PATVIRTINTA

Šiaulių miesto savivaldybės

administracijos direktoriaus
2022 m. rugsėjo 16 d.

įsakymu Nr. A-1629

ASMENS DUOMENŲ TVARKYMO ŠIAULIŲ MIESTO SAVIVALDYBĖS ADMINISTRACIJOJE TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Asmens duomenų tvarkymo Šiaulių miesto savivaldybės administracijoje taisyklių (toliau – Taisyklės) tikslas – reglamentuoti asmens duomenų tvarkymą Šiaulių miesto savivaldybės administracijoje (toliau – Administracija), nustatyti pagrindines asmens duomenų tvarkymo ir kitas procedūras, siekiant užtikrinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ) ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.

2. Šių Taisyklių paskirtis – nustatyti asmens duomenų tvarkymo principus, duomenų apsaugos technines ir organizacines priemones bei kitus asmens duomenų tvarkymo veiksmus.

3. Taisyklių privalo laikytis visi Administracijos struktūriniame padalinyje dirbantys ar į struktūrinius padalinius neįeinantys valstybės tarnautojai ar darbuotojai, dirbantys pagal darbo sutartis, studentai, priimti atlikti praktiką Administracijoje bei kiti asmenys, kurie tvarko Administracijoje esančius asmens duomenis, arba, eidami savo pareigas, juos sužino. Šių Taisyklių taip pat privalo laikytis ir duomenų tvarkytojai, kurie teikdami Administracijai duomenų tvarkymo paslaugas sužino ir tvarko asmens duomenis.

4. Duomenų subjektų asmens duomenys Administracijoje renkami tik teisės aktų nustatyta tvarka, juos gaunant:

4.1. tiesiogiai iš duomenų subjekto;

4.2. duomenų subjekto atstovo;

4.3. pagal asmens duomenų teikimo sutartį (daugkartinio asmens duomenų rinkimo atveju);

4.4. duomenų valdytojui pateikiant prašymą, kuriame turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis (vienkartinio asmens duomenų rinkimo atveju);

4.5. teisės aktų pagrindu prisijungiant prie atskirus duomenis kaupiančių duomenų bazių, registrų ir informacinių sistemų.

5. Taisyklėse vartojamos sąvokos:

5.1. asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima tiesiogiai arba netiesiogiai nustatyti pagal tokius duomenis, kaip vardas ir pavardė, asmens kodas, gimimo data, adresas, telefono numeris, elektroninio pašto adresas, arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

5.2. specialiųjų kategorijų asmens duomenys – asmens duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat genetiniai duomenys, biometriniai duomenys, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją;

5.3. duomenų valdytojas – Šiaulių miesto savivaldybės administracija, kuri tvarkydama Administracijos darbuotojų ir kitų asmenų duomenis nustato tų duomenų naudojimo būdus, priemones ir tikslus;

5.4. duomenų tvarkymas – bet kuris su asmens duomenimis atliekamas veiksmas: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas, loginės ir (arba) aritmetinės operacijos, paieška, skleidimas, ištrynimas, naikinimas ar kitoks veiksmas arba veiksmų rinkinys;

5.5. Administracijos darbuotojai - Administracijos struktūriniame padalinyje dirbantis ar į struktūrinius padalinius neįeinantis karjeros valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį;

5.6. duomenų subjektas – Administracijos darbuotojai ir kiti fiziniai asmenys, kurių duomenis tvarko Administracija;

5.7. konsultuojantis asmuo – Administracijos darbuotojas pagal savo kompetenciją telefonu interesantams teikiantis konsultacijas jo kompetencijai priskirtais klausimais;

5.8. interesantas – asmuo, kuris Administracijos interneto svetainėje viešai skelbiamais telefono ryšio numeriais kreipiasi į Administraciją jos kompetencijai priskirtais klausimais;

5.9. pokalbio įrašas – konsultuojančio asmens ir interesanto telefoninio pokalbio, vykstančio Administracijos telefono ryšio linija, garso įrašas;

5.10. garso įrašas – techninėmis garso įrašymo priemonėmis įrašyti Administracijos komisijų ir darbo grupių posėdžių, Administracijos ir jos skyrių pasitarimų, susirinkimų su kitomis institucijomis ir pan., garso įrašai;

5.11. vaizdo stebėjimas – vaizdo duomenų, susijusių su fiziniu asmeniu (toliau – vaizdo duomenys), tvarkymas naudojant Taisyklėse nurodytas vaizdo stebėjimo kameras;

5.12. vaizdo stebėjimo priemonės – įranga, kuria galima stebėti ir fiksuoti vaizdo duomenis.

6. Kitos Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą ir apsaugą.

7. Taisyklės parengtos vadovaujantis Reglamentu, ADTAĮ ir kitais teisės aktais, reglamentuojančiais asmens duomenų apsaugą. Taisyklių nuostatos negali plėsti ir siaurinti Reglamento ar ADTAĮ taikymo srities bei prieštarauti Reglamente ir ADTAĮ nustatytiems asmens duomenų tvarkymo reikalavimams ir kitiems asmens duomenų tvarkymą reglamentuojantiems teisės aktams ir jei pasikeičia šių aktų nuostatos, jos taikomos, kaip turinčios aukštesnę galią.

II SKYRIUS

ASMENS DUOMENŲ TVARKYMO PRINCIPAI. PRITAIKYTOJI IR STANDARTIZUOTOJI DUOMENŲ APSAUGA

8. Asmens duomenys Administracijoje tvarkomi vadovaujantis Reglamente numatytais asmens duomenų tvarkymo principais:

8.1. asmens duomenys renkami nustatytais, aiškiai apibrėžtais ir teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; tolesnis asmens duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais nėra laikomas nesuderinamu su pirminiais tikslais (laikomasi tikslo apribojimo principo);

8.2. duomenų subjekto atžvilgiu duomenys tvarkomi teisėtu, sąžiningu ir skaidriu būdu (laikomasi teisėtumo, sąžiningumo ir skaidrumo principo);

8.3. asmens duomenys turi būti tikslūs ir, jei reikia dėl duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs duomenys ištaisomi, papildomi, sunaikinami arba sustabdomas jų tvarkymas, imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (laikomasi tikslumo principo);

8.4. asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi. Tvarkomas mažiausiais asmens duomenų kiekis, kuris yra būtinas ir pakankamas Administracijos nustatytiems asmens duomenų tvarkymo tikslams įgyvendinti. Administracija turi netvarkyti perteklinių asmens duomenų (laikomasi duomenų kiekio mažinimo principo);

8.5. asmens duomenys turi būti laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi. Turi būti nustatomi visų Administracijoje tvarkomų asmens duomenų saugojimo terminai (laikomasi saugojimo trukmės apribojimo principo);

8.6. asmens duomenys tvarkomi tokiu būdu, kad taikant atitinkamas technines ir (ar) organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (laikomasi vientisumo ir konfidencialumo principo).

9. Tvarkant asmens duomenis, Administracija taip pat laikosi pritaikytosios ir standartizuotos duomenų apsaugos reikalavimų:

9.1. siekdama laikytis pritaikytosios asmens duomenų apsaugos reikalavimo, tiek nustatydama duomenų tvarkymo priemones, tiek paties duomenų tvarkymo metu, Administracija privalo taikyti tinkamas technines ir organizacines priemones, kuriomis įgyvendinami duomenų apsaugos principai ir į duomenų tvarkymą yra integruojamos apsaugos priemonės, kurių tikslas yra atitikti Reglamento reikalavimus ir apsaugoti duomenų subjektų teises;

9.2. siekdama laikytis standartizuotosios duomenų apsaugos reikalavimo, Administracija įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui, o visų pirma tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.

10. Tais atvejais, kai dėl asmens duomenų tvarkymo rūšies, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į asmens duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus (pavyzdžiui, diegiant naują informacinę sistemą ir (ar) atnaujinant jau įdiegtą informacinę sistemą), iki asmens duomenų tvarkymo pradžios vadovaujantis Poveikio duomenų apsaugai vertinimo Šiaulių miesto savivaldybės administracijoje taisyklėmis, patvirtintomis Šiaulių miesto savivaldybės administracijos direktoriaus 2020 m. kovo 31 d. įsakymu Nr. A-429 „Dėl poveikio duomenų apsaugai vertinimo Šiaulių miesto savivaldybės administracijoje taisyklių patvirtinimo“ (su visais pakeitimais ir papildymais), atliekamas poveikio duomenų apsaugai vertinimas.

11. Administracija, kaip duomenų valdytojas, yra atsakinga už tai, kad būtų laikomasi Reglamento ir Taisyklėse nurodytų principų, ir turi sugebėti įrodyti, kad jų yra laikomasi – tvarkydama asmens duomenis, Administracija įgyvendina asmens duomenų apsaugos teisinius reikalavimus, stebi jų laikymąsi ir kaupia duomenis Reglamento reikalavimų atitikčiai įrodyti. Administracija dokumentuoja asmens duomenų tvarkymo pakeitimus, asmens duomenų saugumo pažeidimus, asmens duomenų tvarkymo veiklos pokyčius (Administracijos duomenų tvarkymo veiklos įrašuose) ir kitus su asmens duomenų tvarkymu susijusius Administracijos atliekamus veiksmus (atskaitomybės principas).

12. Asmens duomenys gali būti tvarkomi tik tuo tikslu, kuriuo yra renkami. Jeigu asmens duomenys nėra būtini tam, kad būtų pasiektas konkretus tikslas, jie negali būti tvarkomi. Konkrečiam tikslui pasiekti yra tvarkomas kiek įmanoma mažesnis kiekis asmens duomenų. Asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, turi būti nedelsiant ištrinami arba ištaisomi – Administracija imamasi visų pagrįstų priemonių užtikrinti, kad būtų laikomasi Taisyklių 8 punkte nustatytų principų.

III SKYRIUS

DUOMENŲ VALDYMO IR TVARKYMO ORGANIZACINĖ STRUKTŪRA

13. Asmens duomenų tvarkymo principų ir duomenų valdytojo (tvarkytojo) pareigų įgyvendinimą užtikrina Administracijos duomenų valdymo organizacinė struktūra:

13.1. Administracijos direktorius arba jo įgaliotas asmuo;

13.2. duomenų apsaugos pareigūnas;

13.3. Administracijos struktūrinių padalinių vedėjai ar į struktūrinius padalinius neįeinantys karjeros valstybės tarnautojai ar darbuotojai, dirbantys pagal darbo sutartis;

13.4. Administracijos darbuotojai, kuriems pavesta tvarkyti asmens duomenis.

14. Administracijos direktorius arba jo įgaliotas asmuo organizuoja asmens duomenų tvarkymą Administracijoje, nustato Administracijos darbuotojų teises ir pareigas vykdant asmens duomenų tvarkymą, priima sprendimus dėl pritarimo pradėti planuojamą duomenų tvarkymo veiklą, taip pat atlieka kitas funkcijas užtikrinant asmens duomenų apsaugos organizavimą ir valdymą Administracijoje.

15. Duomenų apsaugos pareigūnas (toliau - pareigūnas) yra nepriklausomas Administracijos patarėjas asmens duomenų apsaugos klausimais. Duomenų subjektai gali kreiptis į pareigūną visais klausimais, susijusiais su jų asmens duomenų tvarkymu ir naudojimusi savo teisėmis pagal Reglamentą.

16. Pareigūnas turi teisę:

16.1. būti informuotas ir įsitraukti į visų su asmens duomenų apsauga ir privatumu susijusių klausimų nagrinėjimą Administracijoje;

16.2. susipažinti su asmens duomenimis, dalyvauti duomenų tvarkymo operacijose;

16.3. atlikdamas savo funkcijas gauti visus reikiamus išteklius (laiko, tinkamų darbo sąlygų ir kt.) bei galimybę išlaikyti ekspertines duomenų apsaugos teisės ir praktikos žinias.

17. Pareigūnas Administracijoje privalo vykdyti šias užduotis:

17.1. stebėti, kaip laikomasi Reglamento ir kitų asmens duomenų teisinę apsaugą reglamentuojančių teisės aktų reikalavimų, šių Taisyklių, kitų vidaus dokumentų, susijusių su asmens duomenų apsauga;

17.2. konsultuoti ir stebėti, kaip atliekamas poveikio duomenų apsaugai vertinimas;

17.3. informuoti Administracijos direktorių ir kitus Administracijos darbuotojus apie jų pareigas pagal Reglamentą ir kitus asmens duomenų apsaugą reglamentuojančius teisės aktus ir juos konsultuoti dėl konkrečių pareigų vykdymo;

17.4. informuoti Administracijos direktorių apie bet kokias neatitiktis, pažeidimus asmens duomenų apsaugos srityje, kuriuos pareigūnas nustato vykdydamas savo funkcijas;

17.5. konsultuoti Administracijos darbuotojus, dirbančius su asmens duomenimis, asmens duomenų apsaugos klausimais;

17.6. bendradarbiauti, būti kontaktiniu asmeniu santykiuose su Valstybine duomenų apsaugos inspekcija;

17.7. organizuoti Administracijos darbuotojų mokymus arba atlikti mokymų stebėseną ir, esant poreikiui, konsultuoti šiais klausimais;

17.8. vykdyti kitas pareigybės aprašyme nustatytas ar jam pavestas funkcijas.

18. Administracijos darbuotojai, tvarkantys asmens duomenis ar organizuojantys jų tvarkymą, siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam duomenų tvarkymui, privalo konsultuotis su pareigūnu ir gauti jo nuomonę šiais atvejais:

18.1. keičiant esančius ar nustatant naujus asmens duomenų tvarkymo procesus;

18.2. tobulinant esamas ar diegiant naujas su asmens duomenų tvarkymu susijusias sistemas ar programas;

18.3. atliekant poveikio duomenų apsaugai vertinimą;

18.4. rengiant su asmens duomenų tvarkymu susijusius vidaus teisės aktus;

18.5. rengiant naujas ar keičiant esamas asmens duomenų teikimo, duomenų tvarkymo sutartis;

18.6. sprendžiant dėl asmens duomenų teikimo tretiesiems asmenims, jeigu toks teikimas nėra numatytas asmens duomenų teikimo sutartyje ar nėra reglamentuotas teisės aktuose;

18.7. kitais atvejais, jeigu klausimas susijęs su asmens duomenų apsauga Administracijoje.

19. Pareigūnas nuomonę bei rekomendacijas, konsultacijas svarstomu klausimu įprastai teikia žodine forma, arba neoficialia rašytine forma (elektroniniu paštu), arba Administracijos dokumentų valdymo sistemoje „Avilys“ derinant pateiktus teisės aktų ir/ar sutarčių projektus. Pareigūno nuomonė, rekomendacijos ir pastabos gali būti teikiamos ir raštu per Administracijos dokumentų valdymo sistemą „Avilys“. Jeigu priimant atitinkamus sprendimus, dėl kurių pareigūnas pateikė nuomonę, ir į pareigūno nuomonę visiškai ar iš dalies neatsižvelgiama, neatsižvelgimo motyvai išdėstomi raštu, o galutinį sprendimą priima Administracijos direktorius.

20. Pareigūnas privalo užtikrinti slaptumą ir konfidencialumą, susijusį su jo užduočių vykdymu, laikydamasis Europos Sąjungos ar valstybės narės teisės aktų reikalavimų. Siekiant užtikrinti Reglamento 38 straipsnio 5 dalyje įtvirtintą konfidencialumą, kreipiantis į pareigūną raštu, ant voko užrašoma, kad korespondencija skirta pareigūnui.

21. Už duomenų tvarkymo veiklos įrašų pateikimą Valstybinei duomenų apsaugos inspekcijai (esant jos prašymui / reikalavimui) atsako pareigūnas.

22. Pareigūnas nevykdo jokių kitų pareigų ar funkcijų, kurios galėtų sukelti interesų konfliktą su jo atliekamomis pareigūno funkcijomis.

23. Pareigūno vardas, pavardė bei kontaktiniai duomenys (telefono ryšio numeris, elektroninis paštas) skelbiami Šiaulių miesto savivaldybės (toliau – Savivaldybė) interneto svetainėje www.siauliai.lt skiltyje „Asmens duomenų apsauga“ ir kitose vietose, siekiant sudaryti galimybę suinteresuotiems asmenims be kliūčių susisiekti su Administracijos pareigūnu. Administracijos pareigūno kontaktiniai duomenys pranešami ir Valstybinei duomenų apsaugos inspekcijai.

24. Visi Administracijos darbuotojai privalo bendradarbiauti su pareigūnu, skubiai teikti visus jo paprašytus dokumentus ir informaciją. Administracijos darbuotojai privalo palaikyti nuolatinį kontaktą su pareigūnu, t. y. užtikrinti, kad su jais pareigūnui būtų lengva susisiekti, operatyviai reaguoti į pareigūno paklausimus.

25. Administracijos struktūrinių padalinių vadovai ar į struktūrinius padalinius neįeinantys karjeros valstybės tarnautojai ar darbuotojai, dirbantys pagal darbo sutartį organizuoja jų vadovaujamų padalinių (specialistai – jų tvarkomų asmens duomenų) veiklai reikalingų asmens duomenų tvarkymą – vykdo ir atlieka tokias funkcijas:

25.1. inicijuoja veiklai reikalingų naujų asmens duomenų tvarkymą, duomenų tvarkytojo pasitelkimą, sprendimus dėl duomenų gavimo ar perdavimo;

25.2. nustato ir įgyvendina organizacines ir technines priemones, siekiant užtikrinti asmens duomenų saugumą;

25.3. paskirsto asmens duomenų tvarkymo užduotis Administracijos darbuotojams ir vykdo jų įgyvendinimo priežiūrą;

25.4. inicijuoja asmens duomenų tvarkymo veiklos įrašų atnaujinimą, informuojant apie pasikeitimus pareigūną;

25.5. atlieka kitas funkcijas, siekiant užtikrinti tinkamą asmens duomenų tvarkymą padalinyje.

26. Administracijos darbuotojai, tvarkantys asmens duomenis, užtikrina Reglamente, įstatymuose ir kituose teisės aktuose bei šiose Taisyklėse nustatytų asmens duomenų tvarkymo principų taikymą ir duomenų apsaugos organizacinių ir techninių priemonių įgyvendinimą.

IV SKYRIUS

ASMENS DUOMENŲ TVARKYMO BENDROSIOS NUOSTATOS. ASMENS DUOMENŲ TVARKYMO TIKSLAI

27. Administracijoje visi asmens duomenys gali būti tvarkomi tik tada, jeigu yra bent viena iš Reglamento 6 straipsnio 1 dalyje įtvirtintų teisėto tvarkymo sąlygų.

28. Draudžiama tvarkyti specialių kategorijų asmens duomenis, išskyrus tuos atvejus, jeigu yra bent viena iš Reglamento 9 straipsnio 2 dalyje numatytų sąlygų.

29. Asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas Administracija tvarko vadovaudamasi Reglamento 10 straipsniu ir tik tais atvejais, kai tokią teisę tiesiogiai nustato teisės aktai.

30. Administracijos darbuotojai prieš kiekvieną asmens duomenų tvarkymo operaciją (veiksmą) privalo įvertinti, ar toks asmens duomenų tvarkymas atitinka Taisyklių 12 punkte įtvirtintus reikalavimus, bei užtikrinti, kad kiekviena duomenų tvarkymo operacija (veiksmas) atitiktų minėtus reikalavimus, taip pat įvertinti, ar toks asmens duomenų tvarkymas turi bent vieną Taisyklių 27 ar 28 punktuose įtvirtintą asmens duomenų teisėto tvarkymo sąlygą, bei užtikrinti, kad asmens duomenys nebūtų tvarkomi, jei nėra bent vieno iš minėtų teisėtų tvarkymo sąlygų.

31. Atvejais, kai asmens duomenų tvarkymas būtų atliekamas vadovaujantis Reglamento 6 straipsnio 1 dalies f punktu (teisėto intereso pagrindu), Administracijos darbuotojas, prieš pradėdamas tvarkyti asmens duomenis, konsultuojant pareigūnui, privalo atlikti teisėto intereso vertinimo testą, vadovaujantis Poveikio duomenų apsaugai vertinimo Šiaulių miesto savivaldybės administracijoje taisyklėmis, patvirtintomis Šiaulių miesto savivaldybės administracijos direktoriaus 2020 m. kovo 31 d. įsakymu Nr. A-429 „Dėl poveikio duomenų apsaugai vertinimo Šiaulių miesto savivaldybės administracijoje taisyklių patvirtinimo“ (su visais pakeitimais ir papildymais)

32. Dokumentai, kuriuose yra asmens duomenys, tvarkomi, įtraukiami į apskaitą ir saugomi vadovaujantis Dokumentų tvarkymo ir apskaitos taisyklių, patvirtintų Lietuvos vyriausiojo archyvaro 2011 m. liepos 4 d. įsakymu Nr. V-118 „Dėl Dokumentų tvarkymo ir apskaitos taisyklių patvirtinimo“, Dokumentų saugojimo taisyklių, patvirtintų Lietuvos vyriausiojo archyvaro 2011 m. gruodžio 28 d. įsakymu Nr. V-157 „Dėl Dokumentų saugojimo taisyklių patvirtinimo“, reikalavimais ir Lietuvos vyriausiojo archyvaro tarnybos parengtomis Vaizdo ir garso dokumentų išsaugojimo rekomendacijomis. Dokumentai, kuriuose yra asmens duomenų, neturi būti laikomi visiems prieinamoje matomoje vietoje, kur neturintys teisės asmenys nekliudomai galėtų su jais susipažinti.

33. Rengiant Savivaldybės tarybos sprendimų, Administracijos įsakymų, raštų bei kitų dokumentų projektus, rekomenduojama vengti perteklinių duomenų apie fizinius asmenis, jei to nereikalauja įstatymas ar kitos su konkretaus dokumento rengimu susijusios aplinkybės.

34. Jeigu Administracijoje tvarkoma informacija turi būti skelbiama viešai ir joje yra viešai neskelbtinų duomenų (valstybės, tarnybos, profesinių, komercinių ar kitų teisės aktų saugomų paslapčių arba kitokių neskelbtinų duomenų) ar asmens duomenų (fizinių asmenų asmens kodai, gyvenamųjų vietų adresai, gimimo datos ir vietos, valstybiniai automobilių numeriai, sveikatos duomenys ir kita), parengiama viešai skelbtina teksto versija, kurioje asmens duomenys pakeičiami taip, kad duomenų subjekto tapatybės nebūtų galima nustatyti. Pašalintų duomenų vietoje pasviruoju šriftu skliaustuose įrašoma „(duomenys neskelbtini)“. Taip pat nuasmeninant informaciją rekomenduotina vadovautis Valstybinės duomenų apsaugos inspekcijos rekomendacija „Nuasmeninimo metodai“.

35. Administracijoje neautomatiniu būdu susistemintose rinkmenose ir automatiniu būdu tvarkomi šie duomenų subjektų asmens duomenys:

35.1. Administracijos informacinėse sistemose, kompiuterinėse ir popierinėse laikmenose esantys duomenų subjektų asmens duomenys, kurių tvarkymo tikslai, pagrindas ir baigtinis tvarkomų asmens duomenų sąrašas numatyti Lietuvos Respublikos teisės aktuose, reglamentuojančiuose vietos savivaldos funkcijas, ir (ar) Administracijos duomenų tvarkymo veiklos įrašuose, atitinkamos Administracijos informacinės sistemos nuostatuose ir specifikacijose bei kituose teisės aktuose;

35.2. buvusių ir esamų Administracijos valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, praktikantų asmens duomenys (vardas, pavardė, asmens kodas, asmens socialinio draudimo numeris, adresas, telefono ryšio numeris, elektroninio pašto adresas, gyvenimo ir veiklos aprašymas, parašas, šeiminė padėtis, pilietybė, pareigos, duomenys apie priėmimą / perkėlimą / atleidimą iš pareigų, duomenys apie išsilavinimą ir kvalifikaciją, duomenys apie mokymą, duomenys apie atostogas, duomenys apie darbo užmokestį, išeitines išmokas, kompensacijas, pašalpas, informacija apie dirbtą darbo laiką, informacija apie skatinimus ir nuobaudas, informacija apie atliktus darbus ir užduotis, duomenys apie valstybės tarnautojo tarnybinės veiklos vertinimą, Lietuvos Respublikos piliečio paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, ypatingi asmens duomenys, susiję su sveikata, teistumu, dalyvavimu uždraustos organizacijos veikloje, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Administraciją įpareigoja įstatymai ir kiti teisės aktai), kurie tvarkomi vidaus administravimo (personalo valdymo, raštvedybos tvarkymo, materialinių ir finansinių išteklių naudojimo) tikslu;

35.3. pretendentų į Administracijos darbuotojus asmens duomenys (vardas, pavardė, asmens kodas, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, pareigos, į kurias pretenduojama, gyvenimo ir veiklos aprašymas, parašas, duomenys apie išsilavinimą ir kvalifikaciją, ypatingi asmens duomenys, susiję su teistumu, dalyvavimu uždraustos organizacijos veikloje, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Administraciją įpareigoja įstatymai ir kiti teisės aktai), kurie tvarkomi vidaus administravimo (personalo valdymo, raštvedybos tvarkymo, materialinių ir finansinių išteklių naudojimo) tikslu;

35.4. Administracijos elektroninių paslaugų portalų naudotojų asmens duomenys (amžius, asmens kodas, darbovietė, elektroninio pašto adresas, telefono numeris, vardas, pavardė, gimimo metai, gyvenamoji vieta (adresas), išsilavinimas, šeiminė padėtis, statistiniai duomenys apie naudojimosi Administracijos elektroninėmis paslaugomis intensyvumą);

35.5. duomenų subjektų ir Administracijos darbuotojų pokalbių telefonu garso įrašų metaduomenys (konsultuojančio asmens vardas ir pavardė, interesanto telefono ryšio numeris, pokalbio data bei pradžios ir pabaigos laikas, informacija, pateikta pokalbio metu);

35.6. duomenų subjektų vaizdo stebėjimo duomenys (į vaizdo stebėjimo priemonių lauką patekusių duomenų subjektų vaizdo duomenys);

35.7. kiti asmens duomenys, kurie teisėtai renkami ir tvarkomi vadovaujantis Reglamentu.

36. Administracija Taisyklių 35.1–35.7 papunkčiuose nurodytus asmens duomenis tvarko šiais tikslais:

36.1. asmenų, pateikusių Administracijai skundą, pareiškimą ar prašymą, asmens duomenys tvarkomi asmenų informavimo, skundų, pareiškimų ir prašymų nagrinėjimo, viešųjų paslaugų teikimo, vidaus administravimo (dokumentų valdymo) ir vietos savivaldos funkcijų įgyvendinimo tikslais;

36.2. Administracijoje esamų ir buvusių valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, asmens duomenys tvarkomi vidaus administravimo (personalo valdymo, raštvedybos tvarkymo, apskaitos, materialinių ir finansinių išteklių naudojimo, vidinės komunikacijos) ir Administracijos veiklos viešinimo tikslais;

36.3. pretendentų į Administracijos darbuotojus asmens duomenys tvarkomi vidaus administravimo (personalo valdymo ir administravimo) tikslu;

36.4. asmenų, patenkančių į Administracijos atliekamo vaizdo stebėjimo lauką asmens duomenys tvarkomi Taisyklių 115 punkte nurodytais tikslais;

36.5. visuomenės informavimo priemonių ir viešosios informacijos rengėjų atstovų, besikreipiančių į Administraciją, asmens duomenys tvarkomi vidaus administravimo (dokumentų valdymo) tikslu;

36.6. fizinių asmenų, su Administracija sudariusių prekių, paslaugų, darbų viešojo pirkimo, privalomos ir savanoriškos praktikos ar kitas sutartis, asmens duomenys, o juridinių asmenų – jų darbuotojų, nurodytų sutartyse, asmens duomenys tvarkomi sutarčių vykdymo ir atsiskaitymo tikslu;

36.7. asmenų iš kitų įstaigų, įmonių, organizacijų, visuomenės atstovų, besilankančių Administracijoje, asmens duomenys tvarkomi gerosios praktikos pasidalijimo, komunikacijos, Administracijos veiklos viešinimo tikslais;

36.8. asmenų, galimai padariusių administracinį nusižengimą, duomenys tvarkomi nusižengimų prevencijos tikslais;

36.9. asmenų, skambinančių į Administraciją telefonu, balso ir pokalbių duomenys tvarkomi siekiant Taisyklių 99 punkte nurodytų tikslų.

37. Administracijoje tvarkomų asmens duomenų baigtinis sąrašas ir tikslai detalizuojami Administracijos asmens duomenų tvarkymo veiklos įrašuose ar kituose Administracijos dokumentuose.

38. Administracija, kaip duomenų tvarkytoja, tvarko asmens duomenis valstybės registruose, informacinėse sistemose atitinkamo registro, informacinės sistemos nuostatų nustatyta tvarka.

V SKYRIUS

ASMENS DUOMENŲ TVARKYMAS IR RINKIMAS VIEŠUOSE RENGINIUOSE BEI ERDVĖSE

39. Administracijos renginiuose, kurių metu yra numatyta filmuoti ar fotografuoti, ar rinkti kitus asmens duomenis, renginio dalyvius privaloma apie tai informuoti iš anksto. Ši informacija gali būti pateikiama įvairiomis formomis priklausomai nuo renginio pobūdžio ir numatyto dalyvių registracijos būdo, pavyzdžiui nurodant kvietime, renginio dalyvio registracijos formoje, įteikiant informacinį lapelį, patalpinant Savivaldybės interneto svetainėje www.siauliai.lt ar kituose šaltiniuose, kuriuose skelbiama apie renginį.

40. Už renginio organizavimą atsakingas Administracijos darbuotojas apie filmavimą ar fotografavimą renginio dalyviams matomoje vietoje pateikia informacinį pranešimą (Taisyklių 9 priedas). Taisyklių 9 priedo „Fotografavimo, filmavimo renginio metu informacinio pranešimo forma“ turinys gali būti keičiamas, atsižvelgiant į filmavimo ar fotografavimo tikslą, kur bus viešinamos nuotraukos ar vaizdo medžiaga ir pan.

41. Jeigu asmens atvaizdas Administracijos organizuojamo renginio metu užfiksuotas ne viešoje vietoje, prieš skelbiant jį viešai (pavyzdžiui, Savivaldybės interneto svetainėje www.siauliai.lt, socialinių tinklų paskyrose) turi būti gautas duomenų subjekto sutikimas ar jo atstovo sutikimas. Jeigu dalis Administracijos organizuojamame renginyje dalyvavusių asmenų duoda sutikimą dėl jų atvaizdo viešo skelbimo, o dalis ne, nuotraukos ar vaizdo įrašai prieš paskelbiant viešai turi būti pakoreguoti taip, kad nebūtų galimybės nustatyti sutikimo nedavusių asmenų tapatybės. Bet kokiu atveju negalima viešai skelbti žeminančio asmens orumą ar įžeidžiančio pobūdžio nuotraukų bei vaizdo įrašų, todėl prieš viešinant renginio dalyvių nuotraukas ir/ar vaizdo įrašus reikia juos atidžiai peržiūrėti bei įvertinti.

42. Jeigu Administracijos organizuojamas renginys vyksta viešoje vietoje, tačiau duomenų subjektas akivaizdžiai nepageidauja, kad jo atvaizdas būtų užfiksuotas (pavyzdžiui, užsidengia veidą), rekomenduotina gerbti duomenų subjekto valią ir jo atvaizdo viešai neskelbti.

43. Nepriklausomai nuo to, ar Administracijos organizuojamas renginys vyko viešoje vietoje ar ne, draudžiama viešinti filmuotą medžiagą ar nuotraukas, kuriuose užfiksuotas nepilnametis asmuo, be jo atstovo pagal įstatymą sutikimo.

VI SKYRIUS

REIKALAVIMAI SUTIKIMUI, KAIP ASMENS DUOMENŲ TVARKYMO PAGRINDUI

44. Asmens duomenys sutikimo pagrindu tvarkomi:

44.1. kai tai tiesiogiai numatyta Taisyklėse, Reglamente, ADTAĮ arba kituose teisės aktuose;

44.2. kai, atsižvelgiant į duomenų tvarkymo tikslą ar duomenų kiekį, Administracija neturi kito teisinio pagrindo tvarkyti asmens duomenis ar įvykdyti kitus Reglamente nustatytus įpareigojimus visa apimtimi. Jeigu asmens duomenys, atsižvelgiant į jų kiekį ir tvarkymo tikslus, gali būti tvarkomi bent vienu Reglamente įtvirtintų pagrindų, duomenų subjekto sutikimas papildomai nėra prašomas pateikti;

44.3. kai tai labiausiai atitinka Administracijos interesus ir padidintos rizikos atvejais sumažina asmens duomenų tvarkymo neteisėtumo riziką.

45. Duomenų subjekto sutikimas dėl asmens duomenų tvarkymo yra užpildomas raštu ir teikiamas Administracijai pagal patvirtintą formą (Taisyklių 10 priedas). Užpildytas ir pasirašytas sutikimas dėl asmens duomenų tvarkymo pateikiamas pareigūnui registruoti dokumentų valdymo sistemoje „Avilys“.

46. Duomenų subjekto sutikimai gali būti renkami šiais būdais: raštu, įskaitant gautus elektroninėmis priemonėmis, žodžiu ar veiksmais, jeigu yra galimybė įrodyti, kad toks sutikimas buvo duotas, ir jeigu duomenų subjektas savo veiksmais aiškiai sutinka su siūlomu jo asmens duomenų tvarkymu. Pirmenybė kiekvienu atveju yra teikiama duomenų subjekto sutikimams, gautiems raštu (įskaitant gautus elektroninėmis priemonėmis), o kiti sutikimo būdai gali būti naudojami tik kiekvienu konkrečiu atveju įsitikinus, kad yra įmanoma įrodyti duomenų subjekto sutikimo davimo faktą. Duomenų subjekto tylėjimas, iš anksto pažymėti laukai arba neveikimas nelaikomi duomenų subjekto sutikimu.

47. Visais atvejais, kai asmens duomenys yra tvarkomi duomenų subjekto sutikimo pagrindu, Administracija privalo kaupti ir turėti įrodymus, kad duomenų subjektas davė Taisyklių 10 priede nustatytos formos ir turinio sutikimą.

48. Kai asmens duomenys yra tvarkomi sutikimo pagrindu, tvarkomi tik tie asmens duomenys, kurie nurodyti sutikime, tik tais tikslais, kurie nurodyti sutikime, ir su jais atliekamos tik tos tvarkymo operacijos (veiksmai), kurios nurodytos sutikime. Jeigu keičiasi tvarkomų duomenų kiekis, tvarkymo tikslas ar tvarkymo operacijos (veiksmai), privaloma gauti papildomą sutikimą tokiam duomenų tvarkymui arba turi egzistuoti kitas Taisyklėse ar Reglamente įtvirtintas asmens duomenų tvarkymo teisinis pagrindas.

49. Sutikimas gali būti asmens duomenų tvarkymo pagrindas, jei atitinka šiuos reikalavimus:

49.1. duotas laisva duomenų subjekto valia. Vertinant, ar sutikimas duotas laisva valia, atsižvelgiama į šias aplinkybes:

49.1.1. ar sutarties vykdymui nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti (tokiu atveju nelaikoma, kad sutikimas duotas laisva valia);

49.1.2. ar duomenų subjektas yra verčiamas duoti sutikimą, neturi realaus pasirinkimo dėl sutikimo davimo, patiria spaudimą, negali realiai kontroliuoti sutikimo davimo bei asmens duomenų ar gali susilaukti neigiamų pasekmių (tiesioginių ir netiesioginių), jeigu sutikimas nebus duotas (tokiais atvejais nelaikoma, kad sutikimas duotas laisva valia);

49.1.3. jeigu sutikimas yra neatsiejamai susietas su sąlygomis, dėl kurių duomenų subjektas neturi galimybės derėtis ar jas pakeisti, preziumuojama, kad toks sutikimas nėra duotas laisva valia. Tokiu atveju Administracija imasi papildomų priemonių šiai prezumpcijai paneigti ir užtikrinti, kad sutikimas būtų duodamas laisva valia;

49.1.4. jeigu yra aiški Administracijos ir duomenų subjekto padėties neatitiktis ir dėl to tikėtina, kad sutikimas, atsižvelgiant į visas to konkretaus atvejo aplinkybes, gali nebūti duotas laisva valia. Tokiu atveju Administracija imasi papildomų priemonių užtikrinti, kad sutikimas būtų duodamas laisva valia;

49.1.5. jeigu sutikimas yra siejamas su keliais duomenų tvarkymo tikslais ar keliomis duomenų tvarkymo operacijomis (veiksmais), duomenų subjektams turi būti sudaryta galimybė sutikti ne su visais tikslais ar operacijomis (veiksmais), o tik su atskirais tikslais ar operacijomis (veiksmais), jeigu jie nėra tarpusavyje tiesiogiai susiję. Priešingu atveju nelaikoma, kad sutikimas duotas laisva valia;

49.2. sutikimas yra konkretus ir išsamus. Laikoma, kad sutikimas yra konkretus ir išsamus, jeigu jis atitinka šiuos reikalavimus:

49.2.1. aiškiai ir išsamiai nurodytas konkretus ir teisėtas asmens duomenų tvarkymo tikslas;

49.2.2. nurodyti konkretūs asmens duomenys, kurie bus tvarkomi konkrečiais duomenų tvarkymo tikslais;

49.2.3. nurodytos duomenų tvarkymo operacijos (veiksmai), kurios bus atliekamos sutikimo pagrindu;

49.2.4. duomenų subjektui sudaroma galimybė sutikti tik su atskirais duomenų tvarkymo tikslais, jeigu sutikimas duodamas keliems duomenų tvarkymo tikslams, taip pat tik su konkrečiomis duomenų tvarkymo operacijomis (veiksmais);

49.3. sutikimą duomenų subjektas davė tinkamai informuotas. Tam, kad šis reikalavimas būtų įvykdytas, prieš duomenų subjektui pasirašant sutikimą jam turi būti pateikta Reglamento 13 straipsnyje nurodyta informacija bei informuojama apie duomenų subjekto teisę bet kuriuo metu atšaukti savo sutikimą. Informacija gali būti pateikta raštu, žodžiu, audiovizualinėmis žinutėmis, tačiau visais atvejais tokiu būdu, kad Administracija turėtų galimybę įrodyti, jog informacija duomenų subjektui buvo pateikta ir kad ji atitinka Reglamento 13 straipsnyje įtvirtintą turinį;

49.4. sutikimas yra nedviprasmiškas duomenų subjekto valios išreiškimas, kad su juo susiję duomenys būtų tvarkomi. Sutikimas turi būti duodamas aktyviais veiksmais;

49.5. sutikimas turi būti parašytas paprasta, aiškia, duomenų subjektui suprantama kalba.

50. Visais atvejais sutikimas turi būti gaunamas prieš atliekant duomenų tvarkymo operacijas (veiksmus), dėl kurių renkamas sutikimas.

51. Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Duomenų subjektui atšaukus sutikimą, draudžiama tvarkyti asmens duomenis tais tikslais ir atlikti duomenų tvarkymo operacijas (veiksmus), kurios buvo atliekamos tokio sutikimo pagrindu, išskyrus atvejus, kai tokiam duomenų tvarkymui egzistuoja kitas Taisyklėse ar Reglamente įtvirtintas asmens duomenų tvarkymo teisinis pagrindas. Sutikimui atšaukti yra sudaromos analogiškos sąlygos, kaip ir sutikimui duoti, draudžiama apsunkinti ar sudaryti papildomas sąlygas sutikimui atšaukti. Sutikimo atšaukimas negali sukelti duomenų subjektui neigiamų padarinių, įskaitant paslaugos kokybės sumažinimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie šiame punkte išdėstytas nuostatas privalo būti informuojamas prieš jam duodant sutikimą.

52. Duomenų subjekto sutikimo dėl asmens duomenų tvarkymo atšaukimas yra užpildomas raštu ir teikiamas Administracijai pagal patvirtintą formą (Taisyklių 11 priedas). Užpildytas ir pasirašytas sutikimas dėl asmens duomenų tvarkymo atšaukimas pateikiamas pareigūnui registruoti dokumentų valdymo sistemoje „Avilys“.

53. Administracija imasi priemonių, kad sutikimai, kiek tai yra įmanoma atsižvelgiant į asmens duomenų tvarkymo tikslus ir apimtį, galiotų apibrėžtą terminą.

54. Sutikimas galioja iki jo atšaukimo momento arba iki sutikime nurodyto jo galiojimo termino pabaigos.

55. Sutikimas ir jame nurodyti asmens duomenys yra saugomi vienerius metus nuo sutikimo atšaukimo arba pasibaigus asmens duomenų, dėl kurių tvarkymo buvo duotas sutikimas, saugojimo laikotarpiui, arba nuo Administracijos sprendimo nebetvarkyti asmens duomenų sutikime nustatytais tikslais priėmimo dienos, išskyrus atvejus, kai teisės aktai numato kitokį duomenų saugojimo terminą. Jei sutikimo duomenys naudojami kaip įrodymai ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje arba kitais įstatymų nustatytais atvejais, asmens duomenys gali būti saugomi tiek, kiek reikia šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.

56. Administracijos darbuotojai privalo užtikrinti, kad Administracijos iš duomenų subjektų gaunami sutikimai atitiktų šių Taisyklių reikalavimus.

VII SKYRIUS

ASMENS DUOMENŲ TVARKYTOJŲ PASITELKIMAS

57. Tais atvejais, kai Administracija pasitelkia išorinį duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp Administracijos ir duomenų tvarkytojo turi būti sudaroma rašytinė asmens duomenų tvarkymo sutartis arba kitoks oficialus dokumentas, kuriame turi būti įtrauktos nuostatos, apimančios šią informaciją:

57.1. Duomenų tvarkymo dalykas;

57.2. Duomenų tvarkymo trukmė;

57.3. Duomenų tvarkymo pobūdis;

57.4. Duomenų tvarkymo tikslai;

57.5. Duomenų rūšys;

57.6. Duomenų subjektų kategorijos;

57.7. Šalių teisės ir pareigos, kylančios iš asmens duomenų apsaugos teisinio reguliavimo;

57.8. Duomenų tvarkytojo įsipareigojimas veikti tik pagal rašytinius valdytojo nurodymus. Duomenų tvarkytojui paliekama teisė priimti veiklos ir organizacinius sprendimus, būtinus sutartos paslaugos suteikimui tiek, kiek tai nepakeičia duomenų tvarkymo tikslų;

57.9. Duomenų tvarkytojo darbuotojų konfidencialumo įsipareigojimai. Sutartyje turi būti numatyta, kad tvarkytojas užtikrina, jog darbuotojai, tvarkantys asmens duomenis, yra įsipareigoję užtikrinti konfidencialumą, išskyrus atvejus, kai tokią pareigą jie jau turi pagal teisės aktus;

57.10. Duomenų tvarkymo saugumo priemonės. Duomenų tvarkytojas sutartimi turi įsipareigoti užtikrinti saugumo lygį, atitinkantį duomenų pobūdį ir su jais siejamos grėsmės lygį;

57.11. Kitų duomenų tvarkytojų pasitelkimas;

57.12. Pagalba įgyvendinant duomenų subjektų teises;

57.13. Pagalba teikiant pranešimus apie asmens duomenų saugumo pažeidimus. Duomenų tvarkytojas turi įsipareigoti nedelsiant informuoti duomenų valdytoją sužinant apie bet kokį asmens duomenų saugumo pažeidimą;

57.14. Pagalba atliekant poveikio duomenų apsaugai vertinimą;

57.15. Pagalba konsultuojantis su Valstybine duomenų apsaugos inspekcija;

57.16. Duomenų ištrynimo ir grąžinimo tvarka. Sutartyje būtina numatyti, kas nutinka pas duomenų tvarkytoją esantiems duomenims nutraukus sutartį, nes tvarkytojas juos toliau saugoti gali tik tada, jei tai nustato Europos Sąjungos arba nacionalinė teisė;

57.17. Administracijos teisė atlikti asmens duomenų tvarkymo patikrinimus ir/ar auditus.

58. Administracija pasitelkia tik tokius duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, jog duomenų tvarkymas atitiktų Reglamento reikalavimus ir būtų užtikrinta tinkama duomenų subjekto teisių apsauga.

59. Sutarčių su duomenų tvarkytojais rengimo, pasirašymo, pakeitimo, atnaujinimo ar nutraukimo procedūras inicijuoja ir jas vykdo už asmens duomenų tvarkymą atsakingas Administracijos struktūrinis padalinys ar į struktūrinius padalinius neįeinantis valstybės tarnautojas ar darbuotojas. Sutartys turi būti suderintos su pareigūnu. Esant poreikiui inicijuoti sutarčių su duomenų tvarkytojais atnaujinimą, pakeitimą ir (ar) nutraukimą gali ir pareigūnas.

60. Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik pagal Administracijos nurodymus ir tik tiek, kiek tai būtina siekiant tinkamai vykdyti teisės aktuose ar paslaugų teikimo sutartyje nustatytus įsipareigojimus, išskyrus atvejus, kai duomenų tvarkytojo atliekamas asmens duomenų tvarkymas yra reglamentuotas teisės aktuose.

61. Siekiant tinkamai valdyti asmens duomenų judėjimą, Administracijoje yra tvarkomas Administracijos duomenų tvarkytojų registras pagal patvirtintą formą (Taisyklių 8 priedas). Už Administracijos duomenų tvarkytojų registro pildymą atsakingas pareigūnas, kuris Administracijos duomenų tvarkytojų registrą pildo pagal Administracijos struktūrinių padalinių ar į struktūrinius padalinius neįeinančių valstybės tarnautojų ar darbuotojų pateiktą informaciją.

VIII SKYRIUS

ASMENS DUOMENŲ GAVIMAS IR TEIKIMAS

62. Asmens duomenys trečiosioms šalims gali būti teikiami tik įstatymų ir kitų teisės aktų nustatytais atvejais ir tvarka:

62.1. asmenų, pateikusių Administracijai skundą, pareiškimą ar prašymą, asmens duomenys skundo ar prašymo nagrinėjimo tikslu – juridiniams ir fiziniams asmenims, įgaliotiems pagal kompetenciją nagrinėti gautą prašymą ar skundą;

62.2. asmenų, pateikusių Administracijai skundą, pareiškimą ar prašymą, ir duomenų valdytojų (fizinių asmenų) asmens duomenys ginčo dėl Administracijos priimto sprendimo teisėtumo nagrinėjimo tikslu – teismams, Seimo kontrolieriui, Lietuvos administracinių ginčų nagrinėjimo komisijai ir (ar) darbo ginčų komisijai ir kitoms ikiteisminėms institucijoms;

62.3. pretendentų į Administracijos valstybės tarnautojus asmens duomenys valstybės tarnybos valdymo tikslu – Valstybės tarnybos departamentui prie Lietuvos Respublikos Vidaus reikalų ministerijos;

62.4. Administracijos darbuotojų asmens duomenys: socialinio draudimo mokesčio administravimo tikslu – Valstybinio socialinio draudimo fondo valdybai prie Lietuvos Respublikos Socialinės apsaugos ir darbo ministerijos, mokesčių administravimo tikslu – Valstybinei mokesčių inspekcijai prie Lietuvos Respublikos Finansų ministerijos, valstybės tarnybos valdymo tikslu – Valstybės tarnybos departamentui prie Lietuvos Respublikos Vidaus reikalų ministerijos;

62.5. asmenų, patekusių į Administracijos atliekamo vaizdo stebėjimo lauką, vaizdo duomenys galimų teisės aktų pažeidimų nustatymo tikslu – ikiteisminio tyrimo institucijoms, teismams ar kitoms valstybės įgaliotoms institucijoms;

62.6. asmenų, skambinusių į Administraciją telefonu, pokalbių duomenys galimų teisės aktų pažeidimų nustatymo tikslu – ikiteisminio tyrimo institucijoms, teismams ar kitoms valstybės įgaliotoms institucijoms;

62.7. žiniasklaidos atstovų duomenys ginčo dėl Lietuvos Respublikos visuomenės informavimo įstatyme ir kituose visuomenės informavimą reglamentuojančiuose įstatymuose bei teisės aktuose nustatytų visuomenės informavimo principų nesilaikymo nagrinėjimo
tikslu – Žurnalistų etikos inspektoriaus tarnybai, teismams ar kitoms valstybės įgaliotoms institucijoms.

62.8. Administracijos tvarkomuose registruose ir informacinėse sistemose esantys duomenų subjektų asmens duomenys, atitinkamo registro ar atitinkamos informacinės sistemos nuostatuose nurodytiems susijusiems registrams, informacinėms sistemoms bei kitiems duomenų gavėjams duomenų teikimo sutarčių arba teisės aktuose įtvirtintais pagrindais;

62.9. Administracijos darbuotojų asmens duomenys įstatymų, kitų teisės aktų arba su Administracija sudaromų sutarčių pagrindais kitam duomenų valdytojui arba duomenų tvarkytojui;

62.10. kitoms trečiosioms šalims (pvz., sutarties pagrindu kitam duomenų valdytojui), kurioms pareiga pateikti asmens duomenis yra nustatyta įstatymuose ar kituose teisės aktuose.

63. Administracija duomenų subjektų duomenis duomenų gavėjams gali teikti ir pagal sudarytą sutartį arba vienkartinį duomenų gavėjo prašymą, nepažeisdama teisės aktuose įtvirtintų reikalavimų ir asmens duomenų konfidencialumo užtikrinimo bei laikydamasi duomenų valdytojo atskaitomybės principo.

64. Vienkartinio duomenų teikimo atveju Administracija, teikdama asmens duomenis pagal trečiosios šalies vienkartinį prašymą, pirmenybę teikia duomenų teikimui elektroninių ryšių priemonėmis, jeigu prašyme nenurodyta kitaip. Siekiant įgyvendinti Reglamento 5 straipsnio 1 dalies f punkte įtvirtintą konfidencialumo principą, prašymai pateikti asmens duomenis nagrinėjami tik tinkamai nustačius asmens tapatybę. Prašymą teikiantis asmuo savo tapatybę patvirtina vienu iš šių būdų:

64.1. fiziškai atvykęs į Administraciją ir, pateikdamas prašymą Administracijos darbuotojui, registruojančiam prašymą, pateikia asmens tapatybę patvirtinantį dokumentą;

64.2. identifikuoja savo tapatybę per elektroninius valdžios vartus, kai pateikia prašymą per el. ryšį, leidžiantį tiesiogiai bendrauti su asmeniu fiziškai jam neatvykus į Administraciją;

64.3. pateikti asmens tapatybę patvirtinančio dokumento kopiją, kai pateikia prašymą paštu ar per pasiuntinį;

64.4. pasirašo prašymą elektroniniu parašu, kai prašymą pateikia elektroninių ryšių priemonėmis.

65. Siekiant įgyvendinti Reglamento 5 straipsnio 2 dalyje įtvirtintą duomenų valdytojo atskaitomybės principą, duomenys trečiosioms šalims gali būti teikiami tik, kai duomenų gavėjas teiktame prašyme nurodo aplinkybes, pagrindžiančias, kad duomenų tvarkymas (teikimas) atitinka Reglamento 5 straipsnyje įtvirtintus principus ir yra pagrįstas bent viena Reglamento 6 straipsnio 1 dalyje arba 9 straipsnio 2 dalyje įtvirtinta teisėto duomenų tvarkymo sąlyga. Prašyme privaloma nurodyti bent:

65.1. duomenų gavimo konkretų ir aiškiai apibrėžtą tikslą;

65.2. duomenų tvarkymo (gavimo) teisinį pagrindą, įtvirtintą Lietuvos Respublikos arba Europos Sąjungos teisės aktuose, ir konkrečią jų nuostatą, suteikiančią teisę gauti asmens duomenis, ir teisėtą tvarkymo sąlygą, įtvirtintą Reglamento 6 straipsnio 1 dalyje arba 9 straipsnio 2 dalyje, kuria atitinka nurodytas teisėto tvarkymo (gavimo) pagrindas;

65.3. duomenų teisėto tvarkymo (teikimo) teisinį pagrindą, įtvirtintą Lietuvos Respublikos arba Europos Sąjungos teisės aktuose, konkrečią jų nuostatą, ir teisėto tvarkymo sąlygą, įtvirtintą Reglamento 6 straipsnio 1 dalyje arba 9 straipsnio 2 dalyje, kuria vadovaudamasi Administracija turi teisę pateikti šiuos duomenis trečiajam asmeniui;

65.4. konkrečią prašomų duomenų apimtį, t. y. kokių konkrečių duomenų prašoma: vardo, pavardės, paskirtos išmokos dydžio ir pan. Prašymai pateikti visą turimą informaciją apie asmenį nelaikytini konkrečiais;

65.5. kai įgyvendinant Taisyklių 65.2 ir 65.3 papunkčių sąlygą nurodoma, kad duomenis pateikti prašoma vadovaujantis Reglamento 6 straipsnio 1 dalies e arba f punktais, t. y. kai duomenis tvarkyti (teikti) reikia siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas arba teikti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų apsaugos, prašyme turi būti pagrįsta, kodėl šių asmenų interesai yra viršesni už duomenų subjekto teises ir laisves arba yra būtinas viešajam interesui ir valdžios funkcijoms įgyvendinti;

65.6. kai įgyvendinant Taisyklių 65.2 ir 65.3 papunkčių sąlygas nurodoma, kad duomenis pateikti prašoma vadovaujantis Reglamento 6 straipsnio 1 dalies e arba f punktais, duomenų gavėjas privalo įgyvendinti duomenų subjekto, kurio duomenis prašo pateikti, teisę nesutikti su duomenų tvarkymu (teikimu) ir pateikti tai patvirtinančius įrodymus (laikantis Reglamento 14 straipsnio 3 dalyje nustatytų terminų, bet ne vėliau kaip per 1 mėnesį, jei nėra Reglamento 14 straipsnio 5 dalyje numatytų sąlygų).

66. Administracijos darbuotojas, nagrinėjantis gautą prašymą pateikti asmens duomenis, privalo:

66.1. patikrinti, ar prašymas yra pasirašytas ir nustatyta duomenų gavėjo tapatybė;

66.2. patikrinti, kad prašyme nurodytas asmens duomenų naudojimo tikslas yra konkretus ir teisėtas (nurodymas, kad duomenys reikalingi nagrinėjant bylą ar teikiant ieškinį, paprastai nelaikomas konkrečiu tikslu);

66.3. patikrinti, ar duomenų gavėjas pagrįstai remiasi prašyme nurodytu gavimo ir teikimo teisiniu pagrindu bei teisėta duomenų teikimo ir gavimo sąlyga, įtvirtinta Reglamento 6 straipsnio 1 dalyje arba 9 straipsnio 2 dalyje;

66.4. kai duomenis pateikti prašoma vadovaujantis Reglamento 6 straipsnio 1 dalies e arba f punktais, įvertinti, ar gavėjo interesai tikrai yra svarbesni už duomenų subjekto teises ir laisves;

66.5. įvertinti, ar prašomų pateikti duomenų apimtis nėra per didelė nurodytam tikslui pasiekti.

67. Kai prašymą dėl asmens duomenų teikimo teikia valstybės ir savivaldybės institucija, ir jei asmens duomenys būtini tyrimui pagal teisės aktuose nustatytą kompetenciją atlikti, tokiu atveju prašyme nėra būtina pateikti nuorodos į konkrečius Reglamento 6 straipsnio 1 dalies ir 9 straipsnio 2 dalies punktus, tačiau jame turi būti pateiktos nuorodos į konkrečias prašymą pateikusių valstybės ir savivaldybės institucijų veiklą reglamentuojančius teisės aktų nuostatas, pagrindžiančias valstybės ir savivaldybės institucijų tyrimo įgaliojimus prašyme nurodytu atveju.

68. Vertinant gautus prašymus dėl asmens duomenų teikimo rekomenduotina vadovautis Valstybinės duomenų apsaugos inspekcijos 2022 m. birželio 8 d. gairėmis „Prašymų dėl asmens duomenų teikimo vertinimo gairės“.

69. Administracijos darbuotojai arba Administracijos duomenų tvarkytojo darbuotojai be papildomo teisinio reikalavimo gali būti asmens duomenų gavėjais, jeigu jie dalyvauja duomenų valdytojo arba duomenų tvarkytojo vykdomose tvarkymo operacijose arba šie duomenys yra būtini darbuotojo funkcijoms vykdyti. Teikdamas duomenis duomenų gavėjams, Administracijos darbuotojas, siekdamas užtikrinti duomenų konfidencialumą, turi teisę reikalauti duomenų gavėjo (darbuotojo) nurodyti duomenų gavimo tikslą ir konkrečią duomenų apimtį.

70. Administracija gali teikti asmens duomenis duomenų tvarkytojams, kurie teikia Administracijai informacinių sistemų kūrimo, tobulinimo ir palaikymo, duomenų bazių ir panašias paslaugas, mokymų ir renginių organizavimo, turto priežiūros ir aptarnavimo organizavimo, taip pat teikia kitas paslaugas ar atlieka kitus darbus ir tvarko asmens duomenis duomenų valdytojo vardu.

71. Asmens duomenis duomenų gavėjams, įsteigtiems Europos ekonominės erdvės (toliau – EEE) valstybėse narėse, Administracija gali teikti tik prieš tai įsitikinusi, kad duomenų gavėjas užtikrina perduodamų asmens duomenų saugumą, Reglamento, asmens duomenų apsaugą reguliuojančiuose teisės aktuose ir Taisyklėse nustatytų reikalavimų laikymąsi asmens duomenų tvarkymo srityje. Asmens duomenys į trečiąsias valstybes už EEE ribų perduodami laikantis Reglamento 44-49 straipsniuose ir Leidimų perduoti asmens duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms išdavimo tvarkos aprašo, patvirtinto Valstybės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 18 d. įsakymu Nr. 1T-68(1.12.E) „Dėl leidimo perduoti asmens duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms išdavimo tvarkos aprašo patvirtinimo“ nustatytų sąlygų ir tvarkos.

72. Administracijos darbuotojai, priklausomai nuo einamų pareigų ir atliekamų funkcijų, turi prieigą prie vieno ar keleto informacinių sistemų ir registrų, iš kurių gaunami ir į kuriuos teikiami asmens duomenys tiek, kiek tai būtina dėl viešojo intereso arba vykdant Administracijai pavestas viešosios valdžios funkcijas.

73. Administracija asmens duomenis iš registrų ir kitų informacinių sistemų gauna įstatymų, kitų teisės aktų nustatytais atvejais, sutarčių pagrindais.

IX SKYRIUS

ASMENS DUOMENŲ SAUGUMO NUOSTATOS

PIRMAS SKIRSNIS

REIKALAVIMAI ADMINISTRACIJOS DARBUOTOJAMS, TVARKANTIEMS ASMENS DUOMENIS

74. Administracijos darbuotojai, tvarkydami asmens duomenis, tame tarpe ir informacinėse sistemose, su asmens duomenimis gali atlikti tik tuos veiksmus, kuriems atlikti jiems yra suteiktos teisės.

75. Administracijos darbuotojų kompiuteriuose esančios kompiuterinės bylos, kuriose kaupiami asmens duomenys, negali būti prieinamos kitų kompiuterių naudotojams. Administracijos darbuotojai, kurie turi teisę jungtis prie valstybinių ir kitų duomenų registrų, informacinių sistemų asmens duomenis gali naudoti griežtai tik darbinių funkcijų atlikimui.

76. Administracijos darbuotojams draudžiama savavališkai tvarkyti asmens duomenis ir (ar) naudoti juos asmeniniams, su vykdomomis funkcijomis nesusijusiems, tikslams. Draudžiama daryti perteklines dokumentų kopijas, kurios nėra būtinos funkcijoms vykdyti. Nesant būtinybės, rinkmenos su asmens duomenimis neturi būti dauginamos skaitmeniniu būdu, t.y. kuriamos rinkmenų kopijos vietiniuose kompiuterių diskuose, nešiojamosiose laikmenose, nuotolinėse rinkmenų talpyklose ir kt. Dokumentų kopijos, kuriose nurodomi asmens duomenys, turi būti sunaikinamos tokiu būdu, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio, pavyzdžiui, susmulkinant, tačiau jokiu būdu neišmetant į šiukšliadėžę ar nepaliekant duomenų šalia jos ar kitoje atviroje vietoje. Už duomenų sunaikinimą atsakingas duomenis naikinantis asmuo.

77. Administracijos darbuotojas, atlikdamas savo pareigas ir tvarkydamas asmens duomenis, privalo:

77.1. asmens duomenis tvarkyti teisėtai, sąžiningai ir skaidriai;

77.2. laikytis pagrindinių asmens duomenų tvarkymo ir saugumo reikalavimų, įtvirtintų Reglamente, šiose Taisyklėse ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų apsaugą;

77.3. laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jis susipažino vykdydamas savo funkcijas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti asmens duomenų paslaptį galioja ir perėjus dirbti į kitas pareigas ar pasibaigus valstybės tarnybos ar darbo santykiams Administracijoje;

77.4. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su asmens duomenimis nė vienam asmeniui, kuris nėra įgaliotas tvarkyti asmens duomenis.

Prieiga prie asmens duomenų suteikiama tik vadovaujantis principu „būtina žinoti“. Jei Administracijos darbuotojas pagal savo vykdomas funkcijas privalo ar gali suteikti prieigas prie popierinio formato dokumentų ar duomenų bei dokumentų Administracijos dokumentų valdymo ir kitose informacinėse sistemose, kurių asmens duomenų valdytoja yra Administracija, tais atvejais, kai dokumento ar duomenų turinys susijęs su asmens duomenimis ar informacija apie asmens gyvenimą, jis jas gali suteikti tik tiems Administracijos darbuotojams, kuriems dokumentas skirtas ar (ir) reikalingas darbo / tarnybinėms funkcijoms ar užduotims atlikti. Administracijos valdomų informacinių sistemų administratoriai suteikia prieigos teises naudotojams prie šių sistemų ir jose esančių duomenų teisės aktų nustatyta tvarka.

77.5. neatlikti veiksmų, galinčių didinti duomenų saugumo pažeidimo riziką:

77.5.1. nesinešti į nuotolinio darbo vietas popierinio formato dokumentų, jų kopijų, išrašų, juodraščių su asmens duomenimis, išskyrus atvejus, kai tai būtina (tokiais atvejais pasirūpinti dokumentų saugumu);

77.5.2. atvirai nelaikyti dokumentų su asmens duomenimis, kad nebūtų sudaryta neteisėtos prieigos prie jų galimybių, nepalikti dokumentų su tvarkomais asmens duomenimis ar kompiuterio, kuriuo naudojantis galima atidaryti rinkmenas su asmens duomenimis, be priežiūros taip, kad juose esančią informaciją galėtų perskaityti ar kitaip panaudoti bet kurie kiti asmenys, neturintys teisės dirbti su tais asmens duomenimis;

77.5.3. netvarkyti asmens duomenų, jei yra rizika, kad toje pačioje patalpoje esantys kiti asmenys, neturintys teisės tvarkyti šių asmens duomenų ar jų tvarkyti tuo pačiu tikslu, gali juos matyti ar kitu būdu su jais susipažinti;

77.5.4. Administracijos darbuotojai, siekdami užtikrinti ne automatiniu būdu tvarkomų duomenų saugumą, privalo dokumentus su asmens duomenimis saugoti segtuvuose, kurie saugomi tam skirtose rakinamose ar kitokiu būdu nuo neįgaliotų Administracijos darbuotojų ir (ar) kitų asmenų prieigos apsaugotose lentynose ir stalčiuose (toliau – talpyklos). Raktus nuo šių talpyklų turi tik asmens duomenis įgaliotas tvarkyti atsakingas Administracijos darbuotojas. Jeigu tokiose talpyklose nėra užrakto, atsakingas darbuotojas privalo kitais būdais užtikrinti, kad prie šių segtuvų negalėtų prieiti su šiais dokumentais neįgalioti susipažinti Administracijos darbuotojai ir (ar) kiti asmenys;

77.6. nedelsiant pranešti Administracijos direktoriui, savo tiesioginiam vadovui ir pareigūnui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę Administracijos tvarkomų asmens duomenų saugumui;

77.7. naudoti tinkamus slaptažodžius, kurie keičiami ir saugomi užtikrinant jų konfidencialumą. Administracijos darbuotojai, kurių darbo kompiuteriuose saugomi duomenų subjektų duomenys arba iš kurių kompiuterių galima patekti į Administracijos IS, kuriose yra saugomi duomenų subjektų duomenys, savo darbo kompiuteriuose turi naudoti slaptažodžius; „svečio“ (angl. guest) tipo, t. y. neapsaugoti slaptažodžiais, vartotojai yra draudžiami. Šiuose kompiuteriuose taip pat reikia naudoti ekrano užsklandą su slaptažodžiu. Draudžiama tretiesiems asmenims perduoti savo prisijungimo duomenis arba naudotis kitų darbuotojų prisijungimo duomenimis;

77.8. laikytis Švaraus stalo ir Švaraus ekrano politikos:

77.8.1. Švaraus ekrano politika reiškia, kad:

77.8.1.1. kompiuteriai, kai jais nesinaudojama, turi būti užrakinami rankiniu būdu arba automatiškai su ekrano užsklanda. Pirmenybė teikiama automatiniam ekrano užsklandos naudojimui. Rankinis būdas gali būti naudojamas tik tada, kai nėra galimybių automatiškai naudoti ekrano užsklanda;

77.8.1.2. darbo dienos pabaigoje, pasibaigus darbą, kompiuteri turi būti išjungiamas.

77.8.2. Švaraus stalo politika reiškia, kad:

77.8.2.1. asmens duomenys, esantys popierinėse ar elektroninėse duomenų laikmenose, kai jie nėra naudojami darbuotojo užduotims atlikti, laikomi rakinamose spintose arba stalčiuose;

77.8.2.2. ant stalo nepaliekami atvirai matomi spausdinti dokumentai, taip pat negali būti paliekami prisijungimo prie informacinių sistemų paskyrų duomenys (prisijungimo vardai ir slaptažodžiai);

77.8.2.3. dokumentai ir USB laikmenos su asmens duomenimis, pasibaigus susitikimui, nepaliekami susitikimų kambariuose;

77.8.2.4. dokumentai, kuriuose yra asmens duomenų, nepaliekami prie daugiafunkcinių įrenginių (spausdintuvų, kopijavimo aparatų ir kt.);

77.9. Jeigu Administracijos darbuotojas abejoja saugumo priemonių patikimumu, jis kreipiasi į tiesioginį vadovą ir pareigūną. Esant pagrindui, inicijuojamas papildomų saugumo priemonių organizavimas;

77.10. laikytis kitų Taisyklėse, Reglamente ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų apsaugą, nustatytų reikalavimų.

78. Kiekvienas Administracijos darbuotojas, prieš pradėdamas tvarkyti asmens duomenis, pasirašo nustatytos formos Įsipareigojimą saugoti asmens duomenų paslaptį (Taisyklių 2 priedas). Įsipareigojimus saugoti asmens duomenų paslaptį Administracijos darbuotojai pasirašo ir pateikia registruoti dokumentų valdymo sistemoje „Avilys“ pareigūnui. Pareigūnas patikrina, ar teisingai užpildytos pasižadėjimų skiltys, ar jie tinkamai ir laiku pasirašyti, ir juos užregistruoja. Šiuo įsipareigojimu Administracijos darbuotojai įsipareigoja saugoti visus asmens duomenis, su kuriais susipažįsta atliekant savo funkcijas, jeigu Lietuvos Respublikos įstatymai nenumato kitaip.

79. Administracijos darbuotojas netenka teisės tvarkyti duomenų subjektų asmens duomenis, kai pasibaigia jo darbo santykiai su Administracija arba kai jam pavedama vykdyti su duomenų tvarkymu nesusijusias funkcijas.

ANTRAS SKIRSNIS

TECHNINĖS IR ORGANIZACINĖS ASMENS DUOMENŲ TVARKYMO PRIEMONĖS

80. Administracija, kaip duomenų valdytojas, tiek nustatydamas asmens duomenų tvarkymo priemones, tiek paties duomenų tvarkymo metu, įgyvendina tinkamas technines ir organizacines priemones asmens duomenų saugumui užtikrinti.

81. Administracija, kaip duomenų valdytojas, nustatydamas tinkamas technines ir organizacines priemones, turi veikti atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei asmens duomenų tvarkymo pobūdį, kontekstą ir tikslus, taip pat į asmens duomenų tvarkymo keliamus pavojus fizinių asmenų teisėms ir laisvėms. Nustatant asmens duomenų saugumo priemones rekomenduotina vadovautis Valstybinės duomenų apsaugos inspekcijos 2020 m. birželio 18 d. gairėmis „Tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gairės duomenų valdytojams ir duomenų tvarkytojams“.

82. Administracijoje taikomos techninės ir organizacinės asmens duomenų tvarkymo saugumo priemonės nurodytos Administracijos informacijos saugumo politikoje (Taisyklių 1 priedas).

83. Siekiant apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio kito neteisėto tvarkymo turi būti taikomos šios saugumo priemonės:

83.1. saugus ir tinkamas techninės įrangos išdėstymas ir jos priežiūra, informacinių sistemų (toliau - IS) priežiūra, tinklo (LAN, belaidžio) valdymas, naudojimosi internetu saugumo užtikrinimas ir kitos informacinių technologijų priemonės;

83.2. priešgaisrinės apsaugos tarnybos nustatytų normų laikymasis;

83.3. saugus ir tinkamas darbo organizavimas bei kitos administracinės priemonės;

83.4. kartą per vienus metus vykdoma informacinių sistemų (toliau – IS) keliamos rizikos vertinimas;

83.5. Administracijos informacinių technologijų saugos atitikties vertinimas turi būti atliekamas bent vieną kartą per dvejus metus;

83.6. atsižvelgiant į rizikos vertinimo rezultatus, turi būti diegiamos būtinos duomenų saugumo priemonės;

83.7. atliekami praktiniai bandymai dėl avarinio (angl. disaster recovery) asmens duomenų atkūrimo;

83.8. ne rečiau kaip vieną kartą per mėnesį atliekamas duomenų atsarginių kopijų darymas;

83.9. IS funkcionalumo ir duomenų vientisumo bei parengtumo testavimų atlikimas;

83.10. naujų IS ar funkcionalumų kūrimas turi vykti saugioje, nuo eksploatavimo atskiroje aplinkoje;

83.11. prieš vykdant IS pakeitimus turi būti užtikrinama, kad pakeitimai yra apsvarstyti, ištestuoti bei patvirtinti, kad jie būtų įdiegti tinkamai ir nesukeltų neigiamo poveikio darbui ar IS;;

83.12. prieš priimat sukurtą IS turi būti atliekamas sistemos priėmimo testavimas;

83.13. priėmimo testavimo metu yra testuojamas informacijos saugos atitikimas reikalavimams bei IS atitikimas specifikacijai.

84. Asmens duomenų, esančių išorinėse duomenų laikmenose ir elektroniniame pašte, saugos kontrolė ir ištrynimas po jų panaudojimo užtikrinamas perkeliant juos į duomenų bazes.

85. Administracijos IS ir kompiuterių tinkluose įgyvendinamos šios saugumo priemonės:

85.1. Už IS saugumą atsakingas darbuotojas, ne rečiau kaip kartą per vieną mėnesį peržiūrimas naudotojų prisijungimų prie duomenų bazės (-ių) įrašų elektroninis žurnalas ir Administracijai teikiamos peržiūros ataskaitos;

85.2. šifruojami atsarginėse kopijose, archyvuose ir išorinėse duomenų laikmenose saugomi asmens duomenys;

85.3. asmens duomenų paieškos užklausoje nurodomas asmens duomenų naudojimo tikslas (-ai).

86. Kiti asmens duomenų saugos reikalavimai nustatomi ir įgyvendinami vadovaujantis Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2020 m. gruodžio 4 d. Nr. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ ir Administracijos Informacinės sistemos saugos nuostatais.

TREČIASIS SKIRSNIS

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMAS

87. Asmens duomenų saugumo pažeidimų, pranešimo apie pažeidimus Administracijai, Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektams, pažeidimų tyrimo, pažeidimų ir jų pasekmių pašalinimo ir mažinimo, pažeidimų prevencijos ir dokumentavimo tvarką nustato Asmens duomenų saugumo pažeidimų Šiaulių miesto savivaldybės administracijoje valdymo taisyklės, patvirtintos Šiaulių miesto savivaldybės administracijos direktoriaus 2020 m. balandžio 8 d. įsakymu Nr. A-478 „Dėl asmens duomenų saugumo pažeidimų Šiaulių miesto savivaldybės administracijoje valdymo taisyklių patvirtinimo“ (su visais pakeitimais ir papildymais).

X SKYRIUS

DUOMENŲ TVARKYMO VEIKLOS ĮRAŠŲ VEDIMO TVARKA

88. Administracijoje pildomi duomenų tvarkymo veiklos įrašai, Administracijai asmens duomenis tvarkant kaip duomenų valdytojui ir Administracijai asmens duomenis tvarkant kaip duomenų tvarkytojui.

89. Duomenų tvarkymo veiklos įrašų vedimo tvarka Administracijoje yra naudojama vadovaujantis šiomis principinėmis nuostatomis:

89.1. turi būti naudojama griežtai tik darbo reikmėms;

89.2. naudojantis turi būti laikomasi galiojančių Lietuvos Respublikos teisės aktų, Administracijos vidinių aktų, darbo sutarčių nuostatų bei naudojimo instrukcijų;

89.3. naudojantis turi būti laikomasi darbuotojų saugos, komercinės informacijos saugos, asmens duomenų apsaugos reikalavimų;

89.4. naudojimas turi užtikrinti konfidencialumo įsipareigojimų, intelektinės nuosavybės teisių, įskaitant trečiųjų asmenų teises ir teisėtus interesus, bendrųjų etikos ir moralės principų laikymąsi.

90. Administracijos, kaip duomenų valdytojos, Duomenų tvarkymo veiklos įrašų registre, kurio forma pateikiama šių Taisyklių 3 priede, turi būti nurodyta:

90.1. duomenų valdytojo duomenys, pareigūno vardas, pavardė ir kontaktiniai duomenys;

90.2. duomenų tvarkymo tikslas;

90.3. duomenų subjektų kategorijos;

90.4. asmens duomenų kategorijos;

90.5. asmens duomenų teisėto tvarkymo sąlyga;

90.6. duomenų gavėjai, kuriems atskleidžiami asmens duomenys, kategorijos;

90.7. kai taikoma, asmens duomenų perdavimai į trečiąją valstybę, įskaitant tos trečiosios valstybės pavadinimą, ir privalomi tinkamų apsaugos priemonių dokumentai;

90.8. duomenų saugojimo, ištrynimo (panaikinimo) terminai, saugojimo vieta;

90.9. asmens duomenų šaltiniai;

90.10. kai įmanoma, bendras techninių ir organizacinių saugumo priemonių aprašymas.

91. Administracijos, kaip duomenų tvarkytojos, Duomenų tvarkymo veiklos įrašų registre, kurio forma pateikiama šių Taisyklių 4 priede, turi būti nurodyta:

91.1. duomenų tvarkytojo duomenys, pareigūno vardas, pavardė ir kontaktiniai duomenys;

91.2. duomenų valdytoją, kurio vardu veikia duomenų tvarkytojas, pavadinimas ir kontaktiniai duomenys;

91.3. duomenų valdytojo vardu atliekamo duomenų tvarkymo kategorijos;

91.4. asmens duomenų perdavimas trečiajai valstybei arba tarptautinei organizacijai (kai asmens duomenys perduodami trečiajai valstybei arba tarptautinei organizacijai);

91.5. kai įmanoma, bendras techninių ir organizacinių saugumo priemonių aprašymas;

91.6. už asmens duomenų tvarkymą atsakingas Administracijos struktūrinis padalinys (darbuotojas).

92. Duomenų tvarkymo veiklos įrašų registruose gali būti ir kitų nuostatų, pildomų pagal poreikį. Duomenų tvarkymo veiklos įrašų registrai tvarkomi raštu (ir elektroniniu būdu). Rašytinei formai yra prilyginama ir elektroninė forma, saugoma kompiuteryje.

93. Administracijos darbuotojai nedelsdami informuoja pareigūną, jeigu Administracijos duomenų tvarkymo veiklos įrašai neatitinka Administracijos realaus poreikio dėl asmens duomenų tvarkymo arba jeigu reikia į duomenų tvarkymo veiklos įrašų registrą įvesti naują duomenų tvarkymo veiklos įrašą, pateikdami užpildytą duomenų tvarkymo veiklos įrašo formą (Taisyklių 5 ir 6 priedai).

94. Duomenų veiklos įrašus saugo ir atnaujina pareigūnas, atsižvelgdamas į Administracijos struktūrinių padalinių ir į padalinius neįeinančių valstybės tarnautojų ir darbuotojų pateiktą Taisyklių 90 ir 91 punktuose nurodytą informaciją apie Administracijos struktūrinio padalinio ar į padalinio neįeinančių valstybės tarnautojų ir darbuotojų vykdomas duomenų tvarkymo operacijas. Už tinkamą ir teisingą informacijos apie Administracijos padalinio duomenų veiklos įrašus (pakeitimą, papildymą, patikslinimą, ištrynimą ir kt.) pateikimą pareigūnui laiku atsakingas Administracijos struktūrinio padalinio vadovas ar į padalinį neįeinantis valstybės tarnautojas ir darbuotojas.

95. Valstybinei duomenų apsaugos inspekcijai pateikus pagrįstą reikalavimą susipažinti su duomenų tvarkymo veiklos įrašų registrais, Administracija pateikia atitinkamą registrą per prašyme nustatytą terminą.

96. Duomenų tvarkymo veiklos įrašų registrai turi būti nuolat, bet ne rečiau kaip kartą per kalendorinius metus, tikrinami ir atnaujinami, kad atitiktų realią asmens duomenų tvarkymo situaciją Administracijoje. Už šias patikras yra atsakingas pareigūnas.

97. Duomenų tvarkymo veiklos įrašų vedimo tvarka reguliariai peržiūrima ir prireikus ar pasikeitus asmens duomenų tvarkymą reglamentuojantiems teisės aktams, diegiant struktūrinius, technologinius ar kitokius pakeitimus, atnaujinama. Už šios tvarkos nuostatų laikymosi priežiūrą ir juose reglamentuotų nuostatų vykdymo kontrolę, atnaujinimo pagal poreikį inicijavimą yra atsakingas pareigūnas.

98. Visi šiame skyriuje nenumatyti veiksmai, susiję su duomenų tvarkymo veiklos įrašų vedimu Administracijoje, privalo būti derinami su pareigūnu.

XI SKYRIUS

TELEFONINIŲ POKALBIŲ ĮRAŠŲ DUOMENŲ TVARKYMAS

99. Pokalbiai telefonu įrašomi ir pokalbių įrašų duomenys tvarkomi:

99.1. įrašant interesantų telefoninius pokalbius automatiniu būdu. Duomenų tvarkymo tikslas - užtikrinti skaidrumą ir kokybišką informacijos / konsultacijų teikimo telefonu procesą, susijusios su Administracijos veikla, interesantų prašymų ir skundų nagrinėjimo objektyvumą;

99.2. įrašant asmenų, Administracijos pasitikėjimo linijos telefonu, kurio numeris nurodytas Savivaldybės interneto svetainėje www.siauliai.lt, telefoninius pokalbius automatiniu būdu, apie Savivaldybės ir jai pavaldžių įstaigų ir įmonių darbuotojų galimai neteisėtus veiksmus ar neveikimą, netinkamą pareigų vykdymą ar nevykdymą, biurokratizmą, piktnaudžiavimą, t.y. apie veiksmus, turinčius korupcinio pobūdžio nusikalstamos veikos požymių (toliau - neteisėti korupcinio pobūdžio veiksmai). Duomenų tvarkymo tikslas - užkirsti kelią Savivaldybės ir Savivaldybei pavaldžių įstaigų ir įmonių darbuotojų galimai neteisėtiems korupcinio pobūdžio veiksmams, užtikrinti interesantų prašymų ir skundų nagrinėjimo objektyvumą.

100. Telefoninių pokalbių įrašų duomenys negali būti tvarkomi nesuderinamais su nustatytais Taisyklių 99 punkte tikslais, išskyrus atvejus, kai tokiam duomenų tvarkymui egzistuoja atskiras Reglamento 6 straipsnio 1 dalyje įtvirtintas pagrindas.

101. Administracija tvarkydama telefoninių pokalbių metu surinktus Administracijos darbuotojų asmens duomenis, kaip teisėto tvarkymo pagrindu vadovaujasi Reglamento 6 straipsnio 1 dalies f punktu - Administracijos teisėtas interesas, kai duomenų subjekto teisės ir laisvės nėra viršesnės už duomenų valdytojo interesus užtikrinti tinkamą pareigų vykdymą, teikiamų paslaugų kokybę ir pan. Trečiųjų šalių duomenų tvarkymo pagrindas – duomenų subjekto sutikimas, išreikštas vienareikšmiškais veiksmais (pokalbio tęsimas), kad jo duomenys būtų tvarkomi pokalbio metu nurodytais tikslais (Reglamento 6 straipsnio 1 dalies a punktas).

102. Įrašomi tik Administracijos priskirtų telefonų (Taisyklių 12 priedas) įeinantys pokalbiai, vykstantys darbo metu. Administracijos konsultacijų telefonu teikimo laikas ir telefono ryšio numeriai viešai skelbiami Savivaldybės interneto svetainėje www.siauliai.lt.

103. Įrašomi ir tvarkomi šie telefoninio pakalbio įrašų metaduomenys: konsultuojančio asmens vardas ir pavardė, interesanto telefono ryšio numeris, pokalbio data, pokalbio pradžios ir pabaigos laikas ir informacija, pateikta pokalbio metu.

104. Administracija, kaip duomenų valdytoja:

104.1. nustato telefoninių pokalbių įrašymo tikslą ir apimtį;

104.2. priima sprendimus dėl telefoninių pokalbių įrašų duomenų teikimo duomenų subjektams, teisėsaugos institucijoms ar kitoms valstybės institucijoms, kurioms toks duomenų pateikimas yra privalomas pagal teisės aktų reikalavimus, ir trečiosioms šalims, turinčioms teisę gauti šiuos duomenis;

104.3. įgyvendina duomenų subjekto teises Reglamento ir Duomenų subjektų teisių įgyvendinimo Šiaulių miesto savivaldybės administracijoje taisyklių, patvirtintų Šaulių miesto savivaldybės administracijos direktoriaus 2020 m. balandžio 8 d. įsakymu Nr. A-477 „Dėl Duomenų subjektų teisių įgyvendinimo Šiaulių miesto savivaldybės administracijoje taisyklių patvirtinimo“ (su visais pakeitimais ir papildymais), nustatyta tvarka;

104.4. užtikrina Administracijos darbuotojų informavimą apie tai, kad yra vykdomas telefoninių pokalbių įrašymas (Taisyklių 13 priedas);

104.5. parenka tik tokį duomenų tvarkytoją, kuris garantuoja reikiamas technines ir organizacines asmens duomenų apsaugos priemones ir užtikrina, kad tokių priemonių būtų laikomasi;

104.6. užtikrinti asmens duomenų saugumą įgyvendinant tinkamas organizacines ir technines asmens duomenų saugumo priemones;

104.7. kitos Reglamente numatytos teisės ir pareigos.

105. Interesantų informavimas apie vykdomą telefoninių pokalbių įrašymą yra įgyvendinamas šia tvarka:

105.1. interesantui, paskambinus į Administraciją, apie vykdomą telefoninių pokalbių įrašymą informuojama automatiniu atsakikliu:

105.1.1. pranešama, kad pokalbis yra įrašomas;

105.1.2. nurodomas duomenų valdytojo pavadinimas, pokalbio įrašymo tikslą;

105.1.3. pažymima duomenų subjekto teisė nesutikti, kad būtų įrašomas pokalbis;

105.1.4. suteikiama informacija apie alternatyvias galimybes gauti konsultaciją, kada pokalbis nebūtų įrašomas (nedavus sutikimo dėl asmens duomenų tvarkymo).

105.2. duomenų valdytojo darbuotojai, kurių asmens duomenys tvarkomi šiose Taisyklėse apibrėžtais tikslais, apie vykdomą telefoninių pokalbių įrašymą ir jo tikslą informuojami prieš pradedant vykdyti telefoninių pokalbių įrašymą arba pirmąją darbuotojo darbo dieną, pateikiant Taisyklių 13 priede nustatytą informaciją.

106. Telefoniniai pokalbiai įrašomi ir įrašai yra saugomi 14 kalendorinių dienų paslaugų tiekėjo pokalbių įrašymo serveryje arba duomenų valdytojo pokalbių įrašymo serveryje. Pokalbių įrašų duomenys po jų saugojimo termino yra automatiškai ištrinami, išskyrus atvejus, kai yra būtinybė duomenis saugoti ilgiau, siekiant ištirti įvykusį incidentą Administracijoje ar apginti teisinius reikalavimus.

107. Telefoninių pokalbių įrašų perklausa galima:

107.1. kai atliekamas periodinis asmenų aptarnavimo telefonu kokybės vertinimas;

107.2. kai yra gautas asmens pranešimas ar skundas dėl galimai netinkamai telefonu suteiktų paslaugų kokybės.

108. Teisė perklausyti telefoninių pokalbių įrašus suteikiama:

108.1. Administracijos struktūrinio padalinio vedėjui, kurio Administracijos darbuotojo pokalbiai yra įrašomi ;

108.2. pokalbio metu konsultavusiam Administracijos darbuotojui;

108.3. kitiems įgaliotiems Administracijoms atstovams, dalyvaujantiems administracinėje ir (ar) tarnybinio nusižengimo tyrimo procedūroje, nagrinėjant asmens skundą dėl galimai netinkamai konsultavusio Administracijos darbuotojo suteiktos administracinės paslaugos.

109. Pasitikėjimo linijos telefono pokalbių įrašų perklausa galima tik kai yra gautas asmens prašymas ar skundas dėl Savivaldybės ir jai pavaldžių įstaigų ir įmonių darbuotojų galimai neteisėtų veiksmų ar neveikimo, netinkamo pareigų vykdymo ar nevykdymo, biurokratizmo, piktnaudžiavimo ar apie veiksmus, turinčius korupcinio pobūdžio nusikalstamos veikos požymių. Teisė perklausyti telefoninių pokalbių įrašus suteikiama Administracijos direktoriui ir Administracijos už korupcijai atsparios aplinkos kūrimą atsakingam asmeniui.

110. Administracijos darbuotojai, kuriems suteikta prieiga prie Administracijoje tvarkomų telefoninių pokalbių įrašų, šią informaciją naudoja išimtinai tik darbo funkcijų vykdymui ir (ar) pareigų, įgyvendinimui.

111. Administracijos struktūriniai padaliniai ir (ar) Administracijos darbuotojai, tvarkantys asmens duomenis:

111.1. Administracijos Bendrųjų reikalų skyrius, atsakingas už duomenų tvarkymo operaciją;

111.2. Administracijos Bendrųjų reikalų skyriaus Informacinių technologijų poskyris, atsakingas už techninių ir organizacinių duomenų tvarkymo priemonių įgyvendinimą, pagal skyriaus kompetenciją;

111.3. Administracijos darbuotojai, paskirti Administracijos direktoriaus įsakymu, atsakingi už periodišką konsultavimo kokybės vertinimą (konsultavimo kokybės vertintojai), turintys teisę konsultavimo kokybės vertinimo tikslu perklausyti pokalbių įrašus ir susipažinti su pokalbių įrašų metaduomenimis.

111.4. Duomenų tvarkytojas – Administracijos įgaliotas juridinis ar fizinis asmuo (toliau – pasitelktas duomenų tvarkytojas), paslaugų teikimo sutarties pagrindu vykdantis paslaugų teikimo sutartyje nustatytas funkcijas.

112. Telefoninių pokalbių įrašymo tikslas ir apimtis gali būti keičiama tik pakeitus šias Taisykles.

XII SKYRIUS

VAIZDO DUOMENŲ TVARKYMO YPATUMAI

113. Savivaldybės teritorijos viešųjų erdvių vaizdo stebėjimo tvarka, duomenų tvarkymo tikslai, apimtys ir duomenų subjektų teisės, apibrėžti Šiaulių miesto savivaldybės teritorijoje įrengtų vaizdo stebėjimo kamerų ir jų fiksuotų duomenų rinkimo ir naudojimo taisyklėse, patvirtintose Šiaulių miesto savivaldybės administracijos direktoriaus 2020 m. gegužės 13 d. įsakymu Nr. A-605 „Dėl Šiaulių miesto savivaldybės teritorijoje įrengtų vaizdo stebėjimo kamerų ir jų fiksuotų duomenų rinkimo ir naudojimo taisyklių patvirtinimo“ (su visais pakeitimais ir papildymais).

114. Vaizdo stebėjimas Administracijoje taip pat vykdomas naudojant nešiojamas vaizdo stebėjimo priemones, kurios tvirtinamos prie Administracijos darbuotojo aprangos (angl. body camera). Už šią duomenų tvarkymo operaciją atsakingas Administracijos Miesto koordinavimo skyrius.

115. Vaizdo duomenys, gauti naudojant nešiojamą vaizdo stebėjimo priemonę, tvarkomi siekiant užtikrinti:

115.1. Administracijos darbuotojų saugumą;

115.2. Administracinių nusižengimų prevenciją, tyrimą, atskleidimą;

115.3. Tarnybinių nusižengimų, darbo pareigų pažeidimų tyrimą ir prevenciją.

116. Administracijos darbuotojui, atliekant užduotį, nešiojama vaizdo stebėjimo priemonė, tvirtinama ant Administracijos darbuotojų aprangos Taisyklių 115 punkte numatytiems tikslams įgyvendinti.

117. Siekiant užtikrinti Taisyklių 115 punkte nustatytus tikslus, nešiojama vaizdo stebėjimo priemone vaizdo stebėjimas vykdomas fiksuojant vaizdą ir garsą.

118. Nešiojamų vaizdo stebėjimo priemonių naudojimas:

118.1. Administracijos darbuotojas, kuriam yra išduodama nešiojama vaizdo stebėjimo priemonė, privalo:

118.1.1. patikrinti, ar nešiojama vaizdo stebėjimo priemonė yra techniškai tvarkinga ir paruošta naudoti;

118.1.2. nustatęs nešiojamos vaizdo stebėjimo priemonės gedimą, nedelsdamas apie tai informuoti Administracijos Miesto koordinavimo skyriaus darbuotoją, atsakingą už vaizdo stebėjimo priemones;

118.1.3. užtikrinti, kad nešiojama vaizdo stebėjimo priemonė būtų naudojama Taisyklių 118.4 papunktyje nustatytais atvejais;

118.1.4. užtikrinti, kad asmenys, kurių duomenys yra renkami (veiksmai yra fiksuojami), būtų aiškiai apie tai informuoti (Administracijos darbuotojui prisistačius) ir įspėti, kad vaizdo duomenys gali būti panaudoti tiriant ir nagrinėjant teisės pažeidimą.

118.2. Nešiojamose vaizdo stebėjimo priemonėse, jeigu yra tokia techninė galimybė, turi būti įjungtos datos, laiko ir vietos koordinačių fiksavimo funkcijos. Už tai atsakingas yra Administracijos darbuotojas, kuriam suteikta nešiojama vaizdo stebėjimo priemonė.

118.3. Draudžiama išjungti, uždengti ar kitaip trikdyti nešiojamų vaizdo stebėjimo priemonių veikimą (išjungti garso įrašymą ar jį slopinti ir pan.), taip pat trinti nešiojamose vaizdo stebėjimo priemone įrašytus vaizdo duomenis.

118.4. Nešiojama vaizdo stebėjimo priemonė privalo būti naudojama:

118.4.1. kai įvykio vietoje patikrinimą atlieka vienas Administracijos darbuotojas;

118.4.2. kai įvykio vietoje patikrinime dalyvauja daugiau nei vienas Administracijos darbuotojas;

118.4.3. nustatyto administracinio nusižengimo faktui fiksuoti;

118.4.4. esant galimybei, konfliktinei situacijai fiksuoti.

119. Pagrindiniai vaizdo duomenų saugumo užtikrinimo principai ir priemonės:

119.1. užtikrinama prieigos prie vaizdo įrangos ir vaizdo duomenų apsauga, valdymas ir kontrolė;

119.2. prieiga prie vaizdo įrangos ir (ar) vaizdo duomenų asmenims suteikiama tik pasirašytinai įsipareigojus saugoti asmens duomenų paslaptį;

119.3. prieiga prie vaizdo duomenų gali būti suteikta tik tam Administracijos darbuotojui, kuriam asmens duomenys yra reikalingi jam priskirtoms funkcijoms vykdyti;

119.4. su vaizdo duomenimis galima atlikti tik tuos veiksmus, kuriems atlikti yra suteiktos teisės;

119.5. prieigos prie vaizdo duomenų slaptažodžiai suteikiami, keičiami ir saugomi užtikrinant jų konfidencialumą;

119.6. užtikrinama vaizdo duomenų apsauga nuo neteisėto prisijungimo prie vidinio kompiuterinio tinklo elektroninių ryšių priemonėmis – prieiga prie vidinio kompiuterių tinklo apsaugota ugniasiene;

119.7. užtikrinamas vaizdo įrangos, kurioje saugomi vaizdo duomenys, fizinis saugumas – ribojama ir kontroliuojama neturinčių įgaliojimų tvarkyti vaizdo duomenis asmenų prieiga prie vaizdo įrangos;

119.8. užtikrinama vaizdo įrangos apsauga nuo kenksmingos programinės įrangos – įdiegtos ir nuolatos atnaujinamos vidinio tinklo ir antivirusinės apsaugos priemonės;

119.9. vaizdo įrašai apsaugomi nuo galimybės juos keisti.

120. Administracijos darbuotojas nešiojama vaizdo stebėjimo priemone užfiksuotus vaizdo duomenis, susijusius su funkcijų atlikimu, ne vėliau kaip iki darbo pabaigos perkelia į duomenų saugyklas, o iš nešiojamos vaizdo stebėjimo priemonės juos nedelsdamas ištrina.

121. Nešiojamomis vaizdo stebėjimo priemonėmis užfiksuoti vaizdo duomenys saugomi Administracijos Miesto koordinavimo skyriuje įrengtoje duomenų saugykloje ne ilgiau kaip 7 kalendorines dienas.

122. Draudžiama vaizdo duomenis saugoti bet kokio pobūdžio laikmenose (kompaktiniuose diskuose, USB atmintinėse ir kitur), išskyrus atvejus, kai laikmena su vaizdo duomenimis pridedama prie Administracijos atliekamo tyrimo medžiagos ir tokius atvejus numato kiti teisės aktai.

123. Administracijos direktoriaus motyvuotu sprendimu (ilgai trunkantis tyrimas, ginčas, skundo nagrinėjimas ir kita), Taisyklių 121 punkte nustatytas vaizdo duomenų saugojimo terminas gali būti pratęstas, tačiau ne ilgiau kaip iki aplinkybių, dėl kurių jis buvo pratęstas, pabaigos. Pratęsimų skaičius neribojamas.

124. Pasibaigus nustatytam maksimaliam vaizdo duomenų saugojimo terminui arba Taisyklių 123 punkte nustatytu atveju pratęstam vaizdo duomenų saugojimo terminui, vaizdo duomenys, saugomi duomenų saugyklose turi būti sunaikinami. Už vaizdo duomenų ištrynimą laiku yra atsakingas Administracijos Miesto koordinavimo skyriaus darbuotojas, kuriam šį funkcija paskirta.

125. Vaizdo konferencijų vaizdas ir (arba) garsas nėra įrašomas, išskyrus atvejus, kai iš anksto žinoma ir informuojama, kad vaizdo ir (arba) garso įrašas bus reikalingas tarnybiniam naudojimui, protokolui surašyti ir pan. Apie konferencijos vaizdo ir (arba) garso įrašymą vaizdo konferencijos dalyviai informuojami žodžiu vaizdo ir (arba) garso įrašymo pradžioje ir atvaizduojant kompiuterio ekrane perspėjamąjį simbolį apie vykdomą vaizdo ir garso įrašymą.

XIII SKYRIUS

GARSO ĮRAŠŲ DUOMENŲ TVARKYMAS

126. Darant garso įrašus užtikrinama, kad garso įrašų darymas ir tvarkymas atitiktų Reglamento ir šių Taisyklių nuostatas.

127. Garso įrašai turi būti daromi specialiai tik šiems tikslams skirtais įrenginiais, išskyrus atvejus, kai kyla būtinybė garso įrašus daryti kitokiais įrenginiais.

128. Garso įrašų darymo ir tvarkymo Administracijoje tikslai, garso įrašų saugojimo terminai bei garso įrašų darymo ir saugojimo tvarka turi būti numatyta Administracijos komisijų, komitetų, darbo grupių posėdžių nuostatuose. Pasibaigus nustatytam garso įrašų saugojimo terminui, garso įrašai sunaikinami ir toliau Administracijoje nebesaugomi.

129. Duomenų subjektų teisės, susijusios su garso įrašų duomenų tvarkymu, įgyvendinamos Duomenų subjektų teisių įgyvendinimo Šiaulių miesto savivaldybės administracijoje taisyklių, patvirtintų Šiaulių miesto savivaldybės administracijos direktoriaus 2020 m. balandžio 8 d. įsakymu Nr. A-477 „Dėl Duomenų subjektų teisių įgyvendinimo Šiaulių miesto savivaldybės administracijoje taisyklių patvirtinimo“ (su visais pakeitimais ir papildymais), nustatyta tvarka. Įgyvendinant duomenų subjekto teisę susipažinti su tvarkomais savo asmens duomenimis, t. y. Administracijoje saugomu garso įrašu, užtikrinama trečiųjų asmenų teisė į privatų gyvenimą, t. y. duomenų subjektui susipažinti gali būti pateikiama tik garso įrašo dalis, susijusi su pačiu duomenų subjektu.

130. Duomenų subjektas apie garso įrašo darymą ir garso įrašuose fiksuojamų asmens duomenų tvarkymą turi būti informuojamas prieš pradedant daryti garso įrašą. Perspėjimas dėl garso įrašo darymo, nurodant garso darymo teisinį pagrindą ir tikslą, turi būti nurodomas ir įjungus garso įrašymo įrenginį. Pavėlavusius asmenis būtina informuoti papildomai.

131. Už duomenų subjekto informavimą apie garso įrašo darymą ir garso įrašuose fiksuojamų asmens duomenų tvarkymą atsakingi Administracijos komitetų, komisijų, darbo grupių, pasitarimų, susirinkimų, susitikimų paskirti sekretoriai, atsakingi už garso įrašų darymą.

XiV SKYRIUS

ADMINISTRACIJOS DARBUOTOJŲ ASMENS DUOMENŲ TVARKYMO YPATUMAI

132. Administracijos darbuotojų asmens duomenis turi teisę tvarkyti tik tie asmenys, kuriems jie yra būtini funkcijoms vykdyti, ir tik tuomet, kai tai yra būtina atitinkamiems tikslams pasiekti.

133. Administracijos darbuotojų asmens duomenys saugomi asmens bylose bei atitinkamose Administracijos tvarkomose duomenų bazėse.

134. Kiekvienas Administracijos darbuotojas turi būti informuotas apie jo asmens duomenų tvarkymą, t. y. turi pasirašyti informavimo apie asmens duomenų tvarkymo formą (Taisyklių 7 priedas). Informavimo apie asmens duomenų tvarkymo forma Administracijos darbuotojai pasirašo ir pateikia registruoti dokumentų valdymo sistemoje „Avilys“ pareigūnui. Pareigūnas patikrina, ar teisingai užpildytos formos skiltys, ar jie tinkamai ir laiku pasirašyti, ir juos užregistruoja. Naujai priimamiems Administracijos darbuotojams ir valstybės tarnautojams įteikiama informavimo apie asmens duomenų tvarkymo forma ir su šia tvarka jie supažindinami pasirašytinai pirmąją darbo dieną.

135. Administracijos darbuotojų duomenų tvarkymo tikslai, apimtys, duomenų subjektų teisės bei Administracijos darbuotojų stebėsena ir kontrolė darbo vietoje, reglamentuota Šiaulių miesto savivaldybės administracijos valstybės tarnautojų ir darbuotojų asmens duomenų tvarkymo bei stebėsenos ir kontrolės darbo vietoje tvarkos apraše, patvirtintame Šiaulių miesto savivaldybės administracijos direktoriaus 2021 m. gruodžio 28 d. įsakymu Nr. A-2117 „Dėl Šiaulių miesto savivaldybės administracijos valstybės tarnautojų ir darbuotojų asmens duomenų tvarkymo bei stebėsenos ir kontrolės darbo vietoje tvarkos aprašo patvirtinimo“ (su visais pakeitimais ir papildymais).

XV SKYRIUS

ASMENS DUOMENŲ TVARKYMAS, KAI ADMINISTRACIJA YRA DUOMENŲ TVARKYTOJA

136. Šio skyriaus nuostatos yra taikomos tais atvejais, kai Administracija tvarko duomenis kaip duomenų tvarkytoja. Administracijos, kaip duomenų tvarkytojos, duomenų tvarkymo veikla yra fiksuojama duomenų tvarkymo veiklos įrašų registre.

137. Administracija turi teisę tvarkyti kitų duomenų valdytojų duomenis tik tada, jeigu duomenų valdytojas yra aiškiai nustatęs ir nurodęs duomenų tvarkymo dalyką ir trukmę, duomenų tvarkymo pobūdį ir tikslą, asmens duomenų rūšis ir duomenų subjektų kategorijas bei duomenų valdytojo prievoles ir teises.

138. Tais atvejais, kai Administracija tvarko duomenis kaip duomenų tvarkytoja, Administracija privalo laikytis duomenų valdytojo nustatyto duomenų tvarkymo tikslo, priemonių ir kitų duomenų tvarkymo sąlygų, taip pat privalo tvarkyti tik tokį kiekį duomenų ir tik tokią trukmę, kaip nurodyta duomenų valdytojo.

139. Administracija turi teisę tvarkyti asmens duomenis kaip duomenų tvarkytoja tik esant bent vienam iš šių teisinių pagrindų:

139.1. sudaryta sutartis su duomenų valdytoju. Gali būti sudaryta atskira duomenų tvarkymo sutartis arba atskiros duomenų tvarkymo veiklos nuostatos įtrauktos į kitą sutartį;

139.2. pareiga tvarkyti duomenis nustatyta teisės aktuose.

140. Administracija nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus arba bendro rašytinio duomenų valdytojo leidimo. Bendro rašytinio leidimo atveju Administracija informuoja duomenų valdytoją apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu, ir taip suteikia duomenų valdytojui galimybę nesutikti su tokiais pakeitimais.

141. Kai Administracija konkrečiai duomenų tvarkymo veiklai duomenų valdytojo vardu atlikti pasitelkia kitą duomenų tvarkytoją, sutartimi ar kitu teisės aktu tam kitam duomenų tvarkytojui nustatomos tos pačios duomenų apsaugos prievolės, kaip ir prievolės, nustatytos Administracijos teisės aktų bei duomenų valdytojo, visų pirma prievolė pakankamai užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos taip, kad duomenų tvarkymas atitiktų Reglamento reikalavimus.

142. Administracija informuoja duomenų valdytoją, jei, Administracijos nuomone, duomenų valdytojo nurodymas pažeidžia Reglamentą ar kitas duomenų apsaugos teisės nuostatas.

XVI SKYRIUS

Asmens duomenų saugojimo terminai ir sunaikinimas

143. Asmens duomenų saugojimo terminus ir veiksmus, kurie atliekami pasibaigus šiam terminui, nustato teisės aktai, reglamentuojantys asmens duomenų tvarkymą. Konkretūs dokumentų (asmens duomenų) saugojimo terminai yra nustatomi Administracijos direktoriaus patvirtintame Dokumentacijos plane.

144. Asmens duomenys Administracijoje saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai būtina tais tikslais, kuriais asmens duomenys yra tvarkomi. Jeigu asmens duomenys naudojami kaip įrodymai civilinėje, administracinėje ar baudžiamojoje byloje ar kitais atvejais, jie gali būti saugomi tiek, kiek reikalinga šiems asmens duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.

145. Dokumentus, kuriuose yra asmens duomenų, saugo Administracijos struktūriniai padaliniai Dokumentacijos plane patvirtintą terminą. Pasibaigus dokumentacijos plane nustatytam saugojimo terminui, dokumentai, kuriuose yra asmens duomenų, sunaikinami nustatyta tvarka.

146. Informacinėse sistemose įrašyti asmens duomenys saugomi kartu su kitais duomenimis duomenų bazėje, o vėliau perduodami į duomenų bazės archyvą. Jų saugojimo terminus ir tvarką reglamentuoja Lietuvos Respublikos teisės aktai, Administracijos informacinės sistemos duomenų saugumo nuostatai ir kiekvienais metais tvirtinami Administracijos Dokumentacijos planai.

147. Asmens duomenys, nebereikalingi jų tvarkymo tikslams įgyvendinti, yra sunaikinami, išskyrus tuos, kurie turi būti perduodami į valstybės archyvą. Sunaikinimą atlieka Administracijos darbuotojas, atsakingas už konkrečią asmens duomenų tvarkymo sritį ir (ar) Administracijos dokumentų archyvavimą, ir (ar) trečiasis asmuo, kuriam Administracija yra pavedusi atlikti asmens duomenų naikinimo funkciją.

148. Sunaikinimas apibrėžiamas kaip fizinis ar techninis veiksmas, kuriuo dokumente esantys duomenys padaromi neatkuriamais įprastinėmis komerciškai prieinamomis priemonėmis.

149. Elektronine forma saugomi asmens duomenys sunaikinami juos ištrinant be galimybės atkurti.

150. Popieriniai dokumentai, kuriuose yra asmens duomenų, susmulkinami, o likučiai saugiu būdu sunaikinami.

XVII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

151. Administracijos darbuotojai su Taisyklėmis bei jų pakeitimais yra supažindinami Administracijos elektroninėmis priemonėmis dokumentų valdymo sistemoje „Avilys“ ir privalo laikytis joje nustatytų įpareigojimų bei atlikdami savo darbo funkcijas vadovautis Taisyklėse nustatytais reikalavimais.

152. Su Taisyklėmis yra supažindinami visi Administracijos darbuotojai pasirašytinai, gavę užduotį susipažinti dokumentų valdymo sistemoje „Avilys“ pažangiuoju (nekvalifikuotu) elektroniniu parašu, kuris prilyginamas rašytiniam parašui.

153. Už Taisyklių laikymosi priežiūrą ir kontrolę atsakingi Administracijos struktūrinių padalinių vedėjai ir į struktūrinius padalinius neįeinantys valstybės tarnautojai ir darbuotojai.

154. Taisyklės ne rečiau kaip kartą per 2 metus peržiūrimos ir, prireikus ar pasikeitus asmens duomenų tvarkymą reglamentuojantiems teisės aktams, atnaujinamos. Kaip laikomasi šių Taisyklių nuostatų, stebi ir atnaujinimą pagal poreikį inicijuoja pareigūnas.

155. Administracijoje periodiškai, bet ne rečiau kaip kartą per metus, pareigūnas organizuoja Administracijos darbuotojų mokymus Reglamento taikymo ir įgyvendinimo bei kitais asmens duomenų apsaugos klausimais.

156. Administracijoje periodiškai, bet ne rečiau kaip kartą per metus, vyksta Administracijoje vykdomos asmens duomenų tvarkymo veiklos ir/ar konkrečios duomenų tvarkymo operacijos atitikties Reglamentui bei kitiems asmens duomenų apsaugą reglamentuojantiems teisės aktams patikra. Už patikros vykdymą yra atsakingas Administracijos pareigūnas. Patikros rezultatai įforminami ataskaitoje, kurioje nurodomi nustatyti trūkumai, jei tokie nustatyti, bei rekomendacijos, kaip trūkumus ištaisyti ar pagerinti Administracijos asmens duomenų tvarkymo veiklą.

157. Administracijos darbuotojai, pažeidę šių Taisyklių reikalavimus, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.