Lietuvos Respublikos Vyriausybė
nutarimas
Dėl LIETUVOS RESPUBLIKOS VYRIAUSYBĖS 2002 M. VASARIO 20 D. NUTARIMO NR. 262 „DĖL ASMENS DUOMENŲ VALDYTOJŲ VALSTYBĖS REGISTRO NUOSTATŲ IR DUOMENŲ VALDYTOJŲ PRANEŠIMO APIE DUOMENŲ TVARKYMĄ TAISYKLIŲ PATVIRTINIMO“ PAKEITIMO
2015 m. rugsėjo 2 d. Nr. 945
Vilnius
1. Pakeisti Lietuvos Respublikos Vyriausybės 2002 m. vasario 20 d. nutarimą Nr. 262 „Dėl Asmens duomenų valdytojų valstybės registro nuostatų ir Duomenų valdytojų pranešimo apie duomenų tvarkymą taisyklių patvirtinimo“ ir jį išdėstyti nauja redakcija:
„LIETUVOS RESPUBLIKOS VYRIAUSYBĖ
NUTARIMAS
DĖL ASMENS DUOMENŲ VALDYTOJŲ VALSTYBĖS REGISTRO NUOSTATŲ IR DUOMENŲ VALDYTOJŲ PRANEŠIMO APIE ASMENS DUOMENŲ TVARKYMĄ TAISYKLIŲ PATVIRTINIMO
Vadovaudamasi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 31 ir 34 straipsniais ir Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 18 straipsnio 2 dalimi, Lietuvos Respublikos Vyriausybė nutaria:
3. Šiuo nutarimu nauja redakcija išdėstytų Asmens duomenų valdytojų valstybės registro nuostatų 37.2 papunktis įsigalioja 2016 m. sausio 1 dieną.
PATVIRTINTA
Lietuvos Respublikos Vyriausybės
2002 m. vasario 20 d. nutarimu Nr. 262
(Lietuvos Respublikos Vyriausybės
2015 m. rugsėjo 2 d. nutarimo Nr. 945
redakcija)
ASMENS DUOMENŲ VALDYTOJŲ VALSTYBĖS REGISTRO NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų valdytojų valstybės registro nuostatai (toliau – Nuostatai) nustato Asmens duomenų valdytojų valstybės registro (toliau – registras) paskirtį, jo objektus, registro valdytojo ir tvarkytojo funkcijas, teises ir pareigas, reglamentuoja registro duomenų, registro informacijos (toliau – registro duomenys) ir registrui pateiktų dokumentų ir (ar) jų kopijų tvarkymą, registro sąveiką su kitais registrais, registro duomenų saugą, registro duomenų teikimą ir naudojimą, registro finansavimą, reorganizavimą ir likvidavimą.
2. Registro paskirtis – registruoti Nuostatų 9 punkte nurodytus registro objektus ir tvarkyti registro duomenis.
3. Asmens duomenys registre tvarkomi duomenų valdytojų, jų atstovų, duomenų tvarkytojų, už duomenų apsaugą atsakingų asmenų asmens tapatybės nustatymo, registro objektų apskaitos ir kontrolės tikslais.
5. Registras tvarkomas vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu (toliau – Valstybės informacinių išteklių valdymo įstatymas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau – Asmens duomenų teisinės apsaugos įstatymas), Lietuvos Respublikos elektroninių ryšių įstatymu (toliau – Elektroninių ryšių įstatymas) ir Nuostatais.
II SKYRIUS
REGISTRO VALDYTOJAS IR TVARKYTOJAS, JŲ TEISĖS IR PAREIGOS
7. Registro valdytoja ir tvarkytoja yra Valstybinė duomenų apsaugos inspekcija, kuri atlieka Valstybės informacinių išteklių valdymo įstatymo registro valdytojui ir tvarkytojui nustatytas funkcijas, turi teises ir vykdo pareigas, nurodytas šiame įstatyme. Valstybinė duomenų apsaugos inspekcija:
III SKYRIUS
REGISTRO OBJEKTAI IR REGISTRO DUOMENYS
9. Registro objektas – duomenų valdytojai, kurie pagal Asmens duomenų teisinės apsaugos įstatymą privalo registro tvarkytojui pranešti apie tvarkomus asmens duomenis, ir duomenų valdytojai, kurie pagal Elektroninių ryšių įstatymą privalo registro tvarkytojui pranešti apie generuojamus ir tvarkomus abonentų ir registruotų elektroninių ryšių paslaugų naudotojų asmens, srauto ir susijusius duomenis.
10. Registre tvarkomi šie registro duomenys:
10.3. duomenų valdytojo duomenys:
10.3.1. juridinio asmens pavadinimas, kodas, buveinės adresas, telefono ir telefakso numeriai, elektroninio pašto adresas ir (ar) elektroninės siuntos pristatymo dėžutės adresas;
10.4. duomenų valdytojo atstovo, jeigu jis yra, duomenys pagal Asmens duomenų teisinės apsaugos įstatymo 1 straipsnio 3 dalies 3 punktą: pavadinimas, kodas, buveinės adresas, telefono ir telefakso numeriai, elektroninio pašto adresas ir (ar) elektroninės siuntos pristatymo dėžutės adresas;
10.5. duomenų tvarkytojo duomenys (juridinio asmens pavadinimas, kodas; fizinio asmens vardas, pavardė) arba duomenų tvarkytojų grupė (atskiriama pagal suteiktus įgaliojimus), jeigu duomenų valdytojas numato juos įgalioti tvarkyti asmens duomenis, ir (ar) elektroninės siuntos pristatymo dėžutės adresas;
10.7. duomenų subjektų grupė (atskiriama pagal jai būdingą požymį) ir jos asmens duomenų sąrašas; kai viešųjų ryšių tinklų ir (ar) viešųjų elektroninių ryšių paslaugų teikėjas praneša apie visų fiksuojamų ir saugomų su viešųjų elektroninių ryšių paslaugų abonentu (fiziniu asmeniu) ir faktiniu elektroninių ryšių paslaugų naudotoju susijusių srauto duomenų pobūdį, į registrą įrašomi jo pranešime pateikti duomenys;
10.8. duomenų teikėjo duomenys (juridinio asmens pavadinimas; fizinio asmens vardas, pavardė) arba duomenų teikėjų grupė (atskiriama pagal jai būdingą požymį);
10.9. duomenų gavėjo duomenys (juridinio asmens pavadinimas; fizinio asmens vardas, pavardė) arba duomenų gavėjų grupė (atskiriama pagal jai būdingą požymį), jeigu duomenų valdytojas numato teikti asmens duomenis;
10.10. asmens duomenų teikimo į užsienio valstybes, jeigu duomenų valdytojas numato tai daryti, duomenys: asmens duomenų teikimo tikslas, teikiamų asmens duomenų sąrašas, valstybė arba valstybių grupė;
10.12. teritorija ir (ar) patalpa, kurioje stebimas vaizdas, kai duomenų valdytojas praneša apie vaizdo stebėjimą;
10.13. už duomenų apsaugą atsakingo asmens duomenys (juridinio asmens pavadinimas, kodas, buveinės adresas, telefono ir (ar) telefakso numeriai, elektroninio pašto adresas; fizinio asmens vardas, pavardė, darbovietės pavadinimas, darbo telefono ir (ar) telefakso numeriai ir (ar) elektroninio pašto adresas) ar padalinio duomenys (pavadinimas, telefono ir (ar) telefakso numeriai, elektroninio pašto adresas), jeigu duomenų valdytojas yra paskyręs už duomenų apsaugą atsakingą asmenį ar padalinį ir apie duomenų tvarkymą pranešama supaprastinta tvarka;
11. Registro objekto identifikavimo kodą sudaro raidė (P – pastovi duomenų valdytojo registracija; L – laikina duomenų valdytojo registracija), nurodanti asmens duomenų tvarkymo terminą, ir registro objekto įtraukimo į registrą eilės numeris.
IV SKYRIUS
REGISTRO OBJEKTŲ REGISTRAVIMAS
13. Registro duomenų teikėjai yra duomenų valdytojai, kurie pagal Asmens duomenų teisinės apsaugos įstatymą privalo registro tvarkytojui pranešti apie tvarkomus asmens duomenis, ir duomenų valdytojai, kurie pagal Elektroninių ryšių įstatymą privalo registro tvarkytojui pranešti apie generuojamus ir tvarkomus abonentų ir registruotų elektroninių ryšių paslaugų naudotojų asmens, srauto ir susijusius duomenis.
14. Registro duomenų teikėjai privalo:
14.1. teikti duomenis ir dokumentus Valstybinei duomenų apsaugos inspekcijai Nuostatų ir Duomenų valdytojų pranešimo apie asmens duomenų tvarkymą taisyklių (toliau – Taisyklės), kurias tvirtina Lietuvos Respublikos Vyriausybė, nustatyta tvarka;
14.2. užtikrinti, kad jų teikiami duomenys būtų teisingi, tikslūs, išsamūs, atitiktų susijusių registrų duomenis ir informaciją, būtų nuolat atnaujinami;
15. Registro duomenų teikėjai turi teisę:
15.1. reikalauti, kad būtų ištaisyti neteisingi ir netikslūs arba papildyti neišsamūs jų pateikti duomenys, sunaikinti nereikalingi ar neteisėtai surinkti jų duomenys;
16. Duomenų valdytojai Valstybinei duomenų apsaugos inspekcijai pateikia pranešimą apie asmens duomenų tvarkymą ir asmens duomenų apsaugos priemonių aprašą, vadovaudamiesi Asmens duomenų teisinės apsaugos įstatymu, asmens duomenų tvarkymą ir duomenų valdytojų registraciją Registre reglamentuojančiais teisės aktais ir laikydamiesi Taisyklių reikalavimų. Dokumentus ir registro duomenis Valstybinei duomenų apsaugos inspekcijai galima pateikti raštu (pateikti Valstybinėje duomenų apsaugos inspekcijoje, paštu, per pasiuntinį) ar elektroninių ryšių priemonėmis. Elektroninių ryšių priemonėmis teikiami dokumentai turi būti pasirašyti elektroniniu parašu, arba dokumentus pateikiančio asmens tapatybė turi būti patvirtinta naudojantis Valstybinės duomenų apsaugos inspekcijos elektroninių paslaugų sistema.
17. Valstybinė duomenų apsaugos inspekcija per 20 darbo dienų nuo Nuostatų 16 punkte nurodytų dokumentų gavimo juos išnagrinėja. Jeigu duomenų valdytojo pranešime pateikti duomenys atitinka Taisyklių reikalavimus, o asmens duomenų tvarkymas atitinka teisės aktų, reglamentuojančių asmens duomenų tvarkymą, reikalavimus, Valstybinė duomenų apsaugos inspekcija priima sprendimą įregistruoti duomenų valdytoją. Valstybinė duomenų apsaugos inspekcija, nustačiusi, kad duomenų teikėjo pranešime pateikti duomenys neatitinka Taisyklių reikalavimų ir (ar) radusi objektui registruoti pateiktų dokumentų arba duomenų netikslumų, ir (ar) siekdama nustatyti, ar asmens duomenų tvarkymas atitinka teisės aktų reikalavimus, per 20 darbo dienų nuo pranešimo gavimo informuoja apie tai duomenų teikėją tokiu pat būdu, kokiu duomenų teikėjas Valstybinei duomenų apsaugos inspekcijai pateikė dokumentus, ir nurodo juos patikslinti, ištaisyti ir (ar) pateikti paaiškinimus dėl asmens duomenų tvarkymo teisėtumo. Gavusi patikslintus duomenis ir įsitikinusi, kad asmens duomenų tvarkymas atitinka teisės aktų, reglamentuojančių asmens duomenų tvarkymą, reikalavimus, Valstybinė duomenų apsaugos inspekcija per 10 darbo dienų nuo patikslintų duomenų gavimo priima sprendimą dėl objekto įregistravimo. Valstybinė duomenų apsaugos inspekcija, priėmusi sprendimą įregistruoti duomenų valdytoją, ne vėliau kaip per 3 darbo dienas nuo sprendimo priėmimo įregistruoja duomenų valdytoją registre. Jeigu duomenų valdytojas yra paskyręs už duomenų apsaugą atsakingą asmenį ar padalinį ir apie duomenų tvarkymą pranešama supaprastinta tvarka, įregistruojant duomenų valdytoją į registro duomenų bazę įrašomi Nuostatų 10.1–10.4, 10.6 ir 10.13–10.14 papunkčiuose nurodyti registro duomenys.
18. Valstybinė duomenų apsaugos inspekcija atsisako įregistruoti registro objektą arba įrašyti registro duomenis, kai registro objektas yra įregistruotas registre, jeigu:
18.1. Valstybinei duomenų apsaugos inspekcijai nustačius, kad duomenų teikėjo pranešime pateikti duomenys neatitinka Taisyklėse nurodytų reikalavimų, ir (ar) radus objektui registruoti pateiktų dokumentų arba duomenų netikslumų, ir (ar) siekiant nustatyti, ar asmens duomenų tvarkymas atitinka teisės aktų, reglamentuojančių asmens duomenų tvarkymą, reikalavimus, ir nurodžius juos patikslinti, ištaisyti ir (ar) pateikti paaiškinimus dėl asmens duomenų tvarkymo teisėtumo, duomenų teikėjas to nepadaro;
18.2. Valstybinė duomenų apsaugos inspekcija nustato, kad asmens duomenų tvarkymas neatitinka teisės aktų, reglamentuojančių asmens duomenų tvarkymą, reikalavimų;
19. Valstybinė duomenų apsaugos inspekcija apie duomenų valdytojo įregistravimą arba atsisakymą jį įregistruoti, nurodydama atsisakymo įregistruoti motyvus, duomenų teikėją informuoja tokiu pat būdu, kokiu duomenų teikėjas Valstybinei duomenų apsaugos inspekcijai pateikė dokumentus.
20. Jeigu Valstybinė duomenų apsaugos inspekcija iš Nuostatų 16 punkte nurodytų dokumentų ir registro duomenų nustato, kad duomenų valdytojui reikia atlikti išankstinę patikrą, ji informuoja apie tai duomenų teikėją tokiu pat būdu, kokiu duomenų teikėjas Valstybinei duomenų apsaugos inspekcijai pateikė dokumentus, ir nurodo pateikti pranešimą apie išankstinę patikrą ar papildomą informaciją, kurios reikia išankstinei patikrai atlikti.
21. Valstybinė duomenų apsaugos inspekcija, Asmens duomenų teisinės apsaugos įstatymo nustatytais atvejais atlikusi išankstinę patikrą ir išdavusi duomenų valdytojui leidimą atlikti asmens duomenų tvarkymo veiksmus, ne vėliau kaip per 7 darbo dienas nuo leidimo atlikti asmens duomenų tvarkymo veiksmus išdavimo įregistruoja duomenų valdytoją registre, naudodama per išankstinę patikrą surinktus reikiamus duomenis.
22. Registro objektas laikomas įregistruotu nuo to momento, kurį registro duomenys įrašomi į registro duomenų bazę ir registro objektui suteikiamas identifikavimo kodas.
24. Duomenų teikėjai apie pasikeitusius registro duomenis praneša Valstybinei duomenų apsaugos inspekcijai Nuostatų 16 punkte nurodytais būdais. Valstybinė duomenų apsaugos inspekcija, gavusi duomenų teikėjo informaciją apie pasikeitusius registro duomenis, per 20 darbo dienų nuo pranešimo gavimo priima sprendimą dėl pasikeitusių duomenų įrašymo į registro duomenų bazę ir pakeistų registro duomenų perkėlimo į registro duomenų bazės archyvą. Valstybinė duomenų apsaugos inspekcija, nustačiusi, kad duomenų valdytojo pranešime apie pasikeitusius registro duomenis pateikti duomenys neatitinka Taisyklėse nustatytų reikalavimų ir (ar) pateikti duomenys neteisingi, neišsamūs ar netikslūs (toliau – netikslūs), ir (ar) siekdama nustatyti, ar asmens duomenų tvarkymas atitinka teisės aktų, reglamentuojančių asmens duomenų tvarkymą, reikalavimus, tokiu pat būdu, kokiu duomenų teikėjas Valstybinei duomenų apsaugos inspekcijai pateikė dokumentus, nurodo duomenų teikėjui juos patikslinti, ištaisyti ir (ar) pateikti paaiškinimus dėl asmens duomenų tvarkymo teisėtumo. Gavusi patikslintus duomenis ir įsitikinusi, kad asmens duomenų tvarkymas atitinka teisės aktų, reglamentuojančių asmens duomenų tvarkymą, reikalavimus, Valstybinė duomenų apsaugos inspekcija per 10 darbo dienų nuo patikslintų duomenų gavimo priima sprendimą dėl pasikeitusių duomenų įrašymo į registrą ir pakeistų registro duomenų perkėlimo į registro duomenų bazės archyvą. Valstybinė duomenų apsaugos inspekcija duomenų teikėją informuoja apie pasikeitusių registro duomenų įrašymą arba atsisakymą juos įrašyti, nurodydama atsisakymo motyvus Nuostatų 19 punkte nurodytu būdu.
25. Valstybinė duomenų apsaugos inspekcija, gavusi informaciją iš duomenų teikėjo, arba savo iniciatyva išregistruoja duomenų valdytoją, jeigu:
25.2. panaikinama Asmens duomenų teisinės apsaugos įstatyme ir Elektroninių ryšių įstatyme nustatyta duomenų valdytojo pareiga pranešti apie duomenų tvarkymą;
25.3. pasibaigia duomenų valdytojo pranešime nurodytas laikinas asmens duomenų saugojimo terminas ir duomenų valdytojas nepraneša apie asmens duomenų saugojimo termino pratęsimą;
26. Valstybinė duomenų apsaugos inspekcija Nuostatų 25 punkte nurodytais atvejais ne vėliau kaip per 3 darbo dienas išregistruoja objektą, perkelia registro duomenis į registro duomenų bazės archyvą ir įrašo duomenų valdytojo išregistravimo datą.
27. Duomenys registro duomenų bazės archyve saugomi 10 metų nuo perkėlimo į registro duomenų bazės archyvą dienos. Pasibaigus šiam terminui, registro duomenys sunaikinami.
28. Pakeisti registro duomenys registro duomenų bazės archyve saugomi, kol Nuostatų 27 punkte nustatytą terminą saugomi registro duomenys. Pasibaigus šiam terminui, pakeisti registro duomenys sunaikinami.
V SKYRIUS
REGISTRO DUOMENŲ TAISYMAS
30. Netikslūs registro duomenys gali būti taisomi Valstybinės duomenų apsaugos inspekcijos iniciatyva arba gavus suinteresuoto asmens (duomenų gavėjo, susijusio registro arba duomenų subjekto) prašymą ir jį pagrindžiančius dokumentus. Suinteresuoti asmenys apie pastebėtus registro duomenų netikslumus Valstybinę duomenų apsaugos inspekciją informuoja raštu (pateikdami prašymą Valstybinėje duomenų apsaugos inspekcijoje, paštu ar per pasiuntinį) arba elektroninio ryšio priemonėmis (pateikdami prašymą ir pridėdami netikslių duomenų faktą pagrindžiančių dokumentų kopijas). Elektroninių ryšių priemonėmis teikiamas prašymas turi būti pasirašytas elektroniniu parašu, arba prašymą pateikiančio asmens tapatybė turi būti patvirtinta naudojantis Valstybinės duomenų apsaugos inspekcijos elektroninių paslaugų sistema. Gautas prašymas turi būti išnagrinėtas ne vėliau kaip per 5 darbo dienas nuo jo gavimo ir priimtas sprendimas prašymą tenkinti, ištaisyti, papildyti registro duomenis ar atmesti prašymą kaip nepagrįstą. Apie netikslių registro duomenų ištaisymą arba atsisakymą ištaisyti registro duomenis, nurodant atsisakymo priežastis, raštu ar elektroninio ryšio priemonėmis pranešama prašymą ištaisyti duomenis pateikusiam asmeniui.
31. Kai Valstybinė duomenų apsaugos inspekcija, vykdydama savo veiklą, nustato įregistruoto duomenų valdytojo pateiktuose dokumentuose nurodytų duomenų ar registro duomenų netikslumų arba juos nustato iš kitų šaltinių, per 5 darbo dienas nuo duomenų ar registro duomenų netikslumų nustatymo ji informuoja apie tai duomenų valdytoją ir nurodo jam juos ištaisyti. Valstybinė duomenų apsaugos inspekcija, gavusi duomenų valdytojo pranešimą apie registro duomenų netikslumų ištaisymą, per 10 darbo dienų nuo pranešimo gavimo priima sprendimą dėl pakeitimų įrašymo į registro duomenų bazę ir pasikeitusių registro duomenų perkėlimo į registro duomenų bazės archyvą.
32. Jeigu nustatoma, kad į registro duomenų bazę dėl Valstybinės duomenų apsaugos inspekcijos kaltės įrašyti netikslūs duomenys, ji privalo nedelsdama, bet ne vėliau kaip per 24 valandas, netikslius duomenis ištaisyti ir neatlygintinai apie tai informuoti duomenų gavėjus ar susijusių registrų tvarkytojus, kuriems perduoti netikslūs duomenys, taip pat duomenų subjektą.
33. Jeigu nustatoma susijusio registro tvarkytojo sąveikos būdu perduotų duomenų netikslumų, Valstybinė duomenų apsaugos inspekcija ne vėliau kaip per 5 darbo dienas nuo duomenų netikslumų nustatymo elektroniniu būdu apie tai informuoja susijusio registro tvarkytoją, pareikalauja ištaisyti netikslumus ir pateikti patikslintus duomenis, o šis, gavęs tokį prašymą, privalo pateikti patikslintus duomenis arba motyvuotą atsisakymą juos tikslinti ne vėliau kaip per 5 darbo dienas nuo prašymo gavimo.
34. Jeigu nustatoma, kad gauti iš susijusio registro duomenys skiriasi nuo duomenų teikėjo pateiktų duomenų, susijusio registro tvarkytojas nedelsdamas, bet ne vėliau kaip per 24 valandas, neatlygintinai informuojamas apie pastebėtus jo pateiktų duomenų netikslumus.
35. Asmuo, patvirtinęs savo tapatybę, turi teisę susipažinti su registre tvarkomais savo duomenimis. Asmuo, susipažinęs su registre tvarkomais savo duomenimis, turi teisę Valstybinės duomenų apsaugos inspekcijos reikalauti, kad ši ištaisytų netikslius duomenis, o ji privalo per 5 darbo dienas nuo asmens reikalavimą ištaisyti netikslius duomenis pagrindžiančių dokumentų gavimo ištaisyti jo nurodytus netikslumus registre, apie tai informuoti to reikalavusį asmenį ir patikslintus duomenis neatlygintinai perduoti duomenų gavėjams arba susijusių registrų tvarkytojams, kuriems perduoti netikslūs duomenys.
VI SKYRIUS
REGISTRO SĄVEIKA SU KITAIS REGISTRAIS
37. Registro duomenims, nurodytiems Nuostatų 10.3–10.5 ir 10.13 papunkčiuose, įrašyti naudojami šie registrų duomenys:
37.2. Juridinių asmenų registro arba Nacionalinės elektroninių siuntų pristatymo informacinės sistemos – elektroninės siuntos pristatymo dėžutės adresas;
VII SKYRIUS
REGISTRO DUOMENŲ TEIKIMAS IR NAUDOJIMAS
39. Registro duomenys yra vieši (išskyrus asmens kodą) ir teikiami registro duomenų gavėjams, pateikusiems prašymus, ir pagal registro duomenų teikimo sutartis.
40. Vieši registro duomenys skelbiami Valstybinės duomenų apsaugos inspekcijos interneto svetainėje (www.ada.lt).
41. Valstybinė duomenų apsaugos inspekcija teikia registro duomenis šiais būdais: išduoda registro išrašus, teikia registro duomenų pagrindu parengtus dokumentus ir informaciją.
42. Registro duomenys teikiami leidžiamosios kreipties būdu, perduodami automatiniu būdu, teikiami žodžiu, raštu, elektroniniu paštu ar kitomis ryšio priemonėmis.
44. Registro duomenų gavėjas negali keisti iš registro gautų duomenų, o juos naudodamas privalo nurodyti duomenų šaltinį.
45. Informacija apie registro objektą ir tikslą, registro tvarkytoją, registro tvarkymą, asmenų teises susipažinti su registre tvarkomais jų duomenimis, netikslių duomenų ištaisymo tvarką, registro duomenų teikėjus, taip pat apie tai, kokie duomenys ir (ar) dokumentai teikiami registrui, kokiu būdu jie turi būti pateikiami Valstybinei duomenų apsaugos inspekcijai ir kokius reikalavimus turi atitikti, pateikiama Valstybinės duomenų apsaugos inspekcijos interneto svetainėje (www.ada.lt).
VIII SKYRIUS
REGISTRO DUOMENŲ SAUGA
47. Registro duomenų saugą reglamentuoja Valstybinės duomenų apsaugos inspekcijos tvirtinami registro duomenų saugos nuostatai ir kiti saugos dokumentai, kurie rengiami, derinami ir tvirtinami laikantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, ir kitų teisės aktų, reglamentuojančių duomenų saugą, reikalavimų.
49. Asmenys, tvarkantys asmens duomenis registre, privalo saugoti asmens duomenų paslaptį, jeigu šie duomenys neskirti skelbti viešai. Ši pareiga galioja ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams.
IX SKYRIUS
REGISTRO FINANSAVIMAS
X SKYRIUS
REGISTRO REORGANIZAVIMAS IR LIKVIDAVIMAS
52. Registras reorganizuojamas ir likviduojamas Valstybės informacinių išteklių valdymo įstatymo ir kitų įstatymų, taip pat Lietuvos Respublikos Vyriausybės nustatyta tvarka.
PATVIRTINTA
Lietuvos Respublikos Vyriausybės
2002 m. vasario 20 d. nutarimu Nr. 262
(Lietuvos Respublikos Vyriausybės
2015 m. rugsėjo 2 d. nutarimo Nr. 945
redakcija)
DUOMENŲ VALDYTOJŲ PRANEŠIMO APIE ASMENS DUOMENŲ TVARKYMĄ TAISYKLĖS
1. Duomenų valdytojų pranešimo apie asmens duomenų tvarkymą taisyklės (toliau – Taisyklės) nustato pranešimo apie asmens duomenų tvarkymą (toliau – pranešimas) turinį ir pateikimo tvarką.
2. Pranešimą Valstybinei duomenų apsaugos inspekcijai teikia:
2.1. duomenų valdytojai arba jų atstovai, vadovaudamiesi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;
2.2. viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų teikėjai, vadovaudamiesi Lietuvos Respublikos elektroninių ryšių įstatymu;
3. Pranešime turi būti pateikti šie duomenys:
3.1. duomenų valdytojo duomenys:
3.1.1. juridinio asmens pavadinimas, kodas, buveinės adresas, telefono ir (ar) telefakso numeriai ir (ar) elektroninio pašto adresas, ir (ar) elektroninės siuntos pristatymo dėžutės adresas;
3.2. duomenų valdytojo atstovo, jeigu jis yra, duomenys pagal Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 1 straipsnio 3 dalies 3 punktą: pavadinimas, kodas, buveinės adresas, telefono ir (ar) telefakso numeriai ir (ar) elektroninio pašto adresas, ir (ar) elektroninės siuntos pristatymo dėžutės adresas;
3.3. duomenų tvarkytojo duomenys (juridinio asmens pavadinimas, kodas; fizinio asmens vardas, pavardė) arba duomenų tvarkytojų grupė (atskiriama pagal jai suteiktus įgaliojimus), jeigu duomenų valdytojas numato juos įgalioti tvarkyti asmens duomenis, ir (ar) elektroninės siuntos pristatymo dėžutės adresas;
3.5. duomenų subjektų grupė (atskiriama pagal jai būdingą požymį) ir su ja susijusių asmens duomenų sąrašas;
3.6. duomenų teikėjo duomenys (juridinio asmens pavadinimas; fizinio asmens vardas, pavardė) arba duomenų teikėjų grupė (atskiriama pagal jai būdingą požymį);
3.7. duomenų gavėjo duomenys (juridinio asmens pavadinimas; fizinio asmens vardas, pavardė) arba duomenų gavėjų grupė (atskiriama pagal jai būdingą požymį), jeigu duomenų valdytojas numato teikti asmens duomenis;
3.8. asmens duomenų teikimo į užsienio valstybes, jeigu duomenų valdytojas numato tai daryti, duomenys: asmens duomenų teikimo tikslas, teikiamų asmens duomenų sąrašas, valstybė arba valstybių grupė;
4. Viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų teikėjai, tvarkantys asmens, srauto ir susijusius duomenis siekdami perduoti informaciją elektroninių ryšių tinklu ir (ar) tokio perdavimo apskaitos tikslais, Valstybinei duomenų apsaugos inspekcijai privalo pateikti pranešimą, kuriame pateikiami Taisyklių 3.1–3.9 papunkčiuose nurodyti duomenys, ir pranešti apie visų jų fiksuojamų ir saugomų su viešųjų elektroninių ryšių paslaugų abonentu (fiziniu asmeniu) ir faktiniu elektroninių ryšių paslaugų naudotoju susijusių srauto duomenų pobūdį (duomenų sąrašą).
5. Jeigu duomenų valdytojas tvarko asmens duomenis keliais asmens duomenų tvarkymo tikslais ir Taisyklių 3.4–3.10 papunkčiuose nurodyti duomenys tvarkant asmens duomenis skirtingais tikslais yra skirtingi, duomenų valdytojas pagal kiekvieną asmens duomenų tvarkymo tikslą turi pateikti atskirą pranešimą.
6. Prie pranešimo pridedamas pagal Valstybinės duomenų apsaugos inspekcijos nustatytus reikalavimus užpildytas asmens duomenų apsaugos priemonių aprašas.
7. Jeigu duomenų valdytojui pateikus pranešimą apie išankstinę patikrą Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 33 straipsnio 1 dalyje nustatytais atvejais Valstybinė duomenų apsaugos inspekcija išduoda duomenų valdytojui leidimą atlikti asmens duomenų tvarkymo veiksmus, duomenų valdytojui nereikia tuo pačiu asmens duomenų tvarkymo tikslu pateikti pranešimo apie duomenų tvarkymą.
8. Jeigu duomenų valdytojas yra paskyręs už duomenų apsaugą atsakingą asmenį ar padalinį, apie asmens duomenų tvarkymą Valstybinei duomenų apsaugos inspekcijai gali būti pranešama supaprastinta pranešimo tvarka. Šiuo atveju pranešime turi būti pateikti šie duomenys:
8.2. už duomenų apsaugą atsakingo asmens duomenys (juridinio asmens pavadinimas, kodas, buveinės adresas, telefono, telefakso numeriai ir (ar) elektroninio pašto adresas; fizinio asmens vardas, pavardė, darbovietės pavadinimas, darbo telefono ir (ar) telefakso numeriai ir (ar) elektroninio pašto adresas) ar padalinio duomenys (pavadinimas, telefono ir (ar) telefakso numeriai ir (ar) elektroninio pašto adresas);
9. Duomenų valdytojas, pranešdamas apie duomenų tvarkymą supaprastinta tvarka, privalo viešai interneto svetainėje paskelbti Taisyklių 3 ir 4 punktuose nurodytus duomenis.
10. Pranešimą pasirašo duomenų valdytojas (fizinis asmuo), duomenų valdytojo (juridinio asmens) vadovas ar jų įgaliotas asmuo.
11. Pranešimą Valstybinei duomenų apsaugos inspekcijai duomenų valdytojas gali pateikti raštu (pateikti Valstybinėje duomenų apsaugos inspekcijoje, paštu ar per pasiuntinį) ar elektroninių ryšių priemonėmis. Elektroninių ryšių priemonėmis teikiamas pranešimas turi būti pasirašytas Taisyklių 10 punkte nurodyto asmens elektroniniu parašu, arba šio asmens tapatybė turi būti patvirtinta naudojantis Valstybinės duomenų apsaugos inspekcijos elektroninių paslaugų sistema.
13. Pasikeitus duomenims, nurodytiems Taisyklių 3, 4 arba 8 punkte, duomenų valdytojas privalo per 20 darbo dienų nuo duomenų pasikeitimo pateikti Valstybinei duomenų apsaugos inspekcijai informaciją apie pasikeitusius duomenis Taisyklių 11 punkte nurodytais būdais.