1.  Asmens duomenų tvarkymo valstybės įmonėje Registrų centre taisyklių (toliau – Taisyklės) tikslas – reglamentuoti asmens duomenų tvarkymą valstybės įmonėje Registrų centre (toliau – Registrų centras), užtikrinant, kad būtų laikomasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą, nuostatų.

2.    Taisyklių nuostatos taikomos Registrų centrui, juridinio asmens kodas 124110246, buveinės adresas Lvivo g. 25-101, 09320 Vilnius, kai jis asmens duomenis tvarko kaip duomenų valdytojas, arba duomenų valdytojų (ministerijų ar kitų įstaigų) vardu, kaip duomenų tvarkytojas, kai asmens duomenys tvarkomi valstybės registruose ir valstybės informacinėse sistemose.

3.    Taisyklėse vartojamos sąvokos:

4.    Duomenys Registrų centre tvarkomi laikantis Reglamento (ES) 2016/679 5 straipsnyje nurodytų su duomenų tvarkymu susijusių principų, esant bent vienai Reglamento (ES) 2016/679 6 straipsnio 1 dalies a–f punktuose ir 9 straipsnio 2 dalies b ir h punktuose, 10 straipsnyje nurodytai teisėto duomenų tvarkymo sąlygai. Registrų centrui tvarkant duomenis valstybės registruose ir valstybės informacinėse sistemose duomenų valdytojų vardu, remiamasi Reglamento (ES) 2016/679 6 straipsnio 1 dalies c punktu (tvarkyti duomenis įpareigoja teisės aktai).

5.  Duomenys Registrų centre renkami tiesiogiai iš duomenų subjekto arba gaunami iš kitų fizinių ir (ar) juridinių asmenų arba susijusių valstybės registrų ir (ar) valstybės informacinių sistemų.

6. Duomenys Registrų centre gali būti tvarkomi tik tuo tikslu, kuriuo yra renkami ir toliau netvarkomi su tais tikslais nesuderinamu būdu. Jeigu duomenys nėra būtini konkrečiam tikslui pasiekti, jie negali būti tvarkomi.

7. Konkretūs tvarkomi duomenys, jų tvarkymo tikslai, saugojimo terminai ir tvarkymo teisiniai pagrindai yra nurodyti veiklos įrašuose, kurie turi atitikti Reglamento (ES) 2016/679 30 straipsnio reikalavimus, ir kuriais privalo vadovautis Registrų centro darbuotojai tvarkydami duomenis. Veiklos įrašai tvarkomi vadovaujantis Registrų centro proceso apraše nustatyta tvarka.

8.  Duomenų subjektams informacija apie duomenų tvarkymą pateikiama privatumo pranešimuose, vadovaujantis Taisyklių III skyriuje „Duomenų subjekto teisės“ nustatyta tvarka.

9.  Bet koks duomenų tvarkymas, kuris remiasi Registrų centro teisėtu interesu, gali būti vykdomas tik atlikus interesų balanso testą.

10.  Pasibaigus duomenų saugojimo terminui duomenys turi būti sunaikinami (ištrinami arba nuasmeninami). Jei Registrų centras nustato, kad saugoti duomenis toliau yra būtina, ypač atsižvelgiant į būtinybę panaudoti duomenis kaip įrodymą ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos (toliau – Inspekcija) vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais teisės aktų nustatytais atvejais, toks sprendimas turi būti dokumentuojamas. Prieš priimant sprendimą pratęsti duomenų saugojimo terminą, konsultuojamasi su Registrų centro duomenų apsaugos pareigūnu.

11.     Kai dėl duomenų tvarkymo, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms ir laisvėms gali kilti didelis pavojus, turi būti atliekamas PDAV. PDAV padeda Registrų centrui valdyti pavojų, kuris fizinių asmenų teisėms ir laisvėms kyla dėl duomenų tvarkymo. PDAV vykdomas vadovaujantis Registrų centro proceso apraše nustatyta tvarka.

12.     Registrų centro tvarkomų valstybės registrų ir informacinių sistemų bei vidaus informacinių sistemų testavimui (toliau – testavimas) duomenys gali būti naudojami tik tuo atveju, kai tai pagrįstai būtina konkretaus testavimo tikslams pasiekti ir kai nėra galimybių testavimo atlikti nenaudojant duomenų (naudojant fiktyvius, nuasmenintus duomenis), taip pat įvertinus būtiną minimalų duomenų kiekį, t. y. testavimui gali būti panaudojama tik tokia duomenų apimtis, kuri būtina konkretaus testavimo tikslams pasiekti. Konkretaus testavimo procedūros, kurios metu tvarkomi duomenys, turi būti dokumentuojamos.

13.  Duomenų subjektams informacija pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius pateikiama privatumo pranešimuose, kurie viešai skelbiami Registrų centro interneto svetainėje www.registrucentras.lt skiltyje „Asmens duomenų apsauga“, taip pat gali būti teikiama elektroniniu paštu, klientų aptarnavimo padaliniuose arba bendruoju kontaktiniu telefonu. Privatumo pranešimai apie Registrų centro darbuotojų duomenų tvarkymą yra skelbiami Registrų centro darbuotojams skirtoje vidaus intraneto svetainės skiltyje „Asmens duomenų apsauga“.

14. Kai Registrų centras duomenis tvarko valstybės registruose ir valstybės informacinėse sistemose duomenų valdytojų vardu kaip duomenų tvarkytojas, duomenų subjektų teisės įgyvendinamos atitinkamo valstybės registro ar valstybės informacinės sistemos duomenų valdytojo patvirtintame teisės akte nustatyta tvarka.

15. Kai Registrų centras duomenis tvarko kaip duomenų valdytojas, duomenų subjektai turi šias teises:

16.     Duomenų subjektas dėl jo, kaip duomenų subjekto, teisių įgyvendinimo (išskyrus Taisyklių 15.1 papunktyje nurodytą teisę) turi kreiptis į Registrų centrą raštu, pateikdamas prašymą (rekomenduojamos prašymų formos yra skelbiamos Registrų centro interneto svetainėje www.registrucentras.lt skiltyje „Asmens duomenų apsauga“):

17.     Prašyme įgyvendinti duomenų subjekto teises turi būti nurodyta: 

18.     Prašymas turi būti pasirašytas prašymą pateikusio asmens arba jo atstovo.

19.     Duomenų subjektas, pateikdamas prašymą įgyvendinti duomenų subjekto teises, privalo patvirtinti savo tapatybę:

20.     Teikiant prašymą per atstovą turi būti pateikiamas atstovavimą patvirtinantis dokumentas ar jo kopija, patvirtinta teisės aktų nustatyta tvarka, o kai įgaliojimas sudarytas informacinių technologijų priemonėmis ir duotas jį įregistruojant Įgaliojimų registre, – prašyme turi būti nurodyti įgaliojimą identifikuojantys duomenys. Atstovas taip pat turi patvirtinti savo tapatybę Taisyklių 19 punkte nustatyta tvarka.

21.     Esant abejonių dėl duomenų subjekto ar jo atstovo tapatybės, Registrų centras turi teisę paprašyti papildomos informacijos, reikalingos ja įsitikinti.

22.    Tais atvejais, kai duomenų subjektas nenurodo, dėl kokios konkrečios duomenų tvarkymo veiklos pateiktas prašymas ar (ir) prašymą dėl duomenų subjekto teisių įgyvendinimo suformuluoja neaiškiai, o Registrų centras tvarko didelį informacijos, susijusios su duomenų subjektu, kiekį, jis, vadovaujantis Reglamento (ES) 2016/679 preambulės 63 konstatuojamąja dalimi, gali paprašyti duomenų subjekto nurodyti, dėl kokios informacijos ar duomenų tvarkymo veiklos pateiktas prašymas, prašyti patikslinti prašymą. Duomenų subjektui pateikus patikslintą prašymą, duomenų subjekto teisės įgyvendinamos pagal patikslintą prašymą.

23.     Duomenų subjektas, nesutikdamas su Registrų centro priimtu sprendimu dėl pateikto prašymo, susijusio su jo, kaip duomenų subjekto, teisių įgyvendinimu, turi teisę pateikti skundą Inspekcijai Asmens duomenų teisinės apsaugos įstatymo nustatyta tvarka.

24. Siekiant užtikrinti atitiktį Reglamentui (ES) 2016/679, Registrų centras paskiria duomenų apsaugos pareigūną, kuris atlieka Reglamento (ES) 2016/679 39 straipsnio 1 dalyje, Registrų centro vidaus teisės aktuose ir veiklos procesų aprašuose nustatytas užduotis.

25. Atsižvelgiant į tvarkomų duomenų mastą ir siekiant užtikrinti atitiktį Reglamentui (ES) 2016/679, Registrų centre gali būti paskirti keli duomenų apsaugos pareigūnai, kurie tokiu atveju užduotis ir funkcijas atlieka pagal kuruojamas Registrų centro veiklos sritis.

26. Duomenų apsaugos pareigūnas, vykdydamas užduotis, veikia nepriklausomai ir autonomiškai. Tai reiškia, kad, vykdydamas Reglamentu (ES) 2016/679 nustatytas užduotis, duomenų apsaugos pareigūnas neturi gauti nurodymų, kaip spręsti klausimą, kaip tirti skundą ir ar konsultuotis su Inspekcija. Be to, jam neturi būti nurodoma laikytis tam tikro požiūrio į su duomenų apsaugos teise susijusį klausimą (pavyzdžiui, tam tikro teisės aiškinimo).

27. Dėl bet kokių funkcijų ir užduočių atlikimo duomenų apsaugos pareigūnui negali kilti interesų konfliktas. Jeigu duomenų apsaugos pareigūnui, atliekant pavestas funkcijas ir užduotis, kyla interesų konflikto galimybė, atsižvelgiant į Reglamento (ES) 2016/679 38 straipsnio 6 dalį, jis privalo nusišalinti nuo šių funkcijų ar užduočių atlikimo Registrų centro nustatyta tvarka.

28. Duomenų apsaugos pareigūnas privalo būti tinkamai ir laiku įtraukiamas į visų su duomenų apsauga susijusių klausimų nagrinėjimą, jam turi būti suteikti užduotims atlikti būtini ištekliai (taip pat ir kitų Registrų centro padalinių metodinė pagalba, ekspertinės žinios), užtikrinta galimybė susipažinti su duomenimis ir išlaikyti savo ekspertines žinias bei kitos Reglamento (ES) 2016/679 38 straipsnyje numatytos garantijos.

29. Duomenų apsaugos pareigūnas, atsižvelgdamas į galimas rizikas, kartą per metus inicijuoja ir atlieka patikrinimus bent vienoje pasirinktoje duomenų tvarkymo srityje. Duomenų apsaugos pareigūnas patikrinimo metu analizuoja ir vertina, ar duomenų tvarkymo veikla atitinka Reglamento (ES) 2016/679 ir kitų duomenų tvarkymą reglamentuojančių teisės aktų reikalavimus. Patikrinimų metu Registrų centro darbuotojai privalo laiku teikti reikiamą informaciją, atsakyti į duomenų apsaugos pareigūno pateiktus klausimus. Atliktų patikrinimų rezultatai ir siūlomi korekciniai veiksmai yra įforminami Registrų centro nustatyta tvarka bei pristatomi Registrų centro aukščiausio lygio vadovams, struktūrinių padalinių, kurie tvarko duomenis duomenų apsaugos pareigūno tikrintoje veiklos srityje, vadovams.

30. Asmenys gali kreiptis į duomenų apsaugos pareigūną visais klausimais, susijusiais su duomenų tvarkymu Registrų centre ir duomenų subjekto teisių, nustatytų Reglamente (ES) 2016/679, įgyvendinimu. Tais atvejais, kai keliamas klausimas yra priskirtas kito Registrų centro padalinio kompetencijai, duomenų apsaugos pareigūnas nedelsiant asmens kreipimąsi perduoda šiam padaliniui.

31. Duomenų apsaugos pareigūnas su duomenų subjektais ir kitais fiziniais ir juridiniais asmenimis bendrauja elektroniniu paštu duomenusauga@registrucentras.lt. Duomenų apsaugos pareigūnas su Registrų centro darbuotojais bendrauja vidiniais komunikacijos kanalais.

32. Duomenų apsaugos pareigūnas nėra asmeniškai atsakingas, jei Registrų centre nesilaikoma duomenų apsaugos reikalavimų, t. y. Registrų centras, tiek kaip duomenų valdytojas, tiek kaip paskirtas duomenų tvarkytojas, privalo užtikrinti ir sugebėti įrodyti, kad duomenys tvarkomi laikantis Reglamento (ES) 2016/679 ir kitų teisės aktų, reglamentuojančių duomenų tvarkymą ir apsaugą.

33.  Siekiant užtikrinti tiek automatiniu, tiek ir ne automatiniu būdu tvarkomų duomenų saugumą, atsižvelgiant į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų pobūdį ir jų tvarkymo keliamą riziką, įgyvendinamos šios organizacinės ir techninės duomenų saugumo priemonės:

34.  Konkrečios techninės ir organizacinės duomenų saugumo priemonės nustatytos:

35.     Kiekvienas darbuotojas privalo: 

36.     Registrų centras, prieš pasitelkdamas kitą duomenų tvarkytoją, įsitikina, kad duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines saugumo priemones, kad duomenų tvarkymas atitiktų Reglamento (ES) 2016/679 ir kitų duomenų apsaugą reguliuojančių teisės aktų reikalavimus ir būtų užtikrinta duomenų subjektų teisių apsauga.

37.     Tais atvejais, kai Registrų centras tvarko duomenis kaip duomenų tvarkytojas, jis nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus arba bendrojo rašytinio valstybės registro ar valstybės informacinės sistemos duomenų valdytojo leidimo.

38.     Registrų centras, sudarydamas paslaugų teikimo ar prekių pirkimo sutartį su paslaugos teikėju ar pardavėju, kuris duomenis tvarkys kaip duomenų tvarkytojas, duomenų tvarkymo reikalavimus nustato duomenų tvarkymo sutartyje.

39.     Tvarkant duomenis Registrų centro interneto svetainėje ar Registrų centro tvarkomo valstybės registro ar valstybės informacinės sistemos interneto svetainėje, naudojami šių tipų slapukai:

40.     Jeigu klientas nepažymi, kad sutinka su nebūtinųjų slapukų naudojimu, šio tipo slapukai negali būti naudojami.

41.     Informacija apie naudojamus slapukus klientui turi būti pateikta kiekvieno prisijungimo prie Registrų centro interneto svetainės ar Registrų centro tvarkomo valstybės registro ar valstybės informacinės sistemos interneto svetainės metu. Pateikiamoje informacijoje turi būti nurodyta:

42.     Taisyklės periodiškai, bet ne rečiau kaip kartą per metus, peržiūrimos ir, prireikus, atnaujinamos.

43.     Už Taisyklių atnaujinimą atsakingas Teisės departamento Asmens duomenų teisinės apsaugos skyrius.

44.     Registrų centro darbuotojas, pažeidęs Taisyklių reikalavimus, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.