Suvestinė redakcija nuo 2022-06-09

 

Įsakymas paskelbtas: TAR 2021-07-01, i. k. 2021-15073

 

 

 

LIETUVOS RESPUBLIKOS VALSTYBĖS KONTROLierius

 

įsakymas

DĖL ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO VALSTYBĖS KONTROLĖJE TVARKOS APRAŠO PATVIRTINIMO

 

2021 m. liepos 1 d. Nr. VE-134

Vilnius

 

Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu:

Preambulės pakeitimai:

Nr. VE-64, 2022-05-20, paskelbta TAR 2022-05-20, i. k. 2022-10684

 

1.    Tvirtinu Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo Valstybės kontrolėje tvarkos aprašą (pridedama).

2.    Pripažįstu netekusiu galios valstybės kontrolieriaus 2018 m. gegužės 21 d. įsakymą Nr. V-172 „Dėl Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo Valstybės kontrolėje tvarkos aprašo patvirtinimo“.

 

 

 

Valstybės kontrolierius                                                                      Mindaugas Macijauskas

 


 

PATVIRTINTA

Lietuvos Respublikos

valstybės kontrolieriaus

2021 m. liepos 1 d. įsakymu Nr. VE-134

 

ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO VALSTYBĖS KONTROLĖJE TVARKOS APRAŠAS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo Valstybės kontrolėje tvarkos apraše (toliau – Tvarkos aprašas) nustatyta asmens duomenų tvarkymo apimtis ir tikslai, asmens duomenų saugojimo priemonės, Valstybės kontrolės duomenų apsaugos pareigūno statusas, asmens duomenų saugos pažeidimų valdymas, asmens duomenų subjektų teisės, duomenų subjektų prašymų dėl teisės (-ių), įtvirtintų 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (toliau – Reglamentas), įgyvendinimo pateikimo ir nagrinėjimo Valstybės kontrolėje tvarka.

2. Tvarkos aprašas taikomas įgyvendinant duomenų subjektų – asmenų, kurių asmens duomenis tvarko Valstybės kontrolė, teises.

3. Tvarkos apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose, reguliuojančiuose asmens duomenų apsaugą.

4. Duomenų subjektų asmens duomenis tvarko duomenų valdytojas – Valstybės kontrolė (toliau – Valstybės kontrolė, duomenų valdytojas), juridinio asmens kodas 188659229, buveinės adresas: Vinco Kudirkos g. 15, Vilnius.

Punkto pakeitimai:

Nr. VE-64, 2022-05-20, paskelbta TAR 2022-05-20, i. k. 2022-10684

Nr. VE-81, 2022-06-08, paskelbta TAR 2022-06-08, i. k. 2022-12330

 

II SKYRIUS

VALSTYBĖS KONTROLĖJE TVARKOMI DUOMENŲ SUBJEKTŲ ASMENS DUOMENYS

 

5. Valstybės kontrolėje tvarkomi šių duomenų subjektų grupių asmens duomenys šiais tikslais:

5.1. Valstybės kontrolei skundą ar prašymą pateikusių asmenų – asmenų informavimo, skundų ir prašymų nagrinėjimo, vidaus administravimo (raštvedybos tvarkymo) tikslais;

5.2. Valstybės kontrolės esamų darbuotojų ir buvusių valstybės pareigūnų, valstybės tarnautojų ir pagal darbo sutartis dirbusių darbuotojų (toliau – Valstybės kontrolės darbuotojai) – vidaus administravimo (struktūros tvarkymo, personalo valdymo, darbdavio įsipareigojimų darbuotojui vykdymo, dokumentų valdymo, apskaitos, materialinių ir finansinių išteklių naudojimo, vidinės komunikacijos) ir Valstybės kontrolės veiklos viešinimo tikslais;

5.3. pretendentų į Valstybės kontrolės darbuotojus – norint patikrinti, ar asmuo atitinka įstatymuose ir įgyvendinamuosiuose teisės aktuose nustatytus reikalavimus pareigoms eiti arba darbo funkcijoms atlikti, vidaus administravimo (personalo valdymo ir dokumentų valdymo ) tikslais;

5.4. privalomąją profesinę studentų praktiką ar savanorišką praktiką Valstybės kontrolėje atliekančių ar siekiančių atlikti studentų ar kitų asmenų – vidaus administravimo (personalo valdymo, dokumentų valdymo, materialinių ir finansinių išteklių naudojimo), vidinės komunikacijos tikslais;

5.5. Valstybės kontrolės audituojamų ir kitų subjektų darbuotojų ar kitų asmenų – valstybinio audito, biudžeto politikos kontrolės ir kitos veiklos, kuria įgyvendinami Lietuvos Respublikos valstybės kontrolės įstatyme nustatyti uždaviniai, tikslais;

Papunkčio pakeitimai:

Nr. VE-64, 2022-05-20, paskelbta TAR 2022-05-20, i. k. 2022-10684

 

5.6. asmenų, patenkančių į Valstybės kontrolės atliekamo vaizdo stebėjimo lauką, ir jų valdomų transporto priemonių vaizdo duomenys tvarkomi Valstybės kontrolės turto apsaugos, asmenų, kurie lankosi Valstybės kontrolėje, ir Valstybės kontrolės darbuotojų saugumo užtikrinimo tikslu;

5.7. asmenų, skambinančių į Valstybės kontrolę telefonu (mob. +370 609 73 898) pokalbių (garso) įrašų duomenys tvarkomi vidaus administravimo (asmenų aptarnavimo) tikslu;

Papunkčio pakeitimai:

Nr. VE-64, 2022-05-20, paskelbta TAR 2022-05-20, i. k. 2022-10684

 

5.8. asmenų, kurie lankosi Valstybės kontrolėje, – asmenų saugumo ir Valstybės kontrolės turto apsaugos užtikrinimo tikslu;

5.9. Valstybės kontrolės organizuojamų renginių, vaizdo konferencijų ir kitų komunikacijos sklaidos priemonių dalyvių, visuomenės informavimo priemonių atstovų, Valstybės kontrolės svečių ir darbuotojų asmens duomenys, vaizdo ir (ar) garso duomenys – visuomenės informavimo apie Valstybės kontrolės veiklą, svetainės www.valstybeskontrole.lt, socialinių tinklų paskyrų tvarkymo, renginių organizavimo, gerosios praktikos pasidalijimo tikslu;

Papunkčio pakeitimai:

Nr. VE-64, 2022-05-20, paskelbta TAR 2022-05-20, i. k. 2022-10684

 

5.10.    besikreipiančių į Valstybės kontrolę visuomenės informavimo priemonių ir viešosios informacijos rengėjų atstovų – vidaus administravimo (raštvedybos tvarkymo) tikslu;

5.11su Valstybės kontrole prekių, paslaugų, darbų viešojo pirkimo, privalomos ir savanoriškos praktikos ar kitas sutartis sudariusių fizinių asmenų asmens duomenys, o juridinių asmenų jų darbuotojų, nurodytų sutartyse, asmens duomenys tvarkomi vidaus administravimo (sutarčių vykdymo ir atsiskaitymo) tikslu;

5.12. asmenų dalyvaujančių Valstybės kontrolės rengiamuose susitikimuose pokalbių (garso) įrašas – rengiamo posėdžio protokolo tikslumo ir aiškumo sudarymo tikslu;

Papildyta papunkčiu:

Nr. VE-64, 2022-05-20, paskelbta TAR 2022-05-20, i. k. 2022-10684

 

6.    Valstybės kontrolė daro duomenų tvarkymo veiklos įrašus, kuriais pateikiama visa informacija apie tvarkomus asmens duomenis, nurodyta Reglamento 30 straipsnyje. Informacija apie tvarkomus asmens duomenis institucijoje pateikiama interneto svetainėje www.valstybeskontrole.lt.

7.    Valstybės kontrolė asmens duomenis tvarko vadovaudamasi Reglamento 6 straipsnio 1 dalies b, c ir e papunkčiuose nurodytais pagrindais arba asmens duomenų subjekto sutikimu.

8.    Kai iš duomenų subjekto renkami jo asmens duomenys, jam Valstybės kontrolė asmens duomenų gavimo metu pateikia Reglamento 13 straipsnyje nurodytą informaciją.

 

III SKYRIUS

ASMENS DUOMENŲ TVARKYMAS IR SAUGOJIMAS

 

9. Asmens duomenys Valstybės kontrolėje tvarkomi automatiniu ir neautomatiniu būdais.

10. Prieiga prie asmens duomenų suteikiama tik tiems Valstybės kontrolės darbuotojams, kuriems šie duomenys yra reikalingi jų funkcijoms, pavedimams ir užduotims atlikti.

11. Su asmens duomenimis galima atlikti tik tuos veiksmus, kuriuos atlikti Valstybės kontrolės darbuotojams yra suteiktos teisės.

12. Prieigos prie asmens duomenų, esančių Valstybės kontrolės informacinėse sistemose, Valstybės kontrolės darbuotojams suteikiamos, keičiamos ir naikinamos vadovaujantis valstybės kontrolieriaus įsakymu patvirtintais Lietuvos Respublikos valstybės kontrolės veiklos planavimo ir stebėsenos informacinės sistemos ir Lietuvos Respublikos valstybės kontrolės informacinės sistemos duomenų saugos nuostatais.

13. Valstybės kontrolės darbuotojai, kuriems suteikta teisė tvarkyti asmens duomenis, privalo laikytis Reglamente nurodytų jų tvarkymo principų ir reikalavimų, laikyti paslaptyje bet kokią su šiais duomenimis susijusią informaciją, su kuria jie susipažino atlikdami savo funkcijas ir pavedimus.

14. Valstybės kontrolė, saugodama asmens duomenis, įgyvendina ir užtikrina organizacines ir technines priemones, skirtas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

15. Valstybės kontrolės dokumentai, kuriuose yra asmens duomenys, valdomi dokumentų valdymo posistemyje, vadovaujantis valstybės kontrolieriaus įsakymu patvirtintu Valstybės kontrolės dokumentų valdymo ir naudojimo reglamentu.

16. Dokumentai, kuriuose yra asmens duomenys, tvarkomi, įtraukiami į apskaitą, viešinami ir saugomi vadovaujantis Dokumentų rengimo taisyklių, patvirtintų Lietuvos vyriausiojo archyvaro 2011 m. liepos 4 d. įsakymu Nr. V-117 „Dėl Dokumentų rengimo taisyklių patvirtinimo“, Dokumentų tvarkymo ir apskaitos taisyklių, patvirtintų Lietuvos vyriausiojo archyvaro 2011 m. liepos 4 d. įsakymu Nr. V-118 „Dėl Dokumentų tvarkymo ir apskaitos taisyklių patvirtinimo“ reikalavimais.

17. Asmens duomenys saugomi ne ilgiau, nei to reikalauja duomenų tvarkymo tikslai. Asmens duomenų saugojimo terminai nustatomi valstybės kontrolieriaus patvirtintame kasmetiniame Valstybės kontrolės dokumentacijos plane. Kai šie duomenys nebereikalingi jų tvarkymo tikslams, jie sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduodami valstybės archyvui toliau saugoti.

 

III1 SKYRIUS

VAIZDO IR GARSO DUOMENŲ TVARKYMAS

 

171. Siekiant užtikrinti Valstybės kontrolės turto apsaugą,  asmenų, kurie lankosi Valstybės kontrolėje, ir Valstybės kontrolės darbuotojų saugumą, institucijoje vykdomas vaizdo be garso stebėjimas Valstybės kontrolės administracinio pastato vaizdo stebėjimo priemonėmis gaunamų vaizdo duomenų tvarkymo aprašo, patvirtinto valstybės kontrolieriaus 2018 m. gegužės 24 d. įsakymo Nr. V-178 „Valstybės kontrolės administracinio pastato vaizdo stebėjimo priemonėmis gaunamų vaizdo duomenų tvarkymo aprašo patvirtinimo“ nustatyta tvarka.

172. Vykdant vaizdo stebėjimą tvarkomi Valstybės kontrolės darbuotojų ir asmenų, kurie lankosi Valstybės kontrolėje, ir kitų asmenų, patenkančių į vaizdo stebėjimo lauką, asmens duomenys (filmuotas asmens atvaizdas, transporto priemonės valstybinis numeris ir kiti duomenys, pagal kuriuos tiesiogiai arba netiesiogiai galima nustatyti asmens tapatybę).

173. Organizuojant Valstybės kontrolės renginius, vaizdo konferencijas ir įgyvendinant kitas komunikacijos sklaidos priemones gali būti fotografuojama ir (ar) vykdomas vaizdo ir garso įrašymas. Duomenų subjektai apie fotografavimą, vykdomą vaizdo ir garso įrašymą yra informuojami prieš pradedant tvarkyti asmens duomenis. Jeigu iki renginio ir (arba) renginio metu numatyta rinkti ir kitus renginio dalyvių asmens duomenis (pavyzdžiui, vykdant dalyvių registraciją), duomenų subjektai apie jų asmens duomenų tvarkymą turi būti tinkamai informuojami jiems pateikiant Reglamento 13 straipsnyje nurodytą informaciją. Ši informacija gali būti pateikiama įvairiomis formomis, atsižvelgiant į renginio pobūdį ir numatytą dalyvių registracijos būdą, pavyzdžiui, informaciją nurodant kvietime, renginio dalyvio registracijos formoje, įteikiant informacinį lapelį ar kituose šaltiniuose, kuriuose skelbiama informacija apie renginį.

174. Garso įrašas (be vaizdo įrašymo) gali būti daromas Valstybės kontrolės rengiamuose susitikimuose su kitomis institucijomis, organizacijomis ar asmenimis posėdžio protokolui parengti. Apie tai, kad bus daromas garso įrašas, duomenų subjektai informuojami žodžiu, prieš pradedant įrašinėti. Parengus posėdžio protokolą, garso įrašas yra sunaikinamas ir toliau Valstybės kontrolėje nebesaugomas.

Papildyta skyriumi:

Nr. VE-64, 2022-05-20, paskelbta TAR 2022-05-20, i. k. 2022-10684

 

IV SKYRIUS

DUOMENŲ SUBJEKTŲ TEISĖS

 

18. Duomenų subjektas turi šias teises:

18.1teisę susipažinti su asmens duomenimis, tvarkomais Valstybės kontrolėje, ir gauti šią informaciją:

18.1.1. asmens duomenų tvarkymo tikslai,

18.1.2. atitinkamų asmens duomenų kategorijos,

18.1.3. duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems per paskutinius vienerius metus buvo ar yra teikiami asmens duomenys, visų pirma duomenų gavėjai trečiosiose valstybėse arba tarptautinės organizacijos,

18.1.4. nustatytas asmens duomenų saugojimo laikotarpis,

18.1.5. kai asmens duomenys renkami ne iš duomenų subjekto, – visa turima informacija apie jų šaltinius;

18.2teisę reikalauti, kad būtų ištaisyti netikslūs su asmeniu susiję duomenys ir (ar) papildyti neišsamūs asmens duomenys;

18.3.  teisę reikalauti, kad Valstybės kontrolė nedelsdama ištrintų su juo susijusius asmens duomenis (teisė būti pamirštam), esant bent vienai iš šių sąlygų:

18.3.1.   asmens duomenys nebereikalingi tikslams, kuriems jie buvo renkami arba kitaip tvarkomi, pasiekti,

18.3.2.   asmens duomenų subjektas atšaukia sutikimą,

18.3.3.   asmens duomenų subjektas nesutinka su duomenų tvarkymu,

18.3.4.   asmens duomenys tvarkomi neteisėtai,

18.3.5.   asmens duomenys turi būti ištrinti laikantis Europos Sąjungos arba nacionalinėje teisėje, kuri taikoma duomenų valdytojui, nustatytos teisinės prievolės;

18.4.      teisę reikalauti, kad Valstybės kontrolė apribotų duomenų tvarkymą, esant bent vienai iš šių sąlygų:

18.4.1.   asmens duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį duomenų valdytojas gali patikrinti asmens duomenų tikslumą,

18.4.2.   asmens duomenų tvarkymas yra neteisėtas, kai duomenų subjektas nesutinka, kad duomenys būtų ištrinti, ir prašo apriboti jų naudojimą,

18.4.3.   duomenų valdytojui nebereikia asmens duomenų tvarkymo tikslais, tačiau jų reikia duomenų subjektui, siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;

18.5.    teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui susisteminto, įprastai naudojamo ir kompiuterio skaitomo formato, ir teisę persiųsti tuos duomenis kitam duomenų valdytojui (teisė į duomenų perkeliamumą), o Valstybės kontrolė, kuriai tokie asmens duomenys buvo pateikti, turi nesudaryti kliūčių, kai duomenų tvarkymas grindžiamas sutikimu arba duomenys yra tvarkomi automatizuotomis priemonėmis. Naudodamasis šiame punkte nurodyta teise, duomenų subjektas turi teisę prašyti, kad Valstybės kontrolė asmens duomenis tiesiogiai persiųstų kitam duomenų valdytojui, kai tai techniškai įmanoma.

19.       Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks jų tvarkymas atliekamas, kai asmens duomenis tvarkyti būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba atliekant duomenų valdytojui pavestas viešosios valdžios funkcijas arba tvarkyti būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, įskaitant profiliavimą, remiantis tomis nuostatomis.

20.       Duomenų subjektas turi teisę nesutikti, kad jam būtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, dėl kurio jam kyla teisinių pasekmių arba kuris jam panašiu būdu daro didelį poveikį.

 

V SKYRIUS

DUOMENŲ TEIKIMAS TRETIESIEMS ASMENIMS

 

21. Asmens duomenys tretiesiems asmenims teikiami tik įstatymų ir kitų teisės aktų nustatytais atvejais ir tvarka:

21.1asmenų, pateikusių Valstybės kontrolei skundą ar prašymą, asmens duomenys skundo ar prašymo nagrinėjimo tikslu – juridiniams ir fiziniams asmenims;

21.2asmenų, pateikusių Valstybės kontrolei skundą ar prašymą, ir duomenų valdytojų (fizinių asmenų) asmens duomenys ginčo dėl Valstybės kontrolės priimto sprendimo teisėtumo nagrinėjimo tikslu – teismams, Lietuvos administracinių ginčų nagrinėjimo komisijai, teritorinėms administracinių ginčų nagrinėjimo komisijoms ir darbo ginčų komisijai;

21.3Valstybės kontrolės darbuotojų asmens duomenys: socialinio draudimo mokesčio administravimo tikslu – Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos, mokesčių administravimo tikslu – Valstybinei mokesčių inspekcijai prie Lietuvos Respublikos finansų ministerijos;

21.4audituotų subjektų darbuotojų ar kitų asmenų asmens duomenys, tvarkomi valstybinio audito, Europos Sąjungos investicijų audito ir biudžeto stebėsenos atlikimo tiksluikiteisminio tyrimo institucijoms, kitoms viešojo administravimo institucijoms pagal kompetenciją ar teismams;

21.5asmenų, patekusių į Valstybės kontrolės atliekamo vaizdo stebėjimo lauką, vaizdo duomenys galimų teisės aktų pažeidimų nustatymo tikslu – ikiteisminio tyrimo institucijoms, teismams ar kitoms valstybės įgaliotoms institucijoms;

21.6asmenų, skambinusių į Valstybės kontrolę telefonu, pokalbių duomenys galimų teisės aktų pažeidimų nustatymo tikslu ikiteisminio tyrimo institucijoms, teismams ar kitoms valstybės įgaliotoms institucijoms;

21.7.    žiniasklaidos atstovų duomenys ginčo dėl Lietuvos Respublikos visuomenės informavimo įstatyme ir kituose visuomenės informavimą reglamentuojančiuose įstatymuose bei teisės aktuose nustatytų visuomenės informavimo principų nesilaikymo nagrinėjimo tikslu – Žurnalistų etikos inspektoriaus tarnybai, teismams ar kitoms valstybės įgaliotoms institucijoms;

21.8kitiems tretiesiems asmenims, kuriems asmens duomenis teikti Valstybės kontrolę įpareigoja įstatymai ar kiti teisės aktai, sutartys.

 

VI SKYRIUS

PRAŠYMO DĖL DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO PATEIKIMAS

 

22. Duomenų subjektai, siekdami įgyvendinti savo teises, Valstybės kontrolei turi pateikti rašytinį prašymą asmeniškai, paštu ar per pasiuntinį arba elektroninių ryšių priemonėmis.

23. Prašymas turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyta duomenų subjekto vardas, pavardė, gyvenamoji vieta, duomenys ryšiui palaikyti ir informacija apie tai, kokią iš Tvarkos aprašo IV skyriuje nurodytų teisių ir kokia apimtimi jis pageidauja įgyvendinti.

24. Pateikdamas prašymą, duomenų subjektas privalo patvirtinti savo tapatybę:

24.1pateikdamas prašymą Valstybės kontrolėje darbuotojui, registruojančiam prašymą, turi pateikti asmens tapatybę patvirtinantį dokumentą;

24.2pateikdamas prašymą paštu ar per pasiuntinį, kartu turi pateikti asmens tapatybę patvirtinančio dokumento kopiją, patvirtintą notaro, ar šio dokumento kopiją, patvirtintą kita teisės aktų nustatyta tvarka;

24.3pateikdamas prašymą elektroninių ryšių priemonėmis, turi pasirašyti jį elektroniniu parašu.

25. Duomenų subjektas savo teises Valstybės kontrolėje gali įgyvendinti pats arba per atstovą. Jei atstovaujamo duomenų subjekto vardu į Valstybės kontrolę kreipiasi asmens atstovas, jis savo prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, duomenis ryšiui palaikyti, atstovaujamo asmens vardą, pavardę, gyvenamąją vietą, informaciją apie tai, kokią iš Tvarkos aprašo IV skyriuje nurodytų duomenų subjekto teisių ir kokia apimtimi pageidaujama įgyvendinti, ir pridėti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą teisės aktų nustatyta tvarka.

 

VII SKYRIUS

PRAŠYMO DĖL DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO NAGRINĖJIMAS

 

26. Valstybės kontrolė nenagrinėja duomenų subjekto prašymo, kuris pateiktas nesilaikant Tvarkos aprašo 22–25 punktuose nustatytų reikalavimų.

27. Valstybės kontrolė, nepagrįstai nedelsdama, tačiau ne vėliau kaip per 30 kalendorinių dienų nuo prašymo gavimo, pateikia duomenų subjektui ar jo atstovui informaciją apie veiksmus, kurių imtasi gavus prašymą. Tas laikotarpis prireikus gali būti pratęstas valstybės kontrolieriaus arba jo įgalioto valstybės kontrolieriaus pavaduotojo (toliau – duomenų valdytojo vadovo) dar 60 kalendorinių dienų, atsižvelgiant į prašymo sudėtingumą ir jų skaičių. Valstybės kontrolė per 30 kalendorinių dienų nuo prašymo gavimo informuoja duomenų subjektą ar jo atstovą apie tokį pratęsimą ir pateikia vėlavimo priežastis. Atsakymas duomenų subjektui ar jo atstovui pateikiamas valstybine kalba duomenų subjekto pasirinktu būdu: registruotu paštu, įteikiant asmeniškai atvykus į Valstybės kontrolę arba elektroninėmis ryšio priemonėmis pateikiant elektroninį dokumentą, pasirašytą saugiu elektroniniu parašu. Valstybės kontrolė, dėl objektyvių priežasčių negalėdama pateikti atsakymo duomenų subjektui ar jo atstovui jo pasirinktu būdu, atsakymą pateikia registruota korespondencijos siunta.

28. Jei duomenų valdytojas nenagrinėja duomenų subjekto prašymo, jis nedelsdamas, tačiau ne vėliau kaip per 30 kalendorinių dienų nuo prašymo gavimo, informuoja duomenų subjektą ar jo atstovą apie nenagrinėjimo priežastis ir apie galimybę pateikti skundą priežiūros institucijai ir pasinaudoti kita teisių gynimo priemone.

29. Duomenų subjekto teisės Valstybės kontrolėje įgyvendinamos neatlygintinai vieną kartą per kalendorinius metus.

30. Valstybės kontrolė, atsisakydama vykdyti duomenų subjekto prašymą įgyvendinti jo, kaip duomenų subjekto, teises, pateikia jam tokio atsisakymo motyvus.

31. Valstybės kontrolės atsisakymas įgyvendinti duomenų subjekto teises gali būti skundžiamas įstatymų nustatyta tvarka.

32. Valstybės kontrolė, įgyvendindama duomenų subjekto teises, užtikrina, kad nebūtų pažeista kitų asmenų teisė į privataus gyvenimo neliečiamumą.

 

VIII SKYRIUS

DUOMENŲ APSAUGOS PAREIGŪNAS

 

33. Valstybės kontrolės duomenų apsaugos pareigūno (toliau duomenų apsaugos pareigūnas), funkcijas, nustatytas Reglamente, atlieka Valstybės kontrolės atitikties pareigūnas, padedantis institucijai laikytis Reglamento reikalavimų ir veikiantis kaip tarpininkas tarp Valstybinės duomenų apsaugos inspekcijos, duomenų subjektų ir kitų suinteresuotų šalių.

34. Duomenų apsaugos pareigūnas savo veikloje vadovaujasi Reglamentu, kitais tarptautiniais, Europos Sąjungos, nacionaliniais ir institucijos teisės aktais, reglamentuojančiais asmens duomenų apsaugą, šiuo aprašu ir remiasi 29 straipsnio duomenų apsaugos darbo grupės, sudarytos pagal Direktyvos 95/46/EB 29 straipsnį, gairėmis, tarptautinių ir nacionalinių teismų praktika, teisės doktrina bei atsižvelgia į kitų Europos Sąjungos ir Lietuvos Respublikos institucijų patirtį asmens duomenų apsaugos srityje.

35. Duomenų apsaugos pareigūno statusas nustatomas per Valstybės kontrolės kaip duomenų valdytojos užtikrinimą, kad:

35.1. duomenų apsaugos pareigūnas privalomai, tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą;

35.2. duomenų apsaugos pareigūnui draudžiama duoti nurodymus dėl Reglamento 39 straipsnyje ir kituose teisės aktuose nustatytų funkcijų ir užduočių atlikimo;

35.3. duomenų apsaugos pareigūnas negali būti atleistas arba baudžiamas (įskaitant darbo pareigų pažeidimus) dėl teisės aktuose nustatytų funkcijų ir užduočių atlikimo;

35.4. duomenų apsaugos pareigūnui suteikiami jo funkcijoms ir užduotims atlikti būtini ištekliai ( pakankamai laiko duomenų apsaugos pareigūnui jo pareigoms atlikti (procentinė laiko dalis ar pareigų prioritetas), nustatomas pavadavimas jo atostogų, ligos, kvalifikacijos tobulinimo užsienyje, komandiruotės užsienyje metu ar jo nesant kitais teisės aktų nustatytais atvejais), sudaroma galimybė susipažinti su visais asmens duomenimis, sudaromos sąlygos dalyvauti duomenų tvarkymo operacijose ir atsižvelgiama į jo motyvuotus poreikius išlaikyti savo ekspertines žinias;

35.5. dėl bet kokių kitų funkcijų ir užduočių atlikimo duomenų apsaugos pareigūnui negali kilti interesų konfliktas. Jeigu duomenų apsaugos pareigūnui, atliekant kitas pavestas funkcijas ir užduotis, kyla interesų konflikto galimybė, atsižvelgiant į Reglamento 38 straipsnio 6 dalį jis privalo nusišalinti nuo šių funkcijų ar užduočių atlikimo ir informuoti apie tai valstybės kontrolierių. Šios funkcijos ir užduotys gali būti pavedamos duomenų apsaugos pareigūną pavaduojančiam asmeniui;

Papunkčio pakeitimai:

Nr. VE-64, 2022-05-20, paskelbta TAR 2022-05-20, i. k. 2022-10684

 

35.6. duomenų apsaugos pareigūnas pasiekiamas visiems suinteresuotiems asmenims.

36. Duomenų apsaugos pareigūnas turi teisę:

36.1. pasitelkti kitų darbuotojų, turinčių specialiųjų žinių ir gebėjimų, savo funkcijoms atlikti;

36.2. dalyvauti posėdžiuose, pasitarimuose, kuriuose svarstomi klausimai ir (ar) priimami sprendimai, susiję su asmens duomenų tvarkymu ir apsauga;

36.3. gauti iš duomenų valdytojo ar tvarkytojo ar jo atstovų duomenų tvarkymo veiklos įrašų kopijas arba turėti prieigą prie duomenų tvarkymo veiklos įrašų, jeigu jie tvarkomi elektroniniu būdu;

36.4. gauti iš rizikos valdymo proceso organizatoriaus informaciją apie nustatytus su asmens duomenų tvarkymu susijusius rizikos veiksnius ir parinktas rizikos valdymo priemones;

36.5. teikti siūlymus dėl asmens duomenų tvarkymo tobulinimo.

37. Duomenų apsaugos pareigūnas privalo:

37.1. užtikrinti slaptumą ir konfidencialumą, susijusį su jų funkcijų ir užduočių atlikimu, laikydamasis Europos Sąjungos ir nacionalinės teisės aktų reikalavimų;

37.2. išlaikyti ir tobulinti žinių, reikalingų atlikti nustatytas funkcijas ir užduotis, lygį.

38. Duomenų apsaugos pareigūnas darbuotojams dėl Reglamento ir kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą, nuostatų taikymo teikia konsultacijas ir rekomendacijas.

39. Su duomenų apsaugos pareigūnu privaloma konsultuotis:

39.1. nagrinėjant duomenų subjektų prašymus dėl jų teisių įgyvendinimo pagal šį Tvarkos aprašą;

39.2. rengiant siunčiamų dokumentų projektus, kuriuose pateikiama informacija, susijusi su asmens duomenų tvarkymu ir apsauga institucijoje;

39.3. tiriant duomenų saugumo pažeidimus pagal valstybės kontrolieriaus patvirtintą Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo Valstybės kontrolėje tvarkos aprašą;

39.4. rengiant teisės akto projektą, jei jis susijęs su asmens duomenų tvarkymu ir (ar) apsauga;

39.5. sudarant, keičiant duomenų perdavimo sutartis, pagal kurias perduodami ar gaunami asmens duomenys;

39.6. atliekant poveikio duomenų apsaugai vertinimą;

39.7. prieš priimant sprendimus dėl parenkamų asmens duomenų apsaugos priemonių, įskaitant technines ir organizacines priemones, taikymo;

39.8. rengiant viešųjų pirkimų dokumentus dėl asmens duomenų tvarkymo ir apsaugos priemonių, įskaitant technines ir organizacines, įsigijimo.

40. Dėl konsultacijos į duomenų apsaugos pareigūną paprastai kreipiamasi suformuojant klausimą dokumentų valdymo posistemyje. Konsultacija suteikiama per 3 darbo dienas nuo kreipimosi gavimo dienos arba per 10 darbo dienų, kai konsultacija reikalauja detalesnio vertinimo.

41. Jei nėra arba iš dalies atsižvelgiama į duomenų apsaugos pareigūno pateiktą konsultaciją, dokumento rengėjas dokumentų valdymo posistemyje turi pateikti motyvuotą paaiškinimą. Pasirašantis dokumentą Valstybės kontrolės darbuotojas įvertina duomenų apsaugos pareigūno konsultaciją, dokumento rengėjo motyvuotą paaiškinimą ir priima galutinį sprendimą.

42. Duomenų apsaugos pareigūnas nėra asmeniškai atsakingas, jei Valstybės kontrolėje nesilaikoma duomenų apsaugos reikalavimų, t. y. Valstybės kontrolė kaip duomenų valdytojas privalo užtikrinti ir sugebėti įrodyti, kad asmens duomenys tvarkomi laikantis Reglamento ir kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą.

 

IX SKYRIUS

DUOMENŲ SAUGOS PAŽEIDIMŲ VALDYMAS

 

43. Duomenų saugos pavojaus duomenų subjekto teisėms ir laisvėms tikimybė ir mastas nustatomi atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus. Remiantis objektyviu įvertinimu, nustatoma, ar duomenų tvarkymo operacijos yra susijusios su pavojumi arba dideliu pavojumi.

44. Valstybės kontrolės darbuotojas, Valstybės kontrolės informacinių sistemų naudotojas, sužinojęs apie galimą asmens duomenų, tvarkomų automatizuotomis priemonėmis, saugos pažeidimą ar apie galimą asmens duomenų, tvarkomų ne automatizuotomis priemonėmis, saugos pažeidimą nedelsdamas praneša Valstybės kontrolės darbuotojui, atliekančiam saugos įgaliotinio ir duomenų apsaugos pareigūno funkcijas.

45. Atsakingas asmuo, nurodytas Tvarkos aprašo 33 punkte, nustatęs, kad dėl galimo asmens duomenų saugos pažeidimo gali kilti pavojus fizinių asmenų teisėms ir laisvėms, apie galimą pažeidimą praneša Valstybės kontrolės informacinių sistemų veiklos tęstinumo valdymo grupei (toliau – valdymo grupė) ir atlieka kitas šių duomenų saugos pažeidimo valdymo procedūras, kurios nustatytos valstybės kontrolieriaus patvirtintuose Lietuvos Respublikos valstybės kontrolės informacinių sistemų saugos politiką įgyvendinančiuose dokumentuose.

46. Duomenų valdytojo vadovas, gavęs valdymo grupės išvadą dėl nustatyto asmens duomenų saugos pažeidimo, kurioje nurodyta, kad pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms, apie jį neinformuoja priežiūros institucijos ir asmens duomenų subjektų.

47. Duomenų valdytojo vadovas, gavęs valdymo grupės išvadą dėl asmens duomenų saugos pažeidimo, kurioje nurodyta, kad pažeidimas kelia pavojų fizinių asmenų teisėms ir laisvėms, apie tai praneša priežiūros institucijai Reglamento 33 straipsnio 1 dalyje nustatytais terminais.

48. Duomenų valdytojo vadovas, gavęs valdymo grupės išvadą dėl asmens duomenų saugos pažeidimo, kurioje nurodyta, kad gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, nedelsdamas praneša apie asmens duomenų saugos pažeidimą asmens duomenų subjektui.

49. Duomenų valdytojo vadovas, gavęs valdymo grupės išvadą dėl asmens duomenų saugos pažeidimo, kurioje nurodyta, kad dėl asmens duomenų saugos pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, neprivalo pranešti duomenų subjektui apie asmens duomenų pažeidimą, jeigu yra sąlygos, nurodytos Reglamento 34 straipsnio 3 dalyje.

__________________

 

 

Pakeitimai:

 

1.

Lietuvos Respublikos valstybės kontrolė, Įsakymas

Nr. VE-64, 2022-05-20, paskelbta TAR 2022-05-20, i. k. 2022-10684

Dėl valstybės kontrolieriaus 2021 m. liepos 1 d. įsakymo Nr. VE-134 „Dėl Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo Valstybės kontrolėje tvarkos aprašo patvirtinimo“ pakeitimo

 

2.

Lietuvos Respublikos valstybės kontrolė, Įsakymas

Nr. VE-81, 2022-06-08, paskelbta TAR 2022-06-08, i. k. 2022-12330

Dėl valstybės kontrolieriaus 2021 m. liepos 1 d. įsakymo Nr. VE-134 „Dėl Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo Valstybės kontrolėje tvarkos aprašo patvirtinimo“ pakeitimo

 

 

part_4827d9afaa294c1b86ae43d209fa57b6_end