PATVIRTINTA

valstybės įmonės Registrų centro

direktoriaus 2018 m. gegužės 24 d. įsakymu

Nr. v-171

(valstybės įmonės Registrų centro

generalinio direktoriaus 2023 m. sausio 16 d.

įsakymo Nr. VE-45 (1.3 E) redakcija)

ASMENS DUOMENŲ TVARKYMO VALSTYBĖS ĮMONĖJE REGISTRŲ CENTRE TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Asmens duomenų tvarkymo valstybės įmonėje Registrų centre taisyklių (toliau – Taisyklės) tikslas – reglamentuoti asmens duomenų tvarkymą valstybės įmonėje Registrų centre (toliau – Registrų centras), užtikrinant, kad būtų laikomasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą, nuostatų.

2. Taisyklių nuostatos taikomos Registrų centrui, juridinio asmens kodas 124110246, buveinės adresas Lvivo g. 25-101, 09320 Vilnius, kai jis duomenų subjektų asmens duomenis (toliau – duomenys) tvarko kaip duomenų valdytojas arba duomenų valdytojų (ministerijų ar kitų įstaigų) vardu, kaip duomenų tvarkytojas.

3. Taisyklės parengtos vadovaujantis Reglamentu (ES) 2016/679 ir Asmens duomenų teisinės apsaugos įstatymu.

4. Taisyklėse vartojamos sąvokos atitinka Reglamente (ES) 2016/679 vartojamas sąvokas.

5. Siekiant užtikrinti atitiktį Reglamentui (ES) 2016/679, Registrų centras paskiria duomenų apsaugos pareigūnus, kurie atlieka Reglamento (ES) 2016/679 39 straipsnio 1 dalyje, Registrų centro generalinio direktoriaus patvirtintame Valstybės įmonės Registrų centro duomenų apsaugos pareigūno darbo reglamente ir kituose Registrų centro vidaus teisės aktuose nustatytas užduotis.

6. Duomenys Registrų centre tvarkomi laikantis Reglamento (ES) 2016/679 5 straipsnyje nurodytų su duomenų tvarkymu susijusių principų, esant bent vienai Reglamento (ES) 2016/679 6 straipsnio 1 dalies a–f punktuose ir 9 straipsnio 2 dalies b ir h punkte nurodytai teisėto duomenų tvarkymo sąlygai.

7. Duomenys Registrų centre renkami tiesiogiai iš duomenų subjekto arba gaunami iš kitų fizinių ir (ar) juridinių asmenų arba susijusių registrų ir (ar) informacinių sistemų.

II SKYRIUS

DUOMENŲ TVARKYMAS

8. Registrų centras, kaip duomenų valdytojas, tvarko:

8.1. Registrų centro darbuotojų, studentų, atliekančių praktiką, valdybos ir audito komiteto narių duomenis remdamasis Reglamento (ES) 2016/679 6 straipsnio 1 dalies b punktu, siekdamas užtikrinti tinkamą darbo ar veiklos sutarčių vykdymą ir Reglamento (ES) 2016/679 straipsnio 1 dalies c punktu, kai tam tikrus duomenis įpareigoja tvarkyti teisės aktai, o duomenis apie sveikatą – Reglamento (ES) 2016/679 9 straipsnio 2 dalies b punkto pagrindu tam, kad Registrų centras galėtų įvykdyti prievoles, o darbuotojas − naudotis specialiomis teisėmis darbo ir socialinės apsaugos teisės srityje.

8.2. kandidatų į darbuotojus duomenis remdamasis kandidatų sutikimu ir (ar) Reglamento (ES) 2016/679 straipsnio 1 dalies c punktu, kai tam tikrus duomenis įpareigoja tvarkyti teisės aktai;

8.3. klientų (prašymą, paklausimą ar skundą pateikusių asmenų ir kitų susijusių asmenų) duomenis remdamasis Reglamento (ES) 2016/679 6 straipsnio 1 dalies c punktu, kai duomenis įpareigoja tvarkyti teisės aktai arba Reglamento (ES) 2016/679 6 straipsnio 1 dalies b punktu, siekiant įvykdyti su klientu pasirašytą komercinių paslaugų sutartį, kurios šalis yra klientas, arba siekiant imtis veiksmų kliento prašymu prieš sudarant sutartį;

8.4. Registrų centro darbuotojų, studentų, atliekančių praktiką, valdybos ir audito komiteto narių, kandidatų į darbuotojus, klientų, kitų asmenų duomenis vykdydamas vaizdo ir garso įrašų stebėseną, įeigos į pastatus (arba patalpas) stebėseną, prieigos prie informacinių išteklių stebėseną, telefoninių pokalbių įrašymą, tiesioginę rinkodarą (apklausas), korupcijos prevenciją, remdamasis Reglamento (ES) 2016/679 6 straipsnio 1 dalies f punktu, teisėtu interesu;

8.5. siųsdamas naujienlaiškius prenumeratoriams remdamasis Reglamento (ES) 2016/679 6 straipsnio 1 dalies a punktu, prenumeratą užsisakiusio asmens sutikimu;

8.6. kitų juridinių asmenų darbuotojų duomenis remdamasis Reglamento (ES) 2016/679 straipsnio 1 dalies c punktu, kai tam tikrus duomenis įpareigoja tvarkyti teisės aktai.

9. Registrų centras, kaip duomenų tvarkytojas, tvarko duomenis valstybės registruose ir valstybės informacinėse sistemose duomenų valdytojų vardu, remdamasis Reglamento (ES) 2016/679 6 straipsnio 1 dalies c punktu, kai duomenis įpareigoja tvarkyti teisės aktai, vadovaudamasis reikalavimais, išdėstytais valstybės registrų ir valstybės informacinių sistemų veiklą reglamentuojančiuose teisės aktuose (Lietuvos Respublikos įstatymuose, Lietuvos Respublikos Vyriausybės nutarimuose, ministro patvirtintuose teisės aktuose).

10. Kai duomenys tvarkomi remiantis duomenų subjekto sutikimu, sutartimi ar Registrų centro teisėtu interesu, duomenų tvarkymas turi būti nustatytas (aprašytas) Registrų centro generalinio direktoriaus patvirtintame vidaus teisės akte.

11. Registrų centro tvarkomų duomenų tvarkymo veikla detalizuojama duomenų tvarkymo veiklos įrašuose, kurie turi atitikti Reglamento (ES) 2016/679 30 straipsnio reikalavimus. Duomenų tvarkymo įrašai tvarkomi, vadovaujantis Registrų centro generalinio direktoriaus patvirtintu Duomenų tvarkymo veiklos įrašų pildymo tvarkos aprašu.

12. Bet koks duomenų tvarkymas, kuris remiasi Registrų centro teisėtu interesu, gali būti vykdomas tik atlikus interesų balanso testą.

III SKYRIUS

DUOMENŲ SUBJEKTO TEISĖS

13. Taisyklių 8 punkte nurodyti duomenų subjektai turi teisę kreiptis į Registrų centrą, kaip duomenų valdytoją, dėl klausimų, susijusių su jo duomenų tvarkymu, ir turi šias teises:

13.1. teisę gauti informaciją apie duomenų tvarkymą (įgyvendinama pagal Taisyklių 15 punktą);

13.2. teisę susipažinti su duomenimis;

13.3. teisę reikalauti ištaisyti duomenis;

13.4. teisę reikalauti ištrinti duomenis („teisė būti pamirštam“). Ši teisė įgyvendinama Reglamento (ES) 2016/679 17 straipsnio 1 dalyje nustatytais atvejais, išskyrus 3 dalyje nustatytus atvejus;

13.5. teisę apriboti duomenų tvarkymą. Ši teisė taikoma Reglamento (ES) 2016/679 18 straipsnio 1 dalyje nustatytais atvejais;

13.6. teisę į duomenų perkeliamumą. Ši teisė gali būti įgyvendinama tik tais atvejais, kai duomenys tvarkomi naujienlaiškių siuntimo tikslu;

13.7. teisę nesutikti su duomenų tvarkymu. Ši teisė taikoma Reglamento (ES) 2016/679 21 straipsnyje nustatytais atvejais.

14. Duomenų subjektas, nesutikdamas su Registrų centro priimtu sprendimu dėl pateikto prašymo, susijusio su jo, kaip duomenų subjekto, teisių įgyvendinimu, turi teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai.

15. Duomenų subjektams informacija apie duomenų tvarkymą konkrečiu tikslu, pateikiama privatumo pranešimuose, kurie pateikiami Registrų centro interneto svetainėje www.registrucentras.lt skiltyje „Asmens duomenų apsauga“ arba elektroniniu paštu, o tais atvejais, kai į Registrų centrą kreipiasi asmeniškai – klientų aptarnavimo padaliniuose, kai kreipiasi Registrų centro bendruoju kontaktiniu telefonu – informacija pateikiama telefonu.

16. Duomenų subjektas dėl jo, kaip duomenų subjekto, teisių įgyvendinimo (išskyrus Taisyklių 13.1 papunktyje nurodytą teisę) turi kreiptis į Registrų centrą raštu, pateikdamas prašymą (rekomenduojama prašymo forma pateikta Taisyklių priede):

16.1. asmeniškai Registrų centro klientų aptarnavimo padalinyje;

16.2. paštu, adresu Lvivo g. 25-101, 09320 Vilnius;

16.3. elektroniniu paštu info@registrucentras.lt;

16.4. naudojantis Nacionalinės elektroninių siuntų pristatymo naudojant pašto tinklą informacinės sistemos elektroninio pristatymo dėžute (toliau – E. dėžutė). Elektroninės dėžutės adresas 124110246;

16.5. naudojantis Registrų centro savitarna.

17. Prašyme įgyvendinti duomenų subjekto teises turi būti nurodyta:

17.1. fizinio asmens vardas, pavardė, asmens kodas (gimimo data, jei asmuo neturi suteikto asmens kodo);

17.2. atstovo vardas, pavardė, asmens kodas (gimimo data, jei asmuo neturi suteikto asmens kodo) arba juridinio asmens pavadinimas ir kodas, jei prašymą teikia fizinį asmenį atstovaujantis asmuo, atstovavimo pagrindas;

17.3. kontaktinė informacija ryšiui su asmeniu palaikyti – telefono numeris, elektroninio pašto adresas, kontaktinis arba gyvenamosios vietos adresas arba prireikus kitų elektroninių ryšių priemonių nuorodos ar (ir) numeriai.

18. Prašymas turi būti pasirašytas prašymą pateikusio asmens arba jo atstovo.

19. Klientų aptarnavimo centro darbuotojas, priimdamas duomenų subjekto asmeniškai teikiamą prašymą, privalo nustatyti asmens tapatybę pagal pateiktą dokumentą – Lietuvos Respublikos ar užsienio valstybės išduotą asmens tapatybę patvirtinantį dokumentą arba leidimą gyventi Lietuvos Respublikoje, arba Europos ekonominės erdvės valstybėje išduotą vairuotojo pažymėjimą, atitinkantį 2006 m. gruodžio 20 d. Europos Parlamento ir Tarybos direktyvos 2006/126/EB dėl vairuotojo pažymėjimų (nauja redakcija) I priede nustatytus reikalavimus.

20. Kai prašymas teikiamas elektroniniu paštu turi būti pateikta pasirašyto prašymo skaitmeninė kopija bei pridėta asmens tapatybę patvirtinančio dokumento kopija arba prašymas turi būti pasirašytas kvalifikuotu elektroniniu parašu, atitinkančiu 2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamente (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB nustatytus reikalavimus.

21. Kai prašymas pateikiamas paštu ar per pasiuntinį, kartu su pasirašytu prašymu turi būti pateikiama asmens tapatybę patvirtinančio dokumento kopija.

22. Teikiant prašymą per atstovą turi būti pateikiamas atstovavimą patvirtinantis dokumentas ar jo kopija, patvirtinta teisės aktų nustatyta tvarka, o kai įgaliojimas sudarytas informacinių technologijų priemonėmis ir duotas jį įregistruojant Įgaliojimų registre, – prašyme turi būti nurodyti įgaliojimą identifikuojantys duomenys.

23. Esant abejonių dėl duomenų subjekto tapatybės, Registrų centras turi teisę paprašyti papildomos informacijos, reikalingos ja įsitikinti.

24. Kai Registrų centras duomenų subjekto duomenis tvarko valstybės registruose ir valstybės informacinėse sistemose duomenų valdytojų vardu kaip duomenų tvarkytojas, duomenų subjektų teisės įgyvendinamos atitinkamo duomenų valdytojo patvirtintame teisės akte nustatyta tvarka.

IV SKYRIUS

ORGANIZACINĖS IR TECHNINĖS DUOMENŲ SAUGUMO PRIEMONĖS

25. Siekiant užtikrinti tiek automatiniu, tiek ir ne automatiniu būdu tvarkomų duomenų saugumą, atsižvelgiant į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų pobūdį ir jų tvarkymo keliamą riziką, įgyvendinamos šios organizacinės ir techninės duomenų saugumo priemonės:

25.1. organizacinės duomenų saugumo priemonės, apimančios duomenų saugumo politiką ir procedūras, vaidmenis ir atsakomybę, prieigų valdymą, išteklių ir turto valdymą, informacinių išteklių pokyčių valdymą, reikalavimus paslaugų teikėjams (duomenų tvarkytojams), duomenų saugumo pažeidimų ir incidentų valdymą, veiklos tęstinumą, personalo konfidencialumą, mokymus;

25.2. techninės duomenų saugumo priemonės, apimančios prieigos kontrolę ir autentifikavimą, techninių žurnalų įrašus ir stebėseną, tarnybinių stočių ir duomenų bazių apsaugą, darbo stočių apsaugą, tinklo ir komunikacijos saugą, atsargines kopijas, mobiliuosius ir nešiojamus įrenginius, programinės įrangos saugą, duomenų naikinimą ir šalinimą, fizinę saugą.

26. Konkrečios techninės ir organizacinės priemonės nustatytos:

26.1. valstybės įmonės Registrų centro generalinio direktoriaus patvirtintuose Valstybės įmonės Registrų centro tvarkomų informacinių išteklių saugos nuostatuose, Valstybės įmonės Registrų centro tvarkomų vidaus informacinių išteklių naudotojų administravimo taisyklėse, Valstybės įmonės Registrų centro tvarkomų vidaus informacinių išteklių saugaus elektroninės informacijos tvarkymo taisyklėse, Valstybės įmonės Registrų centro tvarkomų vidaus informacinių išteklių veiklos tęstinumo valdymo plane ir Valstybės įmonės Registrų centro tvarkomų vidaus informacinių išteklių pokyčių valdymo tvarkos apraše, kai Registrų centras tvarko duomenis kaip duomenų valdytojas;

26.2. Duomenų valdytojo patvirtintoje saugos politikoje, kurią sudaro valstybės registro ar valstybės informacinės sistemos duomenų saugos nuostatai, Saugaus elektroninės informacijos duomenų tvarkymo taisyklės, veiklos tęstinumo planas ir Informacinės sistemos naudotojų administravimo taisyklės, tais atvejais, kai Registrų centras duomenis tvarko kaip duomenų tvarkytojas valstybės registruose ir (ar) valstybės informacinėse sistemose.

V SKYRIUS

REIKALAVIMAI DARBUOTOJAMS, TVARKANTIEMS ASMENS DUOMENIS

27. Kiekvienas darbuotojas privalo:

27.1. tvarkydamas duomenis, laikytis su duomenų tvarkymu susijusių principų, duomenų tvarkymo saugumo reikalavimų, įtvirtintų Reglamente (ES) 2016/679, Asmens duomenų teisinės apsaugos įstatyme, Taisyklėse ir kituose teisės aktuose, reglamentuojančiuose duomenų tvarkymą;

27.2. laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su duomenimis susijusią informaciją, su kuria jis susipažino vykdydamas darbo funkcijas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti duomenų paslaptį galioja ir perėjus dirbti į kitas pareigas ar pasibaigus darbo santykiams Registrų centre;

27.3. tvarkyti duomenis tik tiek, kiek reikia darbo funkcijoms atlikti, ir tik ta apimtimi, kiek tai reikalinga jų vykdymui;

27.4. naudoti technines ir organizacines duomenų apsaugos priemones, užtikrinančias duomenų apsaugą nuo neleistinos prieigos, neteisėto rinkimo, naudojimo ir saugojimo, netyčinio praradimo, sunaikinimo ar sugadinimo;

27.5. nesaugoti (nekaupti) duomenų jokiose darbuotojui priklausančiose asmeninėse laikmenose (įskaitant ir popieriniu formatu), kompiuterinėje ar programinėje įrangoje (internetinėse duomenų saugyklose, atmintinėse, kompiuteriuose, telefonuose ir pan.), nebent konkrečiu atveju darbuotojui būtų leista naudoti konkrečias asmenines priemones darbo funkcijų vykdymui;

27.6. kai darbuotojui leidžiama naudoti asmenines atmintines ir (ar) kompiuterinę ar programinę įrangą darbo funkcijoms vykdyti, pasibaigus darbo santykiams perduoti visus darbuotojo bet kokiose informacijos rinkmenose (asmeninėse internetinėse saugyklose, atmintinėse, asmeniniame kompiuteryje, telefone ir pan.) esančius duomenis Registrų centrui ir sunaikinti visas tokios informacijos kopijas;

27.7. pranešti apie duomenų saugumo pažeidimą Registrų centro generalinio direktoriaus patvirtintame Asmens duomenų saugumo pažeidimų valdymo valstybės įmonėje Registrų centre tvarkos apraše nustatyta tvarka;

27.8. konsultuotis su duomenų apsaugos pareigūnu Registrų centro generalinio direktoriaus patvirtintame Valstybės įmonės Registrų centro duomenų apsaugos pareigūno darbo reglamente nustatyta tvarka.

VI SKYRIUS

DUOMENŲ TVARKYTOJŲ PASITELKIMAS

28. Registrų centras, prieš pasitelkdamas kitą duomenų tvarkytoją, įsitikina, kad duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines saugumo priemones, kad duomenų tvarkymas atitiktų Reglamento (ES) 2016/679 ir kitų duomenų apsaugą reguliuojančių teisės aktų reikalavimus ir būtų užtikrinta duomenų subjektų teisių apsauga.

29. Tais atvejais, kai Registrų centras tvarko duomenis kaip duomenų tvarkytojas, jis nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus arba bendrojo rašytinio valstybės registro ar valstybės informacinės sistemos duomenų valdytojo leidimo.

30. Registrų centras, sudarydamas paslaugų teikimo ar prekių pirkimo sutartį su paslaugos teikėju ar pardavėju, kuris duomenis tvarkys kaip duomenų tvarkytojas, duomenų tvarkymo reikalavimus nustato duomenų tvarkymo sutartyje.

VII SKYRIUS

SLAPUKAI

31. Tvarkant duomenis Registrų centro interneto svetainėje ar Registrų centro tvarkomo valstybės registro ar valstybės informacinės sistemos portale, naudojami šių tipų slapukai:

31.1. būtinieji slapukai. Šie slapukai naudojami Reglamento (ES) 2016/679 6 straipsnio 1 dalies f punktu, teisėtu interesu;

31.2. nebūtinieji slapukai. Šio tipo slapukai naudojami Reglamento (ES) 2016/679 6 straipsnio 1 dalies a punktu, kliento sutikimu.

32. Jeigu klientas nepažymi, kad sutinka su nebūtinųjų slapukų naudojimu, šio tipo slapukai negali būti naudojami.

33. Informacija apie naudojamus slapukus klientui turi būti pateikta kiekvieno prisijungimo metu. Pateikiamoje informacijoje turi būti nurodyta:

33.1. slapukų paskirtis, pavadinimas, galiojimo laikas;

33.2. informacija kaip pašalinti (ištrinti) slapukus iš įrenginio;

33.3. nuorodos į detalias instrukcijas priklausomai nuo naudojamos naršyklės.

VIII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

34. Taisyklės periodiškai, bet ne rečiau kaip kartą per metus, peržiūrimos ir, prireikus, atnaujinamos.

35. Už Taisyklių atnaujinimą atsakingas Teisės departamento Asmens duomenų teisinės apsaugos skyrius.

36. Registrų centro darbuotojas, pažeidęs Taisyklių reikalavimus, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.

________________________

^{^[1]} Jeigu prašymą pateikia duomenų subjekto atstovas, kartu turi būti pridedamas atstovo įgaliojimus patvirtinantis dokumentas arba įrašyti įgaliojimą identifikuojančius duomenis (jei yra įregistruotas Įgaliojimų registre).

^{^[2]} Ši teisė gali būti įgyvendinama tik tais atvejais, kai Jūsų asmens duomenys Registrų centre tvarkomi Jūsų sutikimu.

^{^[3]} Ši teisė gali būti įgyvendinama tik tais atvejais, kai Jūsų asmens duomenys tvarkomi Jūsų sutikimu arba Registrų centro teisėtu interesu.

^{^[4]} Jeigu prašymas yra siunčiamas paštu, prie prašymo pridedama asmens tapatybę patvirtinančio dokumento kopija.

Jeigu kreipiamasi dėl netikslių duomenų ištaisymo, pateikiamos tikslius duomenis patvirtinantys dokumentai; jeigu šių dokumentų kopijos siunčiamos paštu, tuomet kopijos turi būti patvirtintos notaro ar kita teisės aktų nustatyta tvarka.

Jeigu duomenų subjekto asmens duomenys, tokie kaip vardas, pavardė, yra pasikeitę, kartu pateikiami dokumentai, patvirtinantys šių duomenų pasikeitimą; jeigu šių dokumentų kopijos siunčiamos paštu, tuomet jos turi būti patvirtintos notaro ar kita teisės aktų nustatyta tvarka.