Suvestinė redakcija nuo 2021-04-15 iki 2023-03-23

 

Įsakymas paskelbtas: TAR 2019-01-25, i. k. 2019-01162

 

 

ŠIAULIŲ RAJONO SAVIVALDYBĖS ADMINISTRACIJOS

DIREKTORIUS

 

ĮSAKYMAS

DĖL ASMENS DUOMENŲ TVARKYMO ŠIAULIŲ RAJONO SAVIVALDYBĖS ADMINISTRACIJOJE POLITIKOS PATVIRTINIMO

 

2019 m. sausio 25 d.   Nr.  A-97

Šiauliai

 

 

Vadovaudamasis Lietuvos Respublikos vietos savivaldos įstatymo 29 straipsnio 8 dalies 2 punktu, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, įgyvendindamas 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB:

1. T v i r t i n u  Asmens duomenų tvarkymo Šiaulių rajono savivaldybės administracijoje politiką (pridedama).

2. P r i p a ž į s t u netekusiu galios Šiaulių rajono savivaldybės administracijos direktoriaus 2018 m. birželio 7 d. įsakymą Nr. A-770 „Dėl Asmens duomenų tvarkymo Šiaulių rajono savivaldybės administracijoje taisyklių patvirtinimo“.

Šis įsakymas skelbiamas Teisės aktų registre ir gali būti skundžiamas Lietuvos Respublikos administracinių bylų įstatymo nustatyta tvarka.

 

 

 

Administracijos  direktorius                                                                                    Gipoldas Karklelis


 

PATVIRTINTA

Šiaulių rajono savivaldybės

administracijos direktoriaus

2019 m. sausio 25 d. įsakymu Nr. A-97

 

ASMENS DUOMENŲ TVARKYMO ŠIAULIŲ RAJONO SAVIVALDYBĖS ADMINISTRACIJOJE POLITIKA

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.    Asmens duomenų tvarkymo Šiaulių rajono savivaldybės administracijos politikos (toliau – Politika) tikslas – reglamentuoti asmens duomenų tvarkymą Šiaulių rajono savivaldybės administracijoje (toliau – Administracija), nustatyti pagrindines asmens duomenų tvarkymo, duomenų subjekto teisių įgyvendinimo, duomenų apsaugos technines bei organizacines priemones ir kitas procedūras, siekiant užtikrinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.

2. Duomenų subjektų asmens duomenis tvarko duomenų valdytojas – Šiaulių rajono savivaldybės administracija, juridinio asmens kodas 188726051, buveinės adresas Vilniaus g. 263, 76377 Šiauliai.

3.    Politikos privalo laikytis visi Administracijoje dirbantys valstybės tarnautojai, darbuotojai, dirbantys pagal darbo sutartis, ir studentai, priimti atlikti praktiką Administracijoje, valstybės politikai, stažuotojai bei kitais pagrindais atliekantys funkcijas ar vykdantys veiklą Administracijoje asmenys (toliau – Administracijos darbuotojai), kurie tvarko Administracijoje esančius asmens duomenis arba eidami savo pareigas sužino asmens duomenis.

4. Politikoje nurodytų asmens duomenų valdytojas yra Administracija, kuri užtikrina, kad asmens duomenys Administracijoje bus tvarkomi laikantis Reglamente (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose nustatytų asmens duomenų tvarkymo reikalavimų. Politikoje nurodytus asmens duomenis teisės aktų nustatytais atvejais ir tvarka gali tvarkyti ir kiti subjektai (asmens duomenų valdytojai ir tvarkytojai).

5. Administracija, kaip asmens duomenų valdytoja, atlikdama Lietuvos Respublikos įstatymuose ir kituose teisės aktuose nustatytas funkcijas, turi teisę gauti iš valstybės ir savivaldybių institucijų, įstaigų, organizacijų ir trečiųjų asmenų informaciją teisės aktų nustatyta tvarka tvarkyti asmens duomenis.

6. Politikoje vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679 ir Lietuvos Respublikos teisės aktuose.

 

II SKYRIUS

DUOMENŲ TVARKYMO principai IR TIKSLAI

 

7. Administracijos darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo laikytis pagrindinių asmens duomenų tvarkymo principų:

7.1. asmens duomenis tvarkyti teisėtai, sąžiningai ir skaidriai;

7.2. asmens duomenys turi būti renkami teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu;

7.3. renkant ir tvarkant asmens duomenis laikytis tikslingumo, proporcingumo ir duomenų kiekio mažinimo principų, t. y. nereikalauti iš interesantų pateikti tų duomenų, kurie nėra būtini Administracijos funkcijoms vykdyti, nekaupti ir netvarkyti perteklinių duomenų ir duomenų, kurie nėra būtini atitinkamiems tikslams pasiekti;

7.4. užtikrinti asmens duomenų tikslumą ir, jei reikia dėl asmens duomenų tvarkymo, juos atnaujinti; netikslius ar neišsamius duomenis ištaisyti, papildyti, sunaikinti arba jų tvarkymą sustabdyti;

7.5. asmens duomenis saugoti tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;

7.6. asmens duomenis tvarkyti tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;

7.7. asmens duomenis saugoti teisės aktų ir Politikos nustatyta tvarka.

8. Administracija, įgyvendindama savarankiškąsias ir valstybines (valstybės perduotas savivaldybėms) funkcijas, asmens duomenis pagal kompetenciją tvarko teikiamoms administracinėms paslaugoms vykdyti bei vidaus administravimo funkcijoms atlikti.

9. Neteko galios nuo 2021-04-15

Punkto naikinimas:

Nr. A-650, 2021-04-14, paskelbta TAR 2021-04-14, i. k. 2021-07721

 

10. Administracijos direktorius, jo pavaduotojas asmens duomenis tvarko tiek, kiek reikia organizuojant ir kontroliuojant Administracijos veiklą.

Punkto pakeitimai:

Nr. A-650, 2021-04-14, paskelbta TAR 2021-04-14, i. k. 2021-07721

 

11. Administracijos darbuotojai gali tvarkyti asmens duomenis ir kitais tikslais, jei tai yra būtina jiems pavestų funkcijų vykdymui.

12. Administracijos duomenų tvarkymo tikslai ir kiekvienu tikslu tvarkomų asmens duomenų  kategorijos nurodomos Administracijos duomenų tvarkymo veiklos įrašuose.

 

III SKYRIUS

DUOMENŲ VALDYTOJO FUNKCIJOS, TEISĖS IR PAREIGOS

 

13. Administracija, tvarkydama asmens duomenis, atlieka šias funkcijas:

13.1. nustato asmens duomenų tvarkymo tikslus ir priemones;

13.2. užtikrina, kad asmens duomenys būtų renkami nustatytais, aiškiai apibrėžtais ir teisėtais tikslais ir toliau tvarkomi tik su tais tikslais suderinamu būdu;

13.3. užtikrina, kad asmens duomenys būtų tvarkomi teisėtai, sąžiningai ir skaidriai;

13.4. užtikrina, kad asmens duomenys būtų adekvatūs, tinkami ir tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi;

13.5. užtikrina, kad asmens duomenys būtų tikslūs ir prireikus atnaujinami, o netikslūs asmens duomenys nedelsiant ištrinami arba ištaisomi;

13.6. užtikrina, kad asmens duomenys būtų laikomi tokia forma, kad nustatyti duomenų subjekto tapatybę būtų galima ne ilgiau, nei būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;

13.7. užtikrina, kad būtų taikomos tinkamos techninės ir organizacinės duomenų saugumo priemonės, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;

13.8. užtikrina duomenų subjekto teisių įgyvendinimą.

14. Administracija turi šias teises:

14.1. rengti ir priimti vidinius teisės aktus, reglamentuojančius asmens duomenų tvarkymą;

14.2. spręsti dėl asmens duomenų teikimo;

14.3. įgalioti duomenų tvarkytojus tvarkyti asmens duomenis;

14.4. kitas teisės aktuose nustatytas teises.

15. Administracija turi šias pareigas:

15.1. užtikrinti, kad asmens duomenys būtų tvarkomi pagal teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytus asmens duomenų tvarkymo reikalavimus;

15.2. įdiegti vidinius procesus, užtikrinančius duomenų subjekto teisių įgyvendinimą;

15.3. užtikrinti asmens duomenų saugumą, įgyvendinant tinkamas organizacines ir technines asmens duomenų saugumo priemones;

15.4. parinkti tik tokį duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines asmens duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi;

15.5. paskirti duomenų apsaugos pareigūną;

15.6. pildyti duomenų tvarkymo veiklos įrašus;

15.7. teisės aktų nustatytais atvejais atlikti poveikio duomenų apsaugai vertinimą;

15.8. valdyti asmens duomenų saugumo pažeidimus ir teisės aktuose nustatytais atvejais pranešti apie juos priežiūros institucijai ir duomenų subjektams;

15.9. tiek nustatant duomenų tvarkymo priemones, tiek duomenų tvarkymo metu nuo asmens duomenų surinkimo iki saugojimo termino pabaigos įgyvendinti tinkamas technines ir organizacines priemones, įskaitant pseudonimų suteikimą, kad būtų veiksmingai įgyvendinti duomenų apsaugos principai, nurodyti Politikos 7 punkte;

15.10. kitas teisės aktuose nustatytas pareigas.

 

IV SKYRIUS

ASMENS DUOMENŲ TVARKYMAS

 

16. Administracijoje asmens duomenys tvarkomi vadovaujantis Reglamentu (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Lietuvos Respublikos elektroninių ryšių įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir privatumo apsaugą, Lietuvos standartais LST ISO/IEC 27001 ir LST ISO/IEC 27002.

17. Administracija tvarko tik tuos asmens duomenis, kurie būtini kiekvienam konkrečiam duomenų tvarkymo tikslui.

Punkto pakeitimai:

Nr. A-650, 2021-04-14, paskelbta TAR 2021-04-14, i. k. 2021-07721

 

18. Asmens duomenys Administracijoje tvarkomi automatiniu būdu ir (ar) neautomatiniu būdu susistemintose rinkmenose.

19. Asmens duomenys Administracijoje automatiniu būdu tvarkomi ir saugomi tarnybinėse stotyse, informacinėse sistemose, darbuotojų kompiuteriuose. 

20. Asmens duomenys Administracijoje renkami tik įstatymų ir kitų teisės aktų nustatyta tvarka, juos gaunant tiesiogiai iš duomenų subjektų, oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų ar sutarčių ir teisės aktų pagrindu prisijungiant prie atskirus duomenis kaupiančių duomenų bazių, registrų ir informacinių sistemų.

21. Administracijos darbuotojai, prieš pradėdami tvarkyti asmens duomenis, pasirašo įsipareigojimus saugoti asmens duomenų paslaptį (toliau – Įsipareigojimas) (Politikos 2 priedas). Šiuo įsipareigojimu yra saugomi visi asmens duomenys, su kuriais susipažįsta Administracijos darbuotojai atliekant savo funkcijas, jeigu Lietuvos Respublikos įstatymai nenumato kitaip. Pareiga saugoti asmens duomenų paslaptį taip pat galioja darbuotoją paskyrus į kitas pareigas Administracijoje bei pasibaigus darbo santykiams. Administracijos darbuotojų pasirašyti įsipareigojimai iš naujo yra peržiūrimi ne rečiau kaip kartą per metus.

Punkto pakeitimai:

Nr. A-2160, 2020-12-14, paskelbta TAR 2020-12-14, i. k. 2020-27239

 

22. Administracijos darbuotojai automatiniu būdu tvarkyti asmens duomenis gali tik po to, kai jiems tokį įgaliojimą suteikia Administracijos direktorius ir teisės aktų nustatyta tvarka jiems suteikiama prieigos teisė prie bylos medžiagos, kurioje yra asmens duomenų, ar atitinkamos informacinės sistemos. Darbo santykiams pasibaigus, darbuotojui prieigos prie registrų ir kitų programų teisės panaikinamos teisės aktų nustatyta tvarka.

23. Tais atvejais, kai yra naudojami asmens duomenys viešai skelbiamame dokumente – asmens duomenys yra nuasmeninami. Pavyzdžiui, dokumente naudojant vardą ir pavardę, asmens vardas ir pavardė yra nerašomi, o į jų vietą parašoma „(duomenys neskelbtini)“.

24. Administracija, kaip duomenų tvarkytoja, tvarko asmens duomenis valstybės registruose, informacinėse sistemose atitinkamo registro, informacinės sistemos nuostatų nustatyta tvarka.

25. Garso ir vaizdo įrašymo priemonės Administracijoje yra naudojamos tik prieš tai informavus asmenis, kurių duomenys bus fiksuojami. Garso ir vaizdo įrašymo priemonių naudojimas turi būti užfiksuotas protokoluose.

26. Administracijos renginiuose, kurių metu bus filmuojama ar fotografuojama, Administracijos darbuotojas pateikia informacinę medžiagą (3 Politikos priedas) renginio dalyviams matomoje vietoje, o jeigu nėra galimybės, nurodytą informacinę medžiagą pateikia žodžiu.

27. Su dokumentais, nuotraukomis, vaizdo ar garso įrašais, kuriuose yra asmens duomenų, tretiesiems asmenims susipažinti draudžiama. Kitiems asmenims gali būti leidžiama susipažinti su asmens duomenis turinčia informacija, tik jeigu tai yra būtina siekiant užtikrinti jų teisę į gynybą procedūros dalyvių išklausymo Administracijoje metu.

 

V SKYRIUS

DUOMENŲ SAUGOJIMO IR SUNAIKINIMO TVARKA

 

28. Asmens duomenų saugojimo terminus ir veiksmus, kurie atliekami pasibaigus šiam terminui, nustato teisės aktai, reglamentuojantys asmens duomenų tvarkymą. Konkretūs asmens dokumentų (duomenų) saugojimo terminai yra nustatomi Administracijos direktoriaus patvirtintame dokumentacijos plane.

29. Administracijos tvarkomi asmens duomenys saugomi serveriuose, esančiuose Europos Sąjungos teritorijoje.

30. Asmens duomenys Administracijoje saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.

31. Dokumentus, kuriuose yra asmens duomenų, saugo Administracijos padaliniai dokumentacijos plane patvirtintą terminą. Administracijos padaliniai, vadovaudamiesi Lietuvos Respublikos dokumentų ir archyvų įstatymu ir Bendrųjų dokumentų saugojimo terminų rodykle, patvirtinta Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“, perduoda dokumentus saugoti į Administracijos Civilinės metrikacijos skyriaus Archyvo poskyrį. Pasibaigus dokumentacijos plane nustatytam saugojimo terminui, dokumentai, kuriuose yra asmens duomenų, sunaikinami arba perduodami saugoti valstybės archyvui.

32. Informacinėse sistemose įrašyti asmens duomenys saugomi kartu su kitais duomenimis duomenų bazėje, o vėliau perduodami į duomenų bazės archyvą. Jų saugojimo terminus ir tvarką reglamentuoja Lietuvos Respublikos teisės aktai, Administracijos informacinės sistemos duomenų saugumo nuostatai, patvirtinti Administracijos direktoriaus 2016 m. vasario 8 d. įsakymu Nr. A-148, ir kiekvienais metais tvirtinami Administracijos dokumentacijos planai.

33. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie yra sunaikinami, išskyrus tuos asmens duomenis, kurie įstatymų nustatyta tvarka turi būti perduodami į valstybės archyvą ar kitais teisės aktų reglamentuojamais atvejais.

34. Dokumentai, kuriuose yra asmens duomenų, ar jų kopijos turi būti sunaikinti taip, kad jų nebūtų galima atkurti ir atpažinti turinio.

35. Už asmens duomenų sunaikinimą dokumentuose, nurodytuose Administracijos dokumentacijos plane, informacinėse sistemose ir duomenų bazėse atsakingas Administracijos Informacinių technologijų skyrius, už asmens duomenų turinčių dokumentų, saugomų ir tvarkomų Administracijos padaliniuose ir neįtrauktų į Administracijos dokumentacijos planą, sunaikinimą atsakingi atitinkamų padalinių vadovai.

Punkto pakeitimai:

Nr. A-650, 2021-04-14, paskelbta TAR 2021-04-14, i. k. 2021-07721

 

VI SKYRIUS

DARBUOTOJŲ ASMENS DUOMENŲ TVARKYMAS IR SAUGOJIMAS

 

36. Darbuotojų asmens duomenis turi teisę tvarkyti tik tie asmenys, kuriems jie yra būtini funkcijoms vykdyti, ir tik tuomet, kai tai yra būtina atitinkamiems tikslams pasiekti.

37. Darbuotojų asmens duomenys saugomi asmens bylose bei atitinkamose Administracijos tvarkomose duomenų bazėse.

38. Administracijos darbuotojai apie jų asmens duomenų tvarkymą informuojami raštu duomenų gavimo metu ar prieš gaunant asmens duomenis, jiems pateikiant Politikos 4 priede nustatytą formą. Užpildyta forma yra segama į Administracijos darbuotojų asmens bylas.

39. Administracija vykdo nuolatinę tarnybinių automobilių stebėseną naudodama vietos nustatymo įrenginius (toliau – Įrenginiai). Apie šių įrenginių naudojimą Administracijos darbuotojai informuojami Šiaulių rajono savivaldybės administracijos direktoriaus patvirtintu Asmens duomenų tvarkymo vykdant darbuotojų tarnybinių automobilių naudojimo stebėseną tvarkos aprašu.

Punkto pakeitimai:

Nr. A-326, 2019-03-15, paskelbta TAR 2019-03-15, i. k. 2019-04202

 

40. Darbuotojų, kaip duomenų subjektų, teisės Administracijoje įgyvendinamos vadovaujantis Reglamentu (ES) 2016/679 ir Duomenų subjektų teisių įgyvendinimo Šiaulių rajono savivaldybės administracijoje tvarkos aprašu, kurį tvirtina Administracijos direktorius.

 

VII SKYRIUS

REIKALAVIMAI ADMINISTRACIJOS DARBUOTOJAMS, TVARKANTIEMS ASMENS DUOMENIS

 

41. Administracija užtikrina, kad  asmens duomenis tvarkytų ar su jais susipažinti  galėtų tik tie Administracijos darbuotojai, kuriems tokie duomenys yra reikalingi jų funkcijoms atlikti.

42. Administracijos darbuotojai, tvarkydami asmens duomenis informacinėse sistemose, su asmens duomenimis gali atlikti tik tuos veiksmus, kuriems atlikti yra suteiktos teisės.

43. Administracijos darbuotojai, tvarkantys asmens duomenis, privalo:

43.1. laikytis su asmens duomenų tvarkymu susijusių principų ir saugumo reikalavimų, įtvirtintų Reglamente (ES) 2016/679, Politikoje ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą ir privatumo apsaugą;

43.2. laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino atlikdami savo funkcijas, nebent tokia informacija yra vieša pagal galiojančių teisės aktų reikalavimus;

43.3. neatskleisti, neperduoti ar kitu būdu nesudaryti galimybės naudotis ir (ar) susipažinti su asmens duomenimis nė vienam asmeniui, kuriam nėra pavesta dirbti ir (ar) susipažinti su asmens duomenimis Administracijoje ar už jos ribų;

43.4. netvarkyti asmens duomenų, jeigu nėra tam įgalioti;

43.5. duomenų subjektų pateiktus dokumentus ir jų kopijas, finansavimo, buhalterinės apskaitos ir atskaitomybės, archyvines ar kitas bylas, kuriose yra asmens duomenų, saugoti  rakinamose spintose, seifuose arba patalpose. Dokumentus, kuriuose yra asmens duomenų, laikyti taip, kad teisės susipažinti su asmens duomenimis neturintys asmenys negalėtų su jais susipažinti (švaraus stalo politika);

43.6. nedelsiant pranešti duomenų apsaugos pareigūnui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę Administracijos tvarkomų asmens duomenų saugumui.

44. Administracijos darbuotojas netenka teisės tvarkyti asmens duomenis, kai pasibaigia jo darbo santykiai su Administracija arba kai jam pavedama vykdyti su duomenų tvarkymu nesusijusias funkcijas.

 

VIII SKYRIUS

DUOMENŲ APSAUGOS PAREIGŪNAS

 

45. Administracija asmens duomenis tvarko kaip valdžios įstaiga, atsižvelgiant į tai Administracijoje yra paskiriamas duomenų apsaugos pareigūnas.

46. Administracija apie duomenų apsaugos pareigūno paskyrimą praneša Valstybinei duomenų apsaugos inspekcijai.

47. Administracija užtikrina duomenų apsaugos pareigūnui garantijas, įtvirtintas Reglamento (ES) 2016/679 38 straipsnyje.

48. Duomenų apsaugos pareigūnas vykdo Reglamento (ES) 2016/679 39 straipsnyje nurodytas užduotis.

49. Administracijos darbuotojai, tvarkantys asmens duomenis ar organizuojantys jų tvarkymą, siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam duomenų tvarkymui, privalo konsultuotis su duomenų apsaugos pareigūnu ir gauti jo nuomonę šiais atvejais:

49.1. keičiant esančius ar nustatant naujus asmens duomenų tvarkymo procesus;

49.2. tobulinant esamas ar diegiant naujas su asmens duomenų tvarkymu susijusias sistemas ar programas;

49.3. atliekant poveikio duomenų apsaugai vertinimą;

49.4. rengiant su asmens duomenų tvarkymu susijusius vidaus teisės aktus;

49.5. rengiant naujas ar keičiant esamas asmens duomenų teikimo, duomenų tvarkymo sutartis;

49.6. sprendžiant dėl asmens duomenų teikimo tretiesiems asmenims, jeigu toks teikimas nėra numatytas asmens duomenų teikimo sutartyje ar nėra reglamentuotas teisės aktuose;

49.7. kitais atvejais, jeigu klausimas susijęs su asmens duomenų apsauga Administracijoje.

50. Priimant sprendimus Politikos 49.1–49.6 papunkčiuose nurodytais atvejais, duomenų apsaugos pareigūno nuomonė gaunama raštu. Jeigu priimant šiuos sprendimus į duomenų apsaugos pareigūno nuomonę visiškai ar iš dalies neatsižvelgiama, neatsižvelgimo motyvai išdėstomi raštu.

51. Administracijos darbuotojai privalo bendradarbiauti su duomenų apsaugos pareigūnu ir teikti jam informaciją apie vykdomą asmens duomenų tvarkymą.

52. Duomenų apsaugos pareigūnas nevykdo jokių kitų pareigų ar funkcijų, kurios galėtų sukelti interesų konfliktą su jo atliekamomis pareigūno funkcijomis.

53. Duomenų apsaugos pareigūno kontaktiniai duomenys skelbiami Šiaulių rajono savivaldybės interneto svetainėje www.siauliuraj.lt.

 

IX SKYRIUS

TECHNINĖS IR ORGANIZACINĖS ASMENS DUOMENŲ APSAUGOS

PRIEMONĖS

 

54. Administracijos darbuotojai privalo laikytis Politikos nuostatų ir prisidėti įgyvendinant Administracijoje įdiegtas organizacines ir technines priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto naikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

55. Administracijos įgyvendinamos asmens duomenų saugumo priemonės išdėstytos Informacinės sistemos saugos nuostatuose ir Administracijos direktoriaus patvirtintame Organizacinių ir techninių asmens duomenų saugumo priemonių įgyvendinimo tvarkos apraše.

 

X SKYRIUS

ASMENS DUOMENŲ TEIKIMAS DUOMENŲ GAVĖJAMS IR DUOMENŲ TVARKYTOJAMS

 

56. Administracija teikia asmens duomenis duomenų gavėjams – tretiesiems asmenims ir duomenų tvarkytojams.

57. Asmens duomenys tretiesiems asmenims teikiami pagal asmens duomenų teikimo sutartį (daugkartinio teikimo atveju), pagal prašymą (vienkartinio teikimo atveju) arba teisės aktų nustatyta tvarka.

58. Sprendimą perduoti duomenų subjekto duomenų tvarkymą asmens duomenų tvarkytojui priima Administracijos direktorius arba jo įgaliotas asmuo.

59. Administracija gali teikti asmens duomenis duomenų tvarkytojams, kurie teikia Administracijai informacinių sistemų kūrimo, tobulinimo ir palaikymo, duomenų centrų ir panašias paslaugas, mokymų ir renginių organizavimo, turto priežiūros ir aptarnavimo organizavimo, taip pat teikia kitas paslaugas ar atlieka kitus darbus ir tvarko asmens duomenis duomenų valdytojo vardu.

60. Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik pagal Administracijos nurodymus ir tik tiek, kiek tai būtina siekiant tinkamai vykdyti teisės aktuose ar paslaugų teikimo sutartyje nustatytus įsipareigojimus, išskyrus atvejus, kai duomenų tvarkytojo atliekamas asmens duomenų tvarkymas yra reglamentuotas teisės aktuose. Nuostatos, susijusios su asmens duomenų tvarkymu ir apsauga, įtraukiamos į sudaromas su duomenų tvarkytojais sutartis. Sutartyse nustatomi duomenų tvarkymo dalykas ir trukmė, duomenų tvarkymo pobūdis ir tikslas, asmens duomenų rūšis ir duomenų subjektų kategorijos, duomenų valdytojo prievolės ir teisės bei kitos Reglamento (ES) 2016/679 28 straipsnyje numatytos privalomos nuostatos.

61. Administracija pasitelkia tik tuos duomenų tvarkytojus, kurie užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Reglamento (ES) 2016/679 reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.

62. Administracija, sudarydama sutartį su duomenų tvarkytoju, nurodo, kad duomenų tvarkytojas privalo užtikrinti Administracijos perduodamų tvarkyti duomenų konfidencialumą ir pasirašo konfidencialumo pasižadėjimą. Šie konfidencialumo pasižadėjimai yra peržiūrimi ir, jei reikia, atnaujinami ne rečiau kaip kartą per metus. Visi duomenų tvarkytojai ketindami asmens duomenų tvarkymui pasitelkti trečiuosius asmenis (kitus duomenų tvarkytojus) privalo gauti išankstinį rašytinį Administracijos pritarimą bei užtikrinti, kad pasitelktas subtvarkytojas laikytųsi tų pačių reikalavimų, kurie nustatyti duomenų tvarkytojui.

Punkto pakeitimai:

Nr. A-2160, 2020-12-14, paskelbta TAR 2020-12-14, i. k. 2020-27239

 

63. Administracija duomenų subjektų duomenis duomenų gavėjams teikia tik pagal sudarytą sutartį arba vienkartinį duomenų gavėjo prašymą nepažeisdama teisės aktuose įtvirtintų reikalavimų.

64. Duomenys gali būti teikiami, kai duomenų gavėjas teiktame prašyme nurodo:

64.1. duomenų gavimo konkretų ir aiškiai apibrėžtą tikslą;

64.2. duomenų gavimo teisinį pagrindą;

64.3. duomenų teikimo teisinį pagrindą, nurodytą Reglamente (ES) 2016/679, kuriuo vadovaudamasi Administracija turi teisę pateikti šiuos duomenis duomenų gavėjui;

64.4. tikslią duomenų apimtį;

64.5. kai duomenis pateikti prašoma vadovaujantis Reglamento (ES) 2016/679 6 straipsnio 1 dalies e arba f punktais, t. y. duomenis teikti reikia siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas arba teikti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų apsaugos, prašyme turi būti nurodyta, kodėl šių asmenų interesai yra viršesni už duomenų subjekto interesus.

65. Asmens duomenų teikimas valstybės ir savivaldybės institucijoms ir įstaigoms, kai šios institucijos ir įstaigos pagal konkretų paklausimą gauna asmens duomenis įstatymų nustatytoms kontrolės funkcijoms vykdyti, nelaikytinas duomenų teikimu duomenų gavėjams.

 

XI SKYRIUS

DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI

 

66. Administracijoje pildomi duomenų tvarkymo veiklos įrašai Administracijai tvarkant asmens duomenis kaip duomenų valdytojai.

67. Administracijos asmens duomenų tvarkymo veiklos įrašuose nurodoma:

67.1. duomenų valdytojo duomenys, duomenų apsaugos pareigūno vardas, pavardė ir kontaktiniai duomenys;

67.2. duomenų tvarkymo tikslai;

67.3. duomenų tvarkymo pagrindas;

67.4. duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas;

67.5. duomenų gavėjų, kuriems atskleidžiami asmens duomenys, kategorijos;

67.6. kai taikoma, asmens duomenų perdavimai į trečiąją valstybę, įskaitant tos trečiosios valstybės pavadinimą, ir privalomi tinkamų apsaugos priemonių dokumentai;

67.7. duomenų ištrynimo terminai;

67.8. kai įmanoma, bendras techninių ir organizacinių saugumo priemonių aprašymas.

68. Duomenų tvarkymo veiklos įrašuose gali būti ir kitų nuostatų, pildomų pagal poreikį. Duomenų tvarkymo veiklos įrašų informacija yra suvedama į duomenų tvarkymo veiklos įrašų žurnalą ir saugomi elektronine forma pas duomenų apsaugos pareigūną.

69. Priežiūros institucijai pateikus pagrįstą reikalavimą susipažinti su duomenų tvarkymo veiklos įrašų žurnalu, Administracija pateikia atitinkamą žurnalą per prašyme nustatytą terminą. Duomenų tvarkymo veiklos įrašo žurnalo forma pateikiama 6 Politikos priede.

70. Duomenų tvarkymo veiklos įrašai yra tikrinami ir atnaujinami pagal poreikį, kad atitiktų realią asmens duomenų tvarkymo situaciją Administracijoje.

 

XII SKYRIUS

KONSULTACIJA SU PRIEŽIŪROS INSTITUCIJA

 

71. Administracija, prieš pradėdama tvarkyti asmens duomenis, konsultuojasi su Valstybine duomenų apsaugos inspekcija, kai atlikus poveikio duomenų apsaugai vertinimą yra nustatoma, kad tvarkant asmens duomenis kiltų didelis pavojus fizinių asmenų teisėms ir laisvėms duomenų valdytojui nesiėmus priemonių pavojui sumažinti.

72. Kreipdamasi į Valstybinė duomenų apsaugos inspekciją Administracija pateikia:

72.1. prašymą dėl išankstinės konsultacijos (toliau – Prašymas), kuriame pateikia:

72.1.1. Administracijos, bendrų duomenų valdytojų, kai viena iš šalių yra Administracija, atsakomybės sritis;

72.1.2. duomenų tvarkymo tikslus ir priemones;

72.1.3. duomenų subjektų teisėms ir laisvėms apsaugoti taikomų techninių ir organizacinių priemonių sąrašą;

72.1.4. duomenų apsaugos pareigūno kontaktus;

72.2. atlikto poveikio duomenų apsaugai vertinimo ataskaitą.

73. Teikiamą Prašymą pasirašo Administracijos direktorius ar jo įgaliotas asmuo. Prie Prašymo pridedami atstovavimą patvirtinantys dokumentai ar jų patvirtintos kopijos, kai Prašymą teikia Administracijos direktoriaus įgaliotas atstovas.

 

XIII SKYRIUS

POVEIKIO DUOMENŲ APSAUGAI VERTINIMO TVARKA

 

74. Reglamento (ES) 2016/679 35 straipsnio ir Valstybinės duomenų apsaugos inspekcijos nustatytais atvejais Administracijoje yra atliekamas poveikio duomenų apsaugai vertinimas.

75. Administracijai prieš pradėdama vykdyti naują (-as) duomenų tvarkymo operaciją (-as), privalo atlikti poveikio duomenų apsaugai vertinimą, jei duomenų tvarkymas:

75.1. keltų didelį pavojų duomenų subjektų teisėms ir laisvėms;

75.2. automatizuotai būtų tvarkomi asmeniniai aspektai, vykdomas profiliavimas ir priimami teisiniai ar kiti didelio poveikio (pavyzdžiui, kai duomenų tvarkymas gali lemti asmenų atskirtį arba diskriminaciją) sprendimai;

75.3. būtų pradėtas vykdyti sistemingas vaizdo stebėjimas dideliu mastu;

75.4. būtų pradėti tvarkyti ypatingi asmens duomenys dideliu mastu.

76. Poveikio duomenų apsaugai vertinimą atlieka Administracijos darbuotojai arba asmenys pagal paslaugų teikimo sutartį.

77. Atliekant poveikio duomenų apsaugai vertinimą, konsultuojamasi su duomenų apsaugos pareigūnu. Jeigu atliekamas poveikio duomenų apsaugai vertinimas yra susijęs su darbuotojų asmens duomenų tvarkymu, papildomai konsultuojamasi su darbo taryba arba jos funkcijas atliekančia institucija. Duomenų apsaugos pareigūno ir darbo tarybos arba jos funkcijas atliekančios institucijos nuomonė gaunama raštu.

78. Jei Administracija, atlikdama poveikio duomenų apsaugai vertinimą nustato, kad duomenų subjektų teisėms ir laisvėms gali kilti didelis pavojus (žr. Politikos 71 punktą), ji privalo konsultuotis su Valstybine duomenų apsaugos inspekcija dėl tinkamų saugumo ir kitų priemonių įgyvendinimo.

79. Administracija, atlikdama poveikio duomenų apsaugai vertinimą, nustato:

79.1. kokia bus atliekama duomenų tvarkymo operacija (-os);

79.2. ar duomenų tvarkymo operacija yra reikalinga ir proporcinga siekiamam tikslui;

79.3. koks gali būti poveikis duomenų subjektams;

79.4. kokios yra galimos potencialių pavojų šalinimo, saugumo užtikrinimo priemonės.

80. Administracija užtikrina, kad atliktas poveikio duomenų apsaugai vertinimas būtų tinkamai dokumentuotas ir saugomas. Poveikio duomenų apsaugai vertinimo forma pateikiama 7 Politikos priede.

81. Poveikio duomenų apsaugai vertinimas gali būti atliekamas ir esamoms duomenų tvarkymo operacijoms (t. y. vykdomoms iki Reglamento (ES) 2016/679 įsigaliojimo), jei tose operacijose atsirastų reikšmingų pokyčių, pavyzdžiui, būtų pradėtos naudoti naujos technologijos, duomenys būtų pradėti tvarkyti kitu tikslu nei iki tol, atsirastų naujos rizikos, susijusios su įvykdytomis kibernetinėmis atakomis, įsilaužimais į Administracijos sistemą, duomenys būtų pradėti teikti naujiems duomenų gavėjams, tvarkytojams už Europos Sąjungos ribų, ir kt.

82. Poveikio duomenų apsaugai vertinimas taip pat gali būti atliekamas ir šiame skyriuje neaptartais atvejais, tik esant Administracijos direktoriaus, duomenų apsaugos pareigūno ar Valstybinės duomenų apsaugos inspekcijos rekomendacijai tai atlikti.

 

XIV SKYRIUS

DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMAS

 

83. Už asmens duomenų saugumo pažeidimų valdymą Administracijoje atsakingas duomenų apsaugos pareigūnas kartu su Administracijos Informacinių technologijų skyriumi.

84. Administracijos darbuotojai sužinoję, kad nebuvo užtikrintas asmens duomenų saugumas:

84.1. nedelsiant, bet ne vėliau kaip per 2 darbo valandas nuo asmens duomenų saugumo pažeidimo paaiškėjimo momento, elektroniniu paštu, telefonu arba žodžiu informuoja savo tiesioginį vadovą ir Administracijos duomenų apsaugos pareigūną;

84.2. imasi priemonių pašalinti asmens duomenų saugumo pažeidimą ir priemonių galimoms neigiamoms jo pasekmėms sumažinti.

85. Duomenų tvarkytojai, sužinoję apie asmens duomenų saugumo pažeidimą, nedelsdami, bet ne vėliau kaip per 1 darbo dieną nuo sužinojimo, apie tai raštu praneša Administracijai, pateikdami informaciją, numatytą Reglamento (ES) 2016/679 33 straipsnio 3 dalyje. Duomenų tvarkytojai pateikia Administracijai visą kitą jos prašomą informaciją, susijusią su pažeidimu ir jo tyrimu, per Administracijos nurodytą terminą. Duomenų tvarkytojų pareigos, susijusios su pranešimu apie duomenų saugumo pažeidimą Administracijai bei su bendradarbiavimu tiriant pažeidimą, įtvirtinamos su duomenų tvarkytoju sudaromoje sutartyje.

86. Duomenų apsaugos pareigūnas kartu su Administracijos Informacinių technologijų skyriumi, gavę Administracijos darbuotojo pranešimą ar duomenų tvarkytojo pranešimą galimą asmens duomenų saugumo pažeidimą:

86.1. nedelsdami pradeda nagrinėti pranešime nurodytas aplinkybes;

86.2. įvertina, ar buvo padarytas asmens duomenų saugumo pažeidimas;

86.3. jei asmens duomenų saugumo pažeidimas padarytas, nustato pažeidimo pobūdį, tipą (asmens duomenų konfidencialumo, vientisumo ir (arba) prieinamumo pažeidimas) aplinkybes, apytikslį duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičių, asmens duomenų, kurių saugumas pažeistas, kategorijas (asmens tapatybę patvirtinantys asmens duomenys, specialių kategorijų asmens duomenys, duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, prisijungimo duomenys ir (arba) asmens identifikaciniai numeriai ir kt.) ir apimtį, tikėtinos asmens duomenų saugumo pažeidimo pasekmes, pavojų fizinių asmenų teisėms ir laisvėms bei kitą svarbią su asmens duomenų saugumo pažeidimu susijusią informaciją;

86.4. nustato, kokių skubių ir tinkamų priemonių būtina imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas (pvz., naudoti atsargines kopijas, siekiant atkurti prarastus ar sugadintus duomenis);

86.5. nustato, ar būtina nedelsiant pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą;

86.6. nustato, ar būtina pranešti Valstybinei duomenų apsaugos inspekcijai apie asmens duomenų saugumo pažeidimą.

87. Vertinant asmens duomenų saugumo pažeidimą, laikoma, kad asmens duomenų saugumo pažeidimas, galintis kelti pavojų asmenų teisėms ir laisvėms, yra toks, dėl kurio, laiku nesiėmus tinkamų priemonių, fizinis asmuo gali patirti kūno sužalojimą, materialinę ar nematerialinę žalą, pvz., prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala.

88. Duomenų apsaugos pareigūnas, atlikęs asmens duomenų saugumo pažeidimo tyrimą, užpildo šios Politikos 8 priede  pranešimo apie asmens duomenų saugumo pažeidimą formą (toliau – Išvada).

89. Išvadą dėl duomenų saugumo pažeidimo buvimo ir pavojaus fizinių asmenų teisėms ir laisvėms įvertinimo kartu su siūlymu dėl duomenų saugumo priemonių įgyvendinimo duomenų apsaugos pareigūnas pateikia Administracijos direktoriui ar jo įgaliotam asmeniui, o šis priima sprendimą dėl tolesnių veiksmų, susijusių su duomenų saugumo pažeidimu.

90. Nustačius, kad duomenų saugumo pažeidimas buvo ir kad yra pavojus fizinių asmenų teisėms ir laisvėms, duomenų apsaugos pareigūnas nedelsdamas, bet ne vėliau kaip per 72 val. nuo sužinojimo apie duomenų saugumo pažeidimą, Administracijos direktoriaus ar jo įgalioto asmens pavedimu apie duomenų saugumo pažeidimą praneša Valstybinei duomenų apsaugos inspekcijai.

91. Jeigu, atsižvelgiant į  duomenų saugumo pažeidimo pobūdį, yra būtina atlikti išsamesnį tyrimą ir nustatyti visus svarbius faktus, susijusius su duomenų saugumo pažeidimu, ir todėl per 72 val. nuo sužinojimo apie duomenų saugumo pažeidimą neįmanoma pranešti Valstybinei duomenų apsaugos inspekcijai, duomenų apsaugos pareigūnas informaciją apie duomenų saugumo pažeidimą teikia Valstybinei duomenų apsaugos inspekcijai etapais ir nurodo, kodėl visos informacijos neįmanoma pateikti iš karto.

92. Nustatęs, kad duomenų saugumo pažeidimas buvo ir dėl jo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų apsaugos pareigūnas Administracijos direktoriaus ar jo įgalioto asmens  pavedimu nedelsdamas, bet ne vėliau kaip per 72 val. nuo sužinojimo apie duomenų saugumo pažeidimą, apie duomenų saugumo pažeidimą praneša duomenų subjektui.

93. Duomenų subjektui nurodoma informacija:

93.1. duomenų valdytojo pavadinimas, juridinio asmens kodas, buveinės adresas;

93.2. duomenų apsaugos pareigūno vardas, pavardė ir kontaktiniai duomenys;

93.3. pažeidimo pobūdžio ir tikėtinų pažeidimo pasekmių aprašymas;

93.4.  priemonių, kurių ėmėsi arba pasiūlė imtis Administracija, kad būtų pašalintas pažeidimas įskaitant priemones galimoms neigiamoms pasekmėms sumažinti, aprašymą;

93.5.  kitą reikšmingą informaciją, susijusią su pažeidimu, kuri, Administracijos manymu, turėtų būti pateikta duomenų subjektui.

94. Atvejai, kada pranešimas duomenų subjektui apie pažeidimą neteikiamas:

94.1. Administracija įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos priemonės taikytos duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio;

94.2. Administracija ėmėsi priemonių, kuriomis užtikrinama, kad nekiltų didelis pavojus duomenų subjektų teisėms ir laisvėms;

94.3. pranešimas pareikalautų neproporcingai didelių pastangų. Tokiu atveju apie pažeidimą viešai paskelbiama Šiaulių rajono savivaldybės interneto svetainėje arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.

95. Pažeidimai, nepriklausomai nuo to, ar apie juos buvo pranešta Valstybinei duomenų apsaugos inspekcijai, ar ne, registruojami Asmens duomenų saugumo pažeidimų registravimo žurnale (toliau – Žurnalas), kuris pateiktas 9 Politikos priede.

96. Informacija apie duomenų saugumo pažeidimą į Žurnalą įrašoma nedelsiant, ne vėliau kaip per 5 darbo dienas, kai tik nustatomas duomenų saugumo pažeidimo faktas ir įvertinamas pavojus. Prireikus, atsižvelgiant į duomenų saugumo pažeidimo tyrimo metu nustatytas papildomas aplinkybes, Žurnale esanti informacija papildoma ir (ar) patikslinama.

97. Už Žurnalo pildymą atsakingas duomenų apsaugos pareigūnas.

98. Kai padarytas asmens duomenų saugumo pažeidimas yra susijęs su kibernetiniu incidentu, informacija apie kibernetinį incidentą, susijusį su asmens duomenų saugumo pažeidimu, pateikiama Lietuvos Respublikos kibernetinio saugumo įstatyme nurodytoms valstybės institucijoms šio įstatymo nustatyta tvarka ir atvejais.

 

XV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

99. Politika skelbiama Šiaulių rajono savivaldybės interneto svetainėje, skiltyje „Asmens duomenų apsauga“.

100. Administracijos darbuotojai su Politika supažindinami per dokumentų valdymo sistemą.

101. Už Politikos laikymosi priežiūrą ir kontrolę atsakingi Savivaldybės administracijos padalinių vadovai.

102. Administracijos darbuotojai, kurie yra įgalioti tvarkyti asmens duomenis arba eidami savo pareigas juos sužino, privalo laikytis Politikos, pagrindinių asmens duomenų tvarkymo reikalavimų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų teisės aktuose ir Politikoje. Administracijos darbuotojams, pažeidusiems Politikos, Reglamento (ES) 2016/679, kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, reikalavimus, gali būti taikoma tarnybinė, drausminė ar kita įstatymų numatyta atsakomybė.

103. Politika peržiūrima ir esant reikalui atnaujinama įvykus esminiams organizaciniams, sisteminiams ar kitiems asmens duomenų tvarkymo ir (ar) veiklos pokyčiams arba pasikeitus teisės aktų reikalavimams, bet ne rečiau kaip kartą per metus.

104. Administracijos veiksmai ar neveikimas, kuriais pažeidžiami teisės aktai, reglamentuojantys asmens duomenų tvarkymą ir apsaugą, gali būti skundžiami Valstybinei duomenų apsaugos inspekcijai arba teismui Administracinių bylų teisenos įstatymo nustatyta tvarka.

______________

part_ace272e50c18463287204ada8f7f2c61_end

1 priedas. Neteko galios nuo 2021-04-15

Priedo naikinimas:

Nr. A-650, 2021-04-14, paskelbta TAR 2021-04-14, i. k. 2021-07721

 


 

Asmens duomenų tvarkymo Šiaulių rajono

savivaldybės administracijoje politikos

2 priedas

 

ŠIAULIŲ RAJONO SAVIVALDYBĖS ADMINISTRACIJA

 

Įsipareigojimas saugoti asmens duomenų paslaptį

 

 

Aš suprantu, kad:

- savo darbe tvarkysiu asmenis duomenis, kurie negali būti atskleisti ar perduoti neįgaliotiems asmenims ar institucijoms;

- draudžiama perduoti neįgaliotiems asmenims slaptažodžius ir kitus duomenis, leidžiančius programinėmis ir techninėmis priemonėmis sužinoti asmens duomenis ar kitaip sudaryti sąlygas susipažinti su asmens duomenimis;

- netinkamas asmens duomenų tvarkymas gali užtraukti atsakomybę pagal Lietuvos Respublikos įstatymus.

 

Aš įsipareigoju:

- saugoti asmens duomenų paslaptį;

- tvarkyti asmens duomenis, vadovaudamasis Lietuvos Respublikos įstatymais ir kitais teisės aktais, taip pat pareiginiais nuostatais ir taisyklėmis, reglamentuojančiomis man patikėtas asmens duomenų tvarkymo funkcijas;

- neatskleisti, neperduoti tvarkomos informacijos ir nesudaryti sąlygų įvairiomis priemonėmis su ja susipažinti nei vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija, tiek įstaigos viduje, tiek jos ribų;

- pranešti savo vadovui ir duomenų apsaugos įgaliotiniui apie kiekvieną įtartiną situaciją, kuri gali kelti grėsmę asmens duomenų saugumui.

 

Aš žinau, kad:

- už šio įsipareigojimo nesilaikymą ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo pažeidimą turėsiu atsakyti pagal galiojančius Lietuvos Respublikos įstatymus;

- asmuo, patyręs žalą dėl neteisėto asmens duomenų tvarkymo arba kitų duomenų valdytojo ar duomenų tvarkytojo veiksmų ar neveikimo, turi teisę reikalauti atlyginti jam padarytą turtinę ar neturtinę žalą;

- duomenų valdytojas, duomenų tvarkytojas ar kitas asmuo, atlygina asmeniui padarytą žalą, patirtą nuostolį išreikalauja įstatymų nustatyta tvarka asmens duomenis tvarkančio darbuotojo, dėl kurio kaltės atsirado ši žala;

- šis įsipareigojimas galios visą mano darbo laiką šioje įstaigoje ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo santykiams.

 

esu susipažinęs su Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir Asmens duomenų tvarkymo Vyriausiojoje tarnybinės etikos komisijoje taisyklėmis.

 

 

                                                     (parašas, vardas, pavardė, data)

 

 

___________

part_bf1e366128294f8d96c8b54fc3ab07e3_end


 

Asmens duomenų tvarkymo Šiaulių rajono

savivaldybės administracijoje politikos

3 priedas

 

(Fotografavimo, filmavimo renginio metu informacinė forma)RENGINYS
FOTOGRAFUOJAMAS,
FILMUOJAMAS

 

 

 

 

 

 

 

 

 

 


 

Visuomenės informavimo tikslu Šiaulių rajono savivaldybės administracija (Vilniaus g. 263, 76337 Šiauliai, tel. (8 41) 59 66 42, el. p. prim@siauliuraj.lt) renginį fotografuoja ir (arba) filmuoja. Nuotraukos ar vaizdo medžiaga bus skelbiamos puslapyje www.siauliuraj.lt.

 

SVARBU. Nepageidaujant būti fotografuojamiems ir (arba)  filmuojamiems arba nesutinkant su nuotraukų ir (arba) vaizdo medžiagos skelbimu, prašome apie tai informuoti renginio organizatorių arba fotografą.

 

Plačiau apie fotografavimą ir (arba) filmavimą galite kreiptis el. p. inesa.lukosiute@siauliuraj.lt, mob. +370 612 93 407.

 

part_b6068b1ca98940fd9e7abae5b725ee19_end


 

Asmens duomenų tvarkymo Šiaulių rajono

savivaldybės administracijoje politikos

4 priedas

 

(Administracijos darbuotojų informavimo apie asmens duomenų tvarkymą forma)

 

INFORMAVIMAS APIE DARBUOTOJO ASMENS DUOMENŲ TVARKYMĄ

 

____________

(data)

Šiauliai

 

Aš,                                                                                    , sutinku ir esu informuotas (-a),

(vardas, pavardė)

kad mano asmens duomenys yra tvarkomi duomenų valdytojo – Šiaulių rajono savivaldybės administracijos (toliau – Administracija), juridinio asmens kodas 188726051, buveinės adresas Vilniaus g. 263, 76337 Šiauliai, kuri yra paskyrusi duomenų apsaugos pareigūną – Teisės ir personalo administravimo skyriaus vyriausiąją specialistę Inesą Lukošiūtę, el. pašto adresas inesa.lukosiute@siauliuraj.lt, mob. +370 612 93 407.

1. Administracijoje tvarkomi mano asmens duomenys – vardas, pavardė, asmens kodas, parašas, asmens socialinio draudimo numeris, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, gyvenimo ir veiklos aprašymas, šeiminė padėtis, pareigos, duomenys apie priėmimą (perkėlimą) į pareigas, atleidimą iš pareigų, duomenys apie išsilavinimą ir kvalifikaciją, duomenys apie mokymą, duomenys apie atostogas, duomenys apie darbo užmokestį, išeitines išmokas, kompensacijas, pašalpas, informacija apie dirbtą darbo laiką, informacija apie skatinimus ir nuobaudas, informacija apie atliktus darbus ir užduotis, duomenys apie valstybės tarnautojo tarnybinės veiklos vertinimą, viešų ir privačių interesų deklaravimo duomenys, Lietuvos Respublikos piliečio paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, specialių kategorijų asmens duomenys, susiję su sveikata, teistumu, dalyvavimu uždraustos organizacijos veikloje, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti įpareigoja įstatymai ir kiti teisės aktai.

2. Asmens duomenų tvarkymo tikslai:

2.1darbo sutarčių sudarymo, vykdymo ir apskaitos;

2.2. Administracijos kaip darbdavio pareigų, nustatytų teisės aktuose, tinkamam vykdymui;

2.3. tinkamai komunikacijai su darbuotojais ne darbo metu palaikyti;

2.4. tinkamoms darbo sąlygoms užtikrinti.

3. Asmens duomenų tvarkymo teisinis pagrindas - Lietuvos Respublikos darbo kodeksas, Lietuvos Respublikos valstybės tarnybos įstatymas ir juos įgyvendinantys poįstatyminiai teisės aktai.

4.  Nurodyti mano duomenys gauti iš Valstybės tarnautojų registro (taikoma Administracijos valstybės tarnautojams), Sodros, buhalterinės apskaitos sistemos „Biudžetasvs“.

5.  Mano asmens duomenys gali būti perduoti:

5.1. duomenų tvarkytojams, kurie atlieka tam tikrus darbus ir teikia paslaugas (informacinių technologijų bendrovės, kurios duomenis tvarko, kad užtikrintų informacinių sistemų kūrimą, tobulinimą ir palaikymą; bendrovės, kurios užtikrina pranešimų klientams siuntimą, teikia apsaugos ir kitas paslaugas, įskaitant teisės, finansų, mokesčių, verslo valdymo, personalo administravimo, buhalterinės apskaitos paslaugas);

5.2. teismui, teisėsaugos įstaigoms ar valstybės institucijoms tiek, kiek tokį teikimą nustato teisės aktų reikalavimai (pvz.: antstoliams, teismams ir kt.);

5.3. kitiems fiziniams / juridiniams asmenims mano sutikimu, jei toks sutikimas gaunamas dėl konkretaus atvejo;

5.4. kita: Valstybės tarnybos departamentas, Sodra, teismas, Darbo ginčų komisija.

6. Sutinku / nesutinku, kad Administracijos renginių viešinimo tikslu:

(netinkamą išbraukti)

ð Būsiu fotografuojamas;

ð Būsiu filmuojamas.

7. Sutinku / nesutinku, kad fotografavimo ar filmavimo metu gauti asmens duomenys būtų

(netinkamą išbraukti)

skelbiami:

ð Administracijos patalpose;

ð Administracijos interneto svetainėje;

ð Administracijos Facebook paskyroje;

ð Administracijos laidoje Sodžius.

8.  Turiu šias teises: teisę prašyti, kad man būtų leista susipažinti su mano asmens duomenimis ir juos ištaisyti arba ištrinti, teisę apriboti duomenų tvarkymą, teisę nesutikti, kad asmens duomenys būtų tvarkomi, taip pat teisę į asmens duomenų perkeliamumą. Šias teises galiu įgyvendinti teisės aktų nustatyta tvarka.

9. Turiu teisę bet kada atšaukti sutikimą tvarkyti mano duomenis. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto asmens duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.

10. Mano asmens duomenys bus saugomi 50 m. laikotarpį (išskyrus asmens duomenis renkamus Administracijos renginių viešinimo tikslu). Šis terminas gali būti pratęstas, jei asmens duomenys yra naudojami arba gali būti naudojami kaip įrodymai ar informacijos šaltinis ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais įstatymų nustatytais atvejais. Tokiu atveju asmens duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.

11. Šie duomenys nebus naudojami automatizuotų sprendimų priėmimui mano atžvilgiu, įskaitant profiliavimą.

12. Aš turiu teisę skųsti Administracijos veiksmus (neveikimą) Valstybinei duomenų apsaugos inspekcijai ir teismui teisės aktų nustatyta tvarka, taip pat skųsti teismui Valstybinės duomenų apsaugos inspekcijos veiksmus (neveikimą).

 

 


(pareigos)                                     (parašas)                                (vardas, pavardė)

 

 

part_64a6a5f4bb894ab9a361e528331cca16_end

5 priedas. Neteko galios nuo 2019-03-16

Priedo naikinimas:

Nr. A-326, 2019-03-15, paskelbta TAR 2019-03-15, i. k. 2019-04202

 

 


 

 

Asmens duomenų tvarkymo Šiaulių rajono

savivaldybės administracijoje politikos

6 priedas

 

 

(Duomenų tvarkymo veiklos įrašų žurnalo forma)

 

 

ŠIAULIŲ RAJONO SAVIVALDYBĖS ADMINISTRACIJOS

DUOMENŲ TVARKYMO VEIKLOS ĮRAŠŲ ŽURNALAS

 

Duomenų apsaugos pareigūnas – ____________________________________

(vardas, pavardė, kontaktiniai duomenys)

 

Eil. Nr.

Asmens duomenų tvarkymo tikslas

Asmens duomenų tvarkymo teisinis pagrindas

Duomenų subjektų kategorijos

Asmens duomenų kategorijos

Duomenų gavėjų kategorijos*

Asmens duomenų saugojimo, ištrynimo terminai

Techninių ir organizacinių saugumo priemonių aprašymas

Duomenų šaltiniai

Darbuotojai (struktūriniai padaliniai), atsakingi už asmens duomenų tvarkymą

Duomenų įvedimo, keitimo data (datos)

1.

 

 

 

 

 

 

 

 

 

 

2.

 

 

 

 

 

 

 

 

 

 

3.

 

 

 

 

 

 

 

 

 

 

4.

 

 

 

 

 

 

 

 

 

 

5.

 

 

 

 

 

 

 

 

 

 

6.

 

 

 

 

 

 

 

 

 

 

7.

 

 

 

 

 

 

 

 

 

 

8.

 

 

 

 

 

 

 

 

 

 

9.

 

 

 

 

 

 

 

 

 

 

10.

 

 

 

 

 

 

 

 

 

 

 

 

 

*Kai taikoma, asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą, ir Reglamento (ES) 2016/679 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai.

part_6ec8dce6634e474b80b948f3f76fbb19_end

 


 

Asmens duomenų tvarkymo Šiaulių rajono

savivaldybės administracijoje politikos

7 priedas

 

(Poveikio duomenų apsaugai vertinimo forma)

 

POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS

 

1.   Priežastys, dėl kurių būtina atlikti poveikio duomenų apsaugai vertinimą

Planuojamos vykdyti veiklos aprašymas, jos tikslai ir planuojamos atlikti asmens duomenų tvarkymo operacijos. Paaiškinimas, kodėl būtina atlikti poveikio duomenų apsaugai vertinimą. Jei reikia, prie formos pridedami susiję dokumentai.

 

 

 

2.   Asmens duomenų tvarkymo aprašymas

Aprašomi asmens duomenų rinkimo, naudojimo, saugojimo ir naikinimo veiksmai, nurodoma, iš kokių šaltinių bus renkami duomenys, kam bus teikiami (galima pateikti asmens duomenų tvarkymo veiksmų schemą). Aprašoma, kokie asmens duomenų tvarkymo veiksmai gali kelti pavojų fizinių asmenų teisėms ir laisvėms.

 

 

 

Aprašomas tvarkymo mastas: kokių kategorijų asmens duomenys bus tvarkomi; ar bus tvarkomi specialių kategorijų asmens duomenys arba duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas; kiek duomenų, kaip dažnai bus renkama ir naudojama; kaip ilgai bus saugomi asmens duomenys; nurodomas apytikslis duomenų subjektų skaičius bei geografinė duomenų tvarkymo aprėptis.

 

 

 

 

Aprašomas duomenų tvarkymo pobūdis: kokio pobūdžio santykiai sieja Šiaulių rajono savivaldybę su duomenų subjektais; ar duomenų subjektai turės galimybę kontroliuoti duomenų tvarkymą; ar duomenų subjektai gali numatyti, kad jų asmens duomenys bus tvarkomi šiuo būdu; ar bus tvarkomi vaikų ir kitų pažeidžiamų asmenų duomenys; įvertinama, ar toks duomenų tvarkymas yra saugus; ar duomenų tvarkymo technologijos yra naujos, ar egzistuojančios technologijos bus panaudotos kitokiu būdu; koks yra technologijų išsivystymo lygis šioje srityje; ar yra kokių nors visuomeninių ar pan. problemų ar klausimų, į kuriuos būtina atsižvelgti; nurodoma, ar yra įsipareigojimas laikytis patvirtinto elgesio kodekso ar patvirtinto sertifikavimo mechanizmo.

 

 

 

Aprašomi asmens duomenų tvarkymo tikslai: kokį rezultatą siekiama gauti; kokį poveikį tai turės fiziniams asmenims; kokia yra tokio duomenų tvarkymo nauda Šiaulių rajono savivaldybei bei kitiems asmenims.

 

 

 

3.   Konsultacijos

Aprašoma, kaip planuojama sužinoti suinteresuotų asmenų nuomonę arba pagrindžiama, kodėl to daryti nebūtina: kokių asmenų nuomonę planuojama gauti; kokie asmenys bus pasitelkti Šiaulių rajono savivaldybėje, ar bus pasitelkti duomenų tvarkytojai; ar planuojama konsultuotis su duomenų saugos ekspertais ar kitokių sričių ekspertais.

 

 

 

4.   Būtinumo ir proporcingumo įvertinimas

Aprašomas asmens duomenų tvarkymo teisėtumas ir tvarkymo proporcingumas: nurodomas teisėto tvarkymo pagrindas; įvertinama, ar tvarkant asmens duomenis bus pasiektas (nurodyti tikslą) tikslas; ar tą patį rezultatą įmanoma pasiekti kitokiu būdu; kokiu būdu bus išvengta veiklos sutrikimų; kaip bus užtikrinta duomenų kokybė ir įgyvendintas duomenų kiekio mažinimo principas; kokia informacija bus pateikta duomenų subjektams; kaip Šiaulių rajono savivaldybė planuoja įgyvendinti duomenų subjektų teises; kokiu būdu bus užtikrinta, kad duomenų tvarkytojas laikytųsi reikalavimų; kokiu būdu bus užtikrintas į užsienio valstybes teikiamų asmens duomenų saugumas.

 

 

 

5.   Pavojų nustatymas ir įvertinimas

Aprašomas pavojaus ir poveikio fiziniam asmeniui pobūdis. Jei būtina, aprašoma susijusi verslo rizika.

Žalos tikimybė

Žalos sunkumas

Bendras pavojaus lygis

 

Mažai tikėtina,

tikėtina ar labai tikėtina

Minimali,

reikšminga ar sunki

Žemas,

vidutinis ar aukštas

 

 

6.   Priemonių sumažinti nustatymas

Nurodomos papildomos priemonės, kurių galima imtis siekiant sumažinti ar panaikinti aukšto ar vidutinio lygio pavojus.

Pavojus

Priemonės sumažinti ar pašalinti pavojų

Priemonės pritaikymo rezultatas

Likęs pavojus

Priemonė patvirtinta

 

 

Pašalinta,

sumažinta, priimtina rizika

 

Žemas,

vidutinis ar aukštas

Taip, ne

 

 

7.   Išvados ir sprendimai

Nurodomos priemonės ir įvardijamas likęs pavojus

Vardas, pavardė, data, parašas

Pastabos

Priemonės patvirtintos:

 

Įtraukti numatytas priemones į veiklos planą, nustatant atlikimo terminą ir atsakingus asmenis

Likęs pavojus pripažintas priimtina rizika:

 

 

 

Jei priimtina rizika pripažintas aukšto lygio pavojus priimtinas, privaloma kreiptis dėl išankstinės konsultacijos į Valstybinę duomenų apsaugos inspekciją

 

 

 

Duomenų apsaugos pareigūno nuomonė

 

Duomenų apsaugos pareigūno nuomonė turi būti pateikta dėl asmens duomenų tvarkymo teisėtumo, planuojamų priemonių pavojams mažinti ar pašalinti bei dėl galimybės toliau tvarkyti asmens duomenis.

 

 

Nurodoma duomenų apsaugos pareigūno nuomonė:

 

Vardas, pavardė, data, parašas

 

Nurodoma, ar atsižvelgta į duomenų apsaugos pareigūno nuomonę

Jeigu atmesta, pagrindžiama, kodėl.

 

Vardas, pavardė, data, parašas

 

Gautos kitų asmenų nuomonės

Trumpai aprašomos kitų asmenų nuomonės ir nurodoma, ar į jas atsižvelgta. Jeigu sprendimas skiriasi nuo susijusių asmenų nuomonės, pagrindžiama, kodėl.

 

Vardas, pavardė, data, parašas

 

 

 

Už šio poveikio duomenų apsaugai vertinimo priežiūrą paskirtas atsakingas asmuo

 

Pastaba. Duomenų apsaugos pareigūnas turi prižiūrėti asmens duomenų tvarkymo atitiktį Poveikio duomenų apsaugai vertinime nurodytoms išvadoms ir sprendimams.

 

 

 

 

 

Vardas, pavardė, data, parašas

 

 

 

part_58d62bdf562546c5a78b2cdc324bcb76_end

 


 

 

Asmens duomenų tvarkymo Šiaulių rajono

savivaldybės administracijoje politikos

8 priedas

 

(Asmens duomenų saugumo pažeidimo forma)

 

PRANEŠIMAS

APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ

 

________ Nr. ___________

(data)        (rašto numeris)

 

1. Asmens duomenų saugumo pažeidimo apibūdinimas

 

1.1.        Asmens duomenų saugumo pažeidimo data ir laikas:

 

Asmens duomenų saugumo pažeidimo:

 

Data ______________ Laikas __________

 

Asmens duomenų saugumo pažeidimo nustatymo:

 

Data ______________ Laikas __________

 

1.2.        Asmens duomenų saugumo pažeidimo vieta (pažymėti tinkamą (-us):

 

           Informacinė sistema

           Duomenų bazė

           Tarnybinė stotis

           Internetinė svetainė

           Debesų kompiuterijos paslaugos

           Nešiojami / mobilus įrenginiai

           Neautomatiniu būdu susistemintos bylos (archyvas)

           Kita ___________________________________________________________________

 

1.3.        Asmens duomenų saugumo pažeidimo aplinkybės (pažymėti tinkamą (-us):

 

    Asmens duomenų konfidencialumo praradimas (neautorizuota prieiga ar atskleidimas)

    Asmens duomenų vientisumo praradimas (neautorizuotas asmens duomenų pakeitimas)

    Asmens duomenų prieinamumo praradimas (asmens duomenų praradimas, sunaikinimas)

 

1.4. Apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius:

_____________________________________________________________________________

 

1.5. Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos (atskiriamos pagal jai būdingą požymį):

_______________________________________________________________________________

 

1.6. Asmens duomenų, kurių saugumas pažeistas, kategorijos (pažymėti tinkamą (-as):

 

    Asmens tapatybę patvirtinantys asmens duomenys (vardas, pavardė, amžius, gimimo data, lytis ir kt.):

_______________________________________________________________________________

 

    Specialių kategorijų asmens duomenys (duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, ar narystę profesinėse sąjungose, genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie lytinį gyvenimą ir lytinę orientaciją):

_____________________________________________________________________________

 

    Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas:

_______________________________________________________________________________

 

    Prisijungimo duomenys ir (ar) asmens identifikaciniai numeriai (pavyzdžiui, asmens kodas, mokėtojo kodas, slaptažodžiai):

_______________________________________________________________________________

 

    Kiti:

_____________________________________________________________________________

 

    Nežinomi (pranešimo teikimo metu)

 

1.7. Apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius:

_____________________________________________________________________________

 

1.8. Kita duomenų valdytojo nuomone reikšminga informacija apie asmens duomenų saugumo pažeidimą:

_____________________________________________________________________________

 

2.   Galimos asmens duomenų saugumo pažeidimo pasekmės

 

2.1. Konfidencialumo praradimo atveju:

 

    Asmens duomenų išplitimas labiau nei yra būtina ir duomenų subjekto kontrolės praradimas savo asmens duomenų atžvilgiu (pavyzdžiui, asmens duomenys išplito internete)

    Skirtingos informacijos susiejimas (pavyzdžiui, gyvenamosios vietos adreso susiejimas su asmens buvimo vieta realiu laiku)

    Galimas panaudojimas kitais, nei nustatytais ar neteisėtais tikslais (pavyzdžiui, komerciniais tikslais, asmens tapatybės pasisavinimo tikslu, informacijos panaudojimo prieš asmenį tikslu)

    Kita

_____________________________________________________________________________

 

2.2. Vientisumo praradimo atveju:

 

    Pakeitimas į neteisingus duomenis dėl ko asmuo gali netekti galimybės naudotis paslaugomis

    Pakeitimas į galiojančius duomenis, kad asmens duomenų tvarkymas būtų nukreiptas (pavyzdžiui, pavogta asmens tapatybė susiejant vieno asmens identifikuojančius duomenis su kito asmens biometriniais duomenimis)

    Kita

_____________________________________________________________________________

 

2.3. Duomenų prieinamumo praradimo atveju:

 

    Dėl asmens duomenų trūkumo negalima teikti paslaugų (pavyzdžiui, administracinių procesų sutrikdymas, dėl ko negalima prieiti, pavyzdžiui, prie asmens sveikatos istorijų ir teikti pacientams sveikatos paslaugų, arba įgyvendinti duomenų subjekto teises)

    Dėl klaidų asmens duomenų tvarkymo procesuose negalima teikti tinkamos paslaugos (pavyzdžiui, asmens sveikatos istorijoje neliko informacijos apie asmens alergijas, tam tikra informacija iš mokesčių deklaracijos išnyko, dėl ko negalima tinkamai apskaičiuoti mokesčių ir pan.)

    Kita

_____________________________________________________________________________

 

2.4. Kita:

_____________________________________________________________________________

 

3.   Priemonės, kurių imtasi siekiant pašalinti pažeidimą ar sumažinti jo pasekmes

 

3.1. Taikytos priemonės siekiant sumažinti poveikį duomenų subjektams:

_____________________________________________________________________________

_________________________________________________________________

3.2. Taikytos priemonės siekiant pašalinti asmens duomenų saugumo pažeidimą:

_____________________________________________________________________________

 

3.3. Taikytos priemonės siekiant, kad pažeidimas nepasikartotų:

_____________________________________________________________________________

 

3.4. Kita:

_______________________________________________________________________________

 

4.   Siūlomos priemonės sumažinti asmens duomenų saugumo pažeidimo pasekmėms

_______________________________________________________________________________

 

5.   Duomenų subjektų informavimas apie asmens duomenų saugumo pažeidimą

 

5.1. Duomenys apie informavimo faktą:

 

    Taip, duomenų subjektai informuoti (nurodoma data) _______________________________

    Ne, bet jie bus informuoti (nurodoma data) _______________________________________

    Ne

 

5.2. Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, neinformavimo priežastys:

 

    Ne, nes nekyla didelis pavojus duomenų subjektų teisėms ir laisvėms (nurodoma kodėl) _____________________________________________________________________________

 

    Ne, nes įgyvendintos tinkamos techninės ir organizacinės priemonės, užtikrinančios, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami (nurodomos kokios)

_____________________________________________________________________________

    Ne, nes įgyvendintos tinkamos techninės ir organizacinės priemonės, užtikrinančios, kad nekiltų didelis pavojus duomenų subjektų teisėms ir laisvėms (nurodomos kokios)

_____________________________________________________________________________

 

    Ne, nes tai pareikalautų neproporcingai daug pastangų ir apie tai viešai paskelbta (arba taikyta panaši priemonė) (nurodoma kada ir kur paskelbta informacija viešai arba jei taikyta kita priemonė, nurodoma kokia ir kada taikyta)

_____________________________________________________________________________

 

    Ne, nes dar neidentifikuoti duomenų subjektai, kurių asmens duomenų saugumas pažeistas

_____________________________________________________________________________

 

5.3. Informacija, kuri buvo pateikta duomenų subjektams (gali būti pridėtas pranešimo duomenų subjektui kopija):

_____________________________________________________________________________

 

5.4. Būdas, kokiu duomenų subjektai buvo informuoti:

 

    Paštu

    Elektroniniu paštu

    Kitu būdu __________________________________________________________________

 

5.5. Informuotų duomenų subjektų skaičius ___________________________________________

 

6.  Asmuo galintis suteikti daugiau informacijos apie asmens duomenų saugumo pažeidimą (duomenų apsaugos pareigūnas ar kitas kontaktinis asmuo)[1]

 

6.1. Vardas ir pavardė ____________________________________________________________

 

6.2. Telefono ryšio numeris _______________________________________________________

 

6.3. Elektroninio pašto adresas _____________________________________________________

 

6.4. Pareigos ___________________________________________________________________

 

6.5. Darbovietės pavadinimas ir adresas ______________________________________________

 

7.  Pranešimo pateikimo Valstybinei duomenų apsaugos inspekcijai pateikimo vėlavimo priežastys

_____________________________________________________________________________

 

8.   Kita reikšminga informacija

_____________________________________________________________________________

 

 

(pareigos)

 

 

 

(parašas)

 

(vardas, pavardė)


 

part_3b0a462d518f45b8b2eacc79d661a0ab_end

Asmens duomenų tvarkymo Šiaulių rajono

savivaldybės administracijoje politikos   

9 priedas

 

(Asmens duomenų saugumo pažeidimų žurnalo forma)

 

ŠIAULIŲ RAJONO SAVIVALDYBĖS ADMINISTRACIJOS

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ ŽURNALAS

 

Eil. Nr.

Pažeidimo nustatymo data, valanda (minučių tikslumu) ir vieta

Darbuotojas ar kitas subjektas, pranešęs apie pažeidimą (vardas, pavardė, pareigos)

Pažeidimo padarymo data ir vieta

Pažeidimo pradžia ir pabaiga, pobūdis, tipas, aplinkybės

Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos ir apytikslis skaičius

Asmens duomenų, kurių saugumas pažeistas, kategorijos ir apimtis

Tikėtinos pažeidimo pasekmės bei pavojus fizinių asmenų teisėms ir laisvėms

Priemonės, kurių buvo imtasi pažeidimui pašalinti ir (ar) neigiamoms pažeidimo pasekmėms sumažinti

Darbuotojas, ar kitas subjektas, pašalinęs pažeidimą (vardas, pavardė, pareigos)

Informacija, ar apie pažeidimą buvo pranešta Valstybinei duomenų apsaugos inspekcijai, ir priimto sprendimo motyvai

Informacija, ar apie pažeidimą buvo pranešta duomenų subjektui

(-ams), ir priimto sprendimo motyvai

1.

 

 

 

 

 

 

 

 

 

 

 

2.

 

 

 

 

 

 

 

 

 

 

 

3.

 

 

 

 

 

 

 

 

 

 

 

4.

 

 

 

 

 

 

 

 

 

 

 

5.

 

 

 

 

 

 

 

 

 

 

 

6.

 

 

 

 

 

 

 

 

 

 

 

7.

 

 

 

 

 

 

 

 

 

 

 

8.

 

 

 

 

 

 

 

 

 

 

 

9.

 

 

 

 

 

 

 

 

 

 

 

10.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Pakeitimai:

 

1.

Šiaulių rajono savivaldybės administracija, Įsakymas

Nr. A-326, 2019-03-15, paskelbta TAR 2019-03-15, i. k. 2019-04202

Dėl Šiaulių rajono savivaldybės administracijos direktoriaus 2019 m. sausio 25 d. įsakymo Nr. A-97 „Dėl Asmens duomenų tvarkymo Šiaulių rajono savivaldybės administracijoje politikos patvirtinimo“ pakeitimo

 

2.

Šiaulių rajono savivaldybės administracija, Įsakymas

Nr. A-2160, 2020-12-14, paskelbta TAR 2020-12-14, i. k. 2020-27239

Dėl Šiaulių rajono savivaldybės administracijos direktoriaus 2019 m. sausio 25 d. įsakymo Nr. A-97 „Dėl Asmens duomenų tvarkymo Šiaulių rajono savivaldybės administracijoje politikos patvirtinimo“ pakeitimo

 

3.

Šiaulių rajono savivaldybės administracija, Įsakymas

Nr. A-650, 2021-04-14, paskelbta TAR 2021-04-14, i. k. 2021-07721

Dėl Šiaulių rajono savivaldybės administracijos direktoriaus 2019 m. sausio 25 d. įsakymo Nr. A-97 „Dėl Aasmens duomenų tvarkymo Šiaulių rajono savivaldybės administracijoje politikos patvirtinimo“ pakeitimo

 

 



[1] Kai pranešimas apie asmens duomenų saugumo pažeidimą teikiamas pagal Įstatymo 29 straipsnį, nenurodomi šios formos 6.4 ir 6.5 papunkčiuose nurodyti duomenys.