Suvestinė redakcija nuo 2018-01-01 iki 2018-10-16

 

Įsakymas paskelbtas: TAR 2015-12-03, i. k. 2015-19232

 

 

 

HERBAS2

 

lietuvos respublikos krašto apsaugos

ministras

 

ĮSAKYMAS

DĖL ASMENS DUOMENŲ TVARKYMO KRAŠTO APSAUGOS SISTEMOJE TAISYKLIŲ PATVIRTINIMO

 

2015 m. gruodžio 3 d. Nr. V-1253

Vilnius

 

 

Vadovaudamasis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 30 straipsnio 1 dalimi, Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“, ir Lietuvos Respublikos krašto apsaugos sistemos organizavimo ir karo tarnybos įstatymo 10 straipsnio 2 dalies 4 punktu ir 3 dalimi:

1.   Tvirtinu Asmens duomenų tvarkymo krašto apsaugos sistemoje taisykles (pridedama).

2.   Pripažįstu netekusiu galios Lietuvos Respublikos krašto apsaugos ministro 2010 m. rugsėjo 23 d. įsakymą Nr. V-1006 „Dėl Asmens duomenų tvarkymo krašto apsaugos sistemoje taisyklių patvirtinimo“ su visais pakeitimais ir papildymais.

 

 

 

Krašto apsaugos ministras                                                                                             Juozas Olekas 

 

 

 

SUDERINTA

Valstybinės duomenų apsaugos inspekcijos

2015-10-23 raštu Nr. 2R-6188 (3.32.E)

 


 

PATVIRTINTA

Lietuvos Respublikos krašto

apsaugos ministro

2015 m. gruodžio 3 d.

įsakymu Nr. V-1253

 

 

ASMENS DUOMENŲ TVARKYMO KRAŠTO APSAUGOS SISTEMOJE TAISYKLĖS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.    Asmens duomenų tvarkymo krašto apsaugos sistemoje taisyklės (toliau – Taisyklės) reglamentuoja asmens duomenų tvarkymo ir apsaugos krašto apsaugos sistemoje (toliau – KAS) reikalavimus.

2.    KAS asmens duomenys tvarkomi vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau – ADTAĮ), Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“ (toliau – Bendrieji reikalavimai).

3.   Taisyklių privalo laikytis kariai, valstybės tarnautojai, žvalgybos pareigūnai ir darbuotojai, dirbantys pagal darbo sutartį, kurie yra įgalioti tvarkyti asmens duomenis (toliau – įgaliotieji asmenys).

4.   Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos ADTAĮ.

 

II SKYRIUS

ASMENS DUOMENŲ VALDYTOJO, TVARKYTOJŲ IR ASMENŲ, ĮGALIOTŲ TVARKYTI ASMENS DUOMENIS, PAREIGOS

 

5.   KAS tvarkomų asmens duomenų valdytoja yra Lietuvos Respublikos krašto apsaugos ministerija (toliau – duomenų valdytojas), juridinio asmens kodas 188602751, buveinės adresas 01121 Vilnius, Totorių g. 25, kuri:

5.1.    nustato asmens duomenų tvarkymo tikslus ir priemones;

5.2.    užtikrina, kad asmens duomenys būtų tvarkomi laikantis ADTAĮ 3 straipsnyje numatytų asmens duomenų tvarkymo reikalavimų;

5.3.    užtikrina ADTAĮ 30 straipsnyje nustatytų techninių ir organizacinių priemonių įgyvendinimą KAS;

5.4.    užtikrina ADTAĮ numatytų duomenų subjekto teisių įgyvendinimą ir vykdo kitas ADTAĮ, Bendruosiuose reikalavimuose ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytas asmens duomenų valdytojo pareigas;

5.5.    rengia asmens duomenų apsaugos ir tvarkymo reikalavimus reglamentuojančius teisės aktus;

5.6.    ne rečiau kaip kartą per 2 metus peržiūri Taisyklėse nustatytus reikalavimus ir, jei reikia, inicijuoja Taisyklių pakeitimus;

5.7.    ne rečiau kaip kartą per 1 metus atlieka asmens duomenų tvarkymo rizikos vertinimą KAS, parengia ataskaitą ir prireikus imasi priemonių rizikai pašalinti arba sumažinti;

5.8.    kontroliuoja, kad KAS asmens duomenų tvarkytojai vykdytų Taisyklių 6 punkte nustatytas pareigas;

5.9.    organizuoja mokymus ir teikia konsultacijas KAS asmens duomenų tvarkytojams duomenų tvarkymo ir apsaugos klausimais;

5.10duomenų valdytojo interneto svetainėje skelbia informaciją apie KAS asmens duomenų tvarkytojus, tvarkymo tikslus, apimtį ir kitą papildomą informaciją, susijusią su asmens duomenų tvarkymu.

6.   Asmens duomenų tvarkytojai yra KAS institucijos (toliau – duomenų tvarkytojai), kurios privalo:

6.1.   nustatyti (patikslinti) ir patvirtinti sąrašą pareigų, kurias einantys asmenys yra įgalioti tvarkyti asmens duomenis, ir prie kiekvieno pareigų pavadinimo, remiantis Taisyklių 2 priedu, nurodyti duomenų valdytojo nustatytą asmens duomenų tvarkymo tikslą;

6.2.   kontroliuoti, kaip įgaliotieji asmenys tvarko asmens duomenis;

6.3.   užtikrinti, kad asmens duomenis tvarkytų tik teisės aktų nustatyta tvarka įgaliotieji asmenys (funkcija(-os) turi būtų nurodyta(-os) pareiginiuose nuostatuose (pareigybės aprašyme) arba asmuo įsakymu turi būti paskirtas atlikti nenuolatinio pobūdžio užduotį(-is), kuriai(-as) vykdyti reikia tvarkyti asmens duomenis);

6.4.   užtikrinti, kad įgaliotieji asmenys susipažintų su Taisyklėmis ir pasirašytų Pasižadėjimą (Taisyklių 1 priedas), kuris saugomas asmens byloje visą tarnybos (darbo) laiką ir pasibaigus tarnybos (darbo) santykiams;

6.5.   užtikrinti duomenų subjekto teisių įgyvendinimą ADTAĮ ir kitų teisės aktų nustatyta tvarka;

6.6.   nustačius asmens duomenų tvarkymo pažeidimą, imtis veiksmų teisės aktų nustatyta tvarka drausmės pažeidimui ar tarnybiniam nusižengimui ištirti.

7.    Įgaliotieji asmenys, tvarkydami asmens duomenis, privalo:

7.1.   saugoti asmens duomenų paslaptį visą tarnybos (darbo) laiką ir pasibaigus tarnybos (darbo) santykiams, jei šie asmens duomenys neskirti skelbti viešai;

7.2.   asmens duomenis tvarkyti tiksliai, jei reikia, juos nuolat atnaujinti, ištaisyti ar papildyti netikslius ar neišsamius asmens duomenis ir (ar) sustabdyti tokių asmens duomenų tvarkymą, išskyrus saugojimą;

7.3.   duomenų subjektams informavus apie pasikeitusius Taisyklių 2 priede nurodytus jų asmens duomenis, nedelsiant ištaisyti ar sunaikinti asmens duomenis ir informuoti duomenų subjektą apie jo prašymu atliktus arba neatliktus veiksmus;

7.4.   asmens duomenis tvarkyti tik tokios apimties, kuri būtina jiems tvarkyti ir vykdomai funkcijai atlikti. Tiksli asmens duomenų tvarkymo apimtis priklauso nuo tikslo ir yra apibrėžta Taisyklių 2 priede;

7.5.   asmens duomenis tvarkyti taip, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo tvarkomi, vėliau šie duomenys privalo būti sunaikinti, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti saugomi (KAS sudaromų komisijų ir darbo grupių nariai, kiti asmenys, kurie, vykdydami funkcijas, turi susipažinti su asmens duomenimis, dokumentų kopijas ar išrašus, kuriuose yra nurodomi kokie nors asmens duomenys, turi sunaikinti, kai tik jie nebereikalingi tiems tikslams, dėl kurių buvo tvarkomi);

7.6.   įgyvendinti teisės aktų, reglamentuojančių asmens duomenų apsaugą, nuostatas, numatančias, kaip asmens duomenis apsaugoti nuo neteisėto tvarkymo ar atskleidimo (įsakymus, prašymus, raštus, sutartis ir kitus dokumentus, jų kopijas ar išrašus, kuriuose yra asmens duomenų, taip pat asmens bylas, kompiuterines duomenų laikmenas su asmens duomenimis, tvarkyti administracinėje saugumo klasės zonoje ir KAS duomenų perdavimo tinklo kompiuteriuose);

7.7.   užtikrinti duomenų subjekto teisių įgyvendinimą teisės aktų nustatyta tvarka, kad visa reikalinga informacija duomenų subjektui būtų pateikiama laiku, aiški ir suprantama.

 

III SKYRIUS

duomenų subjekto teisių įgyvendinimas

 

8.    Šios Taisyklės ir kita informacija duomenų subjektams apie asmens duomenų tvarkymą skelbiama duomenų valdytojo interneto svetainėje www.kam.lt, informaciniuose stenduose ir lentelėse, įrengtose KAS duomenų valdytojo ir tvarkytojų patalpose ir teritorijose.

9.    Duomenų valdytojas informaciją duomenų subjektui apie jo asmens duomenų tvarkymą pateikia neatlygintinai, tokiu būdu, kokiu subjektas ar jo atstovas kreipiasi, išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi arba kai įstatymai ir kiti teisės aktai apibrėžia tokių duomenų rinkimo ir teikimo tvarką bei duomenų gavėjus.

10Duomenų subjektai, siekdami įgyvendinti ADTAĮ numatytas teises, duomenų valdytojui turi pateikti rašytinį prašymą asmeniškai, registruotu paštu ar elektroninių ryšių priemonėmis. Prašymas turi būti pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, gyvenamoji vieta, kontaktinė informacija, informacija apie tai, kokią teisę ir kokios apimties duomenų subjektas pageidauja įgyvendinti.

11Duomenų subjektas, pateikdamas prašymą, privalo patvirtinti savo tapatybę:

11.1pateikdamas prašymą asmens duomenis tvarkančiam įgaliotam asmeniui, turi pateikti asmens tapatybę patvirtinantį dokumentą;

11.2pateikdamas prašymą registruotu paštu, kartu turi pateikti asmens tapatybę patvirtinančio dokumento kopiją, patvirtintą notaro, ar šio dokumento kopiją, patvirtintą kita teisės aktų nustatyta tvarka;

11.3pateikdamas prašymą elektroninių ryšių priemonėmis, turi pasirašyti jį elektroniniu parašu.

12Gavęs duomenų subjekto prašymą gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti bent per paskutinius 1 metus, duomenų valdytojas arba atitinkamus asmens duomenis tvarkantis įgaliotasis asmuo ADTAĮ 25 straipsnyje nustatyta tvarka privalo atsakyti, ar su duomenų subjektu susiję asmens duomenys yra tvarkomi, ir pateikti duomenų subjektui prašomą informaciją.

13Duomenų valdytojas arba atitinkamus asmens duomenis tvarkantis įgaliotasis asmuo, gavęs duomenų subjekto prašymą susipažinti su savo vaizdo duomenimis, pateikia duomenų subjektui prašomus vaizdo duomenis susipažinti, o duomenų subjekto rašytiniu prašymu – duomenų laikmeną su įrašytais jo vaizdo duomenimis. Duomenų valdytojas arba atitinkamus asmens duomenis tvarkantis įgaliotasis asmuo, įgyvendindamas šiame punkte numatytą duomenų subjekto teisę, privalo užtikrinti, kad nebus pažeista trečiųjų asmenų teisė į privatumą.

14Gavęs duomenų subjekto kreipimąsi dėl neteisingų, neišsamių ar netikslių jo tvarkomų asmens duomenų, duomenų valdytojas arba šiuos duomenis tvarkantis įgaliotasis asmuo nedelsdamas patikrina tvarkomus asmens duomenis ir duomenų subjekto rašytiniu prašymu ištaiso neteisingus, neišsamius, netikslius asmens duomenis ir (arba) sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.

15Gavęs duomenų subjekto kreipimąsi dėl neteisėtai, nesąžiningai tvarkomų jo asmens duomenų, duomenų valdytojas arba šiuos duomenis tvarkantis įgaliotasis asmuo patikrina tvarkomų asmens duomenų tvarkymo teisėtumą, sąžiningumą ir duomenų subjekto rašytiniu prašymu sunaikina neteisėtai ir nesąžiningai sukauptus asmens duomenis ar ADTAĮ 26 straipsnyje nustatyta tvarka sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.

16Duomenų subjektas turi teisę nesutikti, kad būtų tvarkomi jo asmens duomenys, kai šie duomenys yra tvarkomi ADTAĮ 5 straipsnio 1 dalies 5 ir 6 punktuose nustatytais atvejais. Tokiu atveju duomenų valdytojas nedelsdamas nutraukia asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus, ir apie tai informuoja duomenų gavėjus. Šiame punkte nurodytas duomenų subjekto nesutikimas turi būti:

16.1išreikštas rašytine forma ir pateiktas duomenų valdytojui asmeniškai, paštu ar elektroninių ryšių priemonėmis;

16.2išreikštas prieš atliekant asmens duomenų tvarkymo veiksmus, bet ne vėliau kaip per 30 kalendorinių dienų nuo dienos, kai duomenų valdytojas supažindino duomenų subjektą su jo teise nesutikti, kad būtų tvarkomi jo asmens duomenys;

16.3teisiškai pagrįstas.

17Duomenų valdytojas duomenų subjekto prašymu praneša duomenų subjektui apie jo asmens duomenų tvarkymo veiksmų nutraukimą arba atsisakymą nutraukti duomenų tvarkymo veiksmus, nurodydamas tokio sprendimo priežastį.

18Duomenų subjektas turi teisę ADTAĮ numatytas duomenų subjekto teises įgyvendinti pats arba per įgaliotą atstovą. Jeigu atstovaujamo duomenų subjekto vardu į duomenų valdytoją kreipiasi duomenų subjekto atstovas, jis savo prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, kontaktinius duomenis, atstovaujamo asmens vardą, pavardę, gyvenamąją vietą, informaciją apie tai, kokią duomenų subjekto teisę ir kokios apimties pageidaujama įgyvendinti, ir pridėti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą notaro ar kita teisės aktų nustatyta tvarka. Atstovo pateiktas prašymas turi atitikti Taisyklių 10 ir 11 punktų reikalavimus.

19. Duomenų valdytojas arba jo įgaliotasis asmuo apie Taisyklių 14–16 punktuose nurodytais atvejais atliktą ar neatliktą asmens duomenų ištaisymą, sunaikinimą ar asmens duomenų tvarkymo veiksmų sustabdymą privalo ne vėliau kaip per 5 darbo dienas informuoti duomenų subjektą.

20. Duomenų valdytojas duomenų subjekto prašymo, kuris pateiktas nesilaikant Taisyklių 10 ir 11 punktuose numatytų reikalavimų, nenagrinėja. Apie atsisakymo nagrinėti prašymą motyvus duomenų valdytojas informuoja prašymą pateikusį asmenį.

21. Duomenų subjekto prašymą įgyvendinti jo, kaip duomenų subjekto, teises duomenų valdytojas išnagrinėja ir atsakymą pateikia ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos. Atsakymas duomenų subjektui pateikiamas valstybine kalba duomenų subjekto pasirinktu būdu: paštu, asmeniškai ar elektroninių ryšių priemonėmis.

22. Duomenų valdytojo atsisakymas vykdyti duomenų subjekto prašymą turi būti motyvuotas ir atitikti Taisyklių 21 punkte nurodytus reikalavimus.

23. Duomenų subjektas gali skųsti duomenų valdytojo veiksmus (neveikimą), susijusius su duomenų subjekto teisių įgyvendinimu, Valstybinei asmens duomenų apsaugos inspekcijai ADTAĮ 23 straipsnio nustatytais terminais.

 

IV SKYRIUS

ASMENS DUOMENŲ TVARKYMAS INFORMACINĖSE SISTEMOSE

 

24. Taisyklių 2 priede nurodytų duomenų subjektų, kai jie yra registro, informacinės sistemos, programos ar interneto svetainės objektai, asmens duomenis automatizuotai tvarkyti leidžiama:

24.1.  krašto apsaugos sistemos riboto naudojimo informacinėje sistemoje (RNIS), užtikrinant trečią asmens duomenų saugumo lygį;

24.2.  Lietuvos Respublikos karo prievolininkų registre (KPR), užtikrinant trečią asmens duomenų saugumo lygį;

24.3.  nuotolinio mokymo informacinėje sistemoje (NMIS), užtikrinant antrą asmens duomenų saugumo lygį;

24.4.  KAS institucijų ar jų padalinių buhalterinėse apskaitos programose, užtikrinant pirmą asmens duomenų saugumo lygį;

24.5.  KAS institucijų ar jų padalinių įeigos kontrolės sistemose;

24.6.  KAS institucijų ar jų padalinių vaizdo stebėjimo sistemose;

24.7.  interneto svetainėse www.kam.lt, www.karys.lt, užtikrinant pirmą asmens duomenų saugumo lygį.

Punkto pakeitimai:

Nr. V-1283, 2017-12-28, paskelbta TAR 2017-12-29, i. k. 2017-21700

 

25. Taisyklių 24 punkte nurodytų registrų, informacinių sistemų, programų ir interneto svetainių valdytojai atsako už organizacinių ir techninių asmens duomenų saugumo priemonių nustatymą, atsižvelgiant į Bendrųjų reikalavimų nuostatas, jų valdomų registrų, informacinių sistemų ir programų nuostatuose, duomenų saugos nuostatuose ir (ar) kituose duomenų saugą reglamentuojančiuose dokumentuose ir už šių nuostatų laikymąsi.

Punkto pakeitimai:

Nr. V-996, 2016-10-28, paskelbta TAR 2016-11-02, i. k. 2016-26088

 

V SKYRIUS

VAIZDO STEBĖJIMAS

 

26. Siekiant užtikrinti KAS institucijoms ar jų padaliniams priklausančių patalpų ir teritorijos apsaugą, gali būti stebimas vaizdas. Vaizdą stebėti galima tik tada, kai kiti būdai ar priemonės nėra pakankami ir (arba) tinkami siekiant apsaugoti patalpas ir (arba) teritoriją ir kai duomenų subjekto interesai nėra svarbesni.

27. Vaizdą stebėti ir vaizdo stebėjimo duomenis tvarkyti leidžiama tik atitinkamiems Taisyklių 2 priede nurodytiems asmens duomenų tvarkytojams.

28. Apie tai, kad vaizdas stebimas, duomenų subjektai informuojami informaciniais užrašais, kurie išdėstomi prieš įėjimą į teritoriją ar patalpą. Užrašuose nurodoma, kad teritorija ar patalpa stebima vaizdo stebėjimo priemonėmis, taip pat nurodomas duomenų valdytojo ir duomenų tvarkytojo pavadinimas, juridinio asmens kodas, adresas ir telefono ryšio numeris.

29Stebėti darbo vietos vaizdą leidžiama tik tada, kai būtina užtikrinti įslaptintos informacijos apsaugą ir kiti būdai ar priemonės nėra pakankami ir (arba) tinkami šiam tikslui pasiekti. Asmenys apie jų darbo vietos vaizdo stebėjimą informuojami pasirašytinai. Informavimo forma (Taisyklių 3 priedas) saugoma asmens byloje visą tarnybos (darbo) laikotarpį.

30Vaizdo stebėjimo priemonės įrengiamos taip, kad būtų stebima tik konkreti patalpa, teritorija ar jos prieigos, kurias siekiama apsaugoti.

31Vaizdo stebėjimo duomenys saugomi nuo 30 iki 45 kalendorinių dienų. Pasibaigus šiam terminui, vaizdo stebėjimo duomenys sunaikinami ištrinant vaizdo laikmenas.

32Vaizdo stebėjimo priemonės, jų įrengimo vietos, stebėjimo laukas ir laikas nustatomi, vadovaujantis ADTAĮ ir krašto apsaugos ministro nustatytais karinių teritorijų apsaugos reikalavimais.

 

___________________________

 

 

 

 

 

 

Priedų pakeitimai:

 

Asmens duomenų tvarkymo krašto apsaugos sistemos taisyklių 2 priedo nauja redakcija pagal pakeitimą V-1283

Priedo pakeitimai:

Nr. V-996, 2016-10-28, paskelbta TAR 2016-11-02, i. k. 2016-26088

Nr. V-1283, 2017-12-28, paskelbta TAR 2017-12-29, i. k. 2017-21700

 

 

 

Pakeitimai:

 

1.

Lietuvos Respublikos krašto apsaugos ministerija, Įsakymas

Nr. V-996, 2016-10-28, paskelbta TAR 2016-11-02, i. k. 2016-26088

Dėl krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymo Nr. V-1253 „Dėl Asmens duomenų tvarkymo krašto apsaugos sistemoje taisyklių patvirtinimo“ pakeitimo

 

2.

Lietuvos Respublikos krašto apsaugos ministerija, Įsakymas

Nr. V-1283, 2017-12-28, paskelbta TAR 2017-12-29, i. k. 2017-21700

Dėl krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymo Nr. V-1253 „Dėl Asmens duomenų tvarkymo krašto apsaugos sistemoje taisyklių patvirtinimo“ pakeitimo