LIETUVOS POLICIJOS GENERALINIS KOMISARAS
ĮSAKYMAS
DĖL ASMENS DUOMENŲ TVARKYMO POLICIJOS ĮSTAIGOSE TAISYKLIŲ PATVIRTINIMO
2021 m. balandžio 2 d. Nr. 5-V-286
Vilnius
Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) ir Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymu:
1. T v i r t i n u pridedamas Asmens duomenų tvarkymo policijos įstaigose taisykles (toliau – Taisyklės).
2. Nurodau policijos įstaigų vadovams įpareigoti dokumentų valdymo padalinių vadovus ar darbuotojus, vykdančius dokumentų valdymo funkciją, Policijos dokumentų valdymo sistemos priemonėmis vykdyti pirmąjį masinį policijos įstaigų darbuotojų supažindinimą su Taisyklėmis.
3. Pripažįstu netekusiu galios Lietuvos policijos generalinio komisaro 2015 m. spalio 28 d. įsakymą Nr. 5-V-964 „Dėl Asmens duomenų tvarkymo policijos įstaigose taisyklių patvirtinimo“ su visais pakeitimais ir papildymais.
PATVIRTINTA
Lietuvos policijos generalinio komisaro
2021 m. balandžio 2 d. įsakymu Nr. 5-V-286
ASMENS DUOMENŲ TVARKYMO POLICIJOS ĮSTAIGOSE TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo policijos įstaigose taisyklių (toliau – Taisyklės) tikslas – reglamentuoti asmens duomenų tvarkymą policijos įstaigose, nustatyti asmens duomenų tvarkymo apimtis ir tikslus, pagrindines asmens duomenų tvarkymo, duomenų subjekto teisių įgyvendinimo ir asmens duomenų apsaugos technines bei organizacines priemones, siekiant užtikrinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas), Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymo (toliau – Teisėsaugos ADTAĮ), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ) ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.
2. Taisyklės yra privalomos visiems policijos įstaigų pareigūnams, valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis (toliau kartu – policijos įstaigų darbuotojai), kurie automatizuotomis ir neautomatizuotomis priemonėmis tvarko asmens duomenis ir (arba) eidami savo pareigas sužino arba gali sužinoti asmens duomenis, taip pat Lietuvos policijos mokyklos kursantams, studentams, gavusiems siuntimą Lietuvos Respublikos vidaus reikalų ministro nustatyta tvarka, praktikantams, priimtiems atlikti praktiką policijos įstaigose, ir kitais teisės aktų nustatytais ar sutartiniais pagrindais atliekantiems funkcijas ar vykdantiems veiklą policijos įstaigose asmenims, kurie tvarko asmens duomenis.
3. Asmens duomenims tvarkyti Taisyklių nuostatos taikomos tiek, kiek jos neprieštarauja specialiesiems teisės aktams ir jų tikslų įgyvendinimui.
4. Vaizdo stebėjimo priemonėmis užfiksuotiems duomenims tvarkyti Taisyklių nuostatos taikomos tiek, kiek jų tvarkymo nereglamentuoja Vaizdo stebėjimo priemonėmis užfiksuotų vaizdo duomenų tvarkymo policijos įstaigose taisyklės, patvirtintos Lietuvos policijos generalinio komisaro 2015 m. spalio 28 d. įsakymu Nr. 5-V-963 „Dėl Vaizdo stebėjimo būdu užfiksuotų duomenų tvarkymo policijos įstaigose taisyklių patvirtinimo“ (toliau – Vaizdo duomenų tvarkymo taisyklės).
5. Taisyklėse nurodytų asmens duomenų valdytojos ir tvarkytojos yra policijos įstaigos, kurios užtikrina, kad asmens duomenys būtų tvarkomi laikantis Reglamente, Teisėsaugos ADTAĮ, ADTAĮ ir kituose teisės aktuose nustatytų asmens duomenų tvarkymo reikalavimų. Taisyklėse nurodytus asmens duomenis teisės aktų nustatytais atvejais ir tvarka gali tvarkyti ir kiti subjektai (asmens duomenų valdytojai ir tvarkytojai).
6. Duomenų apsaugos pareigūno funkcijas policijos sistemos mastu vykdo Policijos departamento prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Policijos departamentas) Duomenų apsaugos skyrius. Duomenų apsaugos pareigūno funkcijos apibrėžtos Reglamente ir Teisėsaugos ADTAĮ.
7. Duomenų apsaugos pareigūno funkcijas, kaip jos apibrėžtos 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyvoje (ES) 2016/681 dėl keleivio duomenų įrašo (PNR) duomenų naudojimo teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais, įgyvendina Policijos departamento Pajėgų valdymo valdyba.
II SKYRIUS
TVARKOMŲ ASMENS DUOMENŲ VALDYTOJAI IR TVARKYTOJAI,
JŲ FUNKCIJOS, TEISĖS IR PAREIGOS
9. Policijos departamentas yra:
9.1. policijos generalinio komisaro įsakymais įsteigtose valstybės informacinėse sistemose, policijos žinybiniuose registruose ir posistemiuose (toliau – POLIS) tvarkomų asmens duomenų valdytojas:
9.1.1. valdytojas šių viešų informacinių sistemų ir registrų:
9.1.1.9. Ieškomų ir rastų numeruotų bei individualius požymius turinčių daiktų ir dokumentų registro;
9.1.2. penkių neviešų informacinių sistemų ir tinklų, kuriuose tvarkomi ir slaptumo žymą turintys asmens duomenys, valdytojas;
9.1.3. valdytojas kitų neviešų informacinių sistemų ir posistemių, kuriuose tvarkomi vidaus ir viešojo administravimo funkcijoms vykdyti būtini asmens duomenys:
9.1.3.4. Personalo posistemio (įskaitant darbuotojų savitarnos portalą, darbuotojų vertinimo modulį, mokymų apskaitos modulį ir kitus modulius, aplikacijas ir pan., veikiančius Personalo posistemio struktūroje);
9.2. kitomis automatizuotomis ir neautomatizuotomis priemonėmis tvarkomų asmens duomenų, kurie yra jo žinioje ir kurių tvarkymo tikslus jis nustato, valdytojas;
9.3. valstybės registruose ir informacinėse sistemose tvarkomų asmens duomenų tvarkytojas:
10. Policijos departamentui pavaldžios policijos įstaigos yra:
10.2. Taisyklių 9.3 papunktyje nurodytų valstybės registrų ir informacinių sistemų asmens duomenų tvarkytojos;
10.3. kitomis automatizuotomis ir neautomatizuotomis priemonėmis tvarkomų asmens duomenų tvarkytojos, jeigu sudaryta asmens duomenų tvarkymo sutartis;
10.4. kitomis automatizuotomis ir neautomatizuotomis priemonėmis tvarkomų asmens duomenų, kurie yra jų žinioje ir kurių tvarkymo tikslus jos nustato, valdytojos;
11. POLIS tvarkomų asmens duomenų tvarkytojais gali būti ir kiti juridiniai asmenys, jeigu taip nustatyta atitinkamos informacinės sistemos ar registro nuostatuose arba jeigu sudaryta asmens duomenų tvarkymo sutartis.
12. Asmens duomenų, užfiksuotų vaizdo stebėjimo priemonėmis, valdytojai ir tvarkytojai yra nustatyti Vaizdo duomenų tvarkymo taisyklėse.
13. Policijos departamento, kaip POLIS valdytojo, ir Policijos departamentui pavaldžių policijos įstaigų, kaip POLIS tvarkytojų, funkcijos yra nustatytos Policijos informacinių sistemų ir registrų duomenų saugos nuostatuose, patvirtintuose Lietuvos policijos generalinio komisaro 2015 m. vasario 17 d. įsakymu Nr. 5-V-165 „Dėl Policijos informacinių sistemų ir registrų duomenų saugos nuostatų patvirtinimo ir kai kurių Lietuvos policijos generalinio komisaro įsakymų pripažinimo netekusiais galios“ (toliau – Duomenų saugos nuostatai).
14. Bendrosios policijos įstaigų, kaip duomenų valdytojų ir (ar) duomenų tvarkytojų, funkcijos, teisės ir pareigos tvarkant asmens duomenis automatizuotomis priemonėmis, įskaitant pareigą užtikrinti asmens duomenų tvarkymo teisėtumą ir atsakyti už asmens duomenų saugumo pažeidimus, yra nustatytos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme (toliau – Valstybės informacinių išteklių valdymo įstatymas), Reglamente, Teisėsaugos ADTAĮ, ADTAĮ, valstybės registrų, informacinių sistemų, policijos žinybinių registrų bei posistemių nuostatuose ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą.
III SKYRIUS
ASMENS DUOMENŲ TVARKYMO TIKSLAI IR PAGRINDAI
16. Asmens duomenų tvarkymo policijos įstaigose tikslai:
16.1. Lietuvos Respublikos policijos įstatymo (toliau – Policijos įstatymas) 5 straipsnio 1 dalyje nustatytų policijos uždavinių įgyvendinimas ir 6 straipsnio 1 dalyje nustatytų funkcijų vykdymas;
17. Taisyklių 16 punkte nurodytais tikslais policijos įstaigų renkami asmens duomenys tvarkomi vadovaujantis Reglamentu, ADTAĮ ir kitais asmens duomenų tvarkymą reglamentuojančiais teisės aktais. Siekiant Taisyklių 16.1 papunktyje nurodytų tikslų, kai asmens duomenų tvarkymas yra susijęs su nusikalstamų veikų prevencija, tyrimu, atskleidimu, taip pat apsauga nuo grėsmių visuomenės saugumui ir jų prevencija, asmens duomenys tvarkomi vadovaujantis Teisėsaugos ADTAĮ.
18. Asmens duomenų tvarkymo policijos įstaigose pagrindai yra nustatyti viešojo administravimo subjektų veiklą ir atskirai policijos veiklą reglamentuojančiuose teisės aktuose.
19. Asmens duomenų tvarkymas, siekiant Taisyklių 16.2 papunktyje nurodytų tikslų, gali būti grindžiamas duomenų subjekto sutikimu, jei tenkinamos Reglamento 7 straipsnyje nurodytos sąlygos. Asmens duomenys, siekiant Taisyklių 16.1 papunktyje nurodytų tikslų, gali būti tvarkomi remiantis sutikimu tik tuo atveju, jei asmens duomenų tvarkymas šiuo pagrindu yra leidžiamas Lietuvos Respublikos įstatymų ir kitų teisės aktų.
20. Sutikimo pagrindu tvarkomi tik tie asmens duomenys ir tik tais tikslais, kurie nurodyti sutikime. Pasikeitus asmens duomenų tvarkymo tikslams ir (ar) reikalingų asmens duomenų apimčiai, būtina gauti papildomą sutikimą dėl asmens duomenų tvarkymo naujais tikslais ar didesne apimtimi.
21. Duomenų subjekto sutikimas turi būti gaunamas prieš atliekant asmens duomenų tvarkymo veiksmus, dėl kurių prašoma sutikimo. Duomenų subjektas, prieš jam duodant sutikimą, turi būti informuojamas apie jo teisę bet kuriuo metu atšaukti savo sutikimą. Duomenų subjektui atšaukus sutikimą, tolesnis asmens duomenų tvarkymas yra draudžiamas, tačiau tai nedaro poveikio sutikimo pagrindu iki sutikimo atšaukimo tvarkytų asmens duomenų teisėtumui.
IV SKYRIUS
TVARKOMŲ ASMENS DUOMENŲ KATEGORIJOS IR SAUGOJIMO TERMINAI
PIRMASIS SKIRSNIS
POLICIJOS UŽDAVINIŲ ĮGYVENDINIMO IR FUNKCIJŲ VYKDYMO TIKSLAIS TVARKOMŲ ASMENS DUOMENŲ KATEGORIJOS IR SAUGOJIMO TERMINAI
23. Policijos uždaviniams įgyvendinti ir funkcijoms vykdyti būtini duomenys tvarkomi policijos informacinėse sistemose bei registruose ir kituose žinybiniuose registruose bei informacinėse sistemose, o įstatymų nustatytais atvejais – valstybės registruose.
24. Automatizuotomis priemonėmis tvarkomų asmens duomenų kategorijos ir saugojimo terminai yra nustatyti:
24.1. Taisyklių 9.1.1 ir 9.1.2 papunkčiuose nurodytų Policijos departamento valdomų informacinių sistemų, registrų ir tinklų nuostatuose;
24.2. Taisyklių 9.3 papunktyje nurodytų valstybės registrų ir informacinių sistemų, kuriuose Policijos departamentas ir (ar) jam pavaldžios policijos įstaigos veikia kaip duomenų tvarkytojai, nuostatuose;
25. Policijos uždavinių įgyvendinimo ir funkcijų vykdymo tikslais tvarkomų vaizdo duomenų saugojimo terminai yra nustatyti Vaizdo duomenų tvarkymo taisyklėse.
26. Neautomatizuotomis priemonėmis tvarkomų asmens duomenų saugojimo terminai atitinka dokumentų saugojimo terminus, nustatytus Bendrųjų dokumentų saugojimo terminų rodyklėje, patvirtintoje Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“ (toliau – Rodyklė), policijos įstaigų veiklos dokumentų saugojimo terminų rodyklėje, suderintoje su Lietuvos vyriausiuoju archyvaru ir patvirtintoje policijos generalinio komisaro įsakymu, ir kituose susijusiuose teisės aktuose.
ANTRASIS SKIRSNIS
VIEŠOJO ADMINISTRAVIMO FUNKCIJŲ VYKDYMO, TINKAMO VIDAUS ADMINISTRAVIMO UŽTIKRINIMO TIKSLAIS IR SIEKIANT TEISĖTŲ INTERESŲ TVARKOMŲ ASMENS DUOMENŲ KATEGORIJOS IR SAUGOJIMO TERMINAI
27. Neautomatizuotomis priemonėmis susistemintose rinkmenose ir (arba) automatizuotomis priemonėmis Policijos departamente ir jam pavaldžiose policijos įstaigose tvarkomi šių duomenų subjektų kategorijų asmens duomenys:
27.1. Esamų ir buvusių policijos įstaigų darbuotojų asmens duomenys tvarkomi vidaus administravimo (personalo valdymo, dokumentų valdymo, darbuotojų saugos ir sveikatos užtikrinimo, darbo užmokesčio ir kitų mokėjimų, nustatytų darbo sutartyje arba kolektyvinėje sutartyje, materialinių ir finansinių išteklių naudojimo, korupcijos prevencijos ir skaidrumo užtikrinimo) tikslais.
27.2. Asmenų, pretenduojančių tapti policijos įstaigų darbuotojais, asmens duomenys tvarkomi vidaus administravimo (personalo valdymo, dokumentų valdymo) tikslais.
27.3. Lietuvos policijos mokyklos kursantų, studentų, gavusių siuntimą Lietuvos Respublikos vidaus reikalų ministro nustatyta tvarka, praktikantų, priimtų atlikti praktiką policijos įstaigose, asmens duomenys tvarkomi vidaus administravimo (personalo valdymo, dokumentų valdymo, darbuotojų saugos ir sveikatos užtikrinimo, materialinių ir finansinių išteklių naudojimo) tikslais.
27.4. Asmenų, pateikusių Policijos departamentui ir jam pavaldžioms policijos įstaigoms skundą, prašymą ar paklausimą, asmens duomenys tvarkomi siekiant užtikrinti tinkamą Policijos departamento ir jam pavaldžių policijos įstaigų funkcijų vykdymą ir asmenų informavimo, skundų, prašymų ar paklausimų nagrinėjimo, vidaus administravimo (dokumentų valdymo) tikslais.
27.5. Tiekėjų (fizinių asmenų), su policijos įstaigomis pretenduojančių sudaryti prekių, darbų, paslaugų pirkimo ar kitas sutartis, asmens duomenys tvarkomi viešųjų pirkimų procedūrų organizavimo ir vykdymo tikslais.
27.6. Tiekėjų (fizinių asmenų), su policijos įstaigomis sudariusių prekių, darbų, paslaugų pirkimo ar kitas sutartis, asmens duomenys tvarkomi vidaus administravimo ir sutartinių įsipareigojimų vykdymo tikslais.
27.7. Mokėjimus už suteiktas paslaugas vykdančių asmenų asmens duomenys tvarkomi įmokėtų lėšų administravimo tikslais.
27.8. Asmenų, kurie pretenduoja gauti leidimus dirbti ar susipažinti su įslaptinta informacija arba teisę dirbti ar susipažinti su įslaptinta informacija, žymima slaptumo žyma „Riboto naudojimo“, asmens duomenys tvarkomi tikrinimo procedūrų, apskaitos ir priežiūros vykdymo tikslais.
27.9. Policijos įstaigose apsilankančių svečių, organizuojamų renginių dalyvių, visuomenės informavimo priemonių atstovų asmens duomenys tvarkomi susitikimų organizavimo, policijos veiklos viešinimo ir pastatų (patalpų), teritorijų ir juose esančio materialiojo turto, įslaptintos informacijos saugumo užtikrinimo tikslais.
27.10. Finansuojamų iš Europos Sąjungos fondų lėšų projektų dalyvių (fizinių asmenų) duomenys, reikalingi administruojant projektą, tvarkomi projektų administravimo tikslais.
27.11. Asmenų, skambinančių į policijos įstaigas konsultacijų telefonais, balso ir pokalbių duomenys tvarkomi vidaus administravimo (asmenų aptarnavimo) tikslais.
27.12. Į stebėjimo vaizdo kameromis teritoriją, kai teritorija stebima Policijos departamento ar jam pavaldžių policijos įstaigų teisėtų interesų pagrindu, patekusių asmenų vaizdo duomenys ar vaizdo ir garso duomenys tvarkomi policijos įstaigų darbuotojų, pastatų (patalpų), teritorijų ir juose esančio materialiojo turto, įslaptintos informacijos saugumo užtikrinimo tikslais.
28. Taisyklių 27 punkte nurodytų tvarkomų asmens duomenų saugojimo terminai atitinka dokumentų saugojimo terminus, nustatytus Rodyklėje, policijos įstaigų veiklos dokumentų saugojimo terminų rodyklėje, suderintoje su Lietuvos vyriausiuoju archyvaru ir patvirtintoje policijos generalinio komisaro įsakymu, taip pat asmens duomenų saugojimo terminus, nustatytus policijos informacinių sistemų ir posistemių nuostatuose, Vaizdo duomenų tvarkymo taisyklėse ir kituose susijusiuose teisės aktuose. Pasibaigus asmens duomenų ar dokumento, kuriame šie duomenys yra nurodyti, saugojimo terminui, priimamas sprendimas dėl sunaikinimo policijos informacinių sistemų ir posistemių nuostatuose, Vaizdo duomenų tvarkymo taisyklėse ir kituose teisės aktuose nustatyta tvarka. Dokumentas sunaikinamas Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka. Nuolat saugomi dokumentai, kuriuose yra asmens duomenų, perduodami saugoti valstybės archyvams Dokumentų ir archyvų įstatymo nustatyta tvarka.
V SKYRIUS
Reikalavimai asmenims, tvarkantiems asmens duomenis
29. Prieiga prie asmens duomenų gali būti suteikiama tik tiems policijos įstaigų darbuotojams ir kitiems Taisyklių 2 punkte nurodytiems asmenims, kuriems asmens duomenys yra reikalingi jų funkcijoms ar įsipareigojimams, nustatytiems pareigybės aprašyme ar kitame dokumente, vykdyti. Policijos įstaigų darbuotojams ir kitiems Taisyklių 2 punkte nurodytiems asmenims draudžiama savavališkai rinkti, perduoti, saugoti, naikinti ar kitaip tvarkyti asmens duomenis.
30. Su asmens duomenimis galima atlikti tik tuos veiksmus, kuriems atlikti policijos įstaigos darbuotojui ar kitam Taisyklių 2 punkte nurodytam asmeniui yra suteiktos teisės.
31. Prieigos prie policijos valdomų informacinių sistemų ir registrų, kuriuose kaupiami ir tvarkomi asmens duomenys, teisės policijos įstaigų darbuotojams ir kitiems Taisyklių 2 punkte nurodytiems asmenims suteikiamos, redaguojamos ir panaikinamos vadovaujantis Policijos informacinių sistemų ir registrų naudotojų administravimo taisyklėse, patvirtintose Lietuvos policijos generalinio komisaro 2008 m. gruodžio 16 d. įsakymu Nr. 5-V-755 „Dėl Naudotojų, dirbančių su registrais ir informacinėmis sistemomis, administravimo taisyklių patvirtinimo“, ir kituose teisės aktuose nustatyta tvarka.
32. Policijos įstaigų darbuotojai ir kiti Taisyklių 2 punkte nurodyti asmenys, prieš pradėdami tvarkyti informacinėse sistemose ir registruose kaupiamus asmens duomenis, pasirašo pasižadėjimus saugoti asmens duomenų paslaptį.
33. Policijos įstaigos darbuotojas ar kitas Taisyklių 2 punkte nurodytas asmuo netenka teisės tvarkyti duomenų subjektų asmens duomenų, kai pasibaigia jo įgaliojimai, valstybės tarnybos ar darbo, praktikos, mokymosi santykiai su policijos įstaiga, arba kai jam pavedama vykdyti su asmens duomenų tvarkymu nesusijusias funkcijas.
34. Policijos įstaigos darbuotojas ar kitas Taisyklių 2 punkte nurodytas asmuo, tvarkantis duomenų subjektų asmens duomenis, privalo:
34.1. laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jis susipažino vykdydamas savo funkcijas ar įsipareigojimus, išskyrus, jeigu tokia informacija buvo vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti asmens duomenų paslaptį galioja ir perėjus dirbti į kitas pareigas ar pasibaigus įgaliojimams, valstybės tarnybos ar darbo, praktikos, mokymosi ar kitiems sutartiniams santykiams;
34.2. laikytis Taisyklėse nustatytų organizacinių ir techninių asmens duomenų saugumo priemonių, siekdamas užkirsti kelią netyčiniam ar neteisėtam tvarkomų asmens duomenų sunaikinimui, praradimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugoti dokumentus, duomenų rinkmenas bei duomenų bazėse saugomus duomenis ir vengti perteklinių jų kopijų darymo;
34.3. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su asmens duomenimis asmeniui, kuris nėra įgaliotas tvarkyti asmens duomenų;
34.4. nedelsiant pranešti tiesioginiam vadovui ir Policijos departamento Duomenų apsaugos skyriui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę policijoje tvarkomų asmens duomenų saugumui;
VI SKYRIUS
ASMENS DUOMENŲ SAUGUMAS
35. Teisės aktai, kuriais vadovaujantis užtikrinamas asmens duomenų saugumas (įskaitant kibernetinį saugumą):
35.8. Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimas Nr. 820 „Dėl Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymo įgyvendinimo“;
35.9. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas, patvirtinti Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;
35.10. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
35.11. Lietuvos standartai LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO/IEC 27001:2013 „informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“;
36. Neautomatiniu būdu tvarkomi duomenų subjektų dokumentai ir jų popierinės ir (ar) elektroninės kopijos saugomos patalpose, į kurias patekimas yra kontroliuojamas. Archyviniam saugojimui perduotos dokumentų bylos saugomos Policijos departamento arba policijos įstaigos archyve, rakinamoje dokumentų saugykloje.
37. Dirbant nuotoliniu būdu neautomatiniu būdu tvarkomi duomenų subjektų dokumentai ir jų popierinės ir (ar) elektroninės kopijos, reikalingi nustatytoms funkcijoms įgyvendinti, darbo nuotoliniu būdu laikotarpiu gali būti tvarkomi ne policijos įstaigų patalpose. Toks asmens duomenų tvarkymas turi atitikti Taisyklėse nustatytą reglamentavimą.
38. Asmens duomenų tvarkymo funkcijas atliekantys policijos įstaigų darbuotojai, siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, turi saugoti dokumentus ir duomenų rinkmenas tinkamai ir saugiai, duomenų kopijos turi būti daromos tik būtinais, neišvengiamais atvejais.
39. Informacinių sistemų ir registrų testavimas Policijos departamente ir jam pavaldžiose policijos įstaigose negali būti vykdomas su realiais asmens duomenimis, išskyrus būtinus atvejus, kai naudojamos organizacinės ir techninės asmens duomenų saugumo priemonės, užtikrinančios realių asmens duomenų saugumą. Toks informacinių sistemų ir registrų testavimas visais atvejais turi būti suderinamas su Policijos departamento Informacinių technologijų valdyba ir Policijos departamento Duomenų apsaugos skyriumi.
40. Už policijos įstaigų darbuotojų, tvarkančių asmens duomenis, supažindinimą su saugos politika ir ją įgyvendinančiais teisės aktais yra atsakingas policijos generalinio komisaro įsakymu paskirtas saugos įgaliotinis.
41. Policijos įstaigų darbuotojai, atlikdami savo funkcijas ir tvarkydami asmens duomenis, privalo laikytis šių asmens duomenų tvarkymo saugos reikalavimų:
41.1. Asmens duomenys renkami Taisyklių 16 punkte nurodytais tikslais ir tvarkomi su šiais tikslais suderintais būdais.
41.3. Specialių kategorijų asmens duomenys tvarkomi tik tais atvejais, kai yra bent viena Reglamento 9 straipsnio 2 dalyje ar Teisėsaugos ADTAĮ 8 straipsnyje numatyta sąlyga.
41.4. Asmens duomenys turi būti tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs asmens duomenys turi būti ištaisomi arba papildomi, o jeigu to padaryti nėra galimybės – ištrinami (sunaikinami) arba jų tvarkymas sustabdomas.
41.5. Asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kokių reikia siekiant tikslų, dėl kurių jie tvarkomi.
41.6. Asmens duomenys turi būti laikomi (saugomi) tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi.
41.7. Asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ir organizacines priemones būtų užtikrinamas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo.
41.8. Kompiuterinės darbo vietos, tarnybinės stotys, mobilieji telefonai ir kita techninė įranga, per kurią gali būti pasiekiami asmens duomenys, turi būti tinkamai apsaugoti, vadovaujantis informacijos saugą reglamentuojančių teisės aktų reikalavimais.
41.9. Draudžiamas savarankiškas bet kokios programinės įrangos, net jeigu ji yra legali, diegimas ir naudojamas.
41.10. Turi būti užtikrinama tinkama asmens duomenų apsauga nuo neteisėtos prieigos elektroninių ryšių priemonėmis.
42. Elektroninės informacijos (duomenų) atsarginės kopijos saugomos informacinės sistemos valdytojo tvirtinamuose informacinės sistemos saugos nuostatuose nustatyta tvarka ir terminais. Vaizdo duomenys saugomi Vaizdo duomenų tvarkymo taisyklėse nustatyta tvarka ir terminais.
43. Naikinant popierinius ir (ar) elektroninius dokumentus (jų kopijas), kurių saugojimo terminas yra pasibaigęs arba kurių saugojimas yra netikslingas (negalimas) dėl kitų priežasčių ir kuriuose nurodomi asmens duomenys, jie turi būti sunaikinami taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio. Tokį dokumentų naikinimą užtikrina speciali programinė įranga ir (ar) įrenginiai.
44. Asmens duomenų tvarkymo keliamos rizikos vertinimo atlikimo tvarka ir saugumo pažeidimų valdymas, reagavimo į šiuos pažeidimus veiksmai, duomenų atsarginių kopijų darymo, saugojimo ir duomenų atkūrimo iš atsarginių duomenų kopijų tvarka nustatoma informacinių sistemų tvirtinamuose informacinės sistemos saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose.
45. Policijos įstaigos įgyvendina Taisyklėse paminėtų informacinių sistemų ir registrų organizacines ir technines asmens duomenų saugumo priemones, skirtas tinkamam asmens duomenų saugumui, taip pat apsaugai nuo duomenų tvarkymo be leidimo arba neteisėto asmens duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo užtikrinti.
46. Pažeidus asmens duomenų saugumą, pažeidimas nustatomas, tiriamas, apie jį pranešama Valstybinei duomenų apsaugos inspekcijai ir (ar) duomenų subjektams ir jis dokumentuojamas vadovaujantis Asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos aprašu, patvirtintu Lietuvos policijos generalinio komisaro 2019 m. kovo 12 d. įsakymu Nr. 5-V-202 „Dėl Asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos aprašo patvirtinimo“.
VII SKYRIUS
ASMENS DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI
47. Policijos departamento Duomenų apsaugos skyrius tvarko asmens duomenų tvarkymo policijoje veiklos įrašus, t. y. pildo duomenų valdytojo asmens duomenų tvarkymo veiklos įrašus ir duomenų tvarkytojo asmens duomenų tvarkymo veiklos įrašus, kurių pavyzdinė forma pateikta Valstybinės duomenų apsaugos inspekcijos tinklalapyje. Policijos departamento Duomenų apsaugos skyrius turi teisę asmens duomenų tvarkymo veiklos įrašams pildyti pasitelkti policijos įstaigos struktūrinio padalinio, kuris tvarko atitinkamus asmens duomenis, darbuotojus, atsakingus už asmens duomenų tvarkymą.
48. Asmens duomenų tvarkymo veiklos įrašų pildymo dokumente privalo būti nurodyta:
48.3. duomenų subjektų ir asmens duomenų kategorijos – kokių kategorijų asmens duomenys ir kokių kategorijų duomenų subjektų asmens duomenys yra tvarkomi;
49. Asmens duomenų tvarkymo veiklos įrašų pildymo dokumente gali būti ir kitos informacijos, pildomos pagal poreikį.
50. Atsižvelgiant į asmens duomenų tvarkymo veiklos įrašų pildymo dokumente pateiktos informacijos pobūdį, tokiam dokumentui gali būti nustatoma slaptumo žyma.
52. Asmens duomenų tvarkymo veiklos įrašai, gavus prašymą, pateikiami Valstybinei duomenų apsaugos inspekcijai jos prašyme nurodytais terminais. Asmens duomenų tvarkymo veiklos įrašus Valstybinei duomenų apsaugos inspekcijai pateikia Policijos departamento Duomenų apsaugos skyrius.
53. Tvarkomi tik tie asmens duomenys ir tik tuo tikslu bei tuo teisiniu pagrindu, kurie nurodyti asmens duomenų tvarkymo veiklos įraše.
54. Kai pasikeičia asmens duomenų tvarkymo veiksmai ar kita informacija, susijusi su asmens duomenų tvarkymu, asmens duomenų tvarkymo veiklos įrašuose esanti informacija turi būti atnaujinama. Tai turi būti daroma nuolat vykdant naujas asmens duomenų tvarkymo operacijas.
55. Policijos departamento ir jam pavaldžių policijos įstaigų darbuotojai nedelsdami informuoja Policijos departamento Duomenų apsaugos skyrių, jeigu asmens duomenų tvarkymo veiklos įrašai neatitinka realios asmens duomenų tvarkymo veiklos.
56. Asmens duomenų tvarkymo veiklos įrašų pildymo tvarka ne rečiau kaip kartą per metus peržiūrima ir, prireikus ar pasikeitus asmens duomenų tvarkymą reglamentuojantiems teisės aktams, atliekant struktūrinius, technologinius ar kitokius pakeitimus, atnaujinama. Už tokią peržiūrą ir nuostatų atnaujinimo inicijavimą yra atsakingas Policijos departamento Duomenų apsaugos skyrius.
VIII SKYRIUS
DUOMENŲ SUBJEKTO TEISĖS IR JŲ ĮGYVENDINIMAS
PIRMASIS SKIRSNIS
DUOMENŲ SUBJEKTO TEISĖS
57. Duomenų subjektas turi šias Reglamente ir Teisėsaugos ADTAĮ numatytas teises:
58. Įgyvendinant duomenų subjekto teises, vadovaujamasi Reglamentu, Teisėsaugos ADTAĮ ir Taisyklėmis.
59. Vadovaudamosi Policijos įstatymo 9 straipsniu, policijos įstaigos asmens duomenis, būtinus policijos uždaviniams įgyvendinti ir funkcijoms vykdyti, tvarko be duomenų subjekto sutikimo. Apie pradėtus tvarkyti duomenis ar duomenų teikimą tretiesiems asmenims duomenų subjektai atskirai neinformuojami. Informacija apie asmens duomenų tvarkymą policijoje, įskaitant (bet neapsiribojant) asmens duomenų tvarkymo tikslus ir pagrindus, skelbiama viešai teisės aktuose ir asmens duomenų tvarkymo policijos įstaigose politikoje (skelbiama policijos tinklalapyje).
60. Kai asmens duomenys renkami iš duomenų subjekto, informacija apie duomenų subjekto asmens duomenų tvarkymą pateikiama asmens duomenų gavimo metu, išskyrus atvejus, kai duomenų subjektas jau turi informaciją, ir tiek, kiek tos informacijos turi, arba kai toks asmens duomenų tvarkymas aiškiai nustatytas viešai skelbiamuose teisės aktuose, kituose dokumentuose.
61. Informacijos apie asmens duomenų tvarkymą teikimas duomenų subjektui gali būti atidėtas, apribotas arba ši informacija gali būti neteikiama Lietuvos Respublikos įstatymuose nustatytais atvejais tiek, kiek ir tol, kol tai, atsižvelgiant į šio fizinio asmens pagrindines teises ir teisėtus interesus, demokratinėje visuomenėje yra būtina ir proporcinga, siekiant Teisėsaugos ADTAĮ 11 straipsnio 3 dalyje nurodytų tikslų.
62. Duomenų subjektas turi teisę iš Policijos departamento ar jam pavaldžios policijos įstaigos gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę su jais susipažinti (gauti tvarkomų asmens duomenų kopiją), taip pat gauti su asmens duomenų tvarkymu susijusią informaciją, numatytą Reglamento 15 straipsnio 1 bei 2 dalyse ir (ar) Teisėsaugos ADTAĮ 12 straipsnyje.
63. Duomenų subjekto teisė susipažinti su Policijos departamento ar jam pavaldžios policijos įstaigos vaizdo stebėjimo priemonėmis užfiksuotais duomenimis įgyvendinama pateikiant prašymą Taisyklėse nustatyta tvarka ir vadovaujantis Vaizdo duomenų tvarkymo taisyklėmis.
64. Tais atvejais, kai duomenų subjektas siekia susipažinti su policijos įstaigos vaizdo stebėjimo priemonėmis užfiksuotais duomenimis, kurie yra susiję su teisės pažeidimais ir dėl to saugomi atitinkamoje informacinėje sistemoje ir (ar) registre, duomenų subjekto teisės įgyvendinimo tvarką nustato teisės aktai, reglamentuojantys duomenų pateikimą iš atitinkamos informacinės sistemos ar registro.
65. Duomenų subjektui prašyme įgyvendinti teisę susipažinti su savo asmens duomenimis nenurodžius laikotarpio, už kurį prašoma pateikti atitinkamą informaciją, Policijos departamentas ar jam pavaldi policijos įstaiga teikia informaciją apie asmens duomenų tvarkymo operacijas, atliktas per paskutinius vienus metus nuo prašymo pateikimo dienos.
66. Duomenų subjekto tvarkomų asmens duomenų kopija teikiama Policijos departamente ar jam pavaldžioje policijos įstaigoje įprastai naudojama elektronine forma, išskyrus atvejus, kai duomenų subjektas paprašo tvarkomų asmens duomenų kopiją pateikti kita forma. Pastaruoju atveju gali būti imamas mokestis, apskaičiuotas pagal administracines išlaidas.
67. Policijos departamentas ar jam pavaldi policijos įstaiga gali visiškai arba iš dalies atsisakyti įgyvendinti Taisyklių 57.2 papunktyje nurodytą teisę susipažinti su duomenimis, jeigu šios teisės įgyvendinimas galėtų pakenkti nusikalstamų veikų prevencijai, tyrimui, atskleidimui ar baudžiamajam persekiojimui už nusikalstamas veikas arba kitais Teisėsaugos ADTAĮ 13 straipsnio 1 dalyje nustatytais atvejais. Tokiu atveju Teisėsaugos ADTAĮ 13 straipsnio 2 dalyje nustatyta tvarka duomenų subjektas turi būti informuojamas apie jo teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai arba kreiptis į teismą, išskyrus atvejus, kai asmens duomenys tvarkomi nacionalinio saugumo ar gynybos tikslais.
68. Turint pagrindo manyti, kad asmens duomenų ir informacijos teikimas duomenų subjektui gali pakenkti policijos uždavinių įgyvendinimui, atsakymas duomenų subjektui turi būti suderinamas su kriminalinės žvalgybos subjektu, tvarkančiu atitinkamus asmens duomenis.
69. Duomenų subjektas, vadovaudamasis Reglamento 16 straipsniu ir Teisėsaugos ADTAĮ 14 straipsnio 1 dalimi, turi teisę reikalauti, kad bet kokie jo tvarkomi netikslūs asmens duomenys būtų ištaisyti, o neišsamūs – papildyti.
70. Siekdamas įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, Policijos departamentas ar jam pavaldi policijos įstaiga gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus.
71. Duomenų subjekto teisė ištrinti jo asmens duomenis („teisė būti pamirštam“) įgyvendinama Reglamento 17 straipsnio 1 dalyje ir Teisėsaugos ADTAĮ 14 straipsnio 2 dalyje numatytais atvejais.
72. Duomenų subjekto teisė reikalauti ištrinti asmens duomenis („teisė būti pamirštam“) gali būti neįgyvendinta Reglamento 17 straipsnio 3 dalyje numatytais atvejais.
73. Reglamento 18 straipsnio 1 dalyje ir Teisėsaugos ADTAĮ 14 straipsnio 3 dalyje numatytais atvejais Policijos departamentas ar jam pavaldi policijos įstaiga privalo įgyvendinti duomenų subjekto teisę apriboti jo asmens duomenų tvarkymą.
74. Asmens duomenys, kurių tvarkymas apribotas, yra saugomi, o prieš tokio apribojimo panaikinimą duomenų subjektas yra apie tai informuojamas elektroninėmis priemonėmis.
75. Jeigu duomenų subjekto asmens duomenys (ištaisyti, ištrinti arba kurių tvarkymas apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Policijos departamentas ar jam pavaldi policijos įstaiga šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikiama informacija apie tokius duomenų gavėjus.
76. Duomenų subjekto teisę į duomenų perkeliamumą, numatytą Reglamento 20 straipsnyje, Policijos departamentas ar jam pavaldi policijos įstaiga įgyvendina tik dėl asmens duomenų, kurių tvarkymas grindžiamas duomenų subjekto sutikimu arba sutartimi, kurios šalis yra duomenų subjektas.
77. Duomenų subjektas teisės į duomenų perkeliamumą neturi tų asmens duomenų atžvilgiu, kurie tvarkomi neautomatiniu būdu susistemintose rinkmenose, pavyzdžiui, popierinėse bylose.
78. Duomenų subjektas, kreipdamasis dėl teisės į duomenų perkeliamumą, turi nurodyti, ar pageidauja, kad jo asmens duomenys būtų persiųsti jam ar kitam duomenų valdytojui.
79. Pagal duomenų subjekto prašymą perkelti jo asmens duomenys nėra automatiškai ištrinami. Jeigu duomenų subjektas to pageidauja, jis turi kreiptis į duomenų valdytoją dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) įgyvendinimo.
80. Duomenų subjektas, vadovaudamasis Reglamento 21 straipsniu, turi teisę dėl su juo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad Policijos departamentas ar jam pavaldi policijos įstaiga tvarkytų jo asmens duomenis, kai asmens duomenys tvarkomi vadovaujantis Reglamento 6 straipsnio 1 dalies e arba f punktais, t. y. siekiant policijos įstaigų teisėtų interesų arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant policijai pavestas viešosios valdžios funkcijas.
81. Duomenų subjektas apie teisę nesutikti su asmens duomenų tvarkymu informuojamas policijos tinklalapyje.
82. Duomenų subjektui išreiškus nesutikimą su asmens duomenų tvarkymu, asmens duomenys tvarkomi tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių tvarkomi asmens duomenys, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus.
83. Duomenų subjektas turi teisę reikalauti, kad jo atžvilgiu nebūtų taikomas tik automatizuotu duomenų tvarkymu grindžiamas sprendimas ir toks sprendimas būtų peržiūrimas.
ANTRASIS SKIRSNIS
PRAŠYMŲ DĖL DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO PATEIKIMAS
85. Duomenų subjektai, siekdami gauti informaciją apie jų asmens duomenų tvarkymą, turi pateikti rašytinį nustatytos formos prašymą (Taisyklių priedas), jeigu nėra nustatyta speciali duomenų subjektų teisių įgyvendinimo tvarka, kaip tai apibrėžta Taisyklių 64 punkte. Prašymas turi būti įskaitomas, pasirašytas duomenų subjekto arba jo atstovo, jame turi būti nurodyti duomenų subjekto vardas, pavardė, adresas ir (ar) kiti kontaktiniai duomenys ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo, taip pat informacija apie tai, kokią ir kokios apimties informaciją duomenų subjektas apie savo asmens duomenų tvarkymą pageidauja gauti. Jeigu prašymą teikia duomenų subjekto atstovas, prašyme papildomai turi būti nurodomi atstovo vardas, pavardė, kontaktiniai duomenys, taip pat turi būti pateikiamas atstovavimą liudijantis dokumentas ar jo kopija.
86. Prašymas gali būti teikiamas tiesiogiai atvykus į policijos įstaigą, siunčiamas paštu arba elektroninėmis priemonėmis, jeigu yra galimybė identifikuoti prašymą teikiantį asmenį. Teikiant prašymą atvykus į policijos įstaigą, prašymą priimančiam darbuotojui turi būti pateikiamas asmens tapatybę patvirtinantis asmens dokumentas (pasas, asmens tapatybės kortelė ar kitas kompetentingų institucijų išduotas biometrinis asmens dokumentas). Siunčiant prašymą paštu, prie jo turi būti pridėta duomenų subjekto, teikiančio prašymą, paso, asmens tapatybės kortelės ar kito kompetentingų institucijų išduoto biometrinio asmens dokumento kopija. Teikiant prašymą elektroninėmis priemonėmis, prašymas turi būti pasirašytas kvalifikuotu elektroniniu parašu arba jis turi būti suformuotas elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą, kartu pridedant duomenų subjekto, teikiančio prašymą, paso, asmens tapatybės kortelės ar kito kompetentingų institucijų išduoto biometrinio asmens dokumento kopiją. Jeigu prašymą siunčia duomenų subjekto atstovas, prie prašymo turi būti pridėtas atstovavimą liudijantis dokumentas, patvirtintas teisės aktų nustatyta tvarka.
87. Kilus abejonių dėl duomenų subjekto tapatybės, gali būti paprašoma papildomos informacijos, reikalingos tapatybei patvirtinti.
88. Duomenų subjektas savo tapatybės patvirtinti neturi, jeigu kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento 13 ir 14 straipsnius ir (ar) Teisėsaugos ADTAĮ 11 straipsnį.
TREČIASIS SKIRSNIS
PRAŠYMŲ DĖL DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO NAGRINĖJIMAS
90. Prašymus nagrinėja ir atsakymus rengia Policijos departamento Duomenų apsaugos skyrius, išskyrus atvejus, kai prašoma pateikti asmens duomenis ir informaciją apie kitų policijos įstaigų neautomatizuotomis priemonėmis tvarkomus asmens duomenis, taip pat vaizdo stebėjimo priemonėmis užfiksuotus vaizdo duomenis, kurių valdytoja yra kita policijos įstaiga. Tokiais atvejais prašymą nagrinėja ir atsakymą rengia policijos įstaigos darbuotojas, atsakingas už atitinkamų asmens duomenų tvarkymą, arba kitas policijos įstaigos vadovo ar jo įgalioto darbuotojo paskirtas darbuotojas. Kilus abejonių dėl atitinkamos duomenų subjekto teisės įgyvendinimo, policijos įstaigų darbuotojai konsultuojasi su Policijos departamento Duomenų apsaugos skyriumi. Prašymus dėl informacijos ir asmens duomenų teikimo pagal kompetenciją taip pat nagrinėja ir atsakymus rengia Policijos departamento Informacijos teikimo skyrius, Policijos departamento Informacinių technologijų valdyba ir kiti policijos įstaigų struktūriniai padaliniai, kai tokia funkcija pavesta vykdyti atitinkamam struktūriniam padaliniui.
91. Gavus duomenų subjekto prašymą, ne vėliau kaip per 30 kalendorinių dienų nuo prašymo gavimo dienos jis išnagrinėjamas ir pateikiamas atsakymas. Prašymo nagrinėjimo terminas prireikus gali būti pratęstas dar 60 kalendorinių dienų, atsižvelgiant į prašymo sudėtingumą ir nagrinėjamų prašymų skaičių. Jei gautas duomenų subjekto prašymas įgyvendinti Teisėsaugos ADTAĮ numatytas teises, prašymo nagrinėjimo terminas prireikus gali būti pratęstas iki 90 kalendorinių dienų. Per 30 kalendorinių dienų nuo duomenų subjekto prašymo gavimo dienos duomenų subjektas raštu informuojamas apie prašymo nagrinėjimo termino pratęsimą ir pratęsimo priežastis. Jei atsisakoma imtis veiksmų pagal duomenų subjekto prašymą, duomenų subjektas informuojamas apie atsisakymo priežastis ir apie jo teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai arba kreiptis į teismą, išskyrus atvejus, kai asmens duomenys tvarkomi nacionalinio saugumo ar gynybos tikslais.
92. Jei nagrinėjant duomenų subjekto prašymą nustatoma, kad policijoje tvarkomas didelis informacijos, susijusios su duomenų subjektu, kiekis ir visos informacijos pateikimas duomenų subjektui pareikalautų neproporcingų pastangų, Policijos departamento Duomenų apsaugos skyrius ar kitas prašymą nagrinėjantis subjektas, pasikonsultavęs su duomenų apsaugos pareigūnu, turi teisę paprašyti, kad duomenų subjektas sukonkretintų pateiktą prašymą.
93. Informacija pagal duomenų subjekto prašymą teikiama nepažeidžiant kitų duomenų subjektų teisių ir laisvių. Jei informacijos pateikimas nepažeidžiant kitų duomenų subjektų teisių ir laisvių neįmanomas, gali būti atsisakoma tenkinti duomenų subjekto prašymą arba jis gali būti tenkinamas ne visa apimtimi.
94. Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai, išskyrus atvejus, kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti ir (ar) neproporcingi, visu pirma, dėl jų pasikartojančio turinio. Šiuo atveju gali būti:
94.1. imamas pagrįstas mokestis, nustatytas atsižvelgiant į informacijos teikimo ir susijusių veiksmų administracines išlaidas;
95. Policijos įstaigų veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai (Vilnius, L. Sapiegos g. 17, elektroninis paštas ada@ada.lt, interneto svetainė https://vdai.lrv.lt/), taip pat Lietuvos administracinių ginčų komisijai ar apygardos administraciniam teismui Lietuvos Respublikos ikiteisminio administracinių ginčų nagrinėjimo tvarkos įstatymo ir Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.
IX SKYRIUS
ASMENS DUOMENŲ TEIKIMAS
97. Asmens duomenys trečiosioms šalims teikiami įstatymų ir kitų teisės aktų nustatytais atvejais ir tvarka pagal duomenų valdytojo ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį (daugkartinio teikimo atveju) arba duomenų gavėjo prašymą (vienkartinio teikimo atveju).
98. Asmens duomenų teikimo sutartyje turi būti nurodyti asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis. Kai asmens duomenys tvarkomi automatiniu būdu ir taikomos tinkamos asmens duomenų saugumą užtikrinančios priemonės, teikiant asmens duomenis pagal asmens duomenų teikimo sutartį, prioritetas turi būti teikiamas automatiniam asmens duomenų teikimui.
99. Vienkartinio asmens duomenų teikimo atveju policijos įstaiga, teikdama asmens duomenis pagal trečiosios šalies vienkartinį prašymą, pirmenybę teikia asmens duomenų teikimui elektroninių ryšių priemonėmis, jeigu prašyme nenurodyta kitaip. Siekiant įgyvendinti Reglamento 5 straipsnio 2 dalyje įtvirtintą duomenų valdytojo atskaitomybės principą, asmens duomenys trečiosioms šalims gali būti teikiami tik kai duomenų gavėjas teiktame prašyme nurodo aplinkybes, pagrindžiančias, kad asmens duomenų tvarkymas (teikimas) atitinka Reglamento 5 straipsnyje įtvirtintus principus ir yra pagrįstas bent viena Reglamento 6 straipsnio 1 dalyje arba 9 straipsnio 2 dalyje įtvirtinta teisėto asmens duomenų tvarkymo sąlyga. Prašyme privaloma nurodyti bent:
100. Policijos įstaigos darbuotojas, nagrinėjantis gautą prašymą pateikti asmens duomenis, privalo:
100.2. patikrinti, ar duomenų gavėjo prašymas yra pagrįstas, atsižvelgiant į jame nurodytą teikimo (gavimo) teisinį pagrindą;
100.3. kai asmens duomenis prašoma pateikti remiantis Reglamento 6 straipsnio 1 dalies e arba f punktais, įvertinti, ar duomenų gavėjo interesai tikrai yra svarbesni už duomenų subjekto teises ir laisves;
101. Kilus abejonių dėl asmens duomenų teikimo pagrįstumo ar proporcingumo, policijos įstaigos darbuotojas, nagrinėjantis gautą prašymą pateikti asmens duomenis, privalo pasikonsultuoti su Policijos departamento Duomenų apsaugos skyriaus darbuotojais.
102. Asmens duomenys taip pat gali būti teikiami policijos iniciatyva Lietuvos kompetentingoms institucijoms, užsienio valstybių teisėsaugos institucijoms, Europos Sąjungos institucijoms ir tarptautinėms organizacijoms pagal nacionalinius, Europos Sąjungos ir tarptautinius teisės aktus bei tarptautines sutartis, įgyvendinant policijos uždavinius.
X SKYRIUS
POVEIKIO ASMENS DUOMENŲ APSAUGAI VERTINIMAS
104. Tais atvejais, kai, atsižvelgiant į asmens duomenų ir duomenų subjektų kategorijas, asmens duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, duomenų subjektų teisėms ir laisvėms gali kilti didelis pavojus, policijos įstaiga, prieš pradėdama tvarkyti asmens duomenis, atlieka numatytų asmens duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą.
105. Poveikio asmens duomenų apsaugai vertinimas atliekamas, kai:
105.1. asmens duomenų tvarkymo operacija patenka į Valstybinės duomenų apsaugos inspekcijos sudarytą asmens duomenų tvarkymo operacijų, kurioms poveikio asmens duomenų apsaugai vertinimas yra privalomas dėl didelio pavojaus duomenų subjektų teisėms ir laisvėms, sąrašą;
105.2. asmens duomenų tvarkymo operacija nepatenka į Valstybinės duomenų apsaugos inspekcijos sudarytą duomenų tvarkymo operacijų, kurioms poveikio asmens duomenų apsaugai vertinimas yra privalomas, sąrašą, tačiau policijos įstaigos struktūrinio padalinio, kuris tvarkys asmens duomenis, darbuotojas, atsakingas už asmens duomenų tvarkymą, įvertina, kad asmens duomenų tvarkymo operacija, atsižvelgiant į Taisyklių 106 punkte įtvirtintus kriterijus, duomenų subjektų teisėms ir laisvėms gali kelti didelį pavojų. Vertinant galimą asmens duomenų tvarkymo operacijos (-ų) pavojų duomenų subjektų teisėms ir laisvėms, visais atvejais konsultuojamasi su Policijos departamento Duomenų apsaugos skyriumi;
105.3. pasikeičia asmens duomenų tvarkymo operacijų įgyvendinimo sąlygos, jei tai gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms;
106. Ar planuojami asmens duomenų tvarkymo būdai ir veiksmai kelia didelį pavojų duomenų subjektų teisėms ir laisvėms, sprendžiama kiekvieną kartą atsižvelgiant į šiuos kriterijus:
106.2. tvarkomi neskelbtini asmens duomenys arba labai asmeniški duomenys, pavyzdžiui, specialių kategorijų asmens duomenys;
106.3. didelio masto asmens duomenų tvarkymas (susijusių duomenų subjektų skaičius, tvarkomų asmens duomenų kiekis, tvarkomų asmens duomenų įvairovė, asmens duomenų tvarkymo veiklos trukmė ir pastovumas, geografinis asmens duomenų tvarkymo mastas);
106.7. dėl asmens duomenų tvarkymo duomenų subjektams užkertamas kelias naudotis savo teisėmis, paslaugomis arba sudaryti sutartis;
107. Kuo daugiau Taisyklių 106 punkte įtvirtintų kriterijų atitinka konkreti asmens duomenų tvarkymo operacija, tuo didesnė tikimybė, kad asmens duomenų tvarkymo operacija gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms.
108. Vertinimą, ar planuojami asmens duomenų tvarkymo būdai ir veiksmai atitinka Taisyklių 106 punkte išdėstytus kriterijus ir ar yra poreikis atlikti poveikio asmens duomenų apsaugai vertinimą, atlieka policijos įstaigos struktūrinio padalinio, kuris tvarkys asmens duomenis, vadovas ar darbuotojas, atsakingas už asmens duomenų tvarkymą, konsultuodamasis su Policijos departamento Duomenų apsaugos skyriumi.
109. Policijos departamento Duomenų apsaugos skyrius, nustatęs, kad policijos įstaigos struktūrinio padalinio, kuris tvarkys asmens duomenis, vadovas ar darbuotojas, atsakingas už asmens duomenų tvarkymą, neįvertino asmens duomenų tvarkymo operacijų keliamo pavojaus duomenų subjekto teisėms ir laisvėms, netinkamai jį įvertino ir (ar) pateikė Policijos departamento Duomenų apsaugos skyriui ne visą arba neteisingą informaciją apie planuojamą asmens duomenų tvarkymą, dėl ko be pagrindo nebuvo atliktas poveikio asmens duomenų apsaugai vertinimas, gali inicijuoti jau atliekamų asmens duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimo atlikimą.
110. Už poveikio asmens duomenų apsaugai vertinimą kiekvienu konkrečiu atveju yra atsakingas policijos įstaigos, kuri tvarkys asmens duomenis, vadovas ar jo įgaliotas darbuotojas, atsakingas už asmens duomenų tvarkymą. Poveikio asmens duomenų apsaugai vertinimui atlikti gali būti pasitelkiama išorės konsultantų, specialistų, ekspertų (teisininkų, informacinių technologijų specialistų, saugumo ekspertų, etikos specialistų ir pan.). Atliekant poveikio asmens duomenų apsaugai vertinimą, taip pat pagal kompetenciją dalyvauja Policijos departamento Duomenų apsaugos skyrius.
111. Poveikio asmens duomenų apsaugai vertinimas atliekamas vadovaujantis Reglamento 35 straipsniu arba Teisėsaugos ADTAĮ 25 straipsniu (priklausomai nuo tikslo, kuriam ketinama tvarkyti asmens duomenis) ir atsižvelgiant į Valstybinės duomenų apsaugos inspekcijos viešai skelbiamas rekomendacijas.
112. Atlikus poveikio asmens duomenų apsaugai vertinimą, už poveikio asmens duomenų apsaugai vertinimą atsakingas (-i) asmuo (-enys) užpildo poveikio asmens duomenų apsaugai vertinimo ataskaitą. Šios ataskaitos pavyzdinė forma pateikta Valstybinės duomenų apsaugos inspekcijos tinklalapyje. Panašių didelį pavojų keliančių asmens duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną poveikio asmens duomenų apsaugai vertinimą.
113. Poveikio asmens duomenų apsaugai vertinimo ataskaitos projektas yra teikiamas Policijos departamento Duomenų apsaugos skyriui pateikti nuomonę. Su Policijos departamento Duomenų apsaugos skyriumi suderinta poveikio asmens duomenų apsaugai vertinimo ataskaita per DVS yra pateikiama už sprendimo dėl vertinamos duomenų tvarkymo operacijos priėmimą bei jo įgyvendinimą atsakingam asmeniui.
114. Asmens duomenų tvarkymo veiksmai, kurie gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms, gali būti atliekami tik tada, kai visiškai ir tinkamai įgyvendinamos Valstybinės duomenų apsaugos inspekcijos rekomendacijos, gautos konsultavimosi procedūros metu.
115. Kai asmens duomenų tvarkymo apimtis, pobūdis, kontekstas ir tikslas yra labai panašūs į asmens duomenų tvarkymą, kurio poveikis asmens duomenų apsaugai buvo atliktas, galima iš naujo nevertinti poveikio asmens duomenų apsaugai, o pasinaudoti dėl panašaus asmens duomenų tvarkymo atliktu poveikio asmens duomenų apsaugai vertinimu.
116. Gali būti atliekamas ir esamų asmens duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimas, jei tose operacijose atsirastų reikšmingų pokyčių, pavyzdžiui, jei būtų pradėtos naudoti naujos technologijos, asmens duomenys būtų pradėti tvarkyti kitu tikslu nei iki tol, kiltų naujų rizikų, susijusių su įvykdytomis kibernetinėmis atakomis, asmens duomenys būtų pradėti teikti naujiems duomenų gavėjams, tvarkytojams už Europos Sąjungos ribų ir kt.
XI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
117. Policijos įstaigų darbuotojai su Taisyklėmis supažindinami pasirašytinai. Pirmąjį masinį supažindinimą Policijos įstaigų dokumentų valdymo taisyklėse, patvirtintose Lietuvos policijos generalinio komisaro 2016 m. gruodžio 7 d. įsakymu Nr. 5-V-1021 „Dėl Policijos departamento prie Vidaus reikalų ministerijos dokumentų valdymo taisyklių patvirtinimo“, nustatyta tvarka organizuoja ir vykdo už dokumentų valdymą policijos įstaigoje atsakingas padalinys ar darbuotojai, o už naujai priimamų darbuotojų supažindinimą atsako tiesioginiai vadovai.
118. Darbuotojai, pažeidę Taisyklių ir (ar) teisės aktų, reglamentuojančių asmens duomenų tvarkymą, nuostatas, atsako teisės aktų nustatyta tvarka.
119. Policijos departamento Duomenų apsaugos skyrius ne rečiau kaip kartą per dvejus metus įvertina Taisyklių nuostatų taikymo praktiką, teisės aktų, reglamentuojančių asmens duomenų apsaugą, pakeitimus, aktualią teismų praktiką asmens duomenų apsaugos srityje ir, esant poreikiui, inicijuoja Taisyklių atnaujinimą.
Asmens duomenų tvarkymo policijos įstaigose taisyklių
priedas
(Prašymo dėl duomenų subjekto teisės (-ių) įgyvendinimo forma)
_______________________________________________________________________________________________
(vardas, pavardė)
______________________________________________________________________________________________
(gimimo data)
_______________________________________________________________________________________________
(adresas, telefono numeris, elektroninio pašto adresas ir (ar) kiti kontaktiniai duomenys ryšiui palaikyti)
________________________________________
(policijos įstaigos, kuriai teikiamas prašymas, pavadinimas)
PRAŠYMAS
DĖL DUOMENŲ SUBJEKTO TEISĖS (-IŲ) ĮGYVENDINIMO
____________
(data)
1. Prašau įgyvendinti šią (-as) duomenų subjekto teisę (-es) (pažymėkite kryželiu):
☐ teisę susipažinti su policijoje tvarkomais asmens duomenimis
☐ teisę reikalauti ištaisyti asmens duomenis
☐ teisę reikalauti ištrinti asmens duomenis („teisė būti pamirštam“)
☐ teisę apriboti asmens duomenų tvarkymą
☐ teisę perkelti asmens duomenis
☐ teisę nesutikti su asmens duomenų tvarkymu
☐ teisę atšaukti savo sutikimą
☐ teisę reikalauti, kad nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas
2. Papildoma informacija (pateikite papildomą informaciją, kuri leistų tinkamai įgyvendinti Jūsų teisę (-es):
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
3. Atsakymą noriu gauti (pažymėkite kryželiu ir įrašykite):
☐ registruotu paštu šiuo adresu: _______________________________________________
☐ atvykęs (-usi) į šią policijos įstaigą: __________________________________________
☐ šiuo elektroninio pašto adresu: _______________________________________________
PRIDEDAMA:
1. ________________________________________________________________________
2. ________________________________________________________________________
3. ________________________________________________________________________
_____________ ______________________
(parašas) (vardas, pavardė)