VALSTYBINĖS DUOMENŲ APSAUGOS INSPEKCIJOS DIREKTORIAUS

VALSTYBINĖs DUOMENŲ APSAUGOS INSPEKCIJos

DIREKTORIUS

ĮSAKYMAS

DĖL IŠANKSTINIŲ KONSULTACIJŲ TEIKIMO TAISYKLIŲ PATVIRTINIMO

2018 m. rugpjūčio 29 d. Nr. 1T-84(1.12.E)

Vilnius

Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) 36 straipsniu,

tvirtinu Išankstinių konsultacijų teikimo taisykles (pridedama).

Direktorius Raimondas Andrijauskas

PATVIRTINTA

Valstybinės duomenų apsaugos inspekcijos

direktoriaus 2018 m. rugpjūčio 29 d.

įsakymu Nr. 1T-84(1.12.E)

IŠANKSTINių KONSULTACIJų teikimo TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Išankstinių konsultacijų teikimo taisyklės (toliau – Taisyklės) nustato duomenų valdytojų konsultavimosi su Valstybine duomenų apsaugos inspekcija ir išankstinių konsultacijų teikimo tvarką.

2. Duomenų valdytojas, prieš pradėdamas tvarkyti asmens duomenis, konsultuojasi su Valstybine duomenų apsaugos inspekcija:

2.1. jeigu pagal 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) 35 straipsnį atliktame poveikio duomenų apsaugos vertinime nurodyta, kad tvarkant asmens duomenis kiltų didelis pavojus fizinių asmenų teisėms ir laisvėms duomenų valdytojui nesiėmus priemonių pavojui sumažinti;

2.2. kitais įstatymų numatytais atvejais.

3. Šios Taisyklės taikomos duomenų valdytojams, besikreipiantiems dėl išankstinės konsultacijos ir Valstybinės duomenų apsaugos inspekcijos valstybės tarnautojams teikiantiems išankstines konsultacijas.

II SKYRIUS

DOKUMENTŲ DĖL IŠANKSTINIŲ KONSULTACIJŲ PATEIKIMO TVARKA

4. Kreipdamasis į Valstybinę duomenų apsaugos inspekciją dėl išankstinės konsultacijos, duomenų valdytojas turi pateikti:

4.1. Prašymą dėl išankstinės konsultacijos (toliau – Prašymas), kuriame pateikia Reglamento (ES) 2016/679 36 straipsnio 3 dalies a, b, c ir d punktuose nurodytą informaciją:

4.1.1. kai taikoma, atitinkamas duomenų tvarkymo procese dalyvaujančio duomenų valdytojo, bendrų duomenų valdytojų ir duomenų tvarkytojų atsakomybės sritis, visų pirma, kai duomenys tvarkomi įmonių grupėje,

4.1.2. numatyto duomenų tvarkymo tikslus ir priemones,

4.1.3. nustatytas priemones bei apsaugos priemones duomenų subjektų teisėms ir laisvėms apsaugoti pagal Reglamentą (ES) 2016/679,

4.1.4. kai taikoma, duomenų apsaugos pareigūno kontaktinius duomenis.

4.2. Reglamento (ES) 2016/679 35 straipsnyje numatytą poveikio duomenų apsaugai vertinimą.

5. Prašymą pasirašo duomenų valdytojas (fizinis asmuo), duomenų valdytojo (juridinio asmens) vadovas ar jo įgaliotas asmuo. Prie Prašymo pridedami atstovavimą patvirtinantys dokumentai ar jų patvirtintos kopijos, kai Prašymą teikia duomenų valdytojo atstovas.

6. Duomenų valdytojas atsako už pateiktos informacijos tikslumą ir teisingumą.

7. Prašymą duomenų valdytojas ar jo įgaliotas atstovas gali pateikti raštu (pateikti užpildytą Valstybinėje duomenų apsaugos inspekcijoje, atsiųsti paštu, pristatyti į elektroninės siuntos pristatymo dėžutę) ar elektroninių ryšių priemonėmis. Elektroninių ryšių priemonėmis teikiamas Prašymas turi būti pasirašytas duomenų valdytojo ar jo įgalioto asmens elektroniniu parašu arba šio asmens tapatybė turi būti patvirtinta naudojantis Valstybinės duomenų apsaugos inspekcijos elektroninių paslaugų sistema.

III SKYRIUS

IŠANKSTINIŲ KONSULTACIJų teikimo TVARKA

8. Jeigu duomenų valdytojas pateikia neišsamų ar netinkamai įformintą Prašymą arba pateikia ne visus dokumentus ar informaciją, nurodytus šių Taisyklių 3 punkte, Valstybinė duomenų apsaugos inspekcija, per 5 darbo dienas nuo tokio Prašymo gavimo praneša duomenų valdytojui apie būtinybę patikslinti neišsamų ar netinkamai įformintą Prašymą ir (arba) pateikti trūkstamus dokumentus ar informaciją, nurodo ne trumpesnį kaip 10 darbo dienų terminą trūkstamiems dokumentams ar informacijai pateikti ir informuoja apie tai, kad terminas išankstinei konsultacijai suteikti bus skaičiuojamas nuo visų tinkamai įformintų dokumentų ir informacijos pateikimo dienos.

9. Jeigu duomenų valdytojas per Valstybinės duomenų apsaugos inspekcijos nustatytą terminą nepateikia patikslinto išsamaus ir tinkamai įforminto Prašymo arba nepateikia trūkstamų dokumentų ar informacijos, Valstybinė duomenų apsaugos inspekcija atsisako nagrinėti Prašymą ir apie tai informuoja duomenų valdytoją.

10. Kai duomenų valdytojas pateikia išsamų ir tinkamai įformintą Prašymą kartu su visais dokumentais ir informacija, nurodyta šių Taisyklių 4 punkte, Valstybinė duomenų apsaugos inspekcija įvertina Prašyme ir prie jo pridėtuose dokumentuose nurodytą informaciją siekdama duomenų valdytojui suteikti išankstinę konsultaciją.

11. Valstybinė duomenų apsaugos inspekcija vertina duomenų valdytojo nurodytą asmens duomenų tvarkymą, nustatytas priemones ir apsaugos priemones duomenų subjektų teisėms ir laisvėms apsaugoti pagal Reglamentą (ES) 2016/679.

12. Jeigu duomenų valdytojo pateiktuose dokumentuose esančios informacijos nepakanka tinkamai įvertinti Taisyklių 11 punkte nurodytas aplinkybes, taip pat jei pateikta informacija yra netiksli ar prieštaringa, Valstybinė duomenų apsaugos inspekcija raštu kreipiasi į duomenų valdytoją nurodydama jam ne trumpesnį kaip 10 darbo dienų terminą pateikti papildomą ir (arba) patikslintą informaciją. Tokiu atveju šių Taisyklių 16 ir 17 punktuose nustatyti terminai sustabdomi iki Valstybinė duomenų apsaugos inspekcija gaus informaciją, kurios ji buvo paprašiusi išankstinės konsultacijos tikslu.

13. Valstybinė duomenų apsaugos inspekcija, teikdama išankstinę konsultaciją, turi teisę atlikti tyrimą (Reglamento (ES) 2016/679 58 straipsnio 1 dalies b punktas) tikrinamo asmens patalpose (tarp jų ir nuomojamose ar naudojamose kitu pagrindu) arba teritorijoje, kur yra dokumentai, įranga, susiję su asmens duomenų tvarkymu, dėl kurio teikiama išankstinė konsultacija, jeigu būtina įsitikinti dokumentuose pateikta informacija ir (arba) jos nepakanka išankstinei konsultacijai pateikti.

14. Valstybinė duomenų apsaugos inspekcija nutraukia išankstinės konsultacijos teikimo procedūrą, kai:

14.1. to prašo raštu duomenų valdytojas, kurio vardu pateiktas Prašymas;

14.2. Prašymas pateiktas neatlikus poveikio duomenų apsaugai vertinimo;

14.3. duomenų valdytojas Valstybinės duomenų apsaugos inspekcijos nustatytu terminu pagal jos rašytinį prašymą (Taisyklių 12 punktas) nepateikė papildomos ir (arba) patikslintos informacijos išankstinei konsultacijai pateikti;

14.4. duomenų valdytojas nesudaro galimybės Valstybinei duomenų apsaugos inspekcijai atlikti tyrimą vietoje, kai tai reikalinga išankstinei konsultacijai pateikti;

14.5. Prašymas pateiktas to paties duomenų valdytojo vardu, dėl to paties asmens duomenų tvarkymo, dėl kurio Valstybinė duomenų apsaugos inspekcijoje jau pradėta išankstinės konsultacijos procedūra;

14.6. duomenų valdytojui jau suteikta išankstinė konsultacija arba nutraukta išankstinės konsultacijos teikimo procedūra dėl to paties asmens duomenų tvarkymo, išskyrus atvejus, kai nurodoma naujų aplinkybių ar pateikiama naujų faktinių aplinkybių;

14.7. Prašymą pateikė neturintis teisės jį pateikti asmuo.

15. Duomenų valdytojui pateikus papildomą ir (arba) patikslintą informaciją po to, kai išankstinės konsultacijos teikimo procedūra buvo nutraukta Taisyklių 14.3 papunktyje nurodytu pagrindu, išankstinė konsultacija atnaujinama, jeigu dokumentuose pateikta informacija nepasikeitė. Duomenų valdytojas šiuo atveju neprivalo iš naujo teikti Taisyklių 4 punkte nurodytų dokumentų.

16. Jeigu Valstybinė duomenų apsaugos inspekcija laikosi nuomonės, kad Reglamento (ES) 2016/679 35 straipsnio 1 dalyje nurodytas numatytas duomenų tvarkymas pažeistų šį Reglamentą (ES) 2016/679, visų pirma tais atvejais, kai duomenų valdytojas nepakankamai nustatė arba nepakankamai sumažino pavojų, Valstybinė duomenų apsaugos inspekcija ne vėliau kaip per aštuonias savaites nuo išsamaus ir tinkamai įforminto Prašymo gavimo, raštu pateikia duomenų valdytojui ir, kai taikoma, duomenų tvarkytojui, rekomendacijas ir gali pasinaudoti bet kuriais Reglamento (ES) 2016/679 58 straipsnyje nurodytais įgaliojimais.

17. Valstybinė duomenų apsaugos inspekcija šių Taisyklių 16 punkte nustatytą dokumentų nagrinėjimo terminą gali pratęsti šešioms savaitėms, atsižvelgiant į numatyto duomenų tvarkymo sudėtingumą, apie tai raštu per vieną mėnesį nuo išsamaus ir tinkamai įforminto Prašymo gavimo informuodama duomenų valdytoją ir kai taikoma, duomenų tvarkytoją, kartu su vėlavimo priežastimis.

18. Valstybinė duomenų apsaugos inspekcija, išnagrinėjusi duomenų valdytojo pateiktą Prašymą ir prie jo pridėtuose dokumentuose pateiktą informaciją:

18.1. esant Taisyklių 14 punkte numatytiems pagrindams nutraukia išankstinės konsultacijos procedūrą;

18.2. pateikia nuomonę, kad duomenų valdytojo duomenų tvarkymas nepažeis Reglamento (ES) 2016/679 ir įgyvendinamos tinkamos priemonės ir apsaugos priemonės duomenų subjektų teisėms ir laisvėms apsaugoti;

18.3. pateikia nuomonę, kad duomenų valdytojo duomenų tvarkymas pažeis Reglamentą (ES) 2016/679 bei teikia rekomendacijas dėl asmens duomenų tvarkymo bei papildomų priemonių įgyvendinimo.

19. Duomenų valdytojas apie išankstinės konsultacijos procedūros nutraukimą arba Valstybinės duomenų apsaugos inspekcijos nuomonę dėl išankstinės konsultacijos informuojamas raštu.

__________________