Suvestinė redakcija nuo 2023-04-20 iki 2024-12-31

 

Įsakymas paskelbtas: TAR 2015-12-03, i. k. 2015-19232

 

Nauja redakcija nuo 2018-10-17:

Nr. V-977, 2018-10-15, paskelbta TAR 2018-10-16, i. k. 2018-16244

 

LIETUVOS RESPUBLIKOS KRAŠTO APSAUGOS MINISTRAS

 

ĮSAKYMAS

DĖL ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO KRAŠTO APSAUGOS SISTEMOJE TAISYKLIŲ PATVIRTINIMO

 

 

2015 m. gruodžio 3 d. Nr. V-1253

Vilnius

 

 

Vadovaudamasis Lietuvos Respublikos krašto apsaugos sistemos organizavimo ir karo tarnybos įstatymo 10 straipsnio 2 dalies 4 punktu ir 3 dalimi ir siekdamas užtikrinti Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymo ir Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) nuostatų įgyvendinimą,

Preambulės pakeitimai:

Nr. V-871, 2021-11-12, paskelbta TAR 2021-11-12, i. k. 2021-23489

 

tvirtinu Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisykles (pridedama).

 

 

 

Krašto apsaugos ministras                                                                                             Juozas Olekas 

 

 

 

SUDERINTA

Valstybinės duomenų apsaugos inspekcijos

2015-10-23 raštu Nr. 2R-6188 (3.32.E)

 

 

 

PATVIRTINTA

Lietuvos Respublikos krašto apsaugos ministro

2015 m. gruodžio 3 d. įsakymu Nr. V-1253

(Lietuvos Respublikos krašto apsaugos ministro

2021 m. lapkričio 12 d. įsakymo Nr. V-871

redakcija)

 

 

ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO KRAŠTO APSAUGOS SISTEMOJE

TAISYKLĖS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklės (toliau – Taisyklės) reglamentuoja asmens duomenų tvarkymo reikalavimus, duomenų subjektų teisių įgyvendinimo tvarką vadovaujančioje krašto apsaugos sistemos (toliau – KAS) institucijoje – Krašto apsaugos ministerijoje (toliau – KAM) ir pagrindines duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo nuostatas, gaires KAS. Taisyklės netaikomos Antrajam operatyvinių tarnybų departamentui prie KAM.

KAS institucijos ir įstaigos (toliau  kartu – KAS institucijos) yra atsakingos už savo, kaip duomenų valdytojų, tvarkomų asmens duomenų tvarkymo tikslų nustatymą ir duomenų valdytojo atskaitomybei užtikrinti reikalingų dokumentų rengimą. Siekiant vienodos asmens duomenų tvarkymo praktikos KAS, rengiant šiuos dokumentus, KAS institucijoms rekomenduojama atsižvelgti į Taisyklių 1 priedo 2 skyriuje reglamentuojamus asmens duomenų, kurių valdytoja yra KAM, tvarkymo tikslus ir tvarkomus duomenis, nustatant duomenų subjektų teisių įgyvendinimą konkrečioje KAS institucijoje – į Taisyklių IV skyriaus, taip pat kitas Taisyklių nuostatas.

2. Asmens duomenys, įskaitant specialių kategorijų asmens duomenis, KAS tvarkomi ir duomenų subjektų teisės įgyvendinamos vadovaujantis:

2.1. Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymu (toliau – Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymas) (asmens duomenys tvarkomi, esant šio įstatymo 7 straipsnio 1 dalyje, specialių kategorijų asmens duomenys – 8 straipsnyje nurodytam pagrindui),  Lietuvos Respublikos krašto apsaugos sistemos organizavimo ir karo tarnybos įstatymu (51 straipsnis), Lietuvos Respublikos karo prievolės įstatymu (351 straipsnis), Lietuvos Respublikos karo padėties įstatymu, Lietuvos Respublikos tarptautinių operacijų, pratybų ir kitų karinio bendradarbiavimo renginių įstatymu (31 straipsnis), Lietuvos Respublikos karių materialinės atsakomybės įstatymu (11 straipsnis), Lietuvos Respublikos kariuomenės drausmės statutu (21  straipsnis), Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymu (18 straipsnio 11 dalis),  Lietuvos Respublikos mobilizacijos ir priimančios šalies paramos įstatymu (14 straipsnio 9 ir 11 dalys), Lietuvos Respublikos karo policijos įstatymu (Lietuvos kariuomenės Karo policija, vykdydama šiame įstatyme numatytą veiklą, vadovaudamasi 9 straipsniu, renkamus asmens duomenis tvarko nacionalinio saugumo, gynybos, nusikalstamų veikų, administracinių nusižengimų ir kitų teisės pažeidimų prevencijos, tyrimo, atskleidimo tikslais), Lietuvos Respublikos Lietuvos šaulių sąjungos įstatymu (362 straipsnis) ir kitais teisės aktais, kai juose numatyta, kad KAS institucija (-os) tvarko asmens duomenis nacionalinio saugumo ir (ar) gynybos tikslais ar užtikrinant nacionalinį saugumą ir (ar) gynybą arba pagal esmę toks tvarkymas atitinka nacionalinio saugumo ir (ar) gynybos tikslus;

Papunkčio pakeitimai:

Nr. V-385, 2022-05-11, paskelbta TAR 2022-05-11, i. k. 2022-09965

 

2.2. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, kai jie numato, kad asmens duomenys tvarkomi vadovaujantis Reglamentu, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu. Asmens duomenys, vadovaujantis Reglamentu, KAS gali būti tvarkomi tik esant bent vienam iš Reglamento 6 straipsnio 1 dalyje nurodytų pagrindų, specialių kategorijų asmens duomenys (tarp jų ir sveikatos duomenys) – tik esant bent vienam iš Reglamento 9 straipsnyje nurodytų pagrindų (taikomas kartu su atitinkamu Reglamento 6 straipsnio 1 dalyje nurodytu pagrindu).

2.3. Taisyklėmis;

2.4. KAS institucijose, kai jos yra asmens duomenų valdytojos – jų priimtų teisės aktų nustatyta tvarka.

3. Taisyklių privalo laikytis visi KAS institucijų kariai, valstybės tarnautojai, darbuotojai, dirbantys pagal darbo sutartis, asmenys, priimti atlikti praktiką KAS institucijose (toliau visi kartu – darbuotojai), kurie tvarko asmens duomenis arba eidami savo pareigas juos sužino. Taisyklių 1 priede nurodytos KAM valdomų asmens duomenų tvarkytojos KAS institucijos (toliau – Tvarkytojas) turi užtikrinti, kad jų darbuotojai, tvarkantys asmens duomenis, pasirašytų pasižadėjimus pagal Taisyklių 2 priede pateiktą formą ir šie pasižadėjimai būtų saugomi, kaip numatyta Taisyklių 11.1 papunktyje.

4. Asmens duomenys KAS tvarkomi automatinėmis ir neautomatinėmis priemonėmis, automatiniai sprendimai, įskaitant profiliavimą, KAM nepriimami. Kai asmens duomenis tvarko teisės aktais įgalioti duomenų tvarkytojai KAM valdomose informacinėse sistemose ir registruose, duomenų subjekto teisės įgyvendinamos konkrečios informacinės sistemos ar registro nuostatuose nustatyta tvarka, jei ji nenustatyta – Taisyklių nustatyta tvarka.

5. KAS nacionalinio saugumo ir gynybos tikslais tvarkomų asmens duomenų kategorijos, jų tvarkymo tikslai, duomenų subjektai yra nurodyti Taisyklių 1 priedo II skyriaus pirmajame skirsnyje, Taisyklių 2.1 papunktyje nurodytuose įstatymuose, taip pat kituose teisės aktuose (Lietuvos Respublikos Vyriausybės nutarimuose, Lietuvos Respublikos krašto apsaugos ministro įsakymuose ir kt.), reglamentuojančiuose asmens duomenų tvarkymą vadovaujantis Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu.

Vadovaujantis Reglamentu KAM tvarkomų asmens duomenų kategorijos, jų tvarkymo tikslai, duomenų subjektai yra nurodyti Taisyklių 1 priedo II skyriaus antrajame skirsnyje bei teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą vadovaujantis Reglamentu.

6. Taisyklėse vartojamos sąvokos atitinka sąvokas, nustatytas Taisyklių 2 punkte nurodytuose teisės aktuose. Duomenų apsaugos pareigūnas Taisyklėse suprantamas ir kaip asmuo, kuriam pavestos duomenų apsaugos pareigūno funkcijos (tuo atveju, jei KAS institucijos paskirtas duomenų apsaugos pareigūnas dėl svarbių priežasčių negali eiti pareigų ar nėra atskiros pareigūno pareigybės).

 

II SKYRIUS

DUOMENŲ VALDYTOJAS IR TVARKYTOJAI, DUOMENŲ APSAUGOS PAREIGŪNAI

 

PIRMASIS SKIRSNIS

VALDYTOJAS, TVARKYTOJAI IR JŲ PAREIGOS

 

7. Taisyklių 1 priede ir kitais teisės aktų nustatytais atvejais KAM yra asmens duomenų valdytoja (toliau – Valdytojas), juridinio asmens kodas 188602751, buveinės adresas: Totorių g. 25, Vilnius, el. p. kam@kam.lt.

Valdytojas Taisyklių ir kitų teisės aktų nustatyta tvarka įgyvendina duomenų valdytojo teises ir pareigas vadovaudamasis Reglamentu, tvarkydamas asmens duomenis nacionalinio saugumo ir (ar) gynybos tikslais – Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu.

Tvarkytojai Taisyklių ir kitų teisės aktų nustatyta tvarka įgyvendina duomenų tvarkytojo funkcijas, nurodytas Reglamento 28, 33 ir kituose straipsniuose, o tvarkydami asmens duomenis nacionalinio saugumo ir gynybos tikslais – Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 20 straipsnio 3 dalyje ir kituose straipsniuose.

Tvarkytojai, tvarkydami asmens duomenis nacionalinio saugumo ir gynybos tikslais, turi teises ir pareigas, numatytas duomenų tvarkytojui Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatyme, tvarkydami duomenis vadovaujantis Reglamentu, turi jame numatytas teises ir pareigas. Jei kitaip nenustatyta specialiaisiais teisės aktais ar (ir) Valdytojo ir Tvarkytojo sutartimis, Tvarkytojai taip pat  vykdo šias pareigas:

7.1. tvarko asmens duomenis laikydamiesi Valdytojo dokumentais įformintų nurodymų ir teisės aktų, reglamentuojančių asmens duomenų tvarkymą, reikalavimų;

7.2. užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma įstatymuose nustatyta konfidencialumo prievolė;

7.3. atsižvelgdami į asmens duomenų tvarkymo pobūdį, taikydami tinkamas technines ir organizacines priemones, padeda Valdytojui atsakyti į duomenų subjektų prašymus pasinaudoti duomenų subjekto teisėmis;

7.4. nebevykdydami Tvarkytojo funkcijų, atsižvelgdami į Valdytojo nurodymus, sunaikina arba grąžina jam visus asmens duomenis ir sunaikina turimas jų kopijas, išskyrus atvejus, kai pagal Europos Sąjungos ar Lietuvos Respublikos teisės aktus yra nustatyta pareiga juos saugoti;

7.5. pateikia Valdytojui, jo įgaliotiems auditoriams ar asmeniui, atliekančiam asmens duomenų tvarkymo patikrinimus, visą informaciją, susijusią su asmens duomenų tvarkymu, būtiną siekiant įrodyti, kad vykdomos Tvarkytojui nustatytos prievolės;

7.6. laikosi kito duomenų tvarkytojo pasitelkimo sąlygų ir nepasitelkia kito duomenų tvarkytojo be Valdytojo leidimo;

7.7. užtikrina, kad jų darbuotojai laikytųsi Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2019 m. liepos 22 d. įsakymu Nr. V-644 „Dėl Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašo patvirtinimo“ (toliau – Duomenų saugumo pažeidimų valdymo aprašas), nustatytos pranešimo Valdytojui apie asmens duomenų saugumo pažeidimą tvarkos ir terminų:

7.7.1. apie galimai įvykdytą duomenų saugumo pažeidimą nedelsdami, ne vėliau kaip galimo asmens duomenų saugumo pažeidimo paaiškėjimo dieną, praneštų Valdytojui (minėtame apraše Valdytojo nurodytiems asmenims – KAM kancleriui ir KAM duomenų apsaugos pareigūnui);

7.7.2. ne vėliau kaip per 48 valandas nuo galimo asmens duomenų saugumo pažeidimo, jei dėl jo kyla ar galėtų kilti pavojus fizinių asmenų teisėms ir laisvėms, užpildytų ir pateiktų Valdytojui (minėtame apraše Valdytojo nurodytiems asmenims – KAM kancleriui ir KAM duomenų apsaugos pareigūnui) pranešimo apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai projektą. Valstybinei duomenų apsaugos inspekcijai nepranešama, kai įvyksta nacionalinio saugumo ir (ar) gynybos tikslu tvarkomų asmens duomenų saugumo pažeidimas;

7.7.3. kai dėl asmens duomenų saugumo pažeidimo kyla arba gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, nepagrįstai nedelsdami ir, jeigu galima, praėjus ne daugiau kaip 72 valandoms nuo asmens duomenų saugumo pažeidimo paaiškėjimo, apie tai parengtų pranešimą duomenų subjektui ir užtikrintų, kad jam būtų pranešta 7.7 papunktyje nurodyto aprašo nustatyta tvarka, vadovaujantis Reglamentu ar Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu.

 

ANTRASIS SKIRSNIS

KAS DUOMENŲ APSAUGOS PAREIGŪNAI

 

8. KAM duomenų pareigūno kontaktiniai duomenys: Totorių g. 25, Vilnius, el. p. asmens.duomenys@kam.lt. KAM skiria duomenų apsaugos pareigūną (-us), kuris (-ie):

8.1. stebi ir analizuoja, kaip laikomasi asmens duomenų apsaugą reglamentuojančių teisės aktų reikalavimų ir Valdytojo politikos asmens duomenų apsaugos srityje, teikia siūlymus Valdytojui dėl asmens duomenų apsaugos reglamentavimo tobulinimo;

8.2. konsultuoja darbuotojus dėl poveikio asmens duomenų apsaugai vertinimo ir stebi jo atlikimą;

8.3. bendradarbiauja su Valstybine duomenų apsaugos inspekcija;

8.4. atlieka kontaktinio asmens funkcijas Valstybinei duomenų apsaugos inspekcijai kreipiantis su asmens duomenų tvarkymu susijusiais klausimais;

8.5. vykdo Valdytojo tvarkomų asmens duomenų saugumo pažeidimų apskaitą;

8.6. gauna informaciją iš Tvarkytojų apie asmens duomenų saugumo pažeidimus, priemones, kurių buvo imtasi asmens duomenų saugumo pažeidimo padariniams pašalinti ar sušvelninti, teikia Valdytojo vadovui ar įgaliotam asmeniui siūlymus dėl nurodymų Tvarkytojams imtis papildomų priemonių, prireikus – siūlymus dėl pranešimų apie asmens duomenų saugumo pažeidimus Valstybinei duomenų apsaugos inspekcijai ir (ar) duomenų subjektui;

8.7. vertina teisės aktų, reglamentuojančių asmens duomenų apsaugą ir jų tvarkymą, projektus;

8.8. ne rečiau kaip kartą per metus peržiūri Taisyklėse nustatytus reikalavimus ir, jei reikia, inicijuoja Taisyklių pakeitimus;

8.9. kartą per metus teikia siūlymus KAM kancleriui dėl Valdytojo tvarkomų asmens duomenų tvarkymo tobulinimo, rizikų šalinimo ar jų sumažinimo;

8.10. organizuoja mokymus asmens duomenų tvarkymo ir apsaugos klausimais;

8.11. informuoja darbuotojus apie jų pareigas, nustatytas asmens duomenų apsaugą reglamentuojančiuose teisės aktuose, ir juos konsultuoja šiais klausimais;

8.12. turi teisę teikti prašymus ir nurodymus Tvarkytojų duomenų apsaugos pareigūnams, susijusius su Valdytojo vardu Tvarkytojų tvarkomais asmens duomenimis;

8.13. atlieka kitus teisės aktais jam numatytus atlikti veiksmus.

9. Tvarkytojas (ar keli Tvarkytojai kartu) skiria duomenų apsaugos pareigūną (-us), kuris      (-ie):

9.1. informuoja darbuotojus apie jų pareigas, nustatytas asmens duomenų apsaugą reglamentuojančiuose teisės aktuose, ir juos konsultuoja šiais klausimais;

9.2. stebi ir analizuoja, ar asmens duomenys yra tvarkomi pagal Taisyklių ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą, reikalavimus, ir teikia pasiūlymus Valdytojo duomenų apsaugos pareigūnui dėl asmens duomenų apsaugos tobulinimo;

9.3. vykdo Tvarkytojo duomenų saugumo pažeidimų apskaitą;

9.4. teikia Tvarkytojo vadovui ar įgaliotam asmeniui siūlymus dėl priemonių asmens duomenų saugumo pažeidimo pasekmėms sumažinti ar pašalinti, Reglamento 33 ir 34 straipsniuose nustatytais atvejais nedelsdamas (-i) teikia Valdytojo duomenų apsaugos pareigūnui reikalingą informaciją dėl pranešimų apie asmens duomenų saugumo pažeidimus Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektui. Įvykus Valdytojo ar Tvarkytojo tvarkomų asmens duomenų saugumo pažeidimui, rūpinasi, kad būtų laiku ir tinkamai užpildyta Valstybinės duomenų apsaugos inspekcijos rekomenduojama Pranešimo apie asmens duomenų saugumo pažeidimą forma (toliau – Pranešimo forma) ir ji pateikta Valstybinei duomenų apsaugos inspekcijai;

9.5. teikia KAM duomenų apsaugos pareigūnui elektroniniu paštu asmens.duomenys@kam.lt informaciją, būtiną KAM, kaip Valdytojo, asmens duomenų tvarkymo įrašams parengti ir atnaujinti;

9.6. vertina Tvarkytojo darbuotojų parengtų teisės aktų, reglamentuojančių asmens duomenų apsaugą ir jų tvarkymą, projektus, teikia dėl jų pastabas ir pasiūlymus;

9.7. savo iniciatyva, Tvarkytojo nurodymu ar KAM duomenų apsaugos pareigūno prašymu atlieka Tvarkytojo asmens duomenų, kurių valdytoja yra KAM, tvarkymo rizikos vertinimą, parengia ataskaitą, imasi priemonių rizikai pašalinti arba sumažinti, ataskaitą pateikia Tvarkytojui, KAM kancleriui ir KAM duomenų apsaugos pareigūnui;

9.8. organizuoja mokymus Tvarkytojo darbuotojams asmens duomenų tvarkymo ir apsaugos klausimais;

9.9. atlieka kitus teisės aktais jam numatytus atlikti veiksmus.

 

 

III SKYRIUS

DARBUOTOJŲ TEISĖS IR PAREIGOS

 

10.  Darbuotojai tvarko asmens duomenis tik teisės aktų nustatyta tvarka atlikdami savo funkcijas. Darbuotojas tvarko asmens duomenis tol, kol eina pareigas, kurioms yra būtinas asmens duomenų tvarkymas. Jei darbuotojas laikinai eina kito darbuotojo pareigas ar vykdo kito darbuotojo funkcijas, jis turi teisę tvarkyti asmens duomenis pareigų arba funkcijų vykdymo laikotarpiu.

11.  Darbuotojas privalo:

11.1. saugoti asmens duomenų konfidencialumą visą tarnybos, darbo ar praktikos laiką ir pasibaigus tarnybos, darbo ar praktikos santykiams. Darbuotojas pasirašo pasižadėjimą (Taisyklių 2 priedas), kuris saugomas darbuotojo asmens byloje (asmenų, priimtų atlikti praktiką KAS institucijose – KAS institucijos personalą administruojančiame padalinyje) visą tarnybos (darbo) laiką ir pasibaigus tarnybos (darbo) santykiams asmens bylų saugojimo terminą (asmenų, priimtų atlikti praktiką KAS institucijose – praktikos sutarčių saugojimo terminą);

11.2.    atlikti tik tuos asmens duomenų tvarkymo veiksmus, kuriuos atlikti yra teisinis pagrindas, taip pat kai juos atlikti jam suteiktos teisės.

Jei darbuotojas pagal savo vykdomas funkcijas privalo ar gali suteikti prieigas prie popierinio formato dokumentų ar duomenų bei dokumentų KAS dokumentų valdymo ir kitose informacinėse sistemose, kurių asmens duomenų valdytoja yra KAM, tais atvejais, kai dokumento ar duomenų turinys susijęs su asmens duomenimis ar informacija apie asmens gyvenimą,  jis jas gali suteikti tik tiems darbuotojams, kuriems dokumentas skirtas ar (ir) reikalingas darbo / tarnybinėms funkcijoms ar užduotims atlikti (atsižvelgiant į principą „būtina žinoti”). KAM valdomų informacinių sistemų administratoriai suteikia prieigos teises naudotojams prie šių sistemų ir jose esančių duomenų teisės aktų nustatyta tvarka.

Papunkčio pakeitimai:

Nr. V-385, 2022-05-11, paskelbta TAR 2022-05-11, i. k. 2022-09965

 

11.3. asmens duomenis tvarkyti tiksliai, nedelsdamas atnaujinti, ištaisyti ar papildyti netikslius, klaidingus, neišsamius asmens duomenis (toliau – netikslūs asmens duomenys) ir (ar) apriboti tokių asmens duomenų tvarkymą, išskyrus saugojimą;

11.4. pasikeitus tvarkomiems asmens duomenims, nedelsdamas ištaisyti ar sunaikinti netikslius asmens duomenis ir informuoti apie tai duomenų subjektą;

Papunkčio pakeitimai:

Nr. V-385, 2022-05-11, paskelbta TAR 2022-05-11, i. k. 2022-09965

 

11.5. asmens duomenis tvarkyti tik tokios apimties, kuri būtina jo funkcijoms atlikti;

11.6. asmens duomenis tvarkyti taip, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;

11.7. dokumentus, kuriuose yra asmens duomenys (įsakymus, prašymus, raštus, sutartis ir kitus dokumentus, jų kopijas ar išrašus, taip pat asmens bylas, kompiuterines duomenų laikmenas su asmens duomenimis ir kt.), elektroniniu būdu tvarkyti tik tose ryšių ir informacinėse sistemose, kuriose duomenys yra tvarkomi laikantis Europos Sąjungos ar (ir) Lietuvos Respublikos teisės aktuose numatytų duomenų apsaugos reikalavimų;

11.8. pastebėjęs galimą asmens duomenų saugumo pažeidimą, nedelsdamas atlikti Duomenų saugumo pažeidimų valdymo apraše nurodytus darbuotojui privalomus veiksmus, informuoti Tvarkytojo ir Valdytojo duomenų apsaugos pareigūnus, KAM kanclerį;

11.9. laikytis duomenų tvarkymo principų ir duomenų tvarkymo sąlygų, numatytų atitinkamai Reglamente ir Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatyme;

11.10. neatlikti veiksmų, galinčių  didinti duomenų saugumo pažeidimo riziką:

11.10.1. nesinešti į nuotolinio darbo vietas popierinio formato dokumentų, jų kopijų, išrašų, juodraščių su asmens duomenimis, išskyrus atvejus, kai tai būtina (tokiais atvejais pasirūpinti dokumentų saugumu);

11.10.2. atvirai nelaikyti dokumentų su asmens duomenimis, kad nebūtų sudaryta neteisėtos prieigos prie jų galimybių, nepalikti dokumentų su tvarkomais asmens duomenimis ar kompiuterio, kuriuo naudojantis galima atidaryti rinkmenas su asmens duomenimis, be priežiūros taip, kad juose esančią informaciją galėtų perskaityti ar kitaip panaudoti bet kurie kiti asmenys, neturintys teisės dirbti su tais asmens duomenimis;

11.10.3. netvarkyti asmens duomenų, jei yra rizika, kad toje pačioje patalpoje esantys kiti asmenys, neturintys teisės tvarkyti šių asmens duomenų ar jų tvarkyti tuo pačiu tikslu, gali juos matyti ar kitu būdu su jais susipažinti.

Papildyta papunkčiu:

Nr. V-385, 2022-05-11, paskelbta TAR 2022-05-11, i. k. 2022-09965

 

12. Darbuotojams draudžiama be teisinio pagrindo tvarkyti asmens duomenis, juos naudoti asmeniniams, su vykdomomis darbo / tarnybos funkcijomis nesusijusiems tikslams, daryti perteklines dokumentų kopijas, kurios nėra būtinos jų funkcijoms vykdyti.

Darbuotojams taip pat draudžiama skaityti, kopijuoti, saugoti, siųsti ir bet kokiu kitu būdu tvarkyti ar platinti  KAS dokumentų valdymo ir kitose informacinėse sistemose, kurių asmens duomenų valdytoja yra KAM, taip pat ir ne informacinėse sistemose esančius duomenis bei dokumentus, kurių valdytoja yra KAM, susijusius su konkrečiu asmeniu, jo gyvenimu bei veikla (tarnybinio tyrimo, tarnybinio nusižengimo ar drausmės pažeidimo tyrimo medžiagą bei išvadas, asmenų skundus, atsakymus į juos ir bet kuriuos kitus duomenis ar dokumentus, kai jų turinys atskleidžia asmens duomenis ar informaciją apie asmens gyvenimą, veiklą), kai tai nereikalinga tų darbuotojų darbo / tarnybos funkcijoms ar užduotims atlikti.

Punkto pakeitimai:

Nr. V-385, 2022-05-11, paskelbta TAR 2022-05-11, i. k. 2022-09965

 

IV SKYRIUS

duomenų subjekto TEISĖS IR JŲ ĮGYVENDINIMO TVARKA

 

PIRMASIS SKIRSNIS

DUOMENŲ SUBJEKTO TEISĖS

 

13. Kai asmens duomenys tvarkomi vadovaujantis Taisyklių 2.2 papunktyje nurodytais teisės aktais, duomenų subjektas turi šias Reglamente įtvirtintas teises, kurios įgyvendinamos Reglamente nustatytais atvejais ir sąlygomis:

13.1. teisę gauti informaciją apie savo asmens duomenų tvarkymą. Informacija duomenų subjektams apie asmens duomenų tvarkymą, nurodyta Reglamento 13–14 straipsniuose, pateikiama:

13.1.1. KAM interneto svetainėje www.kam.lt, skiltyje „Asmens duomenų tvarkymas“, Taisyklėse, kitų duomenų valdytojų ir (ar) Tvarkytojų interneto svetainėse (jeigu turi) ir (ar) jų priimtuose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą ir duomenų subjektų teisių įgyvendinimą. Apie naujai nustatomus duomenų tvarkymo tikslus ir tvarkomus asmens duomenis, jų tvarkymo pagrindą ir saugojimo terminus darbuotojai informuojami dokumentų valdymo sistemoje („Avilys“), jiems susipažinti pateikiant tai reglamentuojantį KAS institucijos priimtą teisės aktą ar kitą dokumentą, esant reikalui, darbuotojai apie numatomą jų asmens duomenų tvarkymą taip pat gali būti informuojami tarnybiniu elektroniniu paštu, pateikiant jų, kaip duomenų subjektų, informavimui reikalingą informaciją. Gavęs šią informaciją, darbuotojas turi su ja susipažinti ne vėliau kaip per 5 darbo dienas po jos pateikimo ar grįžimo į darbą; 

13.1.2. informaciniuose stenduose, įrengtuose Valdytojo ir Tvarkytojų patalpose ar teritorijose;

13.1.3. įrengiant informacines lenteles apie vykdomą vaizdo stebėjimą Valdytojo ir Tvarkytojų patalpose ar teritorijose;

13.1.4. pateikiant informacinį pranešimą kompiuterio, kuriuo naudojasi duomenų subjektas, ekrane apie vaizdo įrašymą, retransliavimą;

13.2. teisę susipažinti su KAS tvarkomais savo asmens duomenimis (duomenų subjektas turi teisę iš Valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir Reglamento 15 straipsnyje nurodyta informacija);

13.3. teisę reikalauti, kad būtų ištaisyti netikslūs jo asmens duomenys ir (arba) papildyti neišsamūs jo asmens duomenys (duomenų subjektas turi teisę reikalauti, kad Valdytojas nepagrįstai nedelsdamas ištaisytų netikslius su juo susijusius asmens duomenis; atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys);

13.4. teisę reikalauti ištrinti savo asmens duomenis (teisė būti pamirštam) (duomenų subjektas turi teisę reikalauti, kad Valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o Valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jei tai galima pagrįsti viena iš Reglamento 17 straipsnio 1 dalyje nurodytų priežasčių; ši teisė gali būti neįgyvendinta Reglamento 17 straipsnio 3 dalyje numatytais atvejais);

13.5. teisę apriboti savo asmens duomenų tvarkymą (duomenų subjektas turi šią teisę Reglamento 18 straipsnio 1 dalyje numatytais atvejais);

13.6. teisę į savo asmens duomenų perkeliamumą (duomenų subjektas turi teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė Valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui (neapsiribojant KAS institucijomis), o duomenų valdytojas, kuriam asmens duomenys buvo pateikti, turi nesudaryti tam kliūčių, kai yra Reglamento 20 straipsnio 1 dalyje nurodytos aplinkybės;  ši teisė netaikoma Reglamento 20 straipsnio 3 dalyje nurodytu atveju);

13.7. teisę nesutikti su savo asmens duomenų tvarkymu (duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas pagal Reglamento 6 straipsnio 1 dalies e arba f punktus, įskaitant profiliavimą, remiantis tomis nuostatomis, kaip tai numatyta Reglamento 21 straipsnyje);

13.8. teisę reikalauti, kad nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant   profiliavimą, grindžiamas sprendimas (dėl kurio duomenų subjektui kyla teisinės pasekmės arba kuris jam panašiu būdu daro didelį poveikį). Ši teisė neįgyvendinama Reglamento 22 straipsnio 2 dalyje nurodytais atvejais, taip pat negali būti įgyvendinta, kai nepriimami sprendimai, grindžiami automatizuotu duomenų tvarkymu, ir nevykdomas profiliavimas (KAM netaikomas automatizuotas sprendimų priėmimas, įskaitant profiliavimą);

13.9. teisę pateikti skundą Taisyklių 27 punkte nustatyta tvarka.

14. Kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais, vadovaujantis Taisyklių 2.1 papunktyje nurodytais teisės aktais, duomenų subjektas turi Taisyklių 13.2–13.5 papunkčiuose ir Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo III skyriuje nurodytas teises, jam gali būti taikomi šių teisių apribojimai, nurodyti Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo III skyriuje, taip pat atitinkamus teisinius santykius reglamentuojančiame Taisyklių 2.1 papunktyje nurodytame įstatyme. Duomenų subjektas turi teisę gauti informaciją apie savo asmens duomenų tvarkymą Taisyklių 13.1.1–13.1.4 papunkčiuose, 30 punkte nurodytais būdais. 

 

ANTRASIS SKIRSNIS

DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMAS

 

15. Duomenų subjektas, siekdamas įgyvendinti Reglamento 15–22 straipsniuose įtvirtintas teises ar kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais – Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo III skyriuje nustatytas subjekto teises, Valdytojui ar Tvarkytojui asmeniškai, paštu ar per pasiuntinį arba elektroninių ryšių priemonėmis turi pateikti rašytinį (valstybine kalba) prašymą įgyvendinti duomenų subjekto teisę       (-es), užpildydamas Taisyklių 3 priede pateiktą formą.

16.  Prašymas įgyvendinti duomenų subjekto teises turi būti aiškus, įskaitomas, paties asmens pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, kontaktiniai duomenys, kuriais asmuo pageidauja gauti atsakymą, informacija, kokią teisę ir kokios apimties duomenų subjektas pageidauja įgyvendinti.

17. Prašymas turi būti pasirašytas. Siekiant identifikuoti prašymą teikiantį duomenų subjektą, jis turi patvirtinti savo tapatybę:

17.1. jei prašymas pateikiamas tiesiogiai, pateikdamas prašymą jį registruojančiam  darbuotojui, duomenų subjektas turi pateikti asmens tapatybę patvirtinantį dokumentą;

17.2. jei prašymas pateikiamas paštu, per pasiuntinį ar elektroniniu paštu, kartu su prašymu duomenų subjektas turi pateikti asmens tapatybę patvirtinančio dokumento kopiją ar (ir) kitu būdu patvirtinti savo tapatybę;

17.3. jei prašymas pateikiamas elektroninių ryšių priemonėmis: prašymą pasirašydamas kvalifikuotu elektroniniu parašu arba prašymą suformuodamas elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą (pvz., informacinės sistemos „E. pristatymas“ atveju).

Punkto pakeitimai:

Nr. V-385, 2022-05-11, paskelbta TAR 2022-05-11, i. k. 2022-09965

 

18. Duomenų subjektas savo teises gali įgyvendinti pats arba per įgaliotą atstovą.

19.  Jeigu atstovaujamo duomenų subjekto vardu į Valdytoją ar Tvarkytoją kreipiasi duomenų subjekto atstovas, jis prašyme turi nurodyti savo vardą, pavardę, kontaktinius duomenis, kuriais asmens atstovas pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę, informaciją, kokią duomenų subjekto teisę ir kokios apimties pageidauja įgyvendinti, ir pridėti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą notaro arba kita teisės aktų nustatyta tvarka. Atstovo pateiktas prašymas turi atitikti Taisyklių 15–17 punktų reikalavimus.

20. Jei prašymas pateiktas nesilaikant Taisyklių 15–19 punktuose nustatytų reikalavimų ir (ar) nėra galimybės prašymą teikiantį asmenį identifikuoti arba patikrinti prašymo autentiškumo, taip pat ir kitais Lietuvos Respublikos viešojo administravimo įstatymo 11 straipsnyje nurodytais atvejais prašymas gali būti nenagrinėjamas, duomenų subjektas apie tai informuojamas per 5 darbo dienas, nurodant prašymo nenagrinėjimo priežastį.

Punkto pakeitimai:

Nr. V-385, 2022-05-11, paskelbta TAR 2022-05-11, i. k. 2022-09965

 

21.  Gavus duomenų subjekto prašymą, ne vėliau kaip per vieną mėnesį nuo prašymo gavimo duomenų subjektui pateikiama informacija, kokių veiksmų buvo imtasi pagal gautą prašymą. Šis vieno mėnesio terminas prireikus gali būti pratęstas dar dviem mėnesiams (kai asmens duomenys tvarkomi vadovaujantis Reglamentu) arba trims mėnesiams (kai asmens duomenys tvarkomi vadovaujantis Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu), atsižvelgiant į prašymų sudėtingumą ir jų skaičių. Kai duomenų subjektui neatsakoma per vieną mėnesį, Valdytojas per vieną mėnesį nuo duomenų subjekto prašymo gavimo raštu jam praneša apie termino pratęsimą ir vėlavimo (kai asmens duomenys tvarkomi vadovaujantis Reglamentu) ar pratęsimo (kai asmens duomenys tvarkomi vadovaujantis Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu) priežastis.

22. Nagrinėjant duomenų subjekto prašymą įvertinama, ar prašomos įgyvendinti duomenų subjekto teisės, vadovaujantis  Reglamento 23 straipsniu ar Taisyklių 2.1 papunktyje nurodytais teisės aktais, turi būti visiškai arba iš dalies apribotos. Jei duomenų subjekto prašymą nagrinėjantis darbuotojas neturi informacijos, reikalingos įvertinti, ar prašomos įgyvendinti duomenų subjekto teisės turi būti visiškai arba iš dalies apribotos, ar šios informacijos trūksta, jis kreipiasi į atitinkamą informaciją administruojančias KAS institucijas ar jų padalinius. KAS institucijos ar jų padaliniai prašomą informaciją duomenų subjekto prašymą nagrinėjančiam darbuotojui privalo pateikti ne vėliau kaip per 5 darbo dienas nuo prašymo gavimo dienos.

23.  Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba. Kilus abejonių dėl duomenų subjekto tapatybės, atsakingas (tiek registruojantis prašymą, tiek jį nagrinėjantis) Valdytojo ar Tvarkytojo darbuotojas pareiškėjo gali paprašyti suteikti papildomos informacijos.

24.  Jei pagal duomenų subjekto prašymą asmens duomenys yra ištaisomi, ištrinami ar jų tvarkymas yra apribojamas, prašymą išnagrinėjęs darbuotojas privalo apie tai informuoti kitus Tvarkytojus, kuriems tokie duomenys buvo teikiami.

25.  Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai.

26.  Tiek, kiek duomenų subjektų teisių įgyvendinimo nereglamentuoja Taisyklės ir Taisyklių 2 punkte nurodyti teisės aktai, taikomos Prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklės, patvirtintos Lietuvos Respublikos Vyriausybės       2007 m. rugpjūčio 22 d. nutarimu Nr. 875 „Dėl Prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklių patvirtinimo“.

 

TREČIASIS SKIRSNIS

SKUNDŲ PATEIKIMO TVARKA

 

27.    Valdytojo ir Tvarkytojo veiksmus ar neveikimą, įgyvendinant duomenų subjekto teises,  duomenų subjektas arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento 80 straipsnio reikalavimus, išskyrus atvejus, kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais (ar užtikrinant nacionalinį saugumą ir gynybą), turi teisę skųsti Valstybinei duomenų apsaugos inspekcijai (L. Sapiegos g. 17, Vilnius,         el. p. ada@ada.lt, interneto svetainė https://vdai.lrv.lt/), taip pat Vilniaus apygardos administraciniam teismui, o tais atvejais, kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais (ar užtikrinant nacionalinį saugumą ir gynybą), –  subjektui, kuris pagal Lietuvos Respublikos įstatymus, reglamentuojančius kompetentingų institucijų veiklą, nagrinėja skundus dėl žmogaus teisių ir laisvių pažeidimų – Lietuvos Respublikos Seimo kontrolieriui (Gedimino pr. 56, Vilnius, el. p. ombuds@lrski.lt), taip pat Vilniaus apygardos administraciniam teismui (Žygimantų g. 2, Vilnius).

28. Prieš pateikiant skundą Valstybinei duomenų apsaugos inspekcijai, Lietuvos Respublikos Seimo kontrolieriui ar Vilniaus apygardos administraciniam teismui dėl Tvarkytojo ar Valdytojo padalinių veiksmų ar neveikimo, įgyvendinant duomenų subjekto teises, duomenų subjektui siūloma kreiptis į Valdytojo vadovą – KAM vadovaujantį krašto apsaugos ministrą.

 

KETVIRTASIS SKIRSNIS

INFORMACIJOS DUOMENŲ SUBJEKTUI PATEIKIMAS

 

29. Kai KAS asmens duomenys tvarkomi vadovaujantis Reglamentu:

29.1. Kai duomenų subjekto asmens duomenys gauti iš duomenų subjekto, informacija, nurodyta Reglamento 13 straipsnyje apie KAM atliekamą duomenų subjekto asmens duomenų tvarkymą pateikiama, kai gaunami duomenų subjekto asmens duomenys, bendraujant su juo tokiu būdu, kokiu jis kreipėsi į KAM. Informaciją raštu rekomenduojama teikti pagal Taisyklių 5 priede pateiktą formą. Šis papunktis netaikomas, jeigu duomenų subjektas jau turi informaciją.

29.2. Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto, apie jo asmens duomenų tvarkymą duomenų subjektui pateikiama Reglamento 14 straipsnyje nurodyta informacija (informaciją rekomenduojama teikti, naudojant Taisyklių 5 priede pateiktą formą):

29.2.1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;

29.2.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekus su tuo duomenų subjektu; arba

29.2.3. jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.

29.3. Taisyklių 29.2 papunktis netaikomas, kai duomenų subjektas tokią informaciją jau turi arba kai tokių duomenų rinkimo bei teikimo tvarka ir duomenų gavėjai apibrėžiami įstatymuose ir kituose teisės aktuose ar yra kitų Reglamento 14 straipsnio 5 dalyje nurodytų sąlygų.

29.4. Kai Valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo gauti, prieš toliau tvarkydamas tuos duomenis, pateikia duomenų subjektui informaciją apie tą tikslą ir visą papildomą atitinkamą informaciją, kaip to reikalaujama Reglamento 13 straipsnio 3 dalyje ir 14 straipsnio 4 dalyje.

30. Kai KAS asmens duomenys tvarkomi nacionalinio saugumo ar (ir) gynybos tikslais, tais atvejais, kai duomenų valdytojas ketina tvarkyti ar tvarko duomenų subjekto asmens duomenis, jis duomenų subjektui pateikia Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 11 straipsnyje nurodytą informaciją, kai ji gali būti pateikta. Informaciją rekomenduojama teikti, naudojant Taisyklių 6 priede pateiktą formą.  Informacijos teikimas duomenų subjektui gali būti atidėtas, apribotas arba ši informacija gali būti neteikiama Lietuvos Respublikos įstatymuose nustatytais atvejais. Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo nustatyta tvarka Valdytojas turi raštu pateikti duomenų subjektui informaciją (išskyrus šiame įstatyme nustatytus atvejus) apie bet kokį atsisakymą suteikti teisę susipažinti su asmens duomenimis arba šios teisės apribojimą ir šio atsisakymo ar apribojimo priežastis, taip pat  apie bet kokį atsisakymą ištaisyti ar ištrinti asmens duomenis arba apriboti jų tvarkymą ir apie šio atsisakymo priežastis.

 

V SKYRIUS

ASMENS DUOMENŲ TVARKYMAS PROGRAMINĖMIS PRIEMONĖMIS

 

31. Valstybės ar žinybinių registrų, valstybės informacinių sistemų, informacinių sistemų, duomenų perdavimo tinklų, telekomunikacijų tinklų, ryšių sistemų ar kitos iš techninės ir programinės įrangos sudarytos infrastruktūros, veikiančios informacinių ir ryšių technologijų pagrindu (toliau – programinė priemonė), kuriuose tvarkomi asmens duomenys, savininkai, atsakingi už programinės priemonės naudojimą institucijoje teisės aktų nustatytoms funkcijoms atlikti, ar valdytojai, jei programinės priemonės buvo įsteigtos ir įteisintos teisės aktų nustatyta tvarka, privalo įgyvendinti organizacinius, programinius ir techninius duomenų saugumo reikalavimus, nurodytus Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 5 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, ir kituose susijusiuose teisės aktuose, kurie, jei programinė priemonė yra įsteigta ir įteisinta, yra nurodyti duomenų saugos nuostatuose ir (ar) kituose duomenų saugą reglamentuojančiuose dokumentuose. Siekiama, kad tvarkant duomenis informacinėse sistemose būtų laikomasi teisės aktais numatytų bei kompetentingų institucijų rekomenduojamų standartų.

32. Darbuotojų asmens duomenys yra tvarkomi KAS institucijų ryšių ir informacinėse sistemose (toliau – RIS) bei įslaptintos informacijos ryšių informacinėse sistemose (toliau – ĮIRIS). Ne KAS institucijų darbuotojų asmens duomenys gali būti tvarkomi šiose sistemose, jei ne KAS institucijos darbuotojas yra KAS institucijų RIS ar ĮIRIS naudotojas arba asmuo, stojantis į tikrąją karo tarnybą ar atlikęs tikrąją karo tarnybą, taip pat tais atvejais, kai kiti teisės aktai numato tokį tvarkymą. Detali informacija apie tvarkomus asmens duomenis pateikiama RIS ir ĮIRIS nuostatuose ir kituose jų steigimo ir įteisinimo dokumentuose.

 

VI SKYRIUS

VAIZDO STEBĖJIMAS, VAIZDO IR GARSO DUOMENŲ TVARKYMAS

 

33.  Siekiant užtikrinti KAS institucijoms ar jų padaliniams priklausančių (valdomų, naudojamų) pastatų ar patalpų ir teritorijos apsaugą bei juose esančių asmenų apsaugą, taip pat organizuojant vaizdo konferencijas, gali būti tvarkomi vaizdo stebėjimo ir (arba) garso duomenys.

34.  Apie tai, kad vykdomas vaizdo stebėjimas, duomenų subjektai informuojami informaciniais užrašais, kurie išdėstomi prieš įėjimą į teritoriją, pastatą ar patalpą, arba, kai vyksta vaizdo konferencija, duomenų subjektai kompiuterio ekrane informuojami apie vykdomą vaizdo ir (arba) garso įrašą ar retransliaciją.

35.  Stebėti asmens darbo vietą, kareivines ar tarnybines gyvenamąsias patalpas draudžiama, išskyrus atvejus, kai darbo vietoje vyksta vaizdo konferencija arba kai būtina užtikrinti įslaptintos informacijos apsaugą, ar patalpose esančių asmenų apsaugą ir kiti būdai ar priemonės nėra pakankami ir (arba) tinkami tikslams pasiekti. Asmenys apie nuolat vykdomą jų darbo vietos stebėjimą informuojami pasirašytinai. Informavimo forma (Taisyklių 4 priedas) saugoma KAS institucijoje visą tarnybos (darbo) laikotarpį.

36.  Vaizdo stebėjimo priemonės įrengiamos taip, kad būtų stebimas tik asmuo, dalyvaujantis vaizdo konferencijoje, arba konkreti patalpa, teritorija ar jos prieigos, kurias siekiama apsaugoti.

37.  Siekiant užtikrinti KAS institucijoms ar jų padaliniams priklausančių patalpų ir teritorijos apsaugą, vaizdo stebėjimo duomenys, atsižvelgiant į technines galimybes ir poreikį, saugomi nuo 14 iki 45 kalendorinių dienų (išskyrus Taisyklių 40 punkte nurodytus atvejus, kai duomenis reikia saugoti ilgiau), paprastai šie duomenys saugomi 30 dienų. Pasibaigus šiam terminui, vaizdo stebėjimo duomenys sunaikinami, ištrinant vaizdo laikmenas.

38. Vaizdo konferencijų vaizdas ir (arba) garsas nėra įrašomas, išskyrus atvejus, kai iš anksto žinoma ir informuojama, kad vaizdo ir (arba) garso įrašas bus reikalingas tarnybiniam naudojimui, protokolo surašymui ir pan. Apie konferencijos vaizdo ir (arba) garso įrašymą vaizdo konferencijos dalyviai informuojami žodžiu vaizdo ir (arba) garso įrašymo pradžioje ir atvaizduojant kompiuterio ekrane perspėjamąjį simbolį apie vykdomą vaizdo ir garso įrašymą. Vaizdo konferencijų įrašai yra saugomi ir sunaikinami Taisyklių 40 punkte nurodytais terminais ir tvarka, jei nėra kitaip nurodyta specialiuosiuose teisės aktuose.

39.  Vaizdo stebėjimo priemonės, jų įrengimo vietos, stebėjimo laukas ir laikas nustatomi vadovaujantis krašto apsaugos ministro nustatytais karinių teritorijų ir įslaptintos informacijos apsaugos reikalavimais, laikantis asmens duomenų apsaugą reglamentuojančių teisės aktų reikalavimų.

 

VII SKYRIUS

DUOMENŲ SAUGOJIMAS IR SUNAIKINIMAS

 

40.  Bendrųjų dokumentų saugojimo terminų rodyklėje, patvirtintoje Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“, ir Valdytojo bei Tvarkytojo dokumentacijos planuose nurodyti dokumentai, kuriuose yra asmens duomenų, saugomi Lietuvos vyriausiojo archyvaro nustatyta tvarka ir terminais pagal Valdytojo bei Tvarkytojo dokumentacijos planus. Kiti dokumentai, kuriuose yra asmens duomenų, ar duomenys, kurie saugomi ne dokumentuose (informacinėse sistemose, programose ir kt.), saugomi 2 mėnesius nuo dienos, kai pasiekiami tikslai, dėl kurių buvo tvarkomi asmens duomenys, išskyrus atvejus, kai ilgesnė duomenų saugojimo trukmė nustatyta įstatymuose ar kituose teisės aktuose arba vyksta teisminis procesas, susijęs su šiais asmens duomenimis, arba kitomis svarbiomis priežastimis objektyviai galima pagrįsti ilgesnį jų saugojimą. KAM valdomose informacinėse sistemose ir registruose asmens duomenys saugomi bei archyvuojami įstatymų ir (ar) šių sistemų, registrų nuostatuose nustatytais terminais.

Suėjus asmens duomenų saugojimo terminams, teisės aktų nustatyta tvarka asmens duomenys sunaikinami taip, kad jų nebūtų galima atkurti ir atpažinti jų turinio.

 

VIII SKYRIUS

DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI

 

41. Duomenų tvarkymo veiklos įrašai KAS pildomi elektroniniu būdu. KAS rekomenduojama naudoti KAM duomenų tvarkymo veiklos įrašų pildymo įrankį.

 

PIRMASIS SKIRSNIS

DUOMENŲ TVARKYMO VEIKLOS ĮRAŠŲ TURINYS

 

42. Valdytojo duomenų tvarkymo veiklos įrašuose nurodoma:

42.1. Valdytojo (ar bendro duomenų valdytojo) pavadinimas ir kontaktiniai duomenys;

42.2. duomenų apsaugos pareigūno vardas, pavardė ir kontaktiniai duomenys (adresas, telefono numeris ir (ar) elektroninio pašto adresas);

42.3. duomenų tvarkymo tikslai;

42.4. tvarkomų asmens duomenų kategorijos;

42.5. informacija apie duomenų tvarkymo (tvarkymo operacijos, kuriai yra skirti asmens duomenys) teisinį pagrindą;

42.6. duomenų subjektų kategorijos;

42.7. duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, kategorijos,  įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas;

42.8. asmens duomenų perdavimas trečiajai valstybei arba tarptautinei organizacijai ( įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą) ir Reglamento 49 straipsnio 1 dalies antrojoje pastraipoje nurodytais duomenų perdavimo atvejais tinkamų apsaugos priemonių dokumentai (šiame papunktyje nurodyta informacija pateikiama, kai asmens duomenys tvarkomi vadovaujantis Reglamentu ir kai asmens duomenys perduodami trečiajai valstybei arba tarptautinei organizacijai);

42.9. jei įmanoma, numatomi įvairių kategorijų duomenų ištrynimo (saugojimo) terminai;

42.10. jei įmanoma, nurodomas bendras techninių ir organizacinių saugumo priemonių  (atitinkamai numatytų Reglamento 32 straipsnio 1 dalyje ar Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 27 straipsnio 1 dalyje) aprašymas;

42.11. gali būti pateikiama ir kita reikalinga informacija.

43. Kai asmens duomenys tvarkomi vadovaujantis Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu, duomenų tvarkymo veiklos įrašuose papildomai nurodoma informacija:

43.1. apie profiliavimo, jei jis atliekamas, naudojimą;

43.2. asmens duomenų perdavimo trečiajai valstybei arba tarptautinei organizacijai, jei asmens duomenys perduodami, kategorijos;

43.3. informacija apie asmens duomenų perdavimo teisinį pagrindą.

44.  KAM, kaip duomenų tvarkytojos, veiklos įrašuose nurodoma:

44.1. duomenų tvarkytojo ar duomenų tvarkytojų ir kiekvieno duomenų valdytojo (neapsiribojant KAS institucijomis), kurio vardu veikia duomenų tvarkytojas, pavadinimas ir kontaktiniai duomenys;

44.2. asmens duomenų apsaugos pareigūno vardas, pavardė ir kontaktiniai duomenys;

44.3. kiekvieno duomenų valdytojo (neapsiribojant KAS institucijomis) vardu atliekamo duomenų tvarkymo kategorijos;

44.4. asmens duomenų perdavimas trečiajai valstybei arba tarptautinei organizacijai (kai asmens duomenys perduodami trečiajai valstybei arba tarptautinei organizacijai):

44.4.1. įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą ir Reglamento 49 straipsnio 1 dalies antrojoje pastraipoje nurodytais duomenų perdavimo atvejais tinkamų apsaugos priemonių dokumentus (šiame papunktyje nurodyta informacija pateikiama, kai asmens duomenys tvarkomi vadovaujantis Reglamentu); arba

44.4.2. asmens duomenų perdavimas trečiajai valstybei arba tarptautinei organizacijai, jeigu duomenų valdytojas aiškiai paveda tai padaryti, nurodant tą trečiąją valstybę arba tarptautinę organizaciją (šiame papunktyje nurodyta informacija pateikiama, kai asmens duomenys tvarkomi vadovaujantis Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu);

44.5. jei įmanoma, bendras techninių ir organizacinių saugumo priemonių aprašymas (atitinkamai numatytas Reglamento 32 straipsnio 1 dalyje ar Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 27 straipsnio 1 dalyje);

44.6. gali būti pateikiama ir kita reikalinga informacija.

 

ANTRASIS SKIRSNIS

DUOMENŲ TVARKYMO VEIKLOS ĮRAŠŲ PILDYMAS

 

45. KAM, kaip Valdytojo, duomenų tvarkymo įrašai pildomi tokia tvarka:

45.1. KAM padaliniai ir jiems nepriklausantys darbuotojai, tvarkantys asmens duomenis, kurių valdytoja yra KAM, teikia KAM duomenų apsaugos pareigūnui ar (ir) kitam Valdytojo įgaliotam asmeniui informaciją (dokumentų valdymo sistemoje („Avilys“) ar el. paštu asmens.duomenys@kam.lt) pagal Taisyklių 42 punktą užpildydami 7 priede pateiktą formą, pasikeitus asmens duomenų tvarkymui ar pastebėję netikslumų, taip pat KAM duomenų apsaugos pareigūno prašymu nedelsdami ją atnaujina.

45.2. KAS institucijos, jų padaliniai ir padaliniams nepriklausantys darbuotojai, tvarkantys asmens duomenis (toliau kartu – informacijos teikėjai), kurių valdytoja yra KAM, teikia jų institucijos duomenų apsaugos pareigūnui (jo elektroniniu paštu) informaciją pagal Taisyklių 42 punktą užpildydami  7 priede pateiktą formą; KAS institucijos (Tvarkytojo) duomenų apsaugos pareigūnas, įvertinęs pateiktą informaciją, prireikus ją patikslina pats arba prašo, kad patikslintų informacijos teikėjas. Kai Tvarkytojo duomenų apsaugos pareigūnas laiko, kad informacija parengta tinkamai, ją pateikia KAM duomenų apsaugos pareigūnui elektroniniu paštu asmens.duomenys@kam.lt. Informacijos teikėjai, pasikeitus asmens duomenų tvarkymui ar pastebėję netikslumų, taip pat jų institucijos ar KAM duomenų apsaugos pareigūno prašymu nedelsdami ją atnaujina šiame papunktyje nustatyta tvarka.

45.3. Įvertinęs iš Tvarkytojo duomenų apsaugos pareigūno gautą informaciją ir, esant reikalui, ją patikslinęs (prireikus gali prašyti Tvarkytojo duomenų apsaugos pareigūno patikslinti informaciją), KAM duomenų apsaugos pareigūnas užpildo ar atnaujina Valdytojo duomenų tvarkymo veiklos įrašus elektronine forma; šiam tikslui pasiekti KAM duomenų apsaugos pareigūnas gali pasitelkti Tvarkytojo duomenų apsaugos pareigūną (-us) arba Taisyklių 45.4 papunktyje nurodytą darbo grupę.

45.4. Valdytojas gali pavesti Valdytojo duomenų tvarkymo įrašus tvarkyti ar (ir) atlikti kitus reikalingus veiksmus jo sudarytai darbo grupei.

46. KAM, kaip duomenų tvarkytojos, duomenų tvarkymo veiklos įrašai pildomi tokia tvarka:

46.1. tais atvejais, kai KAM, kaip duomenų tvarkytoja, tvarko duomenų tvarkymo veiklos įrašus, KAM padaliniai ir jiems nepriklausantys darbuotojai, tvarkantys asmens duomenis konkrečiais tikslais, teikia KAM duomenų apsaugos pareigūnui informaciją elektroniniu paštu asmens.duomenys@kam.lt, pagal Taisyklių 44 punktą užpildydami 8 priede pateiktą formą; pasikeitus asmens duomenų tvarkymui ar pastebėję netikslumų, taip pat KAM duomenų apsaugos pareigūno prašymu nedelsdami ją atnaujina;

46.2. įvertinęs gautą informaciją, esant pagrindui, KAM duomenų apsaugos pareigūnas atitinkamai atnaujina KAM, kaip duomenų tvarkytojos, duomenų tvarkymo veiklos įrašus.

47. Valstybinės duomenų apsaugos inspekcijos prašymu duomenų tvarkymo veiklos įrašai pateikiami Valstybinei duomenų apsaugos inspekcijai, išskyrus atvejus, kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais.

 

IX SKYRIUS

POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS

 

48. Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, naudojant naujas technologijas, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus žmogaus teisėms ir laisvėms gali kilti didelis pavojus, duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą. (Nustatant, ar duomenų tvarkymo operacijos gali sukelti didelį pavojų žmogaus teisėms ir laisvėms, atsižvelgiama į 29 straipsnio duomenų apsaugos darbo grupės 2017 m. balandžio 4 d. „Poveikio duomenų apsaugai vertinimo (PDAV) gaires, kuriomis Reglamento 2016/679 taikymo tikslais nurodoma, kaip nustatyti, ar duomenų tvarkymo operacijos gali sukelti didelį pavojų“ (toliau – 29 darbo grupės PDAV gairės). Panašius didelius pavojus keliančių duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną vertinimą.

49. Poveikio duomenų apsaugai vertinimas gali būti neatliekamas:

49.1. jei panašaus duomenų tvarkymo poveikio duomenų apsaugai vertinimas dėl duomenų valdytojo tvarkomų duomenų jau yra atliktas (toks sprendimas priimamas tik prieš tai pasikonsultavus su jį numatančios atlikti KAS institucijos duomenų apsaugos pareigūnu, o jei poveikio duomenų apsaugai vertinimas turi būti atliekamas dėl duomenų, kurių valdytoja yra KAM, tvarkymo, turi būti konsultuojamasi ir su KAM duomenų apsaugos pareigūnu);

49.2. kai taikoma Reglamento 35 straipsnio 10 dalyje nurodyta išimtis.

50. Atliekant poveikio duomenų apsaugai vertinimą vadovaujamasi atitinkamai Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 25 straipsniu arba Reglamento 35 straipsniu ir Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašu, patvirtintu Valstybinės duomenų apsaugos inspekcijos direktoriaus 2019 m. kovo 14 d. įsakymu Nr. 1T-35 (1.12.E) „Dėl Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašo patvirtinimo“, atsižvelgiama į 29 darbo grupės PDAV gaires.

51. Poveikio duomenų apsaugai vertinimą Valdytojo vardu atlieka ta KAS institucija ar KAM padalinys, kuris dėl numatomų tvarkyti duomenų rengia teisės aktą ar kitaip inicijuoja tokį duomenų tvarkymą.

52. KAS institucijos ir KAM padaliniai, atlikdami KAM, kaip Valdytojo, numatomų tvarkyti duomenų poveikio duomenų apsaugai vertinimą:

52.1. parengia poveikio duomenų apsaugai vertinimo ataskaitą pagal pavyzdinę formą (9 priedas); 

52.2. derindami veiksmus ir konsultuodamiesi su duomenų apsaugos pareigūnais Taisyklių 52.3 papunktyje nustatyta tvarka, Valdytojo vardu inicijuoja išankstines konsultacijas su Valstybine duomenų apsaugos inspekcija, atitinkamai Reglamento 36 straipsnyje arba Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 26 straipsnio nustatyta tvarka, išskyrus atvejus, kai asmens duomenis numatoma tvarkyti ar jie tvarkomi nacionalinio saugumo ar (ir) gynybos tikslais;

Papunkčio pakeitimai:

Nr. V-385, 2022-05-11, paskelbta TAR 2022-05-11, i. k. 2022-09965

 

52.3. pirmiausia konsultuojasi su tos KAS institucijos (Tvarkytojo) duomenų apsaugos pareigūnu, taip pat su KAM (Valdytojo) duomenų apsaugos pareigūnu; išsiskyrus duomenų apsaugos pareigūnų nuomonėms, prioritetas teikiamas Valdytojo duomenų apsaugos pareigūno nuomonei.

 

X SKYRIUS

KONSULTAVIMASIS IR BENDRADARBIAVIMAS SU DUOMENŲ APSAUGOS PAREIGŪNU

 

53. Darbuotojai, tvarkantys asmens duomenis ar organizuojantys jų tvarkymą, siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam duomenų tvarkymui, privalo konsultuotis su jų institucijos duomenų apsaugos pareigūnu, o kai klausimas susijęs su asmens duomenų, kurių valdytoja yra KAM, tvarkymu – taip pat ir su KAM duomenų apsaugos pareigūnu šiais klausimais:

53.1. nagrinėjant duomenų subjektų prašymus dėl jų teisių įgyvendinimo pagal Taisykles ir teikiant informaciją duomenų subjektams;

53.2. tiriant duomenų saugumo pažeidimus;

53.3. rengiant administracinio teisės akto projektą, jei jis susijęs su asmens duomenų tvarkymu ir (ar) apsauga;

53.4. rengiant informaciją apie duomenų tvarkymo veiklos įrašų pildymą, pakeitimą ar atnaujinimą;

53.5. sudarant, keičiant duomenų perdavimo (teikimo) sutartis, pagal kurias perduodami (teikiami) ir (ar) gaunami asmens duomenys, ar teikiant asmens duomenis pagal prašymą;

53.6. atliekant poveikio duomenų apsaugai vertinimą;

53.7. keičiant esamus ar nustatant naujus asmens duomenų tvarkymo procesus;

53.8. priimant sprendimus dėl asmens duomenų apsaugos priemonių, įskaitant technines ir organizacines priemones, taikymo;

53.9. rengiant viešųjų pirkimų, kuriuos vykdant numatoma įsigyti asmens duomenų tvarkymo ir apsaugos priemonių (įskaitant technines ir organizacines), dokumentus.

54. KAS institucijų darbuotojai turi bendradarbiauti su KAS institucijų duomenų apsaugos pareigūnais ir teikti jiems informaciją apie institucijoje vykdomą asmens duomenų tvarkymą. KAS institucijos ir jų duomenų apsaugos pareigūnai, taip pat darbuotojai bei asmenys, priimti atlikti praktiką, turi bendradarbiauti su KAM duomenų apsaugos pareigūnu Taisyklių 53 punkte nurodytais atvejais, kai tai susiję su KAM, kaip Valdytojo, tvarkomais asmens duomenimis.

 

XI SKYRIUS

DUOMENŲ PERDAVIMO TREČIOSIOMS VALSTYBĖMS REIKALAVIMAI 

 

55. Asmens duomenys trečiosioms valstybėms gali būti perduodami, esant Reglamente ar, atitinkamai, Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatyme numatytam teisiniam pagrindui.

Pagrindinis asmens duomenų perdavimo trečiosioms valstybėms pagrindas – Europos Komisijos sprendimas dėl tinkamo lygio apsaugos (Reglamento 45 straipsnis, Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 35 straipsnis). Jeigu Europos Komisija nėra priėmusi sprendimo dėl tinkamo lygio apsaugos, vadovaujantis Reglamento 46 straipsnio 1 dalimi ar Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 36 straipsnio 1 dalimi, duomenų valdytojas arba duomenų tvarkytojas gali perduoti asmens duomenis trečiajai valstybei arba tarptautinei organizacijai, jeigu  gaunamų duomenų valdytojas arba tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis. Taikydamas šiuos pagrindus, duomenų valdytojas arba duomenų tvarkytojas, prireikus bendradarbiaudamas su duomenų gavėju, turi patikrinti, ar pagal paskirties trečiosios šalies teisę užtikrinama tinkama, atsižvelgiant į Europos Sąjungos teisę, asmens duomenų, perduodamų remiantis vienu iš Reglamento 46 straipsnyje ar Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 36 straipsnyje įtvirtintų asmens duomenų teikimo trečiosioms valstybėms įrankių, apsauga ir prireikus suteikiama papildomų garantijų.

Punkto pakeitimai:

Nr. V-385, 2022-05-11, paskelbta TAR 2022-05-11, i. k. 2022-09965

 

56. Kai asmens duomenų tvarkymui taikomos Reglamento nuostatos, duomenys trečiosioms valstybėms perduodami laikantis Reglamento straipsniuose, Leidimų perduoti asmens duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms išdavimo tvarkos aprašo, patvirtinto Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 18 d. įsakymu Nr. 1T-68 (1.12.E) „Dėl Leidimų perduoti asmens duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms išdavimo tvarkos aprašo patvirtinimo“, nustatytų sąlygų ir tvarkos.

 

XII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

57. Jeigu KAM tvarkoma informacija turi būti skelbiama viešai ir joje yra viešai neskelbtinų duomenų (valstybės, tarnybos, profesinių, komercinių ar kitų teisės aktų saugomų paslapčių arba kitokių neskelbtinų duomenų) ar asmens duomenų (fizinių asmenų asmens kodai, gyvenamųjų vietų adresai, gimimo datos ir vietos, valstybiniai automobilių numeriai, sveikatos duomenys ir kita), parengiama viešai skelbtina teksto versija, kurioje asmens duomenys pakeičiami taip, kad duomenų subjekto tapatybės nebūtų galima nustatyti. Nuasmeninant informaciją rekomenduotina vadovautis Valstybinės duomenų apsaugos inspekcijos 2020 m. rugpjūčio 5 d. rekomendacija „Nuasmeninimo metodai“.

58. KAS rengiamų Lietuvos Respublikos teisės aktų, reglamentuojančių asmens duomenų tvarkymą, projektuose nurodomi duomenų tvarkymo tikslai, tvarkytini asmens duomenys ir kiti duomenų tvarkymo reikalavimai, kuriais siekiama užtikrinti teisėtą asmens duomenų tvarkymą; kai duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais, taip pat nurodomi duomenų tvarkymo siekiai.

____________________________

 

 

 

Priedų pakeitimai:

 

2 priedas (nauja redakcija pagal V-871)

 

3 priedas (nauja redakcija pagal V-871)

 

4 priedas (nauja redakcija pagal V-871)

 

5 priedas (nauja redakcija pagal V-871)

 

6 priedas (nauja redakcija pagal V-871)

 

7 priedas (nauja redakcija pagal V-871)

 

8 priedas (nauja redakcija pagal V-871)

 

9 priedas (nauja redakcija pagal V-871)

 

1 priedas (nauja redakcija pagal V-307)

 

 

 

Pakeitimai:

 

1.

Lietuvos Respublikos krašto apsaugos ministerija, Įsakymas

Nr. V-996, 2016-10-28, paskelbta TAR 2016-11-02, i. k. 2016-26088

Dėl krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymo Nr. V-1253 „Dėl Asmens duomenų tvarkymo krašto apsaugos sistemoje taisyklių patvirtinimo“ pakeitimo

 

2.

Lietuvos Respublikos krašto apsaugos ministerija, Įsakymas

Nr. V-1283, 2017-12-28, paskelbta TAR 2017-12-29, i. k. 2017-21700

Dėl krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymo Nr. V-1253 „Dėl Asmens duomenų tvarkymo krašto apsaugos sistemoje taisyklių patvirtinimo“ pakeitimo

 

3.

Lietuvos Respublikos krašto apsaugos ministerija, Įsakymas

Nr. V-977, 2018-10-15, paskelbta TAR 2018-10-16, i. k. 2018-16244

Dėl krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymo Nr. V-1253 „Dėl Asmens duomenų tvarkymo krašto apsaugos sistemoje taisyklių patvirtinimo“ pakeitimo

 

4.

Lietuvos Respublikos krašto apsaugos ministerija, Įsakymas

Nr. V-278, 2020-04-06, paskelbta TAR 2020-04-16, i. k. 2020-07974

Dėl Krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymo Nr. V-1253 „Dėl Asmens duomenų tvarkymo krašto apsaugos sistemoje taisyklių patvirtinimo“ pakeitimo

 

5.

Lietuvos Respublikos krašto apsaugos ministerija, Įsakymas

Nr. V-661, 2020-08-14, paskelbta TAR 2020-08-14, i. k. 2020-17389

Dėl krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymo Nr. V-1253 „Dėl Asmens duomenų tvarkymo krašto apsaugos sistemoje taisyklių patvirtinimo“ pakeitimo

 

6.

Lietuvos Respublikos krašto apsaugos ministerija, Įsakymas

Nr. V-813, 2020-10-09, paskelbta TAR 2020-10-09, i. k. 2020-21121

Dėl krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymo Nr. V-1253 „Dėl Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklių patvirtinimo“ pakeitimo

 

7.

Lietuvos Respublikos krašto apsaugos ministerija, Įsakymas

Nr. V-871, 2021-11-12, paskelbta TAR 2021-11-12, i. k. 2021-23489

Dėl krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymo Nr. V-1253 „Dėl Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklių patvirtinimo“ pakeitimo

 

8.

Lietuvos Respublikos krašto apsaugos ministerija, Įsakymas

Nr. V-385, 2022-05-11, paskelbta TAR 2022-05-11, i. k. 2022-09965

Dėl krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymo Nr. V-1253 „Dėl Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklių patvirtinimo“ pakeitimo

 

9.

Lietuvos Respublikos krašto apsaugos ministerija, Įsakymas

Nr. V-307, 2023-04-18, paskelbta TAR 2023-04-19, i. k. 2023-07546

Dėl Krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymo Nr. V-1253 „Dėl Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklių patvirtinimo“ pakeitimo