VALSTYBINĖs DUOMENŲ APSAUGOS INSPEKCIJos
DIREKTORIUS
ĮSAKYMAS
DĖL Valstybinės duomenų apsaugos inspekcijos VYKDOMOS STEBĖSENOS ATLIKIMO TAISYKLIŲ PATVIRTINIMO
2023 m. lapkričio 8 d. Nr. 1T-91 (1.12.E)
Vilnius
Vadovaudamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 57 straipsnio 1 dalies a ir i punktais bei siekdama, kad Valstybinės duomenų apsaugos inspekcijos atliekamos priežiūros funkcijos būtų atliekamos efektyviai, koordinuotai, mažiausiomis sąnaudomis, kuo mažiau trikdant ūkio subjektų veiklą ir veiksmingai užtikrinant duomenų subjektų teises ir teisėtus interesus,
tvirtinu Valstybinės duomenų apsaugos inspekcijos vykdomos stebėsenos atlikimo taisykles (pridedama).
PATVIRTINTA
Valstybinės duomenų apsaugos inspekcijos
direktoriaus 2023 m. lapkričio 8 d.
įsakymu Nr. 1T-91 (1.12.E)
Valstybinės duomenų apsaugos inspekcijos VYKDOMOS STEBĖSENOS ATLIKIMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Valstybinės duomenų apsaugos inspekcijos vykdomos stebėsenos atlikimo taisyklės (toliau – Taisyklės) nustato Valstybinės duomenų apsaugos inspekcijos (toliau – Inspekcija) stebėsenos, atliekamos prižiūrint 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ), išskyrus šio įstatymo 7 straipsnio 2 dalį (kai tai yra žurnalistų etikos inspektoriaus kompetencija), Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymo (toliau – Teisėsaugos ADTAĮ) ir (ar) kitų asmens duomenų apsaugą reglamentuojančių teisės aktų, už kurių priežiūrą atsakinga yra Inspekcija, nuostatų taikymą (toliau – stebėsena), pagrindus, organizavimo ir atlikimo tvarką.
2. Taisyklėse vartojamos sąvokos apibrėžtos Reglamente (ES) 2016/679, ADTAĮ, Teisėsaugos ADTAĮ, ir kituose teisės aktuose.
3. Stebėsenos tikslas – pranešti duomenų valdytojui ir (arba) duomenų tvarkytojui apie įtariamą Reglamento (ES) 2016/679 ir (ar) kitų asmens duomenų apsaugą reglamentuojančių teisės aktų, už kurių priežiūrą atsakinga yra Inspekcija, pažeidimą, pateikti rekomendacijas, pasiūlymus ir (ar) nurodymus dėl teisės aktų reikalavimų tinkamo įgyvendinimo.
II SKYRIUS
STEBĖSENOS ORGANIZAVIMO TVARKA
5. Neplaninė stebėsena gali būti pradėta:
5.1. gavus informacijos apie galimus asmens duomenų tvarkymo pažeidimus skundo nagrinėjimo metu ar gavus pranešimą / prašymą;
5.2. teikiant savitarpio pagalbą pagal Reglamentą (ES) 2016/679 ar Teisėsaugos ADTAĮ, gavus kitos ES valstybės narės prašymą atlikti stebėseną;
5.3. atliekant koordinuotus veiksmus su kitomis Europos Sąjungos valstybių narių asmens duomenų apsaugos priežiūros institucijomis;
5.4. remiantis visuomenės, valdžios institucijų ir įstaigų, kitų valstybių asmens duomenų apsaugos priežiūros institucijų, tarptautinių organizacijų, nacionalinių ir tarptautinių nevyriausybinių organizacijų ar kitų šaltinių, taip pat visuomenės informavimo priemonėse pateikta informacija apie galimus asmens duomenų tvarkymo pažeidimus.
6. Planinės stebėsenos vykdomos pagal Inspekcijos direktoriaus patvirtintą planą (toliau – Planas). Plano rengimo ir tvirtinimo tvarka, jo rengimo principai, atrankos kriterijai bei Plano turinys reglamentuoti Valstybinės duomenų apsaugos inspekcijos vykdomų tyrimų ir (ar) patikrinimų atlikimo taisyklių, patvirtintų Valstybinės duomenų apsaugos inspekcijos direktoriaus 2019 m. liepos 17 d. įsakymu Nr. 1T-92 (1.12.E) „Dėl Valstybinės duomenų apsaugos inspekcijos vykdomų tyrimų ir (ar) patikrinimų atlikimo taisyklių patvirtinimo“ (toliau – Patikrinimų atlikimo taisyklės), III skyriuje.
7. Stebėsenos atlikimui taikomi ADTAĮ įtvirtinti Inspekcijos tyrimų ir (ar) patikrinimų atlikimui taikomi terminai.
III SYRIUS
STEBĖSENOS ATLIKIMO PROCEDŪRA
9. Stebėsenos veiksmus pagal kompetenciją atlieka Inspekcijos Priežiūros skyriaus ir (arba) Informacinių technologijų skyriaus valstybės tarnautojai (toliau kartu – Inspekcijos valstybės tarnautojai).
10. Jei stebėsena pavesta tik Priežiūros skyriui, esant poreikiui, bet kuriame stebėsenos atlikimo etape Priežiūros skyrius turi teisę per Inspekcijos dokumentų valdymo informacinę sistemą (toliau – DVS) kreiptis į Informacinių technologijų skyrių su prašymu pateikti stebėsenai atlikti reikalingą informaciją ir (ar) Informacinių technologijų skyriaus išvadą (toliau – IT išvada).
11. Inspekcijos valstybės tarnautojai, gavę užduotį atlikti stebėseną, atsižvelgdami į asmens duomenų tvarkymo ypatumus, stebėsenos objektą ir (ar) kitas aplinkybes, turi teisę pasirinkti, kokiu (-iais) būdu (-ais) bus atliekami stebėsenos veiksmai:
11.1. raštu kreipiantis į asmenį, kurio atžvilgiu atliekama stebėsena, dėl informacijos ir (ar) dokumentų ir (ar) kitų įrodymų, reikalingų stebėsenai atlikti, gavimo;
11.2. nesikreipiant į asmenį, kurio atžvilgiu atliekama stebėsena, dėl informacijos ir (ar) dokumentų ir (ar) kitų įrodymų gavimo, t. y. renkant ir fiksuojant valstybės registruose ir informacinėse sistemose, viešai internete, taikomoje programoje ar kituose šaltiniuose pateiktą informaciją, kitokiu būdu renkant įrodymus ir (arba) analizuojant Inspekcijoje gautą informaciją.
12. Jeigu stebėsenos metu turi būti fiksuojami įrodymai (pavyzdžiui, daroma momentinė ekrano kopija (angl. print screen)), turi būti parengtas įrodymų fiksavimo aktas, išskyrus atvejus, kai įrodymus fiksuoja Informacinių technologijų skyrius ir yra rengiama IT išvada.
13. Jeigu yra poreikis gauti informaciją iš asmens, kurio atžvilgiu atliekami stebėsenos veiksmai, turi būti išsiunčiamas raštas, kuriame nustatomas ne trumpesnis nei 10 darbo dienų terminas pateikti informaciją, susijusią su stebėsenos dalyku. Šis terminas gali būti pratęstas tokiam pačiam terminui, jeigu asmuo, kurio atžvilgiu atliekama stebėsena, pateikia motyvuotą prašymą.
14. Jei asmuo, kurio atžvilgiu atliekama stebėsena, per nustatytą terminą nepateikia prašomos informacijos ir nesikreipia į Inspekciją su motyvuotu prašymu pratęsti terminą informacijai pateikti, Inspekcija turi teisę pradėti tyrimą ir (ar) patikrinimą savo iniciatyva, vadovaujantis Patikrinimų atlikimo taisyklių nustatyta tvarka.
15. Stebėsena užbaigiama šiais būdais:
15.1. jei į asmenį, kurio atžvilgiu atliekama stebėsena, nebuvo kreiptasi ir nebuvo nustatyti galimi asmens duomenų apsaugos pažeidimai, Priežiūros skyriaus arba Informacinių technologijų skyriaus vedėjas suformuoja užduotį su atliktos stebėsenos rezultatais DVS ir pateikia per DVS tvirtinti Inspekcijos direktoriui. Šiuo atveju asmuo, kurio atžvilgiu atlikta stebėsena, apie stebėsenos rezultatus neinformuojamas;
16. Stebėsenos metu nustačius, kad asmens duomenų tvarkymas galimai neatitinka Reglamento (ES) 2016/679, ADTAĮ, Teisėsaugos ADTAĮ ir (ar) kitų asmens duomenų apsaugą reglamentuojančių teisės aktų nuostatų, gali būti teikiamos rekomendacijos, pasiūlymai, nurodymai bei nustatomas terminas, per kurį asmeniui, kurio atžvilgiu atlikta stebėsena, siūloma ištaisyti nustatytus asmens duomenų tvarkymo ar duomenų subjektų teisių įgyvendinimo trūkumus arba jeigu padaryti / daromi esminiai Reglamento (ES) 2016/679 ir (ar) kitų teisės aktų, kurių taikymo priežiūrą atlieka Inspekcija, pažeidimai – gali būti pradedamas tyrimas ir (ar) patikrinimas Inspekcijos iniciatyva, vadovaujantis Patikrinimų atlikimo taisyklėmis.
17. Stebėsenos atlikimo metu Inspekcijos duotų rekomendacijų, pasiūlymų, nurodymų vykdymo kontrolė neatliekama, tačiau Inspekcija turi teisę bet kada atlikti pakartotinę stebėseną arba inicijuoti tyrimą ir (ar) patikrinimą, vadovaujantis Patikrinimų atlikimo taisyklėmis. Tuo atveju, jei pakartotinės stebėsenos metu bus nustatyta, kad rašte dėl stebėsenos rezultatų nurodyti trūkumai nepašalinti, gali būti taikomos Reglamente (ES) 2016/679 įtvirtintos poveikio priemonės. Apie tai asmuo, kurio atžvilgiu atliekama stebėsena, informuojamas rašte dėl stebėsenos rezultatų.
IV SKYRIUS
STEBĖSENĄ ATLIEKANČIŲ INSPEKCIJOS VALSTYBĖS TARNAUTOJŲ IR ASMENŲ, KURIŲ ATŽVILGIU ATLIEKAMA STEBĖSENA, TEISĖS IR PAREIGOS
19. Inspekcijos valstybės tarnautojai, atliekantys stebėseną, turi teisę:
19.1. neatlygintinai gauti iš asmenų, kurių atžvilgiu atliekama stebėsena, valstybės ir savivaldybių institucijų ir įstaigų, kitų juridinių ir fizinių asmenų visą reikalingą informaciją, dokumentų kopijas ir nuorašus, duomenų kopijas, taip pat susipažinti su visais duomenimis ir dokumentais ir įranga, kurių reikia stebėsenai atlikti;
19.2. renkant įrodymus naudoti technines priemones (pvz., kompiuterinę, techninę ir programinę įrangą);
20. Inspekcijos valstybės tarnautojai, atliekantys stebėseną, privalo:
20.1. susipažinti su ankstesnių tyrimų ir (ar) patikrinimų, stebėsenos, skundų nagrinėjimo rezultatais, Inspekcijos teiktomis konsultacijomis ir kita turima veiklos informacija bei į tai atsižvelgti atliekant stebėseną ar sprendžiant dėl jos pradėjimo tikslingumo;
21. Asmuo, kurio atžvilgiu atliekama stebėsena, turi teisę:
21.2. savo iniciatyva pateikti papildomus paaiškinimus ir (ar) informaciją, susijusią su stebėsenos atlikimu;
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS