ŠIAULIŲ MIESTO SAVIVALDYBĖS ADMINISTRACIJOS

DIREKTORIUS

ĮSAKYMAS

DĖL ŠIAULIŲ MIESTO SAVIVALDYBĖS ADMINISTRACIJOS DIREKTORIAUS 2017 M. GEGUŽĖS 8 D. ĮSAKYMO NR. A-664 „DĖL ASMENS DUOMENŲ TVARKYMO ŠIAULIŲ MIESTO SAVIVALDYBĖS ADMINISTRACIJOJE TAISYKLIŲ PATVIRTINIMO“ PAKEITIMO

2020 m. liepos 21 d. Nr. A-949

Šiauliai

Vadovaudamasis Lietuvos Respublikos vietos savivaldos įstatymo 18 straipsnio 1 dalimi,

1. K e i č i u Šiaulių miesto savivaldybės administracijos direktoriaus 2017 m. gegužės 8 d. įsakymą Nr. A-664 „Dėl asmens duomenų tvarkymo Šiaulių miesto savivaldybės administracijoje taisyklių patvirtinimo“ ir išdėstau jį nauja redakcija:

„ŠIAULIŲ MIESTO SAVIVALDYBĖS ADMINISTRACIJOS

DIREKTORIUS

ĮSAKYMAS

DĖL ASMENS DUOMENŲ TVARKYMO ŠIAULIŲ MIESTO SAVIVALDYBĖS ADMINISTRACIJOJE TAISYKLIŲ PATVIRTINIMO

Vadovaudamasis Lietuvos Respublikos vietos savivaldos įstatymo 29 straipsnio 8 dalies 2 punktu, 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu:

tvirtinu Asmens duomenų tvarkymo Šiaulių miesto savivaldybės administracijoje taisykles (pridedama).“.

2. Į p a r e i g o j u:

2.1. Šiaulių miesto savivaldybės administracijos (toliau – Administracija) Bendrųjų reikalų skyrių supažindinti su šiuo įsakymu visų Administracijos struktūrinių padalinių ir į padalinius neįeinančius valstybės tarnautojus ir darbuotojus per dokumentų valdymo sistemą DVS „Avilys“;

2.2. Administracijos struktūrinių padalinių vadovus, seniūnijų seniūnus užtikrinti, kad Administracijos darbuotojai pasirašytų Asmens duomenų tvarkymo Šiaulių miesto savivaldybės administracijoje taisyklių priedus - Įsipareigojimą saugoti asmens duomenų paslaptį ir Informavimo apie darbuotojų asmens duomenų tvarkymą, ir juos pateiktų Bendrųjų reikalų skyriaus Personalo ir vidaus administravimo poskyriui.

Administracijos direktorius Antanas Bartulis

PATVIRTINTA

Šiaulių miesto savivaldybės

administracijos direktoriaus
2017 m. gegužės 8 d. įsakymu Nr. A-664

(2020 m. liepos 21 d.

įsakymo Nr. A-949 redakcija)

ASMENS DUOMENŲ TVARKYMO ŠIAULIŲ MIESTO SAVIVALDYBĖS ADMINISTRACIJOJE TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Asmens duomenų tvarkymo Šiaulių miesto savivaldybės administracijoje (toliau – Administracija) taisyklių (toliau – Taisyklės) tikslas – reglamentuoti asmens duomenų tvarkymą Administracijoje, nustatyti pagrindines asmens duomenų tvarkymo ir kitas procedūras, siekiant užtikrinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ) ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.

2. Šių Taisyklių paskirtis – nustatyti asmens duomenų tvarkymo tikslus, duomenų apsaugos technines ir organizacines priemones bei kitus asmens duomenų tvarkymo veiksmus.

3. Taisyklių privalo laikytis visi Administracijoje dirbantys valstybės tarnautojai ir pagal darbo sutartis dirbantys asmenys bei į struktūrinius padalinius neįeinantys administracijos darbuotojai (toliau – Administracijos darbuotojai), kurie tvarko Administracijoje esančius asmens duomenis, arba, eidami savo pareigas, juos sužino. Šių Taisyklių taip pat privalo laikytis ir duomenų tvarkytojai, kurie teikdami Administracijai duomenų tvarkymo paslaugas sužino ir tvarko asmens duomenis.

4. Administracijoje neautomatiniu būdu susistemintose rinkmenose ir (arba) automatiniu būdu tvarkomi šie duomenų subjektų asmens duomenys:

4.1. Administracijos informacinėse sistemose, kompiuterinėse ir popierinėse laikmenose esantys duomenų subjektų asmens duomenys, kurių tvarkymo tikslai, pagrindas ir baigtinis tvarkomų asmens duomenų sąrašas numatyti Lietuvos Respublikos teisės aktuose, reglamentuojančiuose vietos savivaldos funkcijas, ir (ar) Administracijos asmens duomenų tvarkymo veiklos įrašuose, atitinkamos Administracijos informacinės sistemos nuostatuose ir specifikacijose bei kituose teisės aktuose;

4.2. buvusių ir esamų Administracijos valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, praktikantų (toliau – darbuotojai) asmens duomenys (vardas, pavardė, asmens kodas, asmens socialinio draudimo numeris, adresas, telefono ryšio numeris, elektroninio pašto adresas, gyvenimo ir veiklos aprašymas, parašas, šeiminė padėtis, pilietybė, pareigos, duomenys apie priėmimą / perkėlimą / atleidimą iš pareigų, duomenys apie išsilavinimą ir kvalifikaciją, duomenys apie mokymą, duomenys apie atostogas, duomenys apie darbo užmokestį, išeitines išmokas, kompensacijas, pašalpas, informacija apie dirbtą darbo laiką, informacija apie skatinimus ir nuobaudas, informacija apie atliktus darbus ir užduotis, duomenys apie valstybės tarnautojo tarnybinės veiklos vertinimą, Lietuvos Respublikos piliečio paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, ypatingi asmens duomenys, susiję su sveikata, teistumu, dalyvavimu uždraustos organizacijos veikloje, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Administraciją įpareigoja įstatymai ir kiti teisės aktai), kurie tvarkomi vidaus administravimo (personalo valdymo, raštvedybos tvarkymo, materialinių ir finansinių išteklių naudojimo) tikslu;

4.3. pretendentų į Administracijos darbuotojus asmens duomenys (vardas, pavardė, asmens kodas, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, pareigos, į kurias pretenduojama, gyvenimo ir veiklos aprašymas, parašas, duomenys apie išsilavinimą ir kvalifikaciją, ypatingi asmens duomenys, susiję su teistumu, dalyvavimu uždraustos organizacijos veikloje, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Administraciją įpareigoja įstatymai ir kiti teisės aktai), kurie tvarkomi vidaus administravimo (personalo valdymo, raštvedybos tvarkymo, materialinių ir finansinių išteklių naudojimo) tikslu;

4.4. Administracijos elektroninių paslaugų portalų naudotojų asmens duomenys (amžius, asmens kodas, darbovietė, elektroninio pašto adresas, telefono numeris, vardas, pavardė, gimimo metai, gyvenamoji vieta (adresas), išsilavinimas, šeiminė padėtis, statistiniai duomenys apie naudojimosi Administracijos elektroninėmis paslaugomis intensyvumą);

4.5. duomenų subjektų ir Administracijos darbuotojų pokalbių telefonu garso įrašų metaduomenys (konsultuojančio asmens vardas ir pavardė, interesanto telefono ryšio numeris, pokalbio data bei pradžios ir pabaigos laikas, informacija, pateikta pokalbio metu);

4.6. duomenų subjektų vaizdo stebėjimo duomenys (į vaizdo kamerų stebėjimo lauką patekusių duomenų subjektų vaizdo duomenys);

4.7. kiti asmens duomenys, kurie teisėtai renkami ir tvarkomi vadovaujantis Reglamentu.

5. Duomenų subjektų asmens duomenys Administracijoje renkami tik teisės aktų nustatyta tvarka, juos gaunant:

5.1. tiesiogiai iš duomenų subjekto;

5.2. pagal asmens duomenų teikimo sutartį (daugkartinio asmens duomenų rinkimo atveju);

5.3. duomenų valdytojui pateikiant prašymą, kuriame turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis (vienkartinio asmens duomenų rinkimo atveju);

5.4. teisės aktų pagrindu prisijungiant prie atskirus duomenis kaupiančių duomenų bazių, registrų ir informacinių sistemų.

6. Taisyklėse vartojamos sąvokos:

6.1. asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima tiesiogiai arba netiesiogiai nustatyti pagal tokius duomenis, kaip vardas ir pavardė, asmens kodas, gimimo data, adresas, telefono numeris, elektroninio pašto adresas, arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

6.2. Specialiųjų kategorijų asmens duomenys – asmens duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat genetiniai duomenys, biometriniai duomenys, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją;

6.3. duomenų valdytojas – Šiaulių miesto savivaldybės administracija, kuri tvarkydama darbuotojų ir kitų asmenų duomenis nustato tų duomenų naudojimo būdus, priemones ir tikslus;

6.4. duomenų naudotojas – duomenų valdytojo padaliniai ir į struktūrinius padalinius neįeinantys administracijos darbuotojai, kurie turi teisę naudoti asmens duomenis numatytoms funkcijoms atlikti, yra įvardyti šiose Taisyklėse. Jei toliau tekste duomenų naudotojams keliami konkretūs reikalavimai dėl asmens duomenų saugos veiksmų, tai duomenų naudotojas suprantamas kaip konkretus padalinio darbuotojas, kuriam suteikta teisė naudoti asmens duomenis savo darbo funkcijoms atlikti;

6.5. duomenų tvarkymas – bet kuris su asmens duomenimis atliekamas veiksmas: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas, loginės ir (arba) aritmetinės operacijos, paieška, skleidimas, ištrynimas, naikinimas ar kitoks veiksmas arba veiksmų rinkinys;

6.6. Administracijos darbuotojai - Administracijoje dirbantys valstybės tarnautojai ir pagal darbo sutartis dirbantys asmenys bei į struktūrinius padalinius neįeinantys administracijos darbuotojai;

6.7. duomenų subjektas – Administracijos darbuotojai ir kiti fiziniai asmenys, kurių duomenis tvarko Administracija;

6.8. konsultuojantis asmuo – Administracijos darbuotojas pagal savo kompetenciją telefonu interesantams teikiantis konsultacijas jo kompetencijai priskirtais klausimais;

6.9. interesantas – asmuo, kuris Administracijos interneto svetainėje viešai skelbiamais telefono ryšio numeriais kreipiasi dėl konsultacijos į Administraciją jos kompetencijai priskirtais klausimais;

6.10. pokalbio įrašas – konsultuojančio asmens ir interesanto telefoninio pokalbio, vykstančio Administracijos telefono ryšio linija, garso įrašas;

6.11. garso įrašas – techninėmis garso įrašymo priemonėmis įrašyti Administracijos komisijų ir darbo grupių posėdžių, Administracijos ir jos skyrių pasitarimų, susirinkimų su kitomis institucijomis ir pan., garso įrašas.

7. Kitos taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente, ADTAĮ ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą ir apsaugą.

8. Taisyklės parengtos vadovaujantis Reglamentu, ADTAĮ ir kitais teisės aktais, reglamentuojančiais asmens duomenų apsaugą. Taisyklių nuostatos negali plėsti ir siaurinti Reglamento ar ADTAĮ taikymo srities bei prieštarauti Reglamente ir ADTAĮ nustatytiems asmens duomenų tvarkymo reikalavimams ir kitiems asmens duomenų tvarkymą reglamentuojantiems teisės aktams.

II SKYRIUS

TEISINIAI ASMENS DUOMENŲ TVARKYMO PAGRINDAI ir TIKSLAI

9. Tvarkydama asmens duomenis Administracija remiasi šiais teisiniais pagrindais:

9.1. tvarkydama asmens duomenis vidaus administravimo tikslais, Administracija kaip teisėto tvarkymo pagrindu remiasi Reglamento 6 straipsnio 1 dalies b punktu siekdama užtikrinti tinkamą darbo sutarčių vykdymą, c punktu, kai tam tikrus darbuotojų asmens duomenis įpareigoja tvarkyti teisės aktai, o duomenys apie sveikatą tvarkomi Reglamento 9 straipsnio 2 dalies b punkto pagrindu tam, kad Administracija arba darbuotojas galėtų įvykdyti prievoles ir naudotis specialiomis teisėmis darbo ir socialinės apsaugos teisės srityje.

9.2. kandidatų asmens duomenis atrankos į darbo vietas tikslais Administracija tvarko remdamasi Reglamento 6 straipsnio 1 dalies b punktu, nes šie duomenys reikalingi siekiant imtis atrankos veiksmų kandidato pageidavimu prieš sudarant darbo sutartį, o kandidatų į valstybės tarnautojų pareigas asmens duomenis Administracija tvarko remdamasi 6 straipsnio 1 dalies c punktu, nes tam tikrus asmenų, siekiančių tapti valstybės tarnautojais, asmens duomenis įpareigoja tvarkyti teisės aktai. Tuo atveju, kai Administracija šiais tikslais tvarko duomenis apie sveikatą, tai daroma Reglamento 9 straipsnio 2 dalies g punkto pagrindu, nes tvarkyti tokius duomenis būtina dėl svarbaus viešojo intereso priežasčių, remiantis ES arba nacionaline teise;

9.3. tvarkydama vaizdo stebėjimo metu surinktus asmens duomenis Administracija, kaip teisėto tvarkymo pagrindu remiasi Reglamento 6 straipsnio 1 dalies e punktu, nes vaizdo stebėjimas vykdomas siekiant užtikrinti viešąją tvarką, užtikrinti visuomenės ir turto saugumą bei įgyvendinti nusižengimų prevenciją;

9.4. Administracija (jos struktūriniai vienetai), tvarkydama asmens duomenis savo funkcijoms vykdyti ir administracinėms paslaugoms teikti, kaip teisėto tvarkymo pagrindu remiasi Reglamento 6 straipsnio 1 dalies e punktu, nes šiais tikslais tvarkyti asmens duomenis būtina, siekiant atlikti užduotis, vykdomas viešojo intereso labui, ir vykdant Administracijai pavestas viešosios valdžios funkcijas bei Reglamento 6 straipsnio 1 dalies c punktu tada, kai Administracija tam tikrus duomenis privalo tvarkyti, siekdama įvykdyti jai taikomas teisines prievoles;

9.5. tvarkydama pokalbių telefonu surinktus Administracijos darbuotojų asmens duomenis, kaip teisėto tvarkymo pagrindu remiasi Reglamento 6 straipsnio 1 dalies f punktu - Administracijos teisėtas interesas, kai duomenų subjekto teisės ir laisvės nėra viršesnės už duomenų valdytojo interesus užtikrinti tinkamą pareigų vykdymą, teikiamų paslaugų kokybę ir pan. Trečiųjų šalių duomenų tvarkymo pagrindas – duomenų subjekto sutikimas, išreikštas vienareikšmiškais veiksmais (pokalbio tęsimas), kad jo duomenys būtų tvarkomi pokalbio metu nurodytais tikslais (Reglamento 6 straipsnio 1 dalies a punktas).

10. Administracija Taisyklių 4.1–4.7 papunkčiuose nurodytus asmens duomenis tvarko šiais tikslais:

10.1.asmenų, pateikusių Administracijai skundą ar prašymą, asmens duomenys tvarkomi asmenų informavimo, skundų ir prašymų nagrinėjimo, viešųjų paslaugų teikimo, vidaus administravimo (raštvedybos tvarkymo) ir vietos savivaldos funkcijų įgyvendinimo tikslais;

10.2. Administracijoje esamų ir buvusių valstybės pareigūnų, valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, asmens duomenys tvarkomi vidaus administravimo (personalo valdymo, raštvedybos tvarkymo, apskaitos, materialinių ir finansinių išteklių naudojimo, vidinės komunikacijos) ir Administracijos veiklos viešinimo tikslais;

10.3. pretendentų į Administracijos darbuotojus asmens duomenys tvarkomi vidaus administravimo (personalo valdymo ir administravimo) tikslu;

10.4. asmenų, patenkančių į Administracijos atliekamo viešųjų vietų vaizdo stebėjimo lauką ir jų valdomų transporto priemonių vaizdo duomenys tvarkomi nusižengimų prevencijos, asmenų turto ir sveikatos apsaugos tikslais;

10.5. visuomenės informavimo priemonių ir viešosios informacijos rengėjų atstovų, besikreipiančių į Administraciją, asmens duomenys tvarkomi vidaus administravimo (raštvedybos tvarkymo) tikslu;

10.6. fizinių asmenų, su Administracija sudariusių prekių, paslaugų, darbų viešojo pirkimo, privalomos ir savanoriškos praktikos ar kitas sutartis, asmens duomenys, o juridinių asmenų – jų darbuotojų, nurodytų sutartyse, asmens duomenys tvarkomi vidaus administravimo (sutarčių vykdymo ir atsiskaitymo) tikslu;

10.7. asmenų iš kitų įstaigų, įmonių, organizacijų, visuomenės atstovų, besilankančių Administracijoje, asmens duomenys tvarkomi gerosios praktikos pasidalijimo, komunikacijos, Administracijos veiklos viešinimo tikslais;

10.8. asmenų, galimai padariusių administracinį nusižengimą, duomenys tvarkomi nusižengimų prevencijos ir visuomenės informavimo tikslais;

10.9. asmenų, skambinančių į Administraciją telefonu, balso ir pokalbių duomenys tvarkomi siekiant užtikrinti skaidrumą ir kokybišką informacijos / konsultacijų teikimo telefonu procesą bei užfiksuoti galimus incidentus.

11. Administracijoje tvarkomų asmens duomenų baigtinis sąrašas ir tikslai detalizuojami Administracijos asmens duomenų tvarkymo veiklos įrašuose ir kituose Administracijos dokumentuose.

III SKYRIUS

ASMENS DUOMENŲ TVARKYMO PRINCIPAI. PRITAIKYTOJI IR STANDARTIZUOTOJI DUOMENŲ APSAUGA

12. Administracijos darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo laikytis šių asmens duomenų tvarkymo principų:

12.1. asmens duomenis renkami tik apibrėžtais ir teisėtais tikslais ir nėra tvarkomi tikslais, nesuderinamais su nustatytais prieš renkant asmens duomenis;

12.2. duomenys tvarkomi turint duomenų subjekto sutikimą, arba įgyvendinant teisės akte numatytą pareigą, arba vykdant su duomenų subjektu sudarytą sutartį, arba remiantis bent vienu kitu teisėtu duomenų tvarkymo pagrindu (laikomasi teisėtumo principo);

12.3. duomenų subjekto atžvilgiu duomenys tvarkomi teisėtu, sąžiningu ir skaidriu būdu (laikomasi teisėtumo, sąžiningumo ir skaidrumo principo);

12.4. Duomenų valdytojas turi užtikrinti, kad asmens duomenys būtų tikslūs ir, jei reikia dėl duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs duomenys ištaisomi, papildomi, sunaikinami arba sustabdomas jų tvarkymas, imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (laikomasi tikslumo principo);

12.5. tvarkomi adekvatūs, tinkami ir tik tokie duomenys, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (laikomasi duomenų kiekio mažinimo principo);

12.6. duomenys saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia pasiekti tiems tikslams, dėl kurių šie duomenys buvo surinkti ir yra tvarkomi (laikomasi saugojimo trukmės apribojimo principo);

12.7. duomenys tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (laikomasi vientisumo ir konfidencialumo principo).

13. Administracijos veikloje taip pat laikomasi pritaikytosios ir standartizuotos duomenų apsaugos principų.

14. Siekdama laikytis pritaikytosios asmens duomenų apsaugos reikalavimo, tiek nustatydama duomenų tvarkymo priemones, tiek paties duomenų tvarkymo metu, Administracija privalo taikyti tinkamas technines ir organizacines priemones, kuriomis įgyvendinami duomenų apsaugos principai ir į duomenų tvarkymą yra integruojamos apsaugos priemonės, kurių tikslas yra atitikti Reglamento reikalavimus ir apsaugoti duomenų subjektų teises.

15. Siekdama laikytis standartizuotosios duomenų apsaugos reikalavimo, Administracija įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui, o visų pirma tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.

16. Už kiekvienos naujos paslaugos ar kitokios veiklos vystymą atsakingas darbuotojas apie planuojamus pokyčius, kurie gali turėti įtakos asmens duomenų apsaugai, informuoja už asmens duomenų apsaugą atsakingą asmenį ir suteikia jam informaciją, reikalingą tinkamam įvertinimui atlikti ir duomenų apsaugos reikalavimams įgyvendinti.

17. Jeigu nauja paslauga ar kitokia veikla apima naujų technologijų naudojimą arba yra pagrindo manyti, kad nauja paslauga ar produktas gali fizinių asmenų teisėms ir laisvėms kelti didelį pavojų, atliekamas poveikio duomenų apsaugai vertinimas.

18. Nauja paslauga ar kitokia veikla, kurios susijusios su asmens duomenimis, nėra pradedama teikti ar vykdyti tol, kol nėra įvertinta jų atitiktis Reglamento reikalavimams arba, kai to reikia, nėra atliktas poveikio duomenų apsaugai vertinimas.

19. Administracijos darbuotojai savo kompetencijos ribose tvarkydami asmens duomenis privalo užtikrinti, kad principų, išvardintų šiame skyriuje, būtų laikomasi.

20. Administracijos darbuotojas, pažeidęs šiuos principus ar kitus Reglamento reikalavimus, atsako teisės aktų nustatyta tvarka.

IV SKYRIUS

DUOMENŲ VALDYMO IR TVARKYMO ORGANIZACINĖ STRUKTŪRA

21. Asmens duomenų tvarkymo principų ir duomenų valdytojo (tvarkytojo) pareigų įgyvendinimą užtikrina Administracijos duomenų valdymo organizacinė struktūra:

21.1. Administracijos direktorius;

21.2. duomenų apsaugos pareigūnas (toliau - pareigūnas);

21.3. Administracijos struktūrinių ar struktūrinių teritorinių padalinių vadovai, specialistai, nepriskirti kitiems struktūriniams padaliniams;

21.4. Administracijos darbuotojai, kuriems pavesta tvarkyti asmens duomenis.

22. Administracijos direktorius organizuoja asmens duomenų tvarkymą Administracijoje, nustato darbuotojų teises ir pareigas vykdant asmens duomenų tvarkymą, priima sprendimus dėl pritarimo pradėti planuojamą duomenų tvarkymo veiklą, taip pat atlieka kitas funkcijas užtikrinant asmens duomenų apsaugos organizavimą ir valdymą Administracijoje.

23. Duomenų apsaugos pareigūnas yra nepriklausomas Administracijos patarėjas asmens duomenų apsaugos klausimais. Duomenų subjektai gali kreiptis į pareigūną visais klausimais, susijusiais jų asmens duomenų tvarkymu ir naudojimusi savo teisėmis pagal Reglamentą.

24. Pareigūno teisės ir pareigos:

24.1. pareigūnas privalo turėti tinkamų ekspertinių asmens duomenų apsaugos teisės ir praktikos žinių;

24.2. pareigūnas turi teisę būti informuotu ir įsitraukti į visų su asmens duomenų apsauga ir privatumu susijusių klausimų nagrinėjimą Administracijoje;

24.3. pareigūnas turi teisę susipažinti su asmens duomenimis, dalyvauti duomenų tvarkymo operacijose;

24.4. pareigūnas turi teisę atlikdamas savo funkcijas gauti visus reikiamus išteklius (laiko, tinkamų darbo sąlygų ir kt.) bei galimybę išlaikyti ekspertines duomenų apsaugos teisės ir praktikos žinias.

25. Pareigūnas Administracijoje privalo vykdyti šias užduotis:

25.1. padėti užtikrinti, kad Administracijoje vykdomas asmens duomenų tvarkymas atitiktų Reglamentą, kitų asmens duomenų teisinę apsaugą reglamentuojančių teisės aktų reikalavimus, tinkamai įvertinant duomenų tvarkymo operacijas, duomenų tvarkymo pobūdį, aprėptį, kontekstą, tikslus, potencialų pavojų;

25.2. stebėti, kaip laikomasi Reglamento ir kitų asmens duomenų teisinę apsaugą reglamentuojančių teisės aktų reikalavimų, šių Taisyklių, kitų vidaus dokumentų, susijusių su asmens duomenų apsauga;

25.3. konsultuoti ir stebėti, kaip atliekamas poveikio duomenų apsaugai vertinimas;

25.4. informuoti Administracijos direktorių ir kitus darbuotojus apie jų pareigas pagal Reglamentą ir kitus asmens duomenų teisinę apsaugą reglamentuojančius teisės aktus ir juos konsultuoti dėl konkrečių pareigų vykdymo;

25.5. informuoti Administracijos direktorių apie bet kokias neatitiktis, pažeidimus asmens duomenų apsaugos srityje, kuriuos pareigūnas nustato vykdydamas savo funkcijas;

25.6. konsultuoti Administracijos darbuotojus, dirbančius su asmens duomenimis, asmens duomenų teisinės apsaugos klausimais;

25.7. bendradarbiauti, būti kontaktiniu asmeniu santykiuose su Valstybine duomenų apsaugos inspekcija;

25.8. vykdyti kitas pareigybės aprašyme nustatytas funkcijas.

26. Pareigūnas privalo užtikrinti slaptumą ir (ar) konfidencialumą, susijusį su jo užduočių vykdymu, laikydamasis Europos Sąjungos ar valstybės narės teisės aktų reikalavimų.

27. Pareigūnas privalo tvarkyti bei saugoti su asmens duomenų apsauga susijusios veiklos duomenis (toliau – veiklos įrašai), kurie nurodytų bent šią minimalią ir aktualią informaciją.

28. Už veiklos įrašų pateikimą Valstybinei duomenų apsaugos inspekcijai (esant jos prašymui / reikalavimui) atsako pareigūnas.

29. Pareigūnas nevykdo jokių kitų pareigų ar funkcijų, kurios galėtų sukelti interesų konfliktą su jo atliekamomis pareigūno funkcijomis.

30. Pareigūno vardas, pavardė bei kontaktiniai duomenys skelbiami Šiaulių miesto savivaldybės interneto svetainėje www.siauliai.lt.

31. Administracijos struktūrinių ar struktūrinių teritorinių padalinių vadovai (specialistai nepriskirti kitiems struktūriniams padaliniams) organizuoja jų vadovaujamų padalinių (specialistai – jų tvarkomų asmens duomenų) veiklai reikalingų asmens duomenų tvarkymą – vykdo ir atlieka tokias funkcijas:

31.1. Inicijuoja veiklai reikalingų naujų asmens duomenų tvarkymą, duomenų tvarkytojo pasitelkimą, sprendimus dėl duomenų gavimo ar perdavimo;

31.2. Nustato ir įgyvendina organizacines ir technines priemones siekiant užtikrinti asmens duomenų apsaugą ir saugumą;

31.3. Paskirsto asmens duomenų tvarkymo užduotis darbuotojams ir vykdo jų įgyvendinimo priežiūrą;

31.4. Inicijuoja asmens duomenų tvarkymo veiklos įrašų atnaujinimą, informuojant apie pasikeitimus pareigūną;

31.5. Organizuodamas skyriaus darbą supažindina skyriaus darbuotojus su asmens duomenų tvarkymo taisyklėmis ir atsakomybe;

31.6. Atlieka kitas funkcijas, siekiant užtikrinti tinkamą asmens duomenų tvarkymą padalinyje.

32. Administracijos darbuotojai, tvarkantys asmens duomenis, užtikrina įstatymuose ir kituose teisės aktuose bei šiose Taisyklėse nustatytų asmens duomenų tvarkymo principų taikymą ir duomenų apsaugos organizacinių ir techninių priemonių įgyvendinimą.

V SKYRIUS

ASMENS DUOMENŲ TVARKYMO REIKALAVIMAI

33. Administracija įgyvendina Taisyklėse nurodytas organizacines ir technines saugumo priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

34. Pasikeitus duomenų subjektų asmens duomenims ir duomenų subjektams apie tai raštu informavus Administraciją, toks duomenų subjekto raštas įdedamas į bylą, o automatinėse duomenų rinkmenose ir duomenų bazėse duomenys atnaujinami, ištrinant neaktualius asmens duomenis ir įrašant aktualius duomenis.

35. Dokumentai, kuriuose yra asmens duomenys, tvarkomi, įtraukiami į apskaitą, viešinami ir saugomi vadovaujantis Dokumentų tvarkymo ir apskaitos taisyklių, patvirtintų Lietuvos vyriausiojo archyvaro 2011 m. liepos 4 d. įsakymu Nr. V-118 „Dėl Dokumentų tvarkymo ir apskaitos taisyklių patvirtinimo“, Elektroninių dokumentų valdymo taisyklių, patvirtintų Lietuvos vyriausiojo archyvaro 2011 m. gruodžio 29 d. įsakymu Nr. V-158 „Dėl Elektroninių dokumentų valdymo taisyklių patvirtinimo“, reikalavimais ir Lietuvos vyriausiojo archyvaro tarnybos parengtomis Vaizdo ir garso dokumentų išsaugojimo rekomendacijomis. Dokumentai, kuriuose yra asmens duomenų, neturi būti laikomi visiems prieinamoje matomoje vietoje, kur neturintys teisės asmenys nekliudomai galėtų su jais susipažinti.

36. Vietinio tinklo sritys, kuriose yra saugomi asmens duomenys, privalo būti apsaugotos prieigos prie asmens duomenų slaptažodžiais arba turi būti apribotos prieigos teisės prie jų. Prieigos prie asmens duomenų slaptažodžiai suteikiami, keičiami ir naikinami duomenų valdytojo nustatyta tvarka.

37. Rengiant Administracijos sprendimų, įsakymų, raštų bei kitų dokumentų projektus, rekomenduojama vengti perteklinių duomenų apie fizinius asmenis, jei to nereikalauja įstatymas ar kitos su konkretaus dokumento rengimu susijusios aplinkybės.

38. Tais atvejais, kai yra būtina naudoti neviešus asmens duomenis viešai skelbiamame dokumente, turi būti rengiamas nuasmenintas dokumentas, iš kurio visi viešai neskelbtini duomenys pašalinami. Pašalintų duomenų vietoje pasviruoju šriftu skliaustuose įrašoma „(duomenys neskelbtini)“.

39. Kompiuterinė įranga turi būti apsaugota nuo kenksmingos programinės įrangos (antivirusinių programų įdiegimas, atnaujinimas ir pan.).

40. Su asmens duomenimis galima atlikti tik tuos veiksmus, kuriems atlikti Administracijos darbuotojui yra suteiktos teisės.

41. Atsakingi darbuotojai prieigai prie duomenų naudoja unikalius slaptažodžius, kurie keičiami ir saugomi užtikrinant jų konfidencialumą. Administracijos darbuotojas prieigos prie asmens duomenų slaptažodžiais turi naudotis asmeniškai ir neatskleisti jų tretiesiems asmenims.

42. Administracijos darbuotojų kompiuteriuose esančios kompiuterinės bylos, kuriose kaupiami asmens duomenys, negali būti prieinamos kitų kompiuterių naudotojams. Administracijos darbuotojai, kurie turi teisę jungtis prie valstybinių ir kitų duomenų registrų, asmens duomenis gali naudoti panaudoti griežtai tik darbinių funkcijų atlikimui.

43. Administracijos darbuotojas, tvarkantis duomenų subjektų asmens duomenis, privalo:

43.1. laikytis pagrindinių asmens duomenų tvarkymo reikalavimų ir saugumo reikalavimų, įtvirtintų Reglamente, ADTAĮ, šiose Taisyklėse ir kituose teisės aktuose;

43.2. laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jis susipažino vykdydamas savo funkcijas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti asmens duomenų paslaptį galioja ir perėjus dirbti į kitas pareigas ar pasibaigus valstybės tarnybos ar darbo santykiams Administracijoje;

43.3. laikytis šiose Taisyklėse nustatytų organizacinių ir techninių asmens duomenų saugumo priemonių, kad būtų užkirstas kelias atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugoti dokumentus, duomenų rinkmenas bei duomenų bazėse saugomus duomenis ir vengti nereikalingų kopijų darymo;

43.4. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su asmens duomenimis nė vienam asmeniui, kuris nėra įgaliotas tvarkyti asmens duomenis;

43.5. nedelsiant pranešti tiesioginiam vadovui ir pareigūnui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę Administracijos tvarkomų asmens duomenų saugumui;

43.6. domėtis asmens duomenų apsaugos aktualijomis ir problemomis, esant galimybei, kelti kvalifikaciją asmens duomenų teisinės apsaugos srityje;

43.7. laikytis kitų šiose Taisyklėse ir asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.

44. Kiekvienas Administracijos darbuotojas, prieš pradėdamas tvarkyti asmens duomenis, pasirašo nustatytos formos Įsipareigojimą saugoti asmens duomenų paslaptį (Taisyklių 2 priedas), kurie saugomi darbuotojų asmens bylose.

45. Administracijos darbuotojas netenka teisės tvarkyti duomenų subjektų asmens duomenis, kai pasibaigia jo darbo santykiai su Administracija arba kai jam pavedama vykdyti su duomenų tvarkymu nesusijusias funkcijas.

46. Administracija, kaip duomenų tvarkytoja, tvarko asmens duomenis valstybės registruose, informacinėse sistemose atitinkamo registro, informacinės sistemos nuostatų nustatyta tvarka.

47. Administracijos renginiuose, kurių metu bus filmuojama ar fotografuojama, už renginio organizavimą atsakingas Savivaldybės darbuotojas pateikia informacinį pranešimą (Taisyklių 8 priedas) apie filmavimą ar fotografavimą renginio dalyviams matomoje vietoje, o jeigu nėra galimybės, nurodytą informaciją pateikia žodžiu arba šią informaciją nurodo kvietime.

48. Su dokumentais, nuotraukomis, vaizdo ar garso įrašais, kuriuose yra asmens duomenų, tretiesiems asmenims susipažinti draudžiama. Kitiems asmenims gali būti leidžiama susipažinti su asmens duomenis turinčia informacija, tik jeigu tai yra būtina siekiant užtikrinti jų teisę į gynybą procedūros dalyvių išklausymo Administracijoje metu.

VI SKYRIUS

ASMENS DUOMENŲ TVARKYTOJŲ PASITELKIMAS

49. Administracija gali pasitelkti duomenų tvarkytojus, kurie teikdami paslaugas Administracijai gauna prieigą prie asmens duomenų ir juos tvarko Administracijos nustatytais tikslais bei pagal jos nurodymus, tiek, kiek tai būtina paslaugai teikti.

50. Sprendimą perduoti duomenų subjekto duomenų tvarkymą asmens duomenų tvarkytojui priima Administracijos direktorius arba jo įgaliotas asmuo.

51. Administracija pasitelkia tik tokius duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, jog duomenų tvarkymas atitiktų Reglamento reikalavimus ir būtų užtikrinta tinkama duomenų subjekto teisių apsauga.

52. Administracija, prieš duomenų tvarkytojams suteikdama prieigą prie asmens duomenų, su duomenų tvarkytojais turi sudaryti rašytines sutartis, kuriose turi įtraukti nuostatas, apimančias šią informaciją:

52.1. Duomenų tvarkymo dalykas;

52.2. Duomenų tvarkymo trukmė;

52.3. Duomenų tvarkymo pobūdis;

52.4. Duomenų tvarkymo tikslai;

52.5. Duomenų rūšys;

52.6. Duomenų subjektų kategorijos;

52.7. Šalių teisės ir pareigos, kylančios iš asmens duomenų apsaugos teisinio reguliavimo;

52.8. Duomenų tvarkytojo įsipareigojimas veikti tik pagal rašytinius valdytojo nurodymus. Duomenų tvarkytojui paliekama teisė priimti veiklos ir organizacinius sprendimus, būtinus sutartos paslaugos suteikimui tiek, kiek tai nepakeičia duomenų tvarkymo tikslų;

52.9. Duomenų tvarkytojo darbuotojų konfidencialumo įsipareigojimai. Sutartyje turi būti numatyta, kad tvarkytojas užtikrina, jog darbuotojai, tvarkantys asmens duomenis, yra įsipareigoję užtikrinti konfidencialumą, išskyrus atvejus, kai tokią pareigą jie jau turi pagal teisės aktus;

52.10. Duomenų tvarkymo saugumo priemonės. Duomenų tvarkytojas sutartimi turi įsipareigoti užtikrinti saugumo lygį, atitinkantį duomenų pobūdį ir su jais siejamos grėsmės lygį;

52.11. Kitų duomenų tvarkytojų pasitelkimas. Duomenų tvarkytojas turi būti įpareigotas pasitelkti kitus duomenų tvarkytojus tik gavęs išankstinį duomenų valdytojo sutikimą ir sudaręs su kitu tvarkytoju rašytinę sutartį, kuriai keliami tokie patys reikalavimai kaip ir sutarčiai, sudaromai su pagrindiniu tvarkytoju;

52.12. Pagalba įgyvendinant duomenų subjektų teises;

52.13. Pagalba teikiant pranešimus apie duomenų saugumo pažeidimus. Duomenų tvarkytojas turi įsipareigoti nedelsiant informuoti duomenų valdytoją sužinant apie bet kokį asmens duomenų saugumo pažeidimą;

52.14. Pagalba atliekant poveikio duomenų apsaugai vertinimą;

52.15. Pagalba konsultuojantis su Valstybine duomenų apsaugos inspekcija;

52.16. Duomenų ištrynimo ir grąžinimo tvarka. Sutartyje būtina numatyti, kas nutinka pas duomenų tvarkytoją esantiems duomenims nutraukus sutartį, nes tvarkytojas juos toliau saugoti gali tik tada, jei tai nustato Europos Sąjungos arba nacionalinė teisė;

52.17. Atitikties įrodinėjimo būdas (-ai);

52.18. Auditavimo galimybė.

53. Taisyklių 52.1. – 52.18. punktuose numatytos nuostatos gali būti įtraukiamos tiek į pagrindinę sutartį, tiek aptariamos atskirame susitarime dėl perduodamų asmens duomenų saugumo.

54. Bendradarbiavimo su duomenų tvarkytojais sutarčių rengimo, pasirašymo, pakeitimo, atnaujinimo ar nutraukimo procedūras inicijuoja ir jas vykdo už asmens duomenų tvarkymą atsakingas Administracijos padalinys. Sutartys turi būti suderintos su pareigūnu. Esant poreikiui inicijuoti bendradarbiavimo su duomenų tvarkytojais sutarčių atnaujinimą, pakeitimą ir (ar) nutraukimą gali ir pareigūnas.

55. Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik pagal Administracijos nurodymus ir tik tiek, kiek tai būtina siekiant tinkamai vykdyti teisės aktuose ar paslaugų teikimo sutartyje nustatytus įsipareigojimus, išskyrus atvejus, kai duomenų tvarkytojo atliekamas asmens duomenų tvarkymas yra reglamentuotas teisės aktuose.

56. Siekiant tinkamai valdyti asmens duomenų judėjimą, Administracijoje yra tvarkomas Administracijos duomenų tvarkytojų registras pagal patvirtintą formą (Taisyklių 7 priedas). Už Administracijos duomenų tvarkytojų registro pildymą atsakingas pareigūnas, kuris Administracijos duomenų tvarkytojų registrą pildo pagal Administracijos struktūrinių padalinių pateiktą informaciją.

VII SKYRIUS

ASMENS DUOMENŲ GAVIMAS IR TEIKIMAS

57. Asmens duomenys trečiosioms šalims gali būti teikiami tik įstatymų ir kitų teisės aktų nustatytais atvejais ir tvarka:

57.1. asmenų, pateikusių Administracijai skundą ar prašymą, asmens duomenys skundo ar prašymo nagrinėjimo tikslu – juridiniams ir fiziniams asmenims, įgaliotiems pagal kompetenciją nagrinėti gautą prašymą ar skundą;

57.2. asmenų, pateikusių Administracijai skundą ar prašymą, ir duomenų valdytojų (fizinių asmenų) asmens duomenys ginčo nagrinėjimo tikslu – teismams, Lietuvos administracinių ginčų nagrinėjimo komisijai, teritorinėms administracinių ginčų nagrinėjimo komisijoms ir (ar) darbo ginčų komisijai ir kitoms ikiteisminėms institucijoms;

57.3. pretendentų į Administracijos valstybės tarnautojus asmens duomenys valstybės tarnybos valdymo tikslu – Valstybės tarnybos departamentui;

57.4. Administracijos darbuotojų asmens duomenys: socialinio draudimo mokesčio administravimo tikslu – Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos, mokesčių administravimo tikslu – Valstybinei mokesčių inspekcijai prie Lietuvos Respublikos finansų ministerijos, valstybės tarnybos valdymo tikslu – Valstybės tarnybos departamentui;

57.5. asmenų, patekusių į Administracijos atliekamo vaizdo stebėjimo lauką, vaizdo duomenys galimų teisės aktų pažeidimų nustatymo tikslu – ikiteisminio tyrimo institucijoms, teismams ar kitoms valstybės įgaliotoms institucijoms;

57.6. asmenų, skambinusių į Administraciją telefonu, pokalbių duomenys galimų teisės aktų pažeidimų nustatymo tikslu – ikiteisminio tyrimo institucijoms, teismams ar kitoms valstybės įgaliotoms institucijoms;

57.7. žiniasklaidos atstovų duomenys ginčo dėl Lietuvos Respublikos visuomenės informavimo įstatyme ir kituose visuomenės informavimą reglamentuojančiuose įstatymuose bei teisės aktuose nustatytų visuomenės informavimo principų nesilaikymo nagrinėjimo
tikslu – Žurnalistų etikos inspektoriaus tarnybai, teismams ar kitoms valstybės įgaliotoms institucijoms.

58. Administracija duomenų subjektų duomenis duomenų gavėjams gali teikti ir pagal sudarytą sutartį arba vienkartinį duomenų gavėjo prašymą, nepažeisdama teisės aktuose įtvirtintų reikalavimų ir asmens duomenų konfidencialumo užtikrinimo bei laikydamasi duomenų valdytojo atskaitomybės principo.

59. Vienkartinio duomenų teikimo atveju Administracija, teikdama asmens duomenis pagal trečiosios šalies vienkartinį prašymą, pirmenybę teikia duomenų teikimui elektroninių ryšių priemonėmis, jeigu prašyme nenurodyta kitaip. Siekiant įgyvendinti Reglamento 5 straipsnio 2 dalyje įtvirtintą duomenų valdytojo atskaitomybės principą, duomenys trečiosioms šalims gali būti teikiami tik, kai duomenų gavėjas teiktame prašyme nurodo aplinkybes, pagrindžiančias, kad duomenų tvarkymas (teikimas) atitinka Reglamento 5 straipsnyje įtvirtintus principus ir yra pagrįstas bent viena Reglamento 6 straipsnio 1 dalyje arba 9 straipsnio 2 dalyje įtvirtinta teisėto duomenų tvarkymo sąlyga. Prašyme privaloma nurodyti bent:

59.1. duomenų gavimo konkretų ir aiškiai apibrėžtą tikslą;

59.2. jeigu yra, duomenų tvarkymo (gavimo) teisinį pagrindą, įtvirtintą Lietuvos Respublikos arba Europos Sąjungos teisės aktuose, ir konkrečią jų nuostatą, suteikiančią teisę gauti asmens duomenis;

59.3. duomenų tvarkymo (gavimo) teisėtą sąlygą, įtvirtintą Reglamento 6 straipsnio 1 dalyje arba 9 straipsnio 2 dalyje, kuria vadovaujantis suteikiama teisė gauti asmens duomenis;

59.4. duomenų teisėto tvarkymo (teikimo) sąlygą, įtvirtintą Reglamento 6 straipsnio 1 dalyje arba 9 straipsnio 2 dalyje, kuria vadovaudamasi Administracija turi teisę pateikti šiuos duomenis trečiajam asmeniui;

59.5. konkrečią prašomų duomenų apimtį, t. y. kokių konkrečių duomenų prašoma: vardo, pavardės, paskirtos išmokos dydžio ir pan. Prašymai pateikti visą turimą informaciją apie asmenį nelaikytini konkrečiais;

59.6. kai įgyvendinant Taisyklių 59.4 papunkčio sąlygą nurodoma, kad duomenis pateikti prašoma vadovaujantis Reglamento 6 straipsnio 1 dalies e arba f punktais, t. y. kai duomenis tvarkyti (teikti) reikia siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas arba teikti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų apsaugos, prašyme turi būti išsamiai pagrįsta, kodėl šių asmenų interesai yra viršesni už duomenų subjekto teises ir laisves.

60. Administracijos darbuotojas, nagrinėjantis gautą prašymą pateikti asmens duomenis, privalo:

60.1. patikrinti, kad prašyme nurodytas asmens duomenų naudojimo tikslas yra konkretus ir teisėtas (nurodymas, kad duomenys reikalingi nagrinėjant bylą ar teikiant ieškinį, paprastai nelaikomas konkrečiu tikslu);

60.2. patikrinti, ar duomenų gavėjas pagrįstai remiasi prašyme nurodytu gavimo ir teikimo teisiniu pagrindu bei teisėta duomenų teikimo ir gavimo sąlyga, įtvirtinta Reglamento 6 straipsnio 1 dalyje arba 9 straipsnio 2 dalyje;

60.3. kai duomenis pateikti prašoma remiantis Reglamento 6 straipsnio 1 dalies e arba f punktais, įvertinti, ar gavėjo interesai tikrai yra svarbesni už duomenų subjekto teises ir laisves;

60.4. įvertinti, ar prašomų pateikti duomenų apimtis nėra per didelė nurodytam tikslui pasiekti.

61. Asmens duomenų teikimui valstybės ir savivaldybės institucijoms ir įstaigoms, kai šios institucijos ir įstaigos pagal konkretų paklausimą gauna asmens duomenis įstatymų nustatytoms kontrolės funkcijoms vykdyti, taikomos visos šiame skirsnyje aptartos duomenų teikimo / gavimo sąlygos. Administracijos arba Administracijos duomenų tvarkytojo darbuotojai be papildomo teisinio reikalavimo gali būti asmens duomenų gavėjais, jeigu jie dalyvauja duomenų valdytojo arba duomenų tvarkytojo vykdomose tvarkymo operacijose arba šie duomenys yra būtini darbuotojo funkcijoms vykdyti.

62. Administracija gali teikti asmens duomenis duomenų tvarkytojams, kurie teikia Administracijai informacinių sistemų kūrimo, tobulinimo ir palaikymo, duomenų centrų ir panašias paslaugas, mokymų ir renginių organizavimo, turto priežiūros ir aptarnavimo organizavimo, taip pat teikia kitas paslaugas ar atlieka kitus darbus ir tvarko asmens duomenis duomenų valdytojo vardu.

63. Asmens duomenys duomenų gavėjams, esantiems Europos Sąjungos valstybėse narėse ir kitose Europos ekonominės erdvės valstybėse, teikiami tomis pačiomis sąlygomis ir tvarka kaip ir duomenų gavėjams, esantiems Lietuvos Respublikoje. Teikiant asmens duomenis į trečiąją valstybę būtina teisės aktų nustatyta tvarka gauti Valstybinės duomenų apsaugos inspekcijos leidimą.

64. Tarybos ir mero sekretoriato valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, bei Tarybos narių asmens duomenys, kuriuos tvarko administracija, užtikrindama Tarybos ir mero sekretoriato finansinį, ūkinį ir materialinį aptarnavimą, teikiami merui bei Tarybos ir mero sekretoriato sekretoriui jų kompetencijai pavestoms funkcijoms vykdyti pagal prašymą, pateiktą elektroninių ryšių priemonėmis. Šie asmens duomenys, siekiant užtikrinti asmens duomenų konfidencialumą, bus teikiami tik pasirašius Įsipareigojimą saugoti asmens duomenų paslaptį ( Taisyklių 2 priedas).

65. Administracijos darbuotojai, priklausomai nuo einamų pareigų ir atliekamų funkcijų, turi prieigą prie vieno ar keleto informacinių sistemų ir registrų, iš kurių gaunami ir į kuriuos teikiami asmens duomenys tiek, kiek tai būtina dėl viešojo intereso arba vykdant Administracijai pavestas viešosios valdžios funkcijas:

65.1. Administracinių nusižengimų registras;

65.2. žemės nuomos mokesčio informacinė sistema (MASIS);

65.3. biudžeto ir finansavimo sistema „Biudžetas ^vs“;

65.4. socialinių išmokų apskaitos informacinės sistema PARAMA;

65.5. valstybės tarnautojų registras VATARAS;

65.6. švietimo ir mokslo institucijų registras ŠMIR;

65.7. švietimo valdymo informacinė sistema ŠVIS;

65.8. mokinių registras;

65.9. pedagogų registras;

65.10. Mokinių socialinių kompetencijų ugdymo informavimo ir apskaitos sistema;

65.11. Vaikų registracija į švietimo įstaigų ikimokyklinio / priešmokyklinio ugdymo grupes informacinė sistema;

65.12. Kvalifikacijos tobulinimo programų ir renginių registras;

65.13. Nesimokančių vaikų ir mokyklos nelankančių mokinių informacinė sistema;

65.14. Elektroninio mokinio pažymėjimo valdymo sistema;

65.15.statybos leidimų ir statybos valstybinės priežiūros informacinės sistema „Infostatyba“;

65.16. Lietuvos Respublikos gyventojų registro;

65.17. metrikacijos paslaugų informacinė sistema MEPIS;

65.18. licencijų informacinė sistema LIS;

65.19. socialinės paramos šeimai informacinė sistema SPIS;

65.20. Lietuvos teismų elektroninių paslaugų portalas EPP;

65.21. Centrinė perkančioji organizacija CPO;

65.22. žemėtvarkos planavimo dokumentų rengimo informacinė sistema ŽPDRIS;

65.23. mokyklos nelankančių mokinių informacinė sistema NEMIS;

65.24. Lietuvos Respublikos teritorijų planavimo dokumentų rengimo ir teritorijų planavimo proceso valstybinės priežiūros informacinės sistema TPDRIS;

65.25. Lietuvos Respublikos teritorijų planavimo dokumentų registras TPDR;

65.26. Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos;

65.27. Nacionalinės žemės tarnybos informacinės sistemos;

65.28. Neįgalumo ir darbingumo nustatymo tarnybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos;

65.29. Lietuvos darbo biržos informacinės sistemos;

65.30. Valstybinės mokesčių inspekcijos informacinės sistemos;

65.31. VĮ „Regitra“ informacinės sistemos;

65.32. Įtariamųjų, nuteistųjų ir kaltinamųjų registras;

65.33. VĮ „Žemės ūkio informacijos ir kaimo verslo centras“ valdomų registrų: Ūkinių gyvūnų, Žemės ūkio ir kaimo verslo, Ūkininkų ūkių, Žemės ūkio valdų, Pasėlių deklaravimo duomenų, bei Paraiškų priėmimo ir Traktorių, savaeigių ir žemės ūkio mašinų ir jų priekabų registro informacinių sistemų;

65.34. E-sąskaita, Elektroninių sąskaitų parengimo ir pateikimo informacinė sistema;

65.35. Adresų registras;

65.36. Nekilnojamo turto registras, NTR;

65.37. Teisės aktų informacinė sistema, TAIS;

65.38. Centrinė viešųjų pirkimų informacinė sistema, CVP IS;

65.39. E. pristatymas, Elektroninių pranešimų ir dokumentų pristatymo fiziniams ir juridiniams asmenims informacinė sistema;

65.40. dokumentų ir užduočių valdymo informacinė sistema @vilys (toliau - @vilys).

66. Keičiantis teisės aktams, Administracija esant poreikiui gali sudaryti sutartis dėl duomenų teikimo ir (ar) gavimo ir iš kitų informacinių sistemų ir registrų

VIII SKYRIUS

TECHNINĖS IR ORGANIZACINĖS ASMENS DUOMENŲ TVARKYMO PRIEMONĖS

67. Administracijos darbuotojai privalo laikytis Taisyklių ir prisidėti įgyvendinant Administracijos įdiegtas organizacines ir technines priemones, skirtas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto naikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

68. Administracijoje taikomos techninės ir organizacinės asmens duomenų tvarkymo priemonės nurodytos Bendrame techninių ir organizacinių saugumo priemonių sąraše (Taisyklių 1 priedas).

69. Administracijos darbuotojai turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino eidami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Ši pareiga saugoti asmens duomenų paslaptį galioja visą darbuotojo darbo laiką, taip pat galioja darbuotoją paskyrus į kitas pareigas bei pasibaigus darbo santykiams su Administracija.

70. Siekiant apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio kito neteisėto tvarkymo turi būti taikomos šios infrastruktūrinės, administracinės ir telekomunikacinės (elektroninės) priemonės:

70.1. saugus ir tinkamas techninės įrangos išdėstymas ir jos priežiūra, informacinių sistemų (IS) priežiūra, tinklo (LAN, belaidžio) valdymas, naudojimosi internetu saugumo užtikrinimas ir kitos informacinių technologijų priemonės;

70.2. priešgaisrinės apsaugos tarnybos nustatytų normų laikymasis;

70.3. saugus ir tinkamas darbo organizavimas bei kitos administracinės priemonės;

70.4. būtina bent kartą per vienus metus vykdyti informacinių sistemų duomenų tvarkymo keliamos rizikos vertinimą;

70.5. Administracijos paruoštų organizacinių ir techninių duomenų saugumo priemonių įvertinimo auditas turi būtų atliekamas bent vieną kartą per dvejus metus;

70.6. atsižvelgiant į rizikos vertinimo rezultatus, turi būti diegiamos būtinos duomenų saugumo priemonės;

70.7. atliekami praktiniai bandymai dėl avarinio (angl. disaster recovery) asmens duomenų atkūrimo;

70.8. ne rečiau kaip vieną kartą per mėnesį atliekamas duomenų atsarginių kopijų darymas;

70.9. atsarginių duomenų kopijų laikmenos, kurios būtų saugomos atsarginių kopijų saugykloje atskirai nuo pagrindinės buveinės;

70.10. užtikrinamas duomenų atkūrimas iš naujausių turimų atsarginių duomenų kopijų, praradus duomenis dėl aparatinės kompiuterių įrangos gedimo, programinės įrangos klaidos ar kitaip pažeidus duomenų vientisumą;

70.11. IS funkcionalumo ir duomenų vientisumo bei parengtumo testavimų atlikimas.

71. Darbuotojai automatiniu būdu tvarkyti asmens duomenis gali tik po to, kai jiems suteikiama prieigos teisė prie atitinkamos informacinės sistemos. Prieiga prie asmens duomenų gali būti suteikta tik tiems Administracijos darbuotojams, kuriems asmens duomenys yra reikalingi atlikti jų pareigybių aprašymuose nustatytas ar kitais teisės aktais pavestas funkcijas. Darbo santykiams pasibaigus, darbuotojui prieigos prie registrų ir kitų programų teisės panaikinamos.

72. Darbuotojai gali perduoti dokumentus, kuriuose nurodyti asmens duomenys, tik tiems darbuotojams, kurie pagal pareigas ar atskirus pavedimus turi teisę dirbti su asmens duomenimis.

73. Darbuotojai, vykdantys duomenų subjekto duomenų tvarkymo funkcijas, turi užkirsti kelią atsitiktiniam ar neteisėtam tvarkymui, turi saugoti dokumentus tinkamai ir saugiai (vengiant nereikalingų kopijų su duomenų subjekto duomenimis kaupimo ir kt.). Dokumentų kopijos, kuriose nurodomi duomenų subjekto duomenys, turi būti sunaikinamos tokiu būdu, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio, pavyzdžiui, susmulkinant, tačiau jokiu būdu neišmetant į šiukšliadėžę ar nepaliekant duomenų šalia jos ar kitoje atviroje vietoje. Už duomenų sunaikinimą atsakingas duomenis naikinantis asmuo.

74. Darbuotojai, kurių darbo kompiuteriuose saugomi interesantų duomenys arba iš kurių kompiuterių galima patekti į Administracijos IS, kuriose yra saugomi interesantų duomenys, savo darbo kompiuteriuose turi naudoti slaptažodžius; „svečio“ (angl. guest) tipo, t. y. neapsaugoti slaptažodžiais, vartotojai yra draudžiami. Šiuose kompiuteriuose taip pat reikia naudoti ekrano užsklandą su slaptažodžiu.

75. Minimalūs reikalavimai slaptažodžiams:

75.1. juos turi sudaryti ne mažiau kaip 8 simboliai, iš kurių bent keli turi būti skaičius ir raidė;

75.2. jie negali sutapti su darbuotojų ar jų šeimos narių asmeniniais duomenimis;

75.3. juos saugo ir juos gali žinoti tik darbuotojai, dirbantys su konkrečiais kompiuteriais;

75.4. jie negali būti saugomi viešai ir negali būti prieinami kaip visuma.

76. Slaptažodžiai ne rečiau kaip kas 60 kalendorinių dienų turi būti keičiami.

77. Darbuotojų darbo kompiuteriai, kuriuose saugomos rinkmenos su fizinių asmenų duomenimis, negali būti laisvai prieinami iš kitų tinklo kompiuterių. Šių kompiuterių antivirusinė programinė įranga turi būti nuolat atnaujinama.

78. Nesant būtinybės, rinkmenos su interesantų duomenimis neturi būti dauginamos skaitmeniniu būdu, t.y. kuriamos rinkmenų kopijos vietiniuose kompiuterių diskuose, nešiojamosiose laikmenose, nuotolinėse rinkmenų talpyklose ir kt.

79. Administracijoje yra užtikrinamas saugių protokolų ir (arba) slaptažodžių naudojimas, kai asmens duomenys perduodami išoriniais duomenų perdavimo tinklais.

80. Asmens duomenų, esančių išorinėse duomenų laikmenose ir elektroniniame pašte, saugos kontrolė ir ištrynimas po jų panaudojimo užtikrinamas perkeliant juos į duomenų bazes.

81. Administracijos informacinėse sistemose ir kompiuterių tinkluose įgyvendinamos šios saugumo priemonės:

81.1. Už IS saugumą atsakingas darbuotojas, ne rečiau kaip kartą per vieną mėnesį peržiūrimas naudotojų prisijungimų prie duomenų bazės (-ių) įrašų elektroninis žurnalas ir Administracijai teikiamos peržiūros ataskaitos;

81.2. mobiliuosiuose įrenginiuose (nešiojamuosiuose kompiuteriuose, planšetėse, išmaniuosiuose telefonuose ir pan.), jeigu jie naudojami ne Administracijos vidiniame kompiuterių tinkle, esantys asmens duomenys ir prisijungimo prie Administracijos tvarkomų asmens duomenų informacija šifruojami ar apsaugomi tokiomis priemonėmis, kurios atitiktų asmens duomenų atskleidimo keliamą riziką;

81.3. atsarginės asmens duomenų kopijos, jei jos daromos, saugomos kitoje patalpoje ar geografinėje vietoje negu aktyvi (veikianti) duomenų bazė;

81.4. šifruojami atsarginėse kopijose, archyvuose ir išorinėse duomenų laikmenose saugomi asmens duomenys;

81.5. šifruojami elektroniniu paštu perduodami asmens duomenys;

81.6. asmens duomenų paieškos užklausoje nurodomas asmens duomenų naudojimo tikslas (-ai).

82. Administracijos direktoriaus paskirtas atsakingas darbuotojas privalo užtikrinti:

82.1. pašalinių asmenų įėjimo į serverių patalpas kontrolę, naudojant koduotą durų rakinimo sistemą bei bendrą apsaugos signalizacijos sistemą;

82.2. vidinio Administracijos kompiuterių tinklo apsaugą.

83. Darbuotojai privalo taip organizuoti savo darbą, kad kiek įmanoma apribotų galimybę kitiems asmenims (kitiems darbuotojams ar kitiems tretiesiems asmenims) sužinoti tvarkomus asmens duomenis. Ši nuostata įgyvendinama:

83.1. nepaliekant dokumentų su tvarkomais asmens duomenimis ar kompiuterio, kuriuo naudojantis galima atidaryti rinkmenas su asmens duomenimis, be priežiūros taip, kad juose esančią informaciją galėtų perskaityti darbuotojai, neturintys teisės dirbti su konkrečiais asmens duomenimis, kiti asmenys;

83.2. dokumentus laikant taip, kad jų (ar jų fragmentų) negalėtų perskaityti atsitiktiniai asmenys;

83.3. jei dokumentai, kuriuose yra asmens duomenų, kitiems darbuotojams, padaliniams, įstaigoms perduodami per asmenis, kurie neturi teisės tvarkyti asmens duomenis, arba per paštą ar kurjerį, jie privalo būti perduodami užklijuotame nepermatomame voke. Šis punktas netaikomas, jeigu minėti pranešimai įteikiami interesantams asmeniškai ir konfidencialiai.

84. Šiame Taisyklių skyriuje aptartos organizacinės ir techninės asmens duomenų apsaugos priemonės taikomos kartu su Administracijos direktoriaus patvirtintomis darbo tvarkos taisyklėmis, informacinių sistemų techninėmis specifikacijomis ir aprašais bei jiems neprieštarauja.

IX SKYRIUS

DUOMENŲ VEIKLOS ĮRAŠŲ VEDIMO TVARKA

85. Duomenų veiklos įrašų vedimo tvarka Administracijoje yra naudojama vadovaujantis šiomis principinėmis nuostatomis:

85.1. turi būti naudojama griežtai tik darbo reikmėms;

85.2. naudojantis turi būti laikomasi galiojančių Lietuvos Respublikos teisės aktų, Administracijos vidinių aktų, darbo sutarčių nuostatų bei naudojimo instrukcijų;

85.3. naudojantis turi būti laikomasi darbuotojų saugos, komercinės informacijos saugos, asmens duomenų apsaugos reikalavimų;

85.4. naudojimas turi užtikrinti konfidencialumo įsipareigojimų, intelektinės nuosavybės teisių, įskaitant trečiųjų asmenų teises ir teisėtus interesus, bendrųjų etikos ir moralės principų laikymąsi.

86. Duomenų veiklos įrašų vedimo dokumente (bei elektroninėje jo rinkmenoje) privalo būti nurodyta:

86.1. duomenų tvarkytojas – Administracijos padalinio pavadinimas, atsakingas asmuo;

86.2. duomenų tvarkymo tikslas – kokiu tikslu yra tvarkomi duomenys (aiškiai aprašyti pavyzdžiui, socialinei pensijai gauti, į vaikų darželį priimti, įdarbinimas, personalo administravimas, tarnybinis tyrimas dėl tarnybinio nusižengimo, profilaktinis sveikatos tikrinimas, vaizdo konferencijų organizavimas, viešosios informacijos administravimas, patalpų ir teritorijos apsauga, įsigijimų vykdymas, asmenų aptarnavimas, paslaugų kokybės užtikrinimas, leidimų statyti automobilį išdavimas, visiškos materialinės atsakomybės sutarčių administravimas, įgaliojimų suteikimas ir kt.);

86.3. duomenų subjektų kategorijos (pavyzdžiui, asmenys, pretenduojantys arba paskirti (priimti) į pareigas; asmenys, su kuriais sudaroma tarnybos (darbo) sutartis; asmenys, teikiami skatinti ar apdovanoti; darbuotojai, kurie prašo leidimo dirbti kitą darbą; asmenys, kurių atžvilgiu atliekamas tarnybinis tyrimas, ir kiti asmenys, susiję su teisės pažeidimo tyrimu; vaizdo konferencijų dalyviai, žurnalistai ir kiti asmenys, viešąją informaciją renkantys iš Administracijos; asmenys, patenkantys į vaizdo stebėjimo lauką; mokiniai ir t. t.) Esant kelioms duomenų subjektų grupėms, atskirai nurodomi kiekvienos duomenų subjektų grupės tvarkomi asmens duomenys (įskaitant ir specialių kategorijų asmens duomenis), jeigu tvarkomi duomenys yra skirtingi).

86.4. asmens duomenų kategorijos – kokie konkretūs duomenys yra renkami (pavyzdžiui, vardas, pavardė, gimimo data, adresas, vaizdo duomenys, priskaičiuotas darbo užmokestis, duomenys apie sveikatą, telefono pokalbio įrašas, IP adresas ir t. t.);

86.5. duomenų tvarkymo pagrindas – dėl ko vyksta šis rinkimas (pavyzdžiui, nurodoma Reglamento 6 straipsnio 1 dalies ir jei taikoma 9 straipsnio 2 dalies konkretus punktas ir jei taikoma Lietuvos Respublikos teisės aktas, kuris suteikia teisę tvarkyti asmens duomenis (pvz., Darbo kodeksas, Visuomenės informavimo įstatymas, Viešojo administravimo įstatymas, sutikimas, prašymas, sutartis ir t. t.);

86.6. duomenų gavėjai – kas yra galutinis šių duomenų gavėjas (pavyzdžiui, privatus asmuo, įmonės, ne Europos Sąjungos šalys, teisėsaugos institucijos, kurjerių tarnybos, bankai, Sodra, valstybės ir savivaldybių institucijos ir įstaigos teisės aktų nustatytoms funkcijoms vykdyti bei kiti fiziniai ir juridiniai asmenys, turintys teisę gauti duomenis, ir t. t.);

86.7. duomenų saugojimo terminai – laikotarpis metais, kuriais nurodoma, kiek saugomi šie duomenys, ir momentas, nuo kada šis laikotarpis skaičiuojamas (pavyzdžiui, vieni metai nuo interesanto prašymo gavimo, 10 metų po sutarties įvykdymo, 30 kalendorinių dienų, 1 metai nuo paskutinio prisijungimo prie kliento paskyros ir t. t.);

86.8. duomenų ištrynimo (panaikinimo) terminai – laikotarpis metais, kurias nurodoma, kuriam laikui praėjus šie saugomi duomenys bus ištinti, ir momentas, nuo kada šis laikotarpis skaičiuojamas (pavyzdžiui, dveji metai nuo darbo sutarties nutraukimo);

86.9. duomenų saugojimo vieta (pavyzdžiui, rakinama spinta, darbuotojo kompiuteryje, Administracijos serveryje, valstybės registre ar informacinėje sistemoje, duomenų valdymo sistemoje „Avilys“ ir t. t.);

86.10. kai įmanoma, nurodyti naudojamas technines ir organizacines saugumo priemonės – naudojami pseudonimai, šifravimas, veiklos tęstinumo užtikrinimas techninio incidento metu, nuolatinis vertinimo procesas ir pan.

87. Duomenų veiklos įrašų vedimo dokumente gali būti ir kitų nuostatų, pildomų pagal poreikį. Duomenų veiklos įrašai į dokumentą įvedami raštu (ir elektroniniu būdu), pildant duomenų veiklos įrašų žurnalą, kurio pavyzdinė forma pateikiama šių Taisyklių 3 priede. Tai turi būti daroma nuolat vykdant naujas duomenų tvarkymo operacijas.

88. Valstybinei duomenų apsaugos inspekcijai pateikus pagrįstą reikalavimą susipažinti su duomenų tvarkymo veiklos įrašų žurnalu, Administracija pateikia atitinkamą žurnalą per prašyme nustatytą terminą.

89. Duomenų veiklos įrašų vedimo tvarka reguliariai peržiūrima ir, prireikus ar pasikeitus asmens duomenų tvarkymą reglamentuojantiems teisės aktams, diegiant struktūrinius, technologinius ar kitokius pakeitimus, atnaujinama. Už šios tvarkos nuostatų laikymosi priežiūrą ir juose reglamentuotų nuostatų vykdymo kontrolę, atnaujinimo pagal poreikį inicijavimą yra atsakingas pareigūnas.

90. Visi šiame skyriuje nenumatyti veiksmai, susiję su duomenų veiklos įrašų vedimu Administracijoje, privalo būti derinami su pareigūnu.

X SKYRIUS

TELEFONINIŲ POKALBIŲ ĮRAŠŲ

DUOMENŲ TVARKYMAS

91. Pokalbiai telefonu įrašomi ir pokalbių įrašų duomenys tvarkomi:

91.1. įrašant interesantų telefoninius pokalbius automatiniu būdu. Duomenų tvarkymo tikslas - užtikrinti skaidrumą ir kokybišką informacijos / konsultacijų teikimo telefonu procesą, susijusios su Administracijos veikla, teikimą telefonu;

91.2. įrašant asmenų, Administracijos pasitikėjimo linijos telefonu, kurio numeris nurodytas Savivaldybės interneto svetainėje www.siauliai.lt, pateiktus balso pranešimus apie darbuotojų galimai neteisėtus veiksmus ar neveikimą, netinkamą pareigų vykdymą ar nevykdymą, biurokratizmą, piktnaudžiavimą ar apie veiksmus, turinčius korupcinio pobūdžio nusikalstamos veikos požymių (toliau - neteisėti veiksmai). Duomenų tvarkymo tikslas - užkirsti kelią darbuotojų galimai neteisėtiems veiksmam.

92. Pokalbių įrašų duomenys negali būti tvarkomi nesuderinamais su nustatytais Taisyklių 91 punkte tikslais, išskyrus atvejus, kai tokiam duomenų tvarkymui egzistuoja atskiras Reglamento 6 straipsnio 1 dalyje įtvirtintas pagrindas.

93. Įrašomi tik Administracijos priskirtų telefonų įeinantys pokalbiai, vykstantys darbo metu. Administracijos konsultacijų telefonu teikimo laikas ir telefono ryšio numeriai viešai skelbiami Savivaldybės administracijos interneto svetainėje.

94. Įrašomi ir tvarkomi šie telefoninio pakalbio įrašų metaduomenys: konsultuojančio asmens vardas ir pavardė, interesanto telefono ryšio numeris, pokalbio data, pokalbio pradžios ir pabaigos laikas ir informacija, pateikta pokalbio metu.

95. Įrašomi tik pagal direktoriaus įsakymą patvirtintų skyrių ir pareigybių, telefonų įeinantys pokalbiai, vykstantys Administracijos darbo laiku (Taisyklių 4 priedas).

96. Administracija:

96.1. nustato pokalbių įrašymo tikslą ir apimtį;

96.2. priima sprendimus dėl pokalbių įrašų duomenų teikimo Duomenų subjektams, teisėsaugos institucijoms ar kitoms valstybės institucijoms, kurioms toks duomenų pateikimas yra privalomas pagal teisės aktų reikalavimus, ir trečiosioms šalims, turinčioms teisę gauti šiuos duomenis.

96.3. įgyvendina duomenų subjekto teises Reglamento ir Duomenų subjektų teisių įgyvendinimo Šiaulių miesto savivaldybės administracijoje taisyklių, patvirtintų Administracijos direktoriaus nustatyta tvarka;

96.4. užtikrina Administracijos darbuotojų informavimą apie tai, kad yra vykdomas telefoninių pokalbių įrašymas (Taisyklių 5 priedas);

96.5. parenka tik tokį duomenų tvarkytoją, kuris garantuoja reikiamas technines ir organizacines asmens duomenų apsaugos priemones ir užtikrina, kad tokių priemonių būtų laikomasi.

97. Interesantų informavimas apie vykdomą garso įrašymą yra įgyvendinamas šia tvarka:

97.1. interesantui, paskambinus į Administraciją, apie vykdomą telefoninių pokalbių įrašymą informuojama automatiniu atsakikliu:

97.1.1. pranešant, kad telefoninis pokalbis yra įrašomas;

97.1.2. nurodant duomenų valdytojo ir tvarkytojo pavadinimą, pokalbio ar balso pranešimo įrašymo tikslą;

97.1.3. pažymima duomenų subjekto teisė nesutikti, kad būtų įrašomas pokalbis;

97.1.4. suteikiama informacija apie alternatyvias galimybes gauti konsultaciją, kada pokalbis nebūtų įrašomas (nedavus sutikimo dėl asmens duomenų tvarkymo).

97.2. duomenų valdytojo darbuotojai, kurių asmens duomenys tvarkomi šiose Taisyklėse apibrėžtais tikslais, apie vykdomą telefoninių pokalbių įrašymą ir jo tikslą informuojami dokumentų valdymo sistemoje „Avilys“ prieš pradedant vykdyti telefoninių pokalbių įrašymą arba pirmąją darbuotojo darbo dieną, pateikiant Taisyklių 5 priede nustatytą informaciją.

98. Pokalbių įrašų metaduomenys yra saugomi 14 kalendorinių dienų paslaugų tiekėjo pokalbių įrašymo serveryje. Pokalbių įrašų duomenys po jų saugojimo termino yra automatiškai ištrinami, išskyrus atvejus, kai yra būtinybė duomenis saugoti ilgiau, siekiant ištirti įvykusį incidentą Administracijoje ar apginti teisinius reikalavimus.

99. Telefoninių pokalbių įrašymo tikslas ir apimtis gali būti keičiama tik pakeitus šias Taisykles.

Xi SKYRIUS

DARBUOTOJŲ ASMENS DUOMENŲ TVARKYMO YPATUMAI

100. Darbuotojų asmens duomenis turi teisę tvarkyti tik tie asmenys, kuriems jie yra būtini funkcijoms vykdyti, ir tik tuomet, kai tai yra būtina atitinkamiems tikslams pasiekti.

101. Darbuotojų asmens duomenys saugomi asmens bylose bei atitinkamose Administracijos tvarkomose duomenų bazėse.

102. Kiekvienas Administracijos darbuotojas turi būti informuotas apie jo asmens duomenų tvarkymą, t. y. turi pasirašyti informavimo apie asmens duomenų tvarkymo formą (Taisyklių 6 priedas), kuri saugomi darbuotojų asmens bylose. Naujai priimamiems darbuotojams ir valstybės tarnautojams įteikiama informavimo apie asmens duomenų tvarkymo forma ir su šia tvarka jie supažindinami pasirašytinai pirmąją darbo dieną.

103. Darbuotojų kaip duomenų subjektų teisės Administracijoje įgyvendinamos vadovaujantis Reglamentu ir Duomenų subjektų teisių įgyvendinimo Šiaulių miesto savivaldybės administracijoje taisyklėmis, kurias tvirtina Administracijos direktorius.

XII SKYRIUS

GARSO ĮRAŠŲ DUOMENŲ TVARKYMAS

104. Darant garso įrašus užtikrinama, kad garso įrašų darymas ir tvarkymas atitiktų Reglamento ir šių Taisyklių nuostatas.

105. Garso įrašai turi būti daromi specialiai tik šiems tikslams skirtais įrenginiais, išskyrus atvejus, kai kyla būtinybė garso įrašus daryti kitokiais įrenginiais.

106. Garso įrašų darymo ir tvarkymo Administracijoje tikslai, garso įrašų saugojimo terminai bei garso įrašų darymo ir saugojimo tvarka turi būti numatyta Administracijos komisijų, komitetų, darbo grupių posėdžių nuostatuose. Pasibaigus nustatytam garso įrašų saugojimo terminui, garso įrašai sunaikinami ir toliau Administracijoje nebesaugomi.

107. Duomenų subjektų teisės, susijusios su garso įrašų duomenų tvarkymu, įgyvendinamos Duomenų subjektų teisių įgyvendinimo Šiaulių miesto savivaldybės administracijoje taisyklių, patvirtintų Administracijos direktoriaus, nustatyta tvarka. Įgyvendinant duomenų subjekto teisę susipažinti su tvarkomais savo asmens duomenimis, t. y. Administracijoje saugomu garso įrašu, užtikrinama trečiųjų asmenų teisė į privatų gyvenimą, t. y. duomenų subjektui susipažinti gali būti pateikiama tik garso įrašo dalis, susijusi su pačiu duomenų subjektu.

108. Duomenų subjektas apie garso įrašo darymą ir garso įrašuose fiksuojamų asmens duomenų tvarkymą turi būti informuojamas prieš pradedant daryti garso įrašą. Perspėjimas dėl garso įrašo darymo, nurodant garso darymo teisinį pagrindą ir tikslą, turi būti nurodomas ir įjungus garso įrašymo įrenginį. Pavėlavusius asmenis būtina informuoti papildomai.

109. Už duomenų subjekto informavimą apie garso įrašo darymą ir garso įrašuose fiksuojamų asmens duomenų tvarkymą atsakingi Administracijos komitetų, komisijų, darbo grupių, pasitarimų, susirinkimų, susitikimų paskirti sekretoriai, atsakingi už garso įrašų darymą.

XIII SKYRIUS

Asmens duomenų saugojimo terminai ir sunaikinimas

110. Asmens duomenų saugojimo terminus ir veiksmus, kurie atliekami pasibaigus šiam terminui, nustato teisės aktai, reglamentuojantys asmens duomenų tvarkymą. Konkretūs asmens dokumentų (duomenų) saugojimo terminai yra nustatomi Administracijos direktoriaus patvirtintame Dokumentacijos plane.

111. Asmens duomenys Administracijoje saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.

112. Dokumentus, kuriuose yra asmens duomenų, saugo Administracijos padaliniai Dokumentacijos plane patvirtintą terminą. Administracijos padaliniai, vadovaudamiesi Lietuvos Respublikos dokumentų ir archyvų įstatymu ir Bendrųjų dokumentų saugojimo terminų rodykle, perduoda dokumentus saugoti į Civilinės metrikacijos ir archyvų skyrių. Pasibaigus dokumentacijos plane nustatytam saugojimo terminui, dokumentai, kuriuose yra asmens duomenų, sunaikinami nustatyta tvarka.

113. Informacinėse sistemose įrašyti asmens duomenys saugomi kartu su kitais duomenimis duomenų bazėje, o vėliau perduodami į duomenų bazės archyvą. Jų saugojimo terminus ir tvarką reglamentuoja Lietuvos Respublikos teisės aktai, Administracijos informacinės sistemos duomenų saugumo nuostatai ir kiekvienais metais tvirtinami Administracijos Dokumentacijos planai.

114. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams įgyvendinti, jie yra perduodami į Administracijos archyvą arba valstybės archyvą arba sunaikinami:

114.1. Sunaikinimas apibrėžiamas kaip fizinis ar techninis veiksmas, kuriuo dokumente esantys duomenys padaromi neatkuriamais įprastinėmis komerciškai prieinamomis priemonėmis;

114.2. Elektronine forma saugomi asmens duomenys sunaikinami juos ištrinant be galimybės atkurti;

114.3. Naikinant dokumentus, kurių saugojimo terminas yra pasibaigęs, dokumentai, kuriuose nurodomi asmens duomenys, ir jų kopijos turi būti sunaikinti taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio.

XIV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

115. Administracijos darbuotojai su Taisyklėmis bei jų pakeitimais yra supažindinami Administracijos elektroninėmis priemonėmis dokumentų valdymo sistemoje „Avilys“ ir taip įsipareigoja laikytis šiose Taisyklėse nustatytų reikalavimų.

116. Už taisyklių laikymosi priežiūrą ir kontrolę atsakingi Administracijos skyrių ir poskyrių vedėjai.

117. Taisyklės ne rečiau kaip kartą per 2 metus peržiūrimos ir, prireikus ar pasikeitus asmens duomenų tvarkymą reglamentuojantiems teisės aktams, atnaujinamos. Kaip laikomasi šių Taisyklių nuostatų, stebi ir atnaujinimą pagal poreikį inicijuoja pareigūnas.

118. Administracijos darbuotojai, pažeidę šių Taisyklių reikalavimus, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.

Asmens duomenų tvarkymo

Šiaulių miesto savivaldybės administracijoje taisyklių

1 priedas

Bendras techninių ir organizacinių saugumo

priemonių sąrašas

Šiaulių miesto savivaldybės administracija tvarkydama asmens duomenis taiko šias saugumo priemones:

Nr.	Saugumo priemonė
1.	Prieigų ir paskyrų valdymas
1.1.	Administratoriaus funkcijos atliekamos naudojant atskirą tam skirtą paskyrą, kuri negali būti naudojama kasdienėms naudotojo funkcijoms atlikti.
1.2.	Naudotojams nesuteikiamos administratoriaus teisės
1.3.	Naudotojas unikaliai atpažįstamas
1.4.	Naudotojui panaikinta prieiga prie informacinių išteklių nedelsiant, jei prieiga tampa neaktuali, nutraukiami darbo santykiai ar darbuotojas nušalinamas nuo pareigų.
1.5.	Baigus darbą ar naudotojui pasitraukiant iš darbo vietos, naudotojas imamasi priemonių, kad su informacija, kuri tvarkoma informaciniuose ištekliuose, negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo informacinių išteklių, įjungiama ekrano užsklanda su slaptažodžiu.
1.6.	Reguliariai vykdoma prieigų kontrolė
2.	Slaptažodžių politika
2.1.	Nustatomas leistinų nepavykusių prisijungimų prie programinės įrangos skaičius, kurį pasiekus naudotojo paskyra blokuojama bent 15 minučių.
2.2.	Kur techniškai įmanoma, slaptažodžiai sudaromi iš kompleksinių simbolių.
2.3.	Slaptažodžiai negali būti saugomi ar perduodami atviru tekstu. Tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo, turėti galiojimo terminą ir privalo būti pakeistas pirmo prisijungimo metu.
2.4.	Naudotojų slaptažodis keičiamas ne rečiau kaip kas 60 kalendorinių dienų
2.5.	Naudotojo slaptažodį sudaro ne mažiau kaip 8 simboliai
2.6.	Administratoriaus slaptažodis keičiamas ne rečiau kaip kas 60 kalendorinių dienų
2.7.	Administratorių slaptažodį sudaro ne mažiau kaip 12 simbolių.
2.8.	Draudžiama informacinių išteklių techninėje ir programinėje įrangoje naudoti gamintojo nustatytus slaptažodžius, jie pakeičiami į atitinkančius reikalavimus.
2.9.	Slaptažodžiai duomenų bazėje saugomas užšifruotai
3.	Informacinių išteklių infrastruktūra
3.1.	Priemonės, naudojamos informacinių išteklių sąsajoje su viešųjų elektroninių ryšių tinklu, nustatytos taip, kad fiksuotų visus įvykius, susijusius su įeinančiais ir išeinančiais duomenų srautais
3.2.	Pagrindinėse tarnybinėse stotyse įjungtos saugasienės, sukonfigūruotos blokuoti visą įeinantį ir išeinantį, išskyrus su informacinių išteklių funkcionalumu ir administravimu susijusį, duomenų srautą.
3.3.	Tarnybinėse stotyse naudojamos centralizuotai valdomos ir atnaujinamos kenksmingosios programinės įrangos aptikimo, stebėjimo realiu laiku priemonės
3.4.	Kenksmingosios programinės įrangos aptikimo priemonė automatiškai informuoja administratorių apie tai, kuriems informacinių išteklių posistemiams, funkciškai savarankiškoms sudedamosioms dalims yra pradelstas kenksmingosios programinės įrangos aptikimo priemonių atsinaujinimo laikas ar buvo aptiktas kenksmingas kodas
3.5.	Operatyviai ištestuojami ir įdiegiami informacinės sistemos tarnybinių stočių operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai
3.6.	Tarnybinėse stotyse naudojama tik legali programinė įranga;
3.7.	Techninė ir programinė įranga prižiūrima laikantis gamintojo rekomendacijų;
3.8.	Techninės ir programinės įrangos priežiūrą ir gedimų šalinimą atlieka paslaugų teikėjai ir Informacinių technologijų skyriaus atsakingi specialistai.
3.9.	Tarnybinėje stotyje naudojama tik informacinio ištekliaus veiklai reikalinga programinė įranga
3.10.	Šifruojamos tarnybinių stočių atminties laikmenos
3.11.	Nenaudojamos atminties laikmenos sunaikinamos ar pažeidžiamos taip, kad nebūtų galima atstatyti jose esančios informacijos
3.12.	Techninėje ir programinėje įrangoje nenaudojama (blokuota) gamintojo prieiga
3.13.	Reguliariai daromos atsarginės kopijos
3.14.	Uždrausta naršyti svetainės aplankuose (angl. Directory browsing)
3.15.	Informacinių sistemų portalai apsaugoti ne mažesniu kaip 128 bitų raktu.
3.16.	Informacinių sistemų portaluose naudojamas TLS (angl. Transport Layer Security) standartas
3.17.	Informacinės sistemos programiniame kode nėra saugomi prisijungimų duomenys
3.18.	Informacinės sistemos apsaugotos nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), įterptinių instrukcijų atakų (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), paskirstyto atsisakymo aptarnauti (angl. DDOS) ir kitų.
3.19.	Tarnybinė stotis, kurioje yra svetainė, nerodo svetainės naudotojui klaidų pranešimų apie svetainės programinį kodą ar tarnybinę stotį
4.	Kompiuterinės darbo vietos
4.1.	Kompiuteriuose naudojamos centralizuotai valdomos ir atnaujinamos kenksmingosios programinės įrangos aptikimo, stebėjimo realiu laiku priemonės.
4.2.	Kenksmingosios programinės įrangos aptikimo priemonė automatiškai informuoja administratorių apie tai, kuriems informacinių išteklių posistemiams, funkciškai savarankiškoms sudedamosioms dalims yra pradelstas kenksmingosios programinės įrangos aptikimo priemonių atsinaujinimo laikas ar buvo aptiktas kenksmingas kodas.
4.3.	Operatyviai ištestuojami kompiuterinės įrangos operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai.
4.4.	Kompiuteriuose aktyvuotos lokalios saugasienės ir sukonfigūruotos taip, kad blokuotų visą nereikalingą srautą
4.5.	Kompiuterinė įranga prižiūrima laikantis gamintojo rekomendacijų;
4.6.	Kompiuterinės įrangos priežiūrą ir gedimų šalinimą atlieka paslaugų teikėjai ir Informacinių technologijų skyriaus atsakingi specialistai.
4.7.	Vartotojams negali deaktyvuoti ar apeiti saugumo nustatymų
4.8.	Kompiuterinėje įrangoje naudojama tik legali ir darbo funkcijoms atlikti reikalinga programinė įranga.
4.9.	Panaikintos ar pervadintos standartinės gamintojo paskyros
4.10.	Nenaudojamos atminties laikmenos sunaikinamos ar pažeidžiamos taip, kad nebūtų galima atstatyti jose esančios informacijos
4.11.	Kompiuteriuose nustatyta, kad prisijungus prie vidinio tinklo išjungiama belaidė periferinė prieiga
4.12.	Kompiuterių naudotojai negali savavališkai diegtis programinės įrangos
5.	Tinklas
5.1.	Vidinis tinklas segmentuotas, atskirtos bevielio tinklo zona, kompiuterių zona, tarnybinių stočių zona.
5.2.	Reguliariai atnaujinama programinė aparatinė įranga
5.3.	Informacinių išteklių elektroninės informacijos perdavimo tinklas atskirtas nuo viešųjų ryšių tinklų naudojant ugniasienę; ugniasienės saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos.
5.4.	Tinklo perimetro apsaugai naudojami filtrai, apsaugantys elektroniniame pašte ir viešame ryšių tinkle naršančių informacinės sistemos naudotojų kompiuterinę įrangą nuo kenksmingo kodo.
5.5.	Belaidės prieigos taškai gali būti diegiami tik atskirame potinklyje, kontroliuojamoje zonoje
5.6.	Jei techniškai įmanoma, uždrausta belaidėje sąsajoje naudoti SNMP (angl. Simple Network Management Protocol) protokolą valdymui
5.7.	Jei techniškai įmanoma, uždrausta visi nebūtini valdymo protokolai
5.8.	Jei techniškai įmanoma, išjungti nenaudojami TCP (angl. Transmission Control Protocol) / UDP (angl. User Datagram Protocol) prievadai
5.9.	Jei techniškai įmanoma, uždraustas lygiarangis (angl. peer to peer) funkcionalumas, neleidžiantis belaidžiais įrenginiais tarpusavyje palaikyti ryšį
5.10.	Belaidis ryšys šifruojamas mažiausiai 128 bitų ilgio raktu.
5.11.	Prieš pradedant šifruoti belaidį ryšį, pakeisti belaidės prieigos stotelėje standartiniai gamintojo raktai.
6.	Atsarginės kopijos
6.1.	Atsarginės kopijos saugomos kitose patalpose nei yra pagrindinė įranga
6.2.	Reguliariai atliekami bandymai atstatyti duomenis iš atsarginių kopijų
7.	Duomenų perdavimas
7.1.	Užtikrinamas saugių protokolų ir (arba) slaptažodžių naudojimas, kai asmens duomenys perduodami išoriniais duomenų perdavimo tinklais.
7.2.	El. paštu perduodami asmens duomenys šifruojami
7.3.	Duomenis perduodant išorine laikmena, užšifruojama laikmena arba perduodami duomenys
8.	Duomenų tvarkymas
8.1.	Realizuotas asmens duomenų ištrynimas, perkėlimas kai asmens duomenys tvarkomi duomenų subjekto sutikimu.
8.2.	Perdavus duomenis išorine laikmena, jie yra ištrinami, taip kad nepavyktų atkurti.
9.	Organizaciniai reikalavimai
9.1.	Registruojami visi incidentai, susiję su asmens duomenų pažeidimais, kibernetiniai incidentai
9.2.	Esant poreikiui vykdomi darbuotojų mokymai asmens duomenų tvarkymo, informacijos saugumo temomis
9.3.	Atliekamas rizikos vertinimas
9.4.	Atliekamas infrastruktūros ir informacinių sistemų pažeidžiamumų vertinimas internetu pasiekiamos informacinėms sistemoms
9.5.	Vykdomas informacinių sistemų, infrastruktūros pokyčių valdymas, vertinant ar pokytis neturėjo įtakos asmens duomenų tvarkymui ar duomenų saugumui
9.6.	Vykdomas įsilaužimų testavimas internetu pasiekiamos informacinėms sistemoms
9.7.	Informacinių sistemų testavimas neatliekamas su realiais asmens duomenimis
10.	Fizinis saugumas
10.1.	Į tarnybinių stočių patalpas, gali patekti tik tokią teisę turintys asmenys
10.2.	Patalpose įrengti priešgaisriniai ir signalizacijos davikliai.
10.3.	Rakinamos patalpos.
10.4.	Pagrindinė techninė įranga turi turėti rezervinį maitinimą
10.5.	Tarnybinių stočių patalpos turi turėti kondicionavimo įrangą

Asmens duomenų tvarkymo

Šiaulių miesto savivaldybės administracijoje taisyklių

2 priedas

ĮSIPAREIGOJIMAS SAUGOTI ASMENS DUOMENŲ PASLAPTĮ

Žemiau pasirašydama(-s) patvirtinu, jog:

Aš suprantu, kad:

- savo darbe tvarkysiu asmens duomenis, kurie be tinkamo teisinio pagrindo negali būti atskleisti ar perduoti neįgaliotiems asmenims ar institucijoms;

- draudžiama perduoti neįgaliotiems asmenims slaptažodžius ir kitus duomenis, leidžiančius programinių ir techninių priemonių pagalba sužinoti asmens duomenis ar kitaip sudaryti sąlygas susipažinti su asmens duomenimis;

- netinkamas asmens duomenų tvarkymas gali užtraukti atsakomybę pagal Lietuvos Respublikos įstatymus.

Aš įsipareigoju:

- saugoti asmens duomenų paslaptį;

- tvarkyti asmens duomenis, vadovaudamasis Europos Sąjungos ir Lietuvos Respublikos teisės aktais, taip pat pareigybiniais nuostatais ir taisyklėmis, reglamentuojančiais man patikėtas asmens duomenų tvarkymo funkcijas;

- neatskleisti asmens duomenų ir neperduoti galimybės susipažinti su tvarkomais asmens duomenimis nei vienam asmeniui, kuris nėra įgaliotas tvarkyti asmens duomenų Šiaulių miesto savivaldybėje ar už jos ribų;

- pranešti savo vadovui arba jo įgaliotam už duomenų apsaugą atsakingam asmeniui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę asmens duomenų saugumui;

- saugoti ir tik įstatymu bei kitų teisės aktų nustatyta tvarka tvarkyti asmens duomenis, kurie man taps žinomi atliekant savo darbo funkcijas.

Aš žinau, kad:

- už šio įsipareigojimo, 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau - Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo bei kitų asmens duomenų apsaugą reglamentuojančių teisės aktų pažeidimą turėsiu atsakyti pagal galiojančius teisės aktus;

- asmuo, patyręs žalą dėl neteisėto asmens duomenų tvarkymo arba kitų duomenų valdytojo ar duomenų tvarkytojo veiksmų ar neveikimo, turi teisę reikalauti atlyginti jam padarytą turtinę ar neturtinę žalą;

- duomenų valdytojas, duomenų tvarkytojas arba kitas asmuo, atlyginęs asmeniui neteisėtais asmens duomenų tvarkymo veiksmais padarytą žalą, patirtus nuostolius įstatymų nustatyta tvarka išsireikalauja iš asmens duomenis tvarkančio darbuotojo, dėl kurio veiksmų ir kaltės atsirado ši žala;

- šis įsipareigojimas galios visą mano darbo laiką Šiaulių miesto savivaldybėje ir pasitraukus iš darbo, perėjus dirbti į kitas pareigas arba pasibaigus darbo santykiams.

Taip pat patvirtinu, kad aš esu susipažinęs/-usi su Bendrojo duomenų apsaugos reglamentu, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir Šiaulių miesto savivaldybės administracijos teisės aktais, reglamentuojančiais asmens duomenų apsaugą.

Susipažinau ______________________________ ____________ ____________

(vardas, pavardė) (parašas) (data)

Asmens duomenų tvarkymo

Šiaulių miesto savivaldybės administracijoje

taisyklių 3 priedas

(Šiaulių miesto savivaldybės administracijos duomenų tvarkymo veiklos įrašų žurnalo pavyzdinė forma)

DUOMENŲ TVARKYMO VEIKLOS ĮRAŠŲ ŽURNALAS

Duomenų apsaugos pareigūnas – ____________________________________

(vardas, pavardė, kontaktiniai duomenys)

Eil. Nr.	Asmens duomenų tvarkymo tikslas	Asmens duomenų tvarkymo teisinis pagrindas	Duomenų subjektų kategorijos	Asmens duomenų kategorijos	Duomenų gavėjų kategorijos*	Asmens duomenų saugojimo, ištrynimo terminai, saugojimo vieta	Techninių ir organizacinių saugumo priemonių aprašymas	Duomenų šaltiniai	Darbuotojai (struktūriniai padaliniai), atsakingi už asmens duomenų tvarkymą	Duomenų įvedimo, keitimo data (datos)
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

*Kai taikomi, asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą, ir Reglamento 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai

Asmens duomenų tvarkymo

Šiaulių miesto savivaldybės administracijoje taisyklių

4 priedas

SKYRIAI IR PAREIGYBĖS, KURIŲ TELEFONŲ POKALBIAI YRA ĮRAŠOMI, SĄRAŠAS

Padalinio pavadinimas	Pareigos	Pareigybių skaičius
Miesto koordinavimo skyrius
	Skyriaus vedėjas	1
	Vyr. specialistas	10
Bendrųjų reikalų skyrius

Aptarnavimo ir e. paslaugų poskyris	Poskyrio vedėjas	1
	Vyr. specialistas	7
VISO:		19

Asmens duomenų tvarkymo

Šiaulių miesto savivaldybės administracijoje taisyklių

5 priedas

ŠIAULIŲ MIESTO SAVIVALDYBĖS ADMINISTRACIJOS

^{(darbuotojo skyriaus pavadinimas, pareigos, vardas, pavardė)}

PRANEŠIMAS APIE DARBUOTOJO TELEFONINIŲ POKALBIŲ ĮRAŠYMĄ IR ĮRAŠŲ METADUOMENŲ TVARKYMĄ


	^(data)
	^(vieta)
Aš,		,

^{(vardas, pavardė)}

esu informuotas (-a), kad mano pokalbiai su interesantais yra įrašomi ir pokalbių įrašai bei įrašų metaduomenys (toliau – duomenys): 1) yra tvarkomi duomenų valdytojos – Šiaulių miesto savivaldybės administracijos (toliau – Valdytojas) siekiant užtikrinti skaidrumą ir kokybišką informacijos / konsultacijų teikimo telefonu procesą, susijusios su Administracijos veikla, teikimą telefonu; 2) tretiesiems asmenims gali būti teikiami tik esant iš anksto apibrėžtam ir teisėtam asmens duomenų tvarkymo tikslui, tik tokios apimties, kurios reikia šiam tikslui pasiekti, ir tik esant nors vienai iš Bendrojo duomenų apsaugos reglamento (2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo) (toliau – Reglamentas) 6 straipsnio 1 dalyje įtvirtintai teisėto tvarkymo sąlygai pagal duomenų gavėjo prašymą; 3) Valdytojo sprendimu gali būti pateikti ikiteisminio tyrimo įstaigai, prokurorui ar teismui dėl jų žinioje esančių administracinių, civilinių, baudžiamųjų bylų, kaip įrodymai ar kitais įstatymų nustatytais atvejais. Duomenų tvarkymo pagrindas – tvarkyti būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas. Duomenys bus saugomi 14 kalendorinių dienų.

Taip pat esu informuotas (-a), kad, pagal Reglamento 12–22 straipsniuose įtvirtintas asmens duomenų subjekto teises turiu teisę: 1) žinoti (būti informuotas) apie duomenų tvarkymą; 2) susipažinti su duomenimis ir kaip jie yra tvarkomi; 3) reikalauti sunaikinti duomenis arba sustabdyti duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant Reglamento ir kitų asmens duomenų tvarkymą reglamentuojančių teisės aktų nuostatų; 4) reikalauti ištaisyti netikslius ar neteisingus asmens duomenis; 5) apriboti asmens duomenų tvarkymą; 6) nesutikti su asmens duomenų tvarkymu; 7) į asmens duomenų perkeliamumą; 8) pateikti skundą Valstybinei duomenų apsaugos inspekcijai (A. Juozapavičiaus g. 6, LT-09310 Vilnius, tel. (8 5) 271 2804, 279 1445, el. p. ada@ada.lt, www.vdai.lrv.lt)ir pasikonsultuoti su Šiaulių miesto savivaldybės administracijos asmens duomenų apsaugos pareigūnu el. p. duomenuapsauga@siauliai.lt.

(parašas)

(vardas, pavardė)

Asmens duomenų tvarkymo

Šiaulių miesto savivaldybės administracijoje taisyklių

6 priedas

ŠIAULIŲ MIESTO SAVIVALDYBĖS ADMINISTRACIJOS

^{(darbuotojo skyriaus pavadinimas, pareigos, vardas, pavardė)}

INFORMAVIMAS APIE DARBUOTOJO ASMENS DUOMENŲ TVARKYMĄ

^(data)

Šiauliai

Aš,

informuotas (-a), kad mano asmens duomenys yra tvarkomi duomenų valdytojo – Šiaulių miesto savivaldybės administracijos (juridinio asmens kodas 188771865, buveinės adresas Vasario 16-osios g. 62, LT-76295 Šiauliai).

1. Administracijoje tvarkomi mano asmens duomenys – vardas, pavardė, asmens kodas, asmens socialinio draudimo numeris, adresas, telefono ryšio numeris, elektroninio pašto adresas, gyvenimo ir veiklos aprašymas, parašas, šeiminė padėtis, pilietybė, pareigos, duomenys apie priėmimą / perkėlimą / atleidimą iš pareigų, duomenys apie išsilavinimą ir kvalifikaciją, duomenys apie mokymą, duomenys apie atostogas, duomenys apie darbo užmokestį, išeitines išmokas, kompensacijas, pašalpas, informacija apie dirbtą darbo laiką, informacija apie skatinimus ir nuobaudas, informacija apie atliktus darbus ir užduotis, duomenys apie valstybės tarnautojo tarnybinės veiklos vertinimą, Lietuvos Respublikos piliečio paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, ypatingi asmens duomenys, susiję su sveikata, teistumu, dalyvavimu uždraustos organizacijos veikloje, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Šiaulių miesto savivaldybės administraciją įpareigoja įstatymai ir kiti teisės aktai.

2. Asmens duomenų tvarkymo tikslai:

2.1. darbo sutarčių sudarymo, vykdymo ir apskaitos;

2.2. Administracijos kaip darbdavio pareigų, nustatytų teisės aktuose, tinkamam vykdymui;

2.3. tinkamai komunikacijai su darbuotojais ne darbo metu palaikyti;

2.4. tinkamoms darbo sąlygoms užtikrinti.

3. Asmens duomenų tvarkymo teisinis pagrindas - Lietuvos Respublikos darbo kodeksas, Lietuvos Respublikos valstybės tarnybos įstatymas ir juos įgyvendinantys poįstatyminiai teisės aktai.

4. Nurodyti mano duomenys gauti iš Valstybės tarnautojų registro (taikoma Administracijos valstybės tarnautojams), Sodros ir kt. registrų.

5. Mano asmens duomenys gali būti perduoti:

5.1. duomenų tvarkytojams, kurie atlieka tam tikrus darbus ir teikia paslaugas (informacinių technologijų bendrovės, kurios duomenis tvarko, kad užtikrintų informacinių sistemų kūrimą, tobulinimą ir palaikymą; bendrovės, kurios užtikrina pranešimų klientams siuntimą, teikia apsaugos ir kitas paslaugas, įskaitant teisės, finansų, mokesčių, verslo valdymo, personalo administravimo, buhalterinės apskaitos paslaugas);

5.2. teismui, teisėsaugos įstaigoms ar valstybės institucijoms tiek, kiek tokį teikimą nustato teisės aktų reikalavimai (pvz.: antstoliams, teismams ir kt.);

5.3. kitiems fiziniams / juridiniams asmenims mano sutikimu, jei toks sutikimas gaunamas dėl konkretaus atvejo;

5.4. kita: Valstybės tarnybos departamentas, Sodra, teismas, Darbo ginčų komisija.

6. Sutinku / nesutinku, kad Administracijos renginių viešinimo tikslu:

(netinkamą išbraukti)

ð Būsiu fotografuojamas;

ð Būsiu filmuojamas.

7. Sutinku / nesutinku, kad fotografavimo ar filmavimo metu gauti asmens duomenys būtų

(netinkamą išbraukti)

skelbiami:

ð Administracijos patalpose;

ð Administracijos interneto svetainėje.

8. Turiu šias teises: teisę susipažinti su savo duomenimis, kurie tvarkomi Šiaulių miesto savivaldybės administracijoje, reikalauti ištaisyti neteisingus, neišsamius, netikslius mano asmens duomenis, reikalauti sustabdyti duomenų tvarkymo veiksmus bei reikalauti sunaikinti neteisėtai, nesąžiningai sukauptus mano asmens duomenis bei nesutikti (teisiškai pagrįstai), kad būtų tvarkomi mano asmens duomenys. Šias teises galiu įgyvendinti teisės aktų nustatyta tvarka. Informaciją apie asmens duomenų tvarkymą galiu rasti VDI interneto svetainėje.

9. Turiu teisę bet kada atšaukti sutikimą tvarkyti mano duomenis. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto asmens duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.

10. Mano asmens duomenys bus saugomi 50 m. laikotarpį (išskyrus asmens duomenis renkamus Administracijos renginių viešinimo tikslu). Šis terminas gali būti pratęstas, jei asmens duomenys yra naudojami arba gali būti naudojami kaip įrodymai ar informacijos šaltinis ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais įstatymų nustatytais atvejais. Tokiu atveju asmens duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.

11. Aš turiu teisę skųsti Administracijos veiksmus (neveikimą) Valstybinei duomenų apsaugos inspekcijai ir teismui teisės aktų nustatyta tvarka, taip pat skųsti teismui Valstybinės duomenų apsaugos inspekcijos veiksmus (neveikimą).

(parašas)

(vardas, pavardė)

Asmens duomenų tvarkymo

Šiaulių miesto savivaldybės administracijoje taisyklių

7 priedas

(Šiaulių miesto savivaldybės administracijos duomenų tvarkytojų registro forma)

ŠIAULIŲ MIESTO SAVIVALDYBĖS ADMINISTRACIJOS

DUOMENŲ TVARKYTOJŲ REGISTRAS

Eil. Nr.	Duomenų tvarkytojas	Sutarties su duomenų tvarkytoju sudarymo data, pobūdis	Perduotų asmens duomenų kategorijos ir duomenų subjektų kategorijos	Perduotų duomenų tvarkymo tikslas	Duomenų tvarkytojui duoti nurodymai (jei tokie buvo duoti)	Sutarties su duomenų tvarkytoju pasibaigimo data

_____________

Asmens duomenų tvarkymo

Šiaulių miesto savivaldybės administracijoje taisyklių

8 priedas

(Fotografavimo, filmavimo renginio metu informacinė forma) RENGINYS
FOTOGRAFUOJAMAS,
FILMUOJAMAS

Visuomenės informavimo tikslu Šiaulių miesto savivaldybės administracija (Vilniaus 16-osios g. 62, 76295 Šiauliai, tel. (8 41) 59 62 00, el. p. info@siauliai.lt) renginį fotografuoja ir (arba) filmuoja. Nuotraukos ar vaizdo medžiaga bus skelbiamos puslapyje www.siauliai.lt.

SVARBU. Nepageidaujant būti fotografuojamiems ir (arba) filmuojamiems arba nesutinkant su nuotraukų ir (arba) vaizdo medžiagos skelbimu, prašome apie tai informuoti renginio organizatorių arba fotografą.

Plačiau apie fotografavimą ir (arba) filmavimą galite kreiptis el. p. duomenuapsauga@siauliai.lt arba tel. 8 41 596 229.