LIETUVOS KULTŪROS TARYBOS PIRMININKAS

 

ĮSAKYMAS

dėl BENDROJO DUOMENŲ APSAUGOS REGLAMENTO nuostatų ĮGYVENDINIMO lietuvos kultūros tarybos veikloje

 

2021 m. rugpjūčio 23 d. Nr. VĮ-14(1.1E)
Vilnius

 

Įgyvendindama 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas):

1.   T v i r t i n u pridedamus:

1.1. Asmens duomenų tvarkymo Lietuvos kultūros taryboje tvarkos aprašą;

1.2. Duomenų subjekto teisių įgyvendinimo tvarkos aprašą;

1.3. Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašą.

2. P r i p a ž į s t u   netekusiu galios Lietuvos kultūros tarybos pirmininko 2018 m. spalio 4 d. įsakymą Nr. VĮ-50(1.1 E) „Dėl Asmens duomenų apsaugos politikos patvirtinimo“.

3. N u s t a t a u, kad su šiuo įsakymu pasirašytinai supažindinami visi Lietuvos kultūros tarybos darbuotojai ir Lietuvos kultūros tarybos narių susirinkimo nariai.

4. Į p a r e i g o j u Lietuvos kultūros tarybos darbuotojus ir Lietuvos kultūros tarybos narių susirinkimo narius asmens duomenis tvarkyti vadovaujantis šiuo įsakymu patvirtintais dokumentais.

5. P a v e d u  Lietuvos kultūros tarybos komunikacijos koordinatorei Godai Dapšytei ir Lietuvos kultūros tarybos duomenų apsaugos pareigūnei Gerdai Leonavičienei užtikrinti, kad būtų atitinkamai, pagal šiuo įsakymu patvirtintus dokumentus, atnaujinta Lietuvos kultūros tarybos interneto svetainės skiltyje „Asmens duomenų apsauga“ pateikiama informacija.

 

 

 

Tarybos pirmininkė                                                                                                      Asta Pakarklytė

 

 

PATVIRTINTA

Lietuvos kultūros tarybos

pirmininko 2021 m. rugpjūčio 23 d.

įsakymu Nr. VĮ-14(1.1 E)

 

 

ASMENS DUOMENŲ TVARKYMO LIETUVOS KULTŪROS TARYBOJE

TVARKOS APRAŠAS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1 Asmens duomenų tvarkymo Lietuvos kultūros taryboje (toliau – Taryba) tvarkos aprašas (toliau – Aprašas) nustato Tarybos narių susirinkimo narių, valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, pareiškėjų ir kitų fizinių asmenų (toliau – duomenų subjektai) asmens duomenų tvarkymo reikalavimus, asmens duomenų tvarkymo principų įgyvendinimo tvarką, įgyvendinamas organizacines ir technines asmens duomenų saugumo priemones.

2 Aprašo tikslas – reglamentuoti asmens duomenų tvarkymą Taryboje užtikrinant, kad būtų laikomasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento) (toliau – Reglamentas (ES) 2016/679), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymo ir privatumo apsaugos reikalavimus, nuostatų. Aprašu siekiama įgyvendinti atskaitomybės principą, įtvirtintą Reglamento (ES) 2016/679 5 straipsnio 2 dalyje.

3Aprašo privalo laikytis visi Tarybos pirmininkas, Tarybos narių susirinkimo nariai, valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis (toliau visi kartu vadinama – darbuotojai), kurie eidami pareigas arba atlikdami darbines funkcijas tvarko asmens duomenis arba juos sužino.

4Aprašas parengtas vadovaujantis Reglamentu (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir privatumo apsaugą.

5Taryboje tvarkomų asmens duomenų valdytojas yra biudžetinė įstaigą Lietuvos kultūros taryba, juridinio asmens kodas 302951857, veikianti adresu Naugarduko g. 10, Vilniuje, elektroninis paštas info@ltkt.lt.

 

II SKYRIUS

DUOMENŲ VALDYTOJO PAREIGOS

 

6Taryba, tvarkydama asmens duomenis ir nustatydama duomenų tvarkymo priemones, nuo asmens duomenų surinkimo iki saugojimo termino pabaigos įgyvendina tinkamas technines ir organizacines priemones, kad būtų veiksmingai įgyvendinti duomenų apsaugos principai, įtvirtinti Reglamento (ES) 2016/679 5 straipsnyje. Tuo tikslu Taryba:

6.1. nustato asmens duomenų tvarkymo tikslus ir priemones ir užtikrina, kad asmens duomenys būtų renkami nustatytais, aiškiai apibrėžtais ir teisėtais tikslais ir toliau tvarkomi tik su tais tikslais suderinamu būdu;

6.2. užtikrina, kad asmens duomenys būtų tvarkomi teisėtai, sąžiningai ir skaidriai, laikantis teisės aktuose nustatytų asmens duomenų tvarkymo reikalavimų;

6.3. užtikrina, kad asmens duomenys būtų adekvatūs, tinkami ir tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi;

6.4. užtikrina, kad asmens duomenys būtų tikslūs ir prireikus atnaujinami, o netikslūs asmens duomenys nedelsiant ištrinami arba ištaisomi;

6.5. užtikrina, kad asmens duomenys būtų laikomi tokia forma, kad nustatyti duomenų subjekto tapatybę būtų galima ne ilgiau, nei būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;

6.6. užtikrina, kad būtų taikomos tinkamos techninės ir organizacinės duomenų saugumo priemonės, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;

6.7. užtikrina duomenų subjekto teisių įgyvendinimą;

6.8. rengia ir priima vidinius teisės aktus, reglamentuojančius asmens duomenų tvarkymą ir užtikrinančius atskaitomybės principo įgyvendinimą;

6.9. sprendžia dėl asmens duomenų teikimo;

6.10įgalioja duomenų tvarkytojus tvarkyti asmens duomenis parinkdama tokį duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines asmens duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi;

6.11pildo duomenų tvarkymo veiklos įrašus;

6.12teisės aktų nustatytais atvejais atlieka poveikio duomenų apsaugai vertinimą;

6.13imasi priemonių valdyti asmens duomenų saugumo pažeidimus ir teisės aktuose nustatytais atvejais praneša apie juos priežiūros institucijai ir duomenų subjektams;

6.14vykdo kitus teisės aktuose nustatytus reikalavimus.

 

III SKYRIUS

ASMENS DUOMENŲ TVARKYMO TIKSLAI IR ASMENS DUOMENŲ TVARKYMO TEISINIAI PAGRINDAI

 

7Taryba tvarko asmens duomenis šiais tikslais:

7.1.    įstaigos valdymo užtikrinimo tikslu Taryba tvarko valdymo organų narių asmens duomenis. Asmens duomenys tvarkomi vykdant Tarybai taikomus teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c punktu;

7.2.    darbuotojų atrankos tikslu Taryba tvarko kandidatų į darbuotojus asmens duomenis. Asmens duomenys tvarkomi įgyvendinant Tarybai taikomus teisės aktų reikalavimus, asmens sutikimu, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. a, c punktais;

7.3.    ekspertų atrankos tikslu Taryba tvarko kandidatų į ekspertus asmens duomenis. Asmens duomenys tvarkomi įgyvendinant Tarybai taikomus teisės aktų reikalavimus, asmens sutikimu, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. a, c punktais;

7.4.    žmogiškųjų išteklių valdymo (tarnybos/darbo/praktikos administravimo, Tarybos, kaip darbdavio, pareigų, nustatytų teisės aktuose, vykdymo bei tinkamų darbo sąlygų užtikrinimo ir pan.)  tikslu Taryba tvarko valstybės tarnautojų, darbuotojų ir praktikantų asmens duomenis, įskaitant ir specialios kategorijos duomenis. Asmens duomenys tvarkomi siekiant sudaryti ir vykdyti darbo/praktikos sutartį, vykdant Tarnybai taikomus teisės aktų reikalavimus bei siekiant vykdyti Tarybos, kaip darbdavio, prievoles bei sudaryti galimybę darbuotojams pasinaudoti jiems suteiktomis teisėmis darbo ir socialinės apsaugos srityje, siekiant Tarybos teisėtų interesų efektyviai organizuoti savo veiklą, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. a, b, c, f punktais, 9 str. 2 d. b, g punktais;

7.5.    buhalterinės apskaitos, materialinių finansinių išteklių valdymo tikslu Taryba tvarko buhalteriniuose dokumentuose nurodytų asmenų asmens duomenis. Asmens duomenys tvarkomi vykdant Tarybai taikomus teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c punktu;

7.6.    dokumentų valdymo tikslu Taryba tvarko siunčiamuose, gaunamuose, vidaus dokumentuose nurodytų asmenų asmens duomenis. Asmens duomenys tvarkomi vykdant Tarybai taikomus teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c punktu;

7.7.    skundų, prašymų nagrinėjimo tikslu Taryba tvarko skundą, prašymą pateikusių asmenų duomenis. Asmens duomenys tvarkomi vykdant  Tarybai taikomus teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c punktu;

7.8.    viešųjų pirkimų vykdymo tikslu Taryba tvarko viešųjų pirkimų procedūrose dalyvaujančių paslaugų tiekėjų - juridinių asmenų darbuotojų ar atstovų, paslaugų tiekėjų – fizinių asmenų asmens duomenis. Asmens duomenys tvarkomi vykdant Tarybai taikomus teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c punktu;

7.9.    sutarčių sudarymo ir vykdymo tikslu Taryba tvarko potencialių ir esamų paslaugų teikėjų, partnerių - juridinių asmenų - darbuotojų ar atstovų, pasirašiusių sutartis ar atsakingų už sutarties vykdymą; potencialių ir esamų paslaugų teikėjų, partnerių - fizinių asmenų asmens duomenis. Asmens duomenys tvarkomi siekiant sudaryti ir vykdyti sutartį bei siekiant teisėtų Tarybos interesų apsaugos, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. b, f punktu;

7.10Tarybos informacinių sistemų ir tvarkomos informacijos bei  asmens duomenų saugumo užtikrinimo tikslu Taryba tvarko darbuotojų ir kitų asmenų, besinaudojančių Tarybos informacinių ir ryšių technologijų ištekliais, interneto svetaine ir / arba kitomis suteiktomis priemonėmis asmens duomenis. Asmens duomenys tvarkomi vykdant Tarybai taikomus teisės aktų reikalavimus bei siekiant teisėtų Tarybos interesų apsaugoti Tarybos veiklai būtiną informaciją, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c, f punktu;

7.11Kultūros ir meno sričių, programų, projektų ir kitokių priemonių administravimo tikslu Taryba tvarko įstaigų, teikiančių paraiškas kultūros ir meno sričių, programų, projektų ir kitokių priemonių finansavimui, atstovų asmens duomenis. Asmens duomenys tvarkomi siekiant viešojo intereso ir vykdant teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c, e punktu;

7.12Stipendijų ir kitokios finansinės paramos skyrimo kultūros ir meno kūrėjams tikslu Taryba tvarko kultūros ir meno kūrėjų, pretenduojančių gauti stipendiją ir gaunančių stipendiją, asmens duomenis. Asmens duomenys tvarkomi siekiant viešojo intereso ir vykdant Tarybai taikomus teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c, e punktu;

7.13Išvadų dėl asmenų apdovanojimo Kultūros ministerijos įsteigtomis premijomis teikimo tikslu Taryba tvarko asmenų, siūlomų apdovanoti Kultūros ministerijos įsteigtomis premijomis,   asmens duomenis. Asmens duomenys tvarkomi siekiant viešojo intereso ir vykdant Tarybai taikomus teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c, e punktu;

7.14Tarybos sprendimams priimti būtinų ekspertinių išvadų gavimo tikslu, Taryba tvarko ekspertų, regioninių kultūros tarybų narių asmens duomenis. Asmens duomenys tvarkomi siekiant viešojo intereso ir vykdant Tarybai taikomus teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c, e punktu;

7.15Kultūros ir meno tyrimų organizavimo ir koordinavimo, vykdomų kultūros ir meno projektų stebėsenos tikslu, Taryba tvarko jos finansuotose priemonėse dalyvavusių asmenų, kitų tyrimuose dalyvaujančių asmenų asmens duomenis. Asmens duomenys tvarkomi siekiant atlikti užduotį viešojo intereso labui, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. e punktu;

7.16Europos Sąjungos ir kitų valstybių finansinės paramos programų įgyvendinimo tikslu Taryba tvarko programų įgyvendinime dalyvaujančių Tarybos darbuotojų ir kitų asmenų asmens duomenis. Asmens duomenys tvarkomi siekiant viešojo intereso ir vykdant Tarybai taikomus teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c, e punktu;

7.17Visuomenės informavimo tikslu tvarko Tarybos darbuotojų, asmenų dalyvaujančių/dalyvavusių Tarybos organizuotuose projektuose, renginiuose ir veiklose asmens duomenis. Asmens duomenys tvarkomi asmens sutikimu, siekiant viešojo intereso ir vykdant Tarybai taikomus teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. a, c, e punktu;

7.18Naujienlaiškių siuntimo ir jų prenumeratos administravimo tikslu Taryba tvarko naujienlaiškius užsisakiusių asmenų asmens duomenis. Asmens duomenys tvarkomi naujienlaiškius užsisakiusių asmenų sutikimu, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. a punktu.

8. Taryba gali tvarkyti asmens duomenis ir kitais tikslais, kiek tai būtina siekiant teisėtai vykdyti veiklą, atitikti teisės aktų keliamus reikalavimus, apsiginti nuo pretenzijų, ieškinių ir siekiant teisėtų Tarybos interesų apsaugos. Asmens duomenys tvarkomi laikantis Reglamento (ES) 2016/679 6 straipsnio 1 dalyje, o specialių kategorijų asmens duomenys – 9 straipsnio 2 dalyje nurodytų sąlygų.

9. Asmens duomenų tvarkymo tikslai, kiekvienu tikslu tvarkomi asmens duomenys ir kita su asmens duomenų tvarkymu susijusi informacija pateikiama duomenų tvarkymo veiklos įrašuose.

 

IV SKYRIUS

ASMENS DUOMENŲ TVARKYMAS

 

10. Taryboje asmens duomenys tvarkomi vadovaujantis Reglamentu (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir privatumo apsaugą, Lietuvos standartais LST ISO/IEC 27001 ir LST ISO/IEC 27002.

11. Asmens duomenys Taryboje tvarkomi automatiniu būdu ir (ar) neautomatiniu būdu susistemintose rinkmenose. Dėl techninės ir programinės įrangos, skirtos asmens duomenų tvarkymui, sprendimą priima Tarybos pirmininkas.

12. Asmens duomenys Taryboje teisės aktų nustatyta tvarka renkami tiesiogiai iš duomenų subjekto, iš kitų juridinių ir fizinių asmenų, turinčių teisę juos pateikti Tarybai.

13. Taryba asmens duomenis tikslina, taiso ir atnaujina savo arba asmens, kurio duomenys yra tvarkomi, iniciatyva. Savo iniciatyva Taryba turi teisę tikslinti, taisyti ir atnaujinti asmens duomenis tada, kai gaunama informacija apie pasikeitusius asmens duomenis. Duomenų subjekto prašymai dėl asmens duomenų patikslinimo, ištaisymo ar atnaujinimo nagrinėjami Duomenų subjektų teisių įgyvendinimo tvarkos aprašo, kurį tvirtina Tarybos pirmininkas, nustatyta tvarka.

14. Asmens duomenys taisomi, tikslinami ar atnaujinami pagal asmens duomenis patvirtinančius dokumentus.

15. Apie atliktą asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą Taryba teisės aktuose nustatytais terminais, o jei tokie terminai nenustatyti – per 20 darbo dienų nuo šių veiksmų atlikimo dienos praneša duomenų gavėjams, nebent to padaryti neįmanoma arba tai pareikalautų neproporcingų pastangų.

16. Už asmens duomenų taisymą, tikslinimą, atnaujinimą yra atsakingas Tarybos pirmininkas ar kitas jo tvarkyti asmens duomenis įgaliotas asmuo.

17.  Asmens duomenų Aprašo 7 punkte nurodytais tikslais konkrečiu atveju tvarkoma tik tiek, kiek yra būtina.

 

V SKYRIUS

ASMENS DUOMENŲ TEIKIMAS

 

18Taryba teikia asmens duomenis duomenų gavėjams: tretiesiems asmenims ir duomenų tvarkytojams.

19Vadovaujantis Reglamentu (ES) 2016/679 Taryba asmens duomenis gali teikti teismams, teisėsaugos institucijoms, Tarybos veiklos patikrinimus atliekančioms valstybės institucijoms, kitiems tretiesiems asmenims, kuriems teikti asmens duomenis Tarybą įpareigoja įstatymai ar kiti teisės aktai arba kitiems asmenims, kurie turi teisę asmens duomenis iš Tarybos gauti.

20Vadovaujantis Reglamentu (ES) 2016/679 Taryba asmens duomenis gali teikti savo partneriams, kitiems asmenimis, jeigu tai yra būtina, kad Taryba galėtų vykdyti savo veiklą.

21Visuomenės informavimo tikslu Taryba asmens duomenis skelbia savo interneto svetainėje, socialinių tinklų paskyrose bei kitais Tarybai prieinamais būdais.

22.     Asmens duomenys tretiesiems asmenims teikiami pagal asmens duomenų teikimo sutartį (daugkartinio teikimo atveju), pagal prašymą (vienkartinio teikimo atveju), teisės aktų nustatyta tvarka arba Tarybos iniciatyva.

23.     Jeigu asmens duomenys yra teikiami pagal sutartį, sutartyje turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo / gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis. Jeigu asmens duomenys teikiami pagal prašymą, prašyme turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis.

24.  Asmens duomenys tretiesiems asmenims teikiami tik esant asmens duomenų teikimo teisiniam pagrindui ir įvertinus asmens duomenų teikimo tikslą ir teikiamų asmens duomenų apimtį.

25Asmens duomenys tretiesiems asmenims teikiami šių teisės aktų nustatyta tvarka:

25.1. gyventojų pajamų mokesčio administravimo tikslu Valstybinei mokesčių inspekcijai prie Lietuvos Respublikos finansų ministerijos asmens duomenys teikiami Lietuvos Respublikos gyventojų pajamų mokesčio įstatymo nustatyta tvarka;

25.2. socialinio draudimo mokesčio administravimo tikslu Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos asmens duomenys teikiami Lietuvos Respublikos valstybinio socialinio draudimo įstatymo nustatyta tvarka;

25.3. darbo užmokesčio išmokėjimo tikslu darbuotojo pasirinktiems bankams asmens duomenys teikiami Lietuvos Respublikos darbo kodekso nustatyta tvarka;

25.4. darbuotojų nelaimingų atsitikimų tyrimo tikslu Valstybinei darbo inspekcijai prie Socialinės apsaugos ir darbo ministerijos asmens duomenys teikiami Lietuvos Respublikos darbuotojų saugos ir sveikatos įstatymo ir kitų teisės aktų nustatyta tvarka;

25.5. viešųjų pirkimų skaidrumo užtikrinimo tikslu Viešųjų pirkimų tarnybai asmens duomenys teikiami Lietuvos Respublikos viešųjų pirkimų įstatymo ir kitų teisės aktų, reglamentuojančių viešuosius pirkimus, nustatyta tvarka;

25.6. visuomenės informavimo tikslu asmens duomenys skelbiami Tarybos interneto svetainėje Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms ir mobiliosioms programoms aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. gruodžio 12 d. nutarimu Nr. 1261, nustatyta tvarka.

26. Tarnyba asmens duomenis teikia duomenų tvarkytojams. Taryba Personalo administravimo funkcijų centralizuoto atlikimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. gegužės 30 d. nutarimu Nr. 507 „Dėl Personalo administravimo funkcijų centralizuoto atlikimo tvarkos aprašo patvirtinimo“, kitų teisės aktų nustatyta tvarka teikia asmens duomenis duomenų tvarkytojui  - Nacionaliniam bendrųjų funkcijų centrui. Taryba gali pasitelkti ir kitus duomenų tvarkytojus – paslaugų teikėjus -– - techninės ir programinės įrangos priežiūros ir palaikymo, interneto svetainės prieglobos ir priežiūros, duomenų centrų, turto priežiūros ir aptarnavimo organizavimo ir kitas paslaugas teikiančius paslaugų teikėjus, kuriems teikiami asmens duomenys arba sudaroma galimybė susipažinti su asmens duomenimis.

27. Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik Tarybos vardu ir pagal Tarybos nurodymus ir tik tiek, kiek tai būtina siekiant tinkamai vykdyti paslaugų teikimo sutartyje nustatytus įsipareigojimus. Nuostatos, susijusios su asmens duomenų tvarkymu ir apsauga, įtraukiamos į su duomenų tvarkytojais sudaromas sutartis, kuriose turi būti aptarti visi Reglamento (ES) 2016/679 28 straipsnyje nurodyti klausimai.

28. Taryba pasitelkia tik tuos duomenų tvarkytojus, kurie užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Reglamento (ES) 2016/679 reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.

 

VI SKYRIUS

DUOMENŲ SAUGOJIMO IR SUNAIKINIMO TVARKA

 

29.  Taryboje tvarkomi asmens duomenys saugomi Tarybos serveryje ir (arba) paslaugų teikėjo serveryje, darbuotojų kompiuteriuose, darbuotojų asmens bylose ir kitose susistemintose rinkmenose pagal poreikį.

30Asmens duomenys Taryboje saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.

31Asmens duomenys, nereikalingi jų tvarkymo tikslams, sunaikinami, jeigu Lietuvos Respublikos teisės aktai nenustato kitaip.

32Asmens duomenys Taryboje saugomi vadovaujantis Bendrųjų dokumentų saugojimo terminų rodyklėje, patvirtintoje Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100, nustatytais terminais.

33Asmens duomenys Taryboje saugomi:

33.1. Įstaigos valdymo užtikrinimo tikslu – iki Tarybos veiklos pabaigos;

33.2. darbuotojų atrankos tikslu – 1 metai po atrankos procedūrų pabaigos;

33.3. ekspertų atrankos tikslu – ekspertais netapusių asmenų – 1 metus po atrankos procedūrų pabaigos, ekspertais atrinktų asmenų - 5 metus po eksperto kadencijos pabaigos;

33.4. žmogiškųjų išteklių valdymo (tarnybos/darbo/praktikos administravimo, Tarybos, kaip darbdavio, pareigų, nustatytų teisės aktuose, vykdymo bei tinkamų darbo sąlygų užtikrinimo ir pan.)  tikslu – darbo sutartyje ir jos prieduose esantys duomenys saugomi 50 metų darbo sutarčiai pasibaigus, kiti asmens duomenys – 10 metų darbo santykiams pasibaigus;

33.5. buhalterinės apskaitos, materialinių finansinių išteklių valdymo tikslu – 10 metų po kalendorinių metų, kuriais vyko ūkinė operacija, pabaigos;

33.6. dokumentų valdymo tikslu – Tarybos dokumentacijos plane nurodytus laikotarpius priklausomai nuo dokumento pobūdžio;

33.7. skundų, prašymų nagrinėjimo tikslu – 1 metus po galutinio sprendimo priėmimo;

33.8. viešųjų pirkimų vykdymo tikslu – 5 metai pirkimo procedūroms pasibaigus;

33.9. sutarčių sudarymo ir vykdymo tikslu – Tarnybos dokumentacijos planuose nustatytu terminu, priklausomai nuo sutarties rūšies ;

33.10. informacinių sistemų ir tvarkomos informacijos bei  asmens duomenų saugumo užtikrinimo tikslu – 6 mėnesiai;

33.11. kultūros ir meno sričių, programų, projektų ir kitokių priemonių administravimo tikslu – neskyrus finansavimo – 3 metus, skyrus finansavimą - programos, projekto, kitos priemonės įgyvendinimo laikotarpiu ir 10 metai po įgyvendinimo;

33.12. stipendijų ir kitokios finansinės paramos skyrimo kultūros ir meno kūrėjams tikslu – neskyrus finansavimo – 3 metus, skyrus finansavimą – veiklos vykdymo laikotarpiu ir 10 metų po to;

33.13. išvadų dėl asmenų apdovanojimo Kultūros ministerijos įsteigtomis premijomis teikimo tikslu – 1 metai po išvadų pateikimo;

33.14. Tarybos sprendimams priimti būtinų ekspertinių išvadų gavimo tikslu – dokumentacijos plane nurodytą terminą ;

33.15. kultūros ir meno tyrimų organizavimo ir koordinavimo, vykdomų kultūros ir meno projektų stebėsenos tikslu – vykdomo projekto metu/tyrimo metu iki tyrimo/stebėsenos rezultatų parengimo;

33.16. Europos Sąjungos ir kitų valstybių finansinės paramos programų įgyvendinimo tikslu – programų įgyvendinimo laikotarpiu ir 5 metus joms pasibaigus;

33.17. visuomenės informavimo tikslu – teisės aktų nustatytais terminais arba kol tai tenkina visuomenės poreikį tokią informaciją žinoti, asmens duomenų saugojimo būtinumą peržiūrint kas 10 metų.

33.18. naujienlaiškių siuntimo ir jų prenumeratos administravimo tikslu – 5 metus;

33.19. kitais tikslais tvarkomi asmens duomenys saugomi tol, kol jie reikalingi šiems tikslams arba  saugojimo terminus ir tvarką reglamentuojančiuose Lietuvos Respublikos teisės aktuose nustatytais terminais.  

34Pasibaigus Aprašo 33 punkte nustatytiems terminams  asmens duomenys sunaikinami arba perduodami valstybės archyvui.

35Automatiniu būdu tvarkomi asmens duomenys saugomi kartu su kitais duomenimis duomenų bazėje, duomenų bazės archyve, remiantis nustatytais terminais.

36Darbuotojų kompiuteriuose esantys asmens duomenys tvarkomi tol, kol jie yra būtini konkrečios užduoties atlikimui ar darbuotojo pareigų vykdymui.

37Dokumentai, kuriuose yra asmens duomenų, ar jų kopijos turi būti sunaikinti taip, kad jų nebūtų galima atkurti ir atpažinti turinio.

38Už asmens duomenų sunaikinimą atsakingas Tarybos pirmininkas arba jo įgaliotas asmuo.

 

VII SKYRIUS

REIKALAVIMAI DARBUOTOJAMS, TVARKANTIEMS ASMENS DUOMENIS

 

39Taryba užtikrina, kad  asmens duomenis tvarkytų ar su jais susipažinti  galėtų tik tie darbuotojai, kuriems tokie duomenys yra reikalingi jų funkcijoms atlikti.

40Tarybos darbuotojai, tvarkydami asmens duomenis, su asmens duomenimis gali atlikti tik tuos veiksmus, kuriems atlikti yra suteiktos teisės.

41Tarybos darbuotojai, tvarkantys asmens duomenis, privalo:

41.1. laikytis su asmens duomenų tvarkymu susijusių principų ir saugumo reikalavimų, įtvirtintų Reglamente (ES) 2016/679, šiame Apraše ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą ir privatumo apsaugą;

41.2. laikytis konfidencialumo principo, pasirašant konfidencialumo susitarimą ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami darbo funkcijas, nebent tokia informacija yra vieša pagal galiojančių teisės aktų reikalavimus. Prievolė saugoti asmens duomenų paslaptį galioja ir perėjus dirbti į kitas pareigas arba pasibaigus darbo santykiams Taryboje;

41.3. neatskleisti, neperduoti ar kitu būdu nesudaryti galimybės naudotis ir (ar) susipažinti su asmens duomenimis nė vienam asmeniui, kuriam nėra pavesta dirbti ir (ar) susipažinti su asmens duomenimis Taryboje ar už jos ribų;

41.4. netvarkyti asmens duomenų, jeigu nėra tam įgalioti;

41.5. saugoti dokumentus ir duomenų rinkmenas tinkamai ir saugiai, vengti daryti nereikalingas kopijas; dokumentų kopijos, kuriose yra asmens duomenų, turi būti sunaikintos taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio;

41.6. be Tarybos pirmininko ar jo įgalioto asmens pavedimo ir teisinio pagrindo, darbo vietoje draudžiama bet kokiomis priemonėmis fiksuoti asmens duomenis ir platinti juos viešai bet kokiais būdais (žodžiu, socialiniuose tinkluose ir t.t.).

41.7. laikytis kitų Apraše ir asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.

42. Asmens duomenys elektroninėmis ryšio perdavimo priemonėmis gali būti siunčiami tik užtikrinant perduodamų asmens duomenų konfidencialumą ir vientisumą.

 

 

 

VIII SKYRIUS

ORGANIZACINIŲ IR TECHNINIŲ ASMENS DUOMENŲ

SAUGUMO PRIEMONIŲ NAUDOJIMAS IR ATSAKOMYBĖ

 

43Taryba, tvarkydama asmens duomenis, įgyvendina ir užtikrina tinkamas organizacines ir technines priemones, skirtas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

44.Taryba užtikrina:

44.1. nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą;

44.2. gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju;

44.3. reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą.

44Tvarkomų asmens duomenų saugumas užtikrinamas vadovaujantis Reglamento (ES) 2016/679 32 straipsniu, Lietuvos standartais LST ISO/IEC 27001 ir LST ISO/IEC 27002, Organizacinių ir techninių asmens duomenų saugumo priemonių įgyvendinimo tvarkos aprašu, patvirtintu Tarybos pirmininko.

45Už asmens duomenų saugumą atsako Tarybos pirmininkas, darbuotojai, paslaugų teikėjai, vykdantys techninės ir programinės įrangos priežiūrą, remontą ir administravimą, teikiantys kitas paslaugas.

46Tarybos pirmininkas atsako už Tarybos vidaus teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, tvirtinimą, įgaliojimų tvarkyti asmens duomenis Tarybos darbuotojams suteikimą, sprendimų dėl žmogiškųjų, finansinių ir kitų išteklių, būtinų tinkamam Reglamento (ES) 2016/679 nuostatų įgyvendinimui ir asmens duomenų saugumui užtikrinti, priėmimą.

47Tarybos darbuotojai atsako už pareigų, susijusių su asmens duomenų tvarkymu, nevykdymą ar netinkamą vykdymą, teisės aktų ir Tarybos vidaus dokumentų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą neįgyvendinimą ar netinkamą įgyvendinimą. Pažeidimai, susiję su asmens duomenų tvarkymu ir apsauga, yra laikomi šiurkščiu darbo drausmės pažeidimu.

48Paslaugų teikėjų atsakomybė nustatoma paslaugų teikimo sutartyje.

49Tarybos įgyvendinamos asmens duomenų saugumo priemonės periodiškai, ne rečiau kaip kartą per  metus, peržiūrimos ir įvertinamas jų veiksmingumas bei jų naudojimo tikslingumas.

 

IX SKYRIUS

DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI

 

50.  Taryboje pildomi duomenų tvarkymo veiklos įrašai.

51.  Tarybai tvarkant asmens duomenis kaip duomenų valdytojui, duomenų tvarkymo veiklos įrašuose nurodoma:

51.1. duomenų valdytojo pavadinimas ir kontaktiniai duomenys;

51.2. asmens duomenų apsaugos pareigūno vardas, pavardė, pareigos ir kontaktinė informacija;

51.3. asmens duomenų tvarkymo tikslai;

51.4. tvarkomų asmens duomenų kategorijos;

51.5. asmens duomenų subjektų kategorijos;

51.6. asmens duomenų gavėjų kategorijos;

51.7. informacija apie duomenų perdavimą į trečiąsias valstybes arba tarptautinėms organizacijoms, įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą, duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai (kai taikoma);

51.8. asmens duomenų saugojimo terminai;

51.9. bendras saugumo priemonių aprašymas.

52Tarybos, kaip duomenų tvarkytojos, duomenų tvarkymo veiklos įrašuose nurodoma:

52.1 asmens duomenų tvarkytojo pavadinimas, kontaktinė informacija;

52.2 asmens duomenų apsaugos pareigūno vardas, pavardė, pareigos ir kontaktinė informacija;

52.3 informacija apie duomenų valdytoją, kurio vardu tvarkomi asmens duomenys;

52.4 asmens duomenų valdytojo vardu atliekamo asmens duomenų tvarkymo kategorijos;

52.5 kai taikoma, asmenų duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, nurodant tą trečiąją valstybę arba tarptautinę organizaciją, ir, Reglamento (ES) 2016/679 49 straipsnio 1 dalies antroje pastraipoje nurodytų duomenų perdavimų atveju, tinkamų apsaugos priemonių dokumentai;

52.6 bendras saugumo priemonių aprašymas.

53Duomenų tvarkymo veiklos įrašuose gali būti nurodoma papildoma informacija apie asmens duomenų tvarkymą.

54Duomenų tvarkymo veiklos įrašus pildo Tarybos pirmininko įgaliotas asmuo.

55Duomenų tvarkymo veiklos įrašai pildomi Word formatu ir tvirtinami Tarybos pirmininko įsakymu.

56Duomenų tvarkymo veiklos įrašuose esanti informacija patikrinama ir atnaujinama pasikeitus asmens duomenų tvarkymui, įgyvendinamoms duomenų saugumo priemonėms, bet ne rečiau kaip kartą per kalendorinius metus. Atnaujinant duomenų tvarkymo veiklos įrašus, pildoma nauja įrašo redakcija, kuri tvirtinama Tarybos pirmininko įsakymu. Už duomenų tvarkymo veiklos įrašuose esančios informacijos patikrinimą ir atnaujinimą yra atsakingas Tarybos pirmininkas ar jo įgaliotas asmuo.

57.     Duomenų tvarkymo veiklos įrašai pateikiami Valstybinei duomenų apsaugos inspekcijai gavus jos prašymą.

58.     Už duomenų tvarkymo veiklos įrašų pateikimą Valstybinei duomenų apsaugos inspekcijai atsakingas Tarybos pirmininkas.

 

X SKYRIUS

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO IR REAGAVIMO Į ŠIUOS PAŽEIDIMUS TVARKA

 

59Kiekvienas Tarybos darbuotojas, pastebėjęs ar sužinojęs apie asmens duomenų saugumo pažeidimą ar kitą su asmens duomenimis įvykusį incidentą, privalo apie tai nedelsdamas pranešti Tarybos pirmininkui.

60Asmens duomenų saugumo pažeidimai Taryboje dokumentuojami, analizuojami, apie juos pranešama Reglamento (ES) 2016/679 ir Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašo, kurį tvirtina Tarybos pirmininkas, nustatyta tvarka.

 

XI SKYRIUS

POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS

 

61Reglamento (ES) 2016/679 35 straipsnio ir Valstybinės duomenų apsaugos inspekcijos nustatytais atvejais Taryboje yra atliekamas poveikio duomenų apsaugai vertinimas.

62Poreikis atlikti poveikio duomenų apsaugai vertinimą nustatomas ir, jeigu reikia, poveikio duomenų apsaugai vertinimas atliekamas prieš pradedant asmens duomenų tvarkymą ir (ar) prieš priimant sprendimą įdiegti naujas asmens duomenų tvarkymo priemones.

63Poveikio duomenų apsaugai vertinimą atlieka Tarybos darbuotojai, atsakingi už asmens duomenų tvarkymą, arba asmenys pagal paslaugų teikimo sutartį.

64Atlikus poveikio duomenų apsaugai vertinimą, surašoma ataskaita, kurioje pateikiama Reglamento (ES) 2016/679 35 straipsnio 7 dalyje nurodyta informacija. Poveikio duomenų apsaugai vertinimo ataskaita saugoma teisės aktų nustatyta tvarka.

65Jeigu, atlikus poveikio duomenų apsaugai vertinimą, nustatoma, kad tvarkant asmens duomenis kiltų didelis pavojus duomenų subjektų teisėms ir laisvėms, jeigu duomenų valdytojas nesiimtų priemonių pavojui sumažinti, konsultuojamasi su Valstybine duomenų apsaugos inspekcija jos nustatyta tvarka.

 

XII SKYRIUS

DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO TVARKA

 

66Taryba užtikrina duomenų subjektų teisių, įtvirtintų Reglamente (ES) 2016/679, įgyvendinimą.

67Informacija apie asmens duomenų tvarkymą ir duomenų subjektų teisių įgyvendinimą Taryboje yra prieinama Tarybos interneto svetainėje ir (arba) kreipiantis į Tarybos pirmininką.

68Duomenų subjekto teisės Taryboje įgyvendinamos vadovaujantis Reglamentu (ES) 2016/679 ir Duomenų subjektų teisių įgyvendinimo tvarkos aprašu, patvirtintu Tarybos pirmininko.

 

XIII SKYRIUS

DUOMENŲ APSAUGOS PAREIGŪNAS

 

69Taryboje yra paskiriamas duomenų apsaugos pareigūnas, kuriuo gali būti Tarybos darbuotojas arba asmuo, teikiantis duomenų apsaugos pareigūno paslaugas pagal paslaugų teikimo sutartį.

70Taryba skiria duomenų apsaugos pareigūną atsižvelgdama į jo turimas duomenų apsaugos teisės ir praktikos ekspertines žinias, profesines savybes, gebėjimus atlikti duomenų apsaugos pareigūnui priskirtas funkcijas.

71Taryba užtikrina duomenų apsaugos pareigūnui garantijas, įtvirtintas Reglamento (ES) 2016/679 38 straipsnyje.

72Duomenų apsaugos pareigūnas vykdo Reglamento (ES) 2016/679 39 straipsnyje nurodytas užduotis ir yra tiesiogiai atskaitingas Tarybos pirmininkui.

73Duomenų apsaugos pareigūno funkcijoms atlikti ir bendrauti su šiuo pareigūnu skiriama elektroninio pašto dėžutė, kurios adresas skelbiamas Tarybos interneto svetainėje.

74Taryba apie duomenų apsaugos pareigūno paskyrimą praneša Valstybinei duomenų apsaugos inspekcijai.

75 Tarybos darbuotojai, tvarkantys asmens duomenis ar organizuojantys jų tvarkymą, siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam duomenų tvarkymui, privalo konsultuotis su duomenų apsaugos pareigūnu ir gauti jo nuomonę šiais atvejais:

75.1.                     keičiant esančius ar nustatant naujus asmens duomenų tvarkymo procesus;

75.2.    tobulinant esamas ar diegiant naujas su asmens duomenų tvarkymu susijusias sistemas ar programas;

75.3.    atliekant poveikio duomenų apsaugai vertinimą;

75.4.    rengiant su asmens duomenų tvarkymu susijusius vidaus teisės aktus;

75.5.    rengiant naujas ar keičiant esamas asmens duomenų teikimo, duomenų tvarkymo sutartis;

75.6.    sprendžiant dėl asmens duomenų teikimo tretiesiems asmenims, jeigu toks teikimas nėra numatytas asmens duomenų teikimo sutartyje ar nėra reglamentuotas teisės aktuose;

75.7.    skelbiant asmens duomenis viešai, jeigu toks skelbimas nenumatytas teisės aktuose.

76Tarybos darbuotojai turi teisę kreiptis į duomenų apsaugos pareigūną ir kitais atvejais, jeigu mano, kad duomenų apsaugos pareigūno nuomonė yra reikalinga.

77Tarybos darbuotojai privalo bendradarbiauti su duomenų apsaugos pareigūnu ir teikti jam informaciją apie vykdomą asmens duomenų tvarkymą.

78Priimant sprendimus Aprašo 75 punkte nurodytais atvejais,  duomenų apsaugos pareigūno nuomonę  rekomenduojama  gauti raštu. Jeigu priimant šiuos sprendimus į duomenų apsaugos pareigūno nuomonę visiškai ar iš dalies neatsižvelgiama, neatsižvelgimo motyvai išdėstomi raštu.

79Duomenų apsaugos pareigūnas privalo teisės aktų nustatyta tvarka užtikrinti gautos informacijos, susijusios su jo užduočių vykdymu, slaptumą arba konfidencialumą.

 

XIV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

80Asmens duomenis Taryboje yra įgalioti tvarkyti Tarybos pirmininkas ir Tarybos narių susirinkimo nariai, valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartį, paslaugų teikėjai pagal su jais sudarytas sutartis.

81Tarybos darbuotojai su Aprašu supažindinami pasirašytinai.

82Tarybos darbuotojai, pažeidę Aprašo, Reglamento (ES) 2016/679, kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, reikalavimus, atsako pagal galiojančius teisės aktus.

83 Aprašas peržiūrimas įvykus esminiams organizaciniams, sisteminiams ar kitiems asmens duomenų tvarkymo ir (ar) Tarybos veiklos pokyčiams arba pasikeitus teisės aktų reikalavimams, bet ne rečiau kaip vieną kartą per metus.

84Tarybos veiksmai ar neveikimas, kuriais pažeidžiami teisės aktai, reglamentuojantys asmens duomenų tvarkymą ir apsaugą, gali būti skundžiami Valstybinei duomenų apsaugos inspekcijai arba teismui teisės aktų nustatyta tvarka.

 

_________________________________

 

 

PATVIRTINTA

Lietuvos kultūros tarybos

pirmininko 2021 m. rugpjūčio 23 d.

įsakymu Nr. VĮ-14(1.1 E)

 

 

DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO

TVARKOS APRAŠAS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.       Duomenų subjekto teisių įgyvendinimo tvarkos aprašas (toliau – Aprašas) nustato duomenų subjektų teisių įgyvendinimo Lietuvos kultūros taryboje (toliau – Taryba) tvarką, duomenų subjekto (ar jo atstovo) prašymo įgyvendinti Apraše nurodytas duomenų subjektų teises (toliau – prašymas, duomenų subjekto prašymas) pateikimo ir nagrinėjimo tvarką.

2. Aprašas taikomas Tarybai, kaip duomenų valdytojui, įgyvendinant duomenų subjektų – asmenų, kurių asmens duomenys tvarkomi Taryboje automatiniu būdu ar neautomatiniu būdu susistemintose rinkmenose, teises.

3. Įgyvendinant duomenų subjekto teises, vadovaujamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, Europos duomenų apsaugos valdybos gairėmis, Valstybinės duomenų apsaugos inspekcijos rekomendacijomis.

4. Apraše vartojamos sąvokos apibrėžtos Reglamente (ES) 2016/679.

5. Aprašas parengtas vadovaujantis Reglamentu (ES) 2016/679 ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Duomenų subjekto teisių įgyvendinimo pavyzdinėmis taisyklėmis, patvirtintomis Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 9 d. įsakymu Nr. 1T-63(1.12.E).

 

II SKYRIUS

TEISĖ GAUTI INFORMACIJĄ APIE DUOMENŲ TVARKYMĄ

 

6. Taryba informuoja duomenų subjektus apie asmens duomenų tvarkymą užtikrindamas sąžiningumo ir skaidrumo principų įgyvendinimą.

7. Taryba, rinkdama asmens duomenis tiesiogiai iš duomenų subjektų, duomenų subjektams informaciją apie asmens duomenų tvarkymą, nurodytą Reglamento (ES) 2016/679 13 straipsnio 1 ir 2 dalyse, pateikia bendravimo su duomenų subjektu metu tokiu būdu, kokiu duomenų subjektas kreipiasi į Tarybą, išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi ir tiek, kiek tos informacijos jis turi.

8Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto, apie šio duomenų subjekto asmens duomenų tvarkymą Taryba informuoja duomenų subjektą pateikdama jam Reglamento (ES) 2016/679 14 straipsnio 1 ir 2 dalyse nurodytą informaciją:

8.1.    per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;

8.2.    jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti pirmą kartą susisiekiant su tuo duomenų subjektu; arba

8.3.    jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – atskleidžiant duomenis pirmą kartą.

9. Taryba, gaudama asmens duomenis ne tiesiogiai iš duomenų subjektų, duomenų subjektų apie jų asmens duomenų tvarkymą neinformuoja, kai:

9.1. duomenų subjektas tokią informaciją jau turi ir tiek, kiek tos informacijos jis turi;

9.2. tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų;

9.3. duomenų gavimas ar atskleidimas aiškiai nustatytas įstatymuose ir kituose teisės aktuose;

9.4. kai vadovaujantis įstatymais ir kitais teisės aktais asmens duomenys privalo išlikti konfidencialūs.

 

III SKYRIUS

TEISĖ SUSIPAŽINTI SU DUOMENIMIS

 

10. Taryba įgyvendina duomenų subjektų teisę susipažinti su savo asmens duomenimis.

11. Taryba, įgyvendindama teisę susipažinti su duomenimis, duomenų subjektui pateikia:

11.1.  informaciją, ar duomenų subjekto asmens duomenys tvarkomi, ar ne;

11.2.  su asmens duomenų tvarkymu susijusią informaciją, numatytą Reglamento (ES) 2016/679 15 straipsnio 1 ir 2 dalyse, jeigu duomenų subjekto asmens duomenys tvarkomi;

11.3. asmens duomenų kopiją.

12.     Teikiant asmens duomenų kopiją, Taryba pateikia duomenų subjektui tik su juo susijusius tvarkomus asmens duomenis. Teikiant duomenų subjektui duomenų kopiją, užtikrinama, kad duomenų subjektui nebūtų atskleisti trečiųjų asmenų asmens duomenys. Kai duomenų kopijose yra trečiųjų asmenų asmens duomenų, pritaikius duomenų saugumo priemones, panaikinama galimybė šiuos trečiuosius asmenis identifikuoti arba teikiamas duomenų išrašas ar pan.

 

IV SKYRIUS

TEISĖ REIKALAUTI IŠTAISYTI DUOMENIS

 

13.  Taryba įgyvendina duomenų subjektų teisę reikalauti ištaisyti netikslius ar papildyti neišsamius asmens duomenis.

14.  Taryba, gavusi duomenų subjekto prašymą ištaisyti ar papildyti jo asmens duomenis, nedelsdama patikrina tvarkomų asmens duomenų tikslumą ir išsamumą. Asmens duomenys ištaisomi ar papildomi pagal duomenų subjekto pateiktus asmens duomenis ir juos patvirtinančius dokumentus.

15.  Taryba, duomenų subjekto prašymu ištaisiusi jo asmens duomenis, apie tokį asmens duomenų ištaisymą praneša kiekvienam duomenų gavėjui, kuriam buvo atskleisti asmens duomenys, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjekto prašymu Taryba informuoja duomenų subjektą apie tuos duomenų gavėjus.

 

V SKYRIUS

TEISĖ REIKALAUTI IŠTRINTI DUOMENIS („TEISĖ BŪTI PAMIRŠTAM“)

 

16.  Duomenų subjektas turi teisę reikalauti Tarybos ištrinti jo asmens duomenis, jeigu toks prašymas gali būti pagrįstas bent viena iš Reglamento (ES) 2016/679 17 straipsnio 1 dalyje nurodytų sąlygų.

17. Taryba neįgyvendina duomenų subjekto teisės reikalauti ištrinti asmens duomenis, kai asmens duomenų tvarkymas yra būtinas:

17.1. siekiant laikytis įstatymuose ar kituose teisės aktuose įtvirtintos teisinės prievolės, kuria reikalaujama tvarkyti asmens duomenis;

17.2. siekiant atlikti užduotį, vykdomą viešojo intereso labui;

17.3. siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.

18. Jeigu duomenų subjekto asmens duomenys buvo perduoti duomenų gavėjams, Taryba šiuos duomenų gavėjus informuoja apie duomenų subjekto prašymu ištrintus asmens duomenis, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

19. Jeigu Taryba buvo viešai paskelbusi asmens duomenis, kuriuos pagal duomenų subjekto prašymą privalo ištrinti, Taryba, atsižvelgdama į turimas technologijas ir įgyvendinimo sąnaudas, imasi pagrįstų veiksmų, įskaitant technines priemones, kad informuotų duomenis tvarkančius duomenų valdytojus, jog duomenų subjektas paprašė, kad tokie duomenų valdytojai ištrintų visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus.

 

VI SKYRIUS

TEISĖ APRIBOTI DUOMENŲ TVARKYMĄ

 

20.  Taryba įgyvendina duomenų subjektų teisę reikalauti apriboti asmens duomenų tvarkymą.

21. Duomenų subjektų teisė reikalauti apriboti asmens duomenų tvarkymą įgyvendinama esant Reglamento (ES) 2016/679 18 straipsnio 1 dalyje nurodytoms sąlygoms.

22.  Asmens duomenys, kurių tvarkymas apribotas, yra saugomi Taryboje. Prieš tokio apribojimo panaikinimą Taryba informuoja duomenų subjektą tokiu būdu, kokiu jis ir kreipėsi į Tarybą.

23. Taryba gali atlikti asmens duomenų, kurių tvarkymas yra apribotas, tvarkymo veiksmus, išskyrus saugojimą, tik tada, kai:

23.1. tokiems veiksmams atlikti gauna duomenų subjekto sutikimą;

23.2. siekiama pareikšti, vykdyti ar apginti teisinius reikalavimus;

23.3. reikia apsaugoti kito fizinio ar juridinio asmens teises;

23.4. to reikia dėl svarbių viešojo intereso priežasčių.

24.  Jeigu duomenų subjekto asmens duomenys (kurių tvarkymas apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Taryba šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

 

VII SKYRIUS

TEISĖ Į DUOMENŲ PERKELIAMUMĄ

 

25.     Taryba įgyvendina duomenų subjekto teisę į duomenų perkeliamumą tuo atveju, jeigu asmens duomenų tvarkymas grindžiamas duomenų subjekto sutikimu arba sutarties su duomenų subjektu sudarymu bei vykdymu ir jeigu asmens duomenys yra tvarkomi automatiniu būdu.

26.     Duomenų subjektas neturi teisės į duomenų perkeliamumą tų asmens duomenų atžvilgiu, kurie tvarkomi neautomatiniu būdu susistemintose rinkmenose, ir jų tvarkymas grindžiamas kitomis nei Aprašo 26 punkte nurodytomis teisėtumo sąlygomis.

27.     Duomenų subjektas, kreipdamasis dėl teisės į duomenų perkeliamumą, turi nurodyti, ar pageidauja, kad jo asmens duomenys būtų persiųsti jam, ar kitam duomenų valdytojui. Asmens duomenys persiunčiami kitam duomenų valdytojui, kai tai techniškai įmanoma, ir kai duomenų valdytojas, kuriam persiunčiami asmens duomenys, turi teisę juos gauti ir tvarkyti.

28.     Pagal duomenų subjekto prašymą perkelti jo asmens duomenys nėra automatiškai ištrinami. Jeigu duomenų subjektas pageidauja, kad jo asmens duomenys būtų ištrinti, jis turi kreiptis į Tarybą dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) įgyvendinimo.

 

VIII SKYRIUS

TEISĖ NESUTIKTI SU DUOMENŲ TVARKYMU

 

29.  Taryba įgyvendina duomenų subjekto teisę nesutikti su asmens duomenų tvarkymu, tuo atveju, kai asmens duomenų tvarkymas grindžiamas Tarybos arba trečiosios šalies teisėtais interesais.

30. Duomenų subjektui išreiškus nesutikimą su asmens duomenų tvarkymu, toks tvarkymas Taryboje toliau atliekamas tik tuo atveju, jeigu nusprendžiama, kad priežastys, dėl kurių atliekamas asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi teisiniams reikalavimams pareikšti, vykdyti ar apginti.

31. Tais atvejais, kai asmens duomenys Taryboje tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turi teisę bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi.

32. Kai duomenų subjektas prieštarauja duomenų tvarkymui tiesioginės rinkodaros tikslais, asmens duomenys tokiais tikslais nebetvarkomi.

33. Taryba duomenų subjektą apie teisę nesutikti aiškiai informuoja ne vėliau kaip pirmą kartą susisiekdama su duomenų subjektu, šią informaciją pateikdama aiškiai ir atskirai nuo visos kitos informacijos.

 

 

IX SKYRIUS

TEISĖ REIKALAUTI, KAD NEBŪTŲ TAIKOMAS TIK AUTOMATIZUOTU DUOMENŲ TVARKYMU, ĮSKAITANT PROFILIAVIMĄ, GRINDŽIAMAS SPRENDIMAS

 

34.     Taryba duomenų subjekto teisės reikalauti, kad nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas neįgyvendina, nes Taryboje dėl duomenų subjektų nėra priimami sprendimai, grindžiami automatizuotu duomenų tvarkymu ir nėra vykdomas profiliavimas.

 

X SKYRIUS

DUOMENŲ SUBJEKTŲ PRAŠYMŲ PATEIKIMAS

 

35.     Duomenų subjektai, siekdami įgyvendinti savo teises, Tarybai turi pateikti rašytinį prašymą asmeniškai, paštu ar elektroniniu būdu.

36. Prašymas turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, kontaktiniai duomenys ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo (adresas, telefono numeris ar el. pašto adresas), kiti asmens duomenys, būtini duomenų subjekto tapatybei nustatyti (gimimo data arba asmens kodas, arba kita informacija), ir informacija, kokią iš Apraše nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti.

37. Duomenų subjektas, pateikdamas prašymą, privalo patvirtinti savo tapatybę šiais būdais:

37.1pateikdamas prašymą asmeniškai, turi pateikti asmens tapatybę patvirtinantį dokumentą;

37.2pateikdamas prašymą paštu, kartu turi pateikti asmens tapatybę patvirtinančio dokumento kopiją, patvirtintą notaro, ar šio dokumento kopiją, patvirtintą kita teisės aktų nustatyta tvarka;

37.3pateikdamas prašymą elektroniniu būdu, turi pasirašyti jį kvalifikuotu elektroniniu parašu arba suformuoti elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą.

38. Reikalavimas duomenų subjektui patvirtinti savo asmens tapatybę netaikomas, jeigu duomenų subjektas kreipiasi į Tarybą dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.

39. Savo teises duomenų subjektas gali įgyvendinti pats arba per atstovą.

40. Duomenų subjekto atstovas prašyme turi nurodyti savo vardą, pavardę, kontaktinius duomenis ryšiui palaikyti ar kuriais asmens atstovas pageidauja gauti atsakymą (adresą, telefono numerį ar el. pašto adresą), taip pat atstovaujamo duomenų subjekto vardą, pavardę, kitus asmens duomenis, būtinus atstovaujamo asmens tapatybei nustatyti (gimimo data arba asmens kodas, arba kita informacija), ir pateikti atstovavimą patvirtinantį dokumentą.

41.  Jeigu Tarybai kyla abejonių dėl duomenų subjekto tapatybės arba jeigu duomenų subjekto tapatybės pagal prašyme pateiktą informaciją neįmanoma nustatyti, Taryba gali paprašyti papildomos informacijos, reikalingos duomenų subjekto tapatybei vienareikšmiškai patvirtinti.

42. Duomenų subjektui nepateikus prašomos papildomos informacijos per Tarybos nurodytą terminą, jo prašymas yra netenkinamas.

43.  Kreipdamasis dėl duomenų subjekto teisių įgyvendinimo, duomenų subjektas gali pateikti Aprašo priede nurodytos formos prašymą arba laisvos formos prašymą.

 

XI SKYRIUS

DUOMENŲ SUBJEKTŲ PRAŠYMŲ NAGRINĖJIMAS

 

44. Taryboje gautas duomenų subjekto ar jo atstovo prašymas nagrinėjamas nedelsiant.

45. Prašymas nagrinėjamas vadovaujantis Aprašo nustatyta tvarka.

46. Prašymas, pateiktas nesilaikant Aprašo 35–37, 40 ir 42 punktuose nustatytų reikalavimų, nenagrinėjamas ir apie tai nedelsiant, bet ne vėliau kaip per vieną mėnesį nuo prašymo gavimo dienos, pranešama raštu duomenų subjektui ir nurodomos priežastys.

47.  Prašymas, atitinkantis Aprašo 35–37, 40 ir 42 punktuose nustatytus reikalavimus, nagrinėjamas ir duomenų subjekto teisės įgyvendinamos esant Reglamento (ES) 2016/679 sąlygoms, išskyrus Reglamento (ES) 2016/679 23 straipsnio 1 dalyje nustatytus atvejus.

48. Duomenų subjektui ne vėliau kaip per vieną mėnesį nuo prašymo gavimo dienos, pateikiama informacija apie veiksmus, kurių imtasi gavus jo prašymą. Šis terminas prireikus gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir skaičių. Per vieną mėnesį nuo prašymo gavimo dienos duomenų subjektas informuojamas apie tokį pratęsimą nurodant termino pratęsimo  priežastis.

49. Jeigu Taryba nesiima veiksmų pagal prašymą, nedelsiant, bet ne vėliau kaip per vieną mėnesį nuo prašymo gavimo dienos, apie tai informuojamas duomenų subjektas nurodant jam neveikimo priežastis ir galimybę pateikti skundą priežiūros institucijai bei pasinaudoti kitomis teisių gynimo priemonėmis pagal Reglamento (ES) 2016/679 79 straipsnį.

50. Atsakymas duomenų subjektui pateikiamas valstybine kalba jo pasirinktu būdu: registruota pašto siunta, įteikiant asmeniškai arba elektroninėmis ryšio perdavimo priemonėmis, užtikrinant perduodamų asmens duomenų konfidencialumą ir vientisumą. Jeigu dėl objektyvių priežasčių neįmanoma pateikti atsakymo duomenų subjektui jo pasirinktu būdu, atsakymas pateikiamas registruotu paštu.

51. Visi veiksmai pagal duomenų subjekto prašymus atliekami ir informacija teikiama nemokamai.

52. Kai prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, Taryba gali imti atlyginimą, atsižvelgdama į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines išlaidas, arba atsisakyti imtis veiksmų pagal prašymą.

53. Jeigu nagrinėjant prašymą nustatoma, kad duomenų subjekto teisės apribotos Reglamento (ES) 2016/679 23 straipsnio 1 dalyje nustatytais pagrindais, apie tai pranešama duomenų subjektui.

 

XII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

54. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir teisių įgyvendinimu, duomenų subjektas turi teisę kreiptis į Tarybos pirmininką adresu Naugarduko g. 10, Vilniuje, elektroniniu paštu info@ltkt.lt arba Tarybos duomenų apsaugos pareigūną Tarybos interneto svetainėje nurodytais jo kontaktais.

55. Už duomenų subjektų teisių įgyvendinimą Taryboje yra atsakingas Tarybos pirmininkas ar jo įgaliotas kitas asmuo.

56. Tarybos veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento (ES) 2016/679 80 straipsnio reikalavimus, turi teisę skųsti Valstybinei duomenų apsaugos inspekcijai (el. paštas ada@ada.lt, www.vdai.lrv.lt) arba Vilniaus apygardos administraciniam teismui Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.

57. Dėl duomenų subjekto teisių pažeidimo patyręs materialinę ar nematerialinę žalą, duomenų subjektas turi teisę į kompensaciją. Dėl kompensacijos priteisimo jis turi teisę kreiptis į teismą Lietuvos Respublikos civilinio proceso kodekso nustatyta tvarka.

___________________

 

 

Duomenų subjekto teisių įgyvendinimo

tvarkos aprašo priedas

 

 

(Prašymo įgyvendinti duomenų subjekto teisę (-es) forma)

 

_________________________________________________________________________________

(duomenų subjekto vardas, pavardė, gimimo data ar asmens kodas, kiti duomenys duomenų subjekto tapatybei nustatyti)

_________________________________________________________________________________

(duomenų subjekto kontaktiniai duomenys ryšiui palaikyti (adresas, telefono numeris ar el. pašto adresas)

_________________________________________________________________________________

(atstovo vardas, pavardė, jeigu prašymą pateikia duomenų subjekto atstovas)

________________________________________________________________________________

(atstovo kontaktiniai duomenys ryšiui palaikyti (adresas, telefono numeris ar el. pašto adresas)

_________________________________________________________________________________

(atstovavimo pagrindas (įgaliojimus patvirtinančio dokumento data ir numeris)[1]

 

 

Lietuvos kultūros tarybai

Naugarduko g. 10, LT-01309, Vilnius

 

PRAŠYMAS

DĖL DUOMENŲ SUBJEKTO TEISĖS (-IŲ) ĮGYVENDINIMO

 

____________

(data)

_______________

(vieta)

 

 

 

 

1.   Prašau įgyvendinti šią (šias) mano, kaip duomenų subjekto, teisę (-es)

(tinkamą langelį pažymėkite x):

 

Teisę gauti informaciją apie duomenų tvarkymą

Teisę susipažinti su duomenimis

Teisę reikalauti ištaisyti duomenis

Teisę reikalauti ištrinti duomenis („teisę būti pamirštam“)

Teisę apriboti duomenų tvarkymą

Teisę į duomenų perkeliamumą

Teisę nesutikti su duomenų tvarkymu

Teisę reikalauti, kad nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas

 

2Nurodykite, ko konkrečiai prašote, ir pateikite kuo daugiau informacijos, kuri leistų tinkamai įgyvendinti Jūsų teisę (-es) (pavyzdžiui, jeigu norite gauti asmens duomenų kopiją, nurodykite, kokių konkrečiai duomenų kopiją (pavyzdžiui, 2018 m. x mėn. x d. elektroninio pašto laiško kopiją pageidaujate gauti; jeigu norite ištaisyti duomenis, nurodykite, kokie konkrečiai Jūsų asmens duomenys yra netikslūs; jeigu nesutinkate, kad būtų tvarkomi Jūsų asmens duomenys, pateikite argumentus, kuriais grindžiate savo nesutikimą, ir nurodykite, dėl kurio konkretaus duomenų tvarkymo nesutinkate; jeigu kreipiatės dėl teisės į duomenų perkeliamumą įgyvendinimo, nurodykite, kokius duomenis norite perkelti, taip pat ar pageidaujate juos perkelti į savo įrenginį, ar kitam duomenų valdytojui (nurodykite kokiam):

_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

 

PRIDEDAMA[2]:

1.   _________________________________________________________________________.

2.   _________________________________________________________________________.

3.   _________________________________________________________________________.

4.   _________________________________________________________________________.

 

 

 

 

_____________________________ ______________________________

(parašas) (vardas, pavardė)

 

 

 

PATVIRTINTA

Lietuvos kultūros tarybos

pirmininko 2021 m. rugpjūčio 23 d.

įsakymu Nr. VĮ-14(1.1 E)

 

 

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO

TVARKOS APRAŠAS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Asmens duomenų saugumo pažeidimų valdymo  tvarkos aprašas (toliau – Aprašas) reglamentuoja, kokia tvarka Lietuvos kultūros taryba (toliau – Taryba) nustato, tiria, fiksuoja asmens duomenų saugumo pažeidimus, praneša apie juos Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektams.

2. Aprašas taikomas Tarybai ir jos pasitelktiems juridiniams ir fiziniams asmenims, tvarkantiems asmens duomenis Tarybos vardu ir pagal jos nurodymus (toliau – duomenų tvarkytojai).

3. Aprašas parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1–88) (toliau – Reglamentas (ES) 2016/679) ir atsižvelgiant į Europos Parlamento ir Tarybos direktyvos 95/46/EB 29 straipsnio darbo grupės 2017 m. spalio 3 d. parengtas Pranešimo apie asmens duomenų saugumo pažeidimą gaires pagal Reglamentą 2016/679, Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T-72(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“, Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“, Valstybinės duomenų apsaugos inspekcijos 2018 m. liepos 2 d. Rekomendacija dėl asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos.

4. Apraše vartojamos sąvokos apibrėžtos Reglamente (ES) 2016/679.

 

II SKYRIUS

UŽ ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMĄ ATSAKINGI ASMENYS

 

5. Už asmens duomenų saugumo pažeidimų valdymą atsakingas Tarybos pirmininkas arba kitas jo įgaliotas asmuo (toliau – Atsakingas asmuo).

6. Tarybos pirmininkas (tuo atveju kai jis nėra Atsakingu asmeniu), Tarybos narių susirinkimo narys, valstybės tarnautojas ir darbuotojas, dirbantis pagal darbo sutartį (toliau visi bendrai – darbuotojas), sužinojęs apie galimą asmens duomenų saugumo pažeidimą (toliau – Pažeidimas) turi nedelsdamas, bet ne vėliau kaip per 2 darbo valandas nuo sužinojimo, apie tai žodžiu, raštu ar elektroninėmis priemonėmis informuoti Atsakingą asmenį.

7. Duomenų tvarkytojai, sužinoję apie Pažeidimą, nedelsdami, bet ne vėliau kaip per 24 valandas nuo sužinojimo, apie tai raštu praneša Tarybai, pateikdami informaciją, numatytą Reglamento (ES) 2016/679 33 straipsnio 3 dalyje. Duomenų tvarkytojai pateikia Tarybai visą kitą jo prašomą informaciją, susijusią su Pažeidimu ir jo tyrimu, per Tarybos  nurodytą terminą. Duomenų tvarkytojų pareigos, susijusios su pranešimu apie Pažeidimą Tarybai bei su bendradarbiavimu tiriant Pažeidimą įtvirtinamos su duomenų tvarkytoju sudaromoje duomenų tvarkymo sutartyje. Duomenų tvarkytojas apie Pažeidimą gali pranešti tiesiogiai Valstybinei duomenų apsaugos inspekcijai, jeigu tai aiškiai numatyta duomenų tvarkymo sutartyje, tačiau už šios pareigos tinkamą įvykdymą išlieka atsakinga Taryba. Pranešimas Valstybinei duomenų apsaugos inspekcijai neatleidžia duomenų tvarkytojo nuo kitų pareigų, susijusių su Pažeidimu ir jo tyrimu, vykdymo.

8. Atsakingas asmuo, gavęs Aprašo 6 ir 7 punktuose nurodytą informaciją, arba apie Pažeidimą sužinojęs iš kitų šaltinių, nedelsdamas pradeda Pažeidimo tyrimą ir apie Pažeidimą informuoja Tarybos duomenų apsaugos pareigūną, laiku ir tinkamai suteikdamas jam visą informaciją, susijusią su galimu Pažeidimu.

 

III SKYRIUS

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO TYRIMAS

 

9. Atsakingas asmuo turi imtis visų tinkamų techninių ir organizacinių priemonių, kad Pažeidimas būtų išsamiai ištirtas bei pašalintas (sustabdytas, ištaisytas) ir ateityje nepasikartotų.

10. Atsakingas asmuo, sužinojęs apie galimą Pažeidimą ir (ar) gavęs Aprašo 6 ir 7 punktuose nurodytą informaciją, kuo greičiau atlieka pirminį tyrimą, išsiaiškina ir nustato, ar Pažeidimas iš tikrųjų įvyko, Pažeidimo aplinkybes ir priežastis, kokios galimos Pažeidimo pasekmės asmenims (t. y. įvertina riziką), kokias organizacines ir technines asmens duomenų saugumo priemones reikia įgyvendinti. Kiti Tarybos darbuotojai pagal kompetenciją privalo dalyvauti Pažeidimo tyrime, pašalinime.

11. Pažeidimo tyrimo metu nustatomas Pažeidimo tipas. Galimi Pažeidimo tipai:

11.1. „Konfidencialumo Pažeidimas“ – kai yra be leidimo ar neteisėtai atskleidžiami asmens duomenys arba gaunama prieiga prie jų;

11.2. „Prieinamumo Pažeidimas“ – kai netyčia arba neteisėtai prarandama prieiga prie asmens duomenų arba asmens duomenys sunaikinami;

11.3. „Vientisumo Pažeidimas“ – kai asmens duomenys pakeičiami be leidimo ar netyčia. 

12. Priklausomai nuo aplinkybių, Pažeidimas tuo pat metu gali būti priskiriamas keliems Aprašo 11 punkte nurodytiems tipams.

13. Pažeidimo tyrimo metu vertinama, kokį pavojų fizinių asmenų teisėms ir laisvėms kelia Pažeidimas. Vertinant riziką, kuri gali atsirasti dėl Pažeidimo, atsižvelgiama į konkrečias Pažeidimo aplinkybes, pavojaus duomenų subjekto teisėms ir laisvėms atsiradimo tikimybę ir rimtumą.

14. Rizika vertinama remiantis objektyviu įvertinimu, atsižvelgiant į konkrečias Pažeidimo aplinkybes ir šiuos kriterijus:

14.1. Pažeidimo tipą;

14.2. Pažeidimo metu paveiktas asmens duomenų kategorijas (pvz., ar buvo paveikti specialių kategorijų asmens duomenys) ir paveiktų duomenų apimtį;

14.3. Pažeidimo metu paveiktas duomenų subjektų kategorijas ir šių subjektų specifines ypatybes (pvz., duomenys susiję su vaikais ar kitais pažeidžiamais asmenimis);

14.4. pasekmių rimtumą fiziniams asmenims;

14.5. fizinio asmens identifikavimo galimybę;

14.6. nukentėjusių fizinių asmenų skaičių;

14.7. specialias Tarybos savybes (pvz., veiklos, kurią vykdant tvarkomi asmens duomenys, pobūdį);

14.8. kitas reikšmingas aplinkybes.

15. Vertinant riziką, laikoma, kad Pažeidimas, galintis kelti pavojų fizinių asmenų teisėms ir laisvėms, yra toks, dėl kurio, laiku nesiėmus tinkamų priemonių, fizinis asmuo gali patirti kūno sužalojimą, materialinę ar nematerialinę žalą (pvz., prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala).

16. Tyrimo metu, įvertinus visas Pažeidimo aplinkybes ir riziką, nustatoma rizikos tikimybė:

16.1. žema;

16.2. vidutinė;

16.3. didelė (aukšta).

17. Atliekant Pažeidimo tyrimą išsaugomi esamos situacijos įrodymai bei įrodymai, kokios techninės ir organizacinės priemonės buvo pritaikytos.

18. Nustačius pažeidimo buvimo faktą bei įvertinus pažeidimo riziką fizinių asmenų teisėms ir laisvėms, priimamas sprendimas dėl tolimesnių veiksmų, susijusių su Pažeidimu.

 

IV SKYRIUS

PRANEŠIMAS PRIEŽIŪROS INSTITUCIJAI

 

19. Nustačius, kad Pažeidimas buvo ir kad yra rizika fizinių asmenų teisėms ir laisvėms, Atsakingas asmuo nedelsdamas, bet ne vėliau kaip per 72 val. nuo sužinojimo apie Pažeidimą, apie Pažeidimą praneša Valstybinei duomenų apsaugos inspekcijai pateikdamas užpildytą Pranešimo apie  asmens duomenų saugumo pažeidimą rekomenduojamą formą, patvirtintą Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie  asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“. Atsakingas asmuo visų pirma turėtų imtis visų tinkamų techninių ir organizacinių priemonių, kad Pažeidimas būtų išsamiai ištirtas ir pašalintas (sustabdytas, ištaisytas) bei ateityje nepasikartotų ir tuomet pateikti Pranešimą Valstybinei duomenų apsaugos inspekcijai.

20. Jeigu, atsižvelgiant į  Pažeidimo pobūdį, yra būtina atlikti išsamesnį tyrimą ir nustatyti visus svarbius faktus, susijusius su Pažeidimu, ir per 72 val. nuo sužinojimo apie Pažeidimą dėl objektyvių aplinkybių to padaryti neįmanoma, Atsakingas asmuo informaciją apie Pažeidimą teikia Valstybinei duomenų apsaugos inspekcijai etapais ir nurodo, kodėl visos informacijos neįmanoma pateikti iš karto.

21. Jeigu atlikus tyrimą abejojama, ar yra rizika ir ar reikia apie Pažeidimą pranešti Valstybinei duomenų apsaugos inspekcijai,  rekomenduotina Valstybinei duomenų apsaugos inspekcijai apie Pažeidimą pranešti. Tokiu atveju sprendimą dėl pranešimo priima Tarybos pirmininkas.

22. Pranešimas apie Pažeidimą Valstybinei duomenų apsaugos inspekcijai pateikiamas Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo, patvirtinto Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T-72(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“, nustatyta tvarka. Jeigu pateikus pranešimą Valstybinei duomenų apsaugos inspekcijai, atlikus tolesnį tyrimą yra nustatoma, kad saugumo incidentas buvo sustabdytas ir faktiškai Pažeidimo nebuvo, apie tai nedelsiant informuojama Valstybinė duomenų apsaugos inspekcija ir pažymima Asmens duomenų saugumo pažeidimų registravimo žurnale (toliau – Žurnalas). Jeigu tiriant Pažeidimą pradžioje nustatoma, kad nėra pavojaus fizinių asmenų teisėms ir laisvėms, tačiau detalesnio Pažeidimo tyrimo metu nustatoma, kad toks pavojus gali kilti, rizika vertinama iš naujo.

 

V SKYRIUS

PRANEŠIMAS DUOMENŲ SUBJEKTUI

 

23. Nustačius, kad Pažeidimas buvo ir dėl jo gali kilti šio Aprašo 16.3 punkte nurodyta didelė rizika fizinių asmenų teisėms ir laisvėms, Atsakingas asmuo nedelsdamas (rekomenduojama per 72 val.), apie Pažeidimą praneša duomenų subjektui, kurio teisėms ir laisvėms dėl Pažeidimo gali kilti didelis pavojus.

24. Pranešime duomenų subjektui glaustai ir aiškiai pateikiama ši informacija:

24.1. Pažeidimo pobūdžio aprašymas;

24.2. kontaktinio asmens, galinčio suteikti informaciją apie Pažeidimą ir jo valdymo priemones, vardas, pavardė (pavadinimas) ir kontaktiniai duomenys;

24.3. tikėtinų Pažeidimo pasekmių aprašymas;

24.4. priemonių, kurių ėmėsi arba pasiūlė imtis Taryba, kad Pažeidimas būtų pašalintas, sumažintos neigiamos jo pasekmės, aprašymas (pvz., kad apie Pažeidimą yra informuota Valstybinė duomenų apsaugos inspekcija; siūlymas duomenų subjektui pasikeisti slaptažodžius ir kt.);

24.5. kita reikšminga informacija, susijusi su Pažeidimu, kuri, Tarybos manymu, būtų svarbi duomenų subjektui.

25. Duomenų subjektai apie Pažeidimą informuojami tiesiogiai siunčiant jiems pranešimą el. paštu, SMS, paštu ar kitu būdu. Šis pranešimas siunčiamas atskirai nuo kitos informacijos, įprastai siunčiamos duomenų subjektui. Taryba pasirenka tokius pranešimo duomenų subjektui būdus, kurie maksimaliai didintų galimybę tinkamai pranešti informaciją visiems nukentėjusiems asmenims.

26. Pranešimas apie Pažeidimą duomenų subjektui neteikiamas, jeigu:

26.1. buvo įgyvendintos tinkamos techninės ir organizacinės apsaugos priemonės ir tos priemonės taikytos asmens duomenims, kuriems Pažeidimas turėjo poveikį;

26.2. iš karto po Pažeidimo Taryba ėmėsi priemonių užtikrinti, kad nebegalėtų kilti didelis pavojus fizinių asmenų teisėms ir laisvėms;

26.3. jeigu tiesioginio pranešimo duomenų subjektui pateikimas pareikalautų neproporcingai daug pastangų. Tokiu atveju Taryba informaciją apie įvykusį Pažeidimą paskelbia viešai (pvz., savo interneto svetainėje aiškiai, duomenų subjektams lengvai prieinamoje vietoje ir (ar) visuomenės informavimo priemonėse) arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.

27. Taryba išsaugo duomenų subjektams siųsto pranešimo tekstą ir įrodymus, kad toks pranešimas buvo išsiųstas.

 

VI SKYRIUS

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ FIKSAVIMAS

 

28. Pažeidimai, nepriklausomai nuo to, ar apie juos buvo pranešta Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektui, ar ne, registruojami Žurnale.

29. Informacija apie Pažeidimą į Žurnalą įrašoma nedelsiant, kai tik nustatomas Pažeidimo faktas ir įvertinama rizika (jei įmanoma ne vėliau kaip per 5 darbo dienas). Prireikus, atsižvelgiant į Pažeidimo tyrimo metu nustatytas papildomas aplinkybes, Žurnale esanti informacija papildoma ir (ar) patikslinama.

30. Žurnale nurodoma:

30.1. visi su Pažeidimu susiję faktai – Pažeidimo priežastis, kas įvyko ir kokie asmens duomenys pažeisti;

30.2. Pažeidimo poveikis ir pasekmės;

30.3. taisomieji veiksmai (techninės ir kitos priemonės), kurių buvo imtasi;

30.4. informacija, ar apie Pažeidimą buvo pranešta Valstybinei duomenų apsaugos inspekcijai (pranešimo Valstybinei duomenų apsaugos inspekcijai data ir numeris; jeigu nebuvo pranešta – kodėl Taryba nusprendė nepranešti apie Pažeidimą Valstybinei duomenų apsaugos inspekcijai, t. y. kodėl nusprendė, kad tikėtina, jog Pažeidimas negali sukelti pavojaus fizinių asmenų teisėms ir laisvėms); ir (ar) duomenų subjektui);

30.5. pranešimo Valstybinei duomenų apsaugos inspekcijai pateikimo vėlavimo priežastys (jeigu pranešimą vėluojama pateikti ar pranešimas teikiamas etapais);

30.6. informacija, susijusi su pranešimu duomenų subjektui (pranešimo duomenų subjektui data ir numeris; jeigu nepranešta – kokia Aprašo 26 punkte nurodyta sąlyga įvykdyta, kuomet pranešti apie Pažeidimą duomenų subjektui nereikia);

30.7. kita reikšminga informacija susijusi su Pažeidimu (pvz., kad tyrimo metu nustatyta, jog faktiškai Pažeidimo nebuvo, o buvo tik saugumo incidentas);

30.8. Žurnalą pildžiusio asmens vardas, pavardė, pareigos.

31. Žurnalo forma pateikiama šio Aprašo priede.

32. Žurnalas pildomas raštu, įskaitant elektroninę formą ir saugomas pagal nustatytą dokumentų saugojimo tvarką.

33. Žurnalą pildo Atsakingas asmuo.

34. Žurnale esančius įrašus Atsakingas asmuo periodiškai, ne rečiau kaip kartą per metus, peržiūri ir numato, kokios prevencinės priemonės turėtų būti įgyvendintos papildomai ir kaip reikėtų kontroliuoti šių priemonių įdiegimą, kad ateityje analogiški Pažeidimai nesikartotų.

35. Žurnalas pateikiamas Valstybinei duomenų apsaugos inspekcijai jos prašymu.

 

VII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

36. Atlikdamas Apraše nurodytas užduotis, Atsakingas asmuo turi teisę pasitelkti kitus Tarybos darbuotojus, susijusius su asmens duomenų saugumo pažeidimu, kurie privalo teikti jam tarnybinę pagalbą.

37. Jeigu įtariama, kad Pažeidimas turi nusikalstamos veikos požymių, informacija apie galimą nusikalstamą veiką pateikiama valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą.

38. Aprašas peržiūrimas periodiškai, ne rečiau kaip kartą per metus, arba įvykus organizaciniams, sisteminiams ar kitiems pokyčiams arba pasikeitus teisės aktų reikalavimams.

39. Tarybos darbuotojai su Aprašu supažindinami pasirašytinai.

___________________________________

 

 

Asmens duomenų saugumo pažeidimų valdymo

tvarkos aprašo priedas

 

 

(Asmens duomenų saugumo pažeidimų registravimo žurnalo forma)

 

 

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ REGISTRAVIMO ŽURNALAS

 

 

Eil. Nr.

Pažeidimo data ir laikas

 

Sužinojimo apie pažeidimą data ir laikas

 

Pažeidimo pobūdis, priežastis, kitos aplinkybės

Asmens duomenų, kurių saugumas pažeistas, kategorijos

Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos

Pažeidimo poveikis ir pasekmės

Priemonės, kurių buvo imtasi pažeidimui pašalinti ir (ar) neigiamoms pažeidimo pasekmėms sumažinti

Informacija, ar apie pažeidimą buvo pranešta Valstybinei duomenų apsaugos inspekcijai (pranešimo data, numeris, pavėluoto pranešimo priežastys, priimto sprendimo neteikti pranešimo motyvai)

Informacija, ar apie pažeidimą buvo pranešta duomenų subjektui

(data ir numeris), arba nepranešimo priežastys

Kita reikšminga informacija

 

 

 

 

Žurnalą pildžiusio asmens vardas, pavardė, pareigos

1.

 

 

 

 

 

 

 

 

 

 

 

2.

 

 

 

 

 

 

 

 

 

 

 

3.

 

 

 

 

 

 

 

 

 

 

 

4.

 

 

 

 

 

 

 

 

 

 

 

5.

 

 

 

 

 

 

 

 

 

 

 

6.

 

 

 

 

 

 

 

 

 

 

 

7.

 

 

 

 

 

 

 

 

 

 

 

8.

 

 

 

 

 

 

 

 

 

 

 

9.

 

 

 

 

 

 

 

 

 

 

 

10.

 

 

 

 

 

 

 

 

 

 

 

 

 

_____________________

 



[1] Jeigu prašymą pateikia duomenų subjekto atstovas, kartu turi būti pridedamas atstovo įgaliojimus patvirtinantis dokumentas.

[2] Jeigu prašymas siunčiamas paštu, prie prašymo pridedama asmens tapatybę patvirtinančio dokumento kopija, patvirtinta notaro ar kita teisės aktų nustatyta tvarka.

Jeigu kreipiamasi dėl netikslių duomenų ištaisymo, kai įmanoma, pateikiamos tikslius duomenis patvirtinančių dokumentų kopijos; siunčiamos paštu kopijos turi būti patvirtintos notaro ar kita teisės aktų nustatyta tvarka.

Jeigu duomenų subjekto asmens duomenys (vardas, pavardė) yra pasikeitę, kartu pateikiamos dokumentų, patvirtinančių šių duomenų pasikeitimą, kopijos; siunčiamos paštu kopijos turi būti patvirtintos notaro ar kita teisės aktų nustatyta tvarka.