1. Asmens duomenų tvarkymo Lietuvos vyriausiojo archyvaro tarnyboje taisyklės (toliau – Taisyklės) reglamentuoja asmens duomenų tvarkymą Lietuvos vyriausiojo archyvaro tarnyboje (toliau – Tarnyba), nustato pagrindines asmens duomenų tvarkymo, duomenų subjekto teisių įgyvendinimo ir duomenų apsaugos technines bei organizacines priemones, siekiant užtikrinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 
(OL 2016 L 119, p. 1) (toliau – Reglamentas (ES) 2016/679), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – Asmens duomenų teisinės apsaugos įstatymas) ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.

2. Taisyklėse nurodytų asmens duomenų valdytoja ir tvarkytoja yra Lietuvos vyriausiojo archyvaro tarnyba, juridinio asmens kodas 188697087, buveinės adresas Mindaugo g. 8, Vilnius.

3. Taisyklių privalo laikytis visi Tarnybos valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis (toliau – darbuotojai), kurie tvarko Tarnybos veikloje gaunamus asmens duomenis ir (arba) eidami savo pareigas sužino arba gali sužinoti asmens duomenis.

4. Taisyklės parengtos vadovaujantis Reglamentu (ES) 2016/679, Asmens duomenų teisinės apsaugos įstatymu, kitais asmens duomenų apsaugą reglamentuojančiais teisės aktais.

5. Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679 ir Asmens duomenų teisinės apsaugos įstatyme.

6. Tarnyboje tvarkomi asmens duomenys ir jų tvarkymo tikslai:

7. Tarnybos darbuotojai, atlikdami savo funkcijas ir tvarkydami asmens duomenis, privalo laikytis pagrindinių asmens duomenų tvarkymo reikalavimų:

8. Asmens duomenys Tarnyboje renkami tik teisės aktų nustatyta tvarka, juos gaunant tiesiogiai iš duomenų subjekto, gaunant iš kitų asmenų nustatyta tvarka ir pagrindais, taip pat oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų pagal prašymą (vienkartinio asmens duomenų rinkimo atveju) arba pagal asmens duomenų teikimo sutartį (daugkartinio asmens duomenų rinkimo atveju).

9. Asmens duomenys saugomi ne ilgiau, negu to reikalauja duomenų tvarkymo tikslai. Asmens duomenys, esantys dokumentuose, yra saugomi Tarnybos dokumentacijos plane nustatytais terminais, priklausomai nuo to, kokiai bylai koks dokumentas priskirtas. Pasibaigus dokumentų, kuriame yra asmens duomenų, saugojimo terminams, priimamas sprendimas dėl jų sunaikinimo arba dokumentų saugojimo termino pratęsimo. Priėmus sprendimą dokumentus sunaikinti, dokumentai sunaikinami Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka, išskyrus tuos atvejus, kai įstatymų nustatytais atvejais dokumentai turi būti perduoti Lietuvos valstybės naujajam archyvui. Duomenų atsarginės kopijos saugomos informacinės sistemos valdytojo tvirtinamuose informacinės sistemos saugos nuostatuose nustatyta tvarka ir terminais.

10. Teisės aktų nustatytais atvejais ir tvarka Tarnyba teikia jos tvarkomus asmens duomenis valstybės registrų ir valstybės informacinių sistemų valdytojams ir (arba) tvarkytojams, valstybės ir savivaldybių institucijoms, įstaigoms, organizacijoms ir kitiems asmenims, kuriems asmens duomenis teikti Tarnybą įpareigoja įstatymai ar kiti teisės aktai arba kuriems Tarnyba, teisės aktų nustatyta tvarka vykdydama savo funkcijas, teikia asmens duomenis.

11. Tarnybos darbuotojai turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino eidami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių teisės aktų nuostatas.

12. Pareiga saugoti asmens duomenų paslaptį taip pat galioja darbuotoją paskyrus į kitas pareigas Tarnyboje bei pasibaigus valstybės tarnybos ar darbo santykiams.

13. Dokumentai, kuriuose yra asmens duomenų, neturi būti laikomi taip, kad neturintys teisės asmenys nekliudomai galėtų su jais susipažinti. Tarnyboje taikomų Asmens duomenų apsaugos organizacinių ir techninių priemonių sąrašas yra nustatytas Taisyklių 1 priede.

14. Duomenų subjektas, siekdamas įgyvendinti Reglamente (ES) 2016/679 įtvirtintas teises, turi pateikti rašytinį prašymą Tarnybai. Prašymas gali būti pateikiamas per atstumą, elektroninėmis priemonėmis arba tiesiogiai kreipiantis į Tarnybą (Taisyklių 2 priedas).

15. Prašymas turi būti įskaitomas, duomenų subjekto pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, asmens kodas, jei asmuo kodo neturi – gimimo data ar kiti požymiai, leidžiantys identifikuoti asmenį, gyvenamosios vietos adresas, elektroninio pašto adresas, telefono numeris, informacija apie tai, kokią Reglamente (ES) 2016/679 įtvirtintą teisę (teises) ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti.

16. Pateikdamas prašymą, duomenų subjektas privalo patvirtinti savo tapatybę:

17. Duomenų subjektas savo teises Tarnyboje gali įgyvendinti per atstovą, tokiu atveju prie prašymo pridedamas atstovavimą patvirtinantis dokumentas arba teisės aktų nustatyta tvarka patvirtinta jo kopija.

18. Duomenų subjekto teisė būti informuotam apie savo asmens duomenų tvarkymą bei teisė susipažinti su savo asmens duomenimis (kiek tai įmanoma) duomenų subjekto prašymu gali būti įgyvendinama žodžiu, jeigu pokalbio metu duomenų subjektas gali įrodyti savo tapatybę (pavyzdžiui, duomenų subjektas nurodo savo vardą, pavardę, asmens kodą ar kitokią informaciją, leidžiančią jį identifikuoti).

19. Tarnybos darbuotojai turi užtikrinti, kad informacija, susijusi su duomenų tvarkymu, duomenų subjektui būtų pateikiama aiškiai ir suprantamai.

20. Informacija duomenų subjektui, atsižvelgiant į jo prašymą, gali būti pateikiama žodžiu, leidžiant susipažinti su dokumentu, pateikiant pažymą, dokumento išrašą ar popierinę dokumento kopiją, elektroninę laikmeną, garso, vaizdo ar garso ir vaizdo įrašą (jei toks yra), prieigą prie informacijos rinkmenos. Jei prašyme nenurodyta informacijos pateikimo forma, Tarnyba jį pateikia tokia pačia forma, kaip gauto prašymo.

21. Jeigu duomenų subjektas prašymą pateikia elektroninėmis priemonėmis, informacija duomenų subjektui taip pat pateikiama elektroninėmis priemonėmis, išskyrus tuos atvejus, kai duomenų subjektas paprašo ją pateikti kitaip.

22. Tarnyba, gavusi duomenų subjekto prašymą dėl Reglamente (ES) 2016/679 įtvirtintų teisių įgyvendinimo, ne vėliau kaip per 30 kalendorinių dienų pateikia duomenų subjektui informaciją apie veiksmus, kurių buvo imtasi gavus prašymą. Šis terminas prireikus gali būti pratęstas dar 60 kalendorinių dienų, atsižvelgiant į prašymų sudėtingumą ir skaičių. Tarnyba per 30 kalendorinių dienų nuo prašymo gavimo informuoja duomenų subjektą apie tokį pratęsimą, kartu pateikdama vėlavimo priežastis.

23. Duomenų subjekto teisės Tarnyboje įgyvendinamos neatlygintinai. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, Tarnyba gali imti pagrįstą mokestį, atsižvelgdama į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines išlaidas.

24. Tarnyba turi teisę atsisakyti pateikti duomenų subjektui jo prašomą informaciją, jeigu nustato, kad duomenų subjekto prašymas yra akivaizdžiai nepagrįstas arba neproporcingas. Tokiu atveju Tarnyba privalo raštu nurodyti atsisakymo pateikti prašomą informaciją motyvus.

25. Tarnybos veiksmai ar neveikimas, susiję su duomenų subjekto teisių įgyvendinimu, gali būti skundžiami Valstybinei duomenų apsaugos inspekcijai Asmens duomenų teisinės apsaugos įstatyme nustatyta tvarka. Kilus įtarimų dėl galbūt neteisėtai tvarkomų asmens duomenų, Tarnybos veiksmai ar neveikimas gali būti skundžiami Valstybinei duomenų apsaugos inspekcijai arba Vilniaus apygardos administraciniam teismui.

26. Tarnyba, įgyvendindama duomenų subjekto teises, užtikrina, kad nebūtų pažeista kitų asmenų teisė į privataus gyvenimo neliečiamumą.

27. Tarnybos darbuotojas, sužinojęs apie galimą asmens duomenų saugumo pažeidimą, nedelsdamas informuoja:

28. Atsakingi darbuotojai, nurodyti Taisyklių 27 punkte, konsultuojasi su Tarnybos duomenų apsaugos pareigūnu dėl galimo pažeidimo masto ir pasekmių.

29. Veiklos administravimo ir finansų skyriaus vedėjas užtikrina, kad nepagrįstai nedelsiant ir, jei įmanoma, ne vėliau kaip per 72 valandas nuo sužinojimo apie asmens duomenų saugumo pažeidimą apie tai būtų pranešta Valstybinei duomenų apsaugos inspekcijai, nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Jeigu Valstybinei duomenų apsaugos inspekcijai nepranešama per 72 valandas, pranešime nurodomos vėlavimo priežastys.

30. Pranešimas Valstybinei duomenų apsaugos inspekcijai teikiamas Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo, patvirtinto Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T-72(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“, nustatyta tvarka ir sąlygomis.

31. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, Veiklos administravimo ir finansų skyriaus vedėjas užtikrina, kad apie asmens duomenų saugumo pažeidimą duomenų subjektui būtų pranešta nepagrįstai nedelsiant.

32. Apie asmens duomenų saugumo pažeidimą duomenų subjektui pranešti neprivaloma, jei:

33. Atsakingi darbuotojai, nurodyti Taisyklių 27 punkte, surašo tarnybinį pranešimą, kuriame nurodo asmens duomenų saugumo pažeidimo priežastis, pasekmes, priemones, kurių buvo imtasi, sprendimų dėl pranešimo (nepranešimo) Valstybinei duomenų apsaugos inspekcijai ir (ar) duomenų subjektui motyvus, vėlavimo pateikti pranešimą priežastis bei kitą su pažeidimu susijusią informaciją. Tarnybinis pranešimas pateikiamas Lietuvos vyriausiajam archyvarui Tarnybos dokumentų valdymo sistemos priemonėmis.

34. Duomenų tvarkymo veiklos įrašai Tarnyboje yra pildomi elektronine forma.

35. Duomenų tvarkymo veiklos įrašuose turi būti pateikiama ši informacija:

36. Duomenų tvarkymo veiklos įrašai tikrinami ir atnaujinami ne rečiau kaip kartą per kalendorinius metus. Pasikeitus duomenims ar duomenų tvarkymo veiksmams, veiklos įrašai turi būti atnaujinami nedelsiant.

37. Kiekvienam asmens duomenų tvarkymo tikslui pildomas atskiras duomenų tvarkymo veiklos įrašas.

38. Tarnybos darbuotojai supažindinami su šiomis Taisyklėmis Tarnybos dokumentų valdymo sistemos priemonėmis. Susipažinimas su Taisyklių nuostatomis yra prilyginamas kiekvieno darbuotojo įsipareigojimui saugoti asmens duomenų paslaptį.

39. Už Taisyklių nuostatų pažeidimą Tarnybos darbuotojai atsako teisės aktų nustatyta tvarka.

1.1. patalpos rakinamos;

1.2. įrengta patalpų signalizacijos sistema;

1.3. veikia asmenų įėjimo į patalpas kontrolės sistema (elektroninė ir (arba) fizinė).

2.1. vidinis tinklas apsaugotas ugniasienėmis;

2.2. kontroliuojama naudotojų prieiga prie vidinio tinklo;

2.3. naudojamos ryšio ir tinklo srautų atakų prevencijos priemonės.

3.1. patvirtintos duomenų atsarginio kopijavimo ir laikmenų naudojimo taisyklės;

3.2. atsarginės duomenų kopijos saugomos atskirose apsaugotose patalpose, kitame pastate;

3.3. atsarginės duomenų kopijos ir laikmenos yra šifruojamos.

4.1. apribota fizinė prieiga prie tarnybinių stočių ir kompiuterinių darbo vietų;

4.2. apribota programinė prieiga prie tarnybinių stočių, kompiuterinių darbo vietų ir jose esančių duomenų.

5.1. naudojama tik legali programinė įranga, kuri prižiūrima laikantis gamintojo reikalavimų;

5.2. diegiami operacinių sistemų ir naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai;

5.3. pakeista programinė įranga testuojama atskiroje tarnybinėje stotyje ar stotyse.

6.1. tarnybinėse stotyse ir kompiuterinėse darbo vietose įdiegta antivirusinė programinė įranga;

6.2. viešai prieinamos informacinių sistemų dalys yra atskirame potinklyje – demilitarizuotoje zonoje;

6.3. darbuotojai supažindinti su vidaus tvarkos taisyklėmis ir žino, kaip elgtis pastebėjus kenkėjišką programinę įrangą.

7.1. numatyta duomenų atkūrimo iš atsarginių kopijų procedūra.

8.1. naudojama tik legali ir leistina programinė įranga;

8.2. nuolat atliekama kompiuterinėse darbo vietose naudojamos programinės įrangos kontrolė;

8.3. naudotojai patys negali diegti programinės įrangos.

9.1. naudotojai mokomi dirbti su programine įranga;

9.2. naudotojams parengtos tikslios ir išsamios darbo instrukcijos.

10.1. įranga prižiūrima pagal gamintojo rekomendacijas;

10.2. priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai;

10.3. didžiausią įtaką duomenų perdavimui turinti kompiuterinė įranga dubliuota.

11.1. įranga prižiūrima pagal gamintojo rekomendacijas;

11.2. priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai;

11.3. svarbiausia kompiuterinė įranga dubliuota;

11.4. svarbiausios kompiuterinės įrangos techninė būklė nuolat stebima.

12.1. tinkamai suplanuotos ir įrengtos svarbiausios kompiuterinės įrangos laikymo patalpos.

13.1. patalpose yra ugnies gesintuvai;

13.2. patalpose įrengti dūmų ir karščio davikliai;

13.3. tarnybinių stočių patalpoje yra įrengta automatinio gesinimo sistema.

14.1. tarnybinių stočių patalpose įrengta kondicionavimo sistema;

14.2. nuolat stebimi temperatūros ir drėgmės svyravimai;

14.3. kondicionavimo įranga prižiūrima pagal gamintojo reikalavimus;

14.4. kondicionavimo įrangos priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai.

15.1. svarbiausiai kompiuterinei įrangai skirti nenutrūkstamo maitinimo šaltiniai;

15.2. stebima elektros srovės tiekimo būklė.

16.1. kabeliai yra izoliaciniuose vamzdžiuose;

16.2. elektros ir duomenų kabeliai saugiai atskirti.