7.1. Duomenų subjektas – asmuo, kurio asmens duomenys tvarkomi Centro veikloje, o Centras yra šių asmens duomenų valdytojas arba tvarkytojas;

7.2. Inventorizacija – Centro tvarkomų asmens duomenų, jų tvarkymo tikslų, pagrindų ir kitų su Centro atliekamu asmens duomenų tvarkymu susijusių aspektų nustatymas ir įvertinimas;

7.3. Padalinys – Centro departamentas, skyrius;

7.4. Privatumo pranešimas – dokumentas, kuriame pateikta visa Reglamento (ES) 2016/679 13 ir 14 straipsniuose nurodyta privaloma informacija duomenų subjektui;

7.5. Vaizdo stebėjimas – vaizdo duomenų, susijusių su fiziniu asmeniu, tvarkymas automatinėmis vaizdo stebėjimo priemonėmis – vaizdo stebėjimo kameromis, neatsižvelgiant į tai, ar šie duomenys yra išsaugomi laikmenoje.

18.1.  asmens duomenis tvarkyti teisėtai, sąžiningai ir skaidriai;

18.2.  asmens duomenis rinkti nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau jų netvarkyti su tais tikslais nesuderinamu būdu;

18.3.  atlikti tik tas asmens duomenų tvarkymo operacijas (veiksmus), kurioms atlikti yra teisinis pagrindas;

18.4.  asmens duomenis tvarkyti tik tokios apimties, kuri būtina atliekant funkcijas tikslui pasiekti, ir nereikalauti iš asmenų pateikti tų duomenų, kurie nėra būtini Centro funkcijoms vykdyti, nekaupti ir netvarkyti perteklinių duomenų;

18.5.  saugoti asmens duomenų paslaptį (užtikrinti konfidencialumą) visą valstybės tarnybos, darbo santykių (praktikos) laikotarpį ir jam pasibaigus. Darbuotojas pasirašo Įsipareigojimą saugoti asmens duomenų paslaptį (1 priedas), kuris saugomas darbuotojo asmens byloje visą valstybės tarnybos, darbo santykių laikotarpį ir jam pasibaigus – asmens bylų saugojimo terminą, o asmenų, priimtų atlikti praktiką Centre, – praktikos sutarčių saugojimo terminą;

18.6.  užtikrinti asmens duomenų tikslumą ir, jei reikia dėl asmens duomenų tvarkymo, juos atnaujinti; netikslius ar neišsamius duomenis ištaisyti, papildyti, sunaikinti arba jų tvarkymą sustabdyti;

18.7.  nedelsdami ištaisyti ar sunaikinti netikslius asmens duomenis, duomenų subjektui pranešus, kad asmens duomenys yra pasikeitę, ir informuoti duomenų subjektą apie jo prašymu atliktus arba neatliktus veiksmus;

18.8.  asmens duomenis tvarkyti taip, kad duomenų subjekto tapatybę būtų galima nustatyti ne ilgiau, negu būtina tais tikslais, kuriais jie yra tvarkomi;

18.9.  dokumentus, kuriuose yra asmens duomenų (vidaus teisės aktus, prašymus, raštus, sutartis ir kitus dokumentus, jų kopijas ar išrašus, taip pat asmens bylas, kompiuterines laikmenas su asmens duomenimis ir kt.), elektroniniu būdu tvarkyti tik tose Centro naudojamose programose ir informacinėse sistemose, kuriose duomenys yra tvarkomi, laikantis Lietuvos Respublikoje galiojančiuose teisės aktuose nustatytų asmens duomenų apsaugos reikalavimų;

18.10. asmens duomenis saugoti teisės aktų ir šių Taisyklių nustatyta tvarka;

18.11.  asmens duomenis tvarkyti tokiu būdu, kad taikant atitinkamas fizines, technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas);

18.12. organizuoti savo darbą, kad apribotų galimybę kitiems darbuotojams ar tretiesiems asmenims sužinoti tvarkomus asmens duomenis;

18.13. nepalikti dokumentų su tvarkomais asmens duomenimis ar kompiuterio, kuriuo naudojantis galima atidaryti rinkmenas su asmens duomenimis, be priežiūros taip, kad juose esančią informaciją galėtų perskaityti darbuotojai, neturintys teisės dirbti su konkrečiais asmens duomenimis tretieji asmenys;

18.14. dokumentus laikyti taip, kad jų (ar jų fragmentų) negalėtų perskaityti tretieji asmenys;

18.15. laikytis asmens duomenų tvarkymo principų ir teisėto tvarkymo sąlygų, nustatytų Reglamente (ES) 2016/679.

30.  Centro skyriai, neįeinantys į departamentų sudėtį, ir jiems nepriskirti darbuotojai, kurie savo veikloje tvarko asmens duomenis, privalo vykdyti inventorizaciją.

31.  Inventorizacija atliekama raštu ne rečiau kaip kartą per vienus metus arba pasikeitus Centro duomenų tvarkymo procesams ir (ar) asmens duomenų tvarkymą reglamentuojantiems teisės aktams.

32.  Atliekant inventorizaciją turi būti nustatyta: asmens duomenų tvarkymo tikslai, pagrindai, šaltiniai, duomenų subjektų kategorijos, tvarkomų asmens duomenų kategorijos, asmens duomenų gavėjai, saugojimo laikotarpis, už asmens duomenų tvarkymą atsakingi asmenys. Atliekant inventorizaciją konsultuojamasi su DAP.

33.  Inventorizacijos rekomenduojama forma skelbiama Centro intraneto svetainėje.

34.  Centro skyriai, neįeinantys į departamentų sudėtį, ir jiems nepriskirti darbuotojai, kurie savo veikloje tvarko asmens duomenis, inventorizacijos rezultatus Centro DVS teikia susipažinti DAP.

35.  Inventorizacijos rezultatai skelbiami Centro intraneto svetainėje. Už inventorizacijos rezultatų paskelbimą yra atsakingas DAP.

36.  Centre ne rečiau kaip kartą per metus atliekamos asmens duomenų tvarkymo atitikties Reglamento (ES) 2016/679 reikalavimams patikros. Už šias patikras yra atsakingas DAP.

37.  Patikros metu tikrinama, ar Centre vykdoma asmens duomenų tvarkymo veikla atitinka duomenų tvarkymo veiklos įrašus. Atliekant patikrą tikrinamos ne mažiau kaip 3 duomenų tvarkymo veiklos. Patikroms atlikti DAP gali pasitelkti Centro darbuotojus.

38.  DAP kasmet teikia siūlymus Centro Kokybės vadybos ir komunikacijos skyriui dėl Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos kokybės vadybos sistemos vidaus auditų programoje numatytų auditų apimties nustatymo, numatant papildomą proceso dalyvių veiklos vertinimą dėl Reglamento (ES) 2016/679 laikymosi.

39.  Atliktos patikros rezultatai yra įforminami išvada, kurioje nurodoma, ar Centro vykdoma asmens duomenų tvarkymo veikla atitinka duomenų tvarkymo veiklos įrašus, nurodomi trūkumai, jeigu tokių nustatoma, ir pateikiamos rekomendacijos, kaip juos ištaisyti. Patikros išvada teikiama Centro direktoriui rezoliucijai.

40.  Kiekvienas Centro skyrius, neįeinantis į departamentų sudėtį, ir jam nepriskirtas darbuotojas, kuris savo veikloje tvarko asmens duomenis, privalo tvarkyti duomenų tvarkymo veiklos, už kurią jis atsakingas, įrašus.

41.  Centro vykdoma asmens duomenų tvarkymo veikla privalo atitikti duomenų tvarkymo veiklos įrašuose nurodytą veiklą, tvarkomi tik duomenų tvarkymo veiklos įrašuose nurodyti asmens duomenys ir tik nurodytu tikslu bei teisiniu pagrindu.

42.  Duomenų tvarkymo veiklos įrašai turi būti teisingi, aktualūs ir išsamūs, atspindėti realią Centro asmens duomenų tvarkymo veiklą.

43.  Darbuotojas parengtą duomenų tvarkymo veiklos įrašą privalo DVS priemonėmis suderinti su DAP. Duomenų tvarkymo veiklos įrašus tvirtina Centro direktorius.

44.  Duomenų tvarkymo veiklos įrašo rekomenduojama forma skelbiama Centro intraneto svetainėje.

45.  Duomenų tvarkymo veiklos įrašuose nurodoma Reglamento (ES) 2016/679 30 straipsnio 1 dalyje nurodyta informacija, kurioje aprašoma Centro asmens duomenų tvarkymo veikla, už kurią jis atsako kaip duomenų valdytojas, ir Reglamento (ES) 2016/679 30 straipsnio 2 dalyje nurodyta informacija, kurioje aprašoma Centro asmens duomenų tvarkymo veikla, už kurią jis atsako kaip duomenų tvarkytojas.

46.  Nustačius, kad patvirtintas duomenų tvarkymo veiklos įrašas neatitinka praktiškai atliekamo Centro asmens duomenų tvarkymo, pasikeitus asmens duomenų tvarkymą reglamentuojantiems teisės aktams, diegiant struktūrinius, technologinius ar kitokius pakeitimus, susijusius su asmens duomenų tvarkymu, nedelsiant informuojamas DAP ir parengiamas naujas duomenų tvarkymo veiklos įrašas.

47.  DAP įvertina, ar duomenų tvarkymo veiklos įraše pateikta visa Taisyklių 45 punkte nurodyta informacija, teikia siūlymus ar pastabas dėl įrašo tikslinimo.

48.  Kartu su duomenų tvarkymo veiklos įrašu Taisyklių 77–79 punktuose nustatyta tvarka yra rengiamas privatumo pranešimas duomenų subjektui.

49.  Duomenų tvarkymo veiklos įrašai viešai neskelbiami ir teikiami tik Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) jos prašymu.

50.  Centras, prieš pradėdamas vykdyti naują (-as) duomenų tvarkymo operaciją (-as) arba pasikeitus vykdomos operacijos pobūdžiui, mastui ir pan., privalo atlikti poveikio duomenų apsaugai vertinimą:

51.  Kriterijai, į kuriuos atsižvelgiama priimant sprendimą, kad duomenų tvarkymo operacijos (veiksmai) gali kelti didelį pavojų fizinių asmenų teisėms ir laisvėms, yra šie:

52.  Kuo daugiau Taisyklių 51 punkte nustatytų kriterijų atitinka duomenų tvarkymo operacija (veiksmas), tuo didesnė tikimybė, kad tokia operacija (veiksmas) gali kelti didelį pavojų fizinių asmenų teisėms ir laisvėms. Dėl būtinybės atlikti poveikio duomenų apsaugai vertinimą konsultuojamasi su DAP.

53.  Jeigu duomenų tvarkymo operacija (veiksmas) atitinka du ar daugiau Taisyklių 51 punkte nustatytų kriterijų, tačiau laikoma, kad tokia operacija (veiksmas) negali kelti didelio pavojaus duomenų subjektų teisėms ir laisvėms, toks sprendimas ir jo argumentai išdėstomi raštu ir kartu su DAP nuomone DVS pateikiami Centro direktoriui.

54.  Už poveikio duomenų apsaugai vertinimo atlikimą atsakingas (-i) padaliniui nepriskirtas (-i) darbuotojas (-ai) ir (ar) Centro padalinio (‑ių), kuris (-ie) tvarkys asmens duomenis arba inicijuoja duomenų tvarkymo operacijos (veiksmo) poreikį, vadovas (-ai). Jeigu Centro žmogiškųjų, laiko ar kitų išteklių nepakanka, kad poveikio duomenų apsaugai vertinimas būtų atliktas tinkamai, gali būti pasitelkiami išorės konsultantai, specialistai, ekspertai (teisės, informacinių technologijų, kibernetinio saugumo, etikos ir kitų sričių).

55.  Poveikio duomenų apsaugai vertinimas atliekamas raštu. Panašių didelį pavojų keliančių duomenų tvarkymo operacijų (veiksmų) sekai išnagrinėti galima atlikti vieną poveikio duomenų apsaugai vertinimą. Įvertinime privalo būti pateikta bent jau Reglamento (ES) 2016/679 35 straipsnio 7 dalyje nurodyta informacija. Atlikdami poveikio duomenų apsaugai vertinimą darbuotojai konsultuojasi su DAP.

56.  Poveikio duomenų apsaugai vertinimo ataskaitos rekomenduojama forma skelbiama Inspekcijos interneto svetainėje. Poveikio duomenų apsaugai vertinimui dokumentuoti gali būti naudojamos ir kitos formos ar įrankiai (pavyzdžiui, programa „PIA“ ir kt.).

57.  Jeigu, atsižvelgiant į numatomos duomenų tvarkymo operacijos (veiksmo) pobūdį, yra įmanoma, Centras siekia išsiaiškinti duomenų subjektų ar jų atstovų nuomonę apie numatomą duomenų tvarkymą, nepažeisdamas komercinių, viešųjų interesų apsaugos ir duomenų tvarkymo operacijų (veiksmų) saugumo reikalavimų.

58.  Poveikio duomenų apsaugai vertinimą atlikęs Centro padalinys (-iai) ir (ar) padaliniui nepriskirtas (-i) darbuotojas (-ai) ataskaitą DVS pateikia tvirtinti Centro direktoriui. Su patvirtinta ataskaita supažindinami atitinkamos informacinės sistemos saugos įgaliotinis, DAP ir už sprendimo dėl vertinamos duomenų tvarkymo operacijos (veiksmo) priėmimą ir jo įgyvendinimą atsakingi asmenys.

59.  Prieš pradėdamas duomenų tvarkymo operacijas (veiksmus), kurios gali kelti didelį pavojų fizinių asmenų teisėms ir laisvėms, Centras Išankstinių konsultacijų teikimo taisyklių, patvirtintų Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-84(1.12.E) „Dėl Išankstinių konsultacijų teikimo taisyklių patvirtinimo“, 2 punkte nustatytais atvejais privalo konsultuotis su Inspekcija.

60.  Duomenų tvarkymo operacijos (veiksmai), kurios gali kelti didelį pavojų fizinių asmenų teisėms ir laisvėms, gali būti atliekamos tik tada, kai Centras visiškai ir tinkamai įgyvendina Inspekcijos rekomendacijas, nurodymus ir priemones, gautus išankstinės konsultacijos metu.

61.  Prekės ir (ar) paslaugos, susijusios su duomenų tvarkymu tokiu būdu, kuris gali kelti didelį pavojų fizinių asmenų teisėms ir laisvėms, gali būti perkamos tik tada, jeigu tam tikros prekės ir (ar) paslaugos pardavėjas yra atlikęs poveikio duomenų apsaugai vertinimą, Centrui yra pateikta susipažinti tokio vertinimo išvada ir pardavėjas patvirtina, kad jo prekė ar paslauga atitinka Reglamento (ES) 2016/679 reikalavimus.

62.  Kai duomenų tvarkymo pobūdis, aprėptis, kontekstas ir tikslai yra labai panašūs į duomenų tvarkymą, kurio poveikis duomenų apsaugai buvo įvertintas, galima iš naujo nevertinti poveikio duomenų apsaugai, o atsižvelgti į dėl panašaus duomenų tvarkymo atliktą poveikio duomenų apsaugai vertinimą.

63.  Įgyvendinant duomenų subjekto teises vadovaujamasi Reglamentu (ES) 2016/679 ir ADTAĮ.

64.  Duomenų subjektas turi šias Reglamente (ES) 2016/679 įtvirtintas teises:

65.  Centras imasi visų būtinų priemonių, kad visos duomenų subjekto teisės būtų tinkamai įgyvendintos. Duomenų subjekto teisių įgyvendinimo tvarka nustatyta Reglamente (ES) 2016/679 ir šiose Taisyklėse.

66.  Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Centro valdomose informacinėse sistemose tvarką nustato Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos valdomose informacinėse sistemose tvarkos aprašas, patvirtintas Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos direktoriaus 2023 m. kovo 13 d. įsakymu Nr. VKE-73 „Dėl Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos valdomuose informacinėse sistemose tvarkos aprašo patvirtinimo“ ir atitinkamos informacinės sistemos nuostatai.

67.  Dėl duomenų valdytojo ar duomenų tvarkytojo veiksmų ar neveikimo įgyvendinant duomenų subjekto teises duomenų subjektui rekomenduojama kreiptis į DAP.

68.  Duomenų valdytojo ir duomenų tvarkytojo veiksmus ar neveikimą, kuriais pažeidžiamos Reglamento (ES) 2016/679 ir (ar) ADTAĮ nuostatos, duomenų subjektas arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento (ES) 2016/679 80 straipsnio reikalavimus, turi teisę skųsti Inspekcijai ar žurnalistų etikos inspektoriui, taip pat Vilniaus apygardos administraciniam teismui.

69.  Centras privalo informuoti duomenų subjektą apie jo asmens duomenų tvarkymą. Centro darbuotojams informacija apie Centre atliekamą jų asmens duomenų tvarkymą pateikiama priėmimo į darbą (praktiką) metu, Centro intraneto ar interneto svetainėje, Centro parengtuose teisės aktuose, kuriuose numatytas atitinkamas darbuotojų asmens duomenų tvarkymas. Darbuotojai gali būti informuojami ir kitais būdais atsižvelgus į vykdomų duomenų tvarkymo veiksmų pobūdį ir operacijos specifiką.

70.  Kai asmens duomenys gaunami iš paties duomenų subjekto, duomenų subjektui pateikiama informacija apie asmens duomenų tvarkymą, nurodyta Reglamento (ES) 2016/679 13 straipsnyje. Informacija duomenų subjektui pateikiama prieš gaunant jo asmens duomenis arba jų gavimo metu.

71.  Taisyklių 70 punkte nurodyta informacija neteikiama, jeigu duomenų subjektas tą informaciją jau turi ir tiek, kiek jos turi.

72.  Kai asmens duomenys gaunami ne iš paties duomenų subjekto, Centras privalo duomenų subjektui pateikti Reglamento (ES) 2016/679 14 straipsnyje nurodytą informaciją apie asmens duomenų tvarkymą.

73.  Taisyklių 72 punkte nurodyta informacija duomenų subjektui pateikiama:

74.  Taisyklių 72 punktas netaikomas, jeigu ir tiek, kiek:

75.  Informacija apie Centre atliekamą asmens duomenų tvarkymą duomenų subjektui gali būti pateikiama raštu, telefonu, elektroninėmis priemonėmis asmens duomenų gavimo metu, Centro interneto svetainėje www.nvsc.lrv.lt skiltyje „Asmens duomenų apsauga“, pateikiant informaciją Taisyklėse, teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą ir duomenų subjekto teisių įgyvendinimą, Centre esančiuose informaciniuose stenduose, Centro leidžiamuose informaciniuose leidiniuose, informaciniame pranešime apie vaizdo įrašymą, retransliavimą kompiuterio, kuriuo naudojasi duomenų subjektas, ekrane, skrajutėse, elektroniniu paštu, asmeniškai ir pan.

76.  Jei Centras ketina toliau tvarkyti asmens duomenis kitu tikslu, negu tas, kuriuo jie buvo renkami, prieš toliau tvarkydamas asmens duomenis, Centras pateikia duomenų subjektui informaciją apie kitą tikslą ir informaciją, nurodytą Taisyklių 70 ir (ar) 72 punktuose.

77.  Duomenų subjektas yra informuojamas privatumo pranešimu. Rekomenduojama privatumo pranešimo forma skelbiama Centro intraneto svetainėje.

78.  Privatumo pranešimus duomenų subjektams rengia Centro padaliniai ir padaliniams nepriskirti darbuotojai, kurie savo veikloje atlikdami padalinio nuostatuose ar pareigybės aprašyme nustatytas funkcijas rengia duomenų tvarkymo veiklos įrašus. Jei veiklos įrašas nerengiamas privatumo pranešimą rengia Centro padalinys ir padaliniams nepriskirtas darbuotojas, kuris renka ir tvarko to duomenų subjekto duomenis.

79.  Privatumo pranešimai, skirti darbuotojams, pateikiami Taisyklių 75 punkte nurodytu priimtinu būdu bei visais atvejais skelbiami Centro intraneto svetainės skyriuje „Asmens duomenų apsauga“. Privatumo pranešimai, skirti kitiems duomenų subjektams, pateikiami Taisyklių 75 punkte nurodytu priimtinu būdu, bet visais atvejais skelbiami Centro interneto svetainėje skyriuje „Asmens duomenų apsauga“. Privatumo pranešimus Centro intraneto svetainės skyriuje „Asmens duomenų apsauga“ ir interneto svetainės skyriuje „Asmens duomenų apsauga“ skelbia DAP.

80.  Už duomenų subjekto informavimą atsakingas Centro padalinys ir padaliniams nepriskirtas darbuotojas, kuris renka ir tvarko to duomenų subjekto duomenis. Dėl informavimo pareigos tinkamo vykdymo konsultuojamasi su DAP.

81.     Duomenų subjektai, siekdami įgyvendinti savo Reglamento (ES) 2016/679 15–22 straipsniuose įtvirtintas teises, Centrui turi pateikti rašytinį prašymą asmeniškai, paštu ar per kurjerį, ar elektroninių ryšių priemonėmis. Kreipiantis dėl duomenų subjekto teisių įgyvendinimo, rekomenduojama pateikti Taisyklių 2 priede nurodytos formos Prašymą įgyvendinti duomenų subjekto teisę (-es).

82.     Visi raštu, įskaitant elektroninę formą, Centrui pateikti prašymai turi būti įskaitomi, duomenų subjekto pasirašyti. Juose turi būti nurodyti duomenų subjekto vardas, pavardė, adresas ir (ar) kiti kontaktiniai duomenys ryšiui palaikyti, kuriais pageidaujama gauti atsakymą ir informaciją apie tai, kokią iš Taisyklėse nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti. Centrui pagrįstai pareikalavus turi būti pateiktas asmens kodas.

83.     Duomenų subjektas Reglamento (ES) 2016/679 15–22 straipsniuose įtvirtintas teises gali įgyvendinti per atstovą. Atstovas prašyme turi nurodyti savo vardą, pavardę, adresą ir (ar) kitus kontaktinius duomenis ryšiui palaikyti, kuriais asmens atstovas pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę, informaciją apie tai, kokias Reglamento (ES) 2016/679 15–22 straipsniuose nurodytas teises ir kokios apimties pageidauja įgyvendinti, bei pateikti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą teisės aktų nustatyta tvarka. Atstovas, pateikdamas prašymą, privalo patvirtinti tapatybę Taisyklių 84 punkte nustatyta tvarka. Centrui pagrįstai pareikalavus turi būti pateiktas atstovaujamojo asmens kodas.

84.     Duomenų subjektas, siekdamas įgyvendinti Reglamento (ES) 2016/679 15–22 straipsniuose įtvirtintas teises, privalo patvirtinti savo tapatybę (išskyrus įgyvendindamas teisę gauti informaciją):

85.     Duomenų subjektas, siekiantis įgyvendinti savo teises, susijusias su Reglamento (ES) 2016/679 9 straipsnyje nurodytais specialiųjų kategorijų asmens duomenimis arba susijusias su asmens duomenimis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, teikdamas prašymą paštu arba per pasiuntinį, kartu turi pateikti asmens tapatybę patvirtinančio dokumento kopiją.

86.     Duomenų subjektui prašymą pateikus paštu ar per pasiuntinį, atsakymas su prašomais dokumentais ar duomenimis įteikiamas duomenų subjektui asmeniškai registruotąja pašto siunta arba siunčiamas per E. pristatymą.

87.     Esant abejonių dėl duomenų subjekto tapatybės, Centras turi teisę paprašyti papildomos informacijos, reikalingos ja įsitikinti.

88.     Jeigu prašymas pateiktas nesilaikant Taisyklių 82–85 punktuose nustatytos tvarkos ir reikalavimų, jis nenagrinėjamas, o duomenų subjektas apie tai informuojamas nedelsiant, bet ne vėliau kaip per 10 darbo dienų nuo prašymo gavimo dienos, nurodant prašymo nenagrinėjimo priežastis.

89.     Duomenų subjektui atsakymas, informuojantis apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą, pateikiamas ne vėliau kaip per vieną mėnesį nuo prašymo gavimo Centre dienos. Šis terminas gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į gauto prašymo sudėtingumą ir prašymų skaičių, apie tokį pratęsimą informuojant duomenų subjektą ir nurodant priežastis, dėl kurių terminas pratęstas. Jeigu prašymo nagrinėjimo metu duomenų subjektas prašymą patikslina arba suformuluoja iš esmės naują prašymą, nagrinėjimo terminas skaičiuojamas nuo patikslinto (papildyto) prašymo gavimo dienos.

90.     Nagrinėjant duomenų subjekto prašymą įvertinama, ar prašomos įgyvendinti duomenų subjekto teisės, vadovaujantis Reglamento (ES) 2016/679 23 straipsniu, neturi būti visiškai arba iš dalies apribotos dėl įstatymuose ir juos įgyvendinančiuose poįstatyminiuose teisės aktuose nustatytų atvejų, kai reikia užtikrinti valstybės saugumą ar gynybą, viešąją tvarką, nusikalstamų veikų prevenciją, tyrimą, nustatymą ar baudžiamąjį persekiojimą, svarbius valstybės ekonominius ar finansinius interesus, tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą, duomenų subjekto ar kitų asmenų teisių ir laisvių apsaugą.

91.     Centras atsakymą pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikia aiškiai ir suprantamai, valstybine kalba.

92.     Jei pagal duomenų subjekto prašymą asmens duomenys yra ištaisomi, ištrinami ar jų tvarkymas yra apribojamas, prašymą išnagrinėjęs darbuotojas privalo apie tai informuoti kitus duomenų tvarkytojus, kuriems tokie duomenys buvo teikiami.

93.     Visi veiksmai pagal duomenų subjekto prašymą įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama neatlygintinai. Vadovaujantis Reglamento (ES) 2016/679 12 straipsnio 5 dalimi, Centras turi teisę atsisakyti imtis veiksmų pagal duomenų subjekto prašymą, raštu nurodydamas tokio atsisakymo priežastis ir motyvus, jeigu prašymas yra nepagrįstas arba duomenų subjekto teisių įgyvendinimas sudarytų Centrui neproporcingai didelę naštą.

94.     Centras, įgyvendindamas duomenų subjekto teises, užtikrina, kad nebūtų pažeista kitų asmenų teisė į privataus gyvenimo neliečiamumą, nebūtų daromas neigiamas poveikis kitų asmenų teisėms ir laisvėms, kaip tai numato Reglamentas (ES) 2016/679. Jeigu duomenų, kurie teikiami duomenų subjektui, kopijose yra trečiųjų asmenų asmens duomenys, jie, kai būtina, turi būti neatskleidžiami, teikiamas šių dokumentų išrašas arba imamasi kitų priemonių, kad duomenų subjektui nebūtų pateikti trečiųjų asmenų asmens duomenys.

95.     Tiek, kiek duomenų subjektų teisių įgyvendinimo nereglamentuoja Taisyklės ir Taisyklių 5 punkte nurodyti teisės aktai, taikomos Asmenų prašymų ir skundų nagrinėjimo viešojo administravimo subjektuose taisyklės, patvirtintos Lietuvos Respublikos Vyriausybės 2007 m. rugpjūčio 22 d. nutarimu Nr. 875 „Dėl Asmenų prašymų ir skundų nagrinėjimo viešojo administravimo subjektuose taisyklių patvirtinimo“ (toliau – Prašymų ir skundų nagrinėjimo taisyklės) ir Asmenų aptarnavimo Nacionaliniame visuomenės sveikatos centre prie Sveikatos apsaugos ministerijos tvarkos aprašas, patvirtintas Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos direktoriaus 2022 m. balandžio 8 d. įsakymu Nr. VKE-163 „Dėl Asmenų aptarnavimo Nacionaliniame visuomenės sveikatos centre prie Sveikatos apsaugos ministerijos tvarkos aprašo patvirtinimo“ (toliau – Asmenų aptarnavimo tvarkos aprašas).

96.     Centro veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti Taisyklių 68 punkte nustatyta tvarka.

97.1.  duomenų subjektui paprašius ar sutikus;

97.2.  kai pareiga teikti asmens duomenis Centrui kyla pagal teisės aktų reikalavimus;

97.3.  kai teisė gauti asmens duomenis nustatyta duomenų gavėjo veiklą reglamentuojančiuose teisės aktuose ar yra kita Reglamento (ES) 2016/679 6 straipsnio 1 dalyje nustatyta teisėto duomenų tvarkymo sąlyga.

100.1.  konkretų ir aiškiai apibrėžtą duomenų gavimo tikslą;

100.2.  jeigu yra, duomenų tvarkymo (gavimo) teisinį pagrindą, įtvirtintą Lietuvos Respublikos arba Europos Sąjungos teisės aktuose, ir konkrečią jų nuostatą, suteikiančią teisę gauti asmens duomenis;

100.3.  duomenų tvarkymo (gavimo) teisėtą sąlygą, įtvirtintą Reglamento (ES) 2016/679 6 straipsnio 1 dalyje arba 9 straipsnio 2 dalyje, kuria vadovaujantis suteikiama teisė gauti asmens duomenis;

100.4.  duomenų teisėto tvarkymo (teikimo) sąlygą, įtvirtintą Reglamento (ES) 2016/679 6 straipsnio 1 dalyje arba 9 straipsnio 2 dalyje, kuria vadovaudamasis Centras turi teisę pateikti šiuos duomenis trečiajam asmeniui;

100.5.  konkrečią prašomų duomenų apimtį, t. y. kokių konkrečių duomenų prašoma: vardo, pavardės, paskirtos išmokos dydžio ir pan. Prašymai pateikti visą turimą informaciją apie asmenį nelaikytini konkrečiais;

100.6.  jei duomenis pateikti prašoma vadovaujantis Reglamento (ES) 2016/679 6 straipsnio 1 dalies e arba f punktais, t. y. kai duomenis tvarkyti (teikti) reikia siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas arba teikti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų apsaugos, prašyme turi būti išsamiai pagrįsta, kodėl šių asmenų interesai yra viršesni už duomenų subjekto teises ir laisves.

101.1.  įvertinti, ar prašyme nurodytas asmens duomenų naudojimo tikslas yra konkretus ir teisėtas (nurodymas, kad duomenys reikalingi nagrinėjant bylą ar teikiant ieškinį, paprastai nelaikomas konkrečiu tikslu);

101.2.  įvertinti, ar duomenų gavėjas pagrįstai remiasi prašyme nurodytu gavimo ir teikimo teisiniu pagrindu bei teisėta duomenų teikimo ir gavimo sąlyga, įtvirtinta Reglamento (ES) 2016/679 6 straipsnio 1 dalyje arba 9 straipsnio 2 dalyje;

101.3.  kai duomenis pateikti prašoma remiantis Reglamento (ES) 2016/679 6 straipsnio 1 dalies e arba f punktais, įvertinti, ar gavėjo interesai tikrai yra svarbesni už duomenų subjekto teises ir laisves;

101.4.  įvertinti, ar prašomų pateikti duomenų apimtis nėra per didelė nurodytam tikslui pasiekti;

101.5.  kai duomenis teikti prašoma vadovaujantis Reglamento (ES) 2016/679 6 straipsnio 1 dalies e arba f punktais, prašymą nagrinėjantis Centro darbuotojas teikdamas asmens duomenis rengiamame atsakymo projekte privalo nurodyti, kad prašymą pateikęs duomenų valdytojas privalo imtis priemonių duomenų subjektui informuoti apie prašymą ir sudaryti jam galimybę prieštarauti jo asmens duomenų teikimui.

109.1.  atlieka Reglamento (ES) 2016/679) 39 straipsnyje nustatytas užduotis;

109.2.  informuoja Centro direktorių apie bet kokias neatitiktis, pažeidimus asmens duomenų apsaugos srityje, kuriuos DAP nustato vykdydamas savo funkcijas;

109.3.  konsultuoja Centro darbuotojus, tvarkančius asmens duomenis, asmens duomenų teisinės apsaugos klausimais;

109.4. užtikrina slaptumą ir (ar) konfidencialumą, susijusį su jo užduočių vykdymu, laikydamasis teisės aktų reikalavimų;

109.5. pasibaigus kalendoriniams metams rengia veiklos metinę ataskaitą už praėjusius kalendorinius metus, kurią iki vasario 1 d. pateikia Centro direktoriui;

109.6.  vykdo kitas pareigybės aprašyme nustatytas funkcijas.

110.1.  atlikdamas jam nustatytas užduotis yra nepriklausomas, t. y. neturi gauti jokių nurodymų dėl šių užduočių atlikimo, ir yra tiesiogiai atskaitingas Centro direktoriui;

110.2.  gali pasitelkti kitus Centro darbuotojus DAP užduotims atlikti;

110.3.  turi būti tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą Centre.

113.1.  asmens duomenų konfidencialumą – apsaugą nuo nesankcionuoto atskleidimo;

113.2.  asmens duomenų vientisumą – apsaugą nuo nesankcionuoto ar atsitiktinio pakeitimo;

113.3.  asmens duomenų prieinamumą – užtikrinimą, kad Centre asmens duomenys prieinami tada, kai jie yra reikalingi.

114.1.  užtikrinti tinkamą ir efektyvų asmens duomenų valdymą, siekiant išvengti veiklos sutrikdymo dėl asmens duomenų konfidencialumo, vientisumo ar prieinamumo pažeidimo ir įgyvendinant gerąją praktiką atitinkančias technines ir organizacines priemones;

114.2.  užtikrinti atitiktį duomenų saugą reglamentuojančių teisės aktų reikalavimams, atliekant kasmetinį atitikties vertinimą ir šalinant nustatytus trūkumus;

114.3.  užtikrinti efektyvų rizikos valdymą ir tinkamų rizikos valdymo priemonių naudojimą, siekiant sumažinti riziką iki priimtino lygio, atliekant kasmetinį rizikos vertinimą ir įgyvendinant rizikos valdymo priemones;

114.4.  užtikrinti Centro valdomų valstybės informacinių sistemų veiklos tęstinumą, atliekant periodinį veiklos tęstinumo valdymo plano veiksmingumo išbandymą ir jo peržiūrą.

115.1.  vadovaujantis teisės aktuose nustatytais informacijos saugos, kibernetinio saugumo ir asmens duomenų apsaugos reikalavimais;

115.2.  atsižvelgiant į Centro veiklos tikslus ir veiklos reikalavimus;

115.3.  atsižvelgiant į informacijos saugą reglamentuojančiuose teisės aktuose, duomenų teikimo, tvarkymo ar kitokio pobūdžio sutartyse nustatytus suinteresuotų šalių lūkesčius ir poreikius;

115.4.  vertinant duomenų saugos riziką.

117.1.  nustato bendruosius duomenų saugos valdymo tikslus;

117.2.  nustato duomenų saugos tobulinimo uždavinius ir priemones ir juos įtraukia į veiklos planavimo dokumentus;

117.3.  laikosi Lietuvos Respublikoje galiojančiuose teisės aktuose ir sutartyse nustatytų pareigų duomenų saugos srityje;

117.4.  užtikrina reikiamų išteklių suteikimą;

117.5.  sudaro sąlygas darbuotojams plėsti žinias duomenų saugos srityje.

121.1.  asmens duomenų saugumo politika ir procedūromis;

121.2.  vaidmenimis ir atsakomybėmis;

121.3.  prieigų prie asmens duomenų valdymo politika;

121.4.  išteklių ir turto valdymu;

121.5.  keitimų valdymu;

121.6.  duomenų tvarkytojais;

121.7.  asmens duomenų saugumo pažeidimais ir kitais incidentais;

121.8.  veiklos tęstinumu;

121.9.  personalo pareigos užtikrinti konfidencialumą vykdymu;

121.10.  personalo mokymais;

121.11.  prieigų prie asmens duomenų kontrole ir autentifikavimu;

121.12.  techninių žurnalų įrašais ir stebėsena;

121.13.  tarnybinių stočių ir duomenų bazių apsauga;

121.14.  darbo vietų apsauga;

121.15.  tinklo ir komunikacijos sauga;

121.16.  atsarginėmis kopijomis;

121.17.  mobiliaisiais (nešiojamaisiais) įrenginiais;

121.18.  programinės įrangos sauga;

121.19.  duomenų naikinimu, šalinimu;

121.20.  fizine sauga.

127. Centre gali būti tvarkomi tik tie darbuotojų asmens duomenys, dėl kurių tvarkymo darbuotojas sutiko, kurie yra būtini valstybės tarnybos ar darbo santykiams (praktikai) užtikrinti, susitarimui su darbuotoju sudaryti ir vykdyti, teisės aktuose nustatytoms Centro teisinėms prievolėms, funkcijoms ir (ar) užduotims atlikti, Centro teisėtam interesui apsaugoti. Darbuotojų asmens duomenų tvarkymo tikslai nurodyti duomenų tvarkymo veiklos įrašuose.

128. Centre draudžiama tvarkyti su valstybės tarnyba, darbo santykiais (praktika) ir (ar) darbuotojų teisių įgyvendinimu nesusijusius (perteklinius) darbuotojų asmens duomenis, taip pat pateikti darbuotojų asmens duomenis trečiosioms šalims (įskaitant kitus Centro darbuotojus, kuriems asmens duomenys nėra reikalingi funkcijoms atlikti), išskyrus teisės aktuose nustatytus atvejus.

129. Darbuotojai apie jų asmens duomenų tvarkymą yra informuojami Taisyklių nustatyta tvarka, skelbiant privatumo pranešimus Centro intraneto svetainėje arba DVS priemonėmis supažindinant su Centro priimtais teisės aktais.

130. Draudžiama tvarkyti pretendento į pareigas (toliau – pretendentas) ir darbuotojo asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, išskyrus atvejus, kai šie asmens duomenys būtini patikrinti, ar asmuo atitinka įstatymuose nustatytus reikalavimus pareigoms eiti.

131. Pretendento asmens duomenis apie jo kvalifikaciją, profesinius gebėjimus ir (ar) dalykines savybes galima rinkti iš buvusio darbdavio prieš tai informavus pretendentą, o iš esamo darbdavio – tik gavus pretendento sutikimą.

132. Pretendento, neatrinkto eiti pareigas, asmens duomenys saugomi ne ilgiau negu vienus metus po priėmimo procedūros pabaigos termino. Ilgesnį terminą tokie asmens duomenys gali būti saugomi tik tada, jeigu yra kitas teisinis pagrindas ilgiau saugoti asmens duomenis.

133. Jeigu darbuotojas naudoja kompiuterį, telefoną ir (ar) kitą Centro suteiktą įrangą, prietaisus, įtaisus, informacines ir komunikacines technologijas, programinę įrangą asmeniniais tikslais, juose kaupia asmeninio pobūdžio informaciją ir asmens duomenis, jis prisiima riziką, kad tokią informaciją, įskaitant asmens duomenis, Centras gali sužinoti per atliktą Taisyklių 135 punkte nurodytą patikrinimą. Centras neužtikrina darbuotojų asmeninės informacijos konfidencialumo darbuotojams asmeniniais tikslais naudojant elektroninį paštą, interneto ryšį, socialinius tinklus ir (ar) kitas informacines ir komunikacines technologijas bei programinę įrangą.

134. Draudžiama vykdyti Centro darbuotojui suteikto kompiuterio, elektroninio pašto ir kitų Centro įrenginių, prietaisų, įtaisų, informacinių ir komunikacinių technologijų, programinės įrangos stebėjimą, išskyrus Taisyklių 135 punkte nustatytais atvejais ir tvarka.

135. Centro darbuotojams suteiktos darbo priemonės, įranga, įskaitant elektroninio pašto dėžutę, kompiuterius, mobiliuosius telefonus, juose esantys asmens duomenys, kiti duomenys ir informacija gali būti tikrinami esant šioms sąlygoms:

136. Taisyklių 135 punkte nurodyto patikrinimo apimtis yra ribojama, t. y. aiškiai apibrėžiamas tikrinamas laikotarpis arba objektas, pavyzdžiui, tikrinamas tam tikro projekto vykdymas, arba kitos aplinkybės, leidžiančios aiškiai nustatyti tikrinimo ribas, pavyzdžiui, tikrinamas konkrečių funkcijų atlikimas, ir tikrinama tik tiek, kiek yra būtina Taisyklėse išdėstytoms aplinkybėms išsiaiškinti ir Centro interesams apginti. DAP teikia konsultacijas, kad patikrinimu nebūtų pažeistas Reglamentas (ES) 2016/679, Taisyklės ir duomenų subjektų teisė į privatumą.

137. Centro darbuotojai turi būti supažindinti su Centro teisės aktais, nustatančiais informacinių ir komunikacinių technologijų naudojimo, stebėsenos ir kontrolės darbo vietoje tvarką.

138. Centre vykdomas vaizdo stebėjimas.

139. Centras vaizdo stebėjimą Centro teisėtai valdomose patalpose ir teritorijoje vykdo šiais tikslais:

140. Centro patalpose tvarkomas tik vaizdas (be garso) iš vaizdo stebėjimo kamerų, patenkantis į vaizdo stebėjimo lauką, tai yra: pastato Kalvarijų g. 153, Vilniuje, viduje (koridoriuose), pastato išorėje ir automobilių stovėjimo aikštelėje. Stebimi visi įėjimai į pastatą iš lauko ir iš automobilių stovėjimo aikštelės bei teritorija aplink pastatą. Vaizdas iš IP vaizdo stebėjimo kamerų įrašomas į vaizdo įrašymo įrenginius.

141. Vaizdo stebėjimo kameros turi būti įrengiamos taip, kad vaizdo stebėjimas nebūtų vykdomas kitoje teritorijoje ar patalpoje, negu nurodyta Taisyklių 140 punkte. Vaizdo stebėjimas neturi apimti teritorijų ir pastatų, kurių Centras nevaldo ir nenaudoja (nedisponuoja) patikėjimo teise.

142. Vaizdo duomenys peržiūrimi realiuoju laiku ir daromas vaizdo duomenų įrašas.

143. Vaizdo stebėjimo duomenys yra saugomi 14 kalendorinių dienų. Pasibaigus nustatytam terminui, duomenys automatiniu būdu sunaikinami. Vaizdo įrašų duomenys, naudojami kaip įrodymai ikiteisminiame ar kitame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje arba kitais įstatymų nustatytais atvejais, gali būti saugomi tiek, kiek reikalinga šiais duomenų tvarkymo tikslais, ir sunaikinami nedelsiant, kai tampa nebereikalingi.

144. Centras gali pasitelkti duomenų tvarkytojus vaizdo duomenims tvarkyti.

145. Vykdant vaizdo stebėjimą draudžiama:

146.   Duomenų subjekto teisės, susijusios su vaizdo duomenų tvarkymu, įgyvendinamos Taisyklių IV skyriuje nustatyta tvarka. Įgyvendinant duomenų subjekto teisę susipažinti su savo asmens duomenimis, užtikrinama trečiųjų asmenų teisė į privatų gyvenimą, t. y. jeigu vaizdo įraše matomi kiti asmenys, kurių tapatybė gali būti nustatyta, ar kita informacija, galinti pažeisti trečiųjų asmenų privatumą, duomenų subjektui susipažįstant su vaizdo įrašu šie vaizdai turi būti retušuoti ar galimybė identifikuoti šiuos trečiuosius asmenis turi būti panaikinama kitais būdais.

147.   Duomenų subjektas apie duomenų tvarkymą vykdant vaizdo stebėjimą informuojamas informacinėmis lentelėmis su vaizdo stebėjimo kameros simboliu prieš jam patenkant į patalpas ar teritoriją, kurioje vykdomas vaizdo stebėjimas. Informacinėje lentelėje turi būti pateikta ši informacija:

148.   Už vaizdo stebėjimo sistemos vaizdo įrašų įrašymą ir ištrynimą atsakingas Informacinių technologijų valdymo skyriaus vedėjas.

149. Organizuojant Centro renginius, vaizdo konferencijas ir įgyvendinant kitas komunikacijos sklaidos priemones gali būti fotografuojama ir (ar) vykdomas vaizdo ir garso įrašymas, renkami kiti asmens duomenys.

150. Centro renginiuose, kurių metu yra numatyta filmuoti ar fotografuoti, ar rinkti kitus asmens duomenis, renginio dalyvius privaloma apie tai informuoti iš anksto jiems pateikiant Reglamento (ES) 2016/679 13 straipsnyje nurodytą informaciją. Ši informacija gali būti pateikiama įvairiomis formomis priklausomai nuo renginio pobūdžio ir numatyto dalyvių registracijos būdo, pavyzdžiui, nurodant kvietime, renginio dalyvio registracijos formoje, įteikiant informacinį lapelį, patalpinant Centro interneto svetainėje ar kituose šaltiniuose, kuriuose skelbiama apie renginį.

151. Centro organizuojamo renginio metu užfiksavus asmens atvaizdą, prieš skelbiant jį viešai (pavyzdžiui, Centro interneto svetainėje www.nvsc.lrv.lt, socialinių tinklų paskyrose) turi būti gautas duomenų subjekto sutikimas ar jo atstovo sutikimas. Jeigu dalis Centro organizuojamame renginyje dalyvavusių asmenų duoda sutikimą dėl jų atvaizdo viešo skelbimo, o dalis ne, nuotraukos ar vaizdo įrašai prieš paskelbiant viešai turi būti pakoreguoti taip, kad nebūtų galimybės nustatyti sutikimo nedavusių asmenų tapatybės.

152. Jeigu Centro organizuojamas renginys vyksta viešoje vietoje, fiksuojant panoraminį planą, kuriame neišryškinami konkretūs žmonės, duomenų subjekto sutikimo gauti nereikia. Jei filmuojami (fotografuojami) konkrečiai išskirti žmonės ir jie yra aiškiai atpažįstami, reikia gauti šių duomenų subjektų sutikimą. Visais atvejais, jei duomenų subjektas akivaizdžiai nepageidauja, kad jo atvaizdas būtų užfiksuotas (pavyzdžiui, užsidengia veidą), duomenų subjekto atvaizdas nefiksuojamas ir viešai neskelbiamas.

153. Draudžiama viešinti filmuotą medžiagą ar nuotraukas, kuriuose užfiksuotas nepilnametis asmuo, be jo atstovo pagal įstatymą sutikimo.

154. Darant posėdžių garso (garso ir vaizdo) įrašus (toliau – įrašai) užtikrinama, kad įrašų darymas ir tvarkymas atitiktų Taisyklių nuostatas.

155. Jeigu Centro padalinių, darbo grupių ar komisijų darbo tvarką nustatančiuose teisės aktuose ar kituose dokumentuose nenustatyta kitaip, įrašai:

156. Vykstant e. posėdžiui, jo dalyviai neprivalo naudoti vaizdo kamerų, jeigu nenustatyta kitaip.

157. Duomenų subjektas apie įrašo darymą ir įrašuose fiksuojamų asmens duomenų tvarkymą turi būti informuojamas prieš pradedant daryti įrašą. Už duomenų subjekto informavimą apie įrašo darymą ir įrašuose fiksuojamų asmens duomenų tvarkymą atsakingas posėdžio sekretorius ar kitas už posėdžio organizavimą atsakingas asmuo.

158. Kitos duomenų subjekto teisės, susijusios su įrašų duomenų tvarkymu, įgyvendinamos Taisyklių IV skyriuje nustatyta tvarka.

170.1.  audito ir saugos reikalavimų įgyvendinimo priemonių peržiūros vykdymas;

170.2.  asmens duomenų konfidencialumo užtikrinimas;

170.3.  asmens duomenų naudojimo ribojimas;

170.4.  galimybės stebėti asmens duomenų tvarkymą suteikimas duomenų subjektams;

170.5.  galimybės tobulinti ir įgyvendinti naujas asmens duomenų apsaugos priemones užsitikrinimas;

170.6.  kontrolės galimybė;

170.7.  kuo skubesnis duomenų anoniminimas;

170.8.  pseudonimų suteikimas;

170.9.  asmens duomenų tvarkymo skaidrumas;

170.10.  renkamo asmens duomenų kiekio ribojimas;

170.11.  tinkamas darbuotojų mokymas;

170.12.  saugių sistemų diegimas.

172.1.  standartizuotai tvarkomi tik tie duomenys, kurie yra būtini tam tikru duomenų tvarkymo tikslu;

172.2.  technologinės priemonės turi būti suprojektuotos taip, kad būtų galima išvengti nebūtino asmens duomenų tvarkymo;

172.3.  numatytos asmens duomenų apsaugos nuostatos;

172.4.  funkcionalumai, skirti asmens duomenims tvarkyti, neturi būti prieinami tiems darbuotojams, kuriems jie nėra būtini funkcijoms atlikti.