Valstybės sienos apsaugos tarnybos
prie Lietuvos Respublikos Vidaus reikalų ministerijos
VADAS
įsakymas
DĖL ASMENS DUOMENŲ TVARKYMO IR ASMENS DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO VALSTYBĖS SIENOS APSAUGOS TARNYBOJE PRIE LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS TVARKOS APRAŠO
PATVIRTINIMO
2019 m. vasario 8 d. Nr. 4-52
Vilnius
Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1):
1. Tvirtinu Asmens duomenų tvarkymo ir asmens duomenų subjektų teisių įgyvendinimo Valstybės sienos apsaugos tarnyboje prie Lietuvos Respublikos vidaus reikalų ministerijos tvarkos aprašą (pridedama).
2. Pavedu Valstybės sienos apsaugos tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos struktūrinių padalinių vadovams per Dokumentų valdymo sistemą „Kontora“ supažindinti su šiuo įsakymu pavaldžius valstybės tarnautojus ir darbuotojus, dirbančius pagal darbo sutartis.
3. Skelbiu šį įsakymą Teisės aktų registre ir Valstybės sienos apsaugos tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos interneto svetainėje.
PATVIRTINTA
Valstybės sienos apsaugos tarnybos prie
Lietuvos Respublikos vidaus reikalų
ministerijos vado
2019 m. vasario 8 d. įsakymu Nr. 4-52
ASMENS DUOMENŲ TVARKYMO IR ASMENS DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO
VALSTYBĖS SIENOS APSAUGOS TARNYBOJE PRIE LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo ir asmens duomenų subjekto teisių įgyvendinimo Valstybės sienos apsaugos tarnyboje prie Lietuvos Respublikos vidaus reikalų ministerijos tvarkos aprašas (toliau – aprašas) nustato duomenų subjektų teisių, numatytų 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), įgyvendinimo Valstybės sienos apsaugos tarnyboje prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – tarnyba) tvarką.
2. Įgyvendinant duomenų subjekto teises, vadovaujamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu. Aprašo nuostatų įgyvendinimas neturi prieštarauti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyvai (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR ir Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymui, Lietuvos Respublikos valstybės sienos ir jos apsaugos įstatymui.
4. Aprašas taikomas įgyvendinant duomenų subjektų, t. y. asmenų, kurių asmens duomenis tvarko tarnyba, teises ir yra privalomas tarnybos statutiniams valstybės tarnautojams, karjeros valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis (toliau visi kartu – darbuotojai), kurie, vykdydami savo tiesiogines funkcijas, nustatytas pareigybių aprašymuose, tvarko asmens duomenis arba gali sužinoti asmens duomenis.
5. Tarnyba, juridinio asmens kodas 188608252, buveinės adresas Vilnius, Savanorių pr. 2, yra visų tarnybos veiklos ir vidaus administravimo procesuose surinktų asmens duomenų valdytoja, taip pat duomenų subjektų, valstybės, savivaldybės institucijų, įstaigų, kitų organizacijų, įmonių ir kitų juridinių asmenų, Europos Sąjungos institucijų, įstaigų, valstybių narių ir trečiųjų valstybių institucijų, įstaigų, kitų organizacijų, įmonių ir kitų juridinių asmenų, tarptautinių organizacijų asmens duomenų, perduotų tarnybai, asmens duomenų tvarkytoja.
6. Duomenų apsaugos pareigūno kontaktai: tel. 271 9364, el. p. dap@vsat.vrm.lt. Duomenų apsaugos pareigūno duomenys ir informacija apie duomenų subjektų asmens duomenų tvarkymą skelbiama tarnybos interneto svetainėje www.pasienis.lt.
7. Asmens duomenų tvarkymo tarnyboje tikslas – tvarkyti asmens duomenis tarnybai atliekant funkcijas, nustatytas Lietuvos Respublikos valstybės sienos ir jos apsaugos įstatymo 23 straipsnyje, bei įstatymais nustatytus įgaliojimus atlikti viešąjį administravimą.
II SKYRIUS
ASMENS DUOMENŲ TVARKYMO TIKSLAI
9. Asmens duomenys (išskyrus tarnybos darbuotojų) tarnyboje tvarkomi šiais tikslais:
9.1. siekiant nagrinėti skundus, prašymus tvarkomi asmenų, pateikusių tarnybai skundą, prašymą, asmens duomenys (vardas, pavardė, asmens kodas, adresas, telefono ryšio numeris, elektroninio pašto adresas), kiti skunde, prašyme nurodyti asmens duomenys (įskaitant ir specialių kategorijų asmens duomenis), skundo, prašymo nagrinėjimo metu gauta informacija (duomenys) apie asmenį ir skundo, prašymo nagrinėjimo rezultatas, kai jame nurodomi asmens duomenys, tvarkomi automatiniu būdu Dokumentų valdymo sistemoje „Kontora“ (DVS) vidaus administravimo dokumentams valdyti ar kitose informacinėse sistemose administracinėms paslaugoms, pavyzdžiui, leidimų/įrašymo į sąrašus išdavimo, ar pan., gauti, neautomatiniu būdu susistemintose rinkmenose, popierinėje formoje skundams ir prašymams nagrinėti, kitoms administracinėms paslaugoms gauti;
9.2. ikiteisminio tyrimo nagrinėjimo metu gali būti tvarkomi byloje dalyvaujančių asmenų ir kitų bylos dalyvių asmens duomenys, taip pat kitų asmenų (ne bylos dalyvių) asmens duomenys (pateikiami procesiniuose dokumentuose): vardas (vardai), pavardė (pavardės), asmens kodas, gimimo data, gyvenamoji vieta ir adresas korespondencijai, fizinio asmens tapatybę patvirtinančio dokumento duomenys, telefono numeris, elektroninio pašto adresas, išsilavinimas, užimtumas, profesija, lytis, pilietybė, etninė kilmė ir kiti asmens duomenys, gaunami ikiteisminį tyrimą reglamentuojančiuose įstatymuose nustatyta tvarka ir pagrindais, kai pagal teisės aktus tokie asmens duomenys yra reikalingi;
9.3. administracinių nusižengimų teisenai bei administracinėms baudoms administruoti, mokėjimams fiziniams asmenims vykdyti, įmokėtų lėšų apskaitai, teikiamų paslaugų administravimui gali būti tvarkomi asmenų bei jų nurodytų lėšų gavėjų, mokėjimus atlikusių fizinių asmenų asmens duomenys: vardas (vardai), pavardė (pavardės), asmens kodas, gyvenamoji vieta, banko sąskaitos numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo, kuriuos tarnyba gauna pagal teisės aktus vykdydama atitinkamą vidaus administravimo veiklą ir (arba) kuriuos tvarkyti tarnybą įpareigoja įstatymai ir (arba) kiti teisės aktai;
9.4. įgyvendinant migracijos procesų kontrolę pagal Lietuvos Respublikos užsieniečių teisinės padėties įstatymo nuostatas;
9.6. telefonu teikiamos informacijos kokybei užtikrinti gali būti tvarkomi skambinančiojo asmens duomenys, t. y. pokalbio metu pateikta informacija;
9.7. viešosios tvarkos, tarnybos darbuotojų ir kitų asmenų, kurie lankosi tarnybos ir tarnybos struktūriniuose padaliniuose, bei jų ir tarnybos turto saugumui užtikrinti tvarkomi vaizdo duomenys (stebimas vaizdas);
9.8. siekiant tinkamai organizuoti asmenų, ketinančių būti valstybės sienos apsaugos zonoje, pasienio juostoje, pasienio vandenyse, kurių vandenimis arba krantais eina išorės siena, įrašymą į Asmenų, turinčių teisę būti valstybės sienos apsaugos zonoje, pasienio juostoje, pasienio vandenyse, kurių vandenimis arba krantais eina išorės siena, sąrašą – tvarkomi prašyme nurodyti duomenys: juridinio asmens, juridinio asmens filialo, atstovybės bei juridinio asmens statuso neturinčio asmens pavadinimas, kodas, buveinės adresas, asmens tapatybę patvirtinančio dokumento duomenys, transporto priemonės registracijos duomenys, teisėtą buvimą Lietuvos Respublikoje patvirtinantys duomenys, leidimas verstis ūkine, komercine ar kitokia veikla valstybės sienos apsaugos zonoje ir/ar pasienio vandenyse, kurių vandenimis arba krantais eina išorės siena, dokumentai, patvirtinantys tėvystę, motinystę, asmens paskyrimą globėju (rūpintoju), juridinio asmens, juridinio asmens filialo, atstovybės bei juridinio asmens statuso neturinčio asmens vadovo išduotas įgaliojimas ar jo kopija (jei prašymą pateikia juridinio asmens, juridinio asmens filialo, atstovybės bei juridinio asmens statuso neturinčio asmens vadovo įgaliotas asmuo), nekilnojamojo turto, esančio valstybės sienos apsaugos zonoje, duomenys, asmens teistumo (neteistumo) duomenys;
9.9. asmenų, pageidaujančių būti įrašytiems į Asmenų, vykstančių į darbą, mokymo įstaigą ir grįžtančių iš jų, kurie į pasienio kontrolės punktus, esančius prie automobilių kelių, įleidžiami ir tikrinami be eilės, sąrašą, tvarkomi fizinio asmens prašyme nurodyti duomenys (vardas, pavardė, asmens kodas (neturintys asmens kodo užsieniečiai nurodo gimimo datą), pilietybė, gyvenamoji vieta, kontaktinė informacija (adresas, kuriuo pageidaujama gauti atsakymą, telefono ryšio numeris, elektroninio pašto adresas), pasienio kontrolės punktai, per kuriuos norima vykti, tikslus darbovietės pavadinimas, įmonės kodas, užimamos pareigos, darbo sutartys, pažymos iš mokymo įstaigos, kurioje nurodomas mokymosi laikotarpis ir vieta; juridinio asmens prašyme nurodyti duomenys: juridinio asmens pavadinimas, kodas, buveinės adresas, kontaktinė informacija (adresas, kuriuo pageidaujama gauti atsakymą, telefono ryšio numeris, elektroninio pašto adresas), pasienio kontrolės punktai, per kuriuos norima vykti, juridinio asmens darbuotojų, kurie vyks į darbą, sąrašas;
9.10. viešųjų pirkimų procedūroms organizuoti ir vykdyti gali būti tvarkomi tiekėjų (fizinių asmenų) asmens duomenys: vardas (vardai), pavardė (pavardės), asmens kodas, išsilavinimas, darbovietė, pareigos, adresas, telefono numeris, elektroninio pašto adresas bei kiti asmens duomenys, kuriuos pateikia pats asmuo, kuriuos tarnyba gauna pagal teisės aktus vykdydama atitinkamą vidaus administravimo veiklą ir (arba) kuriuos tvarkyti tarnybą įpareigoja įstatymai ir (arba) kiti teisės aktai. Dokumentai su asmens duomenimis saugomi automatiniu būdu Centrinėje viešųjų pirkimų informacinėje sistemoje (CVPIS) arba popierine forma saugomi tarnybos dokumentacijos plane nurodytais terminais. Pasibaigus saugojimo terminui, laikino saugojimo bylos yra naikinamos;
9.11. prekių, darbų, paslaugų sutarčių su tiekėjais vykdymui gali būti tvarkomi tiekėjų (fizinių asmenų) asmens duomenys: vardas (vardai), pavardė (pavardės), asmens kodas, adresas, telefono numeris, elektroninio pašto adresas, banko sąskaitos numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo, kuriuos tarnyba gauna pagal teisės aktus vykdydama atitinkamą vidaus administravimo veiklą ir (arba) kuriuos tvarkyti tarnybą įpareigoja įstatymai ir (arba) kiti teisės aktai;
9.12. ginčų nagrinėjimo teismuose ir ikiteisminėse ginčų nagrinėjimo institucijose asmens duomenys automatiniu būdu tvarkomi ir saugomi Lietuvos teismų elektroninių paslaugų portale (EPP), neautomatiniu būdu susistemintose rinkmenose, popierinės formos dokumentuose. Popierinės formos dokumentai su asmens duomenimis saugomi tarnybos dokumentacijos plane nurodytais terminais. Pasibaigus saugojimo terminui, laikino saugojimo bylos yra naikinamos;
9.13. dokumentų valdymo srityje automatiniu ir neautomatiniu būdu tvarkomi šie asmens duomenys: pareiškėjo ar asmens, dėl kurio pradėta administracinė procedūra, vardas ir pavardė, gyvenamosios vietos adresas, telefono numeris, elektroninio pašto numeris, taip pat kiti asmeniui būdingi ekonominio ar socialinio pobūdžio duomenys, kuriuos, pagal poreikį, būtina tvarkyti užtikrinant tinkamą tarnybos funkcijų vykdymą ir administracinės teisenos įgyvendinimą;
III SKYRIUS
asmens duomenų TVARKYMO saugumo Reikalavimai
11. Tarnybos darbuotojai, atlikdami savo funkcijas ir tvarkydami asmens duomenis, privalo laikytis pagrindinių asmens duomenų tvarkymo reikalavimų:
11.1. asmens duomenys renkami aprašo 9 punkte apibrėžtais tikslais ir tvarkomi su šiais tikslais ir BDAR suderintais būdais;
11.3. asmens duomenys turi būti tikslūs ir, jei reikia, nuolat atnaujinami; netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, ištrinti (sunaikinti) arba sustabdytas jų tvarkymas;
11.4. asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi;
11.5. visa reikalinga informacija, susijusi su duomenų tvarkymu, duomenų subjektui pateikiama aiškiai ir suprantamai;
11.6. asmens duomenys turi būti laikomi (saugomi) tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi, pasiekti;
11.7. asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ir organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;
11.8. laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria susipažino vykdant savo funkcijas, išskyrus, jeigu tokia informacija buvo vieša. Pareiga saugoti asmens duomenų paslaptį galioja ir pradėjus eiti kitas pareigas ar pasibaigus valstybės tarnybos ar darbo santykiams tarnyboje;
11.9. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su asmens duomenimis asmeniui, kuris nėra įgaliotas tvarkyti asmens duomenų;
12. Tarnyba įgyvendina organizacines ir technines asmens duomenų saugumo priemones, skirtas užtikrinti tinkamą asmens duomenų saugumą, taip pat apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo. Tarnybos informacinių technologijų saugumą užtikrina tarnybos Informatikos skyrius.
13. Asmens duomenų tvarkymą ir apsaugą pagal kompetenciją užtikrina kiekvienas tarnybos darbuotojas.
14. Asmens duomenų tvarkymo funkcijas atliekantys tarnybos darbuotojai, siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, turi saugoti dokumentus ir duomenų rinkmenas tinkamai ir saugiai, vengti nereikalingų kopijų darymo. Praradus asmens duomenis, nedelsiant informuojamas tarnybos Informatikos skyrius, kuris organizuoja prarastų asmens duomenų atkūrimą.
15. Pasikeitus duomenų subjektų asmens duomenims ar duomenų subjektams ir apie tai raštu informavus tarnybą, toks duomenų subjekto raštas įdedamas į bylą, o automatinėse duomenų rinkmenose ir duomenų bazėse duomenys atnaujinami.
16. Keičiantis asmens duomenis tvarkantiems tarnybos darbuotojams ar jų įgaliojimams, jų tvarkomi asmens duomenys (dokumentai, kuriuose yra asmens duomenys, ar jų kopijos) perduodami naujai priimtiems ar asmens duomenis tvarkyti paskirtiems tarnybos darbuotojams perdavimo–priėmimo aktu.
17. Asmens duomenys (dokumentai, kuriuose yra asmens duomenys, ar jų kopijos) saugomi tam skirtose patalpose (rakinamose spintose, seifuose ar pan.), vietinio tinklo srityse, kompiuterių standžiuosiuose diskuose. Nešiojamuose kompiuteriuose asmens duomenys gali būti tvarkomi tik esant tarnybiniam būtinumui. Asmens duomenys (dokumentai, kuriuose yra asmens duomenys, ar jų kopijos) neturi būti laikomi visiems prieinamoje, matomoje vietoje, kur neturintys teisės asmenys nekliudomai galėtų su jais susipažinti.
18. Siektina, kad asmens duomenys (dokumentai, kuriuose yra asmens duomenys, ar jų kopijos) elektroniniame pašte būtų ištrinami po jų panaudojimo ir (ar) perkėlimo į saugojimo vietas.
19. Vietinio tinklo sritys, kompiuteriai, kuriuose saugomi asmens duomenys, privalo būti apsaugoti prieigos prie asmens duomenų slaptažodžiais arba turi būti apribotos prieigos teisės prie jų. Prieigos prie asmens duomenų slaptažodžiai suteikiami, keičiami ir saugomi užtikrinant jų konfidencialumą, jie privalo būti unikalūs, sudaryti iš ne mažiau kaip 8 simbolių, nenaudojant asmeninio pobūdžio informacijos. Prieigos prie asmens duomenų slaptažodžiai privalo būti keičiami periodiškai, ne rečiau kaip kartą per 2 mėnesius, o susidarius tam tikroms aplinkybėms (pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims, ir pan.), ir pirmojo prisijungimo metu – keičiami privalomai. Tarnybos darbuotojas, dirbantis konkrečiu kompiuteriu ir (ar) turintis prieigos teisę prie asmens duomenų, turi naudotis prieigos prie asmens duomenų slaptažodžiais asmeniškai ir neatskleisti jų trečiosioms šalims.
20. Tarnybos interneto svetainėje turi būti maksimaliai apribotos galimybės viešai veikiančioms interneto paieškos sistemoms bei paieškos valdiklių robotams kopijuoti tarnybos svetainėje esančią informaciją ir maksimaliai apribota galimybė šioms sistemoms ir robotams surasti ankščiau skelbtos, bet iš tarnybos interneto svetainės jau pašalintos, informacijos kopijų. Kompiuterinė įranga turi būti apsaugota nuo kenksmingos programinės įrangos (antivirusinių programų įdiegimas, atnaujinimas ir pan.).
21. Asmens duomenų tvarkymo keliamos rizikos vertinimo atlikimo tvarka ir saugumo pažeidimų valdymas, reagavimo į šiuos pažeidimus veiksmai, duomenų atsarginių kopijų darymo, saugojimo ir duomenų atkūrimo iš atsarginių duomenų kopijų tvarka nustatoma tarnybos ar kito informacinių sistemų valdytojo tvirtinamuose informacinės sistemos saugos nuostatuose bei kituose saugos politiką įgyvendinančiuose teisės aktuose.
IV SKYRIUS
DUOMENŲ SUBJEKTŲ TEISĖS IR JŲ ĮGYVENDINIMO TVARKA
23. Pagal BDAR III skyrių (Duomenų subjekto teisės) duomenų subjektas turi šias teises:
24. Tarnyba privalo sudaryti sąlygas duomenų subjektui įgyvendinti aprašo 23 punkte nurodytas teises aprašo nustatyta tvarka, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti:
24.2. viešąją tvarką, nusikalstamų veikų prevenciją, tyrimą ir nustatymą ar baudžiamąjį persekiojimą;
25. Duomenų subjekto teisės, numatytos aprašo 23 punkte, tarnyboje įgyvendinamos tik nesant išimtims, numatytoms BDAR 17–22 straipsniuose, ir Asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, numatytais teisinės apsaugos įstatymo III skyriuje.
26. Tarnybos darbuotojas, kuris renka ir tvarko konkretaus duomenų subjekto asmens duomenis, įgyvendindamas duomenų subjekto teises, užtikrina, kad nebūtų pažeista kitų asmenų teisė į privataus gyvenimo neliečiamumą.
PIRMASIS SKIRSNIS
TEISĖ BŪTI INFORMUOTAM APIE ASMENS DUOMENŲ TVARKYMĄ
27. Tarnyba, įgyvendindama BDAR 13 ir 14 straipsniuose nustatytą duomenų subjekto teisę gauti informaciją apie duomenų tvarkymą, duomenų subjekto prašymu prašomą pateikti informaciją apie jo asmens duomenų tvarkymą pateikia tokia pačia forma, kokia buvo gautas prašymas.
28. Duomenų subjektas, pateikęs asmens tapatybę patvirtinantį dokumentą arba teisės aktų nustatyta tvarka ar elektroninių ryšių priemonėmis (jeigu jos leidžia tinkamai identifikuoti asmenį) patvirtinęs savo asmens tapatybę, turi teisę neatlygintinai susipažinti su tarnyboje tvarkomais jo duomenimis ir gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams yra ir per vienerius metus buvo teikiami.
29. Informacija apie duomenų subjektų asmens duomenų tvarkymą gali būti pateikiama asmens duomenų gavimo metu.
30. Tarnyba turi teisę atsisakyti įgyvendinti aprašo 27 straipsnyje numatytą duomenų subjekto teisę arba pateikti ne visą duomenų subjekto prašomą informaciją, jeigu:
30.2. duomenų subjekto prašomos informacijos pateikimas neįmanomas arba tam reikėtų neproporcingų pastangų;
30.3. asmens duomenų gavimas ar atskleidimas aiškiai nustatytas Europos Sąjungos teisės aktuose arba Lietuvos Respublikos teisės aktuose, kuriuose nustatytos tinkamos teisėtų duomenų subjektų interesų apsaugos priemonės;
31. Kai duomenų subjekto asmens duomenys renkami netiesiogiai iš duomenų subjekto, apie šio duomenų subjekto asmens duomenų tvarkymą informuojama:
31.1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;
31.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti, – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu;
ANTRASIS SKIRSNIS
TEISĖ SUSIPAŽINTI SU ASMENS DUOMENIMIS
33. Duomenų subjektas, įgyvendindamas teisę susipažinti su tarnyboje tvarkomais savo asmens duomenimis, turi teisę gauti informaciją apie:
33.4. numatomą asmens duomenų saugojimo laikotarpį arba kriterijus, pagal kuriuos nustatomas asmens duomenų saugojimo laikotarpis, jei tai yra įmanoma;
33.6. su asmens duomenų tvarkymu susijusią informaciją, numatytą BDAR 15 straipsnio 1 ir 2 dalyse, bei Asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymo 12 straipsnyje;
34. Jeigu susipažinęs su savo asmens duomenimis duomenų subjektas nustato, kad jo asmens duomenys yra neteisingi, neišsamūs ar netikslūs ir dėl to kreipiasi į tarnybą, atsakingas tarnybos darbuotojas, kuris renka ir tvarko konkretaus duomenų subjekto asmens duomenis, nedelsdamas, tačiau ne vėliau nei per 5 darbo dienas, patikrina asmens duomenis ir, jeigu reikia, juos ištaiso, patikslina ar papildo ir apie tai informuoja duomenų subjektą.
35. Jeigu susipažinęs su savo asmens duomenimis duomenų subjektas mano, kad jo asmens duomenys yra tvarkomi neteisėtai, nesąžiningai ir dėl to kreipiasi į tarnybą, atsakingas tarnybos darbuotojas, kuris renka ir tvarko konkretaus duomenų subjekto asmens duomenis, nedelsdamas patikrina asmens duomenų tvarkymo teisėtumą, sąžiningumą ir duomenų subjekto rašytiniu prašymu nedelsdamas, tačiau ne vėliau nei per 5 darbo dienas, sunaikina neteisėtai ir nesąžiningai sukauptus asmens duomenis ar sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą, kol bus ištaisyti neteisingi, netikslūs, papildyti neišsamūs asmens duomenys ar asmens duomenys bus sunaikinti.
36. Jeigu renkant informaciją, reikalingą duomenų subjektui atsakymui parengti, nustatoma, kad:
36.1. tarnyba tvarko didelį informacijos, susijusios su duomenų subjektu, kiekį ir nėra galimybės duomenų subjektui pateikti visos informacijos, atsakingas tarnybos darbuotojas, kuris renka ir tvarko konkretaus duomenų subjekto asmens duomenis, turi teisę paprašyti duomenų subjekto sukonkretinti pateiktą prašymą;
36.2. tam tikra informacija apie duomenų subjektą yra susijusi ir su kitais asmenimis, duomenų subjektui informacijos turi būti pateikiama tiek, kad nebūtų pažeistos kitų asmenų teisės;
37. Už duomenų subjekto informavimą įgyvendinant teisę susipažinti su savo asmens duomenimis yra atsakingas tarnybos darbuotojas, kuris renka ir tvarko konkretaus duomenų subjekto asmens duomenis.
38. Teisė susipažinti su asmens duomenimis gali būti apribota Asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymo 13 straipsnio nustatytais atvejais.
TREČIASIS SKIRSNIS
TEISĖ REIKALAUTI IŠTAISYTI ASMENS DUOMENIS
39. Duomenų subjektas, vadovaudamasis BDAR 16 straipsniu, turi teisę reikalauti, kad bet kokie jo tvarkomi netikslūs asmens duomenys būtų ištaisyti, o neišsamūs papildyti.
40. Tarnyba, gavusi aprašo 56 punkte nurodytą duomenų subjekto prašymą, privalo atlikti duomenų subjekto tvarkomų asmens duomenų analizę, siekdama nustatyti, ar duomenų subjekto pateiktas prašymas yra pagrįstas.
41. Jeigu yra nustatoma, kad duomenų subjekto pateiktas prašymas yra pagrįstas, tarnyba privalo ištaisyti neišsamius ar netikslius asmens duomenis aprašo 34 punkte nustatyta tvarka.
42. Siekiant įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, tarnybos atsakingas darbuotojas, kuris renka ir tvarko konkretaus duomenų subjekto asmens duomenis, gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus.
43. Jeigu duomenų subjekto asmens duomenys (ištaisyti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams (trečiosioms šalims), tarnybos atsakingas darbuotojas, kuris renka ir tvarko konkretaus duomenų subjekto asmens duomenis, šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
KETVIRTASIS SKIRSNIS
TEisė reikalauti ištrinti asmens duomenis
(„teisė būti pamirštam“)
44. Duomenų subjektas turi teisę kreiptis aprašo V skyriuje nustatyta tvarka su prašymu ištrinti su juo susijusius asmens duomenis, jeigu yra vienas iš šių pagrindų, numatytų BDAR 17 straipsnio 1 dalyje, t. y.:
44.2. atšauktas duomenų subjekto sutikimas (jeigu toks buvo), kuriuo vadovaujantis buvo grindžiamas duomenų subjekto asmens duomenų tvarkymas, ir nėra jokio kito teisinio pagrindo tvarkyti duomenų subjekto asmens duomenis;
44.3. asmens duomenų subjektas nesutinka su savo asmens duomenų tvarkymu pagal BDAR 21 straipsnio 1 dalį (aprašo šeštasis skirsnis „Teisės nesutikti su savo asmens duomenų tvarkymu“) ir nėra viršesnių teisėtų priežasčių tvarkyti asmens duomenis;
45. Duomenų subjekto prašyme turi būti išsamiai argumentuota, dėl kokių priežasčių yra prašoma ištrinti jo asmens duomenis (prašyme turi būti nurodytas vienas iš aprašo 44 punkte nurodytų pagrindų).
46. Teisė reikalauti ištrinti asmens duomenis („teisė būti pamirštam“) tarnyboje neįgyvendinama BDAR 17 straipsnio 3 dalyje numatytais atvejais ir kai asmens duomenų tvarkymas yra grindžiamas:
47. Tarnybos atsakingas darbuotojas, kuris renka ir tvarko konkretaus duomenų subjekto asmens duomenis, gavęs aprašo 56 punkte nurodytą duomenų subjekto prašymą, privalo nedelsdamas, bet ne vėliau kaip per 5 darbo dienas nuo prašymo gavimo dienos, atlikti prašymo įvertinimą, siekdamas nustatyti, ar duomenų subjekto pateiktas prašymas yra pagrįstas.
48. Jeigu yra nustatoma, kad duomenų subjekto pateiktas prašymas yra pagrįstas, tarnybos atsakingas darbuotojas, kuris renka ir tvarko konkretaus duomenų subjekto asmens duomenis, privalo:
48.1. nedelsdamas, bet ne vėliau kaip per 5 darbo dienas, ištrinti su duomenų subjektu susijusius asmens duomenis;
48.2. jeigu nėra galimybių nedelsiant ištrinti duomenų subjekto asmens duomenų, sustabdyti duomenų subjekto asmens duomenų tvarkymo veiksmus;
48.3. ne vėliau kaip per 5 darbo dienas nuo asmens duomenų ištrynimo informuoti duomenų subjektą apie ištrintus asmens duomenis ir duomenų gavėjus apie duomenų subjekto prašymu ištrintus asmens duomenis, jeigu duomenų subjekto asmens duomenys buvo teikiami duomenų gavėjams. Informuoti duomenų gavėjų nereikia, kai pateikti tokią informaciją neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, asmens duomenų saugojimo laikotarpio, nepagrįstai didelių sąnaudų).
Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
PENKTASIS SKIRSNIS
Teisė apriboti savo asmens duomenų tvarkymą
49. Duomenų subjektas turi teisę kreiptis į tarnybą aprašo V skyriuje nustatyta tvarka su prašymu apriboti savo asmens duomenų tvarkymą, jeigu yra vienas iš BDAR 18 straipsnio 1 dalyje numatytų pagrindų:
49.1. duomenų subjektas užginčija tarnybos tvarkomų jo asmens duomenų tikslumą. Tokiu atveju duomenų subjekto asmens duomenų tvarkymas gali būti apribotas tokiam laikotarpiui, per kurį duomenų valdytojas patikrina asmens duomenų tikslumą;
49.2. yra nustatyta, kad duomenų subjekto asmens duomenų tvarkymas buvo neteisėtas ir duomenų subjektas nesutinka, kad asmens duomenys būtų ištrinti, ir vietoje to prašo apriboti jų tvarkymą;
49.3. jeigu yra pasiektas asmens duomenų tvarkymo tikslas ir tarnybai, kaip duomenų valdytojui, nebereikia šiam tikslui pasiekti surinktų duomenų subjekto asmens duomenų, tačiau jų reikia duomenų subjektui, siekiančiam pareikšti, vykdyti ar apginti teisinius reikalavimus;
49.4. duomenų subjektas pateikė prašymą tarnybai, kuriame išreiškė nesutikimą, kad tarnyba tvarkytų jo asmens duomenis. Tokiu atveju duomenų subjekto asmens duomenų tvarkymas gali būti apribotas tokiam laikotarpiui, per kurį duomenų valdytojas patikrina, ar šis duomenų subjekto prašymas pagrįstas;
49.5. duomenų subjektas pateikia prašymą ištrinti tarnyboje jo tvarkomus asmens duomenis ir nustatoma, kad prašymas yra pagrįstas, tačiau nėra techninių galimybių duomenų subjekto asmens duomenis ištrinti nedelsiant. Tokiu atveju duomenų subjekto asmens duomenų tvarkymas gali būti apribotas iki tol, kol duomenų subjekto asmens duomenys bus ištrinti.
50. Tarnyba, gavusi aprašo 49 punkte nurodytą duomenų subjekto prašymą, privalo nedelsdama, bet ne vėliau kaip per 1 mėn. nuo prašymo gavimo dienos, atlikti prašymo įvertinimą, siekdama nustatyti, ar duomenų subjekto pateiktas prašymas yra pagrįstas.
51. Jeigu yra nustatoma, kad duomenų subjekto pateiktas prašymas yra pagrįstas, tarnyba privalo:
51.2. nedelsdama, bet ne vėliau kaip per 5 darbo dienas nuo sprendimo dėl asmens duomenų tvarkymo apribojimo priėmimo, informuoti duomenų subjektą apie jo asmens duomenų tvarkymo apribojimą. Jeigu yra galimybė, nurodyti preliminarų laikotarpį, kurio metu bus apribotas duomenų subjekto asmens duomenų tvarkymas;
51.3. ne vėliau kaip per 5 darbo dienas nuo sprendimo dėl asmens duomenų tvarkymo apribojimo priėmimo informuoti duomenų gavėjus apie priimtą sprendimą, jeigu duomenų subjekto asmens duomenys buvo teikiami duomenų gavėjams. Informuoti duomenų gavėjų nereikia, kai pateikti tokią informaciją neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, asmens duomenų saugojimo laikotarpio, nepagrįstai didelių sąnaudų).
ŠEŠTASIS SKIRSNIS
Teisės nesutikti su savo asmens duomenų tvarkymu
įgyvendinimas TARNYBOJE
53. Duomenų subjektas, vadovaudamasis BDAR 21 straipsniu, turi teisę kreiptis į tarnybą aprašo V skyriuje nustatyta tvarka su prašymu bet kuriuo metu dėl su juo susijusių priežasčių konkrečiu atveju nesutikti, kad tarnyba tvarkytų jo asmens duomenis.
54. Jeigu yra nustatoma, kad duomenų subjekto pateiktas prašymas yra pagrįstas, tarnyba privalo nedelsdama, bet ne vėliau kaip per 1 mėn. nuo prašymo gavimo dienos, informuoti duomenų subjektą, kad jo prašymas bus įvykdytas.
55. Jeigu yra nustatoma, kad duomenų subjekto prašymas yra nepagrįstas, tarnyba privalo atsakyme argumentuotai įrodyti, kad duomenų subjekto asmens duomenys yra tvarkomi dėl pagrįstų ir teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, arba asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus.
V SKYRIUS
PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES PATEIKIMAS
56. Duomenų subjektas, siekdamas įgyvendinti aprašo 23 punkte nurodytas teises (išskyrus aprašo 23.1 papunktyje nurodytą teisę), privalo asmeniškai paštu, per pasiuntinį ar elektroninėmis priemonėmis pateikti rašytinį prašymą dėl duomenų subjekto teisių įgyvendinimo, kurio pavyzdinė forma nustatyta aprašo priede. Žodžiu elektroninėmis priemonėmis (telefonu ar garso ir vaizdo nuotolinio perdavimo ir įrašymo priemonėmis) gali būti teikiami tokie prašymai, kurie yra nesusiję su duomenų subjekto teisių, nurodytų aprašo 23.3–23.6 papunkčiuose, įgyvendinimu ir kuriuos pateikiant asmuo neprivalo patvirtinti savo tapatybės (pavyzdžiui, telefonu prašoma pateikti bendro pobūdžio informaciją apie posėdžio datą ir laiką ar pan.).
57. Rašytinis prašymas teikiamas valstybine kalba ir turi būti aiškus, suprantamas, parašytas įskaitomai, pasirašytas duomenų subjekto, jame turi būti nurodytas duomenų subjekto vardas, pavardė, gimimo data, gyvenamoji vieta, duomenys ryšiui palaikyti, informacija apie tai, kokią iš aprašo 23.2–23.6 papunkčiuose nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti, bei informacija, kokiu būdu duomenų subjektas pageidauja gauti atsakymą.
58. Pateikdamas prašymą, duomenų subjektas privalo patvirtinti savo tapatybę:
58.1. jeigu prašymas pateikiamas tiesiogiai tarnybos atsakingam darbuotojui, kuris renka ir tvarko konkretaus duomenų subjekto asmens duomenis, duomenų subjektas jam privalo pateikti asmens tapatybę patvirtinantį dokumentą;
58.2. jeigu prašymas pateikiamas paštu arba per pasiuntinį, kartu su prašymu turi būti pateikiama patvirtinta asmens tapatybę patvirtinančio dokumento kopija;
60. Asmens atstovas prašyme turi nurodyti savo vardą, pavardę, adresą ir kitus kontaktinius duomenis ryšiui palaikyti, kuriais asmens atstovas pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę, gimimo metus, adresą bei pateikti atstovavimą patvirtinantį dokumentą ar jo kopiją.
61. Esant abejonių dėl duomenų subjekto tapatybės, tarnybos atsakingas darbuotojas, kuris renka ir tvarko konkretaus duomenų subjekto asmens duomenis, gali prašyti papildomos informacijos.
62. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis į duomenų apsaugos pareigūną. Siekiant užtikrinti BDAR 38 straipsnio 5 dalyje įtvirtintą konfidencialumą, kreipiantis į duomenų apsaugos pareigūną paštu, ant voko užrašoma, kad korespondencija skirta duomenų apsaugos pareigūnui.
VI SKYRIUS
PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES NAGRINĖJIMAS
63. Gavus duomenų subjekto prašymą dėl asmens duomenų subjekto teisių įgyvendinimo, ne vėliau kaip per vieną mėnesį nuo prašymo gavimo jam pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Šiame punkte nurodytas terminas prireikus gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir skaičių. Apie termino pratęsimą per vieną mėnesį nuo prašymo gavimo informuojamas duomenų subjektas nurodant vėlavimo priežastis.
64. Jeigu prašymas pateiktas nesilaikant aprašo V skyriuje nustatytos tvarkos ir reikalavimų, jis nenagrinėjamas ir nedelsiant, bet ne vėliau kaip per 5 darbo dienas, apie tai informuojamas duomenų subjektas nurodant priežastis.
65. Jeigu prašymo nagrinėjimo metu nustatoma, kad duomenų subjekto teisės yra apribotos BDAR 23 straipsnio 1 dalyje numatytais pagrindais, apie tai informuojamas duomenų subjektas.
66. Jeigu duomenų subjektas prašymą pateikia elektroninėmis ryšio priemonėmis, informacija duomenų subjektui taip pat pateikiama elektroninėmis priemonėmis, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip.
67. Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo teikiama valstybine kalba. Duomenų subjektui tarnybos turima informacija nevalstybine kalba gali būti pateikta tuo atveju, kai informacija yra tvarkoma šia kalba.
68. Tarnyba turi teisę atsisakyti pateikti duomenų subjektui jo prašomą informaciją, jeigu nustatoma, kad duomenų subjekto prašymas yra akivaizdžiai nepagrįstas. Atsisakyme pateikti prašomą informaciją privalo būti raštu nurodyta atsisakymo pateikti prašomos informacijos motyvai.
69. Visi veiksmai pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo atliekami ir informacija teikiama nemokamai.
70. Tarnybos veiksmus ar neveikimą įgyvendinant duomenų subjekto teises turi teisę skųsti pats duomenų subjektas arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti BDAR 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai (A. Juozapavičius g. 6, Vilnius, el. paštas ada@ada.lt, interneto svetainė www.ada.lt) arba apygardos administraciniam teismui.
Asmens duomenų tvarkymo ir
asmens duomenų subjektų
teisių įgyvendinimo Valstybės
sienos apsaugos tarnyboje prie
Lietuvos Respublikos vidaus
reikalų ministerijos tvarkos
aprašo priedas
(Prašymo dėl duomenų subjekto teisių įgyvendinimo pavyzdinė forma)
__________________________________
(duomenų subjekto vardas ir pavardė)
___________________________________
(gimimo data, gyvenamosios vietos adresas)
________________ ____________
(telefono numeris) (elektroninio pašto adresas)
_________________________________________________________
(Atstovo vardas, pavardė, gyvenamosios vietos adresas, telefono numeris, elektroninio
pašto adresas, atstovavimo pagrindas, jei prašymą pateikia duomenų subjekto atstovas)
Valstybės sienos apsaugos tarnybai
prie Lietuvos Respublikos vidaus reikalų ministerijos
PRAŠYMAS
DĖL DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO
(data)
(vieta)
Vadovaudamasi (-is) Asmens duomenų tvarkymo ir asmens duomenų subjektų teisių įgyvendinimo Valstybės sienos apsaugos tarnyboje prie Lietuvos Respublikos vidaus reikalų ministerijos tvarkos aprašu, prašau įgyvendinti mano teisę:____________________________
_________________________________________________________________.
Prašymo turinys (nurodykite, ko konkrečiai prašote, ir pateikite kiek įmanoma daugiau informacijos, kuri leistų tinkamai įgyvendinti Jūsų teisę (-es), pavyzdžiui, jeigu norite ištaisyti duomenis, nurodykite, kokie konkrečiai Jūsų asmens duomenys yra netikslūs)
PRIDEDAMA:
1. ________________________.
2. ________________________.
(Jeigu prašymas yra siunčiamas paštu, prie prašymo pridedama asmens tapatybę patvirtinančio dokumento kopija, patvirtinta notaro ar kita teisės aktų nustatyta tvarka. Jeigu kreipiamasi dėl netikslių duomenų ištaisymo, pateikiamos tikslius duomenis patvirtinančių dokumentų kopijos; jeigu jos siunčiamos paštu, tuomet turi būti patvirtintos notaro ar kita teisės aktų nustatyta tvarka. Jeigu duomenų subjekto asmens duomenys, tokie kaip vardas, pavardė, yra pasikeitę, kartu pateikiamos dokumentų, patvirtinančių šių duomenų pasikeitimą, kopijos; jeigu jos siunčiamos paštu, tuomet turi būti patvirtintos notaro ar kita teisės aktų nustatyta tvarka).
Atsakymą noriu gauti:
_____________________________________________________________________
(paštu, atvykęs į tarnybą, elektroniniu paštu (tik pasirašius prašymą kvalifikuotu elektroniniu parašu)
________________________
(vardas, pavardė, parašas)