PATVIRTINTA

Kėdainių rajono savivaldybės administracijos

direktoriaus 2023 m. vasario 7 d. įsakymu

Nr. AD-1-154

KĖDAINIŲ RAJONO SAVIVALDYBĖS ADMINISTRACIJOS

ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Kėdainių rajono savivaldybės administracijos asmens duomenų tvarkymo taisyklės (toliau – Taisyklės) reglamentuoja Kėdainių rajono savivaldybės administracijos (toliau – Administracija) asmens duomenų tvarkymo ir apsaugos reikalavimus, asmens duomenų tvarkymo principus, įtvirtina organizacines ir technines duomenų apsaugos priemones, asmens duomenų saugumo pažeidimų valdymo, poveikio duomenų apsaugai atlikimo tvarką.

2. Administracijos informacinėse sistemose, kompiuterinėse ir popierinėse laikmenose, neautomatiniu būdu susistemintose rinkmenose ir (arba) automatiniu būdu tvarkomi duomenų subjektų asmens duomenys, kurių tvarkymo tikslai, pagrindas ir tvarkomų asmens duomenų apimtys numatyti Lietuvos Respublikos vietos savivaldos įstatyme, Lietuvos Respublikos civiliniame kodekse, Lietuvos Respublikos darbo kodekse, Lietuvos Respublikos administracinių nusižengimų kodekse, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, teisės aktuose, reglamentuojančiuose vietos savivaldos funkcijas ir Administracijos duomenų tvarkymo veiklos įrašuose bei kituose teisės aktuose.

3. Asmens duomenų valdytoja ir tvarkytoja – Kėdainių rajono savivaldybės administracija, juridinio asmens kodas 188768545, buveinės adresas Kėdainiai, J. Basanavičiaus g. 36. Administracijos duomenų tvarkytojais gali būti ir kiti fiziniai ar juridiniai asmenys, kuriems šių duomenų tvarkymas pavedamas duomenų tvarkymo sutartimi ar kitu dokumentu. Administracija asmens duomenis tvarko šiais tikslais:

3.1. Administracijos funkcijų, paslaugų, įsipareigojimų ir sutarčių vykdymo tikslu, arba siekiant imtis veiksmų prieš sudarant sutartį;

3.2. kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;

3.3. siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų;

3.4. siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas.

4. Asmens duomenys, atsižvelgiant į konkrečias situacijas, Administracijoje gali būti tvarkomi vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR) 6 straipsnio 1 dalies a, b, c, d, e punktais.

5. Administracija, vykdydama asmens duomenų tvarkymą, vadovaujasi BDAR, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose, susijusiuose su asmens duomenų tvarkymu ir apsauga, įtvirtintais asmens duomenų tvarkymo reikalavimais.

II SKYRIUS

PAGRINDINĖS SĄVOKOS

6. Šiose Taisyklėse vartojamos sąvokos:

6.1. asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima tiesiogiai arba netiesiogiai nustatyti visų pirma pagal identifikatorių, pvz., vardą ir pavardę, asmens kodą, buvimo vietos duomenis ir interneto identifikatorių, arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

6.2. darbuotojai – Administracijos valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis;

6.3. duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne;

6.4. duomenų subjektas – darbuotojai, interesantai ir kiti fiziniai asmenys, kurių duomenis tvarko Kėdainių rajono savivaldybės administracija;

6.5. duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

6.6. duomenų tvarkytojas – subjektai, kurie tvarko Kėdainių rajono savivaldybės administracijos valdomus asmens duomenis pagal Kėdainių rajono savivaldybės administracijos nurodymus ir vadovaujasi sudarytomis paslaugų sutartimis, bei kiti subjektai, turintys prieigą prie Administracijos duomenų;

6.7. duomenų valdytojas – Kėdainių rajono savivaldybės administracija, kuri, tvarkydama interesantų, darbuotojų, kitų fizinių asmenų duomenis, nustato tų duomenų naudojimo būdus, priemones ir tikslus;

7. Kitos Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos BDAR ir kituose teisės aktuose.

III SKYRIUS

ASMENS DUOMENŲ TVARKYMO PRINCIPAI

8. Administracija tvarkydama asmens duomenis vadovaujasi BDAR įtvirtintais, su asmens duomenų tvarkymu susijusiais principais:

8.1. teisingumo ir sąžiningumo principu – asmens duomenys duomenų subjekto atžvilgiu turi būti tvarkomi teisėtu ir sąžiningu būdu;

8.2. skaidrumo principu – informacija ir pranešimai, susiję su tų asmens duomenų tvarkymu, turi būti lengvai prieinami ir suprantami, pateikiami aiškia ir paprasta kalba;

8.3. tikslo apribojimo principu – asmens duomenys turi būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu;

8.4. duomenų kiekio mažinimo principu – asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi;

8.5. tikslumo principu – asmens duomenys turi būti tikslūs ir prireikus atnaujinami;

8.6. saugojimo trukmės apribojimo principu – asmens duomenys turi būti laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;

8.7. vientisumo ir konfidencialumo principu – asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;

8.8. atskaitomybės principu – Administracija yra atsakinga už tai, kad būtų užtikrintas tinkamas asmens duomenų saugumas, asmens duomenys būtų tvarkomi teisėtai, būtų užtikrinamos duomenų subjektų teisės.

IV SKYRIUS

ASMENS DUOMENŲ TVARKYMAS IR SAUGOJIMAS

9. Asmens duomenys Administracijoje tvarkomi automatiniu ir neautomatiniu būdu.

10. Prieiga prie asmens duomenų suteikiama tik tiems Administracijos darbuotojams, kuriems tokie duomenys yra reikalingi jų funkcijoms ir pavedimams atlikti.

11. Su asmens duomenimis galima atlikti tik tuos veiksmus, kuriuos atlikti Administracijos darbuotojams yra suteiktos teisės.

12. Dokumentai, kuriuose yra asmens duomenys, tvarkomi, įtraukiami į apskaitą, viešinami ir saugomi vadovaujantis dokumentų valdymą reglamentuojančiais teisės aktais.

13. Administracijos padaliniai, įgyvendindami savarankiškąsias ir valstybines (valstybės perduotas savivaldybėms) funkcijas, asmens duomenis pagal kompetenciją tvarko teikiamoms administracinėms funkcijoms vykdyti ir viešosioms paslaugoms teikti, vidaus administravimo funkcijoms atlikti, Administracijos teikiamų paslaugų kokybei užtikrinti ir kitais teisėtais tikslais, numatytais teisės aktuose.

14. Savivaldybės administracijoje neautomatiniu būdu susistemintose rinkmenose ir (ar) automatiniu būdu tvarkomi šie duomenų subjektų asmens duomenys:

14.1. Savivaldybės administracijos informacinėse sistemose, kompiuterinėse ir popierinėse laikmenose esantys duomenų subjektų asmens duomenys, kurių tvarkymo tikslai, pagrindas ir baigtinis tvarkomų asmens duomenų sąrašas numatyti Lietuvos Respublikos teisės aktuose, reglamentuojančiuose vietos savivaldos funkcijas bei kituose teisės aktuose;

14.2. buvusių ir esamų Savivaldybės administracijos darbuotojų, praktikantų asmens duomenys (vardas, pavardė, asmens kodas, gimimo data, asmens socialinio draudimo numeris, adresas, telefono ryšio numeris, elektroninio pašto adresas, gyvenimo ir veiklos aprašymas, parašas, šeiminė padėtis, pareigos, duomenys apie priėmimą, perkėlimą, atleidimą iš pareigų, duomenys apie išsilavinimą ir kvalifikaciją, duomenys apie atostogas, duomenys apie darbo užmokestį, išeitines išmokas, kompensacijas, pašalpas, informacija apie dirbtą darbo laiką, informacija apie skatinimus ir nuobaudas, Lietuvos Respublikos piliečio paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, ypatingi asmens duomenys, susiję su sveikata, teistumu, dalyvavimu uždraustos organizacijos veikloje, kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Administraciją įpareigoja įstatymai ir kiti teisės aktai), kurie tvarkomi vidaus administravimo (struktūros, dokumentų, personalo, raštvedybos tvarkymo, materialinių ir finansinių išteklių valdymo) tikslu;

14.3. pretendentų į Savivaldybės administracijos darbuotojus asmens duomenys (vardas, pavardė, asmens kodas, gimimo data, adresas, telefono ryšio numeris, elektroninio pašto adresas, pareigos, į kurias pretenduojama, gyvenimo aprašymas, parašas, mokamos kalbos, duomenys apie išsilavinimą ir kvalifikaciją, ypatingi asmens duomenys, susiję su teistumu, dalyvavimu uždraustos organizacijos veikloje, pokalbio su pretendentu skaitmeninis garso įrašas, kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Administraciją įpareigoja įstatymai ir kiti teisės aktai), kurie tvarkomi vidaus administravimo (struktūros, dokumentų, personalo, raštvedybos tvarkymo, materialinių ir finansinių išteklių valdymo) tikslu;

14.4. duomenų subjektų vaizdo stebėjimo duomenys (į vaizdo kamerų stebėjimo lauką patekusių duomenų subjektų vaizdo duomenys);

14.5. Administracijos elektroninių paslaugų portalų naudotojų asmens duomenys (amžius, asmens kodas, elektroninio pašto adresas, telefono numeris, vardas, pavardė, gimimo metai, gyvenamoji vieta (adresas), statistiniai duomenys apie naudojimosi Savivaldybės administracijos elektroninėmis paslaugomis intensyvumą);

14.6. duomenų subjektų ir Savivaldybės administracijos darbuotojų pokalbių telefonu garso įrašų metaduomenys;

14.7. kiti asmens duomenys, kurie teisėtai renkami ir tvarkomi vadovaujantis Reglamentu (ES) 2016/679 Administracijos asmens duomenų tvarkymo veiklos įrašuose (2 priedas) ir kituose Administracijos dokumentuose.

15. Darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo:

15.1. asmens duomenis tvarkyti teisėtai, sąžiningai ir skaidriai;

15.2. asmens duomenis rinkti nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau jų netvarkyti su tais tikslais nesuderinamu būdu;

15.3. rinkdami ir tvarkydami asmens duomenis laikytis tikslingumo, proporcingumo ir duomenų kiekio mažinimo principų, t. y. nereikalauti iš interesantų pateikti tų duomenų, kurie nėra būtini Administracijos funkcijoms vykdyti, nekaupti ir netvarkyti perteklinių duomenų ir duomenų, kurie nėra būtini atitinkamiems tikslams pasiekti;

15.4. užtikrinti asmens duomenų tikslumą ir, jei reikia dėl asmens duomenų tvarkymo, juos atnaujinti; netikslius ar neišsamius duomenis ištaisyti, papildyti, sunaikinti arba jų tvarkymą sustabdyti;

15.5. asmens duomenis saugoti teisės aktų ir šių Taisyklių nustatyta tvarka;

15.6. asmens duomenis tvarkyti tokiu būdu, kad taikant atitinkamas fizines, technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).

15.7. Informuoti duomenų subjektus apie asmens duomenų tvarkymą (5 priedas).

16. Administracijos darbuotojas netenka teisės tvarkyti asmens duomenis, kai pasibaigia darbuotojo darbo sutartis su Administracija, atleidus jį iš pareigų, arba kai pasikeitus darbuotojo užimamoms pareigoms asmens duomenys tampa nebereikalingi darbo funkcijoms vykdyti.

17. Asmens duomenys gali būti pateikti išankstinius ginčus ne teisme nagrinėjančioms institucijoms, ikiteisminio tyrimo įstaigoms, prokuratūrai ar teismui dėl administracinių, civilinių, baudžiamųjų bylų kaip įrodymai arba kitais teisės aktų nustatytais atvejais.

18. Asmens duomenų (dokumentų, kuriuose yra asmens duomenys, ar jų kopijų) saugojimo terminai nustatomi vadovaujantis einamųjų metų dokumentacijos planu, patvirtintu Administracijos direktoriaus įsakymu, Bendrųjų dokumentų saugojimo terminų rodykle, patvirtinta Lietuvos vyriausiojo archyvaro įsakymu ir Lietuvos Respublikos dokumentų ir archyvų įstatymu. Asmens duomenys (dokumentai, kuriuose yra asmens duomenys, ar jų kopijos) saugomi ne ilgiau, nei to reikalauja duomenų tvarkymo tikslai. Kai asmens duomenys (dokumentai, kuriuose yra asmens duomenys, ar jų kopijos) nebereikalingi jų tvarkymo tikslams, duomenys ar jų kopijos archyvuojami ar sunaikinami vadovaujantis šiame punkte nurodytais teisės aktais.

SKYRIUS

DUOMENŲ APSAUGOS PAREIGŪNAS

19. Duomenų apsaugos pareigūnas (toliau – Pareigūnas) yra Administracijos darbuotojas, kurį į pareigas priima ir atleidžia Administracijos direktorius teisės aktų nustatyta tvarka. Pareigūnas tiesiogiai atsiskaito Administracijos direktoriui.

20. Pareigūnas padeda užtikrinti atitiktį BDAR, dalyvauja visuose klausimuose, susijusiuose su asmens duomenų apsauga, ir teikia konsultacijas asmens duomenų apsaugos srityje. Duomenų subjektai gali kreiptis į Pareigūną visais klausimais, susijusiais su jų asmens duomenų tvarkymu ir savo teisių pagal Reglamentą įgyvendinimu.

21. Pareigūno funkcijoms atlikti ir bendrauti su šiuo Pareigūnu sukurta elektroninio pašto dėžutė duomenu.sauga@kedainiai.lt, kurios adresas skelbiamas Savivaldybės administracijos interneto svetainėje.

22. Savivaldybės administracija apie Pareigūno paskyrimą ar pakeitimą praneša Valstybinei duomenų apsaugos inspekcijai.

23. Pareigūnas turi teisę būti informuotas ir įtrauktas į visų su asmens duomenų apsauga ir privatumu susijusių klausimų nagrinėjimą Savivaldybės administracijoje, dalyvauti duomenų tvarkymo operacijose ir susipažinti su asmens duomenimis;

24. Pareigūnas Savivaldybės administracijoje vykdo šias užduotis:

24.1. padeda užtikrinti, kad Savivaldybės administracijoje vykdomas asmens duomenų tvarkymas atitiktų BDAR, kitų asmens duomenų teisinę apsaugą reglamentuojančių teisės aktų reikalavimus, tinkamai įvertindamas duomenų tvarkymo operacijas, duomenų tvarkymo pobūdį, aprėptį, kontekstą, tikslus, potencialų pavojų;

24.2. stebi, kaip laikomasi BDAR ir kitų asmens duomenų teisinę apsaugą reglamentuojančių teisės aktų reikalavimų, Taisyklių, kitų vidaus dokumentų, susijusių su asmens duomenų apsauga;

24.3. konsultuoja ir stebi, kaip atliekamas poveikio duomenų apsaugai vertinimas;

24.4. informuoja Savivaldybės administracijos darbuotojus apie jų pareigas pagal BDAR ir kitus asmens duomenų teisinę apsaugą reglamentuojančius teisės aktus ir juos konsultuoja dėl konkrečių pareigų vykdymo;

24.5. informuoja Administracijos direktorių apie bet kokias neatitiktis, pažeidimus asmens duomenų apsaugos srityje, kuriuos Pareigūnas nustato vykdydamas savo funkcijas;

24.6. konsultuoja Savivaldybės administracijos darbuotojus, dirbančius su asmens duomenimis, asmens duomenų teisinės apsaugos klausimais;

24.7. bendradarbiauja, būna kontaktiniu asmeniu bendradarbiaujant su Valstybine duomenų apsaugos inspekcija;

24.8. tvarko ir saugo su asmens duomenų apsauga susijusios veiklos duomenis (toliau – veiklos įrašai);

24.9. atsako už veiklos įrašų ir kitų dokumentų, susijusių su asmens duomenų tvarkymu, pateikimą Inspekcijai (esant jos prašymui ir (ar) reikalavimui);

24.10. administruoja Duomenų saugumo pažeidimų žurnalą;

24.11. organizuoja mokymus arba atlieka mokymų stebėseną ir, esant poreikiui, konsultuoja šiais klausimais.

25. Pareigūnas privalo teisės aktų nustatyta tvarka užtikrinti gautos informacijos, susijusios su jo užduočių vykdymu, slaptumą ir (ar) konfidencialumą.

V SKYRIUS

DUOMENŲ TEIKIMAS

26. Administracija teikia asmens duomenis duomenų gavėjams: tretiesiems asmenims ir duomenų tvarkytojams.

27. Asmens duomenys tretiesiems asmenims teikiami tik esant asmens duomenų teikimo teisiniam pagrindui ir įvertinus asmens duomenų teikimo tikslą ir teikiamų asmens duomenų apimtį.

28. Asmens duomenys, vadovaujantis BDAR ir kitais teisės aktais, gali būti teikiami tretiesiems asmenims, kuriems teikti asmens duomenis Administracijai įpareigoja įstatymai ar kiti teisės aktai, arba kai tai yra būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.

29. Asmens duomenys tretiesiems asmenims teikiami pagal asmens duomenų teikimo (tvarkymo) sutartį (daugkartinio teikimo atveju) arba pagal prašymą (vienkartinio teikimo atveju).

30. Jeigu asmens duomenys teikiami pagal prašymą, prašyme turi būti nurodytas prašomų pateikti asmens duomenų:

30.1. naudojimo tikslas;

30.2. teikimo ar (ir) gavimo teisinis pagrindas;

30.3. apimtis.

31. Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik Administracijos vardu, pagal Administracijos nurodymus ir tik tiek, kiek tai būtina siekiant tinkamai vykdyti paslaugų teikimo sutartyje nustatytus įsipareigojimus. Nuostatos, susijusios su asmens duomenų tvarkymu ir apsauga, įtraukiamos į sutartis, sudaromas su duomenų tvarkytojais.

VI SKYRIUS

POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS

32. Poveikio duomenų apsaugai vertinimas (toliau – PDAV) atliekamas šiais atvejais:

32.1. kai duomenų tvarkymo operacija yra įtraukta į Valstybinės duomenų apsaugos inspekcijos (toliau – VDAI) sudarytą duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti PDAV, sąrašą;

32.2. kai planuojama rinkti arba kitaip tvarkyti naujus asmens duomenis ir dėl asmens duomenų tvarkymo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms;

32.3. kai keičiasi jau tvarkomų asmens duomenų tvarkymo procesas (būdas, tikslas ir pan.) arba aplinka (pavyzdžiui, diegiama nauja informacinių technologijų sistema, teikiama nauja paslauga, atsiranda naujas procesas, naujos rizikos, susijusios su įvykdytomis kibernetinėmis atakomis ir pan.) ir dėl asmens duomenų tvarkymo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms.

33. Poveikio duomenų apsaugai vertinimas taip pat gali būti atliekamas ir šiame skyriuje neaptartais atvejais, bet esant Administracijos direktoriaus, pareigūno ar VDAI rekomendacijai tai atlikti.

34. Administracija, esant poreikiui, atlikdama poveikio duomenų apsaugai vertinimą konsultuojasi su Administracijos duomenų tvarkytoju.

35. Administracija privalo užtikrinti, kad šiame skyriuje aprašytas ir Administracijos numatytais atvejais atliekamas poveikio duomenų apsaugai vertinimas būtų tinkamai dokumentuotas ir saugomas. Poveikio duomenų apsaugai vertinimo procedūra atliekama pagal Valstybinės duomenų apsaugos inspekcijos pavyzdinę poveikio duomenų apsaugai atlikimo formą.

36. Jei Administracija, atlikdama poveikio duomenų apsaugai vertinimą, nustatytų, kad duomenų subjektų teisėms ir laisvėms gali kilti aukšto lygio pavojus, ji privalo konsultuotis su VDAI dėl tinkamų saugumo ir kitų priemonių įgyvendinimo.

VII SKYRIUS

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMAS

37. Asmens duomenų saugumo pažeidimu yra laikomas bet kuris tyčinis ar neatsargus asmens duomenų apsaugos pažeidimas, kai:

37.1. sunaikinami, prarandami arba pakeičiami asmens duomenys;

37.2. be leidimo atskleidžiami asmens duomenys darbuotojams, trečiosioms šalims, neturintiems teisės tvarkyti asmens duomenų;

37.3. be leidimo asmenys, įskaitant ir Administracijos darbuotojus, neturintys tam teisės, gautų prieigą prie asmens duomenų.

38. Jei dėl įvykdyto asmens duomenų saugumo pažeidimo kyla galimas pavojus duomenų subjektų teisėms ir laisvėms, kurio neįmanoma pašalinti imantis atitinkamų saugumo pažeidimo pašalinimo priemonių, pareigūnas privalo nedelsdamas, bet ne vėliau kaip per 72 valandas nuo pažeidimo paaiškėjimo dienos pranešti VDAI apie įvykusį duomenų saugumo pažeidimą. Jeigu VDAI apie asmens duomenų saugumo pažeidimą nepranešama per 72 valandas, pranešime turi būti nurodytos vėlavimo priežastys.

39. Kilus ypač dideliam pavojui duomenų subjektų teisėms ir laisvėms, pavyzdžiui, kai dėl įvykusio saugumo gali kilti realus arba labai tikėtinas duomenų subjekto kūno sužalojimas, turtinė ar neturtinė žala, diskriminacija, pavogta ir suklastota tapatybė, pakenkta reputacijai, panaikinti pseudonimai, prarasta galimybė naudotis savo teisėmis, užkirstas kelias kontroliuoti savo duomenis ir pan., informacija apie įvykusį saugumo pažeidimą nedelsiant taip pat turi būti pateikta ir duomenų subjektams.

40. Nesant galimybės informuoti visų duomenų subjektų dėl jų didelio skaičiaus ar kitų priežasčių, pareigūnas kartu su Administracijos direktoriumi apsvarsto ir priima sprendimą šią informaciją pateikti per visuomenės informavimo priemones (spauda, televizija, kt.).

41. Taisyklių 38 p. nurodytame pranešime dėl įvykusio asmens duomenų saugumo pažeidimo duomenų subjektams privalo būti trumpai aprašytas asmens duomenų saugumo pažeidimo pobūdis, nurodant apytikslį duomenų subjektų skaičių, kurios asmens teisės ir laisvės galėjo būti pažeistos, pareigūno kontaktus, trumpai aprašytos tikėtinos pažeidimo pasekmės bei priemonės, kurių Administracija imasi / imsis, kad būtų pašalintos neigiamos pasekmės, susijusios su įvykusiu duomenų saugumo pažeidimu.

42. Nustatydamas, ar būtina vykdyti informavimo pareigą, aptartą šių Taisyklių 38 ir 39 punktuose, pareigūnas privalo įvertinti, ar dėl įvykusio incidento:

42.1. įvyko konfidencialumo pažeidimas (pavyzdžiui, atskleisti duomenys ir jie tapo prieinami trečiosioms šalims ar Administracijos darbuotojams, neturintiems teisės tvarkyti asmens duomenų, suteikiant prieigą, tinkamai nešifruojant, kt.);

42.2. įvyko duomenų pasiekiamumo pažeidimas (pavyzdžiui, prarasti duomenys ir neturima atsarginių kopijų);

42.3. įvyko duomenų vientisumo pažeidimas (pavyzdžiui, kai yra neteisėtas ar netyčinis asmens duomenų praradimas).

43. Jei Pareigūnas nustato, kad yra bent vienas iš šių Taisyklių 42 punkte numatytų pažeidimų, jis nedelsdamas vykdo informavimo pareigą, kaip tai aptarta Taisyklių 38 ir 39 punktuose.

44. Pareigūnas privalo užtikrinti, kad visi asmens duomenų apsaugos pažeidimai, įskaitant ir tuos, dėl kurių nevykdoma informavimo pareiga, kaip aptarta šiame Taisyklių skyriuje, būtų tinkamai dokumentuoti ir saugomi.

45. Įvykus asmens duomenų saugumo pažeidimui, aptartam šiame Taisyklių skyriuje, pareigūnas informuoja Administracijos darbuotojus ir duoda atitinkamas instrukcijas konkretiems darbuotojams dėl jų pareigų, funkcijų vykdymo, susijusio su asmens duomenų saugumo pažeidimo valdymu.

46. Įvykus asmens duomenų saugumo pažeidimui, aptartam šiame Taisyklių skyriuje, pareigūnas, be kitų šiame skyriuje aptartų pareigų, taip pat sudaro prevencinių veiksmų planą, kuriuo būtų siekiama ateityje užkirsti kelią analogiškam ar panašiam duomenų saugumo pažeidimui, ir pateikia jį Administracijos direktoriui, kuris sprendžia dėl veiksmų plano įgyvendinimo. Reagavimo į asmens duomenų saugumo pažeidimo procedūra aptarta Taisyklių 1 priede.

47. Administracijoje vedamas Asmens duomenų saugumo pažeidimų žurnalas (3 priedas).

VIII SKYRIUS

ASMENS DUOMENŲ TVARKYTOJAI

48. Tais atvejais, kai Administracija įgalioja duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp Administracijos ir duomenų tvarkytojo turi būti sudaroma rašytinė asmens duomenų tvarkymo sutartis arba kitoks oficialus dokumentas.

49. Sprendimą perduoti duomenų subjekto duomenų tvarkymą asmens duomenų tvarkytojui priima Administracijos direktorius arba jo įgaliotas asmuo. Administracija parenka duomenų tvarkytoją, kuris užtikrina, kad būtų įgyvendintos tinkamos techninės ir organizacinės duomenų apsaugos priemonės ir užtikrintas tokių priemonių laikymasis.

50. Administracija, sutartimi įgaliodama duomenų tvarkytoją tvarkyti asmens duomenis, nurodo, kad asmens duomenys būtų tvarkomi atsižvelgiant į asmens duomenų tvarkymą reglamentuojančius teisės aktus, Administracijos nurodymus, taip pat nurodoma, kokius asmens duomenų tvarkymo veiksmus privalo atlikti duomenų tvarkytojas Administracijos vardu, duomenų tvarkytojo įsipareigojimai Administracijai, įskaitant įsipareigojimą laikytis BDAR įtvirtintų reikalavimų, duomenų tvarkymo trukmė, pobūdis, asmens duomenų rūšis, duomenų subjektų kategorijos, duomenų tvarkytojo pareiga ištrinti arba grąžinti Administracijai asmens duomenis, jų kopijas, pabaigus Administracijai teikti paslaugas.

51. Administracija, sudarydama sutartį su duomenų tvarkytoju, be kita ko, nurodo, kad duomenų tvarkytojas privalo užtikrinti Administracijos perduodamų tvarkyti duomenų konfidencialumą, o ketindamas tvarkymui pasitelkti trečiuosius asmenis (kitus duomenų tvarkytojus), duomenų tvarkytojas privalo gauti išankstinį rašytinį Administracijos pritarimą bei užtikrinti, kad pasitelktas subtvarkytojas laikytųsi tų pačių reikalavimų, kurie nustatyti tvarkytojui.

52. Sudarant sutartis ar susitarimus su duomenų tvarkytojais, privaloma konsultuotis su duomenų apsaugos pareigūnu.

IX SKYRIUS

TECHNINĖS IR ORGANIZACINĖS ASMENS DUOMENŲ TVARKYMO PRIEMONĖS

53. Administracijos darbuotojai, duomenų tvarkytojai ir kiti asmenys, kurie tvarko Administracijoje esančius asmens duomenis privalo laikytis Taisyklių ir prisidėti įgyvendinant Administracijos įdiegtas organizacines ir technines priemones, skirtas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto naikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

54. Administracijos darbuotojai turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino eidami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Darbuotojai, tvarkantys asmens duomenis, turintys teisėtas prieigas prie asmens duomenų, privalo pasirašyti Konfidencialumo pasižadėjimą (4 priedas). Pasirašytas pasižadėjimas saugomas asmens byloje.

55. Pareiga saugoti asmens duomenų paslaptį galioja visą darbuotojo darbo laiką, taip pat galioja darbuotoją paskyrus į kitas pareigas bei pasibaigus darbo santykiams.

56. Administracijoje asmens duomenų saugumas užtikrinamas nurodytomis organizacinėmis ir techninėmis duomenų apsaugos priemonėmis:

56.1. užtikrinama prieigos prie asmens duomenų apsauga, valdymas ir kontrolė;

56.2. užtikrinamas tvarkomų asmens duomenų vientisumas – naudojama tik viena failo ar aplanko versija. Jei kai kurie asmens duomenys nukopijuojami ir redaguojami, naudotojas privalo užtikrinti, kad į pradinę asmens duomenų buvimo vietą būtų išsaugota galutinė versija. Visos kitos failo ar aplanko kopijos turi būti pašalinamos;

56.3. prieiga prie asmens duomenų ir Administracijos išteklių suteikiama tik tiems darbuotojams, kurie turi įgaliojimus tvarkyti asmens duomenimis. Darbuotojai, dirbantys su asmens duomenimis, privalo tinkamai tvarkyti asmens duomenis;

56.4. prisijungimų prie Administracijos naudojamų kompiuterių, sistemų, vidinių tinklų, programinės įrangos, paskyrų slaptažodžiams keliami reikalavimai:

56.4.1. naujas slaptažodis turi būti unikalus, sudarytas iš ne mažiau kaip 6 simbolių, iš kurių bent vienas simbolis turi būti skaičius ir bent viena raidė turi būti didžioji;

56.4.2. kuriant slaptažodžio simbolių kombinaciją, draudžiama naudoti asmeninio pobūdžio informaciją.

56.5. naudotojų vardai ir slaptažodžiai yra asmeniniai. Baigus darbą, svarbu atsijungti nuo bet kurio naudoto kompiuterio ir įsitikinti, kad kiti asmenys nepasinaudos asmeniniu naudotojo vardu ir slaptažodžiu. Kiekvienam naujam naudotojui slaptažodį suteikia už IT priežiūrą atsakingas asmuo. Suteiktą slaptažodį esant galimybei būtina nedelsiant pasikeisti;

56.6. savo prisijungimo slaptažodžius ir naudotojo vardus ypatingai saugoti turi Administracijos darbuotojai, dirbantys nuotoliniu būdu;

56.7. Administracijos naudojamų kompiuterių, sistemų, vidinių tinklų, programinės įrangos, paskyrų, kuriuose tvarkomi asmens duomenys, slaptažodžiai turi būti keičiami ne rečiau kaip kartą per šešis mėnesius. Esant vidinio tinklo asmens duomenų saugumo pažeidimui, nedelsiant turi būti keičiami visų Administracijos naudojamų kompiuterių, sistemų, vidinių tinklų, programinės įrangos, paskyrų, kuriuose tvarkomi asmens duomenys, slaptažodžiai. Jei egzistuoja tikimybė, kad konkretaus Administracijos naudojamo kompiuterio, sistemos, vidinio tinklo, programinės įrangos, paskyros slaptažodis buvo atskleistas tretiesiems asmenims arba paviešintas išoriniuose tinkluose, toks slaptažodis turi būti nedelsiant pakeičiamas;

56.8. draudžiama per Administracijos el. pašto paskyras siųsti kenkėjiško, nelegalaus ir kito netinkamo turinio el. laiškus. Jei gaunamas el. laiškas su įtartinu turiniu ar priedais, draudžiama tokį laišką ir jo priedus atidaryti ar išsaugoti. Taip pat draudžiama atidaryti ar naudoti bet kokį el. laišku gautą vykdomąjį failą (.exe, .cmd, .bat, .scr, .com ir t. t.). Visuomet prieš atsakant arba persiunčiant laišką trečiajam asmeniui privaloma patikrinti siunčiamo laiško turinį. El. laiške neturėtų būti likę ankstesni pokalbiai su kitais trečiaisiais asmenimis, trečiajam asmeniui neskirta konfidenciali informacija;

56.9. Administracijos tvarkomų asmens duomenų ar kitos vidinės informacijos paskleidimas socialiniuose tinkluose ir kitomis informacijos sklaidos priemonėmis yra draudžiamas;

56.10. draudžiama interneto naršyklę naudoti ne su darbo funkcijų atlikimu susijusiais tikslais, siųstis muziką, filmus, Administracijoje nelicencijuotą programinę įrangą, kitą medžiagą;

56.11. draudžiama netinkamai naudoti Administracijos darbinius kompiuterius ar juos gadinti. Paprastai naudotojams nesuteikiamos darbinių kompiuterių administratoriaus teisės. Nešantis darbo kompiuterį namo draudžiama leisti bet kuriam trečiajam asmeniui naudotis namo parsineštu darbo kompiuteriu. Draudžiama darbo kompiuterį palikti matomoje vietoje automobilyje, viešose ir kitose vietose, kuriose kyla grėsmė dėl trečiųjų asmenų prieigos prie darbo kompiuterio. Baigus naudotis darbo kompiuteriu, visuomet privaloma užrakinti jo ekraną. Administracijos naudojamuose kompiuteriuose, kuriuose tvarkomi asmens duomenys, naudojamos tik su darbu ir Administracijos veikla susijusios paskyros;

56.12. draudžiama Administracijos kompiuteriuose naudoti išorines laikmenas, kuriose gali būti kenkėjiškų programų ar virusų (USB, CD-ROM, DVD diskai, išoriniai HDD, SSD ir t. t.);

56.13. visa Administracijos naudojama operacinė sistema ir programinė įranga yra licencijuojama ir automatiškai atnaujinama licenciją suteikiančios įmonės gamintojos nustatyta tvarka. Administracijos programos yra licencijuojamos tik jų naudojimui Administracijoje, bet ne kitur;

56.14. darbuotojų ar kitų asmenų, nebetvarkančių asmens duomenų Administracijoje, programinės įrangos, vidinių tinklų, sistemų paskyros yra panaikinamos per vieną darbo dieną;

56.15. visuose Administracijos kompiuteriuose yra įdiegta palaikoma licencijuota antivirusinė programinė įranga. Antivirusinė programinė įranga yra kelių tipų: ji apima visus įeinančius/išeinančius el. laiškus, kietuosius diskus (kartą per mėnesį), nuskaitymą realiuoju laiku ir periodinius serverių patikrinimus bei nuolatinį aptikimą ir prevenciją. Bet kokiu atveju draudžiama pašalinti antivirusinę programinę įrangą iš Administracijos kompiuterių ar neleisti jai veikti. Jei antivirusinė programinė įranga yra įdiegta vietinėje laikmenoje, apie tai turi būti tiesiogiai informuotas už IT priežiūrą Administracijoje atsakingas asmuo. Jei kyla įtarimų dėl nesaugaus failo ar laikmenos naudojimo, draudžiama toliau naudoti atitinkamą failą ar laikmeną ir privaloma nedelsiant pranešti už IT priežiūrą Administracijoje atsakingam asmeniui;

56.16. bet koks nebūtinas asmens duomenų srautas yra draudžiamas;

56.17. užtikrinamas patalpų, kuriose saugomi asmens duomenys, saugumas. Tretiesiems asmenims ar neįgaliotiems dirbti su atitinkamais asmens duomenimis darbuotojams ribojamas patekimas į patalpas, kuriose saugomi asmens duomenys;

56.18. užtikrinama asmens duomenų, esančių išorinėse duomenų laikmenose, saugos kontrolė ir ištrynimas;

56.19. užtikrinama, kad informacinių sistemų testavimas Administracijoje nebūtų vykdomas su realiais asmens duomenimis, išskyrus būtinus atvejus, kurių metu būtų naudojamos organizacinės ir techninės asmens duomenų saugumo priemonės, užtikrinančios realių asmens duomenų saugumą;

56.20. asmens duomenys į išorinius tinklus iš Administracijos vidinių tinklų perduodami tik juos pirmiausia užšifravus.

57. Darbuotojai privalo taip organizuoti savo darbą, kad kiek įmanoma apribotų galimybę kitiems asmenims (kitiems darbuotojams ar kitiems tretiesiems asmenims) sužinoti tvarkomus asmens duomenis. Ši nuostata įgyvendinama:

57.1. nepaliekant dokumentų su tvarkomais asmens duomenimis ar kompiuterio, kuriuo naudojantis galima atidaryti rinkmenas su asmens duomenimis, be priežiūros taip, kad juose esančią informaciją galėtų perskaityti darbuotojai, neturintys teisės dirbti su konkrečiais asmens duomenimis, kiti asmenys;

57.2. dokumentus laikant taip, kad jų (ar jų fragmentų) negalėtų perskaityti atsitiktiniai asmenys;

57.3. neperduodant ar neatskleidžiant tretiesiems asmenims savo prisijungimo duomenų (slaptažodžių) arba nesinaudojant kitų darbuotojų prisijungimo duomenimis;

57.4. jei dokumentai, kuriuose yra asmens duomenų, kitiems darbuotojams, padaliniams, įstaigoms perduodami per asmenis, kurie neturi teisės tvarkyti asmens duomenis, arba per paštą ar kurjerį, jie privalo būti perduodami užklijuotame nepermatomame voke. Šis punktas netaikomas, jeigu minėti pranešimai įteikiami interesantams asmeniškai ir konfidencialiai.

58. Skirtingas pareigas užimantys darbuotojai turi prieigą prie skirtingų, jų darbinėms funkcijoms atlikti reikalingų sistemų ir jose esančių asmens duomenų. Visi darbuotojai prisijungti naudoja unikalius prisijungimo vardus bei slaptažodžius.

59. Administracijos darbuotojai, priklausomai nuo užimamų pareigų ir atliekamų funkcijų, turi prieigą prie vieno ar keleto iš šių informacinių sistemų ir registrų, iš kurių gaunami ir į kuriuos teikiami asmens duomenys tiek, kiek tai būtina Savivaldybės administracijos teisinėms prievolėms įgyvendinti, dėl viešojo intereso arba vykdant viešosios valdžios funkcijas. Administracijoje naudojamos informacinės sistemos ir registrai nurodomi Administracijos asmens duomenų tvarkymo veiklos įrašuose (2 priedas).

X SKYRIUS

TELEFONINIŲ POKALBIŲ ĮRAŠŲ STEBĖSENA

60. Pokalbiai telefonu įrašomi ir pokalbių įrašų duomenys tvarkomi siekiant užtikrinti Administracijos aptarnavimo bei teikiamų konsultacijų telefonu kokybę ir vienodos praktikos formavimą, interesantų prašymų ir skundų nagrinėjimo objektyvumą.

61. Įrašomi Administracijai priskirtų telefonų pokalbiai. Administracijos telefono ryšio numeriai viešai skelbiami Savivaldybės interneto svetainėje.

62. Įrašomi ir tvarkomi šie telefoninio pakalbio įrašų metaduomenys: konsultuojančio asmens vardas ir pavardė (jeigu garsiai įvardijama prisistatant), darbuotojo ir skambinančiojo asmens telefono ryšio numeris, skambinančio asmens duomenys (jeigu prisistato), pokalbio turinys, data, pradžios ir pabaigos laikas.

63. Už telefoninių pokalbių įrašymą, duomenų saugumo užtikrinimą, duomenų pateikimą trečiosioms šalims, jų saugojimą yra atsakinga įmonė, teikianti fiksuotojo ryšio paslaugas Administracijai.

64. Pokalbių įrašų metaduomenys yra saugomi 30 kalendorinių dienų paslaugų tiekėjo pokalbių įrašymo serveryje. Pokalbių įrašų duomenys po jų saugojimo termino yra automatiškai ištrinami, išskyrus atvejus, kai yra būtinybė duomenis saugoti ilgiau, siekiant ištirti įvykusį incidentą Administracijoje ar apginti teisinius reikalavimus.

XI SKYRIUS

DUOMENŲ VEIKLOS ĮRAŠŲ VEDIMO TVARKA

65. Duomenų veiklos įrašų vedimo tvarka Administracijoje yra naudojama vadovaujantis šiomis principinėmis nuostatomis:

65.1. turi būti naudojama griežtai tik darbo reikmėms;

65.2. naudojantis turi būti laikomasi galiojančių Lietuvos Respublikos teisės aktų;

65.3. naudojantis turi būti laikomasi darbuotojų saugos, informacijos saugos, asmens duomenų apsaugos reikalavimų;

65.4. naudojimas turi užtikrinti konfidencialumo įsipareigojimų, intelektinės nuosavybės teisių, įskaitant trečiųjų asmenų teises ir teisėtus interesus, bendrųjų etikos ir moralės principų laikymąsi.

66. Duomenų veiklos įrašai į pildomi raštu iš karto po kiekvieno veiksmo atlikimo. Tai turi būti daroma nuolat vykdant naujas duomenų tvarkymo operacijas.

67. Duomenų veiklos įrašai vedami raštu, pildant Duomenų valdytojo duomenų tvarkymo veiklos įrašų formą (2 priedas).

68. Duomenų veiklos įrašų vedimo tvarka peržiūrima ir, prireikus ar pasikeitus asmens duomenų tvarkymą reglamentuojantiems teisės aktams, diegiant struktūrinius, technologinius ar kitokius pakeitimus, atnaujinama.

69. Administracijos darbuotojai privalo pildyti veiklos įrašus konsultuodamiesi su pareigūnu.

XII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

70. Taisyklės, pasikeitus asmens duomenų tvarkymą reglamentuojantiems teisės aktams, keičiamos Administracijos direktoriaus įsakymu.

71. Patvirtinus ar pakeitus Taisykles, darbuotojai su jomis supažindinami Administracijos darbo tvarkos taisyklių nustatyta tvarka.

72. Už Taisyklių nuostatų pažeidimą darbuotojai atsako teisės aktų nustatyta tvarka.

_______________________________________________

Kėdainių rajono savivaldybės administracijos

asmens duomenų tvarkymo taisyklių

1 priedas

REAGAVIMO Į ASMENS DUOMENŲ SAUGUMO PAŽEIDIMUS PROCEDŪRA

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Reagavimo į asmens duomenų saugumo pažeidimus procedūra (toliau – Procedūra) taikoma įvykus asmens duomenų saugumo pažeidimui pagal BDAR 33 straipsnį ir 34 straipsnį.

2. Šiame dokumente išdėstyta procedūra turėtų būti vadovaujamasi reaguojant į duomenų saugumo pažeidimą, atsižvelgiant į konkrečios situacijos faktines aplinkybes.

3. Visi asmenys, turintys prieigą prie Administracijos tvarkomų asmens duomenų privalo žinoti ir vadovautis šia Procedūra duomenų saugumo pažeidimo atveju.

II SKYRIUS

DUOMENŲ SAUGUMO PAŽEIDIMO NUSTATYMAS IR ANALIZĖ

4. Saugumo pažeidimu laikomas toks saugumo incidentas, dėl kurio įvyksta (konkretus pažeidimas gali patekti į daugiau nei vieną kategoriją):

4.1. Konfidencialumo pažeidimas – netyčia ar neteisėtai atskleidžiami asmens duomenys arba prie duomenų suteikiama prieiga tam teisės neturintiems asmenims. Tokio pobūdžio pažeidimo pavyzdžiais galėtų būti duomenų kopijos išsiuntimas trečiajam asmeniui, neturinčiam teisinio pagrindo juos gauti, prisijungimo prie duomenų bazės slaptažodžio paviešinimas ir pan.;

4.2. Pasiekiamumo pažeidimas – netyčia ar neteisėtai prarandama prieiga prie asmens duomenų arba duomenys yra sunaikinami. Tokio pobūdžio pažeidimu galėtų būti duomenų bazės ištrynimas nesant atsarginės kopijos, iš kurios būtų galima atkurti prarastus duomenis. Pasiekiamumo pažeidimu, kuris turėtų būti aprašytas, būtų ir laikinas įprastinę Administracijos veiklą sutrikdęs prieigos prie duomenų praradimas;

4.3. Vientisumo pažeidimas – netyčia ar neteisėtai atliekami asmens duomenų pakeitimai. Tai galėtų būti trečiojo asmens, įgijusio neteisėtą prisijungimą prie duomenų bazės, įvykdyti joje esančių įrašų pakeitimai.

5. Kai yra nustatomas duomenų saugumo pažeidimas, jį nustatęs Darbuotojas turi kuo skubiau informuoti Pareigūną asmeniškai, el. paštu, telefonu, ir / arba kitomis komunikacijos priemonėmis.

6. Pareigūnas atlieka pradinį vertinimą tam, kad nuspręstų dėl tinkamo veiksmų plano. Šis vertinimas turėtų apimti šiuos pagrindinius veiksnius:

6.1. Poveikio informacinių technologijų (toliau – IT) infrastruktūrai apimtis;

6.2. Informaciniai ištekliai, kuriems gali kilti arba yra kilęs pavojus (kokios duomenų bazės yra arba gali būti paveiktos);

6.3. Tikėtina duomenų saugumo pažeidimo trukmė (kada prasidėjo ir kada buvo sustabdytas pažeidimas arba kaip skubiai tikėtina galima būtų tai padaryti);

6.4. Paveikti duomenų subjektai ir poveikio jiems apimtis (ar paveikti tik konkrečios duomenų subjektų grupės duomenys, kokia konkrečios grupės dalis yra paveikta ir pan.);

6.5. Pradiniai duomenų saugumo pažeidimo pasekmių požymiai (tai galėtų būti prieigos prie duomenų praradimas, nustatyti neteisėti duomenų pakeitimai, rasti paviešinti duomenys ir pan.).

7. Aukščiau nurodyta informacija turėtų būti fiksuojama tokiu būdu, kad atliekant vėlesnę peržiūrą būtų galima susidaryti aiškų chronologišką suvokimą apie situacijos eigą ir priemones, kurių buvo imtasi.

8. Atsižvelgdamas į aukščiau aprašytą pradinę analizę, Pareigūnas pagal Procedūros 6 punkte nurodytus kriterijus įvertina, ar duomenų saugumo pažeidimo apimtis ir faktinis ar galimas poveikis lemia Reagavimo į duomenų saugumo pažeidimus procedūros pradėjimą.

III SKYRIUS

REAGAVIMO Į DUOMENŲ SAUGUMO PAŽEIDIMUS PROCEDŪROS PRADĖJIMAS

9. Formalus reagavimas į Duomenų saugumo pažeidimą visais atvejais turėtų būti pradėtas tada, jei nustatytos bet kurios iš toliau nurodytų aplinkybių:

9.1. Prarastas arba gali būti prarastas reikšmingas kiekis asmens duomenų;

9.2. Duomenų pažeidimas tikėtinai gali kelti didelį pavojų fizinių asmenų teisėms ir laisvėms;

9.3. Daromas poveikis dideliam duomenų subjektų skaičiui;

9.4. Bet kokia kita situacija, kuri gali sukelti reikšmingą poveikį Administracijai ir / arba duomenų subjektams.

10. Jei nusprendžiama nepradėti Procedūros, tada Procedūros 6 punkte aprašytas vertinimas turi būti tinkamai dokumentuotas už duomenų saugą atsakingo asmens ir ši Procedūra užbaigta.

IV SKYRIUS

DUOMENŲ SAUGUMO PAŽEIDIMO APRIBOJIMAS, LIKVIDAVIMAS IR ATKŪRIMAS

11. Pirmasis žingsnis sprendžiant duomenų saugumo pažeidimo klausimą yra jo apribojimas. Konkretūs veiksmai, atliktini norint tai pasiekti priklauso nuo konkretaus pažeidimo aplinkybių, bet tai galėtų būti tokie veiksmai kaip:

11.1. Duomenų ištrynimas nuotoliniu būdu iš pamesto ar pavogto įrenginio;

11.2. Kuo skubesnis kreipimasis į asmenį, kuriam per klaidą buvo išsiųsti duomenys, su prašymu neatidarinėti atsiųstų duomenų ir juos ištrinti be galimybės atkurti;

11.3. Atskleisto tretiesiems asmenims prisijungimo prie duomenų bazės slaptažodžio pakeitimas;

11.4. Prarastų duomenų atkūrimas iš turimos atsarginės kopijos.

12. Vykdant šią procedūrą reikia imtis atsargumo priemonių tam, kad būtų užtikrinta, jog būtų surinkti kiek įmanoma tikslesni duomenys bei įrodymai apie įvykusį duomenų saugumo pažeidimą (pavyzdžiui, užfiksuojama, kas, kada ir iš kokio įrenginio jungėsi prie duomenų bazės, kam konkrečiai buvo per klaidą išsiųsti asmens duomenys, kokiomis aplinkybėmis buvo prarastas įrenginys su duomenimis).

13. Veiksmai, skirti atitaisyti žalą, sukeltą duomenų saugumo pažeidimo, turėtų būti nukreipti ne vien į esamo pažeidimo priežasties pašalinimą, bet ir skirti neleisti duomenų saugumo pažeidimui pasikartoti. Turėtų būti nustatytas bet koks pažeidžiamumas, kuris gali būti išnaudotas siekiant įvykdyti pažeidimą.

14. Prireikus gali būti pasitelkiama IT specialistų ar teisininkų pagalba.

15. Atkūrimo stadijoje sistemos turėtų būti pagal galimybes atstatytos į ankstesnę būklę, tačiau turėtų būti imamasi būtinų veiksmų tam, kad būtų atsižvelgta į trūkumus ir duomenų tvarkymo silpnąsias vietas, kurios buvo išnaudotos įvykdant duomenų saugumo pažeidimą.

V SKYRIUS

DUOMENŲ VALDYTOJO PRANEŠIMAS VDAI APIE DUOMENŲ SAUGUMO PAŽEIDIMĄ

16. Administracija, kaip duomenų valdytojas, nedelsdama privalo informuoti VDAI apie duomenų saugumo pažeidimą tada, jei Pareigūnas nustato, kad duomenų saugumo pažeidimas tikėtinai gali kelti pavojų duomenų subjektų, paveiktų duomenų saugumo pažeidimo, teisėms ir laisvėms. Pavojų keliančiu laikytinas toks pažeidimas, dėl kurio duomenų subjektas galėtų patirti kūno sužalojimą, materialinę ar nematerialinę žalą, teisių apribojimą, diskriminaciją, galėtų būti pavogta ar suklastota asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala.

17. Jei duomenų saugumo pažeidimas kelia pavojų duomenų subjektų teisėms ir laisvėms, Pareigūnas ne vėliau kaip per 72 valandas nuo Administracijos sužinojimo apie pažeidimą VDAI užpildo ir pateikia Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamą formą, kuri patvirtinta Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“.

18. Jeigu visos informacijos neįmanoma pateikti tuo pačiu metu, tolesnė informacija nepagrįstai nedelsiant gali būti teikiama etapais.

VI SKYRIUS

DUOMENŲ VALDYTOJO PRANEŠIMAS DUOMENŲ SUBJEKTUI APIE DUOMENŲ SAUGUMO PAŽEIDIMĄ

19. Kai dėl duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, Administracija nepagrįstai nedelsdama praneša apie asmens duomenų saugumo pažeidimą duomenų subjektams. Didelį pavojų keliančiu gali būti laikytinas bet kuris 16 punkte nurodytų pasekmių riziką keliantis pažeidimas tada, jei tokios pažeidimo pasekmės yra labai tikėtinos, tvarkomi jautrūs asmens duomenys (pavyzdžiui, duomenys apie sveikatą), pažeidimas turi neigiamą poveikį dideliam duomenų subjektų skaičiui ir pan.

20. Pareigūnas duomenų subjektui aiškia ir paprasta kalba aprašo duomenų saugumo pažeidimo pobūdį ir pateikia bent jau žemiau nurodytą informaciją:

20.1. Kontaktinio asmens, galinčio suteikti daugiau informacijos, vardą, pavardę ir kontaktinius duomenis;

20.2. Tikėtinų duomenų saugumo pažeidimo pasekmių aprašymą;

20.3. Priemones, kurių ėmėsi arba planuoja imtis Administracija tam, kad būtų pašalintas duomenų saugumo pažeidimas, įskaitant, kai tinkama, priemones galimoms neigiamoms jo pasekmėms sumažinti.

21. Šios Procedūros 20 punkte nurodytas komunikavimas su duomenų subjektu nebus reikalingas tada, jei egzistuoja bet kuri iš šių aplinkybių:

21.1. Administracija įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos priemonės taikytos asmens duomenims, kuriems duomenų saugumo pažeidimas turėjo poveikio, visų pirma tas priemones, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su Asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, šifravimo priemones;

21.2. Administracija vėliau ėmėsi priemonių, kuriomis užtikrinama, kad ateityje negalėtų kilti didelis pavojus duomenų subjektų teisėms ir laisvėms;

21.3. Tai pareikalautų neproporcingai daug pastangų. Tokiu atveju apie įvykusį duomenų saugumo pažeidimą paskelbiama viešai arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai;

22. VDAI, apsvarsčiusi, kokia yra tikimybė, kad dėl duomenų saugumo pažeidimo kils didelis pavojus, gali pareikalauti, kad Administracija informuotų duomenų subjektus apie duomenų saugumo pažeidimą. Pareigūnas gavęs tokį nurodymą turi nedelsdamas jį vykdyti.

VII SKYRIUS

DUOMENŲ SAUGUMO PAŽEIDIMO DOKUMENTAVIMAS IR PROCEDŪROS UŽBAIGIMAS

23. Pareigūnas, gavęs supažindinto su duomenų saugumo pažeidimo ir jo pašalinimo aplinkybėmis Administracijos direktoriaus pritarimą, priima sprendimą užbaigti Procedūrą tada, kai duomenų saugumo pažeidimas laikytinas pašalintu, o visoms reikalingoms šalims apie pažeidimą yra pranešta.

24. Visi veiksmai, kurių imamasi Procedūros metu turi būti aprašomi ir visi susiję įrašai apie duomenų saugumo pažeidimą peržiūrimi tam, kad būtų užtikrintas jų išbaigtumas, tikslumas ir atitiktis atitinkamam teisiniam reguliavimui.

__________________

Duomenų valdytojas: Kėdainių rajono savivaldybės administracija
Duomenų valdytojo pavadinimas
Pašto adresas J. Basanavičiaus g. 36, 57288 Kėdainiai		Telefono ryšio numeris (8 347) 69550	Elektroninio pašto adresas administracija@kedainiai.lt	Kitos ryšių priemonės www.kedainiai.lt

Duomenų apsaugos pareigūnas:
Duomenų apsaugos pareigūno vardas ir pavardė
Pašto adresas J. Basanavičiaus g. 36, 57288 Kėdainiai	Telefono ryšio numeris		Elektroninio pašto adresas duomenu.sauga@kedainiai.lt	Kitos ryšių priemonės
Už duomenų tvarkymą atsakingas asmuo ar skyrius
Duomenų tvarkymo tikslas (kokiu tikslu yra tvarkomi duomenys, pvz., socialinei pensijai gauti, į vaikų darželį priimti, personalo administravimas, turto saugumo užtikrinimas (kai vykdomas vaizdo stebėjimas), paslaugų kokybės užtikrinimas (kai vykdomas telefoninių pokalbių įrašymas) ir t. t.)
Duomenų tvarkymo teisinis pagrindas
Duomenų subjektų kategorijų aprašymas (pvz., darbuotojai, asmenys, patenkantys į vaizdo stebėjimo lauką„ ir t. t.) Esant kelioms duomenų subjektų grupėms, atskirai nurodomi kiekvienos duomenų subjektų grupės tvarkomi asmens duomenys (įskaitant ir specialių kategorijų asmens duomenis), jeigu tvarkomi duomenys yra skirtingi.
Asmens duomenų kategorijų aprašymas (tvarkomi asmens duomenys, pvz., vardas, pavardė, gimimo data, adresas, vaizdo duomenys, priskaičiuotas darbo užmokestis, duomenys apie sveikatą, telefono pokalbio įrašas, IP adresas ir t. t.)
Duomenų gavėjų kategorijos (duomenų gavėjai, kuriems buvo arba bus atskleisti ar kitaip perduoti asmens duomenys, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas) (pvz., fiziniai asmenys, juridiniai asmenys, draudimo bendrovės, kurjerių tarnybos, bankai ir t. t.)
Asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai (kai taikoma):
Trečiosios valstybės arba tarptautinės organizacijos, kuriai perduodami asmens duomenys pavadinimas:			BDAR 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai:
Kita informacija, susijusi su asmens duomenų perdavimu
Numatomi asmens duomenų saugojimo, ištrynimo terminai (kai įmanoma) (pvz., 10 metų po sutarties įvykdymo, 30 kalendorinių dienų, 1 metai nuo paskutinio prisijungimo prie paskyros ir t. t.)
Bendras duomenų saugumo priemonių (nurodytų BDAR 32 straipsnio 1 dalyje) aprašymas (kai įmanoma):
Techninės saugumo priemonės: (pvz., programinė įranga yra nuolatos atnaujinama, aprūpinta ugniasienėmis ir antivirusinėmis programomis, daromos atsarginės duomenų kopijos, atliekamas duomenų šifravimas ir t. t.)			Organizacinės saugumo priemonės: (pvz., informacinių sistemų ir duomenų bazių vartotojų teisių ribojimas ir kontrolė, asmenys, dirbantys su asmens duomenimis, yra saistomi teisės aktuose nustatytų konfidencialumo pareigų ir t. t.)

Kita informacija (pvz., duomenų šaltiniai, duomenų subjekto teisių įgyvendinimo ypatumai, nuorodos į kitus su duomenų apsauga susijusius dokumentus (į poveikio duomenų apsaugai vertinimą, vidaus tvarkos taisykles ir t. t.)
Duomenų įvedimo, keitimo data (-os)

Eil. Nr.	Pažeidimo priežastis, kas įvyko ir kokie asmens duomenys pažeisti	Pažeidimo poveikis ir pasekmės	Taisomieji veiksmai (techninės priemonės), kurių buvo imtasi	Priežastys dėl su Pažeidimu susijusių sprendimų priėmimo (pvz., kodėl duomenų valdytojas nusprendė nepranešti apie Pažeidimą VDAI ir (ar) duomenų subjektui, t. y. kodėl nusprendė, kad tikėtina, jog Pažeidimas negali sukelti pavojaus fizinių asmenų teisėms ir laisvėms, arba kokią sąlygą įvykdė, kuomet pranešti apie Pažeidimą duomenų subjektui nereikia);	Pranešimo VDAI pateikimo vėlavimo priežastys (jeigu pranešimą vėluojama pateikti ar pranešimas teikiamas etapais)	Informacija, susijusi su pranešimu duomenų subjektui (pvz., ar buvo pranešta, kodėl nepranešta ir pan.)	Kita reikšminga informacija susijusi su Pažeidimu (pvz., kad tyrimo metu nustatyta, jog faktiškai Pažeidimo nebuvo, o buvo tik saugumo incidentas).
1.
2.
3.
4.
5.
6.
7.
8.
9.
...