LIETUVOS RESPUBLIKOS

VYRIAUSIASIS VALSTYBINIS DARBO INSPEKTORIUS

Į S A K Y M A S

DĖL asmens duomenų tvarkymo, saugojimo ir ŠIŲ DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO VALSTYBINĖJE DARBO INSPEKCIJOJE PRIE SOCIALINĖS APSAUGOS IR DARBO MINISTERIJOS TVARKOS APRAŠO PATVIRTINIMO

2019 m. birželio 6 d. Nr. EV-178

Vilnius

Vadovaudamasis Lietuvos Respublikos valstybinės darbo inspekcijos įstatymo 8 straipsnio 2 dalies 1 ir 6 punktais bei siekdamas tinkamai įgyvendinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) numatytas duomenų subjektų teises ir įgyvendinti atskaitomybės principą:

1. T v i r t i n u Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Valstybinėje darbo inspekcijoje prie Socialinės apsaugos ir darbo ministerijos tvarkos aprašą (pridedama).

2. P r i p a ž į s t u netekusiais galios:

2.1. Lietuvos Respublikos vyriausiojo darbo inspektoriaus 2012 m. birželio 6 d. įsakymą Nr. V-187 „Dėl Asmens duomenų tvarkymo Valstybinėje darbo inspekcijoje taisyklių patvirtinimo“;

2.2. Lietuvos Respublikos vyriausiojo darbo inspektoriaus 2016 m. kovo 16 d. įsakymą Nr. EV-81 „Dėl Duomenų subjektų teisių įgyvendinimo Lietuvos Respublikos valstybinėje darbo inspekcijoje prie Socialinės apsaugos ir darbo ministerijos tvarkos aprašo patvirtinimo“.

3. Į p a r e i g o j u:

3.1. Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos (toliau – VDI) Informacinių technologijų ir dokumentų valdymo skyriaus vedėją organizuoti šio įsakymo paskelbimą Teisės aktų registre ir Administravimo skyriaus vedėją organizuoti šio įsakymo paskelbimą VDI interneto išorinėje bei vidinėje svetainėse;

3.2. VDI valstybės tarnautojus ir darbuotojus, dirbančius pagal darbo sutartis bei gaunančius darbo užmokestį iš Lietuvos Respublikos valstybės biudžeto, su šiuo įsakymu susipažinti VDI Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinės sistemos (DSS IS) Dokumentų valdymo posistemėje ir pasirašyti kortelėje paspaudus žymeklį „Susipažinau“ ne vėliau kaip per 3 darbo dienas po jo pasirašymo.

4. P a s i l i e k u šio įsakymo vykdymo kontrolę sau.

Lietuvos Respublikos vyriausiasis

valstybinis darbo inspektorius Jonas Gricius

PATVIRTINTA

Lietuvos Respublikos vyriausiojo

valstybinio darbo inspektoriaus

2019 m. birželio 6 d. įsakymu Nr. EV-178

ASMENS DUOMENŲ TVARKYMO, saugojimo ir ŠIŲ DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO VALSTYBINĖJE DARBO INSPEKCIJOJE PRIE SOCIALINĖS APSAUGOS IR DARBO MINISTERIJOS TVARKOS APRAŠAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Valstybinėje darbo inspekcijoje prie Socialinės apsaugos ir darbo ministerijos tvarkos aprašo tikslas – reglamentuoti Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinės sistemos (toliau – DSS IS), Potencialiai pavojingų įrenginių valstybės registro (toliau – Registras), Valstybinės darbo inspekcijos interneto svetainės (toliau – VDI ISV), Darbuotojų saugos ir sveikatos klausimais atestavimo informacinės sistemos (toliau – DSSAS), nustatyti duomenų subjektų teisių įgyvendinimo Lietuvos Respublikos valstybinėje darbo inspekcijoje prie Socialinės apsaugos ir darbo ministerijos (toliau–VDI) tvarką siekiant įgyvendinti atskaitomybės principą ir kitų asmens duomenų tvarkymą, taip pat siekiant užtikrinti Europos Parlamento ir Tarybos reglamento (ES) dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas (toliau – Reglamentas (ES) 2016/679), kitų įstatymų bei teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą VDI.

2. Asmens duomenų tvarkymo saugojimo ir šių duomenų subjektų teisių įgyvendinimo tvarkos aprašo (toliau – Aprašas) nuostatų privalo laikytis ir jomis vadovautis darbe visi VDI tarnautojai ir darbuotojai, dirbantys pagal darbo sutartį, ir gaunantiems darbo užmokestį iš Lietuvos Respublikos valstybės biudžeto (toliau – darbuotojai), kurie tvarko ar naudoja informacinių sistemų – DSS IS, Registro, VDI ISV, DSSAS (toliau – IS) bei kitus VDI valdomus ir tvarkomus duomenis.

3. Apraše vartojamos sąvokos suprantamos, vartojamos ir parengtos taip, kaip jos apibrėžtos ir vartojamos Reglamente (ES) 2016/679, Lietuvos Respublikos darbo kodekse, Lietuvos Respublikos darbuotojų saugos ir sveikatos įstatyme, kituose teisės aktuose.

4. Aprašas turi būti peržiūrimas įvykus Reglamento (ES) 2016/679, jo lydinčiųjų ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą VDI, pokyčiams.

5. Valstybės tarnautojai ir darbuotojai turi užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui. Asmens duomenų saugos priemonės turi būti parenkamos taip, kad atitiktų reikalavimus, nustatytus teisės aktuose ir asmens duomenų saugos dokumentuose.

6. Pagrindiniai asmens duomenų tvarkymo principai:

6.1. asmens duomenys turi būti duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas).

6.2. asmens duomenys turi būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal Reglamento (ES) 2016/679 89 straipsnio 1 dalį nėra laikomas nesuderinamu su pirminiais tikslais (tikslo apribojimo principas);

6.3. asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

6.4. asmens duomenys turi būti tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);

6.5. asmens duomenys laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal Reglamento (ES) 2016/679 89 straipsnio 1 dalį, įgyvendinus atitinkamas technines ir organizacines priemones, kurių reikalaujama šiuo reglamentu siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);

6.6. asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).

II SKYRIUS

REIKALAVIMAI ASMENS DUOMENŲ TVARKYMUI VALSTYBINĖS DARBO INSPEKCIJOS DARBO SĄLYGŲ DARBO VIETOSE NUOLATINĖS STEBĖSENOS INFORMACINĖJE SISTEMOJE

7. DSS IS asmens duomenys tvarkomi DSS IS nuostatuose (toliau – DSS IS nuostatai), patvirtintuose Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2008 m. balandžio 17 d. įsakymu Nr. V-110 „Dėl darbo sąlygų darbo vietose nuolatinės stebėsenos informacinės sistemos nuostatų patvirtinimo“, apibrėžtais tikslais ir nustatyta apimtimi.

8. DSS IS yra tvarkomi tokių duomenų subjektų grupių duomenys:

8.1. asmenų, kurie įtariami sergant ar serga profesinėmis ligomis;

8.2. asmenų, kuriems įvyko nelaimingi atsitikimai darbe;

8.3. darbdavių, kur įvyko sunkūs ir mirtini nelaimingi atsitikimai darbe, vadovų ar juos atstovaujančių asmenų;

8.4. asmenų, kuriems VDI inspektoriai surašo administracinių teisės pažeidimų protokolus;

8.5. asmenų, kurie pateikia prašymus VDI, ir jų atstovai;

8.6. asmenų, kurie susiję su VDI atliekamais inspekciniais veiksmais;

8.7. asmenų, kurie įrašyti VDI gaunamuose pranešimuose;

8.8. darbdaviui atstovaujančių ir įgaliotų asmenų;

8.9. VDI darbuotojų, kurie inicijuoja, atlieka, kontroliuoja ir analizuoja procesus, numatytus DSS IS nuostatuose;

8.10. DSS IS naudotojų;

8.11. asmenų, kurie pateikė pranešimus VDI vidiniu kanalu tyrimai@vdi.lt.

9. DSS IS tvarkomų duomenų sąrašą apibrėžia DSS IS nuostatuose išvardinti teisės aktai.

10. DSS IS saugos priemonės turi atitikti trečiajam asmens duomenų saugumo lygiui ir ypatingų asmens duomenų tvarkymui keliamus reikalavimus, kurie nustatyti Bendruosiuose reikalavimuose organizacinėms ir techninėms asmens duomenų saugumo priemonėms (toliau – Bendrieji reikalavimai), kurie patvirtinti Valstybinės duomenų apsaugos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinių ir techninių asmens duomenų saugumo priemonių patvirtinimo“.

III SKYRIUS

REIKALAVIMAI POTENCIALIAI PAVOJINGŲ ĮRENGINIŲ VALSTYBĖS REGISTRO ASMENS DUOMENŲ TVARKYMUI

11. Registro asmens duomenys tvarkomi Potencialiai pavojingų įrenginių valstybės registro nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2002 m. gegužės 9 d. nutarimu Nr. 645 „Dėl Potencialiai pavojingų įrenginių valstybės registro įsteigimo ir Potencialiai pavojingų įrenginių valstybės registro nuostatų patvirtinimo“, apibrėžtais tikslais ir nustatyta apimtimi.

12. Registre yra tvarkomi tokių duomenų subjektų grupių duomenys:

12.1. potencialiai pavojingų įrenginių savininkų;

12.2. Registro naudotojų;

12.3. Registro duomenų teikėjų ir gavėjų įgaliotų darbuotojų, turinčių prieigą prie Registro.

13. Registro saugos priemonės turi atitikti antrajam asmens duomenų saugumo lygiui keliamus reikalavimus, nustatytus Bendruosiuose reikalavimuose.

IV SKYRIUS

REIKALAVIMAI VALSTYBINĖS DARBO INSPEKCIJOS INTERNETO SVETAINĖS ASMENŲ DUOMENŲ TVARKYMUI

14. VDI ISV yra saugomi tokių duomenų subjektų grupių duomenys:

14.1. VDI darbuotojų;

14.2. darbdavių atstovų, kai vadovaujantis Lietuvos Respublikos darbo kodekso 124 straipsnio 2 dalimi bei Darbo santykių pasibaigimo, kai darbdavio (jeigu darbdavys yra fizinis asmuo) ar darbdavio atstovų buvimo vietos nustatyti neįmanoma arba kai darbdavys (jeigu darbdavys yra fizinis asmuo) yra miręs, tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2011 m. vasario 23 d. nutarimu Nr. 220 „Dėl Darbo santykių pasibaigimo, kai darbdavio (jeigu darbdavys yra fizinis asmuo) ar darbdavio atstovų buvimo vietos nustatyti neįmanoma arba kai darbdavys (jeigu darbdavys yra fizinis asmuo) yra miręs, tvarkos aprašo patvirtinimo“, nuostatomis būtina skelbti informaciją apie pradėtą patikrinimą dėl darbdavio buvimo vietos nustatymo;

14.3. Kitų asmenų, kuriuos skelbti valstybės institucijų interneto svetainėse įpareigoja Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2003 m. balandžio 18 d. nutarimu Nr. 480 „Dėl Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms ir mobiliosioms programoms aprašo patvirtinimo“ ir kiti teisės aktai.

15. VDI ISV saugos priemonės turi atitikti pirmajam asmens duomenų saugumo lygiui keliamus reikalavimus, nustatytus Bendruosiuose reikalavimuose.

V SKYRIUS

REIKALAVIMAI DARBUOTOJŲ SAUGOS IR SVEIKATOS KLAUSIMAIS ATESTAVIMO INFORMACINĖS SISTEMOS ASMENS DUOMENŲ TVARKYMUI

16. DSSAS asmens duomenys tvarkomi Darbuotojų saugos ir sveikatos klausimais atestavimo informacinės sistemos duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2011 m. spalio 7 d. įsakymu Nr. V-235 „Dėl Darbuotojų saugos ir sveikatos klausimais atestavimo informacinės sistemos duomenų saugos nuostatų patvirtinimo“, duomenų saugos apibrėžtais tikslais ir nustatyta apimtimi.

17. DSSAS yra tvarkomi tokių duomenų subjektų grupių duomenys:

17.1. švietimo teikėjų, kai jie yra fiziniai asmenys;

17.2. atestuojamųjų asmenų;

17.3. DSSAS naudotojų.

18. DSSAS saugos priemonės turi atitikti antrajam asmens duomenų saugumo lygiui keliamus reikalavimus, nustatytus Bendruosiuose reikalavimuose.

VI SKYRIUS

ASMENS DUOMENŲ TVARKYMAS IR SAUGOJIMAS

19. Duomenų subjektų asmens duomenis tvarko valdytojas – Lietuvos Respublikos valstybinė darbo inspekcija prie Socialinės apsaugos ir darbo ministerijos, juridinio asmens kodas 188711163, buveinės adresas Algirdo g. 19, 03607 Vilnius.

20. VDI valstybės tarnautojų ir darbuotojų asmens duomenys yra tvarkomi juos pasirašytinai informavus.

21. Asmens duomenys VDI tvarkomi neautomatiniu būdu susistemintose rinkmenose ir (arba) automatiniu būdu.

22. VDI tvarkomi šių duomenų subjektų grupių asmens duomenys šiais asmens duomenų tvarkymo tikslais:

22.1. vidaus administravimo (personalo valdymo, raštvedybos tvarkymo, materialinių ir finansinių išteklių naudojimo) tikslu tvarkomi pretendentų į VDI valstybės tarnautojus ir darbuotojus duomenys: asmens vardas, pavardė, asmens kodas, gimimo data, lytis, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, pareigos, į kurias pretenduojama, gyvenimo ir veiklos aprašymas, duomenys apie išsilavinimą ir kvalifikaciją, duomenys apie užsienio kalbų mokėjimo lygį, ypatingi asmens duomenys, susiję su teistumu, dalyvavimu uždraustos organizacijos veikloje, pokalbio su pretendentu į valstybės tarnautojo ar darbuotojo pareigas skaitmeninis garso įrašas, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti VDI įpareigoja įstatymai ir kiti teisės aktai;

22.2. VDI valdomų informacinių sistemų (toliau – sistemos) administravimo tikslu tvarkomi sistemų naudotojų duomenys (VDI valstybės tarnautojų ar darbuotojų ir kitų asmenų): vardas, pavardė, įmonės kodas ir pavadinimas, įmonės padalinys (jei yra), pareigos, telefono ryšio numeris, elektroninio pašto adresas;

22.3. VDI teikiamų elektroninių paslaugų darbdaviams gavėjų identifikavimo tikslu tvarkomi duomenys: asmens kodas, vardas, pavardė, telefono ryšio numeris, elektroninio pašto adresas, atstovaujamos įmonės kodas ir pavadinimas;

22.4. VDI nuosavybės teise ar kitu teisiniu pagrindu valdomų materialinių išteklių apsaugos užtikrinimo tikslu tvarkomi asmenų, patekusių į VDI patalpų prieigose ir (ar) patalpose įrengtų vaizdo kamerų stebėjimo lauką, vaizdo duomenys;

22.5. VDI telefonu teikiamų konsultacijų kokybės užtikrinimo tikslu tvarkomi asmenų, kurie konsultuojami telefonu VDI kompetencijos klausimais, telefoninių pokalbių įrašų (garso) duomenys;

22.6. darbo ginčų (darbo bylų) komisijų posėdžių eigos bei turinio užfiksavimo (posėdžių protokolavimo) tikslu tvarkomi VDI darbo ginčų komisijos narių ir darbo bylų dalyvių, kurie nėra VDI darbuotojai, garso įrašų duomenys;

22.7. Lietuvos Respublikos valstybinės darbo inspekcijos įstatymo nustatytų VDI funkcijų vykdymo tikslu tvarkomi:

22.7.1. asmenų, pateikusių VDI skundą, prašymą ar paklausimą duomenys: vardas, pavardė, asmens kodas, adresas, telefono ryšio ir (ar) telefakso numeris, elektroninio pašto adresas, parašas, prašymo ar paklausimo data ir numeris, registravimo VDI data ir numeris, skunde, prašyme ar paklausime nurodyta informacija (įskaitant ir ypatingus asmens duomenis), skundo, prašymo ar paklausimo nagrinėjimo rezultatas, VDI atsakymo data ir numeris, kita skundo, prašymo ar paklausimo nagrinėjimo metu gauta ir išsiųsta informacija;

22.7.2. nelaimingų atsitikimų darbe ar pakeliui į darbą ar iš darbo (toliau – nelaimingi atsitikimai) aplinkybių ir priežasčių tyrimo ir analizės tikslais tvarkomi:

22.7.2.1. asmenų, kuriems įvyko nelaimingas atsitikimas darbe ar pakeliui į darbą ar iš darbo duomenys: vardas, pavardė, pilietybė, asmens kodas, gyvenamoji vieta, jei nuolat gyvena užsienyje – valstybė, jei neturi gyvenamosios vietos – savivaldybė, kurioje gyvena; kontaktiniai duomenys – adresas, telefono ryšio numeris, elektroninio pašto adresas, žinios apie sužalojimą ir profesiją, įmonės, kurioje asmuo dirba (ar dirbo, jei įvyko mirtinas nelaimingas atsitikimas) duomenys – juridinio asmens kodas ir pavadinimas (jei darbdavys juridinis asmuo) ar asmens kodas vardas ir pavardė (jei darbdavys fizinis asmuo), nelaimingo atsitikimo akto numeris ir data, nedarbingumo kalendorinių dienų skaičius, nelaimingo atsitikimo tyrimo metu gauta ir išsiųsta informacija.

22.7.2.2. įmonių, kurių darbuotojams įvyko nelaimingi atsitikimai, atstovaujančių asmenų duomenys: asmens kodas, vardas ir pavardė, gimimo data, gyvenamoji vieta, telefono ryšio numeris, elektroninio pašto adresas, atstovaujamos įmonės kodas ir pavadinimas (jei darbdavys juridinis asmuo) ar asmens kodas, vardas ir pavardė (jei darbdavys fizinis asmuo) ir asmens pareigos įmonėje;

22.7.3. profesinių ligų aplinkybių ir priežasčių tyrimo ir analizės tikslais tvarkomi asmenų, kurie įtariami sergant ar serga profesinėmis ligomis, duomenys: vardas, pavardė, asmens kodas, amžius, lytis, gyvenamoji vieta; jei nuolat gyvena užsienyje – valstybė, jei neturi gyvenamosios vietos – savivaldybė, kurioje gyvena; telefono ryšio numeris, elektroninio pašto adresas, įtariama profesinės ligos diagnozė, patvirtinta profesinės ligos diagnozė, išsilavinimas, socialinė padėtis, įmonė, kurioje asmuo dirba, ir/ar įmonė (-ės), kurioje asmuo dirbo anksčiau veikiant profesinės rizikos veiksniams, profesija, pareigos, darbinės veiklos raida, profesinės ligos tyrimo metu gauta ir išsiųsta informacija;

22.7.4. nelaimingų atsitikimų darbe, profesinių ligų, darbuotojų saugos ir sveikatos, norminių darbo teisės aktų pažeidimų prevencijos ir Lietuvos Respublikos darbo kodekso, darbuotojų saugą ir sveikatą bei darbo santykius reglamentuojančių įstatymų ir kitų norminių teisės aktų kontrolės įmonėse tikslu tvarkomi su VDI atliekamais įmonių patikrinimais (inspektavimais) susijusių asmenų duomenys:

22.7.4.1. savarankiškai dirbančių asmenų duomenys: asmens kodas, vardas pavardė, gyvenamosios vietos adresas, telefono ryšio numeris, elektroninio pašto adresas, teisės aktų nustatyta tvarka išduoto dokumento, suteikiančio vykdyti individualią veiklą duomenys (dokumento rūšis, išdavimo data, identifikavimo kodas, ekonominės veiklos kodas ir pavadinimas pagal Ekonominės veiklos rūšių klasifikatorių, patvirtintą Lietuvos Respublikos Vyriausybės 1995 m. gegužės 17 d, nutarimu Nr. 696 „Dėl ekonominės veiklos rūšių klasifikatoriaus“, dokumento galiojimo data), kita, su patikrinimu susijusi, VDI gauta ir (ar) išsiųsta informacija;

22.7.4.2. įmones atstovaujančių asmenų, kuriems VDI darbuotojai teisės aktų nustatyta tvarka surašo administracinių nusižengimų ir pažeidimo protokolus ar nutarimus administracinių nusižengimų ir pažeidimų bylose, duomenys: administracinėn atsakomybėn traukiamo asmens kodas, gimimo data, vardas ir pavardė, gyvenamoji vieta, telefono ryšio numeris, įmonės kodas ir pavadinimas (jei darbdavys fizinis asmuo – asmens kodas, vardas ir pavardė), pareigos, asmens tapatybę liudijančio dokumento duomenys (rūšis, serija, numeris, išdavimo data, dokumentą išdavusios įstaigos pavadinimas), pažeidimo aprašymas (administracinio nusižengimo, pažeidimo esmė, pažeidimo padarymo data, laikas ir vieta, įmonės ir jos padalinio pavadinimas ir adresas, pažeisti norminiai teisės aktai, nurodant teisės aktų straipsnius, dalis ir punktus), skirtos baudos dydis, kita būtina bylai spręsti gauta ir išsiųsta informacija;

22.7.5. darbo ginčų (darbo bylų) nagrinėjimo tikslu tvarkomi ieškovų (jei fiziniai asmenys) duomenys: vardas ir pavardė, asmens kodas, gyvenamosios vietos adresas, elektroninio pašto adresas, telefono ryšio numeris, darbo ginčo esmę apibūdinantys duomenys (dėl ko ieškovas kreipiasi į darbo ginčų komisiją, aplinkybės, pagrindai ir įrodymai, kuriais grindžiamas reikalavimas (-ai), įvykių datos, darbo vieta, konkretus adresas, kur buvo atliekamos darbo funkcijos), ieškovo kvietimu dalyvausiantys liudytojai (vardas, pavardė, gyvenamosios vietos adresas, telefono ryšio numeris, darbovietė), darbo sutarties sąlygos, priskaičiuotas ir išmokėtas darbo užmokestis, draudžiamosios pajamos, ginčo nagrinėjimo rezultatas (sprendimo data, registravimo numeris, iš atsakovo išieškoma suma, sprendimo teisinis pagrindas, kita su ginčo sprendimu susijusi informacija), pasirengimo ginčo nagrinėjimui metu VDI gauta ir (ar) išsiųsta informacija;

22.7.6. Registro tvarkymo tikslu tvarkomi potencialiai pavojingų įrenginių savininkų (kai įrenginio savininkas yra fizinis asmuo) duomenys: asmens kodas vardas, pavardė, gyvenamosios vietos ir (ar) buveinės adresas, telefono ryšio numeris, elektroninio pašto adresas, savininkui nuosavybės teise ar kitu teisiniu pagrindu priklausantys potencialiai pavojingi įrenginiai ir jų techniniai duomenys;

22.7.7. asmenų, kurie įrašyti darbdavių teikiamuose VDI privalomuose pranešimuose, duomenys:

22.7.7.1. pranešimų apie į Lietuvos Respubliką komandiruojamąjį dirbti užsienio valstybės darbuotoją duomenys: gimimo data, vardas, pavardė, pilietybė, asmens tapatybę patvirtinančio dokumento duomenys, profesija, specialybė, kvalifikacija, darbo funkcija, darbo užmokestis;

22.7.7.2. pranešimų apie priimtą dirbti vaiką, jo darbo sąlygų pakeitimą ir apie darbo sutarties su vaiku nutraukimą duomenys: vaiko vardas, pavardė, gauti rašytiniai sutikimai (iš mokyklos, vieno iš tėvų, vaiko atstovo, vaiko sveikatą prižiūrinčio gydytojo), darbdavys ir darbo vieta, darbo sąlygos ir funkcijos, maksimali darbo trukmė (per parą, per savaitę), poilsio pertraukų trukmė ir skaičius, darbo apmokėjimo požymis (valandinis atlygis ar mėnesinė alga), darbo laikas, darbo sutarties su vaiku sudarymo ir nutraukimo data, darbo sutarties nutraukimo priežastis ir teisinis pagrindas;

22.7.7.3. pranešimo apie darbdavius (jei darbdavys yra fizinis asmuo), komandiruojančius į Lietuvos Respubliką darbuotojus ir priimančius komandiruotus darbuotojus duomenys: vardas, pavardė, adresas, kontaktiniai duomenys (telefono ryšio numeris, elektroninis paštas);

22.7.7.4. pranešimų apie laikinojo įdarbinimo įmones (kai darbdavys yra fizinis asmuo) duomenys: vardas, pavardė, gyvenamosios vietos adresas, telefono ryšio numeris, elektroninio pašto adresas, įmonės veiklos pradžios data.

23. VDI, saugodama asmens duomenis, įgyvendina ir užtikrina tinkamas organizacines ir technines priemones, skirtas asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo apsaugoti. Užtikrinama prieigos prie asmens duomenų apsauga, valdymas ir kontrolė. Prieiga prie asmens duomenų gali būti suteikiama tik tiems valstybės tarnautojams ir (ar) darbuotojams, kuriems asmens duomenys yra reikalingi jų funkcijoms vykdyti. Prieigos teisės prie asmens duomenų naikinamos pasibaigus valstybės tarnautojo ir (ar) darbuotojo valstybės tarnybos ar darbo teisiniams santykiams, pasikeitus darbo funkcijoms, kurioms vykdyti prieiga prie asmens duomenų tampa nereikalinga, taip pat nutraukus asmens duomenų tvarkymo sutartį, sudarytą su asmens duomenų tvarkytoju, ar šiai sutarčiai nustojus galioti.

24. VDI valstybės tarnautojai ir darbuotojai, bei pretendentų vertinimo komisijų nariai, kuriems yra suteikta teisė tvarkyti asmens duomenis, laikosi konfidencialumo principo ir laiko paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino atlikdami savo funkcijas, pasirašo Aprašo 5 priede nustatytos formos Konfidencialumo pasižadėjimą. Su asmens duomenimis galima atlikti tik tuos veiksmus, kuriems atlikti valstybės tarnautojui ar darbuotojui bei pretendentų vertinimo komisijos nariui yra suteiktos teisės.

25. VDI valstybės tarnautojai ir darbuotojai, kurie automatiniu būdu tvarko asmens duomenis, turi naudoti periodiškai keičiamus slaptažodžius. Šiuos slaptažodžius saugo ir žino tik valstybės tarnautojas ar darbuotojas, dirbantis konkrečiu kompiuteriu. Prireikus (pasikeitus valstybės tarnautojui ar darbuotojui, iškilus įsilaužimo grėsmei ir pan.) slaptažodžiai turi būti keičiami.

VII SKYRIUS

GARSO ĮRAŠŲ IR VAIZDO STEBĖJIMO ASMENS DUOMENŲ TVARKYMO YPATUMAI

26. Asmens vaizdo duomenims tvarkyti yra taikomos Vaizdo duomenų tvarkymo Lietuvos Respublikos valstybinėje darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos stebėjimo taisyklių, patvirtintų Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2016 m. kovo 14 d. įsakymu Nr. EV-78 nuostatos.

27. Asmens balso duomenys tvarkomi:

27.1. įgyvendinant VDI funkcijas, numatytas Lietuvos Respublikos valstybinės darbo inspekcijos įstatyme, siekiant vykdyti darbuotojų saugos ir sveikatos bei darbo santykius reglamentuojančių įstatymų ir kitų norminių teisės aktų pažeidimų prevenciją ir kontrolę, ginti VDI teisėtus interesus ir, kai reikia, kompetentingoms institucijoms teikti įrodymus apie VDI atliktus tikrinimus. Šie duomenys (įrašai), priklausomai nuo jų pobūdžio, ir jei reikia juos išsaugoti, turi būti saugomi ne ilgiau kaip vieną kalendorinį mėnesį po tyrimo užbaigimo (jei sankcijos nenumatytos) ar sankcijų įvykdymo (jei sankcijos numatytos). Jeigu duomenis (įrašus) reikia išsaugoti istorijai, jie perkeliami į DSS IS ir saugomi DSS IS nuostatų nustatyta tvarka;

27.2. vykdant Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus ar jo įgalioto asmens sprendimus (šie duomenys saugomi ne ilgiau, nei reikia sprendimui įvykdyti).

28. Telefoninių pokalbių įrašai tvarkomi, vadovaujantis Telefoninių pokalbių įrašų duomenų tvarkymo Lietuvos Respublikos valstybinėje darbo inspekcijoje prie Socialinės apsaugos ir darbo ministerijos taisyklėmis, patvirtintomis Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2016 m. balandžio 19 d. įsakymu Nr. EV-120 „ Dėl telefoninių pokalbių įrašų duomenų tvarkymo Lietuvos Respublikos Valstybinėje darbo inspekcijoje prie Socialinės apsaugos ir darbo ministerijos taisyklių patvirtinimo“.

29. Įgyvendinant duomenų subjekto teisę susipažinti su savo garso ar vaizdo duomenimis, tvarkomais VDI, užtikrinama trečiųjų asmenų teisė į privatų gyvenimą. Duomenų subjektui susipažįstant su garso įrašu panaikinama galimybė identifikuoti trečiuosius asmenis, o susipažįstant su vaizdo įrašu, jeigu vaizdo įraše matomi kiti asmenys, kurių tapatybė gali būti nustatyta, ar kita informacija, kuri gali pažeisti trečiųjų asmenų privatumą, šie vaizdai turi būti retušuoti ar kitais būdais panaikinama galimybė identifikuoti trečiuosius asmenis.

30. VDI užtikrina, kad prieigos teisės prie garso ir vaizdo duomenų būtų suteikiamos tik turintiems teises naudotojams ir tik tokia apimtimi, kiek jos būtinos valstybės tarnautojui ar darbuotojui pareiginėms funkcijoms atlikti. Prieigos teisės prie garso ar vaizdo duomenų naikinamos pasibaigus duomenų valdytojo ir jo darbuotojo darbo santykiams, pasibaigus valstybės tarnybos teisiniams santykiams, pasikeitus darbo funkcijoms, kurioms vykdyti prieiga prie garso ar vaizdo duomenų nereikalinga, taip pat nutraukus asmens duomenų tvarkymo sutartį, sudarytą su asmens duomenų tvarkytoju, ar šiai sutarčiai nustojus galioti.

31. Valstybės tarnautojai ir darbuotojai, turintys prieigos teisę prie garso ar vaizdo duomenų, pastebėję garso ar vaizdo duomenų saugumo pažeidimus (veiksmus ar neveikimą, galinčius sukelti ar sukeliančius grėsmę asmens duomenų saugumui), turi informuoti VDI duomenų apsaugos pareigūną. Tolimesnė procedūra vykdoma Aprašo XVII skyriuje nustatyta tvarka.

32. Įgyvendinant VDI funkcijas ir uždavinius (VDI veiklos ir vidaus administravimo tikslais) ir užtikrinant Reglamento (ES) 2016/679 ir kitų teisės aktų reikalavimų laikymąsi, gali būti tvarkomi ir kiti asmens duomenys.

VIII SKYRIUS

TEISĖ GAUTI INFORMACIJĄ APIE ASMENS DUOMENŲ TVARKYMĄ

33. Bendra informacija apie VDI atliekamą duomenų subjektų asmens duomenų tvarkymą pateikiama VDI interneto svetainės www.vdi.lt skyriaus „VDI veikla“ skiltyje „Asmens duomenų apsauga“ paskelbiant šį Aprašą.

34. Kai duomenų subjekto asmens duomenys renkami tiesiogiai iš duomenų subjekto, informacija apie duomenų subjektų asmens duomenų tvarkymą, nurodyta Reglamento (ES) 2016/679 13 straipsnyje, pateikiama asmens duomenų gavimo metu žodžiu ar raštu (atsižvelgiant į tai, kokiu būdu duomenų subjektas kreipiasi į VDI ), išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi arba kai tokių duomenų rinkimo bei teikimo tvarka ir duomenų gavėjai apibrėžiami įstatymuose ir kituose teisės aktuose. Informacija raštu teikiama pagal Aprašo 1 priede pateiktą formą.

35. Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto, apie šio duomenų subjekto asmens duomenų tvarkymą informuojama raštu (pagal Aprašo 1 priede pateiktą formą):

35.1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;

35.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu, arba;

35.3. jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.

36. Aprašo 29 punktas netaikomas, kai duomenų subjektas tokią informaciją jau turi arba kai tokių duomenų rinkimo bei teikimo tvarka ir duomenų gavėjai apibrėžiama įstatymuose ir kituose teisės aktuose ar yra kitos Reglamento (ES) 2016/679 14 straipsnio 5 dalyje nurodytos sąlygos.

IX SKYRIUS

TEISĖ SUSIPAŽINTI SU ASMENS DUOMENIMIS

37. VDI, esant duomenų subjekto prašymui įgyvendinti teisę susipažinti su savo asmens duomenimis, turi pateikti:

37.1. informaciją, ar duomenų subjekto asmens duomenys tvarkomi ar ne;

37.2. su asmens duomenų tvarkymu susijusią informaciją, numatytą Reglamento (ES) 2016/679 15 straipsnio 1 ir 2 dalyse, jeigu duomenų subjekto asmens duomenys tvarkomi;

37.3. tvarkomų asmens duomenų kopiją ar išrašą.

38. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta tvarkomų asmens duomenų kopija ar išrašas ir kita forma, nei VDI pateikia, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų.

X SKYRIUS

TEISĖ REIKALAUTI IŠTAISYTI ASMENS DUOMENIS

39. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 16 straipsniu, turi teisę reikalauti, kad bet kokie jo tvarkomi netikslūs asmens duomenys būtų ištaisyti, o neišsamūs papildyti.

40. VDI nedelsdama, bet ne vėliau kaip per 5 darbo dienas, patikrina asmens duomenis ir jeigu yra nustatoma, kad duomenų subjekto pateiktas prašymas yra pagrįstas, nedelsdamas, bet ne vėliau kaip per 5 darbo dienas, ištaiso neteisingus, neišsamius, netikslius asmens duomenis arba jeigu nėra galimybių nedelsiant ištaisyti neteisingus, neišsamius ar netikslius asmens duomenis, sustabdo tokių asmens duomenų tvarkymą ir šiuos asmens duomenis saugo tol, kol jie bus ištaisyti.

41. Siekiant įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, VDI gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus.

42. Jeigu duomenų subjekto asmens duomenys (ištaisyti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, VDI šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

XI SKYRIUS

TEISĖ REIKALAUTI IŠTRINTI ASMENS DUOMENIS („TEISĖ BŪTI PAMIRŠTAM“)

43. Duomenų subjekto teisė ištrinti jo asmens duomenis („teisė būti pamirštam“) įgyvendinama Reglamento (ES) 2016/679 17 straipsnyje numatytais atvejais.

44. Duomenų subjekto prašyme turi būti išsamiai argumentuota, dėl kokių priežasčių yra prašoma ištrinti jo asmens duomenis (prašyme turi būti nurodytas vienas iš Reglamento (ES) 2016/679 17 straipsnyje nurodytų pagrindų).

45. VDI, gavusi duomenų subjekto prašymą, nedelsdama, bet ne vėliau kaip per 10 darbo dienų nuo prašymo gavimo dienos, atlieka prašymo įvertinimą, siekdama nustatyti, ar duomenų subjekto pateiktas prašymas yra pagrįstas. Jeigu yra nustatoma, kad duomenų subjekto pateiktas prašymas yra pagrįstas, VDI nedelsdama, bet ne vėliau kaip per 5 darbo dienas, ištrina su duomenų subjektu susijusius asmens duomenis (išskyrus atvejus, jeigu yra bent vienas Reglamento (ES) 2016/679 17 straipsnio 3 dalyje nurodytų pagrindų) arba, jeigu nėra galimybių nedelsiant sunaikinti duomenų subjekto asmens duomenų, apriboja duomenų subjekto asmens duomenų tvarkymo veiksmus.

46. Jeigu duomenų subjekto asmens duomenys buvo perduoti duomenų gavėjams ir jei VDI yra gautas duomenų subjekto prašymas ištrinti duomenų subjekto asmens duomenis, VDI šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

XII SKYRIUS

TEISĖ APRIBOTI ASMENS DUOMENŲ TVARKYMĄ

47. Reglamento (ES) 2016/679 18 straipsnio 1 dalyje numatytais atvejais duomenų subjektas turi teisę reikalauti apriboti jo asmens duomenų tvarkymą.

48. VDI, gavusi duomenų subjekto prašymą, nedelsdama, bet ne vėliau kaip per 10 darbo dienų nuo prašymo gavimo dienos, atlieka prašymo įvertinimą, siekdama nustatyti, ar duomenų subjekto pateiktas prašymas yra pagrįstas. Nustačiusi, kad prašymas yra pagrįstas, VDI apriboja duomenų subjekto asmens duomenų tvarkymą ir nedelsdamas, bet ne vėliau kaip per 5 darbo dienas nuo sprendimo dėl asmens duomenų tvarkymo apribojimo priėmimo, informuoja duomenų subjektą apie jo asmens duomenų tvarkymo apribojimą.

49. VDI, duomenų subjekto prašymu apribojusi jo asmens duomenų tvarkymo veiksmus, asmens duomenis saugo tol, kol jie bus ištaisyti ar sunaikinti (duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui), o duomenų subjektas, prieš tokio apribojimo panaikinimą, raštu ar elektroninių ryšių priemonėmis yra informuojamas.

50. Jeigu duomenų subjekto asmens duomenys (kurių tvarkymas apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, VDI šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

XIII SKYRIUS

TEISĖ Į ASMENS DUOMENŲ PERKELIAMUMĄ

51. VDI neatlieka asmens duomenų tvarkymo, dėl kurio duomenų subjektas gali įgyvendinti teisę į duomenų perkeliamumą pagal Reglamento (ES) 2016/679 20 straipsnį.

XIV SKYRIUS

TEISĖ NESUTIKTI SU ASMENS DUOMENŲ TVARKYMU

52. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 21 straipsniu, turi teisę dėl su juo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad VDI tvarkytų jo asmens duomenis, kai šie asmens duomenys VDI yra tvarkomi Reglamento (ES) 2016/679 6 straipsnio 1 dalies e arba f punktuose nustatytais atvejais.

53. VDI duomenų subjekto teisę nesutikti, kad būtų tvarkomi jo asmens duomenys, įgyvendina, jeigu duomenų subjekto nesutikimas yra teisiškai pagrįstas. Tokiu atveju VDI nedelsdama nutraukia asmens duomenų tvarkymo veiksmus, išskyrus įstatymuose nustatytus atvejus, ir apie tai informuoja duomenų gavėjus.

54. Duomenų subjektui išreiškus nesutikimą su asmens duomenų tvarkymu, toks tvarkymas atliekamas tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių atliekamas asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus.

XV SKYRIUS

PRAŠYMO DĖL DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO PATEIKIMAS

55. Kreipdamasis dėl duomenų subjekto teisių įgyvendinimo duomenų subjektas VDI turi pateikti Aprašo 2 priede nurodytos formos rašytinį prašymą (toliau – prašymas) asmeniškai, paštu ar elektroninių ryšių priemonėmis per VDI portalą arba elektroniniu paštu duomenuapsauga@vdi.lt.

56. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi žodžiu ar prašymas pateiktas raštu asmeniškai, duomenų subjektas turi patvirtinti savo tapatybę pateikdamas asmens tapatybę patvirtinantį dokumentą. To nepadarius, duomenų subjekto teisės nėra įgyvendinamos. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.

57. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi raštu, pateikiant prašymą paštu, tuomet kartu su prašymu turi būti pateikta notaro patvirtinta asmens tapatybę patvirtinančio dokumento kopija. Teikiant prašymą elektroninėmis priemonėmis, prašymas turi būti pasirašytas kvalifikuotu elektroniniu parašu arba jis turi būti suformuotas elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.

58. Prašymas įgyvendinti duomenų subjekto teises turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyti duomenų subjekto vardas, pavardė, adresas ir (ar) kiti kontaktiniai duomenys ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo ir informacija apie tai, kokią iš Apraše nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti.

59. Savo teises duomenų subjektas gali įgyvendinti pats arba per atstovą.

60. Asmens atstovas prašyme turi nurodyti savo vardą, pavardę, adresą ir (ar) kitus kontaktinius duomenis ryšiui palaikyti, kuriais asmens atstovas pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę ir adresą bei pateikti atstovavimą patvirtinantį dokumentą ar jo kopiją.

61. Esant abejonių dėl duomenų subjekto tapatybės, VDI turi teisę paprašyti papildomos informacijos, reikalingos ja įsitikinti. Tokiu atveju prašymo nagrinėjimo terminas pratęsiamas tokiam laikotarpiui, per kurį duomenų subjektas ar jo atstovas pateikia papildomą informaciją ar dokumentus.

62. Kreipiantis raštu dėl duomenų subjekto teisių įgyvendinimo, rekomenduojama pateikti Aprašo 2 priede nurodytos formos prašymą.

63. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis į duomenų apsaugos pareigūną adresu: Aguonų g. 4, LT-03607 Vilnius, tel. (8 5) 213 9771, el. p. duomenuapsauga@vdi.lt. Siekiant užtikrinti Reglamento (ES) 2016/679 38 straipsnio 5 dalyje įtvirtintą konfidencialumą, kreipiantis į duomenų apsaugos pareigūną paštu, ant voko užrašoma, kad korespondencija skirta duomenų apsaugos pareigūnui.

XVI SKYRIUS

PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES NAGRINĖJIMAS

64. Gavus duomenų subjekto prašymą, ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, jam pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Jeigu prašymo nagrinėjimo metu duomenų subjektas jį patikslina (papildo) arba suformuluoja iš esmės naują prašymą, nagrinėjimo terminas skaičiuojamas nuo patikslinto (papildyto) prašymo gavimo dienos. Nurodytas laikotarpis gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymo sudėtingumą ir nagrinėjamų prašymų skaičių. VDI prieš pratęsdama prašymo nagrinėjimo terminą informuoja duomenų subjektą apie prašymo nagrinėjimo termino pratęsimą ir pateikia termino pratęsimo priežastis. Jeigu bus vėluojama pateikti informaciją, per nurodytą terminą duomenų subjektas informuojamas apie tai, nurodant vėlavimo priežastis ir apie galimybę pateikti skundą Valstybinei duomenų apsaugos inspekcijai.

65. Jeigu prašymas pateiktas nesilaikant Aprašo XV skyriuje nustatytos tvarkos ir reikalavimų, jis nenagrinėjamas, ir nedelsiant, bet ne vėliau kaip per 5 darbo dienas, duomenų subjektas apie tai informuojamas nurodant priežastis.

66. Jeigu prašymo nagrinėjimo metu nustatoma, jog duomenų subjekto teisės yra apribotos Reglamento (ES) 2016/679 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.

67. Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba duomenų subjekto pasirinktu būdu: žodžiu, paštu ar elektroninių ryšių priemonėmis.

68. Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai.

69. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma, dėl jų pasikartojančio turinio, VDI gali atsisakyti imtis veiksmų pagal duomenų subjekto prašymą.

70. VDI veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento (ES) 2016/679 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai, A. Juozapavičius g. 6, LT-10312 Vilnius, el. paštas ada@ada.lt, interneto svetainė www.ada.lt, taip pat Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.

71. Dėl duomenų subjekto teisių pažeidimo patyrus materialinę ar nematerialinę žalą, duomenų subjektas turi teisę į kompensaciją, dėl kurios priteisimo turi teisę kreiptis Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.

72. Aprašo reikalavimus atitinkantį prašymą VDI privalo išnagrinėti ir įgyvendinti duomenų subjekto teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti:

72.1. valstybės saugumą ar gynybą;

72.2. viešąją tvarką, nusikalstamų veikų prevenciją, tyrimą, nustatymą ar baudžiamąjį persekiojimą;

72.3. svarbius valstybės ekonominius ar finansinius interesus;

72.4. tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą;

72.5. duomenų subjekto ar kitų asmenų teisių ir laisvių apsaugą.

73. VDI atsisakymas įgyvendinti duomenų subjekto teises gali būti skundžiamas Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.

74. VDI, įgyvendindama duomenų subjekto teises, užtikrina, kad nebūtų pažeista kitų asmenų teisė į privataus gyvenimo neliečiamumą.

XVII SKYRIUS

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMAS

75. Įvykus bet kokiam asmens duomenų saugumo pažeidimui ar kitam incidentui, susijusiam su asmens duomenų saugumu VDI, VDI valstybės tarnautojai ir darbuotojai, kuriems tapo žinoma apie asmens duomenų saugumo pažeidimą, privalo nedelsiant, bet ne vėliau kaip pažeidimo ar incidento paaiškėjimo dieną, informuoti VDI duomenų apsaugos pareigūną.

76. Įvykus bet kokiam asmens duomenų saugumo pažeidimui, VDI privalo kuo greičiau ištaisyti asmens duomenų saugumo pažeidimus, eliminuoti jų pasekmes, siekiant atstatyti padėtį, kuri buvo prieš pažeidimą, imtis visų priemonių, kad pavojus arba galima žala duomenų subjektų teisėms ir laisvėms būtų sumažinta arba panaikinta.

77. Asmens duomenų saugumo pažeidimo atveju, VDI ne vėliau kaip per 72 valandas nuo tada, kai sužinojo apie asmens duomenų saugumo pažeidimą, vadovaujantis Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos apraše, patvirtintame Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T-72(1.12. E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“, tvarka ir sąlygomis praneša Valstybinei duomenų apsaugos inspekcijai (išskyrus Aprašo 72 punkte nustatytus atvejus).

78. Pranešimas Valstybinei duomenų apsaugos inspekcijai nėra teikiamas, jeigu asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Nustatant, ar asmens duomenų saugumo pažeidimas kelia pavojų fizinių asmenų teisėms ir laisvėms vertinama:

78.1. pažeidimo pobūdis;

78.2. asmens duomenų pobūdis, kategorija, apimtis, jautrumas;

78.3. duomenų subjekto identifikavimo galimybė tiesiogiai ar netiesiogiai pasinaudojant pažeidimo objekte esančiais duomenimis;

78.4. padarinių duomenų subjektui sunkumas, t. y. vertinama tokio asmens duomenų saugumo pažeidimo galimi sukelti fiziniai, materialiniai ir nematerialiniai padariniai duomenų subjekto teisėms ir laisvėms: ar duomenų subjektas praranda savo asmens duomenų kontrolę, ar pasireiškia koks nors duomenų subjektų teisių apribojimas, diskriminacija, tapatybės vagystė ar sukčiavimas, finansiniai nuostoliai, neteisėtas pseudonimo panaudojimas ar atskleidimas, žala reputacijai, konfidencialios informacijos (komercinės, gamybinės, profesinės paslapties) praradimas, jautrios informacijos atskleidimas, kiti galimi ekonominiai, socialiniai nuostoliai;

78.5. duomenų subjektų ypatinga charakteristika (pavyzdžiui, vaikai, pažeidžiami asmenys);

78.6. su asmens duomenų saugumo pažeidimu susijusių asmenų apimtis, mastas.

79. Preziumuojama, kad asmens duomenų saugumo pažeidimas kelia pavojų duomenų subjekto asmens teisėms ir laisvėms, kai asmens duomenų saugumo pažeidimas yra susijęs su specialių kategorijų asmens duomenimis (atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, genetinius duomenis, biometrinius duomenis ar kt.).

80. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, VDI privalo ne vėliau kaip per 72 valandas pranešti apie asmens duomenų saugumo pažeidimą tiesiogiai duomenų subjektui pateikdamas nurodytos formos pranešimą (Aprašo 3 priedas). Pranešimas duomenų subjektui pateikiamas įprastu komunikavimo su duomenų subjektu būdu, dedant maksimalias pastangas, kad pranešimas pasiektų adresatą.

81. Aprašo 77 punkte nurodytas pranešimas duomenų subjektams apie asmens duomenų saugumo pažeidimus nėra teikiamas, jeigu yra bent viena Reglamento (ES) 2016/679 34 straipsnio 3 dalyje nurodytų sąlygų.

82. VDI privalo informuoti duomenų subjektus apie asmens duomenų saugumo pažeidimą, pateikdamas nustatytos formos pranešimą, jeigu to pareikalauja Valstybinė duomenų apsaugos inspekcija.

83. Už pranešimų apie asmens duomenų saugumo pažeidimą pateikimą Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektams yra atsakingas VDI duomenų apsaugos pareigūnas. VDI valstybės tarnautojai ir darbuotojai privalo operatyviai teikti duomenų apsaugos pareigūnui visą jo paprašytą su asmens duomenų saugumo pažeidimu susijusią informaciją ir dokumentus.

84. VDI, sudarydama bet kokio pobūdžio sutartis, kurių pagrindu yra perduodami asmens duomenys, užtikrina, kad sutartyse būtų įtvirtinta pareiga kitai sutarties šaliai pranešti VDI apie asmens duomenų saugumo pažeidimo atvejus ne vėliau kaip per 24 val. nuo sužinojimo momento pateikiant pranešimo formoje nustatytą informaciją bei bendradarbiauti teikiant informaciją Valstybinei duomenų apsaugos inspekcijai ir (ar) duomenų subjektams.

85. VDI tvarkomas Asmens duomenų saugumo pažeidimų registras pagal Aprašo 4 priede patvirtintą formą. Už Asmens duomenų saugumo pažeidimų registro pildymą atsakingas VDI duomenų apsaugos pareigūnas. Asmens duomenų saugumo pažeidimų registre registruojami visi asmens duomenų saugumo pažeidimai, nepaisant to, ar apie juos pranešta Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektui, ar tokie pažeidimai gali sukelti pavojų duomenų subjektų teisėms ir laisvėms, ar ne. Asmens duomenų saugumo pažeidimų registras yra pateikiamas Valstybinei duomenų apsaugos inspekcijai jai pareikalavus. Asmens duomenų saugumo pažeidimų registras gali būti popierinės arba elektroninės formos.

86. VDI duomenų apsaugos pareigūnas turi nuolat stebėti asmens duomenų tvarkymo veiklą VDI ir tirti bet kokius incidentus, kurie gali būti susiję su asmens duomenų saugumo pažeidimais. Esant poreikiui gali būti sudaryta darbo grupė tirti asmens duomenų saugumo pažeidimus, jų priežastis, pasekmes bei teikti pasiūlymus dėl asmens duomenų saugumo pažeidimų išvengimo ateityje. VDI nuolat tobulina vidinius procesus, atsižvelgdamas į nustatytas asmens duomenų saugumo pažeidimų priežastis.

XVIII SKYRIUS

ASMENS DUOMENŲ TEIKIMAS TREČIOSIOMS ŠALIMS

87. Asmens duomenys tretiesiems asmenims teikiami įstatymų ir kitų teisės aktų nustatytais atvejais ir tvarka:

87.1. asmenų, pateikusių VDI skundą ar prašymą, asmens duomenys skundo ar prašymo nagrinėjimo tikslu – juridiniams ir fiziniams asmenims (įskaitant ir kitų Europos Sąjungos valstybių narių ir Europos ekonominės erdvės valstybių kompetentingas institucijas);

87.2. asmenų, pateikusių VDI skundą ar prašymą, asmens duomenys ginčo dėl VDI priimto sprendimo teisėtumo nagrinėjimo tikslu – teismams;

87.3. VDI valstybės tarnautojų ir darbuotojų asmens duomenys:

87.3.1. socialinio draudimo įmokų administravimo tikslu teikiami Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos;

87.3.2. mokesčių administravimo tikslu teikiami Valstybinei mokesčių inspekcijai prie Lietuvos Respublikos finansų ministerijos;

87.3.3. valstybės tarnybos valdymo tikslu VDI valstybės tarnautojų ir darbuotojų bei pretendentų į VDI valstybės tarnautojus asmens duomenys teikiami Valstybės tarnybos departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos;

87.3.4. Administracinių nusižengimų registro (toliau – ANR) duomenų tvarkymo tikslu asmenų, kuriems VDI surašo administracinio nusižengimo protokolą, duomenys teikiami ANR tvarkytojui – Informatikos ir ryšių departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos;

87.3.5. Profesinių ligų registro duomenų tvarkymo tikslu profesinių ligų priežasčių tyrimo duomenys teikiami Higienos institutui;

87.3.6. kitiems tretiesiems asmenims, Aprašo 22 punkte nurodyti duomenų subjektų asmens duomenys, teikiami tik tais atvejais, kai asmens duomenis teikti VDI įpareigoja įstatymai ir (ar) kiti teisės aktai.

88. Informacija duomenų subjektams apie jų asmens duomenų tvarkymą pateikiama tokiu būdu, kokiu duomenų subjektas kreipiasi į VDI, išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi arba kai įstatymai ir kiti teisės aktai apibrėžia tokių duomenų rinkimo ir teikimo tvarką bei duomenų gavėjus. Duomenų subjektams skirta informacija apie jų asmens duomenų tvarkymą pateikiama VDI interneto svetainėje.

89. VDI valstybės tarnautojai ir darbuotojai apie VDI tvarkomus jų asmens duomenis informuojami pasirašytinai Aprašo 1 priede pateikiama pavyzdine forma, skirta įgyvendinti duomenų subjektų teisę susipažinti su tvarkomais asmens duomenimis.

90. VDI privalo sudaryti sąlygas duomenų subjektui įgyvendinti šias teises, išskyrus Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme (toliau – ADTAĮ) nustatytus atvejus. Duomenų subjekto teisių įgyvendinimas VDI vykdomas tokia tvarka:

90.1. kiekvienas VDI valstybės tarnautojas ir darbuotojas, prieš rinkdamas asmens duomenis ir teikdamas asmens duomenis duomenų gavėjams, turi įsitikinti, ar tvarkant surinktus duomenis bus tinkamai įgyvendintos duomenų subjekto teisės, ir siekti, kad jos būtų įgyvendintos tinkamai;

90.2. kiekvienas VDI valstybės tarnautojas ir darbuotojas, pastebėjęs, kad duomenų subjekto teisės negali būti tinkamai įgyvendinamos dėl tam tikrų manomų spragų (teisės aktuose, informacinėje sistemoje ar kt.), taip pat pastebėjęs bet kokią kitą Reglamento (ES) 2016/679 ar kitų teisės aktų susijusių su asmens duomenų apsauga pažeidimo galimybę, privalo raštu (arba elektroniniu paštu) informuoti savo tiesioginį vadovą arba Informacinių technologijų ir dokumentų valdymo skyriaus vedėją, kurie privalo imtis priemonių ištirti ir pašalinti pažeidimo galimybę;

90.3. VDI gautus duomenų subjekto prašymus ir paklausimus dėl jo asmens duomenų tvarkymo nagrinėja asmens duomenų pareigūnas lokalinių teisės aktų nustatyta tvarka;

90.4. privalu užtikrinti, kad visa reikalinga informacija duomenų subjektui būtų pateikiama aiškiai, suprantamai, priimtina forma ir laiku;

90.5. kitiems tretiesiems asmenims, kuriems pareiga pateikti asmens duomenis yra nustatyta įstatymuose ar kituose teisės aktuose taip pat taikomos Aprašo nuostatos.

XIX SKYRIUS

KONFIDENCIALUMO IR SAUGUMO NUOSTATOS

91. Jeigu juridiniam ar fiziniam asmeniui, vykdančiam informacijos ir ryšių technologijų priemonių kūrimo (įskaitant plėtros) darbus, yra suteikiama teisė tvarkyti asmens duomenis sistemos kūrimo ir (ar) diegimo laikotarpiu, Informacinių technologijų ir dokumentų valdymo skyrius ir IS administratoriai turi užtikrinti, kad ADTAĮ nustatytais atvejais prieiga jam nebūtų suteikta, kol Valstybinė duomenų apsaugos inspekcija nesuteiks leidimo.

92. Informacinių technologijų ir dokumentų valdymo skyrius rūpinasi, kad Asmens duomenų valdytojų registre, kurį tvarko Valstybinė duomenų apsaugos inspekcija, būtų teisinga informacija apie VDI asmens duomenų tvarkymą; prireikus inicijuoja atnaujinimą.

93. VDI valstybės tarnautojai ir darbuotojai, kurie tvarko asmens duomenis, privalo saugoti asmens duomenų paslaptį, kurią jie sužino, vykdydami savo pareigas. Ši pareiga galioja ir nutraukus su duomenų tvarkymu susijusią veiklą.

94. Už asmens duomenų tvarkymo teisėtumą, duomenų teikimo teisėtumą, duomenų patikimumą ir duomenų apsaugą atsako VDI ir kiekvienas VDI valstybės tarnautojas bei darbuotojas asmeniškai teisės aktų nustatyta tvarka.

95. Už saugų asmens duomenų tvarkymą atsako duomenų tvarkymo veiksmus atliekantys VDI valstybės tarnautojai ir darbuotojai.

96. Informacinių technologijų ir dokumentų valdymo skyrius užtikrina, kad asmens duomenų saugos priemonės atitiktų Aprašo reikalavimus.

XX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

97. Šis Aprašas yra peržiūrimas kasmet atliekant atitikties asmens duomenų apsaugos reikalavimams vertinimą.

_____________________________

Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Valstybinėje darbo inspekcijoje prie Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos tvarkos aprašo

1 priedas

(Informacijos apie asmens duomenų tvarkymą forma)

INFORMACIJA APIE ASMENS DUOMENŲ TVARKYMĄ

Vadovaudamiesi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p.1) 13/14^{^[1]} straipsniu, teikiame Jums informaciją, susijusią su Jūsų duomenų tvarkymu:

1. Duomenų valdytojas ir informacinės sistemos duomenų tvarkytojas – Valstybinė darbo inspekcija prie Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos, juridinio asmens kodas 188711163, buveinės adresas Algirdo g. 19, 03607 Vilnius. Tel. (8 5) 265 0193, faks. (8 5) 213 9751, konsultacijų tel. (8 5) 213 9772, el. p. info@vdi.lt.

2. Duomenų apsaugos pareigūno kontaktai – (nurodyti Valstybinės darbo inspekcijos prie Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos duomenų apsaugos pareigūno pareigas, vardą, pavardę, telefono numerį, elektroninio pašto adresą).

2.1. ________________________________________________

3. Tvarkomi duomenys. Informuojame Jus, kad tvarkome šiuos Jūsų asmens duomenis^{^[2]}:

3.1. ________________________

3.2. ________________________

3.3. ________________________

3.4. ________________________

4. Duomenų tvarkymo tikslai. Aukščiau nurodyti Jūsų asmens duomenys yra tvarkomi šiais tikslais^{^[3]}:

4.1. ________________________

4.2. ________________________

4.3. ________________________

4.4. ________________________

5. Duomenų tvarkymo teisinis pagrindas. Jūsų asmens duomenų tvarkymo teisinis pagrindas^{^[4]} –

_______________________________________________________________________________________________^{^[5]}.

6. Duomenų šaltinis. Aukščiau nurodyti Jūsų duomenys gauti iš^{^[6]}_____________________

_______________________________________________________________________________.

7. Asmens duomenų gavėjai. Jūsų asmens duomenys gali būti perduoti^{^[7]}:

7.1. ________________________

7.2. ________________________

7.3. ________________________

7.4. ________________________

8. Duomenų subjektų teisės. Informuojame Jus, kad turite šias teises: teisę prašyti, kad Jums būtų leista susipažinti su Jūsų asmens duomenimis ir juos ištaisyti arba ištrinti, teisę apriboti duomenų tvarkymą, teisę nesutikti, kad asmens duomenys būtų tvarkomi. Šias teises galite įgyvendinti teisės aktų nustatyta tvarka.

Prašymai dėl teisių įgyvendinimo Valstybinėje darbo inspekcijoje prie Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos turi būti pateikti raštu (įskaitant ir elektroniniu formatu), taip pat turi būti įmanoma identifikuoti prašymą padavusio asmens bei duomenų subjekto tapatybę. Duomenų subjekto tapatybė nustatoma pagal asmens tapatybę patvirtinantį dokumentą ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį. Jei prašymą duomenų subjektas siunčia paštu ar per pasiuntinį, prie prašymo turi būti pridėta asmens tapatybę patvirtinančio dokumento kopija, patvirtinta notaro, ar šio dokumento kopija, patvirtinta kita teisės aktų nustatyta tvarka. Kai dėl informacijos apie asmenį kreipiasi jo atstovas, jis turi pateikti atstovavimą patvirtinantį dokumentą ir atstovo asmens tapatybę patvirtinantį dokumentą.

Dėl duomenų subjektų teisių įgyvendinimo maloniai prašome kreiptis į duomenų apsaugos pareigūną 2 punkte nurodytais kontaktais.

9. Jūs taip pat turite teisę bet kada atšaukti sutikimą tvarkyti Jūsų duomenis. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto asmens duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.^{^[8]}

10. Asmens duomenų saugojimo laikotarpis. Informuojame, kad Jūsų asmens duomenys bus saugomi ____________ laikotarpį^{^[9]}. Šis terminas gali būti pratęstas, jei asmens duomenys yra naudojami arba gali būti naudojami kaip įrodymai ar informacijos šaltinis ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais įstatymų nustatytais atvejais. Tokiu atveju asmens duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.

11. Automatizuotų sprendimų priėmimai. Informuojame, kad šie Jūsų duomenys nebus naudojami automatizuotų sprendimų priėmimui Jūsų atžvilgiu, įskaitant profiliavimą.

12. Skundų teikimas. Informuojame, kad Jūs turite teisę skųsti VDI prie Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos veiksmus (neveikimą) Valstybinei duomenų apsaugos inspekcijai ir teismui teisės aktų nustatyta tvarka, taip pat skųsti teismui Valstybinės duomenų apsaugos inspekcijos veiksmus (neveikimą).

________________

2 priedas

(Prašymo įgyvendinti duomenų subjekto teisę (-es) forma)

________________________________________________________________

(Duomenų subjekto vardas, pavardė)

________________________________________________________________________________

(Adresas ir (ar) kiti kontaktiniai duomenys (telefono numeris ar el. pašto adresas (nurodoma pareiškėjui pageidaujant)

________________________________________________________________________________

(Atstovas ir atstovavimo pagrindas, jeigu prašymą pateikia duomenų subjekto atstovas)

_____________________________

(Duomenų valdytojo pavadinimas)

PRAŠYMAS

ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISĘ (-ES)

____________

(Data)

________

(Vieta)

1. Prašau įgyvendinti šią (šias) duomenų subjekto teisę (-es):

(Tinkamą langelį pažymėkite kryželiu):

☐ Teisę gauti informaciją apie duomenų tvarkymą

☐ Teisę susipažinti su duomenimis

☐ Teisę reikalauti ištaisyti duomenis

☐ Teisę reikalauti ištrinti duomenis („teisė būti pamirštam“)

☐ Teisę apriboti duomenų tvarkymą

☐ Teisę nesutikti su duomenų tvarkymu

2. Nurodykite, ko konkrečiai prašote ir pateikite kiek įmanoma daugiau informacijos, kuri leistų tinkamai įgyvendinti Jūsų teisę (-es) (pavyzdžiui, jeigu norite gauti asmens duomenų kopiją, nurodykite, kokių konkrečiai duomenų (pavyzdžiui, 2018 m. x mėn. x d. elektroninio pašto laiško kopiją, 2018 m. x mėn. x d. vaizdo įrašą (x val. x min. – x val. x min.) kopiją pageidaujate gauti; jeigu norite ištaisyti duomenis, nurodykite, kokie konkrečiai Jūsų asmens duomenys yra netikslūs; jeigu nesutinkate, kad būtų tvarkomi Jūsų asmens duomenys, tuomet nurodykite argumentus, kuriais grindžiate savo nesutikimą, nurodykite dėl kokio konkrečiai duomenų tvarkymo nesutinkate):

________________________________________________________________________________

_______________________________________________________________________________.

PRIDEDAMA^{^[10]}:

1. _________________________________________________________________________.

2. _________________________________________________________________________.

3. _________________________________________________________________________.

4. _________________________________________________________________________.

_______________ _______________

(Parašas) (Vardas, pavardė)

3 priedas

(Pranešimo apie asmens duomenų saugumo pažeidimą forma)

Valstybinei duomenų apsaugos inspekcijai

L. Sapiegos g. 17, 10312 Vilnius
Tel. (8 5) 271 2804, 279 1445
Faks.: (8 5) 261 9494
El. paštas: ada@ada.lt

arba

Duomenų subjekto vardas, pavardė

Kontaktiniai duomenys

PRANEŠIMAS APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ

_______

(data)

________

(miestas)

1. Duomenų valdytojas ir informacinės sistemos duomenų tvarkytojas:

VDI prie Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos, juridinio asmens kodas 188711163, buveinės adresas Algirdo g. 19, 03607 Vilnius. Tel. (8 5) 265 0193, faks. (8 5) 213 9751, konsultacijų tel. (8 5) 213 9772, el. p. info@vdi.lt.

2. Duomenų apsaugos pareigūnas:

(nurodyti VDI prie Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos duomenų apsaugos pareigūno pareigas, vardą, pavardę, telefono numerį, elektroninio pašto adresą).

3. Asmens duomenų saugumo pažeidimas:

3.1. asmens duomenų saugumo pažeidimo data, laikas ir vieta:

________________________________________________________________________________

_______________________________________________________________________________

3.2. asmens duomenų saugumo pažeidimo nustatymo data ir laikas:

________________________________________________________________________________

3.3. asmens duomenų saugumo pažeidimo aplinkybės^{^[11]}:

________________________________________________________________________________

3.4. apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius ir kategorijos:

________________________________________________________________________________

3.5. apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius ir kategorijos:

________________________________________________________________________________

3.6. tikėtinos asmens duomenų saugumo pažeidimo pasekmės:

________________________________________________________________________________

3.7. kita, duomenų valdytojo nuomone, reikšminga informacija:

________________________________________________________________________________

4. Priemonės, kurių duomenų valdytojas ėmėsi arba siūlo imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas arba kad būtų sumažintos neigiamos pasekmės:

________________________________________________________________________________

____________________________________________________________________________

5. Informacija apie tai, ar apie asmens duomenų saugumo pažeidimą informuoti duomenų subjektai (jeigu duomenų subjektai neinformuojami, nurodomos priežastys):

________________________________________________________________________________

6. Pasiūlymai, kokių priemonių gali imtis duomenų subjektai, siekdami sumažinti ar išvengti asmens duomenų saugumo pažeidimo neigiamų padarinių^{^[12]} (pildoma, jeigu VDI prie Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos gali pateikti efektyvių pasiūlymų duomenų subjektui):

________________________________________________________________________________

7. Vėlavimo pateikti informaciją Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) priežastys^{^[13]} (pildoma, jeigu pranešimas teikiamas Inspekcijai praėjus daugiau kaip 72 val. po pažeidimo paaiškėjimo):

________________________________________________________________________________

8. Ar su asmens duomenų saugumo pažeidimu susijusi informacija bus teikiama etapais^{^[14]} (pildoma, jeigu pradiniame pranešime neįmanoma pateikti visos ir išsamios su asmens duomenų saugumo pažeidimu susijusios informacijos, ir informacija Inspekcijai numatoma teikti etapais):

________________________________________________________________________________

(pareigos) (parašas) (vardas, pavardė)

4 priedas

(Asmens duomenų saugumo pažeidimų registro forma)

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ REGISTRAS

Eil. Nr.	Asmens duomenų saugumo pažeidimas^{^[15]}	Asmens duomenų saugumo pažeidimo poveikis^{^[16]}	Taisomieji veiksmai^{^[17]}	Informacija, ar buvo pateiktas pranešimas Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektams^{^[18]}	Priežastys ir argumentai, dėl ko pranešimas Valstybinei duomenų apsaugos inspekcijai ir (ar) duomenų subjektams nebuvo pateiktas^{^[19]}

________________

5 priedas

(Konfidencialumo pasižadėjimo forma)

KONFIDENCIALUMO PASIŽADĖJIMAS

_________

(data)

_______________

(sudarymo vieta)

Aš, ____________________________________________________________________,

(vardas, pavardė)

_________________________________________________________________________,

(pareigų pavadinimas)

patvirtinu, kad esu susipažinęs (-usi) su 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento) (OL 2016 L 119, p. 1), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, Valstybinės darbo inspekcijos prie Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos vyriausiojo valstybinio darbo inspektoriaus patvirtinto Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Valstybinėje darbo inspekcijoje prie Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos tvarkos aprašo, kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą, nuostatomis, ir pasižadu:

1. Laikytis asmens duomenų tvarkymo ir saugumo reikalavimų, nustatytų teisės aktuose.

2. Laikytis konfidencialumo principo ir saugoti asmens duomenų paslaptį, susijusią su bet kokiais asmens duomenimis, su kuria susipažinau vykdydamas(-a) pavestas funkcijas visą tarnybos ar darbo laiką ir pasibaigus tarnybos ar darbo santykiams Valstybinėje darbo inspekcijoje prie Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos, jeigu šie asmens duomenys neskirti skelbti viešai.

3. Įgyvendinti teisės aktų, reglamentuojančių asmens duomenų apsaugą, nuostatas, numatančias, kaip asmens duomenis apsaugoti nuo neteisėto tvarkymo ar atskleidimo ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su asmens duomenimis nė vienam asmeniui, kuris nėra įgaliotas tvarkyti asmens duomenis;

4. Asmens duomenis naudoti tik tiek, kiek reikia, ir tik tokia apimtimi, kokia reikalinga pavestoms funkcijoms atlikti ir užduotims vykdyti.

5. Savo ir (ar) man artimų asmenų privačių interesų naudai nesinaudoti ir neleisti naudotis informacija, kurią įgysiu vykdydamas (-a) pavestas funkcijas, kitokia tvarka ir mastu, nei nustato Lietuvos Respublikos teisės aktai.

6. Asmens duomenų nekopijuoti, nefotografuoti arba kitu būdu nedauginti, jeigu tai nėra būtina pavestoms funkcijoms atlikti ir užduotims vykdyti.

7. Sužinojęs (-usi) apie asmens duomenų saugumo pažeidimą ir/ar galimai neteisėtą asmens duomenų tvarkymą, nedelsdamas (-a) apie tai informuoti tiesioginį vadovą ir Valstybinės darbo inspekcijos prie Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos duomenų apsaugos pareigūną.

Esu informuotas (-a), kad su asmens duomenų tvarkymu susijusiais klausimais galiu kreiptis į Valstybinės darbo inspekcijos prie Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos duomenų apsaugos pareigūną.

Esu informuotas (-a) ir suprantu, kad, pažeidęs (-usi) šiame konfidencialumo pasižadėjime išdėstytus įsipareigojimus, turėsiu atlyginti padarytą žalą Lietuvos Respublikos teisės aktų nustatyta tvarka ir kad už neteisėtą asmens duomenų atskleidimą ar kitokį tvarkymą man gali būti taikoma Lietuvos Respublikos teisės aktuose numatyta atsakomybė.

______________________________ __________________ _______________________________

(pareigų pavadinimas) (parašas) (vardas ir pavardė)

^{^[1]}Pasirinkti tinkamą: jei duomenys gauti iš paties duomenų subjekto, nurodomas Bendrojo duomenų apsaugos reglamento 13 straipsnis, jei iš kitų asmenų – 14 straipsnis.

^{^[2]} Šiame punkte pateikiamas tvarkomų asmens duomenų (asmens duomenų kategorijų) sąrašas, nurodytas Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Valstybinėje darbo inspekcijoje prie Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos apraše.

^{^[3]} Šiame punkte pateikiami asmens duomenų tvarkymo tikslai, nurodyti Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Valstybinėje darbo inspekcijoje prie Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos apraše.

^{^[4]} Šiame punkte pateikiamas asmens duomenų tvarkymo pagrindas.

^{^[5]} Atsižvelgiant į duomenų tvarkymo teisinį pagrindą, nurodoma, ar duomenų pateikimas yra nustatytas teisės aktais, arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina vykdyti norint sudaryti sutartį, taip pat tai, ar duomenų subjektas privalo pateikti asmens duomenis, ir informacija apie galimas tokių duomenų nepateikimo pasekmes; jeigu duomenų tvarkymo pagrindas – teisėtas Valstybinėje darbo inspekcijoje prie Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos ar trečiųjų asmenų interesas – aiškiai įvardinamas šis interesas

^{^[6]} Šiame punkte pateikiamas asmens duomenų kilmės šaltinis ir, jeigu taikoma asmens duomenų apsauga, ar duomenys gauti iš viešai prieinamų šaltinių.

^{^[7]} Šiame punkte pateikiami duomenų gavėjai (jų kategorijos), nurodyti Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo VDI prie Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos apraše.

^{^[8]} Ši pastraipa yra rašoma tik tada, kai duomenys yra tvarkomi sutikimo pagrindu.

^{^[9]} Šiame punkte pateikiamas asmens duomenų saugojimo laikotarpis, nurodytas VDI prie Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos dokumentacijos plane.

^{^[10]} Jeigu prašymas yra siunčiamas paštu, prie prašymo pridedama asmens tapatybę patvirtinančio dokumento kopija, patvirtinta notaro ar kita teisės aktų nustatyta tvarka.

Jeigu kreipiamasi dėl netikslių duomenų ištaisymo, pateikiamos tikslius duomenis patvirtinančių dokumentų kopijos; jeigu jos siunčiamos paštu, tuomet turi būti patvirtintos notaro ar kita teisės aktų nustatyta tvarka.

Jeigu duomenų subjekto asmens duomenys, tokie kaip vardas, pavardė, yra pasikeitę, kartu pateikiamos dokumentų, patvirtinančių šių duomenų pasikeitimą, kopijos; jeigu jos siunčiamos paštu, tuomet turi būti patvirtintos notaro ar kita teisės aktų nustatyta tvarka.

^{^[11]} Nurodoma, ar tai asmens duomenų konfidencialumo praradimas (neautorizuota prieiga ar atskleidimas), asmens duomenų integralumo praradimas (neautorizuotas asmens duomenų pakeitimas), asmens duomenų valdymo kontrolės praradimas (asmens duomenų praradimas, sunaikinimas).

^{^[12]} Pildomas, jeigu pranešimas yra teikiamas duomenų subjektui.

^{^[13]} Jei pranešimas yra teikiamas duomenų subjektui, nepildoma.

^{^[14]} Jei pranešimas yra teikiamas duomenų subjektui, nepildoma.

^{^[15]} Šioje skiltyje pateikiama: 1) laikas ir data, kada pažeidimas įvyko, kada pažeidimas buvo užfiksuotas, kada apie pažeidimą sužinojo VDI prie Lietuvos Respublikos Socialinės apsaugos ir darbo ministerijos, 2) pažeidimo faktinės aplinkybės, 3) pažeidimo pobūdis, 4) pažeidimo priežastys.

^{^[16]} Šioje skiltyje pateikiama: 1) asmens duomenų ir asmens duomenų subjektų kategorija, susijusi su pažeidimu, 2) asmens duomenų, susijusių su pažeidimu, apimtis, 3) realus ar galimas pažeidimo poveikis ir jo padariniai duomenų subjektų teisėms ir laisvėms (fiziniai, materialiniai ir nematerialiniai padariniai).

^{^[17]} Šioje skiltyje pateikiama: 1) priemonės ir veiksmai, kurių buvo imtasi siekiant ištaisyti asmens duomenų pažeidimą ir jo padarinius, 2) priemonės ir veiksmai, kurių buvo imtasi siekiant užkirsti kelią ar sumažinti pažeidimo poveikį duomenų subjektams, 3) priemonėmis ir veiksmais pasiekti rezultatai.

^{^[18]} Šioje skiltyje pateikiama: 1) ar buvo teiktas pranešimas Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektams, 2) pranešimo data, (3) pranešimo pateikimo būdas.

^{^[19]} Ši skiltis pildoma tuomet, jeigu Valstybinei duomenų apsaugos inspekcijai ir (ar) duomenų subjektui nebuvo teiktas pranešimas dėl asmens duomenų saugumo pažeidimo. Šioje skiltyje nurodomos priežastys, argumentai, nuorodos į dokumentus ir tyrimo rezultatus, kurie pagrindžia, kad: 1) asmens duomenų saugumo pažeidimas nekelia pavojaus duomenų subjektų teisėms ir laisvėms – kai pranešimas nėra teikiamas nei Valstybinei duomenų apsaugos inspekcijai, nei duomenų subjektams, 2) asmens duomenų saugumo pažeidimas negali sukelti didelio pavojaus duomenų subjektų teisėms ir laisvėms – kai pranešimas yra teikiamas Valstybinei duomenų apsaugos inspekcijai, bet nėra teikiamas duomenų subjektams.