1.       Asmens duomenų tvarkymo Lietuvos Respublikos konkurencijos taryboje taisyklių (toliau – Taisyklės) tikslas – reglamentuoti asmens duomenų tvarkymą Konkurencijos taryboje, užtikrinant 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.

2.       Taisyklių paskirtis – numatyti asmens duomenų tvarkymo apimtį ir tikslus, asmens duomenų saugos pažeidimų valdymą, asmens duomenų saugojimo priemones, duomenų subjekto teisių įgyvendinimo Konkurencijos taryboje būdus ir priemones, tvarkant asmens duomenis Konkurencijos taryboje automatiniu ir neautomatiniu būdais.

3.       Taisyklės parengtos, vadovaujantis BDAR, Asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir apsaugą. Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos minėtuose teisės aktuose.

4.       Šių Taisyklių privalo laikytis visi Konkurencijos tarybos nariai, Konkurencijos tarybos administracijoje dirbantys valstybės tarnautojai, darbuotojai, dirbantys pagal darbo sutartis, ir studentai, priimti atlikti praktiką Konkurencijos taryboje, stažuotojai bei kitais pagrindais atliekantys funkcijas ar vykdantys veiklą Konkurencijos taryboje asmenys (toliau visi šie asmenys – Konkurencijos tarybos darbuotojai), kurie tvarko Konkurencijos taryboje esančius asmens duomenis arba eidami savo pareigas sužino asmens duomenis.

5.       Duomenų subjektų asmens duomenis tvarko duomenų valdytojas – Konkurencijos taryba, juridinio asmens kodas 188668192, buveinės adresas Jogailos g. 14, 01116 Vilnius.

6.       Atliekant veiksmus, susijusius su Lietuvos Respublikos konkurencijos įstatymo, Lietuvos Respublikos reklamos įstatymo, Lietuvos Respublikos mažmeninės prekybos įmonių nesąžiningų veiksmų draudimo įstatymo, Lietuvos Respublikos darbo kodekso, Lietuvos Respublikos valstybės tarnybos įstatymo ir kitų teisės aktų nuostatų įgyvendinimu, Konkurencijos taryboje gali būti tvarkomi asmens duomenys.

7.       Konkurencijos taryboje neautomatiniu būdu susistemintose rinkmenose ir (arba) automatiniu būdu gali būti tvarkomi šie asmens duomenys:

8.       Asmens duomenys Konkurencijos taryboje tvarkomi šiais tikslais:

9.       Su konkurencijos priežiūros funkcijos vykdymu susiję asmens duomenys Konkurencijos taryboje tvarkomi remiantis BDAR 6 straipsnio 1 dalies e punktu, t.y. tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. Asmens duomenys Konkurencijos taryboje gali būti tvarkomi remiantis ir kitais BDAR numatytais teisiniais pagrindais, kaip pavyzdžiui, jei duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais (BDAR 6 str. 1 d. a) punktas), jei tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį (BDAR 6 str. 1 d. b) punktas) ar jei tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė (BDAR 6 str. 1 d. c) punktas).

10. Konkurencijos tarybos darbuotojai, atlikdami savo funkcijas ir tvarkydami asmens duomenis, privalo laikytis pagrindinių asmens duomenų tvarkymo reikalavimų:

11. Asmens duomenų saugojimo terminus ir veiksmus, kurie atliekami pasibaigus šiam terminui, nustato teisės aktai, reglamentuojantys atitinkamų asmens duomenų tvarkymą. Asmens duomenys saugomi ne ilgiau, negu to reikalauja duomenų tvarkymo tikslai. Konkretūs dokumentų saugojimo terminai nustatyti Konkurencijos tarybos kasmetiniame Dokumentacijos plane ir kituose Konkurencijos tarybos teisės aktuose. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie yra sunaikinami (ištrinami), išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti Lietuvos valstybės naujajam archyvui ar yra saugomi teisės aktų nustatyta tvarka ir terminais.

12. Konkurencijos tarybos darbuotojai turi teisę tvarkyti (pavyzdžiui, rinkti, analizuoti, peržiūrėti, perduoti, saugoti, naikinti ar kitaip naudoti) asmens duomenis tik atlikdami savo tiesiogines funkcijas, apibrėžtas pareigybių aprašymuose arba kitaip priskirtas Konkurencijos tarybos pavedimu, ir tik teisės aktų nustatyta tvarka bei šiose Taisyklėse nurodytiems tikslams pasiekti.

13. Darbuotojai automatizuotu būdu tvarkyti asmens duomenis gali tik po to, kai jiems tokį įgaliojimą suteikia Konkurencijos tarybos pirmininkas ar kitas įgaliotas asmuo ir teisės aktų nustatyta tvarka jiems suteikiama prieigos teisė prie bylos medžiagos ar atitinkamos informacinės sistemos, kurioje yra asmens duomenų. Darbo santykiams pasibaigus, darbuotojui prieigos prie registrų ir kitų programų teisės panaikinamos teisės aktų nustatyta tvarka.

14. Darbuotojai, kuriems suteikta teisė tvarkyti asmens duomenis, informuojami ir apmokomi prieigos prie atitinkamos informacinės sistemos teisę suteikusių subjektų nustatyta tvarka. Kitais atvejais dėl asmens duomenų tvarkymo darbuotojus apmoko ir informuoja Konkurencijos tarybos pirmininko paskirti už duomenų apsaugą atsakingi asmenys arba akredituotas mokymo paslaugų teikėjas.

15. Konkurencijos tarybos pirmininkas ar jo įgalioti asmenys privalo užtikrinti, kad būtų laikomasi pagrindinių asmens duomenų tvarkymo reikalavimų Konkurencijos taryboje, kontroliuoti, kaip darbuotojai tvarko asmens duomenis, nedelsiant imtis atitinkamų organizacinių priemonių (leidžiami įsakymai, nurodymai, rekomendacijos) pašalinti asmens duomenų tvarkymo pažeidimus, kad būtų įgyvendintos duomenų valdytojui priskirtos prievolės (pavyzdžiui, įpareigojant nutraukti neteisėtus ar asmens duomenų apsaugos reikalavimus pažeidžiančius duomenų tvarkymo veiksmus, nustatyta tvarka užslaptinti asmens duomenis, sunaikinti dokumentų, kuriuose yra nurodyti asmens duomenys, kopijas ir pan.). Konkurencijos tarybos pirmininko įsakymu Konkurencijos taryboje yra paskirtas Konkurencijos tarybos duomenų apsaugos pareigūnas.

16. Konkurencijos tarybos viešai skelbiami nutarimai, kuriuose yra asmens duomenų, yra nuasmeninami darant dokumentų išrašą.

17. Konkurencijos tarybos dokumentai, kuriuose yra asmens duomenis sudarančios informacijos, turi būti nuasmeninami prieš juos perduodant tretiesiems asmenims, neturintiems teisės susipažinti su šiais asmens duomenimis.

18. Konkurencijos tarybos raštuose, kuriuose prašoma pateikti dokumentus ir kitą informaciją, taip pat nurodomas reikalavimas pateikti nuasmenintus dokumentų išrašus.

19. Pažeidimu įtariamiems ūkio subjektams ir jų atstovams gali būti leidžiama susipažinti su asmens duomenis sudarančia informacija siekiant užtikrinti jų teisę į gynybą.

20. Tretiesiems asmenims asmens duomenis sudaranti informacija neteikiama, išskyrus įstatymų ar kitų teisės aktų nustatytus atvejus ir jei tai būtina vykdant Konkurencijos tarybai pavestas funkcijas. Teisės aktų nustatytais atvejais ir tvarka Konkurencijos taryba gali teikti jos tvarkomus asmens duomenis tretiesiems asmenims, kuriems asmens duomenis teikti Konkurencijos tarybą įpareigoja įstatymai ir kiti teisės aktai pagal duomenų gavėjo prašymą (vienkartinio teikimo atveju) arba Konkurencijos tarybos ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį (daugkartinio teikimo atveju).

21. Techninės priemonės gali būti naudojamos, jeigu jos atitinka Tyrimų tikslais naudojamų techninių ir programinių priemonių priežiūros ir parengimo naudoti bei jomis paimtos informacijos saugojimo Lietuvos Respublikos konkurencijos taryboje taisyklėse ir kituose teisės aktuose numatytus reikalavimus.

22. Atliekant tyrimo veiksmus ir proceso dalyvių išklausymo Konkurencijos taryboje posėdžių metu, įstatymų, kurių priežiūrą vykdo Konkurencijos taryba, įgyvendinimo ir įtariamų teisės pažeidimų tyrimų tikslais, gali būti daromas garso ir (ar) vaizdo įrašas apie tai informuojant proceso dalyvius ar tyrimo veiksmuose dalyvaujančius duomenų subjektus.

23. Kitais atvejais garso ir (ar) vaizdo įrašai nedaromi, išskyrus atvejus, kai yra gautas duomenų subjekto sutikimas ar pareiga daryti garso ir (ar) vaizdo įrašą yra numatyta įstatymuose ar kituose teisės aktuose.

24. Pretendentų į darbuotojus Konkurencijos taryboje asmens duomenys tvarkomi pagal Konkurencijos tarybos vidaus darbo tvarkos taisykles ir kitus teisės aktus. Į pareigas priėmus kitą asmenį nei pretendentą, pastarojo gyvenimo ir veiklos aprašymas pretendento sutikimu saugomas Konkurencijos taryboje ne ilgiau kaip dvejus metus.

25. Konkurencijos taryboje taikomos asmens duomenų apsaugos organizacinės ir techninės priemonės (toliau – saugumo priemonės) nurodytos Taisyklių 2 priede.

26. Konkurencijos tarybos darbuotojai privalo laikytis Taisyklių nuostatų ir prisidėti įgyvendinant Konkurencijos taryboje įdiegtas organizacines ir technines priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto naikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Konkurencijos tarybos darbuotojai turi užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugodami dokumentus Konkurencijos tarybos teisės aktų nustatyta tvarka, taip pat vengdami nereikalingų kopijų darymo. Nereikalingos kompiuterinės laikmenos, kuriose yra asmens duomenų, turi būti ištrinamos arba kitaip sunaikinamos.

27. Konkurencijos tarybos darbuotojai, tvarkantys asmens duomenis, turi laikytis BDAR, Asmens duomenų teisinės apsaugos įstatyme, kituose teisės aktuose bei šiose Taisyklėse numatytų reikalavimų ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino atlikdami savo funkcijas. Vidaus administravimo skyrius turi užtikrinti, kad Konkurencijos tarybos darbuotojai pasirašytinai susipažintų su šiomis Taisyklėmis ir įsipareigotų saugoti asmens duomenų paslaptį. Pastaroji pareiga taip pat galioja darbuotoją paskyrus į kitas pareigas Konkurencijos taryboje bei pasibaigus darbo santykiams.

28. Jeigu Konkurencijos tarybos darbuotojas abejoja saugumo priemonių patikimumu, jis kreipiasi į tiesioginį vadovą ir duomenų apsaugos pareigūną. Esant pagrindui, inicijuojamas papildomų saugumo priemonių organizavimas.

29. Asmens duomenų saugumo pažeidimo atveju, Konkurencijos tarybos pirmininkas arba jo įgaliotas asmuo, BDAR 33 straipsnyje numatyta tvarka informuoja Valstybinę duomenų apsaugos inspekciją. BDAR 34 straipsnyje numatytais atvejais ir tvarka yra informuojamas ir duomenų subjektas.

30. Konkurencijos taryboje esančios elektroninės bylos ir naudojamos informacinės sistemos, kuriose kaupiami asmens duomenys, gali būti prieinamos tik tiems Konkurencijos tarybos darbuotojams, kuriems suteikta prieiga. Konkurencijos tarybos kompiuteriuose yra įdiegiamos antivirusinės programos ir užtikrinamas jų atnaujinimas.

31.      Tvarkant asmens duomenis Konkurencijos taryboje, duomenų subjektai turi šias BDAR III skyriuje įvardintas teises:

32.      Duomenų subjekto teisės įgyvendinamos BDAR, Asmens duomenų teisinės apsaugos įstatymo ir šių Taisyklių numatyta tvarka ir sąlygomis.

33.      Duomenų subjektai, siekdami įgyvendinti aukščiau nurodytas teises, išskyrus teisę žinoti (būti informuotam) apie asmens duomenų tvarkymą Konkurencijos taryboje, Konkurencijos tarybai turi pateikti rašytinį prašymą asmeniškai, paštu ar per pasiuntinį, ar elektroninių ryšių priemonėmis. Prašymas turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, gyvenamoji vieta, duomenys ryšiui palaikyti ir informacija apie tai, kokias teises ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti. Kreipiantis raštu dėl duomenų subjekto teisių įgyvendinimo, rekomenduojama pateikti Taisyklių 1 priede nurodytos formos prašymą.

34.      Jeigu dėl duomenų subjekto teisių įgyvendinimo prašymas pateiktas raštu asmeniškai, duomenų subjektas turi patvirtinti savo tapatybę pateikdamas asmens tapatybę patvirtinantį dokumentą. To nepadarius, duomenų subjekto teisės nėra įgyvendinamos.

35.      Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi raštu, pateikiant prašymą paštu ar per pasiuntinį, tuomet kartu su prašymu turi būti pateikta notaro patvirtinta asmens tapatybę patvirtinančio dokumento kopija. Teikiant prašymą elektroninėmis priemonėmis, prašymas turi būti pasirašytas kvalifikuotu elektroniniu parašu arba jis turi būti suformuotas elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą.

36.      Duomenų subjektas savo teises gali įgyvendinti pats arba per atstovą. Pastaruoju atveju atstovas prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, duomenis ryšiui palaikyti ir atstovaujamojo asmens vardą, pavardę, gyvenamąją vietą, norimas įgyvendinti duomenų subjekto teises bei jų apimtį. Atstovas turi pridėti atstovavimą patvirtinantį dokumentą arba jo kopiją, patvirtintą teisės aktų nustatyta tvarka.

37.      Esant abejonių dėl duomenų subjekto tapatybės, duomenų valdytojas prašo papildomos informacijos, reikalingos ja įsitikinti.

38.      Jeigu asmens (ar jo atstovo) prašymas dėl duomenų subjekto teisių įgyvendinimo pateiktas nesilaikant šių Taisyklių nustatytos tvarkos ir reikalavimų, jis nenagrinėjamas, ir nedelsiant, bet ne vėliau kaip per 5 darbo dienas, duomenų subjektas apie tai informuojamas nurodant priežastis ir siūlant ištaisyti nustatytus trūkumus.

39.      Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba.

40.      Konkurencijos taryba turi užtikrinti, kad visa reikalinga informacija duomenų subjektui būtų pateikiama aiškiai ir suprantamai.

41.      Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai.

42.      Gavus duomenų subjekto prašymą, duomenų valdytojas, nepagrįstai nedelsiant, bet ne vėliau kaip per 30 kalendorinių dienų nuo prašymo gavimo, duomenų subjektui pateikia informaciją apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Atsižvelgiant į duomenų subjektų prašymų sudėtingumą ir skaičių, 30 kalendorinių dienų terminas gali būti pratęstas dar dviem mėnesiams, informuojant duomenų subjektą apie tokį termino pratęsimą ir pateikiant termino pratęsimo priežastis.

43.      Tuo atveju, jei duomenų valdytojas nesiima veiksmų pagal duomenų subjekto prašymą, duomenų valdytojas ne vėliau per 30 kalendorinių dienų informuoja duomenų subjektą apie neveikimo priežastis ir apie galimybę pateikti skundą Valstybinei duomenų apsaugos inspekcijai.

44.      Jeigu prašymo nagrinėjimo metu nustatoma, kad duomenų subjekto teisės yra apribotos BDAR 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.

45.      Į duomenų subjekto prašymą yra atsakoma tokia forma, kokia buvo pateiktas paklausimas ar prašymas, išskyrus atvejus, kai prašyme ar paklausime yra nurodyta kita forma.

46.      Konkurencijos tarybos darbuotojų veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę teisės aktų nustatyta tvarka skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento (ES) 2016/679 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai, A. Juozapavičiaus g. 6, 09310 Vilnius, el. paštas ada@ada.lt, interneto svetainė www.ada.lt,  taip pat Vilniaus apygardos administraciniam teismui.

47.      Dėl duomenų subjekto teisių pažeidimo patyrus materialinę ar nematerialinę žalą, duomenų subjektas turi teisę į kompensaciją, dėl kurios priteisimo turi teisę kreiptis į Vilniaus apygardos administracinį teismą.

48.      Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis į duomenų apsaugos pareigūną, kurio kontaktiniai duomenys yra nurodyti Konkurencijos tarybos internetinėje svetainėje. Siekiant užtikrinti BDAR 38 straipsnio 5 dalyje įtvirtintą konfidencialumą, kreipiantis į duomenų apsaugos pareigūną paštu, ant voko užrašoma, kad korespondencija skirta duomenų apsaugos pareigūnui. Duomenų apsaugos pareigūnas atsako duomenų subjektui šiose Taisyklėse numatytais terminais ir tvarka.

PIRMASIS SKIRSNIS

TEISĖ BŪTI INFORMUOTAM APIE ASMENS DUOMENŲ TVARKYMĄ

ANTRASIS SKIRSNIS

TEISĖ SUSIPAŽINTI SU TVARKOMAIS ASMENS DUOMENIMIS

TREČIASIS SKIRSNIS

TEISĖ REIKALAUTI IŠTAISYTI DUOMENIS

KETVIRTASIS SKIRSNIS

TEISĖ REIKALAUTI IŠTRINTI DUOMENIS

PENKTASIS SKIRSNIS

TEISĖ APRIBOTI DUOMENŲ TVARKYMĄ

ŠEŠTASIS SKIRSNIS

TEISĖ NESUTIKTI SU DUOMENŲ TVARKYMU

SEPTINTASIS SKIRSNIS

TEISĖ Į ASMENS DUOMENŲ PERKELIAMUMĄ

73.      Konkurencijos tarybos darbuotojai privalo laikytis Taisyklių nuostatų. Už Taisyklių nuostatų pažeidimą Konkurencijos tarybos darbuotojai gali būti traukiami atsakomybėn teisės aktų nustatyta tvarka.

74.      Asmens duomenų tvarkymo keliamos rizikos vertinimas atliekamas nustačius asmens duomenų tvarkymo pažeidimus ir kitais būtinais atvejais, bet ne rečiau kaip kartą per dvejus metus. Atliekant rizikos vertinimą išanalizuojama Konkurencijos taryboje esanti situacija, analizuojant ir vertinant su asmens duomenų tvarkymu Konkurencijos taryboje susijusią informaciją, šią sritį reglamentuojantys teisės aktai bei surašoma išvada dėl asmens duomenų tvarkymo keliamos rizikos. Išvadoje nurodomos siūlomos priemonės, kurių būtina imtis nustatytiems rizikos veiksniams valdyti ar šalinti bei kiti pasiūlymai dėl asmens duomenų tvarkymo tvarkos Konkurencijos taryboje tobulinimo.

75.      Taisyklės peržiūrimos ne rečiau kaip kartą per dvejus metus ir, esant reikalui, atnaujinamos.