KAIŠIADORIŲ RAJONO SAVIVALDYBĖS AdministraCIJOS
DIREKTORIUS
ĮSAKYMAS
dėl Asmens duomenų tvarkymo Kaišiadorių rajono savivaldybės administracijoje taisyklių patvirtinimo
2024 m. balandžio 12 d. Nr. V1E-262
Kaišiadorys
Vadovaudamasis Lietuvos Respublikos vietos savivaldos įstatymo 34 straipsnio 1 dalimi, 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu:
1. T v i r t i n u Asmens duomenų tvarkymo Kaišiadorių rajono savivaldybės administracijoje taisykles (pridedama).
2. P a v e d u Savivaldybės administracijos struktūrinių ir teritorinių padalinių vadovams supažindinti pavaldžius darbuotojus, o į struktūrinius padalinius neįeinantiems valstybės tarnautojams susipažinti su Asmens duomenų tvarkymo Kaišiadorių rajono savivaldybės administracijoje taisyklėmis.
3. P r i p a ž į s t u netekusiu galios Kaišiadorių rajono savivaldybės administracijos direktoriaus 2022 m. spalio 20 d. įsakymą Nr. V1E-1660 „Dėl Asmens duomenų tvarkymo Kaišiadorių rajono savivaldybės administracijoje ir Kaišiadorių rajono savivaldybės tarybos ir mero sekretoriate taisyklių patvirtinimo“.
PATVIRTINTA
Kaišiadorių rajono savivaldybės
administracijos direktoriaus
2024 m. balandžio 12 d. įsakymu Nr. V1E-262
ASMENS DUOMENŲ TVARKYMO KAIŠIADORIŲ RAJONO SAVIVALDYBĖS ADMINISTRACIJOJE TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo Kaišiadorių rajono savivaldybės administracijoje taisyklių (toliau – Taisyklės) tikslas – reglamentuoti asmens duomenų tvarkymą Kaišiadorių rajono savivaldybės administracijoje (toliau – Savivaldybės administracija), užtikrinant 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Reglamentas (ES) 2016/679), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų, nustatančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.
2. Šių Taisyklių paskirtis – nustatyti pagrindines asmens duomenų tvarkymo nuostatas, duomenų subjekto teises bei technines ir duomenų saugos organizacines priemones.
3. Taisyklių privalo laikytis visi Savivaldybės administracijoje dirbantys valstybės tarnautojai ir pagal darbo sutartis dirbantys asmenys (toliau – Savivaldybės administracijos darbuotojai), kurie tvarko Savivaldybės administracijoje esančius asmens duomenis arba, eidami savo pareigas, juos sužino. Prieiga prie asmens duomenų gali būti suteikiama tik tiems Savivaldybės administracijos darbuotojams, kuriems asmens duomenys yra reikalingi jų pareigybių aprašymuose nustatytoms ar kitais teisės aktais pavestoms funkcijoms atlikti.
4. Taisyklėse vartojamos sąvokos:
4.1. Asmens duomenų valdytojas – Kaišiadorių rajono savivaldybės administracija, juridinio asmens kodas 188773916, buveinės adresas: Katedros g. 4, Kaišiadorys.
4.2. Asmens duomenų naudotojas – Savivaldybės administracijos struktūriniai ir teritoriniai padaliniai, į struktūrinius padalinius neįeinantys valstybės tarnautojai, kurie turi teisę tvarkyti asmens duomenis numatytoms funkcijoms atlikti.
4.3. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens kodą, asmens tapatybės kortelės numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
4.4. Specialiųjų kategorijų asmens duomenys – asmens duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat genetiniai duomenys, biometriniai duomenys, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją.
4.5. Asmens duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.
4.6. Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri Savivaldybės administracijos vardu tvarko asmens duomenis.
4.7. Asmens duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys.
4.8. Trečiasis asmuo – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis.
4.9. Duomenų subjektas – fizinis asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
5. Kitos Taisyklėse vartojamos sąvokos atitinka sąvokas, nustatytas Reglamente (ES) 2016/679 bei Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme.
II SKYRIUS
ASMENS DUOMENŲ TVARKYMO PAGRINDAI
7. Savivaldybės administracija asmens duomenis tvarko šiais pagrindais:
8. Asmens duomenys, atsižvelgiant į konkrečias situacijas, Savivaldybės administracijoje gali būti tvarkomi vadovaujantis Reglamento (ES) 2016/679 6 straipsnio 1 dalies a, b, d punktais. Specialiųjų kategorijų asmens duomenys, atsižvelgiant į konkrečias situacijas, Savivaldybės administracijoje gali būti tvarkomi vadovaujantis Reglamento (ES) 2016/679 9 straipsnio 2 dalies a, b, c, e, j punktais.
III SKYRIUS
ASMENS DUOMENŲ TVARKYMO PRINCIPAI
9. Savivaldybės administracijos darbuotojai, atlikdami savo funkcijas ir tvarkydami asmens duomenis, privalo laikytis pagrindinių asmens duomenų tvarkymo principų:
9.2. asmens duomenys turi būti renkami konkrečiais nustatytais, aiškiai apibrėžtais ir teisėtais tikslais ir negali būti tvarkomi tokiu būdu, kuris būtų nesuderinamas su tais tikslais;
9.3. asmens duomenys turi būti tikslūs ir prireikus atnaujinami, turi būti imamasi visų priemonių siekiant užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištaisyti;
9.4. asmens duomenys saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;
9.5. asmens duomenys turi būti tvarkomi taip, kad būtų užtikrintas asmens duomenų saugumas, įskaitant apsaugą nuo tvarkymo be leidimo arba neteisėto tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;
IV SKYRIUS
ASMENS DUOMENŲ TVARKYMO REIKALAVIMAI
10. Asmens duomenys Savivaldybės administracijoje tvarkomi, juos gaunant:
11. Asmens duomenų saugojimo terminus ir veiksmus, kurie atliekami pasibaigus šiam terminui, nustato teisės aktai, reglamentuojantys asmens duomenų tvarkymą. Asmens duomenys saugomi ne ilgiau negu to reikalauja duomenų tvarkymo tikslai. Konkretūs asmens dokumentų (duomenų) saugojimo terminai nustatyti Savivaldybės administracijos direktoriaus patvirtintame Dokumentacijos plane. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie yra sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti archyvui.
12. Teisės aktų nustatytais atvejais ir tvarka Savivaldybės administracija gali teikti tvarkomus asmens duomenis tretiesiems asmenims, kuriems asmens duomenis teikti Savivaldybės administraciją įpareigoja įstatymai ar kiti teisės aktai, pagal duomenų gavėjo prašymą (vienkartinio teikimo atveju) arba Savivaldybės administracijos ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį (daugkartinio teikimo atveju).
13. Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik Savivaldybės administracijos vardu, pagal Savivaldybės administracijos nurodymus ir tik tiek, kiek tai būtina siekiant tinkamai vykdyti paslaugų teikimo sutartyje nustatytus įsipareigojimus. Nuostatos, susijusios su asmens duomenų tvarkymu ir apsauga, įtraukiamos į sutartis, sudaromas su duomenų tvarkytojais.
14. Savivaldybės administracija įgyvendina Taisyklėse nurodytas priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.
15. Pasikeitus duomenų subjektų asmens duomenims ir duomenų subjektams apie tai raštu informavus Savivaldybės administraciją, toks duomenų subjekto raštas įdedamas į bylą, o automatinėse duomenų rinkmenose ir duomenų bazėse duomenys atnaujinami, ištrinant neaktualius asmens duomenis ir įrašant aktualius duomenis.
16. Personalo, finansų, buhalterinės apskaitos ir atskaitomybės bylos, taip pat kitos archyvinės bylos ir elektroninės bylos, keičiantis dokumentus ir bylas tvarkantiems Savivaldybės administracijos darbuotojams ar jų įgaliojimams, perduodamos naujai priimtam ir asmens duomenis tvarkyti paskirtam Savivaldybės administracijos darbuotojui perdavimo-priėmimo aktu.
17. Naikinant dokumentus, kurių saugojimo terminas yra pasibaigęs, Savivaldybės administracijos dokumentai, kuriuose nurodomi asmens duomenys, ir jų kopijos turi būti sunaikinti taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio.
18. Duomenų subjektų pateikti dokumentai ir jų kopijos, finansavimo, buhalterinės apskaitos ir atskaitomybės, archyvinės ar kitos bylos, kuriose yra asmens duomenų, saugomos rakinamose spintose, seifuose arba patalpose. Dokumentai, kuriuose yra asmens duomenų, neturi būti laikomi visiems prieinamoje matomoje vietoje, kur neturintys teisės asmenys nekliudomai galėtų su jais susipažinti.
19. Vietinio tinklo sritys, kuriose yra saugomi asmens duomenys, privalo būti apsaugotos prieigos prie asmens duomenų slaptažodžiais arba turi būti apribotos prieigos teisės prie jų. Prieigos prie asmens duomenų slaptažodžiai suteikiami, keičiami ir saugomi užtikrinant jų konfidencialumą, yra unikalūs, sudaryti iš ne mažiau kaip 8 simbolių, nenaudojant asmeninio pobūdžio informacijos, keičiami periodiškai, taip pat susidarius tam tikroms aplinkybėms (pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims, ir pan.) ir naudotojo pirmojo prisijungimo metu. Savivaldybės administracijos darbuotojai prieigos prie asmens duomenų slaptažodžiais turi naudotis asmeniškai ir neatskleisti jų tretiesiems asmenims.
20. Registruose tvarkomi asmens duomenys turi būti registruojami specialiuose žurnaluose, kuriuose turėtų būti nurodoma: asmens duomenų tvarkymo data, pagrindas, tikslas, duomenų gavėjai.
22. Savivaldybės interneto portale turi būti maksimaliai apribotos galimybės viešai veikiančioms interneto paieškos sistemoms bei paieškos variklių robotams kopijuoti svetainėje esančią informaciją ir maksimaliai apribota galimybė šioms sistemoms ir robotams surasti anksčiau skelbtos, bet iš savivaldybės interneto portalo jau pašalintos informacijos kopijas. Kompiuterinė įranga turi būti apsaugota nuo kenksmingos programinės įrangos (antivirusinių programų įdiegimas, atnaujinimas ir pan.).
23. Asmens duomenys saugomi ne ilgiau negu to reikalauja duomenų tvarkymo tikslai. Konkretūs asmens dokumentų (duomenų) saugojimo terminai nustatyti Savivaldybės administracijos direktoriaus patvirtintame Dokumentacijos plane. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie yra sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti archyvui.
V SKYRIUS
ORGANIZACINĖS IR TECHNINĖS ASMENS DUOMENŲ SAUGUMO PRIEMONĖS
24. Organizacinės ir techninės asmens duomenų saugumo priemonės turi užtikrinti tinkamą saugumo lygį, kuris atitiktų saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką.
25. Siekiant užtikrinti tinkamą saugumo lygį, Savivaldybės administracijos struktūrinių ir teritorinių padalinių vadovai įpareigojami įgyvendinti šias organizacines ir technines asmens duomenų saugumo priemones:
25.2. prieiga prie asmens duomenų turi būti suteikta tik tam darbuotojui, kuriam asmens duomenys yra reikalingi jo funkcijoms vykdyti;
25.3. su asmens duomenimis galima atlikti tik tuo veiksmus, kuriems atlikti naudotojui yra suteiktos teisės;
25.4. užtikrinti asmens duomenų apsaugą nuo neteisėto prisijungimo prie vidinių kompiuterių tinklo elektroninėmis ryšio ir kitomis priemonėmis;
25.5. užtikrinti patalpų, kuriose saugomi asmens duomenys, saugumą (apriboti neįgaliotų darbuotojų patekimą į atitinkamas patalpas);
25.6. užtikrinti, kad popieriniai dokumentai, kuriuose yra asmens duomenų, būtų laikomi rakinamose spintose;
25.7. užtikrinti bendrų spausdintuvų, skenerių individualų naudojimą, suteikiant darbuotojams individualią prieigą, saugos prisijungimo kodus;
25.8. užtikrinti nuolatinį asmens duomenų tvarkymo konfidencialumą, vientisumą, prieinamumą ir atsparumą;
25.9. užtikrinti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju;
25.10. užtikrinti reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas asmens duomenų tvarkymo saugumas, tikrinimo ir vertinimo procesą;
26. Asmens duomenų tvarkymo funkcijas vykdantys ir su Savivaldybės administracijos tvarkomais asmens duomenimis galintys susipažinti Savivaldybės administracijos darbuotojai turi pasirašyti nustatytos formos įpareigojimą saugoti asmens duomenų paslaptį (1 priedas), kuris saugomas atskiruose segtuvuose.
VI SKYRIUS
DUOMENŲ SUBJEKTO TEISĖS
28. Duomenų subjektas turi teisę žinoti (būti informuotas) apie savo asmens duomenų tvarkymą. Informacija apie asmens teises pateikiama interneto svetainėje www.kaisiadorys.lt, nurodant, kad Duomenų subjektas turi šias teises:
28.1. teisę žinoti (būti informuotas) apie savo asmens duomenų tvarkymą Savivaldybės administracijoje;
28.2. teisę susipažinti su Savivaldybės administracijoje tvarkomais savo asmens duomenimis ir gauti jų kopiją;
29. Duomenų subjektas, Savivaldybės administracijai pateikęs asmens tapatybę patvirtinantį dokumentą arba teisės aktų nustatyta tvarka ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, patvirtinęs savo asmens tapatybę, turi teisę neatlygintinai susipažinti su Savivaldybės administracijoje tvarkomais jo duomenimis bei gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti per paskutinius vienerius metus.
30. Jei duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir kreipiasi į Savivaldybės administraciją, Savivaldybės administracija nedelsdama patikrina asmens duomenis ir duomenų subjekto rašytiniu prašymu, pateiktu asmeniškai, paštu ar elektroninių ryšių priemonėmis, nedelsdamas ištaiso neteisingus, netikslius, papildo neišsamius Savivaldybės administracijos tvarkomus asmens duomenis ir (ar) sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą, kol bus ištaisyti neteisingi, netikslūs, papildyti neišsamūs asmens duomenys ar asmens duomenys bus sunaikinti.
31. Savivaldybės administracija privalo sudaryti sąlygas duomenų subjektui įgyvendinti šiame skyriuje nustatytas teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti:
31.2. viešuosius interesus, nusikalstamų veikų prevenciją, tyrimą, nustatymą ar baudžiamąjį persekiojimą;
VII SKYRIUS
ASMENS DUOMENŲ VALDYMO ORGANIZACINĖ STRUKTŪRA
33. Asmens duomenų tvarkymo principų ir duomenų valdytojo pareigų įgyvendinimą užtikrina Kaišiadorių rajono savivaldybės duomenų valdymo organizacinė struktūra:
34. Savivaldybės administracijos direktorius arba jį pavaduojantis asmuo:
34.2. tvirtina Asmens duomenų tvarkymo Savivaldybės administracijoje taisykles ir kitus teisės aktus, įgyvendinančius Reglamento (ES) 2016/679 nuostatas;
35. Savivaldybės administracijos vyriausiasis specialistas (duomenų apsaugai) atlieka šias užduotis:
35.1. informuoja Savivaldybės administracijos direktorių, struktūrinių bei teritorinių padalinių vadovus, Savivaldybės administracijos darbuotojus apie prievoles pagal Reglamento (ES) 2016/679 nuostatas ir teikia jiems patarimus šiais klausimais;
35.2. stebi, kaip laikomasi Reglamento (ES) 2016/679 nuostatų dėl duomenų apsaugos ir duomenų tvarkymo operacijų tinkamo atlikimo;
35.5. atlieka kontaktinio asmens funkcijas konsultuodamasis su Valstybine duomenų apsaugos inspekcija;
35.6. praneša Valstybinei duomenų apsaugos inspekcijai apie asmens duomenų saugumo pažeidimus (3 priedas);
36. Savivaldybės administracijos struktūrinių ar teritorinių padalinių vadovai tinkamai organizuoja jų vadovaujamų padalinių veiklai reikalingų asmens duomenų tvarkymą:
36.1. inicijuoja veiklai reikalingų naujų asmens duomenų tvarkymą, priima sprendimus dėl asmens duomenų gavimo ar perdavimo;
36.2. nustato ir įgyvendina organizacines ir technines priemones, siekdami užtikrinti asmens duomenų apsaugą ir saugumą;
36.4. organizuoja ir užtikrina padalinių duomenų tvarkymo veiklos įrašų pildymą ir atnaujinimą (4 priedas);
37. Savivaldybės administracijos informacinių sistemų administratorius:
37.2. turi užtikrinti Savivaldybės administracijos kompiuterinės įrangos saugumą (slaptažodžiai, prieigos suteikimas) ir apsaugą nuo kenksmingos programinės įrangos (antivirusinių programų įdiegimas, priežiūra, atnaujinimas);
38. Savivaldybės administracijos darbuotojai, tvarkantys asmens duomenis, privalo:
38.1. laikytis Reglamento (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, Taisyklių bei kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą;
VIII SKYRIUS
ASMENS DUOMENŲ TVARKYMO VEIKLOS PRIEMONĖS IR ĮRAŠAI
39. Savivaldybės administracija tvarko asmens duomenis, būtinus įgyvendinant Lietuvos Respublikos vietos savivaldos įstatyme numatytas savivaldos savarankiškąsias funkcijas ir valstybines (valstybės perduotas savivaldybėms) funkcijas.
40. Savivaldybės administracija, įgyvendindama pavestas funkcijas, tvarkomų asmens duomenų neperduoda į trečiąsias valstybes ar tarptautinėms organizacijoms.
41. Įgyvendindami Lietuvos Respublikos vietos savivaldos įstatymą bei kituose įstatymuose numatytas funkcijas, Savivaldybės administracija tvarko duomenų subjektų pateiktus prašymus, kuriuose pateikiami asmens duomenys, tvarko duomenis automatizuotomis priemonėmis – informacinėmis sistemomis, taip pat tvarko iš kitų šaltinių gaunamus asmens duomenis, teikia duomenis kitiems duomenų gavėjams bei pasitelkia kitus duomenų tvarkytojus.
42. Užtikrinant asmens duomenų tvarkymo principų įgyvendinimą, tvarkant asmens duomenis, pateiktus prašymuose, taikomos šios dokumentuose pateiktų asmens duomenų apsaugos ir saugojimo priemonės:
42.1. taikomi Lietuvos Respublikos dokumentų ir archyvų įstatyme nustatyti reikalavimai ir įgyvendinamos įstatyme nustatytos priemonės;
42.4. įgyvendinamos kitos dokumentų apsaugos ir saugojimo priemonės (nuo sunaikinimo gaisro metu ir kt.);
43. Užtikrinant asmens duomenų tvarkymo principų įgyvendinimą, tvarkant asmens duomenis Savivaldybės administracijos informacinėse sistemose, taikomos Duomenų saugos nuostatuose nustatytos priemonės.
44. Savivaldybės administracija, tvarkydama asmens duomenis, dokumentuoja kiekvieną asmens duomenų tvarkymo veiklą Duomenų tvarkymo veiklos įrašuose. Duomenų tvarkymo veiklos įrašuose dokumentuojama ši su asmens duomenų tvarkymu susijusi informacija (4 priedas):
45. Duomenų tvarkymo veiklos įrašai yra sudėtinė organizacinių priemonių, užtikrinančių asmens duomenų tvarkymo principų įgyvendinimą, dalis. Už duomenų veiklos įrašų pildymą, atnaujinimą yra atsakingas Savivaldybės administracijos vyriausiasis specialistas (duomenų apsaugai).
IX SKYRIUS
POVEIKIO DUOMENŲ APSAUGAI VERTINIMO INICIJAVIMAS
47. Inicijuojant naują asmens duomenų tvarkymo veiklą, poveikio duomenų apsaugai vertinimas atliekamas šiais atvejais:
47.1. planuojant naudoti naujas technologijas asmens duomenų tvarkymui (inicijuojamas programinės ar techninės įrangos įsigijimas, pakeitimas ar kuriama nauja informacinė sistema);
47.2. planuojant tvarkyti specialiųjų kategorijų duomenis ar duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas;
47.3. pasikeitus duomenų tvarkymo operacijoms, dėl kurių buvo atliktas poveikio duomenų apsaugai vertinimas;
47.5. planuojant vykdyti sistemingą ir išsamų su fiziniais asmenimis susijusių asmeninių aspektų vertinimą, kuris yra grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą, ir kuriuo remiantis būtų priimami sprendimai, kuriais padaromas su fiziniu asmeniu susijęs teisinis poveikis arba kurie daro panašų didelį poveikį fiziniam asmeniui;
48. Poveikio duomenų apsaugai vertinimas neatliekamas, jei Valstybinė duomenų apsaugos inspekcija yra nustačiusi, jog planuojamai duomenų tvarkymo veiklai (duomenų tvarkymo operacijai) poveikio duomenų apsaugai vertinti nereikia.
49. Tais atvejais, jei planuojama duomenų tvarkymo veikla yra tiesiogiai nustatyta naujai priimtais įstatymais ir poįstatyminiais teisės aktais, kuriuos savivaldybė privalo įgyvendinti, gali būti kreipiamasi į Valstybinę duomenų apsaugos inspekciją dėl poveikio duomenų apsaugai vertinimo tikslingumo.
50. Duomenų tvarkymą inicijuojantis padalinys turi pateikti Savivaldybės administracijos direktoriui prašymą dėl poveikio duomenų apsaugai vertinimo, kuriame turi būti nurodyti asmens duomenų tvarkymo pobūdis, tikslai, teisinis pagrindas, planuojamos tvarkyti asmens duomenų kategorijos, nurodytos galimos planuojamo duomenų tvarkymo grėsmės ir neigiamos poveikio asmenų privatumui ir asmenų pagrindinėms teisėms bei laisvėms.
51. Duomenų tvarkymą inicijuojantis padalinys parengtą prašymą dėl poveikio duomenų apsaugai vertinimo teikia ir duomenų apsaugos pareigūnui, kuris vertina prašyme nurodytą informaciją ir pateikia savo išvadą, ar planuojama asmens duomenų tvarkymo veikla gali kelti grėsmę asmenų privatumui ir jų pagrindinėms teisėms bei laisvėms.
52. Tais atvejais, kai dėl planuojamos duomenų tvarkymo veiklos gali kilti didelis pavojus asmens duomenų apsaugai, kurio duomenų valdytojas negali sumažinti tinkamomis priemonėmis arba tokių priemonių taikymas pareikalautų nepagrįstai didelių išlaidų, Savivaldybės administracijos direktorius ar jo įgaliotas asmuo gali pavesti Savivaldybės administracijos vyriausiajam specialistui (duomenų apsaugai) kreiptis į Valstybinę duomenų apsaugos inspekciją dėl išankstinės konsultacijos, Reglamento (ES) 2016/679 36 straipsnio nustatytais pagrindais ir tvarka.
X SKYRIUS
POVEIKIO DUOMENŲ APSAUGAI VERTINIMO ATLIKIMAS
54. Poveikio duomenų apsaugai vertinimą atlieka Savivaldybės administracijos direktoriaus įgaliotas asmuo ar sudaryta darbo grupė, turintys teisinių, informacinių technologijų, duomenų apsaugos, rizikos valdymo metodų taikymų žinių ir patirties.
55. Asmuo (darbo grupės vadovas), Savivaldybės administracijos direktoriaus įgaliotas vykdyti poveikio duomenų apsaugai vertinimą, gavęs duomenų tvarkymą inicijuojančio padalinio prašymą dėl poveikio duomenų apsaugai vertinimo, ne vėliau kaip per 5 d. d. organizuoja posėdį, kuriame dalyvauja planuojamos duomenų tvarkymo veiklos padalinio vadovas ir/ar atstovai.
56. Planuojamos duomenų tvarkymo veiklos poveikio duomenų apsaugai vertinimas atliekamas taikant rizikos vertinimo metodus ir parengiama poveikio duomenų apsaugai vertinimo išvada.
57. Išvadoje pateikiamas asmens duomenų tvarkymo pobūdis, tikslai ir teisinis pagrindas bei sistemingas numatytų tvarkymo operacijų aprašymas. Duomenų tvarkymo operacijų reikalingumo ir proporcingumo, palyginti su tikslais vertinimas. Duomenų subjektų teisėms ir laisvėms kylančių pavojų vertinimas. Taip pat pateikiamos pavojaus pašalinti numatytos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga.
58. Asmuo (darbo grupės vadovas), Savivaldybės administracijos direktoriaus įgaliotas vykdyti poveikio duomenų apsaugai vertinimą, parengtą Poveikio duomenų apsaugai vertinimo išvadą registruoja Dokumentų valdymo sistemoje.
59. Asmuo (darbo grupės vadovas) parengtą Poveikio duomenų apsaugai vertinimo išvadą teikia Savivaldybės administracijos direktoriui, kuris priima sprendimą dėl pritarimo planuojamai asmens duomenų tvarkymo veiklai.
XI SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ KONTROLĖ
61. Įvykus asmens duomenų saugumo pažeidimui, asmens duomenis tvarkantis asmuo nedelsdamas informuoja tiesioginį vadovą bei imasi visų įmanomų priemonių pažeidimo galimai žalai sumažinti.
62. Savivaldybės administracijos struktūrinių ar teritorinių padalinio vadovas nustato, ar tikrai buvo padarytas asmens duomenų saugumo pažeidimas, ir nedelsdamas apie tai informuoja Savivaldybės administracijos direktorių bei Savivaldybės administracijos vyriausiąjį specialistą (duomenų apsaugai), nurodydamas visas asmens duomenų saugumo pažeidimo aplinkybes.
63. Savivaldybės administracijos vyriausiasis specialistas (duomenų apsaugai) per 72 valandas nuo pažeidimo nustatymo momento kreipiasi į Valstybinę asmens duomenų apsaugos inspekciją pateikdamas nustatytos formos pranešimą (3 priedas) apie asmens duomenų saugumo pažeidimą, nebent asmens duomenų pažeidimas neturėtų kelti pavojaus fizinių asmenų teisės ir laisvėms.
64. Savivaldybės administracijos vyriausiasis specialistas (duomenų apsaugai) pateikia nustatytos formos informaciją duomenų subjektui, jei dėl asmens duomenų saugumo pažeidimo gali kilti pavojus fizinių asmenų teisės ir laisvėms. Jei duomenų subjekto nustatyti neįmanoma, informacija apie įvykusį saugumo pažeidimą skelbiama viešai.
65. Savivaldybės administracijos direktorius gali sudaryti nuolatinę darbo grupę (komisiją) iš kompetentingų duomenų apsaugos srityje darbuotojų, kurie vertintų kiekvieno asmens duomenų saugumo pažeidimą, siekiant nustatyti tokio pažeidimo atsiradimo priežastis, neigiamas pažeidimo pasekmes bei siūlytų priemones, padedančias išvengti tokių pažeidimų ateityje.
XII SKYRIUS
BAIGIAMOSIOS NUOSTATOS
66. Savivaldybės administracijos darbuotojai su šiomis Taisyklėmis supažindinami Savivaldybės administracijos dokumentų valdymo sistemoje „Kontora“.
67. Už Taisyklių laikymosi priežiūrą ir kontrolę atsakingi Savivaldybės administracijos struktūrinių ir teritorinių padalinių vadovai.
68. Šios Taisyklės periodiškai, ne rečiau kaip kartą per 2 metus, apsvarstomos ir prireikus atnaujinamos. Už jų atnaujinimą atsakingas Savivaldybės administracijos vyriausiasis specialistas (duomenų apsaugai).
Asmens duomenų tvarkymo
Kaišiadorių rajono savivaldybės
administracijoje taisyklių
1 priedas
(Kaišiadorių rajono savivaldybės administracijos valstybės tarnautojo (darbuotojo) įsipareigojimo saugoti asmens duomenų paslaptį forma)
_______________________________________________
(Įsipareigojimą pateikiančio asmens vardas, pavardė didžiosiomis raidėmis)
KAIŠIADORIŲ RAJONO SAVIVALDYBĖS ADMINISTRACIJOS VALSTYBĖS TARNAUTOJO (DARBUOTOJO) ĮSIPAREIGOJIMAS SAUGOTI ASMENS DUOMENŲ PASLAPTĮ
____________________________
(data)
Kaišiadorys
Aš suprantu:
kad dirbdamas (-a) naudosiu ir tvarkysiu asmens duomenis, kurie negali būti atskleisti ar perduoti neįgaliotiems asmenims ar institucijoms;
kad netinkamas asmens duomenų tvarkymas gali užtraukti atsakomybę pagal Lietuvos Respublikos įstatymus;
kad draudžiama perduoti ar dalintis su kitais asmenimis įstaigos viduje ar už jos ribų slaptažodžiais ir kitais duomenimis, leidžiančiais programinėmis ir techninėmis priemonėmis naudotis bet kokios formos asmens duomenimis.
Aš pasižadu ir įsipareigoju:
saugoti asmens duomenų paslaptį;
tvarkyti asmens duomenis, vadovaudamasis (-i) Lietuvos Respublikos įstatymais ir kitais teisės aktais, taip pat pareigybės aprašymu ir taisyklėmis, reglamentuojančiomis man patikėtas asmens duomenų tvarkymo funkcijas;
neatskleisti, neperduoti ir nesudaryti sąlygų įvairiomis priemonėmis susipažinti su tiek įstaigos viduje, tiek už jos ribų tvarkoma informacija nė vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija;
pranešti Savivaldybės administracijos direktoriui ir duomenų apsaugos įgaliotiniui apie bet kokį įtartiną elgesį ar situaciją, kurie gali kelti grėsmę asmens duomenų saugumui.
Aš žinau:
kad už bet kokį šio įsipareigojimo nesilaikymą ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo pažeidimą turėsiu atsakyti pagal galiojančius Lietuvos Respublikos įstatymus;
kad šis įsipareigojimas galios visą mano darbo Kaišiadorių rajono savivaldybės administracijoje ar Kaišiadorių rajono savivaldybės tarybos ir mero sekretoriate laiką ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo santykiams;
kad duomenų subjektas turi teisę reikalauti atlyginti turtinę ar neturtinę žalą, patirtą dėl neteisėto asmens duomenų tvarkymo arba kitų duomenų valdytojo veikimo ar neveikimo;
kad duomenų valdytojas, duomenų tvarkytojas arba kitas asmuo atlygina asmeniui padarytą žalą, o nuostolį išreikalauja įstatymų nustatyta tvarka iš asmens duomenis tvarkančio darbuotojo, dėl kurio kaltės atsirado ši žala.
Aš esu susipažinęs (-usi) su Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, reglamentuojančiais atsakomybę bei duomenų saugą.
(Valstybės tarnautojo (darbuotojo) pareigos) (Parašas) (Vardas, pavardė)
Asmens duomenų tvarkymo
Kaišiadorių rajono savivaldybės
administracijoje taisyklių
2 priedas
Poveikio duomenų apsaugai vertinimas
1. Priežastys, dėl kurių būtina atlikti poveikio duomenų apsaugai vertinimą
| Planuojamos vykdyti veiklos aprašymas, jos tikslai ir planuojamos atlikti asmens duomenų tvarkymo operacijos. Paaiškinimas, kodėl būtina atlikti poveikio duomenų apsaugai vertinimą. Jei reikia, prie formos pridedami susiję dokumentai. |
|
|
2. Asmens duomenų tvarkymo aprašymas
| Aprašomi asmens duomenų rinkimo, naudojimo, saugojimo ir naikinimo veiksmai, nurodoma, iš kokių šaltinių bus renkami duomenys, kam bus teikiami (galima pateikti asmens duomenų tvarkymo veiksmų schemą). Aprašoma, kokie asmens duomenų tvarkymo veiksmai gali kelti pavojų fizinių asmenų teisėms ir laisvėms. |
|
|
| Aprašomas tvarkymo mastas: kokių kategorijų asmens duomenys bus tvarkomi; ar bus tvarkomi specialių kategorijų asmens duomenys arba duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas; kiek duomenų, kaip dažnai bus renkama ir naudojama; kaip ilgai bus saugomi asmens duomenys; nurodomas apytikslis duomenų subjektų skaičius bei geografinė duomenų tvarkymo aprėptis.
|
|
|
| Aprašomas duomenų tvarkymo pobūdis: kokio pobūdžio santykiai sieja Jūsų įmonę su duomenų subjektais; ar duomenų subjektai turės galimybę kontroliuoti duomenų tvarkymą; ar duomenų subjektai gali numatyti, kad jų asmens duomenys bus tvarkomi šiuo būdu; ar bus tvarkomi vaikų ir kitų pažeidžiamų asmenų duomenys; įvertinama, ar toks duomenų tvarkymas yra saugus; ar duomenų tvarkymo technologijos yra naujos, ar egzistuojančios technologijos bus panaudotos kitokiu būdu; koks yra technologijų išsivystymo lygis šioje srityje; ar yra kokių nors visuomeninių ar pan. problemų ar klausimų, į kuriuos būtina atsižvelgti; nurodoma, ar yra įsipareigojimas laikytis patvirtinto elgesio kodekso ar patvirtinto sertifikavimo mechanizmo. |
|
|
| Aprašomi asmens duomenų tvarkymo tikslai: kokį rezultatą siekiama gauti; kokį poveikį tai turės fiziniams asmenims; kokia yra tokio duomenų tvarkymo nauda Jūsų įmonei bei kitiems asmenims. |
|
|
3. Konsultacijos
| Aprašoma, kaip planuojama sužinoti suinteresuotų asmenų nuomonę, arba pagrindžiama, kodėl to daryti nebūtina: kokių asmenų nuomonę planuojama gauti; kokie asmenys bus pasitelkti Jūsų įmonėje, ar bus pasitelkti duomenų tvarkytojai; ar planuojama konsultuotis su duomenų saugos ekspertais ar kitokių sričių ekspertais. |
|
|
4. Būtinumo ir proporcingumo įvertinimas
| Aprašomas asmens duomenų tvarkymo teisėtumas ir tvarkymo proporcingumas: nurodomas teisėto tvarkymo pagrindas; įvertinama, ar tvarkant asmens duomenis bus pasiektas Jūsų tikslas; ar tą patį rezultatą įmanoma pasiekti kitokiu būdu; kokiu būdu bus išvengta veiklos sutrikimų; kaip bus užtikrinta duomenų kokybė ir įgyvendintas duomenų kiekio mažinimo principas; kokia informacija bus pateikta duomenų subjektams; kaip Jūsų įmonė planuoja įgyvendinti duomenų subjektų teises; kokiu būdu bus užtikrinta, kad duomenų tvarkytojas laikytųsi reikalavimų; kokiu būdu bus užtikrintas į užsienio valstybes teikiamų asmens duomenų saugumas. |
|
|
5. Pavojų nustatymas ir įvertinimas
| Aprašomas pavojaus ir poveikio fiziniam asmeniui pobūdis. Jei būtina, aprašoma susijusi verslo rizika. |
Žalos tikimybė |
Žalos sunkumas |
Bendras pavojaus lygis |
|
|
Mažai tikėtina, tikėtina ar labai tikėtina |
Minimali, reikšminga ar sunki |
Žemas, vidutinis ar aukštas |
6. Priemonių sumažinti riziką nustatymas
| Nurodomos papildomos priemonės, kurių galima imtis siekiant sumažinti ar panaikinti aukšto ar vidutinio lygio pavojus. |
||||
| Pavojus |
Priemonės sumažinti ar pašalinti pavojų |
Priemonės pritaikymo rezultatas |
Likęs pavojus |
Priemonė patvirtinta |
|
|
|
Pašalinta, sumažinta, priimtina rizika
|
Žemas, vidutinis ar aukštas |
Taip, ne |
7. Išvados ir sprendimai
| Nurodomos priemonės ir įvardijamas likęs pavojus |
Vardas, pavardė, data, parašas |
Pastabos |
| Priemonės patvirtintos: |
|
Įtraukti numatytas priemones į veiklos planą, nustatant atlikimo terminą ir atsakingus asmenis |
| Likęs pavojus pripažintas priimtina rizika:
|
|
Jei priimtina rizika pripažintas aukšto lygio pavojus priimtinas, privaloma kreiptis dėl išankstinės konsultacijos į Valstybinę duomenų apsaugos inspekciją |
Duomenų apsaugos pareigūno nuomonė
Duomenų apsaugos pareigūno nuomonė turi būti pateikta dėl asmens duomenų tvarkymo teisėtumo, planuojamų priemonių pavojams mažinti ar pašalinti bei dėl galimybės toliau tvarkyti asmens duomenis.
| Nurodoma duomenų apsaugos pareigūno nuomonė: |
|
|
|
Vardas, pavardė, data, parašas |
Nurodoma, ar atsižvelgta į duomenų apsaugos pareigūno nuomonę
| Jeigu atmesta, pagrindžiama, kodėl. |
|
|
|
Vardas, pavardė, data, parašas |
Gautos kitų asmenų nuomonės
| Trumpai aprašomos kitų asmenų nuomonės ir nurodoma, ar į jas atsižvelgta. Jeigu sprendimas skiriasi nuo susijusių asmenų nuomonės, pagrindžiama, kodėl. |
|
|
|
Vardas, pavardė, data, parašas |
Už šio poveikio duomenų apsaugai vertinimo priežiūrą paskirtas atsakingas asmuo
Pastaba. Duomenų apsaugos pareigūnas turi prižiūrėti asmens duomenų tvarkymo atitiktį poveikio duomenų apsaugai vertinime nurodytoms išvadoms ir sprendimams.
|
|
|
|
|
Vardas, pavardė, data, parašas |
|
|
|
Asmens duomenų tvarkymo
Kaišiadorių rajono savivaldybės
administracijoje taisyklių
3 priedas
(Pranešimo apie asmens duomenų saugumo pažeidimą forma)
(duomenų valdytojo (juridinio asmens) pavadinimas)
(juridinio asmens kodas ir buveinės adresas, asmens duomenų tvarkymo vieta)
(telefono ryšio nr. ir (ar) elektroninio pašto adresas, ir (ar) elektroninės siuntos pristatymo dėžutės adresas)
Valstybinei duomenų apsaugos inspekcijai
PRANEŠIMAS
APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ
_____ Nr._________
(data) (rašto numeris)
| 1. Asmens duomenų saugumo pažeidimo apibūdinimas |
1.1. Asmens duomenų saugumo pažeidimo data ir laikas:
Asmens duomenų saugumo pažeidimo:
Data ______________ Laikas __________
Asmens duomenų saugumo pažeidimo nustatymo:
Data ______________ Laikas __________
1.2. Asmens duomenų saugumo pažeidimo vieta (pažymėti tinkamą (-us):
ð Informacinė sistema
ð Duomenų bazė
ð Tarnybinė stotis
ð Internetinė svetainė
ð Debesų kompiuterijos paslaugos
ð Nešiojami / mobilus įrenginiai
ð Neautomatiniu būdu susistemintos bylos (archyvas)
ð Kita _______________________________________________________________
1.3. Asmens duomenų saugumo pažeidimo aplinkybės (pažymėti tinkamą (-us):
ð Asmens duomenų konfidencialumo praradimas (neautorizuota prieiga ar atskleidimas)
ð Asmens duomenų vientisumo praradimas (neautorizuotas asmens duomenų pakeitimas)
ð Asmens duomenų prieinamumo praradimas (asmens duomenų praradimas, sunaikinimas)
1.4. Apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius:
__________________________________________________________________________
1.5. Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos (atskiriamos pagal jai būdingą požymį):
__________________________________________________________________________
1.6. Asmens duomenų, kurių saugumas pažeistas, kategorijos (pažymėti tinkamą (-as):
ð Asmens tapatybę patvirtinantys asmens duomenys (vardas, pavardė, amžius, gimimo data, lytis ir kt.):
__________________________________________________________________________
ð Specialių kategorijų asmens duomenys (duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, ar narystę profesinėse sąjungose, genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie lytinį gyvenimą ir lytinę orientaciją):
__________________________________________________________________________
ð Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas:
__________________________________________________________________________
ð Prisijungimo duomenys ir (ar) asmens identifikaciniai numeriai (pavyzdžiui, asmens kodas, mokėtojo kodas, slaptažodžiai):
__________________________________________________________________________
ð Kiti:
__________________________________________________________________________
ð Nežinomi (pranešimo teikimo metu)
1.7. Apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius:
_________________________________________________________________________
1.8. Kita duomenų valdytojo nuomone reikšminga informacija apie asmens duomenų saugumo pažeidimą:
__________________________________________________________________________
| 2. Galimos asmens duomenų saugumo pažeidimo pasekmės |
2.1. Konfidencialumo praradimo atveju:
ð Asmens duomenų išplitimas labiau nei yra būtina ir duomenų subjekto kontrolės praradimas savo asmens duomenų atžvilgiu (pavyzdžiui, asmens duomenys išplito internete)
ð Skirtingos informacijos susiejimas (pavyzdžiui, gyvenamosios vietos adreso susiejimas su asmens buvimo vieta realiu laiku)
ð Galimas panaudojimas kitais, nei nustatytais ar neteisėtais tikslais (pavyzdžiui, komerciniais tikslais, asmens tapatybės pasisavinimo tikslu, informacijos panaudojimo prieš asmenį tikslu)
ð Kita
_______________________________________________________________________
2.2. Vientisumo praradimo atveju:
ð Pakeitimas į neteisingus duomenis, dėl ko asmuo gali netekti galimybės naudotis paslaugomis
ð Pakeitimas į galiojančius duomenis, kad asmens duomenų tvarkymas būtų nukreiptas (pavyzdžiui, pavogta asmens tapatybė susiejant vieno asmens identifikuojančius duomenis su kito asmens biometriniais duomenimis)
ð Kita
__________________________________________________________________________
2.3. Duomenų prieinamumo praradimo atveju:
ð Dėl asmens duomenų trūkumo negalima teikti paslaugų (pavyzdžiui, administracinių procesų sutrikdymas, dėl ko negalima prieiti, pavyzdžiui, prie asmens sveikatos istorijų ir teikti pacientams sveikatos paslaugų, arba įgyvendinti duomenų subjekto teises)
ð Dėl klaidų asmens duomenų tvarkymo procesuose negalima teikti tinkamos paslaugos (pavyzdžiui, asmens sveikatos istorijoje neliko informacijos apie asmens alergijas, tam tikra informacija iš mokesčių deklaracijos išnyko, dėl ko negalima tinkamai apskaičiuoti mokesčių ir pan.)
ð Kita
__________________________________________________________________________
2.4. Kita:
__________________________________________________________________________
| 3. Priemonės, kurių imtasi siekiant pašalinti pažeidimą ar sumažinti jo pasekmes |
3.1. Taikytos priemonės siekiant sumažinti poveikį duomenų subjektams:
__________________________________________________________________________
3.2. Taikytos priemonės siekiant pašalinti asmens duomenų saugumo pažeidimą:
__________________________________________________________________________
3.3. Taikytos priemonės siekiant, kad pažeidimas nepasikartotų:
__________________________________________________________________________
3.4. Kita:
__________________________________________________________________________
| 4. Siūlomos priemonės asmens duomenų saugumo pažeidimo pasekmėms sumažinti |
__________________________________________________________________________
| 5. Duomenų subjektų informavimas apie asmens duomenų saugumo pažeidimą |
5.1. Duomenys apie informavimo faktą:
ð Taip, duomenų subjektai informuoti (nurodoma data)____________________________
ð Ne, bet jie bus informuoti (nurodoma data)____________________________________
ð Ne____________________________________________________________________
5.2. Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, neinformavimo priežastys:
ð Ne, nes nekyla didelis pavojus duomenų subjektų teisėms ir laisvėms (nurodoma kodėl) __________________________________________________________________________
ð Ne, nes įgyvendintos tinkamos techninės ir organizacinės priemonės, užtikrinančios, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami (nurodomos kokios) __________________________________________________________________________
ð Ne, nes įgyvendintos tinkamos techninės ir organizacinės priemonės, užtikrinančios, kad nekiltų didelis pavojus duomenų subjektų teisėms ir laisvėms (nurodomos kokios) __________________________________________________________________________
ð Ne, nes tai pareikalautų neproporcingai daug pastangų ir apie tai viešai paskelbta (arba taikyta panaši priemonė) (nurodoma kada ir kur paskelbta informacija viešai arba jei taikyta kita priemonė, nurodoma kokia ir kada taikyta)
__________________________________________________________________________
ð Ne, nes dar neidentifikuoti duomenų subjektai, kurių asmens duomenų saugumas pažeistas
5.3. Informacija, kuri buvo pateikta duomenų subjektams (gali būti pridėtas pranešimo duomenų subjektui kopija):
________________________________________________________________________
5.4. Būdas, kokiu duomenų subjektai buvo informuoti:
ð Paštu
ð Elektroniniu paštu
ð Kitu būdu __________________________________________________________________________
5.5. Informuotų duomenų subjektų skaičius _______________________________________
| 6. Asmuo, galintis suteikti daugiau informacijos apie asmens duomenų saugumo pažeidimą (duomenų apsaugos pareigūnas ar kitas kontaktinis asmuo) |
6.1. Vardas ir pavardė________________________________________________________
6.2. Telefono ryšio numeris ___________________________________________________
6.3. Elektroninio pašto adresas _________________________________________________
6.4. Pareigos _______________________________________________________________
6.5. Darbovietės pavadinimas ir adresas__________________________________________
| 7. Pranešimo pateikimo Valstybinei duomenų apsaugos inspekcijai pateikimo vėlavimo priežastys |
| 8. Kita reikšminga informacija |
| (pareigos)
|
|
(parašas) |
|
(vardas, pavardė) |
Asmens duomenų tvarkymo
Kaišiadorių rajono savivaldybės
administracijoje taisyklių
4 priedas
Duomenų tvarkymo veiklos įrašai
| 1. Duomenų valdytojas: |
||||||||
| 1.1 Duomenų naudotojas |
||||||||
| Pašto adresas |
Telefono ryšio numeris |
Elektroninio pašto adresas |
Kitos ryšių priemonės (pvz., interneto svetainės adresas, el. siuntos pristatymo dėžutės adresas)
|
|||||
| 2. Duomenų apsaugos pareigūnas: |
||||||||
|
|
||||||||
| Pašto adresas |
Telefono ryšio numeris |
Elektroninio pašto adresas |
Kitos ryšių priemonės
|
|||||
| 3. Duomenų tvarkymo tikslas: |
||||||||
| 4. Duomenų subjektų kategorijų aprašymas: |
||||||||
| 5. Asmens duomenų kategorijų aprašymas: |
||||||||
| 6. Duomenų tvarkymo teisinis pagrindas: |
||||||||
| 7. Atliekamos asmens duomenų tvarkymo operacijos: |
||||||||
| 8. Duomenų gavėjų kategorijos: |
||||||||
| 9. Asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai (kai taikoma): |
||||||||
|
Trečiosios valstybės arba tarptautinės organizacijos, kuriai perduodami asmens duomenys, pavadinimas: |
BDAR 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai:
|
|||||||
| Kita informacija, susijusi su asmens duomenų perdavimu |
||||||||
| 10. Numatomi asmens duomenų saugojimo, ištrynimo terminai: |
||||||||
| 11. Bendras duomenų saugumo priemonių aprašymas: |
||||||||
|
Techninės saugumo priemonės:
|
Organizacinės saugumo priemonės:
|
|||||||
| 12. Kita informacija: |
||||||||
| Duomenų įvedimo, keitimo data:
|
||||||||
|
||||||||
| (pareigos)
|
|
(parašas) |
|
(vardas, pavardė) |
Asmens duomenų tvarkymo
Kaišiadorių rajono savivaldybės
administracijoje taisyklių
5 priedas
(Asmens duomenų saugumo pažeidimų žurnalo forma)
KAIŠIADORIŲ RAJONO SAVIVALDYBĖS ADMINISTRACIJOS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ ŽURNALAS
|
Eil. nr.
|
Pažeidimo nustatymo data, valanda (minučių tikslumu) ir vieta |
Darbuotojas ar kitas subjektas, pranešęs apie pažeidimą (vardas, pavardė, pareigos) |
Pažeidimo padarymo data ir vieta |
Pažeidimo pradžia ir pabaiga, pobūdis, tipas, aplinkybės |
Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos ir apytikslis skaičius |
Asmens duomenų, kurių saugumas pažeistas, kategorijos ir apimtis |
Tikėtinos pažeidimo pasekmės bei pavojus fizinių asmenų teisėms ir laisvėms |
Priemonės, kurių buvo imtasi pažeidimui pašalinti ir (ar) neigiamoms pažeidimo pasekmėms sumažinti |
Darbuotojas, ar kitas subjektas, pašalinęs pažeidimą (vardas, pavardė, pareigos) |
Informacija, ar apie pažeidimą buvo pranešta Valstybinei duomenų apsaugos inspekcijai, ir priimto sprendimo motyvai |
Informacija, ar apie pažeidimą buvo pranešta duomenų subjektui (-ams), ir priimto sprendimo motyvai |
| 1. |
|
|
|
|
|
|
|
|
|
|
|
| 2. |
|
|
|
|
|
|
|
|
|
|
|
| 3. |
|
|
|
|
|
|
|
|
|
|
|
| 4. |
|
|
|
|
|
|
|
|
|
|
|
| 5. |
|
|
|
|
|
|
|
|
|
|
|
| 6. |
|
|
|
|
|
|
|
|
|
|
|
| 7. |
|
|
|
|
|
|
|
|
|
|
|
| 8. |
|
|
|
|
|
|
|
|
|
|
|
| 9. |
|
|
|
|
|
|
|
|
|
|
|
| 10. |
|
|
|
|
|
|
|
|
|
|
|