1.1. Asmens duomenų tvarkymo Lietuvos kultūros taryboje tvarkos aprašą;

1.2. Duomenų subjekto teisių įgyvendinimo tvarkos aprašą;

1.3. Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašą.

1.  Asmens duomenų tvarkymo Lietuvos kultūros taryboje (toliau – Taryba) tvarkos aprašas (toliau – Aprašas) nustato Tarybos narių susirinkimo narių, valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, pareiškėjų ir kitų fizinių asmenų (toliau – duomenų subjektai) asmens duomenų tvarkymo reikalavimus, asmens duomenų tvarkymo principų įgyvendinimo tvarką, įgyvendinamas organizacines ir technines asmens duomenų saugumo priemones.

2.  Aprašo tikslas – reglamentuoti asmens duomenų tvarkymą Taryboje užtikrinant, kad būtų laikomasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento) (toliau – Reglamentas (ES) 2016/679), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymo ir privatumo apsaugos reikalavimus, nuostatų. Aprašu siekiama įgyvendinti atskaitomybės principą, įtvirtintą Reglamento (ES) 2016/679 5 straipsnio 2 dalyje.

3.  Aprašo privalo laikytis visi Tarybos pirmininkas, Tarybos narių susirinkimo nariai, valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis (toliau visi kartu vadinama – darbuotojai), kurie eidami pareigas arba atlikdami darbines funkcijas tvarko asmens duomenis arba juos sužino.

4.  Aprašas parengtas vadovaujantis Reglamentu (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir privatumo apsaugą.

5.  Taryboje tvarkomų asmens duomenų valdytojas yra biudžetinė įstaigą Lietuvos kultūros taryba, juridinio asmens kodas 302951857, veikianti adresu Naugarduko g. 10, Vilniuje, elektroninis paštas info@ltkt.lt.

6.  Taryba, tvarkydama asmens duomenis ir nustatydama duomenų tvarkymo priemones, nuo asmens duomenų surinkimo iki saugojimo termino pabaigos įgyvendina tinkamas technines ir organizacines priemones, kad būtų veiksmingai įgyvendinti duomenų apsaugos principai, įtvirtinti Reglamento (ES) 2016/679 5 straipsnyje. Tuo tikslu Taryba:

7.  Taryba tvarko asmens duomenis šiais tikslais:

8. Taryba gali tvarkyti asmens duomenis ir kitais tikslais, kiek tai būtina siekiant teisėtai vykdyti veiklą, atitikti teisės aktų keliamus reikalavimus, apsiginti nuo pretenzijų, ieškinių ir siekiant teisėtų Tarybos interesų apsaugos. Asmens duomenys tvarkomi laikantis Reglamento (ES) 2016/679 6 straipsnio 1 dalyje, o specialių kategorijų asmens duomenys – 9 straipsnio 2 dalyje nurodytų sąlygų.

9. Asmens duomenų tvarkymo tikslai, kiekvienu tikslu tvarkomi asmens duomenys ir kita su asmens duomenų tvarkymu susijusi informacija pateikiama duomenų tvarkymo veiklos įrašuose.

10. Taryboje asmens duomenys tvarkomi vadovaujantis Reglamentu (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir privatumo apsaugą, Lietuvos standartais LST ISO/IEC 27001 ir LST ISO/IEC 27002.

11. Asmens duomenys Taryboje tvarkomi automatiniu būdu ir (ar) neautomatiniu būdu susistemintose rinkmenose. Dėl techninės ir programinės įrangos, skirtos asmens duomenų tvarkymui, sprendimą priima Tarybos pirmininkas.

12. Asmens duomenys Taryboje teisės aktų nustatyta tvarka renkami tiesiogiai iš duomenų subjekto, iš kitų juridinių ir fizinių asmenų, turinčių teisę juos pateikti Tarybai.

13. Taryba asmens duomenis tikslina, taiso ir atnaujina savo arba asmens, kurio duomenys yra tvarkomi, iniciatyva. Savo iniciatyva Taryba turi teisę tikslinti, taisyti ir atnaujinti asmens duomenis tada, kai gaunama informacija apie pasikeitusius asmens duomenis. Duomenų subjekto prašymai dėl asmens duomenų patikslinimo, ištaisymo ar atnaujinimo nagrinėjami Duomenų subjektų teisių įgyvendinimo tvarkos aprašo, kurį tvirtina Tarybos pirmininkas, nustatyta tvarka.

14. Asmens duomenys taisomi, tikslinami ar atnaujinami pagal asmens duomenis patvirtinančius dokumentus.

15. Apie atliktą asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą Taryba teisės aktuose nustatytais terminais, o jei tokie terminai nenustatyti – per 20 darbo dienų nuo šių veiksmų atlikimo dienos praneša duomenų gavėjams, nebent to padaryti neįmanoma arba tai pareikalautų neproporcingų pastangų.

16. Už asmens duomenų taisymą, tikslinimą, atnaujinimą yra atsakingas Tarybos pirmininkas ar kitas jo tvarkyti asmens duomenis įgaliotas asmuo.

17.  Asmens duomenų Aprašo 7 punkte nurodytais tikslais konkrečiu atveju tvarkoma tik tiek, kiek yra būtina.

18.  Taryba teikia asmens duomenis duomenų gavėjams: tretiesiems asmenims ir duomenų tvarkytojams.

19.  Vadovaujantis Reglamentu (ES) 2016/679 Taryba asmens duomenis gali teikti teismams, teisėsaugos institucijoms, Tarybos veiklos patikrinimus atliekančioms valstybės institucijoms, kitiems tretiesiems asmenims, kuriems teikti asmens duomenis Tarybą įpareigoja įstatymai ar kiti teisės aktai arba kitiems asmenims, kurie turi teisę asmens duomenis iš Tarybos gauti.

20.  Vadovaujantis Reglamentu (ES) 2016/679 Taryba asmens duomenis gali teikti savo partneriams, kitiems asmenimis, jeigu tai yra būtina, kad Taryba galėtų vykdyti savo veiklą.

21.  Visuomenės informavimo tikslu Taryba asmens duomenis skelbia savo interneto svetainėje, socialinių tinklų paskyrose bei kitais Tarybai prieinamais būdais.

22.     Asmens duomenys tretiesiems asmenims teikiami pagal asmens duomenų teikimo sutartį (daugkartinio teikimo atveju), pagal prašymą (vienkartinio teikimo atveju), teisės aktų nustatyta tvarka arba Tarybos iniciatyva.

23.     Jeigu asmens duomenys yra teikiami pagal sutartį, sutartyje turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo / gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis. Jeigu asmens duomenys teikiami pagal prašymą, prašyme turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis.

24.  Asmens duomenys tretiesiems asmenims teikiami tik esant asmens duomenų teikimo teisiniam pagrindui ir įvertinus asmens duomenų teikimo tikslą ir teikiamų asmens duomenų apimtį.

25.  Asmens duomenys tretiesiems asmenims teikiami šių teisės aktų nustatyta tvarka:

26. Tarnyba asmens duomenis teikia duomenų tvarkytojams. Taryba Personalo administravimo funkcijų centralizuoto atlikimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. gegužės 30 d. nutarimu Nr. 507 „Dėl Personalo administravimo funkcijų centralizuoto atlikimo tvarkos aprašo patvirtinimo“, kitų teisės aktų nustatyta tvarka teikia asmens duomenis duomenų tvarkytojui  - Nacionaliniam bendrųjų funkcijų centrui. Taryba gali pasitelkti ir kitus duomenų tvarkytojus – paslaugų teikėjus -– - techninės ir programinės įrangos priežiūros ir palaikymo, interneto svetainės prieglobos ir priežiūros, duomenų centrų, turto priežiūros ir aptarnavimo organizavimo ir kitas paslaugas teikiančius paslaugų teikėjus, kuriems teikiami asmens duomenys arba sudaroma galimybė susipažinti su asmens duomenimis.

27. Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik Tarybos vardu ir pagal Tarybos nurodymus ir tik tiek, kiek tai būtina siekiant tinkamai vykdyti paslaugų teikimo sutartyje nustatytus įsipareigojimus. Nuostatos, susijusios su asmens duomenų tvarkymu ir apsauga, įtraukiamos į su duomenų tvarkytojais sudaromas sutartis, kuriose turi būti aptarti visi Reglamento (ES) 2016/679 28 straipsnyje nurodyti klausimai.

28. Taryba pasitelkia tik tuos duomenų tvarkytojus, kurie užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Reglamento (ES) 2016/679 reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.

29.  Taryboje tvarkomi asmens duomenys saugomi Tarybos serveryje ir (arba) paslaugų teikėjo serveryje, darbuotojų kompiuteriuose, darbuotojų asmens bylose ir kitose susistemintose rinkmenose pagal poreikį.

30.  Asmens duomenys Taryboje saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.

31.  Asmens duomenys, nereikalingi jų tvarkymo tikslams, sunaikinami, jeigu Lietuvos Respublikos teisės aktai nenustato kitaip.

32.  Asmens duomenys Taryboje saugomi vadovaujantis Bendrųjų dokumentų saugojimo terminų rodyklėje, patvirtintoje Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100, nustatytais terminais.

33.  Asmens duomenys Taryboje saugomi:

34.  Pasibaigus Aprašo 33 punkte nustatytiems terminams  asmens duomenys sunaikinami arba perduodami valstybės archyvui.

35.  Automatiniu būdu tvarkomi asmens duomenys saugomi kartu su kitais duomenimis duomenų bazėje, duomenų bazės archyve, remiantis nustatytais terminais.

36.  Darbuotojų kompiuteriuose esantys asmens duomenys tvarkomi tol, kol jie yra būtini konkrečios užduoties atlikimui ar darbuotojo pareigų vykdymui.

37.  Dokumentai, kuriuose yra asmens duomenų, ar jų kopijos turi būti sunaikinti taip, kad jų nebūtų galima atkurti ir atpažinti turinio.

38.  Už asmens duomenų sunaikinimą atsakingas Tarybos pirmininkas arba jo įgaliotas asmuo.

39.  Taryba užtikrina, kad  asmens duomenis tvarkytų ar su jais susipažinti  galėtų tik tie darbuotojai, kuriems tokie duomenys yra reikalingi jų funkcijoms atlikti.

40.  Tarybos darbuotojai, tvarkydami asmens duomenis, su asmens duomenimis gali atlikti tik tuos veiksmus, kuriems atlikti yra suteiktos teisės.

41.  Tarybos darbuotojai, tvarkantys asmens duomenis, privalo:

42. Asmens duomenys elektroninėmis ryšio perdavimo priemonėmis gali būti siunčiami tik užtikrinant perduodamų asmens duomenų konfidencialumą ir vientisumą.

43.  Taryba, tvarkydama asmens duomenis, įgyvendina ir užtikrina tinkamas organizacines ir technines priemones, skirtas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

44.Taryba užtikrina:

44.  Tvarkomų asmens duomenų saugumas užtikrinamas vadovaujantis Reglamento (ES) 2016/679 32 straipsniu, Lietuvos standartais LST ISO/IEC 27001 ir LST ISO/IEC 27002, Organizacinių ir techninių asmens duomenų saugumo priemonių įgyvendinimo tvarkos aprašu, patvirtintu Tarybos pirmininko.

45.  Už asmens duomenų saugumą atsako Tarybos pirmininkas, darbuotojai, paslaugų teikėjai, vykdantys techninės ir programinės įrangos priežiūrą, remontą ir administravimą, teikiantys kitas paslaugas.

46.  Tarybos pirmininkas atsako už Tarybos vidaus teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, tvirtinimą, įgaliojimų tvarkyti asmens duomenis Tarybos darbuotojams suteikimą, sprendimų dėl žmogiškųjų, finansinių ir kitų išteklių, būtinų tinkamam Reglamento (ES) 2016/679 nuostatų įgyvendinimui ir asmens duomenų saugumui užtikrinti, priėmimą.

47.  Tarybos darbuotojai atsako už pareigų, susijusių su asmens duomenų tvarkymu, nevykdymą ar netinkamą vykdymą, teisės aktų ir Tarybos vidaus dokumentų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą neįgyvendinimą ar netinkamą įgyvendinimą. Pažeidimai, susiję su asmens duomenų tvarkymu ir apsauga, yra laikomi šiurkščiu darbo drausmės pažeidimu.

48.  Paslaugų teikėjų atsakomybė nustatoma paslaugų teikimo sutartyje.

49.  Tarybos įgyvendinamos asmens duomenų saugumo priemonės periodiškai, ne rečiau kaip kartą per  metus, peržiūrimos ir įvertinamas jų veiksmingumas bei jų naudojimo tikslingumas.

50.  Taryboje pildomi duomenų tvarkymo veiklos įrašai.

51.  Tarybai tvarkant asmens duomenis kaip duomenų valdytojui, duomenų tvarkymo veiklos įrašuose nurodoma:

52.  Tarybos, kaip duomenų tvarkytojos, duomenų tvarkymo veiklos įrašuose nurodoma:

53.  Duomenų tvarkymo veiklos įrašuose gali būti nurodoma papildoma informacija apie asmens duomenų tvarkymą.

54.  Duomenų tvarkymo veiklos įrašus pildo Tarybos pirmininko įgaliotas asmuo.

55.  Duomenų tvarkymo veiklos įrašai pildomi Word formatu ir tvirtinami Tarybos pirmininko įsakymu.

56.  Duomenų tvarkymo veiklos įrašuose esanti informacija patikrinama ir atnaujinama pasikeitus asmens duomenų tvarkymui, įgyvendinamoms duomenų saugumo priemonėms, bet ne rečiau kaip kartą per kalendorinius metus. Atnaujinant duomenų tvarkymo veiklos įrašus, pildoma nauja įrašo redakcija, kuri tvirtinama Tarybos pirmininko įsakymu. Už duomenų tvarkymo veiklos įrašuose esančios informacijos patikrinimą ir atnaujinimą yra atsakingas Tarybos pirmininkas ar jo įgaliotas asmuo.

57.     Duomenų tvarkymo veiklos įrašai pateikiami Valstybinei duomenų apsaugos inspekcijai gavus jos prašymą.

58.     Už duomenų tvarkymo veiklos įrašų pateikimą Valstybinei duomenų apsaugos inspekcijai atsakingas Tarybos pirmininkas.

59.  Kiekvienas Tarybos darbuotojas, pastebėjęs ar sužinojęs apie asmens duomenų saugumo pažeidimą ar kitą su asmens duomenimis įvykusį incidentą, privalo apie tai nedelsdamas pranešti Tarybos pirmininkui.

60.  Asmens duomenų saugumo pažeidimai Taryboje dokumentuojami, analizuojami, apie juos pranešama Reglamento (ES) 2016/679 ir Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašo, kurį tvirtina Tarybos pirmininkas, nustatyta tvarka.

61.  Reglamento (ES) 2016/679 35 straipsnio ir Valstybinės duomenų apsaugos inspekcijos nustatytais atvejais Taryboje yra atliekamas poveikio duomenų apsaugai vertinimas.

62.  Poreikis atlikti poveikio duomenų apsaugai vertinimą nustatomas ir, jeigu reikia, poveikio duomenų apsaugai vertinimas atliekamas prieš pradedant asmens duomenų tvarkymą ir (ar) prieš priimant sprendimą įdiegti naujas asmens duomenų tvarkymo priemones.

63.  Poveikio duomenų apsaugai vertinimą atlieka Tarybos darbuotojai, atsakingi už asmens duomenų tvarkymą, arba asmenys pagal paslaugų teikimo sutartį.

64.  Atlikus poveikio duomenų apsaugai vertinimą, surašoma ataskaita, kurioje pateikiama Reglamento (ES) 2016/679 35 straipsnio 7 dalyje nurodyta informacija. Poveikio duomenų apsaugai vertinimo ataskaita saugoma teisės aktų nustatyta tvarka.

65.  Jeigu, atlikus poveikio duomenų apsaugai vertinimą, nustatoma, kad tvarkant asmens duomenis kiltų didelis pavojus duomenų subjektų teisėms ir laisvėms, jeigu duomenų valdytojas nesiimtų priemonių pavojui sumažinti, konsultuojamasi su Valstybine duomenų apsaugos inspekcija jos nustatyta tvarka.

66.  Taryba užtikrina duomenų subjektų teisių, įtvirtintų Reglamente (ES) 2016/679, įgyvendinimą.

67.  Informacija apie asmens duomenų tvarkymą ir duomenų subjektų teisių įgyvendinimą Taryboje yra prieinama Tarybos interneto svetainėje ir (arba) kreipiantis į Tarybos pirmininką.

68.  Duomenų subjekto teisės Taryboje įgyvendinamos vadovaujantis Reglamentu (ES) 2016/679 ir Duomenų subjektų teisių įgyvendinimo tvarkos aprašu, patvirtintu Tarybos pirmininko.

69.  Taryboje yra paskiriamas duomenų apsaugos pareigūnas, kuriuo gali būti Tarybos darbuotojas arba asmuo, teikiantis duomenų apsaugos pareigūno paslaugas pagal paslaugų teikimo sutartį.

70.  Taryba skiria duomenų apsaugos pareigūną atsižvelgdama į jo turimas duomenų apsaugos teisės ir praktikos ekspertines žinias, profesines savybes, gebėjimus atlikti duomenų apsaugos pareigūnui priskirtas funkcijas.

71.  Taryba užtikrina duomenų apsaugos pareigūnui garantijas, įtvirtintas Reglamento (ES) 2016/679 38 straipsnyje.

72.  Duomenų apsaugos pareigūnas vykdo Reglamento (ES) 2016/679 39 straipsnyje nurodytas užduotis ir yra tiesiogiai atskaitingas Tarybos pirmininkui.

73.  Duomenų apsaugos pareigūno funkcijoms atlikti ir bendrauti su šiuo pareigūnu skiriama elektroninio pašto dėžutė, kurios adresas skelbiamas Tarybos interneto svetainėje.

74.  Taryba apie duomenų apsaugos pareigūno paskyrimą praneša Valstybinei duomenų apsaugos inspekcijai.

75.  Tarybos darbuotojai, tvarkantys asmens duomenis ar organizuojantys jų tvarkymą, siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam duomenų tvarkymui, privalo konsultuotis su duomenų apsaugos pareigūnu ir gauti jo nuomonę šiais atvejais:

76.  Tarybos darbuotojai turi teisę kreiptis į duomenų apsaugos pareigūną ir kitais atvejais, jeigu mano, kad duomenų apsaugos pareigūno nuomonė yra reikalinga.

77.  Tarybos darbuotojai privalo bendradarbiauti su duomenų apsaugos pareigūnu ir teikti jam informaciją apie vykdomą asmens duomenų tvarkymą.

78.  Priimant sprendimus Aprašo 75 punkte nurodytais atvejais,  duomenų apsaugos pareigūno nuomonę  rekomenduojama  gauti raštu. Jeigu priimant šiuos sprendimus į duomenų apsaugos pareigūno nuomonę visiškai ar iš dalies neatsižvelgiama, neatsižvelgimo motyvai išdėstomi raštu.

79.  Duomenų apsaugos pareigūnas privalo teisės aktų nustatyta tvarka užtikrinti gautos informacijos, susijusios su jo užduočių vykdymu, slaptumą arba konfidencialumą.

80.  Asmens duomenis Taryboje yra įgalioti tvarkyti Tarybos pirmininkas ir Tarybos narių susirinkimo nariai, valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartį, paslaugų teikėjai pagal su jais sudarytas sutartis.

81.  Tarybos darbuotojai su Aprašu supažindinami pasirašytinai.

82.  Tarybos darbuotojai, pažeidę Aprašo, Reglamento (ES) 2016/679, kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, reikalavimus, atsako pagal galiojančius teisės aktus.

83.  Aprašas peržiūrimas įvykus esminiams organizaciniams, sisteminiams ar kitiems asmens duomenų tvarkymo ir (ar) Tarybos veiklos pokyčiams arba pasikeitus teisės aktų reikalavimams, bet ne rečiau kaip vieną kartą per metus.

84.  Tarybos veiksmai ar neveikimas, kuriais pažeidžiami teisės aktai, reglamentuojantys asmens duomenų tvarkymą ir apsaugą, gali būti skundžiami Valstybinei duomenų apsaugos inspekcijai arba teismui teisės aktų nustatyta tvarka.

1.       Duomenų subjekto teisių įgyvendinimo tvarkos aprašas (toliau – Aprašas) nustato duomenų subjektų teisių įgyvendinimo Lietuvos kultūros taryboje (toliau – Taryba) tvarką, duomenų subjekto (ar jo atstovo) prašymo įgyvendinti Apraše nurodytas duomenų subjektų teises (toliau – prašymas, duomenų subjekto prašymas) pateikimo ir nagrinėjimo tvarką.

2. Aprašas taikomas Tarybai, kaip duomenų valdytojui, įgyvendinant duomenų subjektų – asmenų, kurių asmens duomenys tvarkomi Taryboje automatiniu būdu ar neautomatiniu būdu susistemintose rinkmenose, teises.

3. Įgyvendinant duomenų subjekto teises, vadovaujamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, Europos duomenų apsaugos valdybos gairėmis, Valstybinės duomenų apsaugos inspekcijos rekomendacijomis.

4. Apraše vartojamos sąvokos apibrėžtos Reglamente (ES) 2016/679.

5. Aprašas parengtas vadovaujantis Reglamentu (ES) 2016/679 ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Duomenų subjekto teisių įgyvendinimo pavyzdinėmis taisyklėmis, patvirtintomis Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 9 d. įsakymu Nr. 1T-63(1.12.E).

6. Taryba informuoja duomenų subjektus apie asmens duomenų tvarkymą užtikrindamas sąžiningumo ir skaidrumo principų įgyvendinimą.

7. Taryba, rinkdama asmens duomenis tiesiogiai iš duomenų subjektų, duomenų subjektams informaciją apie asmens duomenų tvarkymą, nurodytą Reglamento (ES) 2016/679 13 straipsnio 1 ir 2 dalyse, pateikia bendravimo su duomenų subjektu metu tokiu būdu, kokiu duomenų subjektas kreipiasi į Tarybą, išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi ir tiek, kiek tos informacijos jis turi.

8.  Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto, apie šio duomenų subjekto asmens duomenų tvarkymą Taryba informuoja duomenų subjektą pateikdama jam Reglamento (ES) 2016/679 14 straipsnio 1 ir 2 dalyse nurodytą informaciją:

9. Taryba, gaudama asmens duomenis ne tiesiogiai iš duomenų subjektų, duomenų subjektų apie jų asmens duomenų tvarkymą neinformuoja, kai:

10. Taryba įgyvendina duomenų subjektų teisę susipažinti su savo asmens duomenimis.

11. Taryba, įgyvendindama teisę susipažinti su duomenimis, duomenų subjektui pateikia:

12.     Teikiant asmens duomenų kopiją, Taryba pateikia duomenų subjektui tik su juo susijusius tvarkomus asmens duomenis. Teikiant duomenų subjektui duomenų kopiją, užtikrinama, kad duomenų subjektui nebūtų atskleisti trečiųjų asmenų asmens duomenys. Kai duomenų kopijose yra trečiųjų asmenų asmens duomenų, pritaikius duomenų saugumo priemones, panaikinama galimybė šiuos trečiuosius asmenis identifikuoti arba teikiamas duomenų išrašas ar pan.

13.  Taryba įgyvendina duomenų subjektų teisę reikalauti ištaisyti netikslius ar papildyti neišsamius asmens duomenis.

14.  Taryba, gavusi duomenų subjekto prašymą ištaisyti ar papildyti jo asmens duomenis, nedelsdama patikrina tvarkomų asmens duomenų tikslumą ir išsamumą. Asmens duomenys ištaisomi ar papildomi pagal duomenų subjekto pateiktus asmens duomenis ir juos patvirtinančius dokumentus.

15.  Taryba, duomenų subjekto prašymu ištaisiusi jo asmens duomenis, apie tokį asmens duomenų ištaisymą praneša kiekvienam duomenų gavėjui, kuriam buvo atskleisti asmens duomenys, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjekto prašymu Taryba informuoja duomenų subjektą apie tuos duomenų gavėjus.

16.  Duomenų subjektas turi teisę reikalauti Tarybos ištrinti jo asmens duomenis, jeigu toks prašymas gali būti pagrįstas bent viena iš Reglamento (ES) 2016/679 17 straipsnio 1 dalyje nurodytų sąlygų.

17. Taryba neįgyvendina duomenų subjekto teisės reikalauti ištrinti asmens duomenis, kai asmens duomenų tvarkymas yra būtinas:

18. Jeigu duomenų subjekto asmens duomenys buvo perduoti duomenų gavėjams, Taryba šiuos duomenų gavėjus informuoja apie duomenų subjekto prašymu ištrintus asmens duomenis, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

19. Jeigu Taryba buvo viešai paskelbusi asmens duomenis, kuriuos pagal duomenų subjekto prašymą privalo ištrinti, Taryba, atsižvelgdama į turimas technologijas ir įgyvendinimo sąnaudas, imasi pagrįstų veiksmų, įskaitant technines priemones, kad informuotų duomenis tvarkančius duomenų valdytojus, jog duomenų subjektas paprašė, kad tokie duomenų valdytojai ištrintų visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus.

20.  Taryba įgyvendina duomenų subjektų teisę reikalauti apriboti asmens duomenų tvarkymą.

21. Duomenų subjektų teisė reikalauti apriboti asmens duomenų tvarkymą įgyvendinama esant Reglamento (ES) 2016/679 18 straipsnio 1 dalyje nurodytoms sąlygoms.

22.  Asmens duomenys, kurių tvarkymas apribotas, yra saugomi Taryboje. Prieš tokio apribojimo panaikinimą Taryba informuoja duomenų subjektą tokiu būdu, kokiu jis ir kreipėsi į Tarybą.

23. Taryba gali atlikti asmens duomenų, kurių tvarkymas yra apribotas, tvarkymo veiksmus, išskyrus saugojimą, tik tada, kai:

24.  Jeigu duomenų subjekto asmens duomenys (kurių tvarkymas apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Taryba šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

25.     Taryba įgyvendina duomenų subjekto teisę į duomenų perkeliamumą tuo atveju, jeigu asmens duomenų tvarkymas grindžiamas duomenų subjekto sutikimu arba sutarties su duomenų subjektu sudarymu bei vykdymu ir jeigu asmens duomenys yra tvarkomi automatiniu būdu.

26.     Duomenų subjektas neturi teisės į duomenų perkeliamumą tų asmens duomenų atžvilgiu, kurie tvarkomi neautomatiniu būdu susistemintose rinkmenose, ir jų tvarkymas grindžiamas kitomis nei Aprašo 26 punkte nurodytomis teisėtumo sąlygomis.

27.     Duomenų subjektas, kreipdamasis dėl teisės į duomenų perkeliamumą, turi nurodyti, ar pageidauja, kad jo asmens duomenys būtų persiųsti jam, ar kitam duomenų valdytojui. Asmens duomenys persiunčiami kitam duomenų valdytojui, kai tai techniškai įmanoma, ir kai duomenų valdytojas, kuriam persiunčiami asmens duomenys, turi teisę juos gauti ir tvarkyti.

28.     Pagal duomenų subjekto prašymą perkelti jo asmens duomenys nėra automatiškai ištrinami. Jeigu duomenų subjektas pageidauja, kad jo asmens duomenys būtų ištrinti, jis turi kreiptis į Tarybą dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) įgyvendinimo.

29.  Taryba įgyvendina duomenų subjekto teisę nesutikti su asmens duomenų tvarkymu, tuo atveju, kai asmens duomenų tvarkymas grindžiamas Tarybos arba trečiosios šalies teisėtais interesais.

30. Duomenų subjektui išreiškus nesutikimą su asmens duomenų tvarkymu, toks tvarkymas Taryboje toliau atliekamas tik tuo atveju, jeigu nusprendžiama, kad priežastys, dėl kurių atliekamas asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi teisiniams reikalavimams pareikšti, vykdyti ar apginti.

31. Tais atvejais, kai asmens duomenys Taryboje tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turi teisę bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi.

32. Kai duomenų subjektas prieštarauja duomenų tvarkymui tiesioginės rinkodaros tikslais, asmens duomenys tokiais tikslais nebetvarkomi.

33. Taryba duomenų subjektą apie teisę nesutikti aiškiai informuoja ne vėliau kaip pirmą kartą susisiekdama su duomenų subjektu, šią informaciją pateikdama aiškiai ir atskirai nuo visos kitos informacijos.

34.     Taryba duomenų subjekto teisės reikalauti, kad nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas neįgyvendina, nes Taryboje dėl duomenų subjektų nėra priimami sprendimai, grindžiami automatizuotu duomenų tvarkymu ir nėra vykdomas profiliavimas.

35.     Duomenų subjektai, siekdami įgyvendinti savo teises, Tarybai turi pateikti rašytinį prašymą asmeniškai, paštu ar elektroniniu būdu.

36. Prašymas turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, kontaktiniai duomenys ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo (adresas, telefono numeris ar el. pašto adresas), kiti asmens duomenys, būtini duomenų subjekto tapatybei nustatyti (gimimo data arba asmens kodas, arba kita informacija), ir informacija, kokią iš Apraše nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti.

37. Duomenų subjektas, pateikdamas prašymą, privalo patvirtinti savo tapatybę šiais būdais:

38. Reikalavimas duomenų subjektui patvirtinti savo asmens tapatybę netaikomas, jeigu duomenų subjektas kreipiasi į Tarybą dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.

39. Savo teises duomenų subjektas gali įgyvendinti pats arba per atstovą.

40. Duomenų subjekto atstovas prašyme turi nurodyti savo vardą, pavardę, kontaktinius duomenis ryšiui palaikyti ar kuriais asmens atstovas pageidauja gauti atsakymą (adresą, telefono numerį ar el. pašto adresą), taip pat atstovaujamo duomenų subjekto vardą, pavardę, kitus asmens duomenis, būtinus atstovaujamo asmens tapatybei nustatyti (gimimo data arba asmens kodas, arba kita informacija), ir pateikti atstovavimą patvirtinantį dokumentą.

41.  Jeigu Tarybai kyla abejonių dėl duomenų subjekto tapatybės arba jeigu duomenų subjekto tapatybės pagal prašyme pateiktą informaciją neįmanoma nustatyti, Taryba gali paprašyti papildomos informacijos, reikalingos duomenų subjekto tapatybei vienareikšmiškai patvirtinti.

42. Duomenų subjektui nepateikus prašomos papildomos informacijos per Tarybos nurodytą terminą, jo prašymas yra netenkinamas.

43.  Kreipdamasis dėl duomenų subjekto teisių įgyvendinimo, duomenų subjektas gali pateikti Aprašo priede nurodytos formos prašymą arba laisvos formos prašymą.

44. Taryboje gautas duomenų subjekto ar jo atstovo prašymas nagrinėjamas nedelsiant.

45. Prašymas nagrinėjamas vadovaujantis Aprašo nustatyta tvarka.

46. Prašymas, pateiktas nesilaikant Aprašo 35–37, 40 ir 42 punktuose nustatytų reikalavimų, nenagrinėjamas ir apie tai nedelsiant, bet ne vėliau kaip per vieną mėnesį nuo prašymo gavimo dienos, pranešama raštu duomenų subjektui ir nurodomos priežastys.

47.  Prašymas, atitinkantis Aprašo 35–37, 40 ir 42 punktuose nustatytus reikalavimus, nagrinėjamas ir duomenų subjekto teisės įgyvendinamos esant Reglamento (ES) 2016/679 sąlygoms, išskyrus Reglamento (ES) 2016/679 23 straipsnio 1 dalyje nustatytus atvejus.

48. Duomenų subjektui ne vėliau kaip per vieną mėnesį nuo prašymo gavimo dienos, pateikiama informacija apie veiksmus, kurių imtasi gavus jo prašymą. Šis terminas prireikus gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir skaičių. Per vieną mėnesį nuo prašymo gavimo dienos duomenų subjektas informuojamas apie tokį pratęsimą nurodant termino pratęsimo  priežastis.

49. Jeigu Taryba nesiima veiksmų pagal prašymą, nedelsiant, bet ne vėliau kaip per vieną mėnesį nuo prašymo gavimo dienos, apie tai informuojamas duomenų subjektas nurodant jam neveikimo priežastis ir galimybę pateikti skundą priežiūros institucijai bei pasinaudoti kitomis teisių gynimo priemonėmis pagal Reglamento (ES) 2016/679 79 straipsnį.

50. Atsakymas duomenų subjektui pateikiamas valstybine kalba jo pasirinktu būdu: registruota pašto siunta, įteikiant asmeniškai arba elektroninėmis ryšio perdavimo priemonėmis, užtikrinant perduodamų asmens duomenų konfidencialumą ir vientisumą. Jeigu dėl objektyvių priežasčių neįmanoma pateikti atsakymo duomenų subjektui jo pasirinktu būdu, atsakymas pateikiamas registruotu paštu.

51. Visi veiksmai pagal duomenų subjekto prašymus atliekami ir informacija teikiama nemokamai.

52. Kai prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, Taryba gali imti atlyginimą, atsižvelgdama į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines išlaidas, arba atsisakyti imtis veiksmų pagal prašymą.

53. Jeigu nagrinėjant prašymą nustatoma, kad duomenų subjekto teisės apribotos Reglamento (ES) 2016/679 23 straipsnio 1 dalyje nustatytais pagrindais, apie tai pranešama duomenų subjektui.

54. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir teisių įgyvendinimu, duomenų subjektas turi teisę kreiptis į Tarybos pirmininką adresu Naugarduko g. 10, Vilniuje, elektroniniu paštu info@ltkt.lt arba Tarybos duomenų apsaugos pareigūną Tarybos interneto svetainėje nurodytais jo kontaktais.

55. Už duomenų subjektų teisių įgyvendinimą Taryboje yra atsakingas Tarybos pirmininkas ar jo įgaliotas kitas asmuo.

56. Tarybos veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento (ES) 2016/679 80 straipsnio reikalavimus, turi teisę skųsti Valstybinei duomenų apsaugos inspekcijai (el. paštas ada@ada.lt, www.vdai.lrv.lt) arba Vilniaus apygardos administraciniam teismui Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.

57. Dėl duomenų subjekto teisių pažeidimo patyręs materialinę ar nematerialinę žalą, duomenų subjektas turi teisę į kompensaciją. Dėl kompensacijos priteisimo jis turi teisę kreiptis į teismą Lietuvos Respublikos civilinio proceso kodekso nustatyta tvarka.

1.   Prašau įgyvendinti šią (šias) mano, kaip duomenų subjekto, teisę (-es)

(tinkamą langelį pažymėkite x):

Teisę gauti informaciją apie duomenų tvarkymą

Teisę susipažinti su duomenimis

Teisę reikalauti ištaisyti duomenis

Teisę reikalauti ištrinti duomenis („teisę būti pamirštam“)

Teisę apriboti duomenų tvarkymą

Teisę į duomenų perkeliamumą

Teisę nesutikti su duomenų tvarkymu

Teisę reikalauti, kad nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas

2.  Nurodykite, ko konkrečiai prašote, ir pateikite kuo daugiau informacijos, kuri leistų tinkamai įgyvendinti Jūsų teisę (-es) (pavyzdžiui, jeigu norite gauti asmens duomenų kopiją, nurodykite, kokių konkrečiai duomenų kopiją (pavyzdžiui, 2018 m. x mėn. x d. elektroninio pašto laiško kopiją pageidaujate gauti; jeigu norite ištaisyti duomenis, nurodykite, kokie konkrečiai Jūsų asmens duomenys yra netikslūs; jeigu nesutinkate, kad būtų tvarkomi Jūsų asmens duomenys, pateikite argumentus, kuriais grindžiate savo nesutikimą, ir nurodykite, dėl kurio konkretaus duomenų tvarkymo nesutinkate; jeigu kreipiatės dėl teisės į duomenų perkeliamumą įgyvendinimo, nurodykite, kokius duomenis norite perkelti, taip pat ar pageidaujate juos perkelti į savo įrenginį, ar kitam duomenų valdytojui (nurodykite kokiam):

_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

PRIDEDAMA^[2]:

1.   _________________________________________________________________________.

2.   _________________________________________________________________________.

3.   _________________________________________________________________________.

4.   _________________________________________________________________________.

_____________________________ ______________________________

(parašas) (vardas, pavardė)

1. Asmens duomenų saugumo pažeidimų valdymo  tvarkos aprašas (toliau – Aprašas) reglamentuoja, kokia tvarka Lietuvos kultūros taryba (toliau – Taryba) nustato, tiria, fiksuoja asmens duomenų saugumo pažeidimus, praneša apie juos Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektams.

2. Aprašas taikomas Tarybai ir jos pasitelktiems juridiniams ir fiziniams asmenims, tvarkantiems asmens duomenis Tarybos vardu ir pagal jos nurodymus (toliau – duomenų tvarkytojai).

3. Aprašas parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1–88) (toliau – Reglamentas (ES) 2016/679) ir atsižvelgiant į Europos Parlamento ir Tarybos direktyvos 95/46/EB 29 straipsnio darbo grupės 2017 m. spalio 3 d. parengtas Pranešimo apie asmens duomenų saugumo pažeidimą gaires pagal Reglamentą 2016/679, Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T-72(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“, Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“, Valstybinės duomenų apsaugos inspekcijos 2018 m. liepos 2 d. Rekomendacija dėl asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos.

4. Apraše vartojamos sąvokos apibrėžtos Reglamente (ES) 2016/679.

5. Už asmens duomenų saugumo pažeidimų valdymą atsakingas Tarybos pirmininkas arba kitas jo įgaliotas asmuo (toliau – Atsakingas asmuo).

6. Tarybos pirmininkas (tuo atveju kai jis nėra Atsakingu asmeniu), Tarybos narių susirinkimo narys, valstybės tarnautojas ir darbuotojas, dirbantis pagal darbo sutartį (toliau visi bendrai – darbuotojas), sužinojęs apie galimą asmens duomenų saugumo pažeidimą (toliau – Pažeidimas) turi nedelsdamas, bet ne vėliau kaip per 2 darbo valandas nuo sužinojimo, apie tai žodžiu, raštu ar elektroninėmis priemonėmis informuoti Atsakingą asmenį.

7. Duomenų tvarkytojai, sužinoję apie Pažeidimą, nedelsdami, bet ne vėliau kaip per 24 valandas nuo sužinojimo, apie tai raštu praneša Tarybai, pateikdami informaciją, numatytą Reglamento (ES) 2016/679 33 straipsnio 3 dalyje. Duomenų tvarkytojai pateikia Tarybai visą kitą jo prašomą informaciją, susijusią su Pažeidimu ir jo tyrimu, per Tarybos  nurodytą terminą. Duomenų tvarkytojų pareigos, susijusios su pranešimu apie Pažeidimą Tarybai bei su bendradarbiavimu tiriant Pažeidimą įtvirtinamos su duomenų tvarkytoju sudaromoje duomenų tvarkymo sutartyje. Duomenų tvarkytojas apie Pažeidimą gali pranešti tiesiogiai Valstybinei duomenų apsaugos inspekcijai, jeigu tai aiškiai numatyta duomenų tvarkymo sutartyje, tačiau už šios pareigos tinkamą įvykdymą išlieka atsakinga Taryba. Pranešimas Valstybinei duomenų apsaugos inspekcijai neatleidžia duomenų tvarkytojo nuo kitų pareigų, susijusių su Pažeidimu ir jo tyrimu, vykdymo.

8. Atsakingas asmuo, gavęs Aprašo 6 ir 7 punktuose nurodytą informaciją, arba apie Pažeidimą sužinojęs iš kitų šaltinių, nedelsdamas pradeda Pažeidimo tyrimą ir apie Pažeidimą informuoja Tarybos duomenų apsaugos pareigūną, laiku ir tinkamai suteikdamas jam visą informaciją, susijusią su galimu Pažeidimu.

9. Atsakingas asmuo turi imtis visų tinkamų techninių ir organizacinių priemonių, kad Pažeidimas būtų išsamiai ištirtas bei pašalintas (sustabdytas, ištaisytas) ir ateityje nepasikartotų.

10. Atsakingas asmuo, sužinojęs apie galimą Pažeidimą ir (ar) gavęs Aprašo 6 ir 7 punktuose nurodytą informaciją, kuo greičiau atlieka pirminį tyrimą, išsiaiškina ir nustato, ar Pažeidimas iš tikrųjų įvyko, Pažeidimo aplinkybes ir priežastis, kokios galimos Pažeidimo pasekmės asmenims (t. y. įvertina riziką), kokias organizacines ir technines asmens duomenų saugumo priemones reikia įgyvendinti. Kiti Tarybos darbuotojai pagal kompetenciją privalo dalyvauti Pažeidimo tyrime, pašalinime.

11. Pažeidimo tyrimo metu nustatomas Pažeidimo tipas. Galimi Pažeidimo tipai:

12. Priklausomai nuo aplinkybių, Pažeidimas tuo pat metu gali būti priskiriamas keliems Aprašo 11 punkte nurodytiems tipams.

13. Pažeidimo tyrimo metu vertinama, kokį pavojų fizinių asmenų teisėms ir laisvėms kelia Pažeidimas. Vertinant riziką, kuri gali atsirasti dėl Pažeidimo, atsižvelgiama į konkrečias Pažeidimo aplinkybes, pavojaus duomenų subjekto teisėms ir laisvėms atsiradimo tikimybę ir rimtumą.

14. Rizika vertinama remiantis objektyviu įvertinimu, atsižvelgiant į konkrečias Pažeidimo aplinkybes ir šiuos kriterijus:

15. Vertinant riziką, laikoma, kad Pažeidimas, galintis kelti pavojų fizinių asmenų teisėms ir laisvėms, yra toks, dėl kurio, laiku nesiėmus tinkamų priemonių, fizinis asmuo gali patirti kūno sužalojimą, materialinę ar nematerialinę žalą (pvz., prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala).

16. Tyrimo metu, įvertinus visas Pažeidimo aplinkybes ir riziką, nustatoma rizikos tikimybė:

17. Atliekant Pažeidimo tyrimą išsaugomi esamos situacijos įrodymai bei įrodymai, kokios techninės ir organizacinės priemonės buvo pritaikytos.

18. Nustačius pažeidimo buvimo faktą bei įvertinus pažeidimo riziką fizinių asmenų teisėms ir laisvėms, priimamas sprendimas dėl tolimesnių veiksmų, susijusių su Pažeidimu.

19. Nustačius, kad Pažeidimas buvo ir kad yra rizika fizinių asmenų teisėms ir laisvėms, Atsakingas asmuo nedelsdamas, bet ne vėliau kaip per 72 val. nuo sužinojimo apie Pažeidimą, apie Pažeidimą praneša Valstybinei duomenų apsaugos inspekcijai pateikdamas užpildytą Pranešimo apie  asmens duomenų saugumo pažeidimą rekomenduojamą formą, patvirtintą Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie  asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“. Atsakingas asmuo visų pirma turėtų imtis visų tinkamų techninių ir organizacinių priemonių, kad Pažeidimas būtų išsamiai ištirtas ir pašalintas (sustabdytas, ištaisytas) bei ateityje nepasikartotų ir tuomet pateikti Pranešimą Valstybinei duomenų apsaugos inspekcijai.

20. Jeigu, atsižvelgiant į  Pažeidimo pobūdį, yra būtina atlikti išsamesnį tyrimą ir nustatyti visus svarbius faktus, susijusius su Pažeidimu, ir per 72 val. nuo sužinojimo apie Pažeidimą dėl objektyvių aplinkybių to padaryti neįmanoma, Atsakingas asmuo informaciją apie Pažeidimą teikia Valstybinei duomenų apsaugos inspekcijai etapais ir nurodo, kodėl visos informacijos neįmanoma pateikti iš karto.

21. Jeigu atlikus tyrimą abejojama, ar yra rizika ir ar reikia apie Pažeidimą pranešti Valstybinei duomenų apsaugos inspekcijai,  rekomenduotina Valstybinei duomenų apsaugos inspekcijai apie Pažeidimą pranešti. Tokiu atveju sprendimą dėl pranešimo priima Tarybos pirmininkas.

22. Pranešimas apie Pažeidimą Valstybinei duomenų apsaugos inspekcijai pateikiamas Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo, patvirtinto Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T-72(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“, nustatyta tvarka. Jeigu pateikus pranešimą Valstybinei duomenų apsaugos inspekcijai, atlikus tolesnį tyrimą yra nustatoma, kad saugumo incidentas buvo sustabdytas ir faktiškai Pažeidimo nebuvo, apie tai nedelsiant informuojama Valstybinė duomenų apsaugos inspekcija ir pažymima Asmens duomenų saugumo pažeidimų registravimo žurnale (toliau – Žurnalas). Jeigu tiriant Pažeidimą pradžioje nustatoma, kad nėra pavojaus fizinių asmenų teisėms ir laisvėms, tačiau detalesnio Pažeidimo tyrimo metu nustatoma, kad toks pavojus gali kilti, rizika vertinama iš naujo.

23. Nustačius, kad Pažeidimas buvo ir dėl jo gali kilti šio Aprašo 16.3 punkte nurodyta didelė rizika fizinių asmenų teisėms ir laisvėms, Atsakingas asmuo nedelsdamas (rekomenduojama per 72 val.), apie Pažeidimą praneša duomenų subjektui, kurio teisėms ir laisvėms dėl Pažeidimo gali kilti didelis pavojus.

24. Pranešime duomenų subjektui glaustai ir aiškiai pateikiama ši informacija:

25. Duomenų subjektai apie Pažeidimą informuojami tiesiogiai siunčiant jiems pranešimą el. paštu, SMS, paštu ar kitu būdu. Šis pranešimas siunčiamas atskirai nuo kitos informacijos, įprastai siunčiamos duomenų subjektui. Taryba pasirenka tokius pranešimo duomenų subjektui būdus, kurie maksimaliai didintų galimybę tinkamai pranešti informaciją visiems nukentėjusiems asmenims.

26. Pranešimas apie Pažeidimą duomenų subjektui neteikiamas, jeigu:

27. Taryba išsaugo duomenų subjektams siųsto pranešimo tekstą ir įrodymus, kad toks pranešimas buvo išsiųstas.

28. Pažeidimai, nepriklausomai nuo to, ar apie juos buvo pranešta Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektui, ar ne, registruojami Žurnale.

29. Informacija apie Pažeidimą į Žurnalą įrašoma nedelsiant, kai tik nustatomas Pažeidimo faktas ir įvertinama rizika (jei įmanoma ne vėliau kaip per 5 darbo dienas). Prireikus, atsižvelgiant į Pažeidimo tyrimo metu nustatytas papildomas aplinkybes, Žurnale esanti informacija papildoma ir (ar) patikslinama.

30. Žurnale nurodoma:

31. Žurnalo forma pateikiama šio Aprašo priede.

32. Žurnalas pildomas raštu, įskaitant elektroninę formą ir saugomas pagal nustatytą dokumentų saugojimo tvarką.

33. Žurnalą pildo Atsakingas asmuo.

34. Žurnale esančius įrašus Atsakingas asmuo periodiškai, ne rečiau kaip kartą per metus, peržiūri ir numato, kokios prevencinės priemonės turėtų būti įgyvendintos papildomai ir kaip reikėtų kontroliuoti šių priemonių įdiegimą, kad ateityje analogiški Pažeidimai nesikartotų.

35. Žurnalas pateikiamas Valstybinei duomenų apsaugos inspekcijai jos prašymu.

36. Atlikdamas Apraše nurodytas užduotis, Atsakingas asmuo turi teisę pasitelkti kitus Tarybos darbuotojus, susijusius su asmens duomenų saugumo pažeidimu, kurie privalo teikti jam tarnybinę pagalbą.

37. Jeigu įtariama, kad Pažeidimas turi nusikalstamos veikos požymių, informacija apie galimą nusikalstamą veiką pateikiama valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą.

38. Aprašas peržiūrimas periodiškai, ne rečiau kaip kartą per metus, arba įvykus organizaciniams, sisteminiams ar kitiems pokyčiams arba pasikeitus teisės aktų reikalavimams.

39. Tarybos darbuotojai su Aprašu supažindinami pasirašytinai.