VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO

GENERALINIS DIREKTORIUS

ĮSAKYMAS

DĖL ASMENS DUOMENŲ TVARKYMO VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO INTERNETO SVETAINĖJE TVARKOS APRAŠO PATVIRTINIMO

2020 m. rugpjūčio 20 d. Nr. NVE-54(1.3 E)

Vilnius

T v i r t i n u Asmens duomenų tvarkymo valstybės įmonės Registrų centro interneto svetainėje tvarkos aprašą (pridedama).

Finansų ir administravimo direktorius Sergejus Ignatjevas

PATVIRTINTA

Valstybės įmonės Registrų centro

generalinio direktoriaus 2020 m. rugpjūčio 20 d.

įsakymu Nr. NVE-54(1.3 E)

ASMENS DUOMENŲ TVARKYMO VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO INTERNETO SVETAINĖJE TVARKOS APRAŠAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Asmens duomenų tvarkymo valstybės įmonės Registrų centro interneto svetainėje tvarkos aprašo (toliau – Aprašas) tikslas – nustatyti valstybės įmonėje Registrų centre (toliau – Registrų centras) atliekamo duomenų tvarkymo interneto svetainėje www.registrucentras.lt (toliau – interneto svetainė) taisykles, tvarkomų asmens duomenų rūšis, duomenų subjektų kategorijas, subjektus, kuriems asmens duomenys gali būti atskleisti, ir tikslus, dėl kurių asmens duomenys gali būti atskleisti, saugojimo laikotarpius, technines ir organizacines asmens duomenų apsaugos priemones bei duomenų subjekto teisių įgyvendinimo tvarką.

2. Interneto svetainėje tvarkomų asmens duomenų valdytojas yra Registrų centras, kuris užtikrina, kad asmens duomenys būtų tvarkomi laikantis duomenų valdytojams taikomų asmens duomenų apsaugos reikalavimų.

3. Informacija apie Registrų centrą: valstybės įmonė Registrų centras, įmonės kodas 124110246, buveinės adresas Lvovo g. 25-101, 09320 Vilnius, tel. (8 5) 268 8262, el. paštas info@registrucentras.lt, interneto svetainės adresas https://www.registrucentras.lt.

4. Informacija apie Registrų centro duomenų apsaugos pareigūną pateikta Registrų centro interneto svetainėje adresu www.registrucentras.lt, skyriuje „Asmens duomenų apsauga“.

5. Aprašas parengtas vadovaujantis šiais teisės aktais:

5.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas);

5.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

5.3. Lietuvos Respublikos elektroninių ryšių įstatymu;

5.4. Asmens duomenų tvarkymo valstybės įmonėje Registrų centre tvarkos aprašu, patvirtintu valstybės įmonės Registrų centro direktoriaus 2018 m. gegužės 24 d. įsakymu Nr. v-171 „Dėl Asmens duomenų tvarkymo valstybės įmonėje Registrų centre tvarkos aprašo patvirtinimo“ (toliau – Asmens duomenų tvarkymo aprašas).

6. Apraše vartojamos sąvokos:

6.1. duomenų subjektas (lankytojas) – fizinis asmuo naršantis Registrų centro interneto svetainėje ir besinaudojantis interneto svetainės paslaugomis;

6.2. kitos sąvokos atitinka Reglamente vartojamas sąvokas.

7. Asmens duomenys interneto svetainėje tvarkomi duomenų subjekto sutikimu (Reglamento 6 straipsnio 1 dalies a punktas) ir siekiant teisėtų Registrų centro interesų (Reglamento 6 straipsnio 1 dalies f punktas), laikantis Reglamento (ES) 2016/679 5 straipsnio 1 dalyje nurodytų su asmens duomenų tvarkymu susijusių principų.

8. Asmens duomenys renkami tiesiogiai iš duomenų subjekto ir tvarkomi automatiniu būdu.

II SKYRIUS

DUOMENŲ SUBJEKTŲ KATEGORIJOS, TVARKOMŲ ASMENS DUOMENŲ SĄRAŠAS IR DUOMENŲ TVARKYMO TIKSLAS

9. Registrų centro interneto svetainėje tvarkomi šių duomenų subjektų kategorijų asmens duomenys šiais asmens duomenų tvarkymo tikslais:

9.1. asmenų, besinaudojančių Registrų centro interaktyvių konsultacijų paslauga info.registrucentras.lt, duomenys (vardas ir/arba pavardė, elektroninio pašto adresas, telefono ryšio numeris) tvarkomi konsultacijos suteikimo tikslu;

9.2. asmenų, prenumeruojančių Registrų centro naujienas, duomenys (elektroninio pašto adresas) tvarkomi naujienų pateikimo tikslu;

9.3. asmenų, atliekančių išankstinę vizito klientų aptarnavimo padalinyje rezervaciją, duomenys (vardas, pavardė, telefono numeris, elektroninio pašto adresas, prisijungimo prie sistemos data, laikas, IP adresas) tvarkomi išankstinės klientų registracijos, įskaitant siekį priminti klientams apie jų vizito laiką, tikslu.

III SKYRIUS

ASMENS DUOMENŲ TEIKIMAS

10. Duomenų subjekto duomenys trečiosioms šalims neteikiami. Duomenys gali būti perduoti teisėsaugos institucijoms, esant teisėtam pagrindui ir tikslui duomenis gauti.

11. Į trečiąsias valstybes ar tarptautines organizacijas, t. y. už Europos Sąjungos ribų, asmens duomenys neperduodami, išskyrus atvejus, kai tai Registrų centrą įpareigoja atlikti teisės aktai ar teismai.

IV SKYRIUS

ASMENS DUOMENŲ SAUGOJIMAS

12. Aprašo 9.1 papunktyje nurodyti duomenys saugomi 6 mėnesius po konsultacijos suteikimo, po to sunaikinami.

13. Aprašo 9.2 papunktyje nurodyti duomenys saugomi iki duomenų subjektas atsisako Registrų centro naujienų prenumeratos, o po to sunaikinami.

14. Aprašo 9.3 papunktyje nurodyti duomenys saugomi 3 mėnesius nuo paslaugų pagal išankstinę rezervaciją suteikimo pabaigos. Pasibaigus saugojimo terminui duomenys sunaikinami.

15. Asmens duomenys sunaikinami juos ištrinant be galimybės atkurti.

V SKYRIUS

TAIKOMOS SAUGUMO PRIEMONĖS

16. Taikomos organizacinės ir techninės asmens duomenų saugumo priemonės, skirtos apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

17. Registrų centras įgyvendina technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Šiame punkte nurodyta prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, saugojimo laikotarpiui ir prieinamumui.

18. Registrų centras imasi reikiamų atsargumo priemonių išsaugoti duomenų subjektų asmens duomenų vientisumą ir neleisti, kad šie duomenys būtų sugadinti ar prarasti, įskaitant rūpinimąsi reikiamu duomenų atstatymu.

19. Siekiant apsaugoti automatiniu būdu tvarkomus asmens duomenis, turi būti naudojamos tokios techninės duomenų saugumo priemonės:

19.1. kartą per metus atliekamas tarnybinių stočių ir tinklo įrenginių atvirų prievadų (angl. port) bei programinės įrangos auditas;

19.2. periodiškai atliekamas svetainės turinio valdymo sistemos (TVS) ir įskiepių auditas, atnaujinamos TVS ir įskiepių versijos, pašalinami nenaudojami įskiepiai;

19.3. įdiegta žiniatinklio ugniasienė (angl. WAF - Web Application Firewall );

19.4. prieigai prie asmens duomenų naudojami unikalūs slaptažodžiai, kurie periodiškai keičiami ir saugomi užtikrinant jų konfidencialumą;

19.5. prieiga prie asmens duomenų bei teisė atlikti duomenų tvarkymo veiksmus suteikiama tik tiems darbuotojams, kuriems prieiga prie asmens duomenų reikalinga pagal užimamas pareigas ir atliekamas darbines funkcijas;

19.6. užtikrinama kompiuterinės įrangos apsauga nuo kenksmingos programinės įrangos (antivirusinių programų įdiegimas, atnaujinimas ir pan.);

19.7. kompiuterinė įranga ir duomenų perdavimo tinklas prižiūrimi pagal gamintojo rekomendacijas, priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai, o duomenų perdavimo tinklo bei svarbiausios kompiuterinės įrangos techninė būklė nuolat stebima.

20. Registrų centro darbuotojams nustatomos šios su asmens duomenų sauga susijusios pareigos:

20.1. darbuotojai turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas;

20.2. darbuotojai, kurie vykdydami savo tiesiogines pareigas tvarko asmens duomenis, prieš pradėdami vykdyti funkcijas pasirašo konfidencialumo pasižadėjimą;

20.3. darbuotojas privalo nedelsdamas pranešti Registrų centro pagalbos tarnybai apie asmens duomenų apsaugos pažeidimą arba bet kokią įtartiną situaciją, kuri gali kelti grėsmę tvarkomų asmens duomenų saugumui.

VI SKYRIUS

SLAPUKAI

21. Slapukai (angl. Cookie) – tai nedideli informacijos failai, kuriuos interneto svetainės lankytojo naudojamo įrenginio (kompiuterio, telefono ar planšetės) naršyklė priima iš interneto svetainės ir išsaugo juos lankytojo įrenginyje.

22. Registrų centre naudojami slapukai leidžia interneto svetainei prisiminti informaciją apie lankytojo naršymo įpročius, veiksmus bei nustatymus, kad lankytojas galėtų naudotis visomis interneto svetainės galimybėmis. Taip pat slapukai leidžia stebėti lankymosi svetainėje dažnumą ir rinkti bendrą statistinę informaciją apie lankytojų skaičių.

23. Registrų centro interneto svetainėje naudojami šių tipų slapukai:

23.1. Būtinieji slapukai. Šie slapukai yra būtini interneto svetainės veikimui. Slapukai leidžia naršyti interneto svetainėje ir naudotis jos funkcijomis (pvz., saugiai prisijungi prie interneto svetainės, atsiskaityti už elektronines paslaugas ir pan.). Būtinieji slapukai Registrų centro interneto svetainėje naudojami nesant lankytojo sutikimo, o tik pateikiant informaciją apie juos;

23.2. Nebūtinieji slapukai. Šio tipo slapukai naudojami interneto svetainės lankytojo sutikimu. Jeigu lankytojas nesutinka, kad į jo kompiuterį ar į kitą galinį įrenginį būtų įrašomi slapukai, jis gali pakeisti interneto naršyklės nustatymus ir išjungti slapukus:

23.2.1. Funkciniai slapukai. Šis slapukų tipas leidžia interneto svetainei įsiminti informaciją apie naudotoją, išsaugoti pasirinktus nustatymus ir personalizuoti interneto svetainėje pateikiamą turinį (pvz., lankytojo šalis, interneto naršyklėje nustatyta kalba ir kt.);

23.2.2. Analitiniai slapukai. Slapukai renka duomenis apie interneto svetainių naudojimą ir padeda Registrų centrui tobulinti interneto svetaines (pvz., apskaičiuojamas lankytojų skaičius, nustatomos lankomos svetainės sritys ir kt.).

24. Registrų centro interneto svetainėje naudojami slapukai:

Slapuko pavadinimas	Naudojimo paskirtis	Sukūrimo momentas	Galiojimo laikas	Naudojami duomenys
Būtinieji slapukai

PHPSESSID	Skirtas naudotojo sesijai palaikyti	Jungiantis prie interneto svetainės	Iki naršyklės išjungimo	Saugo atsitiktinę unikalų skaičių ar raidžių seką.
Nebūtinieji slapukai
Funkciniai slapukai
RC-gpdr-checked	Naudotojo sutikimui dėl slapukų naudojimo išsaugojimui	Pirmą kartą jungiantis prie interneto svetainės	1 metai	Užkoduotas skaičius - 1.
Analitiniai slapukai
_ga	Google Universal Analytics. Informacijai apie interneto svetainės lankomumą rinkti	Užėjus į svetainę	2 metus	Unikalus identifikatorius. Jeigu vartotojas prisijungęs prie „Google“ paskyros, atpažįstamas IP adresas, vartotojo asmeniniai duomenys: vardas, lytis ir pan.
_gat	Google Universal Analytics. Užklausų skaičiui reguliuoti	Užėjus į svetainę	1 min.	Unikalus identifikatorius. Jeigu vartotojas prisijungęs prie „Google“ paskyros, atpažįstamas IP adresas, vartotojo asmeniniai duomenys: vardas, lytis ir pan.
_gid	Google Universal Analytics. Stebėjimo tikslais, siekiant atskirti naudotojus	Užėjus į svetainę	24 val.	Unikalus identifikatorius. Jeigu vartotojas prisijungęs prie „Google“ paskyros, atpažįstamas IP adresas, vartotojo asmeniniai duomenys: vardas, lytis ir pan.
_utma	Google Universal Analytics. Statistinei informacijai apie interneto puslapio lankomumą rinkti.	Pirmo įėjimo į puslapį metu	2 m.	Apskaitai naudojami IP adresai ir unikalūs ID numeriai. Apskaitos rezultatas statistinis. Skaitiklio apskaita atliekama per „Google Analytics“.
_utmz	Google Universal Analytics. Statistinei informacijai apie interneto puslapio lankomumą rinkti.	Įėjimo į puslapį metu	6 mėn.	Apskaitai naudojami IP adresai ir unikalūs ID numeriai. Apskaitos rezultatas statistinis. Skaitiklio apskaita atliekama per „Google Analytics“.

25. Lankytojui atsisakius kai kurių slapukų, gali sulėtėti naršymo internete sparta, apribotas tam tikrų interneto svetainės funkcijų veikimas.

VII SKYRIUS

DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMAS

26. Duomenų subjektas turi teisę kreiptis į Registrų centrą dėl klausimų, susijusių su asmens duomenų tvarkymu, t. y. turi šias teises:

26.1. teisę gauti informaciją apie duomenų tvarkymą;

26.2. teisę susipažinti su duomenimis;

26.3. teisę reikalauti ištaisyti duomenis;

26.4. teisę reikalauti ištrinti duomenis („teisė būti pamirštam“);

26.5. teisę apriboti duomenų tvarkymą.

27. Kai duomenų subjektas nesutinka su Registrų centro sprendimu, priimtu dėl pateikto prašymo, susijusio su duomenų subjekto teisių įgyvendinimu, jis turi teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai arba Vilniaus apygardos administraciniam teismui.

28. Duomenų subjekto teisės įgyvendinamos Asmens duomenų tvarkymo aprašo nustatyta tvarka^{^[1]}.

VIII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

29. Naudodamiesi interneto svetaine duomenų subjektai turi patvirtinti, kad yra tinkamai susipažinę su šiuo Aprašu.

30. Šis Aprašas periodiškai, bet ne rečiau kaip kartą per metus, peržiūrimas ir, prireikus, atnaujinamas.

^{^[1]}https://www.registrucentras.lt/asmens_duomenu_apsauga/