NACIONALINĖS MOKĖJIMO AGENTŪROS
PRIE ŽEMĖS ŪKIO MINISTERIJOS
DIREKTORIUS

ĮSAKYMAS

DĖL NACIONALINĖS MOKĖJIMO AGENTŪROS PRIE ŽEMĖS ŪKIO MINISTERIJOS direktoriaus 2018 m. rugpjūčio 30 d. įsakymO Nr. BR1-251 „DĖL NACIONALINĖS MOKĖJIMO AGENTŪROS PRIE ŽEMĖS ŪKIO MINISTERIJOS ASMENS DUOMENŲ TVARKYMO TAISYKLIŲ PATVIRTINIMO“ PAKEITIMO

2020 m. rugsėjo 11 d. Nr. BR1-402

Vilnius

P a k e i č i u Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos asmens duomenų tvarkymo taisykles, patvirtintas Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos direktoriaus 2018 m. rugpjūčio 30 d. įsakymu Nr. BR1-251 „Dėl Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos asmens duomenų tvarkymo taisyklių patvirtinimo“:

1. Papildau 13¹ punktu:

„13¹. Atvejais, kai asmens duomenų tvarkymas būtų atliekamas remiantis Reglamento 6 straipsnio 1 dalies f punktu (teisėto intereso pagrindu), Darbuotojas, prieš pradėdamas tvarkyti asmens duomenis, konsultuojant NMA duomenų apsaugos pareigūnui, privalo atlikti teisėto intereso testą, t. y. užpildyti Teisėto intereso vertinimo formą (Taisyklių 12 priedas) ir ją pateikti NMA duomenų apsaugos pareigūnui teikiant pranešimą, kuriuo teikiama informacija dėl Asmens duomenų tvarkymo įrašų registro papildymo (Taisyklių 38 punkte nustatyta tvarka).“

2. Pakeičiu 24 punktą ir jį išdėstau taip:

„24. Visais atvejais sutikimas turi būti gaunamas prieš atliekant duomenų tvarkymo operacijas (veiksmus), dėl kurių renkamas sutikimas. Už duomenų subjekto sutikimo gavimą yra atsakingas Darbuotojas, kuris šio sutikimo pagrindu tvarkys Duomenų subjekto asmens duomenis, ar kitas atitinkamo NMA struktūrinio padalinio vadovo paskirtas Darbuotojas.“

3. Pakeičiu 37 punktą ir jį išdėstau taip:

„37. Už Duomenų subjektų informavimą atsakingas Darbuotojas, kuris renka ir tvarko konkretaus Duomenų subjekto duomenis. Dėl informavimo pareigos tinkamo vykdymo konsultuojamasi su duomenų apsaugos pareigūnu. Informacija apie NMA tvarkomus asmens duomenis (kategorijas) skelbiama ir NMA interneto svetainės www.nma.lt skiltyje „Asmens duomenų apsauga“.“

4. Pripažįstu netekusiu galios 40 punktą.

5. Pakeičiu 45 punktą ir jį išdėstau taip:

„45. NMA periodiškai, ne rečiau kaip vieną kartą per metus, tikrinama, ar NMA vykdoma asmens duomenų tvarkymo veikla atitinka Asmens duomenų tvarkymo įrašų registrą.“

6. Pakeičiu 46 punktą ir jį išdėstau taip:

„46. Duomenų apsaugos pareigūnas atlieka nuolatines patikras NMA, ar NMA vykdoma asmens duomenų tvarkymo veikla atitinka Asmens duomenų tvarkymo įrašų registrą. Patikrų metu gali būti tikrinama tik konkreti duomenų tvarkymo operacija (veiksmas), konkrečios Duomenų subjektų kategorijos duomenų tvarkymo veikla, konkretus duomenų tvarkymo veiklos epizodas.“

7. Pakeičiu 47 punktą ir jį išdėstau taip:

„47. NMA direktorius įsakymu paskiria NMA duomenų apsaugos pareigūną. Jei NMA duomenų apsaugos pareigūnas negali vykdyti funkcijų ir atlikti užduočių, NMA direktorius paskiria jį pavaduojantį asmenį.“

8. Pakeičiu VII¹ skyrių ir jį išdėstau taip:

„VII¹SKYRIUS

GARSO ĮRAŠŲ DARYMAS

83¹. Darant garso įrašus užtikrinama, kad garso įrašų darymas ir tvarkymas atitiktų Taisyklių nuostatas.

83². Garso įrašų darymo ir tvarkymo NMA tikslai, garso įrašų saugojimo terminai bei garso įrašų darymo ir saugojimo tvarka numatyti Nacionalinėje mokėjimo agentūroje prie Žemės ūkio ministerijos vykstančių komisijų / komitetų / darbo grupių posėdžių metu daromų garso įrašų tvarkos apraše, NMA komisijų, komitetų bei darbo grupių darbo reglamentuose, taip pat kituose NMA direktoriaus įsakymuose, kuriais numatytas garso įrašų darymas. Pasibaigus minėtuose NMA direktoriaus įsakymu patvirtintuose dokumentuose nustatytam garso įrašų saugojimo terminui, garso įrašai sunaikinami ir toliau NMA nebesaugomi.

83³. Duomenų subjektų teisės, susijusios su garso įrašų duomenų tvarkymu, įgyvendinamos Taisyklių V skyriuje nustatyta tvarka. Įgyvendinant Duomenų subjekto teisę susipažinti su tvarkomais savo asmens duomenimis, t. y. NMA saugomu garso įrašu, užtikrinama trečiųjų asmenų teisė į privatų gyvenimą, t. y. Duomenų subjektui susipažinti gali būti pateikiama tik garso įrašo dalis, susijusi su konkrečiu Duomenų subjektu.

83⁴. Duomenų subjektas apie garso įrašo darymą ir garso įrašuose fiksuojamų asmens duomenų tvarkymą turi būti informuojamas prieš pradedant daryti garso įrašą.“

9. Pakeičiu IX skyrių ir jį išdėstau taip:

„IX SKYRIUS

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMAS

86. Asmens duomenų saugumo pažeidimai gali būti nulemti įvairių rizikos veiksnių, t. y. netyčinių veiksmų, kai asmens duomenų saugumas pažeidžiamas dėl atsitiktinių priežasčių, tyčinių veiksmų, kai asmens duomenų saugumas pažeidžiamas sąmoningai, arba netikėtų atsitiktinių įvykių.

87. Asmens duomenų saugumo valdymo schema pateikta Taisyklių 7 priede.

88. Įvykus bet kokiam Asmens duomenų saugumo pažeidimui ar kitam incidentui, susijusiam su asmens duomenų saugumu NMA, Darbuotojai, kuriems tapo žinoma apie Asmens duomenų saugumo pažeidimą, privalo nedelsiant, t. y. vos pastebėję, tačiau ne vėliau kaip pažeidimo ar incidento paaiškėjimo dieną, informuoti paskirtą NMA duomenų apsaugos pareigūną telefonu, elektroniniu paštu arba žodžiu atėjus į duomenų apsaugos pareigūno kabinetą. NMA duomenų apsaugos pareigūnas, gavęs informaciją apie galimą Asmens duomenų saugumo pažeidimą, apie jį nedelsiant informuoja NMA paskirtą informacijos saugos įgaliotinį. Nepagrįstas delsimas informuoti duomenų apsaugos pareigūną apie Asmens duomenų saugumo pažeidimą yra šiurkštus darbo drausmės pažeidimas.

89. Įvykus bet kokiam Asmens duomenų saugumo pažeidimui, NMA privalo kuo greičiau ištaisyti Asmens duomenų saugumo pažeidimus, eliminuoti jų pasekmes, siekiant atkurti padėtį, kuri buvo prieš pažeidimą, imtis visų priemonių, kad pavojus arba galima žala Duomenų subjektų teisėms ir laisvėms būtų sumažinta arba panaikinta. Siekiant tai įgyvendinti, NMA duomenų apsaugos pareigūnas atlieka gauto pranešimo apie pastebėtą Asmens duomenų saugumo pažeidimą tyrimą:

89.1. kuo skubiau atlieka pirminį tyrimą, t. y. išsiaiškina, ar Asmens duomenų apsaugos pažeidimas iš tikrųjų įvyko, surenka ir išsaugo esamos situacijos įrodymus, fiksuoja naudojamas tinkamas organizacines ir technines priemones, naudojamas tiriant, sustabdant įvykusį Asmens duomenų saugumo pažeidimą bei eliminuojant jo pasekmes;

89.2. identifikuoja Asmens duomenų saugumo pažeidimo tipą (-us);

89.3. įvertina riziką, kuri gali atsirasti dėl įvykusio Asmens duomenų saugumo pažeidimo. Vertinimo metu turi būti atsižvelgiama į konkrečias Asmens duomenų augumo pažeidimo aplinkybes, pavojaus Duomenų subjektų teisėms ir laisvėms tikimybę ir rimtumą, t. y. rizika turėtų būti vertinama objektyviai ir atsižvelgiant į šiuos kriterijus:

89.3.1. Asmens duomenų saugumo pažeidimo tipą;

89.3.2. asmens duomenų pobūdį, jautrumą bei apimtį;

89.3.3. kaip lengvai identifikuojamas (tiesiogiai ar netiesiogiai pasinaudojant pažeidimo objekto esančiais duomenimis) fizinis asmuo;

89.3.4. Asmens duomenų saugumo pažeidimo pasekmių rimtumą fiziniams asmenims;

89.3.5. specialias fizinių asmenų savybes (pavyzdžiui, ar asmens duomenys susiję su vaikais ar pažeidžiamais asmenimis);

89.3.6. nukentėjusių fizinių asmenų skaičių;

89.3.7. specialias duomenų valdytojo savybes, pavyzdžiui, NMA vykdomos veiklos pobūdį;

89.4. įvertina, ar Asmens duomenų saugumo pažeidimas kelia pavojų Duomenų subjektų teisėms ir laisvėms (turėtų būti laikoma, kad Asmens duomenų saugumo pažeidimas, galintis kelti pavojų Duomenų subjektų teisėms ir laisvėms, yra toks, dėl kurio, laiku nesiėmus tinkamų priemonių, fiziniai asmenys gali patirti kūno sužalojimą, materialinę ar nematerialinę žalą: ar Duomenų subjektas praranda savo asmens duomenų kontrolę, ar pasireiškia koks nors Duomenų subjektų teisių apribojimas, diskriminacija, tapatybės vagystė ar sukčiavimas, finansiniai nuostoliai, neteisėtas pseudonimo panaudojimas ar atskleidimas, žala reputacijai, konfidencialios informacijos (komercinės, gamybinės, profesinės paslapties) praradimas, jautrios informacijos atskleidimas, kiti galimi ekonominiai, socialiniai nuostoliai);

89.5. įvertina, ar dėl Asmens duomenų saugumo pažeidimo yra žema, vidutinė ar didelė (aukšta) rizikos tikimybė;

89.6. įvertina galimus NMA veiksmus, kurių turėtų būti imtasi, kad tokie Asmens duomenų saugumo pažeidimai nepasikartotų ateityje;

89.7. atlikus tyrimą, tyrimo rezultatus (išvadą dėl Asmens duomenų saugumo pažeidimo buvimo ir rizikos Duomenų subjektų teisėms bei laisvėms įvertinimo) pateikia NMA direktoriui, kuris, atsižvelgdamas į šią išvadą, priima sprendimą dėl tolimesnių veiksmų, susijusių su Asmens duomenų saugumo pažeidimu.

90. Identifikavus, kad tikrai įvyko Asmens duomenų saugumo pažeidimas ir kad yra rizika Duomenų subjektų teisėms ir laisvėms, NMA ne vėliau kaip per 72 valandas nuo tada, kai NMA sužinojo apie Asmens duomenų saugumo pažeidimą, vadovaudamasi Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos apraše, patvirtintame Inspekcijos direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T-72(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“, nustatyta tvarka ir sąlygomis, praneša Inspekcijai, pateikdama užpildytą Taisyklių 8 priede patvirtintą pranešimą pagal Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamą formą, patvirtintą Inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“.

91. Pranešimas Inspekcijai nėra teikiamas, jeigu Asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms (jei įvertinus riziką kyla abejonių, ar turėtų būti teikiamas pranešimas Inspekcijai, NMA laikomasi rekomendacijos informuoti Inspekciją).

92. Preziumuojama, kad Asmens duomenų saugumo pažeidimas kelia pavojų Duomenų subjekto asmens teisėms ir laisvėms, kai Asmens duomenų saugumo pažeidimas yra susijęs su specialių kategorijų asmens duomenimis.

93. Kai dėl Asmens duomenų saugumo pažeidimo gali kilti didelis pavojus Duomenų subjektų teisėms ir laisvėms, t. y. identifikuota, kad yra didelė rizikos tikimybė, NMA privalo nedelsiant (esant galimybei NMA laikosi rekomenduojamo 72 valandų termino) pranešti apie Asmens duomenų saugumo pažeidimą tiesiogiai Duomenų subjektui pateikdama pranešimą apie asmens duomenų saugumo pažeidimą, kuriame Duomenų subjektui aiškia ir paprasta kalba pateikiamas Asmens duomenų saugumo pažeidimo pobūdžio aprašymas, nurodomi NMA duomenų apsaugos pareigūno vardas, pavardė ir kontaktiniai duomenys, aprašomos tikėtinos Asmens duomenų saugumo pažeidimo pasekmės, nurodomos priemonės, kurių NMA ėmėsi, kad būtų pašalintas Asmens duomenų saugumo pažeidimas, priemonių galimoms neigiamoms jo pasekmėms sumažinti aprašymas (kai tinkama) bei kita reikšminga informacija, susijusi su Asmens duomenų saugumo pažeidimu. Pranešimas Duomenų subjektui pateikiamas įprastu komunikavimo su Duomenų subjektu būdu, dedant maksimalias pastangas, kad pranešimas pasiektų adresatą.

94. Šiose Taisyklėse nurodytas pranešimas Duomenų subjektams apie Asmens duomenų saugumo pažeidimus nėra teikiamas, jeigu yra bent viena Reglamento 34 straipsnio 3 dalyje nurodyta sąlyga. Jeigu NMA remiasi šia nuostata, NMA turi pagrįsti, kad atitinka Reglamento 34 straipsnio 3 dalyje sąlygos, kuria remiasi, reikalavimus.

95. Už Asmens duomenų saugumo pažeidimų tyrimą, pranešimų apie Asmens duomenų saugumo pažeidimą pateikimą Inspekcijai ir Duomenų subjektams, taip pat prevencinių priemonių įdiegimo kontrolę yra atsakingas duomenų apsaugos pareigūnas. NMA Darbuotojai privalo operatyviai teikti duomenų apsaugos pareigūnui visą jo paprašytą su Asmens duomenų saugumo pažeidimu susijusią informaciją ir dokumentus.

96. Jeigu NMA, veikdama kaip duomenų tvarkytoja, sužino apie Asmens duomenų saugumo pažeidimus, nedelsdama apie tai raštu praneša Duomenų valdytojui. NMA, sudarydama bet kokio pobūdžio sutartis, kurių pagrindu yra perduodami asmens duomenys, užtikrina, kad sutartyse būtų įtvirtinta pareiga sutarties šaliai pranešti NMA apie Asmens duomenų saugumo pažeidimo atvejus ne vėliau kaip per 24 val. nuo sužinojimo momento pateikiant pranešimo formoje nustatytą informaciją bei bendradarbiauti teikiant informaciją Inspekcijai ir (ar) Duomenų subjektams. NMA, veikdama kaip duomenų tvarkytoja, teikia pranešimą Inspekcijai ir (ar) Duomenų subjektams, jeigu turi Duomenų valdytojo įgaliojimą arba jeigu tokia pareiga nustatyta sutartyje, kurios pagrindu duomenys yra tvarkomi.

97. NMA tvarkomas atskiras Asmens duomenų saugumo pažeidimų registras pagal Taisyklių 9 priede patvirtintą formą. Už Asmens duomenų saugumo pažeidimų registro pildymą atsakingas duomenų apsaugos pareigūnas. Asmens duomenų saugumo pažeidimų registre registruojami visi Asmens duomenų saugumo pažeidimai, nepaisant to, ar apie juos pranešta Inspekcijai ir Duomenų subjektui, ar tokie pažeidimai gali sukelti pavojų Duomenų subjektų teisėms ir laisvėms, ar ne.

98. Registras pildomas elektroniniu būdu DVS. Registras yra pateikiamas Inspekcijai jai pareikalavus.

99. Duomenų apsaugos pareigūnas turi pareigą nuolat stebėti asmens duomenų tvarkymo veiklą NMA ir tirti bet kokius incidentus, kurie gali būti susiję su Asmens duomenų saugumo pažeidimais. Esant poreikiui NMA gali būti sudaryta darbo grupė tirti Asmens duomenų saugumo pažeidimus, jų priežastis, pasekmes bei teikti pasiūlymus dėl Asmens duomenų saugumo pažeidimų išvengimo ateityje. NMA nuolat tobulina vidinius procesus, atsižvelgdama į nustatytas Asmens duomenų saugumo pažeidimų priežastis.“

10. Pakeičiu 136 punktą ir jį išdėstau taip:

„136. NMA periodiškai, bet ne rečiau kaip kartą per metus, vyksta NMA vykdomos asmens duomenų tvarkymo veiklos atitikties Reglamentui, Taisyklėms bei kitiems asmens duomenų apsaugą reglamentuojantiems teisės aktams patikra. Už patikros vykdymą yra atsakingas asmens duomenų apsaugos pareigūnas.“

11. Papildau 12 priedu (pridedama).

Direktorius Aleksandras Muzikevičius