Suvestinė redakcija nuo 2022-05-21 iki 2022-06-08
Įsakymas paskelbtas: TAR 2021-07-01, i. k. 2021-15073
LIETUVOS RESPUBLIKOS VALSTYBĖS KONTROLierius
įsakymas
DĖL ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO VALSTYBĖS KONTROLĖJE TVARKOS APRAŠO PATVIRTINIMO
2021 m. liepos 1 d. Nr. VE-134
Vilnius
Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu:
Preambulės pakeitimai:
Nr. VE-64, 2022-05-20, paskelbta TAR 2022-05-20, i. k. 2022-10684
1. Tvirtinu Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo Valstybės kontrolėje tvarkos aprašą (pridedama).
2. Pripažįstu netekusiu galios valstybės kontrolieriaus 2018 m. gegužės 21 d. įsakymą Nr. V-172 „Dėl Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo Valstybės kontrolėje tvarkos aprašo patvirtinimo“.
PATVIRTINTA
Lietuvos Respublikos
valstybės kontrolieriaus
2021 m. liepos 1 d. įsakymu Nr. VE-134
ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO VALSTYBĖS KONTROLĖJE TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo Valstybės kontrolėje tvarkos apraše (toliau – Tvarkos aprašas) nustatyta asmens duomenų tvarkymo apimtis ir tikslai, asmens duomenų saugojimo priemonės, Valstybės kontrolės duomenų apsaugos pareigūno statusas, asmens duomenų saugos pažeidimų valdymas, asmens duomenų subjektų teisės, duomenų subjektų prašymų dėl teisės (-ių), įtvirtintų 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (toliau – Reglamentas), įgyvendinimo pateikimo ir nagrinėjimo Valstybės kontrolėje tvarka.
2. Tvarkos aprašas taikomas įgyvendinant duomenų subjektų – asmenų, kurių asmens duomenis tvarko Valstybės kontrolė, teises.
3. Tvarkos apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose, reguliuojančiuose asmens duomenų apsaugą.
4. Duomenų subjektų asmens duomenis tvarko duomenų valdytojas – Valstybės kontrolė (toliau – Valstybės kontrolė, duomenų valdytojas), juridinio asmens kodas 188659229, buveinės adresas: Kudirkos g. 15, Vilnius.
Punkto pakeitimai:
Nr. VE-64, 2022-05-20, paskelbta TAR 2022-05-20, i. k. 2022-10684
II SKYRIUS
VALSTYBĖS KONTROLĖJE TVARKOMI DUOMENŲ SUBJEKTŲ ASMENS DUOMENYS
5. Valstybės kontrolėje tvarkomi šių duomenų subjektų grupių asmens duomenys šiais tikslais:
5.1. Valstybės kontrolei skundą ar prašymą pateikusių asmenų – asmenų informavimo, skundų ir prašymų nagrinėjimo, vidaus administravimo (raštvedybos tvarkymo) tikslais;
5.2. Valstybės kontrolės esamų darbuotojų ir buvusių valstybės pareigūnų, valstybės tarnautojų ir pagal darbo sutartis dirbusių darbuotojų (toliau – Valstybės kontrolės darbuotojai) – vidaus administravimo (struktūros tvarkymo, personalo valdymo, darbdavio įsipareigojimų darbuotojui vykdymo, dokumentų valdymo, apskaitos, materialinių ir finansinių išteklių naudojimo, vidinės komunikacijos) ir Valstybės kontrolės veiklos viešinimo tikslais;
5.3. pretendentų į Valstybės kontrolės darbuotojus – norint patikrinti, ar asmuo atitinka įstatymuose ir įgyvendinamuosiuose teisės aktuose nustatytus reikalavimus pareigoms eiti arba darbo funkcijoms atlikti, vidaus administravimo (personalo valdymo ir dokumentų valdymo ) tikslais;
5.4. privalomąją profesinę studentų praktiką ar savanorišką praktiką Valstybės kontrolėje atliekančių ar siekiančių atlikti studentų ar kitų asmenų – vidaus administravimo (personalo valdymo, dokumentų valdymo, materialinių ir finansinių išteklių naudojimo), vidinės komunikacijos tikslais;
5.5. Valstybės kontrolės audituojamų ir kitų subjektų darbuotojų ar kitų asmenų – valstybinio audito, biudžeto politikos kontrolės ir kitos veiklos, kuria įgyvendinami Lietuvos Respublikos valstybės kontrolės įstatyme nustatyti uždaviniai, tikslais;
Papunkčio pakeitimai:
Nr. VE-64, 2022-05-20, paskelbta TAR 2022-05-20, i. k. 2022-10684
5.6. asmenų, patenkančių į Valstybės kontrolės atliekamo vaizdo stebėjimo lauką, ir jų valdomų transporto priemonių vaizdo duomenys tvarkomi Valstybės kontrolės turto apsaugos, asmenų, kurie lankosi Valstybės kontrolėje, ir Valstybės kontrolės darbuotojų saugumo užtikrinimo tikslu;
5.7. asmenų, skambinančių į Valstybės kontrolę telefonu (mob. +370 609 73 898) pokalbių (garso) įrašų duomenys tvarkomi vidaus administravimo (asmenų aptarnavimo) tikslu;
Papunkčio pakeitimai:
Nr. VE-64, 2022-05-20, paskelbta TAR 2022-05-20, i. k. 2022-10684
5.8. asmenų, kurie lankosi Valstybės kontrolėje, – asmenų saugumo ir Valstybės kontrolės turto apsaugos užtikrinimo tikslu;
5.9. Valstybės kontrolės organizuojamų renginių, vaizdo konferencijų ir kitų komunikacijos sklaidos priemonių dalyvių, visuomenės informavimo priemonių atstovų, Valstybės kontrolės svečių ir darbuotojų asmens duomenys, vaizdo ir (ar) garso duomenys – visuomenės informavimo apie Valstybės kontrolės veiklą, svetainės www.valstybeskontrole.lt, socialinių tinklų paskyrų tvarkymo, renginių organizavimo, gerosios praktikos pasidalijimo tikslu;
Papunkčio pakeitimai:
Nr. VE-64, 2022-05-20, paskelbta TAR 2022-05-20, i. k. 2022-10684
5.10. besikreipiančių į Valstybės kontrolę visuomenės informavimo priemonių ir viešosios informacijos rengėjų atstovų – vidaus administravimo (raštvedybos tvarkymo) tikslu;
5.11. su Valstybės kontrole prekių, paslaugų, darbų viešojo pirkimo, privalomos ir savanoriškos praktikos ar kitas sutartis sudariusių fizinių asmenų asmens duomenys, o juridinių asmenų – jų darbuotojų, nurodytų sutartyse, asmens duomenys tvarkomi vidaus administravimo (sutarčių vykdymo ir atsiskaitymo) tikslu;
5.12. asmenų dalyvaujančių Valstybės kontrolės rengiamuose susitikimuose pokalbių (garso) įrašas – rengiamo posėdžio protokolo tikslumo ir aiškumo sudarymo tikslu;
Papildyta papunkčiu:
Nr. VE-64, 2022-05-20, paskelbta TAR 2022-05-20, i. k. 2022-10684
6. Valstybės kontrolė daro duomenų tvarkymo veiklos įrašus, kuriais pateikiama visa informacija apie tvarkomus asmens duomenis, nurodyta Reglamento 30 straipsnyje. Informacija apie tvarkomus asmens duomenis institucijoje pateikiama interneto svetainėje www.valstybeskontrole.lt.
7. Valstybės kontrolė asmens duomenis tvarko vadovaudamasi Reglamento 6 straipsnio 1 dalies b, c ir e papunkčiuose nurodytais pagrindais arba asmens duomenų subjekto sutikimu.
III SKYRIUS
ASMENS DUOMENŲ TVARKYMAS IR SAUGOJIMAS
10. Prieiga prie asmens duomenų suteikiama tik tiems Valstybės kontrolės darbuotojams, kuriems šie duomenys yra reikalingi jų funkcijoms, pavedimams ir užduotims atlikti.
11. Su asmens duomenimis galima atlikti tik tuos veiksmus, kuriuos atlikti Valstybės kontrolės darbuotojams yra suteiktos teisės.
12. Prieigos prie asmens duomenų, esančių Valstybės kontrolės informacinėse sistemose, Valstybės kontrolės darbuotojams suteikiamos, keičiamos ir naikinamos vadovaujantis valstybės kontrolieriaus įsakymu patvirtintais Lietuvos Respublikos valstybės kontrolės veiklos planavimo ir stebėsenos informacinės sistemos ir Lietuvos Respublikos valstybės kontrolės informacinės sistemos duomenų saugos nuostatais.
13. Valstybės kontrolės darbuotojai, kuriems suteikta teisė tvarkyti asmens duomenis, privalo laikytis Reglamente nurodytų jų tvarkymo principų ir reikalavimų, laikyti paslaptyje bet kokią su šiais duomenimis susijusią informaciją, su kuria jie susipažino atlikdami savo funkcijas ir pavedimus.
14. Valstybės kontrolė, saugodama asmens duomenis, įgyvendina ir užtikrina organizacines ir technines priemones, skirtas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.
15. Valstybės kontrolės dokumentai, kuriuose yra asmens duomenys, valdomi dokumentų valdymo posistemyje, vadovaujantis valstybės kontrolieriaus įsakymu patvirtintu Valstybės kontrolės dokumentų valdymo ir naudojimo reglamentu.
16. Dokumentai, kuriuose yra asmens duomenys, tvarkomi, įtraukiami į apskaitą, viešinami ir saugomi vadovaujantis Dokumentų rengimo taisyklių, patvirtintų Lietuvos vyriausiojo archyvaro 2011 m. liepos 4 d. įsakymu Nr. V-117 „Dėl Dokumentų rengimo taisyklių patvirtinimo“, Dokumentų tvarkymo ir apskaitos taisyklių, patvirtintų Lietuvos vyriausiojo archyvaro 2011 m. liepos 4 d. įsakymu Nr. V-118 „Dėl Dokumentų tvarkymo ir apskaitos taisyklių patvirtinimo“ reikalavimais.
17. Asmens duomenys saugomi ne ilgiau, nei to reikalauja duomenų tvarkymo tikslai. Asmens duomenų saugojimo terminai nustatomi valstybės kontrolieriaus patvirtintame kasmetiniame Valstybės kontrolės dokumentacijos plane. Kai šie duomenys nebereikalingi jų tvarkymo tikslams, jie sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduodami valstybės archyvui toliau saugoti.
III1 SKYRIUS
VAIZDO IR GARSO DUOMENŲ TVARKYMAS
171. Siekiant užtikrinti Valstybės kontrolės turto apsaugą, asmenų, kurie lankosi Valstybės kontrolėje, ir Valstybės kontrolės darbuotojų saugumą, institucijoje vykdomas vaizdo be garso stebėjimas Valstybės kontrolės administracinio pastato vaizdo stebėjimo priemonėmis gaunamų vaizdo duomenų tvarkymo aprašo, patvirtinto valstybės kontrolieriaus 2018 m. gegužės 24 d. įsakymo Nr. V-178 „Valstybės kontrolės administracinio pastato vaizdo stebėjimo priemonėmis gaunamų vaizdo duomenų tvarkymo aprašo patvirtinimo“ nustatyta tvarka.
172. Vykdant vaizdo stebėjimą tvarkomi Valstybės kontrolės darbuotojų ir asmenų, kurie lankosi Valstybės kontrolėje, ir kitų asmenų, patenkančių į vaizdo stebėjimo lauką, asmens duomenys (filmuotas asmens atvaizdas, transporto priemonės valstybinis numeris ir kiti duomenys, pagal kuriuos tiesiogiai arba netiesiogiai galima nustatyti asmens tapatybę).
173. Organizuojant Valstybės kontrolės renginius, vaizdo konferencijas ir įgyvendinant kitas komunikacijos sklaidos priemones gali būti fotografuojama ir (ar) vykdomas vaizdo ir garso įrašymas. Duomenų subjektai apie fotografavimą, vykdomą vaizdo ir garso įrašymą yra informuojami prieš pradedant tvarkyti asmens duomenis. Jeigu iki renginio ir (arba) renginio metu numatyta rinkti ir kitus renginio dalyvių asmens duomenis (pavyzdžiui, vykdant dalyvių registraciją), duomenų subjektai apie jų asmens duomenų tvarkymą turi būti tinkamai informuojami jiems pateikiant Reglamento 13 straipsnyje nurodytą informaciją. Ši informacija gali būti pateikiama įvairiomis formomis, atsižvelgiant į renginio pobūdį ir numatytą dalyvių registracijos būdą, pavyzdžiui, informaciją nurodant kvietime, renginio dalyvio registracijos formoje, įteikiant informacinį lapelį ar kituose šaltiniuose, kuriuose skelbiama informacija apie renginį.
174. Garso įrašas (be vaizdo įrašymo) gali būti daromas Valstybės kontrolės rengiamuose susitikimuose su kitomis institucijomis, organizacijomis ar asmenimis posėdžio protokolui parengti. Apie tai, kad bus daromas garso įrašas, duomenų subjektai informuojami žodžiu, prieš pradedant įrašinėti. Parengus posėdžio protokolą, garso įrašas yra sunaikinamas ir toliau Valstybės kontrolėje nebesaugomas.
Papildyta skyriumi:
Nr. VE-64, 2022-05-20, paskelbta TAR 2022-05-20, i. k. 2022-10684
IV SKYRIUS
DUOMENŲ SUBJEKTŲ TEISĖS
18. Duomenų subjektas turi šias teises:
18.1. teisę susipažinti su asmens duomenimis, tvarkomais Valstybės kontrolėje, ir gauti šią informaciją:
18.1.3. duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems per paskutinius vienerius metus buvo ar yra teikiami asmens duomenys, visų pirma duomenų gavėjai trečiosiose valstybėse arba tarptautinės organizacijos,
18.2. teisę reikalauti, kad būtų ištaisyti netikslūs su asmeniu susiję duomenys ir (ar) papildyti neišsamūs asmens duomenys;
18.3. teisę reikalauti, kad Valstybės kontrolė nedelsdama ištrintų su juo susijusius asmens duomenis (teisė būti pamirštam), esant bent vienai iš šių sąlygų:
18.3.1. asmens duomenys nebereikalingi tikslams, kuriems jie buvo renkami arba kitaip tvarkomi, pasiekti,
18.4. teisę reikalauti, kad Valstybės kontrolė apribotų duomenų tvarkymą, esant bent vienai iš šių sąlygų:
18.4.1. asmens duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį duomenų valdytojas gali patikrinti asmens duomenų tikslumą,
18.4.2. asmens duomenų tvarkymas yra neteisėtas, kai duomenų subjektas nesutinka, kad duomenys būtų ištrinti, ir prašo apriboti jų naudojimą,
18.5. teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui susisteminto, įprastai naudojamo ir kompiuterio skaitomo formato, ir teisę persiųsti tuos duomenis kitam duomenų valdytojui (teisė į duomenų perkeliamumą), o Valstybės kontrolė, kuriai tokie asmens duomenys buvo pateikti, turi nesudaryti kliūčių, kai duomenų tvarkymas grindžiamas sutikimu arba duomenys yra tvarkomi automatizuotomis priemonėmis. Naudodamasis šiame punkte nurodyta teise, duomenų subjektas turi teisę prašyti, kad Valstybės kontrolė asmens duomenis tiesiogiai persiųstų kitam duomenų valdytojui, kai tai techniškai įmanoma.
19. Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks jų tvarkymas atliekamas, kai asmens duomenis tvarkyti būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba atliekant duomenų valdytojui pavestas viešosios valdžios funkcijas arba tvarkyti būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, įskaitant profiliavimą, remiantis tomis nuostatomis.
V SKYRIUS
DUOMENŲ TEIKIMAS TRETIESIEMS ASMENIMS
21. Asmens duomenys tretiesiems asmenims teikiami tik įstatymų ir kitų teisės aktų nustatytais atvejais ir tvarka:
21.1. asmenų, pateikusių Valstybės kontrolei skundą ar prašymą, asmens duomenys skundo ar prašymo nagrinėjimo tikslu – juridiniams ir fiziniams asmenims;
21.2. asmenų, pateikusių Valstybės kontrolei skundą ar prašymą, ir duomenų valdytojų (fizinių asmenų) asmens duomenys ginčo dėl Valstybės kontrolės priimto sprendimo teisėtumo nagrinėjimo tikslu – teismams, Lietuvos administracinių ginčų nagrinėjimo komisijai, teritorinėms administracinių ginčų nagrinėjimo komisijoms ir darbo ginčų komisijai;
21.3. Valstybės kontrolės darbuotojų asmens duomenys: socialinio draudimo mokesčio administravimo tikslu – Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos, mokesčių administravimo tikslu – Valstybinei mokesčių inspekcijai prie Lietuvos Respublikos finansų ministerijos;
21.4. audituotų subjektų darbuotojų ar kitų asmenų asmens duomenys, tvarkomi valstybinio audito, Europos Sąjungos investicijų audito ir biudžeto stebėsenos atlikimo tikslu – ikiteisminio tyrimo institucijoms, kitoms viešojo administravimo institucijoms pagal kompetenciją ar teismams;
21.5. asmenų, patekusių į Valstybės kontrolės atliekamo vaizdo stebėjimo lauką, vaizdo duomenys galimų teisės aktų pažeidimų nustatymo tikslu – ikiteisminio tyrimo institucijoms, teismams ar kitoms valstybės įgaliotoms institucijoms;
21.6. asmenų, skambinusių į Valstybės kontrolę telefonu, pokalbių duomenys galimų teisės aktų pažeidimų nustatymo tikslu – ikiteisminio tyrimo institucijoms, teismams ar kitoms valstybės įgaliotoms institucijoms;
21.7. žiniasklaidos atstovų duomenys ginčo dėl Lietuvos Respublikos visuomenės informavimo įstatyme ir kituose visuomenės informavimą reglamentuojančiuose įstatymuose bei teisės aktuose nustatytų visuomenės informavimo principų nesilaikymo nagrinėjimo tikslu – Žurnalistų etikos inspektoriaus tarnybai, teismams ar kitoms valstybės įgaliotoms institucijoms;
VI SKYRIUS
PRAŠYMO DĖL DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO PATEIKIMAS
22. Duomenų subjektai, siekdami įgyvendinti savo teises, Valstybės kontrolei turi pateikti rašytinį prašymą asmeniškai, paštu ar per pasiuntinį arba elektroninių ryšių priemonėmis.
23. Prašymas turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyta duomenų subjekto vardas, pavardė, gyvenamoji vieta, duomenys ryšiui palaikyti ir informacija apie tai, kokią iš Tvarkos aprašo IV skyriuje nurodytų teisių ir kokia apimtimi jis pageidauja įgyvendinti.
24. Pateikdamas prašymą, duomenų subjektas privalo patvirtinti savo tapatybę:
24.1. pateikdamas prašymą Valstybės kontrolėje darbuotojui, registruojančiam prašymą, turi pateikti asmens tapatybę patvirtinantį dokumentą;
24.2. pateikdamas prašymą paštu ar per pasiuntinį, kartu turi pateikti asmens tapatybę patvirtinančio dokumento kopiją, patvirtintą notaro, ar šio dokumento kopiją, patvirtintą kita teisės aktų nustatyta tvarka;
25. Duomenų subjektas savo teises Valstybės kontrolėje gali įgyvendinti pats arba per atstovą. Jei atstovaujamo duomenų subjekto vardu į Valstybės kontrolę kreipiasi asmens atstovas, jis savo prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, duomenis ryšiui palaikyti, atstovaujamo asmens vardą, pavardę, gyvenamąją vietą, informaciją apie tai, kokią iš Tvarkos aprašo IV skyriuje nurodytų duomenų subjekto teisių ir kokia apimtimi pageidaujama įgyvendinti, ir pridėti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą teisės aktų nustatyta tvarka.
VII SKYRIUS
PRAŠYMO DĖL DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO NAGRINĖJIMAS
26. Valstybės kontrolė nenagrinėja duomenų subjekto prašymo, kuris pateiktas nesilaikant Tvarkos aprašo 22–25 punktuose nustatytų reikalavimų.
27. Valstybės kontrolė, nepagrįstai nedelsdama, tačiau ne vėliau kaip per 30 kalendorinių dienų nuo prašymo gavimo, pateikia duomenų subjektui ar jo atstovui informaciją apie veiksmus, kurių imtasi gavus prašymą. Tas laikotarpis prireikus gali būti pratęstas valstybės kontrolieriaus arba jo įgalioto valstybės kontrolieriaus pavaduotojo (toliau – duomenų valdytojo vadovo) dar 60 kalendorinių dienų, atsižvelgiant į prašymo sudėtingumą ir jų skaičių. Valstybės kontrolė per 30 kalendorinių dienų nuo prašymo gavimo informuoja duomenų subjektą ar jo atstovą apie tokį pratęsimą ir pateikia vėlavimo priežastis. Atsakymas duomenų subjektui ar jo atstovui pateikiamas valstybine kalba duomenų subjekto pasirinktu būdu: registruotu paštu, įteikiant asmeniškai atvykus į Valstybės kontrolę arba elektroninėmis ryšio priemonėmis pateikiant elektroninį dokumentą, pasirašytą saugiu elektroniniu parašu. Valstybės kontrolė, dėl objektyvių priežasčių negalėdama pateikti atsakymo duomenų subjektui ar jo atstovui jo pasirinktu būdu, atsakymą pateikia registruota korespondencijos siunta.
28. Jei duomenų valdytojas nenagrinėja duomenų subjekto prašymo, jis nedelsdamas, tačiau ne vėliau kaip per 30 kalendorinių dienų nuo prašymo gavimo, informuoja duomenų subjektą ar jo atstovą apie nenagrinėjimo priežastis ir apie galimybę pateikti skundą priežiūros institucijai ir pasinaudoti kita teisių gynimo priemone.
29. Duomenų subjekto teisės Valstybės kontrolėje įgyvendinamos neatlygintinai vieną kartą per kalendorinius metus.
30. Valstybės kontrolė, atsisakydama vykdyti duomenų subjekto prašymą įgyvendinti jo, kaip duomenų subjekto, teises, pateikia jam tokio atsisakymo motyvus.
31. Valstybės kontrolės atsisakymas įgyvendinti duomenų subjekto teises gali būti skundžiamas įstatymų nustatyta tvarka.
VIII SKYRIUS
DUOMENŲ APSAUGOS PAREIGŪNAS
33. Valstybės kontrolės duomenų apsaugos pareigūno (toliau – duomenų apsaugos pareigūnas), funkcijas, nustatytas Reglamente, atlieka Valstybės kontrolės atitikties pareigūnas, padedantis institucijai laikytis Reglamento reikalavimų ir veikiantis kaip tarpininkas tarp Valstybinės duomenų apsaugos inspekcijos, duomenų subjektų ir kitų suinteresuotų šalių.
34. Duomenų apsaugos pareigūnas savo veikloje vadovaujasi Reglamentu, kitais tarptautiniais, Europos Sąjungos, nacionaliniais ir institucijos teisės aktais, reglamentuojančiais asmens duomenų apsaugą, šiuo aprašu ir remiasi 29 straipsnio duomenų apsaugos darbo grupės, sudarytos pagal Direktyvos 95/46/EB 29 straipsnį, gairėmis, tarptautinių ir nacionalinių teismų praktika, teisės doktrina bei atsižvelgia į kitų Europos Sąjungos ir Lietuvos Respublikos institucijų patirtį asmens duomenų apsaugos srityje.
35. Duomenų apsaugos pareigūno statusas nustatomas per Valstybės kontrolės kaip duomenų valdytojos užtikrinimą, kad:
35.1. duomenų apsaugos pareigūnas privalomai, tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą;
35.2. duomenų apsaugos pareigūnui draudžiama duoti nurodymus dėl Reglamento 39 straipsnyje ir kituose teisės aktuose nustatytų funkcijų ir užduočių atlikimo;
35.3. duomenų apsaugos pareigūnas negali būti atleistas arba baudžiamas (įskaitant darbo pareigų pažeidimus) dėl teisės aktuose nustatytų funkcijų ir užduočių atlikimo;
35.4. duomenų apsaugos pareigūnui suteikiami jo funkcijoms ir užduotims atlikti būtini ištekliai ( pakankamai laiko duomenų apsaugos pareigūnui jo pareigoms atlikti (procentinė laiko dalis ar pareigų prioritetas), nustatomas pavadavimas jo atostogų, ligos, kvalifikacijos tobulinimo užsienyje, komandiruotės užsienyje metu ar jo nesant kitais teisės aktų nustatytais atvejais), sudaroma galimybė susipažinti su visais asmens duomenimis, sudaromos sąlygos dalyvauti duomenų tvarkymo operacijose ir atsižvelgiama į jo motyvuotus poreikius išlaikyti savo ekspertines žinias;
35.5. dėl bet kokių kitų funkcijų ir užduočių atlikimo duomenų apsaugos pareigūnui negali kilti interesų konfliktas. Jeigu duomenų apsaugos pareigūnui, atliekant kitas pavestas funkcijas ir užduotis, kyla interesų konflikto galimybė, atsižvelgiant į Reglamento 38 straipsnio 6 dalį jis privalo nusišalinti nuo šių funkcijų ar užduočių atlikimo ir informuoti apie tai valstybės kontrolierių. Šios funkcijos ir užduotys gali būti pavedamos duomenų apsaugos pareigūną pavaduojančiam asmeniui;
Papunkčio pakeitimai:
Nr. VE-64, 2022-05-20, paskelbta TAR 2022-05-20, i. k. 2022-10684
36. Duomenų apsaugos pareigūnas turi teisę:
36.2. dalyvauti posėdžiuose, pasitarimuose, kuriuose svarstomi klausimai ir (ar) priimami sprendimai, susiję su asmens duomenų tvarkymu ir apsauga;
36.3. gauti iš duomenų valdytojo ar tvarkytojo ar jo atstovų duomenų tvarkymo veiklos įrašų kopijas arba turėti prieigą prie duomenų tvarkymo veiklos įrašų, jeigu jie tvarkomi elektroniniu būdu;
36.4. gauti iš rizikos valdymo proceso organizatoriaus informaciją apie nustatytus su asmens duomenų tvarkymu susijusius rizikos veiksnius ir parinktas rizikos valdymo priemones;
37. Duomenų apsaugos pareigūnas privalo:
37.1. užtikrinti slaptumą ir konfidencialumą, susijusį su jų funkcijų ir užduočių atlikimu, laikydamasis Europos Sąjungos ir nacionalinės teisės aktų reikalavimų;
38. Duomenų apsaugos pareigūnas darbuotojams dėl Reglamento ir kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą, nuostatų taikymo teikia konsultacijas ir rekomendacijas.
39. Su duomenų apsaugos pareigūnu privaloma konsultuotis:
39.2. rengiant siunčiamų dokumentų projektus, kuriuose pateikiama informacija, susijusi su asmens duomenų tvarkymu ir apsauga institucijoje;
39.3. tiriant duomenų saugumo pažeidimus pagal valstybės kontrolieriaus patvirtintą Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo Valstybės kontrolėje tvarkos aprašą;
39.5. sudarant, keičiant duomenų perdavimo sutartis, pagal kurias perduodami ar gaunami asmens duomenys;
39.7. prieš priimant sprendimus dėl parenkamų asmens duomenų apsaugos priemonių, įskaitant technines ir organizacines priemones, taikymo;
40. Dėl konsultacijos į duomenų apsaugos pareigūną paprastai kreipiamasi suformuojant klausimą dokumentų valdymo posistemyje. Konsultacija suteikiama per 3 darbo dienas nuo kreipimosi gavimo dienos arba per 10 darbo dienų, kai konsultacija reikalauja detalesnio vertinimo.
41. Jei nėra arba iš dalies atsižvelgiama į duomenų apsaugos pareigūno pateiktą konsultaciją, dokumento rengėjas dokumentų valdymo posistemyje turi pateikti motyvuotą paaiškinimą. Pasirašantis dokumentą Valstybės kontrolės darbuotojas įvertina duomenų apsaugos pareigūno konsultaciją, dokumento rengėjo motyvuotą paaiškinimą ir priima galutinį sprendimą.
42. Duomenų apsaugos pareigūnas nėra asmeniškai atsakingas, jei Valstybės kontrolėje nesilaikoma duomenų apsaugos reikalavimų, t. y. Valstybės kontrolė kaip duomenų valdytojas privalo užtikrinti ir sugebėti įrodyti, kad asmens duomenys tvarkomi laikantis Reglamento ir kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą.
IX SKYRIUS
DUOMENŲ SAUGOS PAŽEIDIMŲ VALDYMAS
43. Duomenų saugos pavojaus duomenų subjekto teisėms ir laisvėms tikimybė ir mastas nustatomi atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus. Remiantis objektyviu įvertinimu, nustatoma, ar duomenų tvarkymo operacijos yra susijusios su pavojumi arba dideliu pavojumi.
44. Valstybės kontrolės darbuotojas, Valstybės kontrolės informacinių sistemų naudotojas, sužinojęs apie galimą asmens duomenų, tvarkomų automatizuotomis priemonėmis, saugos pažeidimą ar apie galimą asmens duomenų, tvarkomų ne automatizuotomis priemonėmis, saugos pažeidimą nedelsdamas praneša Valstybės kontrolės darbuotojui, atliekančiam saugos įgaliotinio ir duomenų apsaugos pareigūno funkcijas.
45. Atsakingas asmuo, nurodytas Tvarkos aprašo 33 punkte, nustatęs, kad dėl galimo asmens duomenų saugos pažeidimo gali kilti pavojus fizinių asmenų teisėms ir laisvėms, apie galimą pažeidimą praneša Valstybės kontrolės informacinių sistemų veiklos tęstinumo valdymo grupei (toliau – valdymo grupė) ir atlieka kitas šių duomenų saugos pažeidimo valdymo procedūras, kurios nustatytos valstybės kontrolieriaus patvirtintuose Lietuvos Respublikos valstybės kontrolės informacinių sistemų saugos politiką įgyvendinančiuose dokumentuose.
46. Duomenų valdytojo vadovas, gavęs valdymo grupės išvadą dėl nustatyto asmens duomenų saugos pažeidimo, kurioje nurodyta, kad pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms, apie jį neinformuoja priežiūros institucijos ir asmens duomenų subjektų.
47. Duomenų valdytojo vadovas, gavęs valdymo grupės išvadą dėl asmens duomenų saugos pažeidimo, kurioje nurodyta, kad pažeidimas kelia pavojų fizinių asmenų teisėms ir laisvėms, apie tai praneša priežiūros institucijai Reglamento 33 straipsnio 1 dalyje nustatytais terminais.
48. Duomenų valdytojo vadovas, gavęs valdymo grupės išvadą dėl asmens duomenų saugos pažeidimo, kurioje nurodyta, kad gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, nedelsdamas praneša apie asmens duomenų saugos pažeidimą asmens duomenų subjektui.
49. Duomenų valdytojo vadovas, gavęs valdymo grupės išvadą dėl asmens duomenų saugos pažeidimo, kurioje nurodyta, kad dėl asmens duomenų saugos pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, neprivalo pranešti duomenų subjektui apie asmens duomenų pažeidimą, jeigu yra sąlygos, nurodytos Reglamento 34 straipsnio 3 dalyje.
Pakeitimai:
1.
Lietuvos Respublikos valstybės kontrolė, Įsakymas
Nr. VE-64, 2022-05-20, paskelbta TAR 2022-05-20, i. k. 2022-10684
Dėl valstybės kontrolieriaus 2021 m. liepos 1 d. įsakymo Nr. VE-134 „Dėl Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo Valstybės kontrolėje tvarkos aprašo patvirtinimo“ pakeitimo