Joniškio rajono savivaldybės
Administracijos direktorius
Įsakymas
DĖL ASMENS DUOMENŲ TVARKYMO JONIŠKIO RAJONO SAVIVALDYBĖS ADMINISTRACIJOJE POLITIKOS PATVIRTINIMO
2021 m. spalio 18 d. Nr. A-1004
Joniškis
Vadovaudamasis Lietuvos Respublikos vietos savivaldos įstatymo 18 straipsnio 1 dalimi, 29 straipsnio 8 dalies 2 punktu, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, įgyvendindamas 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB:
1. T v i r t i n u Asmens duomenų tvarkymo Joniškio rajono savivaldybės administracijoje politiką (pridedama).
2. P r i p a ž į s t u netekusiu galios Joniškio rajono savivaldybės administracijos direktoriaus 2016 m. birželio 16 d. įsakymą Nr. A-558 „Dėl asmens duomenų tvarkymo Joniškio rajono savivaldybės administracijoje taisyklių patvirtinimo“ su visais pakeitimais ir papildymais.
PATVIRTINTA
Joniškio rajono savivaldybės
administracijos direktoriaus
2021 m. spalio 18 d. įsakymu Nr. A-1004
ASMENS DUOMENŲ TVARKYMO JONIŠKIO RAJONO SAVIVALDYBĖS ADMINISTRACIJOJE POLITIKA
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo Joniškio rajono savivaldybės administracijos politikos (toliau – Politika) tikslas – reglamentuoti asmens duomenų tvarkymą Joniškio rajono savivaldybės administracijoje, nustatyti pagrindines asmens duomenų tvarkymo, duomenų subjekto teisių įgyvendinimo, duomenų apsaugos technines bei organizacines priemones ir kitas procedūras, siekiant užtikrinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.
2. Duomenų subjektų asmens duomenis tvarko duomenų valdytojas – Joniškio rajono savivaldybės administracija (toliau – Savivaldybės administracija).
3. Politikos privalo laikytis visi Savivaldybės administracijoje dirbantys valstybės tarnautojai, darbuotojai, dirbantys pagal darbo sutartis, ir studentai, priimti atlikti praktiką Savivaldybės administracijoje, stažuotojai bei kitais pagrindais atliekantys funkcijas ar vykdantys veiklą Savivaldybės administracijoje asmenys (toliau – darbuotojai), kurie tvarko asmens duomenis arba eidami savo pareigas sužino asmens duomenis.
4. Politikoje nurodytų asmens duomenų valdytojas yra Savivaldybės administracija, kuri užtikrina, kad asmens duomenys Savivaldybės administracijoje bus tvarkomi laikantis Reglamente (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose nustatytų asmens duomenų tvarkymo reikalavimų. Politikoje nurodytus asmens duomenis teisės aktų nustatytais atvejais ir tvarka gali tvarkyti ir kiti subjektai (asmens duomenų valdytojai ir tvarkytojai).
5. Savivaldybės administracija, kaip asmens duomenų valdytoja, atlikdama Lietuvos Respublikos įstatymuose ir kituose teisės aktuose nustatytas funkcijas, turi teisę gauti iš valstybės ir savivaldybių institucijų, įstaigų, organizacijų ir trečiųjų asmenų informaciją teisės aktų nustatyta tvarka tvarkyti asmens duomenis.
II SKYRIUS
DUOMENŲ TVARKYMO principai IR TIKSLAI
7. Savivaldybės administracijos darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo laikytis pagrindinių asmens duomenų tvarkymo principų:
7.2. asmens duomenys turi būti renkami teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu;
7.3. renkant ir tvarkant asmens duomenis, laikytis tikslingumo, proporcingumo ir duomenų kiekio mažinimo principų, t. y. nereikalauti iš interesantų pateikti tų duomenų, kurie nėra būtini Savivaldybės administracijos funkcijoms vykdyti, nekaupti ir netvarkyti perteklinių duomenų ir duomenų, kurie nėra būtini atitinkamiems tikslams pasiekti;
7.4. užtikrinti asmens duomenų tikslumą ir, jei reikia dėl asmens duomenų tvarkymo, juos atnaujinti; netikslius ar neišsamius duomenis ištaisyti, papildyti, sunaikinti arba jų tvarkymą sustabdyti;
7.5. asmens duomenis saugoti tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;
7.6. asmens duomenis tvarkyti tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;
8. Savivaldybės administracija, įgyvendindama savarankiškąsias ir valstybines (valstybės perduotas savivaldybėms) funkcijas, asmens duomenis pagal kompetenciją tvarko teikiamoms administracinėms paslaugoms vykdyti bei vidaus administravimo funkcijoms atlikti.
9. Savivaldybės administracijos direktorius, jo pavaduotojas asmens duomenis tvarko tiek, kiek reikia organizuojant ir kontroliuojant Savivaldybės administracijos veiklą.
10. Savivaldybės administracijos darbuotojai gali tvarkyti asmens duomenis ir kitais tikslais, jei tai yra būtina jiems pavestų funkcijų vykdymui.
III SKYRIUS
DUOMENŲ VALDYTOJO FUNKCIJOS, TEISĖS IR PAREIGOS, DUOMENŲ VALDYMO IR TVARKYMO ORGANIZACINĖ STRUKTŪRA
12. Savivaldybės administracija, tvarkydama asmens duomenis, atlieka šias funkcijas:
12.2. užtikrina, kad asmens duomenys būtų renkami nustatytais, aiškiai apibrėžtais ir teisėtais tikslais ir toliau tvarkomi tik su tais tikslais suderinamu būdu;
12.4. užtikrina, kad asmens duomenys būtų adekvatūs, tinkami ir tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi;
12.5. užtikrina, kad asmens duomenys būtų tikslūs ir prireikus atnaujinami, o netikslūs asmens duomenys nedelsiant ištrinami arba ištaisomi;
12.6. užtikrina, kad asmens duomenys būtų laikomi tokia forma, kad nustatyti duomenų subjekto tapatybę būtų galima ne ilgiau, nei būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;
12.7. užtikrina, kad būtų taikomos tinkamos techninės ir organizacinės duomenų saugumo priemonės, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;
13. Savivaldybės administracija turi šias teises:
14. Savivaldybės administracija turi šias pareigas:
14.1. užtikrinti, kad asmens duomenys būtų tvarkomi pagal teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytus asmens duomenų tvarkymo reikalavimus;
14.3. užtikrinti asmens duomenų saugumą, įgyvendinant tinkamas organizacines ir technines asmens duomenų saugumo priemones;
14.4. parinkti tik tokį duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines asmens duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi;
14.8. valdyti asmens duomenų saugumo pažeidimus ir teisės aktuose nustatytais atvejais pranešti apie juos priežiūros institucijai ir duomenų subjektams;
14.9. tiek nustatant duomenų tvarkymo priemones, tiek duomenų tvarkymo metu nuo asmens duomenų surinkimo iki saugojimo termino pabaigos įgyvendinti tinkamas technines ir organizacines priemones, įskaitant pseudonimų suteikimą, kad būtų veiksmingai įgyvendinti duomenų apsaugos principai, nurodyti Politikos 7 punkte;
15. Asmens duomenų tvarkymo principų ir duomenų valdytojo (tvarkytojo) pareigų įgyvendinimą užtikrina Savivaldybės administracijos duomenų valdymo organizacinė struktūra:
15.3. struktūrinių ar struktūrinių teritorinių padalinių vadovai, specialistai, nepriskirti kitiems struktūriniams padaliniams;
16. Savivaldybės administracijos direktorius arba jo įgaliotas asmuo organizuoja asmens duomenų tvarkymą Savivaldybės administracijoje, nustato darbuotojų teises ir pareigas vykdant asmens duomenų tvarkymą, priima sprendimus dėl pritarimo pradėti planuojamą duomenų tvarkymo veiklą, taip pat atlieka kitas funkcijas užtikrinant asmens duomenų apsaugos organizavimą ir valdymą Savivaldybės administracijoje.
17. Duomenų apsaugos pareigūnas atlieka šias funkcijas:
17.1. informuoja Savivaldybės administracijos direktorių, struktūrinių padalinių vadovus ir su asmens duomenų tvarkymu bei apsauga susijusius darbuotojus apie jų prievoles tvarkant asmens duomenis ir konsultuoja juos šiais klausimais;
17.2. vykdo Politikos, Informacinių sistemų saugos nuostatų, įstatymų ir kitų asmens duomenų tvarkymą reglamentuojančių teisės aktų įgyvendinimo Savivaldybės administracijoje priežiūrą bei teikia pasiūlymus dėl teisės aktų tobulinimo;
17.3. organizuoja ir vykdo Savivaldybės administracijos darbuotojų švietimą ir mokymus asmens duomenų tvarkymo klausimais;
17.5. atlieka kontaktinio asmens funkcijas bendradarbiaujant bei konsultuojantis su Valstybine duomenų apsaugos inspekcija;
17.6. nagrinėja Duomenų subjektų tiesiogiai pateiktus prašymus, susijusius su jų asmeninių duomenų tvarkymu siekiant užtikrinti jų teisių įgyvendinimą;
18. Struktūrinių ar struktūrinių teritorinių padalinių vadovai (specialistai nepriskirti kitiems struktūriniams padaliniams) organizuoja jų vadovaujamų padalinių (specialistai – jų tvarkomų asmens duomenų) veiklai reikalingų asmens duomenų tvarkymą – vykdo „duomenų šeimininko“ funkcijas:
18.1. inicijuoja veiklai reikalingų naujų asmens duomenų tvarkymą, duomenų tvarkytojo pasitelkimą, sprendimus dėl duomenų gavimo ar perdavimo;
18.2. nustato ir įgyvendiną organizacines ir technines priemones siekiant užtikrinti asmens duomenų apsaugą ir saugumą;
18.4. inicijuoja asmens duomenų tvarkymo veiklos įrašų atnaujinimą, informuojant apie pasikeitimus duomenų apsaugos pareigūną;
IV SKYRIUS
ASMENS DUOMENŲ TVARKYMAS
20. Savivaldybės administracijoje asmens duomenys tvarkomi vadovaujantis Reglamentu (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Lietuvos Respublikos elektroninių ryšių įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir privatumo apsaugą, Lietuvos standartais LST ISO/IEC 27001 ir LST ISO/IEC 27002.
21. Savivaldybės administracija tvarko tik tuos asmens duomenis, kurie būtini kiekvienam konkrečiam duomenų tvarkymo tikslui.
22. Asmens duomenys Savivaldybės administracijoje tvarkomi automatiniu būdu ir (ar) neautomatiniu būdu susistemintose rinkmenose.
23. Asmens duomenys Savivaldybės administracijoje automatiniu būdu tvarkomi ir saugomi tarnybinėse stotyse, informacinėse sistemose, darbuotojų kompiuteriuose.
24. Asmens duomenys Savivaldybės administracijoje renkami tik įstatymų ir kitų teisės aktų nustatyta tvarka, juos gaunant tiesiogiai iš duomenų subjektų, oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų ar sutarčių ir teisės aktų pagrindu prisijungiant prie atskirus duomenis kaupiančių duomenų bazių, registrų ir informacinių sistemų.
25. Asmens duomenų tvarkymo funkcijas vykdantys ir su Savivaldybės administracijos tvarkomais asmens duomenimis galintys susipažinti darbuotojai turi pasirašyti nustatytos formos Savivaldybės administracijos darbuotojo įsipareigojimą saugoti asmens duomenų paslaptį (1 priedas), kuris saugomas asmens byloje. Pareiga saugoti asmens duomenų paslaptį taip pat galioja darbuotoją paskyrus į kitas pareigas savivaldybės administracijoje bei pasibaigus darbo santykiams. Savivaldybės administracijos darbuotojų pasirašyti įsipareigojimai iš naujo yra peržiūrimi ne rečiau kaip kartą per metus.
26. Darbuotojai automatiniu būdu tvarkyti asmens duomenis gali tik po to, kai jiems suteikiama prieigos teisė prie atitinkamos informacinės sistemos. Prieiga prie asmens duomenų gali būti suteikta tik tam asmeniui, kuriam asmens duomenys yra reikalingi jo funkcijoms vykdyti. Darbo santykiams pasibaigus, darbuotojui prieigos prie registrų ir kitų programų teisės panaikinamos.
27. Tais atvejais, kai yra naudojami asmens duomenys viešai skelbiamame dokumente – asmens duomenys yra nuasmeninami. Pavyzdžiui, dokumente naudojant vardą ir pavardę, asmens vardas ir pavardė yra nerašomi, o į jų vietą parašoma „(duomenys neskelbtini)“.
28. Savivaldybės administracija, kaip duomenų tvarkytoja, tvarko asmens duomenis valstybės registruose, informacinėse sistemose atitinkamo registro, informacinės sistemos nuostatų nustatyta tvarka.
29. Garso ir vaizdo įrašymo priemonės Savivaldybės administracijoje yra naudojamos tik prieš tai informavus asmenis, kurių duomenys bus fiksuojami. Informacija apie garso ir vaizdo įrašymo priemonių naudojimą posėdžių metu turi būti užfiksuota protokoluose.
30. Savivaldybės administracijos renginiuose, kurių metu bus filmuojama ar fotografuojama, savivaldybės administracijos darbuotojas, atsakingas už renginio organizavimą, renginio dalyviams matomoje vietoje pateikia nustatytos formos informaciją (2 priedas), o jeigu nėra galimybės, priede nurodytą informaciją pateikia žodžiu.
V SKYRIUS
DUOMENŲ SAUGOJIMO IR SUNAIKINIMO TVARKA
32. Asmens duomenų saugojimo terminus ir veiksmus, kurie atliekami pasibaigus šiam terminui, nustato teisės aktai, reglamentuojantys asmens duomenų tvarkymą. Konkretūs asmens dokumentų (duomenų) saugojimo terminai yra nustatomi Savivaldybės administracijos direktoriaus patvirtintame dokumentacijos plane.
33. Asmens duomenys Savivaldybės administracijoje saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.
34. Dokumentus, kuriuose yra asmens duomenų, saugo Savivaldybės administracijos padaliniai pagal dokumentacijos plane patvirtintą terminą.
35. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie yra sunaikinami, išskyrus tuos asmens duomenis, kurie įstatymų nustatyta tvarka turi būti perduodami į archyvą.
36. Dokumentai, kuriuose yra asmens duomenų, ar jų kopijos turi būti sunaikinti taip, kad jų nebūtų galima atkurti ir atpažinti turinio.
37. Asmens duomenys, nebereikalingi jų tvarkymo tikslams pasiekti, yra sunaikinami, išskyrus tuos, kurie teisės aktų nustatytais atvejais turi būti perduodami į tam tikrą archyvą. Sunaikinimas apibrėžiamas kaip fizinis ar techninis veiksmas, kuriuo dokumente esantys duomenys padaromi neatkuriamais įprastinėmis komerciškai prieinamomis priemonėmis. Elektronine forma saugomi asmens duomenys sunaikinami juos ištrinant be galimybės atkurti. Popieriniai dokumentai, kuriuose yra asmens duomenų, susmulkinami, o likučiai saugiu būdu sunaikinami.
VI SKYRIUS
DARBUOTOJŲ ASMENS DUOMENŲ TVARKYMAS IR SAUGOJIMAS
38. Darbuotojų asmens duomenis turi teisę tvarkyti tik tie asmenys, kuriems jie yra būtini funkcijoms vykdyti, ir tik tuomet, kai tai yra būtina atitinkamiems tikslams pasiekti.
39. Darbuotojų asmens duomenys saugomi asmens bylose bei atitinkamose Savivaldybės administracijos tvarkomose duomenų bazėse.
40. Savivaldybės administracijos darbuotojai apie jų asmens duomenų tvarkymą informuojami raštu duomenų gavimo metu ar prieš gaunant asmens duomenis Jiems pasirašyti pateikiama informavimo apie asmens duomenų tvarkymą nustatyta forma (3 priedas), kuri užpildyta ir pasirašyta saugoma Savivaldybės administracijos darbuotojų asmens bylose.
41. Savivaldybės administracija vykdo nuolatinę tarnybinių automobilių stebėseną naudodama vietos nustatymo įrenginius (toliau – Įrenginiai). Apie šių įrenginių naudojimą Savivaldybės administracijos darbuotojai informuojami Savivaldybės administracijos direktoriaus nustatyta asmens duomenų tvarkymo vykdant darbuotojų tarnybinių automobilių naudojimo stebėseną tvarka.
42. Vaizdo stebėjimą Savivaldybės administracijos patalpose ar teritorijose, užtikrinant Reglamento (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, kitų įstatymų bei teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą, reglamentuoja Savivaldybės administracijos direktoriaus nustatyta vaizdo duomenų tvarkymo Savivaldybės administracijoje tvarka.
VII SKYRIUS
REIKALAVIMAI TVARKANTIEMS ASMENS DUOMENIS
44. Savivaldybės administracija užtikrina, kad asmens duomenis tvarkytų ar su jais susipažinti galėtų tik tie darbuotojai, kuriems tokie duomenys yra reikalingi jų funkcijoms atlikti.
45. Savivaldybės administracijos darbuotojai, tvarkydami asmens duomenis informacinėse sistemose, su asmens duomenimis gali atlikti tik tuos veiksmus, kuriems atlikti yra suteiktos teisės.
46. Savivaldybės administracijos darbuotojai, tvarkantys asmens duomenis, privalo:
46.1. laikytis su asmens duomenų tvarkymu susijusių principų ir saugumo reikalavimų, įtvirtintų Reglamente (ES) 2016/679, Politikoje ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą ir privatumo apsaugą;
46.2. laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino atlikdami savo funkcijas, nebent tokia informacija yra vieša pagal galiojančių teisės aktų reikalavimus;
46.3. neatskleisti, neperduoti ar kitu būdu nesudaryti galimybės naudotis ir (ar) susipažinti su asmens duomenimis nė vienam asmeniui, kuriam nėra pavesta dirbti ir (ar) susipažinti su asmens duomenimis Savivaldybės administracijoje ar už jos ribų;
46.5. duomenų subjektų pateiktus dokumentus ir jų kopijas, finansavimo, buhalterinės apskaitos ir atskaitomybės, archyvines ar kitas bylas, kuriose yra asmens duomenų, saugoti rakinamose spintose, seifuose arba patalpose. Dokumentus, kuriuose yra asmens duomenų, laikyti taip, kad teisės susipažinti su asmens duomenimis neturintys asmenys negalėtų su jais susipažinti (švaraus stalo politika);
VIII SKYRIUS
DUOMENŲ APSAUGOS PAREIGŪNAS
48. Savivaldybės asmens duomenų apsaugos pareigūno funkcijas atlieka Savivaldybės administracijos darbuotojas. Savivaldybės administracija apie duomenų apsaugos pareigūno paskyrimą praneša Valstybinei duomenų apsaugos inspekcijai.
49. Savivaldybės administracija užtikrina duomenų apsaugos pareigūnui garantijas, įtvirtintas Reglamento (ES) 2016/679 38 straipsnyje.
51. Savivaldybės administracijos darbuotojai, tvarkantys asmens duomenis ar organizuojantys jų tvarkymą, siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam duomenų tvarkymui, privalo konsultuotis su duomenų apsaugos pareigūnu ir gauti jo nuomonę šiais atvejais:
51.2. tobulinant esamas ar diegiant naujas su asmens duomenų tvarkymu susijusias sistemas ar programas;
51.6. sprendžiant dėl asmens duomenų teikimo tretiesiems asmenims, jeigu toks teikimas nėra numatytas asmens duomenų teikimo sutartyje ar nėra reglamentuotas teisės aktuose;
52. Priimant sprendimus Politikos 51.1–51.6 papunkčiuose nurodytais atvejais, duomenų apsaugos pareigūno nuomonė gaunama raštu. Jeigu priimant šiuos sprendimus į duomenų apsaugos pareigūno nuomonę visiškai ar iš dalies neatsižvelgiama, neatsižvelgimo motyvai išdėstomi raštu.
53. Savivaldybės administracijos darbuotojai privalo bendradarbiauti su duomenų apsaugos pareigūnu ir teikti jam informaciją apie vykdomą asmens duomenų tvarkymą.
54. Duomenų apsaugos pareigūnas nevykdo jokių kitų pareigų ar funkcijų, kurios galėtų sukelti interesų konfliktą su jo atliekamomis pareigūno funkcijomis.
IX SKYRIUS
TECHNINĖS IR ORGANIZACINĖS ASMENS DUOMENŲ APSAUGOS
PRIEMONĖS
56. Savivaldybės administracijos darbuotojai privalo laikytis Politikos nuostatų ir prisidėti įgyvendinant Savivaldybės administracijoje įdiegtas organizacines ir technines priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto naikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.
57. Savivaldybės administracijos įgyvendinamos asmens duomenų saugumo priemonės išdėstytos Joniškio rajono savivaldybės administracijos informacinės sistemos duomenų saugos nuostatuose, patvirtintuose Joniškio rajono savivaldybės administracijos direktoriaus 2015 m. vasario 2 d. įsakymu Nr. A-119 „Dėl Joniškio rajono savivaldybės administracijos informacinės sistemos duomenų saugos nuostatų patvirtinimo“, Joniškio rajono savivaldybės administracijos saugaus elektroninės informacijos tvarkymo taisyklėse ir Joniškio rajono savivaldybės administracijos informacinės sistemos naudotojų administravimo taisyklėse, patvirtintose Joniškio rajono savivaldybės administracijos direktoriaus 2016 m. birželio 1 d. įsakymu Nr. A-496 „Dėl Joniškio rajono savivaldybės administracijos saugaus elektroninės informacijos tvarkymo taisyklių, Joniškio rajono savivaldybės administracijos informacinės sistemos veiklos tęstinumo valdymo plano ir Joniškio rajono savivaldybės administracijos informacinės sistemos naudotojų administravimo taisyklių patvirtinimo“.
X SKYRIUS
ASMENS DUOMENŲ TEIKIMAS DUOMENŲ GAVĖJAMS IR DUOMENŲ TVARKYTOJAMS
58. Savivaldybės administracija teikia asmens duomenis duomenų gavėjams – tretiesiems asmenims ir duomenų tvarkytojams.
59. Asmens duomenys tretiesiems asmenims teikiami pagal asmens duomenų teikimo sutartį (daugkartinio teikimo atveju), pagal prašymą (vienkartinio teikimo atveju) arba teisės aktų nustatyta tvarka.
60. Sprendimą perduoti duomenų subjekto duomenų tvarkymą asmens duomenų tvarkytojui priima Savivaldybės administracijos direktorius arba jo įgaliotas asmuo.
61. Savivaldybės administracija gali teikti asmens duomenis duomenų tvarkytojams, kurie teikia Savivaldybės administracijai informacinių sistemų kūrimo, tobulinimo ir palaikymo, duomenų centrų ir panašias paslaugas, mokymų ir renginių organizavimo, turto priežiūros ir aptarnavimo organizavimo, taip pat teikia kitas paslaugas ar atlieka kitus darbus ir tvarko asmens duomenis duomenų valdytojo vardu.
62. Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik pagal Savivaldybės administracijos nurodymus ir tik tiek, kiek tai būtina siekiant tinkamai vykdyti teisės aktuose ar paslaugų teikimo sutartyje nustatytus įsipareigojimus, išskyrus atvejus, kai duomenų tvarkytojo atliekamas asmens duomenų tvarkymas yra reglamentuotas teisės aktuose. Nuostatos, susijusios su asmens duomenų tvarkymu ir apsauga, įtraukiamos į sudaromas su duomenų tvarkytojais sutartis. Sutartyse nustatomi duomenų tvarkymo dalykas ir trukmė, duomenų tvarkymo pobūdis ir tikslas, asmens duomenų rūšis ir duomenų subjektų kategorijos, duomenų valdytojo prievolės ir teisės bei kitos Reglamento (ES) 2016/679 28 straipsnyje numatytos privalomos nuostatos.
63. Savivaldybės administracija pasitelkia tik tuos duomenų tvarkytojus, kurie užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Reglamento (ES) 2016/679 reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.
64. Savivaldybės administracija, sudarydama sutartį su duomenų tvarkytoju, nurodo, kad duomenų tvarkytojas privalo užtikrinti Savivaldybės administracijos perduodamų tvarkyti duomenų konfidencialumą ir pasirašo konfidencialumo pasižadėjimą. Šie konfidencialumo pasižadėjimai yra peržiūrimi ir, jei reikia, atnaujinami ne rečiau kaip kartą per metus. Visi duomenų tvarkytojai ketindami asmens duomenų tvarkymui pasitelkti trečiuosius asmenis (kitus duomenų tvarkytojus) privalo gauti išankstinį rašytinį Savivaldybės administracijos pritarimą bei užtikrinti, kad pasitelktas subtvarkytojas laikytųsi tų pačių reikalavimų, kurie nustatyti duomenų tvarkytojui.
65. Savivaldybės administracija duomenų subjektų duomenis duomenų gavėjams teikia tik pagal sudarytą sutartį arba vienkartinį duomenų gavėjo prašymą nepažeisdama teisės aktuose įtvirtintų reikalavimų.
66. Duomenys gali būti teikiami, kai duomenų gavėjas teiktame prašyme nurodo:
66.3. duomenų teikimo teisinį pagrindą, nurodytą Reglamente (ES) 2016/679, kuriuo vadovaudamasi Administracija turi teisę pateikti šiuos duomenis duomenų gavėjui;
66.5. kai duomenis pateikti prašoma vadovaujantis Reglamento (ES) 2016/679 6 straipsnio 1 dalies e arba f punktais, t. y. duomenis teikti reikia siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas arba teikti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų apsaugos, prašyme turi būti nurodyta, kodėl šių asmenų interesai yra viršesni už duomenų subjekto interesus.
XI SKYRIUS
DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI
69. Savivaldybės administracijos asmens duomenų tvarkymo veiklos įrašuose nurodoma:
69.1. duomenų valdytojo duomenys, duomenų apsaugos pareigūno vardas, pavardė ir kontaktiniai duomenys;
69.6. kai taikoma, asmens duomenų perdavimai į trečiąją valstybę, įskaitant tos trečiosios valstybės pavadinimą, ir privalomi tinkamų apsaugos priemonių dokumentai;
70. Duomenų tvarkymo veiklos įrašuose gali būti ir kitų nuostatų, pildomų pagal poreikį. Duomenų tvarkymo veiklos įrašų informacija yra suvedama į nustatytos formos (4 priedas) duomenų tvarkymo veiklos įrašų žurnalą, kurį elektronine forma saugo duomenų apsaugos pareigūnas.
71. Priežiūros institucijai pateikus pagrįstą reikalavimą susipažinti su duomenų tvarkymo veiklos įrašų žurnalu, Savivaldybės administracija pateikia atitinkamą žurnalą per prašyme nustatytą terminą.
XII SKYRIUS
KONSULTACIJA SU PRIEŽIŪROS INSTITUCIJA
73. Savivaldybės administracija, prieš pradėdama tvarkyti asmens duomenis, konsultuojasi su Valstybine duomenų apsaugos inspekcija, kai atlikus poveikio duomenų apsaugai vertinimą yra nustatoma, kad tvarkant asmens duomenis kiltų didelis pavojus fizinių asmenų teisėms ir laisvėms duomenų valdytojui nesiėmus priemonių pavojui sumažinti.
74. Kreipdamasi į Valstybinė duomenų apsaugos inspekciją Savivaldybės administracija pateikia:
74.1. prašymą dėl išankstinės konsultacijos (toliau – Prašymas), kuriame pateikia:
74.1.1. Savivaldybės administracijos, bendrų duomenų valdytojų, kai viena iš šalių yra Savivaldybės administracija, atsakomybės sritis;
74.1.3. duomenų subjektų teisėms ir laisvėms apsaugoti taikomų techninių ir organizacinių priemonių sąrašą;
XIII SKYRIUS
POVEIKIO DUOMENŲ APSAUGAI VERTINIMO TVARKA
76. Reglamento (ES) 2016/679 35 straipsnio ir Valstybinės duomenų apsaugos inspekcijos nustatytais atvejais Savivaldybės administracijoje yra atliekamas poveikio duomenų apsaugai vertinimas.
77. Savivaldybės administracija prieš pradėdama vykdyti naują (-as) duomenų tvarkymo operaciją (-as), privalo atlikti poveikio duomenų apsaugai vertinimą, jei duomenų tvarkymas:
77.2. automatizuotai būtų tvarkomi asmeniniai aspektai, vykdomas profiliavimas ir priimami teisiniai ar kiti didelio poveikio (pavyzdžiui, kai duomenų tvarkymas gali lemti asmenų atskirtį arba diskriminaciją) sprendimai;
78. Poveikio duomenų apsaugai vertinimą atlieka Savivaldybės administracijos darbuotojai arba asmenys pagal paslaugų teikimo sutartį Savivaldybės administracijos direktoriaus nustatyta tvarka.
79. Atliekant poveikio duomenų apsaugai vertinimą, konsultuojamasi su duomenų apsaugos pareigūnu. Jeigu atliekamas poveikio duomenų apsaugai vertinimas yra susijęs su darbuotojų asmens duomenų tvarkymu, papildomai konsultuojamasi su darbo taryba arba jos funkcijas atliekančia institucija. Duomenų apsaugos pareigūno ir darbo tarybos arba jos funkcijas atliekančios institucijos nuomonė gaunama raštu.
80. Jei Savivaldybės administracija, atlikdama poveikio duomenų apsaugai vertinimą nustato, kad duomenų subjektų teisėms ir laisvėms gali kilti didelis pavojus, ji privalo konsultuotis su Valstybine duomenų apsaugos inspekcija dėl tinkamų saugumo ir kitų priemonių įgyvendinimo.
81. Savivaldybės administracija, atlikdama poveikio duomenų apsaugai vertinimą, nustato:
82. Savivaldybės administracija užtikrina, kad atliktas poveikio duomenų apsaugai vertinimas būtų tinkamai įformintas dokumentuose ir saugomas Savivaldybės administracijos dokumentacijos plane nustatytą laiką.
83. Poveikio duomenų apsaugai vertinimas gali būti atliekamas ir esamoms duomenų tvarkymo operacijoms (t. y. vykdomoms iki Reglamento (ES) 2016/679 įsigaliojimo), jei tose operacijose atsirastų reikšmingų pokyčių, pavyzdžiui, būtų pradėtos naudoti naujos technologijos, duomenys būtų pradėti tvarkyti kitu tikslu nei iki tol, atsirastų naujos rizikos, susijusios su įvykdytomis kibernetinėmis atakomis, įsilaužimais į Savivaldybės administracijos sistemą, duomenys būtų pradėti teikti naujiems duomenų gavėjams, tvarkytojams už Europos Sąjungos ribų, ir kt.
XIV SKYRIUS
DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMAS
84. Už asmens duomenų saugumo pažeidimų valdymą Savivaldybės administracijoje atsakingas duomenų apsaugos pareigūnas kartu su Savivaldybės administracijos Informacinių sistemų saugos įgaliotiniu.
85. Savivaldybės administracijos darbuotojai sužinoję, kad nebuvo užtikrintas asmens duomenų saugumas:
85.1. nedelsiant, bet ne vėliau kaip per 2 darbo valandas nuo asmens duomenų saugumo pažeidimo paaiškėjimo momento, elektroniniu paštu, telefonu arba žodžiu informuoja savo tiesioginį vadovą ir Savivaldybės administracijos duomenų apsaugos pareigūną;
86. Duomenų tvarkytojai, sužinoję apie asmens duomenų saugumo pažeidimą, nedelsdami, bet ne vėliau kaip per 1 darbo dieną nuo sužinojimo, apie tai raštu praneša Savivaldybės administracijai, pateikdami informaciją, numatytą Reglamento (ES) 2016/679 33 straipsnio 3 dalyje. Duomenų tvarkytojai pateikia Savivaldybės administracijai visą kitą jos prašomą informaciją, susijusią su pažeidimu ir jo tyrimu, per Savivaldybės administracijos nurodytą terminą. Duomenų tvarkytojų pareigos, susijusios su pranešimu apie duomenų saugumo pažeidimą Savivaldybės administracijai bei su bendradarbiavimu tiriant pažeidimą, įtvirtinamos su duomenų tvarkytoju sudaromoje sutartyje.
87. Duomenų apsaugos pareigūnas kartu su Savivaldybės administracijos Informacinių sistemų saugos įgaliotiniu ir Informacinių sistemų administratoriumi, gavę Savivaldybės administracijos darbuotojo pranešimą ar duomenų tvarkytojo pranešimą galimą asmens duomenų saugumo pažeidimą:
87.3. jei asmens duomenų saugumo pažeidimas padarytas, nustato pažeidimo pobūdį, tipą (asmens duomenų konfidencialumo, vientisumo ir (arba) prieinamumo pažeidimas) aplinkybes, apytikslį duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičių, asmens duomenų, kurių saugumas pažeistas, kategorijas (asmens tapatybę patvirtinantys asmens duomenys, specialių kategorijų asmens duomenys, duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, prisijungimo duomenys ir (arba) asmens identifikaciniai numeriai ir kt.) ir apimtį, tikėtinos asmens duomenų saugumo pažeidimo pasekmes, pavojų fizinių asmenų teisėms ir laisvėms bei kitą svarbią su asmens duomenų saugumo pažeidimu susijusią informaciją;
87.4. nustato, kokių skubių ir tinkamų priemonių būtina imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas (pvz., naudoti atsargines kopijas, siekiant atkurti prarastus ar sugadintus duomenis);
87.5. nustato, ar būtina nedelsiant pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą;
88. Vertinant asmens duomenų saugumo pažeidimą, laikoma, kad asmens duomenų saugumo pažeidimas, galintis kelti pavojų asmenų teisėms ir laisvėms, yra toks, dėl kurio, laiku nesiėmus tinkamų priemonių, fizinis asmuo gali patirti kūno sužalojimą, materialinę ar nematerialinę žalą, pvz., prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala.
89. Duomenų apsaugos pareigūnas, atlikęs asmens duomenų saugumo pažeidimo tyrimą, užpildo nustatytos formos pranešimą apie asmens duomenų saugumo pažeidimą (5 priedas).
90. Išvadą dėl duomenų saugumo pažeidimo buvimo ir pavojaus fizinių asmenų teisėms ir laisvėms įvertinimo kartu su siūlymu dėl duomenų saugumo priemonių įgyvendinimo duomenų apsaugos pareigūnas pateikia Savivaldybės administracijos direktoriui ar jo įgaliotam asmeniui, o šis priima sprendimą dėl tolesnių veiksmų, susijusių su duomenų saugumo pažeidimu.
91. Nustačius, kad duomenų saugumo pažeidimas buvo ir kad yra pavojus fizinių asmenų teisėms ir laisvėms, duomenų apsaugos pareigūnas nedelsdamas, bet ne vėliau kaip per 72 val. nuo sužinojimo apie duomenų saugumo pažeidimą, Savivaldybės administracijos direktoriaus ar jo įgalioto asmens pavedimu apie duomenų saugumo pažeidimą praneša Valstybinei duomenų apsaugos inspekcijai.
92. Jeigu, atsižvelgiant į duomenų saugumo pažeidimo pobūdį, yra būtina atlikti išsamesnį tyrimą ir nustatyti visus svarbius faktus, susijusius su duomenų saugumo pažeidimu, ir todėl per 72 val. nuo sužinojimo apie duomenų saugumo pažeidimą neįmanoma pranešti Valstybinei duomenų apsaugos inspekcijai, duomenų apsaugos pareigūnas informaciją apie duomenų saugumo pažeidimą teikia Valstybinei duomenų apsaugos inspekcijai etapais ir nurodo, kodėl visos informacijos neįmanoma pateikti iš karto.
93. Nustatęs, kad duomenų saugumo pažeidimas buvo ir dėl jo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų apsaugos pareigūnas Savivaldybės administracijos direktoriaus ar jo įgalioto asmens pavedimu nedelsdamas, bet ne vėliau kaip per 72 val. nuo sužinojimo apie duomenų saugumo pažeidimą, apie duomenų saugumo pažeidimą praneša duomenų subjektui.
94. Duomenų subjektui nurodoma informacija:
94.4. priemonių, kurių ėmėsi arba pasiūlė imtis Savivaldybės administracija, kad būtų pašalintas pažeidimas įskaitant priemones galimoms neigiamoms pasekmėms sumažinti, aprašymą;
95. Atvejai, kada pranešimas duomenų subjektui apie pažeidimą neteikiamas:
95.1. Savivaldybės administracija įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos priemonės taikytos duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio;
95.2. Savivaldybės administracija ėmėsi priemonių, kuriomis užtikrinama, kad nekiltų didelis pavojus duomenų subjektų teisėms ir laisvėms;
96. Pažeidimai, nepriklausomai nuo to, ar apie juos buvo pranešta Valstybinei duomenų apsaugos inspekcijai, ar ne, registruojami nustatytos formos Asmens duomenų saugumo pažeidimų registravimo žurnale (toliau – Žurnalas) (6 priedas).
97. Informacija apie duomenų saugumo pažeidimą į Žurnalą įrašoma nedelsiant, ne vėliau kaip per 5 darbo dienas, kai tik nustatomas duomenų saugumo pažeidimo faktas ir įvertinamas pavojus. Prireikus, atsižvelgiant į duomenų saugumo pažeidimo tyrimo metu nustatytas papildomas aplinkybes, Žurnale esanti informacija papildoma ir (ar) patikslinama.
99. Kai padarytas asmens duomenų saugumo pažeidimas yra susijęs su kibernetiniu incidentu, informacija apie kibernetinį incidentą, susijusį su asmens duomenų saugumo pažeidimu, pateikiama Lietuvos Respublikos kibernetinio saugumo įstatyme nurodytoms valstybės institucijoms šio įstatymo nustatyta tvarka ir atvejais.
XV SKYRIUS
BAIGIAMOSIOS NUOSTATOS
100. Politika skelbiama Joniškio rajono savivaldybės interneto svetainėje, skiltyje „Asmens duomenų apsauga“.
101. Savivaldybės administracijos darbuotojai su Politika supažindinami Dokumentų valdymo sistemos „Kontora“ priemonėmis.
102. Už Politikos laikymosi priežiūrą ir kontrolę atsakingi Savivaldybės administracijos padalinių vadovai.
103. Savivaldybės administracijos darbuotojai, kurie yra įgalioti tvarkyti asmens duomenis arba eidami savo pareigas juos sužino, privalo laikytis Politikos, pagrindinių asmens duomenų tvarkymo reikalavimų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų teisės aktuose ir Politikoje. Savivaldybės administracijos darbuotojams, pažeidusiems Politikos, Reglamento (ES) 2016/679, kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, reikalavimus, gali būti taikoma tarnybinė, drausminė ar kita įstatymų numatyta atsakomybė.
104. Politika peržiūrima ir esant reikalui atnaujinama įvykus esminiams organizaciniams, sisteminiams ar kitiems asmens duomenų tvarkymo ir (ar) veiklos pokyčiams arba pasikeitus teisės aktų reikalavimams, bet ne rečiau kaip kartą per metus.