Suvestinė redakcija nuo 2024-03-30
Įsakymas paskelbtas: TAR 2022-12-27, i. k. 2022-26967
VALSTYBĖS TARNYBOS DEPARTAMENTO
PRIE LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS
DIREKTORIUS
ĮSAKYMAS
DĖL ASMENS DUOMENŲ TVARKYMO, SAUGOJIMO IR ŠIŲ DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO VIEŠOJO VALDYMO AGENTŪROJE TVARKOS APRAŠO PATVIRTINIMO
2022 m. gruodžio 27 d. Nr. 27V-127
Vilnius
Vadovaudamasis Lietuvos Respublikos Vyriausybės 2022 m. spalio 5 d. nutarimu Nr. 996 „Dėl Lietuvos Respublikos Vyriausybės 2018 m. gruodžio 12 d. nutarimo Nr. 1286 „Dėl Valstybės tarnybos departamento statuso ir pavadinimo pakeitimo“ pakeitimo“ bei siekdamas tinkamai įgyvendinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) numatytas duomenų subjektų teises ir įgyvendinti atskaitomybės principą:
1. Tvirtinu Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Viešojo valdymo agentūroje tvarkos aprašą (pridedama).
2. Pripažįstu netekusiu galios Valstybės tarnybos departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus 2019 m. balandžio 11 d. įsakymą Nr. 27V-94 „Dėl Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Valstybės tarnybos departamente prie Lietuvos Respublikos vidaus reikalų ministerijos tvarkos aprašo patvirtinimo“ su visais pakeitimais ir papildymais.
PATVIRTINTA
Valstybės tarnybos departamento prie
Lietuvos Respublikos vidaus reikalų
ministerijos direktoriaus
2022 m. gruodžio 27 d. įsakymu Nr. 27V-127
(Viešojo valdymo agentūros direktoriaus
2024 m. kovo 29 d. įsakymo Nr. V-38
redakcija)
ASMENS DUOMENŲ TVARKYMO, SAUGOJIMO IR ŠIŲ DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO VIEŠOJO VALDYMO AGENTŪROJE TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Viešojo valdymo agentūroje tvarkos aprašo (toliau – Aprašas) tikslas – nustatyti asmens duomenų tvarkymo apimtis ir duomenų subjekto teisių įgyvendinimo Viešojo valdymo agentūroje (toliau – Agentūra) tvarką siekiant, įgyvendinti atskaitomybės principą.
2. Aprašas taikomas įgyvendinant duomenų subjektų – fizinių asmenų, kurių asmens duomenis tvarko Agentūra, teises.
3. Įgyvendinant duomenų subjekto teises vadovaujamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.
II SKYRIUS
ASMENS DUOMENŲ TVARKYMAS IR SAUGOJIMAS
6. Duomenų subjektų asmens duomenis tvarko Agentūra, juridinio asmens kodas 188784211, buveinės adresas Šventaragio g. 2, LT-01510 Vilnius.
7. Agentūroje tvarkomi šių duomenų subjektų grupių asmens duomenys šiais asmens duomenų tvarkymo tikslais:
7.1. esamų ir buvusių Agentūros valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, (toliau – darbuotojai) asmens duomenys (vardas, pavardė, asmens kodas, asmens socialinio draudimo numeris, pilietybė, adresas, telefono numeris, elektroninio pašto adresas, banko sąskaitos numeris, gyvenimo aprašymas, šeiminė padėtis, pareigos, duomenys apie priėmimą (perkėlimą) į pareigas, atleidimą iš pareigų, duomenys apie išsilavinimą, kvalifikaciją, mokymą ar kvalifikacijos tobulinimą, atostogas, darbo užmokestį, išeitines išmokas, kompensacijas, pašalpas, skatinimus ir nuobaudas, informacija apie dirbtą darbo laiką, atliktus darbus ir užduotis, duomenys apie valstybės tarnautojo tarnybinės veiklos vertinimą ar darbuotojo veiklos vertinimą, viešų ir privačių interesų deklaravimo duomenys, paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, skaitmeninis garso ar vaizdo įrašas, įrašyti funkcijų vykdymo metu, bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Agentūrą įpareigoja įstatymai ir kiti teisės aktai) tvarkomi vidaus administravimo (struktūros tvarkymo, personalo valdymo, darbdavio įsipareigojimų darbuotojui vykdymo, dokumentų valdymo, apskaitos, materialinių ir finansinių išteklių naudojimo) tikslu;
7.2. pretendentų į Agentūros valstybės tarnautojo ar darbuotojo pareigas asmens duomenys (vardas, pavardė, asmens kodas, pilietybė, adresas, telefono numeris, elektroninio pašto adresas, pareigos, į kurias pretenduojama, gyvenimo aprašymas, duomenys apie išsilavinimą ir kvalifikaciją, informacija apie asmens kandidatūros tikrinimą dėl leidimo dirbti ar susipažinti su įslaptinta informacija arba dėl teisės dirbti ar susipažinti su įslaptinta informacija, žymima slaptumo žyma „Riboto naudojimo“ suteikimo, pokalbio su pretendentu į valstybės tarnautojo ar darbuotojo pareigas skaitmeninis garso ar vaizdo įrašas bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Agentūrą įpareigoja įstatymai ir kiti teisės aktai) tvarkomi norint patikrinti, ar asmuo atitinka įstatymuose ir kituose teisės aktuose nustatytus reikalavimus pareigoms eiti arba darbo funkcijoms atlikti, vertinimo kokybės ir skaidrumo užtikrinimo, archyvavimo ir statistikos tikslais;
7.3. Agentūros valstybės tarnautojo ar darbuotojo tarnybinės veiklos arba veiklos vertinimo objektyvumo ir pagrįstumo įvertinimo skaitmeninis garso ar vaizdo įrašas tvarkomas tarnybinės veiklos arba veiklos vertinimo objektyvumo ir pagrįstumo įvertinimo eigos fiksavimo ir įvertinimo objektyvumo užtikrinimo ir archyvavimo tikslais;
7.4. studentų, atliekančių ar siekiančių atlikti praktiką Agentūroje, asmens duomenys (vardas, pavardė, asmens kodas, pilietybė, adresas, telefono numeris, elektroninio pašto adresas, parašas ir kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Agentūrą įpareigoja įstatymai ir kiti teisės aktai) tvarkomi vidaus administravimo (personalo valdymo, dokumentų valdymo, materialinių ir finansinių išteklių naudojimo), archyvavimo ir statistikos tikslais;
7.5. Agentūros sudarytose sutartyse, kurių šalimi yra duomenų subjektas ir (ar) jų vykdymo metu sukurtuose dokumentuose užfiksuoti duomenys – vardas, pavardė, asmens kodas, adresas, telefono numeris, elektroninio pašto adresas, parašas, banko sąskaitos numeris, individualios veiklos pažymėjimo duomenys, mokėtinos sumos ir išskaičiuojami mokesčiai, kiti dokumentuose, adresuotuose Agentūrai, nurodomi asmens duomenys, teikiami vykdant sutartis, tvarkomi teisinių prievolių vykdymo ir Agentūros teisėtų interesų įgyvendinimo tikslais (sutarčių vykdymo, atsiskaitymo už prekes, paslaugas ar darbus, prievolių įvykdymo užtikrinimo ir pan.);
7.6. Agentūroje organizuojamų posėdžių ir pasitarimų dalyvių asmens duomenys (vardas, pavardė, atstovaujamo juridinio asmens pavadinimas, pareigos, telefono numeris, elektroninio pašto adresas, parašas, posėdžio ar pasitarimo skaitmeninis garso ar vaizdo įrašas) tvarkomi posėdžių ir pasitarimų sprendimų administravimo (protokolų surašymo ir pan.) tikslais;
7.7. asmenų, pateikusių Agentūrai skundą ar prašymą, asmens duomenys (vardas, pavardė, adresas, telefono numeris, elektroninio pašto adresas, parašas, kiti asmens duomenys, kuriuos skunde ar prašyme pateikia pats asmuo (įskaitant ir specialių kategorijų asmens duomenis) ar gauti iš kitų institucijų ar įstaigų, registrų ir informacinių sistemų, tvarkomi skundų ar prašymų nagrinėjimo, asmenų informavimo, vidaus administravimo (dokumentų valdymo) tikslais;
7.8. asmenų, siekiančių būti įtrauktais į aukštesniųjų vadovų rezervą, asmens duomenys (vardas, pavardė, adresas, telefono numeris, elektroninio pašto adresas, informacija apie įgytą išsilavinimą, kvalifikaciją bei darbinę patirtį (vadovaujamo darbo trukmė, apimtis ir organizacijos (arba padalinio), kuriai (kuriam) vadovavo, dydis), kiti asmens duomenys, kuriuos pateikia pats asmuo prašyme ir gyvenimo aprašyme), prašymo nagrinėjimo rezultatas, kuriuose yra nurodyta asmens duomenų, tvarkomi tikslu įvertinti, ar asmuo turi teisę būti įtrauktas į aukštesniųjų vadovų rezervą bei archyvavimo ir statistikos tikslais;
7.9. asmenų, esančių aukštesniųjų vadovų rezerve, asmens duomenys (vardas, pavardė, adresas, telefono numeris, elektroninio pašto adresas, parašas, informacija apie įgytą išsilavinimą, kvalifikaciją bei darbinę patirtį (vadovaujamo darbo trukmė, apimtis ir organizacijos (arba padalinio), kuriai (kuriam) vadovavo, dydis), kiti asmens duomenys, kuriuos pateikia pats asmuo prašyme ir gyvenimo aprašyme), tvarkomi tikslu telkti kompetentingus asmenis, siekiant kuo geriau panaudoti jų vadybines ir lyderystės kompetencijas, teikiant aukštesniųjų vadovų rezerve esantiems asmenims informaciją apie naujas karjeros galimybes valstybės tarnyboje, bei archyvavimo ir statistikos tikslais;
7.10. asmenų, dalyvaujančių Agentūros centralizuotai vykdomame valstybės tarnautojų kvalifikacijos tobulinime, asmens duomenys (vardas, pavardė, asmens kodas, adresas, telefono numeris, elektroninio pašto adresas, parašas, paso arba asmens tapatybės kortelės duomenys, banko sąskaitos numeris, kiti asmens duomenys, kuriuos nurodo pats asmuo ar turi pateikti įstatymų ir kitų teisės aktų nustatyta tvarka) tvarkomi tikslu įgyvendinti Agentūros centralizuotai vykdomų valstybės tarnautojų kvalifikacijos tobulinimo veiklas (mokymus, stažuotes Lietuvoje ir užsienyje) bei archyvavimo ir statistikos tikslais.
7.11. pretendentų į laisvas pareigas tarptautinėse organizacijose ir institucijose, Europos Sąjungos institucijose ir įstaigose, Europos Komisijos ar Tarybos įsteigtose institucijose, Europos Komisijos ir Europos Sąjungos valstybių narių bendrai įsteigtose organizacijose (konsorciumuose), civilinėse tarptautinėse ir Europos Sąjungos operacijose ar misijose, užsienio valstybių institucijose ir delegavimo rezervą asmens duomenys (vardas, pavardė, pareigos, gyvenimo aprašymas, kiti dokumentai, kuriuose yra asmens duomenų (įskaitant ir specialių kategorijų asmens duomenis) bei atrankų komisijos narių duomenys (vardas, pavardė, pareigos) tvarkomi atrankų į pareigas šiame papunktyje nurodytose institucijose, organizacijose, operacijose, misijose ir delegavimo rezervą organizavimo Agentūroje bei archyvavimo ir statistikos tikslais;
7.12. pretendentų, dalyvaujančių Agentūros organizuojamose atrankose dėl kvalifikacijos tobulinimo tarptautinėse ar užsienio valstybių institucijose, asmens duomenys (vardas, pavardė, pareigos, gyvenimo aprašymas, kita informacija, kurios prašo tarptautinė institucija), bei atrankų komisijos narių duomenys (vardas, pavardė, pareigos) tvarkomi atrankų dėl kvalifikacijos tobulinimo tarptautinėse ar užsienio valstybių institucijose organizavimo Agentūroje bei archyvavimo ir statistikos tikslais;
7.13. pretendentų, dalyvaujančių Agentūros organizuojamuose konkursuose asmens duomenys (vardas, pavardė, asmens kodas, pilietybė, adresas, telefono numeris, elektroninio pašto adresas, gyvenimo aprašymas, duomenys apie išsilavinimą ir kvalifikaciją, informacija apie asmens kandidatūros tikrinimą registruose suteikimo, skaitmeninis garso ar vaizdo įrašas bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Agentūrą įpareigoja įstatymai ir kiti teisės aktai) tvarkomi pretendentų tinkamumo eiti pretenduojamas pareigas, pretendentų ir vertinimo komisijos informavimo, vertinimo kokybės ir skaidrumo užtikrinimo, archyvavimo ir statistikos tikslais;
7.14. pretendentų vertinimo komisijoje ar gebėjimų atlikti pareigybės aprašyme nustatytas funkcijas tikrinimo, pretendentų pirminio vertinimo protokole nurodyti asmens duomenys (vardas, pavardė, rezultatas, pareigos, parašas ir kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Agentūrą įpareigoja įstatymai ir kiti teisės aktai) tvarkomi eigos ir rezultato įforminimo, pretendentų tinkamumo eiti pretenduojamas pareigas vertinimo, informavimo, vertinimo kokybės ir skaidrumo užtikrinimo, archyvavimo ir statistikos tikslais;
7.15. konfidencialumo pasižadėjimuose, nurodyti asmens duomenys (vardas, pavardė, pareigos, parašas) tvarkomi ir saugomi asmens duomenų apsaugos užtikrinimo ir archyvavimo tikslais;
7.16. pretendentų į įstaigos vadovo, priimamo konkurso būdu, pareigas kompleksinio vertinimo išvadose nurodyti asmens duomenys (pretendento vardas, pavardė, kompetencijų profilis, įvertinimo pagrindimas) bei vertintojų asmens duomenys (vardas, pavardė, pareigos, parašas), tvarkyti pretendentų tinkamumo eiti pretenduojamas pareigas, pretendentų ir vertinimo komisijos informavimo, vertinimo kokybės ir skaidrumo užtikrinimo tikslais, šiuo metu tvarkomi archyvavimo ir statistikos tikslais;
7.17. pretendentų į įstaigos vadovo, priimamo konkurso būdu, pareigas kompetencijų vertinimo išvadose nurodyti asmens duomenys (pretendento vardas, pavardė, kompetencijų profilis, įvertinimo pagrindimas) bei vertintojų asmens duomenys (vardas, pavardė, pareigos, parašas) tvarkomi pretendentų tinkamumo eiti pretenduojamas pareigas, pretendentų ir vertinimo komisijos informavimo, vertinimo kokybės ir skaidrumo užtikrinimo bei archyvavimo ir statistikos tikslais;
7.18. pretendentų į įstaigos vadovo, priimamo konkurso būdu, pareigas kompleksinio vertinimo užduočių atsakymų lapuose nurodyti asmens duomenys (vardas, pavardė, užduočių atsakymai ir kiti asmens duomenys, kuriuos pateikė pats asmuo ir (arba) kuriuos tvarkyti Agentūrą įpareigojo įstatymai ir kiti teisės aktai), tvarkyti pretendentų tinkamumo eiti pretenduojamas pareigas, informavimo, vertinimo kokybės ir skaidrumo užtikrinimo tikslais, šiuo metu tvarkomi archyvavimo ir statistikos tikslais;
7.19. pretendentų į įstaigos vadovo, priimamo konkurso būdu, pareigas kompetencijų vertinimo užduočių atsakymų lapuose nurodyti asmens duomenys (vardas, pavardė, užduočių atsakymai ir kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Agentūrą įpareigoja įstatymai ir kiti teisės aktai) tvarkomi pretendentų tinkamumo eiti pretenduojamas pareigas, informavimo, vertinimo kokybės ir skaidrumo užtikrinimo bei archyvavimo ir statistikos tikslais;
7.20. pretendentų į valstybės tarnautojo pareigas kompleksinio vertinimo dokumentų asmens duomenys (vardas, pavardė ir kiti asmens duomenys, kuriuos pateikė pats asmuo ir (arba) kuriuos tvarkyti Agentūrą įpareigojo įstatymai ir kiti teisės aktai) ir kompleksinio vertinimo pusiau struktūruoto interviu ir žodžiu atliekamų praktinių užduočių skaitmeninis garso ar vaizdo įrašas, tvarkyti skaidrumo ir kompleksinio vertinimo kokybės užtikrinimo tikslais, šiuo metu tvarkomi archyvavimo tikslu;
7.21. pretendentų į valstybės tarnautojo pareigas kompetencijų vertinimo dokumentų asmens duomenys (vardas, pavardė ir kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Agentūrą įpareigoja įstatymai ir kiti teisės aktai) ir kompetencijų vertinimo pusiau struktūruoto interviu ir žodžiu atliekamų praktinių užduočių skaitmeninis garso ar vaizdo įrašas tvarkomi skaidrumo ir kompetencijų vertinimo kokybės užtikrinimo ir archyvavimo tikslais;
7.22. pretendentų į įstaigos vadovo pareigas, dalyvavusių kompleksiniame vertinime, pasižadėjimuose nurodyti asmens duomenys (vardas, pavardė, pareigos, parašas), tvarkyti asmens duomenų apsaugos užtikrinimo tikslu, šiuo metu tvarkomi archyvavimo tikslu;
7.23. pretendentų į įstaigos vadovo pareigas, dalyvaujančių kompetencijų vertinime, pasižadėjimuose nurodyti asmens duomenys (vardas, pavardė, pareigos, parašas), tvarkomi asmens duomenų apsaugos užtikrinimo ir archyvavimo tikslais;
7.24. prašymuose leisti susipažinti su kompleksinio vertinimo skaitmeniniu garso ar vaizdo įrašu ar pretendentų vertinimo komisijoje skaitmeniniu garso ar vaizdo įrašu nurodyti asmens duomenys (vardas, pavardė, adresas, telefono numeris, parašas ir kiti asmens duomenys, kuriuos pateikė pats asmuo ir (arba) kuriuos tvarkyti Agentūrą įpareigojo įstatymai ir kiti teisės aktai), tvarkyti asmens duomenų apsaugos užtikrinimo tikslu, šiuo metu tvarkomi archyvavimo tikslu.
7.25. prašymuose leisti susipažinti su kompetencijų vertinimo skaitmeniniu garso ar vaizdo įrašu ar pretendentų vertinimo komisijoje skaitmeniniu garso ar vaizdo įrašu nurodyti asmens duomenys (vardas, pavardė, adresas, telefono numeris, parašas ir kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Agentūrą įpareigoja įstatymai ir kiti teisės aktai), tvarkomi asmens duomenų apsaugos užtikrinimo ir archyvavimo tikslais.
7.26. Valstybės tarnautojų registre ir Valstybės tarnybos valdymo informacinėje sistemoje asmens duomenys tvarkomi šio registro ir informacinės sistemos nuostatuose nustatytais tikslais bei Lietuvos Respublikos viešojo sektoriaus ataskaitų rengimo ir stebėsenos vykdymo tikslais.
7.27. asmenų, apsilankančių Agentūros socialinių tinklų paskyroje („LinkedIn“) asmens duomenys tvarkomi Agentūros veiklos viešinimo tikslu. Apie tai, kokią privatumo politiką, renkamus duomenis ir taikomas asmens duomenų apsaugos priemones naudoja „LinkedIn“ galima sužinoti šio socialinio tinklo privatumo politikoje;
7.28. asmenų, apsilankančių Agentūros tvarkomoje interneto svetainėje, asmens duomenys tvarkomi valstybės tarnybos valdymo, Agentūros veiklos ir vykdomų projektų viešinimo, interneto svetainės administravimo, funkcionalumo gerinimo ir statistikos tikslais;
7.29. Agentūros valstybės tarnautojų ir darbuotojų, tarnybinio elektroninio pašto naudojimo, adresatų ir laiškų siuntimo laiko duomenys – duomenų apsaugos ir valdymo tikslais tvarko Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Informatikos ir ryšių departamentas);
7.30. Agentūros svetainių administravimo, rinkmenų archyvavimo ir rinkmenų naikinimo, informacinių technologijų infrastruktūros, naršymo internete ir veiklos internete analizės duomenis informacinių sistemų duomenų apsaugos ir neteisėto interneto turinio dalinimosi užkardymo tikslais tvarko Informatikos ir ryšių departamentas;
8. Agentūra, tvarkydamas asmens duomenis, įgyvendina ir užtikrina tinkamas organizacines ir technines priemones, skirtas asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo apsaugoti. Užtikrinama prieigos prie asmens duomenų apsauga, valdymas ir kontrolė. Prieiga prie asmens duomenų gali būti suteikiama tik tiems valstybės tarnautojams ir darbuotojams, kuriems asmens duomenys yra reikalingi jų funkcijoms vykdyti. Prieigos teisės prie asmens duomenų naikinamos pasibaigus valstybės tarnautojo ar darbuotojo valstybės tarnybos ar darbo teisiniams santykiams, pasikeitus darbo funkcijoms, kurioms vykdyti prieiga prie asmens duomenų tampa nereikalinga, taip pat nutraukus asmens duomenų tvarkymo sutartį, sudarytą su asmens duomenų tvarkytoju, ar šiai sutarčiai nustojus galioti.
9. Kompiuterinės darbo vietos, tarnybinės stotys ir kita techninė įranga, kurios pagalba gali būti pasiekiami asmens duomenys, apsaugoma vadovaujantis gerosiomis informacijos saugos praktikomis ir teisės aktų reikalavimais. Draudžiamas ir griežtai kontroliuojamas nelegalios (neleistinos) programinės įrangos naudojimas. Kiti asmens duomenų saugos reikalavimai nustatomi ir įgyvendinami, vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.
10. Agentūros valstybės tarnautojai ir darbuotojai, kuriems yra suteikta teisė tvarkyti asmens duomenis, laikosi konfidencialumo principo ir laiko paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino atlikdami savo funkcijas, pasirašo Aprašo 6 priede nurodytos formos Konfidencialumo pasižadėjimą. Su asmens duomenimis galima atlikti tik tuos veiksmus, kuriems atlikti valstybės tarnautojui ar darbuotojui yra suteiktos teisės jų funkcijoms vykdyti.
11. Agentūros valstybės tarnautojai ir darbuotojai naudoja periodiškai keičiamus slaptažodžius. Šiuos slaptažodžius saugo ir žino tik valstybės tarnautojas ar darbuotojas, dirbantis konkrečiu kompiuteriu. Prireikus (pasikeitus valstybės tarnautojui ar darbuotojui, iškilus įsilaužimo grėsmei ir pan.) slaptažodžiai turi būti nedelsiant keičiami.
12. Pretendentų vertinimo komisijoje skaitmeniniai garso ar vaizdo įrašai, kompleksinio, kompetencijų vertinimo pusiau struktūruoto interviu ir žodžiu atliekamų praktinių užduočių skaitmeniniai garso ar vaizdo įrašai, pretendentų vertinimo komisijoje protokolo kopijos, kompleksinio, kompetencijų vertinimo išvadų kopijos, pretendentų, tikrinamų eiti įstaigos vadovo, priimamo konkurso būdu, pareigas, duomenų lentelės, saugomi Informatikos ir ryšių departamento administruojamuose serveriuose.
III SKYRIUS
GARSO ĮRAŠŲ IR VAIZDO STEBĖJIMO DUOMENŲ TVARKYMO YPATUMAI
13. Agentūros, įsikūrusios Lietuvos Respublikos vidaus reikalų ministerijos pastate, pastato ir teritorijos vaizdo stebėjimą vykdo Vidaus reikalų ministerija.
14. Įgyvendinant duomenų subjekto teisę susipažinti su savo garso ar vaizdo duomenimis, tvarkomais Agentūroje, užtikrinama trečiųjų asmenų teisė į privatų gyvenimą. Duomenų subjektui susipažįstant su garso įrašu panaikinama galimybė identifikuoti trečiuosius asmenis, o susipažįstant su vaizdo įrašu, jeigu vaizdo įraše matomi kiti asmenys, kurių tapatybė gali būti nustatyta, ar kita informacija, kuri gali pažeisti trečiųjų asmenų privatumą, šie vaizdai turi būti retušuoti ar kitais būdais panaikinama galimybė identifikuoti trečiuosius asmenis.
15. Agentūra užtikrina, kad prieigos teisės prie garso ir vaizdo duomenų būtų suteikiamos tik turintiems teises naudotojams ir tik tokia apimtimi, kiek jos būtinos valstybės tarnautojui ar darbuotojui funkcijoms atlikti. Prieigos teisės prie garso ar vaizdo duomenų naikinamos pasibaigus duomenų valdytojo ir jo darbuotojo darbo santykiams, pasibaigus valstybės tarnybos teisiniams santykiams, pasikeitus darbo funkcijoms, kurioms vykdyti prieiga prie garso ar vaizdo duomenų nereikalinga, taip pat nutraukus asmens duomenų tvarkymo sutartį, sudarytą su asmens duomenų tvarkytoju, ar šiai sutarčiai nustojus galioti.
16. Valstybės tarnautojai ir darbuotojai, turintys prieigos teisę prie garso ar vaizdo duomenų, pastebėję garso ar vaizdo duomenų saugumo pažeidimus (veiksmus ar neveikimą, galinčius sukelti ar sukeliančius grėsmę asmens duomenų saugumui), turi informuoti Agentūros duomenų apsaugos pareigūną. Tolimesnė procedūra vykdoma Aprašo XIII skyriuje nustatyta tvarka.
IV SKYRIUS
TEISĖ GAUTI INFORMACIJĄ APIE DUOMENŲ TVARKYMĄ
18. Bendra informacija apie Agentūros atliekamą duomenų subjektų asmens duomenų tvarkymą pateikiama Agentūros interneto svetainės (http://vva.lrv.lt) skiltyje „Asmens duomenų apsauga“, paskelbiant šį Aprašą ir kitą su asmens duomenų apsauga susijusią informaciją.
19. Kai duomenų subjekto asmens duomenys renkami tiesiogiai iš duomenų subjekto, informacija apie duomenų subjektų asmens duomenų tvarkymą, nurodyta Reglamento 13 straipsnyje, pateikiama asmens duomenų gavimo metu žodžiu ar raštu (atsižvelgiant į tai, kokiu būdu duomenų subjektas kreipiasi į Agentūrą), išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi ar gali susipažinti su privatumo pranešimais arba kai tokių duomenų rinkimo bei teikimo tvarka ir duomenų gavėjai apibrėžiama įstatymuose ir kituose teisės aktuose ar yra kitos Reglamento 14 straipsnio 5 dalyje nurodytos sąlygos. Informacija raštu teikiama pagal Aprašo 1 priede pateiktą formą.
20. Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto, apie šio duomenų subjekto asmens duomenų tvarkymą informuojama raštu (pagal Aprašo 1 priede pateiktą formą), išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi ar gali susipažinti su privatumo pranešimais arba kai tokių duomenų rinkimo bei teikimo tvarka ir duomenų gavėjai apibrėžiama įstatymuose ir kituose teisės aktuose ar yra kitos Reglamento 14 straipsnio 5 dalyje nurodytos sąlygos:
20.1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;
20.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu;
V SKYRIUS
TEISĖ SUSIPAŽINTI SU DUOMENIMIS
21. Agentūra, esant duomenų subjekto prašymui įgyvendinti teisę susipažinti su savo asmens duomenimis, turi pateikti:
21.2. su asmens duomenų tvarkymu susijusią informaciją, numatytą Reglamento 15 straipsnio 1 ir 2 dalyse, jeigu duomenų subjekto asmens duomenys tvarkomi;
22. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta tvarkomų asmens duomenų kopija ar išrašas ir kita forma, nei Agentūra pateikia, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų.
23. Susipažinimas su pretendentų dokumentais:
23.1. Pretendentas po pretendentų vertinimo komisijoje ar gebėjimų atlikti pareigybės aprašyme nustatytas funkcijas tikrinimo pabaigos (iš karto pasibaigus) arba Agentūros pasiūlytu ir su pretendentu suderintu laiku Agentūros patalpose ar nuotoliniu būdu turi teisę susipažinti su savo pretendentų vertinimo komisijoje ar gebėjimų atlikti pareigybės aprašyme nustatytas funkcijas tikrinimo metu spręstomis užduotimis ir protokolu su nuasmenintais kitų pretendentų vardais, pavardėmis, dalyvaujant Agentūros atstovui. Pretendentų spręstos užduotys ir protokolas pretendentams neišduodami, išskyrus protokolo su nuasmenintais kitų pretendentų vardais, pavardėmis išrašą, kuris išduodamas per 5 darbo dienas nuo prašymo gavimo dienos.
Pretendentas susipažinti su pretendentų pirminio vertinimo pagal pretendentų kvalifikacijos ir darbo patirties vertinimo kriterijų (-us), ir pretendentų pirminio vertinimo pagal nustatytą (-us) privalomą (-us) pirminio pretendentų vertinimo kriterijų (-us), susijusį (-ius) su kompetencijų vertinimo rezultatais, protokolais gali tik ta apimtimi, kiek tai susiję su jo vertinimu.
23.2. Pretendentas susipažinti su pretendentų vertinimo komisijoje ar gebėjimų atlikti pareigybės aprašyme nustatytas funkcijas tikrinimo skaitmeniniu garso ir (ar) vaizdo įrašu gali tik ta apimtimi, kiek tai susiję su jo vertinimu komisijoje ar gebėjimų atlikti pareigybės aprašyme nustatytas funkcijas tikrinimu. Susipažinimas su skaitmeniniu garso ar vaizdo įrašu galimas Agentūros pasiūlytu ir su pretendentu suderintu laiku Agentūros patalpose ar nuotoliniu būdu. Pretendentams skaitmeninio garso ar vaizdo įrašo kopijos neišduodamos, jie gali tik išklausyti savo garso ar peržiūrėti savo vaizdo įrašą. Susipažinimą su skaitmeniniu garso ar vaizdo įrašu organizuoja ir susipažinimo metu dalyvauja konkurso komisijos ar gebėjimų atlikti pareigybės aprašyme nustatytas funkcijas tikrinimo sekretorius (jiems nesant – kiti įgalioti Agentūros valstybės tarnautojai arba darbuotojai).
23.3. Aprašo 23.1 ir 23.2 papunkčiuose nurodyto susipažinimo metu pretendentui draudžiama daryti garso ar vaizdo įrašus, kopijas, užrašus, naudoti kitas technines priemones. Pastebėjus, kad pretendentas daro garso ar vaizdo įrašus, kopijas, užrašus, naudoja kitas technines priemones, pretendento susipažinimas nutraukiamas ir Agentūros valstybės tarnautojo arba darbuotojo akivaizdoje pretendentas turi sunaikinti padarytus įrašus, kopijas, užrašus, techninėmis priemonėmis užfiksuotą informaciją.
23.4. Susipažinimas su kompetencijų vertinimo skaitmeniniu garso ir vaizdo įrašu vykdomas Pretendentų į įstaigos vadovo, priimamo konkurso būdu, pareigas kompetencijų vertinimo organizavimo rekomendacijų, patvirtintų Agentūros direktoriaus 2024 m. vasario 22 d. įsakymu Nr. V-24 „Dėl Pretendentų į įstaigos vadovo, priimamo konkurso būdu, pareigas kompetencijų vertinimo organizavimo rekomendacijų patvirtinimo“, nustatyta tvarka.
VI SKYRIUS
TEISĖ REIKALAUTI IŠTAISYTI DUOMENIS
24. Duomenų subjektas, vadovaudamasis Reglamento 16 straipsniu, turi teisę reikalauti, kad bet kokie jo tvarkomi netikslūs asmens duomenys būtų ištaisyti, o neišsamūs papildyti.
25. Agentūra nedelsiant, bet ne vėliau kaip per 5 darbo dienas, patikrina asmens duomenis ir jeigu yra nustatoma, kad duomenų subjekto pateiktas prašymas yra pagrįstas, nedelsiant, bet ne vėliau kaip per 5 darbo dienas, ištaiso neteisingus, neišsamius, netikslius asmens duomenis arba jeigu nėra galimybių nedelsiant ištaisyti neteisingus, neišsamius ar netikslius asmens duomenis, sustabdo tokių asmens duomenų tvarkymą ir šiuos asmens duomenis saugo tol, kol jie bus ištaisyti.
26. Siekiant įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, Agentūra gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus.
27. Jeigu duomenų subjekto asmens duomenys (ištaisyti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Agentūra šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
VII SKYRIUS
TEISĖ REIKALAUTI IŠTRINTI DUOMENIS („TEISĖ BŪTI PAMIRŠTAM“)
28. Duomenų subjekto teisė ištrinti jo asmens duomenis („teisė būti pamirštam“) įgyvendinama Reglamento 17 straipsnyje numatytais atvejais.
29. Duomenų subjekto prašyme turi būti išsamiai argumentuota, dėl kokių priežasčių yra prašoma ištrinti jo asmens duomenis (prašyme turi būti nurodytas vienas iš Reglamento 17 straipsnyje nurodytų pagrindų).
30. Agentūra, gavusi duomenų subjekto prašymą, nedelsiant, bet ne vėliau kaip per 10 darbo dienų nuo prašymo gavimo dienos, atlieka prašymo įvertinimą, siekdama nustatyti, ar duomenų subjekto pateiktas prašymas yra pagrįstas.
Jeigu nustatoma, kad duomenų subjekto pateiktas prašymas yra pagrįstas, Agentūra nedelsiant, bet ne vėliau kaip per 5 darbo dienas, ištrina su duomenų subjektu susijusius asmens duomenis (išskyrus atvejus, jeigu yra bent vienas Reglamento 17 straipsnio 3 dalyje nurodytų pagrindų) arba, jeigu nėra galimybių nedelsiant sunaikinti duomenų subjekto asmens duomenų, apriboja duomenų subjekto asmens duomenų tvarkymo veiksmus.
31. Jeigu duomenų subjekto asmens duomenys (ištrinti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Agentūra šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
VIII SKYRIUS
TEISĖ APRIBOTI DUOMENŲ TVARKYMĄ
32. Reglamento 18 straipsnio 1 dalyje numatytais atvejais duomenų subjektas turi teisę reikalauti apriboti jo asmens duomenų tvarkymą.
33. Agentūra, gavusi duomenų subjekto prašymą, nedelsiant, bet ne vėliau kaip per 10 darbo dienų nuo prašymo gavimo dienos, atlieka prašymo įvertinimą, siekdama nustatyti, ar duomenų subjekto pateiktas prašymas yra pagrįstas.
Jeigu nustatoma, kad duomenų subjekto pateiktas prašymas yra pagrįstas, Agentūra apriboja duomenų subjekto asmens duomenų tvarkymą ir nedelsiant, bet ne vėliau kaip per 5 darbo dienas nuo sprendimo dėl asmens duomenų tvarkymo apribojimo priėmimo, informuoja duomenų subjektą apie jo asmens duomenų tvarkymo apribojimą.
34. Agentūra, duomenų subjekto prašymu apribojusi jo asmens duomenų tvarkymo veiksmus, asmens duomenis saugo tol, kol jie bus ištaisyti ar sunaikinti (duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui), o prieš tokio apribojimo panaikinimą duomenų subjektas raštu ar elektroninių ryšių priemonėmis yra informuojamas.
35. Jeigu duomenų subjekto asmens duomenys (kurių tvarkymas apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Agentūra šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
IX SKYRIUS
TEISĖ Į DUOMENŲ PERKELIAMUMĄ
X SKYRIUS
TEISĖ NESUTIKTI SU DUOMENŲ TVARKYMU
37. Duomenų subjektas, vadovaudamasis Reglamento 21 straipsniu, turi teisę dėl su juo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad Agentūra tvarkytų jo asmens duomenis, kai šie asmens duomenys Agentūroje yra tvarkomi Reglamento 6 straipsnio 1 dalies e arba f punktuose nustatytais atvejais.
38. Agentūra duomenų subjekto teisę nesutikti, kad būtų tvarkomi jo asmens duomenys, įgyvendina, jeigu duomenų subjekto nesutikimas yra teisiškai pagrįstas. Tokiu atveju Agentūra nedelsdama nutraukia asmens duomenų tvarkymo veiksmus, išskyrus įstatymuose ir kituose teisės aktuose nustatytus atvejus, ir apie tai informuoja duomenų gavėjus.
39. Duomenų subjektui išreiškus nesutikimą su asmens duomenų tvarkymu, toks tvarkymas atliekamas tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių atliekamas asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus.
XI SKYRIUS
PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES PATEIKIMAS
40. Kreipdamasis dėl duomenų subjekto teisių įgyvendinimo duomenų subjektas Agentūrai turi pateikti Aprašo 2 priede nurodytos formos rašytinį prašymą (toliau – prašymas) asmeniškai, paštu arba per pašto ar kitų siuntinių pristatymo paslaugas teikiančius asmenis, elektroninių ryšių priemonėmis arba elektroniniu paštu (info@vva.gov.lt).
41. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi žodžiu ar raštu asmeniškai atvykus į Agentūrą, duomenų subjektas turi patvirtinti savo asmens tapatybę, parodydamas asmens tapatybę patvirtinantį dokumentą. To nepadarius, duomenų subjekto teisės nėra įgyvendinamos. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento 13 ir 14 straipsnius.
42. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi raštu, pateikiant prašymą paštu arba per pašto ar kitų siuntinių pristatymo paslaugas teikiančius asmenis, tuomet kartu su prašymu turi būti pateikta asmens tapatybę patvirtinančio dokumento kopija. Kai teikiant prašymą naudojamos elektroninių ryšių priemonės, turi būti pateikta pasirašyto prašymo skaitmeninė kopija arba prašymas turi būti pasirašytas kvalifikuotu elektroniniu parašu arba suformuotas tokiu būdu, kuris leidžia prašymą teikiantį asmenį identifikuoti (nepavykus identifikuoti turi būti pateikta asmens tapatybę patvirtinančio dokumento kopija). Šios nuostatos netaikomos, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento 13 ir 14 straipsnius.
43. Prašymas įgyvendinti duomenų subjekto teises turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyti duomenų subjekto vardas, pavardė, adresas ir (ar) kiti kontaktiniai duomenys ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo ir informacija apie tai, kokią iš Apraše nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti.
45. Asmens atstovas prašyme turi nurodyti savo vardą, pavardę, adresą ir (ar) kitus kontaktinius duomenis ryšiui palaikyti, kuriais asmens atstovas pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę bei pateikti atstovavimą patvirtinantį dokumentą ar jo kopiją. Asmens atstovas turi patvirtinti savo asmens tapatybę, parodydamas asmens tapatybę patvirtinantį dokumentą (teikiant prašymą žodžiu ar raštu asmeniškai atvykus į Agentūrą) arba pateikti jo kopiją (teikiant prašymą paštu arba per pašto ar kitų siuntinių pristatymo paslaugas teikiančius asmenis). Kai teikiant prašymą naudojamos elektroninių ryšių priemonės, turi būti pateikta pasirašyto prašymo skaitmeninė kopija arba prašymas turi būti pasirašytas kvalifikuotu elektroniniu parašu arba suformuotas tokiu būdu, kuris leidžia prašymą teikiantį asmenį identifikuoti (nepavykus identifikuoti turi būti pateikta asmens tapatybę patvirtinančio dokumento kopija).
46. Esant abejonių dėl duomenų subjekto tapatybės, Agentūra turi teisę paprašyti papildomos informacijos, reikalingos ja įsitikinti. Tokiu atveju prašymo nagrinėjimo terminas pratęsiamas tokiam laikotarpiui, per kurį duomenų subjektas ar jo atstovas pateikia papildomą informaciją ar dokumentus.
47. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis į Agentūros duomenų apsaugos pareigūną, kurio duomenys skelbiami Agentūros interneto svetainės skiltyje „Asmens duomenų apsauga“. Siekiant užtikrinti Reglamento 38 straipsnio 5 dalyje įtvirtintą konfidencialumą, kreipiantis į duomenų apsaugos pareigūną paštu, ant voko užrašoma, kad korespondencija skirta duomenų apsaugos pareigūnui.
XII SKYRIUS
PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES NAGRINĖJIMAS
48. Gavus duomenų subjekto prašymą, ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, jam pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Jeigu prašymo nagrinėjimo metu duomenų subjektas jį patikslina (papildo) arba suformuluoja iš esmės naują prašymą, nagrinėjimo terminas skaičiuojamas nuo patikslinto (papildyto) prašymo gavimo dienos. Nurodytas laikotarpis gali būti pratęstas dar 2 mėnesiams, atsižvelgiant į prašymo sudėtingumą ir nagrinėjamų prašymų skaičių. Agentūra prieš pratęsdama prašymo nagrinėjimo terminą informuoja duomenų subjektą apie prašymo nagrinėjimo termino pratęsimą ir pateikia termino pratęsimo priežastis. Jeigu bus vėluojama pateikti informaciją, per nurodytą terminą duomenų subjektas informuojamas apie tai, nurodant vėlavimo priežastis ir apie galimybę pateikti skundą Valstybinei duomenų apsaugos inspekcijai.
49. Jeigu prašymas pateiktas nesilaikant Aprašo XI skyriuje nustatytos tvarkos ir reikalavimų, jis nenagrinėjamas, ir nedelsiant, bet ne vėliau kaip per 5 darbo dienas, duomenų subjektas apie tai informuojamas nurodant priežastis.
50. Jeigu prašymo nagrinėjimo metu nustatoma, jog duomenų subjekto teisės yra apribotos Reglamento 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.
51. Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba duomenų subjekto pasirinktu būdu: žodžiu, paštu, elektroniniu paštu ar elektroninių ryšių priemonėmis.
52. Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma, dėl jų pasikartojančio turinio, Agentūra gali atsisakyti imtis veiksmų pagal duomenų subjekto prašymą.
53. Agentūros veiksmus ar neveikimą, įgyvendinant duomenų subjekto teises, duomenų subjektas turi teisę skųsti Valstybinei duomenų apsaugos inspekcijai (L. Sapiegos g. 17, 10312 Vilnius, el. paštas ada@ada.lt, interneto svetainė www.ada.lt), taip pat Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka Regionų administraciniam teismui (Žygimantų g. 2, 01102 Vilnius, el. paštas administracinis@teismas.lt, interneto svetainė https://administracinis.teismas.lt).
XIII SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMAS
54. Įvykus bet kokiam asmens duomenų saugumo pažeidimui ar kitam incidentui, susijusiam su asmens duomenų saugumu Agentūroje, Agentūros valstybės tarnautojai ir darbuotojai, kuriems tapo žinoma apie asmens duomenų saugumo pažeidimą, privalo nedelsiant, bet ne vėliau kaip pažeidimo ar incidento paaiškėjimo ar kitą darbo dieną, informuoti Agentūros direktorių, direktoriaus pavaduotoją, duomenų apsaugos pareigūną ir savo tiesioginį vadovą (jeigu valstybės tarnautojo ar darbuotojo tiesioginis vadovas yra patarėjas, turintis pavaldžių asmenų, informuojamas ir skyriaus vedėjas).
55. Įvykus bet kokiam asmens duomenų saugumo pažeidimui, Agentūra privalo kuo greičiau ištaisyti asmens duomenų saugumo pažeidimus, eliminuoti jų pasekmes, siekiant atstatyti padėtį, kuri buvo prieš pažeidimą, imtis visų priemonių, kad pavojus arba galima žala duomenų subjektų teisėms ir laisvėms būtų sumažinta arba panaikinta.
56. Asmens duomenų saugumo pažeidimo atveju Agentūra ne vėliau kaip per 72 valandas nuo tada, kai sužinojo apie asmens duomenų saugumo pažeidimą, vadovaujantis Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo, patvirtinto Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T-72(1.12. E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“, nustatyta tvarka ir sąlygomis praneša Valstybinei duomenų apsaugos inspekcijai (išskyrus Aprašo 57 punkte nustatytus atvejus), pateikdamas nurodytos formos pranešimą (Aprašo 3 priedas).
57. Pranešimas Valstybinei duomenų apsaugos inspekcijai nėra teikiamas, jeigu asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Nustatant, ar asmens duomenų saugumo pažeidimas kelia pavojų fizinių asmenų teisėms ir laisvėms, vertinama:
57.3. duomenų subjekto identifikavimo galimybė tiesiogiai ar netiesiogiai pasinaudojant pažeidimo objektu esančiais duomenimis;
57.4. padarinių duomenų subjektui sunkumas, t. y. vertinama tokio asmens duomenų saugumo pažeidimo galimi sukelti fiziniai, materialiniai ir nematerialiniai padariniai duomenų subjekto teisėms ir laisvėms: ar duomenų subjektas praranda savo asmens duomenų kontrolę, ar pasireiškia koks nors duomenų subjektų teisių apribojimas, diskriminacija, tapatybės vagystė ar sukčiavimas, finansiniai nuostoliai, neteisėtas pseudonimo panaudojimas ar atskleidimas, žala reputacijai, konfidencialios informacijos (komercinės, gamybinės, profesinės paslapties) praradimas, jautrios informacijos atskleidimas, kiti galimi ekonominiai, socialiniai nuostoliai;
58. Preziumuojama, kad asmens duomenų saugumo pažeidimas kelia pavojų duomenų subjekto asmens teisėms ir laisvėms, kai asmens duomenų saugumo pažeidimas yra susijęs su specialių kategorijų asmens duomenimis.
59. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, Agentūra privalo ne vėliau kaip per 72 valandas pranešti apie asmens duomenų saugumo pažeidimą tiesiogiai duomenų subjektui pateikdamas nurodytos formos pranešimą (Aprašo 4 priedas). Pranešimas duomenų subjektui pateikiamas įprastu komunikavimo su duomenų subjektu būdu, dedant maksimalias pastangas, kad pranešimas pasiektų adresatą.
60. Aprašo 59 punkte nurodytas pranešimas duomenų subjektams apie asmens duomenų saugumo pažeidimus nėra teikiamas, jeigu yra bent viena Reglamento 34 straipsnio 3 dalyje nurodytų sąlygų.
61. Agentūra privalo informuoti duomenų subjektus apie asmens duomenų saugumo pažeidimą, pateikdamas nustatytos formos pranešimą, jeigu to pareikalauja Valstybinė duomenų apsaugos inspekcija.
62. Už pranešimų apie asmens duomenų saugumo pažeidimą pateikimą Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektams yra atsakingas Agentūros duomenų apsaugos pareigūnas (jo nesant – kitas Agentūros direktoriaus įgaliotas valstybės tarnautojas ar darbuotojas). Agentūros valstybės tarnautojai ir darbuotojai privalo operatyviai teikti duomenų apsaugos pareigūnui (jo nesant – kitam Agentūros direktoriaus įgaliotam valstybės tarnautojui ar darbuotojui) visą jo paprašytą su asmens duomenų saugumo pažeidimu susijusią informaciją ir dokumentus.
63. Agentūra, sudarydama bet kokio pobūdžio sutartis, kurių pagrindu yra perduodami asmens duomenys, užtikrina, kad sutartyse būtų įtvirtinta pareiga kitai sutarties šaliai pranešti Agentūrai apie asmens duomenų saugumo pažeidimo atvejus ne vėliau kaip per 24 val. nuo sužinojimo momento pateikiant pranešimo formoje nustatytą informaciją bei bendradarbiauti teikiant informaciją Valstybinei duomenų apsaugos inspekcijai ir (ar) duomenų subjektams.
64. Agentūroje tvarkomas Asmens duomenų saugumo pažeidimų registras pagal Aprašo 5 priede patvirtintą formą. Už Asmens duomenų saugumo pažeidimų registro pildymą atsakingas Agentūros duomenų apsaugos pareigūnas (jo nesant – kitas Agentūros direktoriaus įgaliotas valstybės tarnautojas ar darbuotojas). Asmens duomenų saugumo pažeidimų registre registruojami visi asmens duomenų saugumo pažeidimai, nepaisant to, ar apie juos pranešta Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektui, ar tokie pažeidimai gali sukelti pavojų duomenų subjektų teisėms ir laisvėms, ar ne. Asmens duomenų saugumo pažeidimų registras yra pateikiamas Valstybinei duomenų apsaugos inspekcijai jai pareikalavus.
65. Agentūros duomenų apsaugos pareigūnas turi nuolat stebėti asmens duomenų tvarkymo veiklą Agentūroje ir tirti bet kokius incidentus, kurie gali būti susiję su asmens duomenų saugumo pažeidimais. Esant poreikiui gali būti sudaryta darbo grupė tirti asmens duomenų saugumo pažeidimus, jų priežastis, pasekmes bei teikti pasiūlymus dėl asmens duomenų saugumo pažeidimų išvengimo ateityje. Agentūra turi nuolat tobulinti vidinius procesus, atsižvelgdama į nustatytas asmens duomenų saugumo pažeidimų priežastis.
XIV SKYRIUS
ASMENS DUOMENŲ TEIKIMAS TREČIOSIOMS ŠALIMS
66. Asmens duomenys tretiesiems asmenims teikiami tik įstatymų nustatytais atvejais ir tvarka:
66.1. asmenų, pateikusių Agentūrai skundą ar prašymą, asmens duomenys skundo ar prašymo nagrinėjimo tikslu – juridiniams ir fiziniams asmenims (įskaitant ir kitų Europos Sąjungos valstybių narių ir Europos ekonominės erdvės valstybių kompetentingas institucijas);
66.2. asmenų, pateikusių Agentūrai skundą ar prašymą, asmens duomenys ginčo dėl Agentūros priimto sprendimo teisėtumo nagrinėjimo tikslu – teismams;
66.3. Agentūros valstybės tarnautojų ir darbuotojų asmens duomenys: socialinio draudimo mokesčio administravimo tikslu – Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos, mokesčių administravimo tikslu – Valstybinei mokesčių inspekcijai prie Lietuvos Respublikos finansų ministerijos;
66.4. duomenų subjektų vaizdo stebėjimo duomenys (į Vidaus reikalų ministerijos pastato ir teritorijos vaizdo kamerų stebėjimo teritoriją patekusių duomenų subjektų vaizdo duomenys), įeigos į pastatą kontrolės duomenys, siekiant atskleisti nusikalstamas veikas, administracinius nusižengimus, įrodyti Agentūros valstybės tarnautojų ir darbuotojų, lankytojų ar turto apgadinimo metu padarytai žalai ar kaip įrodymai ikiteisminiame ar kitame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais įstatymų nustatytais atvejais ‒ ikiteisminio tyrimo įstaigoms, prokuratūrai, teismams, kitiems juridiniams ir fiziniams asmenims, kuriems įstatymai suteikia teisę gauti tokius duomenis, teikia Vidaus reikalų ministerija;
XV SKYRIUS
BAIGIAMOSIOS NUOSTATOS
Asmens duomenų tvarkymo, saugojimo ir šių
duomenų subjektų teisių įgyvendinimo Viešojo valdymo agentūroje tvarkos aprašo
1 priedas
(Informacijos apie asmens duomenų tvarkymą forma)
INFORMACIJA APIE ASMENS DUOMENŲ TVARKYMĄ
Vadovaudamiesi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 13/14 straipsniu (pasirinkti tinkamą: jei duomenys gauti iš paties duomenų subjekto, nurodomas Bendrojo duomenų apsaugos reglamento 13 straipsnis, jei iš kitų asmenų – 14 straipsnis), teikiame Jums informaciją, susijusią su Jūsų asmens duomenų tvarkymu:
1. Duomenų valdytojas – Viešojo valdymo agentūra, juridinio asmens kodas 188784211, buveinės adresas Šventaragio g. 2, LT-01510 Vilnius, tel. (8 5) 271 8235, el. pašto adresas info@vva.gov.lt.
2. Duomenų apsaugos pareigūno kontaktai – (nurodyti Viešojo valdymo agentūros duomenų apsaugos pareigūno pareigas, vardą, pavardę, telefono numerį, elektroninio pašto adresą).
3. Tvarkomi duomenys. Informuojame Jus, kad tvarkome šiuos Jūsų asmens duomenis (šiame punkte pateikiamas tvarkomų asmens duomenų (asmens duomenų kategorijų) sąrašas, nurodytas Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Viešojo valdymo agentūroje tvarkos apraše):
4. Duomenų tvarkymo tikslai. Aukščiau nurodyti Jūsų asmens duomenys yra tvarkomi šiais tikslais (šiame punkte pateikiami asmens duomenų tvarkymo tikslai, nurodyti Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Viešojo valdymo agentūroje tvarkos apraše):
5. Duomenų tvarkymo teisinis pagrindas. Jūsų asmens duomenų tvarkymo teisinis pagrindas (šiame punkte pateikiamas asmens duomenų tvarkymo pagrindas ir, atsižvelgiant į duomenų tvarkymo teisinį pagrindą, nurodoma, ar duomenų pateikimas yra nustatytas teisės aktais, arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina vykdyti norint sudaryti sutartį, taip pat tai, ar duomenų subjektas privalo pateikti asmens duomenis, ir informacija apie galimas tokių duomenų nepateikimo pasekmes. Jeigu duomenų tvarkymo pagrindas – teisėtas Viešojo valdymo agentūros ar trečiųjų asmenų interesas – aiškiai įvardinamas šis interesas) –
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
6. Duomenų šaltinis. Aukščiau nurodyti Jūsų duomenys gauti iš (šiame punkte pateikiamas asmens duomenų kilmės šaltinis ir, jeigu taikoma asmens duomenų apsauga, ar duomenys gauti iš viešai prieinamų šaltinių):
_________________________________________________________________________
_________________________________________________________________________
7. Asmens duomenų gavėjai. Jūsų asmens duomenys gali būti perduoti (šiame punkte pateikiami duomenų gavėjai (jų kategorijos):
8. Duomenų subjektų teisės. Informuojame Jus, kad turite šias teises: teisę prašyti, kad Jums būtų leista susipažinti su Jūsų asmens duomenimis ir juos ištaisyti arba ištrinti, teisę apriboti duomenų tvarkymą, teisę nesutikti, kad asmens duomenys būtų tvarkomi. Šias teises galite įgyvendinti teisės aktų nustatyta tvarka.
Prašymas dėl teisių įgyvendinimo Viešojo valdymo agentūrai turi būti pateiktas raštu (įskaitant ir elektroniniu formatu), taip pat turi būti įmanoma identifikuoti prašymą teikiančio duomenų subjekto ar jo atstovo tapatybę. Duomenų subjekto ar jo atstovo tapatybė nustatoma pagal asmens tapatybę patvirtinantį dokumentą ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį. Jeigu prašymą teikia duomenų subjekto atstovas, turi būti pateiktas atstovavimą patvirtinantis dokumentas.
Dėl duomenų subjektų teisių įgyvendinimo maloniai prašome kreiptis į duomenų apsaugos pareigūną 2 punkte nurodytais kontaktais.
9. Jūs taip pat turite teisę bet kada atšaukti sutikimą tvarkyti Jūsų duomenis. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto asmens duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui (ši pastraipa rašoma tik tada, kai duomenys yra tvarkomi sutikimo pagrindu).
10. Asmens duomenų saugojimo laikotarpis. Informuojame, kad Jūsų asmens duomenys bus saugomi ____________ laikotarpį (pateikiamas asmens duomenų saugojimo laikotarpis, nurodytas teisės akte ar Viešojo valdymo agentūros dokumentacijos plane). Šis terminas gali būti pratęstas, jei asmens duomenys yra naudojami arba gali būti naudojami kaip įrodymai ar informacijos šaltinis ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais įstatymų nustatytais atvejais. Tokiu atveju asmens duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
11. Automatizuotų sprendimų priėmimai. Informuojame, kad šie Jūsų duomenys nebus naudojami automatizuotų sprendimų priėmimui Jūsų atžvilgiu, įskaitant profiliavimą.
12. Skundų teikimas. Informuojame, kad Jūs turite teisę skųsti Viešojo valdymo agentūros veiksmus (neveikimą) Valstybinei duomenų apsaugos inspekcijai ir Regionų administraciniam teismui teisės aktų nustatyta tvarka, taip pat skųsti Regionų administraciniam teismui Valstybinės duomenų apsaugos inspekcijos veiksmus (neveikimą).
______________
Asmens duomenų tvarkymo, saugojimo ir šių
duomenų subjektų teisių įgyvendinimo Viešojo valdymo agentūroje tvarkos aprašo
2 priedas
(Prašymo įgyvendinti duomenų subjekto teisę (-es) forma)
________________________________________________________________
(duomenų subjekto vardas, pavardė (gali būti prašoma nurodyti daugiau duomenų, siekiant nustatyti, ar duomenų subjekto duomenys yra tvarkomi)
________________________________________________________________________________
(adresas ir (ar) kiti kontaktiniai duomenys (telefono numeris ar el. pašto adresas (nurodoma pareiškėjui pageidaujant)
________________________________________________________________________________
(atstovas ir atstovavimo pagrindas, jeigu prašymą pateikia duomenų subjekto atstovas)
Viešojo valdymo agentūrai
PRAŠYMAS
ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISĘ (-ES)
____________
(data)
________
(vieta)
1. Prašau įgyvendinti šią (šias) duomenų subjekto teisę (-es) (tinkamą langelį pažymėkite kryželiu):
□ Teisę gauti informaciją apie duomenų tvarkymą
□ Teisę susipažinti su duomenimis
□ Teisę reikalauti ištaisyti duomenis
□ Teisę reikalauti ištrinti duomenis („teisė būti pamirštam“)
□ Teisę apriboti duomenų tvarkymą
□ Teisę nesutikti su duomenų tvarkymu
2. Nurodykite, ko konkrečiai prašote ir pateikite kiek įmanoma daugiau informacijos, kuri leistų tinkamai įgyvendinti Jūsų teisę (-es) (pavyzdžiui, jeigu norite gauti asmens duomenų kopiją, nurodykite, kokius konkrečiai duomenis pageidaujate gauti; jeigu norite ištaisyti duomenis, nurodykite, kokie konkrečiai Jūsų asmens duomenys yra netikslūs; jeigu nesutinkate, kad būtų tvarkomi Jūsų asmens duomenys, tuomet nurodykite argumentus, kuriais grindžiate savo nesutikimą, nurodykite dėl kokio konkrečiai duomenų tvarkymo nesutinkate):
___________________________________________________________________________________________
___________________________________________________________________________________________
___________________________________________________________________________________________
___________________________________________________________________________________________
___________________________________________________________________________________________
PRIDEDAMA:
1. _____________________________________________________________________________ .
2. _____________________________________________________________________________ .
3. _____________________________________________________________________________ .
4. _____________________________________________________________________________ .
PASTABA. Turi būti įmanoma identifikuoti prašymą teikiančio duomenų subjekto ar jo atstovo tapatybę. Duomenų subjekto ar jo atstovo tapatybė nustatoma pagal asmens tapatybę patvirtinantį dokumentą ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį. Jeigu prašymą teikia duomenų subjekto atstovas, turi būti pateiktas atstovavimą patvirtinantis dokumentas. Jeigu kreipiamasi dėl netikslių duomenų ištaisymo, pateikiami tikslius duomenis patvirtinantys dokumentai. Jeigu duomenų subjekto asmens duomenys, tokie kaip vardas, pavardė, yra pasikeitę, kartu pateikiami dokumentai, patvirtinantys šių duomenų pasikeitimą.
_______________ _________________________
(parašas) (vardas, pavardė)
______________
Asmens duomenų tvarkymo, saugojimo ir šių
duomenų subjektų teisių įgyvendinimo Viešojo valdymo agentūroje tvarkos aprašo
3 priedas
(Pranešimo Valstybinei duomenų apsaugos inspekcijai apie asmens duomenų saugumo pažeidimą forma)
____________________________________________________________________________
(duomenų valdytojo pavadinimas)
____________________________________________________________________________
(juridinio asmens kodas ir buveinės adresas)
____________________________________________________________________________
(telefono ryšio numeris ir (ar) elektroninio pašto adresas, ir (ar) elektroninės siuntos pristatymo dėžutės adresas)
Valstybinei duomenų apsaugos inspekcijai
PRANEŠIMAS
APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ
____________ ____________
(data) (numeris)
1. Asmens duomenų saugumo pažeidimo apibūdinimas:
1.1. Asmens duomenų saugumo pažeidimo data ir laikas:
Asmens duomenų saugumo pažeidimo:
Data ______________ Laikas __________
Asmens duomenų saugumo pažeidimo nustatymo:
Data ______________ Laikas __________
1.2. Asmens duomenų saugumo pažeidimo vieta (pažymėti tinkamą (-us):
Informacinė sistema
Duomenų bazė
Tarnybinė stotis
Internetinė svetainė
Debesų kompiuterijos paslaugos
Nešiojami / mobilus įrenginiai
Neautomatiniu būdu susistemintos bylos (archyvas)
Kita ___________________________________________________________________
1.3. Asmens duomenų saugumo pažeidimo aplinkybės (pažymėti tinkamą (-us):
Asmens duomenų konfidencialumo praradimas (neautorizuota prieiga ar atskleidimas)
Asmens duomenų vientisumo praradimas (neautorizuotas asmens duomenų pakeitimas)
Asmens duomenų prieinamumo praradimas (asmens duomenų praradimas, sunaikinimas)
1.4. Apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius:
_____________________________________________________________________________
1.5. Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos (atskiriamos pagal jai būdingą požymį):
_____________________________________________________________________________
_____________________________________________________________________________
1.6. Asmens duomenų, kurių saugumas pažeistas, kategorijos (pažymėti tinkamą (-as):
Asmens tapatybę patvirtinantys asmens duomenys (vardas, pavardė, amžius, gimimo data, lytis ir kt.):
________________________________________________________________________________
________________________________________________________________________________
Specialių kategorijų asmens duomenys (duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, ar narystę profesinėse sąjungose, genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie lytinį gyvenimą ir lytinę orientaciją):
________________________________________________________________________________
________________________________________________________________________________
Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas:
________________________________________________________________________________
________________________________________________________________________________
Prisijungimo duomenys ir (ar) asmens identifikaciniai numeriai (pavyzdžiui, asmens kodas, slaptažodžiai):
________________________________________________________________________________
________________________________________________________________________________
Kiti:
________________________________________________________________________________
________________________________________________________________________________
Nežinomi (pranešimo teikimo metu)
1.7. Apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius:
_____________________________________________________________________________
1.8. Išsamiau apibūdinkite asmens duomenų saugumo pažeidimą, nurodykite (jei žinote) priežastis dėl kurių įvyko asmens duomenų saugumo pažeidimas ir pateikite kitą, duomenų valdytojo nuomone, reikšmingą informaciją:
________________________________________________________________________________
________________________________________________________________________________
1.9. Pranešimas kitoms įstaigoms pagal kompetenciją:
Ar informacija apie šį pažeidimą buvo perduota Lietuvos policijai? (jei galimai pažeidimas turi nusikalstamos veikos požymių)
Ar informacija apie šį pažeidimą buvo perduota Nacionaliniam kibernetinio saugumo centrui? (jei galimai pažeidimas galėjo paveikti kibernetinio saugumo subjektų ryšių ir informacines sistemas).
2. Galimos asmens duomenų saugumo pažeidimo pasekmės
2.1. Konfidencialumo praradimo atveju:
Asmens duomenų išplitimas labiau nei yra būtina ir duomenų subjekto kontrolės praradimas savo asmens duomenų atžvilgiu (pavyzdžiui, asmens duomenys išplito internete)
Skirtingos informacijos susiejimas (pavyzdžiui, gyvenamosios vietos adreso susiejimas su asmens buvimo vieta realiu laiku)
Galimas panaudojimas kitais, nei nustatytais ar neteisėtais tikslais (pavyzdžiui, komerciniais tikslais, asmens tapatybės pasisavinimo tikslu, informacijos panaudojimo prieš asmenį tikslu)
Kita
________________________________________________________________________________
________________________________________________________________________________
2.2. Vientisumo praradimo atveju:
Pakeitimas į neteisingus duomenis dėl ko asmuo gali netekti galimybės naudotis paslaugomis
Pakeitimas į galiojančius duomenis, kad asmens duomenų tvarkymas būtų nukreiptas (pavyzdžiui, pavogta asmens tapatybė susiejant vieno asmens identifikuojančius duomenis su kito asmens biometriniais duomenimis)
Kita
________________________________________________________________________________
________________________________________________________________________________
2.3. Duomenų prieinamumo praradimo atveju:
Dėl asmens duomenų trūkumo negalima teikti paslaugų (pavyzdžiui, administracinių procesų sutrikdymas, dėl ko negalima, pavyzdžiui, įgyvendinti duomenų subjekto teises)
Dėl klaidų asmens duomenų tvarkymo procesuose negalima teikti tinkamos paslaugos (pavyzdžiui, neliko tam tikros informacijos apie asmenį ir pan.)
Kita
________________________________________________________________________________
________________________________________________________________________________
3. Priemonės, kurių imtasi siekiant pašalinti pažeidimą ar sumažinti jo pasekmes
3.1. Taikytos priemonės siekiant sumažinti poveikį duomenų subjektams:
________________________________________________________________________________
________________________________________________________________________________
3.2. Taikytos priemonės siekiant pašalinti asmens duomenų saugumo pažeidimą:
________________________________________________________________________________
________________________________________________________________________________
3.3. Taikytos priemonės siekiant, kad pažeidimas nepasikartotų:
________________________________________________________________________________
________________________________________________________________________________
4. Siūlomos priemonės sumažinti asmens duomenų saugumo pažeidimo pasekmėms
________________________________________________________________________________
________________________________________________________________________________
5. Duomenų subjektų informavimas apie asmens duomenų saugumo pažeidimą
5.1. Duomenys apie informavimo faktą:
Taip, duomenų subjektai informuoti (nurodoma data) _______________________________
Ne, bet jie bus informuoti (nurodoma data) _______________________________________
Ne
5.2. Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, neinformavimo priežastys:
Ne, nes nekyla didelis pavojus duomenų subjektų teisėms ir laisvėms (nurodoma kodėl)
________________________________________________________________________________
________________________________________________________________________________
Ne, nes įgyvendintos tinkamos techninės ir organizacinės priemonės, užtikrinančios, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami (nurodomos kokios)
________________________________________________________________________________
________________________________________________________________________________
Ne, nes įgyvendintos tinkamos techninės ir organizacinės priemonės, užtikrinančios, kad nekiltų didelis pavojus duomenų subjektų teisėms ir laisvėms (nurodomos kokios)
________________________________________________________________________________
________________________________________________________________________________
Ne, nes tai pareikalautų neproporcingai daug pastangų ir apie tai viešai paskelbta (arba taikyta panaši priemonė) (nurodoma kada ir kur paskelbta informacija viešai arba jei taikyta kita priemonė, nurodoma kokia ir kada taikyta)
________________________________________________________________________________
________________________________________________________________________________
Ne, nes dar neidentifikuoti duomenų subjektai, kurių asmens duomenų saugumas pažeistas
________________________________________________________________________________
________________________________________________________________________________
5.3. Informacija, kuri buvo pateikta duomenų subjektams (gali būti pridėtas pranešimo duomenų subjektui kopija):
________________________________________________________________________________
________________________________________________________________________________
5.4. Būdas, kokiu duomenų subjektai buvo informuoti:
Paštu
Elektroniniu paštu
Kitu būdu ____________________________________________________________________
6. Asmuo galintis suteikti daugiau informacijos apie asmens duomenų saugumo pažeidimą (duomenų apsaugos pareigūnas ar kitas kontaktinis asmuo)
7. Pranešimo pateikimo Valstybinei duomenų apsaugos inspekcijai pateikimo vėlavimo priežastys
________________________________________________________________________________
________________________________________________________________________________
8. Kita reikšminga informacija
________________________________________________________________________________
________________________________________________________________________________
________________ ________________ _____________________
(pareigos) (parašas) (vardas, pavardė)
_____________________
Asmens duomenų tvarkymo, saugojimo ir šių
duomenų subjektų teisių įgyvendinimo
Viešojo valdymo agentūroje tvarkos aprašo
4 priedas
(Pranešimo duomenų subjektui apie asmens duomenų saugumo pažeidimą forma)
____________________________________________________________________________
(duomenų valdytojo (juridinio asmens) pavadinimas)
____________________________________________________________________________
(juridinio asmens kodas ir buveinės adresas)
____________________________________________________________________________
(telefono ryšio numeris ir (ar) elektroninio pašto adresas, ir (ar) elektroninės siuntos pristatymo dėžutės adresas)
Duomenų subjekto vardas, pavardė
kontaktinė informacija
PRANEŠIMAS
APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ
____________ ____________
(data) (numeris)
1. Asmens duomenų saugumo pažeidimo apibūdinimas:
1.1. Asmens duomenų saugumo pažeidimo data ir laikas:
Asmens duomenų saugumo pažeidimo:
Data ______________ Laikas __________
Asmens duomenų saugumo pažeidimo nustatymo:
Data ______________ Laikas __________
1.2. Asmens duomenų saugumo pažeidimo vieta (pažymėti tinkamą (-us):
Informacinė sistema
Duomenų bazė
Tarnybinė stotis
Internetinė svetainė
Debesų kompiuterijos paslaugos
Nešiojami / mobilus įrenginiai
Neautomatiniu būdu susistemintos bylos (archyvas)
Kita ___________________________________________________________________
1.3. Asmens duomenų saugumo pažeidimo aplinkybės (pažymėti tinkamą (-us):
Asmens duomenų konfidencialumo praradimas (neautorizuota prieiga ar atskleidimas)
Asmens duomenų vientisumo praradimas (neautorizuotas asmens duomenų pakeitimas)
Asmens duomenų prieinamumo praradimas (asmens duomenų praradimas, sunaikinimas)
1.4. Asmens duomenų, kurių saugumas pažeistas, kategorijos (pažymėti tinkamą (-as):
Asmens tapatybę patvirtinantys asmens duomenys (vardas, pavardė, amžius, gimimo data, lytis ir kt.):
___________________________________________________________________________________
_____________________________________________________________________________
Specialių kategorijų asmens duomenys (duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, ar narystę profesinėse sąjungose, genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie lytinį gyvenimą ir lytinę orientaciją):
________________________________________________________________________________
________________________________________________________________________________
Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas:
________________________________________________________________________________
________________________________________________________________________________
Prisijungimo duomenys ir (ar) asmens identifikaciniai numeriai (pavyzdžiui, asmens kodas, slaptažodžiai):
________________________________________________________________________________
________________________________________________________________________________
Kiti:
________________________________________________________________________________
________________________________________________________________________________
Nežinomi (pranešimo teikimo metu)
1.5. Apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius:
_____________________________________________________________________________
1.6. Išsamiau apibūdinkite asmens duomenų saugumo pažeidimą, nurodykite (jei žinote) priežastis dėl kurių įvyko asmens duomenų saugumo pažeidimas ir pateikite kitą, duomenų valdytojo nuomone, reikšmingą informaciją:
________________________________________________________________________________
________________________________________________________________________________
1.7. Pranešimas kitoms įstaigoms pagal kompetenciją:
Ar informacija apie šį pažeidimą buvo perduota Lietuvos policijai? (jei galimai pažeidimas turi nusikalstamos veikos požymių)
Ar informacija apie šį pažeidimą buvo perduota Nacionaliniam kibernetinio saugumo centrui? (jei galimai pažeidimas galėjo paveikti kibernetinio saugumo subjektų ryšių ir informacines sistemas).
2. Galimos asmens duomenų saugumo pažeidimo pasekmės
2.1. Konfidencialumo praradimo atveju:
Asmens duomenų išplitimas labiau nei yra būtina ir duomenų subjekto kontrolės praradimas savo asmens duomenų atžvilgiu (pavyzdžiui, asmens duomenys išplito internete)
Skirtingos informacijos susiejimas (pavyzdžiui, gyvenamosios vietos adreso susiejimas su asmens buvimo vieta realiu laiku)
Galimas panaudojimas kitais, nei nustatytais ar neteisėtais tikslais (pavyzdžiui, komerciniais tikslais, asmens tapatybės pasisavinimo tikslu, informacijos panaudojimo prieš asmenį tikslu)
Kita
________________________________________________________________________________
________________________________________________________________________________
2.2. Vientisumo praradimo atveju:
Pakeitimas į neteisingus duomenis dėl ko asmuo gali netekti galimybės naudotis paslaugomis
Pakeitimas į galiojančius duomenis, kad asmens duomenų tvarkymas būtų nukreiptas (pavyzdžiui, pavogta asmens tapatybė susiejant vieno asmens identifikuojančius duomenis su kito asmens biometriniais duomenimis)
Kita
________________________________________________________________________________
________________________________________________________________________________
2.3. Duomenų prieinamumo praradimo atveju:
Dėl asmens duomenų trūkumo negalima teikti paslaugų (pavyzdžiui, administracinių procesų sutrikdymas, dėl ko negalima, pavyzdžiui, įgyvendinti duomenų subjekto teises)
Dėl klaidų asmens duomenų tvarkymo procesuose negalima teikti tinkamos paslaugos (pavyzdžiui, neliko tam tikros informacijos apie asmenį ir pan.)
Kita
________________________________________________________________________________
________________________________________________________________________________
3. Priemonės, kurių imtasi siekiant pašalinti pažeidimą ar sumažinti jo pasekmes
3.1. Taikytos priemonės siekiant sumažinti poveikį duomenų subjektui:
________________________________________________________________________________
________________________________________________________________________________
3.2. Taikytos priemonės siekiant pašalinti asmens duomenų saugumo pažeidimą:
________________________________________________________________________________
________________________________________________________________________________
3.3. Taikytos priemonės siekiant, kad pažeidimas nepasikartotų:
________________________________________________________________________________
________________________________________________________________________________
4. Siūlomos priemonės sumažinti asmens duomenų saugumo pažeidimo pasekmėms
________________________________________________________________________________
________________________________________________________________________________
5. Valstybinės duomenų apsaugos inspekcijos informavimas apie asmens duomenų saugumo pažeidimą
5.1. Duomenys apie informavimo faktą:
Taip, informuota (nurodoma data) _______________________________
Ne, bet bus informuota (nurodoma data) _______________________________________
Ne
5.2. Valstybinės duomenų apsaugos inspekcijos neinformavimo priežastys:
________________________________________________________________________________
________________________________________________________________________________
6. Asmuo galintis suteikti daugiau informacijos apie asmens duomenų saugumo pažeidimą (duomenų apsaugos pareigūnas ar kitas kontaktinis asmuo)
7. Kita reikšminga informacija
________________________________________________________________________________
________________________________________________________________________________
________________ ________________ _____________________
(pareigos) (parašas) (vardas, pavardė)
______________
Asmens duomenų tvarkymo, saugojimo ir šių
duomenų subjektų teisių įgyvendinimo
Viešojo valdymo agentūroje tvarkos aprašo
5 priedas
(Asmens duomenų saugumo pažeidimų registro forma)
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ REGISTRAS
| Eil. Nr. |
Informacija apie pažeidimo (galimo pažeidimo) identifikavimą |
|
Informacija apie pažeidimą |
||||||||
| Kas pastebėjo pažeidimą (darbuotojas (vardas, pavardė), duomenų subjektas, kitas asmuo)?
|
Kam pranešta (pareigos, vardas, pavardė)? |
Kada pranešta (data, laikas)? |
Kokia forma pranešta (el. paštu, telefonu, žodžiu ir pan.)? |
Pažeidimo tyrimui paskirtas asmuo ar asmenų grupė (pareigos, vardas, pavardė)
|
Data, laikas, vieta |
Pobūdis (pažeidimas ir dydis) |
Kokioje sistemoje įvyko
|
Priežastis, dėl ko pažeidimas įvyko
|
Asmens duomenys, kuriems gali kilti grėsmė ir kategorija |
Ar kilo pasekmių? Jeigu taip, kokių? (fizinės, materialinės ar nematerialinės) |
|
| 1. |
|
|
|
|
|
|
|
|
|
|
|
| 2. |
|
|
|
|
|
|
|
|
|
|
|
| 3. |
|
|
|
|
|
|
|
|
|
|
|
| 4. |
|
|
|
|
|
|
|
|
|
|
|
| 5. |
|
|
|
|
|
|
|
|
|
|
|
(Asmens duomenų saugumo pažeidimų registro forma) (tęsinys)
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ REGISTRAS
| Eil. Nr. |
Duomenų subjektai, kurių asmens duomenims gali kilti grėsmė arba kurių asmens duomenys buvo pažeisti |
Pažeidimo žalos sumažinimas (pašalinimas) ir duomenų saugumo atstatymas |
Ar imtasi naujų priemonių (įrankių) diegimo? |
Pranešimo pareigos vykdymas |
Pastabos (pvz., pažeidimo nebuvo tik saugumo incidentas) |
|||||
| Skaičius |
Kategorija, sąrašas |
Preliminarus laikas pažeidimo žalai sumažinti ar pašalinti |
Priemonė ir jos taikymo data |
Priemonės taikymo tikslas ir motyvai |
Rekomendacijos |
Jeigu taip, kokių ir kokių tikslų tuo siekta? |
Ar pranešta duomenų subjektui (-ams)? Jeigu taip, kada ir kokia forma? |
Jeigu duomenų subjektui (-ams) nepranešta, kokios tokio sprendimo priežastys? |
|
|
| 1. |
|
|
|
|
|
|
|
|
|
|
| 2. |
|
|
|
|
|
|
|
|
|
|
| 3. |
|
|
|
|
|
|
|
|
|
|
| 4. |
|
|
|
|
|
|
|
|
|
|
| 5. |
|
|
|
|
|
|
|
|
|
|
__________________
Asmens duomenų tvarkymo, saugojimo ir šių
duomenų subjektų teisių įgyvendinimo Viešojo valdymo agentūroje tvarkos aprašo
6 priedas
(Konfidencialumo pasižadėjimo forma)
KONFIDENCIALUMO PASIŽADĖJIMAS
_________
(data)
_______________
(sudarymo vieta)
Aš, _____________________________________________________________________ ,
(vardas, pavardė)
_______________________________________________________________________________ ,
(pareigų pavadinimas)
patvirtinu, kad esu susipažinęs (-usi) su 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, Viešojo valdymo agentūros direktoriaus patvirtinto Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Viešojo valdymo agentūroje tvarkos aprašo, kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą, nuostatomis, ir pasižadu:
1. Laikytis asmens duomenų tvarkymo ir saugumo reikalavimų, nustatytų teisės aktuose.
2. Laikytis konfidencialumo principo ir saugoti asmens duomenų paslaptį, susijusią su bet kokiais asmens duomenimis, su kuriais susipažinau vykdydamas(-a) pavestas funkcijas visą tarnybos ar darbo laiką ir pasibaigus tarnybos ar darbo santykiams, jeigu šie asmens duomenys neskirti skelbti viešai.
3. Įgyvendinti teisės aktų, reglamentuojančių asmens duomenų apsaugą, nuostatas, numatančias, kaip asmens duomenis apsaugoti nuo neteisėto tvarkymo ar atskleidimo ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su asmens duomenimis nė vienam asmeniui, kuris nėra įgaliotas tvarkyti asmens duomenis.
4. Asmens duomenis naudoti tik tiek, kiek reikia, ir tik tokia apimtimi, kokia reikalinga pavestoms funkcijoms atlikti ir užduotims vykdyti.
5. Savo ir (ar) man artimų asmenų privačių interesų naudai nesinaudoti ir neleisti naudotis informacija, kurią įgysiu vykdydamas (-a) pavestas funkcijas, kitokia tvarka ir mastu, nei nustato Lietuvos Respublikos teisės aktai.
6. Asmens duomenų nekopijuoti, nefotografuoti arba kitu būdu nedauginti, jeigu tai nėra būtina pavestoms funkcijoms atlikti ir užduotims vykdyti.
7. Sužinojęs (-usi) apie asmens duomenų saugumo pažeidimą ir (ar) galimai neteisėtą asmens duomenų tvarkymą, nedelsdamas (-a) apie tai informuoti Viešojo valdymo agentūros direktorių, direktoriaus pavaduotoją, duomenų apsaugos pareigūną ir tiesioginį vadovą (jeigu mano tiesioginis vadovas yra patarėjas, turintis pavaldžių asmenų, informuoti ir skyriaus vedėją).
Esu informuotas (-a), kad su asmens duomenų tvarkymu susijusiais klausimais galiu kreiptis į Viešojo valdymo agentūros duomenų apsaugos pareigūną.
Esu informuotas (-a) ir suprantu, kad, pažeidęs (-usi) šiame konfidencialumo pasižadėjime išdėstytus įsipareigojimus, turėsiu atlyginti padarytą žalą Lietuvos Respublikos teisės aktų nustatyta tvarka ir kad už neteisėtą asmens duomenų atskleidimą ar kitokį tvarkymą man gali būti taikoma Lietuvos Respublikos teisės aktuose numatyta atsakomybė.
_______________________ __________________ ___________________
(pareigų pavadinimas) (parašas) (vardas ir pavardė)
_____________________
Pakeitimai:
1.
Viešojo valdymo agentūra, Įsakymas
Nr. V-38, 2024-03-29, paskelbta TAR 2024-03-29, i. k. 2024-05872
Dėl Valstybės tarnybos departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus 2022 m. gruodžio 27 d. įsakymo Nr. 27V-127 "Dėl Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Viešojo valdymo agentūroje tvarkos aprašo patvirtinimo“ pakeitimo