2001-05-00

LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRAS

ĮSAKYMAS

DĖL LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO 2020 M. BALANDŽIO 9 D. ĮSAKYMO NR. V-786 „DĖL ASMENS DUOMENŲ TVARKYMO TAISYKLIŲ PATVIRTINIMO“ PAKEITIMO

2022 m. liepos 18 d. Nr. V-1242

Vilnius

1. P a k e i č i u Lietuvos Respublikos sveikatos apsaugos ministro 2020 m. balandžio 9 d. įsakymą Nr. V-786 „Dėl Asmens duomenų tvarkymo taisyklių patvirtinimo“:

1.1. Pakeičiu 2 punktą ir jį išdėstau taip:

„2. Skiriu Lietuvos Respublikos sveikatos apsaugos ministerijos duomenų apsaugos pareigūną atsakingu už Asmens duomenų tvarkymo taisyklių įgyvendinimo priežiūrą.“

1.2. Pakeičiu nurodytu įsakymu patvirtintas Asmens duomenų tvarkymo taisykles:

1.2.1. Pakeičiu 21 punktą ir jį išdėstau taip:

„21. Visais atvejais, kai asmens duomenys yra tvarkomi duomenų subjekto sutikimo pagrindu, Ministerija privalo kaupti ir turėti įrodymus, kad duomenų subjektas davė Taisyklių 1 priede nustatytos formos ir turinio sutikimą. Tais atvejais, kuomet sutikimas buvo gautas žodžiu, Ministerija privalo turėti tai patvirtinantį garso ar vaizdo įrašą.“

1.2.2. Pakeičiu 3 priedą ir jį išdėstau nauja redakcija (pridedama).

1.2.3. Pakeičiu 5 priedą ir jį išdėstau nauja redakcija (pridedama).

2. P a v e d u Dokumentų valdymo ir asmenų priėmimo skyriui su šiuo įsakymu supažindinti Lietuvos Respublikos sveikatos apsaugos ministerijos valstybės tarnautojus ir darbuotojus, dirbančius pagal darbo sutartis.

Sveikatos apsaugos ministras Arūnas Dulkys

Asmens duomenų tvarkymo taisyklių

3 priedas

(Duomenų valdytojo duomenų tvarkymo veiklos įrašų forma)

Duomenų valdytojas:
Lietuvos Respublikos sveikatos apsaugos ministerija
Vilniaus g. 33, Vilnius			+370 5 266 1400				ministerija@sam.lt		www.sam.lt

Duomenų valdytojo atstovas (darbuotojas ar padalinys, atsakingas už asmens duomenų tvarkymą:
Struktūrinio padalinio pavadinimas ir funkcijos tvarkant asmens duomenis
Vilniaus g. 33, Vilnius			Telefono ryšio numeris				el. pašto adresas

Duomenų apsaugos pareigūnas:
MB „Saugus pasirinkimas“ direktorius Marius Kadelskas
Vilniaus g. 33, Vilnius		+370 626 62012				duomenu.apsauga@sam.lt
Duomenų tvarkymo tikslas (pvz., įdarbinimas, personalo administravimas, tarnybinis tyrimas dėl tarnybinio nusižengimo, profilaktinis sveikatos tikrinimas, vaizdo konferencijų organizavimas, viešosios informacijos administravimas, patalpų ir teritorijos apsauga, įsigijimų vykdymas, asmenų aptarnavimas, paslaugų kokybės užtikrinimas, leidimų statyti automobilį išdavimas, visiškos materialinės atsakomybės sutarčių administravimas, įgaliojimų suteikimas ir t. t.)
Duomenų tvarkymo teisinis pagrindas nurodoma BDAR 6 straipsnio. 1 dalies ir jei taikoma 9 straipsnio 2 dalies konkretus punktas ir jei taikoma Lietuvos Respublikos teisės aktas, kuris suteikia teisę tvarkyti asmens duomenis (pvz., Darbo kodeksas, Visuomenės informavimo įstatymas, Viešojo administravimo įstatymas, sutikimas ir t. t.)
Duomenų subjektų kategorijų aprašymas (pvz., asmenys, pretenduojantys arba paskirti (priimti) į pareigas; asmenys, su kuriais sudaroma tarnybos (darbo) sutartis; asmenys, teikiami skatinti ar apdovanoti; asmenys, kurie prašo leidimo dirbti kitą darbą; asmenys, kurių atžvilgiu atliekamas tarnybinis tyrimas, ir kiti asmenys, susiję su teisės pažeidimo tyrimu; vaizdo konferencijų dalyviai, žurnalistai ir kiti asmenys, viešąją informaciją renkantys iš SAM; asmenys, patenkantys į vaizdo stebėjimo lauką; klientai, ir t. t.) Esant kelioms duomenų subjektų grupėms, atskirai nurodomi kiekvienos duomenų subjektų grupės tvarkomi asmens duomenys (įskaitant ir specialių kategorijų asmens duomenis), jeigu tvarkomi duomenys yra skirtingi.
Asmens duomenų kategorijų aprašymas (pvz., vardas, pavardė, gimimo data, adresas, vaizdo duomenys, priskaičiuotas darbo užmokestis, duomenys apie sveikatą, telefono pokalbio įrašas, IP adresas ir t. t.)
Asmens duomenų gavėjų kategorijos (pvz., teisėsaugos institucijos, kurjerių tarnybos, bankai, Sodra, valstybės ir savivaldybių institucijos ir įstaigos teisės aktų nustatytoms funkcijoms vykdyti bei kiti fiziniai ir juridiniai asmenys, turintys teisę gauti duomenis, ir t. t.)
Asmens duomenų šaltinis (pvz., tiesiogiai iš duomenų subjekto, iš Gyventojų registro, iš duomenų subjekto buvusio darbdavio, iš banko, iš vaizdo įrašymo priemonės, iš Sodros ir t. t.)
Asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai (kai taikoma):
Trečiosios valstybės arba tarptautinės organizacijos, kuriai perduodami asmens duomenys, pavadinimas:					BDAR 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai:
Kita informacija, susijusi su asmens duomenų perdavimu
Numatomi asmens duomenų saugojimo, ištrynimo terminai (kai įmanoma) (pvz., 10 metų po sutarties įvykdymo, 30 kalendorinių dienų, 3 mėn. nuo atrankos pabaigos, 6 mėn. nuo kandidato dokumentų gavimo ir t. t.)
Asmens duomenų saugojimo vieta (pvz., rakinama spinta, darbuotojo kompiuteryje, SAM serveryje, valstybės registre ar informacinėje sistemoje ir t. t.)
Bendras duomenų saugumo priemonių (nurodytų BDAR 32 straipsnio 1 dalyje) aprašymas (kai įmanoma):
Techninės saugumo priemonės: (pvz., programinė įranga yra nuolatos atnaujinama, aprūpinta ugniasienėmis ir antivirusinėmis programomis, daromos atsarginės duomenų kopijos, atliekamas duomenų šifravimas ir t. t.)							Organizacinės saugumo priemonės: (pvz., informacinių sistemų ir duomenų bazių vartotojų teisių ribojimas ir kontrolė, asmenys, dirbantys su asmens duomenimis, yra saistomi teisės aktuose nustatytų konfidencialumo pareigų ir t. t.)

Kita informacija (pvz., Pranešimo duomenų subjektui apie asmens duomenų tvarkymą pateikimo vieta (arba aplinkybės, dėl kurių neįmanoma informuoti duomenų subjekto apie jo duomenų tvarkymą), kitų duomenų subjekto teisių įgyvendinimo ypatumai, nuorodos į kitus su duomenų apsauga susijusius dokumentus (į poveikio duomenų apsaugai vertinimą, vidaus tvarkos taisykles, informaciją apie asmens duomenų tvarkymą ir t. t.)
Duomenų įvedimo, keitimo data (-os), registravimo numeris, įvedusio asmens vardas, pavardė, parašas
data	registravimo numeris			vardas				pavardė		parašas

(Duomenų tvarkytojo duomenų tvarkymo veiklos įrašų forma)

Duomenų tvarkytojas:
Lietuvos Respublikos sveikatos apsaugos ministerija
Vilniaus g. 33, Vilnius	+370 5 266 1400	ministerija@sam.lt			www.sam.lt
Kiekvienas duomenų valdytojas (jei taikoma – ir jo atstovas), kurio vardu veikia duomenų tvarkytojas:
Duomenų valdytojo pavadinimas (jei fizinis asmuo – jo vardas ir pavardė)
Pašto adresas	Telefono ryšio numeris	Elektroninio pašto adresas			Kitos ryšių priemonės (pvz., interneto svetainės adresas, el. siuntos pristatymo dėžutės adresas)
Duomenų apsaugos pareigūnas (jei taikoma):
MB „Saugus pasirinkimas“ direktorius Marius Kadelskas
Vilniaus g. 33, Vilnius	+370 626 62012	duomenu.apsauga@sam.lt


Kiekvieno duomenų valdytojo vardu atliekamo duomenų tvarkymo kategorijos, t. y. atliekami asmens duomenų tvarkymo veiksmai (pvz., vaizdo stebėjimas, asmens duomenų saugojimas, naikinimas ir t. t.)
Asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai (kai taikoma):
Trečiosios valstybės arba tarptautinės organizacijos, kuriai perduodami asmens duomenys, pavadinimas:			BDAR 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai:
Kita informacija, susijusi su asmens duomenų perdavimu
Bendras duomenų saugumo priemonių (nurodytų BDAR 32 straipsnio 1 dalyje) aprašymas (kai įmanoma):
Techninės saugumo priemonės: (pvz., programinė įranga yra nuolatos atnaujinama, aprūpinta ugniasienėmis ir antivirusinėmis programomis, daromos atsarginės duomenų kopijos, atliekamas duomenų šifravimas ir t. t.)				Organizacinės saugumo priemonės: (pvz., informacinių sistemų ir duomenų bazių vartotojų teisių ribojimas ir kontrolė, asmenys, dirbantys su asmens duomenimis, yra saistomi teisės aktuose nustatytų konfidencialumo pareigų ir t. t.)

Kita informacija (pvz., darbuotojai (skyriai), atsakingi už duomenų tvarkymą, nuorodos į kitus su duomenų apsauga susijusius dokumentus ir t. t.)
Duomenų įvedimo, keitimo data (-os)

______________

Asmens duomenų tvarkymo taisyklių

5 priedas

(Poveikio duomenų apsaugai vertinimo ataskaitos pavyzdinė forma)

POVEIKIO DUOMENŲ APSAUGAI VERTINIMO ATASKAITA

Duomenų valdytojas:

Lietuvos Respublikos sveikatos apsaugos ministerija

Vilniaus g. 33, Vilnius

+370 5 266 1400

ministerija@sam.lt

www.sam.lt

Duomenų valdytojo atstovas (darbuotojas ar padalinys, atsakingas už asmens duomenų tvarkymą):

Struktūrinio padalinio pavadinimas ir funkcijos tvarkant asmens duomenis

Vilniaus g. 33, Vilnius

Telefono ryšio numeris

el. pašto adresas

Duomenų apsaugos pareigūnas:

MB „Saugus pasirinkimas“ direktorius Marius Kadelskas

Vilniaus g. 33, Vilnius

+370 626 62012

duomenu.apsauga@sam.lt

Priežastys, dėl kurių būtina atlikti poveikio duomenų apsaugai vertinimą:

Planuojamos vykdyti veiklos aprašymas, jos tikslai ir planuojamos atlikti asmens duomenų tvarkymo operacijos. Paaiškinimas, kodėl būtina atlikti poveikio duomenų apsaugai vertinimą. Jei reikia, prie formos pridedami susiję dokumentai.

Asmens duomenų tvarkymo aprašymas

Aprašomi asmens duomenų rinkimo, naudojimo, saugojimo ir naikinimo veiksmai, nurodoma, iš kokių šaltinių bus renkami duomenys, kam bus teikiami (galima pateikti asmens duomenų tvarkymo veiksmų schemą). Aprašoma, kokie asmens duomenų tvarkymo veiksmai gali kelti pavojų fizinių asmenų teisėms ir laisvėms.

Aprašomas tvarkymo mastas: kokių kategorijų asmens duomenys bus tvarkomi; ar bus tvarkomi specialių kategorijų asmens duomenys arba duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas; kiek duomenų, kaip dažnai bus renkama ir naudojama; kaip ilgai bus saugomi asmens duomenys; nurodomas apytikslis duomenų subjektų skaičius bei geografinė duomenų tvarkymo aprėptis.

Aprašomas duomenų tvarkymo pobūdis: kokio pobūdžio santykiai sieja Jūsų įmonę su duomenų subjektais; ar duomenų subjektai turės galimybę kontroliuoti duomenų tvarkymą; ar duomenų subjektai gali numatyti, kad jų asmens duomenys bus tvarkomi šiuo būdu; ar bus tvarkomi vaikų ir kitų pažeidžiamų asmenų duomenys; įvertinama, ar toks duomenų tvarkymas yra saugus; ar duomenų tvarkymo technologijos yra naujos, ar egzistuojančios technologijos bus panaudotos kitokiu būdu; koks yra technologijų išsivystymo lygis šioje srityje; ar yra kokių nors visuomeninių ar pan. problemų ar klausimų, į kuriuos būtina atsižvelgti; nurodoma, ar yra įsipareigojimas laikytis patvirtinto elgesio kodekso ar patvirtinto sertifikavimo mechanizmo.

Aprašomi asmens duomenų tvarkymo tikslai: kokį rezultatą siekiama gauti; kokį poveikį tai turės fiziniams asmenims; kokia yra tokio duomenų tvarkymo nauda Jūsų įmonei bei kitiems asmenims.

Konsultacijos

Aprašoma, kaip planuojama sužinoti suinteresuotų asmenų nuomonę arba pagrindžiama, kodėl to daryti nebūtina: kokių asmenų nuomonę planuojama gauti; kokie asmenys bus pasitelkti Jūsų įmonėje, ar bus pasitelkti duomenų tvarkytojai; ar planuojama konsultuotis su duomenų saugos ekspertais ar kitokių sričių ekspertais.

Būtinumo ir proporcingumo įvertinimas

Aprašomas asmens duomenų tvarkymo teisėtumas ir tvarkymo proporcingumas: nurodomas teisėto tvarkymo pagrindas; įvertinama, ar tvarkant asmens duomenis bus pasiektas Jūsų tikslas; ar tą patį rezultatą įmanoma pasiekti kitokiu būdu; kokiu būdu bus išvengta veiklos sutrikimų; kaip bus užtikrinta duomenų kokybė ir įgyvendintas duomenų kiekio mažinimo principas; kokia informacija bus pateikta duomenų subjektams; kaip Jūsų įmonė planuoja įgyvendinti duomenų subjektų teises; kokiu būdu bus užtikrinta, kad duomenų tvarkytojas laikytųsi reikalavimų; kokiu būdu bus užtikrintas į užsienio valstybes teikiamų asmens duomenų saugumas.

Pavojų nustatymas ir įvertinimas

Aprašomas pavojaus ir poveikio fiziniam asmeniui pobūdis. Jei būtina, aprašoma susijusi verslo rizika.

Žalos tikimybė

Žalos sunkumas

Bendras pavojaus lygis

Mažai tikėtina,

tikėtina ar labai tikėtina

Minimali,

reikšminga ar sunki

Žemas,

vidutinis ar aukštas

Priemonių sumažinti pavojų nustatymas

Nurodomos papildomos priemonės, kurių galima imtis siekiant sumažinti ar panaikinti aukšto ar vidutinio lygio pavojus.

Pavojus

Priemonės sumažinti ar pašalinti pavojų

Priemonės pritaikymo rezultatas

Likęs pavojus

Priemonė patvirtinta

Pašalinta,

sumažinta, priimtina rizika

Žemas,

vidutinis ar aukštas

Taip, ne

Išvados ir sprendimai

Nurodomos priemonės ir įvardijamas likęs pavojus

Vardas, pavardė, data, parašas

Pastabos

Priemonės patvirtintos:

Įtraukti numatytas priemones į veiklos planą, nustatant atlikimo terminą ir atsakingus asmenis

Likęs pavojus pripažintas priimtina rizika:

Jei priimtina rizika pripažintas aukšto lygio pavojus priimtinas, privaloma kreiptis dėl išankstinės konsultacijos į Valstybinę duomenų apsaugos inspekciją

Duomenų apsaugos pareigūno nuomonė

Duomenų apsaugos pareigūno nuomonė turi būti pateikta dėl asmens duomenų tvarkymo teisėtumo, planuojamų priemonių pavojams mažinti ar pašalinti bei dėl galimybės toliau tvarkyti asmens duomenis.

Nurodoma duomenų apsaugos pareigūno nuomonė:

Vardas, pavardė, data, parašas

Nurodoma, ar atsižvelgta į duomenų apsaugos pareigūno nuomonę

Jeigu atmesta, pagrindžiama, kodėl.

Vardas, pavardė, data, parašas

Gautos kitų asmenų nuomonės

Trumpai aprašomos kitų asmenų nuomonės ir nurodoma, ar į jas atsižvelgta. Jeigu sprendimas skiriasi nuo susijusių asmenų nuomonės, pagrindžiama, kodėl.

Vardas, pavardė, data, parašas

Už šio poveikio duomenų apsaugai vertinimo priežiūrą paskirtas atsakingas asmuo

Trumpai aprašomos kitų asmenų nuomonės ir nurodoma, ar į jas atsižvelgta. Jeigu sprendimas skiriasi nuo susijusių asmenų nuomonės, pagrindžiama, kodėl.

Vardas, pavardė, data, parašas

______________