lietuvos standartizacijos departamento
direktorius
ĮSAKYMAS
DĖL ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO TVARKOS APRAŠO PATVIRTINIMO
2018 m. spalio 29 d. Nr. V-83
Vilnius
Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu:
1. T v i r t i n u Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo tvarkos aprašą (pridedama).
2. Į p a r e i g o j u Teisės ir personalo skyrių šį įsakymą teisės aktų nustatyta tvarka paskelbti Teisės aktų registre.
Šis įsakymas gali būti skundžiamas Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka ir terminais.
PATVIRTINTA
Lietuvos standartizacijos departamento
direktoriaus 2018 m. spalio 29 d.
įsakymu Nr. V-83
ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ
ĮGYVENDINIMO TVARKOS APRAŠas
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo tvarkos aprašo (toliau – Aprašas) tikslas – nustatyti duomenų subjektų teisių įgyvendinimo Lietuvos standartizacijos departamente (toliau – Departamentas) tvarką siekiant įgyvendinti atskaitomybės principą.
2. Įgyvendinant duomenų subjekto teises vadovaujamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.
II SKYRIUS
TVARKOMI DUOMENŲ SUBJEKTŲ ASMENS DUOMENYS
5. Departamente tvarkomi tokių duomenų subjektų grupių asmens duomenys tokiais asmens duomenų tvarkymo tikslais:
5.1. fizinių asmenų, su Departamentu sudariusių prekių, paslaugų, darbų viešojo pirkimo, savanoriškos veiklos ar kitas sutartis, asmens duomenys (vardas, pavardė, asmens kodas, adresas, individualios veiklos pažymos numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, telefono ryšio, elektroninio pašto adresas, atsiskaitomosios sąskaitos numeris, parašas), o juridinių asmenų – jų darbuotojų, nurodytų sutartyse, įgaliojimuose asmens duomenys tvarkomi (vardas, pavardė, telefono ryšio, elektroninio pašto adresas) vidaus administravimo (sutarčių vykdymo ir atsiskaitymo, tiesioginių funkcijų vykdymo) tikslais;
5.2. fizinių asmenų, kurie naudojasi Departamento teikiamomis paslaugomis asmens duomenys (vardas, pavardė, asmens kodas, adresas, individualios veiklos pažymos numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, telefono ryšio, elektroninio pašto adresas) vidaus administravimo (sutarčių vykdymo, tiesioginės rinkodaros) tikslais;
5.3. asmenų, pateikusių Departamentui skundą, prašymą ar pranešimą, asmens duomenys (vardas, pavardė, asmens kodas, adresas, telefono ryšio, elektroninio pašto adresas, parašas, skundo, prašymo ar pranešimo data ir numeris (registravimo Departamente data ir numeris), skunde, prašyme ar pranešime nurodyta informacija (įskaitant ir ypatingus asmens duomenis), skundo, prašymo ar pranešimo nagrinėjimo rezultatas, Departamento atsakymo data ir numeris, skundo, prašymo ar pranešimo nagrinėjimo metu gauta informacija) tvarkomi skundų, prašymų ar pranešimų nagrinėjimo, vidaus administravimo (raštvedybos tvarkymo) tikslais;
5.4. Departamento esamų ir buvusių valstybės tarnautojų ir darbuotojų asmens duomenys (vardas, pavardė, asmens kodas, asmens socialinio draudimo numeris, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, gyvenimo ir veiklos aprašymas, šeiminė padėtis, pareigos, duomenys apie priėmimą (perkėlimą) į pareigas, atleidimą iš pareigų, duomenys apie išsilavinimą ir kvalifikaciją, duomenys apie mokymą, duomenys apie atostogas, duomenys apie darbo užmokestį, išeitines išmokas, kompensacijas, pašalpas, informacija apie dirbtą darbo laiką, informacija apie skatinimus ir nuobaudas, informacija apie atliktus darbus ir užduotis, duomenys apie valstybės tarnautojo tarnybinės veiklos vertinimą, viešų ir privačių interesų deklaravimo duomenys, Lietuvos Respublikos piliečio paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, ypatingi asmens duomenys, susiję su sveikata, teistumu, dalyvavimu uždraustos organizacijos veikloje, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Departamentą įpareigoja įstatymai ir kiti teisės aktai) tvarkomi vidaus administravimo (personalo valdymo, raštvedybos tvarkymo, materialinių ir finansinių išteklių naudojimo, vidinės komunikacijos ir Departamento veiklos viešinimo) tikslais;
5.5. pretendentų į Departamento valstybės tarnautojus ir darbuotojus asmens duomenys (vardas, pavardė, asmens kodas, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, pareigos, į kurias pretenduojama, gyvenimo ir veiklos aprašymas, duomenys apie išsilavinimą ir kvalifikaciją, ypatingi asmens duomenys, susiję su teistumu, dalyvavimu uždraustos organizacijos veikloje, pokalbio su pretendentu į valstybės tarnautojo pareigas skaitmeninis garso įrašas, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Departamentą įpareigoja įstatymai ir kiti teisės aktai) tvarkomi vidaus administravimo (personalo valdymo, raštvedybos tvarkymo) tikslais;
5.6. asmenų iš kitų įstaigų, įmonių, organizacijų, visuomenės atstovų, besilankančių Departamente, asmens duomenys (vardas, pavardė, pareigos, telefono ryšio numeris, elektroninio pašto adresas, informacija apie atliktą veiklą, vaizdas) tvarkomi gerosios praktikos pasidalijimo, komunikacijos, Departamento veiklos viešinimo tikslais.
6. Departamentas tvarko duomenų tvarkymo veiklos įrašus, kuriuose pateikiama visa informacija apie tvarkomus asmens duomenis, nurodytus Reglamento 30 straipsnyje.
7. Departamentas asmens duomenis tvarko vadovaudamasis Reglamento 6 straipsnio 1 dalies b, c ir e papunkčiuose nurodytais pagrindais arba asmens duomenų subjekto sutikimu.
III SKYRIUS
ASMENS DUOMENŲ TVARKYMAS IR SAUGOJIMAS
10. Prieiga prie asmens duomenų suteikiama tik tiems Departamento darbuotojams, kuriems tokie duomenys yra reikalingi jų funkcijoms ir pavedimams atlikti.
11. Su asmens duomenimis galima atlikti tik tuos veiksmus, kuriuos atlikti Departamento darbuotojams yra suteiktos teisės.
12. Prieigos prie asmens duomenų, esančių Departamento informacinėse sistemose, Departamento darbuotojams suteikiamos, keičiamos ir naikinamos vadovaujantis Departamento direktoriaus įsakymu.
13. Departamento darbuotojai, kuriems yra suteikta teisė tvarkyti asmens duomenis, privalo laikytis Reglamente nurodytų asmens duomenų tvarkymo principų ir reikalavimų, laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino atlikdami savo funkcijas ir pavedimus.
14. Departamentas, saugodamas asmens duomenis, įgyvendina ir užtikrina organizacines ir technines priemones, skirtas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.
15. Asmens duomenys saugomi ne ilgiau, nei to reikalaujama duomenų tvarkymo tikslais. Asmens duomenų saugojimo terminai nustatomi Departamento direktoriaus patvirtintame kasmetiniame Departamento dokumentacijos plane. Kai asmens duomenys tvarkymo tikslais tampa nebereikalingi, jie sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti saugoti į atitinkamą archyvą.
IV SKYRIUS
DUOMENŲ SUBJEKTŲ TEISĖS
16. Duomenų subjektas turi šias teises:
16.1. teisę susipažinti su Departamente tvarkomais asmens duomenimis ir gauti šią informaciją:
16.1.3. duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems per paskutinius vienus metus buvo ar yra teikiami asmens duomenys, visų pirma, duomenų gavėjai trečiosiose valstybėse arba tarptautinės organizacijos;
16.2. teisę reikalauti, kad būtų ištaisyti netikslūs su asmeniu susiję duomenys ir (arba) papildyti neišsamūs asmens duomenys;
16.3. teisę reikalauti, kad Departamentas nedelsdamas ištrintų su juo susijusius asmens duomenis (teisė būti pamirštam), esant bent vienai iš šių sąlygų:
16.3.1. asmens duomenys nebereikalingi tikslams, kuriems jie buvo renkami arba kitaip tvarkomi, pasiekti;
16.4. teisę reikalauti, kad Departamentas apribotų duomenų tvarkymą, esant bent vienai iš šių sąlygų:
16.4.1. asmens duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį duomenų valdytojas gali patikrinti asmens duomenų tikslumą;
16.4.2. asmens duomenų tvarkymas yra neteisėtas, kai duomenų subjektas nesutinka, kad duomenys būtų ištrinti, ir prašo apriboti jų naudojimą;
16.5. teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui susisteminto, įprastai naudojamo ir kompiuterio skaitomo formato, ir teisę persiųsti tuos duomenis kitam duomenų valdytojui (teisė į duomenų perkeliamumą), o Departamentas, kuriam tokie asmens duomenys buvo pateikti, turi nesudaryti kliūčių, kai duomenų tvarkymas grindžiamas sutikimu arba duomenys yra tvarkomi automatizuotomis priemonėmis. Naudodamasis šiame punkte nurodyta teise, duomenų subjektas turi teisę prašyti, kad Departamentas asmens duomenis tiesiogiai persiųstų kitam duomenų valdytojui, kai tai techniškai įmanoma.
17. Duomenų subjektas konkrečiu su juo susijusiu atveju turi teisę bet kuriuo metu nesutikti, kad jo asmens duomenys būtų tvarkomi, siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas arba tvarkyti būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, įskaitant profiliavimą, remiantis tomis nuostatomis.
V SKYRIUS
DUOMENŲ TEIKIMAS TRETIESIEMS ASMENIMS
19. Asmens duomenys tretiesiems asmenims teikiami tik įstatymų ir kitų teisės aktų nustatytais atvejais ir tvarka:
19.1. Departamento darbuotojų asmens duomenys: socialinio draudimo mokesčio administravimo tikslu – Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos; mokesčių administravimo tikslu – Valstybinei mokesčių inspekcijai prie Lietuvos Respublikos finansų ministerijos, valstybės tarnybos valdymo tikslu – Valstybės tarnybos departamentui; personalo administravimo tikslu – Nacionaliniam bendrųjų funkcijų centrui.
VI SKYRIUS
PRAŠYMO DĖL DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO PATEIKIMAS
20. Duomenų subjektai, siekdami įgyvendinti savo teises, Departamentui turi pateikti rašytinį prašymą asmeniškai, paštu ar per pasiuntinį arba elektroninėmis ryšių priemonėmis.
21. Prašymas turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyta duomenų subjekto vardas, pavardė, gyvenamoji vieta, duomenys ryšiui palaikyti ir informacija apie tai, kokią iš Tvarkos aprašo IV skyriuje nurodytų teisių ir kokios apimties duomenis subjektas pageidauja įgyvendinti.
22. Pateikdamas prašymą, duomenų subjektas privalo patvirtinti savo tapatybę:
22.1. pateikdamas prašymą Departamento darbuotojui, registruojančiam prašymą, duomenų subjektas turi pateikti asmens tapatybę patvirtinantį dokumentą;
22.2. pateikdamas prašymą paštu ar per pasiuntinį, kartu turi pateikti asmens tapatybę patvirtinančio dokumento kopiją, patvirtintą notaro, ar šio dokumento kopiją, patvirtintą kita teisės aktų nustatyta tvarka;
23. Duomenų subjektas savo teises Departamente gali įgyvendinti pats arba per atstovą. Jei atstovaujamo duomenų subjekto vardu į Departamentą kreipiasi asmens atstovas, jis savo prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, duomenis ryšiui palaikyti, taip pat atstovaujamo asmens vardą, pavardę, gyvenamąją vietą, informaciją apie tai, kokias Tvarkos aprašo IV skyriuje nurodytas duomenų subjekto teises ir kokios apimties duomenis pageidaujama įgyvendinti, ir pridėti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą teisės aktų nustatyta tvarka.
VII SKYRIUS
PRAŠYMO DĖL DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO NAGRINĖJIMAS
24. Departamentas duomenų subjekto prašymo, kuris pateiktas nesilaikant Tvarkos aprašo 20–23 punktuose nustatytų reikalavimų, nenagrinėja.
25. Departamentas ne vėliau kaip per 30 kalendorinių dienų nuo prašymo gavimo duomenų subjektui ar jo atstovui pateikia informaciją apie veiksmus, kurių imtasi gavus prašymą. Tas laikotarpis prireikus gali būti pratęstas Departamento direktoriaus dar 60 kalendorinių dienų, atsižvelgiant į prašymo sudėtingumą ir jų skaičių. Departamentas per 30 kalendorinių dienų nuo prašymo gavimo informuoja duomenų subjektą ar jo atstovą apie tokį pratęsimą ir pateikia vėlavimo priežastis. Departamentas atsakymą duomenų subjektui ar jo atstovui pateikia valstybine kalba duomenų subjekto pasirinktu būdu: registruotu paštu, įteikiant asmeniškai atvykus į Departamentą arba elektroninėmis ryšio priemonėmis pateikiant elektroninį dokumentą, pasirašytą saugiu elektroniniu parašu. Departamentas, dėl objektyvių priežasčių negalėdamas pateikti atsakymo duomenų subjektui ar jo atstovui jo pasirinktu būdu, atsakymą pateikia registruota korespondencijos siunta.
26. Jei duomenų valdytojas nenagrinėja duomenų subjekto prašymo, jis nedelsdamas, tačiau ne vėliau kaip per 30 kalendorinių dienų nuo prašymo gavimo, informuoja duomenų subjektą ar jo atstovą apie nenagrinėjimo priežastis ir apie galimybę pateikti skundą priežiūros institucijai ir pasinaudoti kita teisių gynimo priemone.
27. Duomenų subjekto teisės Departamente įgyvendinamos neatlygintinai vieną kartą per kalendorinius metus.
28. Departamentas, atsisakydamas vykdyti duomenų subjekto prašymą įgyvendinti jo, kaip duomenų subjekto, teises, pateikia jam tokio atsisakymo motyvus.
29. Departamento atsisakymas įgyvendinti duomenų subjekto teises gali būti skundžiamas įstatymų nustatyta tvarka.
VIII SKYRIUS
DUOMENŲ SAUGOS PAŽEIDIMŲ VALDYMAS
31. Duomenų saugos pavojaus duomenų subjekto teisėms ir laisvėms tikimybė ir mastas nustatomi atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus. Remiantis objektyviu įvertinimu, nustatoma, ar duomenų tvarkymo operacijos yra susijusios su pavojumi arba dideliu pavojumi.
32. Departamento darbuotojas, Departamento informacinių sistemų naudotojas, sužinojęs apie galimą asmens duomenų, tvarkomų automatizuotomis priemonėmis, saugos pažeidimą, nedelsdamas praneša Departamento informacinių sistemų saugos įgaliotiniui, o apie galimą asmens duomenų, tvarkomų ne automatizuotomis priemonėmis, saugos pažeidimą praneša Duomenų apsaugos pareigūnui.
33.Departamento direktorius, gavęs atsakingų asmenų, nurodytų Tvarkos aprašo 32 punkte, išvadą dėl nustatyto asmens duomenų saugos pažeidimo, kurioje nurodyta, kad asmens duomenų saugos pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms, apie jį neinformuoja priežiūros institucijos ir asmens duomenų subjektų.
34. Departamento direktorius, gavęs atsakingų asmenų, nurodytų Tvarkos aprašo 32 punkte, išvadą dėl asmens duomenų saugos pažeidimo, kurioje nurodyta, kad duomenų saugos pažeidimas kelia pavojų fizinių asmenų teisėms ir laisvėms, apie tai praneša priežiūros institucijai Reglamento 33 straipsnio 1 dalyje nustatytais terminais.
Aprašo 1 priedas
(Prašymo įgyvendinti duomenų subjekto teisę (-es) forma)
(Duomenų subjekto vardas, pavardė[1])
(Adresas ir (ar) kiti kontaktiniai duomenys (telefono ryšio numeris ar el. pašto adresas (nurodoma pareiškėjui pageidaujant)
(Atstovas ir atstovavimo pagrindas, jeigu prašymą pateikia duomenų subjekto atstovas)[2]
Lietuvos standartizacijos departamentas
PRAŠYMAS
ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISĘ (-ES)
____________
(Data)
________
(Vieta)
1. Prašau įgyvendinti šią (šias) duomenų subjekto teisę (-es):
(Tinkamą langelį pažymėkite kryželiu):
Teisę gauti informaciją apie duomenų tvarkymą
Teisę susipažinti su duomenimis
Teisę reikalauti ištaisyti duomenis
Teisę reikalauti ištrinti duomenis („teisė būti pamirštam“)
Teisę apriboti duomenų tvarkymą
Teisę į duomenų perkeliamumą
Teisę nesutikti su duomenų tvarkymu
Teisę reikalauti, kad nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas
2. Nurodykite, ko konkrečiai prašote ir pateikite kiek įmanoma daugiau informacijos, kuri leistų tinkamai įgyvendinti Jūsų teisę (-es) (pavyzdžiui, jeigu norite gauti asmens duomenų kopiją, nurodykite, kokių konkrečiai duomenų (pavyzdžiui, 2018 m. x mėn. x d. elektroninio pašto laiško kopiją, 2018 m. x mėn. x d. vaizdo įrašą (x val. x min. – x val. x min.) kopiją pageidaujate gauti; jeigu norite ištaisyti duomenis, nurodykite, kokie konkrečiai Jūsų asmens duomenys yra netikslūs; jeigu nesutinkate, kad būtų tvarkomi Jūsų asmens duomenys, tuomet nurodykite argumentus, kuriais grindžiate savo nesutikimą, nurodykite, dėl kokio konkrečiai duomenų tvarkymo nesutinkate; jeigu kreipiatės dėl teisės į duomenų perkeliamumo įgyvendinimo, prašome nurodyti, kokių duomenų atžvilgiu šią teisę pageidaujate įgyvendinti, ar pageidaujate juos perkelti į savo įrenginį ar kitam duomenų valdytojui, jeigu pastarajam, tuomet nurodykite, kokiam):
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.
PRIDEDAMA[3]:
1. _________________________________________________________________________.
2. _________________________________________________________________________.
3. _________________________________________________________________________.
4. _________________________________________________________________________.
_______________ _____________________________
(Parašas) (Vardas, pavardė)