I SKYRIUS
bendrosios nuostatos
1. Valstybės ir savivaldybių įstaigų nekilnojamojo turto, skirto užsieniečiams nemokamai apgyvendinti, sąrašo sudarymo, tvarkymo ir administravimo tvarkos aprašas (toliau – Aprašas) nustato Valstybės ir savivaldybių įstaigų nekilnojamojo turto, skirto užsieniečiams nemokamai apgyvendinti, sąrašo (toliau – Sąrašas) sudarymą, jo administravimą, reglamentuoja duomenų, įskaitant asmens duomenis, susijusių su Sąrašo sudarymu bei užsieniečių, kurie turi teisę gauti laikinąją apsaugą, iki sprendimo dėl laikinosios apsaugos suteikimo (nesuteikimo) priėmimo, ir (ar) užsieniečių, kuriems suteikta laikinoji apsauga (toliau kartu – užsieniečiai), nemokamu apgyvendinimu (toliau – duomenys), teikimą ir tvarkymą.
2. Šis Aprašas taikomas:
2.1. valstybės ir savivaldybių institucijoms, įstaigoms, organizacijoms, valstybės ir savivaldybių valdomoms bendrovėms ar įmonėms, viešosioms įstaigoms, kurių steigėja ar dalininkė, turinti daugiau kaip pusę balsų visuotiniame dalininkų susirinkime, yra valstybė ar savivaldybė (toliau kartu – valstybės ar savivaldybių įstaigos), kurios siūlo nemokamas apgyvendinimo vietas užsieniečiams apgyvendinti pagal Lietuvos Respublikos įstatymo „Dėl užsieniečių teisinės padėties“ (toliau – UTPĮ) 94 straipsnio 1 dalies 2 punktą ir (ar) 3 dalies 1 punktą;
2.2. kitiems subjektams, kuriems pagal Lietuvos Respublikos valstybės ir savivaldybių turto valdymo, naudojimo ir disponavimo juo įstatymo 14 straipsnį panaudos pagrindais perduotas valstybės ir (ar) savivaldybių nekilnojamasis turtas laikinai neatlygintinai valdyti ir naudotis juo (toliau – kiti subjektai), ir jie Lietuvos Respublikos Vyriausybės 2022 m. kovo 16 d. nutarime Nr. 224 „Dėl laikinosios apsaugos Lietuvos Respublikoje užsieniečiams suteikimo“ (toliau – Nutarimas) nurodytam laikinosios apsaugos suteikimo laikotarpiu savanoriškai pasiūlė šį turtą užsieniečių nemokamam apgyvendinimui pagal UTPĮ 94 straipsnio 1 dalies 2 punktą ir (ar) 3 dalies 1 punktą bei siekia gauti su užsieniečių nemokamu apgyvendinimu susijusių išlaidų kompensaciją;
2.3. kitoms valstybės institucijoms, įstaigoms teisės aktų nustatytoms funkcijoms, susijusiomis su Aprašo 4 punkte nurodytais tikslais, atlikti;
2.4. įstaigoms ir (ar) organizacijoms bendradarbiavimo sutarties su Lietuvos Respublikos socialinės apsaugos ir darbo ministerija (toliau – Ministerija) pagrindu organizuojančioms humanitarinės pagalbos užsieniečiams teikimą ir (ar) apgyvendinimą fizinių ar juridinių asmenų savanoriškai pasiūlytose ir (ar) valstybės ir savivaldybių įstaigų pasiūlytose apgyvendinimo vietose.
3. Sąrašo sudarymą, užsieniečių nemokamą apgyvendinimą koordinuoja bei Sąrašo sudarymo ir tvarkymo tikslais naudojamų duomenų, įskaitant asmens duomenis, valdytojas yra Ministerija.
4. Užsieniečių asmens duomenys, įskaitant specialiųjų kategorijų asmens duomenis, vadovaujantis Aprašu, tvarkomi šiais tikslais:
4.1. užtikrinti užsieniečių nemokamą apgyvendinimą ir nemokamo apgyvendinimo administravimą;
4.2. užtikrinti tinkamą užsieniečių teisių, susijusių su nemokamu jų apgyvendinimu, įgyvendinimą;
4.3. užtikrinti kompensacijų, nurodytų Nutarimo 2.6 papunktyje, pagrįstumą, stebėseną ir kontrolę;
4.4. registruoti užsieniečius, nustatyti jų teisinę padėtį ir užtikrinti užsieniečių buvimo ir gyvenimo Lietuvos Respublikoje kontrolę;
4.5. migracijos procesų stebėsenai vykdyti;
4.6 užtikrinti Valstybės duomenų valdymo (toliau – VDV) platformos administravimą;
4.7. užtikrinti finansų ministro tvirtinamos Valstybės duomenų valdysenos programos įgyvendinimą, oficialiosios statistikos rengimą ir sklaidą, apibendrintų duomenų rengimą ir teikimą Nutarimo 3.4.1.9 papunktyje nurodytiems subjektams.
5. Sąraše nurodytų duomenų:
5.1. Duomenų ir asmens duomenų valdytojas (toliau – duomenų valdytojas) – Ministerija;
5.2. Duomenų tvarkytojas (-ai):
5.2.1. Aprašo 2.1 ir 2.2 papunkčiuose nurodyti subjektai - valstybės ar savivaldybės įstaiga ar kitas subjektas, kuris pasiūlė nemokamas apgyvendinimo vietas užsieniečiams apgyvendinti – Aprašo 4.2 papunktyje nurodytam tikslui įgyvendinti;
5.2.2. Valstybės duomenų agentūra, administruojanti VDV platformą – Aprašo 4.1 ir 4.6 papunkčiuose nurodytiems tikslams įgyvendinti;
5.2.3. Migracijos departamentas prie Vidaus reikalų ministerijos – Aprašo 4.4 papunktyje nurodytam tikslui įgyvendinti;
5.2.4. Pabėgėlių priėmimo centras – Aprašo 4.1 ir 4.2 papunkčiuose nurodytiems tikslams įgyvendinti;
5.2.5. Aprašo 2.4 papunktyje nurodytos įstaigos ir (ar) organizacijos – Aprašo 4.2 papunktyje nurodytam tikslui įgyvendinti;
5.3. Duomenų gavėjai:
5.3.1. Lietuvos Respublikos finansų ministerija – Aprašo 4.3 papunktyje nurodytam tikslui įgyvendinti;
5.3.2. Lietuvos Respublikos vidaus reikalų ministerijai – Aprašo 4.5 papunktyje nurodytam tikslui įgyvendinti;
5.3.3. Valstybės duomenų agentūra – Aprašo 4.7 papunktyje nurodytam tikslui įgyvendinti.
6. Apraše vartojamos sąvokos suprantamos taip kaip, kaip jos apibrėžtos 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), UTPĮ, Valstybės ir savivaldybių turto valdymo, naudojimo ir disponavimo juo įstatyme, Lietuvos Respublikos oficialiosios statistikos ir valstybės duomenų valdysenos įstatyme, Lietuvos Respublikos neįgaliųjų socialinės integracijos įstatyme.
II SKYRIUS
SĄRAŠO SUDARYMAS IR ADMINISTRAVIMAS
7. Sąrašas sudaromas VDV platformoje.
8. Sąrašas sudaromas pagal kiekvieną savivaldybę, įtraukiant į jį konkrečios savivaldybės teritorijoje esantį nekilnojamąjį turtą (ar jo dalį), kurį (kurią) užsieniečių nemokamam apgyvendinimui pasiūlė valstybės ar savivaldybės įstaiga ar kitas subjektas.
9. Sąrašo sudarymo ir (ar) užsieniečių nemokamo apgyvendinimo tikslais, valstybės ar savivaldybės įstaigos ar kito subjekto prašymu (teikiama Aprašo 10 punkte nustatyta tvarka), Ministerijos atsakingo valstybės tarnautojo ar darbuotojo, dirbančio pagal darbo sutartį, teikimu (teikiama Aprašo 11 punkte nustatyta tvarka) Valstybės duomenų agentūra, administruojanti VDV platformą (toliau – VDV platformos administratorius) suteikia elektroninę prieigą prie VDV platformos konkrečiam valstybės ar savivaldybės įstaigos, kito subjekto asmeniui, kurį sieja su valstybės ar savivaldybės įstaiga, kitu subjektu darbo arba tarnybos ar sutartiniai santykiai (toliau kartu – valstybės ar savivaldybės įstaigos ar kito subjekto atstovas). Valstybės ar savivaldybės įstaiga ar kitas subjektas duomenų, įskaitant asmens duomenis, tvarkymui gali pasitelkti savivaldybės administraciją, koordinuojančią užsieniečių apgyvendinimą tos savivaldybės teritorijoje, kuri šiuo atveju laikoma pagalbiniu duomenų tvarkytoju. Valstybės ar savivaldybės įstaiga ar kitas subjektas, duomenų, įskaitant asmens duomenis, tvarkymui pasitelkdamas savivaldybės administraciją privalo apie tai informuoti Ministeriją Aprašo 25 punkte nustatyta tvarka. Duomenų, įskaitant asmens duomenis, tvarkymui kaip pagalbinį duomenų tvarkytoją pasitelkus savivaldybės administraciją, valstybės ar savivaldybės įstaigos ar kito subjekto atstovui elektroninė prieiga prie VDV platformos nesuteikiama, o suteikta – panaikinama.
10. Dėl elektroninės prieigos prie VDV platformos suteikimo valstybės ar savivaldybės įstaiga ar kitas subjektas raštu ar elektroninių ryšių priemonėmis (elektroniniu paštu – apgyvendinimas@socmin.lt) (toliau – elektroninių ryšių priemonės) kreipiasi į Ministeriją, nurodydamas kreipimosi tikslą, valstybės ar savivaldybės įstaigos ar kito subjekto atstovo vardą, pavardę, pareigas, elektroninio pašto adresą, telefono ryšio numerį.
11. Ministerija, gavusi valstybės ar savivaldybės įstaigos ar kito subjekto Aprašo 10 punkte nurodytą prašymą, elektroninių ryšių priemonėmis pateikia jį VDV platformos administratoriui, kuris suteikia elektroninės prieigos duomenis (naudotojo vardą ir pradinį slaptažodį) valstybės ar savivaldybės įstaigos ar kito subjekto atstovui, kuriam pavedamos funkcijos tvarkyti savo atstovaujamos valstybės ar savivaldybės įstaigos ar kito subjekto duomenis, įskaitant asmens duomenis, VDV platformoje.
12. Gavęs Aprašo 11 punkte nurodytus elektroninės prieigos prie VDV platformos duomenis, valstybės ar savivaldybės įstaigos ar kito subjekto atstovas VDV platformoje pateikia Aprašo 15.2.1-15.2.4, 15.2.10-15.2.12 ir 15.3 papunkčiuose nurodytus duomenis apie atstovaujamos valstybės ar savivaldybės įstaigos ar kito subjekto užsieniečių nemokamam apgyvendinimui pasiūlytą nekilnojamąjį turtą, kurių pagrindu sukuria apgyvendinimo vietą Sąraše.
13. Jeigu keičiasi valstybės ar savivaldybės įstaigos ar kito subjekto atstovas, kuriam reikia suteikti ar panaikinti elektroninę prieigą prie VDV platformos, valstybės ar savivaldybės įstaiga ar kitas subjektas apie tai privalo raštu ar elektroninių ryšių priemonėmis ne mažiau kaip prieš 5 darbo dienas prieš pasikeitimus pranešti Ministerijai, nurodant valstybės ar savivaldybės įstaigos ar kito subjekto atstovą, kuriam reikia panaikinti prieigą (nurodomas vardas, pavardė) ir (ar) kitą valstybės ar savivaldybės įstaigos ar kito subjekto atstovą, kuriam pavedamos funkcijos teikti ir tvarkyti duomenis VDV platformoje ir reikia suteikti prieigos teises (nurodomas vardas, pavardė, pareigos, elektroninio pašto adresas, telefono ryšio numeris). Šio pranešimo pagrindu Ministerija elektroninių ryšių priemonėmis informuoja VDV platformos administratorių, prašydama panaikinti suteiktą elektroninę prieigą buvusiam ir (ar) suteikti prieigą naujai paskirtam valstybės ar savivaldybės įstaigos ar kito subjekto atstovui, nurodydama šiame Aprašo punkte išvardintus asmens duomenis.
14. Jeigu pasibaigia valstybės ar savivaldybės įstaigos ar kito subjekto planuotas terminas, kuriam buvo skirtas nekilnojamasis turtas užsieniečiams nemokamai apgyvendinti ar dėl kitų priežasčių valstybės ar savivaldybės įstaiga ar kitas subjektas nemokamo apgyvendinimo paslaugų teikti nebegali, valstybės ar savivaldybės įstaiga ar kitas subjektas elektroninių ryšių priemonėmis apie tai informuoja Ministeriją (nurodo valstybės ar savivaldybės įstaigos ar kito subjekto pavadinimą ir nekilnojamojo turto adresą) ir pašalina užsieniečių nemokamam apgyvendinimui skirtą nekilnojamąjį turtą iš Sąrašo. Ministerija, gavusi šiame punkte nurodytą informaciją, elektroninių ryšių priemonėmis kreipiasi į VDV platformos administratorių su prašymu panaikinti valstybės ar savivaldybės įstaigos ar kito subjekto paskirtam atstovui (nurodomas vardas ir pavardė) elektroninę prieigą prie VDV platformos.
15. Sąrašui sudaryti ir tvarkyti VDV platformoje tvarkomi šie duomenys apie valstybės ar savivaldybės įstaigos ar kito subjekto pasiūlytas apgyvendinimo vietas, skirtas užsieniečiams nemokamai apgyvendinti:
15.1. valstybės ar savivaldybės įstaigos ar kito subjekto pavadinimas;
15.2. duomenys apie nekilnojamąjį turtą:
15.2.1. nekilnojamojo turto pavadinimas ir paskirtis;
15.2.2. nekilnojamojo turto adresas;
15.2.3. savivaldybės, kurios teritorijoje yra nekilnojamasis turtas, pavadinimas;
15.2.4. nekilnojamojo turto (pastato) būklės, įrengimo ir komunalinių paslaugų teikimo, sezoniškumo, pritaikymo gyventi skirtingos lyties asmenims ar asmenims su specialiaisiais poreikiais įvertinimas;
15.2.5. patalpų, skirtų užsieniečiams nemokamai apgyvendinti, skaičius (automatiškai apskaičiuojamas duomuo, įvertinus pateiktą patalpų skaičių);
15.2.6. bendras, užsieniečiams nemokamai apgyvendinti skirtų, apgyvendinimo vietų skaičius (automatiškai apskaičiuojamas duomuo, įvertinus pateiktą apgyvendinimo vietų skaičių);
15.2.7. bendras laisvų apgyvendinimo vietų skaičius (automatiškai apskaičiuojamas duomuo, įvertinus neapgyvendintų apgyvendinimo vietų skaičių);
15.2.8. bendras rezervuotų apgyvendinimo vietų skaičius (automatiškai apskaičiuojamas duomuo, įvertinus rezervuotą apgyvendinimo vietų skaičių);
15.2.9. bendras apgyvendintų vietų skaičius (automatiškai apskaičiuojamas duomuo, įvertinus apgyvendintų apgyvendinimo vietų skaičių);
15.2.10. apgyvendinimo laikotarpis (pradžios, pabaigos data);
15.2.11. kontaktinė informacija (telefono ryšio numeris ir elektroninio pašto adresas) apgyvendinimo klausimais;
15.2.12. komentarai ir pastabos, kurios reikalingos užsieniečių nemokamo apgyvendinimo tikslams pasiekti;
15.3. duomenys apie patalpas:
15.3.1. patalpos pavadinimas;
15.3.2. patalpos numeris;
15.3.3. patalpos būklės, įrengimo, įrengimo ir komunalinių paslaugų teikimo, pritaikymo gyventi skirtingos lyties asmenims, suaugusiems ir vaikams, asmenims su specialiaisiais poreikiais įvertinimas;
15.3.4. apgyvendinimo vietų patalpoje skaičius;
15.3.5. laisvų apgyvendinimo vietų patalpoje skaičius;
15.3.6. rezervuotų apgyvendinimo vietų patalpoje skaičius;
15.3.7. apgyvendintų vietų patalpoje skaičius;
15.3.8. apgyvendinimo laikotarpis (pradžios, pabaigos data);
15.3.9. patalpos aukštas pastate;
15.3.10. pastabos ir komentarai, kurios reikalingos užsieniečių nemokamo apgyvendinimo tikslams pasiekti;
15.4. užsieniečio asmens duomenys:
15.4.1. asmens kodas, jeigu užsieniečiui jis suteiktas Lietuvos Respublikos gyventojų registro įstatymo nustatyta tvarka, arba interesų Lietuvoje turinčio užsieniečio (ILTU) kodas;
15.4.2. apgyvendinimo pradžios data;
15.4.3. apgyvendinimo pabaigos data;
15.4.4. kiti užsieniečio asmens duomenys (tapatybę patvirtinantys duomenys (vardas ir pavardė, gimimo data), šeiminė padėtis (šeimos narių skaičius, amžius, lytis), sveikatos būklė (liga, nedarbingumas, negalia, jos lygis, terminas)), reikalingi tinkamai apgyvendinimo vietai užsieniečiui ar jo šeimai parinkti;
15.5. statistiniai ir apžvalgos duomenys (apibendrinti ir pagal kiekvieną savivaldybę):
15.5.1. tinkamų apgyvendinti nekilnojamojo turto objektų skaičius;
15.5.2. tinkamų apgyvendinti vietų (lovų) skaičius;
15.5.3. apgyvendintų užsieniečių skaičius;
15.5.4. laisvų tinkamų apgyvendinti vietų skaičius;
15.5.5. laisvų tinkamų apgyvendinti neįgaliuosius vietų skaičius;
15.5.6. informacija apie apgyvendinimo vietas, kuriose užsieniečių apgyvendinimui reikalingi baldai (lova, stalas, kėdė, spinta ar pan.);
15.5.7. informacija apie apgyvendinimo vietas, kuriose užsieniečių apgyvendinimui reikalingas remontas (paprastasis ar kapitalinis remontas, nurodant būtinų darbų aprašymą);
15.5.8. informacija apie skirtų apgyvendinimo vietų apgyvendinimo laikotarpį (neterminuotas, terminuotas, iki 72 val.);
15.5.9. informacija apie apgyvendinimo vietų buitinius patogumus (virtuvė, sanitariniai mazgai (vonios ar dušo kambarys, tualetas) jų skaičius): bendrojo naudojimo, patalpoje, lauke ir pan.
16. Aprašo 4 punkte nurodytiems tikslams pasiekti elektroninė prieiga prie VDV platformos suteikiama šiems subjektams:
16.1. Ministerijai – suteikiamos teisės tvarkyti Aprašo 15 punkte nurodytus duomenis;
16.2. Lietuvos Respublikos finansų ministerijai – suteikiamos teisės gauti Aprašo 15.5 papunktyje nurodytus duomenis;
16.3. Lietuvos Respublikos vidaus reikalų ministerijai - suteikiamos teisės gauti Aprašo 15.5 papunktyje nurodytus duomenis;
16.4. Valstybės duomenų agentūrai – suteikiamos teisės tvarkyti Aprašo 15 punkte nurodytus duomenis ir gauti Aprašo 15.5 papunktyje nurodytus duomenis;
16.5. Migracijos departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos – tvarkyti Aprašo 15.2.2, 15.4 ir 15.5 papunkčiuose nurodytus duomenis;
16.6. Pabėgėlių priėmimo centrui – suteikiamos teisės tvarkyti Aprašo 15 punkte nurodytus duomenis;
16.7. įstaigoms ir organizacijoms bendradarbiavimo sutarties su Ministerija pagrindu organizuojančioms humanitarinės pagalbos užsieniečiams teikimą ir (ar) apgyvendinimą fizinių ar juridinių asmenų savanoriškai pasiūlytose ir (ar) valstybės ir savivaldybių įstaigų ir kitų subjektų pasiūlytose apgyvendinimo vietose – tvarkomi duomenys nustatomi bendradarbiavimo sutartyse.
17. Ministerija sudaro ir nuolat atnaujina Valstybės ar savivaldybės įstaigų ar kitų subjektų bei jų paskirtų atstovų, kuriems VDV platformos administratorius suteikė elektroninę prieigą prie VDV platformos, sąrašą, kuriame nurodomas valstybės ir savivaldybės įstaigos ir kito subjekto pavadinimas, valstybės ar savivaldybės įstaigos ar kito subjekto atstovo, kuriam VDV platformos administratorius suteikė elektroninę prieigą prie VDV platformos, pareigos, vardas, pavardė, telefono ryšio numeris, elektroninio pašto adresas.
18. Ministerija, koordinuodama Sąrašo sudarymą, nemokamą užsieniečių apgyvendinimą, stebėdama duomenų, įskaitant asmens duomenų, tvarkymą, turi teisę tikrinti ir, esant poreikiui, tikslinti duomenis Sąraše bei teikti pastabas ir rekomendacijas duomenų tvarkytojams dėl Sąraše tvarkomų duomenų.
19. Valstybės duomenų agentūra tvarko su Sąrašo sudarymu, administravimu ir užsieniečių nemokamu apgyvendinimu susijusius duomenis, įskaitant asmens duomenis, nurodytus Aprašo 15 punkte, tiek, kiek tai reikalinga VDV platformos administravimo, finansų ministro tvirtinamos Valstybės duomenų valdysenos programos įgyvendinimo, oficialiosios statistikos ir apibendrintų duomenų rengimo ir teikimo Nutarimo 3.4.1.9 papunktyje nurodytiems subjektams tikslais.
20. Siekiant efektyviai išnaudoti valstybės ar savivaldybių įstaigų ar kitų subjektų pasiūlytas apgyvendinimo vietas, Aprašo 5.2.1 papunktyje nurodyti duomenų tvarkytojai privalo tvarkyti duomenis, įskaitant asmens duomenis, VDV platformoje, nuolat atnaujinti duomenis apie pasiūlytas apgyvendinimo vietas, fiksuoti užsieniečių apgyvendinimą, apgyvendintų užsieniečių iškeldinimą. Vykdant užsieniečio, kuriam suteikiamas nemokamas apgyvendinimas valstybės ar savivaldybių įstaigų ar kitų subjektų pasiūlytose apgyvendinimo vietose, apgyvendinimą VDV platformoje privaloma nurodyti užsieniečio pateiktą asmens kodą, jeigu užsieniečiui jis suteiktas Lietuvos Respublikos gyventojų registro įstatymo nustatyta tvarka, arba ILTU kodą ir apgyvendinimo datą. Užsieniečio iškeldinimo atveju privaloma VDV platformoje fiksuoti užsieniečio iškeldinimo iš valstybės ar savivaldybių įstaigų ar kitų subjektų pasiūlytos apgyvendinimo vietos faktą ir nurodyti iškeldinimo datą.
III SKYRIUS
DUOMENŲ VALDYTOJO PAREIGOS IR NURODYMAI DUOMENŲ TVARKYTOJAMS
21. Tvarkomus duomenis, jų apimtį kiekvienam duomenų tvarkytojui VDV platformoje priskiria VDV platformos administratorius, vadovaudamasis Ministerijos nurodymais. Duomenys, įskaitant asmens duomenis, VDV platformoje tvarkomi vadovaujantis VDV platformoje pateikta instrukcija dėl duomenų tvarkymo.
22. Duomenų valdytojas privalo:
22.1. užtikrinti, kad vadovaujantis Reglamento (ES) 2016/679 24 straipsniu, asmens duomenys būtų tvarkomi laikantis Reglamento (ES) 2016/679 bei kitų asmens duomenų apsaugą reglamentuojančių Europos Sąjungos ar nacionalinės teisės aktų ir Aprašo;
22.2. priimti sprendimus dėl asmens duomenų tvarkymo tikslų ir priemonių;
22.3. užtikrinti, kad asmens duomenų tvarkymas, kurį duomenų tvarkytojui pavesta atlikti, turėtų teisinį pagrindą;
22.4. gavęs duomenų tvarkytojo prašymą, nedelsiant, bet ne vėliau nei per 10 (darbo) dienų suteikti duomenų tvarkytojui reikiamą informaciją, susijusią su Apraše nurodytų duomenų tvarkytojo pareigų įgyvendinimu pagal Aprašo ir kitų teisės aktų reikalavimus, jei tokios informacijos reikia duomenų tvarkytojo vykdomoms asmens duomenų tvarkymo operacijoms užtikrinti.
23. Duomenų tvarkytojas privalo:
23.1. tvarkyti asmens duomenis tik pagal Aprašo bei kitų asmens duomenų apsaugą ir tvarkymą reglamentuojančių Europos Sąjungos ir nacionalinės teisės aktų reikalavimus ir duomenų valdytojo dokumentais įformintus ar kita rašytine forma pateiktus nurodymus, išskyrus atvejus, kai to reikalaujama pagal Europos Sąjungos ar jos valstybės narės teisės aktus, kurie yra taikomi duomenų tvarkytojui ir apie kuriuos duomenų tvarkytojas informuoja duomenų valdytoją. Duomenų valdytojas taip pat gali pateikti tolesnius nurodymus viso asmens duomenų tvarkymo metu;
23.2. nedelsiant informuoti duomenų valdytoją, jei duomenų valdytojo nurodymai, duomenų tvarkytojo nuomone, prieštarauja Reglamentui (ES) 2016/679 arba kitiems asmens duomenų apsaugą reglamentuojantiems Europos Sąjungos ar jos valstybių narių teisės aktams;
23.3. tvarkyti su visų kategorijų su asmens duomenų tvarkymo veikla, vykdoma duomenų valdytojo vardu, susijusius įrašus. Ši pareiga taikoma duomenų tvarkytojui ir, kai taikoma, duomenų tvarkytojo atstovui pagal Reglamento (ES) 2016/679 30 straipsnio 2 dalį;
23.4. asmens duomenis tvarkyti tik Aprašo įgyvendinimo tikslu ir tvarka, teisėtais būdais, arba laikantis Aprašo 2.4 papunktyje nurodytos bendradarbiavimo sutarties reikalavimų ir duomenų valdytojo nurodymų;
23.5. įgyvendinti pagrindines technines ir organizacines asmens duomenų saugumo priemones, suderintas su duomenų valdytoju, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo ar kitokio neteisėto tvarkymo.
24. Duomenų tvarkytojas užtikrina, kad jo paskirtas atstovas, kuris tvarko Apraše nurodytus duomenis, yra įpareigotas užtikrinti tvarkomų duomenų, įskaitant asmens duomenis, konfidencialumą, pasirašytinai supažindintas su asmens duomenų tvarkymo ir apsaugos reikalavimais bei atsakomybe už konfidencialumo pareigos nesilaikymą. Duomenų tvarkytojas duomenų valdytojo prašymu įrodo, kad asmenims, kuriems vadovauja duomenų tvarkytojas ir kuriems pavesta tvarkyti asmens duomenis, taikoma ši konfidencialumo pareiga.
25. Duomenų valdytojas duoda išankstinį bendrą leidimą duomenų tvarkytojui pasitelkti pagalbinius duomenų tvarkytojus, nurodytus Aprašo 9 punkte. Duomenų tvarkytojas apie pagalbinio duomenų tvarkytojo pasitelkimą turi raštu pranešti duomenų valdytojui ne mažiau kaip prieš 10 darbo dienų iki atitinkamo pagalbinio duomenų tvarkytojo pasitelkimo, nurodydamas pagalbinio duomenų tvarkytojo pavadinimą, numatomą pasitelkimo datą ir pavedamas asmens duomenų tvarkymo operacijas. Tokiu atveju duomenų valdytojas, nesutikdamas su pagalbinio duomenų tvarkytojo pasitelkimu, raštu informuoja apie tai duomenų tvarkytoją per 3 darbo dienas nuo duomenų tvarkytojo pranešimo gavimo dienos. Jeigu duomenų valdytojas nesutinka su nurodyto pagalbinio duomenų tvarkytojo pasitelkimu, duomenų tvarkytojas jo pasitelkti negali.
26. Kai duomenų tvarkytojas konkrečiai duomenų tvarkymo veiklai atlikti pasitelkia pagalbinį duomenų tvarkytoją, duomenų tvarkytojas privalo užtikrinti, kad sutartimi ar kitu teisės aktu pagal Europos Sąjungos ar valstybės narės teisę, tam pagalbiniam duomenų tvarkytojui būtų nustatomos tos pačios duomenų apsaugos prievolės, kaip ir prievolės, nustatytos Aprašo 2.4 papunktyje nurodytos bendradarbiavimo sutartyje ar kitame teisės akte, visų pirma prievolė pakankamai užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Reglamento (ES) 2016/679 reikalavimus.
27. Jei pagalbinis duomenų tvarkytojas nevykdo asmens duomenų apsaugos prievolių, Duomenų tvarkytojas, išlieka visiškai atsakingas duomenų valdytojui už pagalbinio duomenų tvarkytojo prievolių vykdymą. Tai nedaro įtakos duomenų subjektų teisėms pagal Reglamentą (ES) 2016/679, ypač Reglamento (ES) 2016/679 79 ir 82 straipsniuose numatytoms teisėms, duomenų valdytojo ir duomenų tvarkytojo, įskaitant pagalbinių duomenų tvarkytojų atžvilgiu.
28. Duomenų tvarkytojas asmens duomenis gali perduoti į trečiąsias valstybes ar tarptautinėms organizacijoms tik gavęs duomenų valdytojo dokumentais įformintus nurodymus ir laikantis Reglamento (ES) 2016/679 V skyriaus reikalavimų.
29. Duomenų tvarkytojo organizacijoje įvykus tvarkomų duomenų saugumo pažeidimui, duomenų tvarkytojas:
29.1. nedelsdamas, tačiau ne vėliau kaip pažeidimo nustatymo dieną informuoja apie asmens duomenų saugumo pažeidimą Ministeriją, jeigu pagal asmens duomenų saugumo pažeidimo pobūdį Ministerijai būtina imtis skubių priemonių galimoms neigiamoms asmens duomenų saugumo pažeidimo pasekmėms sumažinti ir, jei įmanoma − priemonių pašalinti asmens duomenų saugumo pažeidimą, nurodydamas asmens duomenų saugumo pažeidimo aplinkybes ir siūlomas taikyti technines ir (ar) organizacines priemones;
29.2. nepagrįstai nedelsdamas, tačiau ne ilgiau kaip per 24 val. nuo pažeidimo nustatymo raštu (registruotu laišku arba elektroninėmis ryšio priemonėmis) pateikia išsamią informaciją apie asmens duomenų saugumo pažeidimą Ministerijai, nurodydamas šiuos duomenis: asmens duomenų saugumo pažeidimo data, laikas ir vieta; asmens duomenų saugumo pažeidimo nustatymo data ir laikas; asmens duomenų saugumo pažeidimo aplinkybės (nurodoma, ar tai konfidencialumo pažeidimas, ar prieinamumo pažeidimas, ar vientisumo pažeidimas ir pateikiamas platesnis pažeidimo aplinkybių paaiškinimas); duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius ir kategorijos; apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius ir kategorijos; žinomų duomenų subjektų, kurių asmens duomenų saugumas pažeistas, vardai, pavardė,; tikėtinos ir (ar) atsiradusios asmens duomenų saugumo pažeidimo pasekmės; priemonės, kurių jau imtasi arba siūloma imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas arba kad būtų sumažintos jo sukeltos pasekmės; kita informacija, duomenų tvarkytojo manymu reikšminga asmens duomenų saugumo pažeidimo mastui ir tikėtinoms pasekmėms nustatyti;
29.3. nedelsiant imasi priemonių galimoms neigiamoms asmens duomenų saugumo pažeidimo pasekmėms sumažinti ir, jei įmanoma − priemonių pašalinti asmens duomenų saugumo pažeidimą;
29.4. per Ministerijos nurodytą terminą pateikia Ministerijai visą jos paprašytą informaciją apie asmens duomenų saugumo pažeidimą.
30. Atsižvelgdamas į duomenų tvarkymo pobūdį, duomenų tvarkytojas, kiek tai įmanoma, padeda duomenų valdytojui tinkamomis techninėmis ir organizacinėmis priemonėmis įvykdyti duomenų valdytojo prievoles atsakyti į prašymus naudotis duomenų subjekto teisėmis, nustatytomis Reglamento (ES) 2016/679 III skyriuje. Duomenų tvarkytojas pats duomenų subjekto teisių, kiek tai susiję su duomenų valdytojo valdomais asmens duomenimis, neįgyvendina, nebent yra pateikiamas atskiras duomenų valdytojo nurodymas dėl duomenų subjekto teisių įgyvendinimo. Duomenų tvarkytojas, gavęs tokį duomenų subjekto prašymą, perduoda jį duomenų valdytojui ne vėliau kaip per 3 darbo dienas ir apie tai informuoja duomenų subjektą.
Duomenų tvarkytojas padeda duomenų valdytojui įgyvendinti duomenų subjekto prašymą pateikdamas duomenų valdytojui visus reikiamus dokumentus ar kitą informaciją, reikalingą, kad duomenų valdytojas galėtų tinkamai įgyvendinti duomenų subjekto teises, nustatytas Reglamento (ES) 2016/679 15–22 straipsniuose. Ši pagalba teikiama ir duomenų subjektui pateikus prašymą suteikti informaciją pagal Reglamento (ES) 2016/679 13–14 straipsnius.
31. Duomenų tvarkytojas, atsižvelgdamas į asmens duomenų tvarkymo pobūdį ir duomenų tvarkytojui prieinamą informaciją, taip pat padeda duomenų valdytojui užtikrinti:
31.1. Duomenų valdytojo pareigą nedelsiant ir, jei įmanoma, ne vėliau kaip per 72 valandas po to, kai apie tai sužinojo, pranešti apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai, nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms.
31.2. Duomenų valdytojo pareigą nedelsiant pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą, kai asmens duomenų saugumo pažeidimas gali sukelti didelę riziką fizinių asmenų teisėms ir laisvėms;
31.3. Duomenų valdytojo pareigą atlikti numatytų asmens duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimą bei duomenų valdytojo pareigą konsultuotis su Valstybine duomenų apsaugos inspekcija prieš pradedant duomenų tvarkymą, jei poveikio duomenų apsaugos vertinimas rodo, kad duomenų tvarkymas sukeltų didelę riziką, jei duomenų valdytojas nesiimtų priemonių tai rizikai sumažinti. Duomenų valdytojui paprašius, teikia informaciją apie asmens duomenų tvarkymo veiksmus, techninius asmens duomenų tvarkymo procesus, asmens duomenų saugumo priemones, kitaip pagal situaciją ir galimybes padeda duomenų valdytojui įvykdyti Reglamento (ES) 2016/679 35‒36 straipsniuose nustatytas duomenų valdytojo pareigas;
31.4. savo kompetencijos ribose ‒ duomenų ir dokumentų pateikimą duomenų valdytojui duomenų valdytojo nustatytais terminais, kiek to reikia duomenų valdytojo atskaitomybės principui įgyvendinti pagal Reglamento (ES) 2016/679 5 straipsnio 2 dalį.
32. Ministerija turi teisę duoti rašytinius nurodymus duomenų tvarkytojui dėl asmens duomenų tvarkymo.
33. Ministerija turi teisę reikalauti duomenų tvarkytojo pateikti informaciją ir (ar) dokumentus, kurių reikia norint įsitikinti, kad duomenų tvarkytojas tinkamai tvarko Apraše nurodytus duomenis. Duomenų tvarkytojas privalo raštu ar elektroninio ryšio priemonėmis per Ministerijos nustatytą terminą Ministerijai pateikti šią informaciją ir (ar) dokumentus. Prireikus Ministerija turi teisę atlikti asmens duomenų tvarkymo patikrinimus (įskaitant patikrinimus duomenų tvarkytojo patalpose ar kitose vietose, kuriose duomenų tvarkytojas tvarko asmens duomenis) ir auditus. Duomenų tvarkytojas privalo sudaryti sąlygas bei padėti Ministerijai arba kitam Ministerijos įgaliotam auditoriui atlikti auditą ir patikrinimus.
34. Duomenų valdytojo atliekamam duomenų tvarkytojo ir pagalbinių duomenų tvarkytojų auditui, įskaitant patikrinimus, taikomos šios procedūros:
34.1. Duomenų valdytojas turi teisę atlikti patikrinimus, siekiant įsitikinti, kad duomenų tvarkytojas arba pagalbinis duomenų tvarkytojas ėmėsi atitinkamų priemonių vykdydamas Aprašą, todėl duomenų valdytojui prašant, iš anksto suderinus patikrinimo vykdymo laiką, duomenų tvarkytojas arba pagalbinis duomenų tvarkytojas sudaro sąlygas bei padeda jam arba kitam duomenų valdytojo įgaliotam auditoriui atlikti asmens duomenų apsaugos auditą, įskaitant patikrinimus apie tai, kaip duomenų tvarkytojas arba pagalbinis duomenų tvarkytojas laikosi Reglamento (ES) 2016/679 reikalavimų, galiojančių Europos Sąjungos ar jos valstybės narės asmens duomenų apsaugos nuostatų ir Aprašo. Duomenų valdytojas ir duomenų tvarkytojas su auditu susijusias išlaidas apmoka savarankiškai;
34.2. be suplanuoto patikrinimo, duomenų valdytojas gali atlikti duomenų tvarkytojo ar pagalbinio duomenų tvarkytojo neplaninį patikrinimą, kai duomenų valdytojas mano, kad to reikia, arba jei duomenų valdytojas mano, kad duomenų tvarkytojas, prižiūrintis pagalbinį duomenų tvarkytoją, duomenų valdytojui nepateikė pakankamai dokumentų, kad būtų galima nustatyti, ar pagalbinis duomenų tvarkytojas atlieka duomenų tvarkymą pagal Aprašą;
34.3. Duomenų valdytojo dalyvavimas pagalbinio duomenų tvarkytojo patikrinime nekeičia fakto, kad duomenų tvarkytojui ir toliau tenka visa atsakomybė už pagalbinio duomenų tvarkytojo atitiktį Reglamentui (ES) 2016/679, galiojančioms Europos Sąjungos ar jos valstybių narių duomenų apsaugos nuostatoms ir Aprašui;
34.4. auditoriaus patikrinimo ataskaita, nedelsiant turi būti pateikta susipažinimui duomenų valdytojui. Duomenų valdytojas gali užginčyti ataskaitos apimtį ir (arba) metodiką ir tokiais atvejais gali paprašyti atlikti naują auditą arba patikrinimą pagal pakeistą taikymo sritį ir (arba) kitokią metodiką;
34.5. remdamasis tokio audito ar patikrinimo rezultatais, duomenų valdytojas gali paprašyti imtis papildomų priemonių, kad būtų užtikrinta atitiktis Reglamentui (ES) 2016/679, galiojančioms Europos Sąjungos ar jos valstybių narių asmens duomenų apsaugos nuostatoms ir Aprašui;
34.6. Duomenų valdytojas arba duomenų valdytojo atstovas turi teisę patikrinti vietas, įskaitant atlikti jų fizinę apžiūrą, kuriose duomenų tvarkytojas arba pagalbinis duomenų tvarkytojas tvarko asmens duomenis, įskaitant fizines priemones, taip pat sistemas, naudojamas ir susijusias su asmens duomenų apdorojimu. Duomenų valdytojo išlaidas, susijusias su fizine apžiūra, apmoka duomenų valdytojas, tačiau duomenų tvarkytojas arba pagalbinis duomenų tvarkytojas privalo bendradarbiauti duomenų valdytojui atliekant patikrinimą. Toks patikrinimas atliekamas tada, kai duomenų valdytojai mano, kad to reikia.
35. Duomenų tvarkytojas turi suteikti priežiūros institucijoms, kurios pagal galiojančius teisės aktus turi prieigą prie duomenų valdytojo ir duomenų tvarkytojo įrenginių, arba atstovams, veikiantiems tokių priežiūros institucijų vardu, prieigą prie duomenų tvarkytojo fizinių priemonių tinkamo identifikavimo pateikimui ar atlikti kitus priežiūros institucijų nurodytus veiksmus auditui ar kitam patikrinimui atlikti.
36. Ministerija, sužinojusi ar nustačiusi, kad duomenų tvarkytojas netinkamai vykdo Apraše ir (ar) teisės aktuose nustatytus asmens duomenų apsaugos reikalavimus, apie tai informuoja duomenų tvarkytoją ir turi teisę siūlyti VDV platformos administratoriui apriboti ar panaikinti duomenų tvarkytojui suteiktą prieigą prie VDV platformos. Pašalinus nustatytus duomenų, įskaitant asmens duomenis, tvarkymo neatitikimus, duomenų tvarkytojas raštu informuoja Ministeriją apie pasirengimą tinkamai vykdyti Apraše ir (ar) teisės aktuose nustatytus asmens duomenų apsaugos reikalavimus per 5 darbo dienas nuo šių aplinkybių atsiradimo dienos. Ministerija, įvertinusi iš duomenų tvarkytojo gautą informaciją, gali siūlyti VDV platformos administratoriui atnaujinti duomenų tvarkytojui suteiktą prieigą prie VDV platformos.
37. Pasibaigus Nutarime nurodytam laikinosios apsaugos suteikimo laikotarpiui, VDV platformos administratorius panaikina duomenų tvarkytojams suteiktas prieigas prie VDV platformos.
