PATVIRTINTA

Kėdainių rajono savivaldybės administracijos

direktoriaus 2019 m. gruodžio 30 d. įsakymu

Nr. AD-1-1477

KĖDAINIŲ RAJONO SAVIVALDYBĖS ADMINISTRACIJOS ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Kėdainių rajono savivaldybės administracijos asmens duomenų tvarkymo taisyklės (toliau – Taisyklės) reglamentuoja Kėdainių rajono savivaldybės administracijos (toliau – Administracija) asmens duomenų tvarkymo ir apsaugos reikalavimus, asmens duomenų tvarkymo principus, įtvirtina organizacines ir technines duomenų apsaugos priemones, asmens duomenų saugumo pažeidimų valdymo, poveikio duomenų apsaugai atlikimo tvarką.

2. Administracijos informacinėse sistemose, kompiuterinėse ir popierinėse laikmenose, neautomatiniu būdu susistemintose rinkmenose ir (arba) automatiniu būdu tvarkomi duomenų subjektų asmens duomenys, kurių tvarkymo tikslai, pagrindas ir baigtinis tvarkomų asmens duomenų sąrašas numatyti Lietuvos Respublikos teisės aktuose, reglamentuojančiuose vietos savivaldos funkcijas ir Administracijos duomenų tvarkymo veiklos įrašuose bei kituose teisės aktuose.

3. Asmens duomenų valdytoja ir tvarkytoja – Kėdainių rajono savivaldybės administracija, juridinio asmens kodas 188768545, buveinės adresas Kėdainiai, J. Basanavičiaus g. 36. Administracijos duomenų tvarkytojais gali būti ir kiti fiziniai ir juridiniai asmenys, kuriems šių duomenų tvarkymas pavedamas duomenų tvarkymo sutartimi ar kitu dokumentu. Administracija asmens duomenis tvarko šiais tikslais:

3.1. Administracijos funkcijų, paslaugų, įsipareigojimų ir sutarčių vykdymo tikslu, arba siekiant imtis veiksmų prieš sudarant sutartį;

3.2. kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;

3.3. siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų;

3.4. siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas.

4. Asmens duomenys, atsižvelgiant į konkrečias situacijas, Administracijoje gali būti tvarkomi vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR) 6 straipsnio 1 dalies a, b, c, d, e, f punktais.

5. Administracija, vykdydama asmens duomenų tvarkymą, vadovaujasi BDAR, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose, susijusiuose su asmens duomenų tvarkymu ir apsauga, įtvirtintais asmens duomenų tvarkymo reikalavimais.

6. Administracijos direktoriaus įsakymu asmens duomenų apsaugos pareigūnu
(toliau – pareigūnas) skiriamas vienas iš Administracijos darbuotojų arba asmuo, su kuriuo būtų sudaroma paslaugų teikimo sutartis. Duomenų apsaugos pareigūnas yra nepriklausomas Administracijos patarėjas asmens duomenų apsaugos klausimais. Duomenų subjektai gali kreiptis į pareigūną visais klausimais, susijusiais jų asmens duomenų tvarkymu ir naudojimusi savo teisėmis pagal BDAR.

7. Šių Taisyklių privalo laikytis visi Administracijoje dirbantys darbuotojai ir kiti asmenys, kurie tvarko Administracijoje esančius asmens duomenis arba eidami savo pareigas juos sužino. Prieiga prie asmens duomenų gali būti suteikiama tik tiems Administracijos darbuotojams ir asmenims, kuriems asmens duomenys yra reikalingi jų pareigybių aprašymuose nustatytoms funkcijoms vykdyti.

8. Šių Taisyklių taip pat privalo laikytis ir duomenų tvarkytojai, kurie teikdami Administracijai duomenų tvarkymo paslaugas sužino ir tvarko asmens duomenis.

II SKYRIUS

PAGRINDINĖS SĄVOKOS

9. Šiose Taisyklėse vartojamos sąvokos:

9.1. asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima tiesiogiai arba netiesiogiai nustatyti visų pirma pagal identifikatorių, pvz., vardą ir pavardę, asmens kodą, buvimo vietos duomenis ir interneto identifikatorių, arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

9.2. darbuotojai – Administracijos valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis;

9.3. duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne;

9.4. duomenų subjektas – darbuotojai, interesantai ir kiti fiziniai asmenys, kurių duomenis tvarko Kėdainių rajono savivaldybės administracija;

9.5. duomenų teikimas – asmens duomenų atskleidimas perduodant ar kitu būdu padarant juos prieinamus (išskyrus paskelbimą visuomenės informavimo priemonėse);

9.6. duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

9.7. duomenų tvarkytojas – subjektai, kurie tvarko Kėdainių rajono savivaldybės administracijos valdomus asmens duomenis pagal Kėdainių rajono savivaldybės administracijos nurodymus ir vadovaujasi sudarytomis paslaugų sutartimis, bei kiti subjektai, turintys prieigą prie Administracijos duomenų;

9.8. duomenų valdytojas – Kėdainių rajono savivaldybės administracija, kuri, tvarkydama interesantų, darbuotojų, kitų fizinių asmenų duomenis, nustato tų duomenų naudojimo būdus, priemones ir tikslus;

9.9. vidaus administravimas – veikla, kuria užtikrinamas duomenų valdytojo savarankiškas funkcionavimas (struktūros tvarkymas, personalo valdymas, finansinių išteklių valdymas ir naudojimas, raštvedybos tvarkymas).

10. Kitos Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos BDAR.

III. ASMENS DUOMENŲ TVARKYMO PRINCIPAI

11. Administracija tvarkydama asmens duomenis vadovaujasi BDAR įtvirtintais, su asmens duomenų tvarkymu susijusiais principais:

11.1. teisingumo ir sąžiningumo principu – asmens duomenys duomenų subjekto atžvilgiu turi būti tvarkomi teisėtu ir sąžiningu būdu;

11.2. skaidrumo principu – informacija ir pranešimai, susiję su tų asmens duomenų tvarkymu, turi būti lengvai prieinami ir suprantami, pateikiami aiškia ir paprasta kalba;

11.3. tikslo apribojimo principu – asmens duomenys turi būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu;

11.4. duomenų kiekio mažinimo principu – asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi;

11.5. tikslumo principu – asmens duomenys turi būti tikslūs ir prireikus atnaujinami;

11.6. saugojimo trukmės apribojimo principu – asmens duomenys turi būti laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;

11.7. vientisumo ir konfidencialumo principu – asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;

11.8. atskaitomybės principu – Administracija yra atsakinga už tai, kad būtų užtikrintas tinkamas asmens duomenų saugumas, asmens duomenys būtų tvarkomi teisėtai, būtų užtikrinamos duomenų subjektų teisės.

IV SKYRIUS

ASMENS DUOMENŲ TVARKYMAS IR SAUGOJIMAS

12. Asmens duomenys Administracijoje tvarkomi automatiniu ir neautomatiniu būdu.

13. Prieiga prie asmens duomenų suteikiama tik tiems Administracijos darbuotojams, kuriems tokie duomenys yra reikalingi jų funkcijoms ir pavedimams atlikti.

14. Su asmens duomenimis galima atlikti tik tuos veiksmus, kuriuos atlikti Administracijos darbuotojams yra suteiktos teisės.

15. Dokumentai, kuriuose yra asmens duomenys, tvarkomi, įtraukiami į apskaitą, viešinami ir saugomi vadovaujantis dokumentų valdymą reglamentuojančiais teisės aktais.

16. Administracijos padaliniai, įgyvendindami savarankiškąsias ir valstybines (valstybės perduotas savivaldybėms) funkcijas, asmens duomenis pagal kompetenciją tvarko teikiamoms administracinėms funkcijoms vykdyti ir viešosioms paslaugoms teikti, vidaus administravimo funkcijoms atlikti, Administracijos teikiamų paslaugų kokybei užtikrinti ir kitais teisėtais tikslais, numatytais teisės aktuose.

17. Administracijoje tvarkomų asmens duomenų sąrašas ir tikslai detalizuojami Administracijos asmens duomenų tvarkymo veiklos įrašuose (3 priedas) ir kituose Administracijos dokumentuose.

18. Darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo:

18.1. asmens duomenis tvarkyti teisėtai, sąžiningai ir skaidriai;

18.2. asmens duomenis rinkti nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau jų netvarkyti su tais tikslais nesuderinamu būdu;

18.3. rinkdami ir tvarkydami asmens duomenis laikytis tikslingumo, proporcingumo ir duomenų kiekio mažinimo principų, t. y. nereikalauti iš interesantų pateikti tų duomenų, kurie nėra būtini Administracijos funkcijoms vykdyti, nekaupti ir netvarkyti perteklinių duomenų ir duomenų, kurie nėra būtini atitinkamiems tikslams pasiekti;

18.4. užtikrinti asmens duomenų tikslumą ir, jei reikia dėl asmens duomenų tvarkymo, juos atnaujinti; netikslius ar neišsamius duomenis ištaisyti, papildyti, sunaikinti arba jų tvarkymą sustabdyti;

18.5. asmens duomenis saugoti teisės aktų ir šių Taisyklių nustatyta tvarka;

18.6. asmens duomenis tvarkyti tokiu būdu, kad taikant atitinkamas fizines, technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).

18.7. Informuoti duomenų subjektus apie asmens duomenų tvarkymą (6 priedas).

19. Asmens duomenų saugojimo terminus ir veiksmus, kurie atliekami pasibaigus šiam terminui, nustato teisės aktai, reglamentuojantys duomenų tvarkymą ir dokumentų saugojimą. Asmens duomenys saugomi ne ilgiau, negu to reikalauja teisės aktai ir duomenų tvarkymo tikslai. Konkretūs dokumentų (duomenų) saugojimo terminai nustatyti einamųjų metų Administracijos direktoriaus patvirtintame dokumentacijos plane. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams įgyvendinti, jie yra perduodami į Administracijos archyvą arba valstybės archyvą arba sunaikinami, išskyrus tuos asmens duomenis, kurie įstatymų nustatyta tvarka turi būti perduodami į valstybės archyvą.

V SKYRIUS

DUOMENŲ TEIKIMAS

20. Administracija teikia asmens duomenis duomenų gavėjams: tretiesiems asmenims ir duomenų tvarkytojams.

21. Asmens duomenys tretiesiems asmenims teikiami tik esant asmens duomenų teikimo teisiniam pagrindui ir įvertinus asmens duomenų teikimo tikslą ir teikiamų asmens duomenų apimtį.

22. Asmens duomenys, vadovaujantis BDAR ir kitais teisės aktais, gali būti teikiami tretiesiems asmenims, kuriems teikti asmens duomenis Administracijai įpareigoja įstatymai ar kiti teisės aktai, arba kai tai yra būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.

23. Asmens duomenys tretiesiems asmenims teikiami pagal asmens duomenų teikimo (tvarkymo) sutartį (daugkartinio teikimo atveju) arba pagal prašymą (vienkartinio teikimo atveju).

24. Jeigu asmens duomenys tretiesiems asmenims teikiami pagal sutartį, sutartyje turi būti informacija, nurodyta Taisyklių VIII skyriuje.

25. Jeigu asmens duomenys teikiami pagal prašymą, prašyme turi būti nurodytas prašomų pateikti asmens duomenų:

25.1. naudojimo tikslas;

25.2. teikimo ar (ir) gavimo teisinis pagrindas;

25.3. apimtis.

26. Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik Administracijos vardu, pagal Administracijos nurodymus ir tik tiek, kiek tai būtina siekiant tinkamai vykdyti paslaugų teikimo sutartyje nustatytus įsipareigojimus. Nuostatos, susijusios su asmens duomenų tvarkymu ir apsauga, įtraukiamos į sutartis, sudaromas su duomenų tvarkytojais.

VI SKYRIUS

POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS

27. Poveikio duomenų apsaugai vertinimas (toliau – PDAV) atliekamas šiais atvejais:

27.1. kai duomenų tvarkymo operacija yra įtraukta į Valstybinės duomenų apsaugos inspekcijos (toliau – VDAI) sudarytą duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti PDAV, sąrašą;

27.2. kai planuojama rinkti arba kitaip tvarkyti naujus asmens duomenis ir dėl asmens duomenų tvarkymo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms;

27.3. kai keičiasi jau tvarkomų asmens duomenų tvarkymo procesas (būdas, tikslas ir pan.) arba aplinka (pavyzdžiui, diegiama nauja informacinių technologijų sistema, teikiama nauja paslauga, atsiranda naujas procesas, naujos rizikos, susijusios su įvykdytomis kibernetinėmis atakomis ir pan.) ir dėl asmens duomenų tvarkymo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms.

28. Poveikio duomenų apsaugai vertinimas taip pat gali būti atliekamas ir šiame skyriuje neaptartais atvejais, bet esant Administracijos direktoriaus, pareigūno ar VDAI rekomendacijai tai atlikti.

29. Administracija, esant poreikiui, atlikdama poveikio duomenų apsaugai vertinimą konsultuojasi su Administracijos duomenų tvarkytoju.

30. Administracija privalo užtikrinti, kad šiame skyriuje aprašytas ir Administracijos numatytais atvejais atliekamas poveikio duomenų apsaugai vertinimas būtų tinkamai dokumentuotas ir saugomas. Poveikio duomenų apsaugai vertinimo procedūra nustatyta šių Taisyklių 1 priede.

31. Jei Administracija, atlikdama poveikio duomenų apsaugai vertinimą, nustatytų, kad duomenų subjektų teisėms ir laisvėms gali kilti aukšto lygio pavojus, ji privalo konsultuotis su VDAI dėl tinkamų saugumo ir kitų priemonių įgyvendinimo.

VII SKYRIUS

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMAS

32. Asmens duomenų saugumo pažeidimu yra laikomas bet kuris tyčinis ar neatsargus asmens duomenų apsaugos pažeidimas, kai:

32.1. sunaikinami, prarandami arba pakeičiami asmens duomenys;

32.2. be leidimo atskleidžiami asmens duomenys darbuotojams, trečiosioms šalims, neturintiems teisės tvarkyti asmens duomenų;

32.3. be leidimo asmenys, įskaitant ir Administracijos darbuotojus, neturintys tam teisės, gautų prieigą prie asmens duomenų.

33. Jei dėl įvykdyto asmens duomenų saugumo pažeidimo kyla galimas pavojus duomenų subjektų teisėms ir laisvėms, kurio neįmanoma pašalinti imantis atitinkamų saugumo pažeidimo pašalinimo priemonių, pareigūnas privalo nedelsdamas, bet ne vėliau kaip per 72 valandas nuo pažeidimo paaiškėjimo dienos pranešti VDAI apie įvykusį duomenų saugumo pažeidimą. Jeigu VDAI apie asmens duomenų saugumo pažeidimą nepranešama per 72 valandas, pranešime turi būti nurodytos vėlavimo priežastys.

34. Kilus ypač dideliam pavojui duomenų subjektų teisėms ir laisvėms, pavyzdžiui, kai dėl įvykusio saugumo gali kilti realus arba labai tikėtinas duomenų subjekto kūno sužalojimas, turtinė ar neturtinė žala, diskriminacija, pavogta ir suklastota tapatybė, pakenkta reputacijai, panaikinti pseudonimai, prarasta galimybė naudotis savo teisėmis, užkirstas kelias kontroliuoti savo duomenis ir pan., informacija apie įvykusį saugumo pažeidimą nedelsiant taip pat turi būti pateikta ir duomenų subjektams.

35. Nesant galimybės informuoti visų duomenų subjektų dėl jų didelio skaičiaus ar kitų priežasčių, pareigūnas kartu su Administracijos direktoriumi apsvarsto ir priima sprendimą šią informaciją pateikti per visuomenės informavimo priemones (spauda, televizija, kt.).

36. Šių Taisyklių 33 p. nurodytame pranešime dėl įvykusio asmens duomenų saugumo pažeidimo duomenų subjektams privalo būti trumpai aprašytas asmens duomenų saugumo pažeidimo pobūdis, nurodant apytikslį duomenų subjektų skaičių, kurios asmens teisės ir laisvės galėjo būti pažeistos, pareigūno kontaktus, trumpai aprašytos tikėtinos pažeidimo pasekmės bei priemonės, kurių Administracija imasi / imsis, kad būtų pašalintos neigiamos pasekmės, susijusios su įvykusiu duomenų saugumo pažeidimu.

37. Nustatydamas, ar būtina vykdyti informavimo pareigą, aptartą šių Taisyklių 33 ir 34 punktuose, pareigūnas privalo įvertinti, ar dėl įvykusio incidento:

37.1. įvyko konfidencialumo pažeidimas (pavyzdžiui, atskleisti duomenys ir jie tapo prieinami trečiosioms šalims ar Administracijos darbuotojams, neturintiems teisės tvarkyti asmens duomenų, suteikiant prieigą, tinkamai nešifruojant, kt.);

37.2. įvyko duomenų pasiekiamumo pažeidimas (pavyzdžiui, prarasti duomenys ir neturima atsarginių kopijų);

37.3. įvyko duomenų vientisumo pažeidimas (pavyzdžiui, kai yra neteisėtas ar netyčinis asmens duomenų praradimas).

38. Jei pareigūnas nustato, kad yra bent vienas iš šių Taisyklių 37.1–37.3 papunkčiuose numatytų pažeidimų, jis nedelsdamas vykdo informavimo pareigą, kaip tai aptarta Taisyklių 33 ir 34 punktuose.

39. Pareigūnas privalo užtikrinti, kad visi asmens duomenų apsaugos pažeidimai, įskaitant ir tuos, dėl kurių nevykdoma informavimo pareiga, kaip aptarta šiame Taisyklių skyriuje, būtų tinkamai dokumentuoti ir saugomi.

40. Įvykus asmens duomenų saugumo pažeidimui, aptartam šiame Taisyklių skyriuje, pareigūnas informuoja Administracijos darbuotojus ir duoda atitinkamas instrukcijas konkretiems darbuotojams dėl jų pareigų, funkcijų vykdymo, susijusio su asmens duomenų saugumo pažeidimo valdymu.

41. Įvykus asmens duomenų saugumo pažeidimui, aptartam šiame Taisyklių skyriuje, pareigūnas, be kitų šiame skyriuje aptartų pareigų, taip pat sudaro prevencinių veiksmų planą, kuriuo būtų siekiama ateityje užkirsti kelią analogiškam ar panašiam duomenų saugumo pažeidimui, ir pateikia jį Administracijos direktoriui, kuris sprendžia dėl veiksmų plano įgyvendinimo. Reagavimo į asmens duomenų saugumo pažeidimo procedūra aptarta Taisyklių 2 priede.

42. Administracijoje vedamas Asmens duomenų saugumo pažeidimų žurnalas (4 priedas).

VIII SKYRIUS

ASMENS DUOMENŲ TVARKYTOJAI

43. Tais atvejais, kai Administracija įgalioja duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp Administracijos ir duomenų tvarkytojo turi būti sudaroma rašytinė asmens duomenų tvarkymo sutartis arba kitoks oficialus dokumentas.

44. Sprendimą perduoti duomenų subjekto duomenų tvarkymą asmens duomenų tvarkytojui priima Administracijos direktorius arba jo įgaliotas asmuo. Administracija parenka duomenų tvarkytoją, kuris užtikrina, kad būtų įgyvendintos tinkamos techninės ir organizacinės duomenų apsaugos priemonės ir užtikrintas tokių priemonių laikymasis.

45. Administracija, sutartimi įgaliodama duomenų tvarkytoją tvarkyti asmens duomenis, nurodo, kad asmens duomenys būtų tvarkomi atsižvelgiant į asmens duomenų tvarkymą reglamentuojančius teisės aktus, Administracijos nurodymus, taip pat nurodoma, kokius asmens duomenų tvarkymo veiksmus privalo atlikti duomenų tvarkytojas Administracijos vardu, duomenų tvarkytojo įsipareigojimai Administracijai, įskaitant įsipareigojimą laikytis BDAR įtvirtintų reikalavimų, duomenų tvarkymo trukmė, pobūdis, asmens duomenų rūšis, duomenų subjektų kategorijos, duomenų tvarkytojo pareiga ištrinti arba grąžinti Administracijai asmens duomenis, jų kopijas, pabaigus Administracijai teikti paslaugas.

46. Administracija, sudarydama sutartį su duomenų tvarkytoju, be kita ko, nurodo, kad duomenų tvarkytojas privalo užtikrinti Administracijos perduodamų tvarkyti duomenų konfidencialumą, o ketindamas tvarkymui pasitelkti trečiuosius asmenis (kitus duomenų tvarkytojus), duomenų tvarkytojas privalo gauti išankstinį rašytinį Administracijos pritarimą bei užtikrinti, kad pasitelktas subtvarkytojas laikytųsi tų pačių reikalavimų, kurie nustatyti tvarkytojui.

47. Susitarimuose su duomenų tvarkytojais turi būti konkrečiai apibrėžta asmens duomenų tvarkymo apimtis, t. y. turi būti nurodyta:

47.1. duomenų tvarkymo dalykas ir trukmė;

47.2. duomenų tvarkymo pobūdis ir tikslas;

47.3. teikimo ar (ir) gavimo teisinis pagrindas, sąlygos ir tvarka;

47.4. perduodami tvarkyti asmens duomenys (jų rūšys) ir duomenų subjektai (jų kategorijos), kurių asmens duomenys perduodami tvarkyti.

48. Bendradarbiavimo su duomenų tvarkytojais sutarčių rengimo, pasirašymo, pakeitimo, atnaujinimo ar nutraukimo procedūras inicijuoja ir jas vykdo Administracijos padalinys, atsakingas už pagrindinės darbų, paslaugų, prekių, duomenų teikimo at bendradarbiavimo sutarties vykdymą. Esant poreikiui inicijuoti bendradarbiavimo su duomenų tvarkytojais sutarčių atnaujinimą, pakeitimą ir (ar) nutraukimą gali ir pareigūnas.

IX SKYRIUS

TECHNINĖS IR ORGANIZACINĖS ASMENS DUOMENŲ TVARKYMO PRIEMONĖS

49. Administracijos darbuotojai privalo laikytis Taisyklių nuostatų ir prisidėti įgyvendinant Administracijos įdiegtas organizacines ir technines priemones, skirtas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto naikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

50. Administracijos darbuotojai turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino eidami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Darbuotojai, tvarkantys asmens duomenis, turintys teisėtas prieigas prie asmens duomenų, privalo pasirašyti Konfidencialumo pasižadėjimą (5 priedas). Pasirašytas pasižadėjimas saugomas asmens byloje.

51. Pareiga saugoti asmens duomenų paslaptį galioja visą darbuotojo darbo laiką, taip pat galioja darbuotoją paskyrus į kitas pareigas bei pasibaigus darbo santykiams.

52. Administracijoje asmens duomenų saugumas užtikrinamas nurodytomis organizacinėmis ir techninėmis duomenų apsaugos priemonėmis:

52.1. užtikrinama prieigos prie asmens duomenų apsauga, valdymas ir kontrolė;

52.2. užtikrinamas tvarkomų asmens duomenų vientisumas – naudojama tik viena failo ar aplanko versija. Jei kai kurie asmens duomenys nukopijuojami ir redaguojami, naudotojas privalo užtikrinti, kad į pradinę asmens duomenų buvimo vietą būtų išsaugota galutinė versija. Visos kitos failo ar aplanko kopijos turi būti pašalinamos;

52.3. prieiga prie asmens duomenų ir Administracijos išteklių suteikiama tik tiems darbuotojams ir valstybės tarnautojams, kurie turi įgaliojimus tvarkyti asmens duomenimis. Darbuotojai ir valstybės tarnautojai, dirbantys su asmens duomenimis, privalo tinkamai tvarkyti asmens duomenis;

52.4. prisijungimų prie Administracijos naudojamų kompiuterių, sistemų, vidinių tinklų, programinės įrangos, paskyrų slaptažodžiams keliami reikalavimai:

52.4.1. naujas slaptažodis turi būti unikalus, sudarytas iš ne mažiau kaip 4 simbolių, iš kurių bent vienas simbolis turi būti skaičius ir bent viena raidė turi būti didžioji;

52.4.2. kuriant slaptažodžio simbolių kombinaciją, draudžiama naudoti asmeninio pobūdžio informaciją.

52.5. naudotojų vardai ir slaptažodžiai yra asmeniniai. Baigus darbą, svarbu atsijungti nuo bet kurio naudoto kompiuterio ir įsitikinti, kad kiti asmenys nepasinaudos asmeniniu naudotojo vardu ir slaptažodžiu. Kiekvienam naujam naudotojui vardą slaptažodį suteikia už IT priežiūrą atsakingas asmuo. Suteiktą slaptažodį esant galimybei būtina nedelsiant pasikeisti;

52.6. savo slaptažodžius ir naudotojo vardus ypatingai saugoti turi Administracijos darbuotojai, dirbantys nuotoliniu būdu;

52.7. Administracijos naudojamų kompiuterių, sistemų, vidinių tinklų, programinės įrangos, paskyrų, kuriuose tvarkomi asmens duomenys, slaptažodžiai turi būti keičiami ne rečiau kaip kartą per šešis mėnesius. Esant vidinio tinklo asmens duomenų saugumo pažeidimui, nedelsiant turi būti keičiami visų Administracijos naudojamų kompiuterių, sistemų, vidinių tinklų, programinės įrangos, paskyrų, kuriuose tvarkomi asmens duomenys, slaptažodžiai. Jei egzistuoja tikimybė, kad konkretaus Administracijos naudojamo kompiuterio, sistemos, vidinio tinklo, programinės įrangos, paskyros slaptažodis buvo atskleistas tretiesiems asmenims arba paviešintas išoriniuose tinkluose, toks slaptažodis turi būti nedelsiant pakeičiamas;

52.8. draudžiama per Administracijos el. pašto paskyras siųsti kenkėjiško, nelegalaus ir kito netinkamo turinio el. laiškus. Jei gaunamas el. laiškas su įtartinu turiniu ar priedais, draudžiama tokį laišką ir jo priedus atidaryti ar išsaugoti. Taip pat draudžiama atidaryti ar naudoti bet kokį el. laišku gautą vykdomąjį failą (.exe, .cmd, .bat, .scr, .com ir t. t.). Visuomet prieš atsakant arba persiunčiant laišką trečiajam asmeniui privaloma patikrinti siunčiamo laiško turinį. El. laiške neturėtų būti likę ankstesni pokalbiai su kitais trečiaisiais asmenimis, trečiajam asmeniui neskirta konfidenciali informacija;

52.9. Administracijos tvarkomų asmens duomenų ar kitos vidinės informacijos paskleidimas socialiniuose tinkluose ir kitomis informacijos sklaidos priemonėmis yra draudžiamas;

52.10. draudžiama interneto naršyklę naudoti ne su darbo funkcijų atlikimu susijusiais tikslais, siųstis muziką, filmus, Administracijoje nelicencijuotą programinę įrangą, kitą medžiagą. Griežtai draudžiama naršyti internete naudojantis kompiuteriais, kurie skirti dirbtinio intelekto, procesų ar kitų gamybinių šaltinių valdymui;

52.11. draudžiama netinkamai naudoti Administracijos darbinius kompiuterius ar juos gadinti. Paprastai naudotojams nesuteikiamos darbiniu kompiuterių administratoriaus teisės. Nešantis darbo kompiuterį namo draudžiama leisti bet kuriam trečiajam asmeniui naudotis namo parsineštu darbo kompiuteriu. Draudžiama darbo kompiuterį palikti matomoje vietoje automobilyje, viešose ir kitose vietose, kuriose kyla grėsmė dėl trečiųjų asmenų prieigos prie darbo kompiuterio. Baigus naudotis darbo kompiuteriu, visuomet privaloma užrakinti jo ekraną. Administracijos naudojamuose kompiuteriuose, kuriuose tvarkomi asmens duomenys, naudojamos tik su darbu ir Administracijos veikla susijusios paskyros;

52.12. draudžiama Administracijos kompiuteriuose naudoti išorines laikmenas, kuriose gali būti kenkėjiškų programų ar virusų (USB, CD-ROM, DVD diskai, išoriniai HDD, SSD ir t. t.);

52.13. visa Administracijos naudojama operacinė sistema ir programinė įranga yra licencijuojama. Visa Administracijos naudojama operacinė sistema ir programinė įranga yra automatiškai atnaujinama licenciją suteikiančios įmonės gamintojos nustatyta tvarka. Administracijos programos yra licencijuojamos tik jų naudojimui Administracijoje, bet ne kitur;

52.14. darbuotojų ar kitų asmenų, nebetvarkančių asmens duomenų Administracijoje, programinės įrangos, vidinių tinklų, sistemų paskyros yra panaikinamos per 2 darbo dienas;

52.15. visuose Administracijos kompiuteriuose yra įdiegta palaikoma licencijuota antivirusinė programinė įranga. Antivirusinė programinė įranga yra kelių tipų: ji apima visus įeinančius/išeinančius el. laiškus, kietuosius diskus (kartą per mėnesį), nuskaitymą realiuoju laiku ir periodinius serverių patikrinimus bei nuolatinį aptikimą ir prevenciją. Bet kokiu atveju draudžiama pašalinti antivirusinę programinę įrangą iš Administracijos kompiuterių ar neleisti jai veikti. Jei antivirusinė programinė įranga yra įdiegta vietinėje laikmenoje, apie tai turi būti tiesiogiai informuotas už IT priežiūrą Administracijoje atsakingas asmuo. Jei kyla įtarimų dėl nesaugaus failo ar laikmenos naudojimo, draudžiama toliau naudoti atitinkamą failą ar laikmeną ir privaloma nedelsiant pranešti už IT priežiūrą Administracijoje atsakingam asmeniui;

52.16. bet koks nebūtinas asmens duomenų srautas yra draudžiamas.

52.17. užtikrinamas patalpų, kuriose saugomi asmens duomenys, saugumas. Tretiesiems asmenims ar neįgaliotiems dirbti su atitinkamais asmens duomenimis darbuotojams ribojamas patekimas į patalpas, kuriose saugomi asmens duomenys;

52.18. užtikrinama asmens duomenų, esančių išorinėse duomenų laikmenose, saugos kontrolė ir ištrynimas;

52.19. užtikrinama, kad informacinių sistemų testavimas Administracijoje nebūtų vykdomas su realiais asmens duomenimis, išskyrus būtinus atvejus, kurių metu būtų naudojamos organizacinės ir techninės asmens duomenų saugumo priemonės, užtikrinančios realių asmens duomenų saugumą;

52.20. asmens duomenys į išorinius tinklus iš Administracijos vidinių tinklų perduodami tik juos pirmiausia užšifravus.

53. Darbuotojai privalo taip organizuoti savo darbą, kad kiek įmanoma apribotų galimybę kitiems asmenims (kitiems darbuotojams ar kitiems tretiesiems asmenims) sužinoti tvarkomus asmens duomenis. Ši nuostata įgyvendinama:

53.1. nepaliekant dokumentų su tvarkomais asmens duomenimis ar kompiuterio, kuriuo naudojantis galima atidaryti rinkmenas su asmens duomenimis, be priežiūros taip, kad juose esančią informaciją galėtų perskaityti darbuotojai, neturintys teisės dirbti su konkrečiais asmens duomenimis, kiti asmenys;

53.2. dokumentus laikant taip, kad jų (ar jų fragmentų) negalėtų perskaityti atsitiktiniai asmenys;

53.3. jei dokumentai, kuriuose yra asmens duomenų, kitiems darbuotojams, padaliniams, įstaigoms perduodami per asmenis, kurie neturi teisės tvarkyti asmens duomenis, arba per paštą ar kurjerį, jie privalo būti perduodami užklijuotame nepermatomame voke. Šis punktas netaikomas, jeigu minėti pranešimai įteikiami interesantams asmeniškai ir konfidencialiai.

X SKYRIUS

DUOMENŲ VEIKLOS ĮRAŠŲ VEDIMO TVARKA

54. Duomenų veiklos įrašų vedimo tvarka Administracijoje yra naudojama vadovaujantis šiomis principinėmis nuostatomis:

54.1. turi būti naudojama griežtai tik darbo reikmėms;

54.2. naudojantis turi būti laikomasi galiojančių Lietuvos Respublikos teisės aktų, Administracijos vidinių aktų, darbo sutarčių nuostatų bei naudojimo instrukcijų;

54.3. naudojantis turi būti laikomasi darbuotojų saugos, komercinės informacijos saugos, asmens duomenų apsaugos reikalavimų;

54.4. naudojimas turi užtikrinti konfidencialumo įsipareigojimų, intelektinės nuosavybės teisių, įskaitant trečiųjų asmenų teises ir teisėtus interesus, bendrųjų etikos ir moralės principų laikymąsi.

55. Duomenų veiklos įrašai į dokumentą įvedami raštu (ir elektroniniu būdu) iš karto po kiekvieno veiksmo atlikimo. Tai turi būti daroma nuolat vykdant naujas duomenų tvarkymo operacijas.

56. Duomenų veiklos įrašai vedami raštu, pildant Duomenų valdytojo duomenų tvarkymo veiklos įrašų formą (3 priedas).

57. Duomenų veiklos įrašų vedimo tvarka peržiūrima ir, prireikus ar pasikeitus asmens duomenų tvarkymą reglamentuojantiems teisės aktams, diegiant struktūrinius, technologinius ar kitokius pakeitimus, atnaujinama. Už šios tvarkos nuostatų laikymosi priežiūrą ir juose reglamentuotų nuostatų vykdymo kontrolę, atnaujinimo pagal poreikį inicijavimą yra atsakingas pareigūnas.

58. Visi šiame skyriuje nenumatyti veiksmai, susiję su duomenų veiklos įrašų vedimu Administracijoje, privalo būti derinami su pareigūnu.

XI SKYRIUS

ASMENS DUOMENŲ GAVIMAS IR TEIKIMAS NAUDOJANTIS VALSTYBINĖMIS INFORMACINĖMIS SISTEMOMIS IR REGISTRAIS

59. Administracijos darbuotojai, priklausomai nuo einamų pareigų ir atliekamų funkcijų, turi prieigą prie vieno ar keleto iš šių informacinių sistemų ir registrų, iš kurių gaunami ir į kuriuos teikiami asmens duomenys tiek, kiek tai būtina dėl viešojo intereso arba vykdant Administracijai pavestas viešosios valdžios funkcijas:

59.1. DocLogix Dokumentų valdymo sistema

59.2. „Biudžetas Vs“, Finansų valdymo ir buhalterinės apskaitos programa;

59.3. MASIS, Valstybinės žemės nuomos mokesčio informacinė sistema;

59.4. PPIS Paraiškų priėmimo informacine sistema;

59.5. Traktorių, savaeigių ir žemės ūkio mašinų ir jų priekabų registras;

59.6. Ūkinių gyvūnų registras;

59.7. Ūkininkų ūkių registras;

59.8. Žemės ūkio ir kaimo verslo registras;

59.9. ŽŪMIS, Žemės ūkio ministerijos informacinė sistema;

59.10. NMA informacinis portalas;

59.11. Valstybės pagalbos ir nereikšmingos pagalbos registras;

59.12. ArcGIS, geografinė informacinė sistema;

59.13. „Parama“, Socialinės paramos informacinė sistema;

59.14. SPIS, Socialinės paramos šeimai informacinė sistema;

59.15. ANR, Administracinių nusižengimų registras

59.16. UAS, Lietuvos Respublikos kelių transporto priemonių registro duomenų teikimo sistema;

59.17. Mokinių registras;

59.18. Pedagogų registras;

59.19. Švietimo ir mokslo institucijų registras;

59.20. Kvalifikacijos tobulinimo programų ir renginių registras;

59.21. Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinė sistema;

59.22. Adresų registras;

59.23. Švietimo valdymo informacinė sistema;

59.24. AIKOS, Egzaminų organizavimo ir vykdymo sistema;

59.25. Duomenų perdavimo sistema „Keltas“;

59.26. GVDIS, Gyvenamosios vietos deklaravimo informacinė sistema;

59.27. NTR, Nekilnojamo turto registras;

59.28. CVP IS, Centrinė viešųjų pirkimų informacinė sistema;

59.29. Infostatyba, Statybos leidimų ir statybos valstybinės priežiūros informacinė sistema;

59.30. TPDRIS, Teritorijų planavimo dokumentų rengimo ir teritorijų planavimo proceso valstybinės priežiūros informacinė sistema;

59.31. ŽPDRIS, Žemėtvarkos planavimo dokumentų rengimo informacinė sistema;

59.32. TPSIS, Teritorijų planavimo stebėsenos informacinė sistema;

59.33. TPDR, Teritorijų planavimo dokumentų registras;

59.34. Web GIS, Geoinformacinė sistema;

59.35. MEPIS, Metrikacijos elektroninių paslaugų informacinė sistema;

59.36. CPO, Centrinė perkančioji organizacija;

59.37. VATARAS, Valstybės tarnautojų registras;

59.38. VATIS, Valstybės tarnybos valdymo informacinė sistema;

59.39. IDIS, Privačių interesų deklaracijų informacinė sistema;

59.40. EDAS, Elektroninė draudėjų aptarnavimo sistema;

59.41. IS „Kelių projektai“, Lietuvos automobilių kelių direkcijos prie Susisiekimo ministerijos informacinė sistema;

59.42. LIS, Licencijų informacinė sistema;

59.43. PVS, Personalo darbo laiko apskaitos programa;

59.44. E-sąskaita, Elektroninių sąskaitų parengimo ir pateikimo informacinė sistema;

59.45. Turto valdymo programa, Turto valdymo informacinė sistema;

59.46. TAR, Teisės aktų registras;

59.47. TAIS, Teisės aktų informacinė sistema;

59.48. GPIIS, Gyventojų perspėjimo ir informavimo informacinė sistema;

59.49. VSAKIS, Viešojo sektoriaus apskaitos ir ataskaitų konsolidavimo informacinė sistema;

59.50. M- GIS, Informacinė sistema apie miškus;

59.51. Kultūros vertybių registras;

59.52. Saugomų teritorijų valstybės kadastras;

59.53. POVAS IS, Kėdainių miesto savivaldybės tarybos posėdžių transliavimo informacinė sistema;

59.54. SAMATA IS, Statybos darbų sąmatų sudarymo informacinė sistema;

59.55. E. pristatymas, Elektroninių pranešimų ir dokumentų pristatymo fiziniams ir juridiniams asmenims informacinė sistema;

59.56. ĮIRIS, Įslaptintos informacijos ryšių informacinė sistema;

59.57. MOKESTA IS, Vietinės rinkliavos už komunalines atliekas administravimo informacinė sistema;

59.58. Lietuvos teismų elektroninių paslaugų portalas EPP.

59.59. elektroninės vykdomosios bylos portalas www.antstoliai.lt.

59.60. gyventojų registras

60. Keičiantis teisės aktams, Administracija esant poreikiui gali sudaryti sutartis dėl duomenų teikimo ir (ar) gavimo ir iš kitų informacinių sistemų ir registrų.

XII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

61. Darbuotojai, kurie yra įgalioti tvarkyti asmens duomenis arba eidami savo pareigas juos sužino, privalo laikytis šių Taisyklių, pagrindinių asmens duomenų tvarkymo reikalavimų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų teisės aktuose ir šiose Taisyklėse. Už Taisyklių nuostatų pažeidimą darbuotojai atsako teisės aktų nustatyta tvarka.

62. Darbuotojai, pasikeitus jų asmens duomenims, raštu informuoja apie tai Administracijos Teisės ir personalo skyrių, o šis ne vėliau kaip per 3 darbo dienas patikslina ir atnaujina darbuotojų asmens duomenis bylose bei tam skirtose duomenų bazėse.

63. Patvirtinus ar pakeitus Taisykles, darbuotojai su jomis supažindinami Administracijos darbo tvarkos taisyklių nustatyta tvarka.

64. Taisyklės pasikeitus asmens duomenų tvarkymą reglamentuojantiems teisės aktams keičiamos Administracijos direktoriaus įsakymu.

65. Taisykles įgyvendinančių subjektų veiksmai ir sprendimai gali būti skundžiami teisės aktų nustatyta tvarka.

_______________________________________________

Kėdainių rajono savivaldybės administracijos

asmens duomenų tvarkymo taisyklių

2 priedas

REAGAVIMO Į ASMENS DUOMENŲ SAUGUMO PAŽEIDIMUS PROCEDŪRA

I. BENDROSIOS NUOSTATOS

1. Reagavimo į asmens duomenų saugumo pažeidimus procedūra (toliau – Procedūra) taikoma įvykus asmens duomenų saugumo pažeidimui pagal BDAR 33 straipsnį ir 34 straipsnį.

2. Šiame dokumente išdėstyta procedūra turėtų būti vadovaujamasi reaguojant į duomenų saugumo pažeidimą, atsižvelgiant į konkrečios situacijos faktines aplinkybes.

3. Visi asmenys, turintys prieigą prie Administracijos tvarkomų asmens duomenų privalo žinoti ir vadovautis šia Procedūra duomenų saugumo pažeidimo atveju.

II. DUOMENŲ SAUGUMO PAŽEIDIMO NUSTATYMAS IR ANALIZĖ

4. Saugumo pažeidimu laikomas toks saugumo incidentas, dėl kurio įvyksta (konkretus pažeidimas gali patekti į daugiau nei vieną kategoriją):

4.1. Konfidencialumo pažeidimas – netyčia ar neteisėtai atskleidžiami asmens duomenys arba prie duomenų suteikiama prieiga tam teisės neturintiems asmenims. Tokio pobūdžio pažeidimo pavyzdžiais galėtų būti duomenų kopijos išsiuntimas trečiajam asmeniui, neturinčiam teisinio pagrindo juos gauti, prisijungimo prie duomenų bazės slaptažodžio paviešinimas ir pan.;

4.2. Pasiekiamumo pažeidimas – netyčia ar neteisėtai prarandama prieiga prie asmens duomenų arba duomenys yra sunaikinami. Tokio pobūdžio pažeidimu galėtų būti duomenų bazės ištrynimas nesant atsarginės kopijos, iš kurios būtų galima atkurti prarastus duomenis. Pasiekiamumo pažeidimu, kuris turėtų būti aprašytas, būtų ir laikinas įprastinę Administracijos veiklą sutrikdęs prieigos prie duomenų praradimas;

4.3. Vientisumo pažeidimas – netyčia ar neteisėtai atliekami asmens duomenų pakeitimai. Tai galėtų būti trečiojo asmens, įgijusio neteisėtą prisijungimą prie duomenų bazės, įvykdyti joje esančių įrašų pakeitimai.

5. Kai yra nustatomas duomenų saugumo pažeidimas, jį nustatęs Darbuotojas turi kuo skubiau informuoti Pareigūną asmeniškai, el. paštu, telefonu, ir / arba kitomis komunikacijos priemonėmis.

6. Pareigūnas atlieka pradinį vertinimą tam, kad nuspręstų dėl tinkamo veiksmų plano. Šis vertinimas turėtų apimti šiuos pagrindinius veiksnius:

6.1. Poveikio informacinių technologijų (toliau – IT) infrastruktūrai apimtis;

6.2. Informaciniai ištekliai, kuriems gali kilti arba yra kilęs pavojus (kokios duomenų bazės yra arba gali būti paveiktos);

6.3. Tikėtina duomenų saugumo pažeidimo trukmė (kada prasidėjo ir kada buvo sustabdytas pažeidimas arba kaip skubiai tikėtina galima būtų tai padaryti);

6.4. Paveikti duomenų subjektai ir poveikio jiems apimtis (ar paveikti tik konkrečios duomenų subjektų grupės duomenys, kokia konkrečios grupės dalis yra paveikta ir pan.);

6.5. Pradiniai duomenų saugumo pažeidimo pasekmių požymiai (tai galėtų būti prieigos prie duomenų praradimas, nustatyti neteisėti duomenų pakeitimai, rasti paviešinti duomenys ir pan.).

7. Aukščiau nurodyta informacija turėtų būti fiksuojama tokiu būdu, kad atliekant vėlesnę peržiūrą būtų galima susidaryti aiškų chronologišką suvokimą apie situacijos eigą ir priemones, kurių buvo imtasi.

8. Atsižvelgdamas į aukščiau aprašytą pradinę analizę, Pareigūnas pagal Procedūros 6 punkte nurodytus kriterijus įvertina, ar duomenų saugumo pažeidimo apimtis ir faktinis ar galimas poveikis lemia Reagavimo į duomenų saugumo pažeidimus procedūros pradėjimą.

III. REAGAVIMO Į DUOMENŲ SAUGUMO PAŽEIDIMUS PROCEDŪROS PRADĖJIMAS

9. Formalus reagavimas į Duomenų saugumo pažeidimą visais atvejais turėtų būti pradėtas tada, jei nustatytos bet kurios iš toliau nurodytų aplinkybių:

9.1. Prarastas arba gali būti prarastas reikšmingas kiekis asmens duomenų;

9.2. Duomenų pažeidimas tikėtinai gali kelti didelį pavojų fizinių asmenų teisėms ir laisvėms;

9.3. Daromas poveikis dideliam duomenų subjektų skaičiui;

9.4. Bet kokia kita situacija, kuri gali sukelti reikšmingą poveikį Administracijai ir / arba duomenų subjektams.

10. Jei nusprendžiama nepradėti Procedūros, tada Procedūros 6 punkte aprašytas vertinimas turi būti tinkamai dokumentuotas už duomenų saugą atsakingo asmens ir ši Procedūra užbaigta.

IV. DUOMENŲ SAUGUMO PAŽEIDIMO APRIBOJIMAS, LIKVIDAVIMAS IR ATKŪRIMAS

11. Pirmasis žingsnis sprendžiant duomenų saugumo pažeidimo klausimą yra jo apribojimas. Konkretūs veiksmai, atliktini norint tai pasiekti priklauso nuo konkretaus pažeidimo aplinkybių, bet tai galėtų būti tokie veiksmai kaip:

11.1. Duomenų ištrynimas nuotoliniu būdu iš pamesto ar pavogto įrenginio;

11.2. Kuo skubesnis kreipimasis į asmenį, kuriam per klaidą buvo išsiųsti duomenys, su prašymu neatidarinėti atsiųstų duomenų ir juos ištrinti be galimybės atkurti;

11.3. Atskleisto tretiesiems asmenims prisijungimo prie duomenų bazės slaptažodžio pakeitimas;

11.4. Prarastų duomenų atkūrimas iš turimos atsarginės kopijos.

12. Vykdant šią procedūrą reikia imtis atsargumo priemonių tam, kad būtų užtikrinta, jog būtų surinkti kiek įmanoma tikslesni duomenys bei įrodymai apie įvykusį duomenų saugumo pažeidimą (pavyzdžiui, užfiksuojama, kas, kada ir iš kokio įrenginio jungėsi prie duomenų bazės, kam konkrečiai buvo per klaidą išsiųsti asmens duomenys, kokiomis aplinkybėmis buvo prarastas įrenginys su duomenimis).

13. Veiksmai, skirti atitaisyti žalą, sukeltą duomenų saugumo pažeidimo, turėtų būti nukreipti ne vien į esamo pažeidimo priežasties pašalinimą, bet ir skirti neleisti duomenų saugumo pažeidimui pasikartoti. Turėtų būti nustatytas bet koks pažeidžiamumas, kuris gali būti išnaudotas siekiant įvykdyti pažeidimą.

14. Prireikus gali būti pasitelkiama IT specialistų ar teisininkų pagalba.

15. Atkūrimo stadijoje sistemos turėtų būti pagal galimybes atstatytos į ankstesnę būklę, tačiau turėtų būti imamasi būtinų veiksmų tam, kad būtų atsižvelgta į trūkumus ir duomenų tvarkymo silpnąsias vietas, kurios buvo išnaudotos įvykdant duomenų saugumo pažeidimą.

V. DUOMENŲ VALDYTOJO PRANEŠIMAS VDAI APIE DUOMENŲ SAUGUMO PAŽEIDIMĄ

16. Administracija, kaip duomenų valdytojas, nedelsdama privalo informuoti VDAI apie duomenų saugumo pažeidimą tada, jei Pareigūnas nustato, kad duomenų saugumo pažeidimas tikėtinai gali kelti pavojų duomenų subjektų, paveiktų duomenų saugumo pažeidimo, teisėms ir laisvėms. Pavojų keliančiu laikytinas toks pažeidimas, dėl kurio duomenų subjektas galėtų patirti kūno sužalojimą, materialinę ar nematerialinę žalą, teisių apribojimą, diskriminaciją, galėtų būti pavogta ar suklastota asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala.

17. Jei duomenų saugumo pažeidimas kelia pavojų duomenų subjektų teisėms ir laisvėms, Pareigūnas ne vėliau kaip per 72 valandas nuo Administracijos sužinojimo apie pažeidimą VDAI užpildo ir pateikia Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamą formą, kuri patvirtinta Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“.

18. Jeigu visos informacijos neįmanoma pateikti tuo pačiu metu, tolesnė informacija nepagrįstai nedelsiant gali būti teikiama etapais.

VI. DUOMENŲ VALDYTOJO PRANEŠIMAS DUOMENŲ SUBJEKTUI APIE DUOMENŲ SAUGUMO PAŽEIDIMĄ

19. Kai dėl duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, Administracija nepagrįstai nedelsdama praneša apie asmens duomenų saugumo pažeidimą duomenų subjektams. Didelį pavojų keliančiu gali būti laikytinas bet kuris 16 punkte nurodytų pasekmių riziką keliantis pažeidimas tada, jei tokios pažeidimo pasekmės yra labai tikėtinos, tvarkomi jautrūs asmens duomenys (pavyzdžiui, duomenys apie sveikatą), pažeidimas turi neigiamą poveikį dideliam duomenų subjektų skaičiui ir pan.

20. Pareigūnas duomenų subjektui aiškia ir paprasta kalba aprašo duomenų saugumo pažeidimo pobūdį ir pateikia bent jau žemiau nurodytą informaciją:

20.1. Kontaktinio asmens, galinčio suteikti daugiau informacijos, vardą, pavardę ir kontaktinius duomenis;

20.2. Tikėtinų duomenų saugumo pažeidimo pasekmių aprašymą;

20.3. Priemones, kurių ėmėsi arba planuoja imtis Administracija tam, kad būtų pašalintas duomenų saugumo pažeidimas, įskaitant, kai tinkama, priemones galimoms neigiamoms jo pasekmėms sumažinti.

21. Šios Procedūros 20 punkte nurodytas komunikavimas su duomenų subjektu nebus reikalingas tada, jei egzistuoja bet kuri iš šių aplinkybių:

21.1. Administracija įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos priemonės taikytos asmens duomenims, kuriems duomenų saugumo pažeidimas turėjo poveikio, visų pirma tas priemones, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su Asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, šifravimo priemones;

21.2. Administracija vėliau ėmėsi priemonių, kuriomis užtikrinama, kad ateityje negalėtų kilti didelis pavojus duomenų subjektų teisėms ir laisvėms;

21.3. Tai pareikalautų neproporcingai daug pastangų. Tokiu atveju apie įvykusį duomenų saugumo pažeidimą paskelbiama viešai arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai;

22. VDAI, apsvarsčiusi, kokia yra tikimybė, kad dėl duomenų saugumo pažeidimo kils didelis pavojus, gali pareikalauti, kad Administracija informuotų duomenų subjektus apie duomenų saugumo pažeidimą. Pareigūnas gavęs tokį nurodymą turi nedelsdamas jį vykdyti.

VII. DUOMENŲ SAUGUMO PAŽEIDIMO DOKUMENTAVIMAS IR PROCEDŪROS UŽBAIGIMAS

23. Pareigūnas, gavęs supažindinto su duomenų saugumo pažeidimo ir jo pašalinimo aplinkybėmis Administracijos direktoriaus pritarimą, priima sprendimą užbaigti Procedūrą tada, kai duomenų saugumo pažeidimas laikytinas pašalintu, o visoms reikalingoms šalims apie pažeidimą yra pranešta.

24. Visi veiksmai, kurių imamasi Procedūros metu turi būti aprašomi ir visi susiję įrašai apie duomenų saugumo pažeidimą peržiūrimi tam, kad būtų užtikrintas jų išbaigtumas, tikslumas ir atitiktis atitinkamam teisiniam reguliavimui.

__________________

Duomenų valdytojas: Kėdainių rajono savivaldybės administracija
Duomenų valdytojo pavadinimas
Pašto adresas J. Basanavičiaus g. 36, 57288 Kėdainiai		Telefono ryšio numeris (8 347) 69550	Elektroninio pašto adresas administracija@kedainiai.lt	Kitos ryšių priemonės www.kedainiai.lt

Duomenų apsaugos pareigūnas:
Duomenų apsaugos pareigūno vardas ir pavardė
Pašto adresas J. Basanavičiaus g. 36, 57288 Kėdainiai	Telefono ryšio numeris		Elektroninio pašto adresas duomenu.sauga@kedainiai.lt	Kitos ryšių priemonės
Už duomenų tvarkymą atsakingas asmuo ar skyrius
Duomenų tvarkymo tikslas (kokiu tikslu yra tvarkomi duomenys, pvz., socialinei pensijai gauti, į vaikų darželį priimti, personalo administravimas, turto saugumo užtikrinimas (kai vykdomas vaizdo stebėjimas), paslaugų kokybės užtikrinimas (kai vykdomas telefoninių pokalbių įrašymas) ir t. t.)
Duomenų tvarkymo teisinis pagrindas
Duomenų subjektų kategorijų aprašymas (pvz., darbuotojai, asmenys, patenkantys į vaizdo stebėjimo lauką„ ir t. t.) Esant kelioms duomenų subjektų grupėms, atskirai nurodomi kiekvienos duomenų subjektų grupės tvarkomi asmens duomenys (įskaitant ir specialių kategorijų asmens duomenis), jeigu tvarkomi duomenys yra skirtingi.
Asmens duomenų kategorijų aprašymas (tvarkomi asmens duomenys, pvz., vardas, pavardė, gimimo data, adresas, vaizdo duomenys, priskaičiuotas darbo užmokestis, duomenys apie sveikatą, telefono pokalbio įrašas, IP adresas ir t. t.)
Duomenų gavėjų kategorijos (duomenų gavėjai, kuriems buvo arba bus atskleisti ar kitaip perduoti asmens duomenys, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas) (pvz., fiziniai asmenys, juridiniai asmenys, draudimo bendrovės, kurjerių tarnybos, bankai ir t. t.)
Asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai (kai taikoma):
Trečiosios valstybės arba tarptautinės organizacijos, kuriai perduodami asmens duomenys pavadinimas:			BDAR 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai:
Kita informacija, susijusi su asmens duomenų perdavimu
Numatomi asmens duomenų saugojimo, ištrynimo terminai (kai įmanoma) (pvz., 10 metų po sutarties įvykdymo, 30 kalendorinių dienų, 1 metai nuo paskutinio prisijungimo prie paskyros ir t. t.)
Bendras duomenų saugumo priemonių (nurodytų BDAR 32 straipsnio 1 dalyje) aprašymas (kai įmanoma):
Techninės saugumo priemonės: (pvz., programinė įranga yra nuolatos atnaujinama, aprūpinta ugniasienėmis ir antivirusinėmis programomis, daromos atsarginės duomenų kopijos, atliekamas duomenų šifravimas ir t. t.)			Organizacinės saugumo priemonės: (pvz., informacinių sistemų ir duomenų bazių vartotojų teisių ribojimas ir kontrolė, asmenys, dirbantys su asmens duomenimis, yra saistomi teisės aktuose nustatytų konfidencialumo pareigų ir t. t.)

Kita informacija (pvz., duomenų šaltiniai, duomenų subjekto teisių įgyvendinimo ypatumai, nuorodos į kitus su duomenų apsauga susijusius dokumentus (į poveikio duomenų apsaugai vertinimą, vidaus tvarkos taisykles ir t. t.)
Duomenų įvedimo, keitimo data (-os)

Eil. Nr.	Pažeidimo priežastis, kas įvyko ir kokie asmens duomenys pažeisti	Pažeidimo poveikis ir pasekmės	Taisomieji veiksmai (techninės priemonės), kurių buvo imtasi	Priežastys dėl su Pažeidimu susijusių sprendimų priėmimo (pvz., kodėl duomenų valdytojas nusprendė nepranešti apie Pažeidimą VDAI ir (ar) duomenų subjektui, t. y. kodėl nusprendė, kad tikėtina, jog Pažeidimas negali sukelti pavojaus fizinių asmenų teisėms ir laisvėms, arba kokią sąlygą įvykdė, kuomet pranešti apie Pažeidimą duomenų subjektui nereikia);	Pranešimo VDAI pateikimo vėlavimo priežastys (jeigu pranešimą vėluojama pateikti ar pranešimas teikiamas etapais)	Informacija, susijusi su pranešimu duomenų subjektui (pvz., ar buvo pranešta, kodėl nepranešta ir pan.)	Kita reikšminga informacija susijusi su Pažeidimu (pvz., kad tyrimo metu nustatyta, jog faktiškai Pažeidimo nebuvo, o buvo tik saugumo incidentas).
1.
2.
3.
4.
5.
6.
7.
8.
9.
...