Suvestinė redakcija nuo 2023-10-03
Įsakymas paskelbtas: TAR 2021-08-30, i. k. 2021-18228
LIETUVOS KULTŪROS TARYBOS PIRMININKAS
ĮSAKYMAS
dėl BENDROJO DUOMENŲ APSAUGOS REGLAMENTO nuostatų ĮGYVENDINIMO lietuvos kultūros tarybos veikloje
2021 m. rugpjūčio 23 d. Nr. VĮ-14(1.1E)
Vilnius
Įgyvendindama 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas):
1. T v i r t i n u pridedamus:
2. P r i p a ž į s t u netekusiu galios Lietuvos kultūros tarybos pirmininko 2018 m. spalio 4 d. įsakymą Nr. VĮ-50(1.1 E) „Dėl Asmens duomenų apsaugos politikos patvirtinimo“.
3. N u s t a t a u, kad su šiuo įsakymu pasirašytinai supažindinami visi Lietuvos kultūros tarybos darbuotojai ir Lietuvos kultūros tarybos narių susirinkimo nariai.
4. Į p a r e i g o j u Lietuvos kultūros tarybos darbuotojus ir Lietuvos kultūros tarybos narių susirinkimo narius asmens duomenis tvarkyti vadovaujantis šiuo įsakymu patvirtintais dokumentais.
5. P a v e d u Lietuvos kultūros tarybos viešųjų ryšių koordinatorei Karolinai Bagdonei ir Lietuvos kultūros tarybos duomenų apsaugos pareigūnei Gerdai Leonavičienei užtikrinti, kad būtų atitinkamai, pagal šiuo įsakymu patvirtintus dokumentus, atnaujinta Lietuvos kultūros tarybos interneto svetainės skiltyje „Asmens duomenų apsauga“ pateikiama informacija.
Punkto pakeitimai:
Nr. VĮ-26(1.1E), 2023-10-02, paskelbta TAR 2023-10-02, i. k. 2023-19226
PATVIRTINTA
Lietuvos kultūros tarybos
pirmininko 2021 m. rugpjūčio 23 d.
įsakymu Nr. VĮ-14(1.1 E)
ASMENS DUOMENŲ TVARKYMO LIETUVOS KULTŪROS TARYBOJE
TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo Lietuvos kultūros taryboje (toliau – Taryba) tvarkos aprašas (toliau – Aprašas) nustato Tarybos narių susirinkimo narių, valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, pareiškėjų ir kitų fizinių asmenų (toliau – duomenų subjektai) asmens duomenų tvarkymo reikalavimus, asmens duomenų tvarkymo principų įgyvendinimo tvarką, įgyvendinamas organizacines ir technines asmens duomenų saugumo priemones.
2. Aprašo tikslas – reglamentuoti asmens duomenų tvarkymą Taryboje užtikrinant, kad būtų laikomasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento) (toliau – Reglamentas (ES) 2016/679), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymo ir privatumo apsaugos reikalavimus, nuostatų. Aprašu siekiama įgyvendinti atskaitomybės principą, įtvirtintą Reglamento (ES) 2016/679 5 straipsnio 2 dalyje.
3. Aprašo privalo laikytis visi Tarybos pirmininkas, Tarybos narių susirinkimo nariai, valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis (toliau visi kartu vadinama – darbuotojai), kurie eidami pareigas arba atlikdami darbines funkcijas tvarko asmens duomenis arba juos sužino.
4. Aprašas parengtas vadovaujantis Reglamentu (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir privatumo apsaugą.
II SKYRIUS
DUOMENŲ VALDYTOJO PAREIGOS
6. Taryba, tvarkydama asmens duomenis ir nustatydama duomenų tvarkymo priemones, nuo asmens duomenų surinkimo iki saugojimo termino pabaigos įgyvendina tinkamas technines ir organizacines priemones, kad būtų veiksmingai įgyvendinti duomenų apsaugos principai, įtvirtinti Reglamento (ES) 2016/679 5 straipsnyje. Tuo tikslu Taryba:
6.1. nustato asmens duomenų tvarkymo tikslus ir priemones ir užtikrina, kad asmens duomenys būtų renkami nustatytais, aiškiai apibrėžtais ir teisėtais tikslais ir toliau tvarkomi tik su tais tikslais suderinamu būdu;
6.2. užtikrina, kad asmens duomenys būtų tvarkomi teisėtai, sąžiningai ir skaidriai, laikantis teisės aktuose nustatytų asmens duomenų tvarkymo reikalavimų;
6.3. užtikrina, kad asmens duomenys būtų adekvatūs, tinkami ir tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi;
6.4. užtikrina, kad asmens duomenys būtų tikslūs ir prireikus atnaujinami, o netikslūs asmens duomenys nedelsiant ištrinami arba ištaisomi;
6.5. užtikrina, kad asmens duomenys būtų laikomi tokia forma, kad nustatyti duomenų subjekto tapatybę būtų galima ne ilgiau, nei būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;
6.6. užtikrina, kad būtų taikomos tinkamos techninės ir organizacinės duomenų saugumo priemonės, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;
6.8. rengia ir priima vidinius teisės aktus, reglamentuojančius asmens duomenų tvarkymą ir užtikrinančius atskaitomybės principo įgyvendinimą;
6.10. įgalioja duomenų tvarkytojus tvarkyti asmens duomenis parinkdama tokį duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines asmens duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi;
6.13. imasi priemonių valdyti asmens duomenų saugumo pažeidimus ir teisės aktuose nustatytais atvejais praneša apie juos priežiūros institucijai ir duomenų subjektams;
III SKYRIUS
ASMENS DUOMENŲ TVARKYMO TIKSLAI IR ASMENS DUOMENŲ TVARKYMO TEISINIAI PAGRINDAI
7. Taryba tvarko asmens duomenis šiais tikslais:
7.1. įstaigos valdymo užtikrinimo tikslu Taryba tvarko valdymo organų narių asmens duomenis. Asmens duomenys tvarkomi vykdant Tarybai taikomus teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c punktu;
7.2. darbuotojų atrankos tikslu Taryba tvarko kandidatų į darbuotojus asmens duomenis. Asmens duomenys tvarkomi įgyvendinant Tarybai taikomus teisės aktų reikalavimus, asmens sutikimu, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. a, c punktais;
7.3. ekspertų atrankos tikslu Taryba tvarko kandidatų į ekspertus asmens duomenis. Asmens duomenys tvarkomi įgyvendinant Tarybai taikomus teisės aktų reikalavimus, asmens sutikimu, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. a, c punktais;
7.4. žmogiškųjų išteklių valdymo (tarnybos/darbo/praktikos administravimo, Tarybos, kaip darbdavio, pareigų, nustatytų teisės aktuose, vykdymo bei tinkamų darbo sąlygų užtikrinimo ir pan.) tikslu Taryba tvarko valstybės tarnautojų, darbuotojų ir praktikantų asmens duomenis, įskaitant ir specialios kategorijos duomenis. Asmens duomenys tvarkomi siekiant sudaryti ir vykdyti darbo/praktikos sutartį, vykdant Tarnybai taikomus teisės aktų reikalavimus bei siekiant vykdyti Tarybos, kaip darbdavio, prievoles bei sudaryti galimybę darbuotojams pasinaudoti jiems suteiktomis teisėmis darbo ir socialinės apsaugos srityje, siekiant Tarybos teisėtų interesų efektyviai organizuoti savo veiklą, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. a, b, c, f punktais, 9 str. 2 d. b, g punktais;
7.5. finansinės apskaitos, materialinių finansinių išteklių valdymo tikslu Taryba tvarko finansiniuose dokumentuose nurodytų asmenų asmens duomenis. Asmens duomenys tvarkomi vykdant Tarybai taikomus teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c punktu;
Papunkčio pakeitimai:
Nr. VĮ-26(1.1E), 2023-10-02, paskelbta TAR 2023-10-02, i. k. 2023-19226
7.6. dokumentų valdymo tikslu Taryba tvarko siunčiamuose, gaunamuose, vidaus, kituose dokumentuose nurodytų asmenų asmens duomenis. Asmens duomenys tvarkomi vykdant Tarybai taikomus teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c punktu;
Papunkčio pakeitimai:
Nr. VĮ-26(1.1E), 2023-10-02, paskelbta TAR 2023-10-02, i. k. 2023-19226
7.7. skundų, prašymų nagrinėjimo tikslu Taryba tvarko skundą, prašymą pateikusių asmenų duomenis. Asmens duomenys tvarkomi vykdant Tarybai taikomus teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c punktu;
7.8. viešųjų pirkimų vykdymo tikslu Taryba tvarko viešųjų pirkimų procedūrose dalyvaujančių paslaugų tiekėjų - juridinių asmenų darbuotojų ar atstovų, paslaugų tiekėjų – fizinių asmenų asmens duomenis. Asmens duomenys tvarkomi vykdant Tarybai taikomus teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c punktu;
7.9. sutarčių sudarymo ir vykdymo tikslu Taryba tvarko potencialių ir esamų paslaugų teikėjų, partnerių - juridinių asmenų - darbuotojų ar atstovų, pasirašiusių sutartis ar atsakingų už sutarties vykdymą; potencialių ir esamų paslaugų teikėjų, partnerių - fizinių asmenų asmens duomenis. Asmens duomenys tvarkomi siekiant sudaryti ir vykdyti sutartį bei siekiant teisėtų Tarybos interesų apsaugos, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. b, f punktu;
7.10. Tarybos informacinių sistemų ir tvarkomos informacijos bei asmens duomenų saugumo užtikrinimo tikslu Taryba tvarko darbuotojų ir kitų asmenų, besinaudojančių Tarybos informacinių ir ryšių technologijų ištekliais, interneto svetaine ir / arba kitomis suteiktomis priemonėmis asmens duomenis. Asmens duomenys tvarkomi vykdant Tarybai taikomus teisės aktų reikalavimus bei siekiant teisėtų Tarybos interesų apsaugoti Tarybos veiklai būtiną informaciją, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c, f punktu;
7.11. Kultūros ir meno sričių, programų, projektų ir kitokių priemonių administravimo tikslu Taryba tvarko įstaigų, teikiančių paraiškas kultūros ir meno sričių, programų, projektų ir kitokių priemonių finansavimui, atstovų asmens duomenis. Asmens duomenys tvarkomi siekiant viešojo intereso ir vykdant teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c, e punktu;
7.12. Stipendijų ir kitokios finansinės paramos skyrimo kultūros ir meno kūrėjams tikslu Taryba tvarko kultūros ir meno kūrėjų, pretenduojančių gauti stipendiją ir gaunančių stipendiją, asmens duomenis. Asmens duomenys tvarkomi siekiant viešojo intereso ir vykdant Tarybai taikomus teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c, e punktu;
7.13. Išvadų dėl asmenų apdovanojimo Kultūros ministerijos įsteigtomis premijomis teikimo tikslu Taryba tvarko asmenų, siūlomų apdovanoti Kultūros ministerijos įsteigtomis premijomis, asmens duomenis. Asmens duomenys tvarkomi siekiant viešojo intereso ir vykdant Tarybai taikomus teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c, e punktu;
7.14. Tarybos sprendimams priimti būtinų ekspertinių išvadų gavimo tikslu, Taryba tvarko ekspertų, regioninių kultūros tarybų narių, paraišką dėl stipendijos ar kitokios finansinės paramos skyrimo pateikusių asmenų asmens duomenis. Asmens duomenys tvarkomi siekiant viešojo intereso ir vykdant Tarybai taikomus teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c, e punktu;
Papunkčio pakeitimai:
Nr. VĮ-26(1.1E), 2023-10-02, paskelbta TAR 2023-10-02, i. k. 2023-19226
7.15. Kultūros ir meno tyrimų organizavimo ir koordinavimo, vykdomų kultūros ir meno projektų stebėsenos tikslu, Taryba tvarko jos finansuotose priemonėse dalyvavusių asmenų, kitų tyrimuose dalyvaujančių asmenų asmens duomenis. Asmens duomenys tvarkomi siekiant atlikti užduotį viešojo intereso labui, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. e punktu;
7.16. Europos Sąjungos ir kitų valstybių finansinės paramos programų įgyvendinimo tikslu Taryba tvarko programų įgyvendinime dalyvaujančių Tarybos darbuotojų ir kitų asmenų asmens duomenis. Asmens duomenys tvarkomi siekiant viešojo intereso ir vykdant Tarybai taikomus teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c, e punktu;
7.17. Visuomenės informavimo tikslu tvarko Tarybos darbuotojų, asmenų dalyvaujančių/dalyvavusių Tarybos organizuotuose projektuose, renginiuose ir veiklose asmens duomenis. Asmens duomenys tvarkomi asmens sutikimu, siekiant viešojo intereso ir vykdant Tarybai taikomus teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. a, c, e punktu;
8. Taryba gali tvarkyti asmens duomenis ir kitais tikslais, kiek tai būtina siekiant teisėtai vykdyti veiklą, atitikti teisės aktų keliamus reikalavimus, apsiginti nuo pretenzijų, ieškinių ir siekiant teisėtų Tarybos interesų apsaugos. Asmens duomenys tvarkomi laikantis Reglamento (ES) 2016/679 6 straipsnio 1 dalyje, o specialių kategorijų asmens duomenys – 9 straipsnio 2 dalyje nurodytų sąlygų.
IV SKYRIUS
ASMENS DUOMENŲ TVARKYMAS
10. Taryboje asmens duomenys tvarkomi vadovaujantis Reglamentu (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir privatumo apsaugą, Lietuvos standartais.
Punkto pakeitimai:
Nr. VĮ-26(1.1E), 2023-10-02, paskelbta TAR 2023-10-02, i. k. 2023-19226
11. Asmens duomenys Taryboje tvarkomi automatiniu būdu ir (ar) neautomatiniu būdu susistemintose rinkmenose. Dėl techninės ir programinės įrangos, skirtos asmens duomenų tvarkymui, sprendimą priima Tarybos pirmininkas.
12. Asmens duomenys Taryboje teisės aktų nustatyta tvarka renkami tiesiogiai iš duomenų subjekto, iš kitų juridinių ir fizinių asmenų, turinčių teisę juos pateikti Tarybai.
13. Taryba asmens duomenis tikslina, taiso ir atnaujina savo arba asmens, kurio duomenys yra tvarkomi, iniciatyva. Savo iniciatyva Taryba turi teisę tikslinti, taisyti ir atnaujinti asmens duomenis tada, kai gaunama informacija apie pasikeitusius asmens duomenis. Duomenų subjekto prašymai dėl asmens duomenų patikslinimo, ištaisymo ar atnaujinimo nagrinėjami Duomenų subjektų teisių įgyvendinimo tvarkos aprašo, kurį tvirtina Tarybos pirmininkas, nustatyta tvarka.
14. Asmens duomenys taisomi, tikslinami ar atnaujinami pagal asmens duomenis patvirtinančius dokumentus.
15. Apie atliktą asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą Taryba teisės aktuose nustatytais terminais, o jei tokie terminai nenustatyti – per 20 darbo dienų nuo šių veiksmų atlikimo dienos praneša duomenų gavėjams, nebent to padaryti neįmanoma arba tai pareikalautų neproporcingų pastangų.
16. Už asmens duomenų taisymą, tikslinimą, atnaujinimą yra atsakingas Tarybos pirmininkas ar kitas jo tvarkyti asmens duomenis įgaliotas asmuo.
V SKYRIUS
ASMENS DUOMENŲ TEIKIMAS
19. Vadovaujantis Reglamentu (ES) 2016/679 Taryba asmens duomenis gali teikti teismams, teisėsaugos institucijoms, Tarybos veiklos patikrinimus atliekančioms valstybės institucijoms, kitiems tretiesiems asmenims, kuriems teikti asmens duomenis Tarybą įpareigoja įstatymai ar kiti teisės aktai arba kitiems asmenims, kurie turi teisę asmens duomenis iš Tarybos gauti.
20. Vadovaujantis Reglamentu (ES) 2016/679 Taryba asmens duomenis gali teikti savo partneriams, kitiems asmenimis, jeigu tai yra būtina, kad Taryba galėtų vykdyti savo veiklą.
21. Visuomenės informavimo tikslu Taryba asmens duomenis skelbia savo interneto svetainėje, socialinių tinklų paskyrose bei kitais Tarybai prieinamais būdais.
22. Asmens duomenys tretiesiems asmenims teikiami pagal asmens duomenų teikimo sutartį (daugkartinio teikimo atveju), pagal prašymą (vienkartinio teikimo atveju), teisės aktų nustatyta tvarka arba Tarybos iniciatyva.
23. Jeigu asmens duomenys yra teikiami pagal sutartį, sutartyje turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo / gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis. Jeigu asmens duomenys teikiami pagal prašymą, prašyme turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis.
24. Asmens duomenys tretiesiems asmenims teikiami tik esant asmens duomenų teikimo teisiniam pagrindui ir įvertinus asmens duomenų teikimo tikslą ir teikiamų asmens duomenų apimtį.
25. Asmens duomenys tretiesiems asmenims teikiami šių teisės aktų nustatyta tvarka:
25.1. gyventojų pajamų mokesčio administravimo tikslu Valstybinei mokesčių inspekcijai prie Lietuvos Respublikos finansų ministerijos asmens duomenys teikiami Lietuvos Respublikos gyventojų pajamų mokesčio įstatymo nustatyta tvarka;
25.2. socialinio draudimo mokesčio administravimo tikslu Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos asmens duomenys teikiami Lietuvos Respublikos valstybinio socialinio draudimo įstatymo nustatyta tvarka;
25.3. darbo užmokesčio išmokėjimo tikslu darbuotojo pasirinktiems bankams asmens duomenys teikiami Lietuvos Respublikos darbo kodekso nustatyta tvarka;
25.4. darbuotojų nelaimingų atsitikimų tyrimo tikslu Valstybinei darbo inspekcijai prie Socialinės apsaugos ir darbo ministerijos asmens duomenys teikiami Lietuvos Respublikos darbuotojų saugos ir sveikatos įstatymo ir kitų teisės aktų nustatyta tvarka;
25.5. viešųjų pirkimų skaidrumo užtikrinimo tikslu Viešųjų pirkimų tarnybai asmens duomenys teikiami Lietuvos Respublikos viešųjų pirkimų įstatymo ir kitų teisės aktų, reglamentuojančių viešuosius pirkimus, nustatyta tvarka;
25.6. visuomenės informavimo tikslu asmens duomenys skelbiami Tarybos interneto svetainėje Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms ir mobiliosioms programoms aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. gruodžio 12 d. nutarimu Nr. 1261, nustatyta tvarka.
26. Tarnyba asmens duomenis teikia duomenų tvarkytojams. Taryba Personalo administravimo funkcijų centralizuoto atlikimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. gegužės 30 d. nutarimu Nr. 507 „Dėl Personalo administravimo funkcijų centralizuoto atlikimo tvarkos aprašo patvirtinimo“, kitų teisės aktų nustatyta tvarka teikia asmens duomenis duomenų tvarkytojui - Nacionaliniam bendrųjų funkcijų centrui. Taryba gali pasitelkti ir kitus duomenų tvarkytojus – paslaugų teikėjus -– - techninės ir programinės įrangos priežiūros ir palaikymo, interneto svetainės prieglobos ir priežiūros, duomenų centrų, turto priežiūros ir aptarnavimo organizavimo ir kitas paslaugas teikiančius paslaugų teikėjus, kuriems teikiami asmens duomenys arba sudaroma galimybė susipažinti su asmens duomenimis.
27. Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik Tarybos vardu ir pagal Tarybos nurodymus ir tik tiek, kiek tai būtina siekiant tinkamai vykdyti paslaugų teikimo sutartyje nustatytus įsipareigojimus. Nuostatos, susijusios su asmens duomenų tvarkymu ir apsauga, įtraukiamos į su duomenų tvarkytojais sudaromas sutartis, kuriose turi būti aptarti visi Reglamento (ES) 2016/679 28 straipsnyje nurodyti klausimai.
VI SKYRIUS
DUOMENŲ SAUGOJIMO IR SUNAIKINIMO TVARKA
29. Taryboje tvarkomi asmens duomenys saugomi Tarybos serveryje ir (arba) paslaugų teikėjo serveryje, darbuotojų kompiuteriuose, darbuotojų asmens bylose ir kitose susistemintose rinkmenose pagal poreikį.
30. Asmens duomenys Taryboje saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.
31. Asmens duomenys, nereikalingi jų tvarkymo tikslams, sunaikinami, jeigu Lietuvos Respublikos teisės aktai nenustato kitaip.
32. Asmens duomenys Taryboje saugomi vadovaujantis Bendrųjų dokumentų saugojimo terminų rodyklėje, patvirtintoje Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100, nustatytais terminais.
33. Asmens duomenys Taryboje saugomi:
33.3. ekspertų atrankos tikslu – ekspertais netapusių asmenų – 1 metus po atrankos procedūrų pabaigos, ekspertais atrinktų asmenų - 5 metus po eksperto kadencijos pabaigos;
33.4. žmogiškųjų išteklių valdymo (tarnybos/darbo/praktikos administravimo, Tarybos, kaip darbdavio, pareigų, nustatytų teisės aktuose, vykdymo bei tinkamų darbo sąlygų užtikrinimo ir pan.) tikslu – darbo sutartyje ir jos prieduose esantys duomenys saugomi 50 metų darbo sutarčiai pasibaigus, kiti asmens duomenys – 10 metų darbo santykiams pasibaigus;
33.5. buhalterinės apskaitos, materialinių finansinių išteklių valdymo tikslu – 10 metų po kalendorinių metų, kuriais vyko ūkinė operacija, pabaigos;
33.6. dokumentų valdymo tikslu – Tarybos dokumentacijos plane nurodytus laikotarpius priklausomai nuo dokumento pobūdžio;
33.9. sutarčių sudarymo ir vykdymo tikslu – Tarnybos dokumentacijos planuose nustatytu terminu, priklausomai nuo sutarties rūšies ;
33.10. informacinių sistemų ir tvarkomos informacijos bei asmens duomenų saugumo užtikrinimo tikslu – 6 mėnesius;
Papunkčio pakeitimai:
Nr. VĮ-26(1.1E), 2023-10-02, paskelbta TAR 2023-10-02, i. k. 2023-19226
33.11. kultūros ir meno sričių, programų, projektų ir kitokių priemonių administravimo tikslu – neskyrus finansavimo – 3 metus, skyrus finansavimą - programos, projekto, kitos priemonės įgyvendinimo laikotarpiu ir 10 metai po įgyvendinimo;
33.12. stipendijų ir kitokios finansinės paramos skyrimo kultūros ir meno kūrėjams tikslu – neskyrus finansavimo – 3 metus, skyrus finansavimą – veiklos vykdymo laikotarpiu ir 10 metų po to;
33.13. išvadų dėl asmenų apdovanojimo Kultūros ministerijos įsteigtomis premijomis teikimo tikslu – 1 metai po išvadų pateikimo;
33.14. Tarybos sprendimams priimti būtinų ekspertinių išvadų gavimo tikslu – dokumentacijos plane nurodytą terminą ;
33.15. kultūros ir meno tyrimų organizavimo ir koordinavimo, vykdomų kultūros ir meno projektų stebėsenos tikslu – vykdomo projekto metu/tyrimo metu iki tyrimo/stebėsenos rezultatų parengimo;
33.16. Europos Sąjungos ir kitų valstybių finansinės paramos programų įgyvendinimo tikslu – programų įgyvendinimo laikotarpiu ir 5 metus joms pasibaigus;
33.17. visuomenės informavimo tikslu – teisės aktų nustatytais terminais arba kol tai tenkina visuomenės poreikį tokią informaciją žinoti, asmens duomenų saugojimo būtinumą peržiūrint kas 10 metų.
34. Pasibaigus Aprašo 33 punkte nustatytiems terminams asmens duomenys sunaikinami arba perduodami valstybės archyvui.
35. Automatiniu būdu tvarkomi asmens duomenys saugomi kartu su kitais duomenimis duomenų bazėje, duomenų bazės archyve, remiantis nustatytais terminais.
36. Darbuotojų kompiuteriuose esantys asmens duomenys tvarkomi tol, kol jie yra būtini konkrečios užduoties atlikimui ar darbuotojo pareigų vykdymui.
37. Dokumentai, kuriuose yra asmens duomenų, ar jų kopijos turi būti sunaikinti taip, kad jų nebūtų galima atkurti ir atpažinti turinio.
VII SKYRIUS
REIKALAVIMAI DARBUOTOJAMS, TVARKANTIEMS ASMENS DUOMENIS
39. Taryba užtikrina, kad asmens duomenis tvarkytų ar su jais susipažinti galėtų tik tie darbuotojai, kuriems tokie duomenys yra reikalingi jų funkcijoms atlikti.
40. Tarybos darbuotojai, tvarkydami asmens duomenis, su asmens duomenimis gali atlikti tik tuos veiksmus, kuriems atlikti yra suteiktos teisės.
41. Tarybos darbuotojai, tvarkantys asmens duomenis, privalo:
41.1. laikytis su asmens duomenų tvarkymu susijusių principų ir saugumo reikalavimų, įtvirtintų Reglamente (ES) 2016/679, šiame Apraše ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą ir privatumo apsaugą;
41.2. laikytis konfidencialumo principo, pasirašant konfidencialumo susitarimą ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami darbo funkcijas, nebent tokia informacija yra vieša pagal galiojančių teisės aktų reikalavimus. Prievolė saugoti asmens duomenų paslaptį galioja ir perėjus dirbti į kitas pareigas arba pasibaigus darbo santykiams Taryboje;
41.3. neatskleisti, neperduoti ar kitu būdu nesudaryti galimybės naudotis ir (ar) susipažinti su asmens duomenimis nė vienam asmeniui, kuriam nėra pavesta dirbti ir (ar) susipažinti su asmens duomenimis Taryboje ar už jos ribų;
41.5. saugoti dokumentus ir duomenų rinkmenas tinkamai ir saugiai, vengti daryti nereikalingas kopijas; dokumentų kopijos, kuriose yra asmens duomenų, turi būti sunaikintos taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio;
41.6. be Tarybos pirmininko ar jo įgalioto asmens pavedimo ir teisinio pagrindo, darbo vietoje draudžiama bet kokiomis priemonėmis fiksuoti asmens duomenis ir platinti juos viešai bet kokiais būdais (žodžiu, socialiniuose tinkluose ir t.t.).
VIII SKYRIUS
ORGANIZACINIŲ IR TECHNINIŲ ASMENS DUOMENŲ
SAUGUMO PRIEMONIŲ NAUDOJIMAS IR ATSAKOMYBĖ
43. Taryba, tvarkydama asmens duomenis, įgyvendina ir užtikrina tinkamas organizacines ir technines priemones, skirtas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.
44.Taryba užtikrina:
44.1. nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą;
44.2. gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju;
44. Tvarkomų asmens duomenų saugumas užtikrinamas vadovaujantis Reglamento (ES) 2016/679 32 straipsniu, Lietuvos standartais, Organizacinių ir techninių asmens duomenų saugumo priemonių įgyvendinimo tvarkos aprašu, patvirtintu Tarybos pirmininko, kitais teisės aktais.
Punkto pakeitimai:
Nr. VĮ-26(1.1E), 2023-10-02, paskelbta TAR 2023-10-02, i. k. 2023-19226
45. Už asmens duomenų saugumą atsako Tarybos pirmininkas, darbuotojai, paslaugų teikėjai, vykdantys techninės ir programinės įrangos priežiūrą, remontą ir administravimą, teikiantys kitas paslaugas.
46. Tarybos pirmininkas atsako už Tarybos vidaus teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, tvirtinimą, įgaliojimų tvarkyti asmens duomenis Tarybos darbuotojams suteikimą, sprendimų dėl žmogiškųjų, finansinių ir kitų išteklių, būtinų tinkamam Reglamento (ES) 2016/679 nuostatų įgyvendinimui ir asmens duomenų saugumui užtikrinti, priėmimą.
47. Tarybos darbuotojai atsako už pareigų, susijusių su asmens duomenų tvarkymu, nevykdymą ar netinkamą vykdymą, teisės aktų ir Tarybos vidaus dokumentų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą neįgyvendinimą ar netinkamą įgyvendinimą. Pažeidimai, susiję su asmens duomenų tvarkymu ir apsauga, yra laikomi šiurkščiu darbo drausmės pažeidimu.
IX SKYRIUS
DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI
51. Tarybai tvarkant asmens duomenis kaip duomenų valdytojui, duomenų tvarkymo veiklos įrašuose nurodoma:
51.7. informacija apie duomenų perdavimą į trečiąsias valstybes arba tarptautinėms organizacijoms, įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą, duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai (kai taikoma);
52. Tarybos, kaip duomenų tvarkytojos, duomenų tvarkymo veiklos įrašuose nurodoma:
52.5. kai taikoma, asmenų duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, nurodant tą trečiąją valstybę arba tarptautinę organizaciją, ir, Reglamento (ES) 2016/679 49 straipsnio 1 dalies antroje pastraipoje nurodytų duomenų perdavimų atveju, tinkamų apsaugos priemonių dokumentai;
53. Duomenų tvarkymo veiklos įrašuose gali būti nurodoma papildoma informacija apie asmens duomenų tvarkymą.
56. Duomenų tvarkymo veiklos įrašuose esanti informacija patikrinama ir atnaujinama pasikeitus asmens duomenų tvarkymui, įgyvendinamoms duomenų saugumo priemonėms, bet ne rečiau kaip kartą per kalendorinius metus. Atnaujinant duomenų tvarkymo veiklos įrašus, pildoma nauja įrašo redakcija, kuri tvirtinama Tarybos pirmininko įsakymu. Už duomenų tvarkymo veiklos įrašuose esančios informacijos patikrinimą ir atnaujinimą yra atsakingas Tarybos pirmininkas ar jo įgaliotas asmuo.
57. Duomenų tvarkymo veiklos įrašai pateikiami Valstybinei duomenų apsaugos inspekcijai gavus jos prašymą.
X SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO IR REAGAVIMO Į ŠIUOS PAŽEIDIMUS TVARKA
59. Kiekvienas Tarybos darbuotojas, pastebėjęs ar sužinojęs apie asmens duomenų saugumo pažeidimą ar kitą su asmens duomenimis įvykusį incidentą, privalo apie tai nedelsdamas pranešti Tarybos pirmininkui.
XI SKYRIUS
POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS
61. Reglamento (ES) 2016/679 35 straipsnio ir Valstybinės duomenų apsaugos inspekcijos nustatytais atvejais Taryboje yra atliekamas poveikio duomenų apsaugai vertinimas.
62. Poreikis atlikti poveikio duomenų apsaugai vertinimą nustatomas ir, jeigu reikia, poveikio duomenų apsaugai vertinimas atliekamas prieš pradedant asmens duomenų tvarkymą ir (ar) prieš priimant sprendimą įdiegti naujas asmens duomenų tvarkymo priemones.
63. Poveikio duomenų apsaugai vertinimą atlieka Tarybos darbuotojai, atsakingi už asmens duomenų tvarkymą, arba asmenys pagal paslaugų teikimo sutartį.
64. Atlikus poveikio duomenų apsaugai vertinimą, surašoma ataskaita, kurioje pateikiama Reglamento (ES) 2016/679 35 straipsnio 7 dalyje nurodyta informacija. Poveikio duomenų apsaugai vertinimo ataskaita saugoma teisės aktų nustatyta tvarka.
XII SKYRIUS
DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO TVARKA
67. Informacija apie asmens duomenų tvarkymą ir duomenų subjektų teisių įgyvendinimą Taryboje yra prieinama Tarybos interneto svetainėje ir (arba) kreipiantis į Tarybos pirmininką.
XIII SKYRIUS
DUOMENŲ APSAUGOS PAREIGŪNAS
69. Taryboje yra paskiriamas duomenų apsaugos pareigūnas, kuriuo gali būti Tarybos darbuotojas arba asmuo, teikiantis duomenų apsaugos pareigūno paslaugas pagal paslaugų teikimo sutartį.
70. Taryba skiria duomenų apsaugos pareigūną atsižvelgdama į jo turimas duomenų apsaugos teisės ir praktikos ekspertines žinias, profesines savybes, gebėjimus atlikti duomenų apsaugos pareigūnui priskirtas funkcijas.
71. Taryba užtikrina duomenų apsaugos pareigūnui garantijas, įtvirtintas Reglamento (ES) 2016/679 38 straipsnyje.
72. Duomenų apsaugos pareigūnas vykdo Reglamento (ES) 2016/679 39 straipsnyje nurodytas užduotis ir yra tiesiogiai atskaitingas Tarybos pirmininkui.
73. Duomenų apsaugos pareigūno funkcijoms atlikti ir bendrauti su šiuo pareigūnu skiriama elektroninio pašto dėžutė, kurios adresas skelbiamas Tarybos interneto svetainėje.
74. Taryba apie duomenų apsaugos pareigūno paskyrimą praneša Valstybinei duomenų apsaugos inspekcijai bei apie paskirtą duomenų apsaugos pareigūną elektroniniu paštu ar kitu įprastai Taryboje naudojamu būdu informuoja darbuotojus.
Punkto pakeitimai:
Nr. VĮ-26(1.1E), 2023-10-02, paskelbta TAR 2023-10-02, i. k. 2023-19226
75. Tarybos darbuotojai, tvarkantys asmens duomenis ar organizuojantys jų tvarkymą, siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam duomenų tvarkymui, privalo konsultuotis su duomenų apsaugos pareigūnu ir gauti jo nuomonę šiais atvejais:
75.2. tobulinant esamas ar diegiant naujas su asmens duomenų tvarkymu susijusias sistemas ar programas;
75.6. sprendžiant dėl asmens duomenų teikimo tretiesiems asmenims, jeigu toks teikimas nėra numatytas asmens duomenų teikimo sutartyje ar nėra reglamentuotas teisės aktuose;
76. Tarybos darbuotojai turi teisę kreiptis į duomenų apsaugos pareigūną ir kitais atvejais, jeigu mano, kad duomenų apsaugos pareigūno nuomonė yra reikalinga.
77. Tarybos darbuotojai privalo bendradarbiauti su duomenų apsaugos pareigūnu ir teikti jam informaciją apie vykdomą asmens duomenų tvarkymą.
78. Priimant sprendimus Aprašo 75 punkte nurodytais atvejais, duomenų apsaugos pareigūno nuomonę rekomenduojama gauti raštu (pvz., elektroniniu paštu). Jeigu priimant šiuos sprendimus į duomenų apsaugos pareigūno nuomonę visiškai ar iš dalies neatsižvelgiama, neatsižvelgimo motyvai išdėstomi raštu (pvz., elektroniniu paštu). Tais atvejais, kai nepritariama duomenų apsaugos pareigūno nuomonei, sprendimą priima Tarybos pirmininkas.
Punkto pakeitimai:
Nr. VĮ-26(1.1E), 2023-10-02, paskelbta TAR 2023-10-02, i. k. 2023-19226
79. Duomenų apsaugos pareigūnas privalo teisės aktų nustatyta tvarka užtikrinti gautos informacijos, susijusios su jo užduočių vykdymu, slaptumą arba konfidencialumą.
80. Tarybos pirmininko prašymu duomenų apsaugos pareigūnas atsiskaito Tarybos pirmininkui Tarybos pirmininko nurodytu periodiškumu ir būdu.
Papildyta punktu:
Nr. VĮ-26(1.1E), 2023-10-02, paskelbta TAR 2023-10-02, i. k. 2023-19226
XIV SKYRIUS
BAIGIAMOSIOS NUOSTATOS
81. Asmens duomenis Taryboje yra įgalioti tvarkyti Tarybos pirmininkas ir Tarybos narių susirinkimo nariai, valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartį, paslaugų teikėjai pagal su jais sudarytas sutartis.
Punkto numeracijos pakeitimas:
Nr. VĮ-26(1.1E), 2023-10-02, paskelbta TAR 2023-10-02, i. k. 2023-19226
82. Tarybos narių susirinkimo nariai, valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartį su Aprašu supažindinami pasirašytinai.
Punkto pakeitimai:
Nr. VĮ-26(1.1E), 2023-10-02, paskelbta TAR 2023-10-02, i. k. 2023-19226
83. Tarybos darbuotojai, pažeidę Aprašo, Reglamento (ES) 2016/679, kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, reikalavimus, atsako pagal galiojančius teisės aktus.
Punkto numeracijos pakeitimas:
Nr. VĮ-26(1.1E), 2023-10-02, paskelbta TAR 2023-10-02, i. k. 2023-19226
84. Aprašas peržiūrimas įvykus esminiams organizaciniams, sisteminiams ar kitiems asmens duomenų tvarkymo ir (ar) Tarybos veiklos pokyčiams arba pasikeitus teisės aktų reikalavimams, bet ne rečiau kaip vieną kartą per metus.
Punkto numeracijos pakeitimas:
Nr. VĮ-26(1.1E), 2023-10-02, paskelbta TAR 2023-10-02, i. k. 2023-19226
85. Tarybos veiksmai ar neveikimas, kuriais pažeidžiami teisės aktai, reglamentuojantys asmens duomenų tvarkymą ir apsaugą, gali būti skundžiami Valstybinei duomenų apsaugos inspekcijai arba teismui teisės aktų nustatyta tvarka.
Punkto numeracijos pakeitimas:
Nr. VĮ-26(1.1E), 2023-10-02, paskelbta TAR 2023-10-02, i. k. 2023-19226
PATVIRTINTA
Lietuvos kultūros tarybos
pirmininko 2021 m. rugpjūčio 23 d.
įsakymu Nr. VĮ-14(1.1 E)
DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO
TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Duomenų subjekto teisių įgyvendinimo tvarkos aprašas (toliau – Aprašas) nustato duomenų subjektų teisių įgyvendinimo Lietuvos kultūros taryboje (toliau – Taryba) tvarką, duomenų subjekto (ar jo atstovo) prašymo įgyvendinti Apraše nurodytas duomenų subjektų teises (toliau – prašymas, duomenų subjekto prašymas) pateikimo ir nagrinėjimo tvarką.
2. Aprašas taikomas Tarybai, kaip duomenų valdytojui, įgyvendinant duomenų subjektų – asmenų, kurių asmens duomenys tvarkomi Taryboje automatiniu būdu ar neautomatiniu būdu susistemintose rinkmenose, teises.
3. Įgyvendinant duomenų subjekto teises, vadovaujamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, Europos duomenų apsaugos valdybos gairėmis, Valstybinės duomenų apsaugos inspekcijos rekomendacijomis.
5. Aprašas parengtas vadovaujantis Reglamentu (ES) 2016/679 ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.
Punkto pakeitimai:
Nr. VĮ-26(1.1E), 2023-10-02, paskelbta TAR 2023-10-02, i. k. 2023-19226
II SKYRIUS
TEISĖ GAUTI INFORMACIJĄ APIE DUOMENŲ TVARKYMĄ
6. Taryba informuoja duomenų subjektus apie asmens duomenų tvarkymą užtikrindamas sąžiningumo ir skaidrumo principų įgyvendinimą.
7. Taryba, rinkdama asmens duomenis tiesiogiai iš duomenų subjektų, duomenų subjektams informaciją apie asmens duomenų tvarkymą, nurodytą Reglamento (ES) 2016/679 13 straipsnio 1 ir 2 dalyse, pateikia bendravimo su duomenų subjektu metu tokiu būdu, kokiu duomenų subjektas kreipiasi į Tarybą, išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi ir tiek, kiek tos informacijos jis turi.
8. Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto, apie šio duomenų subjekto asmens duomenų tvarkymą Taryba informuoja duomenų subjektą pateikdama jam Reglamento (ES) 2016/679 14 straipsnio 1 ir 2 dalyse nurodytą informaciją:
8.1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;
8.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti pirmą kartą susisiekiant su tuo duomenų subjektu; arba
9. Taryba, gaudama asmens duomenis ne tiesiogiai iš duomenų subjektų, duomenų subjektų apie jų asmens duomenų tvarkymą neinformuoja, kai:
III SKYRIUS
TEISĖ SUSIPAŽINTI SU DUOMENIMIS
11. Taryba, įgyvendindama teisę susipažinti su duomenimis, duomenų subjektui pateikia:
11.2. su asmens duomenų tvarkymu susijusią informaciją, numatytą Reglamento (ES) 2016/679 15 straipsnio 1 ir 2 dalyse, jeigu duomenų subjekto asmens duomenys tvarkomi;
12. Teikiant asmens duomenų kopiją, Taryba pateikia duomenų subjektui tik su juo susijusius tvarkomus asmens duomenis. Teikiant duomenų subjektui duomenų kopiją, užtikrinama, kad duomenų subjektui nebūtų atskleisti trečiųjų asmenų asmens duomenys. Kai duomenų kopijose yra trečiųjų asmenų asmens duomenų, pritaikius duomenų saugumo priemones, panaikinama galimybė šiuos trečiuosius asmenis identifikuoti arba teikiamas duomenų išrašas ar pan.
IV SKYRIUS
TEISĖ REIKALAUTI IŠTAISYTI DUOMENIS
13. Taryba įgyvendina duomenų subjektų teisę reikalauti ištaisyti netikslius ar papildyti neišsamius asmens duomenis.
14. Taryba, gavusi duomenų subjekto prašymą ištaisyti ar papildyti jo asmens duomenis, nedelsdama patikrina tvarkomų asmens duomenų tikslumą ir išsamumą. Asmens duomenys ištaisomi ar papildomi pagal duomenų subjekto pateiktus asmens duomenis ir juos patvirtinančius dokumentus.
15. Taryba, duomenų subjekto prašymu ištaisiusi jo asmens duomenis, apie tokį asmens duomenų ištaisymą praneša kiekvienam duomenų gavėjui, kuriam buvo atskleisti asmens duomenys, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjekto prašymu Taryba informuoja duomenų subjektą apie tuos duomenų gavėjus.
V SKYRIUS
TEISĖ REIKALAUTI IŠTRINTI DUOMENIS („TEISĖ BŪTI PAMIRŠTAM“)
16. Duomenų subjektas turi teisę reikalauti Tarybos ištrinti jo asmens duomenis, jeigu toks prašymas gali būti pagrįstas bent viena iš Reglamento (ES) 2016/679 17 straipsnio 1 dalyje nurodytų sąlygų.
17. Taryba neįgyvendina duomenų subjekto teisės reikalauti ištrinti asmens duomenis, kai asmens duomenų tvarkymas yra būtinas:
17.1. siekiant laikytis įstatymuose ar kituose teisės aktuose įtvirtintos teisinės prievolės, kuria reikalaujama tvarkyti asmens duomenis;
18. Jeigu duomenų subjekto asmens duomenys buvo perduoti duomenų gavėjams, Taryba šiuos duomenų gavėjus informuoja apie duomenų subjekto prašymu ištrintus asmens duomenis, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
19. Jeigu Taryba buvo viešai paskelbusi asmens duomenis, kuriuos pagal duomenų subjekto prašymą privalo ištrinti, Taryba, atsižvelgdama į turimas technologijas ir įgyvendinimo sąnaudas, imasi pagrįstų veiksmų, įskaitant technines priemones, kad informuotų duomenis tvarkančius duomenų valdytojus, jog duomenų subjektas paprašė, kad tokie duomenų valdytojai ištrintų visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus.
VI SKYRIUS
TEISĖ APRIBOTI DUOMENŲ TVARKYMĄ
21. Duomenų subjektų teisė reikalauti apriboti asmens duomenų tvarkymą įgyvendinama esant Reglamento (ES) 2016/679 18 straipsnio 1 dalyje nurodytoms sąlygoms.
22. Asmens duomenys, kurių tvarkymas apribotas, yra saugomi Taryboje. Prieš tokio apribojimo panaikinimą Taryba informuoja duomenų subjektą tokiu būdu, kokiu jis ir kreipėsi į Tarybą.
23. Taryba gali atlikti asmens duomenų, kurių tvarkymas yra apribotas, tvarkymo veiksmus, išskyrus saugojimą, tik tada, kai:
24. Jeigu duomenų subjekto asmens duomenys (kurių tvarkymas apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Taryba šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
VII SKYRIUS
TEISĖ Į DUOMENŲ PERKELIAMUMĄ
25. Taryba įgyvendina duomenų subjekto teisę į duomenų perkeliamumą tuo atveju, jeigu asmens duomenų tvarkymas grindžiamas duomenų subjekto sutikimu arba sutarties su duomenų subjektu sudarymu bei vykdymu ir jeigu asmens duomenys yra tvarkomi automatiniu būdu.
26. Duomenų subjektas neturi teisės į duomenų perkeliamumą tų asmens duomenų atžvilgiu, kurie tvarkomi neautomatiniu būdu susistemintose rinkmenose, ir jų tvarkymas grindžiamas kitomis nei Aprašo 26 punkte nurodytomis teisėtumo sąlygomis.
27. Duomenų subjektas, kreipdamasis dėl teisės į duomenų perkeliamumą, turi nurodyti, ar pageidauja, kad jo asmens duomenys būtų persiųsti jam, ar kitam duomenų valdytojui. Asmens duomenys persiunčiami kitam duomenų valdytojui, kai tai techniškai įmanoma, ir kai duomenų valdytojas, kuriam persiunčiami asmens duomenys, turi teisę juos gauti ir tvarkyti.
VIII SKYRIUS
TEISĖ NESUTIKTI SU DUOMENŲ TVARKYMU
29. Taryba įgyvendina duomenų subjekto teisę nesutikti su asmens duomenų tvarkymu, tuo atveju, kai asmens duomenų tvarkymas grindžiamas Tarybos arba trečiosios šalies teisėtais interesais.
30. Duomenų subjektui išreiškus nesutikimą su asmens duomenų tvarkymu, toks tvarkymas Taryboje toliau atliekamas tik tuo atveju, jeigu nusprendžiama, kad priežastys, dėl kurių atliekamas asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi teisiniams reikalavimams pareikšti, vykdyti ar apginti.
31. Tais atvejais, kai asmens duomenys Taryboje tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turi teisę bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi.
32. Kai duomenų subjektas prieštarauja duomenų tvarkymui tiesioginės rinkodaros tikslais, asmens duomenys tokiais tikslais nebetvarkomi.
IX SKYRIUS
TEISĖ REIKALAUTI, KAD NEBŪTŲ TAIKOMAS TIK AUTOMATIZUOTU DUOMENŲ TVARKYMU, ĮSKAITANT PROFILIAVIMĄ, GRINDŽIAMAS SPRENDIMAS
X SKYRIUS
DUOMENŲ SUBJEKTŲ PRAŠYMŲ PATEIKIMAS
35. Duomenų subjektai, siekdami įgyvendinti savo teises, Tarybai turi pateikti rašytinį prašymą asmeniškai, paštu ar elektroniniu būdu.
36. Prašymas turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, kontaktiniai duomenys ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo (adresas, telefono numeris ar el. pašto adresas), kiti asmens duomenys, būtini duomenų subjekto tapatybei nustatyti (gimimo data arba asmens kodas, arba kita informacija), ir informacija, kokią iš Apraše nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti.
37. Duomenų subjektas, pateikdamas prašymą, privalo patvirtinti savo tapatybę prašyme nurodydamas savo asmens duomenis ir jį pasirašydamas. Kai teikiant prašymą naudojamos elektroninių ryšių priemonės, turi būti pateikta pasirašyto prašymo skaitmeninė kopija arba prašymas turi būti pasirašytas kvalifikuotu elektroniniu parašu, atitinkančiu Reglamente (ES) 910/2014 nustatytus reikalavimus, arba suformuotas tokiu būdu, kuris leidžia prašymą teikiantį asmenį identifikuoti arba patikrinti prašymo autentiškumą.
Punkto pakeitimai:
Nr. VĮ-26(1.1E), 2023-10-02, paskelbta TAR 2023-10-02, i. k. 2023-19226
38. Reikalavimas duomenų subjektui patvirtinti savo asmens tapatybę netaikomas, jeigu duomenų subjektas kreipiasi į Tarybą dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.
40. Duomenų subjekto atstovas prašyme turi nurodyti savo vardą, pavardę, kontaktinius duomenis ryšiui palaikyti ar kuriais asmens atstovas pageidauja gauti atsakymą (adresą, telefono numerį ar el. pašto adresą), taip pat atstovaujamo duomenų subjekto vardą, pavardę, kitus asmens duomenis, būtinus atstovaujamo asmens tapatybei nustatyti (gimimo data arba asmens kodas, arba kita informacija), ir pateikti atstovavimą patvirtinantį dokumentą.
41. Jeigu Tarybai kyla abejonių dėl duomenų subjekto tapatybės arba jeigu duomenų subjekto tapatybės pagal prašyme pateiktą informaciją neįmanoma nustatyti, Taryba gali paprašyti papildomos informacijos, reikalingos duomenų subjekto tapatybei vienareikšmiškai patvirtinti.
42. Duomenų subjektui nepateikus prašomos papildomos informacijos per Tarybos nurodytą terminą, jo prašymas yra netenkinamas.
XI SKYRIUS
DUOMENŲ SUBJEKTŲ PRAŠYMŲ NAGRINĖJIMAS
46. Prašymas, pateiktas nesilaikant Aprašo 35–37, 40 ir 42 punktuose nustatytų reikalavimų, nenagrinėjamas ir apie tai nedelsiant, bet ne vėliau kaip per vieną mėnesį nuo prašymo gavimo dienos, pranešama raštu duomenų subjektui ir nurodomos priežastys.
47. Prašymas, atitinkantis Aprašo 35–37, 40 ir 42 punktuose nustatytus reikalavimus, nagrinėjamas ir duomenų subjekto teisės įgyvendinamos esant Reglamento (ES) 2016/679 sąlygoms, išskyrus Reglamento (ES) 2016/679 23 straipsnio 1 dalyje nustatytus atvejus.
48. Duomenų subjektui ne vėliau kaip per vieną mėnesį nuo prašymo gavimo dienos, pateikiama informacija apie veiksmus, kurių imtasi gavus jo prašymą. Šis terminas prireikus gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir skaičių. Per vieną mėnesį nuo prašymo gavimo dienos duomenų subjektas informuojamas apie tokį pratęsimą nurodant termino pratęsimo priežastis.
49. Jeigu Taryba nesiima veiksmų pagal prašymą, nedelsiant, bet ne vėliau kaip per vieną mėnesį nuo prašymo gavimo dienos, apie tai informuojamas duomenų subjektas nurodant jam neveikimo priežastis ir galimybę pateikti skundą priežiūros institucijai bei pasinaudoti kitomis teisių gynimo priemonėmis pagal Reglamento (ES) 2016/679 79 straipsnį.
50. Atsakymas duomenų subjektui pateikiamas valstybine kalba jo pasirinktu būdu: registruota pašto siunta, įteikiant asmeniškai arba elektroninėmis ryšio perdavimo priemonėmis, užtikrinant perduodamų asmens duomenų konfidencialumą ir vientisumą. Jeigu dėl objektyvių priežasčių neįmanoma pateikti atsakymo duomenų subjektui jo pasirinktu būdu, atsakymas pateikiamas registruotu paštu.
52. Kai prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, Taryba gali imti atlyginimą, atsižvelgdama į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines išlaidas, arba atsisakyti imtis veiksmų pagal prašymą.
XII SKYRIUS
BAIGIAMOSIOS NUOSTATOS
54. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir teisių įgyvendinimu, duomenų subjektas turi teisę kreiptis į Tarybos pirmininką adresu Naugarduko g. 10, Vilniuje, elektroniniu paštu info@ltkt.lt arba Tarybos duomenų apsaugos pareigūną Tarybos interneto svetainėje nurodytais jo kontaktais.
55. Už duomenų subjektų teisių įgyvendinimą Taryboje yra atsakingas Tarybos pirmininkas ar jo įgaliotas kitas asmuo.
56. Tarybos veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento (ES) 2016/679 80 straipsnio reikalavimus, turi teisę skųsti Valstybinei duomenų apsaugos inspekcijai (el. paštas ada@ada.lt, www.vdai.lrv.lt) arba Vilniaus apygardos administraciniam teismui Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.
Duomenų subjekto teisių įgyvendinimo
tvarkos aprašo priedas
(Prašymo įgyvendinti duomenų subjekto teisę (-es) forma)
________________________________________________________________________________
(duomenų subjekto vardas, pavardė, gimimo data ar asmens kodas, kiti duomenys duomenų subjekto tapatybei nustatyti)
_______________________________________________________________________________
(duomenų subjekto kontaktiniai duomenys ryšiui palaikyti (adresas, telefono numeris ar el. pašto adresas)
________________________________________________________________________________
(atstovo vardas, pavardė, jeigu prašymą pateikia duomenų subjekto atstovas)
________________________________________________________________________________
(atstovo kontaktiniai duomenys ryšiui palaikyti (adresas, telefono numeris ar el. pašto adresas)
________________________________________________________________________________
(atstovavimo pagrindas (įgaliojimus patvirtinančio dokumento data ir numeris)[1]
Lietuvos kultūros tarybai
Naugarduko g. 10, LT-01309, Vilnius
PRAŠYMAS
DĖL DUOMENŲ SUBJEKTO TEISĖS (-IŲ) ĮGYVENDINIMO
____________
(data)
_______________
(vieta)
1. Prašau įgyvendinti šią (šias) mano, kaip duomenų subjekto, teisę (-es)
(tinkamą langelį pažymėkite x):
☐ Teisę gauti informaciją apie duomenų tvarkymą
☐ Teisę susipažinti su duomenimis
☐ Teisę reikalauti ištaisyti duomenis
☐ Teisę reikalauti ištrinti duomenis („teisę būti pamirštam“)
☐ Teisę apriboti duomenų tvarkymą
☐ Teisę į duomenų perkeliamumą
☐ Teisę nesutikti su duomenų tvarkymu
☐ Teisę reikalauti, kad nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas
2. Nurodykite, ko konkrečiai prašote, ir pateikite kuo daugiau informacijos, kuri leistų tinkamai įgyvendinti Jūsų teisę (-es) (pavyzdžiui, jeigu norite gauti asmens duomenų kopiją, nurodykite, kokių konkrečiai duomenų kopiją (pavyzdžiui, 2018 m. x mėn. x d. elektroninio pašto laiško kopiją pageidaujate gauti; jeigu norite ištaisyti duomenis, nurodykite, kokie konkrečiai Jūsų asmens duomenys yra netikslūs; jeigu nesutinkate, kad būtų tvarkomi Jūsų asmens duomenys, pateikite argumentus, kuriais grindžiate savo nesutikimą, ir nurodykite, dėl kurio konkretaus duomenų tvarkymo nesutinkate; jeigu kreipiatės dėl teisės į duomenų perkeliamumą įgyvendinimo, nurodykite, kokius duomenis norite perkelti, taip pat ar pageidaujate juos perkelti į savo įrenginį, ar kitam duomenų valdytojui (nurodykite kokiam):
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.
PRIDEDAMA[2]:
Priedo pakeitimai:
Nr. VĮ-26(1.1E), 2023-10-02, paskelbta TAR 2023-10-02, i. k. 2023-19226
PATVIRTINTA
Lietuvos kultūros tarybos
pirmininko 2021 m. rugpjūčio 23 d.
įsakymu Nr. VĮ-14(1.1 E)
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO
TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašas (toliau – Aprašas) reglamentuoja, kokia tvarka Lietuvos kultūros taryba (toliau – Taryba) nustato, tiria, fiksuoja asmens duomenų saugumo pažeidimus, praneša apie juos Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektams.
2. Aprašas taikomas Tarybai ir jos pasitelktiems juridiniams ir fiziniams asmenims, tvarkantiems asmens duomenis Tarybos vardu ir pagal jos nurodymus (toliau – duomenų tvarkytojai).
3. Aprašas parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1–88) (toliau – Reglamentas (ES) 2016/679) ir atsižvelgiant į Europos Parlamento ir Tarybos direktyvos 95/46/EB 29 straipsnio darbo grupės 2017 m. spalio 3 d. parengtas Pranešimo apie asmens duomenų saugumo pažeidimą gaires pagal Reglamentą 2016/679, Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T-72(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“, Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“, Valstybinės duomenų apsaugos inspekcijos 2018 m. liepos 2 d. Rekomendacija dėl asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos.
II SKYRIUS
UŽ ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMĄ ATSAKINGI ASMENYS
5. Už asmens duomenų saugumo pažeidimų valdymą atsakingas Tarybos pirmininkas arba kitas jo įgaliotas asmuo (toliau – Atsakingas asmuo).
6. Tarybos pirmininkas (tuo atveju kai jis nėra Atsakingu asmeniu), Tarybos narių susirinkimo narys, valstybės tarnautojas ir darbuotojas, dirbantis pagal darbo sutartį (toliau visi bendrai – darbuotojas), sužinojęs apie galimą asmens duomenų saugumo pažeidimą (toliau – Pažeidimas) turi nedelsdamas, bet ne vėliau kaip per 2 darbo valandas nuo sužinojimo, apie tai žodžiu, raštu ar elektroninėmis priemonėmis informuoti Atsakingą asmenį.
7. Duomenų tvarkytojai, sužinoję apie Pažeidimą, nedelsdami, bet ne vėliau kaip per 24 valandas nuo sužinojimo, apie tai raštu praneša Tarybai, pateikdami informaciją, numatytą Reglamento (ES) 2016/679 33 straipsnio 3 dalyje. Duomenų tvarkytojai pateikia Tarybai visą kitą jo prašomą informaciją, susijusią su Pažeidimu ir jo tyrimu, per Tarybos nurodytą terminą. Duomenų tvarkytojų pareigos, susijusios su pranešimu apie Pažeidimą Tarybai bei su bendradarbiavimu tiriant Pažeidimą įtvirtinamos su duomenų tvarkytoju sudaromoje duomenų tvarkymo sutartyje. Duomenų tvarkytojas apie Pažeidimą gali pranešti tiesiogiai Valstybinei duomenų apsaugos inspekcijai, jeigu tai aiškiai numatyta duomenų tvarkymo sutartyje, tačiau už šios pareigos tinkamą įvykdymą išlieka atsakinga Taryba. Pranešimas Valstybinei duomenų apsaugos inspekcijai neatleidžia duomenų tvarkytojo nuo kitų pareigų, susijusių su Pažeidimu ir jo tyrimu, vykdymo.
8. Atsakingas asmuo, gavęs Aprašo 6 ir 7 punktuose nurodytą informaciją, arba apie Pažeidimą sužinojęs iš kitų šaltinių, nedelsdamas pradeda Pažeidimo tyrimą ir apie Pažeidimą informuoja Tarybos duomenų apsaugos pareigūną, laiku ir tinkamai suteikdamas jam visą informaciją, susijusią su galimu Pažeidimu.
III SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO TYRIMAS
9. Atsakingas asmuo turi imtis visų tinkamų techninių ir organizacinių priemonių, kad Pažeidimas būtų išsamiai ištirtas bei pašalintas (sustabdytas, ištaisytas) ir ateityje nepasikartotų.
10. Atsakingas asmuo, sužinojęs apie galimą Pažeidimą ir (ar) gavęs Aprašo 6 ir 7 punktuose nurodytą informaciją, kuo greičiau atlieka pirminį tyrimą, išsiaiškina ir nustato, ar Pažeidimas iš tikrųjų įvyko, Pažeidimo aplinkybes ir priežastis, kokios galimos Pažeidimo pasekmės asmenims (t. y. įvertina riziką), kokias organizacines ir technines asmens duomenų saugumo priemones reikia įgyvendinti. Kiti Tarybos darbuotojai pagal kompetenciją privalo dalyvauti Pažeidimo tyrime, pašalinime.
11. Pažeidimo tyrimo metu nustatomas Pažeidimo tipas. Galimi Pažeidimo tipai:
11.1. „Konfidencialumo Pažeidimas“ – kai yra be leidimo ar neteisėtai atskleidžiami asmens duomenys arba gaunama prieiga prie jų;
11.2. „Prieinamumo Pažeidimas“ – kai netyčia arba neteisėtai prarandama prieiga prie asmens duomenų arba asmens duomenys sunaikinami;
12. Priklausomai nuo aplinkybių, Pažeidimas tuo pat metu gali būti priskiriamas keliems Aprašo 11 punkte nurodytiems tipams.
13. Pažeidimo tyrimo metu vertinama, kokį pavojų fizinių asmenų teisėms ir laisvėms kelia Pažeidimas. Vertinant riziką, kuri gali atsirasti dėl Pažeidimo, atsižvelgiama į konkrečias Pažeidimo aplinkybes, pavojaus duomenų subjekto teisėms ir laisvėms atsiradimo tikimybę ir rimtumą.
14. Rizika vertinama remiantis objektyviu įvertinimu, atsižvelgiant į konkrečias Pažeidimo aplinkybes ir šiuos kriterijus:
14.2. Pažeidimo metu paveiktas asmens duomenų kategorijas (pvz., ar buvo paveikti specialių kategorijų asmens duomenys) ir paveiktų duomenų apimtį;
14.3. Pažeidimo metu paveiktas duomenų subjektų kategorijas ir šių subjektų specifines ypatybes (pvz., duomenys susiję su vaikais ar kitais pažeidžiamais asmenimis);
15. Vertinant riziką, laikoma, kad Pažeidimas, galintis kelti pavojų fizinių asmenų teisėms ir laisvėms, yra toks, dėl kurio, laiku nesiėmus tinkamų priemonių, fizinis asmuo gali patirti kūno sužalojimą, materialinę ar nematerialinę žalą (pvz., prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala).
16. Tyrimo metu, įvertinus visas Pažeidimo aplinkybes ir riziką, nustatoma rizikos tikimybė:
17. Atliekant Pažeidimo tyrimą išsaugomi esamos situacijos įrodymai bei įrodymai, kokios techninės ir organizacinės priemonės buvo pritaikytos.
IV SKYRIUS
PRANEŠIMAS PRIEŽIŪROS INSTITUCIJAI
19. Nustačius, kad Pažeidimas buvo ir kad yra rizika fizinių asmenų teisėms ir laisvėms, Atsakingas asmuo nedelsdamas, bet ne vėliau kaip per 72 val. nuo sužinojimo apie Pažeidimą, apie Pažeidimą praneša Valstybinei duomenų apsaugos inspekcijai pateikdamas užpildytą Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamą formą, patvirtintą Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“. Atsakingas asmuo visų pirma turėtų imtis visų tinkamų techninių ir organizacinių priemonių, kad Pažeidimas būtų išsamiai ištirtas ir pašalintas (sustabdytas, ištaisytas) bei ateityje nepasikartotų ir tuomet pateikti Pranešimą Valstybinei duomenų apsaugos inspekcijai.
20. Jeigu, atsižvelgiant į Pažeidimo pobūdį, yra būtina atlikti išsamesnį tyrimą ir nustatyti visus svarbius faktus, susijusius su Pažeidimu, ir per 72 val. nuo sužinojimo apie Pažeidimą dėl objektyvių aplinkybių to padaryti neįmanoma, Atsakingas asmuo informaciją apie Pažeidimą teikia Valstybinei duomenų apsaugos inspekcijai etapais ir nurodo, kodėl visos informacijos neįmanoma pateikti iš karto.
21. Jeigu atlikus tyrimą abejojama, ar yra rizika ir ar reikia apie Pažeidimą pranešti Valstybinei duomenų apsaugos inspekcijai, rekomenduotina Valstybinei duomenų apsaugos inspekcijai apie Pažeidimą pranešti. Tokiu atveju sprendimą dėl pranešimo priima Tarybos pirmininkas.
22. Pranešimas apie Pažeidimą Valstybinei duomenų apsaugos inspekcijai pateikiamas Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo, patvirtinto Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T-72(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“, nustatyta tvarka. Jeigu pateikus pranešimą Valstybinei duomenų apsaugos inspekcijai, atlikus tolesnį tyrimą yra nustatoma, kad saugumo incidentas buvo sustabdytas ir faktiškai Pažeidimo nebuvo, apie tai nedelsiant informuojama Valstybinė duomenų apsaugos inspekcija ir pažymima Asmens duomenų saugumo pažeidimų registravimo žurnale (toliau – Žurnalas). Jeigu tiriant Pažeidimą pradžioje nustatoma, kad nėra pavojaus fizinių asmenų teisėms ir laisvėms, tačiau detalesnio Pažeidimo tyrimo metu nustatoma, kad toks pavojus gali kilti, rizika vertinama iš naujo.
V SKYRIUS
PRANEŠIMAS DUOMENŲ SUBJEKTUI
23. Nustačius, kad Pažeidimas buvo ir dėl jo gali kilti šio Aprašo 16.3 punkte nurodyta didelė rizika fizinių asmenų teisėms ir laisvėms, Atsakingas asmuo nedelsdamas (rekomenduojama per 72 val.), apie Pažeidimą praneša duomenų subjektui, kurio teisėms ir laisvėms dėl Pažeidimo gali kilti didelis pavojus.
24. Pranešime duomenų subjektui glaustai ir aiškiai pateikiama ši informacija:
24.2. kontaktinio asmens, galinčio suteikti informaciją apie Pažeidimą ir jo valdymo priemones, vardas, pavardė (pavadinimas) ir kontaktiniai duomenys;
24.4. priemonių, kurių ėmėsi arba pasiūlė imtis Taryba, kad Pažeidimas būtų pašalintas, sumažintos neigiamos jo pasekmės, aprašymas (pvz., kad apie Pažeidimą yra informuota Valstybinė duomenų apsaugos inspekcija; siūlymas duomenų subjektui pasikeisti slaptažodžius ir kt.);
25. Duomenų subjektai apie Pažeidimą informuojami tiesiogiai siunčiant jiems pranešimą el. paštu, SMS, paštu ar kitu būdu. Šis pranešimas siunčiamas atskirai nuo kitos informacijos, įprastai siunčiamos duomenų subjektui. Taryba pasirenka tokius pranešimo duomenų subjektui būdus, kurie maksimaliai didintų galimybę tinkamai pranešti informaciją visiems nukentėjusiems asmenims.
26. Pranešimas apie Pažeidimą duomenų subjektui neteikiamas, jeigu:
26.1. buvo įgyvendintos tinkamos techninės ir organizacinės apsaugos priemonės ir tos priemonės taikytos asmens duomenims, kuriems Pažeidimas turėjo poveikį;
26.2. iš karto po Pažeidimo Taryba ėmėsi priemonių užtikrinti, kad nebegalėtų kilti didelis pavojus fizinių asmenų teisėms ir laisvėms;
26.3. jeigu tiesioginio pranešimo duomenų subjektui pateikimas pareikalautų neproporcingai daug pastangų. Tokiu atveju Taryba informaciją apie įvykusį Pažeidimą paskelbia viešai (pvz., savo interneto svetainėje aiškiai, duomenų subjektams lengvai prieinamoje vietoje ir (ar) visuomenės informavimo priemonėse) arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.
VI SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ FIKSAVIMAS
28. Pažeidimai, nepriklausomai nuo to, ar apie juos buvo pranešta Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektui, ar ne, registruojami Žurnale.
29. Informacija apie Pažeidimą į Žurnalą įrašoma nedelsiant, kai tik nustatomas Pažeidimo faktas ir įvertinama rizika (jei įmanoma ne vėliau kaip per 5 darbo dienas). Prireikus, atsižvelgiant į Pažeidimo tyrimo metu nustatytas papildomas aplinkybes, Žurnale esanti informacija papildoma ir (ar) patikslinama.
30. Žurnale nurodoma:
30.1. visi su Pažeidimu susiję faktai – Pažeidimo priežastis, kas įvyko ir kokie asmens duomenys pažeisti;
30.4. informacija, ar apie Pažeidimą buvo pranešta Valstybinei duomenų apsaugos inspekcijai (pranešimo Valstybinei duomenų apsaugos inspekcijai data ir numeris; jeigu nebuvo pranešta – kodėl Taryba nusprendė nepranešti apie Pažeidimą Valstybinei duomenų apsaugos inspekcijai, t. y. kodėl nusprendė, kad tikėtina, jog Pažeidimas negali sukelti pavojaus fizinių asmenų teisėms ir laisvėms); ir (ar) duomenų subjektui);
30.5. pranešimo Valstybinei duomenų apsaugos inspekcijai pateikimo vėlavimo priežastys (jeigu pranešimą vėluojama pateikti ar pranešimas teikiamas etapais);
30.6. informacija, susijusi su pranešimu duomenų subjektui (pranešimo duomenų subjektui data ir numeris; jeigu nepranešta – kokia Aprašo 26 punkte nurodyta sąlyga įvykdyta, kuomet pranešti apie Pažeidimą duomenų subjektui nereikia);
30.7. kita reikšminga informacija susijusi su Pažeidimu (pvz., kad tyrimo metu nustatyta, jog faktiškai Pažeidimo nebuvo, o buvo tik saugumo incidentas);
32. Žurnalas pildomas raštu, įskaitant elektroninę formą ir saugomas pagal nustatytą dokumentų saugojimo tvarką.
34. Žurnale esančius įrašus Atsakingas asmuo periodiškai, ne rečiau kaip kartą per metus, peržiūri ir numato, kokios prevencinės priemonės turėtų būti įgyvendintos papildomai ir kaip reikėtų kontroliuoti šių priemonių įdiegimą, kad ateityje analogiški Pažeidimai nesikartotų.
VII SKYRIUS
BAIGIAMOSIOS NUOSTATOS
36. Atlikdamas Apraše nurodytas užduotis, Atsakingas asmuo turi teisę pasitelkti kitus Tarybos darbuotojus, susijusius su asmens duomenų saugumo pažeidimu, kurie privalo teikti jam tarnybinę pagalbą.
37. Jeigu įtariama, kad Pažeidimas turi nusikalstamos veikos požymių, informacija apie galimą nusikalstamą veiką pateikiama valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą.
38. Aprašas peržiūrimas periodiškai, ne rečiau kaip kartą per metus, arba įvykus organizaciniams, sisteminiams ar kitiems pokyčiams arba pasikeitus teisės aktų reikalavimams.
39. Tarybos narių susirinkimo nariai, valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartį su Aprašu supažindinami pasirašytinai.
Punkto pakeitimai:
Nr. VĮ-26(1.1E), 2023-10-02, paskelbta TAR 2023-10-02, i. k. 2023-19226
Asmens duomenų saugumo pažeidimų valdymo
tvarkos aprašo priedas
(Asmens duomenų saugumo pažeidimų registravimo žurnalo forma)
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ REGISTRAVIMO ŽURNALAS
| Eil. Nr. |
Pažeidimo data ir laikas |
Sužinojimo apie pažeidimą data ir laikas |
Pažeidimo pobūdis, priežastis, kitos aplinkybės |
Asmens duomenų, kurių saugumas pažeistas, kategorijos |
Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos |
Pažeidimo poveikis ir pasekmės |
Priemonės, kurių buvo imtasi pažeidimui pašalinti ir (ar) neigiamoms pažeidimo pasekmėms sumažinti |
Informacija, ar apie pažeidimą buvo pranešta Valstybinei duomenų apsaugos inspekcijai (pranešimo data, numeris, pavėluoto pranešimo priežastys, priimto sprendimo neteikti pranešimo motyvai) |
Informacija, ar apie pažeidimą buvo pranešta duomenų subjektui (data ir numeris), arba nepranešimo priežastys |
Kita reikšminga informacija |
Žurnalą pildžiusio asmens vardas, pavardė, pareigos, pildymo data |
| 1. |
|
|
|
|
|
|
|
|
|
|
|
| 2. |
|
|
|
|
|
|
|
|
|
|
|
| 3. |
|
|
|
|
|
|
|
|
|
|
|
| 4. |
|
|
|
|
|
|
|
|
|
|
|
| 5. |
|
|
|
|
|
|
|
|
|
|
|
| 6. |
|
|
|
|
|
|
|
|
|
|
|
| 7. |
|
|
|
|
|
|
|
|
|
|
|
| 8. |
|
|
|
|
|
|
|
|
|
|
|
| 9. |
|
|
|
|
|
|
|
|
|
|
|
| 10. |
|
|
|
|
|
|
|
|
|
|
|
Priedo pakeitimai:
Nr. VĮ-26(1.1E), 2023-10-02, paskelbta TAR 2023-10-02, i. k. 2023-19226
Pakeitimai:
1.
Lietuvos kultūros taryba, Įsakymas
Nr. VĮ-26(1.1E), 2023-10-02, paskelbta TAR 2023-10-02, i. k. 2023-19226
Dėl Lietuvos kultūros tarybos pirmininko 2021 m. rugpjūčio 23 d. įsakymo Nr. VĮ-14(1.1E) "Dėl Bendrojo duomenų apsaugos reglamento nuostatų įgyvendinimo Lietuvos kultūros tarybos veikloje" pakeitimo