Lietuvos Respublikos Vyriausybė
nutarimas
DĖL LIETUVOS RESPUBLIKOS VYRIAUSYBĖS 2009 M. LAPKRIČIO 4 D. NUTARIMO NR. 1456 „DĖL LIETUVOS NACIONALINĖS VIZŲ INFORMACINĖS SISTEMOS ĮSTEIGIMO, JOS NUOSTATŲ PATVIRTINIMO IR VEIKLOS PRADŽIOS NUSTATYMO“ PAKEITIMO
2021 m. lapkričio 3 d. Nr. 898
Vilnius
Pakeisti Lietuvos nacionalinės vizų informacinės sistemos nuostatus, patvirtintus Lietuvos Respublikos Vyriausybės 2009 m. lapkričio 4 d. nutarimu Nr. 1456 „Dėl Lietuvos nacionalinės vizų informacinės sistemos įsteigimo, jos nuostatų patvirtinimo ir veiklos pradžios nustatymo“:
1. Pakeisti 3 punktą ir jį išdėstyti taip:
„3. N.VIS steigiama, kuriama ir tvarkoma vadovaujantis:
3.1. 2004 m. birželio 8 d. Tarybos sprendimu 2004/512/EB dėl Vizų informacinės sistemos (VIS) sukūrimo;
3.2. 2008 m. birželio 23 d. Tarybos sprendimu 2008/633/TVR dėl valstybių narių paskirtų institucijų ir Europolo prieigos prie Vizų informacinės sistemos (VIS) teroristinių ir kitų sunkių nusikaltimų prevencijos, atskleidimo ir tyrimo tikslais (toliau – VIS sprendimas);
3.3. 2008 m. liepos 9 d. Europos Parlamento ir Tarybos reglamentu (EB) Nr. 767/2008 dėl Vizų informacinės sistemos (VIS) ir apsikeitimo duomenimis apie trumpalaikes vizas tarp valstybių narių (VIS reglamentas) su paskutiniais pakeitimais, padarytais 2017 m. lapkričio 30 d. Europos Parlamento ir Tarybos reglamentu (ES) 2017/2226, kuriuo sukuriama atvykimo ir išvykimo sistema (AIS), kurioje registruojami trečiųjų šalių piliečių, kertančių valstybių narių išorės sienas, atvykimo, išvykimo ir atsisakymo leisti jiems atvykti duomenys, nustatomos prieigos prie AIS teisėsaugos tikslais sąlygos ir iš dalies keičiama Konvencija dėl Šengeno susitarimo įgyvendinimo ir reglamentai (EB) Nr. 767/2008 ir (ES) Nr. 1077/2011 (toliau – VIS reglamentas);
3.4. 2009 m. liepos 13 d. Europos Parlamento ir Tarybos reglamentu (EB) Nr. 810/2009, nustatančiu Bendrijos vizų kodeksą (Vizų kodeksas) su paskutiniais pakeitimais, padarytais 2016 m. kovo 9 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/399 dėl taisyklių, reglamentuojančių asmenų judėjimą per sienas, Sąjungos kodekso (Šengeno sienų kodeksas);
3.5. 2016 m. kovo 9 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/399 dėl taisyklių, reglamentuojančių asmenų judėjimą per sienas, Sąjungos kodekso (Šengeno sienų kodeksas) (toliau – Šengeno sienų kodeksas);
3.6. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679);
3.11. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, tiek, kiek tai neprieštarauja Šengeno acquis;
3.12. Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo
2. Pakeisti 6 punktą ir jį išdėstyti taip:
3. Pakeisti 8 punktą ir jį išdėstyti taip:
„8. N.VIS valdytoja ir asmens duomenų valdytoja yra Vidaus reikalų ministerija (toliau ˗ N.VIS valdytojas), kuri atlieka Valstybės informacinių išteklių valdymo įstatyme nustatytas valstybės informacinės sistemos valdytojo funkcijas, turi šiame įstatyme nurodytas teises ir pareigas, taip pat:
8.2. priima sprendimus dėl N.VIS techninių ir programinių priemonių įsigijimo, įdiegimo ir tobulinimo;
8.3. Reglamento (ES) 2016/679 ir šių nuostatų nustatyta tvarka įgyvendina Reglamento (ES) 2016/679 III skyriuje nustatas duomenų subjektų teises;
4. Pakeisti 9 punktą ir jį išdėstyti taip:
„9. N.VIS tvarkytojas ir asmens duomenų tvarkytojas – Informatikos ir ryšių departamentas prie Vidaus reikalų ministerijos (toliau ˗ N.VIS tvarkytojas), kuris atlieka Valstybės informacinių išteklių valdymo įstatyme nustatytas valstybės informacinės sistemos tvarkytojo funkcijas, turi šiame įstatyme nurodytas teises ir pareigas, taip pat:
9.1. teikia N.VIS valdytojui pasiūlymus dėl N.VIS eksploatuoti, prižiūrėti ir plėtoti skirtų techninių, programinių priemonių įsigijimo, organizuoja techninių, programinių priemonių įdiegimą ir tobulinimą, pagal kompetenciją atlieka N.VIS techninės, programinės įrangos priežiūros darbus;
9.2. užtikrina N.VIS sąsajas su C.VIS, UR, N. SIS II, ĮKNR, ANR, IAŽR, PPPTR, Interpolo DB ir VSATIS;
9.5. tvarko asmens duomenis, vadovaudamasis Reglamentu (ES) 2016/679, kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą, ir tik pagal N.VIS valdytojo dokumentais įformintus nurodymus, išskyrus atvejus, kai tvarkyti asmens duomenis reikalaujama pagal ES ar jos valstybės narės teisės aktus, kurie yra taikomi N.VIS asmens duomenų tvarkytojui. Tokiu atveju N.VIS tvarkytojas, prieš pradėdamas tvarkyti duomenis, praneša apie tokį teisinį reikalavimą N.VIS valdytojui, išskyrus atvejus, kai pagal ES ar jos valstybės narės teisės aktus toks pranešimas yra draudžiamas dėl svarbių viešojo intereso priežasčių;
9.6. užtikrina, kad asmens duomenis tvarkantys N.VIS tvarkytojo įgalioti darbuotojai būtų įsipareigoję užtikrinti asmens duomenų konfidencialumą arba jiems būtų taikoma teisinė konfidencialumo pareiga;
9.7. atsižvelgdamas į tvarkomų duomenų pobūdį, padeda N.VIS valdytojui, taikydamas tinkamas technines ir organizacines priemones, įvykdyti asmens duomenų valdytojo prievolę atsakyti į duomenų subjektų prašymus pasinaudoti Reglamento (ES) 2016/679 III skyriuje nustatytomis duomenų subjekto teisėmis;
9.8. padeda N.VIS valdytojui užtikrinti Reglamento (ES) 2016/679 32–36 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdamas į asmens duomenų tvarkymo pobūdį ir N.VIS tvarkytojo turimą informaciją;
9.9. privalo laikytis Reglamento (ES) 2016/679 28 straipsnio 2 ir 4 dalyse nurodytų reikalavimų, kad galėtų pasitelkti kitą duomenų tvarkytoją, ir pasitelkia kitus duomenų tvarkytojus, tik gavęs išankstinį rašytinį N.VIS valdytojo leidimą;
9.10. nustojęs vykdyti N.VIS tvarkytojo funkcijas, atsižvelgdamas į N.VIS valdytojo nurodymus, sunaikina arba grąžina N.VIS valdytojui visus asmens duomenis ir sunaikina turimas jų kopijas, išskyrus atvejus, kai pagal ES ar Lietuvos Respublikos teisės aktus yra nustatyta pareiga juos saugoti;
9.11. imasi visų priemonių, kurių reikalaujama pagal Reglamento (ES) 2016/679 32 straipsnį, – organizacinėmis, techninėmis, technologinėmis ir metodinėmis priemonėmis užtikrina N.VIS saugą, N.VIS tvarkomų asmens duomenų konfidencialumą, vientisumą ir prieinamumą, apsaugą nuo neteisėto sunaikinimo, pakeitimo, atskleidimo ar kitokio neteisėto tvarkymo, taip pat saugų duomenų perdavimą elektroninių ryšių tinklais;
9.12. informuoja raštu ir (ar) el. paštu (nedelsdamas, bet ne vėliau kaip per 24 valandas nuo sužinojimo apie asmens duomenų saugumo pažeidimą) N.VIS valdytoją pagal Reglamento (ES) 2016/679 33 straipsnio 2 dalį apie įvykusį asmens duomenų saugumo pažeidimą ir teikia N.VIS valdytojui visą reikalingą informaciją apie nustatytą pažeidimą, jo aplinkybes, pasekmes, pasirinktas apsaugos ar situacijos valdymo priemones;
9.13. pagal kompetenciją teikia N.VIS valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos Reglamento (ES) 2016/679 nustatytos prievolės, ir sudaro sąlygas bei padeda N.VIS valdytojui arba jo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus. N.VIS tvarkytojas nedelsdamas informuoja N.VIS valdytoją, jei, jo nuomone, nurodymas pateikti informaciją prieštarauja Reglamento (ES) 2016/679 ar kitiems asmens duomenų apsaugą reglamentuojantiems ES ar Lietuvos Respublikos teisės aktams;
5. Pakeisti 20 punktą ir jį išdėstyti taip:
„20. Kiekvienas duomenų subjektas, pateikdamas rašytinį prašymą, kurio rekomenduojama forma pateikiama N.VIS valdytojo interneto svetainėje, turi teisę kreiptis į N.VIS valdytoją, siekdamas susipažinti su savo asmens duomenimis, tvarkomais C.VIS, ir teisės aktų nustatyta tvarka juos gauti (įskaitant informaciją apie ES valstybę narę, perdavusią jo duomenis į C.VIS).
Prašymą galima pateikti asmeniškai (tiesiogiai duomenų subjektui ar jo atstovui atvykus į instituciją), atsiuntus prašymą paštu arba elektroninių ryšių priemonėmis. Visi raštu, įskaitant elektroninių ryšių priemonėmis, pateikti prašymai turi būti pasirašyti prašymą pateikusio duomenų subjekto arba jo atstovo. Prašymas raštu, atsiųstas institucijai elektroninių ryšių priemonėmis, turi būti pasirašytas kvalifikuotu elektroniniu parašu arba suformuotas elektroninėmis priemonėmis, kuriomis galima užtikrinti teksto vientisumą ir nepakeičiamumą.
Kartu su paštu arba elektroninių ryšių priemonėmis pateikiamu prašymu pateikiama duomenų subjekto galiojančio paso ar jį atitinkančio kelionės dokumento asmens duomenų lapo su visais šiame lape esančiais įrašais ir asmens nuotrauka kopija.
Esant pagrįstų abejonių dėl prašymą pateikusio duomenų subjekto tapatybės, turint tikslą patvirtinti jo tapatybę, duomenų subjekto gali būti prašoma paštu arba elektroninių ryšių priemonėmis pateikti ne anksčiau kaip prieš šešis mėnesius iki pateikimo darytą nuotrauką, kurioje būtų užfiksuoti ir aiškiai matomi duomenų subjekto veido atvaizdas kartu su duomenų subjekto galiojančio paso ar jį atitinkančio kelionės dokumento asmens duomenų lapu su visais šiame lape esančiais įrašais ir asmens nuotrauka.“
6. Pakeisti 21 punktą ir jį išdėstyti taip:
„21. Duomenų subjektas turi teisę rašytiniu prašymu, kurio rekomenduojama forma pateikiama N.VIS valdytojo interneto svetainėje, pateiktu asmeniškai, paštu ar elektroninių ryšių priemonėmis, kreiptis į N.VIS valdytoją, kad netikslūs su juo susiję duomenys būtų pataisyti ar neišsamūs duomenys papildyti arba kad neteisėtai tvarkomi duomenys būtų panaikinti ar būtų apribotas jų tvarkymas. Šiame punkte nurodytiems prašymams taikomi šių nuostatų 20 punkto reikalavimai dėl prašymo pateikimo tvarkos bei tapatybės patvirtinimo. N.VIS valdytojui pateiktas duomenų subjekto prašymas ir kartu su juo pateikti dokumentai perduodami N.VIS tvarkytojui, kuris juos perduoda UR tvarkytojui, registravusiam duomenų subjekto duomenis UR. UR tvarkytojas, registravęs duomenų subjekto duomenis UR, privalo patikrinti asmens duomenis arba jų tvarkymo teisėtumą ir esant poreikiui nedelsdamas ištaisyti netikslius ar papildyti neišsamius asmens duomenis arba sunaikinti neteisėtai tvarkomus asmens duomenis ir (arba) apriboti tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.
Jeigu duomenis apie duomenų subjektą į C.VIS yra perdavusi kita ES valstybė narė, duomenų subjekto teisę reikalauti ištaisyti, papildyti arba sunaikinti jo asmens duomenis ar sustabdyti jų tvarkymo veiksmus įgyvendina atsakinga kitos ES valstybės narės kompetentinga institucija VIS reglamento 38 straipsnio ir nacionalinių teisės aktų nustatyta tvarka. N.VIS valdytojas per 14 kalendorinių dienų nuo duomenų subjekto rašytinio prašymo gavimo persiunčia jį tos ES valstybės narės kompetentingai institucijai ir apie tai informuoja duomenų subjektą.“
7. Pakeisti 22 punktą ir jį išdėstyti taip:
„22. N.VIS valdytojas privalo nedelsdamas, tačiau bet kuriuo atveju ne vėliau kaip per Reglamento (ES) 2016/679 12 straipsnio 3 dalyje nustatytą terminą, raštu ar elektroniniu būdu informuoti duomenų subjektą ir C.VIS duomenų gavėjus, kuriems buvo perduoti neteisingi, netikslūs, neišsamūs duomenys, apie duomenų subjekto prašymu ištaisytus ar sunaikintus asmens duomenis, apribotus asmens duomenų tvarkymo veiksmus, išskyrus tuos atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sudėtinga.“
8. Pakeisti 23 punktą ir jį išdėstyti taip:
9. Pakeisti 24 punktą ir jį išdėstyti taip:
„24. N.VIS valdytojo atsisakymas vykdyti duomenų subjekto prašymą turi būti pagrįstas. Atsisakymą vykdyti duomenų subjekto prašymą N.VIS valdytojas turi pateikti duomenų subjektui raštu ar elektroniniu būdu ne vėliau kaip per vieną mėnesį nuo duomenų subjekto kreipimosi. Visuose atsakymuose į duomenų subjektų prašymus, teikiamus pagal šiuos nuostatus, kai yra atsisakoma duomenų subjektui leisti susipažinti su savo asmens duomenimis, tvarkomais C.VIS, ištaisyti ar ištrinti duomenis, arba apriboti tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą, turi būti pateikiama informacija apie jų teisę pateikti skundą N.VIS asmens duomenų priežiūros tarnybai, taip pat apie teisę kreiptis į teismą.“
10. Pakeisti 25 punktą ir jį išdėstyti taip: