LIETUVOS RESPUBLIKOS VALSTYBĖS SAUGUMO DEPARTAMENTO
DIREKTORIUS
ĮSAKYMAS
DĖL ASMENS DUOMENŲ TVARKYMO LIETUVOS RESPUBLIKOS VALSTYBĖS SAUGUMO DEPARTAMENTE TAISYKLIŲ PATVIRTINIMO
2020 m. spalio 6 d. Nr. 1-90
Vilnius
Vadovaudamasis Lietuvos Respublikos žvalgybos įstatymo 31 straipsnio 6 dalies 1 ir 7 punktais, siekdamas užtikrinti Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymo bei Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB nuostatų įgyvendinimą,
tvirtinu Asmens duomenų tvarkymo Lietuvos Respublikos valstybės saugumo departamente taisykles (pridedama).
PATVIRTINTA
Lietuvos Respublikos valstybės
saugumo
departamento direktoriaus
2020 m. spalio 6 d. įsakymu Nr. 1-90
ASMENS DUOMENŲ TVARKYMO LIETUVOS RESPUBLIKOS VALSTYBĖS SAUGUMO DEPARTAMENTE TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo Lietuvos Respublikos valstybės saugumo departamente taisyklių (toliau – Taisyklės) tikslas – nustatyti asmens duomenų tvarkymui keliamų reikalavimų įgyvendinimo tvarką Lietuvos Respublikos valstybės saugumo departamente (toliau – VSD).
2. Asmens duomenys VSD yra tvarkomi nacionalinio saugumo tikslais, vadovaujantis Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ir gynybos tikslais, teisinės apsaugos įstatymo (toliau – Įstatymas) nuostatomis. Atvejai, kai asmens duomenys tvarkomi nacionalinio saugumo tikslais, numatyti Lietuvos Respublikos žvalgybos įstatymo 161 straipsnio 3 dalyje.
3. Kitais nei nacionalinio saugumo tikslais asmens duomenys tvarkomi VSD, vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Reglamentas) bei Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.
4. Asmens duomenys VSD yra tvarkomi automatiniu būdu VSD informacinėse sistemose bei neautomatiniu būdu susistemintose rinkmenose tik Įstatymo 5 ir 7 straipsniuose bei Reglamento 6 straipsnyje nurodytais pagrindais. Specialių kategorijų asmens duomenys yra tvarkomi laikantis Įstatymo 8 straipsnyje bei Reglamento 9 straipsnyje nustatytų reikalavimų.
5. VSD taip pat vadovaujasi ir kitais, su VSD veikla susijusiais teisės aktais, kuriuos įgyvendinant yra būtina tvarkyti asmens duomenis.
6. VSD tvarkomų asmens duomenų subjektų, jų asmens duomenų kategorijos (taip pat ir specialių kategorijų duomenys) ir šių duomenų tvarkymo tikslai, tvarkymo operacijos, saugojimo terminai, kaip numatyta Įstatymo 22 straipsnyje bei Reglamento 30 straipsnyje, yra nurodomi VSD direktoriaus tvirtinamuose duomenų tvarkymo veiklos įrašuose. Šie įrašai gali būti pateikiami Priežiūros institucijai, gavus jos prašymą.
7. Taisyklių privalo laikytis visi VSD žvalgybos pareigūnai ir asmenys, dirbantys pagal darbo sutartis (toliau visi kartu – pareigūnai), kurie tvarko asmens duomenis arba, eidami savo pareigas, juos sužino.
8. Taisyklėse vartojamos sąvokos:
8.1. Duomenų valdytojas – kompetentinga institucija pagal Įstatymą ir (ar) valdžios institucija (valstybės institucija) pagal Reglamentą, nustatanti asmens duomenų tvarkymo tikslus ir priemones.
8.2. Duomenų tvarkytojas – VSD struktūrinis padalinys ir (ar) VSD pareigūnas, atliekantis asmens duomenų tvarkymo veiksmus VSD, kaip Duomenų valdytojo, vardu.
8.3. Duomenų apsaugos pareigūnas – VSD pareigūnas, paskirtas atlikti Įstatymo 33 straipsnyje numatytas funkcijas bei Reglamento 39 straipsnyje numatytas užduotis.
8.4. Priežiūros institucija:
8.4.1. tuo atveju, kai asmens duomenys VSD yra tvarkomi nacionalinio saugumo tikslais – Lietuvos Respublikos Seimo kontrolieriai, kaip numatyta Lietuvos Respublikos žvalgybos įstatymo 161 straipsnio 5 dalyje bei 23 straipsnyje;
II SKYRIUS
ASMENS DUOMENŲ VALDYTOJO BEI ASMENS DUOMENŲ TVARKYTOJŲ TEISĖS IR PAREIGOS
9. VSD yra tvarkomų asmens duomenų valdytojas (toliau – Duomenų valdytojas), šių Taisyklių ir kitų teisės aktų numatyta tvarka įgyvendinantis asmens duomenų valdytojo teises ir pareigas pagal Įstatymo 17 straipsnį ir Reglamento 24 straipsnį.
10. VSD pareigūnai, tvarkydami asmens duomenis:
10.1. privalo:
10.1.1. laikytis asmens duomenų tvarkymo ir saugumo reikalavimų, įtvirtintų Reglamente, Įstatyme bei Taisyklėse ir kituose, asmens duomenų tvarkymą reglamentuojančiuose, teisės aktuose;
10.1.2. laikytis asmens duomenų konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria susipažino vykdant savo funkcijas, visą tarnybos (darbo) laiką ir pasibaigus tarnybos (darbo) santykiams;
10.1.3. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su asmens duomenimis nė vienam asmeniui, kuris nėra įgaliotas tvarkyti asmens duomenis ar kurio tiesioginėms funkcijoms atlikti nėra būtina tvarkyti asmens duomenis;
10.1.4. atlikti tik tuos asmens duomenų tvarkymo veiksmus, kuriuos atlikti jam yra suteiktos teisės dėl einamų pareigų;
10.1.6. dokumentus, kuriuose yra asmens duomenys (įsakymus, prašymus, raštus, sutartis ir kitus dokumentus, jų kopijas ar išrašus, taip pat asmens bylas, kompiuterines duomenų laikmenas su asmens duomenimis ir kt.), elektroniniu būdu tvarkyti tik VSD ryšių ir informacinėse sistemose, kuriose duomenys yra tvarkomi laikantis Lietuvos Respublikos teisės aktuose numatytų duomenų apsaugos reikalavimų;
10.2. turi teisę:
10.2.1. gauti iš Duomenų valdytojo ir (ar) jo įgaliotų asmenų visą reikalingą informaciją ir metodinę pagalbą teisės aktus atitinkančiam asmens duomenų tvarkymui vykdyti;
10.2.2. konsultuotis su duomenų apsaugos pareigūnu dėl tvarkant asmens duomenis iškylančių klausimų;
11. Pareigūnams draudžiama savavališkai tvarkyti asmens duomenis ir (ar) naudoti juos asmeniniams, su vykdomomis funkcijomis nesusijusiems, tikslams.
III SKYRIUS
DUOMENŲ APSAUGOS PAREIGŪNO VEIKLA
13. VSD yra skiriamas tiesiogiai VSD direktoriui (Duomenų valdytojo vadovui) atskaitingas duomenų apsaugos pareigūnas, kuris, atlikdamas patariamąją funkciją VSD asmens duomenų tvarkymo procese:
13.1. stebi ir analizuoja, kaip laikomasi Taisyklėse ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, numatytų reikalavimų ir teikia siūlymus Duomenų valdytojo vadovui dėl asmens duomenų apsaugos priemonių, asmens duomenų tvarkymo bei asmens duomenų apsaugos reglamentavimo tobulinimo;
13.2. derina VSD rengiamų teisės aktų, reglamentuojančių asmens duomenų apsaugą ir jų tvarkymą, projektus;
13.3. informuoja Duomenų tvarkytojus apie jų pareigas, nustatytas asmens duomenų apsaugą reglamentuojančiuose teisės aktuose, ir konsultuoja juos šiais klausimais;
13.5. dalyvauja nagrinėjant su asmens duomenų tvarkymo procesu ir asmens duomenų apsaugos užtikrinimu susijusius klausimus ir teikia rekomendacijas apie priimamų sprendimų atitiktį asmens duomenų tvarkymą reglamentuojančių teisės aktų nuostatoms bei jų keliamą riziką asmens duomenų tvarkymo saugumui ir pataria, kokių priemonių turėtų būti imtasi;
13.6. konsultuoja Duomenų valdytoją (teikia pagalbą Duomenų valdytojui) atliekant numatomų tvarkymo operacijų poveikio duomenų apsaugai vertinimą ir rengiant poveikio duomenų apsaugai vertinimo ataskaitą, taip pat atliekant asmens duomenų tvarkymo rizikos vertinimą, rengiant jo ataskaitą;
13.8. konsultuoja Duomenų valdytoją ir (ar) Duomenų tvarkytojus nagrinėjant duomenų subjektų paklausimus, prašymus ir skundus dėl asmens duomenų tvarkymo;
13.9. gavęs informaciją apie asmens duomenų saugumo pažeidimą, priemones, kurių buvo imtasi asmens duomenų saugumo pažeidimo padariniams pašalinti ar sušvelninti, teikia Duomenų valdytojo vadovui siūlymus dėl nurodymų VSD pareigūnams imtis papildomų saugumo priemonių, kurias privalu pritaikyti. Taip pat Įstatymo 30 straipsnyje bei Reglamento 33 ir 34 straipsniuose nustatytais atvejais teikia Duomenų valdytojo vadovui siūlymus dėl pranešimų apie asmens duomenų saugumo pažeidimus Priežiūros institucijai ir (ar) duomenų subjektui (ar privalo konkrečiu atveju tokį pranešimą pateikti). Duomenų valdytojo vadovo pavedimu vykdo VSD tvarkomų asmens duomenų saugumo pažeidimų apskaitą;
14. Duomenų apsaugos pareigūnas, vykdydamas Taisyklių 13 punkte numatytas funkcijas, turi teisę:
14.1. gauti visą informaciją, reikalingą duomenų apsaugos pareigūno funkcijoms vykdyti nedelsiant arba per duomenų apsaugos pareigūno nustatytus terminus;
14.2. vykdydamas savo funkcijas, pasitelkti VSD struktūrinių padalinių pareigūnus, jei atitinkamų funkcijų vykdymui (užduočių atlikimui) reikalingos specialiosios žinios;
14.3. Duomenų valdytojui nagrinėjant su asmens duomenų tvarkymo procesu ir asmens duomenų apsaugos užtikrinimu susijusius klausimus (vykdant veiklos tobulinimus, numatant naujas duomenų tvarkymo operacijas, rengiant teisės aktų projektus, svarstant duomenų subjektų skundus, prašymus ir pan.), būti informuotas ir įtrauktas į šio klausimo svarstymą pirminiame jo etape (iki sprendimo projekto pateikimo);
15. Duomenų apsaugos pareigūnas nuomonę bei rekomendacijas, konsultacijas svarstomu klausimu įprastai teikia žodine forma arba neoficialia rašytine forma (elektroniniu paštu). Tais atvejais, kai atsisakoma ar vengiama atsižvelgti į duomenų apsaugos pareigūno rekomendacijas, pastabos teikiamos raštu (tarnybinio pranešimo ar kita atitinkama forma per VSD dokumentų valdymo sistemą).
16. Duomenų apsaugos pareigūnas, vykdydamas savo funkcijas, laikosi nepriklausomumo ir nešališkumo principų ir atlieka savo pareigas taip, kad nekiltų interesų konfliktas. Duomenų apsaugos pareigūnas negali spręsti klausimų dėl asmens duomenų tvarkymo tikslų ir priemonių nustatymo VSD.
IV SKYRIUS
ASMENS DUOMENŲ TVARKYMO REIKALAVIMAI IR ASMENS DUOMENŲ SAUGUMO UŽTIKRINIMAS VSD
18. VSD asmens duomenys tvarkomi laikantis šių reikalavimų:
18.1. asmens duomenys turi būti tikslūs ir, jei reikia, nuolat atnaujinami; netikslūs ar neišsamūs, pasenę duomenys turi būti nedelsiant ištaisyti, papildyti, ištrinti (sunaikinti) arba sustabdytas jų tvarkymas (nepersiunčiami ir nesudaroma galimybė jais naudotis);
18.2. asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi;
18.3. asmens duomenys turi būti tvarkomi taip, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi, pasiekti;
18.4. prieš persiunčiant asmens duomenis kompetentingai institucijai ar suteikiant galimybę jais naudotis, turi būti patikrinama asmens duomenų kokybė ir pridedama būtina papildoma informacija, suteikianti galimybę patikrinti šių duomenų tikslumą, išsamumą ir patikimumą;
18.4. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su asmens duomenimis asmeniui, kuris nėra įgaliotas tvarkyti asmens duomenų;
18.5. laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria susipažinta vykdant savo funkcijas, išskyrus, jeigu tokia informacija buvo vieša;
18.6. asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ir organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;
18.7. siekiant užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, asmens duomenys (dokumentai, kuriuose yra asmens duomenys, ar jų kopijos, dokumentų (duomenų) rinkmenos) neturi būti laikomi visiems prieinamoje, matomoje vietoje, kur neturintys teisės asmenys nekliudomai galėtų su jais susipažinti, vengti nereikalingų kopijų darymo;
18.8. kai asmens duomenys nebereikalingi jų tvarkymo tikslams, dokumentai, kuriuose yra asmens duomenys, ir jų kopijos turi būti sunaikinti nedelsiant ir taip, kad jų nebūtų galima atkurti ir atpažinti turinio, išskyrus tuos, atvejus, kai tokį sunaikinimą riboja kiti teisės aktai (pvz., Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymas, Lietuvos Respublikos dokumentų ir archyvų įstatymas ir kt.);
18.20. įvykus asmens duomenų saugumo pažeidimui, turi būti nedelsiant imtasi visų taisomųjų veiksmų ir priemonių pažeidimui bei jo padariniams pašalinti;
19. Asmens duomenų (dokumentų, kuriuose yra asmens duomenys, ar jų kopijų) saugojimo terminai VSD nustatomi vadovaujantis VSD direktoriaus tvirtinamu VSD dokumentacijos planu, rengiamu pagal Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymo bei jį įgyvendinančių teisės aktų nuostatas, Dokumentų tvarkymo ir apskaitos taisykles, patvirtintas 2019 m. gruodžio 12 d. Lietuvos vyriausiojo archyvaro įsakymu Nr. V-118 „Dėl Dokumentų tvarkymo ir apskaitos taisyklių patvirtinimo“ (toliau – Dokumentų tvarkymo ir apskaitos taisyklės).
20. Dokumentai, kuriuose yra asmens duomenys, yra rengiami, tvarkomi, saugomi ir naikinami kaip numatyta Dokumentų tvarkymo ir apskaitos tvarkymo taisyklėse, Įslaptintos informacijos administravimo ir išslaptinimo tvarkos apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 820 „Dėl Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymo įgyvendinimo“ bei vidiniuose VSD teisės aktuose.
21. Asmens duomenų (dokumentų, kuriuose yra asmens duomenys, ar jų kopijų) saugojimo ir ištrynimo (sunaikinimo) terminai, kurie nustatomi, kaip numatyta Taisyklių 19-20 punktuose, peržiūrimi ne rečiau kaip kas dvejus metus.
22. Duomenų valdytojas įgyvendina organizacines ir technines asmens duomenų saugumo priemones, skirtas užtikrinti tinkamą asmens duomenų saugumą, taip pat apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo.
23. Asmens duomenys (dokumentai, kuriuose yra asmens duomenys, ar jų kopijos, dokumentų (duomenų) rinkmenos) tvarkomi ir saugomi tam pritaikytose administracinėse patalpose, kuriose įdiegta įeigos kontrolė, bei VSD ryšių ir informacinės sistemose.
24. VSD ryšių ir informacinės sistemose esančių duomenų tvarkymo bei saugojimo tvarką, duomenų saugumo užtikrinimo priemones nustato Bendrasis elektroninės informacijos saugos reikalavimų aprašas, patvirtintas 2013 m. liepos 24 d. Lietuvos Respublikos Vyriausybės nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, VSD ryšių ir informacinės sistemos naudotojų administravimo tvarkos aprašas, patvirtintas VSD direktoriaus 2016 m. gegužės 5 d. įsakymu Nr. 2-88 „Dėl Lietuvos Respublikos valstybės saugumo departamento ryšių ir informacinės sistemos naudotojų administravimo tvarkos patvirtinimo“, VSD ryšių ir informacinės sistemos saugumo valdymo procedūrų aprašas, patvirtintas VSD direktoriaus 2016 m. gegužės 3 d. įsakymu Nr. 2-84 „Dėl Lietuvos Respublikos valstybės saugumo departamento ryšių ir informacinės sistemos saugumo valdymo procedūrų aprašo patvirtinimo“, VSD fizinės apsaugos organizavimo tvarkos aprašas, patvirtintas 2016 m. vasario 9 d. VSD direktoriaus įsakymu Nr. 2-31 „Dėl Lietuvos Respublikos valstybės saugumo departamento fizinės apsaugos organizavimo tvarkos aprašo patvirtinimo“ ir kiti vidaus teisės aktai.