LIETUVOS ADMINISTRACINIŲ GINČŲ KOMISIJOS

PIRMININKAS

 

ĮSAKYMAS

DĖL ASMENS duomenų tvarkymo LIETUVOS ADMINISTRACINIŲ GINČŲ KOMISIJOJE TAISYKLIŲ PATVIRTINIMO

 

2018 m. spalio 26 d. Nr. 6P-47

Vilnius

 

 

Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos Vyriausybės 2016 m. rugpjūčio 11 d. nutarimu Nr. 817 patvirtintų Lietuvos administracinių ginčų komisijos nuostatų 12 punktu:

1.            T v i r t i n u Asmens duomenų tvarkymo Lietuvos administracinių ginčų komisijoje taisykles (pridedama).

2.            Į s a k a u duomenų apsaugos pareigūnui su Taisyklėmis supažindinti visus Komisijos narius, Komisijos valstybės tarnautojus ir darbuotojus, dirbančius pagal darbo sutartis.

 

 

 

Komisijos pirmininkas                                                                         Vytautas Kurpuvesas

 

PATVIRTINTA

Lietuvos administracinių ginčų komisijos

pirmininko 2018 m. spalio 26 d.

Įsakymu Nr. 6P-47

 

ASMENS duomenų tvarkymo LIETUVOS ADMINISTRACINIŲ GINČŲ KOMISIJOJE taisyklĖS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1Asmens duomenų tvarkymo Lietuvos administracinių ginčų komisijoje taisyklių (toliau – Taisyklės) tikslas – reglamentuoti asmens duomenų tvarkymą Lietuvos administracinių ginčų komisijoje ir jos teritoriniuose padaliniuose (toliau – Komisija), nustatyti pagrindines asmens duomenų tvarkymo, duomenų subjekto teisių įgyvendinimo ir duomenų apsaugos technines bei organizacines priemones, siekiant užtikrinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Reglamentas (ES) 2016/679), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, ikiteisminio administracinių ginčų nagrinėjimo tvarką reglamentuojančių įstatymų ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą. Kai asmens duomenys Komisijoje tvarkomi ikiteisminio administracinių ginčų nagrinėjimo tikslais, asmens duomenys tvarkomi vadovaujantis ikiteisminio administracinių ginčų nagrinėjimo tvarką reglamentuojančiais įstatymais ir šios Taisyklės taikomos tiek, kiek ikiteisminio administracinių ginčų nagrinėjimo tvarką reglamentuojančiuose įstatymuose nenustatyta kitaip.

2Taisyklės privalomos visiems Komisijos nariams, Komisijos valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis (toliau – Komisijos darbuotojams), kurie tvarko Komisijoje esančius asmens duomenis ir (arba) eidami savo pareigas sužino arba gali sužinoti asmens duomenis.

3. Taisyklėse nurodytų asmens duomenų valdytoja ir tvarkytoja yra Komisija, kuri užtikrina, kad asmens duomenys Komisijoje būtų tvarkomi laikantis Reglamente (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose nustatytų asmens duomenų tvarkymo reikalavimų. Taisyklėse nurodytus asmens duomenis teisės aktų nustatytais atvejais ir tvarka gali tvarkyti ir kiti subjektai (asmens duomenų valdytojai ir tvarkytojai).

4. Komisija, kaip asmens duomenų valdytoja, atlikdama Lietuvos Respublikos Konstitucijoje, Lietuvos Respublikos ikiteisminio administracinių ginčų nagrinėjimo tvarkos įstatyme, kituose įstatymuose ir teisės aktuose nustatytas funkcijas, turi teisę gauti iš kitų valstybės ir savivaldybių institucijų, įstaigų, organizacijų ir trečiųjų asmenų informaciją Komisijos kompetencijai priskirtais klausimais ir teisės aktų nustatyta tvarka tvarkyti asmens duomenis.

5. Komisija tvarko duomenų tvarkymo veiklos, už kurią jie atsako, įrašus, t. y. pildo Duomenų tvarkymo veiklos įrašų žurnalą, kurio pavyzdinė forma nustatyta šių Taisyklių 1 priede.

6. Komisijoje skiriamas vienas duomenų apsaugos pareigūnas, kuris vykdo jam pagal Reglamentą (ES) 2016/679 pavestas užduotis. Duomenų apsaugos pareigūnas skiriamas Komisijos pirmininko įsakymu.

7. Šiose Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679 ir Lietuvos Respublikos teisės aktuose.

 

II SKYRIUS

KOMISIJOS TVARKOMI ASMENS DUOMENYS IR JŲ TVARKYMO TIKSLAI

 

8. Komisijos tvarkomi asmens duomenys ir jų tvarkymo tikslai:

8.1. ikiteisminio administracinių ginčų nagrinėjimo tikslais gali būti tvarkomi byloje dalyvaujančių asmenų ir kitų bylos dalyvių, Komisijos narių asmens duomenys, taip pat kitų asmenų (ne bylos dalyvių) asmens duomenys (pateikiami procesiniuose dokumentuose): vardas (vardai), pavardė (pavardės), asmens kodas, gimimo data, gyvenamoji vieta ir adresas korespondencijai, fizinio asmens tapatybę patvirtinančio dokumento duomenys, telefono numeris, elektroninio pašto adresas, išsilavinimas, užimtumas, profesija, lytis, pilietybė, etninė kilmė ir kiti asmens duomenys, gaunami ikiteisminį administracinių ginčų nagrinėjimą reglamentuojančiuose įstatymuose ir kituose teisės aktuose nustatyta tvarka ir pagrindais, kai pagal teisės aktus tokie asmens duomenys yra reikalingi vykdyti Komisijoje veiklą.;

8.2. išnagrinėtų bylų parengimo ir pateikimo susipažinti organizavimo tikslais išnagrinėtų bylų medžiagoje esantys asmens duomenys tvarkomi susipažinimą su Komisijoje išnagrinėtų bylų medžiaga reglamentuojančiuose teisės aktuose nustatyta tvarka;

8.3. neprocesinių skundų, prašymų ir pranešimų nagrinėjimo, vidaus administravimo (dokumentų valdymo) tikslais gali būti tvarkomi asmenų, pateikusių Komisijai neprocesinį skundą, prašymą ar pranešimą, ir kitų asmenų asmens duomenys (pateikiami skunde, prašyme ar pranešime): vardas (vardai), pavardė (pavardės), asmens kodas, adresas, telefono numeris, elektroninio pašto adresas, skundo, prašymo ar pranešimo data ir numeris (registravimo Komisijoje data ir numeris), skunde, prašyme ar pranešime nurodyta informacija (įskaitant ir specialių kategorijų asmens duomenis), skundo, prašymo ar pranešimo nagrinėjimo rezultatas, Komisijos atsakymo data ir numeris, skundo, prašymo ar pranešimo nagrinėjimo metu gauta informacija;

8.4. informacijos apie Komisijos veiklą ir bylas teikimo visuomenės informavimo tikslu Komisijos turimi ir bylų medžiagoje esantys asmens duomenys, taip pat Komisijos darbuotojų, Komisijos organizuojamų renginių dalyvių, visuomenės informavimo priemonių atstovų, Komisijos svečių ir kitų lankytojų asmens duomenys tvarkomi vadovaujantis informacijos apie Komisijos veiklą ir bylas teikimą visuomenei reglamentuojančiuose teisės aktuose nustatyta tvarka;

8.5. vidaus administravimo (personalo valdymo, dokumentų valdymo, materialinių ir finansinių išteklių naudojimo) tikslu gali būti tvarkomi Komisijos esamų ir buvusių darbuotojų asmens duomenys: vardas (vardai), pavardė (pavardės), asmens kodas, gimimo data, asmens socialinio draudimo pažymėjimo numeris, pilietybė, adresas, telefono numeris, elektroninio pašto adresas, gyvenimo ir darbinės veiklos aprašymo duomenys ir juose nurodytus faktus pagrindžiantys dokumentai (diplomai, atestatai, pažymėjimai, pažymos ir kt.), šeiminė padėtis, pareigos, duomenys apie priėmimą (perkėlimą) į pareigas, atleidimą iš pareigų, tarnybos Lietuvos valstybei stažą, duomenys apie darbo tam tikroje srityje stažą, duomenys apie išsilavinimą ir kvalifikaciją, duomenys apie mokymą, duomenys apie atostogas, duomenys apie darbo užmokestį, išeitines išmokas, kompensacijas, pašalpas, informacija apie dirbtą darbo laiką, informacija apie skatinimus ir nuobaudas, informacija apie atliktus darbus ir užduotis, duomenys apie veiklos vertinimą, viešų ir privačių interesų deklaravimo duomenys, asmens tapatybę patvirtinančio dokumento duomenys, dokumentų registracijos data ir numeris, specialių kategorijų asmens duomenys, susiję su sveikata, bei kiti asmens duomenys, kuriuos pateikia pats asmuo, kuriuos Komisija gauna pagal teisės aktus vykdydamas atitinkamą vidaus administravimo veiklą ir (arba) kuriuos tvarkyti Komisiją įpareigoja įstatymai ir (arba) kiti teisės aktai;

8.6. vidaus administravimo (personalo valdymo, dokumentų valdymo) tikslu gali būti tvarkomi pretendentų į Komisijos darbuotojus asmens duomenys: vardas (vardai), pavardė (pavardės), asmens kodas, gimimo data, pilietybė, adresas, telefono numeris, elektroninio pašto adresas, pareigos, į kurias pretenduojama, gyvenimo ir darbinės veiklos aprašymo duomenys ir juose nurodytus faktus pagrindžiantys dokumentai (diplomai, atestatai, pažymėjimai, pažymos ir kt.), duomenys apie išsilavinimą ir kvalifikaciją, pokalbio su pretendentu į valstybės tarnautojo pareigas skaitmeninis garso įrašas, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo, kuriuos Komisija gauna pagal teisės aktus vykdydamas atitinkamą vidaus administravimo veiklą ir (arba) kuriuos tvarkyti Komisiją įpareigoja įstatymai ir (arba) kiti teisės aktai;

8.7. viešosios tvarkos, Komisijos darbuotojų ir kitų asmenų, kurie lankosi Komisijoje, bei jų ir Komisijos turto saugumo užtikrinimo tikslu gali būti tvarkomi vaizdo duomenys (vykdomas vaizdo stebėjimas). Vaizdo duomenys Komisijoje gali būti tvarkomi Komisijos pirmininko patvirtintose vaizdo duomenų tvarkymo Komisijoje taisyklėse nustatyta tvarka;

8.8. duomenų ir informacijos apsaugos nuo neleistinos prieigos, Komisijos darbuotojų ir jų bei Komisijos turto saugumo užtikrinimo tikslu gali būti vykdoma Komisijos darbuotojų įeigos kontrolė ir gali būti tvarkomi Komisijos darbuotojų asmens duomenys: vardas (vardai), pavardė (pavardės), įėjimo ir išėjimo iš Komisijos patalpų data ir laikas;

8.9. viešųjų pirkimų procedūrų organizavimo ir vykdymo tikslais gali būti tvarkomi tiekėjų (fizinių asmenų) asmens duomenys: vardas (vardai), pavardė (pavardės), asmens kodas, išsilavinimas, darbovietė, pareigos, adresas, telefono numeris, elektroninio pašto adresas bei kiti asmens duomenys, kuriuos pateikia pats asmuo, kuriuos Komisija gauna pagal teisės aktus vykdydamas atitinkamą vidaus administravimo veiklą ir (arba) kuriuos tvarkyti Komisiją įpareigoja įstatymai ir (arba) kiti teisės aktai;

8.10. prekių, darbų, paslaugų sutarčių su tiekėjais vykdymo tikslu gali būti tvarkomi tiekėjų (fizinių asmenų) asmens duomenys: vardas (vardai), pavardė (pavardės), asmens kodas, adresas, telefono numeris, elektroninio pašto adresas, banko sąskaitos numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo, kuriuos Komisija gauna pagal teisės aktus vykdydamas atitinkamą vidaus administravimo veiklą ir (arba) kuriuos tvarkyti Komisiją įpareigoja įstatymai ir (arba) kiti teisės aktai;

8.11. mokėjimų fiziniams asmenims vykdymo, įmokėtų lėšų apskaitos, teikiamų paslaugų administravimo tikslais gali būti tvarkomi byloje dalyvaujančių asmenų ir kitų proceso dalyvių bei jų nurodytų lėšų gavėjų, mokėjimus atlikusių fizinių asmenų asmens duomenys: vardas (vardai), pavardė (pavardės), asmens kodas, banko sąskaitos numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo, kuriuos Komisija gauna pagal teisės aktus vykdydamas atitinkamą vidaus administravimo veiklą ir (arba) kuriuos tvarkyti Komisiją įpareigoja įstatymai ir (arba) kiti teisės aktai;

8.12. telefonu teikiamos informacijos kokybės užtikrinimo tikslu gali būti tvarkomi skambinančiojo asmens duomenys, t. y. pokalbio metu pateikta informacija.

 

III SKYRIUS

Pagrindiniai asmens duomenų TVARKYMO IR apsaugos

Reikalavimai

 

9. Komisijos darbuotojai, atlikdami savo funkcijas ir tvarkydami asmens duomenis, privalo laikytis pagrindinių asmens duomenų tvarkymo reikalavimų:

9.1. asmens duomenys renkami šių Taisyklių 8 punkte apibrėžtais tikslais ir tvarkomi su šiais tikslais suderintais būdais;

9.2. asmens duomenys duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu;

9.3. asmens duomenys turi būti tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, ištrinti (sunaikinti) arba sustabdytas jų tvarkymas;

9.4. asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi;

9.5. asmens duomenys turi būti laikomi (saugomi) tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;

9.6. asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ir organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;

9.7. asmens duomenys tvarkomi pagal Reglamente (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose atitinkamą veiklą reglamentuojančiuose teisės aktuose nustatytus asmens duomenų tvarkymo reikalavimus.

10. Asmens duomenys Komisijoje renkami tik teisės aktų nustatyta tvarka, juos gaunant tiesiogiai iš duomenų subjekto, gaunant iš kitų asmenų teisės aktų nustatyta tvarka ir pagrindais, taip pat oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų pagal prašymą (vienkartinio asmens duomenų rinkimo atveju) arba pagal asmens duomenų teikimo sutartį (daugkartinio asmens duomenų rinkimo atveju).

11. Asmens duomenų saugojimo terminus ir veiksmus, kurie atliekami pasibaigus šiam terminui, nustato teisės aktai, reglamentuojantys atitinkamų asmens duomenų tvarkymą. Asmens duomenys saugomi ne ilgiau, negu to reikalauja duomenų tvarkymo tikslai. Asmens duomenys, esantys dokumentuose, yra saugomi teisės aktų, reglamentuojančių šių dokumentų saugojimą, nustatyta tvarka ir terminais. Elektroninės informacijos (duomenų) atsarginės kopijos saugomos informacinės sistemos valdytojo tvirtinamuose informacinės sistemos saugos nuostatuose nustatyta tvarka ir terminais. Vaizdo duomenys saugomi Komisijos pirmininko patvirtintose vaizdo duomenų tvarkymo Komisijoje taisyklėse nustatytais terminais. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie yra sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti valstybės archyvams.

12. Komisija užtikrina, kad visa reikalinga informacija, susijusi su duomenų tvarkymu, duomenų subjektui būtų pateikiama aiškiai ir suprantamai.

13. Teisės aktų nustatytais atvejais ir tvarka Komisija teikia jų tvarkomus asmens duomenis valstybės registrų ir valstybės informacinių sistemų valdytojams ir (arba) tvarkytojams, valstybės ir savivaldybių institucijoms, įstaigoms, organizacijoms ir kitiems asmenims, kuriems asmens duomenis teikti Komisiją įpareigoja įstatymai ar kiti teisės aktai arba kuriems Komisija, teisės aktų nustatyta tvarka vykdydami savo funkcijas, teikia asmens duomenis, taip pat pagal duomenų gavėjų prašymus (vienkartinio teikimo atveju) arba Komisijos ir duomenų gavėjų sudarytas asmens duomenų teikimo sutartis (daugkartinio teikimo atveju). Sutartyje turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis. Prašyme turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis. Kai asmens duomenys tvarkomi automatiniu būdu ir taikomos tinkamos duomenų saugumą užtikrinančios priemonės, teikiant asmens duomenis pagal Komisijos ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį, prioritetas turi būti teikiamas automatiniam duomenų teikimui, o teikiant asmens duomenis pagal duomenų gavėjo prašymą, – duomenų teikimui elektroninėmis priemonėmis.

 

IV SKYRIUS

SPECIALIEJI ASMENS DUOMENŲ TVARKYMO KOMISIJOJE

REIKALAVIMAI

 

14. Komisija įgyvendina Taisyklėse nurodytas organizacines ir technines asmens duomenų saugumo priemones, skirtas užtikrinti tinkamą asmens duomenų saugumą, taip pat apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo.

15. Pasikeitus duomenų subjektų asmens duomenims ir duomenų subjektams apie tai raštu informavus Komisiją, toks duomenų subjekto raštas įdedamas į bylą, o automatinėse duomenų rinkmenose ir duomenų bazėse duomenys atnaujinami.

16. Personalo, finansų, buhalterinės apskaitos ir atskaitomybės bylos, taip pat kitos archyvinės bylos ir atitinkamos elektroninės bylos, keičiantis atitinkamus dokumentus ir bylas tvarkantiems Komisijos darbuotojams ar jų įgaliojimams, perduodamos naujai priimtam ir asmens duomenis tvarkyti paskirtam Komisijos darbuotojui perdavimo-priėmimo aktu.

17. Naikinant dokumentus, kurių saugojimo terminas yra pasibaigęs, Komisijos dokumentai, kuriuose nurodomi asmens duomenys, bei jų kopijos turi būti sunaikinti taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio.

18. Duomenų subjektų pateikti dokumentai bei jų kopijos, finansavimo, buhalterinės apskaitos ir atskaitomybės, archyvinės ar kitos bylos, kuriose yra asmens duomenų, saugomos rakinamose spintose, seifuose arba patalpose. Dokumentai, kuriuose yra asmens duomenų, neturi būti laikomi taip, kad neturintys teisės asmenys nekliudomai galėtų su jais susipažinti.

19. Archyviniam saugojimui perduoti dokumentai (bylos) iki perdavimo valstybės archyvams saugomos Komisijos archyve dokumentų saugykloje.

20. Vietinio tinklo, t. y. uždaro Komisijos tinklo, kuriame visi tinklo informaciniai resursai yra laikomi ir tvarkomi centralizuotai, tarnybinėje stotyje (serveryje), o naudojami lokaliai per vartotojų asmeninius kompiuterius (klientus, kurie gali dalintis pagrindiniais tinklo ištekliais (išorinės atmintinės talpa, spausdintuvais ir kt.), su kitais tinklo vartotojais), sritys, kuriose yra saugomi asmens duomenys, privalo būti apsaugotos prieigos prie asmens duomenų slaptažodžiais arba turi būti apribotos prieigos teisės prie jų. Prieigos prie asmens duomenų teisės suteikiamos ir redaguojamos, slaptažodžiai suteikiami, keičiami ir naikinami duomenų valdytojo nustatyta tvarka.

21. Komisijos interneto svetainėje turi būti maksimaliai apribotos galimybės viešai veikiančioms interneto paieškos sistemoms bei paieškos variklių robotams kopijuoti Komisijos svetainėje esančią informaciją ir maksimaliai apribota galimybė šioms sistemoms ir robotams surasti ankščiau skelbtos, bet iš Komisijos interneto svetainės jau pašalintos, informacijos kopijų. Kompiuterinė įranga turi būti apsaugota nuo kenksmingos programinės įrangos (antivirusinių programų įdiegimas, atnaujinimas ir pan.). Asmens duomenų tvarkymo keliamos rizikos vertinimo atlikimo tvarka ir saugumo pažeidimų valdymas, reagavimo į šiuos pažeidimus veiksmai, duomenų atsarginių kopijų darymo, saugojimo ir duomenų atkūrimo iš atsarginių duomenų kopijų tvarka nustatoma informacinių sistemų valdytojo tvirtinamuose informacinės sistemos saugos nuostatuose bei kituose saugos politiką įgyvendinančiuose teisės aktuose.

 

V skyrius

Reikalavimai asmenims, tvarkantiems asmens duomenis

 

22. Prieiga prie asmens duomenų gali būti suteikta tik tam Komisijos darbuotojui, kuriam asmens duomenys yra reikalingi jo funkcijoms vykdyti.

23. Su asmens duomenimis galima atlikti tik tuos veiksmus, kuriems atlikti Komisijos darbuotojui yra suteiktos teisės.

24. Prieigos prie asmens duomenų teisės Komisijos darbuotojams suteikiamos, redaguojamos Komisijos pirmininko nustatyta tvarka.

25. Komisijos darbuotojas, tvarkantis duomenų subjektų asmens duomenis, privalo:

25.1. laikytis pagrindinių asmens duomenų tvarkymo reikalavimų ir saugumo reikalavimų, įtvirtintų Reglamente (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, šiose Taisyklėse ir kituose teisės aktuose;

25.2. laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jis susipažino vykdydamas savo funkcijas, išskyrus, jeigu tokia informacija buvo vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti asmens duomenų paslaptį galioja ir perėjus dirbti į kitas pareigas ar pasibaigus įgaliojimams, valstybės tarnybos ar darbo santykiams Komisijoje;

25.3. laikytis šiose Taisyklėse nustatytų organizacinių ir techninių asmens duomenų saugumo priemonių, siekiant užkirsti kelią netyčiniam ar neteisėtam tvarkomų asmens duomenų sunaikinimui, praradimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugoti dokumentus, duomenų rinkmenas bei duomenų bazėse saugomus duomenis ir vengti perteklinių jų kopijų darymo;

25.4. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su asmens duomenimis asmeniui, kuris nėra įgaliotas tvarkyti asmens duomenų;

25.5. nedelsiant pranešti Komisijos pirmininkui ar jo įgaliotam atsakingam asmeniui ir duomenų apsaugos pareigūnui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę Komisijos tvarkomų asmens duomenų saugumui;

25.6. laikytis kitų Taisyklėse ir asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.

26. Komisijos darbuotojai, prieš pradėdami tvarkyti VATARAS ir VATIS duomenis, pasirašo pasižadėjimus laikytis VATARAS ir VATIS duomenų saugos reikalavimų.

27. Komisijos darbuotojas netenka teisės tvarkyti duomenų subjektų asmens duomenų, kai pasibaigia Komisijos darbuotojo įgaliojimai, valstybės tarnybos ar darbo santykiai su Komisija, arba kai jam pavedama vykdyti su duomenų tvarkymu nesusijusias funkcijas.

 

VI SKYRIUS

DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO TVARKA

 

28. Duomenų subjektas turi šias teises:

28.1. gauti informaciją apie duomenų tvarkymą;

28.2. susipažinti su duomenimis;

28.3. reikalauti ištaisyti duomenis;

28.4. reikalauti ištrinti duomenis („teisė būti pamirštam“);

28.5. apriboti duomenų tvarkymą;

28.6. nesutikti su duomenų tvarkymu;

28.7. į duomenų perkeliamumą.

29. Teisė gauti informaciją apie duomenų tvarkymą:

29.1. Informacija apie Komisijos atliekamą duomenų subjekto asmens duomenų tvarkymą, nurodyta Reglamento (ES) 2016/679 13 ir 14 straipsniuose, pateikiama:

29.1.1. Komisijos interneto svetainėje;

29.1.2. informacinio pobūdžio lentelėse ir (arba) lipdukuose apie vaizdo stebėjimą Komisijos teritorijoje ir patalpose;

29.1.3. bendravimo su duomenų subjektu metu tokiu būdu, kokiu duomenų subjektas kreipiasi į Komisiją.

29.2. Informacija apie duomenų subjektų asmens duomenų tvarkymą pateikiama asmens duomenų gavimo metu.

29.3. Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto, apie šio duomenų subjekto asmens duomenų tvarkymą informuojama:

29.3.1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;

29.3.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu;

29.3.3. jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.

30. Teisė susipažinti su duomenimis:

30.1. Komisija, gavusi duomenų subjekto prašymą įgyvendinti teisę susipažinti su savo asmens duomenimis, turi pateikti:

30.1.1. informaciją, ar duomenų subjekto asmens duomenys tvarkomi ar ne;

30.1.2. su asmens duomenų tvarkymu susijusią informaciją, numatytą Reglamento (ES) 2016/679 15 straipsnio 1 ir 2 dalyse, jeigu duomenų subjekto asmens duomenys tvarkomi;

30.1.3. tvarkomų asmens duomenų kopiją.

30.2. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta tvarkomų asmens duomenų kopija ir kita forma, nei Komisija pateikia, tačiau už tai gali būti imamas mokestis, apskaičiuotas pagal administracines išlaidas.

31. Teisė reikalauti ištaisyti duomenis:

31.1. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 16 straipsniu, turi teisę reikalauti, kad bet kokie jo tvarkomi netikslūs asmens duomenys būtų ištaisyti, o neišsamūs papildyti.

31.2. Siekiant įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, Komisija gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus.

31.3. Jeigu duomenų subjekto asmens duomenys (ištaisyti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Komisija šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

32. Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“):

32.1. Duomenų subjekto teisė ištrinti jo asmens duomenis („teisė būti pamirštam“) įgyvendinama Reglamento (ES) 2016/679 17 straipsnyje numatytais atvejais.

32.2. Duomenų subjekto teisė reikalauti ištrinti asmens duomenis („teisė būti pamirštam“) gali būti neįgyvendinta Reglamento (ES) 2016/679 17 straipsnio 3 dalyje numatytais atvejais.

32.3. Jeigu duomenų subjekto asmens duomenys (ištrinti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Komisija šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

33. Teisė apriboti duomenų tvarkymą:

33.1. Reglamento (ES) 2016/679 18 straipsnio 1 dalyje numatytais atvejais Komisija privalo įgyvendinti duomenų subjekto teisę apriboti jo asmens duomenų tvarkymą.

33.2. Asmens duomenys, kurių tvarkymas apribotas, yra saugomi, o prieš tokio apribojimo panaikinimą duomenų subjektas yra informuojamas.

33.3. Jeigu duomenų subjekto asmens duomenys (kurių tvarkymas apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Komisija šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

34. Teisė nesutikti su duomenų tvarkymu:

34.1. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 21 straipsniu, turi teisę dėl su juo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad Komisija tvarkytų jo asmens duomenis tais atvejais, kai asmens duomenų tvarkymas vykdomas pagal Reglamento (ES) 2016/679 6 straipsnio 1 dalies e ir (arba) f punktus. ikiteisminio administracinių ginčų nagrinėjimo tikslais, nurodytais Taisyklių 8.1 papunktyje, asmens duomenys tvarkomi pagal Reglamento (ES) 2016/679 6 straipsnio 1 dalies c punktą (tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė) ir duomenų subjekto teisė nesutikti su asmens duomenų tvarkymu šiuo atveju negali būti įgyvendinama.

34.2. Duomenų subjektui išreiškus nesutikimą su asmens duomenų tvarkymu, toks tvarkymas atliekamas tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių atliekamas asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus.

35. Teisė į duomenų perkeliamumą:

35.1. Duomenų subjekto teisę į duomenų perkeliamumą, numatytą Reglamento (ES) 2016/679 20 straipsnyje, Komisija įgyvendina tik dėl tų asmens duomenų, kurie tvarkomi automatizuotomis priemonėmis remiantis duomenų subjekto sutikimu arba sutartimi, kurios šalis yra duomenų subjektas.

35.2. Duomenų subjektas teisės į duomenų perkeliamumą neturi tų asmens duomenų atžvilgiu, kurie tvarkomi neautomatiniu būdu susistemintose rinkmenose, pavyzdžiui, popierinėse bylose.

35.3. Duomenų subjektas, kreipdamasis dėl teisės į duomenų perkeliamumą įgyvendinimo, turi nurodyti, ar pageidauja, kad jo asmens duomenys būtų persiųsti jam ar kitam duomenų valdytojui.

35.4. Duomenų subjekto asmens duomenys kitam duomenų valdytojui gali būti persiųsti, jei yra techninės galimybės pateikti asmens duomenis tiesiogiai kitam duomenų valdytojui ir užtikrinamas saugus elektroninių duomenų ir informacijos perdavimas.

35.5. Jeigu duomenų subjekto prašymas dėl asmens duomenų perkeliamumo patenkinamas, duomenų subjekto asmens duomenis persiunčiant kitam duomenų valdytojui Komisija nevertina, ar duomenų valdytojas, kuriam bus persiųsti duomenų subjekto asmens duomenys, turi teisinį pagrindą gauti duomenų subjekto asmens duomenis ir ar šis duomenų valdytojas užtikrins tinkamas asmens duomenų saugumo priemones. Komisija neprisiima atsakomybės už persiųstų asmens duomenų tolimesnį tvarkymą, kurį atliks kitas duomenų valdytojas.

35.6. Pagal duomenų subjekto prašymą perkelti jo asmens duomenys nėra automatiškai ištrinami. Jeigu duomenų subjektas to pageidauja, turi kreiptis į Komisiją, kaip duomenų valdytoją, dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) įgyvendinimo.

36. Duomenų subjektas, siekdamas įgyvendinti Taisyklių 28 punkte nurodytas teises (išskyrus Taisyklių 28.1 papunktyje nurodytą teisę), privalo asmeniškai, paštu, per pasiuntinį ar elektroninėmis priemonėmis pateikti rašytinį prašymą dėl duomenų subjekto teisių įgyvendinimo, kurio pavyzdinė forma nustatyta Taisyklių 2 priede. Žodžiu elektroninėmis priemonėmis (telefonu ar garso ir vaizdo nuotolinio perdavimo ir įrašymo priemonėmis) gali būti teikiami tokie prašymai, kurie yra nesusiję su duomenų subjekto teisių, nurodytų Taisyklių 28.3–28.7 papunkčiuose, įgyvendinimu ir kuriuos pateikiant asmuo neprivalo patvirtinti savo tapatybės (pavyzdžiui, telefonu prašoma pateikti bendro pobūdžio informaciją apie paskirtą Komisijos narį, posėdžio datą ir laiką, bylos rezultatą ir pan.). Jei pokalbio metu galima įsitikinti duomenų subjekto tapatybe (pavyzdžiui, duomenų subjektas nurodo savo vardą, pavardę, asmens kodą, bylos numerį ir (ar) dokumento registravimo Komisijoje datą ir (ar) numerį ir pan.), duomenų subjektui gali būti suteikta papildoma, su Taisyklių 28.2 papunktyje nurodytos teisės įgyvendinimu susijusi, informacija.

37. Rašytinis prašymas teikiamas valstybine kalba, turi būti aiškus ir suprantamas, parašytas įskaitomai, duomenų subjekto pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, asmens kodas, gyvenamoji vieta, duomenys ryšiui palaikyti, informacija apie tai, kokią iš Taisyklių 28.2–28.7 papunkčiuose nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti, bei informacija, kokiu būdu duomenų subjektas pageidauja gauti atsakymą. Nevalstybine kalba pateikti duomenų subjektų prašymai gali būti priimami ir nagrinėjami tik išimtiniais atvejais Komisijos pirmininko ar jo įgalioto asmens sprendimu.

38. Pateikdamas prašymą, duomenų subjektas privalo patvirtinti savo tapatybę:

38.1. jeigu prašymas pateikiamas tiesiogiai Komisijos darbuotojui, duomenų subjektas Komisijos darbuotojui privalo pateikti asmens tapatybę patvirtinantį dokumentą;

38.2. jeigu prašymas pateikiamas paštu arba per pasiuntinį, kartu su prašymu turi būti pateikiama teisės aktų nustatyta tvarka patvirtinta asmens tapatybę patvirtinančio dokumento kopija;

38.3. jeigu prašymas pateikiamas elektroninėmis priemonėmis, prašymas turi būti pasirašytas kvalifikuotu elektroniniu parašu arba suformuotas elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą.

39. Esant abejonių dėl duomenų subjekto tapatybės, Komisija paprašo papildomos informacijos, reikalingos ja įsitikinti. Duomenų subjektui nepatvirtinus savo tapatybės jo teisės yra neįgyvendinamos. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.

40. Duomenų subjektas Taisyklių 28 punkte nurodytas teises turi teisę įgyvendinti pats arba per atstovą. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiasi duomenų subjekto atstovas, jis savo prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, duomenis ryšiui palaikyti, taip pat atstovaujamo asmens vardą, pavardę, asmens kodą, gyvenamąją vietą, informaciją apie tai, kokią iš Taisyklių 28.2–28.7 papunkčiuose nurodytų teisių ir kokia apimtimi pageidaujama įgyvendinti, bei informaciją, kokiu būdu pageidauja gauti atsakymą, ir pridėti atstovavimą patvirtinantį dokumentą ar teisės aktų nustatyta tvarka patvirtintą jo kopiją.

41. Informacija duomenų subjektui, atsižvelgiant į jo prašymą, gali būti pateikiama žodžiu, leidžiant susipažinti su dokumentu, pateikiant pažymą, dokumento išrašą ar popierinę dokumento kopiją, elektroninę laikmeną, garso, vaizdo ar garso ir vaizdo įrašą, prieigą prie informacijos rinkmenos. Jei prašyme nenurodyta informacijos pateikimo forma, Komisija jį pateikia tokia pačia forma kaip gauto prašymo.

42. Jeigu duomenų subjektas prašymą pateikia elektroninėmis priemonėmis, informacija duomenų subjektui taip pat pateikiama elektroninėmis priemonėmis, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip.

43. Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo teikiama valstybine kalba. Duomenų subjektui Komisijos turima informacija nevalstybine kalba gali būti pateikta tuo atveju, kai informacija šia kalba yra tvarkoma.

44. Komisija turi teisę atsisakyti pateikti duomenų subjektui jo prašomą informaciją, jeigu nustato, kad duomenų subjekto prašymas yra akivaizdžiai nepagrįstas arba neproporcingas. Komisija, atsisakydamas pateikti prašomą informaciją, privalo raštu nurodyti atsisakymo pateikti prašomą informaciją motyvus.

45. Komisija ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, pateikia duomenų subjektui informaciją, kokių veiksmų buvo imtasi pagal gautą prašymą. Šiame punkte nurodytas terminas prireikus gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir skaičių. Komisija per vieną mėnesį nuo prašymo gavimo informuoja duomenų subjektą apie tokį pratęsimą, nurodydamas vėlavimo priežastis.

46. Jeigu prašymas pateiktas nesilaikant šiame Taisyklių skyriuje nustatytos tvarkos ir reikalavimų, jis nenagrinėjamas, ir nedelsiant, bet ne vėliau kaip per 5 darbo dienas, duomenų subjektas apie tai informuojamas nurodant priežastis.

47. Jeigu prašymo nagrinėjimo metu nustatoma, jog duomenų subjekto teisės yra apribotos Reglamento (ES) 2016/679 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.

48. Visi veiksmai pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo atliekami ir informacija teikiama nemokamai. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, Komisija gali imti pagrįstą mokestį, atsižvelgdamas į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines išlaidas.

49. Komisijos veiksmai ar neveikimas, susiję su duomenų subjekto teisių įgyvendinimu, gali būti skundžiami įstatymuose nustatyta tvarka ir sąlygomis.

50. Komisijos veiksmai ar neveikimas, susiję su duomenų subjekto teisių įgyvendinimu, kai asmens duomenys tvarkomi kitais nei Taisyklių 8.1 papunktyje nurodytais tikslais, gali būti skundžiami Valstybinei duomenų apsaugos inspekcijai Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme nustatyta tvarka.

51. Komisija, įgyvendindamas duomenų subjekto teises, užtikrina, kad nebūtų pažeista kitų asmenų teisė į privataus gyvenimo neliečiamumą.

 

VII SKYRIUS

PRANEŠIMAS APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ

 

52. Komisijos pirmininkas ar jo įgaliotas atsakingas asmuo, sužinojęs apie asmens duomenų saugumo pažeidimą, nedelsiant organizuoja pažeidimo tyrimą, kad būtų nustatytas pažeidimo pobūdis, tipas (asmens duomenų konfidencialumo, vientisumo ir (arba) prieinamumo pažeidimas) aplinkybės, apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius, asmens duomenų, kurių saugumas pažeistas, kategorijos (asmens tapatybę patvirtinantys asmens duomenys, specialių kategorijų asmens duomenys, duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, prisijungimo duomenys ir (arba) asmens identifikaciniai numeriai ir kt.) ir apimtis, tikėtinos asmens duomenų saugumo pažeidimo pasekmės, pavojus fizinių asmenų teisėms ir laisvėms, imasi priemonių pažeidimui pašalinti ir (arba) neigiamoms pažeidimo pasekmėms sumažinti bei atlieka atitinkamus veiksmus, numatytus šiame Taisyklių skyriuje.

53. Komisijos pirmininkas ar jo įgaliotas atsakingas asmuo užtikrina, kad nepagrįstai nedelsiant ir, jei įmanoma, ne vėliau kaip per 72 valandas nuo sužinojimo apie asmens duomenų saugumo pažeidimą, apie tai būtų pranešta Valstybinei duomenų apsaugos inspekcijai, nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Jeigu Valstybinei duomenų apsaugos inspekcijai nepranešama per 72 valandas, pranešime nurodomos vėlavimo priežastys. Pranešimas apie asmens duomenų saugumo pažeidimą pateikiamas Valstybinės duomenų apsaugos inspekcijos nustatyta tvarka.

54. Taisyklių 53 punkte nurodytame pranešime aprašomas asmens duomenų saugumo pažeidimo pobūdis, duomenų subjektų kategorijos ir apytikslis skaičius, asmens duomenų įrašų kategorijos ir apytikslis skaičius, nurodomas duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas, pavardė ir kontaktiniai duomenys (telefono numeris, elektroninio pašto adresas), aprašomos tikėtinos asmens duomenų saugumo pažeidimo pasekmės bei priemonės, kurių buvo imtasi arba pasiūlyta imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas, taip pat priemonės galimoms neigiamoms jo pasekmėms sumažinti bei kita svarbi su asmens duomenų saugumo pažeidimu susijusi informacija.

55. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms (gali būti padarytas kūno sužalojimas, turtinė ar neturtinė žala, gali kilti diskriminacija, būti pavogta ar suklastota tapatybė, būti padaryta finansinių nuostolių, pakenkta reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas, padaryta didelė ekonominė ar socialinė žala, kai duomenų subjektai gali netekti galimybės naudotis savo teisėmis ir laisvėmis ar jiems užkertamas kelias kontroliuoti savo asmens duomenis, gali būti paviešinti specialių kategorijų, pažeidžiamų fizinių asmenų asmens duomenys ir (ar) asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas arba susijusias saugumo priemones ir kt.) Komisijos pirmininkas ar jo įgaliotas atsakingas asmuo užtikrina, kad apie asmens duomenų saugumo pažeidimą nepagrįstai nedelsiant būtų pranešta duomenų subjektui: duomenų subjektui aiškia ir paprasta kalba aprašomas duomenų saugumo pažeidimo pobūdis, nurodomas duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas, pavardė ir kontaktiniai duomenys (telefono numeris, elektroninio pašto adresas), aprašomos tikėtinos asmens duomenų saugumo pažeidimo pasekmės ir priemonės, kurių buvo imtasi arba pasiūlyta imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas, taip pat priemonės galimoms neigiamoms jo pasekmėms sumažinti bei pagal galimybes atitinkamam fiziniam asmeniui skirtos rekomendacijos, kaip sumažinti galimą neigiamą poveikį (pasikeisti prisijungimo slaptažodžius neteisėtos prieigos prie asmens duomenų atveju ir kt.).

56. Apie asmens duomenų saugumo pažeidimą duomenų subjektui pranešti neprivaloma, jei:

56.1. Komisija įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos priemonės taikytos asmens duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio;

56.2. iš karto po asmens duomenų saugumo pažeidimo Komisija ėmėsi priemonių, kuriomis užtikrinama, kad nebegalėtų kilti didelis pavojus duomenų subjektų teisėms ir laisvėms;

56.3. tai pareikalautų neproporcingai daug pastangų. Tokiu atveju vietoj to apie asmens duomenų saugumo pažeidimą paskelbiama viešai arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.

57. Komisijos pirmininkas ar jo įgaliotas atsakingas asmuo užtikrina, kad būtų fiksuojami visi asmens duomenų saugumo pažeidimų atvejai ir kaupiama informacija apie tokių pažeidimų priežastis, jų poveikį ir pasekmes, priemones, kurių buvo imtasi, sprendimų dėl pranešimo (nepranešimo) Valstybinei duomenų apsaugos inspekcijai ir (ar) duomenų subjektui motyvus, vėlavimo pateikti pranešimą priežastis bei kitokio pobūdžio informaciją, kuri leistų patikrinti, kaip buvo laikomasi šio Taisyklių skyriaus nuostatų. Šiame punkte nurodyta informacija įrašoma Asmens duomenų saugumo pažeidimų žurnale, kurio pavyzdinė forma nustatyta šių Taisyklių 3 priede.

 

VIII SKYRIUS

KOMISIJOS DARBUOTOJŲ ATSAKOMYBĖ

 

58. Už Taisyklių nuostatų pažeidimą Komisijos darbuotojams taikoma įstatymuose numatyta atsakomybė.

 

IX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

59. Komisija nustatyta tvarka vykdo Komisijos darbuotojų mokymą ir, esant galimybėms, sudaro sąlygas Komisijos darbuotojų kvalifikacijai kelti asmens duomenų teisinės apsaugos srityje.

_____________________

 

Asmens duomenų tvarkymo Komisijoje taisyklių

1 priedas

 

 

(Duomenų tvarkymo veiklos įrašų žurnalo forma)

 

 

Lietuvos administracinių ginčų komisija

 

 

DUOMENŲ TVARKYMO VEIKLOS ĮRAŠŲ ŽURNALAS

 

Duomenų apsaugos pareigūnas – ____________________________________

(vardas, pavardė, kontaktiniai duomenys)

 

Eil. Nr.

Asmens duomenų tvarkymo tikslas

Asmens duomenų tvarkymo teisinis pagrindas

Duomenų subjektų kategorijos

Asmens duomenų kategorijos

Duomenų gavėjų kategorijos*

Asmens duomenų saugojimo, ištrynimo terminai

Techninių ir organizacinių saugumo priemonių aprašymas

Duomenų šaltiniai

Darbuotojai (struktūriniai padaliniai), atsakingi už asmens duomenų tvarkymą

Duomenų įvedimo, keitimo data (datos)

1.

 

 

 

 

 

 

 

 

 

 

2.

 

 

 

 

 

 

 

 

 

 

3.

 

 

 

 

 

 

 

 

 

 

4.

 

 

 

 

 

 

 

 

 

 

5.

 

 

 

 

 

 

 

 

 

 

6.

 

 

 

 

 

 

 

 

 

 

7.

 

 

 

 

 

 

 

 

 

 

8.

 

 

 

 

 

 

 

 

 

 

9.

 

 

 

 

 

 

 

 

 

 

10.

 

 

 

 

 

 

 

 

 

 

 

 

 

*Kai taikoma, asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą, ir Reglamento (ES) 2016/679 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai.

 

_____________________

 

Asmens duomenų tvarkymo Komisijoje taisyklių

2 priedas

 

(Prašymo dėl duomenų subjekto teisių įgyvendinimo forma)

 

 

 

 

________________________________________________________

 

 

(duomenų subjekto vardas ir pavardė)

 

 

________________________________________________________

 

 

(asmens kodas)

 

 

________________________________________________________

 

 

(gyvenamosios vietos adresas)

 

 

_______________________________

________________________

 

 

(telefono numeris)

(elektroninio pašto adresas)

 

_________________________________________________________

(Atstovo vardas, pavardė, gyvenamosios vietos adresas, telefono numeris, elektroninio

pašto adresas, atstovavimo pagrindas, jei prašymą pateikia duomenų subjekto atstovas)

 

 

Lietuvos administracinių ginčų komisijos pirmininkui

 

 

PRAŠYMAS

DĖL DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO

 

 

 

 

 

 

(data)

 

 

 

 

 

(vieta)

 

 

 

 

Vadovaudamasi (-s) Asmens duomenų tvarkymo Komisijoje taisyklėse nustatyta tvarka, prašau įgyvendinti mano teisę (-es) (tinkamą langelį pažymėkite):

– susipažinti su duomenimis;

– reikalauti ištaisyti duomenis;

– reikalauti ištrinti duomenis („teisė būti pamirštam“);

– apriboti duomenų tvarkymą;

– nesutikti su duomenų tvarkymu;

– į asmens duomenų perkeliamumą.

 

Prašymo turinys (nurodykite, ko konkrečiai prašote, ir pateikite kiek įmanoma daugiau informacijos, kuri leistų tinkamai įgyvendinti Jūsų teisę (-es), pavyzdžiui, jeigu norite ištaisyti duomenis, nurodykite, kokie konkrečiai Jūsų asmens duomenys yra netikslūs):

 

 

 

 

 

 

PRIDEDAMA:

1. ______________________________________________;

2. ______________________________________________.

(Jeigu prašymas yra siunčiamas paštu, prie prašymo pridedama asmens tapatybę patvirtinančio dokumento kopija, patvirtinta notaro ar kita teisės aktų nustatyta tvarka. Jeigu kreipiamasi dėl netikslių duomenų ištaisymo, pateikiamos tikslius duomenis patvirtinančių dokumentų kopijos; jeigu jos siunčiamos paštu, tuomet turi būti patvirtintos notaro ar kita teisės aktų nustatyta tvarka. Jeigu duomenų subjekto asmens duomenys, tokie kaip vardas, pavardė, yra pasikeitę, kartu pateikiamos dokumentų, patvirtinančių šių duomenų pasikeitimą, kopijos; jeigu jos siunčiamos paštu, tuomet turi būti patvirtintos notaro ar kita teisės aktų nustatyta tvarka).

 

Atsakymą noriu gauti (pažymėti vieną):

paštu;

atvykęs į Komisiją adresu ________________________;

elektroniniu paštu (tik pasirašius prašymą kvalifikuotu elektroniniu parašu).

 

 

 

 

(vardas, pavardė, parašas)

 

 

Asmens duomenų tvarkymo Komisijoje taisyklių

3 priedas

 

 

(Asmens duomenų saugumo pažeidimų žurnalo forma)

 

Lietuvos administracinių ginčų komisija

 

 

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ ŽURNALAS

 

Eil. Nr.

Pažeidimo nustatymo data, valanda (minučių tikslumu) ir vieta

Darbuotojas ar kitas subjektas, pranešęs apie pažeidimą (vardas, pavardė, pareigos)

Pažeidimo padarymo data ir vieta

Pažeidimo pradžia ir pabaiga, pobūdis, tipas, aplinkybės

Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos ir apytikslis skaičius

Asmens duomenų, kurių saugumas pažeistas, kategorijos ir apimtis

Tikėtinos pažeidimo pasekmės bei pavojus fizinių asmenų teisėms ir laisvėms

Priemonės, kurių buvo imtasi pažeidimui pašalinti ir (ar) neigiamoms pažeidimo pasekmėms sumažinti

Darbuotojas, ar kitas subjektas, pašalinęs pažeidimą (vardas, pavardė, pareigos)

Informacija, ar apie pažeidimą buvo pranešta Valstybinei duomenų apsaugos inspekcijai, ir priimto sprendimo motyvai

Informacija, ar apie pažeidimą buvo pranešta duomenų subjektui

(-ams), ir priimto sprendimo motyvai

1.

 

 

 

 

 

 

 

 

 

 

 

2.

 

 

 

 

 

 

 

 

 

 

 

3.

 

 

 

 

 

 

 

 

 

 

 

4.

 

 

 

 

 

 

 

 

 

 

 

5.

 

 

 

 

 

 

 

 

 

 

 

6.

 

 

 

 

 

 

 

 

 

 

 

7.

 

 

 

 

 

 

 

 

 

 

 

8.

 

 

 

 

 

 

 

 

 

 

 

9.

 

 

 

 

 

 

 

 

 

 

 

10.

 

 

 

 

 

 

 

 

 

 

 

 

_____________________