LIETUVOS RESPUBLIKOS KULTŪROS MINISTRAS

ĮSAKYMAS

DĖL ASMENS DUOMENŲ TVARKYMO BIBLIOTEKOJE PAVYZDINIŲ TAISYKLIŲ PATVIRTINIMO

2018 m. gruodžio 4 d. Nr. ĮV-937

Vilnius

Vadovaudamasi Lietuvos Respublikos bibliotekų įstatymo 4 straipsnio 4 punktu ir siekdama užtikrinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento) nuostatų įgyvendinimą:

1. T v i r t i n u Asmens duomenų tvarkymo bibliotekoje pavyzdines taisykles (pridedama).

2. P a v e d u Lietuvos nacionalinei Martyno Mažvydo bibliotekai, Lietuvos aklųjų bibliotekai, apskričių viešosioms bibliotekoms, kurių savininko teises ir pareigas įgyvendina Kultūros ministerija, iki 2019 m. sausio 1 d. parengti ir patvirtinti asmens duomenų tvarkymo bibliotekoje taisykles, atsižvelgiant į šiuo įsakymu patvirtintų Asmens duomenų tvarkymo bibliotekoje pavyzdinių taisyklių nuostatas.

3. R e k o m e n d u o j u bibliotekoms, kurių savininko teises ir pareigas įgyvendina Švietimo ir mokslo ministerija, Krašto apsaugos ministerija, Sveikatos apsaugos ministerija bei viešosioms bibliotekoms, kurių savininko teises ir pareigas įgyvendina savivaldybės, specialiosioms ir kitoms bibliotekoms patvirtinti asmens duomenų tvarkymo bibliotekoje taisykles, suderintas su šiuo įsakymu patvirtintų Asmens duomenų tvarkymo bibliotekoje pavyzdinių taisyklių nuostatomis.

Kultūros ministrė Liana Ruokytė-Jonsson

PATVIRTINTA

Lietuvos Respublikos kultūros ministro

2018 m. gruodžio 4 d. įsakymu Nr. ĮV-937

ASMENS DUOMENŲ TVARKYMO BIBLIOTEKOJE

PAVYZDINĖS TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. _________ /nurodomas Bibliotekos pavadinimas/ (toliau – Biblioteka) asmens duomenų tvarkymo taisyklės (toliau − Taisyklės) nustato fizinių asmenų (toliau − duomenų subjektas) asmens duomenų tvarkymo principus ir atitikties užtikrinimo priemones, asmens duomenų tvarkymo atskirais tikslais tvarką ir sąlygas, asmens duomenų tvarkyme dalyvaujančių subjektų ir duomenų apsaugos pareigūno pareigas, duomenų subjekto teisių įgyvendinimo tvarką, asmens duomenų saugumo priemones, pranešimo apie asmens duomenų saugumo pažeidimą tvarką ir poveikio asmens duomenų apsaugai vertinimo procedūrą.

2. Asmens duomenys Bibliotekoje tvarkomi vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendruoju duomenų apsaugos reglamentu) (toliau − Reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais asmens duomenų apsaugą reglamentuojančiais teisės aktais.

3. Taisyklių privalo laikytis visi Bibliotekoje dirbantys bei praktiką joje atliekantys ir (ar) savanoriaujantys asmenys, kurie tvarko asmens duomenis (toliau – Bibliotekos darbuotojai), ir sutartiniais pagrindais ar teisės aktų nustatyta tvarka Bibliotekai paslaugas teikiantys fiziniai ir (ar) juridiniai asmenys (saugos, informacinių sistemų priežiūros paslaugų teikėjai ir pan.), kurie atlieka asmens duomenų tvarkymo veiksmus (toliau – Bibliotekos įgalioti duomenų tvarkytojai).

4. Asmens duomenys yra tvarkomi automatiniu ir neautomatiniu būdu pagal Reglamento 6 straipsnio 1 dalyje nustatytas sąlygas. Bibliotekos tvarkomų asmens duomenų tvarkymo tikslai, jų apimtis ir duomenų subjektai nurodyti šių Taisyklių 1 priede.

5. Taisyklėse vartojamos sąvokos atitinka Reglamente, Asmens duomenų teisinės apsaugos įstatyme vartojamas sąvokas.

II SKYRIUS

ASMENS DUOMENŲ TVARKYMO PRINCIPAI IR ATITIKTIES UŽTIKRINIMO PRIEMONĖS

6. Bibliotekos darbuotojai ir Bibliotekos įgalioti duomenų tvarkytojai bei jų darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo užtikrinti, kad būtų laikomasi šių pagrindinių principų:

6.1. teisėtumo, sąžiningumo ir skaidrumo – asmens duomenys tvarkomi tik tuo atveju, jei apie tai informuotas duomenų subjektas ir tam yra teisinis pagrindas;

6.2. tikslo apribojimo – asmens duomenys renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir netvarkomi su šiais tikslais nesuderinamu būdu;

6.3. duomenų kiekio mažinimo – tvarkomi asmens duomenys yra adekvatūs, tinkami ir tik tokios apimties, kuri būtina siekiant tikslų, dėl kurių jie tvarkomi;

6.4. tikslumo – asmens duomenys turi būti tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs asmens duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas;

6.5. saugojimo trukmės apribojimo – asmens duomenys saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tais tikslais, kuriais asmens duomenys buvo surinkti ir tvarkomi;

6.6. konfidencialumo – asmens duomenys tvarkomi tokiu būdu, kad taikant atitinkamas technines ir organizacines priemones būtų užtikrintas jų saugumas, įskaitant apsaugą nuo asmens duomenų tvarkymo be leidimo arba neteisėto asmens duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;

6.7. atskaitomybės – Biblioteka atsako už tai, kad būtų laikomasi Taisyklių 6.1–6.6 papunkčiuose nurodytų principų, ir turi visas reikiamas priemones įrodyti, kad jų laikomasi.

7. Atitiktį Reglamentui Biblioteka išreiškia laikydamasi šių Taisyklių, taikydama organizacines ir technines asmens duomenų saugumo priemones, atlikdama poveikio asmens duomenų apsaugai vertinimo procedūrą, įgyvendindama asmens duomenų saugumo pažeidimų nustatymo procedūrą bei dokumentuodama jos eigą, užtikrindama pritaikytąją ir standartizuotąją asmens duomenų apsaugą.

8. Biblioteka tvarko asmens duomenų tvarkymo veiklos įrašus, t. y. pildo Duomenų tvarkymo veiklos įrašų žurnalą (2 priedas). Duomenų tvarkymo veiklos įrašai tvarkomi elektronine forma. Už duomenų tvarkymo veiklos įrašų vedimą atsakingas Bibliotekos ______ /nurodomas Bibliotekos padalinio pavadinimas / asmuo/. Duomenų tvarkymo veiklos įrašų saugumas užtikrinamas laikantis Taisyklių nuostatų.

III SKYRIUS

ASMENS DUOMENŲ TVARKYMO ATSKIRAIS TIKSLAIS TVARKA IR SĄLYGOS

9. Asmens duomenys Bibliotekoje renkami teisės aktų nustatyta tvarka juos gaunant tiesiogiai iš duomenų subjekto, oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų ar sutarčių bei teisės aktų pagrindu prisijungiant prie atskirus duomenis kaupiančių duomenų bazių, registrų ir informacinių sistemų.

10. Teisės aktų nustatytais atvejais ir tvarka Bibliotekos tvarkomi asmens duomenys teikiami Valstybinei mokesčių inspekcijai prie Finansų ministerijos, Valstybinei ligonių kasai prie Sveikatos apsaugos ministerijos, Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos, Viešųjų pirkimų tarnybai, bibliotekos informacinės sistemos valdytojui ___________ /nurodomas įstaigos ar institucijos, kuri teisės aktų nustatyta tvarka atlieka Bibliotekos vartotojų duomenų valdytojo funkciją pavadinimas/ ir kitiems tretiesiems asmenims pagal prašymą (vienkartinio asmens duomenų rinkimo atveju) arba pagal asmens duomenų teikimo sutartį (daugkartinio asmens duomenų rinkimo atveju).

11. Biblioteka, laikydamasi Reglamento nuostatų, surinktus asmens duomenis gali tvarkyti archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų ir statistiniais tikslais.

12. Biblioteka tvarko asmens duomenis ne ilgiau, negu to reikalauja jų tvarkymo tikslai:

12.1. dokumentai, kuriuose yra asmens duomenų, nurodyti Bendrųjų dokumentų saugojimo terminų rodyklėje, patvirtintoje Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“ ir Bibliotekos dokumentacijos plane, saugomi Lietuvos vyriausiojo archyvaro nustatyta tvarka ir terminais;

12.2. dokumentai, kuriuose yra asmens duomenų, ar duomenys, kaupiami informacinėse sistemose, programose ir kt., yra saugomi 3 mėnesius nuo dienos, kai yra atlikti visi veiksmai, kuriems atlikti buvo naudojami asmens duomenys, išskyrus atvejus, kai šie dokumentai reikalingi teisminiams ginčams spręsti arba ilgesnė asmens duomenų saugojimo trukmė nustatyta kituose teisės aktuose;

12.3. Bibliotekos vartotojų asmens duomenys saugomi __________ /nurodomas terminas, nustatytas bibliotekų informacinių sistemų nuostatuose/;

12.4. vaizdo konferencijų vaizdo ir (ar) garso įrašai saugomi ______ /nurodomas Bibliotekos nustatytas terminas/;

12.5. vaizdo stebėjimo duomenys saugomi ______ /nurodomas Bibliotekos nustatytas terminas/;

12.6. ______ /kita/.

13. Su Bibliotekos įgaliotu duomenų tvarkytoju sudaromas Reglamento reikalavimus atitinkantis rašytinis susitarimas prie pagrindinės paslaugų teikimo sutarties arba asmens duomenų tvarkymo sąlygos aptariamos pačioje sutartyje. Ši nuostata netaikoma, kai duomenų tvarkytojo atliekamas asmens duomenų tvarkymas reglamentuojamas teisės aktu.

14. Bibliotekos vykdomo vaizdo stebėjimo įrangos naudojimo ir vaizdo duomenų tvarkymo tvarką nustato Bibliotekos vadovo įsakymu patvirtintas aprašas.

15. Stebėti asmens darbo vietą, Bibliotekos tarnybines patalpas draudžiama, išskyrus atvejus, kai darbo vietoje vyksta vaizdo konferencija arba kai kiti būdai ar priemonės nėra pakankami ar tinkami tikslams pasiekti. Asmenys apie nuolat vykdomą jų darbo vietos vaizdo stebėjimą informuojami pasirašytinai. Informavimo forma (3 priedas) saugoma Bibliotekoje visą jų darbo laikotarpį.

16. Vaizdo įrašai gali būti peržiūrėti Naudojimosi biblioteka taisyklių pažeidimų, nelaimingų atsitikimų su vartotojais, paslaugų teikėjais ar darbuotojais, materialinių vertybių praradimo, sugadinimo ar sunaikinimo, konfliktų tarp vartotojų ir darbuotojų bei kitų incidentų atvejais. Bibliotekoje vedamas Vaizdo įrašų peržiūros žurnalas (4 priedas).

IV SKYRIUS

ASMENS Duomenų tvarkyme dalyvaujančių subjektų pareigos

17. Šių Taisyklių 1 priede nurodytų duomenų valdytoja ir tvarkytoja yra Biblioteka, kuri užtikrina, kad asmens duomenys būtų tvarkomi laikantis Reglamente, Asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose nustatytų asmens duomenų tvarkymo reikalavimų. Šiose Taisyklėse nurodytus asmens duomenis teisės aktais nustatytais atvejais ir tvarka gali tvarkyti ir kiti subjektai.

18. Bibliotekos, kaip duomenų valdytojos, pareigos:

18.1. nustatyti asmens duomenų tvarkymo tikslus ir priemones;

18.2. užtikrinti, kad asmens duomenys būtų tvarkomi laikantis Asmens duomenų teisinės apsaugos įstatymo 3 straipsnyje nustatytų asmens duomenų tvarkymo reikalavimų;

18.3. rengti ir priimti vidinius asmens duomenų apsaugos ir tvarkymo reikalavimus reglamentuojančius teisės aktus;

18.4. kontroliuoti, kaip Bibliotekos įgalioti duomenų tvarkytojai vykdo Taisyklių 19 punkte nustatytas pareigas;

18.5. įgyvendinti tinkamas technines ir organizacines priemones asmens duomenų apsaugai užtikrinti;

18.6. organizuoti darbuotojų mokymus asmens duomenų teisinės apsaugos srityje;

18.7. ne rečiau kaip kartą per dvejus metus peržiūrėti Taisyklėse nustatytus reikalavimus ir, jei reikia, inicijuoti Taisyklių pakeitimus;

18.8. užtikrinti duomenų subjekto teisių įgyvendinimą ir vykdyti kitas teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytas asmens duomenų valdytojo pareigas.

19. Bibliotekos, kaip duomenų tvarkytojos, ir (ar) Bibliotekos įgaliotų duomenų tvarkytojų pareigos:

19.1. užtikrinti, kad asmens duomenis Bibliotekoje tvarkytų tik tie asmenys, kuriems tai būtina savo darbo funkcijoms atlikti, ir tik tokios apimties, kuri būtina numatytiems tikslams pasiekti;

19.2. vykdyti teisėtą asmens duomenų tvarkymą, duomenų subjektų teisių ir reikiamų techninių duomenų apsaugos priemonių įgyvendinimą Bibliotekos valdomų ir (ar) tvarkomų informacinių sistemų priemonėmis;

19.3. taikyti technines priemones, užtikrinančias asmens duomenų saugojimą tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau nei to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;

19.4. atlikti poveikio tvarkant asmens duomenis vertinimo procedūrą.

20. Prieiga prie asmens duomenų gali būti suteikta tik tiems Bibliotekos darbuotojams, kuriems asmens duomenys reikalingi darbo funkcijoms atlikti. Jei darbuotojas laikinai eina kito darbuotojo pareigas ar atlieka kito darbuotojo darbo funkciją, teisė tvarkyti asmens duomenis suteikiama pareigų arba funkcijos atlikimo laikotarpiui.

21. Bibliotekos darbuotojų, tvarkančių asmens duomenis, pareigos:

21.1. laikytis pagrindinių asmens duomenų tvarkymo ir saugumo reikalavimų, įtvirtintų Reglamente, Asmens duomenų teisinės apsaugos įstatyme, šiose Taisyklėse ir kituose teisės aktuose;

21.2. saugoti asmens duomenų paslaptį visą darbo laiką ir pasibaigus darbo santykiams Bibliotekoje, jei šie asmens duomenys neskirti skelbti viešai. Darbuotojai pasirašo šių Taisyklių 5 priede nustatytos formos konfidencialumo pasižadėjimą, kuris saugomas jų asmens bylose visą darbo laiką ir pasibaigus darbo santykiams;

21.3. taikyti Taisyklėse nustatytas organizacines ir technines asmens duomenų saugumo priemones, saugoti dokumentus, duomenų rinkmenas bei duomenų bazėse, informacinėse sistemose saugomus asmens duomenis ir vengti perteklinių jų kopijų darymo;

21.4. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su asmens duomenimis asmenims, kurie nėra įgalioti tvarkyti asmens duomenų;

21.5. nedelsiant pranešti tiesioginiam vadovui ir duomenų apsaugos pareigūnui apie bet kokią įtartiną situaciją, galinčią kelti grėsmę Bibliotekos tvarkomų asmens duomenų saugumui;

21.6. laikytis kitų šiose Taisyklėse ir asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.

V SKYRIUS

Duomenų Apsaugos pareigūnAS

22. Bibliotekos vadovo įsakymu duomenų apsaugos pareigūnu gali būti paskirtas vienas iš esamų Bibliotekos darbuotojų, priimtas naujas darbuotojas arba sudaryta paslaugų teikimo sutartis su šias paslaugas teikiančiu fiziniu ar juridiniu asmeniu. Duomenų apsaugos pareigūną gali paskirti / sudaryti sutartį ir kiti subjektai (pavyzdžiui, Bibliotekos savininko teises ir pareigas įgyvendinanti institucija), jei tai atitinka Reglamento 37 straipsnyje nustatytas sąlygas.

23. Skirdamas duomenų apsaugos pareigūną, Bibliotekos vadovas privalo užtikrinti, kad darbuotojas:

23.1. turėtų asmens duomenų teisinės apsaugos praktinių ir ekspertinių žinių;

23.2. būtų tiesiogiai pavaldus Bibliotekos vadovui;

23.3. neturėtų kitų pareigų, neatliktų darbo funkcijų, kurios galėtų sukelti interesų konfliktą su jo atliekamomis duomenų apsaugos pareigūno funkcijomis.

24. Bibliotekos vadovas, paskyręs arba sudaręs su duomenų apsaugos pareigūnu paslaugų teikimo sutartį, privalo užtikrinti, kad jo kontaktiniai duomenys būtų paskelbti Bibliotekos interneto svetainėje ir pateikti Valstybinei duomenų apsaugos inspekcijai.

25. Duomenų apsaugos pareigūnas privalo:

25.1. informuoti Bibliotekos vadovą ir asmens duomenis tvarkančius darbuotojus apie jų prievoles pagal Reglamentą ir kitus teisės aktus, reglamentuojančius asmens duomenų apsaugą, ir konsultuoti dėl konkrečių pareigų vykdymo;

25.2. stebėti, kaip laikomasi Reglamento, kitų teisės aktų, reglamentuojančių asmens duomenų teisinę apsaugą, šių Taisyklių ir kitų Bibliotekos dokumentų, susijusių su asmens duomenų apsauga, reikalavimų;

25.3. konsultuoti Biblioteką dėl poveikio duomenų apsaugai vertinimo ir stebėti jo atlikimą pagal Reglamentą;

25.4. dalyvauti nagrinėjant klausimus, susijusius su asmens duomenų tvarkymu Bibliotekoje;

25.5. pranešti Bibliotekos vadovui apie bet kokius neatitikimus, pažeidimus asmens duomenų apsaugos srityje, kuriuos duomenų apsaugos pareigūnas nustato vykdydamas savo funkcijas;

25.6. bendradarbiauti su Valstybine duomenų apsaugos inspekcija ir atlikti kontaktinio asmens funkcijas Valstybinei duomenų apsaugos inspekcijai kreipiantis su asmens duomenų tvarkymu susijusiais klausimais, įskaitant Reglamento 36 straipsnyje nurodytas išankstines konsultacijas;

25.7. konsultuoti Bibliotekos vadovą įvykus asmens duomenų saugumo pažeidimui ir vykdyti Bibliotekos valdomų asmens duomenų saugumo pažeidimų apskaitą;

25.8. ne rečiau kaip kartą per dvejus metus organizuoti asmens duomenų tvarkymo rizikos vertinimą, parengti ataskaitą ir prireikus imtis priemonių rizikai pašalinti arba sumažinti;

25.9. raštu informuoti Valstybinę duomenų apsaugos inspekciją, jei nustatoma, kad asmens duomenys Bibliotekoje tvarkomi pažeidžiant teisės aktų, reglamentuojančių duomenų apsaugą, nuostatas, ar atsisakoma vykdyti tiesioginius nurodymus pašalinti šiuos pažeidimus.

VI SKYRIUS

DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO TVARKA

26. Duomenų subjektas turi šias teises:

26.1. teisę gauti informaciją apie duomenų tvarkymą:

26.1.1. informacija apie Bibliotekos atliekamą asmens duomenų tvarkymą gali būti pateikiama:

26.1.1.1. Bibliotekos interneto svetainėje _______ /nurodomas svetainės adresas/;

26.1.1.2. informacinio pobūdžio lentelėse ir (ar) lipdukuose apie vaizdo stebėjimą Bibliotekos teritorijoje ir patalpose;

26.1.1.3. žodžiu ir (ar) raštu asmens duomenų gavimo metu.

26.2. teisę susipažinti su duomenimis:

26.2.1. Biblioteka, gavusi duomenų subjekto prašymą įgyvendinti šią teisę, turi pateikti:

26.2.1.1. informaciją, ar duomenų subjekto asmens duomenys tvarkomi ar ne;

26.2.1.2. informaciją, iš kokių šaltinių ir kokie asmens duomenys yra surinkti, kokiu tikslu jie tvarkomi, kiek laiko saugomi, kokiems duomenų gavėjams teikiami ar buvo teikti;

26.2.1.3. tvarkomų asmens duomenų kopiją;

26.3. teisę reikalauti ištaisyti duomenis:

26.3.1. siekiant įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, Biblioteka gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus;

26.3.2. jeigu duomenų subjekto asmens duomenys (ištaisyti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Biblioteka šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus;

26.4. teisę reikalauti ištrinti asmens duomenis („teisė būti pamirštam“):

26.4.1. duomenų subjekto teisė įgyvendinama, jei:

26.4.1.1. asmens duomenys nebereikalingi tikslams, kuriems jie buvo renkami ir tvarkomi;

26.4.1.2. duomenų subjektas atšaukia savo sutikimą, kuriuo grindžiamas jo asmens duomenų tvarkymas, ir nėra kito teisinio pagrindo duomenis tvarkyti;

26.4.1.3. duomenų subjektas nesutinka su asmens duomenų tvarkymu ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis;

26.4.1.4. asmens duomenys buvo tvarkomi neteisėtai;

26.4.2. duomenų subjekto teisė gali būti neįgyvendinta, jei Biblioteka įpareigota tvarkyti asmens duomenis pagal teisės aktus siekiant atlikti užduotį, vykdomą viešojo intereso labui, ir jei asmens duomenys tvarkomi mokslinių ar istorinių tyrimų, statistiniais tikslais bei siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;

26.4.3. jeigu duomenų subjekto asmens duomenys (ištrinti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Biblioteka šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus;

26.5. teisę apriboti duomenų tvarkymą:

26.5.1. asmens duomenų tvarkymo ribojimas gali būti įgyvendinimas šiais būdais: atrinkti duomenys perkeliami į kitą tvarkymo sistemą ir padaromi neprieinamais naudotojams, laikinai išimami iš interneto svetainės, jei jie yra paskelbti. Automatiniuose susistemintuose rinkiniuose asmens duomenų tvarkymo ribojimas užtikrinamas techninėmis priemonėmis taip, kad asmens duomenys nebūtų toliau tvarkomi ir jų nebūtų galima pakeisti;

26.5.2. asmens duomenys, kurių tvarkymas apribotas, yra saugomi, o prieš tokio apribojimo panaikinimą duomenų subjektas yra informuojamas raštiškai;

26.5.3. jeigu duomenų subjekto asmens duomenys (kurių tvarkymas apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Biblioteka šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus;

26.6. teisę nesutikti su duomenų tvarkymu:

26.6.1. įgyvendinama tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių atliekamas asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus;

26.6.2. jei tvarkyti asmens duomenis būtina, kad būtų įvykdyta Bibliotekai taikoma teisinė prievolė, duomenų subjekto teisė negali būti įgyvendinama;

26.7. teisę į duomenų perkeliamumą:

26.7.1. įgyvendinama tik dėl tų asmens duomenų, kurie tvarkomi automatizuotomis priemonėmis, remiantis duomenų subjekto sutikimu arba sutartimi, kurios šalis yra duomenų subjektas;

26.7.2. duomenų subjektas teisės į duomenų perkeliamumą neturi tų asmens duomenų atžvilgiu, kurie tvarkomi neautomatiniu būdu susistemintose rinkmenose, pavyzdžiui, popierinėse bylose;

26.7.3. duomenų subjekto asmens duomenys kitam duomenų valdytojui gali būti persiųsti, jei yra techninės galimybės pateikti asmens duomenis tiesiogiai kitam duomenų valdytojui ir užtikrinamas saugus elektroninių duomenų ir informacijos perdavimas;

26.7.4. jeigu duomenų subjekto prašymas dėl asmens duomenų perkeliamumo patenkinamas, Biblioteka nevertina, ar duomenų valdytojas, kuriam bus persiųsti duomenų subjekto asmens duomenys, turi teisinį pagrindą gauti duomenų subjekto asmens duomenis ir ar šis duomenų valdytojas užtikrins tinkamas asmens duomenų saugumo priemones. Biblioteka neprisiima atsakomybės už persiųstų asmens duomenų tolimesnį tvarkymą, kurį atliks kitas duomenų valdytojas;

26.7.5. pagal duomenų subjekto prašymą perkelti jo duomenys nėra automatiškai ištrinami. Jeigu duomenų subjektas to pageidauja, turi kreiptis į Biblioteką, kaip duomenų valdytoją, dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) įgyvendinimo.

27. Duomenų subjektas, siekdamas įgyvendinti šių taisyklių 26 punkte nurodytas teises (išskyrus teisę, nurodytą 26.1 papunktyje), privalo asmeniškai, paštu, per pasiuntinį ar elektroninėmis priemonėmis pateikti rašytinį prašymą, kurio pavyzdinė forma nustatyta šių Taisyklių 6 priede.

28. Rašytinis prašymas teikiamas valstybine kalba, turi būti aiškus ir suprantamas, parašytas įskaitomai, duomenų subjekto pasirašytas. Jame turi būti nurodytas duomenų subjekto vardas, pavardė, gyvenamoji vieta, duomenys ryšiui palaikyti, informacija apie tai, kurią iš šių Taisyklių 26.2–26.7 papunkčiuose nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti, bei informacija, kokiu būdu duomenų subjektas pageidauja gauti atsakymą. Nevalstybine kalba pateikti duomenų subjektų prašymai gali būti priimami ir nagrinėjami tik išimtiniais atvejais Bibliotekos vadovo ar jo įgalioto asmens sprendimu.

29. Duomenų subjektas, pateikdamas prašymą, privalo patvirtinti savo tapatybę:

29.1. jei prašymas pateikiamas tiesiogiai Bibliotekos darbuotojui, pateikti asmens tapatybę patvirtinantį dokumentą;

29.2. jei prašymas pateikiamas paštu arba per pasiuntinį, kartu su prašymu pateikti notaro patvirtintą asmens tapatybę patvirtinančio dokumento kopiją;

29.3. jei prašymas pateikiamas elektroninėmis priemonėmis, prašymą pasirašyti kvalifikuotu elektroniniu parašu arba suformuoti elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą.

30. Duomenų subjektas šių taisyklių 26 punkte nurodytas savo teises gali įgyvendinti pats arba per notariškai įgaliotą atstovą. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiasi duomenų subjekto atstovas, jis prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, duomenis ryšiui palaikyti, taip pat atstovaujamo asmens vardą, pavardę, gyvenamąją vietą, informaciją apie tai, kokią iš šių Taisyklių 26.2–26.7 papunkčiuose nurodytų teisių ir kokia apimtimi pageidaujama įgyvendinti, bei informaciją, kokiu būdu pageidauja gauti atsakymą, ir pridėti atstovavimą patvirtinantį dokumentą ar teisės aktų nustatyta tvarka patvirtintą jo kopiją.

31. Duomenų subjekto prašymas, pateiktas nesilaikant Taisyklių 28–29 punktuose nustatytų reikalavimų, nenagrinėjamas. Duomenų subjektas apie tai informuojamas nurodant priežastis ne vėliau kaip per 5 darbo dienas nuo prašymo gavimo.

32. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis į Bibliotekos duomenų apsaugos pareigūną ______ /nurodomas asmens duomenų pareigūno telefono numeris, elektroninio pašto adresas, adresas/.

33. Ne vėliau kaip per vieną mėnesį nuo duomenų subjekto prašymo gavimo duomenų subjektui pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Šis vieno mėnesio terminas gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į gautų prašymų sudėtingumą ir jų skaičių. Tokiu atveju per vieną mėnesį nuo prašymo gavimo dienos duomenų subjektas informuojamas apie tokį pratęsimą, nurodant vėlavimo priežastis.

34. Jeigu prašymo nagrinėjimo metu nustatoma, kad duomenų subjekto teisės yra apribotos Reglamento 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.

35. Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai, išskyrus atvejus, kai gaunami akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, duomenų subjekto prašymai.

36. Jei duomenų subjekto teisių įgyvendinimo nereglamentuoja Taisyklės ir Taisyklių 2 punkte nurodyti teisės aktai, taikomos Prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklės, patvirtintos Lietuvos Respublikos Vyriausybės 2007 m. rugpjūčio 22 d. nutarimu Nr. 875 „Dėl prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklių patvirtinimo“.

37. Bibliotekos veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai (el. paštas ada@ada.lt, interneto svetainė www.ada.lt), taip pat teismui.

VII SKYRIUS

ASMENS DUOMENŲ SAUGUMO PRIEMONĖS

38. Dokumentai, kuriuose yra asmens duomenų, jų kopijos ir bylos negali būti laikomi visiems prieinamoje matomoje vietoje. Jie saugomi Bibliotekos padaliniuose, kaip nurodyta Bibliotekos dokumentacijos plane, rakinamose patalpose esančiose spintose, seifuose arba įrengiant įėjimo į patalpas kontrolės sistemą (fizinę ar elektroninę).

39. Dokumentai, kuriuose nurodomi asmens duomenys ir kurių saugojimo terminas yra pasibaigęs, ir jų kopijos turi būti sunaikinami taip, kad šių dokumentų negalima būtų atkurti ir atpažinti jų turinio. Automatiniu būdu surinkti duomenys sunaikinami ištrinant nebereikalingas asmens duomenų bylas iš saugojimo laikmenos taip, kad jų nebūtų galima atgaminti.

40. Keičiantis asmens duomenis tvarkantiems darbuotojams, dokumentai, kuriuose yra asmens duomenys, ar jų kopijos perduodami naujai priimtiems ir asmens duomenis tvarkyti paskirtiems darbuotojams perdavimo-priėmimo aktu.

41. Bibliotekos darbuotojai, kurių kompiuteriuose saugomi asmens duomenys, arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis ar informacines sistemas, kuriose yra saugomi asmens duomenys, savo kompiuteriuose privalo naudoti slaptažodžius. Slaptažodžiai turi būti keičiami periodiškai, ne rečiau kaip kartą per 2 mėnesius, taip pat susidarius tam tikroms aplinkybėms (pavyzdžiui, pasikeitus darbuotojui, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims ir pan.). Šiuose kompiuteriuose rekomenduojama naudoti ekrano užsklandą su slaptažodžiu.

42. Bibliotekos darbuotojai, atsakingi už asmens duomenų tvarkymą, organizuodami savo darbą privalo užtikrinti, kad nebūtų sudaryta jokių sąlygų kitiems darbuotojams ar tretiesiems asmenims sužinoti duomenų subjektų asmens duomenis. Pavyzdžiui, nepalikti be priežiūros dokumentų su tvarkomais asmens duomenimis ar kompiuterio, kuriuo naudojantis būtų galima atidaryti rinkmenas su asmens duomenimis, ir laikyti juos taip, kad juose esančios informacijos negalėtų perskaityti darbuotojai, neturintys teisės dirbti su asmens duomenimis, ar atsitiktiniai asmenys; dokumentus, perduodamus kitiems darbuotojams, padaliniams, įstaigoms per paštą, kurjerį ar kitus asmenis, pateikti užklijuotame nepermatome voke ir pan.

43. Bibliotekų informacinėse sistemose tvarkomų vartotojų asmens duomenų saugumas užtikrinamas vadovaujantis bibliotekų informacinių sistemų nuostatų reikalavimais ir saugos politikos įgyvendinamaisiais dokumentais: saugos nuostatais, saugaus elektroninės informacijos tvarkymo taisyklėmis, informacinės sistemos veiklos tęstinumo valdymo planu, informacinės sistemos naudotojų administravimo taisyklėmis. Už šių dokumentų parengimą ir patvirtinimą atsako įstaiga ar institucija, kuri teisės aktų nustatyta tvarka atlieka informacinės sistemos valdytojo funkciją.

44. Biblioteka gali taikyti ir kitas asmens duomenų apsaugos organizacines ir technines priemones.

VIII SKYRIUS

PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ TVARKA

45. Bibliotekos darbuotojai ar Bibliotekos įgalioti duomenų tvarkytojai, pastebėję asmens duomenų saugumo pažeidimą, ne vėliau kaip per 2 darbo valandas nuo pažeidimo pastebėjimo informuoja Bibliotekos vadovą ar jo įgaliotą atsakingą asmenį.

46. Bibliotekos vadovas ar jo įgaliotas atsakingas asmuo, sužinojęs apie galimą asmens duomenų saugumo pažeidimą, organizuoja pažeidimo tyrimą, kurio metu nustatomas pažeidimo pobūdis, tipas (asmens duomenų konfidencialumo, vientisumo ir (ar) prieinamumo pažeidimas), aplinkybės, apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius, asmens duomenų, kurių saugumas pažeistas, kategorijos (asmens tapatybę patvirtinantys asmens duomenys, prisijungimo duomenys ir kt.) ir apimtis, tikėtinos asmens duomenų saugumo pažeidimo pasekmės, pavojus fizinių asmenų teisėms ir laisvėms, priemonės pažeidimui pašalinti ir (ar) neigiamoms pažeidimo pasekmėms sumažinti.

47. Bibliotekos vadovas ar jo įgaliotas atsakingas asmuo užtikrina, kad ne vėliau kaip per 72 valandas nuo pranešimo apie asmens duomenų saugumo pažeidimą būtų pranešta Valstybinei duomenų apsaugos inspekcijai, nebent asmens duomenų saugumo pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms. Jeigu Valstybinei duomenų apsaugos inspekcijai nepranešama per 72 valandas, pranešime nurodomos vėlavimo priežastys. Pranešimas apie asmens duomenų saugumo pažeidimą teikiamas Valstybinės duomenų apsaugos inspekcijos nustatyta tvarka.

48. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, Bibliotekos vadovas ar jo įgaliotas atsakingas asmuo užtikrina, kad apie asmens duomenų saugumo pažeidimą nedelsiant būtų pranešta duomenų subjektui: duomenų subjektui aiškia ir paprasta kalba aprašomas duomenų saugumo pažeidimo pobūdis, nurodomas duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas, pavardė, telefono numeris, elektroninio pašto adresas, aprašomos tikėtinos asmens duomenų saugumo pažeidimo pasekmės ir priemonės, kurių buvo imtasi arba pasiūlyta imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas, taip pat priemonės galimoms neigiamoms jo pasekmėms sumažinti bei pagal galimybes atitinkamam fiziniam asmeniui skirtos rekomendacijos, kaip sumažinti galimą neigiamą poveikį (pavyzdžiui, pasikeisti prisijungimo slaptažodžius neteisėtos prieigos prie asmens duomenų atveju ir kt.).

49. Esant pažeidimui, pranešimo duomenų subjektams teikti nereikia, jeigu:

49.1. Biblioteka įgyvendino tinkamas technines ir organizacines apsaugos priemones ir jos taikytos asmens duomenims, kuriems pažeidimas turėjo poveikio;

49.2. iš karto po asmens duomenų saugumo pažeidimo Biblioteka ėmėsi priemonių, kuriomis užtikrino, kad nebegalėtų kilti didelis pavojus duomenų subjektų teisėms ir laisvėms;

49.3. reikalingos neproporcingai didelės pastangos susisiekti su asmenimis (pvz., dėl pažeidimo prarasti jų kontaktiniai duomenys arba jie nežinomi). Tokiu atveju apie asmens duomenų saugumo pažeidimą paskelbiama viešai arba taikomos kitos informavimo priemonės.

50. Bibliotekos vadovas ar jo įgaliotas atsakingas asmuo užtikrina, kad būtų fiksuojami visi asmens duomenų saugumo pažeidimų atvejai ir kaupiama informacija apie tokių pažeidimų priežastis, jų poveikį ir pasekmes, priemones, kurių buvo imtasi, sprendimų dėl pranešimo (nepranešimo) Valstybinei duomenų apsaugos inspekcijai ir (ar) duomenų subjektui motyvus, vėlavimo pateikti pranešimą priežastis bei kitokio pobūdžio informaciją, kuri leistų patikrinti, kaip buvo laikomasi šio Taisyklių skyriaus nuostatų. Šiame punkte nurodyta informacija įrašoma Asmens duomenų saugumo pažeidimų registravimo žurnale, kurio pavyzdinė forma nustatyta Taisyklių 7 priede.

IX SKYRIUS

POVEIKIO ASMENS DUOMENŲ APSAUGAI VERTINIMO PROCEDŪRA

51. Poveikio asmens duomenų apsaugai vertinimo procedūra (toliau – Procedūra) atliekama vadovaujantis Reglamentu ir Europos Parlamento ir Tarybos direktyvos 95/46/EB 29 straipsnio duomenų apsaugos darbo grupės 2017 m. balandžio 4 d. Poveikio duomenų apsaugai vertinimo gairėmis, kuriomis Reglamento 2016/679 taikymo tikslais nurodoma, kaip nustatyti, ar duomenų tvarkymo operacijos gali sukelti didelį pavojų fizinių asmenų teisėms ir laisvėms.

52. Procedūra atliekama, kai:

52.1. planuojama rinkti arba kitaip tvarkyti naujus asmens duomenis;

52.2. keičiasi Bibliotekos jau tvarkomų asmens duomenų tvarkymo procesas (būdas, tikslas ir pan.) arba asmens duomenų tvarkymo aplinka (atsiranda naujas procesas, nauja informacinių technologijų sistema arba keičiamas esamas procesas).

53. Procedūrai atlikti Bibliotekos vadovo įsakymu sudaroma darbo grupė. Į jos sudėtį gali būti įtrauktas ir duomenų apsaugos pareigūnas.

54. Procedūros metu pildoma Valstybinės duomenų apsaugos inspekcijos patvirtintos formos Poveikio duomenų apsaugai vertinimo ataskaita (toliau – Ataskaita). Joje nurodomos visos suinteresuotų asmenų ir Bibliotekos darbuotojų teiktos nuomonės, konsultacijos ir kiti pastebėjimai. Ataskaitą pildo darbo grupės pirmininkas arba įsakymu, kuriuo tvirtinama darbo grupės sudėtis, paskirtas darbuotojas.

55. Procedūra atliekama šiais etapais:

55.1. I etapas – poreikio atlikti Procedūrą pirminis vertinimas:

55.1.1. prieš atliekant duomenų tvarkymo operacijas Biblioteka vadovaujasi Valstybinės duomenų apsaugos inspekcijos patvirtintu sąrašu, kuriame numatytos asmens duomenų tvarkymo operacijos, kurioms taikomas arba netaikomas reikalavimas atlikti Procedūrą;

55.1.2. jeigu asmens duomenų tvarkymo operacija patenka į operacijų sąrašą, kurioms taikomas reikalavimas atlikti Procedūrą, tai darbo grupė tęsia Procedūrą ir apie tai pažymi Ataskaitos 1.1 papunktyje. Jei asmens duomenų tvarkymo operacija į sąrašą nepatenka, tai Procedūra baigiama ir apie tai pažymima Ataskaitos 1.2 papunktyje;

55.1.3. jeigu asmens duomenų tvarkymo operacija nepatenka nei į vieną 55.1.1. papunktyje nurodytą sąrašą, tai atsakoma į Ataskaitos 1.3 papunktyje pateiktus pirminius klausimus, kurių tikslas yra nustatyti Procedūros poreikį. Jei atsakymai į klausimus rodo, kad duomenų tvarkymo operacija tikėtinai gali kelti didelę riziką fizinių asmenų teisėms ir laisvėms, Procedūra turi būti atliekama. Sprendžiant, ar duomenų tvarkymo operacija gali kelti didelę riziką fizinių asmenų teisėms ir laisvėms, vadovaujamasi kriterijais, nurodytais Ataskaitos 2 punkte. Atsakius į pirminius klausimus ir atsižvelgiant į kriterijus, nurodytus Ataskaitos 2 punkte, Procedūra gali būti atliekama / neatliekama, o vertinimo procesas tęsiamas / baigiamas (tai pažymima Ataskaitos 2.10 papunktyje).

55.2. II etapas – atitikties asmens duomenų apsaugai įvertinimas, kurio metu darbo grupė nustato ir išanalizuoja asmens duomenų tvarkymo operacijas, atsakydama į Ataskaitos 3 punkte nurodytus klausimus. Prireikus gali būti atsiklausiama duomenų subjektų ar jų atstovų nuomonės apie numatytą duomenų tvarkymą, nepažeidžiant viešųjų interesų apsaugos ir duomenų tvarkymo operacijų saugumo reikalavimų, pvz., atliekant bendro pobūdžio tyrimą, susijusį su asmens duomenų tvarkymo operacijos tikslu ir priemonėmis. Poreikis atsiklausti duomenų subjektų nuomonės nurodomas Ataskaitos 4 punkte.

56. Kai iš Procedūros paaiškėja, kad duomenų tvarkymo operacijos kelia didelį pavojų duomenų subjektų teisėms ir laisvėms, o Biblioteka negali jo sumažinti tinkamomis rizikos valdymo priemonėmis (turimomis technologijomis ir įgyvendinimo sąnaudomis), prieš pradedant asmens duomenų tvarkymą turi būti iš anksto konsultuojamasi su Valstybine duomenų apsaugos inspekcija pagal jos nustatytą tvarką.

57. Užpildytą Procedūros ataskaitą pasirašo Bibliotekos vadovas ar jo įgaliotas atsakingas asmuo.

58. Biblioteka atlieka priežiūrą ir stebėjimą, siekdama įvertinti, ar duomenys yra tvarkomi laikantis Procedūros, ypač tais atvejais, kai kinta tvarkymo operacijos ir jų keliamas pavojus.

X SKYRIUS

BAIGIAMOSIOS NUOSTATOS

59. Patvirtinus ar pakeitus Taisykles, Bibliotekos darbuotojai su jomis supažindinami pasirašytinai. Priėmus naują darbuotoją, jis su Taisyklėmis privalo būti supažindintas pirmąją jo darbo dieną. Už darbuotojų supažindinimą atsakingas Bibliotekos vadovo įsakymu, kuriuo tvirtinamos Taisyklės, paskirtas Bibliotekos darbuotojas (-ai).

60. Darbuotojams, pažeidusiems Reglamente, Asmens duomenų teisinės apsaugos įstatyme, šiose Taisyklėse ir kituose Bibliotekos teisės aktuose nustatytus asmens duomenų tvarkymo ir apsaugos reikalavimus, taikoma Bibliotekos darbo tvarkos taisyklėse ir kituose teisės aktuose nustatyta atsakomybė.

61. Taisyklėse įtvirtintos nuostatos gali būti papildomos ir išsamiau reglamentuojamos kituose Bibliotekos veiklą reglamentuojančiuose vidaus dokumentuose. Visais atvejais turi būti vadovaujamasi Taisyklėmis.

62. Taisyklės skelbiamos Bibliotekos interneto ir (ar) intraneto svetainėse.

____________________