LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRAS
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO 2020 M. BALANDŽIO 9 D. ĮSAKYMO NR. V-786 „DĖL ASMENS DUOMENŲ TVARKYMO TAISYKLIŲ PATVIRTINIMO“ PAKEITIMO
2023 m. gruodžio 20 d. Nr. V-1342
Vilnius
P a k e i č i u Asmens duomenų tvarkymo taisykles, patvirtintas Lietuvos Respublikos sveikatos apsaugos ministro 2020 m. balandžio 9 d. įsakymu Nr. V-786 „Dėl Asmens duomenų tvarkymo taisyklių patvirtinimo“:
1. Pakeičiu 3 punktą ir jį išdėstau taip:
„3. Taisyklių privalo laikytis visi Ministerijos valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis, praktikantai bei stažuotojai, atliekantys praktiką arba besistažuojantys Ministerijoje (toliau – darbuotojas), Ministerijos duomenų apsaugos pareigūnas, taip pat kiti asmenys, kurie, tvarkydami asmens duomenis Ministerijoje ir (arba) eidami savo pareigas, sužino asmens duomenis arba turi bet kokio pobūdžio prieigą prie asmens duomenų.“
2. Pakeičiu 4 punktą ir jį išdėstau taip:
„4. Ministerijos duomenų apsaugos pareigūnas, paskirtas sveikatos apsaugos ministro įsakymu arba su kuriuo sudaryta duomenų apsaugos pareigūno paslaugų pirkimo sutartis, yra atsakingas už Taisyklių įgyvendinimo priežiūrą ir kartu su kitais Taisyklėse nurodytais darbuotojais atlieka Taisyklėse įtvirtintas funkcijas. Asmens, atsakingo už Taisyklių įgyvendinimo priežiūrą, paskyrimas nepanaikina kiekvieno darbuotojo, kuris tvarko asmens duomenis, eidamas savo pareigas juos sužino arba turi bet kokio pobūdžio prieigą prie asmens duomenų, pareigos ir atsakomybės už Taisyklių laikymąsi ir įgyvendinimą bei asmens duomenų tvarkymo teisėtumą. Už Taisyklių nesilaikymą taikoma atsakomybė teisės aktų nustatyta tvarka.“
Asmens duomenų tvarkymo taisyklių
3 priedas
(Duomenų valdytojo duomenų tvarkymo veiklos įrašų forma)
| Duomenų valdytojas: |
|||||||||||
| Lietuvos Respublikos sveikatos apsaugos ministerija |
|||||||||||
| Vilniaus g. 33, Vilnius |
+370 5 266 1400 |
ministerija@sam.lt |
www.sam.lt |
||||||||
| Duomenų valdytojo atstovas (darbuotojas ar padalinys, atsakingas už asmens duomenų tvarkymą): |
|||||||||||
| Struktūrinio padalinio pavadinimas ir funkcijos tvarkant asmens duomenis |
|||||||||||
| Vilniaus g. 33, Vilnius |
Telefono ryšio numeris |
el. pašto adresas |
|
||||||||
| Duomenų apsaugos pareigūnas: |
|||||||||||
| Duomenų apsaugos pareigūno vardas ir pavardė |
|||||||||||
| Vilniaus g. 33, Vilnius |
Telefono ryšio numeris |
duomenu.apsauga@sam.lt |
|
||||||||
| Duomenų tvarkymo tikslas (pvz., įdarbinimas, personalo administravimas, tarnybinis tyrimas dėl tarnybinio nusižengimo, profilaktinis sveikatos tikrinimas, vaizdo konferencijų organizavimas, viešosios informacijos administravimas, patalpų ir teritorijos apsauga, įsigijimų vykdymas, asmenų aptarnavimas, paslaugų kokybės užtikrinimas, leidimų statyti automobilį išdavimas, visiškos materialinės atsakomybės sutarčių administravimas, įgaliojimų suteikimas ir t. t.) |
|||||||||||
| Duomenų tvarkymo teisinis pagrindas (nurodoma BDAR 6 straipsnio 1 dalies ir, jei taikoma, 9 straipsnio 2 dalies konkretus punktas, ir, jei taikoma, Lietuvos Respublikos teisės aktas, kuris suteikia teisę tvarkyti asmens duomenis (pvz., Darbo kodeksas, Visuomenės informavimo įstatymas, Viešojo administravimo įstatymas, sutikimas ir t. t.) |
|||||||||||
| Duomenų subjektų kategorijų aprašymas (pvz., asmenys, pretenduojantys arba paskirti (priimti) į pareigas; asmenys, su kuriais sudaroma tarnybos (darbo) sutartis; asmenys, teikiami skatinti ar apdovanoti; asmenys, kurie prašo leidimo dirbti kitą darbą; asmenys, kurių atžvilgiu atliekamas tarnybinis tyrimas, ir kiti asmenys, susiję su teisės pažeidimo tyrimu; vaizdo konferencijų dalyviai, žurnalistai ir kiti asmenys, viešąją informaciją renkantys iš SAM; asmenys, patenkantys į vaizdo stebėjimo lauką; klientai, ir t. t.) Esant kelioms duomenų subjektų grupėms, atskirai nurodomi kiekvienos duomenų subjektų grupės tvarkomi asmens duomenys (įskaitant ir specialių kategorijų asmens duomenis), jeigu tvarkomi duomenys yra skirtingi. |
|||||||||||
| Asmens duomenų kategorijų aprašymas (pvz., vardas, pavardė, gimimo data, adresas, vaizdo duomenys, priskaičiuotas darbo užmokestis, duomenys apie sveikatą, telefono pokalbio įrašas, IP adresas ir t. t.) |
|||||||||||
| Asmens duomenų gavėjų kategorijos (pvz., teisėsaugos institucijos, kurjerių tarnybos, bankai, Sodra, valstybės ir savivaldybių institucijos ir įstaigos teisės aktų nustatytoms funkcijoms vykdyti bei kiti fiziniai ir juridiniai asmenys, turintys teisę gauti duomenis, ir t. t.) |
|||||||||||
| Asmens duomenų šaltinis (pvz., tiesiogiai iš duomenų subjekto, iš Gyventojų registro, iš duomenų subjekto buvusio darbdavio, iš banko, iš vaizdo įrašymo priemonės, iš Sodros ir t. t.) |
|||||||||||
| Asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai (kai taikoma): |
|||||||||||
| Trečiosios valstybės arba tarptautinės organizacijos, kuriai perduodami asmens duomenys, pavadinimas: |
BDAR 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai: |
||||||||||
| Kita informacija, susijusi su asmens duomenų perdavimu |
|||||||||||
| Numatomi asmens duomenų saugojimo, ištrynimo terminai (kai įmanoma) (pvz., 10 metų po sutarties įvykdymo, 30 kalendorinių dienų, 3 mėn. nuo atrankos pabaigos, 6 mėn. nuo kandidato dokumentų gavimo ir t. t.) |
|||||||||||
| Asmens duomenų saugojimo vieta (pvz., rakinamoje spintoje, darbuotojo kompiuteryje, SAM serveryje, valstybės registre ar informacinėje sistemoje ir t. t.) |
|||||||||||
| Bendras duomenų saugumo priemonių (nurodytų BDAR 32 straipsnio 1 dalyje) aprašymas (kai įmanoma): |
|||||||||||
| Techninės saugumo priemonės: (pvz., programinė įranga yra nuolatos atnaujinama, aprūpinta ugniasienėmis ir antivirusinėmis programomis, daromos atsarginės duomenų kopijos, atliekamas duomenų šifravimas ir t. t.) |
Organizacinės saugumo priemonės: (pvz., informacinių sistemų ir duomenų bazių vartotojų teisių ribojimas ir kontrolė, asmenys, dirbantys su asmens duomenimis, yra saistomi teisės aktuose nustatytų konfidencialumo pareigų ir t. t.) |
||||||||||
| Kita informacija (pvz., Pranešimo duomenų subjektui apie asmens duomenų tvarkymą pateikimo vieta (arba aplinkybės, dėl kurių neįmanoma informuoti duomenų subjekto apie jo duomenų tvarkymą), kitų duomenų subjekto teisių įgyvendinimo ypatumai, nuorodos į kitus su duomenų apsauga susijusius dokumentus (į poveikio duomenų apsaugai vertinimą, vidaus tvarkos taisykles, informaciją apie asmens duomenų tvarkymą ir t. t.) |
|||||||||||
| Duomenų įvedimo, keitimo data (-os), registravimo numeris, įvedusio asmens vardas, pavardė, parašas |
|||||||||||
| data |
registravimo numeris |
Vardas |
pavardė |
parašas |
|||||||
|
|||||||||||
(Duomenų tvarkytojo duomenų tvarkymo veiklos įrašų forma)
| Duomenų tvarkytojas: |
||||||
| Lietuvos Respublikos sveikatos apsaugos ministerija |
||||||
| Vilniaus g. 33, Vilnius |
+370 5 266 1400 |
ministerija@sam.lt |
www.sam.lt |
|||
| Kiekvienas duomenų valdytojas (jei taikoma – ir jo atstovas), kurio vardu veikia duomenų tvarkytojas: |
||||||
| Duomenų valdytojo pavadinimas (jei fizinis asmuo – jo vardas ir pavardė) |
||||||
| Pašto adresas |
Telefono ryšio numeris |
Elektroninio pašto adresas |
Kitos ryšių priemonės (pvz., interneto svetainės adresas, el. siuntos pristatymo dėžutės adresas) |
|||
| Duomenų apsaugos pareigūnas (jei taikoma): |
||||||
| Duomenų apsaugos pareigūno vardas ir pavardė |
||||||
| Vilniaus g. 33, Vilnius |
Telefono ryšio numeris |
duomenu.apsauga@sam.lt |
|
|||
| Kiekvieno duomenų valdytojo vardu atliekamo duomenų tvarkymo kategorijos, t. y. atliekami asmens duomenų tvarkymo veiksmai (pvz., vaizdo stebėjimas, asmens duomenų saugojimas, naikinimas ir t. t.) |
||||||
| Asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai (kai taikoma): |
||||||
| Trečiosios valstybės arba tarptautinės organizacijos, kuriai perduodami asmens duomenys, pavadinimas: |
BDAR 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai: |
|||||
| Kita informacija, susijusi su asmens duomenų perdavimu |
||||||
| Bendras duomenų saugumo priemonių (nurodytų BDAR 32 straipsnio 1 dalyje) aprašymas (kai įmanoma): |
||||||
| Techninės saugumo priemonės: (pvz., programinė įranga yra nuolatos atnaujinama, aprūpinta ugniasienėmis ir antivirusinėmis programomis, daromos atsarginės duomenų kopijos, atliekamas duomenų šifravimas ir t. t.) |
Organizacinės saugumo priemonės: (pvz., informacinių sistemų ir duomenų bazių vartotojų teisių ribojimas ir kontrolė, asmenys, dirbantys su asmens duomenimis, yra saistomi teisės aktuose nustatytų konfidencialumo pareigų ir t. t.) |
|||||
| Kita informacija (pvz., darbuotojai (skyriai), atsakingi už duomenų tvarkymą, nuorodos į kitus su duomenų apsauga susijusius dokumentus ir t. t.) |
||||||
| Duomenų įvedimo, keitimo data (-os) |
||||||
|
||||||
______________
Asmens duomenų tvarkymo taisyklių
5 priedas
(Poveikio duomenų apsaugai vertinimo ataskaitos pavyzdinė forma)
POVEIKIO DUOMENŲ APSAUGAI VERTINIMO ATASKAITA
| Duomenų valdytojas: |
||||||||||||
| Lietuvos Respublikos sveikatos apsaugos ministerija |
||||||||||||
| Vilniaus g. 33, Vilnius |
+370 5 266 1400 |
ministerija@sam.lt |
www.sam.lt |
|||||||||
| Duomenų valdytojo atstovas (darbuotojas ar padalinys, atsakingas už asmens duomenų tvarkymą): |
||||||||||||
| Struktūrinio padalinio pavadinimas ir funkcijos tvarkant asmens duomenis |
||||||||||||
| Vilniaus g. 33, Vilnius |
Telefono ryšio numeris |
el. pašto adresas |
|
|||||||||
| Duomenų apsaugos pareigūnas: |
||||||||||||
| Duomenų apsaugos pareigūno vardas ir pavardė |
||||||||||||
| Vilniaus g. 33, Vilnius |
Telefono ryšio numeris |
duomenu.apsauga@sam.lt |
|
|||||||||
| Priežastys, dėl kurių būtina atlikti poveikio duomenų apsaugai vertinimą: |
||||||||||||
| Planuojamos vykdyti veiklos aprašymas, jos tikslai ir planuojamos atlikti asmens duomenų tvarkymo operacijos. Paaiškinimas, kodėl būtina atlikti poveikio duomenų apsaugai vertinimą. Jei reikia, prie formos pridedami susiję dokumentai. |
||||||||||||
|
|
||||||||||||
| Asmens duomenų tvarkymo aprašymas |
||||||||||||
| Aprašomi asmens duomenų rinkimo, naudojimo, saugojimo ir naikinimo veiksmai, nurodoma, iš kokių šaltinių bus renkami duomenys, kam bus teikiami (galima pateikti asmens duomenų tvarkymo veiksmų schemą). Aprašoma, kokie asmens duomenų tvarkymo veiksmai gali kelti pavojų fizinių asmenų teisėms ir laisvėms. |
||||||||||||
|
|
||||||||||||
| Aprašomas tvarkymo mastas: kokių kategorijų asmens duomenys bus tvarkomi; ar bus tvarkomi specialių kategorijų asmens duomenys arba duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas; kiek duomenų, kaip dažnai bus renkama ir naudojama; kaip ilgai bus saugomi asmens duomenys; nurodomas apytikslis duomenų subjektų skaičius bei geografinė duomenų tvarkymo aprėptis. |
||||||||||||
|
|
||||||||||||
| Aprašomas duomenų tvarkymo pobūdis: kokio pobūdžio santykiai sieja Jūsų įmonę su duomenų subjektais; ar duomenų subjektai turės galimybę kontroliuoti duomenų tvarkymą; ar duomenų subjektai gali numatyti, kad jų asmens duomenys bus tvarkomi šiuo būdu; ar bus tvarkomi vaikų ir kitų pažeidžiamų asmenų duomenys; įvertinama, ar toks duomenų tvarkymas yra saugus; ar duomenų tvarkymo technologijos yra naujos, ar egzistuojančios technologijos bus panaudotos kitokiu būdu; koks yra technologijų išsivystymo lygis šioje srityje; ar yra kokių nors visuomeninių ar pan. problemų ar klausimų, į kuriuos būtina atsižvelgti; nurodoma, ar yra įsipareigojimas laikytis patvirtinto elgesio kodekso ar patvirtinto sertifikavimo mechanizmo. |
||||||||||||
|
|
||||||||||||
| Aprašomi asmens duomenų tvarkymo tikslai: kokį rezultatą siekiama gauti; kokį poveikį tai turės fiziniams asmenims; kokia yra tokio duomenų tvarkymo nauda Jūsų įmonei bei kitiems asmenims. |
||||||||||||
|
|
||||||||||||
| Konsultacijos |
||||||||||||
| Aprašoma, kaip planuojama sužinoti suinteresuotų asmenų nuomonę, arba pagrindžiama, kodėl to daryti nebūtina: kokių asmenų nuomonę planuojama gauti; kokie asmenys bus pasitelkti Jūsų įmonėje, ar bus pasitelkti duomenų tvarkytojai; ar planuojama konsultuotis su duomenų saugos ekspertais ar kitų sričių ekspertais. |
||||||||||||
|
|
||||||||||||
| Būtinumo ir proporcingumo įvertinimas |
||||||||||||
| Aprašomas asmens duomenų tvarkymo teisėtumas ir tvarkymo proporcingumas: nurodomas teisėto tvarkymo pagrindas; įvertinama, ar tvarkant asmens duomenis bus pasiektas Jūsų tikslas; ar tą patį rezultatą įmanoma pasiekti kitokiu būdu; kokiu būdu bus išvengta veiklos sutrikimų; kaip bus užtikrinta duomenų kokybė ir įgyvendintas duomenų kiekio mažinimo principas; kokia informacija bus pateikta duomenų subjektams; kaip Jūsų įmonė planuoja įgyvendinti duomenų subjektų teises; kokiu būdu bus užtikrinta, kad duomenų tvarkytojas laikytųsi reikalavimų; kokiu būdu bus užtikrintas į užsienio valstybes teikiamų asmens duomenų saugumas. |
||||||||||||
|
|
||||||||||||
| Pavojų nustatymas ir įvertinimas |
||||||||||||
| Aprašomas pavojaus ir poveikio fiziniam asmeniui pobūdis. Jei būtina, aprašoma susijusi verslo rizika. |
Žalos tikimybė |
Žalos sunkumas |
Bendras pavojaus lygis |
|||||||||
|
|
Mažai tikėtina, tikėtina ar labai tikėtina |
Minimali, reikšminga ar sunki |
Žemas, vidutinis ar aukštas |
|||||||||
|
|
|
|
|
|||||||||
| Priemonių sumažinti pavojų nustatymas |
||||||||||||
| Nurodomos papildomos priemonės, kurių galima imtis siekiant sumažinti ar panaikinti aukšto ar vidutinio lygio pavojus. |
||||||||||||
| Pavojus |
Priemonės sumažinti ar pašalinti pavojų |
Priemonės pritaikymo rezultatas |
Likęs pavojus |
Priemonė patvirtinta |
||||||||
|
|
|
Pašalinta, sumažinta, priimtina rizika |
Žemas, vidutinis ar aukštas |
Taip, ne |
||||||||
|
|
|
|
|
|
||||||||
| Išvados ir sprendimai |
||||||||||||
| Nurodomos priemonės ir įvardijamas likęs pavojus |
Vardas, pavardė, data, parašas |
Pastabos |
||||||||||
| Priemonės patvirtintos: |
|
Įtraukti numatytas priemones į veiklos planą, nustatant atlikimo terminą ir atsakingus asmenis. |
||||||||||
| Likęs pavojus pripažintas priimtina rizika:
|
|
Jei priimtina rizika pripažintas aukšto lygio pavojus priimtinas, privaloma kreiptis dėl išankstinės konsultacijos į Valstybinę duomenų apsaugos inspekciją. |
||||||||||
| Duomenų apsaugos pareigūno nuomonė |
||||||||||||
| Duomenų apsaugos pareigūno nuomonė turi būti pateikta dėl asmens duomenų tvarkymo teisėtumo, planuojamų priemonių pavojams mažinti ar pašalinti bei dėl galimybės toliau tvarkyti asmens duomenis. |
||||||||||||
| Nurodoma duomenų apsaugos pareigūno nuomonė:
|
||||||||||||
|
|
Vardas, pavardė, data, parašas |
|||||||||||
| Nurodoma, ar atsižvelgta į duomenų apsaugos pareigūno nuomonę |
||||||||||||
| Jeigu atmesta, pagrindžiama, kodėl. |
||||||||||||
|
|
||||||||||||
|
|
Vardas, pavardė, data, parašas |
|||||||||||
| Gautos kitų asmenų nuomonės |
||||||||||||
| Trumpai aprašomos kitų asmenų nuomonės ir nurodoma, ar į jas atsižvelgta. Jeigu sprendimas skiriasi nuo susijusių asmenų nuomonės, pagrindžiama, kodėl. |
||||||||||||
|
|
||||||||||||
|
|
Vardas, pavardė, data, parašas |
|||||||||||
| Už šio poveikio duomenų apsaugai vertinimo priežiūrą paskirtas atsakingas asmuo |
||||||||||||
| Trumpai aprašomos kitų asmenų nuomonės ir nurodoma, ar į jas atsižvelgta. Jeigu sprendimas skiriasi nuo susijusių asmenų nuomonės, pagrindžiama, kodėl. |
||||||||||||
|
|
||||||||||||
|
|
Vardas, pavardė, data, parašas |
|||||||||||
|
||||||||||||
______________