2.1. Aplinkos apsaugos agentūros Teisės skyriaus vedėjui Agentūros direktoriaus pavaduotojus ir administracijos padalinių (departamentų ir nesančių departamento struktūroje skyrių) vadovus per Dokumentų valdymo bendrąją informacinę sistemą (toliau – DBSIS);

2.2. Aplinkos apsaugos agentūros administracijos padalinių (departamentų, skyrių) vadovams jiems pavaldžius valstybės tarnautojus ir darbuotojus, dirbančius pagal darbo sutartis, per DBSIS;

2.3. Aplinkos apsaugos agentūros Personalo ir dokumentų valdymo skyriui naujai priimamus valstybės tarnautojus ir darbuotojus, dirbančius pagal darbo sutartį, per DBSIS arba pasirašytinai.

1.  Asmens duomenų tvarkymo Aplinkos apsaugos agentūroje (toliau – Agentūra, asmens duomenų valdytojas, asmens duomenų tvarkytojas) taisyklių (toliau – taisyklės) tikslas – nustatyti duomenų subjektų teisių įgyvendinimo Agentūroje tvarką siekiant įgyvendinti atskaitomybės principą.

2. Įgyvendinant duomenų subjekto teises vadovaujamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir šiomis taisyklėmis.

3. Šios taisyklės taikomos ir yra privalomos asmens duomenų valdytojui, asmens duomenų tvarkytojui Agentūrai ir visiems Agentūros valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis (toliau – darbuotojai), kurie vykdydami savo tiesiogines funkcijas, nustatytas pareigybių aprašymuose, tvarko asmens duomenis.

4. Agentūra, juridinio asmens kodas 188784898, buveinės adresas A. Juozapavičiaus g. 9, 09311 Vilnius, mob. tel. +370 682 92653, el. p. aaa@gamta.lt , yra visų Agentūros veiklos ir vidaus administravimo procesuose surinktų asmens duomenų valdytojas, taip pat duomenų subjektų, valstybės, savivaldybės institucijų, įstaigų, kitų organizacijų, įmonių ir kitų juridinių asmenų, Europos Sąjungos institucijų, įstaigų, valstybių narių ir trečiųjų valstybių institucijų, įstaigų, kitų organizacijų, įmonių ir kitų  juridinių asmenų, tarptautinių organizacijų asmens duomenų,  perduotų Agentūrai, asmens duomenų tvarkytojas.

Punkto pakeitimai:

Nr. AV-306, 2022-12-28, paskelbta TAR 2022-12-28, i. k. 2022-27112

5. Už asmens duomenų apsaugos reikalavimų įgyvendinimo ir laikymosi stebėseną ir priežiūrą Agentūroje atsakingas duomenų apsaugos pareigūnas, skiriamas Agentūros direktoriaus įsakymu. Duomenų apsaugos pareigūno el. p. duomenuapsauga@gamta.lt. Duomenų apsaugos pareigūno duomenys ir informacija apie duomenų subjektų asmens duomenų tvarkymą skelbiama Agentūros interneto svetainės https://aaa.lrv.lt skyriaus „Teisinė informacija“ skiltyje „Asmens duomenų apsauga“. Agentūra apie duomenų apsaugos pareigūno paskyrimą praneša Valstybinei duomenų apsaugos inspekcijai.

Punkto pakeitimai:

Nr. AV-306, 2022-12-28, paskelbta TAR 2022-12-28, i. k. 2022-27112

6. Taisyklėse vartojamos sąvokos atitinka Bendrajame duomenų apsaugos reglamente, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose Lietuvos Respublikos teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą ir apsaugą, vartojamas sąvokas.

7. Asmens duomenų tvarkymo Agentūroje tikslas – tvarkyti asmens duomenis pagal Agentūrai nustatytus įgaliojimus atlikti viešąjį administravimą Lietuvos Respublikos įstatymuose, Lietuvos Respublikos Vyriausybės nutarimuose, Lietuvos Respublikos aplinkos ministro įsakymuose, kituose teisės aktuose, Agentūros nuostatuose, patvirtintuose Lietuvos Respublikos aplinkos ministro 2004 m. liepos 14 d. įsakymu Nr. D1-385 „Dėl Aplinkos apsaugos agentūros nuostatų patvirtinimo“.

8. Asmens duomenų tvarkymo Agentūroje teisinis pagrindas Bendrojo duomenų apsaugos reglamento 6 straipsnio 1 dalies a), b), c) ir e) punktai. Duomenų subjekto sutikimo sąlygos nurodytos  Bendrojo duomenų apsaugos reglamento 7 straipsnyje.

9. Asmens duomenų tvarkymo Agentūroje tikslai ir tvarkomi asmens duomenys:

10. Visi darbuotojai yra informuojami apie jų asmens duomenų tvarkymą vidaus administravimo, socialinio draudimo mokesčio ir kitų mokesčių administravimo tikslais, taip pat  apie vietos nustatymo įrenginio renkamų asmens duomenų tvarkymą, apie asmens duomenų tvarkytojo pasikeitimus. Informavimo apie jų asmens duomenų tvarkymą formos yra pateikiamos taisyklių 3, 4 prieduose.

11. Asmens duomenys gali būti atskleisti ar kitaip perduoti tik įstatymų ir kitų teisės aktų nustatytais atvejais ir tvarka:

12. Agentūroje tvarkomi asmens duomenys laikantis Bendrajame duomenų apsaugos reglamente ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 3 ir 5 straipsniuose nustatytų asmens duomenų tvarkymo reikalavimų. Agentūroje asmens duomenys renkami tik teisės aktų nustatyta tvarka arba sutarčių pagrindais, juos gaunant tiesiogiai iš duomenų subjekto, oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti valstybės ir savivaldybių institucijų, įstaigų, įmonių, organizacijų, kitų trečiųjų asmenų, kurie įstatymų ar kitų teisės aktų įpareigoti tvarkyti asmens duomenis. Agentūroje duomenys tvarkomi automatiniu ir neautomatiniu būdu.

13. Duomenų subjekto asmens duomenys trečiosioms valstybėms ir visuomeninėms organizacijoms neteikiami, išskyrus Europos Sąjungos ir Lietuvos Respublikos teisės aktuose, tarpvalstybiniuose susitarimuose nustatytus atvejus.

14. Agentūroje asmens duomenys yra saugomi ne ilgiau, negu to reikalauja duomenų tvarkymo tikslai. Konkretūs dokumentų, automatinių duomenų rinkmenų ir duomenų bazių, jų kopijų, kuriuose nurodomi asmenys duomenys, saugojimo terminai ir saugojimo vieta nustatyti Agentūros direktoriaus patvirtintame Dokumentacijos plane, registrų, kadastrų ir informacinių sistemų nuostatuose, registrų, kadastrų ir informacinių sistemų saugos nuostatuose.

15. Dokumentai, kuriuose nurodomi asmens duomenys tvarkomi DBSIS.

Punkto pakeitimai:

Nr. AV-306, 2022-12-28, paskelbta TAR 2022-12-28, i. k. 2022-27112

16. Dokumentai, kuriuose nurodomi asmens duomenys ir kurių saugojimo terminas yra pasibaigęs, ir jų kopijos turi būti sunaikinami taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio, išskyrus, kai įstatymų nustatytais atvejais turi būti perduoti Lietuvos valstybės naujajam archyvui. Duomenis saugomus vietinio kompiuterinio tinklo specialiame kataloge ištrina darbuotojai, pasibaigus saugojimo laikotarpiui.

17. Agentūros vietinio tinklo sritys, kuriose yra saugomi asmens duomenys, privalo būti apsaugotos prieigos prie asmens duomenų slaptažodžiais arba turi būti apribotos prieigos teisės prie jų. Prieigos prie duomenų rinkinių, kuriuose yra asmens duomenys, slaptažodžiai suteikiami, keičiami ir saugomi užtikrinant jų konfidencialumą, yra unikalūs, sudaromi nenaudojant asmeninio pobūdžio informacijos, keičiami periodiškai ne rečiau kaip kartą per 12 mėnesių, taip pat susidarius tam tikroms aplinkybėms (pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims, ir pan.) ir pirmojo prisijungimo metu naudotojo privalomai keičiami. Agentūros darbuotojas, dirbantis konkrečiu kompiuteriu ir (ar) turintis prieigos teisę prie asmens duomenų, turi naudotis prieigos prie asmens duomenų slaptažodžiais asmeniškai ir neatskleisti jų tretiesiems asmenims.

18. Agentūros interneto svetainėje turi būti maksimaliai apribotos galimybės viešai veikiančioms interneto paieškos sistemoms bei paieškos variklių robotams kopijuoti Agentūros svetainėje esančią informaciją ir būtų maksimaliai apribota galimybė šioms sistemoms ir robotams surasti anksčiau skelbtos, bet iš Agentūros interneto svetainės jau pašalintos, informacijos kopijų. Kompiuterinė įranga turi būti apsaugota nuo kenksmingos programinės įrangos (antivirusinių programų įdiegimas, atnaujinimas ir pan.).

19. Asmens duomenų tvarkymo keliamos rizikos vertinimo atlikimo tvarką ir saugumo pažeidimų valdymą, reagavimo į šiuos pažeidimus veiksmus nustato Bendrasis duomenų apsaugos reglamentas, kiti asmens duomenų saugos politiką įgyvendinantys teisės aktai.

20. Agentūros darbuotojai, dirbantys ir/ar turintys prieigos teisę prie asmens duomenų, privalo  pasirašyti pasižadėjimą saugoti duomenų paslaptį, pagal taisyklių 6 priede nustatytą formą ir jį per dvi darbo dienas pateikti duomenų apsaugos pareigūnui į rankas.

21.  Siekiant užtikrinti asmens duomenų tvarkymo teisėtumą asmens duomenys turėtų būti tvarkomi gavus atitinkamo duomenų subjekto sutikimą.

22. Sutikimas nereikalingas jei asmens duomenis galima tvarkyti remiantis kitu teisėtu teisiniu pagrindu, nustatytu Bendrajame duomenų apsaugos reglamente, arba kitame Sąjungos teisės akte ar valstybės narės teisėje, įskaitant būtinybę, kad duomenų valdytojas vykdytų jam tenkančią teisinę prievolę, arba būtinybę vykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis priemonių duomenų subjekto prašymu prieš sudarant sutartį.

23.  Duomenų subjekto sutikimas yra užpildomas ir teikiamas Agentūrai pagal taisyklių 1 priede  nustatytą formą.

24.  Duomenų subjekto sutikimai gali būti renkami šiais būdais: raštu, įskaitant gautus elektroninėmis priemonėmis, žodžiu ar veiksmais, jeigu yra galimybė įrodyti, kad toks sutikimas buvo duotas, ir jeigu duomenų subjektas savo veiksmais aiškiai sutinka su siūlomu jo asmens duomenų tvarkymu. Duomenų subjekto tylėjimas, iš anksto pažymėti laukai arba neveikimas nelaikomi duomenų subjekto sutikimu.

25.  Kai asmens duomenys yra tvarkomi sutikimo pagrindu, tvarkomi tik tie asmens duomenys, kurie nurodyti sutikime, tik tais tikslais, kurie nurodyti sutikime, ir su jais atliekamos tik tos tvarkymo operacijos (veiksmai), kurios nurodytos sutikime. Jeigu keičiasi tvarkomų duomenų kiekis, tvarkymo tikslas ar tvarkymo operacijos (veiksmai), privaloma gauti papildomą sutikimą tokiam duomenų tvarkymui arba turi egzistuoti kitas teisėtas teisinis pagrindas.

26.  Sutikimas gali būti asmens duomenų tvarkymo pagrindas, jei atitinka šiuos reikalavimus:

27.  Sutikimas turi būti gaunamas prieš atliekant duomenų tvarkymo operacijas (veiksmus), dėl kurių renkamas sutikimas.

28.  Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Duomenų subjektui atšaukus sutikimą, draudžiama tvarkyti asmens duomenis tais tikslais ir atlikti duomenų tvarkymo operacijas (veiksmus), kurios buvo atliekamos tokio sutikimo pagrindu, išskyrus atvejus, kai tokiam duomenų tvarkymui egzistuoja kitas Bendrajame duomenų apsaugos reglamente ar Asmens duomenų teisinės apsaugos įstatyme įtvirtintas asmens duomenų tvarkymo teisinis pagrindas. Duomenų subjektas apie šiame punkte išdėstytas nuostatas privalo būti informuojamas prieš jam duodant sutikimą.

29.  Sutikimas galioja iki jo atšaukimo momento arba iki sutikime nurodyto jo galiojimo termino pabaigos.

30.  Sutikimas ir jame nurodyti asmens duomenys yra saugomi vienerius metus (pasibaigus asmens duomenų, dėl kurių tvarkymo buvo duotas sutikimas, saugojimo laikotarpiui)  nuo sutikimo atšaukimo arba jo galiojimo termino pabaigos, arba nuo Agentūros sprendimo nebetvarkyti asmens duomenų sutikime nustatytais tikslais priėmimo dienos, išskyrus atvejus, kai teisės aktai numato kitokį duomenų saugojimo terminą. Jei sutikimo duomenys naudojami kaip įrodymai ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje arba kitais įstatymų nustatytais atvejais, asmens duomenys gali būti saugomi tiek, kiek reikia šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.

31. Duomenų subjektas dėl Agentūroje tvarkomų asmens duomenų turi teises, numatytas Bendrojo duomenų apsaugos reglamento III skyriuje:

PIRMASIS SKIRSNIS

TEISĖ GAUTI INFORMACIJĄ APIE DUOMENŲ TVARKYMĄ

ANTRASIS SKIRSNIS

TEISĖ SUSIPAŽINTI SU DUOMENIMIS

TREČIASIS SKIRSNIS

TEISĖ REIKALAUTI IŠTAISYTI DUOMENIS

KETVIRTASIS SKIRSNIS

TEISĖ REIKALAUTI IŠTRINTI DUOMENIS („TEISĖ BŪTI PAMIRŠTAM“)

PENKTASIS SKIRSNIS

TEISĖ APRIBOTI DUOMENŲ TVARKYMĄ

ŠEŠTASIS SKIRSNIS

TEISĖ Į DUOMENŲ PERKELIAMUMĄ

SEPTINTASIS SKIRSNIS

TEISĖ NESUTIKTI SU DUOMENŲ TVARKYMU

AŠTUNTASIS SKIRSNIS

TEISĖ REIKALAUTI, KAD NEBŪTŲ TAIKOMAS TIK AUTOMATIZUOTU DUOMENŲ TVARKYMU, ĮSKAITANT PROFILIAVIMĄ, GRINDŽIAMAS SPRENDIMAS

56. Kreiptis dėl duomenų subjekto teisių įgyvendinimo duomenų subjektas turi teisę žodžiu arba raštu, pateikiant prašymą asmeniškai, paštu ar elektroninėmis priemonėmis duomenų apsaugos pareigūnui elektroniniu paštu duomenuapsauga@gamta.lt .

Punkto pakeitimai:

Nr. AV-306, 2022-12-28, paskelbta TAR 2022-12-28, i. k. 2022-27112

57.     Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi žodžiu ar prašymas pateiktas raštu asmeniškai, duomenų subjektas turi patvirtinti savo tapatybę pateikdamas asmens tapatybę patvirtinantį dokumentą. To nepadarius, duomenų subjekto teisės nėra įgyvendinamos. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Bendrojo duomenų apsaugos reglamento 13 ir 14 straipsnius.

58.     Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi raštu, pateikiant prašymą paštu, tuomet kartu su prašymu turi būti pateikta  notaro ar kita teisės aktų nustatyta tvarka. Teikiant prašymą elektroninėmis priemonėmis, prašymas turi būti pasirašytas kvalifikuotu elektroniniu parašu arba jis turi būti suformuotas elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Bendrojo duomenų apsaugos reglamento 13 ir 14 straipsnius.

59.     Prašymas įgyvendinti duomenų subjekto teises turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyti duomenų subjekto vardas, pavardė, adresas ir (ar) kiti kontaktiniai duomenys ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo, prašomų pateikti asmens duomenų apimtis.

60.     Savo teises duomenų subjektas gali įgyvendinti pats arba per atstovą.

61.     Asmens atstovas prašyme turi nurodyti savo vardą, pavardę, adresą ir (ar) kitus kontaktinius duomenis ryšiui palaikyti, kuriais asmens atstovas pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę bei pateikti atstovavimą patvirtinantį dokumentą ar jo kopiją.

62.     Esant abejonių dėl duomenų subjekto tapatybės, duomenų valdytojas ar duomenų tvarkytojas prašo papildomos informacijos, reikalingos ja įsitikinti.

63.     Kreipiantis raštu dėl duomenų subjekto teisių įgyvendinimo, rekomenduojama pateikti taisyklių 5 priede nustatytos formos prašymą.

64. Jeigu kreipiamasi dėl netikslių duomenų ištaisymo, pateikiamos tikslius duomenis patvirtinančių dokumentų kopijas; jeigu jos siunčiamos paštu, tuomet turi būti patvirtintos notaro ar kita teisės aktų nustatyta tvarka.

65. Jeigu duomenų subjekto asmens duomenys, tokie kaip vardas, pavardė, yra pasikeitę, kartu pateikiamos dokumentų, patvirtinančių šių duomenų pasikeitimą, kopijos; jeigu jos siunčiamos paštu, tuomet turi būti patvirtintos notaro ar kita teisės aktų nustatyta tvarka.

66. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis į duomenų apsaugos pareigūną A. Juozapavičiaus g. 9, 09311 Vilnius, el. p. duomenuapsauga@gamta.lt . Siekiant užtikrinti Bendrojo duomenų apsaugos reglamento 38 straipsnio 5 dalyje įtvirtintą konfidencialumą, kreipiantis į duomenų apsaugos pareigūną paštu, ant voko užrašoma, kad korespondencija skirta duomenų apsaugos pareigūnui.

Punkto pakeitimai:

Nr. AV-306, 2022-12-28, paskelbta TAR 2022-12-28, i. k. 2022-27112

67.     Gavus duomenų subjekto prašymą, ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, jam pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Jeigu bus vėluojama pateikti informaciją, per nurodytą terminą duomenų subjektas informuojamas apie tai, nurodant vėlavimo priežastis ir apie galimybę pateikti skundą Valstybinei duomenų apsaugos inspekcijai.

68.     Jeigu prašymas pateiktas nesilaikant taisyklių VI skyriuje nustatytos tvarkos ir reikalavimų, jis nenagrinėjamas, ir nedelsiant, bet ne vėliau kaip per 5 (penkias) darbo dienas duomenų subjektas apie tai informuojamas nurodant priežastis.

69.     Jeigu prašymo nagrinėjimo metu nustatoma, jog duomenų subjekto teisės yra apribotos Bendrojo duomenų apsaugos reglamento 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.

70.     Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba. Kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis ir išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip, informacija pateikiama įprastai naudojama elektronine forma.

71.       Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama neatlygintinai kartą per kalendorinius metus. Jei duomenų subjektas kreipiasi į Agentūrą su prašymu gauti nurodytą informaciją daugiau negu vieną kartą per metus, Agentūra, teikdama duomenų subjektui nurodytą informaciją, vadovaujasi Bendrojo duomenų apsaugos reglamento 12 straipsnio 5 dalimi, 15 straipsnio 3 dalimi. Kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis ir išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip, informacija pateikiama įprastai naudojama elektronine forma.

72. Agentūros veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Bendrojo duomenų apsaugos reglamento 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai, L. Sapiegos g., 10312 Vilnius, el. paštas ada@ada.lt, interneto svetainė https://vdai.lrs.lt/, taip pat Regionų administracinio teismo Vilniaus rūmams Žygimantų g. 2, 01102, Vilnius.

Punkto pakeitimai:

Nr. AV-79, 2024-04-26, paskelbta TAR 2024-04-29, i. k. 2024-07816

73.     Dėl duomenų subjekto teisių pažeidimo patyrus materialinę ar nematerialinę žalą, duomenų subjektas turi teisę į kompensaciją, dėl kurios priteisimo turi teisę kreiptis į Regionų administracinio teismo Vilniaus rūmus Žygimantų g. 2, 01102, Vilnius.

Punkto pakeitimai:

Nr. AV-79, 2024-04-26, paskelbta TAR 2024-04-29, i. k. 2024-07816

74. Atsižvelgdama į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, Agentūra, duomenų valdytoja ir/ar duomenų tvarkytoja, įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas įgyvendindama Bendrojo duomenų apsaugos reglamento 32 straipsnyje nustatytus reikalavimus.

75. Asmens duomenų saugumo pažeidimo atveju Agentūra, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo tada, kai sužino apie asmens duomenų saugumo pažeidimą, apie tai praneša Valstybinei duomenų apsaugos inspekcijai, nebent asmens duomenų saugumo pažeidimas nekelia pavojaus duomenų subjekto teisėms ir laisvėms. Duomenų apsaugos pareigūnas, gavęs informaciją apie asmens duomenų saugumo pažeidimą, per 72 valandas nuo tada, kai sužinojo apie asmens duomenų saugumo pažeidimą, užpildo pranešimą pagal taisyklių 7 priede nustatytą formą.

76. Pranešime duomenų apsaugos pareigūnas aprašo asmens duomenų saugumo pažeidimo pobūdį, galimas pasekmes, priemones, kurių ėmėsi, kad būtų pašalintas asmens duomenų saugumo pažeidimas, ir nurodo savo kontaktus.

76¹. Kai Agentūros darbuotojas (-ai) gauna informaciją, kad padarė asmens duomenų saugumo pažeidimą, nedelsiant apie tai informuoja duomenų apsaugos pareigūną. Duomenų apsaugos pareigūnas atlieka pirminį tyrimą ir praėjus  ne daugiau kaip 72 valandoms nuo tada, kai sužino apie asmens duomenų saugumo pažeidimą, apie tai praneša Valstybinei duomenų apsaugos inspekcijai, nebent asmens duomenų saugumo pažeidimas nekelia pavojaus duomenų subjekto teisėms ir laisvėms. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, duomenų apsaugos pareigūnas nepagrįstai nedelsdamas praneša dėl asmens duomenų saugumo pažeidimo duomenų subjektui. Pranešime duomenų subjektui aiškia ir paprasta kalba aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama bent Bendrojo duomenų apsaugos reglamento 33 straipsnio 3 dalies b, c ir d punktuose nurodyta informacija ir priemonės, t. y. duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardą bei pavardę (pavadinimas) ir kontaktinius duomenis; aprašyti tikėtinas asmens duomenų saugumo pažeidimo pasekmes, aprašyti priemones, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimo, įskaitant, kai tinkama, priemones galimoms neigiamoms jo pasekmėms sumažinti.

Papildyta punktu:

Nr. AV-79, 2024-04-26, paskelbta TAR 2024-04-29, i. k. 2024-07816

76². Agentūros darbuotojas (-ai) konsultuojasi su duomenų apsaugos pareigūnu, kitais Agentūros administracijos padaliniais kokias priemones taikyti asmens duomenų pažeidimui pašalinti. Pašalinęs (-ę) asmens duomenų saugumo pažeidimą,  apie tai informuoja duomenų apsaugos pareigūną. Agentūros darbuotojas (-ai),  kai dėl asmens duomenų saugumo pažeidimo negali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms  parengia rašytinį pranešimą i kuriuo informuojamas duomenų subjektas apie įvykusį  asmens duomenų saugumo pažeidimą, apie galimas jo pasekmes, ar priemones, kurių ėmėsi, kad būtų sumažinto asmens duomenų saugos pažeidimo pasekmės, duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos apie įvykusį asmens duomenų saugos pažeidimą, vardas, pavardė (pavadinimas) kaip to reikalaujama Bendrojo duomenų apsaugos reglamento  33 straipsnio 3 dalies b, c ir d punktuose. Šis rašytinis pranešimas derinamas su duomenų apsaugos pareigūnu per  Dokumentų valdymo bendrąją informacinę sistemą (DBSIS).

Papildyta punktu:

Nr. AV-79, 2024-04-26, paskelbta TAR 2024-04-29, i. k. 2024-07816

76³. Atliekant pavojaus duomenų subjektų teisėms ir laisvėms vertinimą, pavojus turi būti vertinamas ne tik dėl to ne tiems asmenims raštų, laiškų išsiuntimo, bet ir  pačio rašto, laiško turinio bei jame pateiktos informacijos atskleidimo atitinkamo asmens atžvilgiu. Turi būti vertinama informacija iš esmės, t. y. tiek dėl rašte nurodytų asmens duomenų atskleidimo, tiek ir dėl laiško turinyje pateikiamos informacijos.

Papildyta punktu:

Nr. AV-79, 2024-04-26, paskelbta TAR 2024-04-29, i. k. 2024-07816

77. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų subjekto teisėms ir laisvėms, Agentūra savo interneto svetainėje https://aaa.lrv.lt  paskelbia pranešimą, kuriame duomenų subjektus informuoja apie asmens duomenų saugumo pažeidimą, nurodo pažeidimo pobūdį, galimas pasekmes, aprašo priemones, kurių ėmėsi, kad būtų pašalintas asmens duomenų saugumo pažeidimas.

Punkto pakeitimai:

Nr. AV-306, 2022-12-28, paskelbta TAR 2022-12-28, i. k. 2022-27112

78. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, duomenų valdytojas ar duomenų apsaugos pareigūnas nedelsdamas praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui įgyvendindamas Bendrojo duomenų apsaugos reglamento 34 straipsnio 2 ir 3 dalyse nustatytus reikalavimus.

79. Asmens duomenų tvarkymą ir apsaugą pagal kompetenciją užtikrina kiekvienas Agentūros darbuotojas.

80. Duomenų tvarkymo veiklos įrašai Agentūroje tvarkomi pagal Asmens duomenų tvarkymo veiklos įrašų tvarkymo  reikalavimų aprašą, patvirtintą Agentūros direktoriaus 2018 m. rugsėjo 28 d. įsakymu Nr. AV-254 „Dėl Asmens duomenų tvarkymo veiklos įrašų tvarkymo  reikalavimų aprašo patvirtinimo“.

81. Agentūros darbuotojai, siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, turi saugoti dokumentus ir duomenų rinkmenas tinkamai ir saugiai, vengti nereikalingų kopijų darymo. Praradus asmens duomenis turi nedelsiant informuoti duomenų apsaugos pareigūną ir registro, kadastro ar informacinės sistemos saugos įgaliotinį. Agentūros darbuotojai privalo operatyviai teikti duomenų apsaugos pareigūnui visą jo paprašytą su asmens duomenų saugumo pažeidimu susijusią informaciją ir dokumentus.

82.     Agentūros direktoriui nusprendus, prieš pradedant įgyvendinti duomenų tvarkymo operacijas (veiksmus), atliekamas poveikio duomenų apsaugai vertinimas. Atlikus poveikio duomenų apsaugai vertinimą, asmuo ar asmenys, atlikę poveikio duomenų apsaugai vertinimą, užpildo poveikio duomenų apsaugai vertinimo ataskaitą, kurios forma nustatyta taisyklių 8 priede. Panašių didelius pavojus keliančių duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną poveikio duomenų apsaugai vertinimą.

83. Agentūros darbuotojas, tvarkantis duomenų subjektų asmens duomenis, privalo:

84. Visi Agentūros darbuotojai privalo bendradarbiauti su duomenų apsaugos pareigūnu, skubiai teikti visus jo paprašytus dokumentus ir informaciją, derinti raštų, teisės aktų projektus ir t.t. Darbuotojai privalo palaikyti nuolatinį kontaktą su duomenų apsaugos pareigūnu, t. y. užtikrinti, kad su juo duomenų apsaugos pareigūnui būtų lengva susisiekti, operatyviai reaguoti į duomenų apsaugos pareigūno paklausimus, dalyvauti duomenų apsaugos pareigūno organizuojamuose mokymuose.

85. Agentūros darbuotojas netenka teisės tvarkyti duomenų subjektų asmens duomenų, pasibaigus atitinkamai valstybės tarnybos ar darbo santykiams su Agentūra, arba kai jam pavedama vykdyti su asmens duomenų tvarkymu nesusijusias funkcijas.

86. Jeigu negalima pateikti tretiesiems asmenims asmens duomenų, Agentūra turi teisę teikti tretiesiems asmenims anoniminius (nuasmenintus) duomenis, kai pašalinami visi padedantys nustatyti asmens tapatybę elementai iš asmens duomenų rinkinio.

87. Taisyklės yra skelbiamos Agentūros interneto svetainėje https://aaa.lrv.lt .

Punkto pakeitimai:

Nr. AV-306, 2022-12-28, paskelbta TAR 2022-12-28, i. k. 2022-27112

88. Agentūros darbuotojai su taisyklėmis supažindinami per DBSIS arba pasirašytinai.

Punkto pakeitimai:

Nr. AV-306, 2022-12-28, paskelbta TAR 2022-12-28, i. k. 2022-27112

89. Už šių taisyklių nuostatų laikymosi priežiūrą ir jose reglamentuotų nuostatų vykdymo kontrolę ir taisyklių peržiūrėjimą yra atsakingas Agentūros direktoriaus paskirtas darbuotojas, kuris, įvertinęs taisyklių taikymo praktiką, esant poreikiui, inicijuoja šių Taisyklių pakeitimus.

90. Už šių taisyklių nuostatų pažeidimus įstatymų nustatyta tvarka taikoma tarnybinė atsakomybė, drausminė atsakomybė.

1.   Prašau įgyvendinti šią (šias) duomenų subjekto teisę (-es):

(Tinkamą langelį pažymėkite kryželiu):

   Teisę gauti informaciją apie duomenų tvarkymą

   Teisę susipažinti su duomenimis

   Teisę reikalauti ištaisyti duomenis

   Teisę reikalauti ištrinti duomenis („teisė būti pamirštam“)

   Teisę apriboti duomenų tvarkymą

   Teisę į duomenų perkeliamumą

   Teisę nesutikti su duomenų tvarkymu

   Teisę reikalauti, kad nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas

2.  Nurodykite, ko konkrečiai prašote ir pateikite kiek įmanoma daugiau informacijos, kuri leistų tinkamai įgyvendinti Jūsų teisę (-es) (pavyzdžiui, jeigu norite gauti asmens duomenų kopiją, nurodykite, kokių konkrečiai duomenų (pavyzdžiui, 2018 m. x mėn. x d. elektroninio pašto laiško kopiją, 2018 m. x mėn. x d. vaizdo įrašą (x val. x min. – x val. x min.) kopiją pageidaujate gauti; jeigu norite ištaisyti duomenis, nurodykite, kokie konkrečiai Jūsų asmens duomenys yra netikslūs; jeigu nesutinkate, kad būtų tvarkomi Jūsų asmens duomenys, tuomet nurodykite argumentus, kuriais grindžiate savo nesutikimą, nurodykite dėl kokio konkrečiai duomenų tvarkymo nesutinkate; jeigu kreipiatės dėl teisės į duomenų perkeliamumą įgyvendinimo, prašome nurodyti, kokių duomenų atžvilgiu šią teisę pageidaujate įgyvendinti, ar pageidaujate juos perkelti į savo įrenginį ar kitam duomenų valdytojui, jeigu pastarajam, tuomet  nurodykite kokiam):

_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

PRIDEDAMA^[3]:

1.   _________________________________________________________________________.

2.   _________________________________________________________________________.

3.   _________________________________________________________________________.

4.   _________________________________________________________________________.

_______________                          _____________________________

(Parašas)                                                    (Vardas, pavardė)

1. Priežastys, dėl kurių būtina atlikti poveikio duomenų apsaugai vertinimą

2. Asmens duomenų tvarkymo aprašymas

3. Būtinumo ir proporcingumo įvertinimas

4. Kriterijų, rodančių galimą didelį pavojų duomenų subjektų teisės ir laisvėms, vertinimas:

5. Pavojų nustatymas ir įvertinimas

6. Duomenų tvarkymo operacijos atitikties Reglamento ir kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą, vertinimas:

7. Pavojams, grėsmėms duomenų subjektų teisėms ir laisvėms (V dalis) bei galimam neatitikimui Reglamentui ir kitiems teisės aktams, reglamentuojantiems asmens duomenų apsaugą (VI dalis), pašalinti numatytos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir pagrindžiama, kad bus laikomasi Reglamento ir kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą:

8. Išvados ir sprendimai

9. Duomenų subjektų ar jų atstovų nuomonė apie numatomą duomenų tvarkymą, jeigu tokia nuomonė yra gauta, argumentai ir motyvai, jeigu nusprendžiama neatsižvelgti į duomenų subjektų ar jų atstovų nuomonę, arba priežastys, dėl kurių nesiekiama išsiaiškinti duomenų subjektų ar jų atstovų nuomonės:

10. Duomenų apsaugos pareigūno nuomonė ir konsultacijos dėl poveikio duomenų apsaugai vertinimo:

Duomenų apsaugos pareigūno nuomonė turi būti pateikta dėl asmens duomenų tvarkymo teisėtumo, planuojamų priemonių pavojams mažinti ar pašalinti bei dėl galimybės toliau tvarkyti asmens duomenis.

11. Nurodoma, ar atsižvelgta į duomenų apsaugos pareigūno nuomonę

12. Pasitelktų konsultantų, specialistų, ekspertų nuomonė ir išvados (jeigu konsultantai, specialistai, ekspertai buvo pasitelkti):

13. Poveikio duomenų apsaugai vertinimo išvados (ar duomenų tvarkymo operacijos kelia riziką dėl didelio pavojaus duomenų subjektų teisėms ir laisvėms ar neatitikties Reglamento ar kitų teisės aktų nuostatoms, ar numatytos priemonės (VII dalis) sumažina riziką iki priimtino lygio, ar yra pagrindas konsultuotis su Valstybine duomenų apsaugos inspekcija):

14. Poveikio duomenų apsaugai vertinimą atlikę asmenys, jų parašai:

_________________________________________                                                                              

 (vardas, pavardė, pareigos)                                                                                                             (parašas)

_________________________________________                                                                              

 (vardas, pavardė, pareigos)                                                                                                             (parašas)

15. Už šio poveikio duomenų apsaugai vertinimo priežiūrą paskirtas atsakingas asmuo

Pastaba. Duomenų apsaugos pareigūnas turi prižiūrėti asmens duomenų tvarkymo atitiktį Poveikio duomenų apsaugai vertinime nurodytoms išvadoms ir sprendimams.