VYRIAUSIOSIOS TARNYBINĖS ETIKOS KOMISIJOS
pirmininkas
ĮSAKYMAS
Dėl ASMENS DUOMENŲ TVARKYMO VYRIAUSIOJOJE TARNYBINĖS ETIKOS KOMISIJOJE TVARKOS APRAŠO PATVIRTINIMO
2019 m. lapkričio 15 d. Nr. T-31
Vilnius
Įgyvendindamas 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) ir vadovaudamasis Lietuvos Respublikos Vyriausiosios tarnybinės etikos komisijos įstatymo 13 straipsnio 2 dalimi:
1. T v i r t i n u Asmens duomenų tvarkymo Vyriausiojoje tarnybinės etikos komisijoje tvarkos aprašą (pridedama).
2. P r i p a ž į s t u netekusiu galios Vyriausiosios tarnybinės etikos komisijos pirmininko 2018 m. balandžio 12 d. įsakymą Nr. T-13 „Dėl asmens duomenų tvarkymo Vyriausiojoje tarnybinės etikos komisijoje taisyklių patvirtinimo“.
3. Į p a r e i g o j u Administravimo skyrių su šiuo įsakymu bei 1 punkte nurodytu aprašu supažindinti Vyriausiosios tarnybinės etikos komisijos (toliau – VTEK) narius, valstybės tarnautojus, pagal darbo sutartis dirbančius darbuotojus, praktiką atlikti priimtus asmenis ir asmenis kitais pagrindais atliekančius funkcijas ar vykdančius veiklą VTEK, taip pat VTEK pasitelktus paslaugų teikėjus, teikiančius su asmens duomenų tvarkymu ir (ar) duomenų saugumo užtikrinimu susijusias paslaugas.
4. Į p a r e i g o j u Komisijos Sekretoriatą šį įsakymą paskelbti Teisės aktų registre bei VTEK interneto svetainėje.
PATVIRTINTA
Vyriausiosios tarnybinės etikos komisijos
pirmininko 2019-11-15 įsakymu Nr. T-31
ASMENS DUOMENŲ TVARKYMO VYRIAUSIOJOJE TARNYBINĖS ETIKOS KOMISIJOJE TVARKOS APRAŠAS
I. BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo Vyriausiojoje tarnybinės etikos komisijoje (toliau – VTEK, Komisija) tvarkos aprašo (toliau – Aprašas) tikslas – reglamentuoti asmens duomenų tvarkymą VTEK, užtikrinant, kad būtų laikomasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento) (toliau – BDAR), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ) ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymo ir privatumo apsaugos reikalavimus, nuostatų. Aprašu siekiama įgyvendinti atskaitomybės principą, įtvirtintą BDAR 5 straipsnio 2 dalyje.
2. Aprašo paskirtis – nustatyti Komisijos narių, VTEK valstybės tarnautojų, pagal darbo sutartis dirbančių darbuotojų ir kitų asmenų, kurių asmens duomenis tvarko VTEK, pagrindines asmens duomenų tvarkymo taisykles, duomenų subjekto teisių bei organizacinių ir techninių asmens duomenų saugumo priemonių įgyvendinimo principus.
3. Aprašas parengtas vadovaujantis BDAR, ADTAĮ ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir privatumo apsaugą.
4. Aprašo privalo laikytis visi Komisijos nariai, VTEK valstybės tarnautojai, pagal darbo sutartis dirbantys darbuotojai, praktiką atlikti priimti asmenys bei asmenys kitais pagrindais atliekantys funkcijas ar vykdantys veiklą VTEK (toliau visi šie asmenys – VTEK darbuotojai), kurie tvarko VTEK esančius asmens duomenis arba eidami savo pareigas su jais susipažįsta.
5. Apraše vartojamos sąvokos suprantamos taip, kaip jos yra apibrėžtos BDAR, ADTAĮ ir kituose įstatymuose.
II SKYRIUS
DUOMENŲ VALDYTOJO PAREIGOS
7. VTEK, nustatydama asmens duomenų tvarkymo priemones bei tvarkydama asmens duomenis, nuo asmens duomenų surinkimo iki saugojimo termino pabaigos įgyvendina tinkamas organizacines ir technines priemones, kad būtų veiksmingai įgyvendinti duomenų apsaugos principai, įtvirtinti BDAR 5 straipsnyje. Tuo tikslu VTEK, kaip duomenų valdytoja:
7.1. nustato asmens duomenų tvarkymo tikslus ir priemones bei užtikrina, kad asmens duomenys būtų renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau tvarkomi tik su tais tikslais suderinamu būdu;
7.2. užtikrina, kad asmens duomenys būtų tvarkomi teisėtai, sąžiningai ir skaidriai, laikantis teisės aktuose nustatytų asmens duomenų tvarkymo reikalavimų;
7.3. užtikrina, kad asmens duomenys būtų adekvatūs, tinkami ir tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi;
7.4. užtikrina, kad asmens duomenys būtų tikslūs ir prireikus atnaujinami, o netikslūs asmens duomenys nedelsiant ištaisomi arba sunaikinami;
7.5. užtikrina, kad asmens duomenys būtų laikomi tokia forma, kad nustatyti duomenų subjekto tapatybę būtų galima ne ilgiau, nei būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;
7.6. užtikrina, kad būtų taikomos tinkamos organizacinės ir techninės duomenų saugumo priemonės, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;
7.8. rengia ir priima vidaus teisės aktus, reglamentuojančius asmens duomenų tvarkymą ir užtikrinančius atskaitomybės principo įgyvendinimą;
7.10. asmens duomenis įgalioja tvarkyti tik tokį duomenų tvarkytoją, kuris pasitelkia organizacines ir technines asmens duomenų apsaugos priemones, užtikrinančias duomenų tvarkymo atitiktį BDAR reikalavimams ir duomenų subjekto teisių apsaugą, bei užtikrintų, kad tokių priemonių būtų laikomasi;
7.13. imasi priemonių valdyti asmens duomenų saugumo pažeidimus ir teisės aktuose nustatytais atvejais praneša apie juos priežiūros institucijai ir duomenų subjektams;
III SKYRIUS
ASMENS DUOMENŲ TVARKYMO TIKSLAI IR TVARKOMŲ ASMENS DUOMENŲ KATEGORIJOS
8. Asmens duomenys VTEK tvarkomi šiais tikslais:
8.1. funkcijų, susijusių su Lietuvos Respublikos Vyriausiosios tarnybinės etikos komisijos įstatymo įgyvendinimu, vykdymui (VTEK darbo organizavimas, pranešimų ir skundų nagrinėjimas, asmenų prašymų pateikti informaciją, dokumentus ar rekomendacijas nagrinėjimas, tyrimų dėl asmenų elgesio atitikties VTEK kompetencijai priskirtų teisės aktų nuostatoms atlikimas, pažeidimų prevencija viešinant VTEK sprendimus);
8.2. funkcijų, susijusių su Lietuvos Respublikos viešųjų ir privačių interesų derinimo valstybinėje tarnyboje įstatymo (nuo 2020 m. sausio 1 d. – Lietuvos Respublikos viešųjų ir privačių interesų derinimo įstatymo) įgyvendinimo priežiūra, vykdymui (privačių interesų deklaravimo priežiūra, privačius interesus turinčių deklaruoti asmenų identifikavimas, viešųjų interesų pirmenybės priimant sprendimus užtikrinimas viešinant privačių interesų deklaracijas, pareigos nusišalinti vykdymo kontrolės užtikrinimas, tyrimų dėl asmenų elgesio atitikties šio įstatymo nuostatoms atlikimas);
8.3. funkcijų, susijusių su Lietuvos Respublikos lobistinės veiklos įstatymo įgyvendinimo priežiūra, vykdymui (asmenų įrašymas į registruotų lobistų sąrašą, neteisėtos lobistinės veiklos prevencijos įgyvendinimas skelbiant registruotų lobistų sąrašą bei lobistinės veiklos deklaracijas, lobistinės veiklos deklaravimo priežiūra, lobistų pažymėjimų išdavimas, tyrimų dėl asmenų elgesio atitikties šio įstatymo nuostatoms atlikimas);
8.4. funkcijų, susijusių su Lietuvos Respublikos korupcijos prevencijos įstatymo įgyvendinimu, vykdymui (korupcijos prevencijos įgyvendinimas teikiant informaciją institucijoms apie asmenis, siekiančius eiti pareigas valstybės ar savivaldybės įmonėse bei asmenis, kuriuos į pareigas Europos Sąjungos ar tarptautinėse institucijose teikia Lietuvos Respublika; korupcijos prevencijos įgyvendinimas gaunant savivaldybių tarybų Etikos komisijų sprendimus);
8.5. funkcijų, susijusių su Lietuvos Respublikos Valstybės politikų elgesio kodekso įgyvendinimu, vykdymui (tyrimų dėl asmenų elgesio atitikties šio teisės akto nuostatoms atlikimas pagal VTEK kompetenciją, duomenų apie galimą šio teisės akto pažeidimą perdavimas kontrolės subjektams);
8.6. funkcijų, susijusių su Lietuvos Respublikos pinigų plovimo ir teroristų finansavimo prevencijos įstatymo įgyvendinimu, vykdymui (politiškai pažeidžiamų asmenų, kuriems patikėtos svarbios viešosios pareigos Lietuvos Respublikoje, viešinamų privačių interesų deklaracijų duomenų teikimas finansų įstaigoms ir kitiems pagal šį įstatymą įpareigotiems subjektams);
8.7. funkcijų, susijusių su Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymo įgyvendinimu, vykdymui bei funkcijų, susijusių su Lietuvos Respublikos visuomenės informavimo įstatymo ir Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymo įgyvendinimu, vykdymui (visuomenės informavimas apie VTEK veiklą), vykdymui;
8.13. personalo valdymui (tarnybos, darbo, praktikos vykdymo, Komisijos, kaip darbdavio, prievolių vykdymo bei galimybių valstybės tarnautojams, darbuotojams, praktikantams pasinaudoti jiems suteiktomis teisėmis darbo ir socialinės apsaugos srityje sudarymui) tvarkomi Komisijos esamų ir buvusių valstybės tarnautojų, darbuotojų bei praktikantų asmens duomenys;
IV SKYRIUS
ASMENS DUOMENŲ TVARKYMAS
10. VTEK asmens duomenys tvarkomi vadovaujantis BDAR, ADTAĮ ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir privatumo apsaugą, Lietuvos standartais LST ISO/IEC 27001 ir LST ISO/IEC 27002.
11. Asmens duomenys Komisijoje tvarkomi automatiniu ir rankiniu būdais susistemintose rinkmenose. Dėl techninės ir programinės įrangos, skirtos asmens duomenų tvarkymui, sprendimą priima Komisijos pirmininkas ar jo įgaliotas asmuo.
12. Asmens duomenys automatiniu būdu VTEK tvarkomi ir saugomi tarnybinėse stotyse, valstybės registruose ir informacinėse sistemose, darbuotojų kompiuteriuose.
13. VTEK asmens duomenis valstybės registruose, informacinėse sistemose tvarko atitinkamo registro, informacinės sistemos nuostatų nustatyta tvarka.
14. Asmens duomenys teisės aktų nustatyta tvarka renkami tiesiogiai iš duomenų subjekto, iš valstybės, savivaldos institucijų ir įstaigų, kitų juridinių ir fizinių asmenų, turinčių teisę juos pateikti Komisijai, viešų informacijos šaltinių.
15. VTEK asmens duomenis tikslina, taiso ir atnaujina savo arba asmens, kurio duomenys yra tvarkomi, iniciatyva. Savo iniciatyva VTEK turi teisę tikslinti, taisyti ir atnaujinti asmens duomenis tada, kai gaunama informacija apie pasikeitusius asmens duomenis, išskyrus privačių interesų deklaracijų duomenis, kuriuos teisės aktų nustatyta tvarka gali tikslinti, taisyti ar atnaujinti tik pats asmens duomenų subjektas. Duomenų subjekto prašymai dėl asmens duomenų patikslinimo, ištaisymo ar atnaujinimo nagrinėjami Duomenų subjektų teisių įgyvendinimo VTEK tvarkos aprašo, kurį tvirtina Komisijos pirmininkas, nustatyta tvarka.
16. Asmens duomenys taisomi, tikslinami ar atnaujinami pagal asmens duomenis patvirtinančius dokumentus, nustačius asmens tapatybę.
17. Apie atliktą asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą VTEK teisės aktuose nustatytais terminais (o jei tokie terminai nenustatyti – per 20 darbo dienų nuo šių veiksmų atlikimo dienos) praneša duomenų gavėjams, nebent to padaryti neįmanoma arba tai pareikalautų neproporcingų pastangų.
18. Už asmens duomenų taisymą, tikslinimą, atnaujinimą yra atsakingas Komisijos pirmininko įgaliotas asmuo.
19. Aprašo 8 punkte nurodytais tikslais konkrečiu atveju asmens duomenų tvarkoma tik tiek, kiek yra būtina nustatytiems tikslams pasiekti.
20. Jeigu VTEK tvarkoma informacija turi būti skelbiama viešai ir joje yra viešai neskelbtinų duomenų (valstybės, tarnybos, profesinių, komercinių, banko, kitų teisės aktais saugomų paslapčių ir kt.) ar viešai neskelbtinų asmens duomenų (fizinių asmenų asmens kodų, gyvenamųjų vietų adresų, gimimo datų ir vietų, valstybinių automobilių numerių, banko sąskaitų numerių ir kt.), parengiama viešai skelbtina teksto versija, kurioje viešai neskelbtini asmens duomenys pašalinami, o pašalintų duomenų vietoje pasviruoju šriftu skliaustuose įrašoma: „(duomenys neskelbtini)“.
V SKYRIUS
ASMENS DUOMENŲ TEIKIMAS
22. Asmens duomenys tretiesiems asmenims teikiami tik esant asmens duomenų teikimo teisiniam pagrindui ir įvertinus asmens duomenų teikimo tikslą ir teikiamų asmens duomenų apimtį.
23. Asmens duomenys, vadovaujantis BDAR ir kitais teisės aktais, gali būti teikiami tretiesiems asmenims, kuriems teikti asmens duomenis VTEK įpareigoja įstatymai ar kiti teisės aktai, arba kai tai yra būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.
24. Asmens duomenys tretiesiems asmenims teikiami pagal asmens duomenų teikimo sutartį (daugkartinio teikimo atveju) arba pagal prašymą (vienkartinio teikimo atveju).
25. Jeigu asmens duomenys tretiesiems asmenims teikiami pagal sutartį, sutartyje turi būti nurodytas teikiamų asmens duomenų:
26. Jeigu asmens duomenys teikiami pagal prašymą, prašyme turi būti nurodytas prašomų pateikti asmens duomenų:
27. VTEK gali pasitelkti duomenų tvarkytojus – techninės ir programinės įrangos kūrimo, palaikymo ir priežiūros, duomenų centrų, debesijos, ryšio, interneto svetainės administravimo, dokumentų archyvavimo, audito, konsultacines, turto priežiūros, aptarnavimo, ir kitas paslaugas teikiančius paslaugų teikėjus, kuriems teikiami asmens duomenys arba sudaroma galimybė susipažinti su asmens duomenimis.
28. Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik VTEK vardu, pagal VTEK nurodymus ir tik tiek, kiek tai būtina siekiant tinkamai vykdyti paslaugų teikimo sutartyje nustatytus įsipareigojimus. Nuostatos, susijusios su asmens duomenų tvarkymu ir apsauga, įtraukiamos į sutartis, sudaromas su duomenų tvarkytojais.
VI SKYRIUS
DUOMENŲ SAUGOJIMO IR SUNAIKINIMO TVARKA
29. VTEK tvarkomi asmens duomenys saugomi tarnybinėse stotyse, valstybės registruose ir informacinėse sistemose, darbuotojų kompiuteriuose, darbuotojų asmens bylose ir kitose susistemintose rinkmenose pagal poreikį.
30. Dokumentų saugojimo terminus ir tvarką reglamentuoja Lietuvos Respublikos dokumentų ir archyvų įstatymas, Bendrųjų dokumentų saugojimo terminų rodyklė, patvirtinta Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“, kiti teisės aktai ir kiekvienais metais tvirtinami VTEK dokumentacijos planai.
31. Dokumentus, kuriuose yra asmens duomenų, saugo VTEK padaliniai dokumentacijos plane nurodytą terminą. Pasibaigus dokumentacijos plane nustatytam saugojimo terminui, dokumentai, kuriuose yra asmens duomenų, sunaikinami arba gali būti perduodami saugoti valstybės archyvui.
32. Automatiniu būdu tvarkomi asmens duomenys saugomi dokumentacijos plane, vidaus teisės aktuose nustatytais terminais. Pasibaigus asmens duomenų saugojimo terminui arba kai asmens duomenys tampa nebereikalingi tikslams, kuriems buvo tvarkomi, pasiekti, teisės aktų nustatyta tvarka perduodami valstybės archyvui arba sunaikinami.
33. Asmens duomenys turi būti sunaikinti taip, kad jų nebūtų galima atkurti arba nuasmeninami ar pakeičiami taip, kad duomenų subjekto tapatybės nebūtų galima nustatyti nei tiesiogiai, nei netiesiogiai.
34. Už asmens duomenų, esančių rankiniu būdu tvarkomose susistemintose rinkmenose, sunaikinimą atsakingi dokumentacijos plane nurodyti asmenys.
35. Už asmens duomenų, tvarkomų registruose, informacinėse sistemose ir duomenų bazėse sunaikinimą atsakingas Komisijos pirmininko įgaliotas VTEK darbuotojas arba asmens duomenų tvarkytojas pagal sutartį.
VII SKYRIUS
REIKALAVIMAI VTEK DARBUOTOJAMS, TVARKANTIEMS ASMENS DUOMENIS
37. VTEK užtikrina, kad asmens duomenis tvarkytų ar su jais susipažinti galėtų tik tie darbuotojai, kuriems tokie duomenys yra reikalingi jų funkcijoms, apibrėžtoms pareigybių aprašymuose arba teisės aktuose vykdyti, pavestoms užduotims atlikti.
38. Darbuotojai su tvarkomais asmens duomenimis gali atlikti tik tuos veiksmus, kuriems atlikti yra suteiktos teisės.
39. VTEK darbuotojai, tvarkantys asmens duomenis, privalo:
39.1. laikytis su asmens duomenų tvarkymu susijusių principų ir saugumo reikalavimų, įtvirtintų BDAR, šiame Apraše ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą ir privatumo apsaugą;
39.2. laikytis konfidencialumo principo, pasirašyti Aprašo priede nustatytos formos konfidencialumo pasižadėjimą ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami funkcijas, nebent tokia informacija yra vieša pagal galiojančių teisės aktų reikalavimus. Prievolė saugoti asmens duomenų paslaptį galioja ir perėjus dirbti į kitas pareigas arba pasibaigus tarnybos ar darbo santykiams. Pasirašytas konfidencialumo pasižadėjimas saugomas darbuotojo asmens byloje;
39.3. neatskleisti, neperduoti ar kitu būdu nesudaryti galimybės naudotis ir (ar) susipažinti su asmens duomenimis nė vienam asmeniui, kuriam tokia teisė nėra suteikta teisės aktais, arba nėra pavesta dirbti ir (ar) susipažinti su asmens duomenimis Komisijoje ar už jos ribų;
39.5. saugoti dokumentus ir duomenų rinkmenas tinkamai ir saugiai, vengti daryti nereikalingas kopijas; dokumentų kopijos, kuriose yra asmens duomenų, taip pat į atskiras VTEK bylas nesegami ir nearchyvuojami dokumentai ir (ar) jų kopijos, kuriuose yra asmens duomenų, turi būti sunaikintos taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio. Šiam tikslui Komisijos darbuotojai privalo naudotis dokumentų naikinimui skirtais smulkintuvais. Kiti dokumentų ir (ar) jų kopijų, kuriuose yra asmens duomenų, naikinimo būdai gali būti pasirenkami tik nesant objektyvių galimybių naudotis VTEK esančiais dokumentų naikinimui skirtais smulkintuvais;
39.6. rengiant įvairių VTEK raštų, sprendimų bei kitų dokumentų projektus vengti perteklinių duomenų apie fizinius asmenis, įskaitant ekonominio pobūdžio asmens duomenų, naudojimo, jei to nereikalauja įstatymas ar kitos su konkretaus dokumento rengimu susijusios aplinkybės;
39.7. jei yra būtina naudoti neviešus asmens duomenis viešai skelbiamame dokumente, tokiais atvejais turi būti daromas nuasmenintas dokumento išrašas ir dokumento išrašo pirmojo lapo viršuje dešiniajame kampe turi būti užrašyta „Nuasmenintas dokumento išrašas“;
39.8. draudžiama darbo vietoje bet kokiomis priemonėmis fiksuoti asmens duomenis ir platinti juos viešai bet kokiais būdais (žodžiu, socialiniuose tinkluose ir t.t.), jei toks duomenų tvarkymas neatitinka tvarkymo teisėtumo kriterijų, įtvirtintų BDAR 6 straipsnyje;
39.9. asmens duomenis elektroninėmis ryšio perdavimo priemonėmis siųsti tik užtikrinant perduodamų asmens duomenų konfidencialumą ir vientisumą;
VIII SKYRIUS
ORGANIZACINIŲ IR TECHNINIŲ ASMENS DUOMENŲ SAUGUMO PRIEMONIŲ NAUDOJIMAS IR ATSAKOMYBĖ
40. VTEK, tvarkydama asmens duomenis, įgyvendina ir užtikrina tinkamas organizacines ir technines priemones, skirtas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.
41. VTEK užtikrina:
41.1. nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą;
41.2. gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju;
42. Tvarkomų asmens duomenų saugumas užtikrinamas vadovaujantis BDAR 32 straipsniu, Lietuvos standartais LST ISO/IEC 27001 ir LST ISO/IEC 27002, Valstybinės duomenų apsaugos inspekcijos 2018 m. spalio 31 d. Tinkamų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimo gairėmis asmens duomenų valdytojams ir tvarkytojams, vidaus teisės aktais.
43. Už asmens duomenų saugumą atsako Komisijos pirmininkas, darbuotojai, paslaugų teikėjai, vykdantys techninės ir programinės įrangos priežiūrą, remontą ir administravimą, teikiantys kitas paslaugas.
44. Komisijos pirmininkas atsako už vidaus teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, tvirtinimą, įgaliojimų tvarkyti asmens duomenis darbuotojams suteikimą, sprendimų dėl žmogiškųjų, finansinių ir kitų išteklių, būtinų tinkamam BDAR nuostatų įgyvendinimui ir asmens duomenų saugumui užtikrinti, priėmimą.
45. VTEK darbuotojai atsako už pareigų, susijusių su asmens duomenų tvarkymu, nevykdymą ar netinkamą vykdymą, teisės aktų ir vidaus dokumentų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą neįgyvendinimą ar netinkamą įgyvendinimą.
IX SKYRIUS
DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI
48. VTEK yra pildomi duomenų tvarkymo veiklos įrašai, tvarkant asmens duomenis kaip duomenų valdytojui ir kaip duomenų tvarkytojui. Duomenų tvarkymo veiklos įrašai pildomi Duomenų tvarkymo veiklos įrašų tvarkymo VTEK tvarkos aprašo nustatyta tvarka, kurią tvirtina Komisijos pirmininkas.
X SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO IR REAGAVIMO Į ŠIUOS PAŽEIDIMUS TVARKA
XI SKYRIUS
POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS
51. BDAR 35 straipsnio ir Valstybinės duomenų apsaugos inspekcijos nustatytais atvejais VTEK yra atliekamas poveikio duomenų apsaugai vertinimas (toliau – PDAV).
52. Poreikis atlikti PDAV nustatomas ir, jeigu reikia, PDAV atliekamas prieš pradedant asmens duomenų tvarkymą ir (ar) prieš priimant sprendimą įdiegti naujas asmens duomenų tvarkymo priemones.
53. PDAV atlieka Komisijos pirmininko paskirti VTEK darbuotojai arba asmenys pagal paslaugų teikimo sutartį.
54. Atlikus PDAV, surašoma ataskaita, kurioje pateikiama BDAR 35 straipsnio 7 dalyje nurodyta informacija. PDAV ataskaita saugoma teisės aktų nustatyta tvarka.
XII SKYRIUS
DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO TVARKA
57. Duomenų subjekto teisės įgyvendinamos vadovaujantis BDAR ir Duomenų subjektų teisių įgyvendinimo VTEK tvarkos aprašu, patvirtintu Komisijos pirmininko.
XIII SKYRIUS
DUOMENŲ APSAUGOS PAREIGŪNAS
59. Komisijoje BDAR nustatyta tvarka paskiriamas duomenų apsaugos pareigūnas (toliau – Pareigūnas). Apie Pareigūno paskyrimą VTEK praneša Valstybinei duomenų apsaugos inspekcijai.
61. Pareigūnas yra tiesiogiai pavaldus ir atskaitingas VTEK pirmininkui. VTEK užtikrina Pareigūnui garantijas, įtvirtintas BDAR 38 straipsnyje.
62. Pareigūno funkcijoms atlikti ir bendrauti su šiuo pareigūnu sukuriama tam skirta elektroninio pašto dėžutė, kurios adresas skelbiamas VTEK interneto svetainėje.
63. VTEK darbuotojai privalo bendradarbiauti su Pareigūnu ir teikti jam informaciją apie vykdomą asmens duomenų tvarkymą, sudaryti sąlygas Pareigūnui stebėti asmens duomenų tvarkymą.
64. VTEK darbuotojai, tvarkantys asmens duomenis ar organizuojantys jų tvarkymą, siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam duomenų tvarkymui, privalo konsultuotis su Pareigūnu ir gauti jo nuomonę:
64.2. tobulinant esamas ar diegiant naujas su asmens duomenų tvarkymu susijusias sistemas ar programas;
64.6. sprendžiant dėl asmens duomenų teikimo tretiesiems asmenims, jeigu toks teikimas nėra numatytas asmens duomenų teikimo sutartyje ar nėra reglamentuotas teisės aktuose;
65. VTEK darbuotojai turi teisę kreiptis į Pareigūną ir kitais atvejais, jeigu mano, kad jo nuomonė yra reikalinga.
66. Priimant sprendimus Aprašo 64 punkte nurodytais atvejais, Pareigūno nuomonę rekomenduojama gauti raštu. Jeigu priimant šiuos sprendimus į Pareigūno nuomonę visiškai ar iš dalies neatsižvelgiama, neatsižvelgimo motyvai išdėstomi raštu.
XIV. BAIGIAMOSIOS NUOSTATOS
70. Už Aprašo laikymosi priežiūrą ir kontrolę atsakingas Komisijos pirmininkas ir VTEK padalinių vadovai, kurie turi kontroliuoti, kaip darbuotojai tvarko asmens duomenis, nedelsiant imtis atitinkamų organizacinių priemonių (leidžiami įsakymai, nurodymai, rekomendacijos) pašalinti asmens duomenų tvarkymo pažeidimus, kad būtų įgyvendintos duomenų valdytojui priskirtos prievolės (pavyzdžiui, įpareigojant nutraukti neteisėtus ar asmens duomenų apsaugos reikalavimus pažeidžiančius duomenų tvarkymo veiksmus, nustatyta tvarka užslaptinti asmens duomenis, sunaikinti dokumentų, kuriuose yra nurodyti asmens duomenys, kopijas ir pan.).
71. Asmuo, pastebėjęs, kad VTEK darbuotojas galimai pažeidė Aprašo, BDAR (ES) 2016/679, kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, reikalavimus, privalo nedelsdamas apie tai pranešti Komisijos pirmininkui arba šio darbuotojo padalinio vadovui bei Pareigūnui.
72. Darbuotojams, pažeidusiems Aprašo, BDAR, kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, reikalavimus, gali būti taikoma įstatymuose numatyta atsakomybė.
73. Aprašas peržiūrimas ir esant reikalui atnaujinamas įvykus esminiams organizaciniams, sisteminiams ar kitiems asmens duomenų tvarkymo ir (ar) veiklos pokyčiams arba pasikeitus teisės aktų reikalavimams, bet ne rečiau kaip kartą per metus.
Asmens duomenų tvarkymo Vyriausiojoje
tarnybinės etikos komisijoje tvarkos aprašo
priedas
VYRIAUSIOJI TARNYBINĖS ETIKOS KOMISIJA
Įsipareigojimas saugoti asmens duomenų paslaptį
Aš __________________________________________________________________________
(pareigos, vardas, pavardė)
Suprantu, kad:
- savo darbe tvarkysiu asmenis duomenis, kurie negali būti atskleisti ar perduoti neįgaliotiems asmenims ar institucijoms;
- draudžiama perduoti neįgaliotiems asmenims slaptažodžius ir kitus duomenis, leidžiančius programinėmis ir techninėmis priemonėmis sužinoti asmens duomenis ar kitaip sudaryti sąlygas susipažinti su asmens duomenimis;
- netinkamas asmens duomenų tvarkymas gali užtraukti atsakomybę pagal Lietuvos Respublikos įstatymus.
Įsipareigoju:
- saugoti asmens duomenų paslaptį;
- tvarkyti asmens duomenis tik tiek, kiek reikia ir tik tokia apimtimi, kokia reikia, vadovaudamasis Lietuvos Respublikos įstatymais ir kitais teisės aktais, taip pat pareiginiais nuostatais ir taisyklėmis, reglamentuojančiomis man patikėtas asmens duomenų tvarkymo funkcijas;
- -asmens duomenų nenaudoti savo ar savo šeimos narių, giminaičių, draugų asmeniniais tikslais ir interesais;
- neatskleisti, neperduoti tvarkomos informacijos ir nesudaryti sąlygų įvairiomis priemonėmis su ja susipažinti nei vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija, tiek įstaigos viduje, tiek už jos ribų;
- pranešti savo vadovui ir duomenų apsaugos pareigūnui apie kiekvieną įtartiną situaciją, kuri gali kelti grėsmę asmens duomenų saugumui.
Žinau, kad:
- už šio įsipareigojimo nesilaikymą ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo pažeidimą turėsiu atsakyti pagal galiojančius Lietuvos Respublikos įstatymus;
- asmuo, patyręs žalą dėl neteisėto asmens duomenų tvarkymo arba kitų duomenų valdytojo ar duomenų tvarkytojo veiksmų ar neveikimo, turi teisę reikalauti atlyginti jam padarytą turtinę ar neturtinę žalą;
- duomenų valdytojas, duomenų tvarkytojas ar kitas asmuo, atlygina asmeniui padarytą žalą, o patirtą nuostolį gali išreikalauti įstatymų nustatyta tvarka iš asmens duomenis tvarkančio darbuotojo, dėl kurio kaltės atsirado ši žala;
- šis įsipareigojimas galios visą mano darbo laiką šioje įstaigoje ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo santykiams.
Aš esu susipažinęs (-usi) su 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Asmens duomenų tvarkymo Vyriausiojoje tarnybinės etikos komisijoje tvarkos aprašu, Duomenų subjektų teisių įgyvendinimo VTEK tvarkos aprašu, kitais vidaus teisės aktais, reglamentuojančiais asmens duomenų apsaugą.
_____________________________________________________________________________
(vardas, pavardė, parašas, data)