lietuvos respublikos krašto apsaugos
ministras
ĮSAKYMAS
DĖL ASMENS DUOMENŲ TVARKYMO KRAŠTO APSAUGOS SISTEMOJE TAISYKLIŲ PATVIRTINIMO
2015 m. gruodžio 3 d. Nr. V-1253
Vilnius
Vadovaudamasis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 30 straipsnio 1 dalimi, Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“, ir Lietuvos Respublikos krašto apsaugos sistemos organizavimo ir karo tarnybos įstatymo 10 straipsnio 2 dalies 4 punktu ir 3 dalimi:
2. Pripažįstu netekusiu galios Lietuvos Respublikos krašto apsaugos ministro 2010 m. rugsėjo 23 d. įsakymą Nr. V-1006 „Dėl Asmens duomenų tvarkymo krašto apsaugos sistemoje taisyklių patvirtinimo“ su visais pakeitimais ir papildymais.
PATVIRTINTA
Lietuvos Respublikos krašto
apsaugos ministro
2015 m. gruodžio 3 d.
įsakymu Nr. V-1253
ASMENS DUOMENŲ TVARKYMO KRAŠTO APSAUGOS SISTEMOJE TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo krašto apsaugos sistemoje taisyklės (toliau – Taisyklės) reglamentuoja asmens duomenų tvarkymo ir apsaugos krašto apsaugos sistemoje (toliau – KAS) reikalavimus.
2. KAS asmens duomenys tvarkomi vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau – ADTAĮ), Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“ (toliau – Bendrieji reikalavimai).
3. Taisyklių privalo laikytis kariai, valstybės tarnautojai, žvalgybos pareigūnai ir darbuotojai, dirbantys pagal darbo sutartį, kurie yra įgalioti tvarkyti asmens duomenis (toliau – įgaliotieji asmenys).
II SKYRIUS
ASMENS DUOMENŲ VALDYTOJO, TVARKYTOJŲ IR ASMENŲ, ĮGALIOTŲ TVARKYTI ASMENS DUOMENIS, PAREIGOS
5. KAS tvarkomų asmens duomenų valdytoja yra Lietuvos Respublikos krašto apsaugos ministerija (toliau – duomenų valdytojas), juridinio asmens kodas 188602751, buveinės adresas 01121 Vilnius, Totorių g. 25, kuri:
5.2. užtikrina, kad asmens duomenys būtų tvarkomi laikantis ADTAĮ 3 straipsnyje numatytų asmens duomenų tvarkymo reikalavimų;
5.3. užtikrina ADTAĮ 30 straipsnyje nustatytų techninių ir organizacinių priemonių įgyvendinimą KAS;
5.4. užtikrina ADTAĮ numatytų duomenų subjekto teisių įgyvendinimą ir vykdo kitas ADTAĮ, Bendruosiuose reikalavimuose ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytas asmens duomenų valdytojo pareigas;
5.6. ne rečiau kaip kartą per 2 metus peržiūri Taisyklėse nustatytus reikalavimus ir, jei reikia, inicijuoja Taisyklių pakeitimus;
5.7. ne rečiau kaip kartą per 1 metus atlieka asmens duomenų tvarkymo rizikos vertinimą KAS, parengia ataskaitą ir prireikus imasi priemonių rizikai pašalinti arba sumažinti;
5.8. kontroliuoja, kad KAS asmens duomenų tvarkytojai vykdytų Taisyklių 6 punkte nustatytas pareigas;
5.9. organizuoja mokymus ir teikia konsultacijas KAS asmens duomenų tvarkytojams duomenų tvarkymo ir apsaugos klausimais;
6. Asmens duomenų tvarkytojai yra KAS institucijos (toliau – duomenų tvarkytojai), kurios privalo:
6.1. nustatyti (patikslinti) ir patvirtinti sąrašą pareigų, kurias einantys asmenys yra įgalioti tvarkyti asmens duomenis, ir prie kiekvieno pareigų pavadinimo, remiantis Taisyklių 2 priedu, nurodyti duomenų valdytojo nustatytą asmens duomenų tvarkymo tikslą;
6.3. užtikrinti, kad asmens duomenis tvarkytų tik teisės aktų nustatyta tvarka įgaliotieji asmenys (funkcija(-os) turi būtų nurodyta(-os) pareiginiuose nuostatuose (pareigybės aprašyme) arba asmuo įsakymu turi būti paskirtas atlikti nenuolatinio pobūdžio užduotį(-is), kuriai(-as) vykdyti reikia tvarkyti asmens duomenis);
6.4. užtikrinti, kad įgaliotieji asmenys susipažintų su Taisyklėmis ir pasirašytų Pasižadėjimą (Taisyklių 1 priedas), kuris saugomas asmens byloje visą tarnybos (darbo) laiką ir pasibaigus tarnybos (darbo) santykiams;
7. Įgaliotieji asmenys, tvarkydami asmens duomenis, privalo:
7.1. saugoti asmens duomenų paslaptį visą tarnybos (darbo) laiką ir pasibaigus tarnybos (darbo) santykiams, jei šie asmens duomenys neskirti skelbti viešai;
7.2. asmens duomenis tvarkyti tiksliai, jei reikia, juos nuolat atnaujinti, ištaisyti ar papildyti netikslius ar neišsamius asmens duomenis ir (ar) sustabdyti tokių asmens duomenų tvarkymą, išskyrus saugojimą;
7.3. duomenų subjektams informavus apie pasikeitusius Taisyklių 2 priede nurodytus jų asmens duomenis, nedelsiant ištaisyti ar sunaikinti asmens duomenis ir informuoti duomenų subjektą apie jo prašymu atliktus arba neatliktus veiksmus;
7.4. asmens duomenis tvarkyti tik tokios apimties, kuri būtina jiems tvarkyti ir vykdomai funkcijai atlikti. Tiksli asmens duomenų tvarkymo apimtis priklauso nuo tikslo ir yra apibrėžta Taisyklių 2 priede;
7.5. asmens duomenis tvarkyti taip, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo tvarkomi, vėliau šie duomenys privalo būti sunaikinti, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti saugomi (KAS sudaromų komisijų ir darbo grupių nariai, kiti asmenys, kurie, vykdydami funkcijas, turi susipažinti su asmens duomenimis, dokumentų kopijas ar išrašus, kuriuose yra nurodomi kokie nors asmens duomenys, turi sunaikinti, kai tik jie nebereikalingi tiems tikslams, dėl kurių buvo tvarkomi);
7.6. įgyvendinti teisės aktų, reglamentuojančių asmens duomenų apsaugą, nuostatas, numatančias, kaip asmens duomenis apsaugoti nuo neteisėto tvarkymo ar atskleidimo (įsakymus, prašymus, raštus, sutartis ir kitus dokumentus, jų kopijas ar išrašus, kuriuose yra asmens duomenų, taip pat asmens bylas, kompiuterines duomenų laikmenas su asmens duomenimis, tvarkyti administracinėje saugumo klasės zonoje ir KAS duomenų perdavimo tinklo kompiuteriuose);
III SKYRIUS
duomenų subjekto teisių įgyvendinimas
8. Šios Taisyklės ir kita informacija duomenų subjektams apie asmens duomenų tvarkymą skelbiama duomenų valdytojo interneto svetainėje www.kam.lt, informaciniuose stenduose ir lentelėse, įrengtose KAS duomenų valdytojo ir tvarkytojų patalpose ir teritorijose.
9. Duomenų valdytojas informaciją duomenų subjektui apie jo asmens duomenų tvarkymą pateikia neatlygintinai, tokiu būdu, kokiu subjektas ar jo atstovas kreipiasi, išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi arba kai įstatymai ir kiti teisės aktai apibrėžia tokių duomenų rinkimo ir teikimo tvarką bei duomenų gavėjus.
10. Duomenų subjektai, siekdami įgyvendinti ADTAĮ numatytas teises, duomenų valdytojui turi pateikti rašytinį prašymą asmeniškai, registruotu paštu ar elektroninių ryšių priemonėmis. Prašymas turi būti pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, gyvenamoji vieta, kontaktinė informacija, informacija apie tai, kokią teisę ir kokios apimties duomenų subjektas pageidauja įgyvendinti.
11. Duomenų subjektas, pateikdamas prašymą, privalo patvirtinti savo tapatybę:
11.1. pateikdamas prašymą asmens duomenis tvarkančiam įgaliotam asmeniui, turi pateikti asmens tapatybę patvirtinantį dokumentą;
11.2. pateikdamas prašymą registruotu paštu, kartu turi pateikti asmens tapatybę patvirtinančio dokumento kopiją, patvirtintą notaro, ar šio dokumento kopiją, patvirtintą kita teisės aktų nustatyta tvarka;
12. Gavęs duomenų subjekto prašymą gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti bent per paskutinius 1 metus, duomenų valdytojas arba atitinkamus asmens duomenis tvarkantis įgaliotasis asmuo ADTAĮ 25 straipsnyje nustatyta tvarka privalo atsakyti, ar su duomenų subjektu susiję asmens duomenys yra tvarkomi, ir pateikti duomenų subjektui prašomą informaciją.
13. Duomenų valdytojas arba atitinkamus asmens duomenis tvarkantis įgaliotasis asmuo, gavęs duomenų subjekto prašymą susipažinti su savo vaizdo duomenimis, pateikia duomenų subjektui prašomus vaizdo duomenis susipažinti, o duomenų subjekto rašytiniu prašymu – duomenų laikmeną su įrašytais jo vaizdo duomenimis. Duomenų valdytojas arba atitinkamus asmens duomenis tvarkantis įgaliotasis asmuo, įgyvendindamas šiame punkte numatytą duomenų subjekto teisę, privalo užtikrinti, kad nebus pažeista trečiųjų asmenų teisė į privatumą.
14. Gavęs duomenų subjekto kreipimąsi dėl neteisingų, neišsamių ar netikslių jo tvarkomų asmens duomenų, duomenų valdytojas arba šiuos duomenis tvarkantis įgaliotasis asmuo nedelsdamas patikrina tvarkomus asmens duomenis ir duomenų subjekto rašytiniu prašymu ištaiso neteisingus, neišsamius, netikslius asmens duomenis ir (arba) sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.
15. Gavęs duomenų subjekto kreipimąsi dėl neteisėtai, nesąžiningai tvarkomų jo asmens duomenų, duomenų valdytojas arba šiuos duomenis tvarkantis įgaliotasis asmuo patikrina tvarkomų asmens duomenų tvarkymo teisėtumą, sąžiningumą ir duomenų subjekto rašytiniu prašymu sunaikina neteisėtai ir nesąžiningai sukauptus asmens duomenis ar ADTAĮ 26 straipsnyje nustatyta tvarka sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.
16. Duomenų subjektas turi teisę nesutikti, kad būtų tvarkomi jo asmens duomenys, kai šie duomenys yra tvarkomi ADTAĮ 5 straipsnio 1 dalies 5 ir 6 punktuose nustatytais atvejais. Tokiu atveju duomenų valdytojas nedelsdamas nutraukia asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus, ir apie tai informuoja duomenų gavėjus. Šiame punkte nurodytas duomenų subjekto nesutikimas turi būti:
16.1. išreikštas rašytine forma ir pateiktas duomenų valdytojui asmeniškai, paštu ar elektroninių ryšių priemonėmis;
16.2. išreikštas prieš atliekant asmens duomenų tvarkymo veiksmus, bet ne vėliau kaip per 30 kalendorinių dienų nuo dienos, kai duomenų valdytojas supažindino duomenų subjektą su jo teise nesutikti, kad būtų tvarkomi jo asmens duomenys;
17. Duomenų valdytojas duomenų subjekto prašymu praneša duomenų subjektui apie jo asmens duomenų tvarkymo veiksmų nutraukimą arba atsisakymą nutraukti duomenų tvarkymo veiksmus, nurodydamas tokio sprendimo priežastį.
18. Duomenų subjektas turi teisę ADTAĮ numatytas duomenų subjekto teises įgyvendinti pats arba per įgaliotą atstovą. Jeigu atstovaujamo duomenų subjekto vardu į duomenų valdytoją kreipiasi duomenų subjekto atstovas, jis savo prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, kontaktinius duomenis, atstovaujamo asmens vardą, pavardę, gyvenamąją vietą, informaciją apie tai, kokią duomenų subjekto teisę ir kokios apimties pageidaujama įgyvendinti, ir pridėti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą notaro ar kita teisės aktų nustatyta tvarka. Atstovo pateiktas prašymas turi atitikti Taisyklių 10 ir 11 punktų reikalavimus.
19. Duomenų valdytojas arba jo įgaliotasis asmuo apie Taisyklių 14–16 punktuose nurodytais atvejais atliktą ar neatliktą asmens duomenų ištaisymą, sunaikinimą ar asmens duomenų tvarkymo veiksmų sustabdymą privalo ne vėliau kaip per 5 darbo dienas informuoti duomenų subjektą.
20. Duomenų valdytojas duomenų subjekto prašymo, kuris pateiktas nesilaikant Taisyklių 10 ir 11 punktuose numatytų reikalavimų, nenagrinėja. Apie atsisakymo nagrinėti prašymą motyvus duomenų valdytojas informuoja prašymą pateikusį asmenį.
21. Duomenų subjekto prašymą įgyvendinti jo, kaip duomenų subjekto, teises duomenų valdytojas išnagrinėja ir atsakymą pateikia ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos. Atsakymas duomenų subjektui pateikiamas valstybine kalba duomenų subjekto pasirinktu būdu: paštu, asmeniškai ar elektroninių ryšių priemonėmis.
22. Duomenų valdytojo atsisakymas vykdyti duomenų subjekto prašymą turi būti motyvuotas ir atitikti Taisyklių 21 punkte nurodytus reikalavimus.
IV SKYRIUS
ASMENS DUOMENŲ TVARKYMAS INFORMACINĖSE SISTEMOSE
24. Asmens duomenis automatizuotai tvarkyti leidžiama:
24.1. krašto apsaugos sistemos duomenų perdavimo tinkle (DPT), užtikrinant ne žemesnį kaip antrą asmens duomenų saugumo lygį;
24.2. krašto apsaugos sistemos riboto naudojimo informacinėje sistemoje (RNIS), užtikrinant trečią asmens duomenų saugumo lygį;
24.3. Lietuvos Respublikos karo prievolininkų registre (KPR), užtikrinant trečią asmens duomenų saugumo lygį;
24.4. dokumentų valdymo informacinė sistemoje (DokVIS), užtikrinant trečią asmens duomenų saugumo lygį;
25. Šių taisyklių 24 punkte nurodytų registrų, informacinių sistemų ir programų valdytojai atsako už organizacinių ir techninių asmens duomenų saugumo priemonių nustatymą, atsižvelgiant į Bendrųjų reikalavimų nuostatas, jų valdomų registrų, informacinių sistemų ir programų nuostatuose, duomenų saugos nuostatuose ir (ar) kituose duomenų saugą reglamentuojančiuose dokumentuose, ir už šių nuostatų vykdymą.
V SKYRIUS
VAIZDO STEBĖJIMAS
26. Siekiant užtikrinti KAS institucijoms ar jų padaliniams priklausančių patalpų ir teritorijos apsaugą, gali būti stebimas vaizdas. Vaizdą stebėti galima tik tada, kai kiti būdai ar priemonės nėra pakankami ir (arba) tinkami siekiant apsaugoti patalpas ir (arba) teritoriją ir kai duomenų subjekto interesai nėra svarbesni.
27. Vaizdą stebėti ir vaizdo stebėjimo duomenis tvarkyti leidžiama tik atitinkamiems Taisyklių 2 priede nurodytiems asmens duomenų tvarkytojams.
28. Apie tai, kad vaizdas stebimas, duomenų subjektai informuojami informaciniais užrašais, kurie išdėstomi prieš įėjimą į teritoriją ar patalpą. Užrašuose nurodoma, kad teritorija ar patalpa stebima vaizdo stebėjimo priemonėmis, taip pat nurodomas duomenų valdytojo ir duomenų tvarkytojo pavadinimas, juridinio asmens kodas, adresas ir telefono ryšio numeris.
29. Stebėti darbo vietos vaizdą leidžiama tik tada, kai būtina užtikrinti įslaptintos informacijos apsaugą ir kiti būdai ar priemonės nėra pakankami ir (arba) tinkami šiam tikslui pasiekti. Asmenys apie jų darbo vietos vaizdo stebėjimą informuojami pasirašytinai. Informavimo forma (Taisyklių 3 priedas) saugoma asmens byloje visą tarnybos (darbo) laikotarpį.
30. Vaizdo stebėjimo priemonės įrengiamos taip, kad būtų stebima tik konkreti patalpa, teritorija ar jos prieigos, kurias siekiama apsaugoti.
31. Vaizdo stebėjimo duomenys saugomi nuo 30 iki 45 kalendorinių dienų. Pasibaigus šiam terminui, vaizdo stebėjimo duomenys sunaikinami ištrinant vaizdo laikmenas.