VIEŠOSIOS ĮSTAIGOS TRANSPORTO KOMPETENCIJŲ AGENTŪROS
Direktorius
ĮSAKYMAS
DĖL VIEŠOSIOS ĮSTAIGOS TRANSPORTO KOMPETENCIJŲ AGENTŪROS DIREKTORIAUS 2021 M. SAUSIO 5 D. ĮSAKYMO NR. 2-2 „DĖL ASMENS DUOMENŲ APSAUGOS ĮGYVENDINIMO VIEŠOJOJE ĮSTAIGOJE TRANSPORTO KOMPETENCIJŲ AGENTŪROJE“ PAKEITIMO
2021 m. kovo 23 d. Nr. 2-41
Vilnius
P a k e i č i u Viešosios įstaigos Transporto kompetencijų agentūros direktoriaus 2021 m. sausio 5 d. įsakymą Nr. 2-2 „Dėl asmens duomenų apsaugos įgyvendinimo viešojoje įstaigoje Transporto kompetencijų agentūroje“:
1. Pakeičiu nurodytu įsakymu patvirtintas Viešosios įstaigos Transporto kompetencijų agentūros asmens duomenų tvarkymo taisykles:
2. Papildau nurodytą įsakymą 4 punktu:
Viešosios įstaigos Transporto
kompetencijų agentūros asmens
duomenų tvarkymo taisyklių
4 priedas
(duomenų valdytojo duomenų tvarkymo veiklos įrašų forma)
| Duomenų valdytojas: |
||||||||||||
| Viešoji įstaiga Transporto kompetencijų agentūra |
||||||||||||
| Adresas pašto korespondencijai: Rodūnios kelias 2, LT 02188 Vilnius |
Telefono ryšio numeris: (8 5) 2 73 90 38 |
Elektroninio pašto adresas: info@tka.lt |
Kitos ryšių priemonės: Interneto svetainės adresas: www.tka.lt |
|||||||||
| Duomenų apsaugos pareigūnas: |
||||||||||||
| Ugnė Žakšauskaitė |
||||||||||||
| Adresas: Rodūnios kelias 2, LT 02188 Vilnius |
Telefono ryšio numeris: 8 652 16895 |
Elektroninio pašto adresas: dap@tka.lt |
|
|||||||||
| Duomenų tvarkymo tikslas (pvz., įdarbinimas, personalo administravimas, tarnybinis tyrimas dėl tarnybinio nusižengimo, profilaktinis sveikatos tikrinimas, vaizdo konferencijų organizavimas, viešosios informacijos administravimas, patalpų ir teritorijos apsauga, įsigijimų vykdymas, asmenų aptarnavimas, paslaugų kokybės užtikrinimas, leidimų statyti automobilį išdavimas, visiškos materialinės atsakomybės sutarčių administravimas, įgaliojimų suteikimas ir t. t.) |
||||||||||||
| Duomenų tvarkymo teisinis pagrindas nurodoma BDAR 6 straipsnio. 1 dalies ir jei taikoma 9 straipsnio 2 dalies konkretus punktas ir jei taikoma Lietuvos Respublikos teisės aktas, kuris suteikia teisę tvarkyti asmens duomenis (pvz., Darbo kodeksas, Visuomenės informavimo įstatymas, Viešojo administravimo įstatymas, sutikimas ir t. t.) |
||||||||||||
| Duomenų subjektų kategorijų aprašymas (pvz., asmenys, pretenduojantys arba paskirti (priimti) į pareigas; asmenys, su kuriais sudaroma tarnybos (darbo) sutartis; asmenys, teikiami skatinti ar apdovanoti; asmenys, kurie prašo leidimo dirbti kitą darbą; asmenys, kurių atžvilgiu atliekamas tarnybinis tyrimas, ir kiti asmenys, susiję su teisės pažeidimo tyrimu; vaizdo konferencijų dalyviai, žurnalistai ir kiti asmenys, viešąją informaciją renkantys iš TKA; asmenys, patenkantys į vaizdo stebėjimo lauką; klientai, ir t. t.) Esant kelioms duomenų subjektų grupėms, atskirai nurodomi kiekvienos duomenų subjektų grupės tvarkomi asmens duomenys (įskaitant ir specialių kategorijų asmens duomenis), jeigu tvarkomi duomenys yra skirtingi. |
||||||||||||
| Asmens duomenų kategorijų aprašymas (pvz., vardas, pavardė, gimimo data, adresas, vaizdo duomenys, priskaičiuotas darbo užmokestis, duomenys apie sveikatą, telefono pokalbio įrašas, IP adresas ir t. t.) |
||||||||||||
| Asmens duomenų gavėjų kategorijos (pvz., teisėsaugos institucijos, kurjerių tarnybos, bankai, Sodra, valstybės ir savivaldybių institucijos ir įstaigos teisės aktų nustatytoms funkcijoms vykdyti bei kiti fiziniai ir juridiniai asmenys, turintys teisę gauti duomenis, ir t. t.) |
||||||||||||
| Asmens duomenų šaltinis (pvz., tiesiogiai iš duomenų subjekto, iš Gyventojų registro, iš duomenų subjekto buvusio darbdavio, iš banko, iš vaizdo įrašymo priemonės, iš Sodros ir t. t.) |
||||||||||||
| Asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai (kai taikoma): |
||||||||||||
| Trečiosios valstybės arba tarptautinės organizacijos, kuriai perduodami asmens duomenys, pavadinimas: |
BDAR 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai: |
|||||||||||
| Kita informacija, susijusi su asmens duomenų perdavimu |
||||||||||||
| Numatomi asmens duomenų saugojimo, ištrynimo terminai (kai įmanoma) (pvz., 10 metų po sutarties įvykdymo, 30 kalendorinių dienų, 3 mėn. nuo atrankos pabaigos, 6 mėn. nuo kandidato dokumentų gavimo ir t. t.) |
||||||||||||
| Asmens duomenų saugojimo vieta (pvz., rakinama spinta, darbuotojo kompiuteryje, TKA serveryje, valstybės registre ar informacinėje sistemoje ir t. t.) |
||||||||||||
| Bendras duomenų saugumo priemonių (nurodytų BDAR 32 straipsnio 1 dalyje) aprašymas (kai įmanoma): |
||||||||||||
| Techninės saugumo priemonės: (pvz., programinė įranga yra nuolatos atnaujinama, aprūpinta ugniasienėmis ir antivirusinėmis programomis, daromos atsarginės duomenų kopijos, atliekamas duomenų šifravimas ir t. t.) |
Organizacinės saugumo priemonės: (pvz., informacinių sistemų ir duomenų bazių vartotojų teisių ribojimas ir kontrolė, asmenys, dirbantys su asmens duomenimis, yra saistomi teisės aktuose nustatytų konfidencialumo pareigų ir t. t.) |
|||||||||||
| Kita informacija (pvz., Pranešimo duomenų subjektui apie asmens duomenų tvarkymą pateikimo vieta (arba aplinkybės, dėl kurių neįmanoma informuoti duomenų subjekto apie jo duomenų tvarkymą), kitų duomenų subjekto teisių įgyvendinimo ypatumai, nuorodos į kitus su duomenų apsauga susijusius dokumentus (į poveikio duomenų apsaugai vertinimą, vidaus tvarkos taisykles, informaciją apie asmens duomenų tvarkymą ir t. t.) |
||||||||||||
| Duomenų įvedimo, keitimo data (-os), registravimo numeris, įvedusio asmens vardas, pavardė, parašas |
||||||||||||
| data |
registravimo numeris |
vardas |
pavardė |
parašas |
||||||||
|
||||||||||||
______________
Viešosios įstaigos Transporto
kompetencijų agentūros asmens
duomenų tvarkymo taisyklių
5 priedas
(duomenų tvarkytojo duomenų tvarkymo veiklos įrašų forma)
| Duomenų tvarkytojas: |
|||||||||
| Viešoji įstaiga Transporto kompetencijų agentūra |
|||||||||
| Adresas pašto korespondencijai: Rodūnios kelias 2, LT 02188 Vilnius |
Telefono ryšio numeris: (8 5) 2 73 90 38 |
Elektroninio pašto adresas: info@tka.lt |
Kitos ryšių priemonės: Interneto svetainės adresas: www.tka.lt |
||||||
| Kiekvienas duomenų valdytojas (jei taikoma – ir jo atstovas), kurio vardu veikia duomenų tvarkytojas: |
|||||||||
| Duomenų valdytojo pavadinimas (jei fizinis asmuo – jo vardas ir pavardė) |
|||||||||
| Pašto adresas |
Telefono ryšio numeris |
Elektroninio pašto adresas |
Kitos ryšių priemonės (pvz., interneto svetainės adresas, el. siuntos pristatymo dėžutės adresas) |
||||||
| Duomenų apsaugos pareigūnas: |
|||||||||
| Ugnė Žakšauskaitė |
|||||||||
| Adresas: Rodūnios kelias 2, LT 02188 Vilnius |
Telefono ryšio numeris: 8 652 16895 |
Elektroninio pašto adresas: dap@tka.lt |
|
||||||
| Kiekvieno duomenų valdytojo vardu atliekamo duomenų tvarkymo kategorijos, t. y. atliekami asmens duomenų tvarkymo veiksmai (pvz., vaizdo stebėjimas, asmens duomenų saugojimas, naikinimas ir t. t.) |
|||||||||
| Asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai (kai taikoma): |
|||||||||
| Trečiosios valstybės arba tarptautinės organizacijos, kuriai perduodami asmens duomenys, pavadinimas: |
BDAR 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai: |
||||||||
| Kita informacija, susijusi su asmens duomenų perdavimu |
|||||||||
| Bendras duomenų saugumo priemonių (nurodytų BDAR 32 straipsnio 1 dalyje) aprašymas (kai įmanoma): |
|||||||||
| Techninės saugumo priemonės: (pvz., programinė įranga yra nuolatos atnaujinama, aprūpinta ugniasienėmis ir antivirusinėmis programomis, daromos atsarginės duomenų kopijos, atliekamas duomenų šifravimas ir t. t.) |
Organizacinės saugumo priemonės: (pvz., informacinių sistemų ir duomenų bazių vartotojų teisių ribojimas ir kontrolė, asmenys, dirbantys su asmens duomenimis, yra saistomi teisės aktuose nustatytų konfidencialumo pareigų ir t. t.) |
||||||||
| Kita informacija (pvz., darbuotojai (skyriai), atsakingi už duomenų tvarkymą, nuorodos į kitus su duomenų apsauga susijusius dokumentus ir t. t.) |
|||||||||
| Duomenų įvedimo, keitimo data (-os) |
|||||||||
|
|||||||||
_____________
PATVIRTINTA
Viešosios įstaigos Transporto kompetencijų
agentūros direktoriaus
2021 m. sausio 5 d. įsakymu Nr. 2-2
(2021 m. kovo 23 d. įsakymo Nr. 2-41 redakcija)
ASMENS DUOMENŲ TVARKYMO operacijų VIEŠOJOJE ĮSTAIGOJE TRANSPORTO KOMPETENCIJŲ AGENTŪROJE POVEIKIO DUOMENŲ APSAUGAI VERTINIMO ATLIKIMO TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo operacijų viešojoje įstaigoje Transporto kompetencijų agentūroje poveikio duomenų apsaugai vertinimo atlikimo tvarkos aprašas (toliau – Aprašas) nustato duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimo viešojoje įstaigoje Transporto kompetencijų agentūroje (toliau – TKA) atlikimo pagrindus, eigą, procedūrą ir reikalavimus, siekiant užtikrinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento) (toliau – BDAR) laikymąsi ir įgyvendinimą.
2. Aprašu vadovaujamasi tais atvejais, kai dėl numatomo duomenų tvarkymo, ypatingai tais atvejais, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms ir laisvėms gali kilti didelis pavojus.
3. Apraše vartojamos sąvokos:
3.1. Didelis pavojus fizinių asmenų teisėms ir laisvėms – atvejai, kai dėl asmens duomenų tvarkymo arba dėl galimo asmens duomenų saugumo pažeidimo duomenų subjektams gali būti sunkiau naudotis savo teisėmis ir laisvėmis, duomenų subjektas gali patirti atskirtį arba diskriminaciją, finansinių nuostolių, gali būti pakenkta jo reputacijai arba atsirasti kitokių rimtų padarinių kasdieniam fizinio asmens gyvenimui.
3.2. Duomenų apsaugos pareigūnas – TKA direktoriaus paskirtas TKA darbuotojas, kuris vykdo jam pagal BDAR pavestas užduotis.
3.5. Poveikio duomenų apsaugai vertinimas (toliau – PDAV) – procesas, skirtas duomenų tvarkymo operacijai aprašyti ir tokios duomenų tvarkymo operacijos reikalingumui ir proporcingumui įvertinti, padedantis valdyti pavojų, kuris fizinių asmenų teisėms ir laisvėms kyla dėl asmens duomenų tvarkymo, apimantis pavojaus įvertinimą ir jo pašalinimo priemonių nustatymą.
3.6. Poveikio duomenų apsaugai vertinimo koordinatorius (toliau – PDAV koordinatorius) – TKA direktoriaus paskirtas TKA darbuotojas, atsakingas už poreikio atlikti PDAV nustatymą ir PDAV atlikimą šio Aprašo nustatyta tvarka. Paprastai PDAV koordinatoriumi skiriamas darbuotojas, kuris atsakingas už atitinkamos duomenų tvarkymo operacijos TKA įgyvendinimą. PDAV atlikti gali būti pavesta ir darbuotojų grupei, kurios vadovas būtų PDAV koordinatorius.
II SKYRIUS
POVEIKIO DUOMENŲ APSAUGAI VERTINIMO ATLIKIMO PAGRINDAI
4. PDAV atliekamas šiais atvejais:
4.1. kai duomenų tvarkymo operacija yra įtraukta į Valstybinės duomenų apsaugos inspekcijos sudarytą duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti PDAV, sąrašą;
4.2. kai planuojama rinkti arba kitaip tvarkyti naujus asmens duomenis (pavyzdžiui, sisteminga TKA darbuotojų veiklos, darbuotojų darbo vietos, veiklos internete ir pan. stebėsena) ir dėl asmens duomenų tvarkymo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, vertinant asmens duomenų tvarkymą pagal šio Aprašo III skyriuje nurodytus kriterijus;
4.3. kai keičiasi jau tvarkomų asmens duomenų tvarkymo procesas (būdas, tikslas ir pan.) arba aplinka (pavyzdžiui, diegiama nauja informacinių technologijų sistema, teikiama nauja paslauga, atsiranda naujas procesas, naujos rizikos, susijusios su įvykdytomis kibernetinėmis atakomis ir pan.) ir dėl asmens duomenų tvarkymo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, vertinant asmens duomenų tvarkymą pagal šio Aprašo III skyriuje nurodytus kriterijus;
5. PDAV TKA direktoriaus sprendimu gali būti neatliekamas šiais atvejais:
5.1. kai duomenų tvarkymas negali kelti didelio pavojaus fizinių asmenų teisėms ir laisvėms, vertinant asmens duomenų tvarkymą pagal šio Aprašo III skyriuje nurodytus kriterijus;
5.2. kai duomenų tvarkymo pobūdis, aprėptis, kontekstas ir tikslai yra labai panašūs į duomenų tvarkymą, kurio PDAV buvo atliktas (tokiais atvejais galima pasinaudoti dėl panašaus duomenų tvarkymo atliktu PDAV);
6. PDAV turi būti atliktas prieš pradedant tvarkyti asmens duomenis arba kai tvarkant asmens duomenis atsiranda objektyvi būtinybė atlikti PDAV, atsižvelgiant į šio Aprašo 4 punkte nurodytus atvejus.
III SKYRIUS
KRITERIJAI, KURIAIS REMIANTIS NUSTATOMA, AR DĖL DUOMENŲ TVARKYMO OPERACIJOS GALI KILTI DIDELIS PAVOJUS FIZINIŲ ASMENŲ TEISĖMS IR LAISVĖMS
8. Siekiant nustatyti duomenų tvarkymo operacijas, dėl kurių reikia atlikti PDAV, atsižvelgiama į BDAR 35 straipsnio 1 dalyje bei 35 straipsnio 3 dalies a–c punktuose nustatytus konkrečius elementus, Valstybinės duomenų apsaugos inspekcijos sudarytą duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti PDAV, sąrašą, BDAR preambulės 71, 75, 91 punktus bei kitas BDAR nuorodas į duomenų tvarkymo operacijas, dėl kurių gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, bei įvertinami šie kriterijai:
8.1. atliekamas su fiziniais asmenimis susijusių asmeninių aspektų vertinimas arba balų skyrimas, įskaitant profiliavimą ir prognozavimą, visų pirma remiantis aspektais, susijusiais su duomenų subjekto darbo rezultatais, ekonomine padėtimi, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu (pavyzdžiui, naudotojo elgesio profilio sudarymas, remiantis interneto svetainės naudojimu, ir pan.);
8.2. automatizuotai (technologinėmis priemonėmis, be jokio žmogaus įsikišimo) priimami sprendimai, duomenų subjektams sukeliantys teisinį arba panašų rimtą poveikį (pavyzdžiui, duomenų tvarkymas gali lemti asmenų atskirtį arba diskriminaciją);
8.3. atliekama sisteminga stebėsena, t. y. duomenų tvarkymas, kuris reikalingas duomenų subjektų stebėsenos arba kontrolės tikslais, įskaitant tinkluose surinktus duomenis arba sistemingą viešos vietos stebėjimą dideliu mastu;
8.4. tvarkomi neskelbtini duomenys arba labai asmeniški duomenys (pavyzdžiui, specialių kategorijų asmens duomenys, duomenys apie apkaltinamuosius nuosprendžius ar nusikalstamas veikas, vietos nustatymo duomenys ir pan.);
8.5. duomenys tvarkomi dideliu mastu (vertinant, ar duomenys tvarkomi dideliu mastu, turi būti atsižvelgiama į susijusių duomenų subjektų skaičių (konkretų skaičių arba atitinkamą gyventojų dalį), tvarkomų duomenų kiekį ir intervalą ir (arba) skirtingų tvarkomų duomenų įvairovę, duomenų tvarkymo veiklos trukmę arba pastovumą, geografinį duomenų tvarkymo veiklos mastą);
8.6. atliekamos sudėtingos duomenų tvarkymo operacijos (pavyzdžiui, keli asmens duomenų tvarkymo tikslai ir (ar) duomenų valdytojai, duomenų rinkinių siejimas ir derinimas, kai duomenų tvarkymo operacijos atliekamos taip, kad viršija pagrįstus duomenų subjekto lūkesčius, ir pan.);
8.7. tvarkomi duomenys, susiję su pažeidžiamais duomenų subjektais (pavyzdžiui, vaikais, labiau pažeidžiamais gyventojais, kuriems reikalinga speciali apsauga, ir visais atvejais, kai galima nustatyti nelygiaverčius duomenų subjekto ir duomenų valdytojo santykius);
IV SKYRIUS
POREIKIO ATLIKTI POVEIKIO DUOMENŲ APSAUGAI VERTINIMĄ NUSTATYMAS
9. Poreikį atlikti PDAV paprastai nustato projekto, kurį įgyvendinus būtų atliekama duomenų tvarkymo operacija, vadovas, užpildydamas poreikio atlikti Aprašo 3 priede nustatytos formos PDAV nustatymo klausimyną.
10. Jei duomenų tvarkymo operacija nėra įtraukta į Valstybinės duomenų apsaugos inspekcijos sudarytą duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti PDAV, sąrašą, tokios duomenų tvarkymo operacijos PDAV paprastai atliekamas, kai planuojamas duomenų tvarkymas atitinka bent du iš šio Aprašo 8.1–8.8 papunkčiuose nurodytų kriterijų. Kuo daugiau kriterijų, nurodytų šio Aprašo 8.1–8.8 papunkčiuose, atitinka planuojamas duomenų tvarkymas, tuo labiau tikėtina, kad dėl duomenų tvarkymo operacijos gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms ir yra pagrindas atlikti PDAV. TKA direktoriaus ar jo įgalioto atsakingo asmens sprendimu PDAV gali būti atliekamas ir tais atvejais, kai planuojamas duomenų tvarkymas atitinka tik vieną iš šio Aprašo 8.1–8.8 papunkčiuose nurodytų kriterijų.
11. Užpildytas poreikio atlikti PDAV nustatymo klausimynas pateikiamas TKA direktoriui, kuris, įvertinęs šiame klausimyne užfiksuotą informaciją, priima sprendimą dėl PDAV atlikimo.
12. Jei TKA, kaip duomenų valdytoja, nusprendžia neatlikti PDAV šio Aprašo 4 punkte nurodytais atvejais, manydama, kad dėl duomenų tvarkymo negali kilti didelis pavojus fizinio asmens teisėms ir laisvėms, toks sprendimas turi būti pagrįstas, nurodant priežastis, dėl kurių nuspręsta neatlikti PDAV, taip pat įtraukiant ir (arba) užfiksuojant duomenų tvarkyme dalyvaujančių TKA darbuotojų ir (arba) duomenų apsaugos pareigūno nuomonę.
V SKYRIUS
POVEIKIO DUOMENŲ APSAUGAI VERTINIMO ATLIKIMAS
13. TKA direktorius, priėmęs sprendimą atlikti PDAV, organizuoja PDAV atlikimą, įvertindamas poreikio atlikti PDAV nustatymo klausimyne nurodytą siūlymą dėl TKA darbuotojų, kurių dalyvavimas atliekant PDAV būtų reikšmingas pagal jų turimas kompetencijas ir atliekamas asmens duomenų tvarkymo funkcijas.
14. TKA direktoriaus sprendimu PDAV atlikti gali būti pasitelkti išorės konsultantai, specialistai, ekspertai (teisininkai, informacinių technologijų specialistai, saugumo ekspertai, etikos specialistai ir pan.), jeigu TKA žmogiškųjų ir (ar) laiko išteklių nepakanka PDAV tinkamai atlikti.
15. PDAV koordinatorius PDAV atlikimo rezultatus fiksuoja Aprašo 4 priede nustatytos formos PDAV atlikimo ataskaitoje.
16. Nustatant pavojus fizinių asmenų teisėms ir laisvėms ir juos vertinant (PDAV atlikimo ataskaitos 5 dalis) turi būti atsižvelgiama į pavojų kilmę, pobūdį, specifiką ir rimtumą, t. y. į kiekvieną pavojų (neteisėtą prieigą prie asmens duomenų, nepageidaujamą asmens duomenų pakeitimą ir asmens duomenų praradimą) iš duomenų subjektų perspektyvos, taip pat į žalos (pavojaus poveikio), kuri duomenų subjektams gali kilti dėl asmens duomenų tvarkymo arba galimo asmens duomenų saugumo pažeidimo, tikimybę ir sunkumą (žala gali būti fizinė, materialinė ir (arba) nematerialinė).
17. Pavojus fizinių asmenų teisėms ir laisvėms, atsižvelgiant į pavojaus ir pavojaus poveikio fiziniam asmeniui pobūdį, gali būti:
17.1. mažas (kai asmens duomenų tvarkymas arba galimas asmens duomenų saugumo pažeidimas duomenų subjektų teisėms ir laisvėms įtakos neturės arba padariniai kasdieniam fizinio asmens gyvenimui bus mažareikšmiai);
17.2. vidutinis (kai dėl asmens duomenų tvarkymo arba dėl galimo asmens duomenų saugumo pažeidimo duomenų subjektams gali būti sunkiau laikinai naudotis savo teisėmis ir laisvėmis, pasinaudoti TKA teikiamomis paslaugomis, gali atsirasti kitokių neigiamų padarinių kasdieniam fizinio asmens gyvenimui);
17.3. didelis (kai dėl asmens duomenų tvarkymo arba dėl galimo asmens duomenų saugumo pažeidimo duomenų subjektams gali būti sunku arba neįmanoma pasinaudoti savo teisėmis ir laisvėmis, duomenų subjektas gali patirti atskirtį ar diskriminaciją, finansinių nuostolių, gali būti pakenkta jo reputacijai arba atsirasti kitokių rimtų neigiamų padarinių kasdieniam fizinio asmens gyvenimui).
18. Pavojaus įvertinimas ir bendro pavojaus lygio nustatymas atliekamas vadovaujantis pavojaus įvertinimo ir bendro pavojaus lygio nustatymo lentele, kuri pateikta šio Aprašo 5 priede.
19. Priemonės, kurių galima imtis siekiant sumažinti ar pašalinti pavojus (pavyzdžiui, saugumo priemonės, kuriomis užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi BDAR reikalavimų: duomenų šifravimas ir kitos techninės priemonės, reikšmingas asmenų, turinčių prieigą prie tam tikrų asmens duomenų, rato apribojimas, reikalavimų prieigos teises turinčių vartotojų identifikavimui sugriežtinimas ir pan.), nustatomos atsižvelgiant į pavojaus mažinimo ir šalinimo priemonių rekomendacijas, kurios pateiktos šio Aprašo 6 priede.
20. Jei planuojamos pavojaus fizinių asmenų teisėms ir laisvėms mažinimo ir šalinimo priemonės yra imlios finansiniu ir laiko atžvilgiu, jų įgyvendinimui reikalingas tarpinstitucinis bendradarbiavimas ir (ar) keli vykdytojai ir pan., šios priemonės bei informacija apie jų įgyvendinimą gali būti fiksuojama atskirame pavojaus, kylančio fizinių asmenų teisėms ir laisvėms, mažinimo ir šalinimo priemonių plane, kurio pavyzdinė forma nustatyta šio Aprašo 7 priede.
21. TKA direktorius ar jo įgaliotas atsakingas asmuo užtikrina, kad būtų atliktas pavojaus, kylančio fizinių asmenų teisėms ir laisvėms, mažinimo ir šalinimo priemonių plane (jei toks planas buvo rengtas) nustatytų priemonių įgyvendinimo veiksmingumo vertinimas. Asmuo, įgyvendinęs plane numatytas priemones, negali vertinti jų veiksmingumo. Įgyvendinus numatytas priemones, iš naujo atliekamas pavojaus vertinimas (paprastai jį atlieka PDAV koordinatorius).
22. TKA, kaip duomenų valdytoja, gali nuspręsti, kad kai kurie pavojai (net ir dideli) yra priimtini, įvertinus planuojamo asmens duomenų tvarkymo naudą bei neproporcingas pavojų mažinimo ir šalinimo priemonių įgyvendinimo sąnaudas.
23. Jei atliekant PDAV paaiškėja, kad tvarkant asmens duomenis kiltų didelis pavojus duomenų subjektų teisėms ir laisvėms, jei TKA, kaip duomenų valdytojas, nesiimtų priemonių pavojui sumažinti, TKA, prieš pradėdamas tvarkyti asmens duomenis, privalo iš anksto konsultuotis su Valstybine duomenų apsaugos inspekcija. TKA, kreipdamasis dėl išankstinės konsultacijos, Valstybinei duomenų apsaugos inspekcijai pateikia BDAR 36 straipsnio 3 dalyje nurodytą informaciją.
24. Atliekant PDAV, TKA darbuotojai, kuriems yra pavesta atlikti naujas duomenų tvarkymo operacijas ir (arba) yra su jomis susiję, PDAV koordinatoriui privalo pateikti visą informaciją, kurios pagrindu yra pildoma PDAV ataskaita bei pavojaus, kylančio fizinių asmenų teisėms ir laisvėms, mažinimo ir šalinimo priemonių planas (jei reikia), ir bendradarbiauti atliekant PDAV (PDAV koordinatoriui paprašius, pateikti papildomą informaciją ir (ar) dokumentus, pagal kompetenciją teikti konsultacijas ir pan.).
25. PDAV koordinatoriui išreiškus poreikį, duomenų apsaugos pareigūnas PDAV atlikimo metu jam teikia konsultacijas ir metodinę informaciją dėl BDAR nuostatų taikymo. PDAV koordinatoriaus prašymai dėl šiame punkte nurodytų konsultacijų ir (ar) metodinės informacijos pateikimo bei duomenų apsaugos pareigūno atsakymai į juos teikiami elektroniniu paštu.
26. Atlikus PDAV, PDAV koordinatorius ne vėliau kaip per 5 darbo dienas po atlikto PDAV duomenų apsaugos pareigūnui elektroniniu paštu pateikia TKA patvirtintos PDAV atlikimo ataskaitos, pavojaus, kylančio fizinių asmenų teisėms ir laisvėms, mažinimo ir šalinimo priemonių plano (jei planas buvo patvirtintas) bei Valstybinės duomenų apsaugos inspekcijos pateiktų rekomendacijų (jei atliekant PDAV buvo kreiptasi dėl išankstinių konsultacijų) skaitmenines kopijas.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
27. TKA direktorius ar jo įgaliotas atsakingas asmuo užtikrina, kad prireikus būtų atlikta PDAV peržiūra ir įvertinta, ar asmens duomenys tvarkomi laikantis PDAV atlikimo ataskaitoje nurodytų išvadų ir sprendimų.
28. Jei atlikus PDAV iš esmės pasikeičia asmens duomenų tvarkymo pobūdis, aprėptis, kontekstas ir (ar) tikslai, turi būti atliekamas naujas PDAV.
29. Visi PDAV dokumentai (poreikio atlikti PDAV nustatymo klausimynas, PDAV atlikimo ataskaita, pavojaus, kylančio fizinių asmenų teisėms ir laisvėms, mažinimo ir šalinimo priemonių planas ir kt.) registruojami ir tvarkomi TKA dokumentų valdymo sistemoje.
Asmens duomenų tvarkymo operacijų viešojoje įstaigoje Transporto kompetencijų
agentūroje poveikio duomenų apsaugai
vertinimo atlikimo tvarkos aprašo
1 priedas
_________________
Asmens duomenų tvarkymo operacijų viešojoje įstaigoje Transporto kompetencijų
agentūroje poveikio duomenų apsaugai
vertinimo atlikimo tvarkos aprašo
2 priedas
POVEIKIO DUOMENŲ APSAUGAI VERTINIMO ATLIKIMAS
_________________
Asmens duomenų tvarkymo operacijų
viešojoje įstaigoje Transporto kompetencijų
agentūroje poveikio duomenų apsaugai
vertinimo atlikimo tvarkos aprašo
3 priedas
(poreikio atlikti poveikio duomenų apsaugai vertinimą nustatymo klausimyno forma)
POREIKIO ATLIKTI POVEIKIO DUOMENŲ APSAUGAI VERTINIMĄ NUSTATYMO KLAUSIMYNAS
___________________ Nr. ___________________
(data) (numeris)
|
Duomenų tvarkymo operacija:
|
|||
| Eil. Nr. |
Klausimas |
Atsakymas Taip / Ne |
Pastabos |
| 1. |
Ar duomenų tvarkymo operacija yra įtraukta į Valstybinės duomenų apsaugos inspekcijos sudarytą duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą? |
|
|
| 2. |
Ar tai nauja duomenų tvarkymo operacija? |
|
|
| 3. |
Ar atliekant duomenų tvarkymo operaciją bus renkami, naudojami, saugomi ar kitaip tvarkomi asmens duomenys? |
|
|
| 4. |
Ar atliekant duomenų tvarkymo operaciją duomenų subjektai privalės teikti duomenis apie save (asmens duomenis)? |
|
|
| 5. |
Ar asmens duomenys bus atskleisti tretiesiems asmenims (organizacijoms, kitiems duomenų valdytojams, kitiems asmenims ir pan.), kuriems prieš tai nebuvo teikti asmens duomenys? |
|
|
| 6. |
Ar asmens duomenys bus tvarkomi naujais tikslais, t. y. iki šiol asmens duomenys nebuvo šiais tikslais tvarkomi? |
|
|
| 7. |
Kokiu teisiniu pagrindu vadovaujantis duomenų tvarkymo operacijos metu bus tvarkomi asmens duomenys? Nurodyti bent vieną iš BDAR 6, 9 ir (ar) 10 straipsnyje įtvirtintų teisėto asmens duomenų tvarkymo pagrindų. Jeigu asmens duomenys tvarkomi vadovaujantis Lietuvos Respublikos teisės aktais, nurodyti tokių teisės aktų pavadinimus, straipsnius, dalis, punktus. |
|
|
| 8. |
Ar duomenų tvarkymo operacijos metu bus naudojamos naujos technologijos, kurios gali būti laikomos nesaugiomis, neužtikrinančiomis asmenų privatumo? Kokios? |
|
|
| 9. |
Ar duomenų tvarkymo operacijos metu bus priimami sprendimai, kurie gali padaryti reikšmingą poveikį duomenų subjektams? Kokie? |
|
|
| 10. |
Ar duomenų tvarkymo operacijos metu su duomenų subjektais bus kontaktuojama taip, kad gali būti pažeistas jų privatumas (pavyzdžiui, siunčiami elektroniniai laiškai ar SMS žinutės, skambinama telefonu ir pan.)? |
|
|
| 11. |
Ar bus atliekamas vertinimas arba balų skyrimas, įskaitant profiliavimą ir prognozavimą, visų pirma remiantis aspektais, susijusiais su duomenų subjekto darbo rezultatais, ekonomine padėtimi, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu? |
|
|
| 12. |
Ar bus priimami automatizuoti sprendimai, duomenų subjektams sukeliantys teisinį arba panašų rimtą poveikį? |
|
|
| 13. |
Ar bus atliekama sisteminga stebėsena, t. y. duomenų tvarkymas, kuris reikalingas duomenų subjektų stebėsenos arba kontrolės tikslais, įskaitant tinkluose surinktus duomenis arba sistemingą viešos vietos stebėjimą dideliu mastu? |
|
|
| 14. |
Ar bus tvarkomi neskelbtini duomenys arba labai asmeniški duomenys (pavyzdžiui, specialių kategorijų asmens duomenys, duomenys apie apkaltinamuosius nuosprendžius ar nusikalstamas veikas, vietos nustatymo duomenys, finansiniai duomenys, elektroniniai laiškai ir kt.)? |
|
|
| 15. |
Ar asmens duomenys bus tvarkomi dideliu mastu? |
|
|
| 16. |
Ar bus atliekamos sudėtingos duomenų tvarkymo operacijos? Kokios? |
|
|
| 17. |
Ar bus tvarkomi duomenys, susiję su pažeidžiamais duomenų subjektais? Kokiais? |
|
|
| 18. |
Ar bus naudojamasi inovatyviais organizaciniais-techniniais sprendimais? Kokiais? |
|
|
| 19. |
Ar dėl paties duomenų tvarkymo duomenų subjektams užkertamas kelias naudotis savo teisėmis, paslaugomis arba sudaryti sutartis? |
|
|
| Išvados: klausimyną užpildęs TKA darbuotojas nustato, ar yra poreikis atlikti poveikio duomenų apsaugai vertinimą, ir nurodo savo siūlymą dėl poveikio duomenų apsaugai vertinimo atlikimo (yra poreikis atlikti poveikio duomenų apsaugai vertinimą ar ne) bei siūlymą pagrindžiančius motyvus. Nustačius, kad yra poreikis atlikti poveikio duomenų apsaugai vertinimą, gali būti teikiamas siūlymas dėl TKA darbuotojų, kurių dalyvavimas atliekant poveikio duomenų apsaugai vertinimą būtų reikšmingas pagal jų turimas kompetencijas ir atliekamas asmens duomenų tvarkymo funkcijas.
|
|||
Klausimyną užpildžiusio darbuotojo pareigos (parašas) (vardas ir pavardė)
TKA direktoriaus rezoliucija (parašas) (vardas ir pavardė)[1]
_________________
Asmens duomenų tvarkymo operacijų
viešojoje įstaigoje Transporto kompetencijų
agentūroje poveikio duomenų apsaugai
vertinimo atlikimo tvarkos aprašo
4 priedas
(poveikio duomenų apsaugai vertinimo atlikimo ataskaitos forma)
POVEIKIO DUOMENŲ APSAUGAI VERTINIMO ATLIKIMO ATASKAITA
___________________ Nr. ___________________
(data) (numeris)
1. Priežastys, dėl kurių būtina atlikti poveikio duomenų apsaugai vertinimą
| Planuojamos vykdyti veiklos aprašymas, jos tikslai ir planuojamos atlikti asmens duomenų tvarkymo operacijos. Paaiškinimas, kodėl būtina atlikti poveikio duomenų apsaugai vertinimą. Jei reikia, prie formos pridedami susiję dokumentai. |
|
|
2. Asmens duomenų tvarkymo aprašymas
| Aprašomi asmens duomenų rinkimo, naudojimo, saugojimo ir naikinimo veiksmai, nurodoma, iš kokių šaltinių bus renkami duomenys, kam bus teikiami (galima pateikti asmens duomenų tvarkymo veiksmų schemą). Aprašoma, kokie asmens duomenų tvarkymo veiksmai gali kelti pavojų fizinių asmenų teisėms ir laisvėms. |
|
|
| Aprašomas tvarkymo mastas: kokių kategorijų asmens duomenys bus tvarkomi; ar bus tvarkomi specialių kategorijų asmens duomenys arba duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas; kiek duomenų, kaip dažnai bus renkama ir naudojama; kaip ilgai bus saugomi asmens duomenys; nurodomas apytikslis duomenų subjektų skaičius bei geografinė duomenų tvarkymo aprėptis. |
|
|
| Aprašomas duomenų tvarkymo pobūdis: kokio pobūdžio santykiai sieja TKA su duomenų subjektais; ar duomenų subjektai turės galimybę kontroliuoti duomenų tvarkymą; ar duomenų subjektai gali numatyti, kad jų asmens duomenys bus taip tvarkomi; ar bus tvarkomi vaikų ir kitų pažeidžiamų asmenų duomenys; įvertinama, ar toks duomenų tvarkymas yra saugus; ar duomenų tvarkymo technologijos yra naujos, ar egzistuojančios technologijos bus panaudotos kitaip; koks yra technologijų išsivystymo lygis šioje srityje; ar yra kokių nors visuomeninių ar pan. problemų ar klausimų, į kuriuos būtina atsižvelgti; nurodoma, ar yra įsipareigojimas laikytis patvirtinto elgesio kodekso ar patvirtinto sertifikavimo mechanizmo. |
|
|
| Aprašomi asmens duomenų tvarkymo tikslai: kokį rezultatą siekiama gauti; kokį poveikį tai turės fiziniams asmenims; kokia yra tokio duomenų tvarkymo nauda TKA bei kitiems asmenims. |
|
|
3. Konsultacijos
| Aprašoma, kaip planuojama sužinoti suinteresuotų asmenų nuomonę, arba pagrindžiama, kodėl to daryti nebūtina (pavyzdžiui, dėl duomenų saugumo ar konfidencialumo reikalavimų, dėl neproporcingai didelės administracinės naštos ir pan.); kokių asmenų nuomonę planuojama gauti; kokie asmenys bus pasitelkti TKA, ar bus pasitelkti duomenų tvarkytojai; ar planuojama konsultuotis su duomenų saugos ekspertais ar kitokių sričių ekspertais. |
|
|
4. Būtinumo ir proporcingumo įvertinimas
| Aprašomas asmens duomenų tvarkymo teisėtumas ir tvarkymo proporcingumas: nurodomas teisėto tvarkymo pagrindas; įvertinama, ar tvarkant asmens duomenis bus pasiektas TKA tikslas; ar tą patį rezultatą įmanoma pasiekti kitaip; kaip bus išvengta veiklos sutrikimų; kaip bus užtikrinta duomenų kokybė ir įgyvendintas duomenų kiekio mažinimo principas; kokia informacija bus pateikta duomenų subjektams; kaip TKA planuoja įgyvendinti duomenų subjektų teises; kaip bus užtikrinta, kad duomenų tvarkytojas, jei toks pasitelkiamas, laikytųsi reikalavimų; kaip bus užtikrintas į užsienio valstybes teikiamų asmens duomenų saugumas. |
|
|
5. Pavojų nustatymas ir įvertinimas
| Aprašomas pavojaus ir poveikio fiziniam asmeniui pobūdis. |
Žalos tikimybė |
Žalos sunkumas |
Bendras pavojaus lygis |
|
|
Mažai tikėtina, tikėtina ar labai tikėtina |
Minimali, reikšminga ar sunki |
Mažas, vidutinis ar didelis |
6. Priemonių sumažinti ar pašalinti pavojus nustatymas
| Nurodomos papildomos priemonės, kurių galima imtis siekiant sumažinti ar pašalinti didelį ar vidutinį pavojų. |
||||
| Pavojus |
Priemonės sumažinti ar pašalinti pavojų |
Priemonės pritaikymo rezultatas |
Likęs pavojaus lygis |
Priemonė patvirtinta |
|
|
|
Pašalinta, sumažinta, priimtina rizika
|
Mažas, vidutinis ar didelis |
Taip, ne |
7. Išvados ir sprendimai
| Nurodomos priemonės ir įvardijamas likęs pavojus |
Vardas, pavardė, data, parašas |
Pastabos |
| Priemonės patvirtintos: |
|
Įtraukti numatytas priemones į veiklos planą, nustatant atlikimo terminą ir atsakingus asmenis |
| Likęs pavojus pripažintas priimtina rizika:
|
|
Jei priimtina rizika pripažintas didelis pavojus, privaloma kreiptis dėl išankstinės konsultacijos į Valstybinę duomenų apsaugos inspekciją |
Duomenų apsaugos pareigūno nuomonė
Duomenų apsaugos pareigūno nuomonė turi būti pateikta dėl asmens duomenų tvarkymo teisėtumo, planuojamų priemonių pavojams mažinti ar pašalinti bei dėl galimybės toliau tvarkyti asmens duomenis.
| Nurodoma duomenų apsaugos pareigūno nuomonė: |
Nurodoma, ar atsižvelgta į duomenų apsaugos pareigūno nuomonę
| Jeigu atmesta, pagrindžiama kodėl. |
Gautos kitų susijusių asmenų nuomonės
| Trumpai aprašomos kitų susijusių asmenų nuomonės ir nurodoma, ar į jas atsižvelgta. Jeigu sprendimas skiriasi nuo susijusių asmenų nuomonės, pagrindžiama kodėl. |
Poveikio duomenų apsaugai
vertinimo koordinatorius (parašas)[2] (vardas ir pavardė)
TKA direktoriaus rezoliucija (parašas) (vardas ir pavardė)[3]
_________________
Asmens duomenų tvarkymo operacijų
viešojoje įstaigoje Transporto kompetencijų
agentūroje poveikio duomenų apsaugai
vertinimo atlikimo tvarkos aprašo
5 priedas
PAVOJAUS ĮVERTINIMO IR BENDRO PAVOJAUS LYGIO NUSTATYMO
LENTELĖ
|
Žalos sunkumas
|
Sunki
|
Mažas pavojus
|
Didelis pavojus |
Didelis pavojus |
| Reikšminga
|
Mažas pavojus
|
Vidutinis pavojus |
Didelis pavojus |
|
| Minimali
|
Mažas pavojus
|
Mažas pavojus |
Mažas pavojus |
|
|
|
|
Mažai tikėtina
|
Tikėtina |
Labai tikėtina |
|
|
|
Žalos tikimybė
|
||
Asmens duomenų tvarkymo operacijų
viešojoje įstaigoje Transporto kompetencijų
agentūroje poveikio duomenų apsaugai
vertinimo atlikimo tvarkos aprašo
6 priedas
PAVOJAUS MAŽINIMO IR ŠALINIMO PRIEMONIŲ REKOMENDACIJOS
|
Pavojaus lygis |
Rekomenduojamos pavojaus mažinimo ar šalinimo priemonės
|
| Mažas |
Papildomų pavojaus mažinimo ir (ar) šalinimo priemonių galima nenumatyti, išskyrus atvejus, kai joms įgyvendinti nereikia didelių sąnaudų. Turi būti užtikrinta, kad veiktų esamos pavojaus mažinimo ir (ar) šalinimo priemonės. |
| Vidutinis |
Rekomenduotina numatyti pavojaus mažinimo ir (ar) šalinimo priemones, įgyvendinti tokias pavojaus mažinimo ir (ar) šalinimo priemones, kurios nėra labai imlios finansiniu ir laiko atžvilgiu, tačiau yra pakankamos sumažinti pavojaus lygį arba jį pakankamai kontroliuoti. |
| Didelis |
Būtina išsamiai išnagrinėti situaciją, nustatyti pavojaus mažinimo ir (ar) šalinimo priemones. Šios priemonės turi būti nustatytos pavojaus, kylančio fizinių asmenų teisėms ir laisvėms, mažinimo ir šalinimo priemonių plane. Priemonės gali būti susijusios ne tik su veiksmais TKA viduje, apie nustatytą labai didelį pavojų fizinių asmenų teisėms ir laisvėms gali būti informuota Valstybinė duomenų apsaugos inspekcija. Nustatytos pavojaus mažinimo ir (ar) šalinimo priemonės turi būti įgyvendintos per nustatytą laikotarpį. Turi būti atliekamas priemonių įgyvendinimo veiksmingumo vertinimas. Įgyvendinus numatytas priemones, iš naujo turi būti atliktas pavojaus vertinimas. |
Asmens duomenų tvarkymo operacijų
viešojoje įstaigoje Transporto kompetencijų
agentūroje poveikio duomenų apsaugai
vertinimo atlikimo tvarkos aprašo
7 priedas
(pavojaus, kylančio fizinių asmenų teisėms ir laisvėms, mažinimo ir šalinimo priemonių plano forma)
PAVOJAUS, KYLANČIO FIZINIŲ ASMENŲ TEISĖMS IR LAISVĖMS, MAŽINIMO IR ŠALINIMO PRIEMONIŲ
VIEŠOJOJE ĮSTAIGOJE TRANSPORTO KOMPETENCIJŲ AGENTŪROJE PLANAS
___________________ Nr. ___________________
(data) (numeris)
| Eil. Nr. |
Pavojaus priežastis (kilmė) |
Pavojaus pasekmė |
Planuojamos pavojaus mažinimo ir (ar) šalinimo priemonės |
Vykdytojo pareigos, vardas ir pavardė |
Įgyvendinimo terminas |
Planuojami pavojaus mažinimo ir (ar) šalinimo priemonės įgyvendinimo veiksmai |
Įgyvendinimo žyma |
Veiksmingumo vertinimas |
Vertinimo atlikimo data |
Vertinimą atlikusio asmens pareigos, vardas ir pavardė |
| 1. |
|
|
|
|
|
|
|
|
|
|
| 2. |
|
|
|
|
|
|
|
|
|
|