7.1. radijo, televizijos programų transliavimo veiklos ir retransliuojamo turinio licencijavimo tikslu tvarkomi šie asmens duomenys: vardas, pavardė, asmens kodas, gimimo data, gyvenamoji vieta (adresas korespondencijai), telefono ryšio numeris (fakso numeris), elektroninio pašto adresas, pareigos, parašas, turto dalis (akcijų (dalių, pajų) kiekis) ir balsų dalis procentais, duomenys apie teistumą ir apkaltinamuosius nuosprendžius, ir kiti asmens duomenys, jei jų yra šiuo tikslu Komisijai pateiktuose dokumentuose;

7.2. nelicencijuojamos radijo ir (ar) televizijos programų transliavimo ir (ar) retransliavimo veiklos, televizijos programų ir (ar) atskirų programų platinimo internete Lietuvos Respublikos vartotojams paslaugų, užsakomųjų audiovizualinės žiniasklaidos paslaugų ar dalijimosi vaizdo medžiaga platformos paslaugų teikimo reguliavimo tikslu tvarkomi šie asmens duomenys: vardas, pavardė, asmens kodas, gimimo data, gyvenamoji vieta (adresas korespondencijai), telefono ryšio numeris (fakso numeris), elektroninio pašto adresas, pareigos, parašas, turto dalis (akcijų (dalių, pajų) kiekis) ir balsų dalis procentais, duomenys apie teistumą ir apkaltinamuosius nuosprendžius, ir kiti asmens duomenys, jei jų yra šiuo tikslu Komisijai pateiktuose dokumentuose;

Papunkčio pakeitimai:

Nr. KS-107, 2021-05-19, paskelbta TAR 2021-05-21, i. k. 2021-11217

7.3. asmenų skundų, prašymų, įskaitant prašymus dėl transliavimo ar retransliuojamo turinio licencijos turėtojo akcijų (dalių, pajų) perleidimo ir įgijimo, ir pranešimų nagrinėjimo tikslu tvarkomi šie asmens duomenys: vardas, pavardė, asmens kodas, gimimo data, gyvenamoji vieta (adresas korespondencijai), telefono ryšio numeris (fakso numeris), elektroninio pašto adresas, pareigos, parašas, gyvenimo aprašyme nurodyti asmens duomenys, turto dalis (akcijų (dalių, pajų) kiekis) ir balsų dalis procentais, informacija apie turtinius santykius ir (ar) jungtinę veiklą, siejančią su transliavimo ir (ar) retransliuojamo turinio licencijas turinčiais asmenimis bei kitais viešosios informacijos rengėjais ir (ar) skleidėjais, duomenys apie teistumą ir apkaltinamuosius nuosprendžius, ir kiti asmens duomenys, jei jų yra šiuo tikslu Komisijai pateiktuose dokumentuose;

7.4. administracinių nuobaudų skyrimo tikslu tvarkomi šie asmens duomenys: vardas, pavardė, asmens kodas, gimimo data, pilietybė, adresas, pareigos, telefono ryšio numeris, elektroninio pašto adresas, parašas, darbovietės pavadinimas, darbovietės adresas ir kiti asmens duomenys, jei juos teisės aktų nustatyta tvarka būtina nurodyti administracinių nuobaudų skyrimo metu;

7.5. vidaus administravimo tikslu tvarkomi šie asmens duomenys: vardas, pavardė, asmens kodas, gimimo data, gyvenamoji vieta, telefono ryšio numeris, elektroninio pašto adresas, parašas, socialinio draudimo pažymėjimo serija ir numeris, gyvenimo aprašyme nurodyti asmens duomenys ir jame nurodytus faktus pagrindžiančiuose dokumentuose (diplomuose, atestatuose, pažymėjimuose, pažymose, kt.) nurodyti asmens duomenys, duomenys, įrodantys asmens teisę į Lietuvos Respublikos darbo kodekse (toliau – Darbo kodeksas) nustatytas lengvatas (duomenys apie darbuotojo neįgalumą, duomenys apie darbuotojo turimą (turimus) vaiką (vaikus) iki 14 metų ar neįgalų (neįgalius) vaiką (vaikus) iki 18 metų, darbuotojo duomenys apie jo sveikatos būklę, duomenys, kad darbuotojas vaiką (vaikus) augina vienas), pareigos, įskaitant pareigas į kurias pretenduojama, priėmimo į darbą ir atleidimo iš darbo datos, duomenys apie darbo užmokestį, informacija apie skatinimus ir nuobaudas, banko atsiskaitomosios sąskaitos duomenys ir kiti asmeniui būdingi ekonominio ar socialinio pobūdžio duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti įpareigoja įstatymai ir (arba) kiti teisės aktai;

7.6. prekių, darbų, paslaugų sutarčių su teikėjais sudarymo ir vykdymo tikslu tvarkomi šie asmens duomenys: vardas, pavardė, asmens kodas, adresas, telefono ryšio numeris, elektroninio pašto adresas, banko atsiskaitomosios sąskaitos duomenys, pareigos ir kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti įpareigoja įstatymai ir (arba) kiti teisės aktai;

7.7. naujienlaiškių prenumeratos tikslu tvarkomas asmens elektroninio pašto adresas;

7.8. praėjimo kontrolės tikslu tvarkomi šie asmens duomenys: asmens, atvykstančio į  Komisiją, veido atvaizdas, užfiksuotas nuotraukoje. Praėjimo kontrolės tikslas – užtikrinti Komisijos darbuotojų ir turto apsaugą. Praėjimo kontrolė įrengta prie centrinio įėjimo į Komisijos patalpas (prie durų žmogaus akių lygyje įrengtas domofonas su vaizdo kamera). Duomenys saugomi ne ilgiau kaip 24 valandas.

Papildyta papunkčiu:

Nr. KS-27, 2023-03-29, paskelbta TAR 2023-03-29, i. k. 2023-05585

15.1. Nacionaliniam saugumui užtikrinti svarbių objektų apsaugos koordinavimo komisijai – siekiant įvertinti asmens atitiktį nacionalinio saugumo interesams pagal Lietuvos Respublikos visuomenės informavimo įstatymo (toliau – Visuomenės informavimo įstatymas) 22 straipsnio 5 dalies 4 ir (ar) 5 punktuose, 31 straipsnio 11 dalies 4 ir (ar) 5 punktuose, 33 straipsnio 2 dalies 4 ir (ar) 5 punktuose nurodytas aplinkybes. Šiuo tikslu teikiami asmens duomenys, kuriuos privaloma pateikti pagal Nacionaliniam saugumui užtikrinti svarbių objektų apsaugos koordinavimo komisijos darbo tvarkos aprašą, patvirtintą Lietuvos Respublikos Vyriausybės 2009 m. lapkričio 25 d. nutarimu Nr. 1540 „Dėl Nacionaliniam saugumui užtikrinti svarbių objektų apsaugos koordinavimo komisijos darbo tvarkos aprašo patvirtinimo“;

15.2. Informatikos ir ryšių departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos – siekiant įvertinti asmens atitiktį nacionalinio saugumo interesams pagal Visuomenės informavimo įstatymo 22 straipsnio 5 dalies 3 punkte, 31 straipsnio 11 dalies 3 punkte ir 33 straipsnio 2 dalies 3 punkte nurodytas aplinkybes. Šiuo tikslu teikiami asmens duomenys, kuriuos privaloma pateikti pagal su Informatikos ir ryšių departamentu prie Lietuvos Respublikos vidaus reikalų ministerijos sudarytą asmens duomenų teikimo sutartį dėl Įtariamųjų, kaltinamųjų ir nuteistųjų registre tvarkomų duomenų;

15.3. Valstybinei mokesčių inspekcijai prie Lietuvos Respublikos finansų ministerijos – mokesčių administravimo tikslu. Šiuo tikslu teikiami šie asmens duomenys: vardas, pavardė, gimimo data, asmens kodas, informacija apie darbo užmokestį, banko atsiskaitomosios sąskaitos duomenys;

15.4. Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos – draudžiamųjų pajamų, socialinio draudimo įmokų, išmokų ir socialinio draudimo stažo administravimo tikslu. Šiuo tikslu teikiami šie asmens duomenys: vardas, pavardė, gimimo data, asmens kodas, socialinio draudimo pažymėjimo serija ir numeris, priėmimo į darbą ir atleidimo iš darbo datos, duomenys apie darbo užmokestį, duomenys, įrodantys darbuotojo teisę į Darbo kodekse nustatytas lengvatas (duomenys apie darbuotojo neįgalumą, duomenys apie darbuotojo turimą (turimus) vaiką (vaikus) iki 14 metų ar neįgalų (neįgalius) vaiką (vaikus) iki 18 metų, darbuotojo duomenys apie jo sveikatos būklę, duomenys, kad darbuotojas vaiką (vaikus) augina vienas),  informacija apie suteiktas atostogas ir darbo laiką;

15.5. teismams – ginčo dėl Komisijos veiksmų ar neveikimo teisėtumo nagrinėjimo tikslu. Šiuo tikslu teikiami asmens duomenys, susiję su ginču;

15.6. juridiniams asmenims – skundo, prašymo ar pranešimo nagrinėjimo tikslu ir tik jeigu būtina skundui, prašymui ar pranešimui išnagrinėti. Šiuo tikslu teikiami asmens duomenys, nurodyti asmens skunde, prašyme ar pranešime;

15.7. kitiems tretiesiems asmenims, kuriems asmens duomenis teikti Komisiją įpareigoja įstatymai ar kiti teisės aktai.

17. Duomenų subjektas turi šias teises:

18. Duomenų subjekto teisė žinoti (būti informuotam) apie asmens duomenų tvarkymą Komisijoje įgyvendinama jam pateikiant informaciją, nurodytą Reglamento 13 ir 14 straipsniuose.

19. Informacija apie Komisijos atliekamą asmens duomenų tvarkymą pateikiama:

20. Kai asmens duomenys iš duomenų subjekto renkami tiesiogiai, informacija apie asmens duomenų tvarkymą pateikiama asmens duomenų gavimo metu. Komisija turi teisę atsisakyti įgyvendinti duomenų subjekto teisę žinoti (būti informuotam) apie jo asmens duomenų tvarkymą Komisijoje arba pateikti ne visą Reglamento 13 straipsnyje nurodytą informaciją, jeigu duomenų subjektui ši informacija jau buvo pateikta.

21. Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto, apie asmens duomenų tvarkymą informuojama:

22. Komisija turi teisę neinformuoti duomenų subjekto apie asmens duomenų tvarkymą Komisijoje pagal Aprašo 21 punktą arba pateikti ne visą Reglamento 14 straipsnyje nurodytą informaciją, jeigu:

23. Komisija, įgyvendindama duomenų subjekto teisę susipažinti su savo asmens duomenimis, duomenų subjektui pateikia:

24. Komisija duomenų subjektui pateikia vieną tvarkomų asmens duomenų kopiją. Tvarkomų asmens duomenų kopija pateikiama raštu, o kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis – elektronine forma (užtikrinant saugų elektroninių duomenų ir informacijos perdavimą, pavyzdžiui, naudojant šifravimą). Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta papildoma tvarkomų asmens duomenų kopija ir (ar) kita forma, tačiau Komisija turi teisę netenkinti tokio prašymo, jei papildomos ir (ar) kitos formos duomenų subjekto tvarkomų asmens duomenų kopijos pateikimas pareikalautų neproporcingų išlaidų.

25. Duomenų subjektas, vadovaudamasis Reglamento 16 straipsniu, turi teisę reikalauti, kad bet kokie jo tvarkomi netikslūs asmens duomenys būtų ištaisyti, o neišsamūs asmens duomenys – papildyti.

26. Siekiant įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, Komisija gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus.

27. Jeigu duomenų subjekto asmens duomenys (ištaisyti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Komisija šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

28. Duomenų subjektas turi teisę reikalauti ištrinti jo asmens duomenis („teisė būti pamirštam“) tik esant Reglamento 17 straipsnio 1 dalyje nurodytoms sąlygoms, kurių egzistavimą privalo pagrįsti.

29. Komisija netenkina duomenų subjekto reikalavimo ištrinti jo asmens duomenis („teisė būti pamirštam“), jei tokių duomenų tvarkymas yra pagrindžiamas Reglamento 17 straipsnio 3 dalyje numatytomis aplinkybėmis.

30. Jeigu duomenų subjekto asmens duomenys (ištrinti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Komisija šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

31. Duomenų subjekto teisę apriboti jo asmens duomenų tvarkymą Komisija įgyvendina Reglamento 18 straipsnio 1 dalyje numatytais atvejais.

32. Komisija neatlieka jokių asmens duomenų, kurių tvarkymą duomenų subjektas paprašė apriboti, tvarkymo veiksmų, išskyrus jų saugojimą, nebent duomenų subjektas davė tam sutikimą arba Komisija siekia pareikšti, vykdyti ar apginti teisinius reikalavimus, apsaugoti kito fizinio ar juridinio asmens teises, arba asmens duomenis tvarkyti būtina dėl su viešuoju interesu susijusių priežasčių. Komisija, apribodama tokių asmens duomenų tvarkymą, imasi visų būtinų priemonių, kad būtų apribota prieiga prie tokių asmens duomenų (pavyzdžiui, išima paskelbtus asmens duomenis iš interneto svetainės, jei jie buvo paskelbti) ar kitaip užkirstas kelias atlikti bet kokius tvarkymo veiksmus su tokiais asmens duomenimis (pavyzdžiui, Komisijos dokumentų valdymo informacinėje sistemoje pažymint, kad šių asmens duomenų tvarkymas yra apribotas).

33. Kai asmens duomenys, kurių tvarkymas apribotas, yra ištaisomi ar sunaikinami (duomenų subjekto prašymu arba pasibaigus asmens duomenų saugojimo terminui), arba išnyksta priežastys, dėl kurių tvarkyti asmens duomenis yra svarbiau už duomenų subjekto interesus, teises ir laisves, tokių asmens duomenų tvarkymo apribojimas panaikinamas, o Komisija, prieš panaikindama šį apribojimą, apie tai raštu informuoja duomenų subjektą.

34. Jeigu duomenų subjekto asmens duomenys, kurių tvarkymas apribotas, buvo perduoti duomenų gavėjams, Komisija šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

35. Duomenų subjekto teisę į asmens duomenų perkeliamumą Komisija įgyvendina tik dėl tų asmens duomenų, kurie tvarkomi automatiniu būdu susistemintose rinkmenose remiantis sutartimi, kurios šalis yra duomenų subjektas.

36. Duomenų subjektas, kreipdamasis dėl teisės į asmens duomenų perkeliamumą, turi nurodyti, ar pageidauja, kad jo asmens duomenys būtų persiųsti jam ar kitam duomenų valdytojui. Duomenų subjekto asmens duomenys kitam duomenų valdytojui gali būti persiųsti, jei yra techninės galimybės pateikti asmens duomenis tiesiogiai kitam duomenų valdytojui ir užtikrinamas saugus elektroninių duomenų ir informacijos perdavimas. Komisija, duomenų subjekto prašymu persiųsdama duomenų subjekto asmens duomenis kitam duomenų valdytojui, nevertina, ar duomenų valdytojas, kuriam persiunčiami duomenų subjekto asmens duomenys, turi teisinį pagrindą gauti duomenų subjekto asmens duomenis ir, ar šis duomenų valdytojas užtikrins tinkamas asmens duomenų saugumo priemones.

37. Pagal duomenų subjekto prašymą perkelti jo asmens duomenys nėra automatiškai ištrinami. Jeigu duomenų subjektas to pageidauja, jis turi kreiptis į Komisiją dėl teisės reikalauti ištrinti asmens duomenis („teisės būti pamirštam“) įgyvendinimo.

38. Duomenų subjektas, vadovaudamasis Reglamento 21 straipsniu, turi teisę dėl su juo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad Komisija tvarkytų jo asmens duomenis.

39. Apie duomenų subjekto teisę nesutikti su asmens duomenų tvarkymu Komisija informuoja duomenų subjektą ne vėliau kaip pirmą kartą susisiekdama su juo. Komisija pateikia duomenų subjektui informaciją apie jo teisę nesutikti su asmens duomenų tvarkymu aiškiai ir atskirai nuo visos kitos teikiamos informacijos tokiu būdu, kokiu duomenų subjektas kreipiasi į Komisiją.

40. Duomenų subjektui išreiškus nesutikimą su asmens duomenų tvarkymu, toks tvarkymas atliekamas tik tuo atveju, jeigu Komisija įrodo, kad duomenų subjekto asmens duomenys tvarkomi dėl priežasčių, kurios yra svarbesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus.

41. Kreiptis dėl duomenų subjekto teisės (teisių) įgyvendinimo duomenų subjektas turi teisę žodžiu arba raštu, pateikiant prašymą įgyvendinti duomenų subjekto teisę (teises) asmeniškai, paštu ar elektroninių ryšių priemonėmis. Žodžiu gali būti teikiamas tik prašymas dėl Aprašo 17.1 papunktyje nurodytos duomenų subjekto teisės įgyvendinimo. Raštu teikiamo prašymo įgyvendinti duomenų subjekto teisę (teises) pavyzdinė forma nustatyta Aprašo priede. 

42. Duomenų subjekto raštu teikiamas prašymas įgyvendinti duomenų subjekto teisę (teises) turi būti parašytas valstybine kalba, įskaitomas, asmens pasirašytas, jame turi būti nurodyti duomenų subjekto vardas, pavardė, adresas ir (ar) kiti kontaktiniai duomenys ryšiui palaikyti ir (ar) kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo, informacija, kokią (kokias) duomenų subjekto teisę (teises) ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti, nurodyti argumentai ir (ar) pridėti įrodymai, pagrindžiantys tokį prašymą. Nevalstybine kalba pateiktas duomenų subjekto prašymas įgyvendinti duomenų subjekto teisę (teises) gali būti priimamas ir nagrinėjamas tik išimtiniais atvejais Komisijos pirmininko pavedimu.

43. Pateikdamas prašymą įgyvendinti duomenų subjekto teisę (teises), duomenų subjektas privalo patvirtinti savo tapatybę:

44. Savo teises duomenų subjektas gali įgyvendinti pats arba per atstovą.

45. Duomenų subjekto atstovas prašyme įgyvendinti duomenų subjekto teisę (teises) turi nurodyti savo vardą, pavardę, adresą ir (ar) kitus kontaktinius duomenis ryšiui palaikyti, kuriais duomenų subjekto atstovas pageidauja gauti atsakymą, taip pat atstovaujamo duomenų subjekto vardą, pavardę, informaciją, kokią (kokias) duomenų subjekto teisę (teises) ir kokia apimtimi pageidaujama įgyvendinti, nurodyti argumentai ir (ar) pridėti įrodymai, pagrindžiantys tokį prašymą. Kartu su prašymu įgyvendinti duomenų subjekto teisę (teises) duomenų subjekto atstovas privalo pateikti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą teisės aktų nustatyta tvarka.

46. Esant abejonių dėl duomenų subjekto ar jo atstovo tapatybės, Komisija gali paprašyti papildomos informacijos, reikalingos ja įsitikinti.

47. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas ar jo atstovas turi teisę kreiptis į Komisijos duomenų apsaugos pareigūną. Siekiant užtikrinti Reglamento 38 straipsnio 5 dalyje įtvirtintą konfidencialumą, kreipiantis į duomenų apsaugos pareigūną paštu, privaloma ant voko užrašyti, kad korespondencija skirta duomenų apsaugos pareigūnui.

48.     Komisija, be nepagrįsto delsimo, bet ne vėliau kaip per vieną mėnesį nuo prašymo įgyvendinti duomenų subjekto teisę (teises) gavimo dienos, duomenų subjektui ar jo atstovui pateikia informaciją apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Tas laikotarpis prireikus gali būti pratęstas Komisijos pirmininko įsakymu dar dviem mėnesiams, atsižvelgiant į prašymų įgyvendinti duomenų subjekto teisę (teises) sudėtingumą ir skaičių. Komisija per vieną mėnesį nuo prašymo gavimo dienos informuoja duomenų subjektą ar jo atstovą apie tokį pratęsimą, kartu pateikdama vėlavimo priežastis.

49. Jeigu prašymas įgyvendinti duomenų subjekto teisę (teises) pateiktas nesilaikant Aprašo IV skyriaus devintajame skirsnyje nustatytos tvarkos ir reikalavimų, Komisija jo nenagrinėja ir nedelsiant, tačiau ne vėliau kaip per 5 darbo dienas nuo prašymo įgyvendinti duomenų subjekto teisę (teises) gavimo dienos, informuoja duomenų subjektą apie tai, nurodydama atsisakymo nagrinėti prašymą priežastis.

50. Kai prašymas įgyvendinti duomenų subjekto teisę (teises) yra akivaizdžiai nepagrįstas arba neproporcingas, visų pirma dėl pasikartojančio turinio, Komisija turi teisę atsisakyti nagrinėti tokį prašymą.

51. Komisija turi teisę atsisakyti vykdyti Aprašo nuostatas atitinkantį duomenų subjekto prašymą įgyvendinti duomenų subjekto teisę (teises) esant Reglamento 23 straipsnio 1 dalyje numatytiems pagrindams.

52. Komisija atsakymą duomenų subjektui ar jo atstovui pateikia valstybine kalba  duomenų subjekto ar jo atstovo pasirinktu būdu (paštu, įteikiant asmeniškai atvykus į Komisiją arba elektroninių ryšių priemonėmis). Komisijos pirmininko pavedimu į prašymą įgyvendinti duomenų subjekto teisę (teises) gali būti atsakoma nevalstybine kalba.

53. Komisija, atsisakydama nagrinėti arba vykdyti prašymą įgyvendinti duomenų subjekto teisę (teises), duomenų subjektui ar jo atstovui pateikia tokio atsisakymo motyvus ir informuoja apie galimybę pateikti skundą Aprašo 54 punkte nurodytoms institucijoms.

54. Komisijos veiksmus ar neveikimą įgyvendinant duomenų subjekto teises turi teisę skųsti duomenų subjektas pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno siekianti įstaiga, organizacija ar asociacija, atitinkanti Reglamento 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai ir (ar) Vilniaus apygardos administraciniam teismui.

55. Komisijos nariai ir Komisijos administracijos darbuotojai, kurie eidami savo pareigas, atlikdami savo funkcijas ir (ar) vykdydami pavedimus sužino asmens duomenis, pastebėję galimą asmens duomenų saugumo pažeidimą arba sužinoję apie galimą asmens duomenų saugumo pažeidimą iš visuomenės informavimo priemonės (priemonių) ar kito šaltinio, nedelsdami apie tai informuoja Komisijos pirmininką, savo tiesioginį vadovą ir duomenų apsaugos pareigūną.

56. Komisijos pirmininkas ar jo pavedimu kitas atsakingas asmuo, nustatęs, kad asmens duomenų saugumo pažeidimas iš tikrųjų įvyko, inicijuoja ir organizuoja asmens duomenų saugumo pažeidimo tyrimą, kad būtų nustatytos aplinkybės, susijusios su asmens duomenų saugumo pažeidimu, nurodytos Aprašo 57 punkte, taip pat užtikrina, kad būtų imtasi priemonių asmens duomenų saugumo pažeidimui pašalinti ir (arba) neigiamoms asmens duomenų saugumo pažeidimo pasekmėms sumažinti.

57. Atliekant asmens duomenų saugumo pažeidimo tyrimą, tiriamos ir vertinamos:

58. Komisijos pirmininkas ar jo pavedimu kitas atsakingas asmuo užtikrina, kad be nepagrįsto delsimo ir, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo tada, kai tapo žinoma apie asmens duomenų saugumo pažeidimą, apie tai būtų pranešta Valstybinei duomenų apsaugos inspekcijai, išskyrus atvejus, kai asmens duomenų saugumo pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms. Jeigu Valstybinei duomenų apsaugos inspekcijai nepranešama per 72 valandas, pranešime nurodomos vėlavimo priežastys. Pranešimas apie asmens duomenų saugumo pažeidimą pateikiamas Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos apraše, patvirtintame Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T-72(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“, nustatyta tvarka ir sąlygomis, užpildant pranešimo apie asmens duomenų saugumo pažeidimo formą, patvirtintą Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“.

59. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, Komisijos pirmininkas ar jo pavedimu kitas atsakingas asmuo užtikrina, kad be nepagrįsto delsimo, bet ne vėliau kaip per 5 darbo dienas nuo tada, kai tapo žinoma apie asmens duomenų saugumo pažeidimą, apie asmens duomenų saugumo pažeidimą būtų pranešta duomenų subjektui (subjektams), kurio (kurių) teisėms ir laisvėms dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus. Apie asmens duomenų saugumo pažeidimą, dėl kurio gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų subjektui pranešti neprivaloma, jeigu įvykdoma bet kuri iš Reglamento 34 straipsnio 3 dalyje nurodytų sąlygų.

60. Aprašo 59 punkte nurodytame pranešime duomenų subjektui aiškiai ir suprantamai pateikiama ši informacija:

61. Duomenų subjektas (subjektai) apie asmens duomenų saugumo pažeidimą, dėl kurio gali kilti didelis pavojus jo (jų) teisėms ir laisvėms, informuojamas (informuojami) tiesiogiai pateikiant jam (jiems) Aprašo 60 punkte nurodyto turinio pranešimą raštu (paštu arba elektroninių ryšių priemonėmis). Kai tiesioginio pranešimo duomenų subjektui (subjektams) pateikimas pareikalautų neproporcingai daug pastangų ar didelių sąnaudų, vietoj to apie įvykusį asmens duomenų saugumo pažeidimą gali būti paskelbiama viešai arba taikoma panaši priemonė, kuria duomenų subjektas (subjektai) būtų informuojamas (informuojami) taip pat efektyviai (pavyzdžiui, pranešimas Komisijos interneto svetainėje ir (ar) kitomis Komisijos naudojamomis komunikacijos priemonėmis ar panašiai).

62. Komisijos pirmininkas ar jo pavedimu kitas atsakingas asmuo užtikrina, kad visi asmens duomenų saugumo pažeidimai būtų fiksuojami Asmens duomenų saugumo pažeidimų žurnale.

63. Asmens duomenų saugumo pažeidimų žurnale nurodoma:

64. Informacija apie asmens duomenų saugumo pažeidimą Asmens duomenų saugumo pažeidimų žurnale fiksuojama nedelsiant, kai tik nustatomas asmens duomenų saugumo pažeidimo faktas, nustatomos ir įvertinamos su juo susijusios aplinkybės, nurodytos Aprašo 57 punkte, tačiau ne vėliau kaip per 5 darbo dienas. Esant poreikiui, Asmens duomenų saugumo pažeidimų žurnale esanti informacija gali būti patikslinta ir (ar) papildyta.

65. Asmens duomenų saugumo pažeidimų žurnalas tvarkomas raštu, įskaitant elektronine forma, ir saugomas Komisijos pirmininko patvirtintame kasmetiniame Komisijos dokumentacijos plane nustatyta tvarka.