LIETUVOS RESPUBLIKOS VALSTYBĖS KONTROLierius
įsakymas
DĖL ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO VALSTYBĖS KONTROLĖJE TVARKOS APRAŠO PATVIRTINIMO
2018 m. gegužės 21 d. Nr. V-172
Vilnius
Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir Valstybės kontrolės asmens duomenų teisinės apsaugos politika, patvirtinta valstybės kontrolieriaus 2018 m. kovo 30 d. įsakymu Nr. V-135 „Dėl Valstybės kontrolės asmens duomenų teisinės apsaugos politikos patvirtinimo“:
1. Tvirtinu Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo Valstybės kontrolėje tvarkos aprašą (pridedama).
2. Pripažįstu netekusiu galios valstybės kontrolieriaus 2015 m. vasario 27 d. įsakymą Nr. V-35 „Dėl Duomenų subjektų teisių įgyvendinimo Valstybės kontrolėje tvarkos aprašo patvirtinimo“.
4. Įpareigoju:
4.1. Bendrųjų reikalų departamento Informacijos skyriaus vedėją Jolantą Radžiūnienę su šiuo įsakymu nepasirašytinai supažindinti visus Valstybės kontrolės darbuotojus;
PATVIRTINTA
Lietuvos Respublikos
valstybės kontrolieriaus
2018 m. gegužės 21 d. įsakymu Nr. V-172
ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO VALSTYBĖS KONTROLĖJE TVARKOS APRAŠAS
I. BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo Valstybės kontrolėje tvarkos apraše (toliau – Tvarkos aprašas) nustatyta asmens duomenų tvarkymo apimtis ir tikslai, asmens duomenų saugojimo priemonės, asmens duomenų saugos pažeidimų valdymas, asmens duomenų subjektų teisės, duomenų subjektų prašymų dėl teisės (-ių), įtvirtintų 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (toliau – Reglamentas), įgyvendinimo pateikimo ir nagrinėjimo Valstybės kontrolėje tvarka.
2. Tvarkos aprašas taikomas įgyvendinant duomenų subjektų – asmenų, kurių asmens duomenis tvarko Valstybės kontrolė, teises.
3. Tvarkos apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose, reguliuojančiuose asmens duomenų apsaugą.
II. VALSTYBĖS KONTROLĖJE TVARKOMI DUOMENŲ SUBJEKTŲ ASMENS DUOMENYS
5. Valstybės kontrolėje tvarkomi šie duomenų subjektų grupių asmens duomenys šiais asmens duomenų tvarkymo tikslais:
5.1. asmenų, pateikusių Valstybės kontrolei skundą ar prašymą, asmens duomenys tvarkomi asmenų informavimo, skundų ir prašymų nagrinėjimo, vidaus administravimo (raštvedybos tvarkymo) tikslais;
5.2. Valstybės kontrolėje esamų ir buvusių valstybės pareigūnų, valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis (toliau – Valstybės kontrolės darbuotojai), asmens duomenys tvarkomi vidaus administravimo (personalo valdymo, raštvedybos tvarkymo, apskaitos, materialinių ir finansinių išteklių naudojimo, vidinės komunikacijos) ir Valstybės kontrolės veiklos viešinimo tikslais;
5.3. pretendentų į Valstybės kontrolės darbuotojus asmens duomenys tvarkomi vidaus administravimo (personalo valdymo ir administravimo) tikslu;
5.4. audituojamų ir (ar) audituotų subjektų darbuotojų ar kitų asmenų asmens duomenys tvarkomi valstybinio audito ir biudžeto politikos stebėsenos atlikimo tikslu;
5.5. asmenų, patenkančių į Valstybės kontrolės atliekamo vaizdo stebėjimo lauką, ir jų valdomų transporto priemonių vaizdo duomenys tvarkomi Valstybės kontrolės turto apsaugos, asmenų, kurie lankosi Valstybės kontrolėje, ir Valstybės kontrolės darbuotojų saugumo užtikrinimo tikslu;
5.6. asmenų, skambinančių į Valstybės kontrolę telefonu (telefono numeris (8 5) 266 6809), balso ir pokalbių duomenys tvarkomi vidaus administravimo (asmenų aptarnavimo) tikslu;
5.7. asmenų, kurie lankosi Valstybės kontrolėje, asmens duomenys tvarkomi asmenų saugumo ir Valstybės kontrolės turto apsaugos užtikrinimo tikslu;
5.8. asmenų iš kitų įstaigų, įmonių, organizacijų, visuomenės atstovų, besilankančių Valstybės kontrolėje, asmens duomenys tvarkomi gerosios praktikos pasidalijimo, komunikacijos, Valstybės kontrolės veiklos viešinimo tikslu;
5.9. visuomenės informavimo priemonių ir viešosios informacijos rengėjų atstovų, besikreipiančių į Valstybės kontrolę, asmens duomenys tvarkomi vidaus administravimo (raštvedybos tvarkymo) tikslu;
5.10. fizinių asmenų, su Valstybės kontrole sudariusių prekių, paslaugų, darbų viešojo pirkimo, privalomos ir savanoriškos praktikos ar kitas sutartis, asmens duomenys, o juridinių asmenų – jų darbuotojų, nurodytų sutartyse, asmens duomenys tvarkomi vidaus administravimo (sutarčių vykdymo ir atsiskaitymo) tikslu.
6. Valstybės kontrolė daro duomenų tvarkymo veiklos įrašus, kuriais pateikiama visa informacija apie tvarkomus asmens duomenis, nurodyta Reglamento 30 straipsnyje. Informacija apie tvarkomus asmens duomenis Valstybės kontrolėje pateikiama interneto svetainėje www.vkontrole.lt.
7. Valstybės kontrolė asmens duomenis tvarko vadovaudamasi Reglamento 6 straipsnio 1 dalies b, c ir e papunkčiuose nurodytais pagrindais arba asmens duomenų subjekto sutikimu.
III. ASMENS DUOMENŲ TVARKYMAS IR SAUGOJIMAS
10. Prieiga prie asmens duomenų suteikiama tik tiems Valstybės kontrolės darbuotojams, kuriems tokie duomenys yra reikalingi jų funkcijoms ir pavedimams atlikti.
11. Su asmens duomenimis galima atlikti tik tuos veiksmus, kuriuos atlikti Valstybės kontrolės darbuotojams yra suteiktos teisės.
12. Prieigos prie asmens duomenų, esančių Valstybės kontrolės informacinėse sistemose, Valstybės kontrolės darbuotojams suteikiamos, keičiamos ir naikinamos vadovaujantis valstybės kontrolieriaus įsakymu patvirtintais Lietuvos Respublikos valstybės kontrolės veiklos planavimo ir stebėsenos informacinės sistemos ir Lietuvos Respublikos valstybės kontrolės informacinės sistemos duomenų saugos nuostatais.
13. Valstybės kontrolės darbuotojai, kuriems yra suteikta teisė tvarkyti asmens duomenis, privalo laikytis Reglamente nurodytų asmens duomenų tvarkymo principų ir reikalavimų, laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino atlikdami savo funkcijas ir pavedimus.
14. Valstybės kontrolė, saugodama asmens duomenis, įgyvendina ir užtikrina organizacines ir technines priemones, skirtas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.
15. Valstybės kontrolės dokumentai, kuriuose yra asmens duomenys, valdomi dokumentų valdymo sistemoje, vadovaujantis valstybės kontrolieriaus įsakymu patvirtintu Valstybės kontrolės dokumentų valdymo ir naudojimo reglamentu.
16. Dokumentai, kuriuose yra asmens duomenys, tvarkomi, įtraukiami į apskaitą, viešinami ir saugomi vadovaujantis Dokumentų tvarkymo ir apskaitos taisyklių, patvirtintų Lietuvos vyriausiojo archyvaro 2011 m. liepos 4 d. įsakymu Nr. V-118 „Dėl Dokumentų tvarkymo ir apskaitos taisyklių patvirtinimo“, Elektroninių dokumentų valdymo taisyklių, patvirtintų Lietuvos vyriausiojo archyvaro 2011 m. gruodžio 29 d. įsakymu Nr. V-158 „Dėl Elektroninių dokumentų valdymo taisyklių patvirtinimo“, reikalavimais ir Lietuvos vyriausiojo archyvaro tarnybos parengtomis Vaizdo ir garso dokumentų išsaugojimo rekomendacijomis.
17. Asmens duomenys saugomi ne ilgiau, nei to reikalauja duomenų tvarkymo tikslai. Asmens duomenų saugojimo terminai nustatomi valstybės kontrolieriaus patvirtintame kasmetiniame Valstybės kontrolės dokumentacijos plane. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie yra sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti atitinkamam archyvui.
IV. DUOMENŲ SUBJEKTŲ TEISĖS
18. Duomenų subjektas turi šias teises:
18.1. teisę susipažinti su asmens duomenimis, tvarkomais Valstybės kontrolėje, ir gauti šią informaciją:
18.1.3. duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems per paskutinius vienerius metus buvo ar yra teikiami asmens duomenys, visų pirma duomenų gavėjai trečiosiose valstybėse arba tarptautinės organizacijos,
18.2. teisę reikalauti, kad būtų ištaisyti netikslūs su asmeniu susiję duomenys ir / ar papildyti neišsamūs asmens duomenys;
18.3. teisę reikalauti, kad Valstybės kontrolė nedelsdama ištrintų su juo susijusius asmens duomenis (teisė būti pamirštam), esant bent vienai iš šių sąlygų:
18.3.1. asmens duomenys nebereikalingi tikslams, kuriems jie buvo renkami arba kitaip tvarkomi, pasiekti,
18.4. teisę reikalauti, kad Valstybės kontrolė apribotų duomenų tvarkymą, esant bent vienai iš šių sąlygų:
18.4.1. asmens duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį duomenų valdytojas gali patikrinti asmens duomenų tikslumą,
18.4.2. asmens duomenų tvarkymas yra neteisėtas, kai duomenų subjektas nesutinka, kad duomenys būtų ištrinti, ir prašo apriboti jų naudojimą,
18.5. teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui susisteminto, įprastai naudojamo ir kompiuterio skaitomo formato, ir teisę persiųsti tuos duomenis kitam duomenų valdytojui (teisė į duomenų perkeliamumą), o Valstybės kontrolė, kuriai tokie asmens duomenys buvo pateikti, turi nesudaryti kliūčių, kai duomenų tvarkymas grindžiamas sutikimu arba duomenys yra tvarkomi automatizuotomis priemonėmis. Naudodamasis šiame punkte nurodyta teise, duomenų subjektas turi teisę prašyti, kad Valstybės kontrolė asmens duomenis tiesiogiai persiųstų kitam duomenų valdytojui, kai tai techniškai įmanoma.
19. Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas atliekamas, kai asmens duomenis tvarkyti būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas arba tvarkyti būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, įskaitant profiliavimą, remiantis tomis nuostatomis.
V. DUOMENŲ TEIKIMAS TRETIESIEMS ASMENIMS
21. Asmens duomenys tretiesiems asmenims teikiami tik įstatymų ir kitų teisės aktų nustatytais atvejais ir tvarka:
21.1. asmenų, pateikusių Valstybės kontrolei skundą ar prašymą, asmens duomenys skundo ar prašymo nagrinėjimo tikslu – juridiniams ir fiziniams asmenims;
21.2. asmenų, pateikusių Valstybės kontrolei skundą ar prašymą, ir duomenų valdytojų (fizinių asmenų) asmens duomenys ginčo dėl Valstybės kontrolės priimto sprendimo teisėtumo nagrinėjimo tikslu – teismams, Lietuvos administracinių ginčų nagrinėjimo komisijai, teritorinėms administracinių ginčų nagrinėjimo komisijoms ir darbo ginčų komisijai;
21.3. pretendentų į Valstybės kontrolės valstybės tarnautojus asmens duomenys valstybės tarnybos valdymo tikslu – Valstybės tarnybos departamentui;
21.4. Valstybės kontrolės darbuotojų asmens duomenys: socialinio draudimo mokesčio administravimo tikslu – Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos, mokesčių administravimo tikslu – Valstybinei mokesčių inspekcijai prie Lietuvos Respublikos finansų ministerijos, valstybės tarnybos valdymo tikslu – Valstybės tarnybos departamentui;
21.5. audituotų subjektų darbuotojų ar kitų asmenų asmens duomenys, tvarkomi valstybinio audito ir biudžeto politikos stebėsenos atlikimo tikslu – ikiteisminio tyrimo institucijoms, kitoms viešojo administravimo institucijoms pagal kompetenciją ar teismams;
21.6. asmenų, patekusių į Valstybės kontrolės atliekamo vaizdo stebėjimo lauką, vaizdo duomenys galimų teisės aktų pažeidimų nustatymo tikslu – ikiteisminio tyrimo institucijoms, teismams ar kitoms valstybės įgaliotoms institucijoms;
21.7. asmenų, skambinusių į Valstybės kontrolę telefonu, pokalbių duomenys galimų teisės aktų pažeidimų nustatymo tikslu – ikiteisminio tyrimo institucijoms, teismams ar kitoms valstybės įgaliotoms institucijoms;
21.8. žiniasklaidos atstovų duomenys ginčo dėl Lietuvos Respublikos visuomenės informavimo įstatyme ir kituose visuomenės informavimą reglamentuojančiuose įstatymuose bei teisės aktuose nustatytų visuomenės informavimo principų nesilaikymo nagrinėjimo tikslu – Žurnalistų etikos inspektoriaus tarnybai, teismams ar kitoms valstybės įgaliotoms institucijoms;
VI. PRAŠYMO DĖL DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO PATEIKIMAS
22. Duomenų subjektai, siekdami įgyvendinti savo teises, Valstybės kontrolei turi pateikti rašytinį prašymą asmeniškai, paštu ar per pasiuntinį arba elektroninių ryšių priemonėmis.
23. Prašymas turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyta duomenų subjekto vardas, pavardė, gyvenamoji vieta, duomenys ryšiui palaikyti ir informacija apie tai, kokią iš Tvarkos aprašo IV skyriuje nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti.
24. Pateikdamas prašymą, duomenų subjektas privalo patvirtinti savo tapatybę:
24.1. pateikdamas prašymą Valstybės kontrolėje darbuotojui, registruojančiam prašymą, turi pateikti asmens tapatybę patvirtinantį dokumentą;
24.2. pateikdamas prašymą paštu ar per pasiuntinį, kartu turi pateikti asmens tapatybę patvirtinančio dokumento kopiją, patvirtintą notaro, ar šio dokumento kopiją, patvirtintą kita teisės aktų nustatyta tvarka;
25. Duomenų subjektas savo teises Valstybės kontrolėje gali įgyvendinti pats arba per atstovą. Jei atstovaujamo duomenų subjekto vardu į Valstybės kontrolę kreipiasi asmens atstovas, jis savo prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, duomenis ryšiui palaikyti, taip pat atstovaujamo asmens vardą, pavardę, gyvenamąją vietą, informaciją apie tai, kokią iš Tvarkos aprašo IV skyriuje nurodytų duomenų subjekto teisių ir kokia apimtimi pageidaujama įgyvendinti, ir pridėti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą teisės aktų nustatyta tvarka.
VII. PRAŠYMO DĖL DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO NAGRINĖJIMAS
26. Valstybės kontrolė duomenų subjekto prašymo, kuris pateiktas nesilaikant Tvarkos aprašo 22–25 punktuose nustatytų reikalavimų, nenagrinėja.
27. Valstybės kontrolė, nepagrįstai nedelsdama, tačiau ne vėliau kaip per 30 kalendorinių dienų nuo prašymo gavimo, pateikia duomenų subjektui ar jo atstovui informaciją apie veiksmus, kurių imtasi gavus prašymą. Tas laikotarpis prireikus gali būti pratęstas valstybės kontrolieriaus arba jo įgalioto valstybės kontrolieriaus pavaduotojo (toliau – duomenų valdytojo vadovo) dar 60 kalendorinių dienų, atsižvelgiant į prašymo sudėtingumą ir jų skaičių. Valstybės kontrolė per 30 kalendorinių dienų nuo prašymo gavimo informuoja duomenų subjektą ar jo atstovą apie tokį pratęsimą, kartu pateikdama vėlavimo priežastis. Valstybės kontrolė atsakymą duomenų subjektui ar jo atstovui pateikia valstybine kalba duomenų subjekto pasirinktu būdu: registruotu paštu, įteikiant asmeniškai atvykus į Valstybės kontrolę arba elektroninėmis ryšio priemonėmis pateikiant elektroninį dokumentą, pasirašytą saugiu elektroniniu parašu. Valstybės kontrolė, dėl objektyvių priežasčių negalėdama pateikti atsakymo duomenų subjektui ar jo atstovui jo pasirinktu būdu, atsakymą pateikia registruota korespondencijos siunta.
28. Jei duomenų valdytojas nenagrinėja duomenų subjekto prašymo, jis nedelsdamas, tačiau ne vėliau kaip per 30 kalendorinių dienų nuo prašymo gavimo, informuoja duomenų subjektą ar jo atstovą apie nenagrinėjimo priežastis ir apie galimybę pateikti skundą priežiūros institucijai ir pasinaudoti kita teisių gynimo priemone.
29. Duomenų subjekto teisės Valstybės kontrolėje įgyvendinamos neatlygintinai vieną kartą per kalendorinius metus.
30. Valstybės kontrolė, atsisakydama vykdyti duomenų subjekto prašymą įgyvendinti jo, kaip duomenų subjekto, teises, pateikia jam tokio atsisakymo motyvus.
31. Valstybės kontrolės atsisakymas įgyvendinti duomenų subjekto teises gali būti skundžiamas įstatymų nustatyta tvarka.
VIII. DUOMENŲ SAUGOS PAŽEIDIMŲ VALDYMAS
33. Duomenų saugos pavojaus duomenų subjekto teisėms ir laisvėms tikimybė ir mastas nustatomi atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus. Remiantis objektyviu įvertinimu, nustatoma, ar duomenų tvarkymo operacijos yra susijusios su pavojumi arba dideliu pavojumi.
34. Valstybės kontrolės darbuotojas, Valstybės kontrolės informacinių sistemų naudotojas, sužinojęs apie galimą asmens duomenų, tvarkomų automatizuotomis priemonėmis, saugos pažeidimą, nedelsdamas praneša Valstybės kontrolės informacinių sistemų saugos įgaliotiniui, o apie galimą asmens duomenų, tvarkomų ne automatizuotomis priemonėmis, saugos pažeidimą praneša Bendrųjų reikalų departamento Informacijos skyriaus vedėjui.
35. Atsakingi asmenys, nurodyti Tvarkos aprašo 34 punkte, gavę informaciją apie galimą asmens duomenų saugos pažeidimą, pirmiausia turi konsultuotis su Valstybės kontrolės duomenų apsaugos pareigūnu dėl galimo pažeidimo masto ir galimo pavojaus fizinių asmenų teisėms ir laisvėms nustatymo.
36. Atsakingi asmenys, nurodyti Tvarkos aprašo 34 punkte, nustatę, kad dėl galimo asmens duomenų saugos pažeidimo gali kilti pavojus fizinių asmenų teisėms ir laisvėms, apie galimą pažeidimą praneša Valstybės kontrolės informacinių sistemų veiklos tęstinumo valdymo grupei (toliau – valdymo grupė) ir atlieka kitas asmens duomenų saugos pažeidimo valdymo procedūras, kurios nustatytos valstybės kontrolieriaus patvirtintuose Lietuvos Respublikos valstybės kontrolės informacinių sistemų saugos politiką įgyvendinančiuose dokumentuose.
37. Duomenų valdytojo vadovas, gavęs valdymo grupės išvadą dėl nustatyto asmens duomenų saugos pažeidimo, kurioje nurodyta, kad asmens duomenų saugos pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms, apie jį neinformuoja priežiūros institucijos ir asmens duomenų subjektų.
38. Duomenų valdytojo vadovas, gavęs valdymo grupės išvadą dėl asmens duomenų saugos pažeidimo, kurioje nurodyta, kad duomenų saugos pažeidimas kelia pavojų fizinių asmenų teisėms ir laisvėms, apie tai praneša priežiūros institucijai Reglamento 33 straipsnio 1 dalyje nustatytais terminais.
39. Duomenų valdytojo vadovas, gavęs valdymo grupės išvadą dėl asmens duomenų saugos pažeidimo, kurioje nurodyta, kad gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, nedelsdamas praneša apie asmens duomenų saugos pažeidimą asmens duomenų subjektui.
40. Duomenų valdytojo vadovas, gavęs valdymo grupės išvadą dėl asmens duomenų saugos pažeidimo, kurioje nurodyta, kad dėl asmens duomenų saugos pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, neprivalo pranešti duomenų subjektui apie asmens duomenų pažeidimą, jeigu yra sąlygos, nurodytos Reglamento 34 straipsnio 3 dalyje.