NACIONALINĖS MOKĖJIMO AGENTŪROS
PRIE ŽEMĖS ŪKIO MINISTERIJOS
DIREKTORIUS
ĮSAKYMAS
DĖL NACIONALINĖS MOKĖJIMO AGENTŪROS PRIE ŽEMĖS ŪKIO MINISTERIJOS ASMENS DUOMENŲ TVARKYMO TAISYKLIŲ PATVIRTINIMO
2018 m. rugpjūčio 30 d. Nr. BR1-251
Vilnius
Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų duomenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos nuostatų, patvirtintų Lietuvos Respublikos žemės ūkio ministro 2003 m. sausio 22 d. įsakymu Nr. 3D-17 „Dėl Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos nuostatų“, 21.2 papunkčiu:
1. T v i r t i n u Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos asmens duomenų tvarkymo taisykles (pridedama).
2. S k i r i u l. e. p. Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos Teisės departamento Teisėkūros skyriaus patarėją Viltę Smalakytę atsakinga už Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos asmens duomenų tvarkymo taisyklių įgyvendinimo priežiūrą.
PATVIRTINTA
Nacionalinės mokėjimo
agentūros prie Žemės ūkio ministerijos direktoriaus 2018 m. rugpjūčio 30 d.
įsakymu Nr. BR1-251
NACIONALINĖS MOKĖJIMO AGENTŪROS PRIE ŽEMĖS ŪKIO MINISTERIJOS
ASMENS DUOMENŲ TVARKYMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos asmens duomenų tvarkymo taisyklės reglamentuoja asmens duomenų tvarkymą Nacionalinėje mokėjimo agentūroje prie Žemės ūkio ministerijos, užtikrinant 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų duomenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų, nustatančių asmens duomenų tvarkymą ir apsaugą, nuostatų laikymąsi ir įgyvendinimą.
2. Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos asmens duomenų tvarkymo taisyklių paskirtis – numatyti pagrindines asmens duomenų tvarkymo ir asmens duomenų saugos organizacines priemones.
3. Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos asmens duomenų tvarkymo taisyklių privalo laikytis visi Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis, taip pat kiti asmenys, kurie, tvarkydami asmens duomenis Nacionalinėje mokėjimo agentūroje prie Žemės ūkio ministerijos ir (arba) eidami savo pareigas, sužino asmens duomenis arba turi bet kokio pobūdžio prieigą prie asmens duomenų.
4. Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos direktoriaus paskirtas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, yra atsakingas už Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos asmens duomenų tvarkymo taisyklių įgyvendinimo priežiūrą ir kartu su kitais Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos asmens duomenų tvarkymo taisyklėse nurodytais valstybės tarnautojais ar darbuotojais, dirbančiais pagal darbo sutartis, atlieka Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos asmens duomenų tvarkymo taisyklėse įtvirtintas funkcijas. Asmens, atsakingo už Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos asmens duomenų tvarkymo taisyklių įgyvendinimo priežiūrą, paskyrimas nepanaikina kiekvieno valstybės tarnautojo ar darbuotojo, dirbančio pagal darbo sutartį, kuris tvarko asmens duomenis, eidamas savo pareigas juos sužino arba turi bet kokio pobūdžio prieigą prie asmens duomenų, pareigos ir atsakomybės už Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos asmens duomenų tvarkymo taisyklių laikymąsi ir įgyvendinimą bei asmens duomenų tvarkymo teisėtumą. Už Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos asmens duomenų tvarkymo taisyklių nesilaikymą taikoma atsakomybė teisės aktų nustatyta tvarka.
5. Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos asmens duomenų tvarkymo taisyklėse vartojamos sąvokos ir sutrumpinimai:
5.2. Asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų prieigą gauna asmuo, neturintis leidimo. Asmens duomenų saugumo pažeidimai gali būti: 1) konfidencialumo pažeidimas – netyčinis arba neteisėtas asmens duomenų laikinas ar nuolatinis atskleidimas ar prieigos suteikimas asmenims, kurie neturi teisės susipažinti su asmens duomenimis; 2) prieinamumo pažeidimas – netyčinis arba neteisėtas, laikinas ar nuolatinis prieigos prie asmens duomenų praradimas arba asmens duomenų sunaikinimas; 3) vientisumo pažeidimas – netyčinis arba neteisėtas asmens duomenų laikinas ar nuolatinis pakeitimas;
5.3. Darbuotojas (-ai) – Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos valstybės tarnautojas (-ai) ar darbuotojas (-ai), dirbantis (-ys) pagal darbo sutartį (-is). Darbuotojams Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos asmens duomenų tvarkymo taisyklėse taip pat prilyginami praktikantai bei stažuotojai, atliekantys praktiką arba besistažuojantys Nacionalinėje mokėjimo agentūroje prie Žemės ūkio ministerijos;
5.8. Reglamentas – 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmens duomenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
5.9. Taisyklės – Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos asmens duomenų tvarkymo taisyklės;
5.11. Vaizdo stebėjimas – vaizdo duomenų, susijusių su fiziniu asmeniu, tvarkymas naudojant automatines vaizdo stebėjimo priemones (vaizdo ir fotokameras ar pan.), nepaisant to, ar šie duomenys yra išsaugomi laikmenoje;
II SKYRIUS
ASMENS DUOMENŲ TVARKYMAS
PIRMASIS SKIRSNIS
ASMENS DUOMENŲ TVARKYMO BENDROSIOS NUOSTATOS
7. NMA visi asmens duomenys yra tvarkomi griežtai vadovaujantis Reglamento 5 straipsnio 1 dalyje nustatytų teisėtumo, sąžiningumo ir skaidrumo, tikslo apribojimo, duomenų kiekio mažinimo, tikslumo, saugojimo trukmės apribojimo, vientisumo ir konfidencialumo principų.
8. Asmens duomenys gali būti tvarkomi tik tuo tikslu, kuriuo yra renkami. Jeigu asmens duomenys nėra būtini tam, kad būtų pasiektas konkretus tikslas, jie negali būti tvarkomi. Konkrečiam tikslui pasiekti yra tvarkomas kiek įmanoma mažesnis kiekis asmens duomenų. Asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, turi būti nedelsiant ištrinami arba ištaisomi – NMA imamasi visų pagrįstų priemonių užtikrinti, kad būtų laikomasi Reglamento 5 straipsnio 1 dalyje nustatytų principų. Asmens duomenys tvarkomi ir saugomi ne ilgiau, negu nustatytas jų saugojimo terminas, kuris turi būti ne ilgesnis, negu yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.
9. NMA asmens duomenys gali būti tvarkomi tik tada, jeigu yra bent viena iš Reglamento 6 straipsnio 1 dalyje įtvirtintų teisėto tvarkymo sąlygų.
10. Draudžiama tvarkyti specialių kategorijų asmens duomenis, išskyrus tuos atvejus, jeigu yra bent viena iš Reglamento 9 straipsnio 2 dalyje numatytų sąlygų.
11. Asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas NMA tvarko tik tais atvejais, kai tokią teisę tiesiogiai nustato teisės aktai.
12. Konkretūs tvarkomi asmens duomenys, jų tvarkymo tikslai, saugojimo terminai bei tvarkymo teisiniai pagrindai yra numatyti Asmens duomenų tvarkymo įrašų registre, kuriuo privalo vadovautis Darbuotojai.
13. Darbuotojai prieš kiekvieną asmens duomenų tvarkymo operaciją (veiksmą) privalo įvertinti, ar toks asmens duomenų tvarkymas atitinka Taisyklių 7 ir 8 punktuose įtvirtintus reikalavimus, bei užtikrinti, kad kiekviena duomenų tvarkymo operacija (veiksmas) atitiktų minėtus reikalavimus, taip pat įvertinti, ar toks asmens duomenų tvarkymas turi bent vieną Taisyklių 9 ar 10 punktuose įtvirtintą asmens duomenų tvarkymo pagrindą, bei užtikrinti, kad asmens duomenys nebūtų tvarkomi, jei nėra bent vieno iš minėtų teisinių pagrindų.
14. NMA asmens duomenys nėra tvarkomi tiesioginės rinkodaros tikslais. NMA veikloje nėra vykdomas profiliavimas.
15. NMA vidaus dokumentuose papildomi Duomenų subjektų identifikavimo duomenys, tokie kaip asmens kodas, jeigu tai nėra būtina Duomenų subjekto tapatybei nustatyti, kitam teisėtam tikslui pasiekti arba jeigu to nenustato teisės aktai, nenaudojami.
16. Siekiant užtikrinti, kad asmens duomenys NMA būtų saugomi tik nustatytą terminą, visi NMA tvarkomi asmens duomenys yra fiksuojami Asmens duomenų tvarkymo įrašų registre. Asmens duomenų saugojimo terminai yra nurodyti Asmens duomenų tvarkymo įrašų registre.
17. Pasibaigus asmens duomenų saugojimo terminui, jis gali būti pratęstas, jeigu NMA nustato, kad saugoti asmens duomenis toliau yra būtina, ypač atsižvelgiant į būtinybę panaudoti asmens duomenis kaip įrodymą ikiteisminiame ar kitokiame tyrime, įskaitant ir Inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais teisės aktų nustatytais atvejais. Prieš priimant sprendimą pratęsti asmens duomenų saugojimo terminą, konsultuojamasi su NMA duomenų apsaugos pareigūnu.
ANTRASIS SKIRSNIS
REIKALAVIMAI SUTIKIMUI KAIP ASMENS DUOMENŲ TVARKYMO PAGRINDUI
18. Asmens duomenys sutikimo pagrindu tvarkomi:
18.2. kai, atsižvelgiant į duomenų tvarkymo tikslą ar duomenų kiekį, NMA neturi kito teisinio pagrindo tvarkyti asmens duomenis ar įvykdyti kitus Reglamente nustatytus įpareigojimus visa apimtimi. Jeigu asmens duomenys, atsižvelgiant į jų kiekį ir tvarkymo tikslus, gali būti tvarkomi bent vienu iš Taisyklėse, Reglamente, ADTAĮ įtvirtintų pagrindų, Duomenų subjekto sutikimas papildomai nėra prašomas pateikti;
19. Duomenų subjekto sutikimas yra užpildomas ir teikiamas NMA pagal patvirtintą formą (Taisyklių 1 priedas).
20. Duomenų subjekto sutikimai gali būti renkami šiais būdais: raštu, įskaitant gautus elektroninėmis priemonėmis, žodžiu ar veiksmais, jeigu yra galimybė įrodyti, kad toks sutikimas buvo duotas, ir jeigu Duomenų subjektas savo veiksmais aiškiai sutinka su siūlomu jo asmens duomenų tvarkymu. Pirmenybė kiekvienu atveju yra teikiama Duomenų subjekto sutikimams, gautiems raštu (įskaitant gautus elektroninėmis priemonėmis), o kiti sutikimo būdai gali būti naudojami tik kiekvienu konkrečiu atveju įsitikinus, kad yra įmanoma įrodyti Duomenų subjekto sutikimo davimo faktą. Duomenų subjekto tylėjimas, iš anksto pažymėti laukai arba neveikimas nelaikomi Duomenų subjekto sutikimu.
21. Visais atvejais, kai asmens duomenys yra tvarkomi Duomenų subjekto sutikimo pagrindu, NMA privalo kaupti ir turėti įrodymus, kad Duomenų subjektas davė Taisyklių 1 priede nustatytos formos ir turinio sutikimą.
22. Kai asmens duomenys yra tvarkomi sutikimo pagrindu, tvarkomi tik tie asmens duomenys, kurie nurodyti sutikime, tik tais tikslais, kurie nurodyti sutikime, ir su jais atliekamos tik tos tvarkymo operacijos (veiksmai), kurios nurodytos sutikime. Jeigu keičiasi tvarkomų duomenų kiekis, tvarkymo tikslas ar tvarkymo operacijos (veiksmai), privaloma gauti papildomą sutikimą tokiam duomenų tvarkymui arba turi egzistuoti kitas Taisyklėse, Reglamente, ADTAĮ įtvirtintas asmens duomenų tvarkymo teisinis pagrindas.
23. Sutikimas gali būti asmens duomenų tvarkymo pagrindas, jei atitinka šiuos reikalavimus:
23.1. duotas laisva Duomenų subjekto valia. Vertinant, ar sutikimas duotas laisva valia, atsižvelgiama į šias aplinkybes:
23.1.1. ar sutarties vykdymui nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti. Tokiu atveju nelaikoma, kad sutikimas duotas laisva valia;
23.1.2. ar Duomenų subjektas yra verčiamas duoti sutikimą, neturi realaus pasirinkimo dėl sutikimo davimo, patiria spaudimą, negali realiai kontroliuoti sutikimo davimo bei asmens duomenų ar gali susilaukti neigiamų pasekmių (tiesioginių ir netiesioginių), jeigu sutikimas nebus duotas. Tokiais atvejais nelaikoma, kad sutikimas duotas laisva valia;
23.1.3. jeigu sutikimas yra neatsiejamai susietas su sąlygomis, dėl kurių Duomenų subjektas neturi galimybės derėtis ar jas pakeisti, preziumuojama, kad toks sutikimas nėra duotas laisva valia. Tokiu atveju NMA imasi papildomų priemonių šiai prezumpcijai paneigti ir užtikrinti, kad sutikimas būtų duodamas laisva valia;
23.1.4. jeigu yra aiški NMA ir Duomenų subjekto padėties neatitiktis, ir dėl to tikėtina, kad sutikimas, atsižvelgiant į visas to konkretaus atvejo aplinkybes, gali nebūti duotas laisva valia. Tokiu atveju NMA imasi papildomų priemonių užtikrinti, kad sutikimas būtų duodamas laisva valia;
23.1.5. jeigu sutikimas yra siejamas su keliais duomenų tvarkymo tikslais ar keliomis duomenų tvarkymo operacijomis (veiksmais), Duomenų subjektams turi būti sudaryta galimybė sutikti ne su visais tikslais ar operacijomis (veiksmais), o tik su atskirais tikslais ar operacijomis (veiksmais), jeigu jie nėra tarpusavyje betarpiškai susiję. Priešingu atveju nelaikoma, kad sutikimas duotas laisva valia;
23.2. sutikimas yra konkretus ir išsamus. Laikoma, kad sutikimas yra konkretus ir išsamus, jeigu jis atitinka šiuos reikalavimus:
23.2.2. nurodyti konkretūs asmens duomenys, kurie bus tvarkomi konkrečiais duomenų tvarkymo tikslais;
23.3. sutikimą Duomenų subjektas davė tinkamai informuotas. Tam, kad šis reikalavimas būtų įvykdytas, prieš Duomenų subjektui pasirašant sutikimą, jam turi būti pateikta Reglamento 13 straipsnyje nurodyta informacija bei informuojama apie Duomenų subjekto teisę bet kuriuo metu atšaukti savo sutikimą. Informacija gali būti pateikta raštu, žodžiu, audiovizualinėmis žinutėmis, tačiau visais atvejais tokiu būdu, kad NMA turėtų galimybę įrodyti, jog informacija Duomenų subjektui buvo pateikta ir kad ji atitinka Reglamento 13 straipsnyje įtvirtintą turinį;
23.4. sutikimas yra nedviprasmiškas Duomenų subjekto valios išreiškimas, kad su juo susiję duomenys būtų tvarkomi. Sutikimas turi būti duodamas aktyviais veiksmais;
24. Visais atvejais sutikimas turi būti gaunamas prieš atliekant duomenų tvarkymo operacijas (veiksmus), dėl kurių renkamas sutikimas.
25. Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Duomenų subjektui atšaukus sutikimą, draudžiama tvarkyti asmens duomenis tais tikslais ir atlikti duomenų tvarkymo operacijas (veiksmus), kurios buvo atliekamos tokio sutikimo pagrindu, išskyrus atvejus, kai tokiam duomenų tvarkymui egzistuoja kitas Taisyklėse, Reglamente ar ADTAĮ įtvirtintas asmens duomenų tvarkymo teisinis pagrindas. Sutikimui atšaukti yra sudaromos analogiškos sąlygos kaip ir sutikimui duoti, draudžiama apsunkinti ar sudaryti papildomas sąlygas sutikimui atšaukti. Sutikimo atšaukimas negali sukelti Duomenų subjektui neigiamų padarinių, įskaitant paslaugos kokybės sumažinimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie šiame punkte išdėstytas nuostatas privalo būti informuojamas prieš jam duodant sutikimą.
26. NMA imasi priemonių, kad sutikimai, kiek tai yra įmanoma atsižvelgiant į asmens duomenų tvarkymo tikslus ir apimtį, galiotų apibrėžtą terminą.
27. Sutikimas galioja iki jo atšaukimo momento arba iki sutikime nurodyto jo galiojimo termino pabaigos.
28. Sutikimas ir jame nurodyti asmens duomenys yra saugomi trejus metus nuo sutikimo atšaukimo arba jo galiojimo termino pabaigos, arba nuo NMA sprendimo nebetvarkyti asmens duomenų sutikime nustatytais tikslais priėmimo dienos, išskyrus atvejus, kai teisės aktai numato kitokį duomenų saugojimo terminą. Jei sutikimo duomenys naudojami kaip įrodymai ikiteisminiame ar kitokiame tyrime, įskaitant ir Inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje arba kitais įstatymų nustatytais atvejais, asmens duomenys gali būti saugomi tiek, kiek reikia šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
29. Jeigu NMA iki Taisyklių įsigaliojimo gauti sutikimai neatitinka šių Taisyklių reikalavimų, NMA nedelsdama atnaujina sutikimo formas, kad sutikimai atitiktų šių Taisyklių reikalavimus, išskyrus atvejus, kai toks sutikimų atnaujinimas būtų neproporcingas, o iki šių Taisyklių patvirtinimo dienos gauti sutikimai aiškiai išreiškė Duomenų subjektų valią dėl jų duomenų tvarkymo ir buvo gauti remiantis teisės aktų reikalavimais.
TREČIASIS SKIRSNIS
DUOMENŲ SUBJEKTŲ INFORMAVIMAS
30. NMA privalo informuoti Duomenų subjektą apie jo asmens duomenų tvarkymo veiklą. Kai asmens duomenys gaunami iš paties Duomenų subjekto, Duomenų subjektui pateikiama informacija, nurodyta Reglamento 13 straipsnyje, pagal Taisyklių 2 priede nustatytą formą.
31. Taisyklių 30 punkte nurodyta informacija Duomenų subjektui pateikiama prieš gaunant asmens duomenis arba asmens duomenų gavimo metu.
32. Taisyklių 30 ir 31 punktai netaikomi, jeigu Duomenų subjektas jau turi informaciją apie jo asmens duomenų tvarkymą, ir tokia apimtimi, kiek tos informacijos jis turi.
33. Kai asmens duomenys gaunami ne iš paties Duomenų subjekto, NMA privalo Duomenų subjektui pateikti informaciją, nurodytą Reglamento 14 straipsnyje, pagal Taisyklių 2 priede nustatytą formą.
34. Kai asmens duomenys gaunami ne iš paties Duomenų subjekto, šių Taisyklių 33 punkte nurodyta informacija Duomenų subjektui pateikiama:
34.2. jeigu asmens duomenys bus naudojami ryšiams su Duomenų subjektu palaikyti, – ne vėliau kaip pirmą kartą susisiekiant su tuo Duomenų subjektu;
35. Taisyklių 33 ir 34 punktai netaikomi, jeigu ir tiek, kiek:
35.2. tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų, arba jeigu dėl informavimo pareigos gali tapti neįmanoma pasiekti to tvarkymo tikslus arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus. Tokiais atvejais NMA imasi tinkamų priemonių Duomenų subjekto teisėms ir laisvėms ir teisėtiems interesams apsaugoti, įskaitant viešą informacijos apie asmens duomenų tvarkymą paskelbimą NMA interneto svetainės skiltyje „Asmens duomenų apsauga“;
36. Jei NMA ketina toliau tvarkyti asmens duomenis kitu tikslu, nei tas, kuriuo asmens duomenys buvo renkami, prieš toliau tvarkydama duomenis, NMA pateikia Duomenų subjektui informaciją apie kitą tikslą ir informaciją, kaip nurodyta Taisyklių 2 priede.
III SKYRIUS
DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI
38. NMA yra tvarkomi duomenų tvarkymo veiklos įrašai pagal šiose Taisyklėse patvirtintą formą (Taisyklių 3 priedas) pildant Asmens duomenų tvarkymo įrašų registrą ir vadovaujantis Asmens duomenų tvarkymo įrašų registro informacijos atnaujinimo tvarkos aprašu, patvirtintu NMA direktoriaus 2007 m. gruodžio 20 d. įsakymu Nr. BR1-840 „Dėl Asmens duomenų tvarkymo įrašų registro informacijos atnaujinimo tvarkos aprašo patvirtinimo“ (toliau – Asmens duomenų tvarkymo įrašų registro informacijos atnaujinimo tvarkos aprašas). NMA vykdoma asmens duomenų tvarkymo veikla privalo tiksliai atitikti Asmens duomenų tvarkymo įrašų registrą.
39. NMA yra tvarkomi tik tie asmens duomenys ir tik tuo tikslu bei tuo teisiniu pagrindu, kurie nurodyti Asmens duomenų tvarkymo įrašų registre.
41. Už Asmens duomenų tvarkymo įrašų registro pildymą ir tvarkymą atsakingas duomenų apsaugos pareigūnas.
42. Darbuotojai nedelsiant informuoja duomenų apsaugos pareigūną, jeigu NMA Asmens duomenų tvarkymo įrašų registro įrašai neatitinka NMA realaus poreikio dėl asmens duomenų tvarkymo Asmens duomenų tvarkymo įrašų registro informacijos atnaujinimo tvarkos apraše nustatyta tvarka.
43. Asmens duomenų tvarkymo įrašų registro įrašai turi būti teisingi, aktualūs ir išsamūs, atspindėti realią NMA duomenų tvarkymo veiklą.
44. Asmens duomenų tvarkymo įrašų registras / jo išrašas, gavus prašymą, pateikiamas Inspekcijai jos prašyme nurodytais terminais.
45. NMA periodiškai, ne rečiau kaip vieną kartą per metus, tikrinama, ar NMA vykdoma asmens duomenų tvarkymo veikla atitinka Asmens duomenų tvarkymo įrašų registrą. Už šias patikras yra atsakingas duomenų apsaugos pareigūnas, kuris patikrai atlikti gali pasitelkti NMA Darbuotojus. Patikros rezultatai yra įforminami išvada, kurioje nurodoma, ar NMA vykdoma asmens duomenų tvarkymo veikla atitinka Asmens duomenų tvarkymo įrašų registrą, nurodomi trūkumai, jeigu tokie nustatyti, bei rekomendacijos, kaip nustatytus trūkumus ištaisyti. Patikros išvados pateikiamos NMA direktoriui.
46. Duomenų apsaugos pareigūnas atlieka nuolatines patikras NMA, ar NMA vykdoma asmens duomenų tvarkymo veikla atitinka Asmens duomenų tvarkymo įrašų registrą. Patikrų metu gali būti tikrinama tik konkreti duomenų tvarkymo operacija (veiksmas), konkrečios Duomenų subjektų kategorijos duomenų tvarkymo veikla, konkretus duomenų tvarkymo veiklos epizodas. Patikros rezultatai yra įforminami protokolu, kuriame nurodoma, ar tikrinta NMA vykdoma asmens duomenų tvarkymo veikla atitinka Asmens duomenų tvarkymo įrašų registrą, nurodomi trūkumai, jeigu tokie nustatyti. Patikros protokolas yra teikiamas NMA direktoriui. Patikros metu nustačius trūkumus, nedelsiant imamasi priemonių jiems ištaisyti.
IV SKYRIUS
DUOMENŲ APSAUGOS PAREIGŪNAS
47. NMA direktorius įsakymu paskiria vieną NMA duomenų apsaugos pareigūną ir, jam negalint vykdyti funkcijų ir atlikti užduočių, jį pavaduojantį asmenį.
48. NMA duomenų apsaugos pareigūno vardas, pavardė, telefono numeris, el. pašto adresas yra skelbiami NMA tokiu būdu, kad Darbuotojams būtų aišku, jog konkretus asmuo yra duomenų apsaugos pareigūnas, taip pat jo funkcijos bei uždaviniai. Duomenų apsaugos pareigūno kontaktiniai duomenys pranešami Inspekcijai, taip pat nurodomi NMA internetinės svetainės skiltyje „Asmens duomenų apsauga“, sutikimo dėl duomenų tvarkymo formoje (Taisyklių 1 priedas), informavimo apie duomenų tvarkymą formoje (Taisyklių 2 priedas) ir kitose vietose, siekiant sudaryti galimybę suinteresuotiems asmenims be kliūčių susisiekti su duomenų apsaugos pareigūnu.
49. Visi NMA Darbuotojai privalo bendradarbiauti su duomenų apsaugos pareigūnu, skubiai teikti visus jo paprašytus dokumentus ir informaciją. Darbuotojai privalo palaikyti nuolatinį kontaktą su duomenų apsaugos pareigūnu, t. y. užtikrinti, kad su juo duomenų apsaugos pareigūnui būtų lengva susisiekti, operatyviai reaguoti į duomenų apsaugos pareigūno paklausimus.
V SKYRIUS
DUOMENŲ SUBJEKTŲ TEISĖS IR JŲ ĮGYVENDINIMO TVARKA
50. Duomenų subjektai turi visas Reglamente įtvirtintas teises:
51. NMA imasi visų būtinų priemonių, kad visos Duomenų subjektų teisės būtų tinkamai įgyvendintos šiose Taisyklėse, Duomenų subjekto teisių įgyvendinimo Nacionalinėje mokėjimo agentūroje prie Žemės ūkio ministerijos taisyklėse, patvirtintose NMA direktoriaus 2017 m. vasario 28 d. įsakymu Nr. BR1-64 „Dėl Duomenų subjekto teisių įgyvendinimo Nacionalinėje mokėjimo agentūroje prie Žemės ūkio ministerijos taisyklių patvirtinimo“, ir Reglamente įtvirtinta tvarka. NMA yra tvarkomas Duomenų subjektų teisių įgyvendinimo registras pagal Taisyklių 4 priede patvirtintą formą, kuriame privalo būti fiksuojami visi Duomenų subjektų prašymai, skundai, pretenzijos bei veiksmai, kurių imtasi tokių prašymų, skundų, pretenzijų pagrindu. Už registro pildymą atsakingas duomenų apsaugos pareigūnas.
VI SKYRIUS
DARBUOTOJŲ ASMENS DUOMENŲ TVARKYMO YPATUMAI
52. Darbuotojų asmens duomenys yra tvarkomi šiais pagrindais: darbo sutarties ar kitos su Darbuotoju sudarytos sutarties sudarymas ir vykdymas, valstybės tarnybos teisinių santykių pagrindas, teisės aktuose nustatytų teisinių prievolių vykdymas, NMA ar trečiųjų asmenų teisėtas interesas (pavyzdžiui, NMA materialinės nuosavybės apsauga, Darbuotojų produktyvumo ir komunikacijos gerinimas, konfidencialios informacijos apsauga, asmens duomenų, už kuriuos atsakinga NMA, apsauga, klientų turto ir interesų apsauga, Darbuotojų bei klientų teisių ir saugumo užtikrinimas, ir kt.).
53. NMA gali būti tvarkomi tik tie Darbuotojų asmens duomenys, kurie yra būtini darbo sutarčiai/ valstybės tarnybos teisinių santykių ar kitai su Darbuotoju sudarytai sutarčiai sudaryti ir vykdyti, teisės aktuose nustatytoms NMA teisinėms prievolėms vykdyti, konkrečiam NMA teisėtam interesui apsaugoti. Darbuotojų duomenų tvarkymo tikslai numatyti Asmens duomenų tvarkymo įrašų registre.
54. NMA draudžiama tvarkyti su darbu/ valstybės tarnyba ir jų teisių įgyvendinimu nesusijusius (perteklinius) Darbuotojų asmens duomenis, taip pat pateikti Darbuotojo asmens duomenis tretiesiems asmenims, išskyrus įstatymuose ir šiose Taisyklėse nustatytus atvejus.
55. Darbuotojai šių Taisyklių nustatyta tvarka yra informuojami apie jų asmens duomenų tvarkymą Kompiuterizuotos dokumentų valdymo sistemos (toliau – DVS) priemonėmis.
56. Draudžiama tvarkyti pretendento eiti pareigas arba dirbti darbus, ir Darbuotojo asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, išskyrus atvejus, kai šie asmens duomenys būtini patikrinti, ar asmuo atitinka įstatymuose ir (ar) įgyvendinamuosiuose teisės aktuose nustatytus reikalavimus pareigoms eiti arba darbams dirbti ir atsakomybei teisės aktų nustatyta tvarka taikyti.
57. Pretendento eiti pareigas arba dirbti darbus, asmens duomenis, susijusius su kvalifikacija, profesiniais gebėjimais ir dalykinėmis savybėmis, galima rinkti iš buvusio darbdavio/ valstybės ir savivaldybių įstaigų, kurioje valstybės tarnautojas atlieka valstybės tarnybą ar dirba pagal darbo sutartis, prieš tai informavus pretendentą, o iš esamo darbdavio/ valstybės ir savivaldybės įstaigos, kurioje valstybės tarnautojas atlieka valstybės tarnybą ar dirba pagal darbo sutartis, – tik pretendento sutikimu.
58. Viešai prieinami asmens duomenys apie pretendentą, pretenduojantį eiti pareigas arba dirbti darbus, ar Darbuotojus gali būti renkami tik tiek ir tik tokia apimtimi, kiek tie asmens duomenys yra tiesiogiai reikalingi ir aktualūs darbo/ valstybės tarnybos pareigoms ir funkcijoms, į kurias pretenduojama, vykdyti. Apie šią galimybę pretendentai yra informuojami darbo skelbime/ priėmimo į valstybės tarnybą paskelbimo pranešime.
59. Pretendento eiti pareigas arba dirbti darbus, neatrinkto eiti pareigas arba dirbti darbus, asmens duomenys saugomi ne ilgiau nei 3 mėnesius nuo momento, kai pretendentui buvo pranešta, kad su juo nebus sudaryta darbo sutartis/ pretendentas nebuvo atrinktas į valstybės tarnautojus. Ilgesnį terminą tokio asmens duomenys gali būti saugomi tik tada, jeigu yra gaunamas pretendento sutikimas, atitinkantis šiose Taisyklėse įtvirtintus reikalavimus, arba atsiranda kitas teisinis pagrindas ilgiau saugoti duomenis.
60. Pasibaigus darbo/ valstybės tarnybos teisiniams santykiams, nauji duomenys apie Darbuotoją gali būti renkami tik esant teisiniam pagrindui ir tik tiek, kiek jie yra susiję ir būtini remiantis konkrečiu teisiniu pagrindu pagrįstam tikslui pasiekti. Apie tokį duomenų rinkimą Darbuotojai yra informuojami supažindinant su šiomis taisyklėmis DVS priemonėmis.
61. Darbuotojas NMA darbo/ valstybės tarnybos funkcijoms vykdyti suteiktą kompiuterį, elektroninį paštą ir kitus NMA įrenginius, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą naudoja tik su darbu/ valstybės tarnyba susijusiais tikslais ir tik darbo/ valstybės tarnybos funkcijoms vykdyti. Darbuotojams yra draudžiama naudoti kompiuterius, telefonus ir kitą NMA suteiktą įrangą, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą asmeniniais tikslais, juose kaupti asmeninio pobūdžio informaciją, asmens duomenis. Jeigu Darbuotojas naudoja kompiuterius, telefonus ir kitą NMA suteiktą įrangą, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą asmeniniais tikslais, juose kaupia asmeninio pobūdžio informaciją ir asmens duomenis, Darbuotojas prisiima riziką, kad tokią informaciją, asmens duomenis NMA gali sužinoti patikrinimo metu.
62. Darbuotojai savo darbo/ valstybės tarnybos funkcijas atlieka tik naudodami NMA kompiuterius, elektroninius paštus ir kitus NMA įrenginius, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą, išskyrus tuos atvejus, kai NMA direktorius ar jo įgaliotas asmuo priima sprendimą dėl leidimo NMA Darbuotojui darbo funkcijas atlikti naudojantis asmeninėmis priemonėmis. Darbuotojai, turintys nuotolinę prieigą prie NMA infrastuktūros, privalo imtis visų priemonių, kad būtų užtikrintas informacijos ir duomenų saugumas bei konfidencialumas, o NMA privalo padėti Darbuotojui įgyvendinti šią pareigą.
63. Nuolatinį NMA Darbuotojui suteikto kompiuterio, elektroninio pašto ir kitų NMA įrenginių, prietaisų, įtaisų, informacijos ir ryšių technologijų, programinės įrangos stebėjimą ar tikrinimą vykdyti draudžiama. NMA Darbuotojams suteiktos darbo priemonės, įranga, įskaitant elektroninius paštus, kompiuterius, mobiliuosius telefonus, juose esantys asmens duomenys, kiti duomenys bei informacija gali būti tikrinami tik esant šioms sąlygoms:
63.2. yra pagrindas manyti, kad Darbuotojas padarė darbo/ valstybės tarnybos pareigų pažeidimą arba vykdė veiklą, nesuderinamą su NMA interesais, arba vykdė teisės aktams prieštaraujančią veiklą, arba NMA siekia patikrinti, ar Darbuotojas laikosi įsipareigojimų NMA, tinkamai vykdo teisės aktų, įskaitant NMA vidinių dokumentų, reikalavimus, arba egzistuoja kitos svarbios tokį patikrinimą pagrindžiančios priežastys;
64. Šiose Taisyklėse įtvirtintas tikrinimas vykdomas limituota apimtimi, t. y. apibrėžtas konkretus laikotarpis, už kurį tikrinama, tikrinamas konkretaus projekto vykdymas, tikrinamas konkrečių funkcijų vykdymas ir tikrinamas tik tiek, kiek yra būtina išsiaiškinti šiose Taisyklėse išdėstytas aplinkybes ir apginti NMA interesus. Duomenų apsaugos pareigūnas teikia konsultacijas, kad tikrinimas nepažeistų Reglamento, Taisyklių nuostatų bei Duomenų subjektų teisės į privatumą.
65. Darbuotojai turi būti supažindinti su informacinių ir komunikacinių technologijų naudojimo bei Darbuotojų stebėsenos ir kontrolės darbo vietoje tvarka.
66. Vaizdo stebėjimas ir garso įrašymas Darbuotojų darbo vietose gali būti vykdomas tik tada, kai dėl darbo specifikos būtina užtikrinti asmenų, turto ar visuomenės saugumą, ir kitais atvejais, kai kiti būdai ar priemonės yra nepakankami ir (arba) netinkami siekiant išvardytų tikslų, išskyrus atvejus, kai tiesiogiai siekiama kontroliuoti darbo kokybę ir mastą. Apie vaizdo stebėjimą ir garso įrašymą konkrečioje vietoje informuojama vaizdiniu žymeniu matomoje vietoje.
67. Tvarkant vaizdo ir (ar) garso duomenis darbo vietoje ir Duomenų valdytojo patalpose ar teritorijose, kuriose dirba/ eina pareigas jo Darbuotojai, tvarkant asmens duomenis, susijusius su Darbuotojų elgesio, vietos ar judėjimo stebėsena, šie Darbuotojai apie tokį jų asmens duomenų tvarkymą turi būti informuojami būdu, įrodančiu informavimo faktą.
VII SKYRIUS
VAIZDO DUOMENŲ TVARKYMO YPATUMAI
68. Vykdant vaizdo stebėjimą ir tvarkant Vaizdo duomenis užtikrinama, kad toks Vaizdo duomenų rinkimas ir tvarkymas atitiktų Taisyklių nuostatas.
70. Vaizdo stebėjimo ir Vaizdo duomenų tvarkymo tikslas – užtikrinti NMA, klientų, Darbuotojų ir kitų asmenų bei jų turto saugumą. Kitais tikslais Vaizdo duomenys gali būti tvarkomi, jeigu toks tvarkymas atitinka šių Taisyklių nuostatas. Jeigu vaizdas stebimas kitais tikslais, prieš pradedant tokį stebėjimą privalo būti atliktas poveikio duomenų apsaugai vertinimas, nustatytos rizikos ir įgyvendintos jas mažinančios priemonės. Garsas su vaizdu klausomas ir įrašomas tik tais atvejais, kai tai yra būtina šiame punkte išdėstytiems tikslams pasiekti.
72. Vaizdo stebėjimo kameros turi būti įrengiamos taip, kad vaizdo stebėjimas nebūtų vykdomas didesnėje Duomenų valdytojo teritorijoje ar patalpoje, nei nurodyta šių Taisyklių 5 priede.
73. Šių Taisyklių 5 priede įtvirtinta vaizdo stebėjimo apimtis gali būti keičiama tik prieš tai atlikus poveikio duomenų apsaugai vertinimą.
74. Vaizdo duomenys renkami dviem būdais: peržiūrimi realiu laiku ir daromas vaizdo duomenų įrašas. Vaizdo duomenų įrašų atsarginės kopijos daromos tais atvejais, kai yra nustatoma pagrįstas poreikis Vaizdo duomenų įrašą saugoti ilgesnį negu Taisyklėse nurodytą laikotarpį dėl vaizdo įrašų duomenų panaudojimo kaip įrodymo ikiteisminiame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje, kituose teisiniuose procesuose siekiant apginti NMA ir (ar) trečiųjų asmenų pagrįstas teises ir laisves ar kitais įstatymų nustatytais atvejais.
75. Vaizdo duomenys gali būti teikiami tik NMA pasitelktiems Vaizdo duomenų tvarkytojams ir ikiteisminį tyrimą arba kitą tyrimą atliekančiai įstaigai, prokurorui ar teismui dėl jų žinioje esančių administracinių, civilinių, baudžiamųjų bylų kaip įrodymai ar kitais įstatymų nustatytais atvejais. Vaizdo duomenys Duomenų subjektui gali būti pateikti susipažinti tik tada, jeigu egzistuoja visos Taisyklėse įtvirtintos sąlygos.
76. Įgyvendinant Duomenų subjekto teisę susipažinti su savo Vaizdo duomenimis, užtikrinama trečiųjų asmenų teisė į privatų gyvenimą, t. y. Duomenų subjektui susipažįstant su vaizdo įrašu, jeigu vaizdo įraše matomi kiti asmenys, kurių tapatybė gali būti nustatyta, ar kita informacija, kuri gali pažeisti trečiųjų asmenų privatumą, šie vaizdai turi būti retušuoti ar kitais būtais panaikinama galimybė identifikuoti trečiuosius asmenis.
77. Vykdant vaizdo stebėjimą draudžiama:
77.1. įrengti ir eksploatuoti įrengtas vaizdo stebėjimo priemones, kad į jų stebėjimo lauką patektų gyvenamoji patalpa ir (arba) jai priklausanti privati teritorija ar įėjimas į ją;
77.2. stebėti vaizdą NMA patalpose, kuriose Duomenų subjektas pagrįstai tikisi absoliučios privatumo apsaugos ir kur toks vaizdo stebėjimas žemintų žmogaus orumą;
78. Pagrindiniai Vaizdo duomenų saugumo užtikrinimo principai ir priemonės:
78.2. prieiga prie vaizdo įrangos ir (ar) Vaizdo duomenų asmenims suteikiama tik pasirašytinai įsipareigojus saugoti asmens duomenų paslaptį;
78.3. prieiga prie Vaizdo duomenų gali būti suteikta tik tam NMA Darbuotojui, kuriam asmens duomenys yra reikalingi jam priskirtoms funkcijoms vykdyti;
78.4. su Vaizdo duomenimis galima atlikti tik tuos veiksmus, kuriems atlikti duomenų tvarkytojui yra suteiktos teisės;
78.5. prieigos prie Vaizdo duomenų slaptažodžiai suteikiami, keičiami ir saugomi užtikrinant jų konfidencialumą;
78.9. užtikrinama Vaizdo duomenų apsauga nuo neteisėto prisijungimo prie vidinio kompiuterinio tinklo elektroninių ryšių priemonėmis – prieiga prie vidinio kompiuterių tinklo apsaugota ugniasiene;
78.10. užtikrinamas vaizdo įrangos, kurioje saugomi Vaizdo duomenys, fizinis saugumas – ribojama ir kontroliuojama neturinčių įgaliojimų tvarkyti Vaizdo duomenis asmenų prieiga prie vaizdo įrangos;
78.11. užtikrinama vaizdo įrangos apsauga nuo kenksmingos programinės įrangos – įdiegtos ir nuolatos atnaujinamos vidinio tinklo ir antivirusinės apsaugos priemonės;
79. Prieigos teisių ir įgaliojimų tvarkyti Vaizdo duomenis suteikimo, naikinimo ir keitimo tvarka nustatyta Informacinės sistemos naudotojų teisių sukūrimo, keitimo ir panaikinimo taisyklėse, patvirtintose Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos direktoriaus 2005 m. rugsėjo 16 d. įsakymu Nr. BR1-663 „Dėl Informacinės sistemos naudotojų teisių sukūrimo, keitimo ir panaikinimo taisyklių patvirtinimo“ (toliau – Informacinės sistemos naudotojų teisių sukūrimo, keitimo ir panaikinimo taisyklės). NMA užtikrina, kad prieigos teisės prie Vaizdo duomenų būtų suteikiamos tik legaliems naudotojams ir tik tokia apimtimi, kiek jos būtinos Darbuotojų pareiginėms funkcijoms atlikti, siekiant tinkamai vykdyti asmens duomenų tvarkymo sutartį, sudarytą su asmens duomenų tvarkytoju. Prieigos teisės prie Vaizdo duomenų naikinamos pasibaigus duomenų valdytojo ir jo darbuotojo darbo santykiams, pasibaigus valstybės tarnybos teisiniams santykiams, pasikeitus darbo funkcijoms, kurioms vykdyti prieiga prie Vaizdo duomenų nereikalinga, taip pat nutraukus asmens duomenų tvarkymo sutartį, sudarytą su asmens duomenų tvarkytoju, ar šiai sutarčiai nustojus galioti.
80. Vaizdo duomenų įrašymo ir saugojimo terminas nurodytas šių Taisyklių 5 priede. Pasibaigus nustatytam terminui, duomenys automatiniu būdu sunaikinami. Jei vaizdo įrašų duomenys naudojami kaip įrodymai ikiteisminiame ar kitame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais įstatymų nustatytais atvejais, Vaizdo duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
81. Duomenų valdytojo ar duomenų tvarkytojo Darbuotojai, turintys prieigos teisę prie Vaizdo duomenų, pastebėję Vaizdo duomenų saugumo pažeidimus (veiksmus ar neveikimą, galinčius sukelti ar sukeliančius grėsmę asmens duomenų saugumui), turi informuoti NMA duomenų apsaugos pareigūną. Tolimesnė procedūra vykdoma Taisyklių IX skyriuje nustatyta tvarka.
82. Duomenų subjektų teisės, susijusios su vaizdo duomenų tvarkymu, įgyvendinamos Taisyklių V skyriuje nustatyta tvarka.
83. Duomenų subjektas apie duomenų tvarkymą vykdant Vaizdo stebėjimą informuojamas iškabinant informacines lenteles su filmavimo kameros simboliu prieš patenkant į patalpas ar teritoriją, kurioje vykdomas vaizdo stebėjimas. NMA Darbuotojai apie vaizdo stebėjimą Duomenų valdytojo teritorijoje, kurioje dirba/ eina pareigas turi būti informuojami per DVS prieš pradedant vykdyti vaizdo stebėjimą arba pirmąją Darbuotojo darbo dieną, arba pirmąją darbo dieną po Darbuotojo atostogų, po komandiruotės ar nedarbingumo laikotarpio, jei vaizdo stebėjimas buvo pradėtas vykdyti šiuo laikotarpiu.
VIII SKYRIUS
ASMENS DUOMENŲ SAUGUMO NUOSTATOS
84. NMA taikomų tipinių asmens duomenų saugumo priemonių sąrašas patvirtintas šių Taisyklių 6 priede.
85. Pagrindiniai asmens duomenų saugumo užtikrinimo principai ir priemonės:
85.1. užtikrinama tinkama prieigos prie asmens duomenų apsauga, valdymas ir kontrolė. Prieigos teisės prie asmens duomenų suteikiamos, naikinamos ir keičiamos griežtai vadovaujantis Informacinės sistemos naudotojų teisių sukūrimo, keitimo ir panaikinimo taisyklėmis. NMA užtikrina, kad prieigos teisės prie asmens duomenų būtų suteikiamos tik legaliems naudotojams ir tik tokia apimtimi, kiek jos būtinos Darbuotojų pareiginėms funkcijoms atlikti, siekiant tinkamai vykdyti asmens duomenų tvarkymo sutartį, sudarytą su asmens duomenų tvarkytoju. Prieigos teisės prie asmens duomenų naikinamos pasibaigus Duomenų valdytojo ir jo darbuotojo darbo santykiams, pasibaigus valstybės tarnybos teisiniams santykiams, pasikeitus darbo funkcijoms, kurioms vykdyti prieiga prie Vaizdo duomenų nereikalinga, taip pat nutraukus asmens duomenų tvarkymo sutartį, sudarytą su asmens duomenų tvarkytoju, ar šiai sutarčiai nustojus galioti;
85.2. su asmens duomenimis galima atlikti tik tuos veiksmus, kuriems atlikti naudotojui yra suteiktos teisės;
85.5. kompiuterinės darbo vietos, tarnybinės stotys ir kita techninė įranga, kurios pagalba gali būti pasiekiami asmens duomenys, yra tinkamai apsaugota, vadovaujantis gerosiomis informacijos saugos praktikomis ir teisės aktų reikalavimais;
85.6. draudžiamas ir griežtai kontroliuojamas nelegalios (neleistinos) programinės įrangos naudojimas;
85.7. užtikrinama tinkama asmens duomenų apsauga nuo neteisėtos prieigos elektroninių ryšių priemonėmis;
85.9. kiti asmens duomenų saugos reikalavimai nustatomi ir įgyvendinami vadovaujantis Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“;
85.10. asmens duomenų saugos priemonės parenkamos vadovaujantis tarptautiniais standartais ISO/IEC 27001 ir ISO/IEC 27002, Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos informacijos saugumo politika, patvirtinta NMA direktoriaus 2008 m. vasario 29 d. įsakymu Nr. BR1-154 „Dėl Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos informacijos saugumo politikos ir su ja susijusių dokumentų patvirtinimo bei kai kurių įsakymų pakeitimo ir pripažinimo netekusiais galios“[1];
IX SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMAS
86. Asmens duomenų saugumo pažeidimai gali būti nulemti šių rizikos veiksnių:
86.1. netyčiniai veiksmai, kai asmens duomenų saugumas pažeidžiamas dėl atsitiktinių priežasčių (duomenų tvarkymo klaidos, informacijos laikmenų, duomenų įrašų ištrynimo, sunaikinimo, ar sistemų sutrikimai dėl elektros tiekimo nutrūkimo, kompiuterinio viruso ir pan., vidaus taisyklių pažeidimas, sistemos priežiūros trūkumas, programinės įrangos testai, netinkama duomenų laikmenų priežiūra, netinkamas ryšio linijų pajėgumas ir apsauga, kompiuterių integravimas į tinklą, kompiuterinių programų apsaugos, ir kt.);
86.2. tyčiniai, kai asmens duomenų saugumas pažeidžiamas sąmoningai (neteisėtas įsibrovimas į NMA patalpas, asmens duomenų laikmenų saugyklas, informacines sistemas, kompiuterių tinklą, piktybinis nustatytų taisyklių tvarkant asmens duomenis pažeidimas, sąmoningas kompiuterinio viruso platinimas, asmens duomenų vagystė, neteisėtas naudojimasis kito Darbuotojo teisėmis ir kt.);
87. Visų Taisyklių 86 punkte nustatytų rizikų sukelti Asmens duomenų saugumo pažeidimai patenka į šio Taisyklių skyriaus reguliavimo sritį. Asmens duomenų saugumo valdymo schema pateikta Taisyklių 7 priede.
88. Įvykus bet kokiam Asmens duomenų saugumo pažeidimui ar kitam incidentui, susijusiam su asmens duomenų saugumu NMA, Darbuotojai, kuriems tapo žinoma apie Asmens duomenų saugumo pažeidimą, privalo nedelsiant, bet ne vėliau kaip pažeidimo ar incidento paaiškėjimo dieną, informuoti duomenų apsaugos pareigūną. Nepagrįstas delsimas informuoti duomenų apsaugos pareigūną apie Asmens duomenų saugumo pažeidimą yra šiurkštus darbo drausmės pažeidimas.
89. Įvykus bet kokiam Asmens duomenų saugumo pažeidimui, NMA privalo kuo greičiau ištaisyti Asmens duomenų saugumo pažeidimus, eliminuoti jų pasekmes, siekiant atstatyti padėtį, kuri buvo prieš pažeidimą, imtis visų priemonių, kad pavojus arba galima žala Duomenų subjektų teisėms ir laisvėms būtų sumažinta arba panaikinta.
90. Asmens duomenų saugumo pažeidimo atveju NMA ne vėliau kaip per 72 valandas nuo tada, kai NMA sužinojo apie Asmens duomenų saugumo pažeidimą, vadovaujantis Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos apraše, patvirtintame Inspekcijos direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T-72(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“, tvarka ir sąlygomis praneša Inspekcijai, pateikdama užpildytą Taisyklių 8 priede patvirtintą pranešimą.
91. Pranešimas Inspekcijai nėra teikiamas, jeigu Asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Nustatant, ar Asmens duomenų saugumo pažeidimas kelia pavojų fizinių asmenų teisės ir laisvėms, vertinama:
91.3. Duomenų subjekto identifikavimo galimybė tiesiogiai ar netiesiogiai pasinaudojant pažeidimo objektu esančiais duomenimis;
91.4. padarinių Duomenų subjektui sunkumas, t. y. vertinama tokio Asmens duomenų saugumo pažeidimo galimi sukelti fiziniai, materialiniai ir nematerialiniai padariniai Duomenų subjekto teisėms ir laisvėms: ar Duomenų subjektas praranda savo asmens duomenų kontrolę, ar pasireiškia koks nors Duomenų subjektų teisių apribojimas, diskriminacija, tapatybės vagystė ar sukčiavimas, finansiniai nuostoliai, neteisėtas pseudonimo panaudojimas ar atskleidimas, žala reputacijai, konfidencialios informacijos (komercinės, gamybinės, profesinės paslapties) praradimas, jautrios informacijos atskleidimas, kiti galimi ekonominiai, socialiniai nuostoliai;
92. Preziumuojama, kad Asmens duomenų saugumo pažeidimas kelia pavojų Duomenų subjekto asmens teisėms ir laisvėms, kai Asmens duomenų saugumo pažeidimas yra susijęs su specialių kategorijų asmens duomenimis.
93. Kai dėl Asmens duomenų saugumo pažeidimo gali kilti didelis pavojus Duomenų subjektų teisėms ir laisvėms, NMA privalo ne vėliau kaip per 72 valandas pranešti apie Asmens duomenų saugumo pažeidimą tiesiogiai Duomenų subjektui pateikdama nurodytos formos pranešimą (Taisyklių 8 priedas). Pranešimas Duomenų subjektui pateikiamas įprastu komunikavimo su Duomenų subjektu būdu, dedant maksimalias pastangas, kad pranešimas pasiektų adresatą.
94. Šiose Taisyklėse nurodytas pranešimas Duomenų subjektams apie Asmens duomenų saugumo pažeidimus nėra teikiamas, jeigu yra bent viena Reglamento 34 straipsnio 3 dalyje nurodytų sąlygų. Jeigu NMA remiasi šia nuostata, NMA turi pagrįsti, kad atitinka Reglamento 34 straipsnio 3 dalyje sąlygos, kuria remiasi, reikalavimus.
95. NMA privalo informuoti Duomenų subjektus apie Asmens duomenų saugumo pažeidimą, pateikdama nustatytos formos pranešimą, jeigu to pareikalauja Inspekcija.
96. Už pranešimų apie Asmens duomenų saugumo pažeidimą pateikimą Inspekcijai ir Duomenų subjektams yra atsakingas duomenų apsaugos pareigūnas. NMA Darbuotojai privalo operatyviai teikti duomenų apsaugos pareigūnui visą jo paprašytą su Asmens duomenų saugumo pažeidimu susijusią informaciją ir dokumentus.
97. Jeigu NMA, veikdama kaip duomenų tvarkytoja, sužino apie Asmens duomenų saugumo pažeidimus, nedelsdama apie tai raštu praneša Duomenų valdytojui. NMA, sudarydama bet kokio pobūdžio sutartis, kurių pagrindu yra perduodami asmens duomenys, užtikrina, kad sutartyse būtų įtvirtinta pareiga sutarties šaliai pranešti NMA apie Asmens duomenų saugumo pažeidimo atvejus ne vėliau kaip per 24 val. nuo sužinojimo momento pateikiant pranešimo formoje nustatytą informaciją bei bendradarbiauti teikiant informaciją Inspekcijai ir (ar) Duomenų subjektams. NMA, veikdama kaip duomenų tvarkytoja, teikia pranešimą Inspekcijai ir (ar) Duomenų subjektams, jeigu turi Duomenų valdytojo įgaliojimą arba jeigu tokia pareiga nustatyta sutartyje, kurios pagrindu duomenys yra tvarkomi.
98. NMA tvarkomas atskiras Asmens duomenų saugumo pažeidimų registras pagal Taisyklių 9 priede patvirtintą formą. Už Asmens duomenų saugumo pažeidimų registro pildymą atsakingas duomenų apsaugos pareigūnas. Asmens duomenų saugumo pažeidimų registre registruojami visi Asmens duomenų saugumo pažeidimai, nepaisant to, ar apie juos pranešta Inspekcijai ir Duomenų subjektui, ar tokie pažeidimai gali sukelti pavojų Duomenų subjektų teisėms ir laisvėms, ar ne. Registras yra pateikiamas Inspekcijai jai pareikalavus. Registras gali būti popierinės arba elektroninės formos.
99. Duomenų apsaugos pareigūnas turi pareigą nuolat stebėti asmens duomenų tvarkymo veiklą NMA ir tirti bet kokius incidentus, kurie gali būti susiję su Asmens duomenų saugumo pažeidimais. Esant poreikiui NMA gali būti sudaryta darbo grupė tirti Asmens duomenų saugumo pažeidimus, jų priežastis, pasekmes bei teikti pasiūlymus dėl Asmens duomenų saugumo pažeidimų išvengimo ateityje. NMA nuolat tobulina vidinius procesus, atsižvelgdama į nustatytas Asmens duomenų saugumo pažeidimų priežastis.
X SKYRIUS
POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS IR KONSULTACIJOS SU PRIEŽIŪROS INSTITUCIJA
100. Tais atvejais, kai, atsižvelgiant į asmens duomenų ir Duomenų subjektų kategoriją, duomenų tvarkymo pobūdį, aprėptį, kontekstą, tikslus, Duomenų subjektų teisėms bei laisvėms gali kilti didelis pavojus, NMA, prieš pradėdama vykdyti duomenų tvarkymo operacijas (veiksmus) ir tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimą.
101. Poveikis duomenų apsaugai vertinamas, kai:
101.1. duomenų tvarkymo operacija patenka į Inspekcijos sudarytą duomenų tvarkymo operacijų sąrašą, kurioms poveikio duomenų apsaugai vertinimas yra privalomas;
101.2. duomenų tvarkymo operacija nepatenka į Inspekcijos sudarytą duomenų tvarkymo operacijų sąrašą, kurioms poveikio duomenų apsaugai vertinimo reikalavimas yra privalomas, tačiau NMA įvertina, kad duomenų tvarkymo operacija, atsižvelgiant į Taisyklių 102 punkte įtvirtintus kriterijus, Duomenų subjektų teisėms bei laisvėms gali kelti didelį pavojų;
101.3. Pasikeitus duomenų tvarkymo operacijų (veiksmų) įgyvendinimo sąlygoms ir kai tai gali lemti didelį pavojų Duomenų subjektų teisėms ir laisvėms;
102. Ar duomenų tvarkymo operacijos (veiksmai) gali kelti didelį pavojų Duomenų subjektų teisėms ir laisvėms, sprendžiama kiekvieną kartą atsižvelgiant į šiuos kriterijus:
102.2. neskelbtini duomenys arba labai asmeniški duomenys, pavyzdžiui, specialių kategorijų asmens duomenys;
102.3. didelio masto duomenų tvarkymas (susijusių Duomenų subjektų skaičius, tvarkomų duomenų kiekis, tvarkomų duomenų įvairovė, duomenų tvarkymo veiklos trukmė ir pastovumas, geografinis duomenų tvarkymo mastas);
102.5. su pažeidžiamais Duomenų subjektais susiję duomenys (pavyzdžiui, vaikų duomenys, Darbuotojai, pažeidžiamesni subjektai, kuriems reikalinga speciali apsauga, segmentai, kai galima nustatyti nelygiaverčius Duomenų subjekto ir Duomenų valdytojo santykius);
102.7. dėl duomenų tvarkymo Duomenų subjektams užkertamas kelias naudotis savo teisėmis, paslaugomis arba sudaryti sutartis;
103. Kuo daugiau Taisyklių 102 punkte įtvirtintų kriterijų atitinka konkreti duomenų tvarkymo operacija (veiksmai), tuo didesnė tikimybė, kad duomenų tvarkymo operacija (veiksmai) gali kelti didelį pavojų Duomenų subjektų teisėms ir laisvėms. Dėl poveikio duomenų apsaugai atlikimo būtinybės visais atvejais konsultuojamasi su duomenų apsaugos pareigūnu.
104. Jeigu duomenų tvarkymo operacija (veiksmai) atitinka du ir daugiau 102 punkte išdėstytus kriterijus, tačiau padaroma išvada, kad tokia duomenų tvarkymo operacija (veiksmai) negali kelti didelio pavojaus Duomenų subjektų teisėms ir laisvėms, toks sprendimas ir jo argumentai išdėstomi raštu ir kartu su duomenų apsaugos pareigūno nuomone pateikiami NMA direktoriui arba jo paskirtam asmeniui.
105. Poveikio duomenų apsaugai vertinimas turi būti atliktas prieš pradedant įgyvendinti duomenų tvarkymo operacijas (veiksmus).
106. Už poveikio duomenų apsaugai vertinimą kiekvienu konkrečiu atveju atsakingas NMA padalinio, kuris tvarkys asmens duomenis, vadovas. Poveikio duomenų vertinimui atlikti gali būti pasitelkti išorės konsultantai, specialistai, ekspertai (teisininkai, IT specialistai, saugumo ekspertai, etikos specialistai ir pan.), jeigu NMA žmogiškųjų, laiko išteklių nepakanka tinkamam poveikio duomenų apsaugai vertinimui atlikti.
107. Atlikus poveikio duomenų apsaugai vertinimą, asmuo ar asmenys, atlikę poveikio duomenų apsaugai vertinimą, užpildo poveikio duomenų apsaugai vertinimo ataskaitą (Taisyklių 10 priedas). Panašių didelius pavojus keliančių duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną poveikio duomenų apsaugai vertinimą.
108. Jeigu, atsižvelgiant į numatomą duomenų tvarkymo operacijos pobūdį, yra įmanoma, NMA siekia išsiaiškinti Duomenų subjektų ar jų atstovų nuomonę apie numatytą duomenų tvarkymą, nepažeisdama komercinių ar viešųjų interesų apsaugos arba duomenų tvarkymo operacijų saugumo reikalavimų.
109. Visais atvejais poveikio duomenų apsaugai vertinimo ataskaita tarnybiniu pranešimu yra pateikiama NMA direktoriui ir už sprendimo dėl vertinamos duomenų tvarkymo operacijos priėmimą bei jo įgyvendinimą atsakingam asmeniui.
110. NMA atlieka nuolatinę peržiūrą, kad įvertintų, ar duomenys tvarkomi laikantis poveikio duomenų apsaugai vertinimo, ypač tais atvejais, kai pakinta tvarkymo operacijų keliamas pavojus Duomenų subjektų teisėms ir laisvėms.
111. NMA, prieš pradėdama duomenų tvarkymo operacijas (veiksmus), kurie gali kelti didelį pavojų Duomenų subjektų teisėms ir laisvėms, privalo konsultuotis su Inspekcija šiais atvejais:
111.1. jeigu poveikio duomenų apsaugai vertinimo ataskaitoje yra nustatyta, kad duomenų tvarkymo veiksmai (operacijos) gali kelti didelį pavojų Duomenų subjektų teisėms ir laisvėms ir numatytos priemonės nesumažina šios rizikos iki priimtino lygio;
112. Duomenų tvarkymo veiksmai, kurie gali sukelti didelį pavojų Duomenų subjektų teisėms ir laisvėms, gali būti vykdomi tik tada, kai NMA visiškai ir tinkamai įgyvendina Inspekcijos rekomendacijas, nurodymus ir priemonės, gautus konsultavimosi procedūros metu.
113. Prekės ir (ar) paslaugos, susijusios su duomenų tvarkymu tokiu būdu, kuris gali kelti didelį pavojų Duomenų subjektų teisėms ir laisvėms, gali būti perkami tik tada, jeigu atitinkamos prekės ir (ar) paslaugos pardavėjas yra atlikęs poveikio duomenų apsaugai vertinimą, NMA yra pateikiama susipažinti su tokio vertinimo išvada ir pardavėjas patvirtina, kad jų produktas atitinka Reglamento reikalavimus.
XI SKYRIUS
ASMENS DUOMENŲ TVARKYMAS DUOMENŲ TVARKYTOJO STATUSU
115. Šio skyriaus nuostatos yra taikomos tais atvejais, kai NMA tvarko duomenis kaip duomenų tvarkytoja. NMA, kaip duomenų tvarkytojos, duomenų tvarkymo veikla yra fiksuojama Asmens duomenų tvarkymo įrašų registre.
116. NMA turi teisę tvarkyti kitų Duomenų valdytojų duomenis tik tada, jeigu Duomenų valdytojas yra aiškiai nustatęs ir nurodęs duomenų tvarkymo dalyką ir trukmę, duomenų tvarkymo pobūdį ir tikslą, asmens duomenų rūšis ir Duomenų subjektų kategorijas bei Duomenų valdytojo prievoles ir teises.
117. Tais atvejais, kai NMA tvarko duomenis kaip duomenų tvarkytoja, NMA privalo laikytis Duomenų valdytojo nustatyto duomenų tvarkymo tikslo, priemonių ir kitų duomenų tvarkymo sąlygų, taip pat privalo tvarkyti tik tokį kiekį duomenų ir tik tokią trukmę, kurią nurodė Duomenų valdytojas.
118. NMA turi teisę tvarkyti asmens duomenis kaip duomenų tvarkytoja tik esant bent vienam iš šių teisinių pagrindų:
118.1. sutartis su Duomenų valdytoju. Gali būti sudaryta atskira duomenų tvarkymo sutartis arba atskiros duomenų tvarkymo veiklos nuostatos įtrauktos į kitą sutartį;
119. NMA nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus arba bendro rašytinio Duomenų valdytojo leidimo. Bendro rašytinio leidimo atveju NMA informuoja Duomenų valdytoją apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu, ir tokiu būdu suteikia Duomenų valdytojui galimybę nesutikti su tokiais pakeitimais.
120. Kai NMA konkrečiai duomenų tvarkymo veiklai Duomenų valdytojo vardu atlikti pasitelkia kitą duomenų tvarkytoją, sutartimi ar kitu teisės aktu tam kitam duomenų tvarkytojui nustatomos tos pačios duomenų apsaugos prievolės, kaip ir prievolės, nustatytos NMA teisės aktų bei Duomenų valdytojo, visų pirma prievolė pakankamai užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Reglamento reikalavimus.
121. Visais atvejais, be Duomenų valdytojo nustatytų papildomų pareigų, NMA tvarkydama duomenis kaip duomenų tvarkytoja, turi šias pareigas:
121.1. tvarkyti asmens duomenis tik pagal Duomenų valdytojo dokumentais įformintus nurodymus, išskyrus atvejus, kai tai daryti reikalaujama pagal teisės aktų reikalavimus, kuri yra taikoma NMA. Tokiu atveju NMA, prieš pradėdama tvarkyti duomenis, praneša apie tokį teisinį reikalavimą Duomenų valdytojui, išskyrus atvejus, kai pagal tą teisę toks pranešimas yra draudžiamas dėl svarbių viešojo intereso priežasčių;
121.2. užtikrinti, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą;
121.3. imtis visų techninių ir organizacinių priemonių, kad būtų užtikrintas tvarkomų duomenų saugumas;
121.5. atsižvelgdama į duomenų tvarkymo pobūdį, padėti Duomenų valdytojui taikydama tinkamas technines ir organizacines priemones, kiek tai įmanoma, kad būtų įvykdyta Duomenų valdytojo prievolė atsakyti į prašymus, susijusius su Duomenų subjektų teisių įgyvendinimu;
121.6. padėti Duomenų valdytojui įgyvendinti jo prievoles pranešti apie Asmens duomenų saugumo pažeidimus bei atlikti poveikio duomenų apsaugai vertinimą, atsižvelgiant į duomenų tvarkymo pobūdį ir NMA turimą informaciją;
121.7. užbaigus teikti su duomenų tvarkymu susijusias paslaugas, ištrinti arba grąžinti Duomenų valdytojui visus asmens duomenis ir ištrinti esamas jų kopijas, išskyrus atvejus, kai teisės aktai nustato reikalavimą asmens duomenis saugoti;
XII SKYRIUS
ASMENS DUOMENŲ PERDAVIMAS TRETIESIEMS ASMENIMS
123. NMA turi teisę sutarties pagrindu duomenų tvarkymo veiksmams atlikti pasitelkti duomenų tvarkytoją. NMA pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, jog duomenų tvarkymas atitiktų Reglamento ir Taisyklių reikalavimus ir būtų užtikrinta Duomenų subjekto teisių įgyvendinimas bei apsauga.
124. Su duomenų tvarkytoju pasirašomas priedas prie sutarties pagal patvirtintas standartines duomenų tvarkymo sąlygas (Sutarčių sudarymo ir jų vykdymo Nacionalinėje mokėjimo agentūroje prie Žemės ūkio ministerijos taisyklių, patvirtintų NMA direktoriaus 2004 m. liepos 1 d. įsakymu Nr. BR1-271 „Dėl Sutarčių sudarymo ir jų vykdymo Nacionalinėje mokėjimo agentūroje prie Žemės ūkio ministerijos taisyklių patvirtinimo“, 9 priedas ). Standartinės duomenų tvarkymo sąlygos yra susijusios tik su asmens duomenų apsauga, dėl kitų susijusių sąlygų šalys susitaria tarpusavyje atskirai.
125. NMA, prieš pasitelkdama konkretų duomenų tvarkytoją, konsultuojasi su duomenų apsaugos pareigūnu, ar duomenų tvarkytojas pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Reglamento ir Taisyklių reikalavimus, ir būtų užtikrinti Duomenų subjekto teisių įgyvendinimas ir apsauga. Duomenų tvarkytojas pasirenkamas atsižvelgiant į duomenų apsaugos pareigūno rekomendacijas ir nuomonę.
126. Siekiant tinkamai valdyti asmens duomenų judėjimą, NMA yra tvarkomas duomenų tvarkytojų registras pagal patvirtintą formą (Taisyklių 11 priedas). Už duomenų tvarkytojų registro pildymą atsakingas duomenų apsaugos pareigūnas.
127. Kitiems asmenims (ne duomenų tvarkytojams) NMA tvarkomi asmens duomenys gali būti perduoti tik Duomenų subjekto prašymo ar sutikimo pagrindu bei kai tokią NMA teisę ar pareigą nustato šios Taisyklės arba teisės aktai.
XIII SKYRIUS
ASMENS DUOMENŲ PERDAVIMAS Į TREČIĄSIAS VALSYBES IR
TARPTAUTINES ORGANIZACIJAS
129. Perduoti asmens duomenis į trečiąją valstybę arba tarptautinę organizaciją galima tik esant bent vienai iš šių sąlygų:
129.1. yra priimtas Europos Komisijos sprendimas, kad atitinkama trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečioje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamo lygio apsaugą;
129.2. jeigu nėra priimtas sprendimas dėl tinkamo apsaugos lygio užtikrinimo arba nenustatytos tinkamos apsaugos priemonės, asmens duomenys gali būti perduoti į trečiąją valstybę arba tarptautinei organizacijai tik tuo atveju, jeigu NMA yra nustačiusi tinkamas apsaugos priemones, įskaitant tai, kad Duomenų subjektams bus užtikrinta galimybė naudotis vykdytinomis Duomenų subjektų teisėmis ir veiksmingomis Duomenų subjektų teisių gynimo priemonėmis.
130. Jeigu nėra priimtas Komisijos sprendimas dėl tinkamo apsaugos lygio užtikrinimo arba nenustatytos tinkamos apsaugos priemonės, kaip nurodyta Reglamento 46 straipsnio 2 ir 3 dalyse, asmens duomenų perdavimas į trečiąją valstybę arba tarptautinei organizacijai gali būti atliekamas tik tada, jeigu egzistuoja bent viena iš Reglamento 49 straipsnio 1 dalyje nurodytų sąlygų.
XIV SKYRIUS
VIENO LANGELIO PRIEŽIŪROS MECHANIZMO ĮGYVENDINIMAS
XV SKYRIUS
BAIGIAMOSIOS NUOSTATOS
132. Visi NMA dokumentai, bet kokia apimtimi susiję su asmens duomenų tvarkymu ir apsauga, privalo būti peržiūrėti, ir turi būti užtikrinta jų atitiktis šioms Taisyklėms per dvejus metus nuo šių Taisyklių įsigaliojimo dienos. Už šį procesą yra atsakingas duomenų apsaugos pareigūnas.
133. Per dvejus metus nuo šių Taisyklių įsigaliojimo atliekama iki šių Taisyklių įsigaliojimo vykdomų duomenų tvarkymo operacijų (veiksmų), kurie gali kelti pavojų Duomenų subjektų teisėms ir laisvėms, poveikio duomenų apsaugai vertinimas ir įgyvendinamos priemonės ir mechanizmai, kuriais užtikrinama asmens duomenų apsauga ir pagrindžiama, kad laikomasi Taisyklių, Reglamento ir kitų teisės aktų, atsižvelgiant į Duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus. Dėl konkrečių duomenų tvarkymo operacijų (veiksmų), kuriems būtinas poveikio duomenų apsaugai vertinimas, NMA konsultuoja duomenų apsaugos pareigūnas. Poveikio duomenų apsaugai vertinimą atlieka NMA direktoriaus įsakymu paskirtas asmuo ar jų grupė.
134. NMA periodiškai, bet ne rečiau kaip kartą per metus, vyksta Darbuotojų mokymai Reglamento, Taisyklių taikymo ir įgyvendinimo bei kitais asmens duomenų apsaugos klausimais. Už mokymų organizavimą atsakingas duomenų apsaugos pareigūnas.
135. Su šiomis Taisyklėmis visi NMA Darbuotojai supažindinami pasirašytinai priėmimo į darbą metu, o su taisyklių pakeitimais – Dokumentų valdymo sistemoje.
136. NMA periodiškai, bet ne rečiau kaip kartą per metus, vyksta NMA vykdomos asmens duomenų tvarkymo veiklos atitikties Reglamentui, Taisyklėms bei kitiems asmens duomenų apsaugą reglamentuojantiems teisės aktams patikra. Už patikros vykdymą yra atsakingas asmens duomenų apsaugos pareigūnas. Patikros rezultatai įforminami ataskaitoje, kurioje nurodomi nustatyti trūkumai, jei tokie nustatyti, bei rekomendacijos, kaip trūkumus ištaisyti ar pagerinti NMA asmens duomenų tvarkymo veiklą.