VALSTYBINĖs DUOMENŲ APSAUGOS INSPEKCIJos
DIREKTORIUS
ĮSAKYMAS
DĖL VALSTYBINĖS DUOMENŲ APSAUGOS INSPEKCIJOS DIREKTORIAUS 2018 M. RUGPJŪČIO 29 D. ĮSAKYMO NR. 1T-84(1.12.E) „DĖL IŠANKSTINIŲ KONSULTACIJŲ TEIKIMO TAISYKLIŲ PATVIRTINIMO“ PAKEITIMO
2020 m. rugsėjo 3 d. Nr. 1T-88 (1.12.E)
Vilnius
Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 36 straipsniu,
pakeičiu Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymą Nr. 1T-84(1.12.E) „Dėl Išankstinių konsultacijų teikimo taisyklių patvirtinimo“ ir jį išdėstau nauja redakcija:
„VALSTYBINĖs DUOMENŲ APSAUGOS INSPEKCIJos
DIREKTORIUS
ĮSAKYMAS
DĖL IŠANKSTINIŲ KONSULTACIJŲ TEIKIMO TAISYKLIŲ PATVIRTINIMO
Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 36 straipsniu,
PATVIRTINTA
Valstybinės duomenų apsaugos inspekcijos
direktoriaus 2018 m. rugpjūčio 29 d.
įsakymu Nr. 1T-84(1.12.E)
(Valstybinės duomenų apsaugos inspekcijos
direktoriaus 2020 m. rugsėjo 3 d.
įsakymo Nr. 1T-88 (1.12.E) redakcija)
IŠANKSTINių KONSULTACIJų teikimo TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Išankstinių konsultacijų teikimo taisyklės (toliau – Taisyklės) nustato duomenų valdytojų išankstinio konsultavimosi pagal 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) 36 straipsnio 1 dalį su Valstybine duomenų apsaugos inspekcija (toliau – Išankstinės konsultacijos) tvarką.
2. Duomenų valdytojas, prieš pradėdamas tvarkyti asmens duomenis, kreipiasi Išankstinės konsultacijos:
2.1. kai pagal Reglamento (ES) 2016/679) 35 straipsnį atliktame poveikio duomenų apsaugos vertinime nurodyta, kad tvarkant asmens duomenis kiltų didelis pavojus fizinių asmenų teisėms ir laisvėms duomenų valdytojui nesiėmus priemonių pavojui sumažinti;
II SKYRIUS
DOKUMENTŲ DĖL IŠANKSTINĖS KONSULTACIJOS PATEIKIMO TVARKA
4. Kreipdamasis dėl Išankstinės konsultacijos, duomenų valdytojas turi užpildyti prašymo suteikti / nutraukti išankstinę konsultaciją formą (toliau – Prašymas).
5. Prašymą pasirašo duomenų valdytojas (fizinis asmuo), duomenų valdytojo (juridinio asmens) vadovas ar jo įgaliotas asmuo. Prie Prašymo pridedami atstovavimą patvirtinantys dokumentai ar jų patvirtintos kopijos, kai Prašymą teikia duomenų valdytojo atstovas.
7. Prašymą duomenų valdytojas ar jo įgaliotas atstovas gali pateikti raštu (pateikti užpildytą Valstybinėje duomenų apsaugos inspekcijoje, atsiųsti paštu, pristatyti į elektroninės siuntos pristatymo dėžutę) ar elektroninių ryšių priemonėmis. Elektroninių ryšių priemonėmis teikiamas Prašymas turi būti pasirašytas duomenų valdytojo ar jo įgalioto asmens kvalifikuotu elektroniniu parašu arba šio asmens tapatybė turi būti patvirtinta naudojantis Valstybinės duomenų apsaugos inspekcijos elektroninėmis paslaugomis.
III SKYRIUS
IŠANKSTINIŲ KONSULTACIJų teikimo TVARKA
8. Valstybinė duomenų apsaugos inspekcija per 5 darbo dienas nuo Prašymo gavimo dienos atsisako priimti Prašymą, kai:
8.2. Prašymas neišsamus ar netinkamai užpildytas arba pateikti ne visi dokumentai ar informacija, nurodyta Prašymo formoje;
8.3. Prašymas pateiktas to paties duomenų valdytojo vardu, dėl to paties asmens duomenų tvarkymo, dėl kurio Valstybinė duomenų apsaugos inspekcijoje jau pradėta Išankstinė konsultacija;
8.4. duomenų valdytojui jau suteikta Išankstinė konsultacija arba nutraukta Išankstinės konsultacijos teikimo procedūra dėl to paties asmens duomenų tvarkymo, išskyrus atvejus, kai nurodoma naujų aplinkybių ar pateikiama naujų faktų;
9. Valstybinė duomenų apsaugos inspekcija, priėmusi Prašymą, vertina duomenų valdytojo nurodytą asmens duomenų tvarkymą, nustatytas technines ir organizacines saugumo priemones ir apsaugos priemones duomenų subjektų teisėms ir laisvėms apsaugoti pagal Reglamentą (ES) 2016/679.
10. Jeigu duomenų valdytojo pateiktuose dokumentuose esančios informacijos nepakanka tinkamai įvertinti Taisyklių 9 punkte nurodytas aplinkybes, taip pat jei pateikta informacija yra netiksli ar prieštaringa, Valstybinė duomenų apsaugos inspekcija raštu kreipiasi į duomenų valdytoją nurodydama jam ne trumpesnį kaip 20 darbo dienų terminą pateikti papildomą ir (arba) patikslintą informaciją. Tokiu atveju šių Taisyklių 13 ir 14 punktuose nustatyti terminai sustabdomi iki Valstybinė duomenų apsaugos inspekcija gaus informaciją, kurios ji buvo paprašiusi Išankstinės konsultacijos tikslu.
11. Valstybinė duomenų apsaugos inspekcija, teikdama Išankstinę konsultaciją, turi teisę, vadovaudamasi Reglamento (ES) 2016/679 58 straipsnio 1 dalies b punktu, atlikti tyrimą tikrinamo asmens patalpose (tarp jų ir nuomojamose ar naudojamose kitu pagrindu) arba teritorijoje, kur yra dokumentai, įranga, susiję su asmens duomenų tvarkymu, dėl kurio pateiktas Prašymas, jeigu būtina įsitikinti dokumentuose pateikta informacija ir (arba) jos nepakanka Išankstinei konsultacijai pateikti.
12. Valstybinė duomenų apsaugos inspekcija nutraukia Išankstinę konsultaciją, kai:
12.2. duomenų valdytojas Valstybinės duomenų apsaugos inspekcijos nustatytu terminu pagal jos rašytinį prašymą (Taisyklių 10 punktas) nepateikė papildomos ir (arba) patikslintos informacijos, reikalingos Išankstinei konsultacijai suteikti;
12.3. duomenų valdytojas nesudaro galimybės Valstybinei duomenų apsaugos inspekcijai atlikti tyrimą vietoje, kai tai reikalinga Išankstinei konsultacijai suteikti;
13. Valstybinė duomenų apsaugos inspekcija nuomonę duomenų valdytojui ir, kai taikoma, duomenų tvarkytojui, dėl numatomo asmens duomenų tvarkymo raštu pateikia ne vėliau kaip per 8 savaites nuo išsamaus ir tinkamai užpildyto Prašymo gavimo.
14. Valstybinė duomenų apsaugos inspekcija šių Taisyklių 13 punkte nustatytą dokumentų nagrinėjimo terminą gali pratęsti 6 savaitėms, atsižvelgiant į numatyto duomenų tvarkymo sudėtingumą, apie tai raštu per 1 mėnesį nuo išsamaus ir tinkamai užpildyto Prašymo gavimo informuodama duomenų valdytoją ir kai taikoma, duomenų tvarkytoją, kartu nurodydama vėlavimo priežastis.
15. Valstybinė duomenų apsaugos inspekcija, išnagrinėjusi duomenų valdytojo pateiktą Prašymą ir prie jo pridėtuose dokumentuose pateiktą informaciją, priima sprendimą:
15.1. pateikti nuomonę, kad duomenų valdytojo duomenų tvarkymas nepažeis Reglamento (ES) 2016/679 ir įgyvendinamos tinkamos techninės ir organizacinės saugumo priemonės ir apsaugos priemonės duomenų subjektų teisėms ir laisvėms apsaugoti;
IV SKYRIUS
BAIGIAMOSIOS NUOSTATOS
Forma patvirtinta
Valstybinės duomenų apsaugos inspekcijos
direktoriaus 2018 m. rugpjūčio 29 d.
įsakymu Nr. 1T-84(1.12.E)
(Valstybinės duomenų apsaugos inspekcijos
direktoriaus 2020 m. rugsėjo 3 d.
įsakymo Nr. 1T-88 (1.12.E) redakcija)
(Prašymo suteikti / nutraukti išankstinę konsultaciją forma)
(duomenų valdytojo (juridinio asmens) pavadinimas[1], duomenų valdytojo atstovo pavadinimas, duomenų valdytojo (fizinio asmens) vardas, pavardė)
(juridinio asmens kodas ir buveinės adresas arba fizinio asmens kodas, gimimo data (jeigu asmuo neturi asmens kodo) ir asmens duomenų tvarkymo vieta
(telefono ryšio ir (ar) elektroninio pašto adresas, ir (ar) elektroninės siuntos pristatymo dėžutės adresas)
Valstybinei duomenų apsaugos inspekcijai
PRAŠYMAS
SUTEIKTI / NUTRAUKTI IŠANKSTINĘ KONSULTACIJĄ[2]
Nr.
(data) (numeris)
Informacija apie asmens duomenų tvarkymą išankstinės konsultacijos teikimo tikslu |
Išankstinės konsultacijos teikimo tikslu VDAI tvarko privalomus pateikti bei kitus (neprivalomus) duomenų valdytojo (fizinio asmens), duomenų valdytojo (juridinio asmens) vadovo ar jo įgalioto atstovo, duomenų apsaugos pareigūno, duomenų tvarkytojo nurodytus duomenis šiame prašyme. Daugiau informacijos galite rasti šiuo adresu: https://vdai.lrv.lt/lt/asmens-duomenu-apsauga. |
Prašymo dėl išankstinės konsultacijos tikslas |
|
☐ Suteikti išankstinę konsultaciją
|
|
☐ Nutraukti išankstinę konsultaciją
|
Prašymo nutraukti išankstinę konsultaciją priežastys:
|
Prašymo suteikti išankstinę konsultaciją, kurio nagrinėjimo procedūrą prašoma nutraukti, data ir registracijos numeris:
|
Ar taikoma pareiga kreiptis dėl išankstinės konsultacijos į VDAI dėl numatomo asmens duomenų tvarkymo? |
||
Ar privaloma atlikti PDAV? |
☐ |
Taip |
☐ |
Ne → pildyti šio prašymo nereikia |
|
☐ |
Nežinau → Žiūrėti[3] |
|
JEI TAIP, ar atlikus PDAV nustatyta, kad tvarkant asmens duomenis kyla didelis pavojus fizinių asmenų teisėms ir laisvėms? |
☐ |
Taip |
☐ |
Ne → pildyti šio prašymo nereikia |
|
JEI TAIP, ar ėmėtės tinkamų priemonių, kad sumažintumėte pavojų fizinių asmenų teisėms ir laisvėms dėl duomenų tvarkymo? |
☐ |
Taip |
☐ |
Ne |
|
JEI TAIP, ar šios priemonės gali sumažinti padidėjusį pavojų fizinių asmenų teisėms ir laisvėms? |
☐ |
Taip → pildyti šio prašymo nereikia |
☐ |
Ne → pereikite prie kito klausimo |
|
JEI NE, ar tas asmens duomenų tvarkymas yra tarpvalstybinis[4]? |
☐ |
Taip → atsakykite į skiltyje „Preliminarus vadovaujančios institucijos identifikavimas, esant tarpvalstybiniam duomenų tvarkymui“ pateiktus klausimus, kad nustatytumėte vadovaujančią priežiūros instituciją |
☐ |
Ne → užpildykite toliau pateiktus klausimus nuo 1 iki 34 |
|
PASTABA. Jeigu priežiūros institucija laikosi nuomonės, kad BDAR 35 straipsnio 1 dalyje nurodytas numatytas duomenų tvarkymas pažeistų BDAR, visų pirma tais atvejais, kai duomenų valdytojas nepakankamai nustatė arba nepakankamai sumažino pavojų, priežiūros institucija ne vėliau kaip per 8 savaites nuo prašymo dėl konsultacijos gavimo, raštu pateikia duomenų valdytojui ir, kai taikoma, duomenų tvarkytojui, rekomendacijas ir gali pasinaudoti bet kuriais BDAR 58 straipsnyje nurodytais įgaliojimais. Tas laikotarpis gali būti pratęstas 6 savaitėms, atsižvelgiant į numatyto duomenų tvarkymo sudėtingumą. Priežiūros institucija informuoja duomenų valdytoją ir, kai taikoma, duomenų tvarkytoją, apie bet kokį tokį pratesimą per 1 mėnesį nuo prašymo dėl konsultacijos gavimo, kartu su vėlavimo priežastimis. Tie laikotarpiai gali būti sustabdyti iki priežiūros institucija gaus informaciją, kurios ji buvo paprašiusi išankstinės konsultacijos tikslais. |
Preliminarus vadovaujančios institucijos identifikavimas, esant tarpvalstybiniam duomenų tvarkymui |
|
Kur yra įmonės ar įmonių grupės pagrindinė buveinė? Ar buveinė yra nustatyta ir (ar) ji užregistruota ES? Ar paskyrėte įgaliotą asmenį[5], kuris atstovauja Jums įgyvendinant BDAR nustatytus reikalavimus? Prašome nurodyti valstybę, kurioje yra įgaliotas asmuo. |
|
Nurodykite ES valstybę narę, kurioje yra pagrindinė duomenų apsaugos pareigūno darbo vieta? |
|
Jei asmens duomenys tvarkomi daugiau nei vienoje ES valstybėje narėje, prašome nurodyti valstybę narę, kurioje yra įmonė, kuri yra atsakinga už duomenų apsaugos srityje priimtų sprendimų vykdymą. |
|
Jei asmens duomenų tvarkymas vykdomas tik vienoje ES valstybėje, tačiau jis kelia didelį pavojų ar gali sukelti didelį pavojų duomenų subjektams daugiau nei vienoje valstybėje narėje, prašome nurodyti tas valstybes nares, kuriose duomenų tvarkymo veikla kelia didelį pavojų duomenų subjektams. |
|
Ar duomenų valdytojas (-ai) dalyvauja tarpvalstybiniame asmens duomenų tvarkyme ar tik jo duomenų tvarkytojai? |
|
Ar jau esate konsultavęsis su kita priežiūros institucija dėl to paties asmens duomenų tvarkymo, keliantį didelį pavojų? Jei taip, prašome nurodyti priežiūros instituciją, kuri jums teikė išankstinę konsultaciją. |
|
Jeigu manote, kad Jums išankstinę konsultaciją turi suteikti VDAI, prašome pateikti toliau šiame prašyme prašomą pateikti informaciją.
Dėmesio. Informacija turi būti susijusi tik su duomenų tvarkymu, kuris kelia didelį pavojų fizinių asmenų teisėms ir laisvėms. |
I. BENDROJI INFORMACIJA |
Duomenų valdytojo tipas |
☐ Vienas duomenų valdytojas |
☐ Bendri duomenų valdytojai |
Kontaktinio asmens duomenys |
|
Pareigos |
|
Vardas ir pavardė |
|
Telefono ryšio numeris ir (ar) elektroninio pašto adresas |
|
Adresas korespondencijai |
|
Duomenų apsaugos pareigūno duomenys |
|
Ar paskirtas duomenų apsaugos pareigūnas? ☐ Taip ☐ Ne |
|
Ar duomenų apsaugos pareigūnas ir kontaktinis asmuo yra tas pats asmuo? |
☐ Taip → toliau šioje prašymo dalyje pateikite informaciją tik dėl nuomonės pateikimo |
☐ Ne |
|
Vardas ir pavardė |
|
Telefono ryšio ir (ar) elektroninio pašto adresas |
|
Ar duomenų apsaugos pareigūnas atlieka kitas funkcijas? |
☐ Taip → nurodykite kokias kitas (ne duomenų apsaugos pareigūno) funkcijas atlieka:
|
☐ Ne |
|
Ar duomenų apsaugos pareigūnas pateikė nuomonę dėl duomenų tvarkymo? |
☐ Taip → prašome pateikti |
☐ Ne → prašome pirmiausia pasikonsultuoti su duomenų apsaugos pareigūnu prieš kreipiantis į VDAI |
Informacija apie asmenis, atlikusius PDAV |
|
Pareigos ir atsakomybės (pavyzdžiui, asmuo atsakingas už saugumo užtikrinimą) |
|
Vieta organizacijos struktūroje |
|
Vardas ir pavardė |
|
Telefono ryšio numeris ir (ar) elektroninio pašto adresas |
|
Ar asmens duomenų tvarkymą atliksite patys? |
|
☐ Taip→ užpildykite skiltis apie pasitelktą duomenų tvarkytoją ☐ Ne |
|
Duomenų tvarkytojo (juridinio asmens) pavadinimas, duomenų tvarkytojo (fizinio asmens) vardas, pavardė |
|
Duomenų tvarkytojo (juridinio asmens) juridinio asmens kodas arba duomenų tvarkytojo (fizinio asmens) fizinio asmens kodas, gimimo data (jeigu asmuo neturi asmens kodo) |
|
Duomenų tvarkytojo (juridinio asmens) buveinės adresas arba duomenų tvarkytojo (fizinio asmens) Lietuvos Respublikos gyventojų registre nurodytos gyvenamosios vietos adresas |
|
Duomenų tvarkytojo telefono ryšio ir (ar) elektroninio pašto adresas |
|
Ar duomenų tvarkytojas pateikė savo nuomonę dėl numatomo asmens duomenų tvarkymo? |
☐ Taip → pridėkite ją ☐ Ne
|
Ar duomenų tvarkymas dėl kurio kreipėtės į VDAI yra reglamentuojamas teisės aktu? |
||
☐ Ne |
||
☐ Taip |
Ar rengiant teisės akto projektą buvo atliktas PDAV? |
☐ Taip → nurodykite teisės akto pavadinimą ir pridėkite PDAV, atliktą rengiant teisės aktą, arba pateikite nuorodą į jį, jei jis skelbiamas viešai |
☐ Ne |
Ar atliekant šį duomenų tvarkymą bus laikomasi elgesio kodekso, ar jis bus atliekamas pagal sertifikatą? |
☐ Ne |
☐ Taip → prašome pateikti elgesio kodeksą ar nuorodą į jį, jei jis viešai prieinamas valstybine kalba, bei nurodyti sertifikatą |
II. DUOMENŲ TVARKYMO APRAŠYMAS |
Ar šis duomenų tvarkymas dėl kurio teikiate šį prašymą yra naujas? |
☐ Ne → nurodykite, kas yra keičiama duomenų tvarkyme:
|
|
|
|
|
☐ Taip |
Jei išankstinės konsultacijos kreipiamasi dėl naujo duomenų tvarkymo, detaliai aprašykite duomenų tvarkymo operacijas ir pateikite duomenų tvarkymo veiklos įrašą pagal BDAR 30 straipsnį. Tuo atveju, jeigu šis tvarkymas susijęs kompleksiškai su kitu duomenų tvarkymu, prašome pateikti duomenų judėjimo schemą ir / ar tinklo topologiją. |
|
|
|
|
|
|
|
|
|
|
|
|
Jei esamame duomenų tvarkyme yra pasikeitimų dėl kurių kreipiamasi su šiuo prašymu ir kuris kelia didelį pavojų fizinių asmenų teisėms ir laisvėms, prašome detaliai aprašyti duomenų tvarkymo operacijas (pavyzdžiui, pateikti duomenų tvarkymo veiklos įrašą pagal BDAR 30 straipsnį) ir nurodykite, kokius pakeitimus planuojate atlikti. Galite pateikti duomenų judėjimo schemą ir / ar tinklo topologiją. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Kokiu būdu ir kaip bus atliekamas duomenų tvarkymas, pavyzdžiui, automatiniu ar neautomatiniu būdu, popierine ar elektronine forma. Ar bus naudojama prieglobos paslauga ir jei taip, kokio tipo ir kokia apimtimi? Ar bus naudojamas dirbtinis intelektas ar kitos naujos technologijos? |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
III. DUOMENŲ TVARKYMO TIKSLAI |
Konkrečiai, išsamiai, aiškiai ir tiksliai apibūdinkite duomenų tvarkymo tikslą (venkite abstrakčių duomenų tvarkymo formuluočių, kaip pavyzdžiui, IT saugumas, paslaugos kokybės gerinimas, analizė). |
|
|
|
|
|
|
|
|
|
|
|
IV. KOKIA YRA NUMATOMO ASMENS DUOMENŲ TVARKYMO SĄLYGA (-OS) PAGAL BDAR 6 STRAIPSNIO 1 DALĮ?[6] |
||
☐ |
BDAR 6 straipsnio 1 dalies a punktas
|
Nurodykite kaip gausite duomenų subjekto sutikimą ir kokią informaciją apie duomenų tvarkymą jam pateiksite. |
☐ |
BDAR 6 straipsnio 1 dalies b punktas |
Prašome detaliai paaiškinti, kodėl numatomas duomenų tvarkymas yra būtinas sutarties vykdymui ar iki sutartinių veiksmų atlikimui. |
☐ |
BDAR 6 straipsnio 1 dalies c punktas |
Nurodykite teisės aktą ar nuorodą į teisės akto konkrečią nuostatą (straipsnį, straipsnio dalį, punktą ir kt.) numatančią teisinę prievolę, kurios vykdymui būtina tvarkyti duomenis. |
☐ |
BDAR 6 straipsnio 1 dalies d punktas |
Nurodykite gyvybinius duomenų subjekto ar kito fizinio asmens interesus, kuriuos siekiant apsaugoti būtina tvarkyti asmens duomenis. |
☐ |
BDAR 6 straipsnio 1 dalies e punktas |
Nurodykite teisės aktą ar nuorodą į teisės akto konkrečią nuostatą (straipsnį, straipsnio dalį, punktą ir kt.) numatančią užduotį, kuri vykdoma viešojo intereso labui arba pavestas viešosios valdžios funkcijas. |
☐ |
BDAR 6 straipsnio 1 dalies f punktas |
Aprašykite teisėtus interesus, kurių siekiate šiuo duomenų tvarkymu ir pagrįskite, kuo šie interesai yra viršesni už duomenų subjekto teises. |
Ar duomenų tvarkymas apima ir tokių duomenų tvarkymą, kurie buvo surinkti kitais tikslais negu tie tikslai dėl kurių bus atliekamas numatomas tolesnis duomenų tvarkymas (BDAR 6 straipsnio 4 dalis)? |
||
☐ Ne |
||
☐ Taip |
Ar numatomas tolesnis duomenų tvarkymas pagrįstas duomenų subjekto sutikimu? |
☐ Taip |
☐ Ne |
||
Ar numatomas tolesnis duomenų tvarkymas pagrįstas teisės aktais? |
☐ Taip→ pateikite nuorodą į jį |
|
☐ Ne |
||
Jei numatomas tolesnis duomenų tvarkymas nepagrįstas teisės aktais, kokiu būdu numatomo duomenų tvarkymo tikslas yra suderinamas su pradiniu duomenų rinkimo tikslu? |
|
|
Koks pirminis duomenų tvarkymo tikslas? |
|
|
Iš kokių šaltinių numatoma rinkti asmens duomenis? |
☐ duomenų subjektų |
|
☐ trečiųjų asmenų → nurodykite juos:
|
Kokios ketinamų tvarkyti asmens duomenų kategorijos? |
☐ asmens duomenys (BDAR 6 straipsnis) |
☐ specialių kategorijų asmens duomenys (BDAR 9 straipsnis) |
☐ asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas (BDAR 10 straipsnis) |
☐ asmens kodai (ADTAĮ 3 straipsnis) |
Jei ketinama tvarkyti specialių kategorijų asmens duomenis, nurodykite, kuria išimtimi, numatyta BDAR 9 straipsnio 2 dalyje, grindžiate jų tvarkymą.[7] |
||
☐ |
BDAR 9 straipsnio 2 dalies a punktas |
Nurodykite kokiu būdu gausite duomenų subjekto sutikimą. |
☐ |
BDAR 9 straipsnio 2 dalies b punktas |
Nurodykite konkretų teisės aktą bei jo punktus. |
☐ |
BDAR 9 straipsnio 2 dalies c punktas |
Nurodykite dėl kokių fizinių ar teisinių priežasčių duomenų subjektas negalėtų duoti sutikimo. |
☐ |
BDAR 9 straipsnio 2 dalies d punktas |
Paaiškinkite, kodėl reikia laikyti, kad numatomas duomenų tvarkymas bus atliekamas vykdant teisėtą veiklą, taip pat nurodykite kokios apsaugos priemonės bus taikomos. |
☐ |
BDAR 9 straipsnio 2 dalies e punktas |
Paaiškinkite, kokiu būdu ir kokiomis aplinkybėmis duomenų subjektai savo duomenis yra paskelbę viešai. |
☐ |
BDAR 9 straipsnio 2 dalies f punktas |
Pagrįskite šio tvarkymo būtinumą šiais tikslais. |
☐ |
BDAR 9 straipsnio 2 dalies g punktas |
Nurodykite teisės aktą ar nuorodą į teisės akto konkrečią nuostatą (straipsnį, straipsnio dalį, punktą ir kt.), kuris numato priežastis vykdyti duomenų tvarkymą viešojo intereso labui bei konkrečias priemones, kurių buvo imtasi siekiant apsaugoti duomenų subjektų teises ir teisėtus interesus. |
☐ |
BDAR 9 straipsnio 2 dalies h punktas |
Ar duomenis tvarkys sveikatos priežiūros specialistas ar kitas asmuo, kuriam taikoma pareiga saugoti paslaptį (BDAR 9 straipsnio 3 dalis). Nurodykite asmens pareigas ir funkcijas. |
☐ |
BDAR 9 straipsnio 2 dalies i punktas |
Nurodykite viešąjį interesą, kurio siekiate šiuo duomenų tvarkymu bei teisės aktą, kuriuo nustatomas šis duomenų tvarkymas. |
☐ |
BDAR 9 straipsnio 2 dalies j punktas |
Nurodykite teisinį pagrindą bei technines ir organizacines priemones pagal BDAR 89 straipsnį. |
Kokių duomenų subjektų kategorijų asmens duomenys bus tvarkomi? |
||
☐ |
Darbuotojai |
|
☐ |
Vartotojai |
|
☐ |
Klientai |
|
☐ |
Tiekėjai |
|
☐ |
Viešųjų paslaugų gavėjai |
|
☐ |
Nepilnamečiai |
|
☐ |
Pacientai |
|
☐ |
Asmenys su negalia |
|
☐ |
Kita (detalizuokite) |
|
Apytikslis duomenų subjektų, kurių duomenis ketinama tvarkyti, skaičius |
|
|
Ar dėl numatomo asmens duomenų tvarkymo buvo gauta duomenų subjektų ar jų atstovų nuomonė? |
☐ Taip → pridėkite jas arba apibendrinkite gautas nuomones |
☐ Ne → nurodykite priežastis, dėl kurių duomenų subjektų ar jų atstovų nuomonės nebuvo prašoma
|
|
|
|
|
Ar atliekamam duomenų tvarkymui bus taikomas automatizuotas sprendimų priėmimas, įskaitant ir profiliavimą? |
☐ Taip → paaiškinkite, kaip tai bus atliekama |
|
|
|
|
|
☐ Ne |
V. ASMENS DUOMENŲ TVARKYMO BŪTINUMAS IR PROPORCINGUMAS |
Kodėl duomenų tvarkymas yra būtinas siekiant nustatyto tikslo? Paaiškinkite, kodėl šio tikslo negalima pasiekti netvarkant asmens duomenų arba kitais, mažiau privatumą pažeidžiančiais būdais. Jei tai yra esamo duomenų tvarkymo pakeitimas, paaiškinkite kodėl šis pakeitimas yra būtinas. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Pagrįskite kiekvieno atskiro duomens tvarkymo būtinumą nustatytam tikslui pasiekti (iliustruokite pavyzdžiais). |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Nurodykite saugojimo terminą ir jį pagrįskite. |
|
|
|
|
|
|
|
|
|
|
|
|
|
VI. DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMAS |
Skaidrumas / informacija: Kaip duomenų subjektai bus informuojami apie duomenų tvarkymą? |
|
|
|
|
|
|
|
|
|
|
|
Aprašykite, kaip bus įgyvendintos duomenų subjektų teisės, įtvirtintos BDAR III skyriuje nuo 15 straipsnio iki 22 straipsnio imtinai? |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
VII. ASMENS DUOMENŲ TIKSLUMAS IR ATNAUJINIMAS |
Kaip bus užtikrintas duomenų tikslumas ir kaip prireikus jie bus atnaujinami? |
|
|
|
|
|
|
|
|
|
|
|
VIII. DUOMENŲ GAVĖJAI IR PRIEIGA PRIE DUOMENŲ |
Nurodykite pareigas ir funkcijas asmenų, kurie turės prieigą prie duomenų? |
|
|
|
|
|
|
|
|
|
|
|
|
Ar tretieji asmenys turės prieigą prie šių duomenų? |
☐ Taip → apibūdinkite duomenų teikimo tvarką: |
|
|
|
|
|
☐ Ne |
IX. DUOMENŲ TEIKIMAS Į TREČIĄSIAS VALSTYBES |
Ar duomenys bus perduodami į trečiąsias valstybes ar tarptautinėms organizacijoms? |
☐ Taip → nurodykite trečiąsias valstybes ar tarptautines organizacijas, ir jeigu teikimas grindžiamas BDAR 49 straipsnio 1 ir 2 dalimis, pridėkite dokumentus, patvirtinančius dėl tinkamo apsaugos priemonių taikymo: |
|
|
|
|
|
|
|
☐ Ne |
X. DUOMENŲ TVARKYMO KELIAMOS RIZIKOS ANALIZĖ |
Aprašykite didelį pavojų, kurį kelia numatomas duomenų tvarkymas duomenų subjektų teisėms ir laisvėms (ne tik teisės į privatų gyvenimą, bet ir kitoms pagrindinėms žmogaus teisėms ir laisvėms, tokioms kaip teisė į saviraiškos laisvę, žodžio laisvę ir kt.), nepaisant, Jūsų priemonių, kurias taikant siekiama jį sumažinti. |
|
|
|
|
|
|
|
|
|
|
|
Apibūdinkite galimas neigiamas pasekmes, kurias gali patirti duomenų subjektai dėl Jūsų numatomo duomenų tvarkymo (pavyzdžiui, diskriminacija; tapatybės vagystė; finansiniai nuostoliai; žala reputacijai; teisių apribojimas; neskelbtinos informacijos atskleidimas). |
|
|
|
|
|
|
|
|
|
|
Apibūdinkite šių galimų neigiamų pasekmių šaltinį, t. y. ar neigiamos pasekmės gali kilti dėl asmens naudojamos technikos ar naudojamų fizinių priemonių. Taip pat nurodykite, ar ši rizika yra vidinė ar išorinė. |
|
|
|
|
|
|
|
|
|
|
Nurodykite neigiamų padarinių tikimybę |
|
|
|
|
|
|
|
|
|
Nurodykite galimą padarinių rimtumą |
|
|
|
|
|
|
|
|
|
Nurodykite, ar rizikos valdymo analizė yra atlikta remiantis tarptautiniais standartais (pavyzdžiui, ISO 31000; ISO 27005) ar tarptautinių organizacijų (pavyzdžiui, ISACA, ENISA, CompTIA) rekomendacijomis, gairėmis ar panašiai? Prašome juos nurodyti. |
|
|
|
|
|
|
|
|
|
|
Apibūdinkite technines ir organizacines saugumo priemones taikomas tvarkant duomenis |
||
Asmens duomenų saugumo politika ir procedūros |
||
☐ |
Ar asmens duomenų ir jų tvarkymo saugumas yra dokumentuotas kaip informacijos saugumo politikos dalis? |
|
☐ |
Ar saugumo politika peržiūrima ir prireikus atnaujinama? Kokiu dažnumu tai daroma? |
|
Vaidmenys ir atsakomybės |
||
☐ |
Аr su asmens duomenų tvarkymu susiję vaidmenys ir atsakomybės aiškiai apibrėžti ir paskirstyti pagal saugumo politiką? |
|
☐ |
Ar yra numatytas ir aiškiai apibrėžtas darbuotojų teisių ir pareigų atšaukimas taikant atitinkamas vaidmenų ir atsakomybių perdavimo procedūras (vidaus organizacijos pertvarkymo ar darbuotojų atleidimo, funkcijų pasikeitimo metu)? |
|
Prieigos valdymo politika |
||
☐ |
Ar kiekvienam vaidmeniui, susijusiam su asmens duomenų tvarkymu, yra priskiriamos konkrečios prieigos kontrolės teisės, vadovaujantis principu „būtinybė žinoti“ (angl. need to know)? Kokiame dokumente ar informacinių technologijų (toliau – IT) sistemoje tai numatyta? |
|
Išteklių ir turto valdymas |
||
☐ |
Ar duomenų valdytojas turi IT išteklių, naudojamų asmens duomenims tvarkyti, registrą (techninės, programinės ir tinklo įrangos sąrašą)?
|
|
☐ |
Ar IT išteklių registro tvarkymas priskirtas konkrečiam asmeniui, pavyzdžiui, IT specialistui? |
|
☐ |
Ar IT išteklių registras reguliariai prižiūrimas ir atnaujinamas? Kokiu dažnumu? |
|
Pakeitimų valdymas |
||
☐ |
Ar visi IT sistemų pakeitimai stebimi ir registruojami konkretaus asmens (pavyzdžiui., IT specialisto arba saugos pareigūno)? |
|
☐ |
Ar programinės įrangos kūrimas atliekamas specialioje aplinkoje, kuri nėra prijungta prie IT sistemų, naudojamų tvarkant asmens duomenis. Ar testuojant sistemas naudojami testiniai (ne realūs) duomenys? |
|
Duomenų tvarkytojai |
||
☐ |
Ar su domenų valdytojo valdomų duomenų tvarkytojais apibrėžtos, dokumentuotos ir suderintos formalios gairės ir procedūros, taikomos duomenų tvarkytojams (rangovams / užsakomųjų paslaugų teikėjams) dėl asmens duomenų tvarkymo? Ar šios gairės ir procedūros nustato tokį patį (ne žemesnį) asmens duomenų saugumo lygį, koks yra numatytas duomenų valdytojo saugumo politikoje? |
|
☐ |
Ar sutartyse su duomenų tvarkytojas numatyta prievolė nepagrįstai nedelsiant pranešti duomenų valdytojui apie nustatytus asmens duomenų saugumo pažeidimus? |
|
☐ |
Ar duomenų tvarkytojai yra pateikę dokumentais pagrįstus įrodymus dėl atitikties keliamiems reikalavimams? |
|
Asmens duomenų saugumo pažeidimai ir incidentai |
||
☐ |
Ar yra fiksuojami (dokumentuojami) asmens duomenų saugumo pažeidimai? |
|
☐ |
Ar yra parengta išsami reagavimo į incidentus ir jų padarinių likvidavimo tvarka (reagavimo į incidentus planas), užtikrinanti veiksmingą incidentų, susijusių su asmens duomenų saugumo pažeidimais, valdymą? |
|
☐ |
Ar nustatyta pranešimo apie asmens duomenų saugumo pažeidimus kompetentingoms institucijoms ir duomenų subjektams tvarka, vadovaujantis BDAR 33 ir 34 straipsniais? |
|
Veiklos tęstinumas |
||
☐ |
Ar yra nustatytos pagrindinės procedūros, kurių reikia laikytis incidento / asmens duomenų saugumo pažeidimo atveju, kad būtų užtikrintas reikiamas asmens duomenų tvarkymo IT sistemomis tęstinumas ir prieinamumas? |
|
Personalo konfidencialumas |
||
☐ |
Ar vaidmenys ir atsakomybės aiškiai išdėstyti darbuotojui prieš pradedant vykdyti jam paskirtas funkcijas ir darbus? |
|
Mokymai |
||
☐ |
Ar duomenų valdytojas užtikrina, kad visi darbuotojai būtų tinkamai informuoti apie IT sistemų saugumo reikalavimus, susijusius su jų kasdieniu darbu? |
|
☐ |
Ar darbuotojai, susiję su asmens duomenų tvarkymu, mokomi apie atitinkamų duomenų apsaugos reikalavimus ir atsakomybę, rengiant reguliarius mokymus, informavimo renginius / instruktažus? Kokiu dažnumu vyksta mokymai? |
|
Prieigų kontrolė ir autentifikavimas |
||
☐ |
Ar yra įdiegta / įgyvendinta Prieigų kontrolės sistema, kuri taikoma visiems IT sistemos naudotojams? (Prieigų kontrolės sistema turi leisti kurti, patvirtinti, peržiūrėti ir panaikinti naudotojų paskyras) |
|
☐ |
Ar yra naudojamos bendros naudotojų paskyros? Jeigu taip, ar visi bendros paskyros naudotojai turi tokias pačias teises ir pareigas? |
|
☐ |
Ar yra veikiantis autentifikavimo mechanizmas, leidžiantis prieigas prie IT sistemų (paremtas Prieigų kontrolės politika)? Ar duomenų valdytojas užtikrina minimalų reikalavimą naudotojui prisijungti prie IT sistemos naudotojo prisijungimo vardu ir slaptažodžiu? Ar slaptažodžiai sudaromi atsižvelgiant į tam tikrą kompleksiškumo lygį? Kokios slaptažodžio sudarymo taisyklės? |
|
☐ |
Ar Prieigų kontrolės sistema turi galimybę aptikti ir neleisti naudoti slaptažodžių, kurie neatitinka tam tikro kompleksiškumo lygio? |
|
Techninių žurnalų įrašai ir stebėsena |
||
☐ |
Ar techninių žurnalų įrašai įgyvendinti kiekvienai IT sistemai / taikomajai programai, naudojamai asmens duomenų apdorojimui? Ar techniniuose žurnaluose matomi bent šie prieigų prie asmens duomenų įrašų tipai: data, laikas, peržiūrėjimas, keitimas, panaikinimas? Koks šių įrašų saugojimo terminas? |
|
☐ |
Ar techninių žurnalų įrašai turi laiko žymas ir ar jie apsaugoti nuo galimo sugadinimo, suklastojimo ar neautorizuotos prieigos? Ar IT sistemose naudojami laiko apskaitos mechanizmai sinchronizuoti pagal bendrą laiko atskaitos šaltinį? |
|
Tarnybinių stočių / duomenų bazių apsauga |
||
☐ |
Ar duomenų bazės ir taikomųjų programų tarnybinės stotys sukonfigūruotos taip, kad veiktų korektiškai ir naudotų atskirą paskyrą su priskirtomis žemiausiomis operacinės sistemos privilegijomis? |
|
☐ |
Ar duomenų bazės ir taikomųjų programų tarnybinės stotys apdoroja tik tuos asmens duomenis, kurie yra reikalingi darbui, atitinkančiam duomenų tvarkymo tikslus? |
|
Darbo stočių apsauga |
||
☐ |
Ar yra užtikrinta, kad naudotojai neturėtų galimybės išjungti ar apeiti / išvengti saugos nustatymų? |
|
☐ |
Kokios antivirusinės taikomosios programos naudojamos darbo vietose? Kaip dažnai atnaujinamos šių programų virusų duomenų bazės? |
|
☐ |
Ar darbo vietose užtikrinta, kad naudotojai neturėtų privilegijų diegti, šalinti, administruoti neautorizuotos programinės įrangos? |
|
☐ |
Ar IT sistemose (įskaitant darbo vietų operacines sistemas) nustatytas sesijos laikas (naudotojui esant neaktyviam sistemoje nustatytą laiką, jo sesija nutraukiama)? Jeigu taip, koks nustatytas neaktyvios sesijos laikas? |
|
☐ |
Ar kritiniai operacinių sistemų saugos atnaujinimai diegiami reguliariai ir nedelsiant? |
|
Tinklo / komunikacijos sauga |
||
☐ |
Kai prieiga prie naudojamų IT sistemų yra vykdoma internetu ar naudojami šifruoti komunikacijos kanalai, t. y. kriptografiniai protokolai (pavyzdžiui, TLS/SSL)? |
|
Atsarginės kopijos |
||
☐ |
Ar duomenų atsarginės kopijos ir duomenų atstatymo procedūros apibrėžtos, dokumentuotos ir aiškiai susaistytos su vaidmenimis ir pareigomis? |
|
☐ |
Ar atsarginių kopijų laikmenoms užtikrintas tinkamas fizinis aplinkos / patalpų saugos lygis? |
|
☐ |
Ar atsarginių kopijų darymo procesas stebimas, siekiant užtikrinti užbaigtumą / išsamumą? |
|
☐ |
Ar pilnos atsarginės duomenų kopijos daromos reguliariai? Jei taip, tai kokiu dažnumu daromos pilnos ir/ar pridedamosios kopijos? |
|
Mobilūs / nešiojami įrenginiai |
||
☐ |
Ar nustatytos ir dokumentuotos mobilių ir nešiojamų įrenginių administravimo procedūros, aiškiai aprašant tinkamą tokių įrenginių naudojimąsi? |
|
☐ |
Ar mobilūs / nešiojami įrenginiai, kuriais naudojamasi darbui su informacinėmis sistemomis, prieš naudojimąsi užregistruojami ir autorizuojami? |
|
☐ |
Ar mobilūs įrenginiai yra pakankamame prieigos kontrolės procedūrų lygyje kaip ir kita naudojama įranga asmens duomenų tvarkymui? |
|
Programinės įrangos sauga |
||
☐ |
Ar informacinėse sistemose naudojama programinė įranga (asmens duomenims tvarkyti) atitinka programinės įrangos saugos gerąsias praktikas, programinės įrangos kūrime taikomas saugos gerąsias praktikas, programinės įrangos kūrimo struktūras (angl. frameworks), standartus? |
|
☐ |
Ar specifiniai saugos reikalavimai buvo apibrėžti pradiniuose programinės įrangos kūrimo etapuose? |
|
☐ |
Ar laikomasi duomenų saugą užtikrinančių programavimo standartų ir gerųjų praktikų? Jei taip, tai kokių? |
|
☐ |
Ar programinės įrangos kūrimo, testavimo ir verifikacijos etapai vyksta atsižvelgiant į pagrindinius saugos reikalavimus? |
|
Duomenų naikinimas / šalinimas |
||
☐ |
Ar prieš pašalinant bet kokią duomenų laikmeną visi joje esantys duomenys sunaikinami naudojant tam skirtą programinę įrangą, kuri palaiko patikimus duomenų naikinimo algoritmus? Tais atvejais, kai tai padaryti neįmanoma (pavyzdžiui., CD/DVD diskai, ir pan.) ar vykdomas fizinis duomenų laikmenos sunaikinimas be galimybės atstatyti? |
|
☐ |
Ar popierius ir nešiojamos duomenų laikmenos, kuriuose buvo saugomi / kaupiami asmens duomenys, naikinami tam skirtais smulkintuvais arba kitomis mechaninėmis priemonėmis? |
|
Fizinė sauga |
||
☐ |
Ar yra įgyvendinta fizinė aplinkos / patalpų, kuriose yra IT sistemų infrastruktūra, apsauga nuo neautorizuotos prieigos? |
|
Pridedami dokumentai:
|
|
1. |
|
2. |
|
3. |
|
4. |
|
5. |
|
6. |
|
7. |
|
8. |
|
9. |
|
10. |
|
Duomenų valdytojas atsako už pateiktos informacijos tikslumą ir teisingumą.
_______________ __________________ _______________________
pareigos parašas vardas ir pavardė
__________________
[1] Jeigu prašymą teikia bendri duomenų valdytojai, nurodomi visi jį sudarantys fiziniai (jeigu bendri duomenų valdytojai yra fiziniai asmenys) ar juridiniai asmenys
[2] Šioje formoje vartojami trumpiniai:
o ADTAĮ – Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;
o VDAI – Valstybinė duomenų apsaugos inspekcija;
o BDAR – 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
o PDAV – Poveikio duomenų apsaugai vertinimas;
o ES – Europos Sąjunga ir Europos Ekonominės Erdvės valstybės;
o Prašymas – prašymas suteikti / nutraukti išankstinę konsultaciją.
[3] Jeigu Jūs nežinote, ar Jums reikia atlikti PDAV, prašome žiūrėti į:
o BDAR 36 straipsnio 1 dalį;
o 29 straipsnio duomenų apsaugos darbo grupės patvirtintas Poveikio duomenų apsaugai vertinimo (PDAV) gaires, kuriomis Reglamento 2016/679 taikymo tikslais nurodoma, kaip nustatyti, ar duomenų tvarkymo operacijos gali sukelti didelį poveikį (https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236);
o Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą, patvirtintą Valstybinės duomenų apsaugos inspekcijos direktoriaus 2019-03-14 įsakymu Nr. 1T-35(1.12.E) „Dėl Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašo patvirtinimo“.
[4] BDAR 4 straipsnio 23 punkte nustatyta, kad tarpvalstybinis duomenų tvarkymas– vienas iš toliau nurodytų:
a) asmens duomenų tvarkymas vykdomas ES, kai veiklą vykdo duomenų valdytojo arba duomenų tvarkytojo buveinės daugiau kaip vienoje valstybėje narėje, ir duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs daugiau kaip vienoje valstybėje narėje;
b) asmens duomenų tvarkymas vykdomas ES, kai veiklą vykdo duomenų valdytojo arba duomenų tvarkytojo vienintelė buveinė, kuris daro arba gali padaryti didelį poveikį duomenų subjektams daugiau nei vienoje valstybėje narėje.
VDAI šį prašymą nagrinės tik tuo atveju, jeigu bus nustatyta, kad VDAI yra vadovaujanti institucija. Atsakymai į toliau pateiktus klausimus leidžia VDAI nustatyti, ar ji yra vadovaujanti priežiūros institucija Jūsų prašyme nurodytu atveju, ar ne. Atkreiptinas dėmesys į tai, kad vadovaujančioji priežiūros institucija gali keistis, atsižvelgiant į kitų priežiūros institucijų išreikštą nuomonę. Pažymėtina, kad šis prašymas gali būti teikiamas ir kitoms ES priežiūros institucijoms.
[5] Žr. BDAR 27 straipsnį.
[6] Jeigu asmens duomenų tvarkymas numatomas skirtingais tikslais, prašome šią prašymo dalį užpildyti pagal kiekvieną tikslą atskirai, išskyrus atvejus, kai šioje prašymo dalyje prašoma pateikti informacija visais tikslais sutampa.
[7] Nepildykite, jeigu nenumatoma tvarkyti specialių kategorijų duomenų.