VALSTYBĖS TARNYBOS DEPARTAMENTO
PRIE LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS
DIREKTORIUS
ĮSAKYMAS
DĖL ASMENS DUOMENŲ TVARKYMO, SAUGOJIMO IR ŠIŲ DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO VIEŠOJO VALDYMO AGENTŪROJE TVARKOS APRAŠO PATVIRTINIMO
2022 m. gruodžio 27 d. Nr. 27V-127
Vilnius
Vadovaudamasis Lietuvos Respublikos Vyriausybės 2022 m. spalio 5 d. nutarimu Nr. 996 „Dėl Lietuvos Respublikos Vyriausybės 2018 m. gruodžio 12 d. nutarimo Nr. 1286 „Dėl Valstybės tarnybos departamento statuso ir pavadinimo pakeitimo“ pakeitimo“ bei siekdamas tinkamai įgyvendinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) numatytas duomenų subjektų teises ir įgyvendinti atskaitomybės principą:
1. Tvirtinu Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Viešojo valdymo agentūroje tvarkos aprašą (pridedama).
2. Pripažįstu netekusiu galios Valstybės tarnybos departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus 2019 m. balandžio 11 d. įsakymą Nr. 27V-94 „Dėl Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Valstybės tarnybos departamente prie Lietuvos Respublikos vidaus reikalų ministerijos tvarkos aprašo patvirtinimo“ su visais pakeitimais ir papildymais.
PATVIRTINTA
Valstybės tarnybos departamento prie
Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus
2022 m. gruodžio 27 d. įsakymu Nr. 27V-127
ASMENS DUOMENŲ TVARKYMO, SAUGOJIMO IR ŠIŲ DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO VIEŠOJO VALDYMO AGENTŪROJE TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Viešojo valdymo agentūroje tvarkos aprašo (toliau – Aprašas) tikslas – nustatyti asmens duomenų tvarkymo apimtis ir duomenų subjekto teisių įgyvendinimo Viešojo valdymo agentūroje (toliau – Agentūra) tvarką siekiant, įgyvendinti atskaitomybės principą.
2. Aprašas taikomas įgyvendinant duomenų subjektų – fizinių asmenų, kurių asmens duomenis tvarko Agentūra, teises.
3. Įgyvendinant duomenų subjekto teises vadovaujamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.
II SKYRIUS
ASMENS DUOMENŲ TVARKYMAS IR SAUGOJIMAS
6. Duomenų subjektų asmens duomenis tvarko Agentūra, juridinio asmens kodas 188784211, buveinės adresas Šventaragio g. 2, LT-01510 Vilnius.
7. Agentūroje tvarkomi šių duomenų subjektų grupių asmens duomenys šiais asmens duomenų tvarkymo tikslais:
7.1. asmenų, pateikusių Agentūrai skundą ar prašymą, asmens duomenys (vardas, pavardė, asmens kodas, adresas, telefono numeris, elektroninio pašto adresas, parašas, kiti asmens duomenys, kuriuos skunde ar prašyme pateikia pats asmuo (įskaitant ir specialių kategorijų asmens duomenis), skunde ar prašyme nurodyta informacija, kurioje yra asmens duomenų (įskaitant ir specialių kategorijų asmens duomenis), skundo ar prašymo nagrinėjimo metu gauta informacija ir dokumentai, kuriuose yra nurodyti asmens duomenys), tvarkomi skundų ar prašymų nagrinėjimo, asmenų informavimo, vidaus administravimo (dokumentų valdymo) tikslais;
7.2. esamų ir buvusių Agentūros valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, (toliau – darbuotojai) asmens duomenys (vardas, pavardė, asmens kodas, asmens socialinio draudimo numeris, pilietybė, adresas, telefono numeris, elektroninio pašto adresas, banko sąskaitos numeris, gyvenimo ir veiklos aprašymas, šeiminė padėtis, pareigos, duomenys apie priėmimą (perkėlimą) į pareigas, atleidimą iš pareigų, duomenys apie išsilavinimą, kvalifikaciją, mokymą ar kvalifikacijos tobulinimą, atostogas, darbo užmokestį, išeitines išmokas, kompensacijas, pašalpas, skatinimus ir nuobaudas, informacija apie dirbtą darbo laiką, atliktus darbus ir užduotis, duomenys apie valstybės tarnautojo tarnybinės veiklos vertinimą, viešų ir privačių interesų deklaravimo duomenys, paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, dokumentų registracijos data ir numeris, skaitmeninis garso ar vaizdo įrašas, įrašyti priėmimo į darbą ar vertinimo komisijų posėdžių metu, bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Agentūrą įpareigoja įstatymai ir kiti teisės aktai) tvarkomi vidaus administravimo (struktūros tvarkymo, personalo valdymo, darbdavio įsipareigojimų darbuotojui vykdymo, dokumentų valdymo, apskaitos, materialinių ir finansinių išteklių naudojimo) tikslu;
7.3. pretendentų į Agentūros valstybės tarnautojo ar darbuotojo pareigas asmens duomenys (vardas, pavardė, asmens kodas, pilietybė, adresas, telefono numeris, elektroninio pašto adresas, pareigos, į kurias pretenduojama, gyvenimo ir veiklos aprašymas, duomenys apie išsilavinimą ir kvalifikaciją, informacija apie asmens kandidatūros tikrinimą dėl leidimo dirbti ar susipažinti su įslaptinta informacija arba dėl teisės dirbti ar susipažinti su įslaptinta informacija, žymima slaptumo žyma „Riboto naudojimo“ suteikimo, pokalbio su pretendentu į valstybės tarnautojo pareigas skaitmeninis garso ar vaizdo įrašas, pretendentų į darbuotojo pareigas testo žodžiu skaitmeninis garso ar vaizdo įrašas, bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Agentūrą įpareigoja įstatymai ir kiti teisės aktai) tvarkomi norint patikrinti, ar asmuo atitinka įstatymuose ir įgyvendinamuosiuose teisės aktuose nustatytus reikalavimus pareigoms eiti arba darbo funkcijoms atlikti, vidaus administravimo (personalo valdymo, dokumentų valdymo) tikslu;
7.4. studentų, atliekančių ar siekiančių atlikti praktiką Agentūroje, asmens duomenys (vardas, pavardė, asmens kodas, pilietybė, adresas, telefono numeris, elektroninio pašto adresas, parašas ir kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Agentūrą įpareigoja įstatymai ir kiti teisės aktai) tvarkomi vidaus administravimo (personalo valdymo, dokumentų valdymo, materialinių ir finansinių išteklių naudojimo) tikslu;
7.5. Agentūros sudarytose sutartyse, kurių šalimi yra duomenų subjektas ir (ar) jų vykdymo metu sukurtuose dokumentuose užfiksuoti duomenys – vardas, pavardė, asmens kodas, adresas, telefono ir (ar) telefakso numeris, elektroninio pašto adresas, parašas, paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, banko sąskaitos numeris, individualios veiklos pažymėjimo numeris, mokėtinos sumos ir išskaičiuojami mokesčiai, kiti dokumentuose, adresuotuose Agentūrai, nurodomi asmens duomenys, teikiami vykdant sutartis, tvarkomi teisinių prievolių vykdymo ir Agentūros teisėtų interesų įgyvendinimo tikslais (sutarčių vykdymo, atsiskaitymo už prekes, paslaugas ar darbus, prievolių įvykdymo užtikrinimo ir pan.);
7.6. Agentūroje organizuojamų posėdžių ir pasitarimų dalyvių asmens duomenys (vardas, pavardė, atstovaujamo juridinio asmens pavadinimas, pareigos, telefono numeris, elektroninio pašto adresas, parašas, posėdžio ar pasitarimo skaitmeninis garso ar vaizdo įrašas) tvarkomi posėdžių ir pasitarimų sprendimų administravimo (protokolų surašymo ir pan.) tikslais;
7.7. buvusių valstybės tarnautojų, turėjusių teisę į pareigų siūlymą, asmens duomenys (asmens kodas, vardas, pavardė, amžius, elektroninio pašto adresas, telefono numeris, eitos pareigos ir funkcijos, išsilavinimas, užsienio kalbos, pilietybė, parašas, paso ar asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, priėmimo ir atleidimo iš pareigų įsakymai, Nepriekaištingos reputacijos reikalavimų atitikties deklaracijos duomenys, kiti asmens duomenys, kuriuos pateikia pats asmuo), prašymo data ir numeris (registravimo Agentūroje data ir numeris), prašyme nurodyta informacija, prašymo nagrinėjimo rezultatas, Agentūros atsakymo data ir numeris) tvarkyti tikslu įvertinti, ar asmuo turi teisę į statuso atkūrimą ar pareigų siūlymą, buvusio valstybės tarnautojo atitiktį siūlomų pareigų specialiesiems reikalavimams, suteikti galimybę, nustatytą teisės akte, matyti pakaitinių valstybės tarnautojų atrankų skelbimų, skelbiamų Valstybės tarnybos valdymo informacinės sistemos posistemėje „Savitarna“ (https://savitarna.vataras.lt) asmenims, turintiems teisę į pareigų siūlymą ar statuso atkūrimą, šiuo metu saugomi tik archyvavimo ir statistikos tikslais;
7.8. buvusių valstybės tarnautojų, siekiančių atkurti valstybės tarnautojo statusą, asmens duomenys (vardas, pavardė, asmens kodas, adresas, telefono numeris, elektroninio pašto adresas, gyvenimo aprašymas (pilietybė, darbo patirtis išsilavinimas, užsienio kalbos, gyvenimo ir veiklos aprašymas, kiti asmens duomenys, kuriuos pateikia pats asmuo), Atitikties nepriekaištingos reputacijos reikalavimams deklaracijos duomenys, Asmens, priimamo į valstybės tarnautojo pareigas, klausimyno duomenys, prašyme nurodyta informacija ir prašymo nagrinėjimo rezultatas, kuriuose yra nurodyta asmens duomenų (įskaitant ir specialių kategorijų asmens duomenis), tvarkomi tikslu įvertinti, ar asmuo turi teisę į statuso atkūrimą, buvusio valstybės tarnautojo atitiktį siūlomų pareigų specialiesiems reikalavimams bei archyvavimo ir statistikos tikslais;
7.9. asmenų, siekiančių būti įtrauktais į pretendentų rezervą, asmens duomenys (vardas, pavardė, asmens kodas, adresas, telefono numeris, elektroninio pašto adresas, kiti asmens duomenys, kuriuos pateikia pats asmuo), prašyme nurodyta informacija ir prašymo nagrinėjimo rezultatas, kuriuose yra nurodyta asmens duomenų (įskaitant ir specialių kategorijų asmens duomenis), tvarkomi tikslu įvertinti, ar asmuo turi teisę būti įtrauktas į pretendentų rezervą bei archyvavimo ir statistikos tikslais;
7.10. asmenų, esančių pretendentų rezerve ir besikreipusių dėl gauto balo įskaitymo, asmens duomenys (vardas, pavardė, adresas, telefono numeris, elektroninio pašto adresas, parašas, kiti asmens duomenys, kuriuos pateikia pats asmuo), centralizuoto konkurso į įstaigos vadovo ar karjeros valstybės tarnautojo arba atrankos į pakaitinio valstybės tarnautojo pareigas (toliau – konkursas arba atranka), kuriame (-ioje) dalyvauta, pavadinimas, konkurse arba atrankoje gautas balas, pareigos, į kurias pretenduojama, prašyme nurodyta informacija ir prašymo nagrinėjimo rezultatas, kuriuose yra nurodyta asmens duomenų (įskaitant ir specialių kategorijų asmens duomenis), tvarkomi tikslu įvertinti, ar asmeniui gali būti įskaitytas turimas balas, pretenduojant į identiškas pareigas bei archyvavimo, statistikos tikslais;
7.11. Valstybės tarnautojų registre ir Valstybės tarnybos valdymo informacinėje sistemoje asmens duomenys tvarkomi šio registro ir informacinės sistemos nuostatuose nustatytais tikslais;
7.12. asmenų, apsilankančių Agentūros socialinių tinklų paskyroje („LinkedIn“) asmens duomenys tvarkomi Agentūros veiklos viešinimo tikslu. Apie tai, kokią privatumo politiką, renkamus duomenis ir taikomas asmens duomenų apsaugos priemones naudoja „LinkedIn“ galima sužinoti šio socialinio tinklo privatumo politikoje;
7.13. asmenų, apsilankančių Agentūros tvarkomoje interneto svetainėje, asmens duomenys tvarkomi valstybės tarnybos valdymo, Agentūros veiklos ir vykdomų projektų viešinimo, interneto svetainės administravimo, funkcionalumo gerinimo ir statistikos tikslais;
7.14. Agentūros valstybės tarnautojų ir darbuotojų, tarnybinio elektroninio pašto naudojimo, adresatų ir laiškų siuntimo laiko duomenys – duomenų apsaugos ir valdymo tikslais tvarko Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Informatikos ir ryšių departamentas);
7.15. Agentūros svetainių administravimo, rinkmenų archyvavimo ir rinkmenų naikinimo, informacinių technologijų infrastruktūros, naršymo internete ir veiklos internete analizės duomenis informacinių sistemų duomenų apsaugos ir neteisėto interneto turinio dalinimosi užkardymo tikslais tvarko Informatikos ir ryšių departamentas;
7.16. Agentūrai pateiktų tvirtinti mokymo programų dėstytojų ir recenzentų gyvenimo aprašymus ir diplomo kopijas, tvarkytas tikslu įvertinti darbo patirtį, susijusią su mokymo programa, ir išsilavinimą, šiuo metu tvarkomi tik archyvavimo tikslu;
7.17. Fizinių asmenų, siekusių teikti mokymo paslaugas valstybės tarnautojams, asmens dokumentų kopijos, gyvenimo aprašymai ir diplomo kopijos, tvarkyti tikslu įvertinti darbo patirtį, susijusią su siūlomomis mokymo programomis, ir išsilavinimą, šiuo metu tvarkomi tik archyvavimo tikslu;
7.18. pretendentų į laisvas pareigas tarptautinėse organizacijose ir institucijose, Europos Sąjungos institucijose ir įstaigose, Europos Komisijos ar Tarybos įsteigtose institucijose, Europos Komisijos ir Europos Sąjungos valstybių narių bendrai įsteigtose organizacijose (konsorciumuose), civilinėse tarptautinėse ir Europos Sąjungos operacijose ar misijose, užsienio valstybių institucijose ir delegavimo rezervą asmens duomenys (vardas, pavardė, pareigos, gyvenimo ir veiklos aprašymas, kiti dokumentai, kuriuose yra asmens duomenų (įskaitant ir specialių kategorijų asmens duomenis) bei atrankų komisijos narių duomenys (vardas, pavardė, pareigos) tvarkomi atrankų į pareigas šiame papunktyje nurodytose institucijose, organizacijose, operacijose, misijose ir delegavimo rezervą organizavimo Agentūroje bei archyvavimo ir statistikos tikslais;
7.19. pretendentų, dalyvaujančių Agentūros organizuojamose atrankose dėl kvalifikacijos tobulinimo tarptautinėse ar užsienio valstybių institucijose, asmens duomenys (vardas, pavardė, pareigos, gyvenimo aprašymas, kita informacija, kurios prašo tarptautinė institucija), bei atrankų komisijos narių duomenys (vardas, pavardė, pareigos) tvarkomi ir saugomi atrankų dėl kvalifikacijos tobulinimo tarptautinėse ar užsienio valstybių institucijose organizavimo Agentūroje bei archyvavimo ir statistikos tikslais;
7.20. pretendentų į valstybės tarnautojo pareigas vadovavimo gebėjimų tikrinimo rezultato pagrindime nurodyti asmens duomenys (vardas, pavardė ir kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba), kuriuos tvarkyti Agentūrą įpareigojo įstatymai ir kiti teisės aktai), tvarkyti pretendentų tinkamumo eiti pretenduojamas pareigas, pretendentų informavimo, vadovavimo gebėjimų tikrinimo kokybės ir skaidrumo užtikrinimo tikslais, šiuo metu tvarkomi tik archyvavimo ir statistiniais tikslais;
7.21. pretendentų į įstaigos vadovo, priimamo konkurso būdu, pareigas kompleksinio vertinimo išvadose nurodyti asmens duomenys (pretendento vardas ir pavardė, pretendento kompetencijų profilis, įvertinimo pagrindimas) bei vertinimo komisijos narių duomenys (vardas, pavardė, pareigos, parašas) tvarkomi pretendentų tinkamumo eiti pretenduojamas pareigas, pretendentų ir vertinimo komisijos informavimo, vertinimo kokybės ir skaidrumo užtikrinimo, archyvavimo ir statistiniais tikslais;
7.22. pretendentų į įstaigos vadovo, priimamo konkurso būdu, pareigas kompleksinio vertinimo užduočių atsakymų lapuose, nurodyti asmens duomenys (vardas, pavardė, užduočių atsakymai ir kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Agentūrą įpareigoja įstatymai ir kiti teisės aktai) tvarkomi pretendentų tinkamumo eiti pretenduojamas pareigas, informavimo, vertinimo kokybės ir skaidrumo užtikrinimo, archyvavimo ir statistiniais tikslais;
7.23. pretendentų į valstybės tarnautojo pareigas kompleksinio vertinimo dokumentų asmens duomenys (vardas, pavardė ir kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Agentūrą įpareigoja įstatymai ir kiti teisės aktai) ir kompleksinio vertinimo pusiau struktūruoto interviu ir žodžiu atliekamų praktinių užduočių skaitmeninis garso ar vaizdo įrašas tvarkomi skaidrumo ir kompleksinio vertinimo kokybės užtikrinimo ir archyvavimo tikslais;
7.24. pretendentų, dalyvaujančių Agentūros organizuojamuose konkursuose ir (arba) atrankose asmens duomenys (vardas, pavardė, asmens kodas, pilietybė, adresas, telefono numeris, elektroninio pašto adresas, gyvenimo ir veiklos aprašymas, duomenys apie išsilavinimą ir kvalifikaciją, informacija apie asmens kandidatūros tikrinimą registruose ir dėl leidimo dirbti ar susipažinti su įslaptinta informacija arba dėl teisės dirbti ar susipažinti su įslaptinta informacija, žymima slaptumo žyma „Riboto naudojimo“ suteikimo, pokalbio su pretendentu į valstybės tarnautojo pareigas skaitmeninis garso ar vaizdo įrašas bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Agentūrą įpareigoja įstatymai ir kiti teisės aktai) tvarkomi pretendentų tinkamumo eiti pretenduojamas pareigas, pretendentų ir vertinimo komisijos informavimo, vertinimo kokybės ir skaidrumo užtikrinimo, archyvavimo ir statistiniais tikslais;
7.25. pretendentų vertinimo komisijoje protokole nurodyti asmens duomenys (vardas, pavardė ir kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Agentūrą įpareigoja įstatymai ir kiti teisės aktai) tvarkomi eigos ir rezultato įforminimo, pretendentų tinkamumo eiti pretenduojamas pareigas, informavimo, vertinimo kokybės ir skaidrumo užtikrinimo, archyvavimo ir statistiniais tikslais;
7.26. pretendentų vertinimo komisijoje skaitmeninis garso ar vaizdo įrašas tvarkomi pretendentų vertinimo komisijoje eigos fiksavimo ir vertinimo objektyvumo užtikrinimo ir archyvavimo tikslais;
7.27. prašyme išduoti (pakeisti) tarnybinį pasą nurodyti asmens duomenys (asmens kodas, vardas, pavardė, parašas, veido atvaizdas, lytis, gimimo data, gimimo vieta (valstybės pavadinimas), paso arba asmens tapatybės kortelės numeris, pareigos, telefono numeris, elektroninio pašto adresas, prašymo pateikimo data, prašymo gavimo Agentūroje data ir numeris, atsakingo asmens išvada dėl tarnybinio paso išdavimo (keitimo) tikslingumo ir užpildymo data, atsakingo asmens pareigos, vardas, pavardė, parašas, valstybės tarnautojo, priėmusio sprendimą pareigos, vardas, pavardė, data, parašas, prašymo užregistravimo asmens dokumentų išrašymo sistemoje data ir numeris, išduoto (pakeisto) tarnybinio paso numeris, išrašymo data, galiojimo data, institucijos ar įstaigos, kurioje asmuo eina pareigas, vadovo ar jo įgalioto asmens pareigos, vardas, pavardė, data, parašas, pastabos) tvarkyti tarnybinio paso išdavimo (keitimo) tikslais, šiuo metu tvarkomi archyvavimo ir statistikos tikslais;
7.28. prašymuose suteikti Valstybės tarnautojų registro ir (ar) Valstybės tarnybos valdymo informacinės sistemos duomenų tvarkymo ar peržiūros teises nurodyti asmens duomenys (vardas, pavardė, pareigų pavadinimas, parašas, įstaigos atsakingo asmens vardas, pavardė, pareigos, parašas) tvarkyti ir saugomi Valstybės tarnautojų registro ir (ar) Valstybės tarnybos valdymo informacinės sistemos duomenų tvarkymo ar peržiūros teisių suteikimo tikslais, šiuo metu tvarkomi archyvavimo ir statistikos tikslais;
7.29. Valstybės tarnautojų registro ir (ar) Valstybės tarnybos valdymo informacinės sistemos duomenų tvarkytojo pasižadėjimų saugoti asmens duomenų paslaptį asmens duomenys (vardas, pavardė, parašas, data, pareigos (telefono numeris, elektroninio pašto adresas), įstaigos vadovo vardas, pavardė, parašas, data, įstaigos pavadinimas) tvarkyti asmens duomenų apsaugos užtikrinimo tikslais, šiuo metu tvarkomi tik archyvavimo tikslais;
7.30. konfidencialumo pasižadėjimuose, pretendentų į įstaigos vadovo pareigas, dalyvaujančių kompleksiniame vertinime, pasižadėjimuose nurodyti asmens duomenys (vardas, pavardė, pareigos, parašas) tvarkomi ir saugomi asmens duomenų apsaugos užtikrinimo ir archyvavimo tikslais;
7.31. prašymuose leisti susipažinti su kompleksinio vertinimo skaitmeniniu garso ar vaizdo įrašu ar pretendentų vertinimo komisijoje skaitmeniniu garso ar vaizdo įrašu nurodyti asmens duomenys (vardas, pavardė, asmens kodas, adresas, telefono numeris, parašas ir kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Agentūrą įpareigoja įstatymai ir kiti teisės aktai) tvarkomi ir saugomi asmens duomenų apsaugos užtikrinimo ir archyvavimo tikslais.
8. Agentūra, tvarkydamas asmens duomenis, įgyvendina ir užtikrina tinkamas organizacines ir technines priemones, skirtas asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo apsaugoti. Užtikrinama prieigos prie asmens duomenų apsauga, valdymas ir kontrolė. Prieiga prie asmens duomenų gali būti suteikiama tik tiems valstybės tarnautojams ir darbuotojams, kuriems asmens duomenys yra reikalingi jų funkcijoms vykdyti. Prieigos teisės prie asmens duomenų naikinamos pasibaigus valstybės tarnautojo ar darbuotojo valstybės tarnybos ar darbo teisiniams santykiams, pasikeitus darbo funkcijoms, kurioms vykdyti prieiga prie asmens duomenų tampa nereikalinga, taip pat nutraukus asmens duomenų tvarkymo sutartį, sudarytą su asmens duomenų tvarkytoju, ar šiai sutarčiai nustojus galioti.
9. Kompiuterinės darbo vietos, tarnybinės stotys ir kita techninė įranga, kurios pagalba gali būti pasiekiami asmens duomenys, apsaugoma vadovaujantis gerosiomis informacijos saugos praktikomis ir teisės aktų reikalavimais. Draudžiamas ir griežtai kontroliuojamas nelegalios (neleistinos) programinės įrangos naudojimas. Kiti asmens duomenų saugos reikalavimai nustatomi ir įgyvendinami, vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.
10. Agentūros valstybės tarnautojai ir darbuotojai, bei pretendentų vertinimo komisijų nariai, kuriems yra suteikta teisė tvarkyti asmens duomenis, laikosi konfidencialumo principo ir laiko paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino atlikdami savo funkcijas, pasirašo Aprašo 6 priede nustatytos formos Konfidencialumo pasižadėjimą. Su asmens duomenimis galima atlikti tik tuos veiksmus, kuriems atlikti valstybės tarnautojui ar darbuotojui bei pretendentų vertinimo komisijos nariui yra suteiktos teisės.
11. Agentūros valstybės tarnautojai ir darbuotojai naudoja periodiškai keičiamus slaptažodžius. Šiuos slaptažodžius saugo ir žino tik valstybės tarnautojas ar darbuotojas, dirbantis konkrečiu kompiuteriu. Prireikus (pasikeitus valstybės tarnautojui ar darbuotojui, iškilus įsilaužimo grėsmei ir pan.) slaptažodžiai turi būti nedelsiant keičiami.
12. Laikmenos su pretendentų vertinimo komisijoje skaitmeniniais garso ar vaizdo įrašais, kompleksinio vertinimo pusiau struktūruoto interviu ir žodžiu atliekamų praktinių užduočių skaitmeniniai garso ar vaizdo įrašai, pretendentų vertinimo komisijoje protokolo kopijos, kompleksinio vertinimo išvadų kopijos, pretendentų, tikrinamų eiti įstaigos vadovo, priimamo konkurso būdu, pareigas, duomenų lentelės, asmenų įtrauktų į pretendentų rezervą sąrašas saugomi Informatikos ir ryšių departamento administruojamuose serveriuose.
III SKYRIUS
GARSO ĮRAŠŲ IR VAIZDO STEBĖJIMO DUOMENŲ TVARKYMO YPATUMAI
13. Agentūros, įsikūrusios Lietuvos Respublikos vidaus reikalų ministerijos pastate, pastato ir teritorijos vaizdo stebėjimą vykdo Vidaus reikalų ministerija.
14. Įgyvendinant duomenų subjekto teisę susipažinti su savo garso ar vaizdo duomenimis, tvarkomais Agentūroje, užtikrinama trečiųjų asmenų teisė į privatų gyvenimą. Duomenų subjektui susipažįstant su garso įrašu panaikinama galimybė identifikuoti trečiuosius asmenis, o susipažįstant su vaizdo įrašu, jeigu vaizdo įraše matomi kiti asmenys, kurių tapatybė gali būti nustatyta, ar kita informacija, kuri gali pažeisti trečiųjų asmenų privatumą, šie vaizdai turi būti retušuoti ar kitais būdais panaikinama galimybė identifikuoti trečiuosius asmenis.
15. Agentūra užtikrina, kad prieigos teisės prie garso ir vaizdo duomenų būtų suteikiamos tik turintiems teises naudotojams ir tik tokia apimtimi, kiek jos būtinos valstybės tarnautojui ar darbuotojui pareiginėms funkcijoms atlikti. Prieigos teisės prie garso ar vaizdo duomenų naikinamos pasibaigus duomenų valdytojo ir jo darbuotojo darbo santykiams, pasibaigus valstybės tarnybos teisiniams santykiams, pasikeitus darbo funkcijoms, kurioms vykdyti prieiga prie garso ar vaizdo duomenų nereikalinga, taip pat nutraukus asmens duomenų tvarkymo sutartį, sudarytą su asmens duomenų tvarkytoju, ar šiai sutarčiai nustojus galioti.
16. Valstybės tarnautojai ir darbuotojai, turintys prieigos teisę prie garso ar vaizdo duomenų, pastebėję garso ar vaizdo duomenų saugumo pažeidimus (veiksmus ar neveikimą, galinčius sukelti ar sukeliančius grėsmę asmens duomenų saugumui), turi informuoti Agentūros duomenų apsaugos pareigūną. Tolimesnė procedūra vykdoma Aprašo XIII skyriuje nustatyta tvarka.
IV SKYRIUS
TEISĖ GAUTI INFORMACIJĄ APIE DUOMENŲ TVARKYMĄ
18. Bendra informacija apie Agentūros atliekamą duomenų subjektų asmens duomenų tvarkymą pateikiama Agentūros interneto svetainės (http://vva.lrv.lt) skiltyje „Asmens duomenų apsauga“, paskelbiant šį Aprašą.
19. Kai duomenų subjekto asmens duomenys renkami tiesiogiai iš duomenų subjekto, informacija apie duomenų subjektų asmens duomenų tvarkymą, nurodyta Reglamento 13 straipsnyje, pateikiama asmens duomenų gavimo metu žodžiu ar raštu (atsižvelgiant į tai, kokiu būdu duomenų subjektas kreipiasi į Agentūrą), išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi arba kai tokių duomenų rinkimo bei teikimo tvarka ir duomenų gavėjai apibrėžiama įstatymuose ir kituose teisės aktuose ar yra kitos Reglamento 14 straipsnio 5 dalyje nurodytos sąlygos. Informacija raštu teikiama pagal Aprašo 1 priede pateiktą formą.
20. Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto, apie šio duomenų subjekto asmens duomenų tvarkymą informuojama raštu (pagal Aprašo 1 priede pateiktą formą):
20.1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;
20.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu;
V SKYRIUS
TEISĖ SUSIPAŽINTI SU DUOMENIMIS
21. Agentūra, esant duomenų subjekto prašymui įgyvendinti teisę susipažinti su savo asmens duomenimis, turi pateikti:
21.2. su asmens duomenų tvarkymu susijusią informaciją, numatytą Reglamento 15 straipsnio 1 ir 2 dalyse, jeigu duomenų subjekto asmens duomenys tvarkomi;
22. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta tvarkomų asmens duomenų kopija ar išrašas ir kita forma, nei Agentūra pateikia, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų.
23. Susipažinimas su pretendentų vertinimo komisijoje dokumentais:
23.1. Susipažinimas su pretendentų vertinimo komisijoje protokolu, savo spręstais testais ir raštu atliktomis užduotimis galimas iš karto pasibaigus pretendentų vertinimui komisijoje arba Agentūros pasiūlytu ir su pretendentu suderintu laiku Agentūros patalpose ar nuotoliniu būdu. Pretendentams gali būti išduodami protokolo išrašai, neatskleidžiant kitų pretendentų duomenų. Protokolas pretendentams neišduodamas, išskyrus Aprašo 23.2 papunktyje nustatytą atvejį, kai pretendentams išduodamas nurodytas protokolo išrašas. Pretendentų spręstų testų ir raštu atliktų užduočių kopijos neišduodamos. Susipažinimas su pretendentų į Agentūros darbuotojo pareigas testo žodžiu skaitmeniniu garso ar vaizdo įrašu, kompleksinio vertinimo pusiau struktūruoto interviu ir žodžiu atliekamų praktinių užduočių skaitmeniniu garso ar vaizdo įrašu, pretendentų vertinimo komisijoje skaitmeniniu garso ar vaizdo įrašu galimas Agentūros pasiūlytu ir su pretendentu suderintu laiku Agentūros patalpose ar nuotoliniu būdu. Asmenims skaitmeninio garso bei vaizdo įrašo kopijos neišduodamos, jie gali tik išklausyti savo garso arba peržiūrėti savo vaizdo įrašą. Susipažinimą organizuoja Agentūros valstybės tarnautojai ir darbuotojai, atsakingi už konkretaus kompleksinio vertinimo organizavimą arba konkretaus pretendentų vertinimo komisijos sekretorius (jiems nesant – kiti įgalioti Agentūros valstybės tarnautojai arba darbuotojai). Agentūros patalpoje ar nuotoliniu būdu susipažinimo su protokolu, savo spręstais testais ir raštu atliktomis užduotimis, garso ar vaizdo įrašais metu privalo būti ir stebėti susipažinimo procesą susipažinimą organizavęs Agentūros valstybės tarnautojas arba darbuotojas. Susipažinimo metu asmeniui draudžiama daryti garso ar vaizdo įrašus, kopijas, užrašus, naudoti kitas technines priemones. Pastebėjus, kad asmuo daro garso ar vaizdo įrašus, kopijas, užrašus, naudoja kitas technines priemones, asmens susipažinimas nutraukiamas ir Agentūros valstybės tarnautojo arba darbuotojo akivaizdoje asmuo turi sunaikinti padarytus įrašus, kopijas, užrašus, techninėmis priemonėmis užfiksuotą informaciją.
23.2. Kai pretendentų vertinimas komisijoje vyko telekomunikacijų galiniais įrenginiais ir nebuvo techninių galimybių pretendentams ar stebėtojams stebėti balų skaičiavimą ir rezultatų paskelbimą, jų prašymu Agentūra per 5 darbo dienas nuo šio prašymo gavimo pateikia protokolo išrašą, nurodydama jame pretendentų vardus, pavardes, užimtas vietas (eiliškumą) ir gautus balus. Susipažinę su protokolo išrašu, stebėtojai ir pretendentai jį turi sunaikinti.
VI SKYRIUS
TEISĖ REIKALAUTI IŠTAISYTI DUOMENIS
24. Duomenų subjektas, vadovaudamasis Reglamento 16 straipsniu, turi teisę reikalauti, kad bet kokie jo tvarkomi netikslūs asmens duomenys būtų ištaisyti, o neišsamūs papildyti.
25. Agentūra nedelsiant, bet ne vėliau kaip per 5 darbo dienas, patikrina asmens duomenis ir jeigu yra nustatoma, kad duomenų subjekto pateiktas prašymas yra pagrįstas, nedelsiant, bet ne vėliau kaip per 5 darbo dienas, ištaiso neteisingus, neišsamius, netikslius asmens duomenis arba jeigu nėra galimybių nedelsiant ištaisyti neteisingus, neišsamius ar netikslius asmens duomenis, sustabdo tokių asmens duomenų tvarkymą ir šiuos asmens duomenis saugo tol, kol jie bus ištaisyti.
26. Siekiant įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, Agentūra gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus.
27. Jeigu duomenų subjekto asmens duomenys (ištaisyti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Agentūra šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
VII SKYRIUS
TEISĖ REIKALAUTI IŠTRINTI DUOMENIS („TEISĖ BŪTI PAMIRŠTAM“)
28. Duomenų subjekto teisė ištrinti jo asmens duomenis („teisė būti pamirštam“) įgyvendinama Reglamento 17 straipsnyje numatytais atvejais.
29. Duomenų subjekto prašyme turi būti išsamiai argumentuota, dėl kokių priežasčių yra prašoma ištrinti jo asmens duomenis (prašyme turi būti nurodytas vienas iš Reglamento 17 straipsnyje nurodytų pagrindų).
30. Agentūra, gavusi duomenų subjekto prašymą, nedelsiant, bet ne vėliau kaip per 10 darbo dienų nuo prašymo gavimo dienos, atlieka prašymo įvertinimą, siekdama nustatyti, ar duomenų subjekto pateiktas prašymas yra pagrįstas.
Jeigu nustatoma, kad duomenų subjekto pateiktas prašymas yra pagrįstas, Agentūra nedelsiant, bet ne vėliau kaip per 5 darbo dienas, ištrina su duomenų subjektu susijusius asmens duomenis (išskyrus atvejus, jeigu yra bent vienas Reglamento 17 straipsnio 3 dalyje nurodytų pagrindų) arba, jeigu nėra galimybių nedelsiant sunaikinti duomenų subjekto asmens duomenų, apriboja duomenų subjekto asmens duomenų tvarkymo veiksmus.
31. Jeigu duomenų subjekto asmens duomenys (ištrinti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Agentūra šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
VIII SKYRIUS
TEISĖ APRIBOTI DUOMENŲ TVARKYMĄ
32. Reglamento 18 straipsnio 1 dalyje numatytais atvejais duomenų subjektas turi teisę reikalauti apriboti jo asmens duomenų tvarkymą.
33. Agentūra, gavusi duomenų subjekto prašymą, nedelsiant, bet ne vėliau kaip per 10 darbo dienų nuo prašymo gavimo dienos, atlieka prašymo įvertinimą, siekdama nustatyti, ar duomenų subjekto pateiktas prašymas yra pagrįstas.
Jeigu nustatoma, kad duomenų subjekto pateiktas prašymas yra pagrįstas, Agentūra apriboja duomenų subjekto asmens duomenų tvarkymą ir nedelsiant, bet ne vėliau kaip per 5 darbo dienas nuo sprendimo dėl asmens duomenų tvarkymo apribojimo priėmimo, informuoja duomenų subjektą apie jo asmens duomenų tvarkymo apribojimą.
34. Agentūra, duomenų subjekto prašymu apribojusi jo asmens duomenų tvarkymo veiksmus, asmens duomenis saugo tol, kol jie bus ištaisyti ar sunaikinti (duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui), o prieš tokio apribojimo panaikinimą duomenų subjektas raštu ar elektroninių ryšių priemonėmis yra informuojamas.
35. Jeigu duomenų subjekto asmens duomenys (kurių tvarkymas apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Agentūra šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
IX SKYRIUS
TEISĖ Į DUOMENŲ PERKELIAMUMĄ
X SKYRIUS
TEISĖ NESUTIKTI SU DUOMENŲ TVARKYMU
37. Duomenų subjektas, vadovaudamasis Reglamento 21 straipsniu, turi teisę dėl su juo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad Agentūra tvarkytų jo asmens duomenis, kai šie asmens duomenys Agentūroje yra tvarkomi Reglamento 6 straipsnio 1 dalies e arba f punktuose nustatytais atvejais.
38. Agentūra duomenų subjekto teisę nesutikti, kad būtų tvarkomi jo asmens duomenys, įgyvendina, jeigu duomenų subjekto nesutikimas yra teisiškai pagrįstas. Tokiu atveju Agentūra nedelsdama nutraukia asmens duomenų tvarkymo veiksmus, išskyrus įstatymuose nustatytus atvejus, ir apie tai informuoja duomenų gavėjus.
39. Duomenų subjektui išreiškus nesutikimą su asmens duomenų tvarkymu, toks tvarkymas atliekamas tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių atliekamas asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus.
XI SKYRIUS
PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES PATEIKIMAS
40. Kreipdamasis dėl duomenų subjekto teisių įgyvendinimo duomenų subjektas Agentūrai turi pateikti Aprašo 2 priede nurodytos formos rašytinį prašymą (toliau – prašymas) asmeniškai, paštu arba per pašto ar kitų siuntinių pristatymo paslaugas teikiančius asmenis, elektroninių ryšių priemonėmis arba elektroniniu paštu (info@vva.gov.lt).
41. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi žodžiu (tiesiogiai atvykus į įstaigą) ar prašymas pateiktas raštu asmeniškai, duomenų subjektas turi patvirtinti savo asmens tapatybę, pateikdamas asmens tapatybę patvirtinantį dokumentą. To nepadarius, duomenų subjekto teisės nėra įgyvendinamos. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento 13 ir 14 straipsnius.
42. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi raštu, pateikiant prašymą paštu arba per pašto ar kitų siuntinių pristatymo paslaugas teikiančius asmenis, tuomet kartu su prašymu turi būti pateikta asmens tapatybę patvirtinančio dokumento kopija, patvirtinta notaro ar kita teisės aktų nustatyta tvarka. Teikiant prašymą elektroniniu paštu, prašymas turi būti pasirašytas kvalifikuotu elektroniniu parašu. Prašymas gali būti pateikiamas ir per administracinių ir viešųjų elektroninių paslaugų portalą „Elektroniniai valdžios vartai“ (www.epaslaugos.lt), kas būtų laikoma tinkamu asmens tapatybės patvirtinimu. Šios nuostatos netaikomos, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento 13 ir 14 straipsnius.
43. Prašymas įgyvendinti duomenų subjekto teises turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyti duomenų subjekto vardas, pavardė, adresas ir (ar) kiti kontaktiniai duomenys ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo ir informacija apie tai, kokią iš Apraše nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti.
45. Asmens atstovas prašyme turi nurodyti savo vardą, pavardę, adresą ir (ar) kitus kontaktinius duomenis ryšiui palaikyti, kuriais asmens atstovas pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę ir adresą bei pateikti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą notaro ar kita teisės aktų nustatyta tvarka, ir atstovo asmens tapatybę patvirtinantį dokumentą arba jo kopiją, patvirtintą notaro ar kita teisės aktų nustatyta tvarka.
46. Esant abejonių dėl duomenų subjekto tapatybės, Agentūra turi teisę paprašyti papildomos informacijos, reikalingos ja įsitikinti. Tokiu atveju prašymo nagrinėjimo terminas pratęsiamas tokiam laikotarpiui, per kurį duomenų subjektas ar jo atstovas pateikia papildomą informaciją ar dokumentus.
47. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis į Agentūros duomenų apsaugos pareigūną, kurio duomenys skelbiami Agentūros interneto svetainės skiltyje „Asmens duomenų apsauga“. Siekiant užtikrinti Reglamento 38 straipsnio 5 dalyje įtvirtintą konfidencialumą, kreipiantis į duomenų apsaugos pareigūną paštu, ant voko užrašoma, kad korespondencija skirta duomenų apsaugos pareigūnui.
XII SKYRIUS
PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES NAGRINĖJIMAS
48. Gavus duomenų subjekto prašymą, ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, jam pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Jeigu prašymo nagrinėjimo metu duomenų subjektas jį patikslina (papildo) arba suformuluoja iš esmės naują prašymą, nagrinėjimo terminas skaičiuojamas nuo patikslinto (papildyto) prašymo gavimo dienos. Nurodytas laikotarpis gali būti pratęstas dar 2 mėnesiams, atsižvelgiant į prašymo sudėtingumą ir nagrinėjamų prašymų skaičių. Agentūra prieš pratęsdama prašymo nagrinėjimo terminą informuoja duomenų subjektą apie prašymo nagrinėjimo termino pratęsimą ir pateikia termino pratęsimo priežastis. Jeigu bus vėluojama pateikti informaciją, per nurodytą terminą duomenų subjektas informuojamas apie tai, nurodant vėlavimo priežastis ir apie galimybę pateikti skundą Valstybinei duomenų apsaugos inspekcijai.
49. Jeigu prašymas pateiktas nesilaikant Aprašo XI skyriuje nustatytos tvarkos ir reikalavimų, jis nenagrinėjamas, ir nedelsiant, bet ne vėliau kaip per 5 darbo dienas, duomenų subjektas apie tai informuojamas nurodant priežastis.
50. Jeigu prašymo nagrinėjimo metu nustatoma, jog duomenų subjekto teisės yra apribotos Reglamento 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.
51. Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba duomenų subjekto pasirinktu būdu: žodžiu, paštu, elektroniniu paštu ar elektroninių ryšių priemonėmis.
52. Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma, dėl jų pasikartojančio turinio, Agentūra gali atsisakyti imtis veiksmų pagal duomenų subjekto prašymą.
53. Agentūros veiksmus ar neveikimą, įgyvendinant duomenų subjekto teises, duomenų subjektas turi teisę skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai (L. Sapiegos g. 17, 10312 Vilnius, el. paštas ada@ada.lt, interneto svetainė www.ada.lt), taip pat Vilniaus apygardos administraciniam teismui.
XIII SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMAS
54. Įvykus bet kokiam asmens duomenų saugumo pažeidimui ar kitam incidentui, susijusiam su asmens duomenų saugumu Agentūroje, Agentūros valstybės tarnautojai ir darbuotojai, kuriems tapo žinoma apie asmens duomenų saugumo pažeidimą, privalo nedelsiant, bet ne vėliau kaip pažeidimo ar incidento paaiškėjimo dieną, informuoti Agentūros direktorių, direktoriaus pavaduotoją, duomenų apsaugos pareigūną ir savo tiesioginį vadovą.
55. Įvykus bet kokiam asmens duomenų saugumo pažeidimui, Agentūra privalo kuo greičiau ištaisyti asmens duomenų saugumo pažeidimus, eliminuoti jų pasekmes, siekiant atstatyti padėtį, kuri buvo prieš pažeidimą, imtis visų priemonių, kad pavojus arba galima žala duomenų subjektų teisėms ir laisvėms būtų sumažinta arba panaikinta.
56. Asmens duomenų saugumo pažeidimo atveju Agentūra ne vėliau kaip per 72 valandas nuo tada, kai sužinojo apie asmens duomenų saugumo pažeidimą, vadovaujantis Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos apraše, patvirtintame Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T-72(1.12. E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“, nustatyta tvarka ir sąlygomis praneša Valstybinei duomenų apsaugos inspekcijai (išskyrus Aprašo 57 punkte nustatytus atvejus), pateikdamas nurodytos formos pranešimą (Aprašo 3 priedas).
57. Pranešimas Valstybinei duomenų apsaugos inspekcijai nėra teikiamas, jeigu asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Nustatant, ar asmens duomenų saugumo pažeidimas kelia pavojų fizinių asmenų teisėms ir laisvėms, vertinama:
57.3. duomenų subjekto identifikavimo galimybė tiesiogiai ar netiesiogiai pasinaudojant pažeidimo objektu esančiais duomenimis;
57.4. padarinių duomenų subjektui sunkumas, t. y. vertinama tokio asmens duomenų saugumo pažeidimo galimi sukelti fiziniai, materialiniai ir nematerialiniai padariniai duomenų subjekto teisėms ir laisvėms: ar duomenų subjektas praranda savo asmens duomenų kontrolę, ar pasireiškia koks nors duomenų subjektų teisių apribojimas, diskriminacija, tapatybės vagystė ar sukčiavimas, finansiniai nuostoliai, neteisėtas pseudonimo panaudojimas ar atskleidimas, žala reputacijai, konfidencialios informacijos (komercinės, gamybinės, profesinės paslapties) praradimas, jautrios informacijos atskleidimas, kiti galimi ekonominiai, socialiniai nuostoliai;
58. Preziumuojama, kad asmens duomenų saugumo pažeidimas kelia pavojų duomenų subjekto asmens teisėms ir laisvėms, kai asmens duomenų saugumo pažeidimas yra susijęs su specialių kategorijų asmens duomenimis.
59. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, Agentūra privalo ne vėliau kaip per 72 valandas pranešti apie asmens duomenų saugumo pažeidimą tiesiogiai duomenų subjektui pateikdamas nurodytos formos pranešimą (Aprašo 4 priedas). Pranešimas duomenų subjektui pateikiamas įprastu komunikavimo su duomenų subjektu būdu, dedant maksimalias pastangas, kad pranešimas pasiektų adresatą.
60. Aprašo 59 punkte nurodytas pranešimas duomenų subjektams apie asmens duomenų saugumo pažeidimus nėra teikiamas, jeigu yra bent viena Reglamento 34 straipsnio 3 dalyje nurodytų sąlygų.
61. Agentūra privalo informuoti duomenų subjektus apie asmens duomenų saugumo pažeidimą, pateikdamas nustatytos formos pranešimą, jeigu to pareikalauja Valstybinė duomenų apsaugos inspekcija.
62. Už pranešimų apie asmens duomenų saugumo pažeidimą pateikimą Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektams yra atsakingas Agentūros duomenų apsaugos pareigūnas (jo nesant – kitas Agentūros direktoriaus įgaliotas valstybės tarnautojas ar darbuotojas). Agentūros valstybės tarnautojai ir darbuotojai privalo operatyviai teikti duomenų apsaugos pareigūnui (jo nesant – kitam Agentūros direktoriaus įgaliotam valstybės tarnautojui ar darbuotojui) visą jo paprašytą su asmens duomenų saugumo pažeidimu susijusią informaciją ir dokumentus.
63. Agentūra, sudarydama bet kokio pobūdžio sutartis, kurių pagrindu yra perduodami asmens duomenys, užtikrina, kad sutartyse būtų įtvirtinta pareiga kitai sutarties šaliai pranešti Agentūrai apie asmens duomenų saugumo pažeidimo atvejus ne vėliau kaip per 24 val. nuo sužinojimo momento pateikiant pranešimo formoje nustatytą informaciją bei bendradarbiauti teikiant informaciją Valstybinei duomenų apsaugos inspekcijai ir (ar) duomenų subjektams.
64. Agentūroje tvarkomas Asmens duomenų saugumo pažeidimų registras pagal Aprašo 5 priede patvirtintą formą. Už Asmens duomenų saugumo pažeidimų registro pildymą atsakingas Agentūros duomenų apsaugos pareigūnas (jo nesant – kitas Agentūros direktoriaus įgaliotas valstybės tarnautojas ar darbuotojas). Asmens duomenų saugumo pažeidimų registre registruojami visi asmens duomenų saugumo pažeidimai, nepaisant to, ar apie juos pranešta Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektui, ar tokie pažeidimai gali sukelti pavojų duomenų subjektų teisėms ir laisvėms, ar ne. Asmens duomenų saugumo pažeidimų registras yra pateikiamas Valstybinei duomenų apsaugos inspekcijai jai pareikalavus. Asmens duomenų saugumo pažeidimų registras gali būti popierinės arba elektroninės formos.
65. Agentūros duomenų apsaugos pareigūnas turi nuolat stebėti asmens duomenų tvarkymo veiklą Agentūroje ir tirti bet kokius incidentus, kurie gali būti susiję su asmens duomenų saugumo pažeidimais. Esant poreikiui gali būti sudaryta darbo grupė tirti asmens duomenų saugumo pažeidimus, jų priežastis, pasekmes bei teikti pasiūlymus dėl asmens duomenų saugumo pažeidimų išvengimo ateityje. Agentūra nuolat tobulina vidinius procesus, atsižvelgdamas į nustatytas asmens duomenų saugumo pažeidimų priežastis.
XIV SKYRIUS
ASMENS DUOMENŲ TEIKIMAS TREČIOSIOMS ŠALIMS
66. Asmens duomenys tretiesiems asmenims teikiami tik įstatymų nustatytais atvejais ir tvarka:
66.1. asmenų, pateikusių Agentūrai skundą ar prašymą, asmens duomenys skundo ar prašymo nagrinėjimo tikslu – juridiniams ir fiziniams asmenims (įskaitant ir kitų Europos Sąjungos valstybių narių ir Europos ekonominės erdvės valstybių kompetentingas institucijas);
66.2. asmenų, pateikusių Agentūrai skundą ar prašymą, asmens duomenys ginčo dėl Agentūros priimto sprendimo teisėtumo nagrinėjimo tikslu – teismams;
66.3. Agentūros valstybės tarnautojų ir darbuotojų asmens duomenys: socialinio draudimo mokesčio administravimo tikslu – Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos, mokesčių administravimo tikslu – Valstybinei mokesčių inspekcijai prie Lietuvos Respublikos finansų ministerijos;
66.4. duomenų subjektų vaizdo stebėjimo duomenys (į Vidaus reikalų ministerijos pastato ir teritorijos vaizdo kamerų stebėjimo teritoriją patekusių duomenų subjektų vaizdo duomenys), įeigos į pastatą kontrolės duomenys, siekiant atskleisti nusikalstamas veikas, administracinius nusižengimus, įrodyti Vidaus reikalų ministerijos valstybės tarnautojų ir darbuotojų, lankytojų ar turto apgadinimo metu padarytai žalai ar kaip įrodymai ikiteisminiame ar kitame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais įstatymų nustatytais atvejais ‒ ikiteisminio tyrimo įstaigoms, prokuratūrai, teismams, kitiems juridiniams ir fiziniams asmenims, kuriems įstatymai suteikia teisę gauti tokius duomenis teikia Vidaus reikalų ministerija;
XV SKYRIUS
BAIGIAMOSIOS NUOSTATOS
67. Šis Aprašas yra peržiūrimas kasmet atliekant atitikties asmens duomenų apsaugos reikalavimams vertinimą.
68. Su šiuo Aprašu Agentūros valstybės tarnautojai ir darbuotojai supažindinami pasirašytinai priėmimo į darbą metu, o su Aprašo pakeitimais – Dokumentų valdymo sistemoje arba elektroniniu paštu.
Asmens duomenų tvarkymo, saugojimo ir šių
duomenų subjektų teisių įgyvendinimo Viešojo valdymo agentūroje tvarkos aprašo
1 priedas
(Informacijos apie asmens duomenų tvarkymą forma)
INFORMACIJA APIE ASMENS DUOMENŲ TVARKYMĄ
Vadovaudamiesi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 13/14 straipsniu (pasirinkti tinkamą: jei duomenys gauti iš paties duomenų subjekto, nurodomas Bendrojo duomenų apsaugos reglamento 13 straipsnis, jei iš kitų asmenų – 14 straipsnis), teikiame Jums informaciją, susijusią su Jūsų duomenų tvarkymu:
1. Duomenų valdytojas – Viešojo valdymo agentūra, juridinio asmens kodas 188784211, buveinės adresas Šventaragio g. 2, LT-01510 Vilnius, tel. (8 5) 271 8235, el. pašto adresas info@vva.gov.lt.
2. Duomenų apsaugos pareigūno kontaktai – (nurodyti Agentūros duomenų apsaugos pareigūno pareigas, vardą, pavardę, telefono numerį, elektroninio pašto adresą).
3. Tvarkomi duomenys. Informuojame Jus, kad tvarkome šiuos Jūsų asmens duomenis (šiame punkte pateikiamas tvarkomų asmens duomenų (asmens duomenų kategorijų) sąrašas, nurodytas Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Viešojo valdymo agentūroje tvarkos apraše):
1. ________________________________________________________________________
2. ________________________________________________________________________
3. ________________________________________________________________________
4. ________________________________________________________________________
4. Duomenų tvarkymo tikslai. Aukščiau nurodyti Jūsų asmens duomenys yra tvarkomi šiais tikslais (šiame punkte pateikiami asmens duomenų tvarkymo tikslai, nurodyti Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Viešojo valdymo agentūroje tvarkos apraše):
1. ________________________________________________________________________
2. ________________________________________________________________________
3. ________________________________________________________________________
4. ________________________________________________________________________
5. Duomenų tvarkymo teisinis pagrindas. Jūsų asmens duomenų tvarkymo teisinis pagrindas (šiame punkte pateikiamas asmens duomenų tvarkymo pagrindas ir, atsižvelgiant į duomenų tvarkymo teisinį pagrindą, nurodoma, ar duomenų pateikimas yra nustatytas teisės aktais, arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina vykdyti norint sudaryti sutartį, taip pat tai, ar duomenų subjektas privalo pateikti asmens duomenis, ir informacija apie galimas tokių duomenų nepateikimo pasekmes. Jeigu duomenų tvarkymo pagrindas – teisėtas Viešojo valdymo agentūros ar trečiųjų asmenų interesas – aiškiai įvardinamas šis interesas) –
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
6. Duomenų šaltinis. Aukščiau nurodyti Jūsų duomenys gauti iš (šiame punkte pateikiamas asmens duomenų kilmės šaltinis ir, jeigu taikoma asmens duomenų apsauga, ar duomenys gauti iš viešai prieinamų šaltinių):
__________________________________________________________________________
__________________________________________________________________________
7. Asmens duomenų gavėjai. Jūsų asmens duomenys gali būti perduoti (šiame punkte pateikiami duomenų gavėjai (jų kategorijos), nurodyti Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Viešojo valdymo agentūroje tvarkos apraše):
1. ________________________________________________________________________
2. ________________________________________________________________________
3. ________________________________________________________________________
4. ________________________________________________________________________
8. Duomenų subjektų teisės. Informuojame Jus, kad turite šias teises: teisę prašyti, kad Jums būtų leista susipažinti su Jūsų asmens duomenimis ir juos ištaisyti arba ištrinti, teisę apriboti duomenų tvarkymą, teisę nesutikti, kad asmens duomenys būtų tvarkomi. Šias teises galite įgyvendinti teisės aktų nustatyta tvarka.
Prašymai dėl teisių įgyvendinimo Agentūrai turi būti pateikti raštu (įskaitant ir elektroniniu formatu), taip pat turi būti įmanoma identifikuoti prašymą padavusio asmens bei duomenų subjekto tapatybę. Duomenų subjekto tapatybė nustatoma pagal asmens tapatybę patvirtinantį dokumentą ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį. Jei prašymą duomenų subjektas siunčia paštu ar per pašto ar kitų siuntinių pristatymo paslaugas teikiančius asmenis, prie prašymo turi būti pridėta asmens tapatybę patvirtinančio dokumento kopija, patvirtinta notaro ar kita teisės aktų nustatyta tvarka. Kai dėl informacijos apie asmenį kreipiasi jo atstovas, jis turi pateikti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą notaro ar kita teisės aktų nustatyta tvarka, ir atstovo asmens tapatybę patvirtinantį dokumentą, jeigu prašymas siunčiamas paštu arba per pašto ar kitų siuntinių pristatymo paslaugas teikiančius asmenis, prie prašymo pridedamos atstovavimą patvirtinančio dokumento kopija, patvirtinta notaro ar kita teisės aktų nustatyta tvarka, ir asmens tapatybę patvirtinančio dokumento kopija, patvirtinta notaro ar kita teisės aktų nustatyta tvarka.
Dėl duomenų subjektų teisių įgyvendinimo maloniai prašome kreiptis į duomenų apsaugos pareigūną 2 punkte nurodytais kontaktais.
9. Jūs taip pat turite teisę bet kada atšaukti sutikimą tvarkyti Jūsų duomenis. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto asmens duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui (ši pastraipa rašoma tik tada, kai duomenys yra tvarkomi sutikimo pagrindu).
10. Asmens duomenų saugojimo laikotarpis. Informuojame, kad Jūsų asmens duomenys bus saugomi ____________ laikotarpį (pateikiamas asmens duomenų saugojimo laikotarpis, nurodytas Viešojo valdymo agentūros dokumentacijos plane). Šis terminas gali būti pratęstas, jei asmens duomenys yra naudojami arba gali būti naudojami kaip įrodymai ar informacijos šaltinis ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais įstatymų nustatytais atvejais. Tokiu atveju asmens duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
11. Automatizuotų sprendimų priėmimai. Informuojame, kad šie Jūsų duomenys nebus naudojami automatizuotų sprendimų priėmimui Jūsų atžvilgiu, įskaitant profiliavimą.
12. Skundų teikimas. Informuojame, kad Jūs turite teisę skųsti Viešojo valdymo agentūros veiksmus (neveikimą) Valstybinei duomenų apsaugos inspekcijai ir Vilniaus apygardos administraciniam teismui teisės aktų nustatyta tvarka, taip pat skųsti Vilniaus apygardos administraciniam teismui Valstybinės duomenų apsaugos inspekcijos veiksmus (neveikimą).
Asmens duomenų tvarkymo, saugojimo ir šių
duomenų subjektų teisių įgyvendinimo Viešojo valdymo agentūroje tvarkos aprašo
2 priedas
(Prašymo įgyvendinti duomenų subjekto teisę (-es) forma)
________________________________________________________________
(duomenų subjekto vardas, pavardė (gali būti prašoma nurodyti daugiau duomenų, siekiant nustatyti, ar duomenų subjekto duomenys yra tvarkomi)
________________________________________________________________________________
(adresas ir (ar) kiti kontaktiniai duomenys (telefono numeris ar el. pašto adresas (nurodoma pareiškėjui pageidaujant)
________________________________________________________________________________
(atstovas ir atstovavimo pagrindas, jeigu prašymą pateikia duomenų subjekto atstovas)
______________________________________
(duomenų valdytojo pavadinimas)
PRAŠYMAS
ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISĘ (-ES)
____________
(data)
________
(vieta)
1. Prašau įgyvendinti šią (šias) duomenų subjekto teisę (-es) (tinkamą langelį pažymėkite kryželiu):
□ Teisę gauti informaciją apie duomenų tvarkymą
□ Teisę susipažinti su duomenimis
□ Teisę reikalauti ištaisyti duomenis
□ Teisę reikalauti ištrinti duomenis („teisė būti pamirštam“)
□ Teisę apriboti duomenų tvarkymą
□ Teisę nesutikti su duomenų tvarkymu
2. Nurodykite, ko konkrečiai prašote ir pateikite kiek įmanoma daugiau informacijos, kuri leistų tinkamai įgyvendinti Jūsų teisę (-es) (pavyzdžiui, jeigu norite gauti asmens duomenų kopiją, nurodykite, kokius konkrečiai duomenis pageidaujate gauti; jeigu norite ištaisyti duomenis, nurodykite, kokie konkrečiai Jūsų asmens duomenys yra netikslūs; jeigu nesutinkate, kad būtų tvarkomi Jūsų asmens duomenys, tuomet nurodykite argumentus, kuriais grindžiate savo nesutikimą, nurodykite dėl kokio konkrečiai duomenų tvarkymo nesutinkate):
___________________________________________________________________________________________
___________________________________________________________________________________________
___________________________________________________________________________________________
___________________________________________________________________________________________
___________________________________________________________________________________________
PRIDEDAMA:
1. _____________________________________________________________________________ .
2. _____________________________________________________________________________ .
3. _____________________________________________________________________________ .
4. _____________________________________________________________________________ .
PASTABA. Jeigu prašymas yra siunčiamas paštu, prie prašymo pridedama asmens tapatybę patvirtinančio dokumento kopija, patvirtinta notaro ar kita teisės aktų nustatyta tvarka. Jeigu kreipiamasi dėl netikslių duomenų ištaisymo, pateikiami tikslius duomenis patvirtinantys dokumentai; jeigu jie siunčiami paštu, tuomet turi būti pridėtos šių dokumentų kopijos, patvirtintos notaro ar kita teisės aktų nustatyta tvarka. Jeigu duomenų subjekto asmens duomenys, tokie kaip vardas, pavardė, yra pasikeitę, kartu pateikiami dokumentai, patvirtinantys šių duomenų pasikeitimą,; jeigu jie siunčiami paštu, tuomet turi būti pridėtos šių dokumentų kopijos, patvirtintos notaro ar kita teisės aktų nustatyta tvarka. Jeigu prašymą pateikia duomenų subjekto atstovas, kartu turi būti pridedamas atstovo įgaliojimus patvirtinantis dokumentas, jeigu jis siunčiamas paštu, tuomet turi būti pridėtos šių dokumentų kopijos, patvirtintos notaro ar kita teisės aktų nustatyta tvarka.
_______________ _________________________
(parašas) (vardas, pavardė)
______________
Asmens duomenų tvarkymo, saugojimo ir šių
duomenų subjektų teisių įgyvendinimo Viešojo valdymo agentūroje tvarkos aprašo
3 priedas
(Pranešimo Valstybinei duomenų apsaugos inspekcijai apie asmens duomenų saugumo pažeidimą forma)
____________________________________________________________________________
(duomenų valdytojo pavadinimas)
____________________________________________________________________________
(juridinio asmens kodas ir buveinės adresas)
____________________________________________________________________________
(telefono ryšio numeris ir (ar) elektroninio pašto adresas, ir (ar) elektroninės siuntos pristatymo dėžutės adresas)
Valstybinei duomenų apsaugos inspekcijai
PRANEŠIMAS
APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ
____________ ____________
(data) (numeris)
1. Asmens duomenų saugumo pažeidimo apibūdinimas:
1.1. Asmens duomenų saugumo pažeidimo data ir laikas:
Asmens duomenų saugumo pažeidimo:
Data ______________ Laikas __________
Asmens duomenų saugumo pažeidimo nustatymo:
Data ______________ Laikas __________
1.2. Asmens duomenų saugumo pažeidimo vieta (pažymėti tinkamą (-us):
Informacinė sistema
Duomenų bazė
Tarnybinė stotis
Internetinė svetainė
Debesų kompiuterijos paslaugos
Nešiojami / mobilus įrenginiai
Neautomatiniu būdu susistemintos bylos (archyvas)
Kita ___________________________________________________________________
1.3. Asmens duomenų saugumo pažeidimo aplinkybės (pažymėti tinkamą (-us):
Asmens duomenų konfidencialumo praradimas (neautorizuota prieiga ar atskleidimas)
Asmens duomenų vientisumo praradimas (neautorizuotas asmens duomenų pakeitimas)
Asmens duomenų prieinamumo praradimas (asmens duomenų praradimas, sunaikinimas)
1.4. Apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius:
_____________________________________________________________________________
1.5. Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos (atskiriamos pagal jai būdingą požymį):
_____________________________________________________________________________
_____________________________________________________________________________
1.6. Asmens duomenų, kurių saugumas pažeistas, kategorijos (pažymėti tinkamą (-as):
Asmens tapatybę patvirtinantys asmens duomenys (vardas, pavardė, amžius, gimimo data, lytis ir kt.):
________________________________________________________________________________________________________________________________________________________________
Specialių kategorijų asmens duomenys (duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, ar narystę profesinėse sąjungose, genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie lytinį gyvenimą ir lytinę orientaciją):
________________________________________________________________________________
________________________________________________________________________________
Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas:
________________________________________________________________________________
________________________________________________________________________________
Prisijungimo duomenys ir (ar) asmens identifikaciniai numeriai (pavyzdžiui, asmens kodas, slaptažodžiai):
________________________________________________________________________________
________________________________________________________________________________
Kiti:
________________________________________________________________________________
________________________________________________________________________________
Nežinomi (pranešimo teikimo metu)
1.7. Apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius:
_____________________________________________________________________________
1.8. Išsamiau apibūdinkite asmens duomenų saugumo pažeidimą, nurodykite (jei žinote) priežastis dėl kurių įvyko asmens duomenų saugumo pažeidimas ir pateikite kitą, duomenų valdytojo nuomone, reikšmingą informaciją:
________________________________________________________________________________
________________________________________________________________________________
1.9. Pranešimas kitoms įstaigoms pagal kompetenciją:
Ar informacija apie šį pažeidimą buvo perduota Lietuvos policijai? (jei galimai pažeidimas turi nusikalstamos veikos požymių)
Ar informacija apie šį pažeidimą buvo perduota Nacionaliniam kibernetinio saugumo centrui? (jei galimai pažeidimas galėjo paveikti kibernetinio saugumo subjektų ryšių ir informacines sistemas).
2. Galimos asmens duomenų saugumo pažeidimo pasekmės
2.1. Konfidencialumo praradimo atveju:
Asmens duomenų išplitimas labiau nei yra būtina ir duomenų subjekto kontrolės praradimas savo asmens duomenų atžvilgiu (pavyzdžiui, asmens duomenys išplito internete)
Skirtingos informacijos susiejimas (pavyzdžiui, gyvenamosios vietos adreso susiejimas su asmens buvimo vieta realiu laiku)
Galimas panaudojimas kitais, nei nustatytais ar neteisėtais tikslais (pavyzdžiui, komerciniais tikslais, asmens tapatybės pasisavinimo tikslu, informacijos panaudojimo prieš asmenį tikslu)
Kita
________________________________________________________________________________
________________________________________________________________________________
2.2. Vientisumo praradimo atveju:
Pakeitimas į neteisingus duomenis dėl ko asmuo gali netekti galimybės naudotis paslaugomis
Pakeitimas į galiojančius duomenis, kad asmens duomenų tvarkymas būtų nukreiptas (pavyzdžiui, pavogta asmens tapatybė susiejant vieno asmens identifikuojančius duomenis su kito asmens duomenimis)
Kita
________________________________________________________________________________
________________________________________________________________________________
2.3. Duomenų prieinamumo praradimo atveju:
Dėl asmens duomenų trūkumo negalima teikti paslaugų (pavyzdžiui, administracinių procesų sutrikdymas, dėl ko negalima, pavyzdžiui, įgyvendinti duomenų subjekto teises)
Dėl klaidų asmens duomenų tvarkymo procesuose negalima teikti tinkamos paslaugos (pavyzdžiui, neliko tam tikros informacijos apie asmenį ir pan.)
Kita
________________________________________________________________________________
________________________________________________________________________________
3. Priemonės, kurių imtasi siekiant pašalinti pažeidimą ar sumažinti jo pasekmes
3.1. Taikytos priemonės siekiant sumažinti poveikį duomenų subjektams:
________________________________________________________________________________
________________________________________________________________________________
3.2. Taikytos priemonės siekiant pašalinti asmens duomenų saugumo pažeidimą:
________________________________________________________________________________
________________________________________________________________________________
3.3. Taikytos priemonės siekiant, kad pažeidimas nepasikartotų:
________________________________________________________________________________
________________________________________________________________________________
4. Siūlomos priemonės sumažinti asmens duomenų saugumo pažeidimo pasekmėms
________________________________________________________________________________
________________________________________________________________________________
5. Duomenų subjektų informavimas apie asmens duomenų saugumo pažeidimą
5.1. Duomenys apie informavimo faktą:
Taip, duomenų subjektai informuoti (nurodoma data) _______________________________
Ne, bet jie bus informuoti (nurodoma data) _______________________________________
Ne
5.2. Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, neinformavimo priežastys:
Ne, nes nekyla didelis pavojus duomenų subjektų teisėms ir laisvėms (nurodoma kodėl)
________________________________________________________________________________
________________________________________________________________________________
Ne, nes įgyvendintos tinkamos techninės ir organizacinės priemonės, užtikrinančios, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami (nurodomos kokios)
________________________________________________________________________________
________________________________________________________________________________
Ne, nes įgyvendintos tinkamos techninės ir organizacinės priemonės, užtikrinančios, kad nekiltų didelis pavojus duomenų subjektų teisėms ir laisvėms (nurodomos kokios)
________________________________________________________________________________
________________________________________________________________________________
Ne, nes tai pareikalautų neproporcingai daug pastangų ir apie tai viešai paskelbta (arba taikyta panaši priemonė) (nurodoma kada ir kur paskelbta informacija viešai arba jei taikyta kita priemonė, nurodoma kokia ir kada taikyta)
________________________________________________________________________________
________________________________________________________________________________
Ne, nes dar neidentifikuoti duomenų subjektai, kurių asmens duomenų saugumas pažeistas
________________________________________________________________________________
________________________________________________________________________________
5.3. Informacija, kuri buvo pateikta duomenų subjektams (gali būti pridėtas pranešimo duomenų subjektui kopija):
________________________________________________________________________________
________________________________________________________________________________
5.4. Būdas, kokiu duomenų subjektai buvo informuoti:
Paštu
Elektroniniu paštu
Kitu būdu ____________________________________________________________________
6. Asmuo galintis suteikti daugiau informacijos apie asmens duomenų saugumo pažeidimą (duomenų apsaugos pareigūnas ar kitas kontaktinis asmuo)
7. Pranešimo pateikimo Valstybinei duomenų apsaugos inspekcijai pateikimo vėlavimo priežastys
________________________________________________________________________________
________________________________________________________________________________
8. Kita reikšminga informacija
________________________________________________________________________________
________________________________________________________________________________
________________ ________________ _____________________
(pareigos) (parašas) (vardas, pavardė)
_____________________
Asmens duomenų tvarkymo, saugojimo ir šių
duomenų subjektų teisių įgyvendinimo
Viešojo valdymo agentūroje tvarkos aprašo
4 priedas
(Pranešimo duomenų subjektui apie asmens duomenų saugumo pažeidimą forma)
____________________________________________________________________________
(duomenų valdytojo (juridinio asmens) pavadinimas)
____________________________________________________________________________
(juridinio asmens kodas ir buveinės adresas)
____________________________________________________________________________
(telefono ryšio numeris ir (ar) elektroninio pašto adresas, ir (ar) elektroninės siuntos pristatymo dėžutės adresas)
Duomenų subjekto vardas, pavardė
kontaktinė informacija
PRANEŠIMAS
APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ
____________ ____________
(data) (numeris)
1. Asmens duomenų saugumo pažeidimo apibūdinimas:
1.1. Asmens duomenų saugumo pažeidimo data ir laikas:
Asmens duomenų saugumo pažeidimo:
Data ______________ Laikas __________
Asmens duomenų saugumo pažeidimo nustatymo:
Data ______________ Laikas __________
1.2. Asmens duomenų saugumo pažeidimo vieta (pažymėti tinkamą (-us):
Informacinė sistema
Duomenų bazė
Tarnybinė stotis
Internetinė svetainė
Debesų kompiuterijos paslaugos
Nešiojami / mobilus įrenginiai
Neautomatiniu būdu susistemintos bylos (archyvas)
Kita ___________________________________________________________________
1.3. Asmens duomenų saugumo pažeidimo aplinkybės (pažymėti tinkamą (-us):
Asmens duomenų konfidencialumo praradimas (neautorizuota prieiga ar atskleidimas)
Asmens duomenų vientisumo praradimas (neautorizuotas asmens duomenų pakeitimas)
Asmens duomenų prieinamumo praradimas (asmens duomenų praradimas, sunaikinimas)
1.4. Asmens duomenų, kurių saugumas pažeistas, kategorijos (pažymėti tinkamą (-as):
Asmens tapatybę patvirtinantys asmens duomenys (vardas, pavardė, amžius, gimimo data, lytis ir kt.):
________________________________________________________________________________________________________________________________________________________________
Specialių kategorijų asmens duomenys (duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, ar narystę profesinėse sąjungose, genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie lytinį gyvenimą ir lytinę orientaciją):
________________________________________________________________________________
________________________________________________________________________________
Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas:
________________________________________________________________________________
________________________________________________________________________________
Prisijungimo duomenys ir (ar) asmens identifikaciniai numeriai (pavyzdžiui, asmens kodas, slaptažodžiai):
________________________________________________________________________________
________________________________________________________________________________
Kiti:
________________________________________________________________________________
________________________________________________________________________________
Nežinomi (pranešimo teikimo metu)
1.5. Apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius:
_____________________________________________________________________________
1.6. Išsamiau apibūdinkite asmens duomenų saugumo pažeidimą, nurodykite (jei žinote) priežastis dėl kurių įvyko asmens duomenų saugumo pažeidimas ir pateikite kitą, duomenų valdytojo nuomone, reikšmingą informaciją:
________________________________________________________________________________
________________________________________________________________________________
1.7. Pranešimas kitoms įstaigoms pagal kompetenciją:
Ar informacija apie šį pažeidimą buvo perduota Lietuvos policijai? (jei galimai pažeidimas turi nusikalstamos veikos požymių)
Ar informacija apie šį pažeidimą buvo perduota Nacionaliniam kibernetinio saugumo centrui? (jei galimai pažeidimas galėjo paveikti kibernetinio saugumo subjektų ryšių ir informacines sistemas).
2. Galimos asmens duomenų saugumo pažeidimo pasekmės
2.1. Konfidencialumo praradimo atveju:
Asmens duomenų išplitimas labiau nei yra būtina ir duomenų subjekto kontrolės praradimas savo asmens duomenų atžvilgiu (pavyzdžiui, asmens duomenys išplito internete)
Skirtingos informacijos susiejimas (pavyzdžiui, gyvenamosios vietos adreso susiejimas su asmens buvimo vieta realiu laiku)
Galimas panaudojimas kitais, nei nustatytais ar neteisėtais tikslais (pavyzdžiui, komerciniais tikslais, asmens tapatybės pasisavinimo tikslu, informacijos panaudojimo prieš asmenį tikslu)
Kita
________________________________________________________________________________
________________________________________________________________________________
2.2. Vientisumo praradimo atveju:
Pakeitimas į neteisingus duomenis dėl ko asmuo gali netekti galimybės naudotis paslaugomis
Pakeitimas į galiojančius duomenis, kad asmens duomenų tvarkymas būtų nukreiptas (pavyzdžiui, pavogta asmens tapatybė susiejant vieno asmens identifikuojančius duomenis su kito asmens duomenimis)
Kita
________________________________________________________________________________
________________________________________________________________________________
2.3. Duomenų prieinamumo praradimo atveju:
Dėl asmens duomenų trūkumo negalima teikti paslaugų (pavyzdžiui, administracinių procesų sutrikdymas, dėl ko negalima, pavyzdžiui, įgyvendinti duomenų subjekto teises)
Dėl klaidų asmens duomenų tvarkymo procesuose negalima teikti tinkamos paslaugos (pavyzdžiui, neliko tam tikros informacijos apie asmenį ir pan.)
Kita
________________________________________________________________________________
________________________________________________________________________________
3. Priemonės, kurių imtasi siekiant pašalinti pažeidimą ar sumažinti jo pasekmes
3.1. Taikytos priemonės siekiant sumažinti poveikį duomenų subjektui:
________________________________________________________________________________
________________________________________________________________________________
3.2. Taikytos priemonės siekiant pašalinti asmens duomenų saugumo pažeidimą:
________________________________________________________________________________
________________________________________________________________________________
3.3. Taikytos priemonės siekiant, kad pažeidimas nepasikartotų:
________________________________________________________________________________
________________________________________________________________________________
4. Siūlomos priemonės sumažinti asmens duomenų saugumo pažeidimo pasekmėms
________________________________________________________________________________
________________________________________________________________________________
5. Valstybinės duomenų apsaugos inspekcijos informavimas apie asmens duomenų saugumo pažeidimą
5.1. Duomenys apie informavimo faktą:
Taip, informuota (nurodoma data) _______________________________
Ne, bet bus informuota (nurodoma data) _______________________________________
Ne
5.2. Valstybinės duomenų apsaugos inspekcijos neinformavimo priežastys:
________________________________________________________________________________
________________________________________________________________________________
6. Asmuo galintis suteikti daugiau informacijos apie asmens duomenų saugumo pažeidimą (duomenų apsaugos pareigūnas ar kitas kontaktinis asmuo)
7. Kita reikšminga informacija
________________________________________________________________________________
________________________________________________________________________________
________________ ________________ _____________________
(pareigos) (parašas) (vardas, pavardė)
______________
Asmens duomenų tvarkymo, saugojimo ir šių
duomenų subjektų teisių įgyvendinimo
Viešojo valdymo agentūroje tvarkos aprašo
5 priedas
(Asmens duomenų saugumo pažeidimų registro forma)
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ REGISTRAS
Eil. Nr. |
Informacija apie pažeidimo (galimo pažeidimo) identifikavimą |
|
Informacija apie pažeidimą |
||||||||
Kas pastebėjo pažeidimą (darbuotojas (vardas, pavardė), duomenų subjektas, kitas asmuo)?
|
Kam pranešta (pareigos, vardas, pavardė)? |
Kada pranešta (data, laikas)? |
Kokia forma pranešta (el. paštu, telefonu, žodžiu ir pan.)? |
Pažeidimo tyrimui paskirtas asmuo ar asmenų grupė (pareigos, vardas, pavardė)
|
Data, laikas, vieta |
Pobūdis (pažeidimas ir dydis) |
Kokioje sistemoje įvyko
|
Priežastis, dėl ko pažeidimas įvyko
|
Asmens duomenys, kuriems gali kilti grėsmė ir kategorija |
Ar kilo pasekmių? Jeigu taip, kokių? (fizinės, materialinės ar nematerialinės) |
|
1. |
|
|
|
|
|
|
|
|
|
|
|
2. |
|
|
|
|
|
|
|
|
|
|
|
3. |
|
|
|
|
|
|
|
|
|
|
|
4. |
|
|
|
|
|
|
|
|
|
|
|
5. |
|
|
|
|
|
|
|
|
|
|
|
(Asmens duomenų saugumo pažeidimų registro forma) (tęsinys)
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ REGISTRAS
Eil. Nr. |
Duomenų subjektai, kurių asmens duomenims gali kilti grėsmė arba kurių asmens duomenys buvo pažeisti |
Pažeidimo žalos sumažinimas (pašalinimas) ir duomenų saugumo atstatymas |
Ar imtasi naujų priemonių (įrankių) diegimo? |
Pranešimo pareigos vykdymas |
Pastabos (pvz., pažeidimo nebuvo tik saugumo incidentas) |
|||||
Skaičius |
Kategorija, sąrašas |
Preliminarus laikas pažeidimo žalai sumažinti ar pašalinti |
Priemonė ir jos taikymo data |
Priemonės taikymo tikslas ir motyvai |
Rekomendacijos |
Jeigu taip, kokių ir kokių tikslų tuo siekta? |
Ar pranešta duomenų subjektui (-ams)? Jeigu taip, kada ir kokia forma? |
Jeigu duomenų subjektui (-ams) nepranešta, kokios tokio sprendimo priežastys? |
|
|
1. |
|
|
|
|
|
|
|
|
|
|
2. |
|
|
|
|
|
|
|
|
|
|
3. |
|
|
|
|
|
|
|
|
|
|
4. |
|
|
|
|
|
|
|
|
|
|
5. |
|
|
|
|
|
|
|
|
|
|
Asmens duomenų tvarkymo, saugojimo ir šių
duomenų subjektų teisių įgyvendinimo Viešojo valdymo agentūroje tvarkos aprašo
6 priedas
(Konfidencialumo pasižadėjimo forma)
KONFIDENCIALUMO PASIŽADĖJIMAS
_________
(data)
_______________
(sudarymo vieta)
Aš, ______________________________________________________________________ ,
(vardas, pavardė)
_______________________________________________________________________________ ,
(pareigų pavadinimas)
patvirtinu, kad esu susipažinęs (-usi) su 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, Viešojo valdymo agentūros direktoriaus patvirtinto Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Viešojo valdymo agentūroje tvarkos aprašo, kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą, nuostatomis, ir pasižadu:
2. Laikytis konfidencialumo principo ir saugoti asmens duomenų paslaptį, susijusią su bet kokiais asmens duomenimis, su kuriais susipažinau vykdydamas(-a) pavestas funkcijas visą tarnybos ar darbo laiką ir pasibaigus tarnybos ar darbo santykiams, jeigu šie asmens duomenys neskirti skelbti viešai.
3. Įgyvendinti teisės aktų, reglamentuojančių asmens duomenų apsaugą, nuostatas, numatančias, kaip asmens duomenis apsaugoti nuo neteisėto tvarkymo ar atskleidimo ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su asmens duomenimis nė vienam asmeniui, kuris nėra įgaliotas tvarkyti asmens duomenis.
4. Asmens duomenis naudoti tik tiek, kiek reikia, ir tik tokia apimtimi, kokia reikalinga pavestoms funkcijoms atlikti ir užduotims vykdyti.
5. Savo ir (ar) man artimų asmenų privačių interesų naudai nesinaudoti ir neleisti naudotis informacija, kurią įgysiu vykdydamas (-a) pavestas funkcijas, kitokia tvarka ir mastu, nei nustato Lietuvos Respublikos teisės aktai.
6. Asmens duomenų nekopijuoti, nefotografuoti arba kitu būdu nedauginti, jeigu tai nėra būtina pavestoms funkcijoms atlikti ir užduotims vykdyti.
7. Sužinojęs (-usi) apie asmens duomenų saugumo pažeidimą ir (ar) galimai neteisėtą asmens duomenų tvarkymą, nedelsdamas (-a) apie tai informuoti Viešojo valdymo agentūros direktorių, direktoriaus pavaduotoją, duomenų apsaugos pareigūną ir tiesioginį vadovą.
Esu informuotas (-a), kad su asmens duomenų tvarkymu susijusiais klausimais galiu kreiptis į Viešojo valdymo agentūros duomenų apsaugos pareigūną.
Esu informuotas (-a) ir suprantu, kad, pažeidęs (-usi) šiame konfidencialumo pasižadėjime išdėstytus įsipareigojimus, turėsiu atlyginti padarytą žalą Lietuvos Respublikos teisės aktų nustatyta tvarka ir kad už neteisėtą asmens duomenų atskleidimą ar kitokį tvarkymą man gali būti taikoma Lietuvos Respublikos teisės aktuose numatyta atsakomybė.
_______________________ __________________ ___________________
(pareigų pavadinimas) (parašas) (vardas ir pavardė)
_____________________