LIETUVOS STANDARTIZACIJOS DEPARTAMENTO DIREKTORIUS
ĮSAKYMAS
DĖL ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO TAISYKLIŲ PATVIRTINIMO
2021 m. rugpjūčio 6 d. Nr. VE-60
Vilnius
Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu:
2. P r i p a ž į s t u netekusiu galios Lietuvos standartizacijos departamento (toliau –Departamentas) direktoriaus 2018 m. spalio 29 d. įsakymą Nr. V-83 „Dėl Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo tvarkos aprašo patvirtinimo“ su vėlesniais pakeitimais.
3. Skiriu Departamento patarėją Gretą Osinovskienę atsakinga už Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo taisyklių įgyvendinimo priežiūrą.
4. P a v e d u:
4.1. Departamento valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartį, atsakingiems už atitinkamą sritį, pildyti duomenų tvarkymo veiklos įrašus ir juos pateikti asmens duomenų apsaugos pareigūnui peržiūrėti, papildyti ir registruoti.
4.2. Departamento patarėjai Gretai Osinovskienei paskelbti šį įsakymą Teisės aktų registre ir Departamento interneto svetainėje.
PATVIRTINTA
Lietuvos standartizacijos departamento
direktoriaus 2021 m. rugpjūčio 6 d.
įsakymu Nr. VE-60
ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ
ĮGYVENDINIMO TVARKOS TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo tvarkos taisyklės (toliau – Taisyklės) reglamentuoja asmens duomenų tvarkymą ir duomenų subjektų teisių įgyvendinimą Lietuvos standartizacijos departamente (toliau – Departamentas), užtikrinant 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ) ir kitų teisės aktų, nustatančių asmens duomenų tvarkymą ir apsaugą, nuostatų laikymąsi ir įgyvendinimą.
2. Taisyklių tikslas – numatyti pagrindines asmens duomenų tvarkymo ir saugos organizacines priemones, nustatyti duomenų subjektų teisių įgyvendinimo Departamente tvarką siekiant įgyvendinti atskaitomybės principą.
3. Taisyklių privalo laikytis visi Departamento valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis, taip pat kiti asmenys, kurie, tvarkydami asmens duomenis Departamente ir (arba) eidami savo pareigas, sužino asmens duomenis arba turi bet kokio pobūdžio prieigą prie asmens duomenų.
4. Departamento direktoriaus paskirtas asmens duomenų apsaugos pareigūnas yra atsakingas už Taisyklių įgyvendinimo priežiūrą ir kartu su kitais Taisyklėse nurodytais darbuotojais atlieka Taisyklėse įtvirtintas funkcijas. Asmens, atsakingo už Taisyklių įgyvendinimo priežiūrą, paskyrimas nepanaikina nei vieno darbuotojo, kuris tvarko asmens duomenis, eidamas savo pareigas juos sužino arba turi bet kokio pobūdžio prieigą prie asmens duomenų, pareigos ir atsakomybės už Taisyklių laikymąsi ir įgyvendinimą bei asmens duomenų tvarkymo teisėtumą. Už Taisyklių nesilaikymą taikoma atsakomybė teisės aktų nustatyta tvarka.
II SKYRIUS
ASMENS DUOMENŲ TVARKYMO BENDROSIOS NUOSTATOS
7. Departamente visi asmens duomenys yra tvarkomi griežtai vadovaujantis Reglamento 5 straipsnio 1 dalyje nustatytų teisėtumo, sąžiningumo ir skaidrumo, tikslo apribojimo, duomenų kiekio mažinimo, tikslumo, saugojimo trukmės apribojimo, vientisumo ir konfidencialumo principų.
8. Departamente tvarkomi duomenų subjektų grupių asmens duomenys šiais asmens duomenų tvarkymo tikslais:
8.1. Viešųjų pirkimų procedūroms organizuoti ir vykdyti gali būti tvarkomi tiekėjų (fizinių asmenų) asmens duomenys: vardas (-ai) ir pavardė (-ės), asmens kodas, išsilavinimas, darbovietė, pareigos, adresas, telefono numeris, elektroninio pašto adresas ir kiti asmens duomenys, kuriuos pateikia pats asmuo ir kuriuos Departamentas gauna pagal teisės aktus vykdydamas atitinkamą vidaus administravimo veiklą, ir (arba) kuriuos tvarkyti Departamentą įpareigoja įstatymai ir (arba) kiti teisės aktai. Dokumentai su asmens duomenimis saugomi automatiniu būdu Centrinėje viešųjų pirkimų informacinėje sistemoje CVP IS, viešųjų pirkimų sistemoje EcoCost, Dokumentų valdymo sistemoje (toliau – DVS) arba popierine forma Departamento dokumentacijos plane nurodytais terminais.
8.2. Prekių, darbų, paslaugų sutartims su tiekėjais vykdyti gali būti tvarkomi tiekėjų (fizinių asmenų) asmens duomenys: vardas (-ai) ir pavardė (-ės), asmens kodas, adresas, telefono numeris, elektroninio pašto adresas, banko sąskaitos numeris ir kiti asmens duomenys, kuriuos pateikia pats asmuo ir kuriuos Departamentas gauna pagal teisės aktus vykdydamas atitinkamą vidaus administravimo veiklą, ir (arba) kuriuos tvarkyti Departamentą įpareigoja įstatymai ir (arba) kiti teisės aktai. Dokumentai su asmens duomenimis saugomi automatiniu būdu DVS, Nacionaliniame bendrųjų funkcijų centre (toliau – NBFC) arba popierine forma Departamento dokumentacijos plane nurodytais terminais.
8.3. Suinteresuotųjų subjektų (fizinių asmenų), dalyvaujančių standartizacijos veikloje (procese), asmens duomenys: vardas (-ai) ir pavardė (-ės), išsilavinimas, darbovietė, pareigos, adresas, telefono numeris, elektroninio pašto adresas, vaizdo ir garso įrašai ir kiti asmens duomenys, kuriuos pateikia pats asmuo ir kuriuos Departamentas gauna pagal teisės aktus vykdydamas atitinkamą vidaus administravimo veiklą ir (arba) kuriuos tvarkyti Departamentą įpareigoja įstatymai ir (arba) kiti teisės aktai. Dokumentai su asmens duomenimis saugomi automatiniu būdu Standartizacijos valdymo informacinėje sistemoje (toliau – SMIS), DVS, NBFC arba popierine forma Departamento dokumentacijos plane nurodytais terminais.
8.4. Fizinių asmenų, kurie ketina naudotis arba naudojasi Departamento elektronine standartų parduotuve (https://eshop.lsd.lt), asmens duomenys: vardas (-ai) ir pavardė (-ės), adresas, telefono numeris, elektroninio pašto adresas ir kiti asmens duomenys, kuriuos pateikia pats asmuo ir kuriuos Departamentas gauna pagal teisės aktus vykdydamas atitinkamą vidaus administravimo veiklą, ir (arba) kuriuos tvarkyti Departamentą įpareigoja įstatymai ir (arba) kiti teisės aktai.
8.5. Siekiant nagrinėti skundus, paklausimus ar prašymus tvarkomi asmenų, pateikusių Departamentui skundą, paklausimą ar prašymą, asmens duomenys (vardas (-ai) ir pavardė (-ės), asmens kodas, adresas, telefono numeris, elektroninio pašto adresas), kiti skunde, paklausime ar prašyme nurodyti asmens duomenys, skundo, paklausimo ar prašymo nagrinėjimo metu gauta informacija (duomenys) apie asmenį ir skundo, paklausimo ar prašymo nagrinėjimo rezultatas, kai jame nurodomi asmens duomenys, tvarkomi automatiniu būdu DVS, skirtoje valdyti ir vidaus administravimo dokumentus, arba popierine forma saugomi Departamento dokumentacijos plane nurodytais terminais.
8.6. Departamento esamų ir buvusių valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, asmens duomenys (vardas (-ai) ir pavardė(-ės), asmens kodas, asmens socialinio draudimo numeris, pilietybė, adresas, telefono numeris, elektroninio pašto adresas, gyvenimo ir veiklos aprašymas, šeiminė padėtis, pareigos, duomenys apie priėmimą (perkėlimą) į pareigas, atleidimą iš pareigų, išsilavinimą ir kvalifikaciją, mokymą, atostogas, darbo užmokestį, išeitines išmokas, kompensacijas, pašalpas, informacija apie dirbtą darbo laiką, skatinimus ir nuobaudas, atliktus darbus ir užduotis, valstybės tarnautojo tarnybinės veiklos vertinimą, viešųjų ir privačių interesų deklaravimo duomenys, Lietuvos Respublikos piliečio paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, ypatingi asmens duomenys, susiję su sveikata, teistumu, dalyvavimu uždraustos organizacijos veikloje, dokumentų registracijos data ir numeris ir kiti asmens duomenys, kuriuos pateikia pats asmuo ir kuriuos Departamentas gauna pagal teisės aktus vykdydamas atitinkamą vidaus administravimo veiklą, ir (arba) kuriuos tvarkyti Departamentą įpareigoja įstatymai ir (arba) kiti teisės aktai). Dokumentai su asmens duomenimis saugomi automatiniu būdu DVS, Valstybės tarnautojų registre (toliau – VATARAS) ir Valstybės tarnybos valdymo informacinėje sistemoje (toliau – VATIS), NBFC arba popierine forma Departamento dokumentacijos plane nurodytais terminais.
8.7. Pretendentų į Departamento valstybės tarnautojus ir darbuotojus, dirbančius pagal darbo sutartis, asmens duomenys (vardas (-ai) ir pavardė (-ės), asmens kodas, pilietybė, adresas, telefono numeris, elektroninio pašto adresas, pareigos, į kurias pretenduojama, gyvenimo ir veiklos aprašymas, duomenys apie išsilavinimą ir kvalifikaciją, ypatingi asmens duomenys, susiję su teistumu, dalyvavimu uždraustos organizacijos veikloje, pokalbio su pretendentu į valstybės tarnautojo pareigas skaitmeninis garso įrašas, dokumentų registracijos data ir numeris ir kiti asmens duomenys, kuriuos pateikia pats asmuo ir kuriuos Departamentas gauna pagal teisės aktus vykdydamas atitinkamą vidaus administravimo veiklą, ir (arba) kuriuos tvarkyti Departamentą įpareigoja įstatymai ir (arba) kiti teisės aktai. Dokumentai su asmens duomenimis saugomi automatiniu būdu DVS, VATIS ir VATARE arba popierine forma saugomi Departamento dokumentacijos plane nurodytais terminais.
8.8. Asmenų iš kitų įstaigų, įmonių, organizacijų, visuomenės atstovų, besilankančių Departamente, asmens duomenys (vardas (-ai) ir pavardė (-ės), pareigos, telefono numeris, elektroninio pašto adresas, informacija apie atliktą veiklą, atvaizdas) tvarkomi siekiant pasidalyti gerąja praktika, komunikuoti, viešinti Departamento veiklą.
8.9. Fizinių asmenų, kurie ketina dalyvauti arba dalyvauja Departamento ekspertų (recenzentų) veikloje, asmens duomenys: vardas (-ai) ir pavardė (-ės), telefono numeris, elektroninio pašto adresas, išsilavinimas, profesinė veikla, ir kiti asmens duomenys, kuriuos pateikia pats asmuo ir kuriuos Departamentas gauna pagal teisės aktus vykdydamas atitinkamą vidaus administravimo veiklą. Dokumentai su asmens duomenimis saugomi automatiniu būdu DVS, SMIS arba popierine forma Departamento dokumentacijos plane nurodytais terminais.
8.10. Telefonu teikiamos informacijos kokybei užtikrinti gali būti tvarkomi skambinančiojo asmens duomenys: vardas (-ai) ir pavardė (-ės), telefono numeris, elektroninio pašto adresas ir kiti asmens duomenys, kuriuos pateikia pats asmuo pokalbio metu, ir kuriuos Departamentas gauna pagal teisės aktus vykdydamas atitinkamą vidaus administravimo veiklą, ir (arba) kuriuos tvarkyti Departamentą įpareigoja įstatymai ir (arba) kiti teisės aktai.“
9. Siekiant užtikrinti, kad asmens duomenys Departamente būtų saugomi tik nustatytą terminą, visi Departamente tvarkomi asmens duomenys yra fiksuojami duomenų tvarkymo veiklos įrašuose, kuriuose nurodyti asmens duomenų saugojimo terminai. Departamentas tvarko duomenų tvarkymo veiklos įrašus, kuriuose pateikiama visa informacija apie tvarkomus asmens duomenis, nurodytus Reglamento 30 straipsnyje.
10. Departamentas asmens duomenis tvarko vadovaudamasis Reglamento 6 straipsnio 1 dalies b, c ir e punktuose nurodytais pagrindais arba asmens duomenų subjekto sutikimu.
III SKYRIUS
REIKALAVIMAI, TAIKOMI SUTIKIMUI ASMENS DUOMENŲ TVARKYMO TIKSLU
12. Asmens duomenys pagal sutikimą tvarkomi:
12.2. kai, atsižvelgus į duomenų tvarkymo tikslą ar duomenų kiekį, Departamentas neturi kito teisinio pagrindo tvarkyti asmens duomenis ar visiškai įvykdyti kitus Reglamente nustatytus įpareigojimus. Jeigu asmens duomenys, atsižvelgus į jų kiekį ir tvarkymo tikslus, gali būti tvarkomi bent vienu Reglamente įtvirtintu pagrindu, duomenų subjekto sutikimas papildomai nėra prašomas pateikti;
13. Duomenų subjekto sutikimas dėl asmens duomenų tvarkymo yra užpildomas raštu ir teikiamas Departamentui pagal patvirtintą formą (Taisyklių 3 priedas).
14. Duomenų subjekto sutikimai gali būti renkami šiais būdais: raštu, įskaitant gautus elektroninių ryšių priemonėmis, žodžiu ar veiksmais, jeigu yra galimybė įrodyti, kad toks sutikimas buvo duotas, ir jeigu duomenų subjektas savo veiksmais aiškiai sutinka su siūlomu jo asmens duomenų tvarkymu. Pirmenybė kiekvienu atveju yra teikiama duomenų subjekto sutikimams, gautiems raštu (įskaitant gautus elektroninių ryšių priemonėmis), o kiti sutikimo būdai gali būti naudojami tik kiekvienu konkrečiu atveju įsitikinus, kad yra įmanoma įrodyti duomenų subjekto sutikimo davimo faktą. Duomenų subjekto tylėjimas, iš anksto pažymėti langeliai arba neveikimas nelaikomi duomenų subjekto sutikimu.
15. Visais atvejais, kai asmens duomenys yra tvarkomi duomenų subjektui pateikus sutikimą, Departamentas privalo kaupti ir turėti įrodymus, kad duomenų subjektas davė Taisyklių 3 priede nustatytos formos ir turinio sutikimą.
16. Kai asmens duomenys yra tvarkomi gavus sutikimą, tvarkomi tik tie asmens duomenys ir tik tais tikslais, kurie nurodyti sutikime, ir su jais atliekamos tik tos tvarkymo operacijos (veiksmai), kurios nurodytos sutikime. Jeigu keičiasi tvarkomų duomenų kiekis, tvarkymo tikslas ar tvarkymo operacijos (veiksmai), privaloma gauti papildomą sutikimą tokiam duomenų tvarkymui arba turi egzistuoti kitas Taisyklėse, Reglamente įtvirtintas asmens duomenų tvarkymo teisinis pagrindas.
17. Sutikimas gali būti asmens duomenų tvarkymo pagrindas, jei atitinka šiuos reikalavimus:
17.1. Duotas laisva duomenų subjekto valia. Vertinant, ar sutikimas duotas laisva valia, atsižvelgiama į šias aplinkybes:
17.1.1. Ar sutartyje nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti (tokiu atveju nelaikoma, kad sutikimas duotas laisva valia);
17.1.2. Ar duomenų subjektas yra verčiamas duoti sutikimą, neturi realaus pasirinkimo dėl sutikimo davimo, patiria spaudimą, negali realiai kontroliuoti sutikimo davimo bei asmens duomenų ar gali susilaukti neigiamų pasekmių (tiesioginių ir netiesioginių), jeigu sutikimas nebus duotas (tokiais atvejais nelaikoma, kad sutikimas duotas laisva valia);
17.1.3. Jeigu sutikimas yra neatsiejamai susietas su sąlygomis, dėl kurių duomenų subjektas neturi galimybės derėtis ar jas pakeisti, preziumuojama, kad toks sutikimas nėra duotas laisva valia. Tokiu atveju Departamentas imasi papildomų priemonių šiai prezumpcijai paneigti ir užtikrinti, kad sutikimas būtų duodamas laisva valia;
17.1.4. Jeigu yra aiški Departamento ir duomenų subjekto padėties neatitiktis ir dėl to tikėtina, kad sutikimas, atsižvelgus į visas to konkretaus atvejo aplinkybes, gali nebūti duotas laisva valia. Tokiu atveju Departamentas imasi papildomų priemonių užtikrinti, kad sutikimas būtų duodamas laisva valia;
17.1.5. Jeigu sutikimas yra siejamas su keliais duomenų tvarkymo tikslais ar keliomis duomenų tvarkymo operacijomis (veiksmais), duomenų subjektams turi būti sudaryta galimybė sutikti ne su visais tikslais ar operacijomis (veiksmais), o tik su atskirais tikslais ar operacijomis (veiksmais), jeigu jie nėra tarpusavyje tiesiogiai susiję. Priešingu atveju nelaikoma, kad sutikimas duotas laisva valia.
17.2. Sutikimas yra konkretus ir išsamus. Laikoma, kad sutikimas yra konkretus ir išsamus, jeigu jis atitinka šiuos reikalavimus:
17.2.2. Nurodyti konkretūs asmens duomenys, kurie bus tvarkomi konkrečiais duomenų tvarkymo tikslais;
17.3. Sutikimą duomenų subjektas davė tinkamai informuotas. Tam, kad šis reikalavimas būtų įvykdytas, prieš duomenų subjektui pasirašant sutikimą jam turi būti pateikta Reglamento 13 straipsnyje nurodyta informacija bei informuojama apie duomenų subjekto teisę bet kuriuo metu atšaukti savo sutikimą. Informacija gali būti pateikta raštu, žodžiu, audiovizualinėmis žinutėmis, tačiau visais atvejais tokiu būdu, kad Departamentas turėtų galimybę įrodyti, jog informacija duomenų subjektui buvo pateikta ir kad ji atitinka Reglamento 13 straipsnyje įtvirtintą turinį.
17.4. Sutikimas yra nedviprasmiškas duomenų subjekto valios išreiškimas, kad su juo susiję duomenys būtų tvarkomi. Sutikimas turi būti duodamas aktyviais veiksmais.
18. Visais atvejais sutikimas turi būti gaunamas prieš atliekant duomenų tvarkymo operacijas (veiksmus), dėl kurių renkamas sutikimas.
19. Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Duomenų subjektui atšaukus sutikimą, draudžiama tvarkyti asmens duomenis tais tikslais ir atlikti duomenų tvarkymo operacijas (veiksmus), kurios buvo atliekamos gavus tokį sutikimą, išskyrus atvejus, kai tokiam duomenų tvarkymui egzistuoja kitas Taisyklėse ar Reglamente įtvirtintas asmens duomenų tvarkymo teisinis pagrindas. Sutikimui atšaukti yra sudaromos analogiškos sąlygos kaip ir sutikimui duoti, draudžiama apsunkinti ar sudaryti papildomas sąlygas sutikimui atšaukti. Sutikimo atšaukimas negali sukelti duomenų subjektui neigiamų padarinių, įskaitant paslaugos kokybės sumažinimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie šiame punkte išdėstytas nuostatas privalo būti informuojamas prieš jam duodant sutikimą.
20. Departamentas imasi priemonių, kad sutikimas, kiek tai yra įmanoma atsižvelgiant į asmens duomenų tvarkymo tikslus ir apimtį, galiotų apibrėžtą terminą.
21. Sutikimas galioja iki jo atšaukimo momento arba iki sutikime nurodyto jo galiojimo termino pabaigos.
22. Sutikimas ir jame nurodyti asmens duomenys yra saugomi trejus metus nuo sutikimo atšaukimo arba jo galiojimo termino pabaigos, arba nuo Departamento sprendimo nebetvarkyti asmens duomenų sutikime nustatytais tikslais priėmimo dienos, išskyrus atvejus, kai teisės aktai numato kitokį duomenų saugojimo terminą. Jei sutikimo duomenys naudojami kaip įrodymai ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos (toliau –VDAI) vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje arba kitais įstatymų nustatytais atvejais, asmens duomenys gali būti saugomi tiek, kiek reikia šiais duomenų tvarkymo tikslais, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
23. Jeigu Departamento iki Taisyklių įsigaliojimo gauti sutikimai neatitinka šių Taisyklių reikalavimų, Departamentas nedelsdamas atnaujina sutikimo formas, kad sutikimai atitiktų šių Taisyklių reikalavimus, išskyrus atvejus, kai toks sutikimų atnaujinimas būtų neproporcingas, o iki šių Taisyklių patvirtinimo dienos gauti sutikimai aiškiai išreiškė duomenų subjektų valią dėl jų duomenų tvarkymo ir buvo gauti remiantis teisės aktų reikalavimais.
IV SKYRIUS
DUOMENŲ SUBJEKTŲ INFORMAVIMAS
24. Departamentas privalo informuoti duomenų subjektą apie jo asmens duomenų tvarkymo veiklą. Kai asmens duomenys gaunami iš paties duomenų subjekto, pagal Taisyklių 2 priede nustatytą formą jam pateikiama Reglamento 13 straipsnyje nurodyta informacija apie asmens duomenų tvarkymą.
25. Taisyklių 24 punkte nurodyta informacija duomenų subjektui pateikiama prieš gaunant asmens duomenis arba asmens duomenų gavimo metu.
26. Taisyklių 24 ir 25 punktai netaikomi, jeigu duomenų subjektas jau turi informaciją apie jo asmens duomenų tvarkymą, ir tiek, kiek tos informacijos jis turi.
27. Kai asmens duomenys gaunami ne iš paties duomenų subjekto, Departamentas pagal Taisyklių 2 priede nustatytą formą privalo duomenų subjektui pateikti Reglamento 14 straipsnyje nurodytą informaciją apie asmens duomenų tvarkymą.
28. Kai asmens duomenys gaunami ne iš paties duomenų subjekto, šių Taisyklių 27 punkte nurodyta informacija duomenų subjektui pateikiama:
28.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti, – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu;
29. Taisyklių 27 ir 28 punktai netaikomi, jeigu ir duomenų subjektas jau turi informaciją, ir:
29.1. Tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų, arba jeigu dėl informavimo pareigos gali tapti neįmanoma pasiekti to tvarkymo tikslų arba ji gali labai sukliudyti juos pasiekti. Tokiais atvejais Departamentas imasi tinkamų priemonių duomenų subjekto teisėms ir laisvėms ir teisėtiems interesams apsaugoti, įskaitant viešą informacijos apie asmens duomenų tvarkymą paskelbimą Departamento interneto svetainės skiltyje „Asmens duomenų apsauga“;
29.2. Duomenų gavimas ar atskleidimas aiškiai nustatytas teisės aktuose, kurie taikomi Departamentui;
30. Jei Departamentas ketina toliau tvarkyti asmens duomenis kitu tikslu, nei tas, kuriuo asmens duomenys buvo renkami, prieš toliau tvarkydamas asmens duomenis duomenų subjektui pateikia informaciją apie kitą tikslą ir informaciją, kaip nurodyta Taisyklių 2 priede.
V SKYRIUS
DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI
32. Departamente yra tvarkomi duomenų tvarkymo veiklos įrašai pagal šiose Taisyklėse patvirtintas formas (Taisyklių 4 ir 5 priedai). Departamente vykdoma asmens duomenų tvarkymo veikla privalo tiksliai atitikti duomenų tvarkymo veiklos įrašuose aprašytąją.
33. Departamente yra tvarkomi tik tie asmens duomenys ir tik tuo tikslu, tuo teisiniu pagrindu, kuris nurodytas duomenų tvarkymo veiklos įrašuose.
36. Darbuotojai, pateikę duomenų tvarkymo veiklos įrašų užpildytą formą, nedelsdami informuoja duomenų apsaugos pareigūną, jeigu Departamento duomenų tvarkymo veiklos įrašai neatitinka realaus poreikio dėl asmens duomenų tvarkymo (Taisyklių 4 ir 5 priedai).
37. Duomenų tvarkymo veiklos įrašai turi būti teisingi, aktualūs ir išsamūs, atspindėti realią Departamento duomenų tvarkymo veiklą.
38. Duomenų tvarkymo veiklos išrašai, gavus prašymą, pateikiami VDAI jos prašyme nurodytais terminais.
39. Departamente periodiškai, ne rečiau kaip vieną kartą per metus, tikrinama, ar Departamente vykdoma asmens duomenų tvarkymo veikla atitinka duomenų tvarkymo veiklos įrašus. Už šias patikras yra atsakingas duomenų apsaugos pareigūnas, kuris patikrai atlikti gali pasitelkti Departamento darbuotojus. Patikros rezultatai yra įforminami išvada, kurioje nurodoma, ar Departamente vykdoma asmens duomenų tvarkymo veikla atitinka duomenų tvarkymo veiklos įrašus, išvardijami trūkumai, jeigu tokie nustatyti, ir rekomendacijos, kaip nustatytus trūkumus ištaisyti. Patikros išvados pateikiamos Departamento direktoriui.
VI SKYRIUS
ASMENS DUOMENŲ TVARKYMAS IR SAUGOJIMAS
41. Prieiga prie asmens duomenų suteikiama tik tiems Departamento darbuotojams, kuriems tokie duomenys yra reikalingi jų funkcijoms ir pavedimams atlikti.
42. Su asmens duomenimis galima atlikti tik tuos veiksmus, kuriuos atlikti Departamento darbuotojams yra suteiktos teisės.
43. Prieigos prie asmens duomenų, esančių Departamento informacinėse sistemose, Departamento darbuotojams suteikiamos, keičiamos ir naikinamos vadovaujantis Departamento direktoriaus įsakymais.
44. Departamento darbuotojai, kuriems yra suteikta teisė tvarkyti asmens duomenis, privalo laikytis Reglamente nurodytų asmens duomenų tvarkymo principų ir reikalavimų, laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino atlikdami savo funkcijas ir pavedimus.
45. Departamentas, saugodamas asmens duomenis, įgyvendina ir užtikrina būtinas organizacines ir technines priemones, skirtas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.
46. Asmens duomenys saugomi ne ilgiau nei to reikalaujama duomenų tvarkymo tikslais. Asmens duomenų saugojimo terminai nustatomi Departamento direktoriaus patvirtintame kasmetiniame Departamento dokumentacijos plane. Kai asmens duomenys jų tvarkymo tikslais tampa nebereikalingi, jie sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti saugoti į atitinkamą archyvą.
VII SKYRIUS
DUOMENŲ APSAUGOS PAREIGŪNO VEIKLA
47. Departamento duomenų apsaugos pareigūno kontaktiniai duomenys (vardas (-ai) ir pavardė (-ės), el. pašto adresas ir telefono ryšio numeris), funkcijos ir uždaviniai yra skelbiami taip, kad darbuotojams būtų aišku, jog konkretus asmuo yra duomenų apsaugos pareigūnas. Duomenų apsaugos pareigūno kontaktiniai duomenys pranešami VDAI, taip pat nurodomi Departamento internetinės svetainės skiltyje „Asmens duomenų apsauga“, Sutikime dėl asmens duomenų tvarkymo (forma –Taisyklių 3 priede), Informacijoje apie asmens duomenų tvarkymą (forma – Taisyklių 2 priede), siekiant sudaryti galimybę suinteresuotiems asmenims be kliūčių susisiekti su duomenų apsaugos pareigūnu.
48. Visi Departamento darbuotojai privalo bendradarbiauti su duomenų apsaugos pareigūnu, skubiai teikti visus jo paprašytus dokumentus ir informaciją. Darbuotojai privalo palaikyti nuolatinį kontaktą su duomenų apsaugos pareigūnu, t. y. užtikrinti, kad su jais duomenų apsaugos pareigūnui būtų lengva susisiekti, operatyviai reaguoti į duomenų apsaugos pareigūno paklausimus.
VIII SKYRIUS
DUOMENŲ SUBJEKTŲ TEISĖS
49. Duomenų subjektas turi šias teises:
49.1. Susipažinti su Departamente tvarkomais asmens duomenimis ir gauti informaciją:
49.1.3. apie duomenų gavėjus arba duomenų gavėjų, kuriems per paskutinius vienus metus buvo ar yra teikiami asmens duomenys, kategorijas, visų pirma, duomenų gavėjus trečiosiose valstybėse arba tarptautines organizacijas;
49.2. Reikalauti, kad būtų ištaisyti netikslūs su asmeniu susiję duomenys ir (arba) papildyti neišsamūs asmens duomenys;
49.3. Reikalauti, kad Departamentas nedelsdamas ištrintų su juo susijusius asmens duomenis (teisė būti pamirštam), esant bent vienai iš šių sąlygų:
49.3.1. asmens duomenys nebereikalingi tikslams, kuriais jie buvo renkami arba kitaip tvarkomi, pasiekti;
49.4. Reikalauti, kad Departamentas apribotų duomenų tvarkymą, esant bent vienai iš šių sąlygų:
49.4.1. asmens duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį duomenų valdytojas gali patikrinti asmens duomenų tikslumą;
49.4.2. asmens duomenų tvarkymas yra neteisėtas, kai duomenų subjektas nesutinka, kad duomenys būtų ištrinti, ir prašo apriboti jų naudojimą;
49.5. Gauti su juo susijusius asmens duomenis, kuriuos susisteminęs, pateikė duomenų valdytojui įprastai naudojamu kompiuteriu skaitomu formatu, ir teisę persiųsti tuos duomenis kitam duomenų valdytojui (teisė į duomenų perkeliamumą). Departamentas, kuriam tokie asmens duomenys buvo pateikti, turi nesudaryti kliūčių, kai duomenų tvarkymas grindžiamas sutikimu arba duomenys yra tvarkomi automatizuotomis priemonėmis. Naudodamasis šiame papunktyje nurodyta teise, duomenų subjektas turi teisę prašyti, kad Departamentas asmens duomenis tiesiogiai persiųstų kitam duomenų valdytojui, kai tai techniškai įmanoma.
50. Duomenų subjektas konkrečiu su juo susijusiu atveju turi teisę bet kuriuo metu nesutikti, kad jo asmens duomenys būtų tvarkomi, siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas.
IX SKYRIUS
DUOMENŲ TEIKIMAS TRETIESIEMS ASMENIMS
52. Asmens duomenys tretiesiems asmenims teikiami tik įstatymų ir kitų teisės aktų nustatytais atvejais ir tvarka:
52.1. Departamento darbuotojų asmens duomenys socialinio draudimo mokesčio administravimo klausimais teikiami Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos; mokesčių administravimo klausimais – Valstybinei mokesčių inspekcijai prie Lietuvos Respublikos finansų ministerijos, valstybės tarnybos valdymo klausimais – Valstybės tarnybos departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos; buhalterinės apskaitos ir personalo administravimo klausimais – NBFC.
X SKYRIUS
PRAŠYMO DĖL DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO PATEIKIMAS
53. Duomenų subjektai, siekdami įgyvendinti savo teises, Departamentui turi pateikti rašytinį prašymą asmeniškai, paštu, per pasiuntinį arba elektroninių ryšių priemonėmis.
54. Prašymas turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyta duomenų subjekto vardas (-ai), pavardė (-ės), gyvenamoji vieta, duomenys ryšiui palaikyti ir informacija apie tai, kurią iš Taisyklių VIII skyriuje nurodytų teisių ir kokios apimties duomenis subjektas pageidauja įgyvendinti.
55. Pateikdamas prašymą, duomenų subjektas privalo patvirtinti savo tapatybę:
55.1. pateikdamas prašymą Departamento darbuotojui, registruojančiam prašymą, duomenų subjektas turi pateikti asmens tapatybę patvirtinantį dokumentą;
55.2. pateikdamas prašymą paštu ar per pasiuntinį, kartu turi pateikti asmens tapatybę patvirtinančio dokumento kopiją, patvirtintą teisės aktų nustatyta tvarka;
56. Duomenų subjektas savo teises Departamente gali įgyvendinti pats arba per savo atstovą. Jei atstovaujamo duomenų subjekto vardu į Departamentą kreipiasi asmens atstovas, jis savo prašyme turi nurodyti savo vardą (-us) ir pavardę (-es), gyvenamąją vietą, duomenis ryšiui palaikyti, taip pat atstovaujamo asmens vardą (-us) ir pavardę (-es), gyvenamąją vietą, informaciją apie tai, kokias Tvarkos aprašo VIII skyriuje nurodytas duomenų subjekto teises ir kokios apimties duomenis pageidaujama įgyvendinti, ir pridėti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą teisės aktų nustatyta tvarka.
XI SKYRIUS
PRAŠYMO DĖL DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO NAGRINĖJIMAS
57. Departamentas duomenų subjekto prašymo, kuris pateiktas nesilaikant Taisyklių 53–56 punktuose nustatytų reikalavimų, nenagrinėja.
58. Departamentas ne vėliau kaip per 30 kalendorinių dienų nuo prašymo gavimo duomenų subjektui ar jo atstovui pateikia informaciją apie veiksmus, kurių imtasi gavus prašymą. Šis laikotarpis prireikus gali būti pratęstas Departamento direktoriaus dar 60 kalendorinių dienų, atsižvelgus į prašymo sudėtingumą ir bendrą prašymų kiekį. Departamentas per 30 kalendorinių dienų nuo prašymo gavimo informuoja duomenų subjektą ar jo atstovą apie tokį pratęsimą ir pateikia vėlavimo priežastis. Departamentas atsakymą duomenų subjektui ar jo atstovui pateikia valstybine kalba duomenų subjekto pasirinktu būdu: registruotu paštu, įteikiant asmeniškai atvykus į Departamentą arba elektroninių ryšių priemonėmis pateikiant elektroninį dokumentą, pasirašytą saugiu elektroniniu parašu. Departamentas, dėl objektyvių priežasčių negalėdamas pateikti atsakymo duomenų subjektui ar jo atstovui jo pasirinktu būdu, atsakymą pateikia registruota korespondencijos siunta.
59. Jei duomenų valdytojas nenagrinėja duomenų subjekto prašymo, jis nedelsdamas, tačiau ne vėliau kaip per 30 kalendorinių dienų nuo prašymo gavimo, informuoja duomenų subjektą ar jo atstovą apie nenagrinėjimo priežastis ir apie galimybę pateikti skundą priežiūros institucijai ir pasinaudoti kita teisių gynimo priemone.
60. Duomenų subjekto teisės Departamente įgyvendinamos neatlygintinai vieną kartą per kalendorinius metus.
61. Departamentas, atsisakydamas vykdyti duomenų subjekto prašymą įgyvendinti jo, kaip duomenų subjekto, teises, pateikia jam tokio atsisakymo motyvus.
62. Departamento atsisakymas įgyvendinti duomenų subjekto teises gali būti skundžiamas įstatymų nustatyta tvarka.
XII SKYRIUS
DUOMENŲ SAUGOS PAŽEIDIMŲ VALDYMAS
64. Duomenų saugos pavojaus duomenų subjekto teisėms ir laisvėms tikimybė ir mastas nustatomi atsižvelgus į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus. Remiantis objektyviu įvertinimu, nustatoma, ar duomenų tvarkymo operacijos yra susijusios su pavojumi arba dideliu pavojumi.
65. Departamento darbuotojas, Departamento informacinių sistemų naudotojas, sužinojęs apie galimą asmens duomenų, tvarkomų automatizuotomis priemonėmis, saugos pažeidimą, nedelsdamas praneša Departamento informacinių sistemų saugos įgaliotiniui, o apie galimą asmens duomenų, tvarkomų ne automatizuotomis priemonėmis, saugos pažeidimą praneša duomenų apsaugos pareigūnui.
66. Departamento direktorius, gavęs atsakingų asmenų, nurodytų Taisyklių 65 punkte, išvadą dėl nustatyto asmens duomenų saugos pažeidimo, kurioje nurodyta, kad asmens duomenų saugos pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms, apie jį neinformuoja priežiūros institucijos ir asmens duomenų subjektų.
67. Departamento direktorius, gavęs atsakingų asmenų, nurodytų Taisyklių 32 punkte, išvadą dėl asmens duomenų saugos pažeidimo, kurioje nurodyta, kad duomenų saugos pažeidimas kelia pavojų fizinių asmenų teisėms ir laisvėms, apie tai praneša priežiūros institucijai Reglamento 33 straipsnio 1 dalyje nustatytais terminais.
Asmens duomenų tvarkymo ir duomenų subjektų teisių
įgyvendinimo tvarkos taisyklių
1 priedas
(Prašymo įgyvendinti duomenų subjekto teisę (-es) forma)
(Duomenų subjekto vardas (-ai) ir pavardė (-ės)[1])
(Adresas ir (ar) kiti kontaktiniai duomenys (telefono ryšio numeris ar el. pašto adresas (nurodoma pareiškėjui pageidaujant)
(Atstovas ir atstovavimo pagrindas, jeigu prašymą pateikia duomenų subjekto atstovas)[2]
Lietuvos standartizacijos departamentui
PRAŠYMAS
ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISĘ (-ES)
____________
(Data)
________
(Vieta)
1. Prašau įgyvendinti šią (-ias) duomenų subjekto teisę (-es) (tinkamą langelį pažymėkite kryželiu):
Teisę gauti informaciją apie duomenų tvarkymą
Teisę susipažinti su duomenimis
Teisę reikalauti ištaisyti duomenis
Teisę reikalauti ištrinti duomenis („teisė būti pamirštam“)
Teisę apriboti duomenų tvarkymą
Teisę į duomenų perkeliamumą
Teisę nesutikti su duomenų tvarkymu
Teisę reikalauti, kad nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas
2. Nurodykite, ko konkrečiai prašote, ir pateikite kiek įmanoma daugiau informacijos, kuri leistų tinkamai įgyvendinti Jūsų teisę (-es) (pavyzdžiui, jeigu norite gauti asmens duomenų kopiją, nurodykite, kokių konkrečiai duomenų (pavyzdžiui, 2021 m. x mėnesio x d. elektroninio laiško kopiją, 2021 m. x mėnesio x d. vaizdo įrašą (x val. x min. – x val. x min.) kopiją pageidaujate gauti; jeigu norite ištaisyti duomenis, nurodykite, kokie konkrečiai Jūsų asmens duomenys yra netikslūs; jeigu nesutinkate, kad būtų tvarkomi Jūsų asmens duomenys, tuomet nurodykite argumentus, kuriais grindžiate savo nesutikimą, nurodykite, dėl kokio konkrečiai duomenų tvarkymo nesutinkate; jeigu kreipiatės dėl teisės į duomenų perkeliamumo įgyvendinimo, prašome nurodyti, kokių duomenų atžvilgiu šią teisę pageidaujate įgyvendinti, ar pageidaujate juos perkelti į savo įrenginį ar kitam duomenų valdytojui, jeigu pastarajam, tuomet nurodykite, kam):
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.
PRIDEDAMA[3]:
1. _________________________________________________________________________.
2. _________________________________________________________________________.
3. _________________________________________________________________________.
4. _________________________________________________________________________.
_____________________________
(Parašas) (Vardas ir pavardė)
Asmens duomenų tvarkymo ir duomenų subjektų teisių
įgyvendinimo tvarkos taisyklių
2 priedas
(Informacijos apie asmens duomenų tvarkymą forma)
INFORMACIJA APIE ASMENS DUOMENŲ TVARKYMĄ
Lietuvos standartizacijos departamentas (toliau – Departamentas), vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 13 ir 14[4] straipsniais, teikia informaciją, susijusią su Jūsų duomenų tvarkymu:
1. Duomenų valdytojas –Departamentas, Algirdo g. 31, 03219 Vilnius, el. pašto adresas lstboard@lsd.lt.
2. Duomenų apsaugos pareigūno kontaktai: el. pašto adresas duomenuapsauga@lsd.lt, korespondencijos adresas Algirdo g. 31, 03219 Vilnius (laišką adresuokite Departamento duomenų apsaugos pareigūnui).
3. Duomenų tvarkymo tikslai. Toliau nurodyti Jūsų asmens duomenys yra tvarkomi šiais tikslais[5]:
4. Tvarkomi duomenys. Tvarkomi šie Jūsų asmens duomenys[6]:
5. Duomenų tvarkymo teisinis pagrindas. Jūsų asmens duomenų tvarkymo teisinis pagrindas[7] – _______________________________________________________________________
_________________________________________________________________________________ [8].
6. Duomenų šaltinis. Aukščiau nurodyti Jūsų duomenys gauti iš[9] ____________________
__________________________________________________________________________________
7. Asmens duomenų gavėjai. Jūsų asmens duomenys gali būti perduoti[10]:
7.1. duomenų tvarkytojams, kurie atlieka tam tikrus darbus ir teikia paslaugas (informacinių technologijų bendrovės, kurios duomenis tvarko, kad užtikrintų informacinių sistemų kūrimą, tobulinimą ir palaikymą; bendrovės, kurios užtikrina pranešimų klientams siuntimą, teikia apsaugos ir kitas paslaugas, įskaitant teisės, finansų, mokesčių, verslo valdymo, personalo administravimo, buhalterinės apskaitos paslaugas);
7.2. teismui, teisėsaugos įstaigoms ar valstybės institucijoms tiek, kiek tokį teikimą nustato teisės aktų reikalavimai (pvz., antstoliams, teismams ir kt.);
7.3. kitiems fiziniams / juridiniams asmenims Jūsų sutikimu, jei toks sutikimas gaunamas dėl konkretaus atvejo;
8. Duomenų subjektų teisės. Turite šias teises: teisę prašyti, kad Jums būtų leista susipažinti su Jūsų asmens duomenimis ir juos ištaisyti arba ištrinti, teisę apriboti duomenų tvarkymą, teisę nesutikti, kad asmens duomenys būtų tvarkomi, taip pat teisę į asmens duomenų perkeliamumą. Šias teises galite įgyvendinti teisės aktų nustatyta tvarka.
Prašymai dėl teisių įgyvendinimo Departamentui turi būti pateikti raštu (įskaitant ir elektroniniu formatu), taip pat turi būti įmanoma identifikuoti prašymą padavusio asmens bei duomenų subjekto tapatybę. Duomenų subjekto tapatybė nustatoma pagal tapatybę patvirtinantį dokumentą ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį. Jei prašymą duomenų subjektas siunčia paštu ar per pasiuntinį, prie prašymo turi būti pridėta teisės aktų nustatyta tvarka patvirtinta duomenų subjekto asmens tapatybę patvirtinančio dokumento kopija. Kai dėl informacijos apie asmenį kreipiasi jo atstovas, jis turi pateikti atstovavimą patvirtinantį dokumentą ir atstovo tapatybę patvirtinantį dokumentą, jeigu nėra kitų protingų būdų nustatyti atstovo tapatybę.
Dėl duomenų subjektų teisių įgyvendinimo tvarkos maloniai prašome kreiptis į duomenų apsaugos pareigūną 2 punkte nurodytais kontaktais.
9. Jūs taip pat turite teisę bet kada atšaukti sutikimą tvarkyti Jūsų duomenis. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto asmens duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.[11]
10. Asmens duomenų saugojimo laikotarpis. Jūsų asmens duomenys bus saugomi ____________[12]. Šis terminas gali būti pratęstas, jei asmens duomenys yra naudojami arba gali būti naudojami kaip įrodymai ar informacijos šaltinis ikiteisminiame ar kitokiame tyrime, įskaitant ir VDAI vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje, ar kitais įstatymų nustatytais atvejais. Tokiu atveju asmens duomenys gali būti saugomi tiek, kiek reikalinga šiais duomenų tvarkymo tikslais, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
11. Automatizuotų sprendimų priėmimai. Šie Jūsų duomenys nebus naudojami automatizuotiems sprendimams priimti Jūsų atžvilgiu, įskaitant profiliavimą.
Asmens duomenų tvarkymo ir duomenų subjektų teisių
įgyvendinimo tvarkos taisyklių
3 priedas
(Sutikimo dėl asmens duomenų tvarkymo pavyzdinė forma)
SUTIKIMAS DĖL ASMENS DUOMENŲ TVARKYMO
20__ m.___________________ __ d.
Nr.
__________________
(vieta)
Aš,_______________________________________________________________________,
(asmens vardas (-ai) ir pavardė (-ės) / pavadinimas, gimimo data / įmonės kodas)
sutinku ir esu informuotas (-a), kad:
1. Lietuvos standartizacijos departamentas (toliau – Departamentas) gautų ir tvarkytų toliau išvardytus mano asmens duomenis[13]:
___________________________________________________________________________________
_____________________________________________________________________________
2. Išvardyti asmens duomenys būtų tvarkomi šiais tikslais[14]:
________________________________________________________________________________
________________________________________________________________________________
3. Su išvardytais asmens duomenimis būtų atliekami šie tvarkymo veiksmai[15]:
________________________________________________________________________________
________________________________________________________________________________
4. Asmens duomenys būtų gaunami iš[16]:
manęs, _________________________________________________________________________
________________________________________________________________________________
5. Asmens duomenys būtų perduoti ______________________[17]. Duomenų gavėjai tokius asmens duomenis tvarkytų šiame sutikime nurodytais tikslais.
6. Departamentas duomenis tvarkys teisėtai, sąžiningai ir skaidriai, laikydamasis teisės aktuose nustatytų reikalavimų tik šiame sutikime nustatytais tikslais.
Departamentas naudoja įvairias saugumą užtikrinančias technologijas ir procedūras, siekdamas apsaugoti Jūsų asmeninę informaciją nuo neteisėtos prieigos, naudojimo ar atskleidimo. Departamento tiekėjai yra kruopščiai atrenkami, iš jų reikalaujama naudoti tinkamas priemones, galinčias apsaugoti Jūsų konfidencialumą ir užtikrinti Jūsų asmeninės informacijos saugumą. Vis dėlto informacijos perdavimo internetu ar mobiliuoju ryšiu saugumas negali būti užtikrintas; bet koks informacijos Departamentui perdavimas nurodytais būdais yra vykdomas Jūsų pačių rizika.
7. Pasikeitus Jūsų asmens duomenims, tvarkomiems pagal šį sutikimą, reikia pranešti apie tai Departamentui.
9. Duomenų valdytojas – Departamentas, Algirdo g. 31, 03219 Vilnius, el. pašto adresas lstboard@lsd.lt;
10. Duomenų apsaugos pareigūno kontaktai: el. pašto adresas duomenuapsauga@lsd.lt, korespondencijos adresas Algirdo g. 31, 03219 Vilnius (laišką adresuokite Departamento duomenų apsaugos pareigūnui).
11. Duomenų tvarkymo teisinis pagrindas – šiame sutikime nurodytų Jūsų asmens duomenų tvarkymo teisinis pagrindas yra šis sutikimas.
12. Be šio sutikimo 5 punkte nurodytų duomenų gavėjų Jūsų asmens duomenys, surinkti gavus šį sutikimą, gali būti perduoti:
12.1. duomenų tvarkytojams, kurie atlieka tam tikrus darbus ir teikia paslaugas (pvz., informacinių technologijų bendrovės, kurios duomenis tvarko, kad užtikrintų informacinių sistemų kūrimą, tobulinimą ir palaikymą; bendrovės, kurios užtikrina pranešimų klientams siuntimą, teikia apsaugos ir kitas paslaugas, įskaitant teisės, finansų, mokesčių, verslo valdymo, personalo administravimo, buhalterinės apskaitos paslaugas);
12.2. teismui, teisėsaugos įstaigoms ar valstybės institucijoms tiek, kiek tokį teikimą nustato teisės aktų reikalavimai;
13. Žinau, kad turiu šias teises: teisė prašyti, kad būtų leista susipažinti su duomenimis ir juos ištaisyti arba ištrinti, teisė apriboti duomenų tvarkymą, teisė nesutikti, kad duomenys būtų tvarkomi, taip pat teisė į duomenų perkeliamumą. Šias teises galiu įgyvendinti teisės aktų nustatyta tvarka.
Prašymai dėl teisių įgyvendinimo Departamentui turi būti pateikti raštu (įskaitant teikiamus elektroniniu formatu), taip pat turi būti įmanoma identifikuoti prašymą padavusio asmens bei duomenų subjekto tapatybę. Duomenų subjekto tapatybė nustatoma pagal tapatybę patvirtinantį dokumentą ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį. Jei prašymą duomenų subjektas siunčia paštu ar per pasiuntinį, prie prašymo turi būti pridėta teisės aktų nustatyta tvarka patvirtinta duomenų subjekto asmens tapatybę patvirtinančio dokumento kopija. Kai dėl informacijos apie asmenį kreipiasi jo atstovas, jis turi pateikti atstovavimą patvirtinantį dokumentą ir savo tapatybę patvirtinantį dokumentą. Jei prašymas pateikiamas elektroniniu paštu, jis turi būti pasirašytas kvalifikuotu elektroniniu parašu.
Iškilus klausimams dėl duomenų subjektų teisių įgyvendinimo Departamente galima kreiptis į Departamento duomenų apsaugos pareigūną 10 punkte nurodytais kontaktais.
14. Žinau, kad turiu teisę bet kada atšaukti šį sutikimą ir reikalauti nutraukti tolimesnį asmens duomenų tvarkymą, kuris yra vykdomas gavus sutikimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto asmens duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.
15. Asmens duomenų saugojimo laikotarpis. Šis sutikimas ir jame nurodyti mano asmens duomenys yra saugomi trejus metus nuo sutikimo atšaukimo arba jo galiojimo termino pabaigos arba nuo Departamento sprendimo nebetvarkyti asmens duomenų sutikime nustatytais tikslais priėmimo dienos. Asmens duomenys surinkti gavus šį sutikimą saugomi _________________.
Šis terminas gali būti pratęstas, jei asmens duomenys yra naudojami arba gali būti naudojami kaip įrodymai ar informacijos šaltinis ikiteisminiame ar kitokiame tyrime, įskaitant ir VDAI vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje, arba kitais įstatymų nustatytais atvejais. Tokiu atveju asmens duomenys gali būti saugomi tiek, kiek reikalinga šiais duomenų tvarkymo tikslais, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
16. Automatizuotų sprendimų priėmimai. Duomenys nebus naudojami automatizuotiems sprendimams priimti mano atžvilgiu, įskaitant profiliavimą.
17. Žinau, kad turiu teisę skųsti. Jeigu Jūs manote, kad Jūsų duomenis Departamentas tvarko pažeisdamas duomenų apsaugos teisės aktų reikalavimus, visuomet pirmiausia prašome kreiptis tiesiogiai į Departamentą. Jeigu Jūsų netenkins Departamento siūlomas problemos išsprendimo būdas arba Jūsų nuomone Departamentas nesiims pagal Jūsų prašymą būtinų veiksmų, turėsite teisę pateikti skundą priežiūros institucijai, kuri Lietuvos Respublikoje yra VDAI (L. Sapiegos g. 17, 10312 Vilnius; tel. (8 5) 212 7532; el. paštas ada@ada.lt).
(Parašas) (Vardas ir pavardė)
Asmens duomenų tvarkymo ir duomenų subjektų teisių
įgyvendinimo tvarkos taisyklių
4 priedas
(Duomenų valdytojo duomenų tvarkymo veiklos įrašų forma)
Duomenų valdytoja |
|||||||||||
Lietuvos standartizacijos departamentas |
|||||||||||
Algirdo g. 31, Vilnius |
(8 5) 270 9360; +370 659 67311 |
lstboard@lsd.lt |
www.lsd.lt |
||||||||
Duomenų valdytojo atstovas (darbuotojas ar padalinys, atsakingas už asmens duomenų tvarkymą) |
|||||||||||
Struktūrinio padalinio pavadinimas ir funkcijos tvarkant asmens duomenis |
|||||||||||
Algirdo g. 31, Vilnius |
Telefono ryšio numeris |
El. pašto adresas |
|||||||||
Duomenų apsaugos pareigūnas |
|||||||||||
Greta Osinovskienė |
|||||||||||
Algirdo g. 31, Vilnius |
(8 5) 279 1143;
+370 659 93229 |
duomenuapsauga@lsd.lt |
|||||||||
Duomenų tvarkymo tikslas (pvz., įdarbinimas, personalo administravimas, tarnybinis tyrimas dėl tarnybinio nusižengimo, profilaktinis sveikatos tikrinimas, vaizdo konferencijų organizavimas, viešosios informacijos administravimas, patalpų ir teritorijos apsauga, įsigijimų vykdymas, asmenų aptarnavimas, paslaugų kokybės užtikrinimas, leidimų statyti automobilį išdavimas, visiškos materialinės atsakomybės sutarčių administravimas, įgaliojimų suteikimas ir t. t.) |
|||||||||||
Duomenų tvarkymo teisinis pagrindas: nurodomas 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas)(toliau – BDAR) 6 straipsnio 1 dalies ir, jei taikoma, 9 straipsnio 2 dalies konkretus punktas ir, jei taikoma, Lietuvos Respublikos teisės aktas, kuris suteikia teisę tvarkyti asmens duomenis (pvz., Lietuvos Respublikos darbo kodeksas, Lietuvos Respublikos visuomenės informavimo įstatymas, Lietuvos Respublikos viešojo administravimo įstatymas ir t. t.). |
|||||||||||
Duomenų subjektų kategorijų aprašymas (pvz., asmenys, pretenduojantys arba paskirti (priimti) į pareigas; asmenys, su kuriais sudaroma tarnybos (darbo) sutartis; asmenys, teikiami skatinti ar apdovanoti; asmenys, kurie prašo leidimo dirbti kitą darbą; asmenys, kurių atžvilgiu atliekamas tarnybinis tyrimas, ir kiti asmenys, susiję su teisės pažeidimo tyrimu; vaizdo konferencijų dalyviai, žurnalistai ir kiti asmenys, viešąją informaciją renkantys iš Departamento; asmenys, patenkantys į vaizdo stebėjimo lauką; klientai, ir t. t.). Esant kelioms duomenų subjektų grupėms, atskirai nurodomi kiekvienos duomenų subjektų grupės tvarkomi asmens duomenys (įskaitant ir specialių kategorijų asmens duomenis), jeigu tvarkomi duomenys yra skirtingi. |
|||||||||||
Asmens duomenų kategorijų aprašymas (pvz., vardas (-ai) ir pavardė (-ės), gimimo data, adresas, vaizdo duomenys, darbo užmokestis, duomenys apie sveikatą, telefoninio pokalbio įrašas, IP adresas ir t. t.) |
|||||||||||
Asmens duomenų gavėjų kategorijos (pvz., teisėsaugos institucijos, kurjerių tarnybos, bankai, Valstybinio socialinio draudimo fondo valdyba prie Socialinės apsaugos ir darbo ministerijos (toliau – Sodra), valstybės ir savivaldybių institucijos ir įstaigos teisės aktų nustatytoms funkcijoms vykdyti bei kiti fiziniai ir juridiniai asmenys, turintys teisę gauti duomenis, ir t. t.) |
|||||||||||
Asmens duomenų šaltinis (pvz., tiesiogiai iš duomenų subjekto, Gyventojų registro, duomenų subjekto buvusio darbdavio, banko, vaizdo įrašymo priemonės, Sodros ar kt.) |
|||||||||||
Asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai (kai taikoma) |
|||||||||||
Trečiosios valstybės arba tarptautinės organizacijos, kuriai perduodami asmens duomenys, pavadinimas: |
BDAR 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimo atvejais tinkamų apsaugos priemonių dokumentai: |
||||||||||
Kita informacija, susijusi su asmens duomenų perdavimu: |
|||||||||||
Numatomi asmens duomenų saugojimo, ištrynimo terminai (kai įmanoma) (pvz., 10 metų po sutarties įvykdymo, 30 kalendorinių dienų, 3 mėnesiai nuo atrankos pabaigos, 6 mėnesiai nuo kandidato dokumentų gavimo ir t. t.) |
|||||||||||
Asmens duomenų saugojimo vieta (pvz., rakinama spinta, darbuotojo kompiuteryje, valstybės registre ar informacinėje sistemoje ir t. t.) |
|||||||||||
Bendras duomenų saugumo priemonių (nurodytų BDAR 32 straipsnio 1 dalyje) aprašymas (kai įmanoma) |
|||||||||||
Techninės saugumo priemonės:
(pvz., programinė įranga yra nuolatos atnaujinama, aprūpinta ugniasienėmis ir antivirusinėmis programomis, daromos atsarginės duomenų kopijos, atliekamas duomenų šifravimas ir t. t.) |
Organizacinės saugumo priemonės:
(pvz., informacinių sistemų ir duomenų bazių vartotojų teisių ribojimas ir kontrolė; asmenys, dirbantys su asmens duomenimis, yra saistomi teisės aktuose nustatytų konfidencialumo pareigų ir t. t.) |
||||||||||
Kita informacija (pvz., Pranešimo duomenų subjektui apie asmens duomenų tvarkymą pateikimo vieta (arba aplinkybės, dėl kurių neįmanoma informuoti duomenų subjekto apie jo duomenų tvarkymą), kitų duomenų subjekto teisių įgyvendinimo ypatumai, nuorodos į kitus su duomenų apsauga susijusius dokumentus (poveikio duomenų apsaugai vertinimą, vidaus tvarkos taisykles, informaciją apie asmens duomenų tvarkymą ir t. t.) |
|||||||||||
Duomenų įvedimo, keitimo data (-os), registravimo numeris, įvedusio asmens vardas (-ai) ir pavardė (-ės), parašas |
|||||||||||
Data |
Registravimo numeris |
Vardas (-ai) |
Pavardė (-ės) |
Parašas |
|||||||
|
Asmens duomenų tvarkymo ir duomenų subjektų teisių
įgyvendinimo tvarkos taisyklių
5 priedas
(Duomenų tvarkytojo duomenų tvarkymo veiklos įrašų forma)
Duomenų tvarkytojas: |
||||||
Lietuvos standartizacijos departamentas |
||||||
Algirdo g. 31, Vilnius |
(8 5) 270 9360;
+370 659 67311 |
lstboard@lsd.lt |
www.lsd.lt |
|||
Kiekvienas duomenų valdytojas (jei taikoma – ir jo atstovas), kurio vardu veikia duomenų tvarkytojas |
||||||
Duomenų valdytojo pavadinimas (jei fizinis asmuo – jo vardas (-ai) ir pavardė (-ės) |
||||||
Adresas |
Telefono ryšio numeris |
Elektroninio pašto adresas |
Kitos ryšių priemonės
(pvz., interneto svetainės adresas, el. siuntos pristatymo dėžutės adresas) |
|||
Duomenų apsaugos pareigūnas (jei taikoma) |
||||||
Greta Osinovskienė |
||||||
Algirdo g. 31, Vilnius |
(8 5) 279 1143;
+370 659 93229 |
duomenuapsauga@lsd.lt |
||||
Kiekvieno duomenų valdytojo vardu atliekamo duomenų tvarkymo kategorijos, t. y. atliekami asmens duomenų tvarkymo veiksmai (pvz., vaizdo stebėjimas, asmens duomenų saugojimas, naikinimas ir t. t.) |
||||||
Asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai (kai taikoma) |
||||||
Trečiosios valstybės arba tarptautinės organizacijos, kuriai perduodami asmens duomenys, pavadinimas: |
2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas)(toliau – BDAR) 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai: |
|||||
Kita informacija, susijusi su asmens duomenų perdavimu: |
||||||
Bendras duomenų saugumo priemonių (nurodytų BDAR 32 straipsnio 1 dalyje) aprašymas (kai įmanoma) |
||||||
Techninės saugumo priemonės:
(pvz., programinė įranga yra nuolatos atnaujinama, aprūpinta ugniasienėmis ir antivirusinėmis programomis, daromos atsarginės duomenų kopijos, atliekamas duomenų šifravimas ir t. t.) |
Organizacinės saugumo priemonės:
(pvz., informacinių sistemų ir duomenų bazių vartotojų teisių ribojimas ir kontrolė; asmenys, dirbantys su asmens duomenimis, yra saistomi teisės aktuose nustatytų konfidencialumo pareigų„ ir t. t.) |
|||||
Kita informacija (pvz., darbuotojai (skyriai), atsakingi už duomenų tvarkymą, nuorodos į kitus su duomenų apsauga susijusius dokumentus ir t. t.) |
||||||
Duomenų įvedimo, keitimo data (-os) |
||||||
|
[1] Gali būti prašoma nurodyti daugiau duomenų, siekiant nustatyti, ar duomenų subjekto duomenys yra tvarkomi, pavyzdžiui, nurodyti duomenų valdytojo duomenų subjektui priskirtą kodą, ir pan.
[2] Jeigu prašymą pateikia duomenų subjekto atstovas, kartu turi būti pridedamas atstovo įgaliojimus patvirtinantis dokumentas.
[3] Jeigu prašymas yra siunčiamas paštu, prie prašymo pridedama asmens tapatybę patvirtinančio dokumento kopija.
Jeigu kreipiamasi dėl netikslių duomenų ištaisymo, pateikiamos tikslius duomenis patvirtinančių dokumentų kopijos.
Jeigu duomenų subjekto asmens duomenys, tokie kaip vardas (-ai) ir pavardė (-ės), yra pasikeitę, kartu pateikiamos dokumentų, patvirtinančių šių duomenų pasikeitimą, kopijos.
Jeigu kopijos siunčiamos paštu, tuomet jos turi būti patvirtintos teisės aktų nustatyta tvarka.
[4] Pasirinkti tinkamą: jei duomenys gauti iš paties duomenų subjekto, nurodomas 13 straipsnis, jei iš kitų asmenų – 14 straipsnis.
[5] Šiame punkte pateikiami asmens duomenų tvarkymo tikslai, nurodyti Departamento asmens duomenų tvarkymo veiklos įrašuose.
[6] Šiame punkte pateikiamas tvarkomų asmens duomenų (asmens duomenų kategorijų) sąrašas, nurodytas Departamento asmens duomenų tvarkymo veiklos įrašuose.
[7] Šiame punkte pateikiamas asmens duomenų tvarkymo pagrindas, nurodytas Departamento asmens duomenų tvarkymo veiklos įrašuose.
[8] Atsižvelgus į duomenų tvarkymo teisinį pagrindą nurodoma, ar duomenų pateikimas yra nustatytas teisės aktais, arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina vykdyti norint sudaryti sutartį, taip pat tai, ar duomenų subjektas privalo pateikti asmens duomenis, ir informacija apie galimas tokių duomenų nepateikimo pasekmes. Jeigu duomenų tvarkymo pagrindas – teisėtas Departamento ar trečiųjų asmenų interesas – aiškiai įvardijamas šis interesas.
[9] Šiame punkte pateikiamas asmens duomenų kilmės šaltinis ir, jeigu taikoma, parašoma, ar duomenys gauti iš viešai prieinamų šaltinių.
[10] Šiame punkte pateikiami duomenų gavėjai (jų kategorijos), nurodyti Departamento duomenų tvarkymo veiklos įrašuose.
[11] Ši pastraipa yra rašoma tik tada, kai duomenys yra tvarkomi gavus sutikimą.
[12] Šiame punkte pateikiamas asmens duomenų saugojimo laikotarpis, nurodytas Departamento duomenų tvarkymo veiklos įrašuose.
[13] Šiame punkte pateikiamas asmens duomenų sąrašas, kuris yra reikalingas konkrečiam duomenų tvarkymo gavus šį sutikimą tikslui (-ams), numatytam (-iems) Departamento duomenų tvarkymo veiklos įrašuose, pasiekti, pvz.: vardas (-ai) ir pavardė (-ės), gimimo data, kvalifikacija, darbo stažas ir pan.
[14] Šiame punkte pateikiami konkretūs tikslai, kuriais Departamentas naudos asmens duomenis gavęs šį sutikimą, pvz.: darbuotojų atrankos tikslu, galimam įdarbinimui atsiradus laisvai darbo vietai.
[15] Šiame punkte pateikiama, kokie konkretūs veiksmai bus atliekami su 1 punkte nurodytais duomenimis juos tvarkant 2 punkte nurodytais tikslais, pvz.: duomenų vertinimo ir analizavimo.
[16] Nurodomi duomenų gavimo šaltiniai, pvz.: pats duomenų subjektas, valstybės registrai ar informacinės sistemos, fiziniai ar juridiniai asmenys.
[17] Šiame punkte įvardijami duomenų gavėjai, kuriems, gavus šį sutikimą, būtų perduodami duomenys.