„LIETUVOS RESPUBLIKOS VALSTYBĖS SAUGUMO DEPARTAMENTO

DIREKTORIUS

ĮSAKYMAS

DĖL ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO LIETUVOS RESPUBLIKOS VALSTYBĖS SAUGUMO DEPARTAMENTE TAISYKLIŲ PATVIRTINIMO

2.1. Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymu (toliau – Įstatymas);

2.2. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas);

2.3. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau – Duomenų apsaugos įstatymas);

2.4. Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymu (toliau – Paslapčių įstatymas);

2.5. Lietuvos Respublikos žvalgybos įstatymu (toliau – Žvalgybos įstatymas);

2.6. Lietuvos Respublikos kriminalinės žvalgybos įstatymu (toliau – Kriminalinės žvalgybos įstatymas);

2.7. Lietuvos Respublikos darbo kodeksu;

2.8. Lietuvos Respublikos pareigūnų ir karių valstybinių pensijų įstatymu;

2.9. ir kitais, su VSD veikla susijusiais teisės aktais, kuriuos įgyvendinant yra būtina tvarkyti asmens duomenis.

3.1. Priežiūros institucija:

3.2. Kitos Taisyklėse vartojamos sąvokos suprantamos taip, kaip jas apibrėžia Įstatymas ir Reglamentas.

7. Asmens duomenys VSD yra tvarkomi šiais tikslais:

8. Konkretūs asmens duomenų tvarkymo tikslai bei kita informacija, kaip numatyta Įstatymo 22 straipsnyje bei Reglamento 30 straipsnyje, yra nurodomi VSD duomenų tvarkymo veiklos įrašuose (toliau – Veiklos įrašai).

9. VSD asmens duomenys tvarkomi laikantis šių reikalavimų:

10. VSD, prieš pradėdamas tvarkyti asmens duomenis, iš anksto konsultuojasi su Priežiūros institucija, vadovaudamasis:

11. VSD tvarkomus asmens duomenis gali perduoti į trečiąsias valstybes arba tarptautinėms organizacijoms tik vadovaudamasis:

12. VSD Veiklos įrašus tvirtina VSD direktorius ar jo įgaliotas asmuo. Veiklos įrašų pavyzdinė forma pateikiama Taisyklių 1 priede.

13. VSD padaliniai ir (ar) VSD pareigūnai, tvarkantys asmens duomenis, vadovaudamiesi Taisyklių 1 priedu, teikia VSD duomenų apsaugos pareigūnui (VSD dokumentų valdymo sistemoje ar elektroniniu paštu) informaciją, reikalingą Veiklos įrašams pildyti.

14. Pasikeitus informacijai, nurodytai Veiklos įrašuose, ar pastebėjus netikslumų, taip pat VSD duomenų apsaugos pareigūno prašymu, VSD padaliniai ir (ar) VSD pareigūnai VSD duomenų apsaugos pareigūnui pateikia atnaujintą informaciją.

15. Veiklos įrašus užpildo ar atnaujina VSD duomenų apsaugos pareigūnas, įvertinęs VSD padalinių ir (ar) VSD pareigūnų pateiktą informaciją, ir prireikus ją patikslinęs, teikia tvirtinti VSD direktoriui ar jo įgaliotam asmeniui. Veiklos įrašai peržiūrimi ne rečiau kaip kas dvejus metus. Veiklos įrašai gali būti pateikiami Priežiūros institucijai, gavus jos prašymą.

16. Numatytų duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimas VSD atliekamas vadovaujantis:

17. Prieš pradėdamas tvarkyti asmens duomenis, VSD struktūrinis padalinys ir (ar) VSD pareigūnas, kuris inicijuoja vertintiną asmens duomenų tvarkymą (yra kompetentingas atlikti konkrečią asmens duomenų tvarkymo operaciją ar tvarkymo veiksmus), turi įvertinti poreikį atlikti poveikio duomenų apsaugai vertinimą.

18. Vertinant poreikį atlikti poveikio duomenų apsaugai vertinimą, vadovaujamasi Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašu, patvirtintu Valstybinės duomenų apsaugos inspekcijos direktoriaus 2019 m. kovo 14 d. įsakymu Nr. 1T-35 (1.12.E) „Dėl Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašo patvirtinimo“ (toliau – Duomenų tvarkymo operacijų sąrašas), atsižvelgiama į 29 straipsnio duomenų apsaugos darbo grupės 2017 m. balandžio 4 d. „Poveikio duomenų apsaugai vertinimo (PDAV) gaires, kuriomis Reglamento 2016/679 taikymo tikslais nurodoma, kaip nustatyti, ar duomenų tvarkymo operacijos gali sukelti didelį pavojų“ (toliau – Poveikio duomenų apsaugai vertinimo gairės).

19. Atlikus Taisyklių 17 punkte nurodytą įvertinimą, parengiama motyvuota išvada:  

20. Taisyklių 19 punkte nurodytą išvadą parengęs VSD struktūrinis padalinys ar VSD pareigūnas perduoda ją VSD duomenų apsaugos pareigūnui, kuris ne vėliau kaip per 20 darbo dienų pateikia savo nuomonę. Išvada kartu su VSD duomenų apsaugos pareigūno nuomone pateikiama VSD direktoriui ar jo įgaliotam asmeniui tvirtinti.

21. VSD direktoriui ar jo įgaliotam asmeniui patvirtinus Taisyklių 19.1 papunktyje nurodytą išvadą, poveikio duomenų apsaugai vertinimas nėra atliekamas. VSD direktoriui ar jo įgaliotam asmeniui patvirtinus Taisyklių 19.2 papunktyje numatytą išvadą, poveikio duomenų apsaugai vertinimą atlieka Taisyklių 17 punkte nurodytas VSD struktūrinis padalinys ir (ar) VSD pareigūnas, vadovaudamiesi Įstatymo 25 straipsniu arba Reglamento 35 straipsniu bei atsižvelgdami į Poveikio duomenų apsaugai vertinimo gaires. Atlikus poveikio duomenų apsaugai vertinimą, parengiama poveikio duomenų apsaugai vertinimo ataskaita, kurios pavyzdinė forma pateikiama Taisyklių 2 priede, ir teikiama tvirtinti VSD direktoriui ar jo įgaliotam asmeniui.

22. VSD įgyvendina organizacines ir technines asmens duomenų saugumo priemones, skirtas užtikrinti pavojų atitinkančio lygio saugumą, taip pat apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo, kaip nustatyta Įstatymo 28 straipsnyje bei Reglamento 32 straipsnyje.

23. Asmens duomenys (dokumentai, kuriuose yra asmens duomenys, jų kopijos, dokumentų (duomenų) rinkmenos) VSD yra tvarkomi ir saugomi tam pritaikytose administracinėse patalpose, kuriose įdiegta įeigos kontrolė, bei VSD ryšių ir informacinėse sistemose.

24. VSD ryšių ir informacinėse sistemose esančių duomenų tvarkymo bei saugojimo tvarką, duomenų saugumo užtikrinimo priemones nustato Bendrasis elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Įslaptintos informacijos ryšių ir informacinių sistemų saugumo reikalavimų aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2019 m. sausio 16 d. nutarimu Nr. 40-1 „Dėl įslaptintos informacijos ryšių ir informacinių sistemų apsaugos įgyvendinimo“, VSD ryšių ir informacinės sistemos naudotojų administravimo tvarkos aprašas, patvirtintas VSD direktoriaus 2016 m. gegužės 5 d. įsakymu Nr. 2-88 „Dėl Lietuvos Respublikos valstybės saugumo departamento ryšių ir informacinės sistemos naudotojų administravimo tvarkos patvirtinimo“, VSD ryšių ir informacinės sistemos saugumo valdymo procedūrų aprašas, patvirtintas VSD direktoriaus 2016 m. gegužės 3 d. įsakymu Nr. 2-84 „Dėl Lietuvos Respublikos valstybės saugumo departamento ryšių ir informacinės sistemos saugumo valdymo procedūrų aprašo patvirtinimo“, VSD fizinės apsaugos organizavimo tvarkos aprašas, patvirtintas 2016 m. vasario 9 d. VSD direktoriaus įsakymu Nr. 2-31 „Dėl Lietuvos Respublikos valstybės saugumo departamento fizinės apsaugos organizavimo tvarkos aprašo patvirtinimo“.

25. Asmens duomenų saugumo pažeidimų valdymo (pažeidimų klasifikavimo, pažeidimų tyrimo ir jų pasekmių mažinimo bei pašalinimo, pranešimo apie pažeidimus Priežiūros institucijai, duomenų subjektams, pažeidimų prevencijos ir dokumentavimo) tvarka nustatoma VSD direktoriaus tvirtinamame VSD asmens duomenų apsaugos pažeidimų valdymo tvarkos apraše, atsižvelgiant į Valstybinės duomenų apsaugos inspekcijos 2018 m. liepos 2 d. rekomendaciją „Dėl asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos“. 

26. Asmens duomenų (dokumentų, kuriuose yra asmens duomenys, ar jų kopijų, taip pat išrašų ar nuorašų) saugojimo terminai VSD nustatomi vadovaujantis VSD direktoriaus tvirtinamu VSD dokumentacijos planu ir nurodomi Veiklos įrašuose.

27. Dokumentai, kuriuose yra asmens duomenys, yra rengiami, tvarkomi, saugomi ir naikinami vadovaujantis Dokumentų tvarkymo ir apskaitos taisyklėmis, patvirtintomis 2019 m. gruodžio 12 d. Lietuvos vyriausiojo archyvaro įsakymu Nr. V-118 „Dėl Dokumentų tvarkymo ir apskaitos taisyklių patvirtinimo“, Įslaptintos informacijos administravimo ir išslaptinimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 820 „Dėl Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymo įgyvendinimo“, bei vidiniais VSD teisės aktais.

28. Asmens duomenų (dokumentų, kuriuose yra asmens duomenys, ar jų kopijų, taip pat išrašų ar nuorašų) saugojimo ir ištrynimo (sunaikinimo) terminai, kurie nustatomi, kaip numatyta Taisyklių 26–27 punktuose, peržiūrimi ne rečiau kaip kas dvejus metus.

29. Siekiant užtikrinti VSD pastatų, patalpų ir (ar) teritorijos bei juose esančio turto, asmenų ir įslaptintos informacijos apsaugą, yra tvarkomi vaizdo stebėjimo ir (ar) garso duomenys, taip pat gali būti tvarkomi vaizdo stebėjimo ir (ar) garso duomenys organizuojant vaizdo konferencijas.

30. Apie tai, kad vykdomas vaizdo stebėjimas, duomenų subjektai informuojami informaciniais užrašais, kurie išdėstomi prieš įėjimą į teritoriją, pastatą ar patalpą, arba, kai vyksta vaizdo konferencija, duomenų subjektai kompiuterio ekrane arba žodžiu informuojami apie vykdomą vaizdo ir (ar) garso įrašą ar retransliaciją.

31. Vykdyti vaizdo stebėjimą ir (ar) garso įrašymą VSD pareigūno darbo vietoje draudžiama, išskyrus atvejus, kai darbo vietoje vyksta vaizdo konferencija arba kai būtina užtikrinti įslaptintos informacijos ar patalpose esančių asmenų apsaugą ir kiti būdai ar priemonės nėra pakankami ir (ar) tinkami tikslams pasiekti. VSD pareigūnai apie nuolat vykdomą jų darbo vietos stebėjimą informuojami informaciniu pranešimu kompiuterio ekrane ar kitu aiškiai matomu (ar) suprantamu būdu.

32. Draudžiama vykdyti vaizdo stebėjimą ir (ar) garso įrašymą patalpose, kuriose duomenų subjektas pagrįstai tikisi absoliutaus privatumo ir kur vaizdo stebėjimas ir (ar) garso įrašymas žemintų žmogaus orumą. Vaizdo stebėjimo priemonės įrengiamos taip, kad būtų stebimas tik asmuo (-ys), dalyvaujantis (-ys) vaizdo konferencijoje, arba konkreti patalpa (jos dalis), teritorija ar jos prieigos, kurios stebimos dėl Taisyklių 29 punkte nurodytų tikslų.

33. Vaizdo konferencijų vaizdas ir (ar) garsas nėra įrašomas, išskyrus atvejus, kai iš anksto žinoma ir informuojama, kad vaizdo ir (ar) garso įrašas bus reikalingas tarnybiniam naudojimui, protokolo surašymui ir pan. Apie konferencijos vaizdo ir (ar) garso įrašymą vaizdo konferencijos dalyviai informuojami žodžiu vaizdo ir (ar) garso įrašymo pradžioje ir (ar) atvaizduojant kompiuterio ekrane informacinį pranešimą (perspėjamąjį simbolį) apie vykdomą vaizdo ir (ar) garso įrašymą.

34. Vaizdo stebėjimo ir (ar) garso duomenys, atsižvelgiant į technines galimybes ir poreikį, saugomi nuo 30 iki 90 kalendorinių dienų (išskyrus atvejus, kai duomenis reikia saugoti ilgiau konkrečioms aplinkybėms įrodyti). Pasibaigus šiam terminui, vaizdo stebėjimo duomenys sunaikinami, juos ištrinant automatiškai ar kitu būdu.

35.  Vaizdo stebėjimo priemonės, jų įrengimo vietos, stebėjimo laukas ir laikas nustatomi vadovaujantis įslaptintos informacijos apsaugos reikalavimais ir VSD direktoriaus nustatytais VSD fizinės apsaugos reikalavimais, laikantis asmens duomenų apsaugą reglamentuojančių teisės aktų reikalavimų.

36. Vaizdo stebėjimo ir (ar) garso duomenys, surinkti Taisyklių 7.1 ir (ar) 7.2 papunkčiuose numatytais tikslais, tvarkomi vadovaujantis Įstatymu ir VSD direktoriaus nustatyta tvarka.

37.1. stebi ir analizuoja, kaip laikomasi Taisyklėse ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, numatytų reikalavimų ir teikia siūlymus VSD direktoriui ar jo įgaliotam asmeniui dėl asmens duomenų apsaugos priemonių, asmens duomenų tvarkymo bei asmens duomenų apsaugos reglamentavimo tobulinimo;

37.2. derina VSD rengiamų teisės aktų, reglamentuojančių asmens duomenų apsaugą ir (ar) jų tvarkymą, projektus;

37.3. informuoja VSD pareigūnus, kurie tvarko asmens duomenis, apie jų pareigas, nustatytas asmens duomenų apsaugą reglamentuojančiuose teisės aktuose, ir konsultuoja juos šiais klausimais;

37.4. organizuoja VSD pareigūnų, kurie tvarko asmens duomenis, mokymus asmens duomenų tvarkymo ir apsaugos klausimais;

37.5. dalyvauja nagrinėjant su asmens duomenų tvarkymo procesu ir asmens duomenų apsaugos užtikrinimu susijusius klausimus, teikia rekomendacijas apie priimamų sprendimų atitiktį asmens duomenų tvarkymą reglamentuojančių teisės aktų nuostatoms bei jų keliamą riziką asmens duomenų tvarkymo saugumui ir pataria, kokių priemonių turėtų būti imamasi;

37.6. konsultuoja VSD struktūrinį padalinį ir (ar) VSD pareigūną (teikia pagalbą), pastarajam atliekant numatomų asmens duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimą ir rengiant poveikio duomenų apsaugai vertinimo ataskaitą, taip pat atliekant asmens duomenų tvarkymo rizikos vertinimą, rengiant jo ataskaitą;

37.7. atsako už tinkamą Veiklos įrašų tvarkymą;

37.8. konsultuoja VSD pareigūnus, nagrinėjant duomenų subjektų paklausimus, prašymus ir skundus dėl asmens duomenų tvarkymo;

37.9. gavęs informaciją apie asmens duomenų saugumo pažeidimą, priemones, kurių buvo imtasi asmens duomenų saugumo pažeidimo padariniams pašalinti ar sušvelninti, teikia VSD direktoriui ar jo įgaliotam asmeniui siūlymus dėl nurodymų VSD pareigūnams imtis papildomų saugumo priemonių, kurias privalu pritaikyti. Taip pat Įstatymo 30 straipsnyje bei Reglamento 33 ir 34 straipsniuose nustatytais atvejais teikia VSD direktoriui ar jo įgaliotam asmeniui siūlymus dėl pranešimų apie asmens duomenų saugumo pažeidimus Priežiūros institucijai ir (ar) duomenų subjektui pateikimo. VSD direktoriaus ar jo įgalioto asmens pavedimu vykdo VSD tvarkomų asmens duomenų saugumo pažeidimų apskaitą; 

37.10. bendradarbiauja ir atlieka kontaktinio asmens funkcijas su Priežiūros institucija, kai pastaroji kreipiasi į VSD su duomenų tvarkymu susijusiais klausimais.

38.1. gauti visą informaciją, reikalingą duomenų apsaugos pareigūno funkcijoms vykdyti nedelsiant arba per duomenų apsaugos pareigūno nustatytus terminus;

38.2. pasitelkti kompetentingus VSD pareigūnus, jei užduočių atlikimui reikalingos specialiosios žinios;

38.3. VSD nagrinėjant su asmens duomenų tvarkymo procesu ir asmens duomenų apsaugos užtikrinimu susijusius klausimus (vykdant veiklos tobulinimus, numatant naujas duomenų tvarkymo operacijas, rengiant teisės aktų projektus, svarstant duomenų subjektų skundus, prašymus ir pan.), būti informuotas ir įtrauktas į šio klausimo svarstymą pirminiame jo etape (iki sprendimo projekto pateikimo);

38.4. gauti informaciją apie įvykusį asmens duomenų saugumo pažeidimą nedelsiant, ne vėliau kaip kitą darbo dieną po šio pažeidimo paaiškėjimo.

42.1. laikytis asmens duomenų tvarkymo ir saugumo reikalavimų, įtvirtintų Įstatyme, Reglamente bei Taisyklėse ir kituose, asmens duomenų tvarkymą reglamentuojančiuose, teisės aktuose;

42.2. laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria susipažino vykdydami savo funkcijas, visą tarnybos (darbo) laiką ir pasibaigus tarnybos (darbo) santykiams;

42.3. atlikti tik tuos asmens duomenų tvarkymo veiksmus, kuriuos atlikti jam yra suteiktos teisės dėl einamų pareigų;

42.4. dokumentus, kuriuose yra asmens duomenys (įsakymus, prašymus, raštus, sutartis ir kitus dokumentus, jų kopijas ar išrašus, taip pat asmens bylas, kompiuterines duomenų laikmenas su asmens duomenimis ir kt.), elektroniniu būdu tvarkyti tik VSD ryšių ir informacinėse sistemose, kuriose duomenys yra tvarkomi laikantis Lietuvos Respublikos teisės aktuose numatytų duomenų apsaugos reikalavimų;

42.5. pastebėję asmens duomenų saugumo pažeidimą ar bet kokią įtartiną situaciją, kuri gali kelti grėsmę VSD tvarkomų asmens duomenų saugumui, nedelsdami apie tai informuoti tiesioginį vadovą ir VSD duomenų apsaugos pareigūną.

43.1. gauti iš VSD direktoriaus ir (ar) jo įgalioto asmens visą reikalingą informaciją ir metodinę pagalbą teisės aktus atitinkančiam asmens duomenų tvarkymui vykdyti;

43.2. konsultuotis su VSD duomenų apsaugos pareigūnu dėl tvarkant asmens duomenis iškylančių klausimų;

43.3. teikti VSD direktoriui ir (ar) jo įgaliotam asmeniui pasiūlymus dėl asmens duomenų tvarkymo proceso, asmens duomenų saugumo užtikrinimo VSD tobulinimo.

44.1. rengdami teisės akto projektą, jei jis susijęs su asmens duomenų tvarkymu ir (ar) apsauga;

44.2. nagrinėdami duomenų subjektų prašymus dėl jų teisių įgyvendinimo pagal Taisykles ir teikdami informaciją duomenų subjektams;

44.3. tirdami duomenų saugumo pažeidimus;

44.4. rengdami informaciją Veiklos įrašų pildymui, pakeitimui ar atnaujinimui, pastebėję juose netikslumų;

44.5. sudarydami, keisdami duomenų perdavimo (teikimo) sutartis, pagal kurias perduodami (teikiami) ir (ar) gaunami asmens duomenys, ar teikdami asmens duomenis pagal prašymą;

44.6. atlikdami asmens duomenų tvarkymo rizikos vertinimą, kai sprendžiama dėl būtinybės atlikti poveikio duomenų apsaugai vertinimą ir (ar) jį atliekant;

44.7. keisdami esamus ar nustatydami naujus asmens duomenų tvarkymo procesus ir (ar) priimdami sprendimus dėl asmens duomenų apsaugos priemonių.

47. Duomenų subjektas turi šias teises, įtvirtintas Įstatyme ir (ar) Reglamente:

48. Duomenų subjektui netaikoma Reglamento 22 straipsnyje įtvirtinta teisė reikalauti, kad nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, nes, VSD tvarkant duomenis Taisyklių 7.3 papunktyje numatytais tikslais, nėra priimami sprendimai, grindžiami tik automatizuotu duomenų tvarkymu, ir nėra vykdomas profiliavimas.

49.  Asmens duomenis tvarkant Taisyklių 7.1 ir (ar) 7.2 papunkčiuose numatytais tikslais, duomenų subjektų teisės įgyvendinamos Įstatymo nustatyta tvarka, taip pat laikantis žvalgybos ir kontržvalgybos ar kriminalinės žvalgybos vykdymą reglamentuojančių teisės aktų bei įslaptintos informacijos apsaugą reglamentuojančių teisės aktų reikalavimų. Asmens duomenis tvarkant Taisyklių 7.3 papunktyje numatytais tikslais, duomenų subjektų teisės įgyvendinamos pagal Reglamentą.

50.    Kai asmens duomenys tvarkomi Taisyklių 7.1 ir (ar) 7.2 papunkčiuose numatytais tikslais, duomenų subjektų teisių, nurodytų Taisyklių 47.1–47.5 papunkčiuose, įgyvendinimas ir (ar) informacijos apie atsisakymo ar apribojimo jas įgyvendinti priežastis teikimas gali būti atidėtas, apribotas iš dalies ar visa apimtimi Žvalgybos įstatymo 16¹ straipsnio 4 dalyje bei Paslapčių įstatymo 18 straipsnio 11 dalyje numatytais atvejais, siekiant Įstatymo 11 straipsnio 3 dalyje, 13 straipsnyje, 14 straipsnio 5 dalyje nustatytų tikslų.

51.    Įvertinimą, ar konkretaus duomenų subjekto teisės (-ių) įgyvendinimo veiksmai nepakenks Taisyklių 50 punkte nurodytiems tikslams ir, atitinkamai, ar nėra pagrindo šių teisių įgyvendinimą apriboti iš dalies ar visa apimtimi, atlieka VSD struktūrinis padalinys ir (ar) VSD pareigūnas, vykdantis konkretaus duomenų subjekto asmens duomenų tvarkymo veiksmus, arba duomenų subjektui atsakymą rengiantis VSD struktūrinis padalinys ir (ar) VSD pareigūnas.

52. Atliekant Taisyklių 51 punkte nurodytą įvertinimą, sprendžiama, ar dėl konkretaus duomenų subjekto teisės (-ių) įgyvendinimo ir (ar) informacijos pateikimo gali:

53. Nustačius bent vieną iš Taisyklių 52.1–52.3 papunkčiuose nurodytų aplinkybių, konkretaus duomenų subjekto teisės (-ių) įgyvendinimas laikomas galinčiu pakenkti Taisyklių 50 punkte numatytiems tikslams (-ui). Tokiu atveju vertinama, ar konkretaus duomenų subjekto teisės turi būti apribotos visa apimtimi ar ribojamos iš dalies (pvz., informacijos teikimas duomenų subjektui apie VSD atliekamą duomenų subjekto asmens duomenų tvarkymą atidedamas tam tikram laikotarpiui, pateikiama tik dalis šios informacijos arba ši informacija duomenų subjektui yra neteikiama).

54. Atlikus Taisyklių 51 punkte nurodytą įvertinimą ir apribojus duomenų subjekto teisę (-es), turi būti nurodomos priežastys, kuriomis pagrįstas sprendimas apriboti duomenų subjekto teisę (-es). Apribojimą pagrindžiančios priežastys fiksuojamos raštu, įskaitant elektronine forma vienoje iš VSD ryšių ir informacinėse sistemų. Prireikus ši informacija teikiama Priežiūros institucijai ir (ar) administraciniam teismui jų prašymu.

55. Apribojus duomenų subjekto teisės (-ių) įgyvendinimą, kaip numatyta Taisyklių 53 punkte, duomenų subjektas yra informuojamas apie tokio apribojimo apskundimo tvarką.

56. Duomenų subjektų teisių, kai asmens duomenys tvarkomi Taisyklių 7.3 papunktyje numatytais tikslais, įgyvendinimas gali būti apribotas Reglamento 23 straipsnio 1 dalyje numatytais pagrindais, laikantis mutatis mutandis šiame skirsnyje numatytos tvarkos.

57. Duomenų subjektas, siekdamas įgyvendinti Taisyklių 47 punkte nurodytas teises, turi asmeniškai, paštu (adresu: Pilaitės pr. 19, Vilnius) ar elektroninėmis priemonėmis (per E. pristatymo sistemą adresu: 188675233, el. paštu: vsd@vsd.lt) pateikti rašytinį prašymą įgyvendinti duomenų subjekto teises (toliau – prašymas), kurio pavyzdinė forma pateikiama Taisyklių 3 priede. Dėl informavimo apie asmens duomenų tvarkymą pagal Įstatymo 11 straipsnio 1 dalį, Reglamento 13 ir 14 straipsnius duomenų subjektas taip pat turi teisę kreiptis žodžiu (telefonu Nr. +370 5 212 47 20 ar, esant galimybei, garso ir vaizdo nuotolinio perdavimo ir įrašymo priemonėmis).

58. Tiek, kiek prašymų pateikimo nereglamentuoja šio skirsnio nuostatos, taikomas Lietuvos Respublikos viešojo administravimo įstatymas ir Asmenų prašymų ir skundų nagrinėjimo viešojo administravimo subjektuose taisyklės, patvirtintos Lietuvos Respublikos Vyriausybės 2007 m. rugpjūčio 22 d. nutarimu Nr. 875 „Dėl Asmenų prašymų ir skundų nagrinėjimo viešojo administravimo subjektuose taisyklių patvirtinimo“ (toliau – Asmenų prašymų ir skundų nagrinėjimo taisyklės). 

59. Teikdamas prašymą, duomenų subjektas privalo patvirtinti savo tapatybę:

60. Prašymas turi atitikti Asmenų prašymų ir skundų nagrinėjimo taisyklių keliamus reikalavimus, taip pat jame turi būti nurodyta informacija apie tai, kokią iš Taisyklių 47 punkte nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti bei kokiu būdu duomenų subjektas pageidauja gauti atsakymą. Taip pat, Taisyklėse numatytais atvejais, prašyme nurodomos ir aplinkybės, pagrindžiančios prašymą, kai kreipiamasi dėl asmens duomenų ištaisymo, ištrynimo, asmens duomenų tvarkymo apribojimo ar nesutikimo dėl asmens duomenų tvarkymo.

61.    Savo teises duomenų subjektas gali įgyvendinti pats arba per atstovą. Asmens atstovas prašyme turi nurodyti savo vardą, pavardę, adresą ir (ar) kitus kontaktinius duomenis ryšiui palaikyti, kuriais asmens atstovas pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę, adresą ir (ar) kitus kontaktinius duomenis ryšiui palaikyti. Atstovo teikiamas prašymas turi atitikti Taisyklių 60 punkte numatytus reikalavimus. Atstovas turi pridėti atstovavimą patvirtinantį dokumentą ar jo kopiją.

62.    Esant abejonių dėl duomenų subjekto tapatybės, VSD turi teisę prašyti pateikti papildomą informaciją, reikalingą ja įsitikinti.

63. Gavus duomenų subjekto prašymą, ne vėliau kaip per vieną mėnesį nuo prašymo gavimo duomenų subjektui pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Šiame punkte nurodytas terminas prireikus gali būti pratęstas dar dviem mėnesiams, kaip numatyta Reglamento 12 straipsnio 3 dalyje, arba iki trijų mėnesių, kaip numatyta Įstatymo 10 straipsnio 3 dalyje, atsižvelgiant į prašymo sudėtingumą ir jų skaičių. Apie termino pratęsimą duomenų subjektas informuojamas per vieną mėnesį nuo prašymo gavimo, nurodant pratęsimo priežastis, taip pat pranešama apie galimybę pateikti skundą Priežiūros institucijai arba administraciniam teismui Lietuvos Respublikos administracinių bylų teisenos įstatymo numatyta tvarka.

64.    Tiek, kiek prašymų nagrinėjimo ir atsakymo rengimo nereglamentuoja šio skirsnio nuostatos, taikomas Lietuvos Respublikos viešojo administravimo įstatymas ir Asmenų prašymų ir skundų nagrinėjimo taisyklės. 

65.    Priėmus prašymą nagrinėti (nenustačius prašymo nenagrinėjimo pagrindų), atliekamas Prašymo įvertinimas bei duomenų subjekto, pateikusio prašymą, tvarkomų asmens duomenų analizė, siekiant nustatyti, ar duomenų subjekto pateiktas prašymas yra pagrįstas.

66. Jeigu prašymo nagrinėjimo metu nustatoma, kad duomenų subjekto teisės yra apribotos, apie tai prašymą pateikęs duomenų subjektas yra informuojamas Taisyklių 63 punkte numatytais terminais ir Taisyklių 68 numatyta tvarka.

67. Įvertinus prašymą, kaip pagrįstą, atliekami Taisyklėse numatyti duomenų subjekto teisių įgyvendinimo veiksmai, priklausomai nuo konkrečios duomenų subjekto teisės, kurią prašoma įgyvendinti, ir asmens duomenų tvarkymo tikslų.

68. Atsakymas į jo prašymą (informacija dėl jo teisių įgyvendinimo) duomenų subjektui rengiamas ir pateikiamas pagal Asmenų prašymų ir skundų nagrinėjimo taisyklių numatytus reikalavimus. Duomenų subjektui VSD turima informacija nevalstybine kalba gali būti pateikta tuo atveju, kai informacija yra tvarkoma šia kalba.

69.    Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai, išskyrus Įstatymo 10 straipsnio 4 dalies 1 punkte ir (ar) Reglamento 12 straipsnio 5 dalies a) punkte nurodytą atvejį.

70. VSD turi teisę atsisakyti pateikti duomenų subjektams jų prašomą informaciją (įgyvendinti teises ar atlikti kitus veiksmus pagal pateiktus prašymus), jeigu nustatoma, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, visų pirma, dėl jo pasikartojančio turinio. Atsisakyme pateikti prašomą informaciją ar atlikti kitus veiksmus pagal prašymą privalo būti raštu nurodyti atsisakymo motyvai Taisyklių 63 punkte numatytais terminais ir Taisyklių 68 numatyta tvarka.

71.    VSD veiksmus ar neveikimą nagrinėjant prašymus (įgyvendinant duomenų subjekto teises) duomenų subjektas turi teisę skųsti Priežiūros institucijai: kai asmens duomenys tvarkomi Taisyklių 7.1 papunktyje numatytais tikslais – Lietuvos Respublikos žvalgybos kontrolieriui, kai asmens duomenys yra tvarkomi Taisyklių 7.1 ir (ar) 7.3 papunkčiuose numatytais tikslais – Valstybinei duomenų apsaugos inspekcijai (L. Sapiegos g. 17, Vilnius, interneto svetainė www.vdai.lrv.lt), arba visais atvejais – Vilniaus apygardos administraciniam teismui (Žygimantų g. 2, Vilnius, interneto svetainė www.vaat.teismas.lt).