VALSTYBĖS TARNYBOS DEPARTAMENTO
PRIE LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS
DIREKTORIUS
ĮSAKYMAS
DĖL VALSTYBĖS TARNYBOS DEPARTAMENTO PRIE LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS DIREKTORIAUS 2019 M. BALANDŽIO 11 D. ĮSAKYMO NR. 27V-94 „DĖL ASMENS DUOMENŲ TVARKYMO, SAUGOJIMO IR ŠIŲ DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO VALSTYBĖS TARNYBOS DEPARTAMENTE PRIE LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS TVARKOS APRAŠO PATVIRTINIMO“ PAKEITIMO
2022 m. vasario 28 d. Nr. 27V-22
Vilnius
P a k e i č i u Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Valstybės tarnybos departamente prie Lietuvos Respublikos vidaus reikalų ministerijos tvarkos aprašą, patvirtintą Valstybės tarnybos departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus 2019 m. balandžio 11 d. įsakymu Nr. 27V-94 „Dėl Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Valstybės tarnybos departamente prie Lietuvos Respublikos vidaus reikalų ministerijos tvarkos aprašo patvirtinimo“:
1. Pakeičiu 6 punktą ir jį išdėstau taip:
2. Pakeičiu 7 punkto pirmąją pastraipą ir ją išdėstau taip:
3. Pakeičiu 9 punktą ir jį išdėstau taip:
„9. Kompiuterinės darbo vietos, tarnybinės stotys ir kita techninė įranga, kurios pagalba gali būti pasiekiami asmens duomenys, apsaugoma vadovaujantis gerosiomis informacijos saugos praktikomis ir teisės aktų reikalavimais. Draudžiamas ir griežtai kontroliuojamas nelegalios (neleistinos) programinės įrangos naudojimas. Kiti asmens duomenų saugos reikalavimai nustatomi ir įgyvendinami vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.“
4. Pakeičiu 19 punktą ir jį išdėstau taip:
„19. Kai duomenų subjekto asmens duomenys renkami tiesiogiai iš duomenų subjekto, informacija apie duomenų subjektų asmens duomenų tvarkymą, nurodyta Reglamento 13 straipsnyje, pateikiama asmens duomenų gavimo metu žodžiu ar raštu (atsižvelgiant į tai, kokiu būdu duomenų subjektas kreipiasi į Valstybės tarnybos departamentą), išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi arba kai tokių duomenų rinkimo bei teikimo tvarka ir duomenų gavėjai apibrėžiama įstatymuose ir kituose teisės aktuose ar yra kitos Reglamento 14 straipsnio 5 dalyje nurodytos sąlygos. Informacija raštu teikiama pagal Aprašo 1 priede pateiktą formą.“
6. Pakeičiu 24.1 papunktį ir jį išdėstau taip:
„24.1. Susipažinimas su pretendentų vertinimo komisijoje protokolu, savo spręstais testais ir raštu atliktomis užduotimis galimas iš karto pasibaigus pretendentų vertinimui komisijoje arba Valstybės tarnybos departamento pasiūlytu ir su pretendentu suderintu laiku Valstybės tarnybos departamento patalpose ar nuotoliniu būdu. Pretendentams gali būti išduodami protokolo išrašai, neatskleidžiant kitų pretendentų duomenų. Protokolas pretendentams neišduodamas, išskyrus Aprašo 24.2 papunktyje nustatytą atvejį, kai pretendentams išduodamas nurodytas protokolo išrašas. Pretendentų spręstų testų ir raštu atliktų užduočių kopijos neišduodamos. Susipažinimas su pretendentų į Valstybės tarnybos departamento darbuotojo pareigas testo žodžiu skaitmeniniu garso įrašu, kompleksinio vertinimo pusiau struktūruoto interviu ir žodžiu atliekamų praktinių užduočių skaitmeniniu garso įrašu, pretendentų vertinimo komisijoje skaitmeniniu garso arba garso ir vaizdo įrašu galimas Valstybės tarnybos departamento pasiūlytu ir su pretendentu suderintu laiku Valstybės tarnybos departamento patalpose ar nuotoliniu būdu. Asmenims skaitmeninio garso bei garso ir vaizdo įrašo kopijos neišduodamos, jie gali tik išklausyti savo garso arba peržiūrėti savo vaizdo įrašą. Susipažinimą organizuoja Valstybės tarnybos departamento valstybės tarnautojai ir darbuotojai, atsakingi už konkretaus kompleksinio vertinimo organizavimą arba konkretaus pretendentų vertinimo komisijos sekretorius (jiems nesant – kiti įgalioti Valstybės tarnybos departamento valstybės tarnautojai arba darbuotojai). Valstybės tarnybos departamento patalpoje ar nuotoliniu būdu susipažinimo su protokolu, savo spręstais testais ir raštu atliktomis užduotimis, garso arba garso ir vaizdo įrašais metu privalo būti ir stebėti susipažinimo procesą susipažinimą organizavęs Valstybės tarnybos departamento valstybės tarnautojas arba darbuotojas. Susipažinimo metu asmeniui draudžiama daryti garso ar vaizdo įrašus, kopijas, užrašus, naudoti kitas technines priemones. Pastebėjus, kad asmuo daro garso ar vaizdo įrašus, kopijas, užrašus, naudoja kitas technines priemones, asmens susipažinimas nutraukiamas ir Valstybės tarnybos departamento valstybės tarnautojo arba darbuotojo akivaizdoje asmuo turi sunaikinti padarytus įrašus, kopijas, užrašus, techninėmis priemonėmis užfiksuotą informaciją.“
7. Pakeičiu 24.2 papunktį ir jį išdėstau taip:
„24.2. Kai pretendentų vertinimas komisijoje vyko telekomunikacijų galiniais įrenginiais ir nebuvo techninių galimybių pretendentams ar stebėtojams, stebėti balų skaičiavimą ir rezultatų paskelbimą, jų prašymu, Valstybės tarnybos departamentas, per 5 darbo dienas nuo šio prašymo gavimo, pateikia protokolo išrašą, nurodydamas jame pretendentų vardus, pavardes, užimtas vietas (eiliškumą) ir gautus balus. Susipažinę su protokolo išrašu, stebėtojai ir pretendentai jį turi sunaikinti.“
8. Pakeičiu 55 punktą ir jį išdėstau taip:
„55. Įvykus bet kokiam asmens duomenų saugumo pažeidimui ar kitam incidentui, susijusiam su asmens duomenų saugumu Valstybės tarnybos departamente, Valstybės tarnybos departamento valstybės tarnautojai ir darbuotojai, kuriems tapo žinoma apie asmens duomenų saugumo pažeidimą, privalo nedelsiant, bet ne vėliau kaip pažeidimo ar incidento paaiškėjimo dieną, informuoti Valstybės tarnybos departamento direktorių, direktoriaus pavaduotoją ir duomenų apsaugos pareigūną.“
9. Pakeičiu 63 punktą ir jį išdėstau taip:
„63. Už pranešimų apie asmens duomenų saugumo pažeidimą pateikimą Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektams yra atsakingas Valstybės tarnybos departamento duomenų apsaugos pareigūnas (jo nesant – kitas Valstybės tarnybos departamento direktoriaus įgaliotas valstybės tarnautojas ar darbuotojas). Valstybės tarnybos departamento valstybės tarnautojai ir darbuotojai privalo operatyviai teikti duomenų apsaugos pareigūnui (jo nesant – kitam Valstybės tarnybos departamento direktoriaus įgaliotam valstybės tarnautojui ar darbuotojui) visą jo paprašytą su asmens duomenų saugumo pažeidimu susijusią informaciją ir dokumentus.“
10. Pakeičiu 65 punktą ir jį išdėstau taip:
„65. Valstybės tarnybos departamente tvarkomas Asmens duomenų saugumo pažeidimų registras pagal Aprašo 4 priede patvirtintą formą. Už Asmens duomenų saugumo pažeidimų registro pildymą atsakingas Valstybės tarnybos departamento duomenų apsaugos pareigūnas (jo nesant – kitas Valstybės tarnybos departamento direktoriaus įgaliotas valstybės tarnautojas ar darbuotojas). Asmens duomenų saugumo pažeidimų registre registruojami visi asmens duomenų saugumo pažeidimai, nepaisant to, ar apie juos pranešta Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektui, ar tokie pažeidimai gali sukelti pavojų duomenų subjektų teisėms ir laisvėms, ar ne. Asmens duomenų saugumo pažeidimų registras yra pateikiamas Valstybinei duomenų apsaugos inspekcijai jai pareikalavus. Asmens duomenų saugumo pažeidimų registras gali būti popierinės arba elektroninės formos.“
11. Papildau nauju 70 punktu:
Asmens duomenų tvarkymo, saugojimo ir
šių duomenų subjektų teisių įgyvendinimo
Valstybės tarnybos departamente prie
Lietuvos Respublikos vidaus reikalų
ministerijos tvarkos aprašo
1 priedas
(Informacijos apie asmens duomenų tvarkymą forma)
INFORMACIJA APIE ASMENS DUOMENŲ TVARKYMĄ
Vadovaudamiesi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p.1) 13/14[1] straipsniu, teikiame Jums informaciją, susijusią su Jūsų duomenų tvarkymu:
1. Duomenų valdytojas – Valstybės tarnybos departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos, juridinio asmens kodas 188784211, buveinės adresas Šventaragio g. 2, LT-01510 Vilnius, tel. (8 5) 271 8235, el. pašto adresas info@vtd.lt.
2. Duomenų apsaugos pareigūno kontaktai – (nurodyti Valstybės tarnybos departamento prie Lietuvos Respublikos vidaus reikalų ministerijos duomenų apsaugos pareigūno pareigas, vardą, pavardę, telefono numerį, elektroninio pašto adresą).
3. Tvarkomi duomenys. Informuojame Jus, kad tvarkome šiuos Jūsų asmens duomenis[2]:
1. ________________________________________________________________________
2. ________________________________________________________________________
3. ________________________________________________________________________
4. ________________________________________________________________________
4. Duomenų tvarkymo tikslai. Aukščiau nurodyti Jūsų asmens duomenys yra tvarkomi šiais tikslais[3]:
1. ________________________________________________________________________
2. ________________________________________________________________________
3. ________________________________________________________________________
4. ________________________________________________________________________
5. Duomenų tvarkymo teisinis pagrindas. Jūsų asmens duomenų tvarkymo teisinis pagrindas[4] –
_______________________________________________________________________________ [5].
6. Duomenų šaltinis. Aukščiau nurodyti Jūsų duomenys gauti iš[6]_____________________
_______________________________________________________________________________ .
7. Asmens duomenų gavėjai. Jūsų asmens duomenys gali būti perduoti[7]:
1. ________________________________________________________________________
2. ________________________________________________________________________
3. ________________________________________________________________________
4. ________________________________________________________________________
8. Duomenų subjektų teisės. Informuojame Jus, kad turite šias teises: teisę prašyti, kad Jums būtų leista susipažinti su Jūsų asmens duomenimis ir juos ištaisyti arba ištrinti, teisę apriboti duomenų tvarkymą, teisę nesutikti, kad asmens duomenys būtų tvarkomi. Šias teises galite įgyvendinti teisės aktų nustatyta tvarka.
Prašymai dėl teisių įgyvendinimo Valstybės tarnybos departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos turi būti pateikti raštu (įskaitant ir elektroniniu formatu), taip pat turi būti įmanoma identifikuoti prašymą padavusio asmens bei duomenų subjekto tapatybę. Duomenų subjekto tapatybė nustatoma pagal asmens tapatybę patvirtinantį dokumentą ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį. Jei prašymą duomenų subjektas siunčia paštu ar per pašto ar kitų siuntinių pristatymo paslaugas teikiančius asmenis, prie prašymo turi būti pridėta asmens tapatybę patvirtinančio dokumento kopija, patvirtinta notaro ar kita teisės aktų nustatyta tvarka. Kai dėl informacijos apie asmenį kreipiasi jo atstovas, jis turi pateikti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą teisės aktų nustatyta tvarka, ir atstovo asmens tapatybę patvirtinantį dokumentą, jeigu prašymas siunčiamas paštu arba per pašto ar kitų siuntinių pristatymo paslaugas teikiančius asmenis, prie prašymo pridedamos atstovavimą patvirtinančio dokumento kopija, patvirtinta teisės aktų nustatyta tvarka, ir asmens tapatybę patvirtinančio dokumento kopija, patvirtinta notaro ar kita teisės aktų nustatyta tvarka.
Dėl duomenų subjektų teisių įgyvendinimo maloniai prašome kreiptis į duomenų apsaugos pareigūną 2 punkte nurodytais kontaktais.
9. Jūs taip pat turite teisę bet kada atšaukti sutikimą tvarkyti Jūsų duomenis. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto asmens duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.[8]
10. Asmens duomenų saugojimo laikotarpis. Informuojame, kad Jūsų asmens duomenys bus saugomi ____________ laikotarpį[9]. Šis terminas gali būti pratęstas, jei asmens duomenys yra naudojami arba gali būti naudojami kaip įrodymai ar informacijos šaltinis ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais įstatymų nustatytais atvejais. Tokiu atveju asmens duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
11. Automatizuotų sprendimų priėmimai. Informuojame, kad šie Jūsų duomenys nebus naudojami automatizuotų sprendimų priėmimui Jūsų atžvilgiu, įskaitant profiliavimą.
12. Skundų teikimas. Informuojame, kad Jūs turite teisę skųsti Valstybės tarnybos departamento prie Lietuvos Respublikos vidaus reikalų ministerijos veiksmus (neveikimą) Valstybinei duomenų apsaugos inspekcijai ir Vilniaus apygardos administraciniam teismui teisės aktų nustatyta tvarka, taip pat skųsti Vilniaus apygardos administraciniam teismui Valstybinės duomenų apsaugos inspekcijos veiksmus (neveikimą).
Asmens duomenų tvarkymo, saugojimo ir
šių duomenų subjektų teisių įgyvendinimo
Valstybės tarnybos departamente prie
Lietuvos Respublikos vidaus reikalų
ministerijos tvarkos aprašo
3 priedas
(Pranešimo apie asmens duomenų saugumo pažeidimą forma)
Valstybinei duomenų apsaugos inspekcijai
L. Sapiegos g. 17, 10312 Vilnius
Tel. (8 5) 271 2804, 279 1445
Faks.: (8 5) 261 9494
El. paštas: ada@ada.lt
arba
Duomenų subjekto vardas, pavardė
Kontaktiniai duomenys
PRANEŠIMAS APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ
_______
(data)
________
(miestas)
1. Duomenų valdytojas:
Valstybės tarnybos departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos, juridinio asmens kodas 188784211, buveinės adresas Šventaragio g. 2, LT-01510 Vilnius, tel. (8 5) 271 8235, el. pašto adresas info@vtd.lt.
2. Duomenų apsaugos pareigūnas:
(nurodyti Valstybės tarnybos departamento prie Lietuvos Respublikos vidaus reikalų ministerijos duomenų apsaugos pareigūno pareigas, vardą, pavardę, telefono numerį, elektroninio pašto adresą).
3. Asmens duomenų saugumo pažeidimas:
3.1. asmens duomenų saugumo pažeidimo data, laikas ir vieta:
________________________________________________________________________________
________________________________________________________________________________
3.2. asmens duomenų saugumo pažeidimo nustatymo data ir laikas:
________________________________________________________________________________
________________________________________________________________________________
3.3. asmens duomenų saugumo pažeidimo aplinkybės[10]:
________________________________________________________________________________
________________________________________________________________________________
3.4. apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius ir kategorijos:
________________________________________________________________________________
________________________________________________________________________________
3.5. apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius ir kategorijos:
________________________________________________________________________________
________________________________________________________________________________
3.6. tikėtinos asmens duomenų saugumo pažeidimo pasekmės:
________________________________________________________________________________
________________________________________________________________________________
4. Priemonės, kurių duomenų tvarkytojas ėmėsi arba siūlo imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas arba kad būtų sumažintos neigiamos pasekmės:
________________________________________________________________________________
________________________________________________________________________________
5. Informacija apie tai, ar apie asmens duomenų saugumo pažeidimą informuoti duomenų subjektai (jeigu duomenų subjektai neinformuojami, nurodomos priežastys):
________________________________________________________________________________
________________________________________________________________________________
6. Pasiūlymai, kokių priemonių gali imtis duomenų subjektai, siekdami sumažinti ar išvengti asmens duomenų saugumo pažeidimo neigiamų padarinių[11] (pildoma, jeigu Valstybės tarnybos departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos gali pateikti efektyvių pasiūlymų duomenų subjektui):
________________________________________________________________________________
________________________________________________________________________________
7. Vėlavimo pateikti informaciją Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) priežastys[12] (pildoma, jeigu pranešimas teikiamas Inspekcijai praėjus daugiau kaip 72 val. po pažeidimo paaiškėjimo):
________________________________________________________________________________
________________________________________________________________________________
8. Ar su asmens duomenų saugumo pažeidimu susijusi informacija bus teikiama etapais[13] (pildoma, jeigu pradiniame pranešime neįmanoma pateikti visos ir išsamios su asmens duomenų saugumo pažeidimu susijusios informacijos, ir informacija Inspekcijai numatoma teikti etapais):
________________________________________________________________________________
________________________________________________________________________________
(pareigos) (parašas) (vardas, pavardė)
Asmens duomenų tvarkymo, saugojimo ir
šių duomenų subjektų teisių įgyvendinimo
Valstybės tarnybos departamente prie
Lietuvos Respublikos vidaus reikalų
ministerijos tvarkos aprašo
4 priedas
(Asmens duomenų saugumo pažeidimų registro forma)
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ REGISTRAS
|
Eil. Nr. |
Informacija apie pažeidimo (galimo pažeidimo) identifikavimą
|
Pažeidimo tyrimui paskirtas asmuo ar asmenų grupė (pareigos, vardas, pavardė) |
Informacija apie pažeidimą
|
||||||||
|
Kas pastebėjo pažeidimą (darbuotojas (vardas, pavardė), duomenų subjektas, kitas asmuo)?
|
Kam pranešta (pareigos, vardas, pavardė)? |
Kada pranešta (data, laikas)? |
Kokia forma pranešta (elektroniniu paštu, telefonu, tiesiogiai žodžiu ir pan.)? |
Data, laikas, vieta |
Pobūdis ir dydis |
Kokioje sistemoje įvyko pažeidimas |
Priežastis, dėl ko pažeidimas įvyko |
Asmens duomenys, kuriems gali kilti grėsmė ir grėsmė, kategorija |
Ar kilo pasekmių? Jei taip, kokių? (fizinės, materialinės ar nematerialinės) |
||
| 1. |
|
|
|
|
|
|
|
|
|
|
|
| 2. |
|
|
|
|
|
|
|
|
|
|
|
| 3. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(Asmens duomenų saugumo pažeidimų registro forma) (tęsinys)
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ REGISTRAS
|
Eil. Nr. |
Duomenų subjektai, kurių asmens duomenims gali kilti grėsmė arba kurių asmens duomenys buvo pažeisti |
Pažeidimo žalos sumažinimas (pašalinimas) ir duomenų saugumo atstatymas |
Ar imtasi naujų priemonių (įrankių) diegimo? |
Pranešimo pareigos vykdymas |
Pastabos (pvz., pažeidimo nebuvo tik saugumo incidentas) |
|||||
| Skaičius |
Kategorija, sąrašas |
Preliminarus laikas pažeidimo žalai sumažinti ar pašalinti |
Priemonė ir jos taikymo data |
Priemonės taikymo tikslas ir motyvai |
Rekomendacijos |
Jei taip, kokių ir kokių tikslų tuo siekta? |
Ar pranešta duomenų subjektui (-ams)? Jei taip, kada ir kokia forma? |
Jei duomenų subjektui (-ams) nepranešta, kokios tokio sprendimo priežastys? |
|
|
| 1. |
|
|
|
|
|
|
|
|
|
|
| 2. |
|
|
|
|
|
|
|
|
|
|
| 3. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
_____________