VYRIAUSIOSIOS TARNYBINĖS ETIKOS KOMISIJOS
pirmininkas
ĮSAKYMAS
Dėl ASMENS DUOMENŲ TVARKYMO VYRIAUSIOJOJE TARNYBINĖS ETIKOS KOMISIJOJE TAISYKLIŲ PATVIRTINIMO
2018 m. balandžio 12 d. Nr. T-13
Vilnius
Vadovaudamasis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 30 straipsnio 1 dalimi, Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“, Lietuvos Respublikos vyriausiosios tarnybinės etikos komisijos įstatymo 13 straipsnio 2 dalimi,
T v i r t i n u Asmens duomenų tvarkymo Vyriausiojoje tarnybinės etikos komisijoje taisykles (pridedama).
PATVIRTINTA
Vyriausiosios tarnybinės etikos komisijos pirmininko
2018 m. balandžio 12 d. įsakymu Nr. T-13
ASMENS DUOMENŲ TVARKYMO VYRIAUSIOJOJE TARNYBINĖS ETIKOS KOMISIJOJE TAISYKLĖS
I. BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo Vyriausiojoje tarnybinės etikos komisijoje (toliau – Komisija, VTEK) taisyklių (toliau - Taisyklės) tikslas - reglamentuoti asmens duomenų tvarkymą VTEK, užtikrinant Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo laikymąsi ir įgyvendinimą.
2. Taisyklių paskirtis - numatyti pagrindines asmens duomenų tvarkymo, duomenų subjekto teisių įgyvendinimo technines ir duomenų saugos organizacines priemones, tvarkant asmens duomenis automatiniu ir neautomatiniu būdais.
3. Taisyklės parengtos vadovaujantis Asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir apsaugą.
4. Atliekant veiksmus, susijusius su Lietuvos Respublikos viešųjų ir privačių interesų derinimo valstybinėje tarnyboje įstatymo, Lietuvos Respublikos vyriausiosios tarnybinės etikos komisijos įstatymo, Lietuvos Respublikos korupcijos prevencijos įstatymo, Lietuvos Respublikos lobistinės veiklos įstatymo, Lietuvos Respublikos darbo kodekso, Lietuvos Respublikos valstybės tarnybos įstatymo ir kitų teisės aktų nuostatų įgyvendinimu, VTEK gali būti tvarkomi tokie asmens duomenys, kaip asmens vardas ir pavardė, gimimo data, asmens kodas, veido atvaizdas, gyvenamoji vieta, darbo vieta, taip pat bet kurie kiti asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio ar socialinio pobūdžio duomenys. Asmens duomenų teisinės apsaugos įstatymo numatytais atvejais, personalo valdymo tikslais gali būti tvarkomi ir ypatingi asmens duomenys.
5. Šių Taisyklių privalo laikytis visi VTEK nariai, VTEK sekretoriate dirbantys valstybės tarnautojai, darbuotojai, dirbantys pagal darbo sutartis, ir studentai, priimti atlikti praktiką VTEK, stažuotojai bei kitais pagrindais atliekantys funkcijas ar vykdantys veiklą VTEK asmenys (toliau visi šie asmenys - VTEK darbuotojai), kurie tvarko VTEK esančius asmens duomenis arba eidami savo pareigas sužino asmens duomenis.
6. Taisyklėse vartojami žodžiai, žodžių junginiai ir sąvokos aiškinamos pagal jų bendrinę reikšmę, išskyrus atvejus, kai iš konteksto aišku, kad žodis, žodžių junginys ar sąvoka vartojama specialiąja - teisine, technine ar kitokia reikšme. Jeigu specialioji ir bendrinė reikšmės nesutampa, pirmenybė teikiama specialiajai reikšmei, kuri pateikta Asmens duomenų teisinės apsaugos įstatyme ir kituose asmens duomenų apsaugą reglamentuojančiuose teisės aktuose.
II. ASMENS DUOMENŲ TVARKYMO TIKSLAI
7. Duomenų subjektų asmens duomenis tvarko duomenų valdytojas – Vyriausioji tarnybinės etikos komisija, juridinio asmens kodas 188736355, buveinės adresas Vilniaus g. 27, 01402 Vilnius.
8. Asmens duomenys VTEK tvarkomi šiais tikslais:
8.1. funkcijų, susijusių su Lietuvos Respublikos viešųjų ir privačių interesų derinimo valstybinėje tarnyboje įstatymo priežiūra, vykdymui;
8.3. funkcijų, susijusių su Lietuvos Respublikos vyriausiosios tarnybinės etikos komisijos įstatymo įgyvendinimu, vykdymui;
8.4. funkcijų, susijusių su Lietuvos Respublikos korupcijos prevencijos įstatymo įgyvendinimu, vykdymui;
8.5. VTEK yra Privačių interesų deklaracijų tvarkymo informacinės sistemos (toliau – PIDTIS) valdytoja ir tvarkytoja. Ji kartu yra asmens duomenų valdytoja ir tvarkytoja. PIDTIS tikslas – PIDTIS priemonėmis tvarkyti privačių interesų deklaracijų duomenis, kaupti institucijų vadovų ar jų įgaliotų atstovų pateiktus duomenis apie nepriimtus asmenų nusišalinimus. Asmens duomenys tvarkomi siekiant rinkti, kaupti, apdoroti, sisteminti ir teikti tikslius privačių interesų deklaracijų duomenis, kurie vienareikšmiškai susieti su šias deklaracijas teikiančiu asmeniu;
8.6. Komisijos teisėms ir prievolėms įgyvendinti darbo, valstybės tarnybos ir studentų praktikos atlikimo bei kitais su darbo, valstybės tarnybos atlikimu ar profesinės patirties įgijimu susijusiose srityse įstatymo nustatytais atvejais;
8.7. Komisijos esamų ir buvusių valstybės tarnautojų ir darbuotojų asmens duomenys (vardas, pavardė, asmens kodas, asmens socialinio draudimo numeris, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, gyvenimo ir veiklos aprašymas, šeiminė padėtis, pareigos, duomenys apie priėmimą (perkėlimą) į pareigas, atleidimą iš pareigų, duomenys apie išsilavinimą ir kvalifikaciją, duomenys apie mokymą, duomenys apie atostogas, duomenys apie darbo užmokestį, išeitines išmokas, kompensacijas, pašalpas, informacija apie dirbtą darbo laiką, informacija apie skatinimus ir nuobaudas, informacija apie atliktus darbus ir užduotis, duomenys apie valstybės tarnautojo tarnybinės veiklos vertinimą, viešų ir privačių interesų deklaravimo duomenys, Lietuvos Respublikos piliečio paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, ypatingi asmens duomenys, susiję su sveikata, teistumu, dalyvavimu uždraustos organizacijos veikloje, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Komisiją įpareigoja įstatymai ir kiti teisės aktai) tvarkomi vidaus administravimo (personalo valdymo, raštvedybos tvarkymo, materialinių ir finansinių išteklių naudojimo) tikslu;
8.8. Pretendentų į VTEK valstybės tarnautojus ir darbuotojus asmens duomenys (vardas, pavardė, asmens kodas, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, pareigos, į kurias pretenduojama, gyvenimo ir veiklos aprašymas, duomenys apie išsilavinimą ir kvalifikaciją, ypatingi asmens duomenys, susiję su teistumu, dalyvavimu uždraustos organizacijos veikloje, pokalbio su pretendentu į valstybės tarnautojo pareigas skaitmeninis garso įrašas, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Komisiją įpareigoja įstatymai ir kiti teisės aktai) tvarkomi vidaus administravimo (personalo valdymo, raštvedybos tvarkymo) tikslu.
III. ASMENS DUOMENŲ TVARKYMO REIKALAVIMAI
9. Komisijos darbuotojai, atlikdami savo funkcijas ir tvarkydami asmens duomenis, privalo laikytis pagrindinių asmens duomenų tvarkymo reikalavimų:
9.1. asmens duomenys renkami šių Taisyklių 8 punkte apibrėžtais tikslais, nustatytais teisės aktais ir tvarkomi su šiais tikslais suderintais būdais;
9.2. renkant ir tvarkant asmens duomenis laikomasi tikslingumo ir proporcingumo principų, nereikalaujama iš duomenų subjektų pateikti tų duomenų, kurie nėra reikalingi, nekaupiami ir netvarkomi pertekliniai duomenys;
9.4. asmens duomenys turi būti tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas;
9.5. asmens duomenys turi būti tapatūs, tinkami ir tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti;
9.6. asmens duomenys saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;
9.7. Asmens duomenys VTEK renkami tik teisės aktų nustatyta tvarka, juos gaunant tiesiogiai iš duomenų subjekto, oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų pagal prašymą (vienkartinio asmens duomenų rinkimo atveju) arba pagal asmens duomenų teikimo sutartį (daugkartinio asmens duomenų rinkimo atveju), atitinkančius Asmens duomenų teisinės apsaugos įstatymo 6 straipsnio reikalavimus, gaunant kartu su dokumentų originalais ar jų kopijomis patikrinimų metu, iš kitų subjektų, naudojant technines priemones ar kartu su surinkta kita informacija, reikalinga VTEK funkcijoms atlikti. Asmens duomenys VTEK tvarkomi automatiniu ir neautomatiniu būdais.
10. Asmens duomenų saugojimo terminus ir veiksmus, kurie atliekami pasibaigus šiam terminui, nustato teisės aktai, reglamentuojantys atitinkamų asmens duomenų tvarkymą. Asmens duomenys saugomi ne ilgiau, negu to reikalauja duomenų tvarkymo tikslai. Konkretūs asmens dokumentų saugojimo terminai nustatyti VTEK pirmininko patvirtintame Dokumentacijos plane. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie yra sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti Lietuvos valstybės naujajam archyvui.
11. Asmens duomenys turi būti laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti, kai to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi. Tuo atveju, kai asmens duomenys buvo gauti atliekant konkretų tyrimą ar nagrinėjimą, jie turi būti saugomi tik toje konkrečioje byloje.
12. Darbuotojai turi teisę rinkti, tvarkyti, perduoti, saugoti, naikinti ar kitaip naudoti asmens duomenis tik atlikdami savo tiesiogines funkcijas, apibrėžtas pareigybių aprašymuose arba priskirtas VTEK pavedimu ir tik teisės aktų nustatyta tvarka.
13. Darbuotojai automatiniu būdu tvarkyti asmens duomenis gali tik po to, kai jiems tokį įgaliojimą suteikia VTEK pirmininkas ir teisės aktų nustatyta tvarka jiems suteikiama prieigos teisė prie bylos medžiagos, kurioje yra asmens duomenų, ar atitinkamos informacinės sistemos. Darbo santykiams pasibaigus, darbuotojui prieigos prie registrų ir kitų programų teisės panaikinamos teisės aktų nustatyta tvarka
14. Darbuotojai, kuriems suteikta teisė tvarkyti asmens duomenis, informuojami ir apmokomi prieigos prie atitinkamos informacinės sistemos teisę suteikusių subjektų nustatyta tvarka. Kitais atvejais dėl asmens duomenų tvarkymo darbuotojus apmoko ir informuoja VTEK pirmininko paskirti už duomenų apsaugą atsakingi asmenys arba akredituotas mokymo paslaugų teikėjas
15. VTEK pirmininkas ar jo įgalioti asmenys privalo užtikrinti, kad būtų laikomasi pagrindinių asmens duomenų tvarkymo reikalavimų VTEK, kontroliuoti, kaip darbuotojai tvarko asmens duomenis, nedelsiant imtis atitinkamų organizacinių priemonių (leidžiami įsakymai, nurodymai, rekomendacijos) pašalinti asmens duomenų tvarkymo pažeidimus, kad būtų įgyvendintos duomenų valdytojui priskirtos prievolės (pavyzdžiui, įpareigojant nutraukti neteisėtus ar asmens duomenų apsaugos reikalavimus pažeidžiančius duomenų tvarkymo veiksmus, nustatyta tvarka užslaptinti asmens duomenis, sunaikinti dokumentų, kuriuose yra nurodyti asmens duomenys, kopijas ir pan.).
16. Rengiant įvairių VTEK raštų, sprendimų bei kitų dokumentų projektus rekomenduojama vengti perteklinių duomenų apie fizinius asmenis, įskaitant ekonominio pobūdžio asmens duomenų, naudojimo, jei to nereikalauja įstatymas ar kitos su konkretaus dokumento rengimu susijusios aplinkybės.
17. Tais atvejais, kai yra būtina naudoti neviešus asmens duomenis viešai skelbiamame
dokumente - turi būti daromas dokumento išrašas. Pavyzdžiui, dokumente naudojant vardą ir pavardę, turėtų būti daromas nuasmeninto dokumento išrašas su vardo ir pavardės inicialais ir dokumento išrašo pirmo lapo viršuje dešiniajame kampe turi būti užrašyta „Nuasmenintas dokumento išrašas“ (pavyzdžiui, jei tai yra sprendimas, rašoma „Nuasmenintas sprendimo išrašas“).
18. Techninės priemonės gali būti naudojamos tik prieš tai informavus asmenis, kurių duomenys bus fiksuojami, jog bus naudojamos atitinkamos priemonės ir daromi įrašai. Techninių priemonių naudojimas turi būti užfiksuotas protokoluose.
19. Su dokumentais, nuotraukomis, vaizdo ar garso įrašais, kuriuose yra asmens duomenų, tretiesiems asmenims susipažinti draudžiama. Kitiems asmenims gali būti leidžiama susipažinti su asmens duomenis turinčia informacija, tik jeigu tai yra būtina siekiant užtikrinti jų teisę į gynybą procedūros dalyvių išklausymo VTEK metu.
IV. KONFIDENCIALUMAS IR SAUGUMAS
21. VTEK darbuotojai privalo laikytis Taisyklių nuostatų ir prisidėti įgyvendinant VTEK įdiegtas organizacines ir technines priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto naikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.
22. VTEK darbuotojai turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino eidami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Konfidencialumui ir asmens duomenų saugumui užtikrinti VTEK darbuotojai pasirašo nustatytos formos konfidencialumo pasižadėjimą (Taisyklių 1 priedas).
23. Pareiga saugoti asmens duomenų paslaptį taip pat galioja darbuotoją paskyrus į kitas pareigas VTEK bei pasibaigus darbo santykiams.
24. VTEK taikomos asmens duomenų apsaugos organizacinės ir techninės priemonės (toliau - saugumo priemonės) nurodytos Taisyklių 2 priede.
25. Jeigu VTEK darbuotojas abejoja saugumo priemonių patikimumu, jis turi kreiptis į tiesioginį vadovą ir VTEK pirmininko įsakymu paskirtą asmenį, atsakingą už asmens duomenų apsaugą VTEK. Esant pagrindui, pastarasis asmuo inicijuoja papildomų saugumo priemonių organizavimą.
26. VTEK darbuotojai turi užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugodami dokumentus VTEK pirmininko įsakymais nustatyta tvarka, taip pat vengdami nereikalingų kopijų darymo. Į atskiras VTEK bylas nesegami ir nearchyvuojami dokumentai ir (ar) jų kopijos, kuriuose nurodomi asmens duomenys, turi būti sunaikinami tokiu būdu, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio. Šiam tikslui Komisijos darbuotojai privalo naudotis dokumentų naikintuvais. Kiti dokumentų ir (ar) jų kopijų, kuriuose nurodomi asmens duomenys, naikinimo būdai gali būti pasirenkami tik nesant objektyvių galimybių naudotis VTEK esančiais dokumentų naikintuvais.
27. Nereikalingos kompiuterinės laikmenos, kuriose yra asmens duomenų, turi būti ištrinamos arba kitaip sunaikinamos.
29. VTEK Administravimo skyrius turi užtikrinti, kad VTEK darbuotojai pasirašytinai susipažintų su šiomis Taisyklėmis ir tuo įsipareigotų saugoti asmens duomenų paslaptį, jei šie asmens duomenys neskirti skelbti viešai.
30. Darbuotojai kurių kompiuteriuose saugomi asmens duomenys arba iš kurių kompiuterių galima prieiti prie šaltinių, kuriuose saugomi asmens duomenys, prieigai prie asmens duomenų privalo naudoti slaptažodžius, kurie yra suteikiami, keičiami ir saugomi užtikrinant jų konfidencialumą. Slaptažodžiai turi būti unikalūs, sudaryti iš ne mažiau kaip 8 simbolių, nenaudojant asmeninio pobūdžio informacijos, keičiami ne rečiau kaip kartą per 2 mėnesius.
31. VTEK esančios elektroninės bylos, kuriose kaupiami asmens duomenys, gali būti prieinamos tik tiems VTEK darbuotojams, kuriems suteikta prieiga. VTEK kompiuteriuose yra įdiegiamos antivirusinės programos ir užtikrinamas jų atnaujinimas.
V. DUOMENŲ SUBJEKTO TEISĖS
33. Duomenų subjektai turi teisę žinoti (būti informuoti) apie savo asmens duomenų tvarkymą. Duomenų subjektams informacija apie jų asmens duomenų tvarkymą pateikiama interneto svetainėje www.vtek.lt, nurodant, kad:
33.1. duomenų subjekto asmens duomenis tvarko duomenų valdytojas – Vyriausioji tarnybinės etikos komisija, juridinio asmens kodas 188736355, Vilniaus g. 27, 01402 Vilnius;
33.2. asmens duomenys VTEK tvarkomi neautomatiniu būdu susistemintose rinkmenose ir (arba) automatiniu būdu;
34. Duomenų subjektas, VTEK pateikęs asmens tapatybę patvirtinantį dokumentą arba teisės aktų nustatyta tvarka ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, patvirtinęs savo asmens tapatybę, turi teisę neatlygintinai susipažinti su VTEK tvarkomais jo duomenimis bei gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti per paskutinius vienerius metus.
35. Duomenų subjektas turi teisę reikalauti ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų įstatymų nuostatų:
35.1. jeigu duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir kreipiasi į Komisiją, VTEK nedelsdama, ne vėliau kaip per 5 darbo dienas, patikrina asmens duomenis ir ištaiso neteisingus, neišsamius, netikslius asmens duomenis ir (arba) sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą;
35.2. jeigu duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra tvarkomi neteisėtai, nesąžiningai, ir kreipiasi į Komisiją, VTEK nedelsdama, ne vėliau kaip per 5 darbo dienas, neatlygintinai patikrina asmens duomenų tvarkymo teisėtumą, sąžiningumą ir nedelsdama sunaikina neteisėtai ir nesąžiningai sukauptus asmens duomenis ar sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą;
35.3. Komisija, duomenų subjekto prašymu sustabdžiusi jo asmens duomenų tvarkymo veiksmus, asmens duomenis, kurių tvarkymo veiksmai sustabdyti, saugo tol, kol jie bus ištaisyti ar sunaikinti (duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui). Kiti tvarkymo veiksmai su tokiais asmens duomenimis gali būti atliekami tik:
35.3.4. Komisija nedelsdama, ne vėliau kaip per 5 darbo dienas, praneša duomenų subjektui apie jo prašymu atliktą ar neatliktą asmens duomenų ištaisymą, sunaikinimą ar asmens duomenų tvarkymo veiksmų sustabdymą;
35.3.5. asmens duomenys taisomi ir naikinami arba jų tvarkymo veiksmai sustabdomi pagal duomenų subjekto tapatybę ir jo asmens duomenis patvirtinančius dokumentus, gavus duomenų subjekto prašymą;
35.3.6. jeigu Komisija abejoja duomenų subjekto pateiktų asmens duomenų teisingumu, ji sustabdo tokių duomenų tvarkymo veiksmus, duomenis patikrina ir patikslina. Tokie asmens duomenys naudojami tik jų teisingumui patikrinti;
35.3.7. VTEK nedelsdama, ne vėliau kaip per 5 darbo dienas, informuoja duomenų gavėjus apie duomenų subjekto prašymu ištaisytus ar sunaikintus asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). Tokiu atveju turi būti nedelsiant pranešama apie Valstybinei duomenų apsaugos inspekcijai.
36. Duomenų subjektas turi teisę nesutikti, kad būtų tvarkomi jo asmens duomenys, kai šie asmens duomenys VTEK yra tvarkomi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 5 straipsnio 1 dalies 5 ir 6 punktuose nustatytais atvejais:
36.1. VTEK duomenų subjekto teisę nesutikti, kad būtų tvarkomi jo asmens duomenys, įgyvendina, jeigu duomenų subjekto nesutikimas yra teisiškai pagrįstas. Tokiu atveju Komisija nedelsdama neatlygintinai nutraukia asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus, ir apie tai informuoja duomenų gavėjus;
37. Duomenų subjektai, siekdami įgyvendinti savo teises, Komisijai turi pateikti rašytinį prašymą asmeniškai, paštu ar per pasiuntinį, ar elektroninių ryšių priemonėmis. Prašymas turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, gyvenamoji vieta, duomenys ryšiui palaikyti ir informacija apie tai, kokias teises ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti.
39. Duomenų subjekto teisė susipažinti su savo asmens duomenimis įgyvendinama šia
tvarka:
39.1. Pateikęs VTEK prašymą ir asmens tapatybę patvirtinantį dokumentą arba teisės aktų nustatyta tvarka ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, patvirtinęs savo asmens tapatybę, turi teisę neatlygintinai vieną kartą per kalendorinius metus susipažinti su Komisijos tvarkomais jo duomenimis ir gauti informaciją, iš kokių šaltinių jo asmens duomenys surinkti, kokiems duomenų gavėjams yra teikiami ir buvo teikti per paskutinius vienerius metus.
39.2. Komisija, gavusi duomenų subjekto prašymą dėl jo asmens duomenų tvarkymo, per 30 kalendorinių dienų informuoja duomenų subjektą, nurodydama, ar VTEK tvarkomi su juo susiję duomenys, iš kokių šaltinių jo asmens duomenys surinkti (nurodomas duomenų valdytojo pavadinimas, juridinio asmens kodas, buveinės adresas), kokiems duomenų gavėjams yra teikiami ir buvo teikti, taip pat pateikiama kita prašoma su jo asmens duomenų tvarkymu susijusi informacija.
40. Komisija turi užtikrinti, kad visa reikalinga informacija duomenų subjektui būtų pateikiama aiškiai ir suprantamai.
41. VTEK atsisakymas vykdyti duomenų subjekto prašymą įgyvendinti jo, kaip duomenų subjekto teises, turi būti motyvuotai pagrįstas, jog duomenų valdytojas, gavęs duomenų subjekto prašymą, ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos turi pateikti jam atsakymą, jog tuo atveju, kai duomenų subjekto prašymas išreikštas rašytine forma, duomenų valdytojas turi pateikti jam atsakymą raštu.
42. VTEK privalo sudaryti sąlygas įgyvendinti Asmens duomenų teisinės apsaugos įstatyme nustatytas duomenų subjekto teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti:
43. Teisės aktų nustatytais atvejais ir tvarka VTEK gali teikti jos tvarkomus asmens duomenis tretiesiems asmenims, kuriems asmens duomenis teikti Komisiją įpareigoja įstatymai ir kiti teisės aktai pagal duomenų gavėjo prašymą (vienkartinio teikimo atveju) arba Komisijos ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį (daugkartinio teikimo atveju), atitinkančius Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 6 straipsnio reikalavimus.
VI. BAIGIAMOSIOS NUOSTATOS
44. VTEK darbuotojai privalo laikytis Taisyklių nuostatų. Už Taisyklių nuostatų pažeidimą Komisijos darbuotojai gali būti traukiami atsakomybėn teisės aktų nustatyta tvarka.
45. Asmens duomenų tvarkymo keliamos rizikos vertinimas atliekamas nustačius asmens duomenų tvarkymo pažeidimus ir kitais būtinais atvejais, bet ne rečiau kaip kartą per dvejus metus. Atliekant rizikos vertinimą išanalizuojama VTEK esanti situacija, analizuojant ir vertinant su asmens duomenų tvarkymu VTEK susijusią informaciją, šią sritį reglamentuojantys teisės aktai bei surašoma išvada dėl asmens duomenų tvarkymo keliamos rizikos. Išvadoje nurodomos siūlomos priemonės, kurių būtina imtis nustatytiems rizikos veiksniams valdyti ar šalinti bei kiti pasiūlymai dėl asmens duomenų tvarkymo tvarkos VTEK tobulinimo.
47. VTEK veiksmai ar neveikimas, kuriais pažeidžiami teisės aktai, reglamentuojantys asmens duomenų tvarkymą ir apsaugą, gali būti skundžiami Valstybinei duomenų apsaugos inspekcijai, Vyriausiajai administracinių ginčų komisijai arba Vilniaus apygardos administraciniam teismui Lietuvos Respublikos teisės aktų nustatyta tvarka.
Asmens duomenų tvarkymo Vyriausiojoje tarnybinės etikos komisijoje taisyklių 1 priedas
VYRIAUSIOJI TARNYBINĖS ETIKOS KOMISIJA
Įsipareigojimas saugoti asmens duomenų paslaptį
(forma)
Aš suprantu, kad:
- savo darbe tvarkysiu asmenis duomenis, kurie negali būti atskleisti ar perduoti neįgaliotiems asmenims ar institucijoms;
- draudžiama perduoti neįgaliotiems asmenims slaptažodžius ir kitus duomenis, leidžiančius programinėmis ir techninėmis priemonėmis sužinoti asmens duomenis ar kitaip sudaryti sąlygas susipažinti su asmens duomenimis;
- netinkamas asmens duomenų tvarkymas gali užtraukti atsakomybę pagal Lietuvos Respublikos įstatymus.
Aš įsipareigoju:
- saugoti asmens duomenų paslaptį;
- tvarkyti asmens duomenis, vadovaudamasis Lietuvos Respublikos įstatymais ir kitais teisės aktais, taip pat pareiginiais nuostatais ir taisyklėmis, reglamentuojančiomis man patikėtas asmens duomenų tvarkymo funkcijas;
- neatskleisti, neperduoti tvarkomos informacijos ir nesudaryti sąlygų įvairiomis priemonėmis su ja susipažinti nei vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija, tiek įstaigos viduje, tiek už jos ribų;
- pranešti savo vadovui ir duomenų apsaugos įgaliotiniui apie kiekvieną įtartiną situaciją, kuri gali kelti grėsmę asmens duomenų saugumui.
Aš žinau, kad:
- už šio įsipareigojimo nesilaikymą ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo pažeidimą turėsiu atsakyti pagal galiojančius Lietuvos Respublikos įstatymus;
- asmuo, patyręs žalą dėl neteisėto asmens duomenų tvarkymo arba kitų duomenų valdytojo ar duomenų tvarkytojo veiksmų ar neveikimo, turi teisę reikalauti atlyginti jam padarytą turtinę ar neturtinę žalą;
- duomenų valdytojas, duomenų tvarkytojas ar kitas asmuo, atlygina asmeniui padarytą žalą, patirtą nuostolį išreikalauja įstatymų nustatyta tvarka iš asmens duomenis tvarkančio darbuotojo, dėl kurio kaltės atsirado ši žala;
- šis įsipareigojimas galios visą mano darbo laiką šioje įstaigoje ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo santykiams.
Aš esu susipažinęs su Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir Asmens duomenų tvarkymo Vyriausiojoje tarnybinės etikos komisijoje taisyklėmis.
(parašas, vardas, pavardė, data)
Asmens duomenų tvarkymo Vyriausiojoje tarnybinės etikos komisijoje taisyklių 2 priedas
ASMENS DUOMENŲ APSAUGOS PRIEMONIŲ SĄRAŠAS
• Vyriausioji tarnybinės etikos komisija įgyvendina tinkamas organizacines ir technines priemones, skirtas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio neteisėto tvarkymo: infrastruktūrines priemones (tinkamas patalpų išdėstymas, tinkamas techninės įrangos išdėstymas ir priežiūra, griežtas priešgaisrinės saugos normų laikymasis, kontroliuojamas patekimas į Vyriausiosios tarnybinės etikos komisijos pastatą); administracinės priemones (tinkamas darbo organizavimas, darbuotojų informavimas, vidaus teisės aktų keitimas); telekomunikacines priemones (informacinių sistemų priežiūra, tinklo valdymas, naudojimosi internetu saugumo užtikrinimas, nuolat atnaujinama antivirusinė programa);
• Prieiga prie duomenų suteikiama tik tam asmeniui, kuriam duomenys yra reikalingi jo
funkcijoms vykdyti;
• su asmens duomenimis galima atlikti tik tuos veiksmus, kuriems atlikti naudotojui yra
suteiktos teisės;
• užtikrintas slaptažodžių konfidencialumas; jie yra unikalūs; sudaryti iš ne mažiau kaip 8 simbolių, nenaudojant asmeninio pobūdžio informacijos; keičiami ne rečiau kaip kartą per 2 mėnesius.
• užtikrinama asmens duomenų apsauga nuo neteisėto prisijungimo prie vidinio kompiuterinio tinklo elektroninių ryšių priemonėmis;
• užtikrinamas patalpų, kuriose saugomi asmens duomenys, saugumas (apribojamas neįgaliotų asmenų patekimas į atitinkamas patalpas ir pan.);
• užtikrinama kompiuterinės įrangos apsauga nuo kenksmingos programinės įrangos (antivirusinių programų įdiegimas, atnaujinimas ir pan.);
• kontroliuojama prieiga prie asmens duomenų tokiomis organizacinėmis ir techninėmis asmens duomenų saugumo priemonėmis, kurios fiksuoja ir kontroliuoja registravimosi bei teisių gavimo pastangas;
• užtikrinamas saugių protokolų ir (arba) slaptažodžių naudojimas, kai asmens duomenys perduodami išoriniais duomenų perdavimo tinklais;
• užtikrinama, kad informacinių sistemų testavimas nebūtų vykdomas su realiais asmens duomenimis, išskyrus būtinus atvejus, kurių metu būtų naudojamos organizacinės ir techninės asmens duomenų saugumo priemonės, užtikrinančios realių asmens duomenų saugumą;
• užtikrinamas patalpų, kuriose saugomi asmens duomenys, saugumas;
• užtikrinama kompiuterinės įrangos apsauga nuo kenksmingos programinės įrangos (pvz., antivirusinių programų įdiegimas, atnaujinimas);
• teikiamų asmens duomenų paieškos užklausoje nurodomas asmens duomenų naudojimo
tikslas (-ai);
• Jeigu asmens duomenys gaunami / teikiami išorinėje duomenų laikmenoje, užtikrinama asmens duomenų saugos kontrolė;
• asmens duomenys po jų panaudojimo ištrinami;
• jeigu asmens duomenys gaunami / teikiami elektroniniu paštu: užtikrinama asmens duomenų saugos kontrolė, asmens duomenys po jų panaudojimo ištrinami
• jeigu asmens duomenys gaunami / teikiami išoriniais duomenų perdavimo tinklais, užtikrinamas saugių protokolų (pvz., SSL) / slaptažodžių naudojimas;
• jei naudojami mobilieji įrenginiai (pvz., nešiojamieji kompiuteriai, planšetės, išmanieji telefonai) ne duomenų valdytojo ir (ar) duomenų tvarkytojo vidiniame tinkle, užtikrinama, kad juose esantys ypatingi asmens duomenys ir prisijungimo prie duomenų valdytojo ir (ar) duomenų tvarkytojo tvarkomų asmens duomenų informacija apsaugoma tokiomis priemonėmis, kurios atitiktų asmens duomenų atskleidimo keliamą riziką.