lietuvos respublikos krašto apsaugos

ministras

Įsakymas

DĖL KRAŠTO APSAUGOS MINISTRO 2015 M. GRUODŽIO 3 D. ĮSAKYMO NR. V-1253 „DĖL ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO KRAŠTO APSAUGOS SISTEMOJE TAISYKLIŲ PATVIRTINIMO“ PAKEITIMO

2022 m. gegužės 11 d. Nr. V-385

Vilnius

Pakeičiu Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisykles, patvirtintas Lietuvos Respublikos krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymu Nr. V-1253 „Dėl Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklių patvirtinimo“:

1. Pakeičiu 2.1 papunktį ir jį išdėstau taip:

„2.1. Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymu (toliau – Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymas) (asmens duomenys tvarkomi, esant šio įstatymo 7 straipsnio 1 dalyje, specialių kategorijų asmens duomenys – 8 straipsnyje nurodytam pagrindui), Lietuvos Respublikos krašto apsaugos sistemos organizavimo ir karo tarnybos įstatymu (5¹ straipsnis), Lietuvos Respublikos karo prievolės įstatymu (35¹ straipsnis), Lietuvos Respublikos karo padėties įstatymu, Lietuvos Respublikos tarptautinių operacijų, pratybų ir kitų karinio bendradarbiavimo renginių įstatymu (3¹ straipsnis), Lietuvos Respublikos karių materialinės atsakomybės įstatymu (1¹ straipsnis), Lietuvos Respublikos kariuomenės drausmės statutu (2¹straipsnis), Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymu (18 straipsnio 11 dalis), Lietuvos Respublikos mobilizacijos ir priimančios šalies paramos įstatymu (14 straipsnio 9 ir 11 dalys), Lietuvos Respublikos karo policijos įstatymu (Lietuvos kariuomenės Karo policija, vykdydama šiame įstatyme numatytą veiklą, vadovaudamasi 9 straipsniu, renkamus asmens duomenis tvarko nacionalinio saugumo, gynybos, nusikalstamų veikų, administracinių nusižengimų ir kitų teisės pažeidimų prevencijos, tyrimo, atskleidimo tikslais), Lietuvos Respublikos Lietuvos šaulių sąjungos įstatymu (36² straipsnis) ir kitais teisės aktais, kai juose numatyta, kad KAS institucija (-os) tvarko asmens duomenis nacionalinio saugumo ir (ar) gynybos tikslais ar užtikrinant nacionalinį saugumą ir (ar) gynybą arba pagal esmę toks tvarkymas atitinka nacionalinio saugumo ir (ar) gynybos tikslus;“.

2. Pakeičiu 11.2 papunktį ir jį išdėstau taip:

„11.2. atlikti tik tuos asmens duomenų tvarkymo veiksmus, kuriuos atlikti yra teisinis pagrindas, taip pat kai juos atlikti jam suteiktos teisės.

Jei darbuotojas pagal savo vykdomas funkcijas privalo ar gali suteikti prieigas prie popierinio formato dokumentų ar duomenų bei dokumentų KAS dokumentų valdymo ir kitose informacinėse sistemose, kurių asmens duomenų valdytoja yra KAM, tais atvejais, kai dokumento ar duomenų turinys susijęs su asmens duomenimis ar informacija apie asmens gyvenimą, jis jas gali suteikti tik tiems darbuotojams, kuriems dokumentas skirtas ar (ir) reikalingas darbo / tarnybinėms funkcijoms ar užduotims atlikti (atsižvelgiant į principą „būtina žinoti”). KAM valdomų informacinių sistemų administratoriai suteikia prieigos teises naudotojams prie šių sistemų ir jose esančių duomenų teisės aktų nustatyta tvarka.“

3. Pakeičiu 11.4 papunktį ir jį išdėstau taip:

„11.4. pasikeitus tvarkomiems asmens duomenims, nedelsdamas ištaisyti ar sunaikinti netikslius asmens duomenis ir informuoti apie tai duomenų subjektą;“.

4. Papildau 11.10 papunkčiu:

„11.10. neatlikti veiksmų, galinčių didinti duomenų saugumo pažeidimo riziką:

11.10.1. nesinešti į nuotolinio darbo vietas popierinio formato dokumentų, jų kopijų, išrašų, juodraščių su asmens duomenimis, išskyrus atvejus, kai tai būtina (tokiais atvejais pasirūpinti dokumentų saugumu);

11.10.2. atvirai nelaikyti dokumentų su asmens duomenimis, kad nebūtų sudaryta neteisėtos prieigos prie jų galimybių, nepalikti dokumentų su tvarkomais asmens duomenimis ar kompiuterio, kuriuo naudojantis galima atidaryti rinkmenas su asmens duomenimis, be priežiūros taip, kad juose esančią informaciją galėtų perskaityti ar kitaip panaudoti bet kurie kiti asmenys, neturintys teisės dirbti su tais asmens duomenimis;

11.10.3. netvarkyti asmens duomenų, jei yra rizika, kad toje pačioje patalpoje esantys kiti asmenys, neturintys teisės tvarkyti šių asmens duomenų ar jų tvarkyti tuo pačiu tikslu, gali juos matyti ar kitu būdu su jais susipažinti.“

5. Pakeičiu 12 punktą ir jį išdėstau taip:

„12. Darbuotojams draudžiama be teisinio pagrindo tvarkyti asmens duomenis, juos naudoti asmeniniams, su vykdomomis darbo / tarnybos funkcijomis nesusijusiems tikslams, daryti perteklines dokumentų kopijas, kurios nėra būtinos jų funkcijoms vykdyti.

Darbuotojams taip pat draudžiama skaityti, kopijuoti, saugoti, siųsti ir bet kokiu kitu būdu tvarkyti ar platinti KAS dokumentų valdymo ir kitose informacinėse sistemose, kurių asmens duomenų valdytoja yra KAM, taip pat ir ne informacinėse sistemose esančius duomenis bei dokumentus, kurių valdytoja yra KAM, susijusius su konkrečiu asmeniu, jo gyvenimu bei veikla (tarnybinio tyrimo, tarnybinio nusižengimo ar drausmės pažeidimo tyrimo medžiagą bei išvadas, asmenų skundus, atsakymus į juos ir bet kuriuos kitus duomenis ar dokumentus, kai jų turinys atskleidžia asmens duomenis ar informaciją apie asmens gyvenimą, veiklą), kai tai nereikalinga tų darbuotojų darbo / tarnybos funkcijoms ar užduotims atlikti.“

6. Pakeičiu 17 punktą ir jį išdėstau taip:

„17. Prašymas turi būti pasirašytas. Siekiant identifikuoti prašymą teikiantį duomenų subjektą, jis turi patvirtinti savo tapatybę:

17.1. jei prašymas pateikiamas tiesiogiai, pateikdamas prašymą jį registruojančiam darbuotojui, duomenų subjektas turi pateikti asmens tapatybę patvirtinantį dokumentą;

17.2. jei prašymas pateikiamas paštu, per pasiuntinį ar elektroniniu paštu, kartu su prašymu duomenų subjektas turi pateikti asmens tapatybę patvirtinančio dokumento kopiją ar (ir) kitu būdu patvirtinti savo tapatybę;

17.3. jei prašymas pateikiamas elektroninių ryšių priemonėmis: prašymą pasirašydamas kvalifikuotu elektroniniu parašu arba prašymą suformuodamas elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą (pvz., informacinės sistemos „E. pristatymas“ atveju).“

7. Pakeičiu 20 punktą ir jį išdėstau taip:

„20. Jei prašymas pateiktas nesilaikant Taisyklių 15–19 punktuose nustatytų reikalavimų ir (ar) nėra galimybės prašymą teikiantį asmenį identifikuoti arba patikrinti prašymo autentiškumo, taip pat ir kitais Lietuvos Respublikos viešojo administravimo įstatymo 11 straipsnyje nurodytais atvejais prašymas gali būti nenagrinėjamas, duomenų subjektas apie tai informuojamas per 5 darbo dienas, nurodant prašymo nenagrinėjimo priežastį.“

8. Pakeičiu 52.2 papunktį ir jį išdėstau taip:

„52.2. derindami veiksmus ir konsultuodamiesi su duomenų apsaugos pareigūnais Taisyklių 52.3 papunktyje nustatyta tvarka, Valdytojo vardu inicijuoja išankstines konsultacijas su Valstybine duomenų apsaugos inspekcija, atitinkamai Reglamento 36 straipsnyje arba Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 26 straipsnio nustatyta tvarka, išskyrus atvejus, kai asmens duomenis numatoma tvarkyti ar jie tvarkomi nacionalinio saugumo ar (ir) gynybos tikslais.“

9. Pakeičiu 55 punktą ir jį išdėstau taip:

„55. Asmens duomenys trečiosioms valstybėms gali būti perduodami, esant Reglamente ar, atitinkamai, Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatyme numatytam teisiniam pagrindui.

Pagrindinis asmens duomenų perdavimo trečiosioms valstybėms pagrindas – Europos Komisijos sprendimas dėl tinkamo lygio apsaugos (Reglamento 45 straipsnis, Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 35 straipsnis). Jeigu Europos Komisija nėra priėmusi sprendimo dėl tinkamo lygio apsaugos, vadovaujantis Reglamento 46 straipsnio 1 dalimi ar Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 36 straipsnio 1 dalimi, duomenų valdytojas arba duomenų tvarkytojas gali perduoti asmens duomenis trečiajai valstybei arba tarptautinei organizacijai, jeigu gaunamų duomenų valdytojas arba tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis. Taikydamas šiuos pagrindus, duomenų valdytojas arba duomenų tvarkytojas, prireikus bendradarbiaudamas su duomenų gavėju, turi patikrinti, ar pagal paskirties trečiosios šalies teisę užtikrinama tinkama, atsižvelgiant į Europos Sąjungos teisę, asmens duomenų, perduodamų remiantis vienu iš Reglamento 46 straipsnyje ar Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 36 straipsnyje įtvirtintų asmens duomenų teikimo trečiosioms valstybėms įrankių, apsauga ir prireikus suteikiama papildomų garantijų.“

Krašto apsaugos ministras Arvydas Anušauskas