PATVIRTINTA

Šiaulių rajono savivaldybės

administracijos direktoriaus

2019 m. sausio 25 d. įsakymu Nr. A-97

ASMENS DUOMENŲ TVARKYMO ŠIAULIŲ RAJONO SAVIVALDYBĖS ADMINISTRACIJOJE POLITIKA

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Asmens duomenų tvarkymo Šiaulių rajono savivaldybės administracijos politikos (toliau – Politika) tikslas – reglamentuoti asmens duomenų tvarkymą Šiaulių rajono savivaldybės administracijoje (toliau – Administracija), nustatyti pagrindines asmens duomenų tvarkymo, duomenų subjekto teisių įgyvendinimo, duomenų apsaugos technines bei organizacines priemones ir kitas procedūras, siekiant užtikrinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.

2. Duomenų subjektų asmens duomenis tvarko duomenų valdytojas – Šiaulių rajono savivaldybės administracija, juridinio asmens kodas 188726051, buveinės adresas Vilniaus g. 263, 76377 Šiauliai.

3. Politikos privalo laikytis visi Administracijoje dirbantys valstybės tarnautojai, darbuotojai, dirbantys pagal darbo sutartis, ir studentai, priimti atlikti praktiką Administracijoje, valstybės politikai, stažuotojai bei kitais pagrindais atliekantys funkcijas ar vykdantys veiklą Administracijoje asmenys (toliau – Administracijos darbuotojai), kurie tvarko Administracijoje esančius asmens duomenis arba eidami savo pareigas sužino asmens duomenis.

4. Politikoje nurodytų asmens duomenų valdytojas yra Administracija, kuri užtikrina, kad asmens duomenys Administracijoje bus tvarkomi laikantis Reglamente (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose nustatytų asmens duomenų tvarkymo reikalavimų. Politikoje nurodytus asmens duomenis teisės aktų nustatytais atvejais ir tvarka gali tvarkyti ir kiti subjektai (asmens duomenų valdytojai ir tvarkytojai).

5. Administracija, kaip asmens duomenų valdytoja, atlikdama Lietuvos Respublikos įstatymuose ir kituose teisės aktuose nustatytas funkcijas, turi teisę gauti iš valstybės ir savivaldybių institucijų, įstaigų, organizacijų ir trečiųjų asmenų informaciją teisės aktų nustatyta tvarka tvarkyti asmens duomenis.

6. Politikoje vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679 ir Lietuvos Respublikos teisės aktuose.

II SKYRIUS

DUOMENŲ TVARKYMO principai IR TIKSLAI

7. Administracijos darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo laikytis pagrindinių asmens duomenų tvarkymo principų:

7.1. asmens duomenis tvarkyti teisėtai, sąžiningai ir skaidriai;

7.2. asmens duomenys turi būti renkami teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu;

7.3. renkant ir tvarkant asmens duomenis laikytis tikslingumo, proporcingumo ir duomenų kiekio mažinimo principų, t. y. nereikalauti iš interesantų pateikti tų duomenų, kurie nėra būtini Administracijos funkcijoms vykdyti, nekaupti ir netvarkyti perteklinių duomenų ir duomenų, kurie nėra būtini atitinkamiems tikslams pasiekti;

7.4. užtikrinti asmens duomenų tikslumą ir, jei reikia dėl asmens duomenų tvarkymo, juos atnaujinti; netikslius ar neišsamius duomenis ištaisyti, papildyti, sunaikinti arba jų tvarkymą sustabdyti;

7.5. asmens duomenis saugoti tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;

7.6. asmens duomenis tvarkyti tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;

7.7. asmens duomenis saugoti teisės aktų ir Politikos nustatyta tvarka.

8. Administracija, įgyvendindama savarankiškąsias ir valstybines (valstybės perduotas savivaldybėms) funkcijas, asmens duomenis pagal kompetenciją tvarko teikiamoms administracinėms paslaugoms vykdyti bei vidaus administravimo funkcijoms atlikti.

9. Neteko galios nuo 2021-04-15

Punkto naikinimas:

Nr. A-650, 2021-04-14, paskelbta TAR 2021-04-14, i. k. 2021-07721

10. Administracijos direktorius, jo pavaduotojas asmens duomenis tvarko tiek, kiek reikia organizuojant ir kontroliuojant Administracijos veiklą.

Punkto pakeitimai:

Nr. A-650, 2021-04-14, paskelbta TAR 2021-04-14, i. k. 2021-07721

11. Administracijos darbuotojai gali tvarkyti asmens duomenis ir kitais tikslais, jei tai yra būtina jiems pavestų funkcijų vykdymui.

12. Administracijos duomenų tvarkymo tikslai ir kiekvienu tikslu tvarkomų asmens duomenų kategorijos nurodomos Administracijos duomenų tvarkymo veiklos įrašuose.

III SKYRIUS

DUOMENŲ VALDYTOJO FUNKCIJOS, TEISĖS IR PAREIGOS

13. Administracija, tvarkydama asmens duomenis, atlieka šias funkcijas:

13.1. nustato asmens duomenų tvarkymo tikslus ir priemones;

13.2. užtikrina, kad asmens duomenys būtų renkami nustatytais, aiškiai apibrėžtais ir teisėtais tikslais ir toliau tvarkomi tik su tais tikslais suderinamu būdu;

13.3. užtikrina, kad asmens duomenys būtų tvarkomi teisėtai, sąžiningai ir skaidriai;

13.4. užtikrina, kad asmens duomenys būtų adekvatūs, tinkami ir tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi;

13.5. užtikrina, kad asmens duomenys būtų tikslūs ir prireikus atnaujinami, o netikslūs asmens duomenys nedelsiant ištrinami arba ištaisomi;

13.6. užtikrina, kad asmens duomenys būtų laikomi tokia forma, kad nustatyti duomenų subjekto tapatybę būtų galima ne ilgiau, nei būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;

13.7. užtikrina, kad būtų taikomos tinkamos techninės ir organizacinės duomenų saugumo priemonės, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;

13.8. užtikrina duomenų subjekto teisių įgyvendinimą.

14. Administracija turi šias teises:

14.1. rengti ir priimti vidinius teisės aktus, reglamentuojančius asmens duomenų tvarkymą;

14.2. spręsti dėl asmens duomenų teikimo;

14.3. įgalioti duomenų tvarkytojus tvarkyti asmens duomenis;

14.4. kitas teisės aktuose nustatytas teises.

15. Administracija turi šias pareigas:

15.1. užtikrinti, kad asmens duomenys būtų tvarkomi pagal teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytus asmens duomenų tvarkymo reikalavimus;

15.2. įdiegti vidinius procesus, užtikrinančius duomenų subjekto teisių įgyvendinimą;

15.3. užtikrinti asmens duomenų saugumą, įgyvendinant tinkamas organizacines ir technines asmens duomenų saugumo priemones;

15.4. parinkti tik tokį duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines asmens duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi;

15.5. paskirti duomenų apsaugos pareigūną;

15.6. pildyti duomenų tvarkymo veiklos įrašus;

15.7. teisės aktų nustatytais atvejais atlikti poveikio duomenų apsaugai vertinimą;

15.8. valdyti asmens duomenų saugumo pažeidimus ir teisės aktuose nustatytais atvejais pranešti apie juos priežiūros institucijai ir duomenų subjektams;

15.9. tiek nustatant duomenų tvarkymo priemones, tiek duomenų tvarkymo metu nuo asmens duomenų surinkimo iki saugojimo termino pabaigos įgyvendinti tinkamas technines ir organizacines priemones, įskaitant pseudonimų suteikimą, kad būtų veiksmingai įgyvendinti duomenų apsaugos principai, nurodyti Politikos 7 punkte;

15.10. kitas teisės aktuose nustatytas pareigas.

IV SKYRIUS

ASMENS DUOMENŲ TVARKYMAS

16. Administracijoje asmens duomenys tvarkomi vadovaujantis Reglamentu (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Lietuvos Respublikos elektroninių ryšių įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir privatumo apsaugą, Lietuvos standartais LST ISO/IEC 27001 ir LST ISO/IEC 27002.

17. Administracija tvarko tik tuos asmens duomenis, kurie būtini kiekvienam konkrečiam duomenų tvarkymo tikslui.

Punkto pakeitimai:

Nr. A-650, 2021-04-14, paskelbta TAR 2021-04-14, i. k. 2021-07721

18. Asmens duomenys Administracijoje tvarkomi automatiniu būdu ir (ar) neautomatiniu būdu susistemintose rinkmenose.

19. Asmens duomenys Administracijoje automatiniu būdu tvarkomi ir saugomi tarnybinėse stotyse, informacinėse sistemose, darbuotojų kompiuteriuose.

20. Asmens duomenys Administracijoje renkami tik įstatymų ir kitų teisės aktų nustatyta tvarka, juos gaunant tiesiogiai iš duomenų subjektų, oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų ar sutarčių ir teisės aktų pagrindu prisijungiant prie atskirus duomenis kaupiančių duomenų bazių, registrų ir informacinių sistemų.

21. Administracijos darbuotojai, prieš pradėdami tvarkyti asmens duomenis, pasirašo įsipareigojimus saugoti asmens duomenų paslaptį (toliau – Įsipareigojimas) (Politikos 2 priedas). Šiuo įsipareigojimu yra saugomi visi asmens duomenys, su kuriais susipažįsta Administracijos darbuotojai atliekant savo funkcijas, jeigu Lietuvos Respublikos įstatymai nenumato kitaip. Pareiga saugoti asmens duomenų paslaptį taip pat galioja darbuotoją paskyrus į kitas pareigas Administracijoje bei pasibaigus darbo santykiams. Administracijos darbuotojų pasirašyti įsipareigojimai iš naujo yra peržiūrimi ne rečiau kaip kartą per metus.

Punkto pakeitimai:

Nr. A-2160, 2020-12-14, paskelbta TAR 2020-12-14, i. k. 2020-27239

22. Administracijos darbuotojai automatiniu būdu tvarkyti asmens duomenis gali tik po to, kai jiems tokį įgaliojimą suteikia Administracijos direktorius ir teisės aktų nustatyta tvarka jiems suteikiama prieigos teisė prie bylos medžiagos, kurioje yra asmens duomenų, ar atitinkamos informacinės sistemos. Darbo santykiams pasibaigus, darbuotojui prieigos prie registrų ir kitų programų teisės panaikinamos teisės aktų nustatyta tvarka.

23. Tais atvejais, kai yra naudojami asmens duomenys viešai skelbiamame dokumente – asmens duomenys yra nuasmeninami. Pavyzdžiui, dokumente naudojant vardą ir pavardę, asmens vardas ir pavardė yra nerašomi, o į jų vietą parašoma „(duomenys neskelbtini)“.

24. Administracija, kaip duomenų tvarkytoja, tvarko asmens duomenis valstybės registruose, informacinėse sistemose atitinkamo registro, informacinės sistemos nuostatų nustatyta tvarka.

25. Garso ir vaizdo įrašymo priemonės Administracijoje yra naudojamos tik prieš tai informavus asmenis, kurių duomenys bus fiksuojami. Garso ir vaizdo įrašymo priemonių naudojimas turi būti užfiksuotas protokoluose.

26. Administracijos renginiuose, kurių metu bus filmuojama ar fotografuojama, Administracijos darbuotojas pateikia informacinę medžiagą (3 Politikos priedas) renginio dalyviams matomoje vietoje, o jeigu nėra galimybės, nurodytą informacinę medžiagą pateikia žodžiu.

27. Su dokumentais, nuotraukomis, vaizdo ar garso įrašais, kuriuose yra asmens duomenų, tretiesiems asmenims susipažinti draudžiama. Kitiems asmenims gali būti leidžiama susipažinti su asmens duomenis turinčia informacija, tik jeigu tai yra būtina siekiant užtikrinti jų teisę į gynybą procedūros dalyvių išklausymo Administracijoje metu.

V SKYRIUS

DUOMENŲ SAUGOJIMO IR SUNAIKINIMO TVARKA

28. Asmens duomenų saugojimo terminus ir veiksmus, kurie atliekami pasibaigus šiam terminui, nustato teisės aktai, reglamentuojantys asmens duomenų tvarkymą. Konkretūs asmens dokumentų (duomenų) saugojimo terminai yra nustatomi Administracijos direktoriaus patvirtintame dokumentacijos plane.

29. Administracijos tvarkomi asmens duomenys saugomi serveriuose, esančiuose Europos Sąjungos teritorijoje.

30. Asmens duomenys Administracijoje saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.

31. Dokumentus, kuriuose yra asmens duomenų, saugo Administracijos padaliniai dokumentacijos plane patvirtintą terminą. Administracijos padaliniai, vadovaudamiesi Lietuvos Respublikos dokumentų ir archyvų įstatymu ir Bendrųjų dokumentų saugojimo terminų rodykle, patvirtinta Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“, perduoda dokumentus saugoti į Administracijos Civilinės metrikacijos skyriaus Archyvo poskyrį. Pasibaigus dokumentacijos plane nustatytam saugojimo terminui, dokumentai, kuriuose yra asmens duomenų, sunaikinami arba perduodami saugoti valstybės archyvui.

32. Informacinėse sistemose įrašyti asmens duomenys saugomi kartu su kitais duomenimis duomenų bazėje, o vėliau perduodami į duomenų bazės archyvą. Jų saugojimo terminus ir tvarką reglamentuoja Lietuvos Respublikos teisės aktai, Administracijos informacinės sistemos duomenų saugumo nuostatai, patvirtinti Administracijos direktoriaus 2016 m. vasario 8 d. įsakymu Nr. A-148, ir kiekvienais metais tvirtinami Administracijos dokumentacijos planai.

33. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie yra sunaikinami, išskyrus tuos asmens duomenis, kurie įstatymų nustatyta tvarka turi būti perduodami į valstybės archyvą ar kitais teisės aktų reglamentuojamais atvejais.

34. Dokumentai, kuriuose yra asmens duomenų, ar jų kopijos turi būti sunaikinti taip, kad jų nebūtų galima atkurti ir atpažinti turinio.

35. Už asmens duomenų sunaikinimą dokumentuose, nurodytuose Administracijos dokumentacijos plane, informacinėse sistemose ir duomenų bazėse atsakingas Administracijos Informacinių technologijų skyrius, už asmens duomenų turinčių dokumentų, saugomų ir tvarkomų Administracijos padaliniuose ir neįtrauktų į Administracijos dokumentacijos planą, sunaikinimą atsakingi atitinkamų padalinių vadovai.

Punkto pakeitimai:

Nr. A-650, 2021-04-14, paskelbta TAR 2021-04-14, i. k. 2021-07721

VI SKYRIUS

DARBUOTOJŲ ASMENS DUOMENŲ TVARKYMAS IR SAUGOJIMAS

36. Darbuotojų asmens duomenis turi teisę tvarkyti tik tie asmenys, kuriems jie yra būtini funkcijoms vykdyti, ir tik tuomet, kai tai yra būtina atitinkamiems tikslams pasiekti.

37. Darbuotojų asmens duomenys saugomi asmens bylose bei atitinkamose Administracijos tvarkomose duomenų bazėse.

38. Administracijos darbuotojai apie jų asmens duomenų tvarkymą informuojami raštu duomenų gavimo metu ar prieš gaunant asmens duomenis, jiems pateikiant Politikos 4 priede nustatytą formą. Užpildyta forma yra segama į Administracijos darbuotojų asmens bylas.

39. Administracija vykdo nuolatinę tarnybinių automobilių stebėseną naudodama vietos nustatymo įrenginius (toliau – Įrenginiai). Apie šių įrenginių naudojimą Administracijos darbuotojai informuojami Šiaulių rajono savivaldybės administracijos direktoriaus patvirtintu Asmens duomenų tvarkymo vykdant darbuotojų tarnybinių automobilių naudojimo stebėseną tvarkos aprašu.

Punkto pakeitimai:

Nr. A-326, 2019-03-15, paskelbta TAR 2019-03-15, i. k. 2019-04202

40. Darbuotojų, kaip duomenų subjektų, teisės Administracijoje įgyvendinamos vadovaujantis Reglamentu (ES) 2016/679 ir Duomenų subjektų teisių įgyvendinimo Šiaulių rajono savivaldybės administracijoje tvarkos aprašu, kurį tvirtina Administracijos direktorius.

VII SKYRIUS

REIKALAVIMAI ADMINISTRACIJOS DARBUOTOJAMS, TVARKANTIEMS ASMENS DUOMENIS

41. Administracija užtikrina, kad asmens duomenis tvarkytų ar su jais susipažinti galėtų tik tie Administracijos darbuotojai, kuriems tokie duomenys yra reikalingi jų funkcijoms atlikti.

42. Administracijos darbuotojai, tvarkydami asmens duomenis informacinėse sistemose, su asmens duomenimis gali atlikti tik tuos veiksmus, kuriems atlikti yra suteiktos teisės.

43. Administracijos darbuotojai, tvarkantys asmens duomenis, privalo:

43.1. laikytis su asmens duomenų tvarkymu susijusių principų ir saugumo reikalavimų, įtvirtintų Reglamente (ES) 2016/679, Politikoje ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą ir privatumo apsaugą;

43.2. laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino atlikdami savo funkcijas, nebent tokia informacija yra vieša pagal galiojančių teisės aktų reikalavimus;

43.3. neatskleisti, neperduoti ar kitu būdu nesudaryti galimybės naudotis ir (ar) susipažinti su asmens duomenimis nė vienam asmeniui, kuriam nėra pavesta dirbti ir (ar) susipažinti su asmens duomenimis Administracijoje ar už jos ribų;

43.4. netvarkyti asmens duomenų, jeigu nėra tam įgalioti;

43.5. duomenų subjektų pateiktus dokumentus ir jų kopijas, finansavimo, buhalterinės apskaitos ir atskaitomybės, archyvines ar kitas bylas, kuriose yra asmens duomenų, saugoti rakinamose spintose, seifuose arba patalpose. Dokumentus, kuriuose yra asmens duomenų, laikyti taip, kad teisės susipažinti su asmens duomenimis neturintys asmenys negalėtų su jais susipažinti (švaraus stalo politika);

43.6. nedelsiant pranešti duomenų apsaugos pareigūnui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę Administracijos tvarkomų asmens duomenų saugumui.

44. Administracijos darbuotojas netenka teisės tvarkyti asmens duomenis, kai pasibaigia jo darbo santykiai su Administracija arba kai jam pavedama vykdyti su duomenų tvarkymu nesusijusias funkcijas.

VIII SKYRIUS

DUOMENŲ APSAUGOS PAREIGŪNAS

45. Administracija asmens duomenis tvarko kaip valdžios įstaiga, atsižvelgiant į tai Administracijoje yra paskiriamas duomenų apsaugos pareigūnas.

46. Administracija apie duomenų apsaugos pareigūno paskyrimą praneša Valstybinei duomenų apsaugos inspekcijai.

47. Administracija užtikrina duomenų apsaugos pareigūnui garantijas, įtvirtintas Reglamento (ES) 2016/679 38 straipsnyje.

48. Duomenų apsaugos pareigūnas vykdo Reglamento (ES) 2016/679 39 straipsnyje nurodytas užduotis.

49. Administracijos darbuotojai, tvarkantys asmens duomenis ar organizuojantys jų tvarkymą, siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam duomenų tvarkymui, privalo konsultuotis su duomenų apsaugos pareigūnu ir gauti jo nuomonę šiais atvejais:

49.1. keičiant esančius ar nustatant naujus asmens duomenų tvarkymo procesus;

49.2. tobulinant esamas ar diegiant naujas su asmens duomenų tvarkymu susijusias sistemas ar programas;

49.3. atliekant poveikio duomenų apsaugai vertinimą;

49.4. rengiant su asmens duomenų tvarkymu susijusius vidaus teisės aktus;

49.5. rengiant naujas ar keičiant esamas asmens duomenų teikimo, duomenų tvarkymo sutartis;

49.6. sprendžiant dėl asmens duomenų teikimo tretiesiems asmenims, jeigu toks teikimas nėra numatytas asmens duomenų teikimo sutartyje ar nėra reglamentuotas teisės aktuose;

49.7. kitais atvejais, jeigu klausimas susijęs su asmens duomenų apsauga Administracijoje.

50. Priimant sprendimus Politikos 49.1–49.6 papunkčiuose nurodytais atvejais, duomenų apsaugos pareigūno nuomonė gaunama raštu. Jeigu priimant šiuos sprendimus į duomenų apsaugos pareigūno nuomonę visiškai ar iš dalies neatsižvelgiama, neatsižvelgimo motyvai išdėstomi raštu.

51. Administracijos darbuotojai privalo bendradarbiauti su duomenų apsaugos pareigūnu ir teikti jam informaciją apie vykdomą asmens duomenų tvarkymą.

52. Duomenų apsaugos pareigūnas nevykdo jokių kitų pareigų ar funkcijų, kurios galėtų sukelti interesų konfliktą su jo atliekamomis pareigūno funkcijomis.

53. Duomenų apsaugos pareigūno kontaktiniai duomenys skelbiami Šiaulių rajono savivaldybės interneto svetainėje www.siauliuraj.lt.

IX SKYRIUS

TECHNINĖS IR ORGANIZACINĖS ASMENS DUOMENŲ APSAUGOS

PRIEMONĖS

54. Administracijos darbuotojai privalo laikytis Politikos nuostatų ir prisidėti įgyvendinant Administracijoje įdiegtas organizacines ir technines priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto naikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

55. Administracijos įgyvendinamos asmens duomenų saugumo priemonės išdėstytos Informacinės sistemos saugos nuostatuose ir Administracijos direktoriaus patvirtintame Organizacinių ir techninių asmens duomenų saugumo priemonių įgyvendinimo tvarkos apraše.

X SKYRIUS

ASMENS DUOMENŲ TEIKIMAS DUOMENŲ GAVĖJAMS IR DUOMENŲ TVARKYTOJAMS

56. Administracija teikia asmens duomenis duomenų gavėjams – tretiesiems asmenims ir duomenų tvarkytojams.

57. Asmens duomenys tretiesiems asmenims teikiami pagal asmens duomenų teikimo sutartį (daugkartinio teikimo atveju), pagal prašymą (vienkartinio teikimo atveju) arba teisės aktų nustatyta tvarka.

58. Sprendimą perduoti duomenų subjekto duomenų tvarkymą asmens duomenų tvarkytojui priima Administracijos direktorius arba jo įgaliotas asmuo.

59. Administracija gali teikti asmens duomenis duomenų tvarkytojams, kurie teikia Administracijai informacinių sistemų kūrimo, tobulinimo ir palaikymo, duomenų centrų ir panašias paslaugas, mokymų ir renginių organizavimo, turto priežiūros ir aptarnavimo organizavimo, taip pat teikia kitas paslaugas ar atlieka kitus darbus ir tvarko asmens duomenis duomenų valdytojo vardu.

60. Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik pagal Administracijos nurodymus ir tik tiek, kiek tai būtina siekiant tinkamai vykdyti teisės aktuose ar paslaugų teikimo sutartyje nustatytus įsipareigojimus, išskyrus atvejus, kai duomenų tvarkytojo atliekamas asmens duomenų tvarkymas yra reglamentuotas teisės aktuose. Nuostatos, susijusios su asmens duomenų tvarkymu ir apsauga, įtraukiamos į sudaromas su duomenų tvarkytojais sutartis. Sutartyse nustatomi duomenų tvarkymo dalykas ir trukmė, duomenų tvarkymo pobūdis ir tikslas, asmens duomenų rūšis ir duomenų subjektų kategorijos, duomenų valdytojo prievolės ir teisės bei kitos Reglamento (ES) 2016/679 28 straipsnyje numatytos privalomos nuostatos.

61. Administracija pasitelkia tik tuos duomenų tvarkytojus, kurie užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Reglamento (ES) 2016/679 reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.

62. Administracija, sudarydama sutartį su duomenų tvarkytoju, nurodo, kad duomenų tvarkytojas privalo užtikrinti Administracijos perduodamų tvarkyti duomenų konfidencialumą ir pasirašo konfidencialumo pasižadėjimą. Šie konfidencialumo pasižadėjimai yra peržiūrimi ir, jei reikia, atnaujinami ne rečiau kaip kartą per metus. Visi duomenų tvarkytojai ketindami asmens duomenų tvarkymui pasitelkti trečiuosius asmenis (kitus duomenų tvarkytojus) privalo gauti išankstinį rašytinį Administracijos pritarimą bei užtikrinti, kad pasitelktas subtvarkytojas laikytųsi tų pačių reikalavimų, kurie nustatyti duomenų tvarkytojui.

Punkto pakeitimai:

Nr. A-2160, 2020-12-14, paskelbta TAR 2020-12-14, i. k. 2020-27239

63. Administracija duomenų subjektų duomenis duomenų gavėjams teikia tik pagal sudarytą sutartį arba vienkartinį duomenų gavėjo prašymą nepažeisdama teisės aktuose įtvirtintų reikalavimų.

64. Duomenys gali būti teikiami, kai duomenų gavėjas teiktame prašyme nurodo:

64.1. duomenų gavimo konkretų ir aiškiai apibrėžtą tikslą;

64.2. duomenų gavimo teisinį pagrindą;

64.3. duomenų teikimo teisinį pagrindą, nurodytą Reglamente (ES) 2016/679, kuriuo vadovaudamasi Administracija turi teisę pateikti šiuos duomenis duomenų gavėjui;

64.4. tikslią duomenų apimtį;

64.5. kai duomenis pateikti prašoma vadovaujantis Reglamento (ES) 2016/679 6 straipsnio 1 dalies e arba f punktais, t. y. duomenis teikti reikia siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas arba teikti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų apsaugos, prašyme turi būti nurodyta, kodėl šių asmenų interesai yra viršesni už duomenų subjekto interesus.

65. Asmens duomenų teikimas valstybės ir savivaldybės institucijoms ir įstaigoms, kai šios institucijos ir įstaigos pagal konkretų paklausimą gauna asmens duomenis įstatymų nustatytoms kontrolės funkcijoms vykdyti, nelaikytinas duomenų teikimu duomenų gavėjams.

XI SKYRIUS

DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI

66. Administracijoje pildomi duomenų tvarkymo veiklos įrašai Administracijai tvarkant asmens duomenis kaip duomenų valdytojai.

67. Administracijos asmens duomenų tvarkymo veiklos įrašuose nurodoma:

67.1. duomenų valdytojo duomenys, duomenų apsaugos pareigūno vardas, pavardė ir kontaktiniai duomenys;

67.2. duomenų tvarkymo tikslai;

67.3. duomenų tvarkymo pagrindas;

67.4. duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas;

67.5. duomenų gavėjų, kuriems atskleidžiami asmens duomenys, kategorijos;

67.6. kai taikoma, asmens duomenų perdavimai į trečiąją valstybę, įskaitant tos trečiosios valstybės pavadinimą, ir privalomi tinkamų apsaugos priemonių dokumentai;

67.7. duomenų ištrynimo terminai;

67.8. kai įmanoma, bendras techninių ir organizacinių saugumo priemonių aprašymas.

68. Duomenų tvarkymo veiklos įrašuose gali būti ir kitų nuostatų, pildomų pagal poreikį. Duomenų tvarkymo veiklos įrašų informacija yra suvedama į duomenų tvarkymo veiklos įrašų žurnalą ir saugomi elektronine forma pas duomenų apsaugos pareigūną.

69. Priežiūros institucijai pateikus pagrįstą reikalavimą susipažinti su duomenų tvarkymo veiklos įrašų žurnalu, Administracija pateikia atitinkamą žurnalą per prašyme nustatytą terminą. Duomenų tvarkymo veiklos įrašo žurnalo forma pateikiama 6 Politikos priede.

70. Duomenų tvarkymo veiklos įrašai yra tikrinami ir atnaujinami pagal poreikį, kad atitiktų realią asmens duomenų tvarkymo situaciją Administracijoje.

XII SKYRIUS

KONSULTACIJA SU PRIEŽIŪROS INSTITUCIJA

71. Administracija, prieš pradėdama tvarkyti asmens duomenis, konsultuojasi su Valstybine duomenų apsaugos inspekcija, kai atlikus poveikio duomenų apsaugai vertinimą yra nustatoma, kad tvarkant asmens duomenis kiltų didelis pavojus fizinių asmenų teisėms ir laisvėms duomenų valdytojui nesiėmus priemonių pavojui sumažinti.

72. Kreipdamasi į Valstybinė duomenų apsaugos inspekciją Administracija pateikia:

72.1. prašymą dėl išankstinės konsultacijos (toliau – Prašymas), kuriame pateikia:

72.1.1. Administracijos, bendrų duomenų valdytojų, kai viena iš šalių yra Administracija, atsakomybės sritis;

72.1.2. duomenų tvarkymo tikslus ir priemones;

72.1.3. duomenų subjektų teisėms ir laisvėms apsaugoti taikomų techninių ir organizacinių priemonių sąrašą;

72.1.4. duomenų apsaugos pareigūno kontaktus;

72.2. atlikto poveikio duomenų apsaugai vertinimo ataskaitą.

73. Teikiamą Prašymą pasirašo Administracijos direktorius ar jo įgaliotas asmuo. Prie Prašymo pridedami atstovavimą patvirtinantys dokumentai ar jų patvirtintos kopijos, kai Prašymą teikia Administracijos direktoriaus įgaliotas atstovas.

13 skyrius. Neteko galios nuo 2023-03-24

Skyriaus naikinimas:

Nr. A-467, 2023-03-23, paskelbta TAR 2023-03-23, i. k. 2023-05119

XIV SKYRIUS

DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMAS

83. Už asmens duomenų saugumo pažeidimų valdymą Administracijoje atsakingas duomenų apsaugos pareigūnas kartu su Administracijos Informacinių technologijų skyriumi.

84. Administracijos darbuotojai sužinoję, kad nebuvo užtikrintas asmens duomenų saugumas:

84.1. nedelsiant, bet ne vėliau kaip per 2 darbo valandas nuo asmens duomenų saugumo pažeidimo paaiškėjimo momento, elektroniniu paštu, telefonu arba žodžiu informuoja savo tiesioginį vadovą ir Administracijos duomenų apsaugos pareigūną;

84.2. imasi priemonių pašalinti asmens duomenų saugumo pažeidimą ir priemonių galimoms neigiamoms jo pasekmėms sumažinti.

85. Duomenų tvarkytojai, sužinoję apie asmens duomenų saugumo pažeidimą, nedelsdami, bet ne vėliau kaip per 1 darbo dieną nuo sužinojimo, apie tai raštu praneša Administracijai, pateikdami informaciją, numatytą Reglamento (ES) 2016/679 33 straipsnio 3 dalyje. Duomenų tvarkytojai pateikia Administracijai visą kitą jos prašomą informaciją, susijusią su pažeidimu ir jo tyrimu, per Administracijos nurodytą terminą. Duomenų tvarkytojų pareigos, susijusios su pranešimu apie duomenų saugumo pažeidimą Administracijai bei su bendradarbiavimu tiriant pažeidimą, įtvirtinamos su duomenų tvarkytoju sudaromoje sutartyje.

86. Duomenų apsaugos pareigūnas kartu su Administracijos Informacinių technologijų skyriumi, gavę Administracijos darbuotojo pranešimą ar duomenų tvarkytojo pranešimą galimą asmens duomenų saugumo pažeidimą:

86.1. nedelsdami pradeda nagrinėti pranešime nurodytas aplinkybes;

86.2. įvertina, ar buvo padarytas asmens duomenų saugumo pažeidimas;

86.3. jei asmens duomenų saugumo pažeidimas padarytas, nustato pažeidimo pobūdį, tipą (asmens duomenų konfidencialumo, vientisumo ir (arba) prieinamumo pažeidimas) aplinkybes, apytikslį duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičių, asmens duomenų, kurių saugumas pažeistas, kategorijas (asmens tapatybę patvirtinantys asmens duomenys, specialių kategorijų asmens duomenys, duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, prisijungimo duomenys ir (arba) asmens identifikaciniai numeriai ir kt.) ir apimtį, tikėtinos asmens duomenų saugumo pažeidimo pasekmes, pavojų fizinių asmenų teisėms ir laisvėms bei kitą svarbią su asmens duomenų saugumo pažeidimu susijusią informaciją;

86.4. nustato, kokių skubių ir tinkamų priemonių būtina imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas (pvz., naudoti atsargines kopijas, siekiant atkurti prarastus ar sugadintus duomenis);

86.5. nustato, ar būtina nedelsiant pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą;

86.6. nustato, ar būtina pranešti Valstybinei duomenų apsaugos inspekcijai apie asmens duomenų saugumo pažeidimą.

87. Vertinant asmens duomenų saugumo pažeidimą, laikoma, kad asmens duomenų saugumo pažeidimas, galintis kelti pavojų asmenų teisėms ir laisvėms, yra toks, dėl kurio, laiku nesiėmus tinkamų priemonių, fizinis asmuo gali patirti kūno sužalojimą, materialinę ar nematerialinę žalą, pvz., prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala.

88. Duomenų apsaugos pareigūnas, atlikęs asmens duomenų saugumo pažeidimo tyrimą, užpildo šios Politikos 8 priede pranešimo apie asmens duomenų saugumo pažeidimą formą (toliau – Išvada).

89. Išvadą dėl duomenų saugumo pažeidimo buvimo ir pavojaus fizinių asmenų teisėms ir laisvėms įvertinimo kartu su siūlymu dėl duomenų saugumo priemonių įgyvendinimo duomenų apsaugos pareigūnas pateikia Administracijos direktoriui ar jo įgaliotam asmeniui, o šis priima sprendimą dėl tolesnių veiksmų, susijusių su duomenų saugumo pažeidimu.

90. Nustačius, kad duomenų saugumo pažeidimas buvo ir kad yra pavojus fizinių asmenų teisėms ir laisvėms, duomenų apsaugos pareigūnas nedelsdamas, bet ne vėliau kaip per 72 val. nuo sužinojimo apie duomenų saugumo pažeidimą, Administracijos direktoriaus ar jo įgalioto asmens pavedimu apie duomenų saugumo pažeidimą praneša Valstybinei duomenų apsaugos inspekcijai.

91. Jeigu, atsižvelgiant į duomenų saugumo pažeidimo pobūdį, yra būtina atlikti išsamesnį tyrimą ir nustatyti visus svarbius faktus, susijusius su duomenų saugumo pažeidimu, ir todėl per 72 val. nuo sužinojimo apie duomenų saugumo pažeidimą neįmanoma pranešti Valstybinei duomenų apsaugos inspekcijai, duomenų apsaugos pareigūnas informaciją apie duomenų saugumo pažeidimą teikia Valstybinei duomenų apsaugos inspekcijai etapais ir nurodo, kodėl visos informacijos neįmanoma pateikti iš karto.

92. Nustatęs, kad duomenų saugumo pažeidimas buvo ir dėl jo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų apsaugos pareigūnas Administracijos direktoriaus ar jo įgalioto asmens pavedimu nedelsdamas, bet ne vėliau kaip per 72 val. nuo sužinojimo apie duomenų saugumo pažeidimą, apie duomenų saugumo pažeidimą praneša duomenų subjektui.

93. Duomenų subjektui nurodoma informacija:

93.1. duomenų valdytojo pavadinimas, juridinio asmens kodas, buveinės adresas;

93.2. duomenų apsaugos pareigūno vardas, pavardė ir kontaktiniai duomenys;

93.3. pažeidimo pobūdžio ir tikėtinų pažeidimo pasekmių aprašymas;

93.4. priemonių, kurių ėmėsi arba pasiūlė imtis Administracija, kad būtų pašalintas pažeidimas įskaitant priemones galimoms neigiamoms pasekmėms sumažinti, aprašymą;

93.5. kitą reikšmingą informaciją, susijusią su pažeidimu, kuri, Administracijos manymu, turėtų būti pateikta duomenų subjektui.

94. Atvejai, kada pranešimas duomenų subjektui apie pažeidimą neteikiamas:

94.1. Administracija įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos priemonės taikytos duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio;

94.2. Administracija ėmėsi priemonių, kuriomis užtikrinama, kad nekiltų didelis pavojus duomenų subjektų teisėms ir laisvėms;

94.3. pranešimas pareikalautų neproporcingai didelių pastangų. Tokiu atveju apie pažeidimą viešai paskelbiama Šiaulių rajono savivaldybės interneto svetainėje arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.

95. Pažeidimai, nepriklausomai nuo to, ar apie juos buvo pranešta Valstybinei duomenų apsaugos inspekcijai, ar ne, registruojami Asmens duomenų saugumo pažeidimų registravimo žurnale (toliau – Žurnalas), kuris pateiktas 9 Politikos priede.

96. Informacija apie duomenų saugumo pažeidimą į Žurnalą įrašoma nedelsiant, ne vėliau kaip per 5 darbo dienas, kai tik nustatomas duomenų saugumo pažeidimo faktas ir įvertinamas pavojus. Prireikus, atsižvelgiant į duomenų saugumo pažeidimo tyrimo metu nustatytas papildomas aplinkybes, Žurnale esanti informacija papildoma ir (ar) patikslinama.

97. Už Žurnalo pildymą atsakingas duomenų apsaugos pareigūnas.

98. Kai padarytas asmens duomenų saugumo pažeidimas yra susijęs su kibernetiniu incidentu, informacija apie kibernetinį incidentą, susijusį su asmens duomenų saugumo pažeidimu, pateikiama Lietuvos Respublikos kibernetinio saugumo įstatyme nurodytoms valstybės institucijoms šio įstatymo nustatyta tvarka ir atvejais.

XV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

99. Politika skelbiama Šiaulių rajono savivaldybės interneto svetainėje, skiltyje „Asmens duomenų apsauga“.

100. Administracijos darbuotojai su Politika supažindinami per dokumentų valdymo sistemą.

101. Už Politikos laikymosi priežiūrą ir kontrolę atsakingi Savivaldybės administracijos padalinių vadovai.

102. Administracijos darbuotojai, kurie yra įgalioti tvarkyti asmens duomenis arba eidami savo pareigas juos sužino, privalo laikytis Politikos, pagrindinių asmens duomenų tvarkymo reikalavimų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų teisės aktuose ir Politikoje. Administracijos darbuotojams, pažeidusiems Politikos, Reglamento (ES) 2016/679, kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, reikalavimus, gali būti taikoma tarnybinė, drausminė ar kita įstatymų numatyta atsakomybė.

103. Politika peržiūrima ir esant reikalui atnaujinama įvykus esminiams organizaciniams, sisteminiams ar kitiems asmens duomenų tvarkymo ir (ar) veiklos pokyčiams arba pasikeitus teisės aktų reikalavimams, bet ne rečiau kaip kartą per metus.

104. Administracijos veiksmai ar neveikimas, kuriais pažeidžiami teisės aktai, reglamentuojantys asmens duomenų tvarkymą ir apsaugą, gali būti skundžiami Valstybinei duomenų apsaugos inspekcijai arba teismui Administracinių bylų teisenos įstatymo nustatyta tvarka.

______________

1 priedas. Neteko galios nuo 2021-04-15

Priedo naikinimas:

Nr. A-650, 2021-04-14, paskelbta TAR 2021-04-14, i. k. 2021-07721

Asmens duomenų tvarkymo Šiaulių rajono

savivaldybės administracijoje politikos

8 priedas

(Asmens duomenų saugumo pažeidimo forma)

PRANEŠIMAS

APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ

________ Nr. ___________

(data) (rašto numeris)

1. Asmens duomenų saugumo pažeidimo apibūdinimas

1.1. Asmens duomenų saugumo pažeidimo data ir laikas:

Asmens duomenų saugumo pažeidimo:

Data ______________ Laikas __________

Asmens duomenų saugumo pažeidimo nustatymo:

Data ______________ Laikas __________

1.2. Asmens duomenų saugumo pažeidimo vieta (pažymėti tinkamą (-us):

 Informacinė sistema

 Duomenų bazė

 Tarnybinė stotis

 Internetinė svetainė

 Debesų kompiuterijos paslaugos

 Nešiojami / mobilus įrenginiai

 Neautomatiniu būdu susistemintos bylos (archyvas)

 Kita ___________________________________________________________________

1.3. Asmens duomenų saugumo pažeidimo aplinkybės (pažymėti tinkamą (-us):

 Asmens duomenų konfidencialumo praradimas (neautorizuota prieiga ar atskleidimas)

 Asmens duomenų vientisumo praradimas (neautorizuotas asmens duomenų pakeitimas)

 Asmens duomenų prieinamumo praradimas (asmens duomenų praradimas, sunaikinimas)

1.4. Apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius:

_____________________________________________________________________________

1.5. Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos (atskiriamos pagal jai būdingą požymį):

_______________________________________________________________________________

1.6. Asmens duomenų, kurių saugumas pažeistas, kategorijos (pažymėti tinkamą (-as):

 Asmens tapatybę patvirtinantys asmens duomenys (vardas, pavardė, amžius, gimimo data, lytis ir kt.):

_______________________________________________________________________________

 Specialių kategorijų asmens duomenys (duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, ar narystę profesinėse sąjungose, genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie lytinį gyvenimą ir lytinę orientaciją):

_____________________________________________________________________________

 Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas:

_______________________________________________________________________________

 Prisijungimo duomenys ir (ar) asmens identifikaciniai numeriai (pavyzdžiui, asmens kodas, mokėtojo kodas, slaptažodžiai):

_______________________________________________________________________________

 Kiti:

_____________________________________________________________________________

 Nežinomi (pranešimo teikimo metu)

1.7. Apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius:

_____________________________________________________________________________

1.8. Kita duomenų valdytojo nuomone reikšminga informacija apie asmens duomenų saugumo pažeidimą:

_____________________________________________________________________________

2. Galimos asmens duomenų saugumo pažeidimo pasekmės

2.1. Konfidencialumo praradimo atveju:

 Asmens duomenų išplitimas labiau nei yra būtina ir duomenų subjekto kontrolės praradimas savo asmens duomenų atžvilgiu (pavyzdžiui, asmens duomenys išplito internete)

 Skirtingos informacijos susiejimas (pavyzdžiui, gyvenamosios vietos adreso susiejimas su asmens buvimo vieta realiu laiku)

 Galimas panaudojimas kitais, nei nustatytais ar neteisėtais tikslais (pavyzdžiui, komerciniais tikslais, asmens tapatybės pasisavinimo tikslu, informacijos panaudojimo prieš asmenį tikslu)

 Kita

_____________________________________________________________________________

2.2. Vientisumo praradimo atveju:

 Pakeitimas į neteisingus duomenis dėl ko asmuo gali netekti galimybės naudotis paslaugomis

 Pakeitimas į galiojančius duomenis, kad asmens duomenų tvarkymas būtų nukreiptas (pavyzdžiui, pavogta asmens tapatybė susiejant vieno asmens identifikuojančius duomenis su kito asmens biometriniais duomenimis)

 Kita

_____________________________________________________________________________

2.3. Duomenų prieinamumo praradimo atveju:

 Dėl asmens duomenų trūkumo negalima teikti paslaugų (pavyzdžiui, administracinių procesų sutrikdymas, dėl ko negalima prieiti, pavyzdžiui, prie asmens sveikatos istorijų ir teikti pacientams sveikatos paslaugų, arba įgyvendinti duomenų subjekto teises)

 Dėl klaidų asmens duomenų tvarkymo procesuose negalima teikti tinkamos paslaugos (pavyzdžiui, asmens sveikatos istorijoje neliko informacijos apie asmens alergijas, tam tikra informacija iš mokesčių deklaracijos išnyko, dėl ko negalima tinkamai apskaičiuoti mokesčių ir pan.)

 Kita

_____________________________________________________________________________

2.4. Kita:

_____________________________________________________________________________

3. Priemonės, kurių imtasi siekiant pašalinti pažeidimą ar sumažinti jo pasekmes

3.1. Taikytos priemonės siekiant sumažinti poveikį duomenų subjektams:

_____________________________________________________________________________

_________________________________________________________________

3.2. Taikytos priemonės siekiant pašalinti asmens duomenų saugumo pažeidimą:

_____________________________________________________________________________

3.3. Taikytos priemonės siekiant, kad pažeidimas nepasikartotų:

_____________________________________________________________________________

3.4. Kita:

_______________________________________________________________________________

4. Siūlomos priemonės sumažinti asmens duomenų saugumo pažeidimo pasekmėms

_______________________________________________________________________________

5. Duomenų subjektų informavimas apie asmens duomenų saugumo pažeidimą

5.1. Duomenys apie informavimo faktą:

 Taip, duomenų subjektai informuoti (nurodoma data) _______________________________

 Ne, bet jie bus informuoti (nurodoma data) _______________________________________

 Ne

5.2. Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, neinformavimo priežastys:

 Ne, nes nekyla didelis pavojus duomenų subjektų teisėms ir laisvėms (nurodoma kodėl) _____________________________________________________________________________

 Ne, nes įgyvendintos tinkamos techninės ir organizacinės priemonės, užtikrinančios, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami (nurodomos kokios)

_____________________________________________________________________________

 Ne, nes įgyvendintos tinkamos techninės ir organizacinės priemonės, užtikrinančios, kad nekiltų didelis pavojus duomenų subjektų teisėms ir laisvėms (nurodomos kokios)

_____________________________________________________________________________

 Ne, nes tai pareikalautų neproporcingai daug pastangų ir apie tai viešai paskelbta (arba taikyta panaši priemonė) (nurodoma kada ir kur paskelbta informacija viešai arba jei taikyta kita priemonė, nurodoma kokia ir kada taikyta)

_____________________________________________________________________________

 Ne, nes dar neidentifikuoti duomenų subjektai, kurių asmens duomenų saugumas pažeistas

_____________________________________________________________________________

5.3. Informacija, kuri buvo pateikta duomenų subjektams (gali būti pridėtas pranešimo duomenų subjektui kopija):

_____________________________________________________________________________

5.4. Būdas, kokiu duomenų subjektai buvo informuoti:

 Paštu

 Elektroniniu paštu

 Kitu būdu __________________________________________________________________

5.5. Informuotų duomenų subjektų skaičius ___________________________________________

6. Asmuo galintis suteikti daugiau informacijos apie asmens duomenų saugumo pažeidimą (duomenų apsaugos pareigūnas ar kitas kontaktinis asmuo)^{^[1]}

6.1. Vardas ir pavardė ____________________________________________________________

6.2. Telefono ryšio numeris _______________________________________________________

6.3. Elektroninio pašto adresas _____________________________________________________

6.4. Pareigos ___________________________________________________________________

6.5. Darbovietės pavadinimas ir adresas ______________________________________________

7. Pranešimo pateikimo Valstybinei duomenų apsaugos inspekcijai pateikimo vėlavimo priežastys

_____________________________________________________________________________

8. Kita reikšminga informacija

_____________________________________________________________________________

(pareigos)

(parašas)

(vardas, pavardė)

^{^[1]} Kai pranešimas apie asmens duomenų saugumo pažeidimą teikiamas pagal Įstatymo 29 straipsnį, nenurodomi šios formos 6.4 ir 6.5 papunkčiuose nurodyti duomenys.

Eil. Nr.	Asmens duomenų tvarkymo tikslas	Asmens duomenų tvarkymo teisinis pagrindas	Duomenų subjektų kategorijos	Asmens duomenų kategorijos	Duomenų gavėjų kategorijos*	Asmens duomenų saugojimo, ištrynimo terminai	Techninių ir organizacinių saugumo priemonių aprašymas	Duomenų šaltiniai	Darbuotojai (struktūriniai padaliniai), atsakingi už asmens duomenų tvarkymą	Duomenų įvedimo, keitimo data (datos)
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

Eil. Nr.	Pažeidimo nustatymo data, valanda (minučių tikslumu) ir vieta	Darbuotojas ar kitas subjektas, pranešęs apie pažeidimą (vardas, pavardė, pareigos)	Pažeidimo padarymo data ir vieta	Pažeidimo pradžia ir pabaiga, pobūdis, tipas, aplinkybės	Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos ir apytikslis skaičius	Asmens duomenų, kurių saugumas pažeistas, kategorijos ir apimtis	Tikėtinos pažeidimo pasekmės bei pavojus fizinių asmenų teisėms ir laisvėms	Priemonės, kurių buvo imtasi pažeidimui pašalinti ir (ar) neigiamoms pažeidimo pasekmėms sumažinti	Darbuotojas, ar kitas subjektas, pašalinęs pažeidimą (vardas, pavardė, pareigos)	Informacija, ar apie pažeidimą buvo pranešta Valstybinei duomenų apsaugos inspekcijai, ir priimto sprendimo motyvai	Informacija, ar apie pažeidimą buvo pranešta duomenų subjektui (-ams), ir priimto sprendimo motyvai
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.