Suvestinė redakcija nuo 2020-09-03

 

Įsakymas paskelbtas: TAR 2018-08-29, i. k. 2018-13588

 

Nauja redakcija nuo 2020-09-03:

Nr. 1T-88 (1.12.E), 2020-09-03, paskelbta TAR 2020-09-03, i. k. 2020-18617

 

VALSTYBINĖs DUOMENŲ APSAUGOS INSPEKCIJos

DIREKTORIUS

 

ĮSAKYMAS

DĖL IŠANKSTINIŲ KONSULTACIJŲ TEIKIMO TAISYKLIŲ PATVIRTINIMO

 

2018 m. rugpjūčio 29 d. Nr. 1T-84(1.12.E)
Vilnius

 

Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 36 straipsniu,

tvirtinu pridedamas:

1.    Išankstinių konsultacijų teikimo taisykles.

2.    Prašymo suteikti / nutraukti išankstinę konsultaciją formą.

 

 

 

Direktorius                                                                            Raimondas Andrijauskas

 

 

PATVIRTINTA

Valstybinės duomenų apsaugos inspekcijos

direktoriaus 2018 m. rugpjūčio 29 d.

įsakymu Nr. 1T-84(1.12.E)

(Valstybinės duomenų apsaugos inspekcijos

direktoriaus 2020 m. rugsėjo 3 d.

įsakymo Nr. 1T-88 (1.12.E) redakcija)

 

 

IŠANKSTINių KONSULTACIJų teikimo TAISYKLĖS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1Išankstinių konsultacijų teikimo taisyklės (toliau – Taisyklės) nustato duomenų valdytojų išankstinio konsultavimosi pagal 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) 36 straipsnio 1 dalį su Valstybine duomenų apsaugos inspekcija (toliau – Išankstinės konsultacijos) tvarką.

2Duomenų valdytojas, prieš pradėdamas tvarkyti asmens duomenis, kreipiasi Išankstinės konsultacijos:

2.1.    kai pagal Reglamento (ES) 2016/679) 35 straipsnį atliktame poveikio duomenų apsaugos vertinime nurodyta, kad tvarkant asmens duomenis kiltų didelis pavojus fizinių asmenų teisėms ir laisvėms duomenų valdytojui nesiėmus priemonių pavojui sumažinti;

2.2.    kitais įstatymų numatytais atvejais.

3Šios Taisyklės taikomos duomenų valdytojams, besikreipiantiems dėl Išankstinės konsultacijos, ir Valstybinei duomenų apsaugos inspekcijai, teikiančiai Išankstinę konsultaciją.

 

II SKYRIUS

DOKUMENTŲ DĖL IŠANKSTINĖS KONSULTACIJOS PATEIKIMO TVARKA

 

4.  Kreipdamasis dėl Išankstinės konsultacijos, duomenų valdytojas turi užpildyti prašymo suteikti / nutraukti išankstinę konsultaciją formą (toliau – Prašymas).

5Prašymą pasirašo duomenų valdytojas (fizinis asmuo), duomenų valdytojo (juridinio asmens) vadovas ar jo įgaliotas asmuo. Prie Prašymo pridedami atstovavimą patvirtinantys dokumentai ar jų patvirtintos kopijos, kai Prašymą teikia duomenų valdytojo atstovas.

6Duomenų valdytojas atsako už pateiktos informacijos tikslumą ir teisingumą.

7Prašymą duomenų valdytojas ar jo įgaliotas atstovas gali pateikti raštu (pateikti užpildytą Valstybinėje duomenų apsaugos inspekcijoje, atsiųsti paštu, pristatyti į elektroninės siuntos pristatymo dėžutę) ar elektroninių ryšių priemonėmis. Elektroninių ryšių priemonėmis teikiamas Prašymas turi būti pasirašytas duomenų valdytojo ar jo įgalioto asmens kvalifikuotu elektroniniu parašu arba šio asmens tapatybė turi būti patvirtinta naudojantis Valstybinės duomenų apsaugos inspekcijos elektroninėmis paslaugomis.

 

III SKYRIUS

IŠANKSTINIŲ KONSULTACIJų teikimo TVARKA

 

8.    Valstybinė duomenų apsaugos inspekcija per 5 darbo dienas nuo Prašymo gavimo dienos atsisako priimti Prašymą, kai:

8.1. Prašymą pateikia neturintis teisės jį pateikti asmuo;

8.2. Prašymas neišsamus ar netinkamai užpildytas arba pateikti ne visi dokumentai ar informacija, nurodyta Prašymo formoje;

8.3. Prašymas pateiktas to paties duomenų valdytojo vardu, dėl to paties asmens duomenų tvarkymo, dėl kurio Valstybinė duomenų apsaugos inspekcijoje jau pradėta Išankstinė konsultacija;

8.4. duomenų valdytojui jau suteikta Išankstinė konsultacija arba nutraukta Išankstinės konsultacijos teikimo procedūra dėl to paties asmens duomenų tvarkymo, išskyrus atvejus, kai nurodoma naujų aplinkybių ar pateikiama naujų faktų;

8.5. neatliktas poveikio duomenų apsaugai vertinimas; 

8.6. nėra gauta duomenų apsaugos pareigūno, jeigu jį privaloma paskirti pagal Reglamentą (ES) 2016/679, nuomonė dėl poveikio duomenų apsaugai vertinimo. 

9. Valstybinė duomenų apsaugos inspekcija, priėmusi Prašymą, vertina duomenų valdytojo nurodytą asmens duomenų tvarkymą, nustatytas technines ir organizacines saugumo priemones ir apsaugos priemones duomenų subjektų teisėms ir laisvėms apsaugoti pagal Reglamentą (ES) 2016/679.

10Jeigu duomenų valdytojo pateiktuose dokumentuose esančios informacijos nepakanka tinkamai įvertinti Taisyklių 9 punkte nurodytas aplinkybes, taip pat jei pateikta informacija yra netiksli ar prieštaringa, Valstybinė duomenų apsaugos inspekcija raštu kreipiasi į duomenų valdytoją nurodydama jam ne trumpesnį kaip 20 darbo dienų terminą pateikti papildomą ir (arba) patikslintą informaciją. Tokiu atveju šių Taisyklių 13 ir 14 punktuose nustatyti terminai sustabdomi iki Valstybinė duomenų apsaugos inspekcija gaus informaciją, kurios ji buvo paprašiusi Išankstinės konsultacijos tikslu.

11Valstybinė duomenų apsaugos inspekcija, teikdama Išankstinę konsultaciją, turi teisę, vadovaudamasi Reglamento (ES) 2016/679 58 straipsnio 1 dalies b punktu, atlikti tyrimą tikrinamo asmens patalpose (tarp jų ir nuomojamose ar naudojamose kitu pagrindu) arba teritorijoje, kur yra dokumentai, įranga, susiję su asmens duomenų tvarkymu, dėl kurio pateiktas Prašymas, jeigu būtina įsitikinti dokumentuose pateikta informacija ir (arba) jos nepakanka Išankstinei konsultacijai pateikti.

12Valstybinė duomenų apsaugos inspekcija nutraukia Išankstinę konsultaciją, kai:

12.1to raštu prašo duomenų valdytojas, kurio vardu pateiktas Prašymas;

12.2duomenų valdytojas Valstybinės duomenų apsaugos inspekcijos nustatytu terminu pagal jos rašytinį prašymą (Taisyklių 10 punktas) nepateikė papildomos ir (arba) patikslintos informacijos, reikalingos Išankstinei konsultacijai suteikti;

12.3duomenų valdytojas nesudaro galimybės Valstybinei duomenų apsaugos inspekcijai atlikti tyrimą vietoje, kai tai reikalinga Išankstinei konsultacijai suteikti;

12.4. paaiškėjus Taisyklių 8.1–8.6 papunkčiuose nurodytoms aplinkybėms.

13. Valstybinė duomenų apsaugos inspekcija nuomonę duomenų valdytojui ir, kai taikoma, duomenų tvarkytojui, dėl numatomo asmens duomenų tvarkymo raštu pateikia ne vėliau kaip per 8 savaites nuo išsamaus ir tinkamai užpildyto Prašymo gavimo.

14Valstybinė duomenų apsaugos inspekcija šių Taisyklių 13 punkte nustatytą dokumentų nagrinėjimo terminą gali pratęsti 6 savaitėms, atsižvelgiant į numatyto duomenų tvarkymo sudėtingumą, apie tai raštu per 1 mėnesį nuo išsamaus ir tinkamai užpildyto Prašymo gavimo informuodama duomenų valdytoją ir kai taikoma, duomenų tvarkytoją, kartu nurodydama vėlavimo priežastis.

15Valstybinė duomenų apsaugos inspekcija, išnagrinėjusi duomenų valdytojo pateiktą Prašymą ir prie jo pridėtuose dokumentuose pateiktą informaciją, priima sprendimą:

15.1pateikti nuomonę, kad duomenų valdytojo duomenų tvarkymas nepažeis Reglamento (ES) 2016/679 ir įgyvendinamos tinkamos techninės ir organizacinės saugumo priemonės ir apsaugos priemonės duomenų subjektų teisėms ir laisvėms apsaugoti;

15.2. pasinaudoti Reglamento (ES) 2016/679 58 straipsnyje nurodytais įgaliojimais;

15.3pateikti nuomonę, kad duomenų valdytojo numatomas duomenų tvarkymas pažeis Reglamentą (ES) 2016/679 bei teikti rekomendacijas dėl asmens duomenų tvarkymo bei papildomų priemonių įgyvendinimo.

16Duomenų valdytojas apie atsisakymą teikti Išankstinę konsultaciją, Išankstinės konsultacijos teikimo nutraukimą arba Valstybinės duomenų apsaugos inspekcijos priimtą sprendimą, nurodytą Taisyklių 15.1–15.3 papunkčiuose, informuojamas raštu per 3 darbo dienas nuo sprendimo priėmimo.

 

IV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

17. Valstybinės duomenų apsaugos inspekcijos veiksmai ir neveikimas skundžiami Vilniaus apygardos administraciniam teismui Lietuvos Respublikos administracinių bylų teisenos įstatyme nustatyta tvarka.

_________________

 

Forma patvirtinta

Valstybinės duomenų apsaugos inspekcijos

direktoriaus 2018 m. rugpjūčio 29 d.

įsakymu Nr. 1T-84(1.12.E)

(Valstybinės duomenų apsaugos inspekcijos

direktoriaus 2020 m. rugsėjo 3 d.

įsakymo Nr. 1T-88 (1.12.E) redakcija)

 

 

(Prašymo suteikti / nutraukti išankstinę konsultaciją forma)

 

                                                                                                                                                                

(duomenų valdytojo (juridinio asmens) pavadinimas[1], duomenų valdytojo atstovo pavadinimas, duomenų valdytojo (fizinio asmens) vardas, pavardė)

                                                                                                                                                           

(juridinio asmens kodas ir buveinės adresas arba fizinio asmens kodas, gimimo data (jeigu asmuo neturi asmens kodo) ir asmens duomenų tvarkymo vieta

                                                                                                                                                           

(telefono ryšio ir (ar) elektroninio pašto adresas, ir (ar) elektroninės siuntos pristatymo dėžutės adresas)

 

Valstybinei duomenų apsaugos inspekcijai

 

PRAŠYMAS

SUTEIKTI / NUTRAUKTI IŠANKSTINĘ KONSULTACIJĄ[2]

 

                             Nr.           

(data)              (numeris)

 

 

Informacija apie asmens duomenų tvarkymą išankstinės konsultacijos teikimo tikslu

Išankstinės konsultacijos teikimo tikslu VDAI tvarko privalomus pateikti bei kitus (neprivalomus) duomenų valdytojo (fizinio asmens), duomenų valdytojo (juridinio asmens) vadovo ar jo įgalioto atstovo, duomenų apsaugos pareigūno, duomenų tvarkytojo nurodytus duomenis šiame prašyme. Daugiau informacijos galite rasti šiuo adresu: https://vdai.lrv.lt/lt/asmens-duomenu-apsauga.

 

Prašymo dėl išankstinės konsultacijos tikslas

Suteikti išankstinę konsultaciją

 

Nutraukti išankstinę konsultaciją

 

Prašymo nutraukti išankstinę konsultaciją priežastys:

 

 

 

 

Prašymo suteikti išankstinę konsultaciją, kurio nagrinėjimo procedūrą prašoma nutraukti, data ir registracijos numeris:

 

 

 

Ar taikoma pareiga kreiptis dėl išankstinės konsultacijos į VDAI dėl numatomo asmens duomenų tvarkymo?

Ar privaloma atlikti PDAV?

Taip

Ne → pildyti šio prašymo nereikia

Nežinau → Žiūrėti[3]

JEI TAIP, ar atlikus PDAV nustatyta, kad tvarkant asmens duomenis kyla didelis pavojus fizinių asmenų teisėms ir laisvėms?

Taip

Ne → pildyti šio prašymo nereikia

JEI TAIP, ar ėmėtės tinkamų priemonių, kad sumažintumėte pavojų fizinių asmenų teisėms ir laisvėms dėl duomenų tvarkymo?

Taip

Ne

JEI TAIP, ar šios priemonės gali sumažinti padidėjusį pavojų fizinių asmenų teisėms ir laisvėms?

Taip → pildyti šio prašymo nereikia

Ne → pereikite prie kito klausimo

JEI NE, ar tas asmens duomenų tvarkymas yra tarpvalstybinis[4]?

Taip → atsakykite į skiltyje „Preliminarus vadovaujančios institucijos identifikavimas, esant tarpvalstybiniam duomenų tvarkymui“ pateiktus klausimus, kad nustatytumėte vadovaujančią priežiūros instituciją

Ne → užpildykite toliau pateiktus klausimus nuo 1 iki 34

PASTABA. Jeigu priežiūros institucija laikosi nuomonės, kad BDAR 35 straipsnio 1 dalyje nurodytas numatytas duomenų tvarkymas pažeistų BDAR, visų pirma tais atvejais, kai duomenų valdytojas nepakankamai nustatė arba nepakankamai sumažino pavojų, priežiūros institucija ne vėliau kaip per 8 savaites nuo prašymo dėl konsultacijos gavimo, raštu pateikia duomenų valdytojui ir, kai taikoma, duomenų tvarkytojui, rekomendacijas ir gali pasinaudoti bet kuriais BDAR 58 straipsnyje nurodytais įgaliojimais. Tas laikotarpis gali būti pratęstas 6 savaitėms, atsižvelgiant į numatyto duomenų tvarkymo sudėtingumą. Priežiūros institucija informuoja duomenų valdytoją ir, kai taikoma, duomenų tvarkytoją, apie bet kokį tokį pratesimą per 1 mėnesį nuo prašymo dėl konsultacijos gavimo, kartu su vėlavimo priežastimis. Tie laikotarpiai gali būti sustabdyti iki priežiūros institucija gaus informaciją, kurios ji buvo paprašiusi išankstinės konsultacijos tikslais.

 

Preliminarus vadovaujančios institucijos identifikavimas, esant tarpvalstybiniam duomenų tvarkymui

Kur yra įmonės ar įmonių grupės pagrindinė buveinė? Ar buveinė yra nustatyta ir (ar) ji užregistruota ES? Ar paskyrėte įgaliotą asmenį[5], kuris atstovauja Jums įgyvendinant BDAR nustatytus reikalavimus? Prašome nurodyti valstybę, kurioje yra įgaliotas asmuo.

 

Nurodykite ES valstybę narę, kurioje  yra pagrindinė duomenų apsaugos pareigūno darbo vieta?

 

Jei asmens duomenys tvarkomi daugiau nei vienoje ES valstybėje narėje, prašome nurodyti valstybę narę, kurioje yra įmonė, kuri yra atsakinga už duomenų apsaugos srityje priimtų sprendimų vykdymą.

 

Jei asmens duomenų tvarkymas vykdomas tik vienoje ES valstybėje, tačiau jis kelia didelį pavojų ar gali sukelti didelį pavojų duomenų subjektams daugiau nei vienoje valstybėje narėje, prašome nurodyti tas valstybes nares, kuriose duomenų tvarkymo veikla kelia didelį pavojų duomenų subjektams.

 

Ar duomenų valdytojas (-ai) dalyvauja tarpvalstybiniame asmens duomenų tvarkyme ar tik jo duomenų tvarkytojai?

 

Ar jau esate konsultavęsis su kita priežiūros institucija dėl to paties asmens duomenų tvarkymo, keliantį didelį pavojų? Jei taip, prašome nurodyti priežiūros instituciją, kuri jums teikė išankstinę konsultaciją.

 

 

Jeigu manote, kad Jums išankstinę konsultaciją turi suteikti VDAI, prašome pateikti toliau šiame prašyme prašomą pateikti informaciją.

 

Dėmesio. Informacija turi būti susijusi tik su duomenų tvarkymu, kuris kelia didelį pavojų fizinių asmenų teisėms ir laisvėms.

 

I.     BENDROJI INFORMACIJA

 

Duomenų valdytojo tipas

Vienas duomenų valdytojas

Bendri duomenų valdytojai

 

Kontaktinio asmens duomenys

Pareigos

 

Vardas ir pavardė

 

Telefono ryšio numeris ir (ar) elektroninio pašto adresas

 

Adresas korespondencijai

 

 

Duomenų apsaugos pareigūno duomenys

Ar paskirtas duomenų apsaugos pareigūnas?

Taip

Ne

Ar duomenų apsaugos pareigūnas ir kontaktinis asmuo yra tas pats asmuo?

Taip → toliau šioje prašymo dalyje pateikite informaciją tik dėl nuomonės pateikimo

Ne

Vardas ir pavardė

 

Telefono ryšio ir (ar) elektroninio pašto adresas

 

Ar duomenų apsaugos pareigūnas atlieka kitas funkcijas?

Taip → nurodykite kokias kitas (ne duomenų apsaugos pareigūno) funkcijas atlieka:

 

 

 

Ne

Ar duomenų apsaugos pareigūnas pateikė nuomonę dėl duomenų tvarkymo?

Taip → prašome pateikti

Ne → prašome pirmiausia pasikonsultuoti su duomenų apsaugos pareigūnu prieš kreipiantis į VDAI

 

Informacija apie asmenis, atlikusius PDAV

Pareigos ir atsakomybės (pavyzdžiui, asmuo atsakingas už saugumo užtikrinimą)

 

Vieta organizacijos struktūroje

 

Vardas ir pavardė

 

Telefono ryšio numeris ir (ar) elektroninio pašto adresas

 

 

Ar asmens duomenų tvarkymą atliksite patys?

Taip→ užpildykite skiltis apie pasitelktą duomenų tvarkytoją

Ne

Duomenų tvarkytojo (juridinio asmens) pavadinimas, duomenų tvarkytojo (fizinio asmens) vardas, pavardė

 

Duomenų tvarkytojo (juridinio asmens) juridinio asmens kodas arba duomenų tvarkytojo (fizinio asmens) fizinio asmens kodas, gimimo data (jeigu asmuo neturi asmens kodo)

 

Duomenų tvarkytojo (juridinio asmens) buveinės adresas arba duomenų tvarkytojo (fizinio asmens) Lietuvos Respublikos gyventojų registre nurodytos gyvenamosios vietos adresas

 

Duomenų tvarkytojo telefono ryšio ir (ar) elektroninio pašto adresas

 

Ar duomenų tvarkytojas pateikė savo nuomonę dėl numatomo asmens duomenų tvarkymo?

Taip → pridėkite ją

Ne

 

 

Ar duomenų tvarkymas dėl kurio kreipėtės į VDAI yra reglamentuojamas teisės aktu?

Ne

Taip

Ar rengiant teisės akto projektą buvo atliktas PDAV?

Taip → nurodykite teisės akto pavadinimą ir pridėkite PDAV, atliktą rengiant teisės aktą, arba pateikite nuorodą į jį, jei jis skelbiamas viešai

Ne

 

Ar atliekant šį duomenų tvarkymą bus laikomasi elgesio kodekso, ar jis bus atliekamas pagal sertifikatą?

Ne

Taip → prašome pateikti elgesio kodeksą ar nuorodą į jį, jei jis viešai prieinamas valstybine kalba, bei nurodyti sertifikatą

 

II.        DUOMENŲ TVARKYMO APRAŠYMAS

 

Ar šis duomenų tvarkymas dėl kurio teikiate šį prašymą yra naujas?

Ne → nurodykite, kas yra keičiama duomenų tvarkyme:

 

 

 

 

 

Taip

 

Jei išankstinės konsultacijos kreipiamasi dėl naujo duomenų tvarkymo, detaliai aprašykite duomenų tvarkymo operacijas ir pateikite duomenų tvarkymo veiklos įrašą pagal BDAR 30 straipsnį. Tuo atveju, jeigu šis tvarkymas susijęs kompleksiškai su kitu duomenų tvarkymu, prašome pateikti duomenų judėjimo schemą ir / ar tinklo topologiją.

 

 

 

 

 

 

 

 

 

 

 

 

 

Jei esamame duomenų tvarkyme yra pasikeitimų dėl kurių kreipiamasi su šiuo prašymu ir kuris kelia didelį pavojų fizinių asmenų teisėms ir laisvėms, prašome detaliai aprašyti duomenų tvarkymo operacijas (pavyzdžiui, pateikti duomenų tvarkymo veiklos įrašą pagal BDAR 30 straipsnį) ir nurodykite, kokius pakeitimus planuojate atlikti. Galite pateikti duomenų judėjimo schemą ir / ar tinklo topologiją.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Kokiu būdu ir kaip bus atliekamas duomenų tvarkymas, pavyzdžiui, automatiniu ar neautomatiniu būdu, popierine ar elektronine forma. Ar bus naudojama prieglobos paslauga ir jei taip, kokio tipo ir kokia apimtimi? Ar bus naudojamas dirbtinis intelektas ar kitos naujos technologijos?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

III.       DUOMENŲ TVARKYMO TIKSLAI

 

Konkrečiai, išsamiai, aiškiai ir tiksliai apibūdinkite duomenų tvarkymo tikslą (venkite abstrakčių duomenų tvarkymo formuluočių, kaip pavyzdžiui, IT saugumas, paslaugos kokybės gerinimas, analizė).

 

 

 

 

 

 

 

 

 

 

 

 

IV.       KOKIA YRA NUMATOMO ASMENS DUOMENŲ TVARKYMO SĄLYGA (-OS) PAGAL BDAR 6 STRAIPSNIO 1 DALĮ?[6]

BDAR 6 straipsnio 1 dalies a punktas

 

Nurodykite kaip gausite duomenų subjekto sutikimą ir kokią informaciją apie duomenų tvarkymą jam pateiksite.

BDAR 6 straipsnio 1 dalies b punktas

Prašome detaliai paaiškinti, kodėl numatomas duomenų tvarkymas yra būtinas sutarties vykdymui ar iki sutartinių veiksmų atlikimui.

BDAR 6 straipsnio 1 dalies c punktas

Nurodykite teisės aktą ar nuorodą į teisės akto konkrečią nuostatą (straipsnį, straipsnio dalį, punktą ir kt.) numatančią teisinę prievolę, kurios vykdymui būtina tvarkyti duomenis.

BDAR 6 straipsnio 1 dalies d punktas

Nurodykite gyvybinius duomenų subjekto ar kito fizinio asmens interesus, kuriuos siekiant apsaugoti būtina tvarkyti asmens duomenis.

BDAR 6 straipsnio 1 dalies e punktas

Nurodykite teisės aktą ar nuorodą į teisės akto konkrečią nuostatą (straipsnį, straipsnio dalį, punktą ir kt.) numatančią užduotį, kuri vykdoma viešojo intereso labui arba pavestas viešosios valdžios funkcijas.

BDAR 6 straipsnio 1 dalies f punktas

Aprašykite teisėtus interesus, kurių siekiate šiuo duomenų tvarkymu ir pagrįskite, kuo šie interesai yra viršesni už duomenų subjekto teises.

 

 

Ar duomenų tvarkymas apima ir tokių duomenų tvarkymą, kurie buvo surinkti kitais tikslais negu tie tikslai dėl kurių bus atliekamas numatomas tolesnis duomenų tvarkymas (BDAR 6 straipsnio 4 dalis)?

Ne

Taip

Ar numatomas tolesnis duomenų tvarkymas pagrįstas duomenų subjekto sutikimu?

Taip

Ne

Ar numatomas tolesnis duomenų tvarkymas pagrįstas teisės aktais?

Taip→ pateikite nuorodą į jį

Ne

Jei numatomas tolesnis duomenų tvarkymas nepagrįstas teisės aktais, kokiu būdu numatomo duomenų tvarkymo tikslas yra suderinamas su pradiniu duomenų rinkimo tikslu?

 

Koks pirminis duomenų tvarkymo tikslas?

 

Iš kokių šaltinių numatoma rinkti asmens duomenis?

duomenų subjektų

trečiųjų asmenų → nurodykite juos:

 

 

Kokios ketinamų tvarkyti asmens duomenų kategorijos?

asmens duomenys (BDAR 6 straipsnis)

specialių kategorijų asmens duomenys (BDAR 9 straipsnis)

asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas (BDAR 10 straipsnis)

asmens kodai (ADTAĮ 3 straipsnis)

 

Jei ketinama tvarkyti specialių kategorijų asmens duomenis, nurodykite, kuria išimtimi, numatyta BDAR 9 straipsnio 2 dalyje, grindžiate jų tvarkymą.[7]

BDAR 9 straipsnio 2 dalies a punktas

Nurodykite kokiu būdu gausite duomenų subjekto sutikimą.

BDAR 9 straipsnio 2 dalies b punktas

Nurodykite konkretų teisės aktą bei jo punktus.

BDAR 9 straipsnio 2 dalies c punktas

Nurodykite dėl kokių fizinių ar teisinių priežasčių duomenų subjektas negalėtų duoti sutikimo.

BDAR 9 straipsnio 2 dalies d punktas

Paaiškinkite, kodėl reikia laikyti, kad numatomas duomenų tvarkymas bus atliekamas vykdant teisėtą veiklą, taip pat nurodykite kokios apsaugos priemonės bus taikomos.

BDAR 9 straipsnio 2 dalies e punktas

Paaiškinkite, kokiu būdu ir kokiomis aplinkybėmis duomenų subjektai savo duomenis yra paskelbę viešai.

BDAR 9 straipsnio 2 dalies f punktas

Pagrįskite šio tvarkymo būtinumą šiais tikslais.

BDAR 9 straipsnio 2 dalies g punktas

Nurodykite teisės aktą ar nuorodą į teisės akto konkrečią nuostatą (straipsnį, straipsnio dalį, punktą ir kt.), kuris numato priežastis vykdyti duomenų tvarkymą viešojo intereso labui bei konkrečias priemones, kurių buvo imtasi siekiant apsaugoti duomenų subjektų teises ir teisėtus interesus. 

BDAR 9 straipsnio 2 dalies h punktas

Ar duomenis tvarkys sveikatos priežiūros specialistas ar kitas asmuo, kuriam taikoma pareiga saugoti paslaptį (BDAR 9 straipsnio 3 dalis). Nurodykite asmens pareigas ir funkcijas. 

BDAR 9 straipsnio 2 dalies i punktas

Nurodykite viešąjį interesą, kurio siekiate šiuo duomenų tvarkymu bei teisės aktą, kuriuo nustatomas šis duomenų tvarkymas.

BDAR 9 straipsnio 2 dalies j punktas

Nurodykite teisinį pagrindą bei technines ir organizacines priemones pagal BDAR 89 straipsnį.

 

Kokių duomenų subjektų kategorijų asmens duomenys bus tvarkomi?

Darbuotojai

Vartotojai

Klientai

Tiekėjai

Viešųjų paslaugų gavėjai

Nepilnamečiai

Pacientai

Asmenys su negalia

Kita (detalizuokite)

Apytikslis duomenų subjektų, kurių duomenis ketinama tvarkyti, skaičius

 

 

Ar dėl numatomo asmens duomenų tvarkymo buvo gauta duomenų subjektų ar jų atstovų nuomonė?

Taip → pridėkite jas arba apibendrinkite gautas nuomones

Ne → nurodykite priežastis, dėl kurių duomenų subjektų ar jų atstovų nuomonės nebuvo prašoma

 

 

 

 

 

 

 

Ar atliekamam duomenų tvarkymui bus taikomas automatizuotas sprendimų priėmimas, įskaitant ir profiliavimą?

Taip → paaiškinkite, kaip tai bus atliekama

 

 

 

 

 

Ne

 

V.        ASMENS DUOMENŲ TVARKYMO BŪTINUMAS IR PROPORCINGUMAS

 

Kodėl duomenų tvarkymas yra būtinas siekiant nustatyto tikslo? Paaiškinkite, kodėl šio tikslo negalima pasiekti netvarkant asmens duomenų arba kitais, mažiau privatumą pažeidžiančiais būdais. Jei tai yra esamo duomenų tvarkymo pakeitimas, paaiškinkite kodėl šis pakeitimas yra būtinas.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Pagrįskite kiekvieno atskiro duomens tvarkymo būtinumą nustatytam tikslui pasiekti (iliustruokite pavyzdžiais).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Nurodykite saugojimo terminą ir jį pagrįskite.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

VI.       DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMAS

 

 

Skaidrumas / informacija: Kaip duomenų subjektai bus informuojami apie duomenų tvarkymą?

 

 

 

 

 

 

 

 

 

 

 

 

Aprašykite, kaip bus įgyvendintos duomenų subjektų teisės, įtvirtintos BDAR III skyriuje nuo 15 straipsnio iki 22 straipsnio imtinai?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

VII.     ASMENS DUOMENŲ TIKSLUMAS IR ATNAUJINIMAS

 

Kaip bus užtikrintas duomenų tikslumas ir kaip prireikus jie bus atnaujinami?

 

 

 

 

 

 

 

 

 

 

 

 

VIII.    DUOMENŲ GAVĖJAI IR PRIEIGA PRIE DUOMENŲ

 

Nurodykite pareigas ir funkcijas asmenų, kurie turės prieigą prie duomenų?

 

 

 

 

 

 

 

 

 

 

 

 

 

Ar tretieji asmenys turės prieigą prie šių duomenų?

Taip → apibūdinkite duomenų teikimo tvarką:

 

 

 

 

 

Ne

 

IX.       DUOMENŲ TEIKIMAS Į TREČIĄSIAS VALSTYBES

 

Ar duomenys bus perduodami į trečiąsias valstybes ar tarptautinėms organizacijoms?

Taip → nurodykite trečiąsias valstybes ar tarptautines organizacijas, ir jeigu teikimas grindžiamas BDAR 49 straipsnio 1 ir 2 dalimis, pridėkite dokumentus, patvirtinančius dėl tinkamo apsaugos priemonių taikymo:

 

 

 

 

 

 

 

Ne

 

X.        DUOMENŲ TVARKYMO KELIAMOS RIZIKOS ANALIZĖ

 

Aprašykite didelį pavojų, kurį kelia numatomas duomenų tvarkymas duomenų subjektų teisėms ir laisvėms (ne tik teisės į privatų gyvenimą, bet ir kitoms pagrindinėms žmogaus teisėms ir laisvėms, tokioms kaip teisė į saviraiškos laisvę, žodžio laisvę ir kt.), nepaisant, Jūsų priemonių, kurias taikant siekiama jį sumažinti.

 

 

 

 

 

 

 

 

 

 

 

 

Apibūdinkite galimas neigiamas pasekmes, kurias gali patirti duomenų subjektai dėl Jūsų numatomo duomenų tvarkymo (pavyzdžiui, diskriminacija; tapatybės vagystė; finansiniai nuostoliai; žala reputacijai; teisių apribojimas; neskelbtinos informacijos atskleidimas).

 

 

 

 

 

 

 

 

 

 

 

Apibūdinkite šių galimų neigiamų pasekmių šaltinį, t. y. ar neigiamos pasekmės gali kilti dėl asmens naudojamos technikos ar naudojamų fizinių priemonių. Taip pat nurodykite, ar ši rizika yra vidinė ar išorinė.

 

 

 

 

 

 

 

 

 

 

 

Nurodykite neigiamų padarinių tikimybę

 

 

 

 

 

 

 

 

 

 

Nurodykite galimą padarinių rimtumą

 

 

 

 

 

 

 

 

 

 

Nurodykite, ar rizikos valdymo analizė yra atlikta remiantis tarptautiniais standartais (pavyzdžiui, ISO 31000; ISO 27005) ar tarptautinių organizacijų (pavyzdžiui, ISACA, ENISA, CompTIA) rekomendacijomis, gairėmis ar panašiai?  Prašome juos nurodyti.

 

 

 

 

 

 

 

 

 

 

 

Apibūdinkite technines ir organizacines saugumo priemones taikomas tvarkant duomenis

Asmens duomenų saugumo politika ir procedūros

Ar asmens duomenų ir jų tvarkymo saugumas yra dokumentuotas kaip informacijos saugumo politikos dalis?

 

Ar saugumo politika peržiūrima ir prireikus atnaujinama? Kokiu dažnumu tai daroma?

 

Vaidmenys ir atsakomybės

Аr su asmens duomenų tvarkymu susiję vaidmenys ir atsakomybės aiškiai apibrėžti ir paskirstyti pagal saugumo politiką?

 

Ar yra numatytas ir aiškiai apibrėžtas darbuotojų teisių ir pareigų atšaukimas taikant atitinkamas vaidmenų ir atsakomybių perdavimo procedūras (vidaus organizacijos pertvarkymo ar darbuotojų atleidimo, funkcijų pasikeitimo metu)?

 

Prieigos valdymo politika

Ar kiekvienam vaidmeniui, susijusiam su asmens duomenų tvarkymu, yra priskiriamos konkrečios prieigos kontrolės teisės, vadovaujantis principu „būtinybė žinoti“ (angl. need to know)? Kokiame dokumente ar informacinių technologijų (toliau – IT) sistemoje tai numatyta?

 

Išteklių ir turto valdymas

Ar duomenų valdytojas  turi IT išteklių, naudojamų asmens duomenims tvarkyti, registrą (techninės, programinės ir tinklo įrangos sąrašą)?

 

 

Ar IT išteklių registro tvarkymas priskirtas konkrečiam asmeniui, pavyzdžiui, IT specialistui?

 

Ar IT išteklių registras reguliariai prižiūrimas ir atnaujinamas? Kokiu dažnumu?

 

Pakeitimų valdymas

Ar visi IT sistemų pakeitimai stebimi ir registruojami konkretaus asmens (pavyzdžiui., IT specialisto arba saugos pareigūno)?

 

Ar programinės įrangos kūrimas atliekamas specialioje aplinkoje, kuri nėra prijungta prie IT sistemų, naudojamų tvarkant asmens duomenis. Ar testuojant sistemas naudojami testiniai (ne realūs) duomenys?

 

Duomenų tvarkytojai

Ar su domenų valdytojo valdomų duomenų tvarkytojais apibrėžtos, dokumentuotos ir suderintos formalios gairės ir procedūros, taikomos duomenų tvarkytojams (rangovams / užsakomųjų paslaugų teikėjams) dėl asmens duomenų tvarkymo? Ar šios gairės ir procedūros nustato tokį patį (ne žemesnį) asmens duomenų saugumo lygį, koks yra numatytas duomenų valdytojo saugumo politikoje?

 

Ar sutartyse su duomenų tvarkytojas numatyta prievolė nepagrįstai nedelsiant pranešti duomenų valdytojui apie nustatytus asmens duomenų saugumo pažeidimus?

 

Ar duomenų tvarkytojai yra pateikę dokumentais pagrįstus įrodymus dėl atitikties keliamiems reikalavimams?

 

Asmens duomenų saugumo pažeidimai ir incidentai

Ar yra fiksuojami (dokumentuojami) asmens duomenų saugumo pažeidimai?

 

Ar yra parengta išsami reagavimo į incidentus ir jų padarinių likvidavimo tvarka (reagavimo į incidentus planas), užtikrinanti veiksmingą incidentų, susijusių su asmens duomenų saugumo pažeidimais, valdymą?

 

Ar nustatyta pranešimo apie asmens duomenų saugumo pažeidimus kompetentingoms institucijoms ir duomenų subjektams tvarka, vadovaujantis BDAR 33 ir 34 straipsniais?

 

Veiklos tęstinumas

Ar yra nustatytos pagrindinės procedūros, kurių reikia laikytis incidento / asmens duomenų saugumo pažeidimo atveju, kad būtų užtikrintas reikiamas asmens duomenų tvarkymo IT sistemomis tęstinumas ir prieinamumas?

 

Personalo konfidencialumas

Ar vaidmenys ir atsakomybės aiškiai išdėstyti darbuotojui prieš pradedant vykdyti jam paskirtas funkcijas ir darbus?

 

Mokymai

Ar duomenų valdytojas užtikrina, kad visi darbuotojai būtų tinkamai informuoti apie IT sistemų saugumo reikalavimus, susijusius su jų kasdieniu darbu?

 

Ar darbuotojai, susiję su asmens duomenų tvarkymu, mokomi apie atitinkamų duomenų apsaugos reikalavimus ir atsakomybę, rengiant reguliarius mokymus, informavimo renginius / instruktažus? Kokiu dažnumu vyksta mokymai?

 

Prieigų kontrolė ir autentifikavimas

Ar yra įdiegta / įgyvendinta Prieigų kontrolės sistema, kuri taikoma visiems IT sistemos naudotojams? (Prieigų kontrolės sistema turi leisti kurti, patvirtinti, peržiūrėti ir panaikinti naudotojų paskyras)

 

Ar yra naudojamos bendros naudotojų paskyros? Jeigu taip, ar visi bendros paskyros naudotojai turi tokias pačias teises ir pareigas?

 

Ar yra veikiantis autentifikavimo mechanizmas, leidžiantis prieigas prie IT sistemų (paremtas Prieigų kontrolės politika)? Ar duomenų valdytojas užtikrina minimalų reikalavimą naudotojui prisijungti prie IT sistemos naudotojo prisijungimo vardu ir slaptažodžiu? Ar slaptažodžiai sudaromi atsižvelgiant į tam tikrą kompleksiškumo lygį? Kokios slaptažodžio sudarymo taisyklės?

 

Ar Prieigų kontrolės sistema turi galimybę aptikti ir neleisti naudoti slaptažodžių, kurie neatitinka tam tikro kompleksiškumo lygio?

 

Techninių žurnalų įrašai ir stebėsena

Ar techninių žurnalų įrašai įgyvendinti kiekvienai IT sistemai / taikomajai programai, naudojamai asmens duomenų apdorojimui? Ar techniniuose žurnaluose matomi bent šie prieigų prie asmens duomenų įrašų tipai: data, laikas, peržiūrėjimas, keitimas, panaikinimas? Koks šių įrašų saugojimo terminas?

 

Ar techninių žurnalų įrašai turi laiko žymas ir ar jie apsaugoti nuo galimo sugadinimo, suklastojimo ar neautorizuotos prieigos? Ar IT sistemose naudojami laiko apskaitos mechanizmai sinchronizuoti pagal bendrą laiko atskaitos šaltinį?

 

Tarnybinių stočių / duomenų bazių apsauga

Ar duomenų bazės ir taikomųjų programų tarnybinės stotys sukonfigūruotos taip, kad veiktų korektiškai ir naudotų atskirą paskyrą su priskirtomis žemiausiomis operacinės sistemos privilegijomis?

 

Ar duomenų bazės ir taikomųjų programų tarnybinės stotys apdoroja tik tuos asmens duomenis, kurie yra reikalingi darbui, atitinkančiam duomenų tvarkymo tikslus?

 

Darbo stočių apsauga

Ar yra užtikrinta, kad naudotojai neturėtų galimybės išjungti ar apeiti / išvengti saugos nustatymų?

 

Kokios antivirusinės taikomosios programos naudojamos darbo vietose? Kaip dažnai atnaujinamos šių programų virusų duomenų bazės?

 

Ar darbo vietose užtikrinta, kad naudotojai neturėtų privilegijų diegti, šalinti, administruoti neautorizuotos programinės įrangos?

 

Ar IT sistemose (įskaitant darbo vietų operacines sistemas) nustatytas sesijos laikas (naudotojui esant neaktyviam sistemoje nustatytą laiką, jo sesija nutraukiama)? Jeigu taip, koks nustatytas neaktyvios sesijos laikas?

 

Ar kritiniai operacinių sistemų saugos atnaujinimai diegiami reguliariai ir nedelsiant?

 

Tinklo / komunikacijos sauga

Kai prieiga prie naudojamų IT sistemų yra vykdoma internetu ar naudojami šifruoti komunikacijos kanalai, t. y. kriptografiniai protokolai (pavyzdžiui, TLS/SSL)?

 

Atsarginės kopijos

Ar duomenų atsarginės kopijos ir duomenų atstatymo procedūros apibrėžtos, dokumentuotos ir aiškiai susaistytos su vaidmenimis ir pareigomis?

 

Ar atsarginių kopijų laikmenoms užtikrintas tinkamas fizinis aplinkos / patalpų saugos lygis?

 

Ar atsarginių kopijų darymo procesas stebimas, siekiant užtikrinti užbaigtumą / išsamumą?

 

Ar pilnos atsarginės duomenų kopijos daromos reguliariai? Jei taip, tai kokiu dažnumu daromos pilnos ir/ar pridedamosios kopijos?

 

Mobilūs / nešiojami įrenginiai

Ar nustatytos ir dokumentuotos mobilių ir nešiojamų įrenginių administravimo procedūros, aiškiai aprašant tinkamą tokių įrenginių naudojimąsi?

 

Ar mobilūs / nešiojami įrenginiai, kuriais naudojamasi darbui su informacinėmis sistemomis, prieš naudojimąsi užregistruojami ir autorizuojami?

 

Ar mobilūs įrenginiai yra pakankamame prieigos kontrolės procedūrų lygyje kaip ir kita naudojama įranga asmens duomenų tvarkymui?

 

Programinės įrangos sauga

Ar informacinėse sistemose naudojama programinė įranga (asmens duomenims tvarkyti) atitinka programinės įrangos saugos gerąsias praktikas, programinės įrangos kūrime taikomas saugos gerąsias praktikas, programinės įrangos kūrimo struktūras (angl. frameworks), standartus?

 

Ar specifiniai saugos reikalavimai buvo apibrėžti pradiniuose programinės įrangos kūrimo etapuose?

 

Ar laikomasi duomenų saugą užtikrinančių programavimo standartų ir gerųjų praktikų? Jei taip, tai kokių?

 

Ar programinės įrangos kūrimo, testavimo ir verifikacijos etapai vyksta atsižvelgiant į pagrindinius saugos reikalavimus?

 

Duomenų naikinimas / šalinimas

Ar prieš pašalinant bet kokią duomenų laikmeną visi joje esantys duomenys sunaikinami naudojant tam skirtą programinę įrangą, kuri palaiko patikimus duomenų naikinimo algoritmus? Tais atvejais, kai tai padaryti neįmanoma (pavyzdžiui., CD/DVD diskai, ir pan.) ar vykdomas fizinis duomenų laikmenos sunaikinimas be galimybės atstatyti?

 

Ar popierius ir nešiojamos duomenų laikmenos, kuriuose buvo saugomi / kaupiami asmens duomenys, naikinami tam skirtais smulkintuvais arba kitomis mechaninėmis priemonėmis?

 

Fizinė sauga

Ar yra įgyvendinta fizinė aplinkos / patalpų, kuriose yra IT sistemų infrastruktūra, apsauga nuo neautorizuotos prieigos?

 

 

 

Pridedami dokumentai:

 

1.

 

2.

 

3.

 

4.

 

5.

 

6.

 

7.

 

8.

 

9.

 

10.

 

 

Duomenų valdytojas atsako už pateiktos informacijos tikslumą ir teisingumą.

 

_______________                               __________________                                        _______________________

pareigos                                                parašas                                                                 vardas  ir pavardė

__________________

 

 

Pakeitimai:

 

1.

Valstybinė duomenų apsaugos inspekcija, Įsakymas

Nr. 1T-88 (1.12.E), 2020-09-03, paskelbta TAR 2020-09-03, i. k. 2020-18617

Dėl Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymo Nr. 1T-84(1.12.E) „Dėl Išankstinių konsultacijų teikimo taisyklių patvirtinimo“ pakeitimo

 

 



[1] Jeigu prašymą teikia bendri duomenų valdytojai, nurodomi visi jį sudarantys fiziniai  (jeigu bendri duomenų valdytojai yra fiziniai asmenys) ar juridiniai asmenys

[2] Šioje formoje vartojami trumpiniai:

o ADTAĮ – Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

o VDAI – Valstybinė duomenų apsaugos inspekcija;

o BDAR – 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

o PDAV – Poveikio duomenų apsaugai vertinimas;

o ES – Europos Sąjunga ir Europos Ekonominės Erdvės valstybės;

o Prašymas – prašymas suteikti / nutraukti išankstinę konsultaciją.

[3] Jeigu Jūs nežinote, ar Jums reikia atlikti PDAV, prašome žiūrėti į:

o BDAR 36 straipsnio 1 dalį;

o 29 straipsnio duomenų apsaugos darbo grupės patvirtintas Poveikio duomenų apsaugai vertinimo (PDAV) gaires, kuriomis Reglamento 2016/679 taikymo tikslais nurodoma, kaip nustatyti, ar duomenų tvarkymo operacijos gali sukelti didelį poveikį (https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236);

o Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą, patvirtintą Valstybinės duomenų apsaugos inspekcijos direktoriaus 2019-03-14 įsakymu Nr. 1T-35(1.12.E) „Dėl Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašo patvirtinimo“.

[4] BDAR 4 straipsnio 23 punkte nustatyta, kad tarpvalstybinis duomenų tvarkymas– vienas iš toliau nurodytų:

a) asmens duomenų tvarkymas vykdomas ES, kai veiklą vykdo duomenų valdytojo arba duomenų tvarkytojo buveinės daugiau kaip vienoje valstybėje narėje, ir duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs daugiau kaip vienoje valstybėje narėje;

b) asmens duomenų tvarkymas vykdomas ES, kai veiklą vykdo duomenų valdytojo arba duomenų tvarkytojo vienintelė buveinė, kuris daro arba gali padaryti didelį poveikį duomenų subjektams daugiau nei vienoje valstybėje narėje.

VDAI šį prašymą nagrinės tik tuo atveju, jeigu bus nustatyta, kad VDAI yra vadovaujanti institucija. Atsakymai į toliau pateiktus klausimus leidžia VDAI nustatyti, ar ji yra vadovaujanti priežiūros institucija Jūsų prašyme nurodytu atveju, ar ne. Atkreiptinas dėmesys į tai, kad vadovaujančioji priežiūros institucija gali keistis, atsižvelgiant į kitų priežiūros institucijų išreikštą nuomonę. Pažymėtina, kad šis prašymas gali būti teikiamas ir kitoms ES priežiūros institucijoms.

[5] Žr. BDAR 27 straipsnį.

[6] Jeigu asmens duomenų tvarkymas numatomas skirtingais tikslais, prašome šią prašymo dalį užpildyti pagal kiekvieną tikslą atskirai, išskyrus atvejus, kai šioje prašymo dalyje prašoma pateikti informacija visais tikslais sutampa.

[7] Nepildykite, jeigu nenumatoma tvarkyti specialių kategorijų duomenų.