairias saugumą užtikrinančias technologijas ir procedūras, siekdama apsaugoti Jūsų asmeninę informaciją nuo neteisėtos prieigos, naudojimo ar atskleidimo. Mūsų tiekėjai yra kruopščiai atrenkami, mes iš jų reikalaujame naudoti tinkamas priemones, galinčias apsaugoti Jūsų konfidencialumą ir užtikrinti Jūsų asmeninės informacijos saugumą. Vis dėlto informacijos perdavimo internetu ar mobiliuoju ryšiu saugumas negali būti užtikrintas; bet koks informacijos mums perdavimas nurodytais būdais yra vykdomas Jūsų pačių rizika.
9. Duomenų valdytojas – TKA, I. Kanto g. 23, 44296 Kaunas, korespondencijos adresas Rodūnios kelias 2, 02189 Vilnius, el. pašto adresas info@tka.lt;
10. Duomenų apsaugos pareigūno kontaktai – el. pašto adresas dap@tka.lt, adresas Rodūnios kelias 2, 02189 Vilnius.
11. Duomenų tvarkymo teisinis pagrindas – šiame sutikime nurodytų Jūsų asmens duomenų tvarkymo teisinis pagrindas yra šis sutikimas.
12. Be šio sutikimo 5 punkte nurodytų duomenų gavėjų Jūsų asmens duomenys, surinkti šio sutikimo pagrindu, gali būti perduoti:
12.1. duomenų tvarkytojams, kurie atlieka tam tikrus darbus ir teikia paslaugas (pvz., informacinių technologijų bendrovės, kurios duomenis tvarko, kad užtikrintų informacinių sistemų kūrimą, tobulinimą ir palaikymą; bendrovės, kurios užtikrina pranešimų klientams siuntimą, teikia apsaugos ir kitas paslaugas, įskaitant teisės, finansų, mokesčių, verslo valdymo, personalo administravimo, buhalterinės apskaitos paslaugas);
12.2. teismui, teisėsaugos įstaigoms ar valstybės institucijoms tiek, kiek tokį teikimą nustato teisės aktų reikalavimai;
13. Žinau, kad turiu šias teises: teisę prašyti, kad būtų leista susipažinti su duomenimis ir juos ištaisyti arba ištrinti, teisę prašyti apriboti duomenų tvarkymą, teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į duomenų perkeliamumą. Šias teises galiu įgyvendinti teisės aktų nustatyta tvarka.
Prašymai dėl teisių įgyvendinimo TKA turi būti pateikti raštu (įskaitant teikiamus elektroniniu formatu), taip pat turi būti įmanoma identifikuoti prašymą padavusio asmens bei duomenų subjekto tapatybę. Duomenų subjekto tapatybė nustatoma pagal asmens tapatybę patvirtinantį dokumentą ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį. Jei prašymą duomenų subjektas siunčia paštu ar per pasiuntinį, prie prašymo turi būti pridėta teisės aktų nustatyta tvarka patvirtinta duomenų subjekto asmens tapatybę patvirtinančio dokumento kopija. Kai dėl informacijos apie asmenį kreipiasi jo atstovas, jis turi pateikti atstovavimą patvirtinantį dokumentą ir savo asmens tapatybę patvirtinantį dokumentą. Jei prašymas pateikiamas elektroniniu paštu, jis turi būti pasirašytas kvalifikuotu elektroniniu parašu.
Iškilus klausimų dėl duomenų subjektų teisių įgyvendinimo TKA, maloniai prašome kreiptis į TKA duomenų apsaugos pareigūną 10 punkte nurodytais kontaktais.
14. Žinau, kad turiu teisę bet kada atšaukti šį sutikimą ir reikalauti nutraukti tolimesnį asmens duomenų tvarkymą, kuris yra vykdomas sutikimo pagrindu. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto asmens duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.
15. Asmens duomenų saugojimo laikotarpis. Šis sutikimas ir jame nurodyti mano asmens duomenys yra saugomi trejus metus nuo sutikimo atšaukimo arba jo galiojimo termino pabaigos arba nuo TKA sprendimo nebetvarkyti asmens duomenų sutikime nustatytais tikslais priėmimo dienos. Asmens duomenys surinkti šio sutikimo pagrindu saugomi (kur)_________________.
Šis terminas gali būti pratęstas, jei asmens duomenys yra naudojami arba gali būti naudojami kaip įrodymai ar informacijos šaltinis ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje arba kitais įstatymų nustatytais atvejais. Tokiu atveju asmens duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
16. Automatizuotų sprendimų priėmimai. Duomenys nebus naudojami automatizuotiems sprendimams priimti mano atžvilgiu, įskaitant profiliavimą.
17. Žinau, kad turiu teisę skųsti. Jeigu Jūs manote, kad Jūsų duomenis mes tvarkome pažeisdami duomenų apsaugos teisės aktų reikalavimus, mes visuomet pirmiausia prašome kreiptis tiesiogiai į mus. Jeigu Jūsų netenkins mūsų siūlomas problemos išsprendimo būdas arba, Jūsų nuomone, mes nesiimsime pagal Jūsų prašymą būtinų veiksmų, Jūs turėsite teisę pateikti skundą priežiūros institucijai, kuri Lietuvos Respublikoje yra Valstybinė duomenų apsaugos inspekcija (L. Sapiegos g. 17, LT-10312 Vilnius; tel. (8 5) 212 7532; el. paštas: ada@ada.lt).
___________________ _________________________
(parašas) (vardas, pavardė)
_____________
Viešosios įstaigos Transporto
kompetencijų agentūros asmens
duomenų tvarkymo taisyklių
4 priedas
(duomenų valdytojo duomenų tvarkymo veiklos įrašų forma)
| Duomenų valdytojas: |
||||||||||||
| Viešoji įstaiga Transporto kompetencijų agentūra |
||||||||||||
| Adresas pašto korespondencijai: Rodūnios kelias 2, LT 02188 Vilnius |
Telefono ryšio numeris: (8 5) 2 73 90 38 |
Elektroninio pašto adresas: info@tka.lt |
Kitos ryšių priemonės: Interneto svetainės adresas: www.tka.lt |
|||||||||
| Duomenų apsaugos pareigūnas: |
||||||||||||
| Ugnė Žakšauskaitė |
||||||||||||
| Adresas: Rodūnios kelias 2, LT 02188 Vilnius |
Telefono ryšio numeris: 8 652 16895 |
Elektroninio pašto adresas: dap@tka.lt |
|
|||||||||
| Duomenų tvarkymo tikslas (pvz., įdarbinimas, personalo administravimas, tarnybinis tyrimas dėl tarnybinio nusižengimo, profilaktinis sveikatos tikrinimas, vaizdo konferencijų organizavimas, viešosios informacijos administravimas, patalpų ir teritorijos apsauga, įsigijimų vykdymas, asmenų aptarnavimas, paslaugų kokybės užtikrinimas, leidimų statyti automobilį išdavimas, visiškos materialinės atsakomybės sutarčių administravimas, įgaliojimų suteikimas ir t. t.) |
||||||||||||
| Duomenų tvarkymo teisinis pagrindas nurodoma BDAR 6 straipsnio. 1 dalies ir jei taikoma 9 straipsnio 2 dalies konkretus punktas ir jei taikoma Lietuvos Respublikos teisės aktas, kuris suteikia teisę tvarkyti asmens duomenis (pvz., Darbo kodeksas, Visuomenės informavimo įstatymas, Viešojo administravimo įstatymas, sutikimas ir t. t.) |
||||||||||||
| Duomenų subjektų kategorijų aprašymas (pvz., asmenys, pretenduojantys arba paskirti (priimti) į pareigas; asmenys, su kuriais sudaroma tarnybos (darbo) sutartis; asmenys, teikiami skatinti ar apdovanoti; asmenys, kurie prašo leidimo dirbti kitą darbą; asmenys, kurių atžvilgiu atliekamas tarnybinis tyrimas, ir kiti asmenys, susiję su teisės pažeidimo tyrimu; vaizdo konferencijų dalyviai, žurnalistai ir kiti asmenys, viešąją informaciją renkantys iš TKA; asmenys, patenkantys į vaizdo stebėjimo lauką; klientai, ir t. t.) Esant kelioms duomenų subjektų grupėms, atskirai nurodomi kiekvienos duomenų subjektų grupės tvarkomi asmens duomenys (įskaitant ir specialių kategorijų asmens duomenis), jeigu tvarkomi duomenys yra skirtingi. |
||||||||||||
| Asmens duomenų kategorijų aprašymas (pvz., vardas, pavardė, gimimo data, adresas, vaizdo duomenys, priskaičiuotas darbo užmokestis, duomenys apie sveikatą, telefono pokalbio įrašas, IP adresas ir t. t.) |
||||||||||||
| Asmens duomenų gavėjų kategorijos (pvz., teisėsaugos institucijos, kurjerių tarnybos, bankai, Sodra, valstybės ir savivaldybių institucijos ir įstaigos teisės aktų nustatytoms funkcijoms vykdyti bei kiti fiziniai ir juridiniai asmenys, turintys teisę gauti duomenis, ir t. t.) |
||||||||||||
| Asmens duomenų šaltinis (pvz., tiesiogiai iš duomenų subjekto, iš Gyventojų registro, iš duomenų subjekto buvusio darbdavio, iš banko, iš vaizdo įrašymo priemonės, iš Sodros ir t. t.) |
||||||||||||
| Asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai (kai taikoma): |
||||||||||||
| Trečiosios valstybės arba tarptautinės organizacijos, kuriai perduodami asmens duomenys, pavadinimas: |
BDAR 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai: |
|||||||||||
| Kita informacija, susijusi su asmens duomenų perdavimu |
||||||||||||
| Numatomi asmens duomenų saugojimo, ištrynimo terminai (kai įmanoma) (pvz., 10 metų po sutarties įvykdymo, 30 kalendorinių dienų, 3 mėn. nuo atrankos pabaigos, 6 mėn. nuo kandidato dokumentų gavimo ir t. t.) |
||||||||||||
| Asmens duomenų saugojimo vieta (pvz., rakinama spinta, darbuotojo kompiuteryje, TKA serveryje, valstybės registre ar informacinėje sistemoje ir t. t.) |
||||||||||||
| Bendras duomenų saugumo priemonių (nurodytų BDAR 32 straipsnio 1 dalyje) aprašymas (kai įmanoma): |
||||||||||||
| Techninės saugumo priemonės: (pvz., programinė įranga yra nuolatos atnaujinama, aprūpinta ugniasienėmis ir antivirusinėmis programomis, daromos atsarginės duomenų kopijos, atliekamas duomenų šifravimas ir t. t.) |
Organizacinės saugumo priemonės: (pvz., informacinių sistemų ir duomenų bazių vartotojų teisių ribojimas ir kontrolė, asmenys, dirbantys su asmens duomenimis, yra saistomi teisės aktuose nustatytų konfidencialumo pareigų ir t. t.) |
|||||||||||
| Kita informacija (pvz., Pranešimo duomenų subjektui apie asmens duomenų tvarkymą pateikimo vieta (arba aplinkybės, dėl kurių neįmanoma informuoti duomenų subjekto apie jo duomenų tvarkymą), kitų duomenų subjekto teisių įgyvendinimo ypatumai, nuorodos į kitus su duomenų apsauga susijusius dokumentus (į poveikio duomenų apsaugai vertinimą, vidaus tvarkos taisykles, informaciją apie asmens duomenų tvarkymą ir t. t.) |
||||||||||||
| Duomenų įvedimo, keitimo data (-os), registravimo numeris, įvedusio asmens vardas, pavardė, parašas |
||||||||||||
| data |
registravimo numeris |
vardas |
pavardė |
parašas |
||||||||
|
||||||||||||
______________
Priedo pakeitimai:
Nr. 2-41, 2021-03-23, paskelbta TAR 2021-03-26, i. k. 2021-05944
Viešosios įstaigos Transporto
kompetencijų agentūros asmens
duomenų tvarkymo taisyklių
5 priedas
(duomenų tvarkytojo duomenų tvarkymo veiklos įrašų forma)
| Duomenų tvarkytojas: |
|||||||||
| Viešoji įstaiga Transporto kompetencijų agentūra |
|||||||||
| Adresas pašto korespondencijai: Rodūnios kelias 2, LT 02188 Vilnius |
Telefono ryšio numeris: (8 5) 2 73 90 38 |
Elektroninio pašto adresas: info@tka.lt |
Kitos ryšių priemonės: Interneto svetainės adresas: www.tka.lt |
||||||
| Kiekvienas duomenų valdytojas (jei taikoma – ir jo atstovas), kurio vardu veikia duomenų tvarkytojas: |
|||||||||
| Duomenų valdytojo pavadinimas (jei fizinis asmuo – jo vardas ir pavardė) |
|||||||||
| Pašto adresas |
Telefono ryšio numeris |
Elektroninio pašto adresas |
Kitos ryšių priemonės (pvz., interneto svetainės adresas, el. siuntos pristatymo dėžutės adresas) |
||||||
| Duomenų apsaugos pareigūnas: |
|||||||||
| Ugnė Žakšauskaitė |
|||||||||
| Adresas: Rodūnios kelias 2, LT 02188 Vilnius |
Telefono ryšio numeris: 8 652 16895 |
Elektroninio pašto adresas: dap@tka.lt |
|
||||||
| Kiekvieno duomenų valdytojo vardu atliekamo duomenų tvarkymo kategorijos, t. y. atliekami asmens duomenų tvarkymo veiksmai (pvz., vaizdo stebėjimas, asmens duomenų saugojimas, naikinimas ir t. t.) |
|||||||||
| Asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai (kai taikoma): |
|||||||||
| Trečiosios valstybės arba tarptautinės organizacijos, kuriai perduodami asmens duomenys, pavadinimas: |
BDAR 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai: |
||||||||
| Kita informacija, susijusi su asmens duomenų perdavimu |
|||||||||
| Bendras duomenų saugumo priemonių (nurodytų BDAR 32 straipsnio 1 dalyje) aprašymas (kai įmanoma): |
|||||||||
| Techninės saugumo priemonės: (pvz., programinė įranga yra nuolatos atnaujinama, aprūpinta ugniasienėmis ir antivirusinėmis programomis, daromos atsarginės duomenų kopijos, atliekamas duomenų šifravimas ir t. t.) |
Organizacinės saugumo priemonės: (pvz., informacinių sistemų ir duomenų bazių vartotojų teisių ribojimas ir kontrolė, asmenys, dirbantys su asmens duomenimis, yra saistomi teisės aktuose nustatytų konfidencialumo pareigų ir t. t.) |
||||||||
| Kita informacija (pvz., darbuotojai (skyriai), atsakingi už duomenų tvarkymą, nuorodos į kitus su duomenų apsauga susijusius dokumentus ir t. t.) |
|||||||||
| Duomenų įvedimo, keitimo data (-os) |
|||||||||
|
|||||||||
_____________
Priedo pakeitimai:
Nr. 2-41, 2021-03-23, paskelbta TAR 2021-03-26, i. k. 2021-05944
Viešosios įstaigos Transporto kompetencijų
agentūros asmens duomenų tvarkymo taisyklių
6 priedas
(informacijos apie asmens duomenų tvarkymą forma)
INFORMACIJA APIE ASMENS DUOMENŲ TVARKYMĄ
Vadovaudamiesi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (BDAR) 13/14[7] straipsniu, teikiame Jums informaciją, susijusią su Jūsų duomenų tvarkymu:
1. Duomenų valdytojas – viešoji įstaiga Transporto kompetencijų agentūra (toliau – TKA), adresas pašto korespondencijai: Rodūnios kelias 2, 02188 Vilnius, el. pašto adresas: info@tka.lt.
2. Duomenų apsaugos pareigūno kontaktai – el. pašto adresas: dap@tka.lt, adresas: Rodūnios kelias 2, 02188 Vilnius.
3. Duomenų tvarkymo tikslai. Toliau nurodyti Jūsų asmens duomenys yra tvarkomi šiais tikslais[8]:
4. Tvarkomi duomenys. Informuojame Jus, kad tvarkome šiuos Jūsų asmens duomenis[9]:
5. Duomenų tvarkymo teisinis pagrindas. Jūsų asmens duomenų tvarkymo teisinis pagrindas[10] _________________________________________________________________________
_________________________________________________________________________________ [11].
6. Duomenų šaltinis. Pirmiau nurodyti Jūsų duomenys gauti iš[12] _______________________
__________________________________________________________________________________
7. Asmens duomenų gavėjai. Jūsų asmens duomenys gali būti perduoti[13]:
7.1. duomenų tvarkytojams, kurie atlieka tam tikrus darbus ir teikia paslaugas (informacinių technologijų bendrovės, kurios duomenis tvarko, kad užtikrintų informacinių sistemų kūrimą, tobulinimą ir palaikymą; bendrovės, kurios užtikrina pranešimų klientams siuntimą, teikia apsaugos ir kitas paslaugas, įskaitant teisės, finansų, mokesčių, verslo valdymo, personalo administravimo, buhalterinės apskaitos paslaugas);
7.2. teismui, teisėsaugos įstaigoms ar valstybės institucijoms tiek, kiek tokį teikimą nustato teisės aktų reikalavimai (pvz., antstoliams, teismams ir kt.);
7.3. kitiems fiziniams / juridiniams asmenims Jūsų sutikimu, jei toks sutikimas gaunamas dėl konkretaus atvejo;
8. Duomenų subjektų teisės. Informuojame Jus, kad turite šias teises: teisę prašyti, kad Jums būtų leista susipažinti su Jūsų asmens duomenimis ir juos ištaisyti arba ištrinti, teisę apriboti duomenų tvarkymą, teisę nesutikti, kad asmens duomenys būtų tvarkomi, taip pat teisę į asmens duomenų perkeliamumą. Šias teises galite įgyvendinti teisės aktų, reglamentuojančių asmens duomenų tvarkymą, nustatyta tvarka.
Prašymai dėl teisių įgyvendinimo TKA turi būti pateikti raštu (įskaitant ir elektroniniu formatu), taip pat turi būti įmanoma identifikuoti prašymą padavusio asmens bei duomenų subjekto tapatybę. Duomenų subjekto tapatybė nustatoma pagal tapatybę patvirtinantį dokumentą ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį. Jei prašymą duomenų subjektas siunčia paštu ar per pasiuntinį, prie prašymo turi būti pridėta teisės aktų nustatyta tvarka patvirtinta duomenų subjekto asmens tapatybę patvirtinančio dokumento kopija. Kai dėl informacijos apie asmenį kreipiasi jo atstovas, jis turi pateikti atstovavimą patvirtinantį dokumentą ir atstovo tapatybę patvirtinantį dokumentą, jeigu nėra kitų protingų būdų nustatyti atstovo tapatybę.
Dėl duomenų subjektų teisių įgyvendinimo tvarkos maloniai prašome kreiptis į duomenų apsaugos pareigūną 2 punkte nurodytais kontaktais.
9. Jūs taip pat turite teisę bet kada atšaukti sutikimą tvarkyti Jūsų duomenis. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto asmens duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.[14]
10. Asmens duomenų saugojimo laikotarpis. Informuojame, kad Jūsų asmens duomenys bus saugomi ____________ laikotarpį[15]. Šis terminas gali būti pratęstas, jei asmens duomenys yra naudojami arba gali būti naudojami kaip įrodymai ar informacijos šaltinis ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais įstatymų nustatytais atvejais. Tokiu atveju asmens duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
11. Automatizuotų sprendimų priėmimai. Informuojame, kad šie Jūsų duomenys nebus naudojami automatizuotiems sprendimams priimti Jūsų atžvilgiu, įskaitant profiliavimą.
Viešosios įstaigos Transporto kompetencijų agentūros
asmens duomenų tvarkymo taisyklių
7 priedas
(informacinio lipduko, informuojančio apie vaizdo stebėjimą, forma)
|
VAIZDO STEBĖJIMAS
|
Viešoji įstaiga Transporto kompetencijų agentūra, adresas pašto korespondencijai: Rodūnios kl. 2, Vilnius, tel. (8 5) 273 9038
Duomenų apsaugos pareigūnas Tel.: +370 604 67680, el. p.: dap@tka.lt
(Informacija apie asmens duomenų tvarkymą, turintį didžiausią poveikį duomenų subjektui, pvz., saugojimo laikotarpis, viešinimas, perdavimas trečiosioms šalims ir kt.)
(Vaizdo stebėjimo tikslas/-ai) |
Informuojame, kad duomenų subjektas turi teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, taip pat kitas teises.
Išsamesnė informacija apie asmens duomenų tvarkymą:
www.tka.lt/oro-transportas/katalogas/asmens-duomenu-apsauga,
kreiptis į duomenų valdytoją taip pat galite Tel. +37061211338 arba el. paštu info@tka.lt
_____________
PATVIRTINTA
Viešosios įstaigos Transporto kompetencijų
agentūros direktoriaus
2021 m. sausio 5 d. įsakymu Nr. 2-2
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ TYRIMO VIEŠOJOJE ĮSTAIGOJE TRANSPORTO KOMPETENCIJŲ AGENTŪROJE TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų saugumo pažeidimų tyrimo viešojoje įstaigoje Transporto kompetencijų agentūroje tvarkos aprašas (toliau – Aprašas) nustato asmens duomenų pažeidimų (toliau – pažeidimas) tyrimo, pranešimų apie atitinkamus pažeidimus pateikimo Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) tvarką ir sąlygas. Aprašo nuostatos taikomos TKA darbuotojams.
2. Apraše vartojamos sąvokos:
2.1. Duomenų apsaugos pareigūnas – TKA direktoriaus paskirtas ar jo įgaliotas darbuotojas, atliekantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – BDAR) nustatytas duomenų apsaugos pareigūno funkcijas ir užduotis.
II SKYRIUS
PAŽEIDIMŲ TYRIMAS
3. Tyrimas dėl pažeidimo yra pradedamas gavus bet kokios pagrįstos informacijos, kad buvo pažeistas asmens duomenų saugumas.
4. TKA darbuotojas, sužinojęs arba pats nustatęs galimą pažeidimą, jeigu įmanoma, imasi visų priemonių pašalinti pažeidimą bei priemonių galimoms neigiamoms jo pasekmėms sumažinti ir nedelsdamas surašo Aprašo 1 priede nustatytos formos pranešimą apie asmens duomenų saugumo pažeidimą (toliau – pirminis pranešimas), kuris ne vėliau kaip per 4 darbo valandas nuo sužinojimo apie galimą pažeidimą elektroniniu paštu pateikiamas TKA duomenų apsaugos pareigūnui, o jo kopija – tiesioginiam vadovui.
5. TKA duomenų apsaugos pareigūnas, gavęs pirminį pranešimą:
5.1. imasi visų tinkamų techninių ir organizacinių priemonių, kad pažeidimas būtų išsamiai ištirtas ir pašalintas (sustabdytas, ištaisytas) bei ateityje nepasikartotų;
5.2. kaip įmanoma greičiau, bet ne vėliau kaip per 12 val. nuo pirminio pranešimo gavimo atlieka pirminį tyrimą tikslu išsiaiškinti ir nustatyti, ar pažeidimas iš tikrųjų įvyko, bei kokios galimos pasekmės asmenims (t. y. Aprašo 7–9 punktuose nustatyta tvarka įvertina riziką);
5.3. jei atlikus Aprašo 5.2 papunktyje nurodytą pirminį tyrimą nustatoma, kad įvyko pažeidimas, TKA duomenų pareigūnas nedelsdamas, bet ne vėliau kaip per 24 val. nuo pirminio pranešimo gavimo tarnybiniu pranešimu informuoja TKA direktorių ir jo pavedimu atlieka pažeidimo tyrimą. Prireikus tyrimui atlikti konsultuojamasi ir (ar) pasitelkiami kiti TKA darbuotojai, TKA duomenų tvarkytojai.
6. Atliekant Aprašo 5.3 papunktyje nurodytą tyrimą TKA duomenų pareigūnas surašo šio Aprašo 2 priede nustatytos formos asmens duomenų saugumo pažeidimo ataskaitą (toliau – ataskaita), kurią pateikia TKA direktoriui.
7. Vertindamas riziką, kuri gali atsirasti dėl pažeidimo, TKA duomenų apsaugos pareigūnas atsižvelgia į konkrečias pažeidimo aplinkybes, pavojaus duomenų subjekto teisėms ir laisvėms atsiradimo tikimybę ir rimtumą. Rizika vertinama remiantis objektyviu įvertinimu ir atsižvelgiant į šiuos kriterijus:
7.5. specialias fizinio asmens savybes (pvz., duomenys susiję su vaikais ar kitais pažeidžiamais asmenimis);
8. Vertinant riziką laikoma, kad pažeidimas, galintis kelti pavojų asmenų teisėms ir laisvėms yra toks, dėl kurio, laiku nesiėmus tinkamų priemonių, fiziniai asmenys gali patirti kūno sužalojimą, materialinę ar nematerialinę žalą, pvz., prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala atitinkamam fiziniam asmeniui.
9. Įvertinus riziką nustatoma, ar yra:
10. TKA duomenų apsaugos pareigūnas informaciją apie įvykusį pažeidimą papildomai įrašo Aprašo 3 priede nustatytos formos Asmens duomenų saugumo pažeidimų registravimo žurnale (toliau – žurnalas) ne vėliau kaip per 5 darbo dienas nuo ataskaitos užregistravimo TKA dokumentų valdymo sistemoje. Prireikus žurnale esanti informacija gali būti papildoma ir (ar) koreguojama. Žurnalas saugomas TKA dokumentų valdymo sistemoje.
III SKYRIUS
PRANEŠIMŲ APIE ASMENS DUOMENŲ PAŽEIDIMĄ PATEIKIMO TVARKA
11. Atliekant Aprašo II skyriuje nurodytą tyrimą TKA duomenų apsaugos pareigūnas:
11.1. įvertina, ar būtina pranešti apie įvykusį pažeidimą Inspekcijai atsižvelgiant į BDAR 33 straipsnio reikalavimus, jei būtina – ne vėliau nei per 48 val. nuo pirminio pranešimo gavimo parengia pranešimo Inspekcijai projektą, kurį teikia TKA direktoriui;
12. Jeigu apie įvykusį pažeidimą būtina pranešti Inspekcijai, apie pažeidimą Inspekcijai yra pranešama nedelsiant, ne vėliau kaip per 72 val. nuo informacijos apie pažeidimą gavimo momento Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo, patvirtinto Inspekcijos direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T‑72(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“, nustatyta tvarka. Tuo tikslu surašomas Pranešimas apie asmens duomenų saugumo pažeidimą, kurio rekomenduojama forma nustatyta Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T‑82(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“. Tais atvejais, kai atsižvelgiant į pažeidimo pobūdį būtina atlikti Aprašo II skyriuje nurodytą išsamų tyrimą bei nustatyti visus svarbius faktus, susijusius su pažeidimu, ir per 72 val. nuo sužinojimo apie pažeidimą momento dėl objektyvių aplinkybių to padaryti neįmanoma, pranešime Inspekcijai yra pateikiama tuo metu prieinama informacija, nurodomos vėlavimo priežastys ir kada bus pateikta detalesnė informacija.
13. Jeigu apie įvykusį pažeidimą būtina pranešti duomenų subjektui, pranešime apie įvykusį pažeidimą duomenų subjektui aiškia ir paprasta kalba pateikiama BDAR 34 straipsnyje nustatyta informacija.
14. Pranešimas apie įvykusį pažeidimą duomenų subjektui neteikiamas, jeigu:
14.1. TKA įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos priemonės taikytos asmens duomenims, kuriems pažeidimas turėjo poveikio;
14.2. TKA iškart po pažeidimo ėmėsi priemonių, kurios užtikrina, kad didelis pavojus asmenų teisėms ir laisvėms nebekils;
15. Jei Inspekcija, apsvarsčiusi tikimybę, kad dėl įvykusio pažeidimo kils didelis pavojus, pareikalauja, kad TKA informuotų duomenų subjektą apie asmens duomenų saugumo pažeidimą, TKA nedelsdama praneša duomenų subjektui apie įvykusį pažeidimą.
16. Tuo atveju, kai yra įtariama, kad pažeidimas turi nusikalstamos veikos požymių, TKA duomenų apsaugos pareigūnas rengia pranešimą teisėsaugos institucijoms apie galimą nusikalstamą veiką, kurį pasirašo TKA direktorius.
17. Jeigu padarytas pažeidimas yra galimai susijęs su kibernetiniu incidentu, informaciją apie kibernetinį incidentą, susijusį su asmens duomenų saugumo pažeidimu, TKA duomenų apsaugos pareigūnas pateikia TKA darbuotojui, atsakingam už kibernetinę saugą, kuris, jei yra pagrindas, inicijuoja informacijos perdavimą Lietuvos Respublikos kibernetinio saugumo įstatyme nurodytoms valstybės institucijoms šio įstatymo nustatyta tvarka ir atvejais.
Asmens duomenų saugumo pažeidimų
tyrimo viešojoje įstaigoje Transporto
kompetencijų agentūroje tvarkos aprašo
1 priedas
(pranešimo apie asmens duomenų saugumo pažeidimą forma)
VIEŠOJI ĮSTAIGA TRANSPORTO KOMPETENCIJŲ AGENTŪRA
____________________________________________
(struktūrinio padalinio pavadinimas)
__________________________________________________
(pareigų pavadinimas)
___________________________________________________
(vardas, pavardė)
PRANEŠIMAS
APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ
_____________ Nr. _________
Vilnius
Informuoju apie asmens duomenų saugumo pažeidimą ir pateikiu man turimą informaciją apie jį:
1. Galimo asmens duomenų saugumo pažeidimo nustatymo data, valanda (minučių tikslumu) ir vieta:
______________________________________________________________________________
______________________________________________________________________________ .
2. Galimo asmens duomenų saugumo pažeidimo padarymo data, laikas ir vieta:
______________________________________________________________________________ .
3. Galimo asmens duomenų saugumo pažeidimo pobūdis, esmė ir aplinkybės
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________ .
4. Duomenų subjektų kategorijos (pvz., darbuotojai, asmenys, pateikę prašymus, skundus ir pan.) ir jų skaičius (jei žinoma))
______________________________________________________________________________ .
5. Asmens duomenų kategorijos, susijusios su asmens duomenų saugumo pažeidimu:
5.1. Asmens duomenys:
| Vardas |
|
| Pavardė |
|
| Asmens kodas |
|
| Adresas |
|
| Telefono numeris |
|
| Elektroninio pašto adresas |
|
| Banko sąskaitos numeris |
|
| Banko kortelės numeris |
|
| Prisijungimo duomenys (vartotojo vardas, slaptažodis) |
|
| Asmens dokumento (-ų) duomenys |
|
| Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas |
|
| Kiti duomenys |
|
5.2. Specialių kategorijų asmens duomenys:
| Duomenys, susiję su asmens sveikata |
|
| Biometriniai duomenys |
|
| Duomenys, susiję su asmens politinėmis pažiūromis, religiniais, filosofiniais įsitikinimais |
|
| Duomenys, susiję su asmens naryste profesinėse sąjungose |
|
| Duomenys, susiję su asmens rasine ar etnine kilme |
|
| Duomenys, susiję su asmens lytiniu gyvenimu ir lytine orientacija |
|
6. Kokių veiksmų / priemonių buvo imtasi sužinojus apie padarytą asmens duomenų saugumo pažeidimą (pvz., pakeisti kompiuterio slaptažodžiai, nutraukta neteisėta prieiga prie tvarkomų asmens duomenų, panaudotos atsarginės kopijos, siekiant atkurti prarastus ar sugadintus duomenis, atnaujinta programinė įranga, surinkti ne saugojimui skirtoje vietoje palikti dokumentai su asmens duomenimis ir pan.)
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________ .
________________ _________________
(pareigos) (vardas, pavardė)
_____________
Asmens duomenų saugumo pažeidimų
tyrimo viešojoje įstaigoje Transporto
kompetencijų agentūroje tvarkos aprašo
2 priedas
(asmens duomenų saugumo pažeidimo ataskaitos forma)
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO ATASKAITA
Nr.
| (data) |
|
|
(vieta)
|
1. Asmens duomenų saugumo pažeidimo (toliau – pažeidimas) aprašymas |
|
| 1.1. Pažeidimo nustatymo data, laikas (valanda, minutės) |
|
| 1.2. Darbuotojas, pranešęs apie pažeidimą (vardas ir pavardė, pareigos, telefono numeris, elektroninio pašto adresas) |
|
| 1.3. Duomenų tvarkytojo, pranešusio apie pažeidimą, pavadinimas, jo kontaktinio asmens duomenys (vardas ir pavardė, telefono Nr., elektroninio pašto adresas) |
|
| 1.4. Pažeidimo data, laikas (valanda, minutės) |
|
| 1.5. Pažeidimo vieta (adresas, informacinės sistemos pavadinimas, duomenų bazė, įrenginys ir pan.) |
|
| 1.6. Pažeidimo pobūdis, esmė ir aplinkybės |
|
| 1.6.1. Susijusios faktinės aplinkybės: |
|
| 1.6.2. Asmens duomenų konfidencialumo praradimas (be leidimo ar neteisėtai atskleidžiami asmens duomenys arba gaunama prieiga prie jų) |
|
| 1.6.3. Asmens duomenų vientisumo praradimas (kai asmens duomenys pakeičiami be leidimo ar netyčia) |
|
| 1.6.4. Asmens duomenų prieinamumo praradimas (kai netyčia arba neteisėtai prarandama prieiga prie jų arba sunaikinami asmens duomenys) |
|
| 1.7. Duomenų subjektų, kurių duomenų saugumas pažeistas, kategorijos (darbuotojas, klientas, IT specialistas ir pan.) ir šių duomenų subjektų apytikslis skaičius (jei įmanoma) |
|
| 1.8. Pažeidimo trukmė |
|
| 1.9. Asmens duomenų, kurių saugumas pažeistas, kategorijos (jei įmanoma): |
|
| 1.9.1. Asmens duomenys (išvardyti kategorijas) |
|
| 1.9.2. Specialių kategorijų asmens duomenys (išvardyti kategorijas) |
|
| 1.9.3. Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas (išvardyti kategorijas) |
|
| 1.9.4. Asmens duomenų, kurių saugumas pažeistas, apytikslis skaičius |
|
|
2. Pažeidimo rizikos įvertinimas |
|
| 2.1. Priežastys bei įvykiai, turėję įtakos įvykti pažeidimui (pvz., duomenų ar įrangos, kurioje yra saugomi asmens duomenys, vagystė, netinkamos prieigos kontrolės priemonės, leidžiančios neteisėtai naudotis asmens duomenimis, įrangos gedimas, žmogiška klaida, įsilaužimo ataka ir pan.) |
|
| 2.2. Pažeidimo pasekmės (aprašyti tinkamas): |
|
| 2.2.1. Atsitiktinai arba neteisėtai sunaikinti asmens duomenys |
|
| 2.2.2. Atsitiktinai arba neteisėtai prarasti asmens duomenys |
|
| 2.2.3. Atsitiktinai arba neteisėtai pakeisti asmens duomenys |
|
| 2.2.4. Atsitiktinai arba neteisėtai atskleisti asmens duomenys teisės susipažinti su jais neturintiems asmenims (jei įmanoma, nurodomi neteisėtą prieigą gavę asmenys) |
|
| 2.2.5. Asmens duomenų išplitimas labiau, nei tai yra būtina, ir duomenų subjekto kontrolės praradimas savo asmens duomenų atžvilgiu (pavyzdžiui, asmens duomenys išplito internete) |
|
| 2.2.6. Skirtingos informacijos susiejimas |
|
| 2.2.7. Asmens duomenų panaudojimas neteisėtais tikslais |
|
| 2.2.8. Dėl asmens duomenų trūkumų negalima vykdyti funkcijų |
|
| 2.2.9. Dėl klaidų asmens duomenų tvarkymo procesuose negalima tinkamai vykdyti funkcijų |
|
| 2.2.10. Kita |
|
| 2.3. Pavojus fizinių asmenų teisėms ir laisvėms (nurodyti tinkamą ir pateikti pagrindžiančius argumentus): |
|
| 2.3.1. Dėl pažeidimo nėra pavojaus fizinių asmenų teisėms ir laisvėms |
|
| 2.3.2. Dėl pažeidimo yra ar gali kilti pavojus fizinių asmenų teisėms ir laisvėms |
|
| 2.3.3. Dėl pažeidimo yra ar gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms |
|
| 2.4. Duomenų subjektui ir (ar) TKA padaryta žala (tapatybės vagystė, grėsmė fiziniam saugumui ir emocinei gerovei, žala reputacijai, teisinė atsakomybė, konfidencialumo, saugumo nuostatų pažeidimas ir pan.) |
|
| 2.5. Techninės ir (ar) organizacinės duomenų saugumo priemonės: |
|
| 2.5.1. Techninės ir (ar) organizacinės priemonės, kurios buvo taikomos asmens duomenims, kurių saugumas buvo pažeistas, siekiant užtikrinti šių duomenų saugumą (aprašoma arba pridedami patvirtinantys dokumentai; išvada dėl tinkamumo) |
|
| 2.5.2. Techninės ir (ar) organizacinės saugumo priemonės, kurios įgyvendintos dėl įvykusio pažeidimo, taip pat siekiant, kad pažeidimas nepasikartotų ir būtų sumažintos pasekmės duomenų subjektui (aprašoma arba pridedami patvirtinantys dokumentai) |
|
| 2.6. Pažeidimo pakartotinumas: |
|
| 2.6.1. Tokio pobūdžio pažeidimas įvyko pirmą kartą |
|
| 2.6.2. Pakartotinis tokio pobūdžio pažeidimas |
|
| 2.7. Įvertinus visas aplinkybes nustatytas rizikos tikimybės lygis |
|
|
3. Pranešimų pateikimas |
|
| 3.1. Pranešimas duomenų subjektui apie įvykusį pažeidimą: |
|
| 3.1.1. Pranešimo data, būdas, trumpas turinio aprašymas, informuotų duomenų subjektų skaičius |
|
| 3.1.2. Priežastys, dėl kurių nepranešta duomenų subjektui: |
|
| 3.1.2.1. Nekyla didelis pavojus duomenų subjektų teisėms ir laisvėms |
|
| 3.1.2.2. Įgyvendintos tinkamos techninės ir organizacinės apsaugos priemonės ir tos priemonės taikytos asmens duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio, visų pirma tos priemonės, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, šifravimo priemonės |
|
| 3.1.2.3. Imtasi priemonių, kuriomis užtikrinama, kad nebegalėtų kilti didelis pavojus duomenų subjektų teisėms ir laisvėms |
|
| 3.1.2.4. Pranešimas pareikalautų neproporcingai daug pastangų ir apie tai viešai paskelbta (arba taikyta panaši priemonė) (nurodoma, kada ir kur paskelbta informacija viešai arba, jei taikyta kita priemonė, nurodoma, kokia ir kada taikyta) |
|
| 3.2. Pranešimas Inspekcijai apie pažeidimą: |
|
| 3.2.1. Pranešimo data, numeris |
|
| 3.2.2. Priežastys, dėl kurių nepranešta Inspekcijai |
|
| 3.2.3. Pranešimo Inspekcijai vėlavimo priežastys |
|
| 3.3. Pranešimas valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą, apie asmens duomenų saugumo pažeidimą, galimai turintį nusikalstamos veikos požymių (jei taikoma) (rašto data, numeris; adresatas) |
|
| 3.4. Pranešimas Nacionaliniam kibernetinio saugumo centrui apie TKA valdomose ir (ar) tvarkomuose registruose, ryšių ir informacinėse sistemose įvykusį kibernetinį incidentą ir taikytas kibernetinių incidentų valdymo priemones (jei taikoma) (rašto data, numeris) |
|
| 4. Pasiūlymai siekiant išvengti tokio pobūdžio pažeidimų pasikartojimo |
|
| 4.1. Techninės priemonės, kurios siūlomos įgyvendinti dėl įvykusio pažeidimo, taip pat siekiant, kad pažeidimas nepasikartotų ir būtų sumažintos pasekmės duomenų subjektui (aprašoma arba pridedami patvirtinantys dokumentai) |
|
| 4.2. Organizacinės priemonės, kurios siūlomos įgyvendinti dėl įvykusio pažeidimo, taip pat siekiant, kad pažeidimas nepasikartotų ir būtų sumažintos pasekmės duomenų subjektui (aprašoma arba pridedami patvirtinantys dokumentai) |
|
| (pareigos) |
|
(vardas ir pavardė) |
||
|
|
|
|
||
|
|
|
|
||
Asmens duomenų saugumo pažeidimų
tyrimo viešojoje įstaigoje Transporto
kompetencijų agentūroje tvarkos aprašo
3 priedas
(asmens duomenų saugumo pažeidimų registravimo žurnalo forma)
VIEŠOSIOS ĮSTAIGOS TRANSPORTO KOMPETENCIJŲ AGENTŪROS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ REGISTRAVIMO ŽURNALAS
| Eil. Nr. |
Asmens duomenų saugumo pažeidimo aprašymas |
Asmens duomenų saugumo pažeidimo pradžia (metai, mėnuo, diena, valanda) |
Asmens duomenų saugumo pažeidimo pabaiga (metai, mėnuo, diena, valanda) |
Taisomieji veiksmai (techninės priemonės), kurių buvo imtasi |
Asmens duomenų saugumo pažeidimo ataskaitos data ir numeris |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
_________________________
PATVIRTINTA
Viešosios įstaigos Transporto kompetencijų
agentūros direktoriaus
2021 m. sausio 5 d. įsakymu Nr. 2-2
(2021 m. kovo 23 d. įsakymo Nr. 2-41 redakcija)
ASMENS DUOMENŲ TVARKYMO operacijų VIEŠOJOJE ĮSTAIGOJE TRANSPORTO KOMPETENCIJŲ AGENTŪROJE POVEIKIO DUOMENŲ APSAUGAI VERTINIMO ATLIKIMO TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo operacijų viešojoje įstaigoje Transporto kompetencijų agentūroje poveikio duomenų apsaugai vertinimo atlikimo tvarkos aprašas (toliau – Aprašas) nustato duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimo viešojoje įstaigoje Transporto kompetencijų agentūroje (toliau – TKA) atlikimo pagrindus, eigą, procedūrą ir reikalavimus, siekiant užtikrinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento) (toliau – BDAR) laikymąsi ir įgyvendinimą.
2. Aprašu vadovaujamasi tais atvejais, kai dėl numatomo duomenų tvarkymo, ypatingai tais atvejais, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms ir laisvėms gali kilti didelis pavojus.
3. Apraše vartojamos sąvokos:
3.1. Didelis pavojus fizinių asmenų teisėms ir laisvėms – atvejai, kai dėl asmens duomenų tvarkymo arba dėl galimo asmens duomenų saugumo pažeidimo duomenų subjektams gali būti sunkiau naudotis savo teisėmis ir laisvėmis, duomenų subjektas gali patirti atskirtį arba diskriminaciją, finansinių nuostolių, gali būti pakenkta jo reputacijai arba atsirasti kitokių rimtų padarinių kasdieniam fizinio asmens gyvenimui.
3.2. Duomenų apsaugos pareigūnas – TKA direktoriaus paskirtas TKA darbuotojas, kuris vykdo jam pagal BDAR pavestas užduotis.
3.5. Poveikio duomenų apsaugai vertinimas (toliau – PDAV) – procesas, skirtas duomenų tvarkymo operacijai aprašyti ir tokios duomenų tvarkymo operacijos reikalingumui ir proporcingumui įvertinti, padedantis valdyti pavojų, kuris fizinių asmenų teisėms ir laisvėms kyla dėl asmens duomenų tvarkymo, apimantis pavojaus įvertinimą ir jo pašalinimo priemonių nustatymą.
3.6. Poveikio duomenų apsaugai vertinimo koordinatorius (toliau – PDAV koordinatorius) – TKA direktoriaus paskirtas TKA darbuotojas, atsakingas už poreikio atlikti PDAV nustatymą ir PDAV atlikimą šio Aprašo nustatyta tvarka. Paprastai PDAV koordinatoriumi skiriamas darbuotojas, kuris atsakingas už atitinkamos duomenų tvarkymo operacijos TKA įgyvendinimą. PDAV atlikti gali būti pavesta ir darbuotojų grupei, kurios vadovas būtų PDAV koordinatorius.
II SKYRIUS
POVEIKIO DUOMENŲ APSAUGAI VERTINIMO ATLIKIMO PAGRINDAI
4. PDAV atliekamas šiais atvejais:
4.1. kai duomenų tvarkymo operacija yra įtraukta į Valstybinės duomenų apsaugos inspekcijos sudarytą duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti PDAV, sąrašą;
4.2. kai planuojama rinkti arba kitaip tvarkyti naujus asmens duomenis (pavyzdžiui, sisteminga TKA darbuotojų veiklos, darbuotojų darbo vietos, veiklos internete ir pan. stebėsena) ir dėl asmens duomenų tvarkymo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, vertinant asmens duomenų tvarkymą pagal šio Aprašo III skyriuje nurodytus kriterijus;
4.3. kai keičiasi jau tvarkomų asmens duomenų tvarkymo procesas (būdas, tikslas ir pan.) arba aplinka (pavyzdžiui, diegiama nauja informacinių technologijų sistema, teikiama nauja paslauga, atsiranda naujas procesas, naujos rizikos, susijusios su įvykdytomis kibernetinėmis atakomis ir pan.) ir dėl asmens duomenų tvarkymo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, vertinant asmens duomenų tvarkymą pagal šio Aprašo III skyriuje nurodytus kriterijus;
5. PDAV TKA direktoriaus sprendimu gali būti neatliekamas šiais atvejais:
5.1. kai duomenų tvarkymas negali kelti didelio pavojaus fizinių asmenų teisėms ir laisvėms, vertinant asmens duomenų tvarkymą pagal šio Aprašo III skyriuje nurodytus kriterijus;
5.2. kai duomenų tvarkymo pobūdis, aprėptis, kontekstas ir tikslai yra labai panašūs į duomenų tvarkymą, kurio PDAV buvo atliktas (tokiais atvejais galima pasinaudoti dėl panašaus duomenų tvarkymo atliktu PDAV);
6. PDAV turi būti atliktas prieš pradedant tvarkyti asmens duomenis arba kai tvarkant asmens duomenis atsiranda objektyvi būtinybė atlikti PDAV, atsižvelgiant į šio Aprašo 4 punkte nurodytus atvejus.
III SKYRIUS
KRITERIJAI, KURIAIS REMIANTIS NUSTATOMA, AR DĖL DUOMENŲ TVARKYMO OPERACIJOS GALI KILTI DIDELIS PAVOJUS FIZINIŲ ASMENŲ TEISĖMS IR LAISVĖMS
8. Siekiant nustatyti duomenų tvarkymo operacijas, dėl kurių reikia atlikti PDAV, atsižvelgiama į BDAR 35 straipsnio 1 dalyje bei 35 straipsnio 3 dalies a–c punktuose nustatytus konkrečius elementus, Valstybinės duomenų apsaugos inspekcijos sudarytą duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti PDAV, sąrašą, BDAR preambulės 71, 75, 91 punktus bei kitas BDAR nuorodas į duomenų tvarkymo operacijas, dėl kurių gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, bei įvertinami šie kriterijai:
8.1. atliekamas su fiziniais asmenimis susijusių asmeninių aspektų vertinimas arba balų skyrimas, įskaitant profiliavimą ir prognozavimą, visų pirma remiantis aspektais, susijusiais su duomenų subjekto darbo rezultatais, ekonomine padėtimi, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu (pavyzdžiui, naudotojo elgesio profilio sudarymas, remiantis interneto svetainės naudojimu, ir pan.);
8.2. automatizuotai (technologinėmis priemonėmis, be jokio žmogaus įsikišimo) priimami sprendimai, duomenų subjektams sukeliantys teisinį arba panašų rimtą poveikį (pavyzdžiui, duomenų tvarkymas gali lemti asmenų atskirtį arba diskriminaciją);
8.3. atliekama sisteminga stebėsena, t. y. duomenų tvarkymas, kuris reikalingas duomenų subjektų stebėsenos arba kontrolės tikslais, įskaitant tinkluose surinktus duomenis arba sistemingą viešos vietos stebėjimą dideliu mastu;
8.4. tvarkomi neskelbtini duomenys arba labai asmeniški duomenys (pavyzdžiui, specialių kategorijų asmens duomenys, duomenys apie apkaltinamuosius nuosprendžius ar nusikalstamas veikas, vietos nustatymo duomenys ir pan.);
8.5. duomenys tvarkomi dideliu mastu (vertinant, ar duomenys tvarkomi dideliu mastu, turi būti atsižvelgiama į susijusių duomenų subjektų skaičių (konkretų skaičių arba atitinkamą gyventojų dalį), tvarkomų duomenų kiekį ir intervalą ir (arba) skirtingų tvarkomų duomenų įvairovę, duomenų tvarkymo veiklos trukmę arba pastovumą, geografinį duomenų tvarkymo veiklos mastą);
8.6. atliekamos sudėtingos duomenų tvarkymo operacijos (pavyzdžiui, keli asmens duomenų tvarkymo tikslai ir (ar) duomenų valdytojai, duomenų rinkinių siejimas ir derinimas, kai duomenų tvarkymo operacijos atliekamos taip, kad viršija pagrįstus duomenų subjekto lūkesčius, ir pan.);
8.7. tvarkomi duomenys, susiję su pažeidžiamais duomenų subjektais (pavyzdžiui, vaikais, labiau pažeidžiamais gyventojais, kuriems reikalinga speciali apsauga, ir visais atvejais, kai galima nustatyti nelygiaverčius duomenų subjekto ir duomenų valdytojo santykius);
IV SKYRIUS
POREIKIO ATLIKTI POVEIKIO DUOMENŲ APSAUGAI VERTINIMĄ NUSTATYMAS
9. Poreikį atlikti PDAV paprastai nustato projekto, kurį įgyvendinus būtų atliekama duomenų tvarkymo operacija, vadovas, užpildydamas poreikio atlikti Aprašo 3 priede nustatytos formos PDAV nustatymo klausimyną.
10. Jei duomenų tvarkymo operacija nėra įtraukta į Valstybinės duomenų apsaugos inspekcijos sudarytą duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti PDAV, sąrašą, tokios duomenų tvarkymo operacijos PDAV paprastai atliekamas, kai planuojamas duomenų tvarkymas atitinka bent du iš šio Aprašo 8.1–8.8 papunkčiuose nurodytų kriterijų. Kuo daugiau kriterijų, nurodytų šio Aprašo 8.1–8.8 papunkčiuose, atitinka planuojamas duomenų tvarkymas, tuo labiau tikėtina, kad dėl duomenų tvarkymo operacijos gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms ir yra pagrindas atlikti PDAV. TKA direktoriaus ar jo įgalioto atsakingo asmens sprendimu PDAV gali būti atliekamas ir tais atvejais, kai planuojamas duomenų tvarkymas atitinka tik vieną iš šio Aprašo 8.1–8.8 papunkčiuose nurodytų kriterijų.
11. Užpildytas poreikio atlikti PDAV nustatymo klausimynas pateikiamas TKA direktoriui, kuris, įvertinęs šiame klausimyne užfiksuotą informaciją, priima sprendimą dėl PDAV atlikimo.
12. Jei TKA, kaip duomenų valdytoja, nusprendžia neatlikti PDAV šio Aprašo 4 punkte nurodytais atvejais, manydama, kad dėl duomenų tvarkymo negali kilti didelis pavojus fizinio asmens teisėms ir laisvėms, toks sprendimas turi būti pagrįstas, nurodant priežastis, dėl kurių nuspręsta neatlikti PDAV, taip pat įtraukiant ir (arba) užfiksuojant duomenų tvarkyme dalyvaujančių TKA darbuotojų ir (arba) duomenų apsaugos pareigūno nuomonę.
V SKYRIUS
POVEIKIO DUOMENŲ APSAUGAI VERTINIMO ATLIKIMAS
13. TKA direktorius, priėmęs sprendimą atlikti PDAV, organizuoja PDAV atlikimą, įvertindamas poreikio atlikti PDAV nustatymo klausimyne nurodytą siūlymą dėl TKA darbuotojų, kurių dalyvavimas atliekant PDAV būtų reikšmingas pagal jų turimas kompetencijas ir atliekamas asmens duomenų tvarkymo funkcijas.
14. TKA direktoriaus sprendimu PDAV atlikti gali būti pasitelkti išorės konsultantai, specialistai, ekspertai (teisininkai, informacinių technologijų specialistai, saugumo ekspertai, etikos specialistai ir pan.), jeigu TKA žmogiškųjų ir (ar) laiko išteklių nepakanka PDAV tinkamai atlikti.
15. PDAV koordinatorius PDAV atlikimo rezultatus fiksuoja Aprašo 4 priede nustatytos formos PDAV atlikimo ataskaitoje.
16. Nustatant pavojus fizinių asmenų teisėms ir laisvėms ir juos vertinant (PDAV atlikimo ataskaitos 5 dalis) turi būti atsižvelgiama į pavojų kilmę, pobūdį, specifiką ir rimtumą, t. y. į kiekvieną pavojų (neteisėtą prieigą prie asmens duomenų, nepageidaujamą asmens duomenų pakeitimą ir asmens duomenų praradimą) iš duomenų subjektų perspektyvos, taip pat į žalos (pavojaus poveikio), kuri duomenų subjektams gali kilti dėl asmens duomenų tvarkymo arba galimo asmens duomenų saugumo pažeidimo, tikimybę ir sunkumą (žala gali būti fizinė, materialinė ir (arba) nematerialinė).
17. Pavojus fizinių asmenų teisėms ir laisvėms, atsižvelgiant į pavojaus ir pavojaus poveikio fiziniam asmeniui pobūdį, gali būti:
17.1. mažas (kai asmens duomenų tvarkymas arba galimas asmens duomenų saugumo pažeidimas duomenų subjektų teisėms ir laisvėms įtakos neturės arba padariniai kasdieniam fizinio asmens gyvenimui bus mažareikšmiai);
17.2. vidutinis (kai dėl asmens duomenų tvarkymo arba dėl galimo asmens duomenų saugumo pažeidimo duomenų subjektams gali būti sunkiau laikinai naudotis savo teisėmis ir laisvėmis, pasinaudoti TKA teikiamomis paslaugomis, gali atsirasti kitokių neigiamų padarinių kasdieniam fizinio asmens gyvenimui);
17.3. didelis (kai dėl asmens duomenų tvarkymo arba dėl galimo asmens duomenų saugumo pažeidimo duomenų subjektams gali būti sunku arba neįmanoma pasinaudoti savo teisėmis ir laisvėmis, duomenų subjektas gali patirti atskirtį ar diskriminaciją, finansinių nuostolių, gali būti pakenkta jo reputacijai arba atsirasti kitokių rimtų neigiamų padarinių kasdieniam fizinio asmens gyvenimui).
18. Pavojaus įvertinimas ir bendro pavojaus lygio nustatymas atliekamas vadovaujantis pavojaus įvertinimo ir bendro pavojaus lygio nustatymo lentele, kuri pateikta šio Aprašo 5 priede.
19. Priemonės, kurių galima imtis siekiant sumažinti ar pašalinti pavojus (pavyzdžiui, saugumo priemonės, kuriomis užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi BDAR reikalavimų: duomenų šifravimas ir kitos techninės priemonės, reikšmingas asmenų, turinčių prieigą prie tam tikrų asmens duomenų, rato apribojimas, reikalavimų prieigos teises turinčių vartotojų identifikavimui sugriežtinimas ir pan.), nustatomos atsižvelgiant į pavojaus mažinimo ir šalinimo priemonių rekomendacijas, kurios pateiktos šio Aprašo 6 priede.
20. Jei planuojamos pavojaus fizinių asmenų teisėms ir laisvėms mažinimo ir šalinimo priemonės yra imlios finansiniu ir laiko atžvilgiu, jų įgyvendinimui reikalingas tarpinstitucinis bendradarbiavimas ir (ar) keli vykdytojai ir pan., šios priemonės bei informacija apie jų įgyvendinimą gali būti fiksuojama atskirame pavojaus, kylančio fizinių asmenų teisėms ir laisvėms, mažinimo ir šalinimo priemonių plane, kurio pavyzdinė forma nustatyta šio Aprašo 7 priede.
21. TKA direktorius ar jo įgaliotas atsakingas asmuo užtikrina, kad būtų atliktas pavojaus, kylančio fizinių asmenų teisėms ir laisvėms, mažinimo ir šalinimo priemonių plane (jei toks planas buvo rengtas) nustatytų priemonių įgyvendinimo veiksmingumo vertinimas. Asmuo, įgyvendinęs plane numatytas priemones, negali vertinti jų veiksmingumo. Įgyvendinus numatytas priemones, iš naujo atliekamas pavojaus vertinimas (paprastai jį atlieka PDAV koordinatorius).
22. TKA, kaip duomenų valdytoja, gali nuspręsti, kad kai kurie pavojai (net ir dideli) yra priimtini, įvertinus planuojamo asmens duomenų tvarkymo naudą bei neproporcingas pavojų mažinimo ir šalinimo priemonių įgyvendinimo sąnaudas.
23. Jei atliekant PDAV paaiškėja, kad tvarkant asmens duomenis kiltų didelis pavojus duomenų subjektų teisėms ir laisvėms, jei TKA, kaip duomenų valdytojas, nesiimtų priemonių pavojui sumažinti, TKA, prieš pradėdamas tvarkyti asmens duomenis, privalo iš anksto konsultuotis su Valstybine duomenų apsaugos inspekcija. TKA, kreipdamasis dėl išankstinės konsultacijos, Valstybinei duomenų apsaugos inspekcijai pateikia BDAR 36 straipsnio 3 dalyje nurodytą informaciją.
24. Atliekant PDAV, TKA darbuotojai, kuriems yra pavesta atlikti naujas duomenų tvarkymo operacijas ir (arba) yra su jomis susiję, PDAV koordinatoriui privalo pateikti visą informaciją, kurios pagrindu yra pildoma PDAV ataskaita bei pavojaus, kylančio fizinių asmenų teisėms ir laisvėms, mažinimo ir šalinimo priemonių planas (jei reikia), ir bendradarbiauti atliekant PDAV (PDAV koordinatoriui paprašius, pateikti papildomą informaciją ir (ar) dokumentus, pagal kompetenciją teikti konsultacijas ir pan.).
25. PDAV koordinatoriui išreiškus poreikį, duomenų apsaugos pareigūnas PDAV atlikimo metu jam teikia konsultacijas ir metodinę informaciją dėl BDAR nuostatų taikymo. PDAV koordinatoriaus prašymai dėl šiame punkte nurodytų konsultacijų ir (ar) metodinės informacijos pateikimo bei duomenų apsaugos pareigūno atsakymai į juos teikiami elektroniniu paštu.
26. Atlikus PDAV, PDAV koordinatorius ne vėliau kaip per 5 darbo dienas po atlikto PDAV duomenų apsaugos pareigūnui elektroniniu paštu pateikia TKA patvirtintos PDAV atlikimo ataskaitos, pavojaus, kylančio fizinių asmenų teisėms ir laisvėms, mažinimo ir šalinimo priemonių plano (jei planas buvo patvirtintas) bei Valstybinės duomenų apsaugos inspekcijos pateiktų rekomendacijų (jei atliekant PDAV buvo kreiptasi dėl išankstinių konsultacijų) skaitmenines kopijas.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
27. TKA direktorius ar jo įgaliotas atsakingas asmuo užtikrina, kad prireikus būtų atlikta PDAV peržiūra ir įvertinta, ar asmens duomenys tvarkomi laikantis PDAV atlikimo ataskaitoje nurodytų išvadų ir sprendimų.
28. Jei atlikus PDAV iš esmės pasikeičia asmens duomenų tvarkymo pobūdis, aprėptis, kontekstas ir (ar) tikslai, turi būti atliekamas naujas PDAV.
29. Visi PDAV dokumentai (poreikio atlikti PDAV nustatymo klausimynas, PDAV atlikimo ataskaita, pavojaus, kylančio fizinių asmenų teisėms ir laisvėms, mažinimo ir šalinimo priemonių planas ir kt.) registruojami ir tvarkomi TKA dokumentų valdymo sistemoje.
Papildyta priedu:
Nr. 2-41, 2021-03-23, paskelbta TAR 2021-03-26, i. k. 2021-05944
Asmens duomenų tvarkymo operacijų viešojoje įstaigoje Transporto kompetencijų
agentūroje poveikio duomenų apsaugai
vertinimo atlikimo tvarkos aprašo
1 priedas
_________________
Papildyta priedu:
Nr. 2-41, 2021-03-23, paskelbta TAR 2021-03-26, i. k. 2021-05944
Asmens duomenų tvarkymo operacijų viešojoje įstaigoje Transporto kompetencijų
agentūroje poveikio duomenų apsaugai
vertinimo atlikimo tvarkos aprašo
2 priedas
POVEIKIO DUOMENŲ APSAUGAI VERTINIMO ATLIKIMAS
_________________
Papildyta priedu:
Nr. 2-41, 2021-03-23, paskelbta TAR 2021-03-26, i. k. 2021-05944
Asmens duomenų tvarkymo operacijų
viešojoje įstaigoje Transporto kompetencijų
agentūroje poveikio duomenų apsaugai
vertinimo atlikimo tvarkos aprašo
3 priedas
(poreikio atlikti poveikio duomenų apsaugai vertinimą nustatymo klausimyno forma)
POREIKIO ATLIKTI POVEIKIO DUOMENŲ APSAUGAI VERTINIMĄ NUSTATYMO KLAUSIMYNAS
___________________ Nr. ___________________
(data) (numeris)
|
Duomenų tvarkymo operacija:
|
|||
| Eil. Nr. |
Klausimas |
Atsakymas Taip / Ne |
Pastabos |
| 1. |
Ar duomenų tvarkymo operacija yra įtraukta į Valstybinės duomenų apsaugos inspekcijos sudarytą duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą? |
|
|
| 2. |
Ar tai nauja duomenų tvarkymo operacija? |
|
|
| 3. |
Ar atliekant duomenų tvarkymo operaciją bus renkami, naudojami, saugomi ar kitaip tvarkomi asmens duomenys? |
|
|
| 4. |
Ar atliekant duomenų tvarkymo operaciją duomenų subjektai privalės teikti duomenis apie save (asmens duomenis)? |
|
|
| 5. |
Ar asmens duomenys bus atskleisti tretiesiems asmenims (organizacijoms, kitiems duomenų valdytojams, kitiems asmenims ir pan.), kuriems prieš tai nebuvo teikti asmens duomenys? |
|
|
| 6. |
Ar asmens duomenys bus tvarkomi naujais tikslais, t. y. iki šiol asmens duomenys nebuvo šiais tikslais tvarkomi? |
|
|
| 7. |
Kokiu teisiniu pagrindu vadovaujantis duomenų tvarkymo operacijos metu bus tvarkomi asmens duomenys? Nurodyti bent vieną iš BDAR 6, 9 ir (ar) 10 straipsnyje įtvirtintų teisėto asmens duomenų tvarkymo pagrindų. Jeigu asmens duomenys tvarkomi vadovaujantis Lietuvos Respublikos teisės aktais, nurodyti tokių teisės aktų pavadinimus, straipsnius, dalis, punktus. |
|
|
| 8. |
Ar duomenų tvarkymo operacijos metu bus naudojamos naujos technologijos, kurios gali būti laikomos nesaugiomis, neužtikrinančiomis asmenų privatumo? Kokios? |
|
|
| 9. |
Ar duomenų tvarkymo operacijos metu bus priimami sprendimai, kurie gali padaryti reikšmingą poveikį duomenų subjektams? Kokie? |
|
|
| 10. |
Ar duomenų tvarkymo operacijos metu su duomenų subjektais bus kontaktuojama taip, kad gali būti pažeistas jų privatumas (pavyzdžiui, siunčiami elektroniniai laiškai ar SMS žinutės, skambinama telefonu ir pan.)? |
|
|
| 11. |
Ar bus atliekamas vertinimas arba balų skyrimas, įskaitant profiliavimą ir prognozavimą, visų pirma remiantis aspektais, susijusiais su duomenų subjekto darbo rezultatais, ekonomine padėtimi, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu? |
|
|
| 12. |
Ar bus priimami automatizuoti sprendimai, duomenų subjektams sukeliantys teisinį arba panašų rimtą poveikį? |
|
|
| 13. |
Ar bus atliekama sisteminga stebėsena, t. y. duomenų tvarkymas, kuris reikalingas duomenų subjektų stebėsenos arba kontrolės tikslais, įskaitant tinkluose surinktus duomenis arba sistemingą viešos vietos stebėjimą dideliu mastu? |
|
|
| 14. |
Ar bus tvarkomi neskelbtini duomenys arba labai asmeniški duomenys (pavyzdžiui, specialių kategorijų asmens duomenys, duomenys apie apkaltinamuosius nuosprendžius ar nusikalstamas veikas, vietos nustatymo duomenys, finansiniai duomenys, elektroniniai laiškai ir kt.)? |
|
|
| 15. |
Ar asmens duomenys bus tvarkomi dideliu mastu? |
|
|
| 16. |
Ar bus atliekamos sudėtingos duomenų tvarkymo operacijos? Kokios? |
|
|
| 17. |
Ar bus tvarkomi duomenys, susiję su pažeidžiamais duomenų subjektais? Kokiais? |
|
|
| 18. |
Ar bus naudojamasi inovatyviais organizaciniais-techniniais sprendimais? Kokiais? |
|
|
| 19. |
Ar dėl paties duomenų tvarkymo duomenų subjektams užkertamas kelias naudotis savo teisėmis, paslaugomis arba sudaryti sutartis? |
|
|
| Išvados: klausimyną užpildęs TKA darbuotojas nustato, ar yra poreikis atlikti poveikio duomenų apsaugai vertinimą, ir nurodo savo siūlymą dėl poveikio duomenų apsaugai vertinimo atlikimo (yra poreikis atlikti poveikio duomenų apsaugai vertinimą ar ne) bei siūlymą pagrindžiančius motyvus. Nustačius, kad yra poreikis atlikti poveikio duomenų apsaugai vertinimą, gali būti teikiamas siūlymas dėl TKA darbuotojų, kurių dalyvavimas atliekant poveikio duomenų apsaugai vertinimą būtų reikšmingas pagal jų turimas kompetencijas ir atliekamas asmens duomenų tvarkymo funkcijas.
|
|||
Klausimyną užpildžiusio darbuotojo pareigos (parašas) (vardas ir pavardė)
TKA direktoriaus rezoliucija (parašas) (vardas ir pavardė)[16]
_________________
Papildyta priedu:
Nr. 2-41, 2021-03-23, paskelbta TAR 2021-03-26, i. k. 2021-05944
Asmens duomenų tvarkymo operacijų
viešojoje įstaigoje Transporto kompetencijų
agentūroje poveikio duomenų apsaugai
vertinimo atlikimo tvarkos aprašo
4 priedas
(poveikio duomenų apsaugai vertinimo atlikimo ataskaitos forma)
POVEIKIO DUOMENŲ APSAUGAI VERTINIMO ATLIKIMO ATASKAITA
___________________ Nr. ___________________
(data) (numeris)
1. Priežastys, dėl kurių būtina atlikti poveikio duomenų apsaugai vertinimą
| Planuojamos vykdyti veiklos aprašymas, jos tikslai ir planuojamos atlikti asmens duomenų tvarkymo operacijos. Paaiškinimas, kodėl būtina atlikti poveikio duomenų apsaugai vertinimą. Jei reikia, prie formos pridedami susiję dokumentai. |
|
|
2. Asmens duomenų tvarkymo aprašymas
| Aprašomi asmens duomenų rinkimo, naudojimo, saugojimo ir naikinimo veiksmai, nurodoma, iš kokių šaltinių bus renkami duomenys, kam bus teikiami (galima pateikti asmens duomenų tvarkymo veiksmų schemą). Aprašoma, kokie asmens duomenų tvarkymo veiksmai gali kelti pavojų fizinių asmenų teisėms ir laisvėms. |
|
|
| Aprašomas tvarkymo mastas: kokių kategorijų asmens duomenys bus tvarkomi; ar bus tvarkomi specialių kategorijų asmens duomenys arba duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas; kiek duomenų, kaip dažnai bus renkama ir naudojama; kaip ilgai bus saugomi asmens duomenys; nurodomas apytikslis duomenų subjektų skaičius bei geografinė duomenų tvarkymo aprėptis. |
|
|
| Aprašomas duomenų tvarkymo pobūdis: kokio pobūdžio santykiai sieja TKA su duomenų subjektais; ar duomenų subjektai turės galimybę kontroliuoti duomenų tvarkymą; ar duomenų subjektai gali numatyti, kad jų asmens duomenys bus taip tvarkomi; ar bus tvarkomi vaikų ir kitų pažeidžiamų asmenų duomenys; įvertinama, ar toks duomenų tvarkymas yra saugus; ar duomenų tvarkymo technologijos yra naujos, ar egzistuojančios technologijos bus panaudotos kitaip; koks yra technologijų išsivystymo lygis šioje srityje; ar yra kokių nors visuomeninių ar pan. problemų ar klausimų, į kuriuos būtina atsižvelgti; nurodoma, ar yra įsipareigojimas laikytis patvirtinto elgesio kodekso ar patvirtinto sertifikavimo mechanizmo. |
|
|
| Aprašomi asmens duomenų tvarkymo tikslai: kokį rezultatą siekiama gauti; kokį poveikį tai turės fiziniams asmenims; kokia yra tokio duomenų tvarkymo nauda TKA bei kitiems asmenims. |
|
|
3. Konsultacijos
| Aprašoma, kaip planuojama sužinoti suinteresuotų asmenų nuomonę, arba pagrindžiama, kodėl to daryti nebūtina (pavyzdžiui, dėl duomenų saugumo ar konfidencialumo reikalavimų, dėl neproporcingai didelės administracinės naštos ir pan.); kokių asmenų nuomonę planuojama gauti; kokie asmenys bus pasitelkti TKA, ar bus pasitelkti duomenų tvarkytojai; ar planuojama konsultuotis su duomenų saugos ekspertais ar kitokių sričių ekspertais. |
|
|
4. Būtinumo ir proporcingumo įvertinimas
| Aprašomas asmens duomenų tvarkymo teisėtumas ir tvarkymo proporcingumas: nurodomas teisėto tvarkymo pagrindas; įvertinama, ar tvarkant asmens duomenis bus pasiektas TKA tikslas; ar tą patį rezultatą įmanoma pasiekti kitaip; kaip bus išvengta veiklos sutrikimų; kaip bus užtikrinta duomenų kokybė ir įgyvendintas duomenų kiekio mažinimo principas; kokia informacija bus pateikta duomenų subjektams; kaip TKA planuoja įgyvendinti duomenų subjektų teises; kaip bus užtikrinta, kad duomenų tvarkytojas, jei toks pasitelkiamas, laikytųsi reikalavimų; kaip bus užtikrintas į užsienio valstybes teikiamų asmens duomenų saugumas. |
|
|
5. Pavojų nustatymas ir įvertinimas
| Aprašomas pavojaus ir poveikio fiziniam asmeniui pobūdis. |
Žalos tikimybė |
Žalos sunkumas |
Bendras pavojaus lygis |
|
|
Mažai tikėtina, tikėtina ar labai tikėtina |
Minimali, reikšminga ar sunki |
Mažas, vidutinis ar didelis |
6. Priemonių sumažinti ar pašalinti pavojus nustatymas
| Nurodomos papildomos priemonės, kurių galima imtis siekiant sumažinti ar pašalinti didelį ar vidutinį pavojų. |
||||
| Pavojus |
Priemonės sumažinti ar pašalinti pavojų |
Priemonės pritaikymo rezultatas |
Likęs pavojaus lygis |
Priemonė patvirtinta |
|
|
|
Pašalinta, sumažinta, priimtina rizika
|
Mažas, vidutinis ar didelis |
Taip, ne |
7. Išvados ir sprendimai
| Nurodomos priemonės ir įvardijamas likęs pavojus |
Vardas, pavardė, data, parašas |
Pastabos |
| Priemonės patvirtintos: |
|
Įtraukti numatytas priemones į veiklos planą, nustatant atlikimo terminą ir atsakingus asmenis |
| Likęs pavojus pripažintas priimtina rizika:
|
|
Jei priimtina rizika pripažintas didelis pavojus, privaloma kreiptis dėl išankstinės konsultacijos į Valstybinę duomenų apsaugos inspekciją |
Duomenų apsaugos pareigūno nuomonė
Duomenų apsaugos pareigūno nuomonė turi būti pateikta dėl asmens duomenų tvarkymo teisėtumo, planuojamų priemonių pavojams mažinti ar pašalinti bei dėl galimybės toliau tvarkyti asmens duomenis.
| Nurodoma duomenų apsaugos pareigūno nuomonė: |
Nurodoma, ar atsižvelgta į duomenų apsaugos pareigūno nuomonę
| Jeigu atmesta, pagrindžiama kodėl. |
Gautos kitų susijusių asmenų nuomonės
| Trumpai aprašomos kitų susijusių asmenų nuomonės ir nurodoma, ar į jas atsižvelgta. Jeigu sprendimas skiriasi nuo susijusių asmenų nuomonės, pagrindžiama kodėl. |
Poveikio duomenų apsaugai
vertinimo koordinatorius (parašas)[17] (vardas ir pavardė)
TKA direktoriaus rezoliucija (parašas) (vardas ir pavardė)[18]
_________________
Papildyta priedu:
Nr. 2-41, 2021-03-23, paskelbta TAR 2021-03-26, i. k. 2021-05944
Asmens duomenų tvarkymo operacijų
viešojoje įstaigoje Transporto kompetencijų
agentūroje poveikio duomenų apsaugai
vertinimo atlikimo tvarkos aprašo
5 priedas
PAVOJAUS ĮVERTINIMO IR BENDRO PAVOJAUS LYGIO NUSTATYMO
LENTELĖ
|
Žalos sunkumas
|
Sunki
|
Mažas pavojus
|
Didelis pavojus |
Didelis pavojus |
| Reikšminga
|
Mažas pavojus
|
Vidutinis pavojus |
Didelis pavojus |
|
| Minimali
|
Mažas pavojus
|
Mažas pavojus |
Mažas pavojus |
|
|
|
|
Mažai tikėtina
|
Tikėtina |
Labai tikėtina |
|
|
|
Žalos tikimybė
|
||
Papildyta priedu:
Nr. 2-41, 2021-03-23, paskelbta TAR 2021-03-26, i. k. 2021-05944
Asmens duomenų tvarkymo operacijų
viešojoje įstaigoje Transporto kompetencijų
agentūroje poveikio duomenų apsaugai
vertinimo atlikimo tvarkos aprašo
6 priedas
PAVOJAUS MAŽINIMO IR ŠALINIMO PRIEMONIŲ REKOMENDACIJOS
|
Pavojaus lygis |
Rekomenduojamos pavojaus mažinimo ar šalinimo priemonės
|
| Mažas |
Papildomų pavojaus mažinimo ir (ar) šalinimo priemonių galima nenumatyti, išskyrus atvejus, kai joms įgyvendinti nereikia didelių sąnaudų. Turi būti užtikrinta, kad veiktų esamos pavojaus mažinimo ir (ar) šalinimo priemonės. |
| Vidutinis |
Rekomenduotina numatyti pavojaus mažinimo ir (ar) šalinimo priemones, įgyvendinti tokias pavojaus mažinimo ir (ar) šalinimo priemones, kurios nėra labai imlios finansiniu ir laiko atžvilgiu, tačiau yra pakankamos sumažinti pavojaus lygį arba jį pakankamai kontroliuoti. |
| Didelis |
Būtina išsamiai išnagrinėti situaciją, nustatyti pavojaus mažinimo ir (ar) šalinimo priemones. Šios priemonės turi būti nustatytos pavojaus, kylančio fizinių asmenų teisėms ir laisvėms, mažinimo ir šalinimo priemonių plane. Priemonės gali būti susijusios ne tik su veiksmais TKA viduje, apie nustatytą labai didelį pavojų fizinių asmenų teisėms ir laisvėms gali būti informuota Valstybinė duomenų apsaugos inspekcija. Nustatytos pavojaus mažinimo ir (ar) šalinimo priemonės turi būti įgyvendintos per nustatytą laikotarpį. Turi būti atliekamas priemonių įgyvendinimo veiksmingumo vertinimas. Įgyvendinus numatytas priemones, iš naujo turi būti atliktas pavojaus vertinimas. |
Papildyta priedu:
Nr. 2-41, 2021-03-23, paskelbta TAR 2021-03-26, i. k. 2021-05944
Asmens duomenų tvarkymo operacijų
viešojoje įstaigoje Transporto kompetencijų
agentūroje poveikio duomenų apsaugai
vertinimo atlikimo tvarkos aprašo
7 priedas
(pavojaus, kylančio fizinių asmenų teisėms ir laisvėms, mažinimo ir šalinimo priemonių plano forma)
PAVOJAUS, KYLANČIO FIZINIŲ ASMENŲ TEISĖMS IR LAISVĖMS, MAŽINIMO IR ŠALINIMO PRIEMONIŲ
VIEŠOJOJE ĮSTAIGOJE TRANSPORTO KOMPETENCIJŲ AGENTŪROJE PLANAS
___________________ Nr. ___________________
(data) (numeris)
| Eil. Nr. |
Pavojaus priežastis (kilmė) |
Pavojaus pasekmė |
Planuojamos pavojaus mažinimo ir (ar) šalinimo priemonės |
Vykdytojo pareigos, vardas ir pavardė |
Įgyvendinimo terminas |
Planuojami pavojaus mažinimo ir (ar) šalinimo priemonės įgyvendinimo veiksmai |
Įgyvendinimo žyma |
Veiksmingumo vertinimas |
Vertinimo atlikimo data |
Vertinimą atlikusio asmens pareigos, vardas ir pavardė |
| 1. |
|
|
|
|
|
|
|
|
|
|
| 2. |
|
|
|
|
|
|
|
|
|
|
Papildyta priedu:
Nr. 2-41, 2021-03-23, paskelbta TAR 2021-03-26, i. k. 2021-05944
Pakeitimai:
1.
Viešoji įstaiga Transporto kompetencijų agentūra, Įsakymas
Nr. 2-41, 2021-03-23, paskelbta TAR 2021-03-26, i. k. 2021-05944
Dėl viešosios įstaigos Transporto kompetencijų agentūros direktoriaus 2021 m. sausio 5 d. įsakymo Nr. 2-2 „Dėl asmens duomenų apsaugos įgyvendinimo viešojoje įstaigoje Transporto kompetencijų agentūroje“ pakeitimo