Lietuvos kariuomenės vadas
ĮSAKYMAS
DĖL LIETUVOS KARIUOMENĖS ASMENS DUOMENŲ TVARKYMO TAISYKLIŲ PATVIRTINIMO
2022 m. balandžio 5 d. Nr. V-459
Vilnius
Vadovaudamasis Lietuvos Respublikos krašto apsaugos sistemos organizavimo ir karo tarnybos įstatymo 13 straipsnio 8 dalimi, Lietuvos Respublikos krašto apsaugos ministro 2021 m. lapkričio 12 d. įsakymo Nr. V-871 „Dėl krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymo Nr. V-1253 „Dėl Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklių patvirtinimo“ pakeitimo“ 2 punktu ir įgyvendindamas Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) bei Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymą:
2. Skiriu:
2.1. Lietuvos kariuomenės Gynybos štabo Personalo valdybos J1 patarėją, jo nesant – Lietuvos kariuomenės Karo prievolės ir komplektavimo tarnybos direktoriaus pavaduotoją, o jo nesant – Lietuvos kariuomenės Karo policijos vado patarėją, duomenų apsaugos pareigūnu vykdyti Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas) bei Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatyme (toliau – Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymas) nustatytas duomenų apsaugos pareigūno funkcijas;
2.2. Lietuvos kariuomenės Karo prievolės ir komplektavimo tarnybos direktoriaus pavaduotoją duomenų apsaugos pareigūnu vykdyti Reglamente ir Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatyme nustatytas duomenų apsaugos pareigūno funkcijas, kai asmens duomenys tvarkomi nacionalinio saugumo ar gynybos tikslu, administruojant karo prievolę;
2.3. Lietuvos kariuomenės Karo policijos vado patarėją duomenų apsaugos pareigūnu vykdyti Reglamente ir Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatyme nustatytas duomenų apsaugos pareigūno funkcijas, kai asmens duomenys tvarkomi nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, taip pat apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos tikslu.
PATVIRTINTA
Lietuvos kariuomenės vado
2022 m. balandžio 5 d. įsakymu Nr. V-459
LIETUVOS KARIUOMENĖS ASMENS DUOMENŲ TVARKYMO
TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos kariuomenės asmens duomenų tvarkymo taisyklės (toliau – Taisyklės) nustato asmens duomenų tvarkymui keliamus reikalavimus, duomenų subjekto teisių įgyvendinimo tvarką, poveikio duomenų apsaugai vertinimą, Lietuvos kariuomenės (toliau – LK) darbuotojų kompetenciją, atsakomybę bei teises ir pareigas asmens duomenų tvarkymo srityje.
2. Asmens duomenys, įskaitant specialių kategorijų asmens duomenis, LK tvarkomi ir duomenų subjektų teisės įgyvendinamos vadovaujantis:
2.1. Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymu (toliau – Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymas) (asmens duomenys tvarkomi, esant šio įstatymo 7 straipsnio 1 dalyje, specialių kategorijų asmens duomenys – 8 straipsnyje nurodytam pagrindui);
2.2. Lietuvos Respublikos krašto apsaugos sistemos organizavimo ir karo tarnybos įstatymu (51 straipsnis);
2.5. Lietuvos Respublikos tarptautinių operacijų, pratybų ir kitų karinio bendradarbiavimo renginių įstatymu (31 straipsnis);
2.8. Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymu (18 straipsnio 11 dalis), kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais;
2.9. Lietuvos Respublikos karo policijos įstatymu (LK Karo policija, vykdydama šiame įstatyme numatytą veiklą, vadovaudamasi 9 straipsniu renkamus asmens duomenis tvarko nacionalinio saugumo, gynybos, nusikalstamų veikų, administracinių nusižengimų ir kitų teisės pažeidimų prevencijos, tyrimo, atskleidimo tikslais);
2.10. Lietuvos Respublikos Vyriausybės 2002 m. liepos 12 d. nutarimu Nr. 1125 „Dėl Karinės medicinos ekspertizės nuostatų patvirtinimo“;
2.11. kitais teisės aktais, kai juose numatyta, kad LK asmens duomenis tvarko nacionalinio saugumo ir (ar) gynybos tikslais ar užtikrinant nacionalinį saugumą ir (ar) gynybą arba pagal esmę toks tvarkymas atitinka nacionalinio saugumo ir (ar) gynybos tikslus;
2.12. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas);
2.14. kitais teisės aktais, kai jie numato, kad asmens duomenys tvarkomi vadovaujantis Reglamentu ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu. Asmens duomenys, vadovaujantis Reglamentu, LK gali būti tvarkomi tik esant vienam iš Reglamento 6 straipsnyje nurodytų pagrindų, specialių kategorijų asmens duomenys (tarp jų – sveikatos duomenys) – tik esant bent vienam Reglamento 9 straipsnyje nustatytam pagrindui;
2.15. Lietuvos Respublikos krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymu Nr. V-1253 „Dėl Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklių patvirtinimo“ (toliau – KAM asmens duomenų tvarkymo taisyklės);
3. Taisyklių privalo laikytis visi LK kariai, valstybės tarnautojai, darbuotojai, dirbantys pagal darbo sutartis, asmenys, priimti atlikti praktiką LK, (toliau visi kartu – darbuotojai) kurie tvarko asmens duomenis arba eidami savo pareigas juos sužino. LK darbuotojai, tvarkantys asmens duomenis arba eidami savo pareigas juos sužino pasirašo pasižadėjimus pagal KAM asmens duomenų tvarkymo taisyklių 2 priede pateiktą formą. LK kario, valstybės tarnautojo ar darbuotojo, dirbančio pagal darbo sutartį, pasirašytas pasižadėjimas saugomas jo asmens byloje.
4. Asmens duomenys LK tvarkomi automatinėmis ir neautomatinėmis priemonėmis, automatiniai sprendimai, įskaitant profiliavimą, LK nepriimami. Kai asmens duomenis tvarko teisės aktais įgalioti duomenų tvarkytojai LK valdomose informacinėse sistemose ir registruose, duomenų subjekto teisės įgyvendinamos konkrečios informacinės sistemos ar registro nuostatuose nustatyta tvarka, jei ji nenustatyta – Taisyklių nustatyta tvarka.
5. LK, kaip duomenų valdytojos, pagrindiniai asmens duomenų tvarkymo tikslai, duomenų apimtis ir duomenų subjektai nurodomi Taisyklių 1 priedo I skyriuje. Vadovaujantis Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu tvarkomų asmens duomenų tvarkymo tikslai, asmens duomenų kategorijos ir duomenų subjektai nurodyti 1 priedo I skyriaus pirmame skirsnyje. Vadovaujantis Reglamentu tvarkomų asmens duomenų kategorijos, tikslai, duomenų subjektai nurodyti 1 priedo I skyriaus antrame skirsnyje.
6. LK tvarkomų asmens duomenų sąrašas (apimtis), teisiniai pagrindai ir kita Taisyklių 39 punkte nurodyta informacija pateikiama LK, kaip duomenų valdytojos, tvarkomuose duomenų tvarkymo veiklos įrašuose, Taisyklių IX skyriaus nustatyta tvarka.
7. Taisyklėse vartojamos sąvokos:
7.1. Duomenų apsaugos pareigūnas – LK vado įsakymu paskirtas asmuo, atsakingas už asmens duomenų tvarkymo reikalavimų laikymosi LK stebėseną, duomenų subjektų teisių įgyvendinimą, turintis kitas Reglamente, Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatyme, KAM asmens duomenų tvarkymo taisyklėse ir šiose Taisyklėse nustatytas teises ir pareigas.
7.2. Duomenų subjektas – asmuo, kurio asmens duomenis LK tvarko ar ketina tvarkyti nustatytais tikslais ir priemonėmis;
II SKYRIUS
DARBUOTOJŲ TEISĖS IR PAREIGOS
8. Darbuotojai tvarko asmens duomenis tik teisės aktų nustatyta tvarka atlikdami savo funkcijas. Darbuotojas tvarko asmens duomenis tol, kol eina pareigas, kurioms yra būtinas asmens duomenų tvarkymas. Jei darbuotojas laikinai eina kito darbuotojo pareigas ar vykdo kito darbuotojo funkcijas, jis turi teisę tvarkyti asmens duomenis pareigų arba funkcijų vykdymo laikotarpiu.
9. Darbuotojas privalo:
9.1. saugoti asmens duomenų konfidencialumą visą tarnybos, darbo ar praktikos laiką ir pasibaigus tarnybos, darbo ar praktikos santykiams;
9.2. atlikti tik tuos asmens duomenų tvarkymo veiksmus, kuriems atlikti yra teisinis pagrindas ar juos atlikti jam suteiktos teisės;
9.3. asmens duomenis tvarkyti tik darbuotojui suteiktomis darbo (kompiuterinėmis, programinėmis ir kitomis) priemonėmis;
9.4. asmens duomenis tvarkyti tiksliai, nedelsdamas atnaujinti, ištaisyti ar papildyti netikslius, klaidingus, neišsamius asmens duomenis (toliau – netikslūs asmens duomenys) ir (ar) apriboti tokių asmens duomenų tvarkymą, išskyrus saugojimą;
9.6. asmens duomenis tvarkyti taip, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;
9.7. pastebėjęs galimą asmens duomenų saugumo pažeidimą, nedelsdamas išnagrinėja turimą informaciją ir nustato, kokių skubių ir tinkamų priemonių būtina imtis, kad būtų pašalinti asmens duomenų saugumo pažeidimo padariniai ir sumažinta padaryta žala;
10. Darbuotojai, tvarkantys asmens duomenis ar organizuojantys jų tvarkymą, siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam duomenų tvarkymui, privalo konsultuotis su LK duomenų apsaugos pareigūnu šiais klausimais:
10.1. nagrinėjant duomenų subjektų prašymus dėl jų teisių įgyvendinimo pagal Taisykles ir teikiant informaciją duomenų subjektams;
10.3. rengiant administracinio teisės akto projektą, jei jis susijęs su asmens duomenų tvarkymu ir (ar) apsauga;
10.5. sudarant, keičiant duomenų perdavimo (teikimo) sutartis, pagal kurias perduodami (teikiami) ir (ar) gaunami asmens duomenys, ar teikiant asmens duomenis pagal prašymą;
10.8. priimant sprendimus dėl asmens duomenų apsaugos priemonių, įskaitant technines ir organizacines priemones, taikymo;
10.9. rengiant viešųjų pirkimų, kuriuos vykdant numatoma įsigyti asmens duomenų tvarkymo ir apsaugos priemonių (įskaitant technines ir organizacines), dokumentus.
III SKYRIUS
duomenų subjekto TEISĖS IR JŲ ĮGYVENDINIMO TVARKA
11. Kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais ir nusikalstamų veikų, administracinių nusižengimų ir kitų teisės pažeidimų prevencijos, tyrimo, atskleidimo tikslais vadovaujantis Taisyklių 2.1–2.11 papunkčiuose nurodytais teisės aktais, duomenų subjektas turi Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo III skyriuje nurodytas teises, kurios gali būti apribotos Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 13–14 straipsniuose nustatyta tvarka.
12. Kai asmens duomenys tvarkomi vadovaujantis Taisyklių 2.12-2.14 papunkčiuose nurodytais teisės aktais, duomenų subjektas turi šias Reglamente įtvirtintas teises:
12.1. teisę gauti informaciją apie savo asmens duomenų tvarkymą. Informacija duomenų subjektams apie asmens duomenų tvarkymą, nurodyta Reglamento 13–14 straipsniuose, pateikiama:
12.1.1. LK interneto svetainėje www.kariuomene.lt skiltyje „Asmens duomenų tvarkymas“, Taisyklėse, kitų duomenų Valdytojų ir (ar) Tvarkytojų interneto svetainėse (jeigu turi) ir (ar) jų priimtuose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą ir duomenų subjektų teisių įgyvendinimą;
12.1.2. apie naujai nustatomus duomenų tvarkymo tikslus ir tvarkomus asmens duomenis, jų tvarkymo pagrindą ir saugojimo terminus darbuotojai informuojami dokumentų valdymo informacinėje sistemoje „Avilys“ pateikiant susipažinti tai reglamentuojantį teisės aktą ar kitą dokumentą. Apie numatomą darbuotojų asmens duomenų tvarkymą darbuotojai gali būti informuojami tarnybiniu elektroniniu paštu. Gavęs šią informaciją, darbuotojas privalo su ja susipažinti ne vėliau kaip per 5 darbo dienas po jos pateikimo ar grįžimo į darbą;
12.1.4. įrengiant informacines lenteles apie vykdomą vaizdo stebėjimą Valdytojo ir Tvarkytojų patalpose ar teritorijose;
12.2. teisę susipažinti su LK tvarkomais savo asmens duomenimis (duomenų subjektas turi teisę iš Valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir Reglamento 15 straipsnyje nurodyta informacija);
12.3. teisę reikalauti, kad būtų ištaisyti netikslūs jo asmens duomenys ir (arba) papildyti neišsamūs jo asmens duomenys (duomenų subjektas turi teisę reikalauti, kad Valdytojas nepagrįstai nedelsdamas ištaisytų netikslius su juo susijusius asmens duomenis; atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys);
12.4. teisę reikalauti ištrinti savo asmens duomenis (teisė būti pamirštam) (duomenų subjektas turi teisę reikalauti, kad Valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o Valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jei tai galima pagrįsti viena iš Reglamento 17 straipsnio 1 dalyje nurodytų priežasčių; ši teisė gali būti neįgyvendinta Reglamento 17 straipsnio 3 dalyje numatytais atvejais);
12.5. teisę apriboti savo asmens duomenų tvarkymą (duomenų subjektas turi šią teisę Reglamento 18 straipsnio 1 dalyje numatytais atvejais);
12.6. teisę į savo asmens duomenų perkeliamumą (duomenų subjektas turi teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė Valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui (neapsiribojant krašto apsaugos sistemos (toliau – KAS) institucijomis), o duomenų valdytojas, kuriam asmens duomenys buvo pateikti, turi nesudaryti tam kliūčių, kai yra Reglamento 20 straipsnio 1 dalyje nurodytos aplinkybės; ši teisė netaikoma Reglamento 20 straipsnio 3 dalyje nurodytu atveju);
12.7. teisę nesutikti su savo asmens duomenų tvarkymu (duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas pagal Reglamento 6 straipsnio 1 dalies e arba f punktus, įskaitant profiliavimą, remiantis tomis nuostatomis, kaip tai numatyta Reglamento 21 straipsnyje);
13. Duomenų subjektas, siekdamas įgyvendinti Reglamento 15–22 straipsniuose įtvirtintas teises, kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais, nusikalstamų veikų, administracinių nusižengimų ir kitų teisės pažeidimų prevencijos, tyrimo, atskleidimo tikslais – Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo III skyriuje nustatytas subjekto teises, asmeniškai arba elektroninių ryšių priemonėmis turi pateikti rašytinį (valstybine kalba) prašymą (Taisyklių 2 priedas) LK kanceliarijai internetinėje svetainėje www.kariuomene.lt nurodytais kontaktais.
14. Prašymas įgyvendinti duomenų subjekto teises (toliau – Prašymas) turi būti aiškus, įskaitomas, paties asmens pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, kontaktiniai duomenys, kuriais asmuo pageidauja gauti atsakymą, informacija, kokią teisę ir kokios apimties duomenų subjektas pageidauja įgyvendinti.
15. Duomenų subjektas, pateikdamas Prašymą, privalo patvirtinti savo tapatybę:
15.1. jei Prašymas pateikiamas tiesiogiai, duomenų subjektas Prašymą registruojančiam darbuotojui turi pateikti asmens tapatybę patvirtinantį dokumentą;
16. Duomenų subjektas savo teises gali įgyvendinti pats arba per įgaliotą atstovą. Jeigu atstovaujamo duomenų subjekto vardu į LK kreipiasi duomenų subjekto atstovas, jis Prašyme turi nurodyti savo vardą, pavardę, kontaktinius duomenis, kuriais asmens atstovas pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę, informaciją, kokią duomenų subjekto teisę ir kokios apimties pageidauja įgyvendinti, ir pridėti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą notaro arba kita teisės aktų nustatyta tvarka. Atstovo pateiktas prašymas turi atitikti mutatis mutandis Taisyklių 14–15 punktų nuostatas.
17. Duomenų subjekto prašymas, pateiktas nesilaikant Taisyklių 11–16 punktuose nustatytų reikalavimų, nenagrinėjamas ir duomenų subjektas nedelsiant, bet ne vėliau kaip per 5 darbo dienas, apie tai informuojamas nurodant priežastis.
18. LK, gavus Prašymą, privalo išnagrinėti (priimti sprendimą) ir atsakymą apie Prašymo rezultatus (priimtą sprendimą) duomenų subjektui pateikti ne vėliau kaip per 30 kalendorinių dienų nuo Prašymo gavimo dienos. Atsižvelgiant į Prašymų sudėtingumą ir jų skaičių šis terminas prireikus gali būti pratęstas dar dviem mėnesiams (kai asmens duomenys tvarkomi vadovaujantis Reglamentu) arba trims mėnesiams (kai asmens duomenys tvarkomi vadovaujantis Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu). Tokiu atveju duomenų subjektas per 30 kalendorinių dienų nuo Prašymo gavimo dienos informuojamas apie Prašymo nagrinėjimo termino pratęsimą, nurodant termino pratęsimo priežastis.
19. Atsakymas apie Prašymo rezultatus (priimtą sprendimą) pateikiamas valstybine kalba ir tokiu būdu, kokiu buvo gautas, išskyrus atvejus, kai duomenų subjektas prašo atsakymą pateikti kitokia forma. Teikiant atsakymą subjektui rekomenduojama naudoti Taisyklių 3 priede (jei informacija teikiama dėl asmens duomenų, tvarkomų vadovaujantis Reglamentu) arba 4 priede (jei informacija teikiama dėl asmens duomenų, tvarkomų nacionalinio saugumo ir (ar) gynybos tikslais) nurodytą informacijos apie asmens duomenų tvarkymą pateikimo formą.
20. Jei pagal duomenų subjekto prašymą asmens duomenys yra ištaisomi, ištrinami ar jų tvarkymas yra apribojamas, prašymą išnagrinėjęs darbuotojas privalo apie tai informuoti kitus Tvarkytojus, kuriems tokie duomenys buvo teikiami.
21. Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai.
22. LK turi teisę atsisakyti imtis veiksmų pagal Prašymą, jeigu Prašymas yra nepagrįstas arba neproporcingas. Tokiu atveju LK privalo raštu nurodyti tokio atsisakymo motyvus.
23. Tiek, kiek duomenų subjektų teisių įgyvendinimo nereglamentuoja Taisyklės ir Taisyklių 2 punkte nurodyti teisės aktai, taikomos Prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklės, patvirtintos Lietuvos Respublikos Vyriausybės 2007 m. rugpjūčio 22 d. nutarimu Nr. 875 „Dėl Asmens prašymų ir skundų nagrinėjimo viešojo administravimo subjektuose taisyklių patvirtinimo“.
IV SKYRIUS
INFORMACIJOS DUOMENŲ SUBJEKTUI PATEIKIMAS
24. Kai LK asmens duomenys tvarkomi vadovaujantis Reglamentu:
24.1. Kai duomenų subjekto asmens duomenys gauti iš duomenų subjekto, informacija, nurodyta Reglamento 13 straipsnyje, apie LK atliekamą duomenų subjekto asmens duomenų tvarkymą pateikiama, kai gaunami duomenų subjekto asmens duomenys, bendraujant su juo tokiu būdu, kokiu jis kreipėsi į LK. Informaciją raštu rekomenduojama teikti pagal Taisyklių 3 priede pateiktą formą. Šis papunktis netaikomas, jeigu duomenų subjektas jau turi informaciją.
24.2. Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto, apie jo asmens duomenų tvarkymą duomenų subjektui pateikiama Reglamento 14 straipsnyje nurodyta informacija (informaciją rekomenduojama teikti, naudojant Taisyklių 3 priede pateiktą formą):
24.2.1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;
24.2.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekus su tuo duomenų subjektu;
24.3. Taisyklių 24.2 papunktis netaikomas, kai duomenų subjektas tokią informaciją jau turi arba kai tokių duomenų rinkimo bei teikimo tvarka ir duomenų gavėjai apibrėžiami įstatymuose ir kituose teisės aktuose ar yra kitų Reglamento 14 straipsnio 5 dalyje nurodytų sąlygų.
24.4. Kai Valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo gauti, prieš toliau tvarkydamas tuos duomenis, pateikia duomenų subjektui informaciją apie tą tikslą ir visą papildomą atitinkamą informaciją, kaip to reikalaujama Reglamento 13 straipsnio 3 dalyje ir 14 straipsnio 4 dalyje.
25. Kai asmens duomenys tvarkomi nacionalinio saugumo ar (ir) gynybos tikslais, duomenų subjektui pateikiama Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 11 straipsnyje nurodyta informacija. Informaciją rekomenduojama teikti, naudojant Taisyklių 4 priede pateiktą formą. Informacijos teikimas duomenų subjektui gali būti atidėtas, apribotas arba ši informacija gali būti neteikiama Lietuvos Respublikos įstatymuose nustatytais atvejais. Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo nustatyta tvarka Valdytojas turi raštu pateikti duomenų subjektui informaciją (išskyrus šiame įstatyme nustatytus atvejus) apie bet kokį atsisakymą suteikti teisę susipažinti su asmens duomenimis arba šios teisės apribojimą ir šio atsisakymo ar apribojimo priežastis, taip pat apie bet kokį atsisakymą ištaisyti ar ištrinti asmens duomenis arba apriboti jų tvarkymą ir apie šio atsisakymo priežastis.
V SKYRIUS
SKUNDŲ PATEIKIMO TVARKA
26. LK kaip duomenų valdytojos veiksmus ar neveikimą, įgyvendinant duomenų subjekto teises, kai asmens duomenys tvarkomi vadovaujantis Reglamento nuostatomis ar nusikalstamų veikų, administracinių nusižengimų ir kitų teisės pažeidimų prevencijos, tyrimo, atskleidimo tikslais duomenų subjektas arba duomenų subjekto atstovas turi teisę skųsti VDAI (L. Sapiegos g. 17, Vilnius, el. p. ada@ada.lt), Vilniaus apygardos administraciniam teismui (Žygimantų g. 2, Vilnius), kai asmens duomenys tvarkomi žurnalistikos ir akademinės, meninės ar literatūrinės saviraiškos tikslais, duomenų subjektas arba duomenų subjekto atstovas turi teisę skųsti žurnalistų etikos inspektoriui (Gedimino pr. 60, 01110, Vilnius, el..p. zeit@zeit.lt).
27. Tais atvejais, kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais vadovaujantis Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu, duomenų subjektas LK veiksmus ar neveikimą įgyvendinant subjekto teises turi teisę skųsti Lietuvos Respublikos Seimo kontrolieriui (Gedimino pr. 56, Vilnius, el. p. ombuds@lrski.lt).
VI SKYRIUS
ASMENS DUOMENŲ TVARKYMAS PROGRAMINĖMIS PRIEMONĖMIS
28. Valstybės ar žinybinių registrų, valstybės informacinių sistemų, informacinių sistemų, duomenų perdavimo tinklų, telekomunikacijų tinklų, ryšių sistemų ar kitos iš techninės ir programinės įrangos sudarytos infrastruktūros, veikiančios informacinių ir ryšių technologijų pagrindu (toliau – programinė priemonė), kuriuose tvarkomi asmens duomenys, savininkai, atsakingi už programinės priemonės naudojimą institucijoje teisės aktų nustatytoms funkcijoms atlikti, ar valdytojai, jei programinės priemonės buvo įsteigtos ir įteisintos teisės aktų nustatyta tvarka, privalo įgyvendinti organizacinius, programinius ir techninius duomenų saugumo reikalavimus, nurodytus Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, ir kituose susijusiuose teisės aktuose, kurie, jei programinė priemonė yra įsteigta ir įteisinta, yra nurodyti duomenų saugos nuostatuose ir (ar) kituose duomenų saugą reglamentuojančiuose dokumentuose. Siekiama, kad tvarkant duomenis informacinėse sistemose būtų laikomasi teisės aktais numatytų bei kompetentingų institucijų rekomenduojamų standartų.
29. Darbuotojų, KAS institucijų ryšių ir informacinių sistemų (toliau – RIS) bei įslaptintos informacijos ryšių informacinių sistemų (toliau – ĮIRIS) naudotojų, asmenų, stojančių į tikrąją karo tarnybą ar atlikusių tikrąją karo tarnybą, taip pat kitais teisės aktų numatytais atvejais asmens duomenys yra tvarkomi RIS ir ĮIRIS nuostatuose ir kituose jų steigimo ir įteisinimo dokumentuose nustatyta tvarka.
VII SKYRIUS
VAIZDO STEBĖJIMAS, VAIZDO IR GARSO DUOMENŲ TVARKYMAS
30. Siekiant užtikrinti LK kariniams vienetams priklausančių pastatų, patalpų ir teritorijos apsaugą bei jose esančių asmenų apsaugą, taip pat organizuojant vaizdo konferencijas, gali būti tvarkomi vaizdo stebėjimo ir (arba) garso duomenys.
31. Apie tai, kad vykdomas vaizdo stebėjimas, duomenų subjektai informuojami informaciniais užrašais, kurie išdėstomi prieš įėjimą į teritoriją, pastatą ar patalpą, arba, kai vyksta vaizdo konferencija, duomenų subjektai kompiuterio ekrane informuojami apie vykdomą vaizdo ir (arba) garso įrašą ar retransliaciją.
32. Stebėti asmens darbo vietą ar tarnybines gyvenamąsias patalpas draudžiama, išskyrus atvejus, kai darbo vietoje vyksta vaizdo konferencija arba kai būtina užtikrinti įslaptintos informacijos apsaugą ir kiti būdai ar priemonės nėra pakankami ir (arba) tinkami tikslams pasiekti. Asmenys apie nuolat vykdomą jų darbo vietos stebėjimą informuojami pasirašytinai. Informavimo forma (Taisyklių 5 priedas) saugoma LK kariniame vienete visą tarnybos (darbo) laikotarpį.
33. Vaizdo stebėjimo priemonės įrengiamos taip, kad būtų stebimas tik asmuo, dalyvaujantis vaizdo konferencijoje, arba konkreti patalpa, teritorija ar jos prieigos, kurias siekiama apsaugoti.
34. Siekiant užtikrinti LK kariniams vienetams priklausančių patalpų ir teritorijos apsaugą, vaizdo stebėjimo duomenys, atsižvelgiant į technines galimybes ir poreikį, saugomi ne trumpiau nei 14 ir ne ilgiau nei 45 kalendorines dienas (išskyrus Taisyklių 36 punkte nurodytus atvejus, kai duomenis reikia saugoti ilgiau). Pasibaigus šiam terminui, vaizdo stebėjimo duomenys sunaikinami, ištrinant vaizdo laikmenas.
35. Vaizdo konferencijų vaizdas ir (arba) garsas nėra įrašomas, išskyrus atvejus, kai iš anksto žinoma ir informuojama, kad vaizdo ir (arba) garso įrašas bus reikalingas tarnybiniam naudojimui, protokolui surašyti ir pan. Apie konferencijos vaizdo ir (arba) garso įrašymą vaizdo konferencijos dalyviai informuojami žodžiu vaizdo ir (arba) garso įrašymo pradžioje ir atvaizduojant kompiuterio ekrane perspėjamąjį simbolį apie vykdomą vaizdo ir garso įrašymą. Vaizdo konferencijų įrašai yra saugomi ir sunaikinami Taisyklių 37 punkte nurodytais terminais ir tvarka, jei nėra kitaip nurodyta specialiuosiuose teisės aktuose.
VIII SKYRIUS
DUOMENŲ SAUGOJIMAS IR SUNAIKINIMAS
37. Bendrųjų dokumentų saugojimo terminų rodyklėje, patvirtintoje Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“, ir Valdytojo bei Tvarkytojo dokumentacijos planuose nurodyti dokumentai, kuriuose yra asmens duomenų, saugomi Lietuvos vyriausiojo archyvaro nustatyta tvarka ir terminais pagal Valdytojo bei Tvarkytojo dokumentacijos planus. Kiti dokumentai, kuriuose yra asmens duomenų, ar duomenys, kurie saugomi ne dokumentuose (informacinėse sistemose, programose ir kt.), saugomi 2 mėnesius nuo dienos, kai pasiekiami tikslai, dėl kurių buvo tvarkomi asmens duomenys, išskyrus atvejus, kai ilgesnė duomenų saugojimo trukmė nustatyta įstatymuose ar kituose teisės aktuose arba vyksta teisminis procesas, susijęs su šiais asmens duomenimis, arba kitomis svarbiomis priežastimis objektyviai galima pagrįsti ilgesnį jų saugojimą. LK valdomose informacinėse sistemose ir registruose asmens duomenys saugomi bei archyvuojami įstatymų ir (ar) šių sistemų, registrų nuostatuose nustatytais terminais. Suėjus asmens duomenų saugojimo terminams, asmens duomenys sunaikinami taip, kad jų nebūtų galima atkurti ir atpažinti jų turinio.
IX SKYRIUS
DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI
39. LK, kaip duomenų valdytojos/tvarkytojos, duomenų tvarkymo veiklos įrašuose nurodoma:
39.2. duomenų apsaugos pareigūno vardas, pavardė ir kontaktiniai duomenys (adresas, telefono numeris ir (ar) elektroninio pašto adresas);
39.5. informacija apie duomenų tvarkymo (tvarkymo operacijos, kuriai yra skirti asmens duomenys) teisinį pagrindą;
39.7. duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, kategorijos, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas;
39.8. asmens duomenų perdavimas trečiajai valstybei arba tarptautinei organizacijai, įskaitant trečiosios valstybės arba tarptautinės organizacijos pavadinimą, ir, Reglamento 49 straipsnio 1 dalies antrojoje pastraipoje nurodytais duomenų perdavimo atvejais, tinkamų apsaugos priemonių užtikrinimo dokumentai (informacija pateikiama, kai asmens duomenys tvarkomi vadovaujantis Reglamentu);
39.10. techninių ir organizacinių saugumo priemonių (atitinkamai numatytų Reglamento 32 straipsnio 1 dalyje ar Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 28 straipsnio 1 dalyje) aprašymas;
39.12. Kai asmens duomenys tvarkomi vadovaujantis Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu, duomenų tvarkymo veiklos įrašuose papildomai nurodoma informacija, t.y. profiliavimo naudojimas ir asmens duomenų perdavimo trečiajai valstybei arba tarptautinei organizacijai, jei asmens duomenys perduodami, nurodomos perduodamų asmens duomenų kategorijos, asmens duomenų perdavimo teisinis pagrindas;
40. LK duomenų apsaugos pareigūnas užpildo ar atnaujina Valdytojo/Tvarkytojo duomenų tvarkymo veiklos įrašus pagal LK karinių vienetų darbuotojų pateiktą informaciją elektroniniu paštu LK.DAP@mil.lt;
41. Pildant veiklos įrašus turi būti užtikrinamas įrašų pakeitimų atsekamumas – pakeitimai veiklos įrašuose atliekami fiksuojant pakeitimo datą ir pakeitimo turinį.
X SKYRIUS
POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS
44. Poveikio duomenų apsaugai vertinimas turi būti atliekama tais atvejais, kai dėl duomenų tvarkymo rūšies, ypač kai naudojamos inovatyvios technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus. Atliekant vertinimą vadovaujamasi Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašu, patvirtintu Valstybinės duomenų apsaugos inspekcijos direktoriaus 2019 m. kovo 14 d. įsakymu Nr. 1T-35 (1.12 E) „Dėl Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašo patvirtinimo“.
45. Atliekant poveikio duomenų apsaugai vertinimą vadovaujamasi atitinkamai Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 25 straipsniu arba Reglamento 35 straipsniu, Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašu, patvirtintu Valstybinės duomenų apsaugos inspekcijos direktoriaus 2019 m. kovo 14 d. įsakymu Nr. 1T-35 (1.12.E) „Dėl Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašo patvirtinimo“, ir atsižvelgiama į 29 darbo grupės Poveikio duomenų apsaugai vertinimo gaires.
XI SKYRIUS
DUOMENŲ PERDAVIMO TREČIOSIOMS VALSTYBĖMS REIKALAVIMAI
46. Pagrindinis asmens duomenų perdavimo trečiosioms valstybėms pagrindas – Europos Komisijos sprendimas dėl tinkamo lygio apsaugos (Reglamento 45 straipsnis, Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 35 straipsnis). Atitinkamai, jeigu Europos Komisija nėra priėmusi sprendimo dėl tinkamo lygio apsaugos, vadovaujantis Reglamento 46 straipsnio 1 dalimi ar Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 36 straipsnio 1 dalimi, Valdytojas ar duomenų valdytojas arba duomenų tvarkytojas gali perduoti asmens duomenis trečiajai valstybei arba tarptautinei organizacijai tik tuo atveju, jeigu gaunamų duomenų valdytojas arba tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis. Duomenų valdytojas arba duomenų tvarkytojas, visų pirma, kiekvienu atveju ir prireikus bendradarbiaudamas su duomenų gavėju, turi patikrinti, ar pagal paskirties trečiosios šalies teisę užtikrinama tinkama, atsižvelgiant į Europos Sąjungos teisę, asmens duomenų, perduodamų remiantis vienu iš Reglamento 46 straipsnyje ar Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 36 straipsnyje įtvirtintų asmens duomenų teikimo trečiosioms valstybėms įrankių, apsauga ir prireikus suteikiama papildomų garantijų. Dėl atvejų, kai duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais ir nėra galimybės patikrinti, ar pagal paskirties trečiosios šalies teisę užtikrinama tinkama apsauga, sprendžiama, įvertinus visas reikšmingas tokio duomenų tvarkymo aplinkybes.
47. Kai asmens duomenų tvarkymui taikomos Reglamento nuostatos, duomenys trečiosioms valstybėms perduodami tik laikantis Reglamento straipsniuose ir Leidimų perduoti asmens duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms išdavimo tvarkos aprašo, patvirtinto Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 18 d. įsakymu Nr. 1T-68 (1.12.E) „Dėl Leidimų perduoti asmens duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms išdavimo tvarkos aprašo patvirtinimo“, nustatytų sąlygų ir tvarkos.
XII SKYRIUS
BAIGIAMOSIOS NUOSTATOS
48. Jeigu LK tvarkoma informacija turi būti skelbiama viešai ir joje yra viešai neskelbtinų duomenų (valstybės, tarnybos, profesinių, komercinių ar kitų teisės aktų saugomų paslapčių arba kitokių neskelbtinų duomenų) ar asmens duomenų (fizinių asmenų asmens kodai, gyvenamųjų vietų adresai, gimimo datos ir vietos, valstybiniai automobilių numeriai, sveikatos duomenys ir kita), parengiama viešai skelbtina teksto versija, kurioje asmens duomenys pakeičiami taip, kad duomenų subjekto tapatybės nebūtų galima nustatyti. Nuasmeninant informaciją rekomenduotina vadovautis Valstybinės duomenų apsaugos inspekcijos 2020 m. rugpjūčio 5 d. rekomendacija „Nuasmeninimo metodai“.
49. LK rengiamų Lietuvos Respublikos teisės aktų, reglamentuojančių asmens duomenų tvarkymą, projektuose nurodomi duomenų tvarkymo tikslai, tvarkytini asmens duomenys ir kiti duomenų tvarkymo reikalavimai, kuriais siekiama užtikrinti teisėtą asmens duomenų tvarkymą; kai duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais, taip pat nurodomi duomenų tvarkymo siekiai.