LIETUVOS RESPUBLIKOS vidaus reikalų MINISTRAS
Įsakymas
DĖL DUOMENŲ SUBJEKTų TEISIŲ ĮGYVENDINIMO TVARKANT ASMENS DUOMENIS LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS VALDOMUOSE REGISTRUOSE IR VALSTYBĖS INFORMACINĖSE SISTEMOSE
2020 m. rugpjūčio 28 d. Nr. 1V-865
Vilnius
Vadovaudamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento) 24 straipsnio 1 dalimi,
1. Duomenų subjektų teisių įgyvendinimo Lietuvos Respublikos vidaus reikalų ministerijoje tvarkos aprašą;
2. Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Lietuvos Respublikos vidaus reikalų ministerijos valdomuose registruose ir valstybės informacinėse sistemose tvarkos aprašą;
3. Asmens duomenų saugumo pažeidimų valdymo tvarkant asmens duomenis teisės aktais įgaliotiems duomenų tvarkytojams Lietuvos Respublikos vidaus reikalų ministerijos valdomuose registruose ir informacinėse sistemose tvarkos aprašą.
PATVIRTINTA
Lietuvos Respublikos vidaus reikalų ministro
2020 m. rugpjūčio 28 d. įsakymu Nr. 1V-865
DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOJE TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Duomenų subjektų teisių įgyvendinimo Lietuvos Respublikos vidaus reikalų ministerijoje tvarkos aprašas (toliau – Aprašas) reglamentuoja duomenų subjektų teisių įgyvendinimo Lietuvos Respublikos vidaus reikalų ministerijoje tvarką siekiant įgyvendinti atskaitomybės principą.
2. Įgyvendinant duomenų subjekto teises vadovaujamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.
4. Duomenų subjektų asmens duomenis tvarko duomenų valdytojas – Vidaus reikalų ministerija, juridinio asmens kodas 188601464, buveinės adresas Šventaragio g. 2, 01510 Vilnius.
5. Kai asmens duomenis tvarko teisės aktais įgalioti duomenų tvarkytojai Vidaus reikalų ministerijos valdomuose registruose ir valstybės informacinėse sistemose, duomenų subjekto teises įgyvendina duomenų tvarkytojai Vidaus reikalų ministerijos vardu vidaus reikalų ministro nustatyta tvarka, nebent kituose teisės aktuose nustatyta kitaip.
6. Vidaus reikalų ministerijoje neautomatiniu būdu susistemintose rinkmenose ir (arba) automatiniu būdu tvarkomi šie duomenų subjektų asmens duomenys:
6.1. asmenų, pateikusių Vidaus reikalų ministerijai skundą ar prašymą, asmens duomenys (vardas, pavardė, asmens kodas, adresas, telefono ryšio numeris, elektroninio pašto adresas, parašas, kiti asmens duomenys, kuriuos skunde ar prašyme pateikia pats asmuo (įskaitant ir specialių kategorijų asmens duomenis), skundo ar prašymo data ir numeris (registravimo Vidaus reikalų ministerijoje data ir numeris), skunde ar prašyme nurodyta informacija (įskaitant ir ypatingus specialių kategorijų asmens duomenis), skundo ar prašymo nagrinėjimo rezultatas, Vidaus reikalų ministerijos atsakymo data ir numeris, skundo ar prašymo nagrinėjimo metu gauta informacija ir dokumentai, kuriuose yra nurodyti asmens duomenys), kai Prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 2007 m. rugpjūčio 22 d. nutarimu Nr. 875 „Dėl Prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklių patvirtinimo“ nustatytais atvejais skundas ar prašymas teikiamas garso ir vaizdo nuotolinio perdavimo ir įrašymo priemonėmis ‒ veido atvaizdas ir (ar) balso įrašas, skundo ar prašymo turinys, užfiksuoti garso ir vaizdo nuotolinio perdavimo ir įrašymo priemonėmis) tvarkomi skundų ar prašymų nagrinėjimo, asmenų informavimo, vidaus administravimo (dokumentų valdymo) tikslais;
6.2. esamo ir buvusių vidaus reikalų ministrų, viceministrų, ministerijos kanclerio, esamų ir buvusių Vidaus reikalų ministerijos valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, asmens duomenys (vardas, pavardė, asmens kodas, asmens socialinio draudimo numeris, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, banko sąskaitos numeris, gyvenimo ir veiklos aprašymas, šeiminė padėtis, duomenys apie karinę tarnybą, pareigos, duomenys apie priėmimą (perkėlimą) į pareigas, atleidimą iš pareigų, duomenys apie išsilavinimą ir kvalifikaciją, duomenys apie mokymą, duomenys apie atostogas, duomenys apie darbo užmokestį, išeitines išmokas, kompensacijas, pašalpas, informacija apie dirbtą darbo laiką, informacija apie skatinimą ir nuobaudas, informacija apie atliktus darbus ir užduotis, duomenys apie valstybės tarnautojo tarnybinės veiklos vertinimą, viešų ir privačių interesų deklaravimo duomenys, Lietuvos Respublikos piliečio paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, valstybės tarnautojo pažymėjimo numeris, išdavimo data, galiojimo data, ypatingi specialių kategorijų asmens duomenys, susiję su sveikata, teistumu, dalyvavimu uždraustos organizacijos veikloje, dokumentų registracijos data ir numeris, skaitmeninis garso arba garso ir vaizdo įrašas, vykdyti priėmimo į darbą ar vertinimo komisijų posėdžių metu, bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Vidaus reikalų ministeriją įpareigoja įstatymai ir kiti teisės aktai) tvarkomi vidaus administravimo (struktūros tvarkymo, personalo valdymo, darbdavio įsipareigojimų darbuotojui vykdymo, dokumentų valdymo, apskaitos, materialinių ir finansinių išteklių naudojimo) tikslu;
6.3. pretendentų į Vidaus reikalų ministerijos valstybės tarnautojo ir darbuotojo, dirbančio pagal darbo sutartį, pareigas asmens duomenys (vardas, pavardė, asmens kodas, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, pareigos, į kurias pretenduojama, gyvenimo ir veiklos aprašymas, duomenys apie išsilavinimą ir kvalifikaciją, informacija apie asmens kandidatūros tikrinimą dėl leidimo dirbti ar susipažinti su įslaptinta informacija, ypatingi specialių kategorijų asmens duomenys, susiję su teistumu, dalyvavimu uždraustos organizacijos veikloje, pokalbio su pretendentu į valstybės tarnautojo pareigas skaitmeninis garso arba garso ir vaizdo įrašas, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Vidaus reikalų ministeriją įpareigoja įstatymai ir kiti teisės aktai) tvarkomi norint patikrinti, ar asmuo atitinka įstatymuose ir įgyvendinamuosiuose teisės aktuose nustatytus reikalavimus pareigoms eiti arba darbo funkcijoms atlikti, vidaus administravimo (personalo valdymo, dokumentų valdymo) tikslu;
6.4. studentų, atliekančių ar siekiančių atlikti praktiką Vidaus reikalų ministerijoje, asmens duomenys (vardas, pavardė, asmens kodas, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, gyvenimo ir veiklos aprašymas, parašas, duomenys apie kvalifikaciją ir kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Vidaus reikalų ministeriją įpareigoja įstatymai ir kiti teisės aktai) tvarkomi vidaus administravimo (personalo valdymo, dokumentų valdymo, materialinių ir finansinių išteklių naudojimo) tikslu;
6.5. duomenų subjektų vaizdo stebėjimo duomenys (į Vidaus reikalų ministerijos pastato esančio Šventaragio g. 2 / Pilies g. 1, Vilniuje (toliau ‒ Vidaus reikalų ministerijos pastatas), jame esančių atskirų patalpų ir Vidaus reikalų ministerijos pastato teritorijos vaizdo kamerų stebėjimo teritoriją patekusių duomenų subjektų ir (ar) jų valdomų transporto priemonių vaizdo duomenys), elektroninės praėjimo sistemos fiksuojami ir saugomi duomenys apie asmenų įėjimą į ministerijos pastatą ir teritoriją ir išėjimą iš jų tvarkomi Vidaus reikalų ministerijos valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, asmenų, kurie lankosi Vidaus reikalų ministerijoje bei jų turto saugumo bei Vidaus reikalų ministerijos pastato apsaugos organizavimo ir jame esančio turto saugumo užtikrinimo tikslu, taip pat siekiant kontroliuoti darbo laiko normų laikymąsi; įeigos į Vidaus reikalų ministerijos pastato saugumo zonas kontrolės duomenys ir saugumo zonoms priskirtų patalpų ir teritorijų vaizdo stebėjimo duomenys tvarkomi įslaptintos informacijos apsaugą reglamentuojančių teisės aktų nustatyta tvarka apsaugos nuo įsibrovimo, neteisėto patekimo į saugumo zonoms priskirtas patalpas, teritorijas užkardymo įslaptintos informacijos fizinės apsaugos tikslu;
6.6. Vidaus reikalų ministerijos sudarytose sutartyse, kurių šalimi yra duomenų subjektas ir (ar) jų vykdymo metu sukurtuose dokumentuose užfiksuoti duomenys – vardas, pavardė, asmens kodas, adresas, telefono ryšio ir (ar) telefakso numeris, elektroninio pašto adresas, parašas, Lietuvos Respublikos piliečio paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, banko sąskaitos numeris, individualios veiklos pažymėjimo numeris, mokėtinos sumos ir išskaičiuojami mokesčiai, kiti dokumentuose, adresuotuose Vidaus reikalų ministerijai, nurodomi asmens duomenys, teikiami vykdant sutartis, tvarkomi teisinių prievolių vykdymo ir Vidaus reikalų ministerijos teisėtų interesų įgyvendinimo tikslais (sutarčių vykdymo, atsiskaitymo už prekes, paslaugas ar darbus, prievolių įvykdymo užtikrinimo ir pan.);
6.7. Vidaus reikalų ministerijai atliekant priskirtas Europos Sąjungos struktūrinės paramos valdymo ir kontrolės sistemos tarpinės institucijos funkcijas ir administruojant Europos Sąjungos finansinės paramos lėšas, skirtas Lietuvos Respublikos vidaus saugumo sričiai, gauti pareiškėjų ir projektų vykdytojų asmens duomenys: vardas, pavardė, atstovaujamo juridinio asmens pavadinimas, pareigos, asmens kodas, adresas, telefono ryšio ir (ar) telefakso numeris, elektroninio pašto adresas, parašas, Lietuvos Respublikos piliečio paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, banko sąskaitos numeris, individualios veiklos pažymėjimo numeris, mokėtinos sumos ir išskaičiuojami mokesčiai, kituose dokumentuose, adresuotuose Vidaus reikalų ministerijai, nurodomi duomenys, teikiami teikiant paraiškas, ataskaitas, deklaracijas, tvarkomi teisinių prievolių vykdymo ir projektų įgyvendinimo tikslais;
6.8. Vidaus reikalų ministerijos pasitikėjimo telefonu (8 5) 271 8788 pateiktos informacijos garso įrašai tvarkomi informacijos apie korupcinio pobūdžio nusikalstamas veikas bei kitus korupcinio pobūdžio teisės pažeidimus nagrinėjimo tikslu;
6.9. Vidaus reikalų ministerijoje organizuojamų posėdžių ir pasitarimų dalyvių asmens duomenys (vardas, pavardė, atstovaujamo juridinio asmens pavadinimas, pareigos, telefono ryšio numeris, elektroninio pašto adresas, parašas, posėdžio ar pasitarimo garso įrašas) tvarkomi posėdžių ir pasitarimų sprendimų administravimo (protokolų surašymo ir pan.) tikslais;
6.10. Vidaus reikalų ministerijos valdomuose registruose ir informacinėse sistemose asmens duomenys tvarkomi šių registrų ir informacinių sistemų nuostatuose nustatytais tikslais;
6.11. Vidaus reikalų ministerijos ir vidaus reikalų ministrui pavestose valdymo srityse veikiančių įstaigų ir įmonių dokumentų valdymo sistemos (toliau ‒ Dokumentų valdymo sistema) naudotojų duomenys: vardas, pavardė, pareigybė, prisijungimo paskyra, elektroninio pašto adresas, tarnybinio mobiliojo ryšio telefono numeris, telefono ryšio numeris, adresas, vieta (įstaiga arba struktūrinis padalinys) tvarkomi vidaus administravimo (dokumentų valdymo, darbo efektyvumo, užduočių vykdymo kontrolės) tikslais;
6.12. asmenų, apsilankančių Vidaus reikalų ministerijos socialinių tinklų paskyroje („Facebook“), asmens duomenys tvarkomi visuomenės informavimo ir Vidaus reikalų ministerijos veiklos viešinimo tikslu. Apie tai, kokią privatumo politiką, renkamus duomenis ir taikomas asmens duomenų apsaugos priemones naudoja „Facebook“, galima sužinoti šio socialinio tinklo privatumo politikoje;
6.13. vidaus reikalų ministro, viceministrų, ministerijos kanclerio, kitų ministro politinio (asmeninio) pasitikėjimo valstybės tarnautojų, Vidaus reikalų ministerijos valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartį, tarnybinio elektroninio pašto naudojimo (adresatų, laiškų siuntimo ir gavimo laiko, laiškų antraštės) duomenys – duomenų apsaugos ir valdymo tikslais;
6.14. informacija apie Vidaus reikalų ministerijos valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, interneto naršymo istoriją tvarkoma siekiant užtikrinti kibernetinių incidentų tyrimą, Vidaus reikalų ministerijoje tvarkomos informacijos konfidencialumą, informacinių ir komunikacinių technologijų naudojimo reikalavimų vykdymą.
II SKYRIUS
DUOMENŲ SUBJEKTŲ TEISĖS IR JŲ ĮGYVENDINIMO TVARKA
7. Duomenų subjektai turi šias teises, įtvirtintas Reglamente (ES) 2016/679:
8. Reglamento (ES) 2016/679 22 straipsnyje įtvirtinta duomenų subjekto teisė, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, nėra Vidaus reikalų ministerijos įgyvendinama atliekamo duomenų tvarkymo atžvilgiu, nes Vidaus reikalų ministerijoje nėra priimami sprendimai, grindžiami automatizuotu duomenų tvarkymu, ir nėra vykdomas profiliavimas.
PIRMASIS SKIRSNIS
TEISĖ GAUTI INFORMACIJĄ APIE ASMENS DUOMENŲ TVARKYMĄ
9. Bendra informacija apie Vidaus reikalų ministerijos atliekamą duomenų subjektų asmens duomenų tvarkymą pateikiama Vidaus reikalų ministerijos interneto svetainės https://vrm.lrv.lt/ skyriuje „Asmens duomenų apsauga“ paskelbiant šį Aprašą.
10. Kai duomenų subjekto asmens duomenys renkami tiesiogiai iš duomenų subjekto, informacija, nurodyta Reglamento (ES) 2016/679 13 straipsnyje, apie Vidaus reikalų ministerijoje atliekamą duomenų subjekto asmens duomenų tvarkymą pateikiama asmens duomenų gavimo metu žodžiu ar raštu (atsižvelgiant į tai, kokiu būtu duomenų subjektas kreipiasi į Vidaus reikalų ministeriją), išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi arba kai tokių duomenų rinkimo bei teikimo tvarka ir duomenų gavėjai apibrėžiama įstatymuose ir kituose teisės aktuose. Informacija raštu teikiama pagal Aprašo 1 priede pateiktą formą.
11. Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto, apie šio duomenų subjekto asmens duomenų tvarkymą informuojama raštu (pagal Aprašo 1 priede pateiktą formą):
11.1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;
11.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba
ANTRASIS SKIRSNIS
TEISĖ SUSIPAŽINTI SU ASMENS DUOMENIMIS
13. Vidaus reikalų ministerija, gavusi duomenų subjekto prašymą įgyvendinti teisę susipažinti su savo asmens duomenimis, duomenų subjektui pateikia:
13.2. su asmens duomenų tvarkymu susijusią informaciją, numatytą Reglamento (ES) 2016/679 15 straipsnio 1 ir 2 dalyse, jeigu duomenų subjekto asmens duomenys tvarkomi:
13.2.3. duomenų gavėjus arba duomenų gavėjų kategorijas, kuriems buvo arba bus atskleisti jo asmens duomenys (įskaitant duomenų gavėjus trečiosiose valstybėse arba tarptautines organizacijas);
13.2.4. kai įmanoma, numatomą asmens duomenų saugojimo laikotarpį arba, jei neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;
13.2.5. informaciją apie teisę prašyti ministerijos, kaip duomenų valdytojos, ištaisyti arba ištrinti asmens duomenis ar apriboti su duomenų subjektu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu (kai šios teisės yra taikomos);
13.2.6. informaciją apie teisę pateikti skundą dėl duomenų subjekto teisių įgyvendinimo Valstybinei duomenų apsaugos inspekcijai;
13.2.7. kai asmens duomenys renkami ne iš duomenų subjekto, visą turimą informaciją apie jų šaltinius;
13.2.8. informaciją apie automatizuotą sprendimų priėmimą, įskaitant profiliavimą (kai taikytina), ir bent tais atvejais – prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui;
14. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta tvarkomų asmens duomenų kopija ir kita forma, nei Vidaus reikalų ministerija pateikia, tačiau už tai imamas mokestis, apskaičiuotas pagal administracines išlaidas.
TREČIASIS SKIRSNIS
TEISĖ REIKALAUTI IŠTAISYTI ASMENS DUOMENIS
16. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 16 straipsniu, turi teisę reikalauti, kad bet kokie jo tvarkomi netikslūs asmens duomenys būtų ištaisyti, o neišsamūs – papildyti pateikdamas Vidaus reikalų ministerijai prašymą įgyvendinti duomenų subjekto teisę ištaisyti duomenis.
17. Siekdama įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, Vidaus reikalų ministerija gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus.
18. Vidaus reikalų ministerija nedelsdama, bet ne vėliau kaip per 5 darbo dienas nuo prašymo įgyvendinti duomenų subjekto teisę ištaisyti duomenis gavimo dienos, atlieka duomenų subjekto tvarkomų asmens duomenų analizę, siekdama nustatyti, ar šis duomenų subjekto pateiktas prašymas yra pagrįstas.
19. Vidaus reikalų ministerija, nustačiusi, kad duomenų subjekto pateiktas prašymas įgyvendinti duomenų subjekto teisę ištaisyti duomenis yra pagrįstas:
19.1. nedelsdama, bet ne vėliau kaip per 10 darbo dienų nuo prašymo pagrįstumo įvertinimo, ištaiso netikslius ar papildo neišsamius asmens duomenis;
19.2. jeigu nėra galimybių nedelsiant ištaisyti netikslius ar papildyti neišsamius asmens duomenis, nedelsdama, bet ne vėliau kaip per 10 darbo dienų nuo prašymo pagrįstumo įvertinimo, sustabdo netikslių ar neišsamių asmens duomenų tvarkymo veiksmus ir šiuos asmens duomenis saugo tol, kol jie bus ištaisyti ar papildyti;
19.3. ne vėliau kaip per 10 darbo dienų nuo netikslių asmens duomenų ištaisymo ar neišsamių asmens duomenų papildymo informuoja duomenų gavėjus apie duomenų subjekto prašymu ištaisytus netikslius ar papildytus neišsamius asmens duomenis, jeigu šie duomenų subjekto asmens duomenys buvo teikiami duomenų gavėjams, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjekto prašymu jam pateikiama informacija apie tokius duomenų gavėjus.
KETVIRTASIS SKIRSNIS
TEISĖ REIKALAUTI IŠTRINTI ASMENS DUOMENIS („TEISĖ BŪTI PAMIRŠTAM“)
20. Duomenų subjektas turi teisę kreiptis į Vidaus reikalų ministeriją su prašymu ištrinti su juo susijusius asmens duomenis, jeigu yra vienas iš šių pagrindų, numatytų Reglamento (ES) 2016/679 17 straipsnio 1 dalyje, t. y.:
20.2. atšauktas duomenų subjekto sutikimas (jeigu toks buvo), kuriuo vadovaujantis buvo grindžiamas duomenų subjekto asmens duomenų tvarkymas, ir nėra jokio kito teisinio pagrindo tvarkyti duomenų subjekto asmens duomenis;
20.3. asmens duomenų subjektas nesutinka su savo asmens duomenų tvarkymu pagal Reglamento (ES) 2016/679 21 straipsnio 1 dalį (Aprašo II skyriaus „Duomenų subjektų teisės ir jų įgyvendinimo tvarka“ septintasis skirsnis „Teisės nesutikti su asmens duomenų tvarkymu“) ir nėra viršesnių teisėtų priežasčių tvarkyti asmens duomenis;
21. Duomenų subjekto prašyme turi būti išsamiai argumentuota, dėl kokių priežasčių yra prašoma ištrinti jo asmens duomenis (prašyme turi būti nurodytas vienas iš Aprašo 20 punkte nurodytų pagrindų).
22. Teisė reikalauti ištrinti asmens duomenis („teisė būti pamirštam“) Vidaus reikalų ministerijoje neįgyvendinama Reglamento (ES) 2016/679 17 straipsnio 3 dalyje numatytais atvejais.
23. Vidaus reikalų ministerija, gavusi duomenų subjekto prašymą, nedelsdama, bet ne vėliau kaip per 5 darbo dienas nuo prašymo gavimo dienos, atlieka prašymo įvertinimą, siekdama nustatyti, ar duomenų subjekto pateiktas prašymas yra pagrįstas.
24. Nustačiusi, kad duomenų subjekto pateiktas prašymas įgyvendinti duomenų subjekto teisę reikalauti ištrinti duomenis yra pagrįstas, Vidaus reikalų ministerija:
24.1. nedelsdama, bet ne vėliau kaip per 10 darbo dienų nuo prašymo pagrįstumo įvertinimo, ištrina duomenų subjekto asmens duomenis;
24.2. jeigu nėra galimybių ištrinti duomenų subjekto asmens duomenų, nedelsdama, bet ne vėliau kaip per 10 darbo dienų nuo prašymo pagrįstumo įvertinimo, sustabdo duomenų subjekto asmens duomenų tvarkymo veiksmus;
24.3. ne vėliau kaip per 10 darbo dienų nuo asmens duomenų ištrynimo informuoja duomenų gavėjus apie duomenų subjekto prašymu ištrintus asmens duomenis, jeigu duomenų subjekto asmens duomenys buvo teikiami duomenų gavėjams, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjekto prašymu jam pateikiama informacija apie tokius duomenų gavėjus.
PENKTASIS SKIRSNIS
TEISĖ APRIBOTI SAVO ASMENS DUOMENŲ TVARKYMĄ
25. Duomenų subjektas turi teisę kreiptis į Vidaus reikalų ministeriją su prašymu apriboti savo asmens duomenų tvarkymą, jeigu yra vienas iš Reglamento (ES) 2016/679 18 straipsnio 1 dalyje numatytų pagrindų:
25.1. duomenų subjektas užginčija Vidaus reikalų ministerijos tvarkomų jo asmens duomenų tikslumą. Tokiu atveju duomenų subjekto asmens duomenų tvarkymas gali būti apribotas tokiam laikotarpiui, per kurį duomenų valdytojas patikrina asmens duomenų tikslumą;
25.2. yra nustatyta, kad duomenų subjekto asmens duomenų tvarkymas buvo neteisėtas ir duomenų subjektas nesutinka, kad asmens duomenys būtų ištrinti, ir vietoje to prašo apriboti jų tvarkymą;
25.3. jeigu yra pasiektas asmens duomenų tvarkymo tikslas ir Vidaus reikalų ministerijai, kaip duomenų valdytojai, nebereikia šiam tikslui pasiekti surinktų duomenų subjekto asmens duomenų, tačiau jų reikia duomenų subjektui, siekiančiam pareikšti, vykdyti ar apginti teisinius reikalavimus;
25.4. duomenų subjektas pateikė prašymą Vidaus reikalų ministerijai, kuriame išreiškė nesutikimą, kad Vidaus reikalų ministerija tvarkytų jo asmens duomenis. Tokiu atveju duomenų subjekto asmens duomenų tvarkymas gali būti apribotas tokiam laikotarpiui, per kurį duomenų valdytojas patikrina, ar šis duomenų subjekto prašymas pagrįstas;
25.5. duomenų subjektas pateikia prašymą ištrinti Vidaus reikalų ministerijoje jo tvarkomus asmens duomenis ir nustatoma, kad prašymas yra pagrįstas, tačiau nėra techninių galimybių duomenų subjekto asmens duomenis ištrinti nedelsiant. Tokiu atveju duomenų subjekto asmens duomenų tvarkymas gali būti apribotas iki tol, kol duomenų subjekto asmens duomenys bus ištrinti.
26. Vidaus reikalų ministerija, gavusi duomenų subjekto prašymą, nedelsdama, bet ne vėliau kaip per 5 darbo dienas nuo prašymo gavimo dienos, atlieka prašymo įvertinimą, siekdama nustatyti, ar duomenų subjekto pateiktas prašymas yra pagrįstas.
27. Nustačiusi, kad prašymas yra pagrįstas, Vidaus reikalų ministerija privalo:
27.2. nedelsdama, bet ne vėliau kaip per 10 darbo dienų nuo sprendimo dėl asmens duomenų tvarkymo apribojimo priėmimo, informuoti duomenų subjektą apie jo asmens duomenų tvarkymo apribojimą. Jeigu yra galimybė, nurodyti preliminarų laikotarpį, kurio metu bus apribotas duomenų subjekto asmens duomenų tvarkymas;
27.3. ne vėliau kaip per 10 darbo dienų nuo sprendimo dėl asmens duomenų tvarkymo apribojimo priėmimo informuoti duomenų gavėjus apie priimtą sprendimą, jeigu duomenų subjekto asmens duomenys buvo teikiami duomenų gavėjams, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjekto prašymu jam pateikiama informacija apie tokius duomenų gavėjus.
ŠEŠTASIS SKIRSNIS
TEISĖ Į ASMENS DUOMENŲ PERKELIAMUMĄ
29. Duomenų subjektas turi teisę kreiptis į Vidaus reikalų ministeriją su prašymu gauti su juo susijusius asmens duomenis ir turi teisę prašyti persiųsti Vidaus reikalų ministerijos tvarkomus duomenų subjekto asmens duomenis kitam duomenų valdytojui, jeigu yra šios sąlygos:
29.1. duomenų subjekto asmens duomenų tvarkymas yra grindžiamas:
30. Siekiant įgyvendinti Aprašo 29 punkte nurodytą duomenų subjekto prašymą, turi būti įgyvendintos visos Aprašo 29.1–29.3 papunkčiuose nurodytos sąlygos.
31. Vidaus reikalų ministerija, gavusi duomenų subjekto prašymą, privalo nedelsdama, bet ne vėliau kaip per 5 darbo dienas nuo prašymo gavimo dienos, įvertinti prašymą, siekdama nustatyti, ar duomenų subjekto pateiktas prašymas yra pagrįstas.
32. Informacija susistemintu, įprastai naudojamu ir kompiuteriu skaitomu formatu gali būti pateikiama:
33. Pagal duomenų subjekto prašymą perkelti jo asmens duomenys nėra automatiškai ištrinami. Jeigu duomenų subjektas to pageidauja, turi kreiptis į Vidaus reikalų ministeriją dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) įgyvendinimo.
34. Jeigu duomenų subjekto prašymas dėl asmens duomenų perkeliamumo įgyvendinamas, duomenų subjekto asmens duomenis perkeliant kitam duomenų valdytojui, Vidaus reikalų ministerija nevertina, ar duomenų valdytojas, kuriam bus perkelti duomenų subjekto asmens duomenys, turi teisinį pagrindą gauti duomenų subjekto asmens duomenis ir ar šis duomenų valdytojas užtikrins tinkamas asmens duomenų saugumo priemones. Vidaus reikalų ministerija neprisiima atsakomybės už perkeltų asmens duomenų tolimesnį tvarkymą, kurį atliks kitas duomenų valdytojas.
SEPTINTASIS SKIRSNIS
TEISĖ NESUTIKTI SU ASMENS DUOMENŲ TVARKYMU
35. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 21 straipsniu, turi teisę kreiptis į Vidaus reikalų ministeriją su prašymu bet kuriuo metu dėl su juo susijusių priežasčių konkrečiu atveju nesutikti, kad Vidaus reikalų ministerija tvarkytų jo asmens duomenis, kai šie asmens duomenys Vidaus reikalų ministerijoje yra tvarkomi Reglamento (ES) 2016/679 6 straipsnio 1 dalies e ir (arba) f punktuose nustatytais atvejais.
36. Vidaus reikalų ministerija, gavusi duomenų subjekto prašymą, privalo nedelsdama, bet ne vėliau kaip per 5 darbo dienas nuo prašymo gavimo dienos, atlikti prašymo įvertinimą, siekdama nustatyti, ar duomenų subjekto pateiktas prašymas yra pagrįstas.
37. Jeigu yra nustatoma, kad duomenų subjekto pateiktas prašymas yra pagrįstas, Vidaus reikalų ministerija privalo nedelsdama, bet ne vėliau kaip per vieną mėnesį nuo prašymo gavimo dienos, informuoti duomenų subjektą, kad jo prašymas bus įvykdytas.
38. Jeigu yra nustatoma, kad duomenų subjekto prašymas yra nepagrįstas, Vidaus reikalų ministerija privalo atsakyme argumentuotai įrodyti, kad duomenų subjekto asmens duomenys yra tvarkomi dėl pagrįstų ir teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, arba asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus.
III SKYRIUS
PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES PATEIKIMAS
39. Duomenų subjektas, siekdamas įgyvendinti Aprašo 7 punkte nurodytas teises (išskyrus Aprašo 7.1 papunktyje nurodytą teisę), turi asmeniškai paštu, per pasiuntinį ar elektroninėmis priemonėmis pateikti rašytinį prašymą įgyvendinti duomenų subjekto teises (toliau – prašymas), kurio rekomenduojama forma pateikiama Aprašo 2 priede.
Žodžiu elektroninėmis priemonėmis (telefonu ar garso ir vaizdo nuotolinio perdavimo ir įrašymo priemonėmis) gali būti teikiami prašymai dėl teisės gauti informaciją apie asmens duomenų tvarkymą įgyvendinimą, juos pateikdamas asmuo neprivalo patvirtinti savo tapatybės (pvz., prašydamas bendro pobūdžio informacijos).
40. Prašymas teikiamas valstybine kalba ir turi būti aiškus, suprantamas, parašytas įskaitomai, pasirašytas duomenų subjekto, jame turi būti nurodytas duomenų subjekto vardas, pavardė, adresas ir (ar) kiti kontaktiniai duomenys ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo, taip pat informacija apie tai, kokią iš Aprašo 7.2–7.7 papunkčiuose nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti ir kokiu būdu duomenų subjektas pageidauja gauti atsakymą.
41. Pateikdamas prašymą, duomenų subjektas privalo patvirtinti savo tapatybę:
41.1. jeigu prašymas pateikiamas tiesiogiai Vidaus reikalų ministerijos atsakingam darbuotojui, pateikiamas asmens tapatybę patvirtinantis dokumentas;
41.2. jeigu prašymas pateikiamas paštu arba per pasiuntinį, kartu su prašymu turi būti pateikiama asmens tapatybę patvirtinančio dokumento kopija;
43. Jei atstovaujamo duomenų subjekto vardu kreipiasi duomenų subjekto atstovas, jis savo prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, kontaktinę informaciją, atstovaujamo asmens vardą, pavardę, gyvenamąją vietą, kontaktinę informaciją, informaciją, kokias teises ir kokiu mastu pageidauja įgyvendinti, kokiomis aplinkybėmis jo asmens duomenys galėjo būti surinkti, kokiu būdu pageidauja gauti atsakymą, ir pridėti atstovavimą patvirtinantį dokumentą ar teisės aktų nustatyta tvarka patvirtintą jo kopiją.
IV SKYRIUS
PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES NAGRINĖJIMAS
45. Gavus prašymą, ne vėliau kaip per vieną mėnesį nuo prašymo gavimo duomenų subjektui pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Šiame punkte nurodytas terminas prireikus gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymo sudėtingumą ir jų skaičių. Apie termino pratęsimą per vieną mėnesį nuo prašymo gavimo informuojamas duomenų subjektas nurodant vėlavimo priežastis.
46. Prašymas, pateiktas nesilaikant Apraše nustatytos tvarkos ir reikalavimų, nenagrinėjamas ir nedelsiant, bet ne vėliau kaip per 5 darbo dienas, apie tai informuojamas duomenų subjektas nurodant priežastis.
47. Jeigu prašymo nagrinėjimo metu nustatoma, kad duomenų subjekto teisės yra apribotos Reglamento (ES) 2016/679 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.
48. Atsakymas į prašymą pateikiamas duomenų subjekto pageidaujama forma (pateikiant rašytinį atsakymą paštu, elektroninėmis priemonėmis, asmeniškai Vidaus reikalų ministerijoje ar pateikiant informaciją žodžiu, įsitikinus duomenų subjekto tapatybe). Jei duomenų subjektas nenurodo pageidaujamos informacijos pateikimo formos ir prašymas yra pateiktas elektroninėmis priemonėmis, atsakymas į duomenų subjekto prašymą pateikiamas, jei tai įmanoma, elektroninėmis priemonėmis. Kitais atvejais atsakymas į prašymą pateikiamas siunčiant rašytinį atsakymą paštu ar kita forma. Vaizdo ar garso įrašo kopija pateikiama išorinėje duomenų laikmenoje – siunčiama paštu, įteikiama asmeniškai arba siunčiama elektroninėmis priemonėmis.
49. Informacija pagal prašymą teikiama valstybine kalba. Duomenų subjektui Vidaus reikalų ministerijos turima informacija nevalstybine kalba gali būti pateikta tuo atveju, kai informacija yra tvarkoma šia kalba.
50. Vidaus reikalų ministerija turi teisę atsisakyti pateikti duomenų subjektui jo prašomą informaciją, jeigu nustatoma, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas. Atsisakyme pateikti prašomą informaciją privalo būti raštu nurodyta atsisakymo pateikti prašomos informacijos motyvai.
51. Visi veiksmai pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo atliekami ir informacija teikiama nemokamai.
52. Vidaus reikalų ministerijos veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti Valstybinei duomenų apsaugos inspekcijai (L. Sapiegos g. 17, Vilnius, el. paštas ada@ada.lt, interneto svetainė http://vdai.lrv.lt) arba Vilniaus apygardos administraciniam teismui.
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
54. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis į Vidaus reikalų ministerijos duomenų apsaugos pareigūną el. paštu dap@vrm.lt. Siekiant užtikrinti Reglamento (ES) 2016/679 38 straipsnio 5 dalyje įtvirtintą konfidencialumą, kreipiantis į duomenų apsaugos pareigūną paštu, ant voko užrašoma, kad korespondencija skirta duomenų apsaugos pareigūnui.
Duomenų subjektų teisių įgyvendinimo Lietuvos Respublikos vidaus reikalų ministerijoje tvarkos aprašo
1 priedas
(Informacijos apie asmens duomenų tvarkymą forma)
INFORMACIJA APIE ASMENS DUOMENŲ TVARKYMĄ
Vadovaudamiesi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 13/14[1] straipsniu, teikiame Jums informaciją, susijusią su Jūsų duomenų tvarkymu:
1. Duomenų valdytojas – Lietuvos Respublikos vidaus reikalų ministerija, juridinio asmens kodas 188601464, buveinės adresas Šventaragio g. 2, 01510 Vilnius, tel. (8 5) 271 7130, el. p. bendrasisd@vrm.lt.
3. Tvarkomi duomenys. Informuojame, kad tvarkome šiuos Jūsų asmens duomenis[2]:
1. ________________________
2. ________________________
3. ________________________
4. ________________________
4. Duomenų tvarkymo tikslai. Pirmiau nurodyti Jūsų asmens duomenys tvarkomi šiais tikslais[3]:
1. ________________________
2. ________________________
3. ________________________
4. ________________________
5. Duomenų tvarkymo teisinis pagrindas. Jūsų asmens duomenų tvarkymo teisinis pagrindas[4]– _______________________________________________________________________________.
________________________________________________________________________________
_______________________________________________[5].
6. Duomenų šaltinis. Pirmiau nurodyti Jūsų duomenys gauti iš[6] ________________________________________________________________________________
__________________________________________________________________
7. Asmens duomenų gavėjai. Jūsų asmens duomenys gali būti perduoti[7]:
1. ________________________
2. ________________________
3. ________________________
4. ________________________
8. Duomenų subjektų teisės. Informuojame, kad turite šias teises: teisę prašyti, kad Jums būtų leista susipažinti su savo asmens duomenimis ir juos ištaisyti arba ištrinti, teisę apriboti duomenų tvarkymą, teisę nesutikti, kad asmens duomenys būtų tvarkomi. Šias teises galite įgyvendinti teisės aktų nustatyta tvarka.
Prašymai dėl teisių įgyvendinimo Vidaus reikalų ministerijai turi būti pateikti raštu (įskaitant ir elektroniniu formatu), taip pat turi būti įmanoma identifikuoti prašymą padavusio asmens bei duomenų subjekto tapatybę. Duomenų subjekto tapatybė nustatoma pagal tapatybę patvirtinantį dokumentą ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį. Jei prašymą duomenų subjektas siunčia paštu ar per pasiuntinį, prie prašymo turi būti pridėta asmens tapatybę patvirtinančio dokumento kopija, patvirtinta notaro, ar šio dokumento kopija, patvirtinta kita teisės aktų nustatyta tvarka. Kai dėl informacijos apie asmenį kreipiasi jo atstovas, jis turi pateikti atstovavimą patvirtinantį dokumentą ir atstovo tapatybę patvirtinantį dokumentą.
Dėl duomenų subjektų teisių įgyvendinimo maloniai prašome kreiptis į duomenų apsaugos pareigūną 2 punkte nurodytais kontaktais.
9. Jūs taip pat turite teisę bet kada atšaukti sutikimą tvarkyti Jūsų duomenis. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto asmens duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.[8]
10. Asmens duomenų saugojimo laikotarpis. Informuojame, kad Jūsų asmens duomenys bus saugomi ____________ laikotarpį[9]. Šis terminas gali būti pratęstas, jei asmens duomenys yra naudojami arba gali būti naudojami kaip įrodymai ar informacijos šaltinis ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais įstatymų nustatytais atvejais. Tokiu atveju asmens duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
11. Automatizuotų sprendimų priėmimai. Informuojame, kad šie Jūsų duomenys nebus naudojami automatizuotų sprendimų priėmimui Jūsų atžvilgiu, įskaitant profiliavimą.
Duomenų subjektų teisių įgyvendinimo Lietuvos Respublikos vidaus reikalų ministerijoje tvarkos aprašo
2 priedas
(Prašymo įgyvendinti duomenų subjekto teisę (-es) forma)
________________________________________________________________
(Duomenų subjekto vardas, pavardė)
________________________________________________________________________________
(Adresas ir (ar) kiti kontaktiniai duomenys (telefono ryšio numeris ar el. pašto adresas (nurodoma pareiškėjui pageidaujant)
________________________________________________________________________________
(Atstovas ir atstovavimo pagrindas, jeigu prašymą pateikia duomenų subjekto atstovas)
Lietuvos Respublikos vidaus reikalų ministerijai
PRAŠYMAS
ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISĘ (-ES)
____________
(Data)
________
(Vieta)
1. Prašau įgyvendinti šią (šias) duomenų subjekto teisę (-es):
(Tinkamą langelį pažymėkite kryželiu):
Teisę gauti informaciją apie duomenų tvarkymą
Teisę susipažinti su duomenimis
Teisę reikalauti ištaisyti duomenis
Teisę reikalauti ištrinti duomenis („teisė būti pamirštam“)
Teisę apriboti duomenų tvarkymą
Teisę nesutikti su duomenų tvarkymu
2. Nurodykite, ko konkrečiai prašote ir pateikite kiek įmanoma daugiau informacijos, kuri leistų tinkamai įgyvendinti Jūsų teisę (-es) (pavyzdžiui, jeigu norite gauti asmens duomenų kopiją, nurodykite, kokių konkrečiai duomenų (pavyzdžiui, 2018 m. x mėn. x d. elektroninio pašto laiško kopiją, 2018 m. x mėn. x d. vaizdo įrašą (x val. x min. – x val. x min.) kopiją pageidaujate gauti; jeigu norite ištaisyti duomenis, nurodykite, kokie konkrečiai Jūsų asmens duomenys yra netikslūs; jeigu nesutinkate, kad būtų tvarkomi Jūsų asmens duomenys, tuomet nurodykite argumentus, kuriais grindžiate savo nesutikimą, nurodykite dėl kokio konkrečiai duomenų tvarkymo nesutinkate):
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
_______________________________________________________________________________.
PRIDEDAMA[10]:
1. _________________________________________________________________________.
2. _________________________________________________________________________.
3. _________________________________________________________________________.
4. _________________________________________________________________________.
_______________ _____________________________
(Parašas) (Vardas, pavardė)
PATVIRTINTA
Lietuvos Respublikos vidaus reikalų ministro
2020 m. rugpjūčio 28 d. įsakymu Nr. 1V-865
DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO TVARKANT ASMENS DUOMENIS LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS VALDOMUOSE REGISTRUOSE IR VALSTYBĖS INFORMACINĖSE SISTEMOSE TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Lietuvos Respublikos vidaus reikalų ministerijos valdomuose registruose ir valstybės informacinėse sistemose tvarkos aprašas (toliau – Aprašas) nustato duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Lietuvos Respublikos vidaus reikalų ministerijos valdomuose registruose ir valstybės informacinėse sistemose tvarką.
2. Aprašas taikomas įgyvendinant duomenų subjektų – asmenų, kurių asmens duomenys tvarkomi Vidaus reikalų ministerijos valdomuose registruose ir valstybės informacinėse sistemose, teises.
3. Aprašas parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679).
5. Duomenų subjekto teises Vidaus reikalų ministerijos vardu įgyvendina juridiniai asmenys, veikiantys kaip teisės aktais įgalioti Vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų tvarkytojai (toliau – duomenų tvarkytojai), Aprašo nustatyta tvarka, nebent kituose teisės aktuose, reglamentuojančiuose Vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų veiklą, nustatyta kitaip.
II SKYRIUS
DUOMENŲ SUBJEKTŲ TEISĖS IR JŲ ĮGYVENDINIMO TVARKA
7. Duomenų subjektas turi šias teises, įtvirtintas Reglamente (ES) 2016/679:
8. Vidaus reikalų ministerijos valdomuose registruose ir valstybės informacinėse sistemose neatliekamas asmens duomenų tvarkymas, grindžiamas duomenų subjekto sutikimu pagal Reglamento (ES) 2016/679 6 straipsnio 1 dalies a punktą arba 9 straipsnio 2 dalies a punktą arba sutartimi pagal 6 straipsnio 1 dalies b punktą, todėl duomenų subjektui netaikoma teisė į duomenų perkeliamumą pagal Reglamento (ES) 2016/679 20 straipsnį.
9. Duomenų subjektui netaikoma teisė reikalauti, kad nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, vadovaujantis Reglamento (ES) 2016/679 22 straipsnio 2 dalies b punktu.
10. Duomenų subjektui netaikoma teisė reikalauti ištrinti jo asmens duomenis („teisė būti pamirštam“), vadovaujantis Reglamento (ES) 2016/679 17 straipsnio 3 dalies b punktu.
PIRMASIS SKIRSNIS
TEISĖ GAUTI INFORMACIJĄ APIE ASMENS DUOMENŲ TVARKYMĄ
11. Informacija apie Vidaus reikalų ministerijos valdomuose registruose ir valstybės informacinėse sistemose esančių asmens duomenų tvarkymą, nurodyta Reglamento (ES) 2016/679 13 ir 14 straipsniuose, pateikiama Vidaus reikalų ministerijos interneto svetainėje https://vrm.lrv.lt/ ir atitinkamo duomenų tvarkytojo interneto svetainėje.
12. Asmens duomenų rinkimo iš duomenų subjektų atveju duomenų subjektai informuojami, kad informacija apie asmens duomenų tvarkymą yra nurodyta Vidaus reikalų ministerijos interneto svetainėje https://vrm.lrv.lt/ ir duomenų tvarkytojo interneto svetainėje. Ši informacija pateikiama tokiu būdu, kokiu duomenų subjektas kreipiasi į duomenų tvarkytoją.
ANTRASIS SKIRSNIS
TEISĖ SUSIPAŽINTI SU ASMENS DUOMENIMIS
14. Duomenų subjektui pateikus prašymą susipažinti su savo asmens duomenimis, tvarkomais Vidaus reikalų ministerijos valdomuose registruose ir valstybės informacinėse sistemose, duomenų tvarkytojas turi pateikti:
14.2. su asmens duomenų tvarkymu susijusią informaciją, numatytą Reglamento (ES) 2016/679 15 straipsnio 1 ir 2 dalyse, jeigu duomenų subjekto asmens duomenys yra tvarkomi;
TREČIASIS SKIRSNIS
TEISĖ REIKALAUTI IŠTAISYTI ASMENS DUOMENIS
16. Duomenų subjektas turi teisę reikalauti, kad duomenų tvarkytojo tvarkomi netikslūs jo asmens duomenys būtų ištaisyti, o neišsamūs – papildyti.
KETVIRTASIS SKIRSNIS
TEISĖ APRIBOTI ASMENS DUOMENŲ TVARKYMĄ
18. Duomenų subjektas turi teisę reikalauti, kad Vidaus reikalų ministerijos valdomuose registruose ir valstybės informacinėse sistemose būtų apribotas jo asmens duomenų tvarkymas Reglamento (ES) 2016/679 18 straipsnio 1 dalis a punkte numatytu atveju.
19. Duomenų subjektą, kurio prašymas apriboti duomenų tvarkymą buvo tenkintas, duomenų tvarkytojas informuoja tokiu būdu, kokiu duomenų subjektas pateikė prašymą dėl asmens duomenų tvarkymo apribojimo.
20. Jeigu duomenų subjekto asmens duomenys, kurių tvarkymas apribotas pagal duomenų subjekto prašymą, buvo perduoti duomenų gavėjams, duomenų tvarkytojas šiuos duomenų gavėjus apie tai informuoja per 5 darbo dienas nuo asmens duomenų apribojimo momento, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektui jo prašymu duomenų tvarkytojas pateikia informaciją apie duomenų gavėjus, kuriems buvo perduoti asmens duomenys iki jų tvarkymo apribojimo.
21. Asmens duomenis, kurių tvarkymas yra apribotas, galima tvarkyti, išskyrus saugojimą, tik gavus duomenų subjekto sutikimą arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus, arba apsaugoti kito fizinio ar juridinio asmens teises, arba dėl svarbaus Europos Sąjungos arba Lietuvos Respublikos viešojo intereso.
III SKYRIUS
PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES PATEIKIMAS
22. Duomenų subjektas, siekdamas įgyvendinti Aprašo 7 punkte nurodytas teises (išskyrus Aprašo 7.1 papunktyje nurodytą teisę), turi asmeniškai paštu, per pasiuntinį ar elektroninėmis priemonėmis pateikti duomenų tvarkytojui rašytinį prašymą įgyvendinti duomenų subjekto teises (toliau – prašymas).
Žodžiu elektroninėmis priemonėmis (telefonu ar garso ir vaizdo nuotolinio perdavimo ir įrašymo priemonėmis) gali būti teikiami prašymai dėl teisės gauti informaciją apie asmens duomenų tvarkymą įgyvendinimą. Juos pateikdamas asmuo neprivalo patvirtinti savo tapatybės.
23. Prašymas teikiamas valstybine kalba, jis turi būti aiškus, suprantamas, parašytas įskaitomai, pasirašytas duomenų subjekto, jame turi būti nurodytas duomenų subjekto vardas, pavardė, adresas ir (ar) kiti kontaktiniai duomenys ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo ir informacija apie tai, kokią iš Aprašo 7 punkte nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti, bei informacija, kokiu būdu duomenų subjektas pageidauja gauti atsakymą.
24. Pateikdamas prašymą, duomenų subjektas privalo patvirtinti savo tapatybę:
24.1. jeigu prašymas pateikiamas tiesiogiai, duomenų tvarkytojo atsakingam darbuotojui pateikiamas asmens tapatybę patvirtinantis dokumentas;
24.2. jeigu prašymas pateikiamas paštu arba per pasiuntinį, kartu su prašymu turi būti pateikiama teisės aktų nustatyta tvarka patvirtinta asmens tapatybę patvirtinančio dokumento kopija;
25. Duomenų subjekto, nepatvirtinusio savo asmens tapatybės, teisės nėra įgyvendinamos. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.
27. Jei atstovaujamo duomenų subjekto vardu kreipiasi jo atstovas, jis savo prašyme turi nurodyti savo vardą, pavardę, adresą ir (ar) kitus kontaktinius duomenis ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo, taip pat atstovaujamo asmens vardą, pavardę, gyvenamąją vietą, informaciją apie tai, kokią iš Aprašo 7 punkte nurodytų duomenų subjekto teisių ir kokia apimtimi pageidaujama įgyvendinti, ir pridėti atstovavimą patvirtinantį dokumentą ar teisės aktų nustatyta tvarka patvirtintą jo kopiją. Atstovo pateiktas prašymas turi atitikti Aprašo 23–25 punktų reikalavimus.
28. Kai yra abejojama prašymą pateikusio duomenų subjekto tapatybe, duomenų tvarkytojas gali paprašyti duomenų subjekto pateikti papildomą, reikalingą jo tapatybei patvirtinti, informaciją.
29. Duomenų subjektui nepateikus prašomos papildomos informacijos per duomenų tvarkytojo nurodytą terminą, duomenų subjekto prašymas nėra tenkinamas.
30. Kreipiantis raštu dėl duomenų subjekto teisių įgyvendinimo, rekomenduojama pateikti duomenų tvarkytojo nurodytos formos prašymą. Duomenų tvarkytojas turi patvirtinti rekomenduojamą prašymo formą, kuri turi būti skelbiama duomenų tvarkytojo interneto svetainėje.
31. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis į Vidaus reikalų ministerijos ar duomenų tvarkytojo duomenų apsaugos pareigūną, kurio kontaktai nurodyti Vidaus reikalų ministerijos ar atitinkamo duomenų tvarkytojo interneto svetainėje. Kreipiantis į duomenų apsaugos pareigūną paštu, ant voko turėtų būti nurodyta, kad korespondencija yra skirta duomenų apsaugos pareigūnui.
IV SKYRIUS
PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES NAGRINĖJIMAS
32. Vidaus reikalų ministerija gautą prašymą persiunčia nagrinėti per 5 darbo dienas nuo jo gavimo dienos pagal kompetenciją duomenų tvarkytojui. Šis laikotarpis įskaitomas į Aprašo 34 ir 35 punktuose nurodytus terminus.
33. Duomenų tvarkytojas prašymo, pateikto nesilaikant Aprašo nustatytų reikalavimų, nenagrinėja, jei duomenų tvarkytojo vadovas ar jo įgaliotas asmuo nenusprendžia kitaip. Apie atsisakymo nagrinėti prašymą motyvus duomenų tvarkytojas raštu informuoja duomenų subjektą per 5 darbo dienas nuo prašymo gavimo dienos.
34. Duomenų tvarkytojas nedelsdamas, tačiau ne vėliau kaip per vieną mėnesį nuo prašymo gavimo dienos, pateikia duomenų subjektui informaciją apie veiksmus, kurių imtasi gavus prašymą. Šis terminas prireikus duomenų tvarkytojo vadovo ar jo įgalioto asmens sprendimu gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymo sudėtingumą ir skaičių. Duomenų tvarkytojas per vieną mėnesį nuo prašymo gavimo dienos informuoja duomenų subjektą apie tokį pratęsimą, kartu pateikdamas vėlavimo priežastis.
35. Jei duomenų tvarkytojas nesiima veiksmų pagal prašymą, duomenų tvarkytojas nedelsdamas, tačiau ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, informuoja duomenų subjektą apie neveikimo priežastis bei apie galimybę pateikti skundą priežiūros institucijai ir pasinaudoti teisių gynimo priemone.
36. Duomenų tvarkytojas atsakymą į prašymą pateikia valstybine kalba duomenų subjekto pageidaujamu būdu (pateikiant rašytinį atsakymą paštu, elektroninėmis priemonėmis, asmeniškai duomenų tvarkytojo patalpose ar pateikiant informaciją žodžiu, įsitikinus duomenų subjekto tapatybe). Jei duomenų subjektas nenurodo pageidaujamo informacijos pateikimo būdo ir prašymas yra pateiktas elektroninėmis priemonėmis, atsakymas į prašymą pateikiamas, jei tai įmanoma, elektroninėmis priemonėmis. Kitais atvejais atsakymas į prašymą pateikiamas siunčiant rašytinį atsakymą paštu ar kita forma.
37. Duomenų tvarkytojas visus veiksmus pagal prašymus atlieka ir informaciją teikia nemokamai. Kai prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, duomenų tvarkytojas gali imti pagrįstą mokestį, atsižvelgdamas į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines išlaidas, arba gali atsisakyti imtis veiksmų pagal gautą prašymą ir apie tai informuoti duomenų subjektą.
Duomenų tvarkytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
39. Duomenų tvarkytojas privalo pateikti Vidaus reikalų ministerijai priimtų sprendimų pagal Aprašo 35 punktą kopijas per 3 darbo dienas nuo tokių dokumentų išsiuntimo duomenų subjektui dienos.
40. Vidaus reikalų ministerijos ir (ar) duomenų tvarkytojo veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti Valstybinei duomenų apsaugos inspekcijai (L. Sapiegos g. 17, Vilnius, el. paštas ada@ada.lt, interneto svetainė http://vdai.lrv.lt) arba Vilniaus apygardos administraciniam teismui.
PATVIRTINTA
Lietuvos Respublikos vidaus reikalų ministro
2020 m. rugpjūčio 28 d. įsakymu Nr. 1V-865
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO TVARKANT ASMENS DUOMENIS TEISĖS AKTAIS ĮGALIOTIEMS DUOMENŲ TVARKYTOJAMS LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS VALDOMUOSE REGISTRUOSE IR VALSTYBĖS INFORMACINĖSE SISTEMOSE TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų saugumo pažeidimų valdymo tvarkant asmens duomenis teisės aktais įgaliotiems duomenų tvarkytojams Lietuvos Respublikos vidaus reikalų ministerijos valdomuose registruose ir valstybės informacinėse sistemose tvarkos aprašas (toliau – Aprašas) nustato asmens duomenų saugumo pažeidimų valdymo, pranešimų asmens duomenų priežiūros institucijai bei duomenų subjektams teikimo tvarką, kai asmens duomenis tvarko teisės aktais įgalioti duomenų tvarkytojai (toliau – duomenų tvarkytojai) Vidaus reikalų ministerijos valdomuose registruose ir (ar) valstybės informacinėse sistemose.
2. Duomenų tvarkytojai Vidaus reikalų ministerijos vardu atlieka asmens duomenų, tvarkomų Vidaus reikalų ministerijos valdomuose registruose ir valstybės informacinėse sistemose, saugumo pažeidimų (toliau – asmens duomenų saugumo pažeidimas) tyrimą bei kitas reikalingas asmens duomenų saugumo pažeidimo valdymo procedūras, teikia pranešimus apie asmens duomenų saugumo pažeidimus Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektams Aprašo nustatyta tvarka, nebent kituose teisės aktuose, reglamentuojančiuose Vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų veiklą, nustatyta kitaip.
3. Aprašas parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendruoju duomenų apsaugos reglamentu) (toliau – Reglamentas (ES) 2016/679).
II SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMAS
6. Informacijos apie galimą asmens duomenų saugos pažeidimą gavimo, nagrinėjimo ir asmens duomenų saugos pažeidimo tyrimo ir asmens duomenų saugos pažeidimo poveikio duomenų subjektų teisėms ir laisvėms vertinimo (toliau – poveikio duomenų subjektų teisėms ir laisvėms vertinimas) procedūras nustato duomenų tvarkytojas.
7. Vidaus reikalų ministerija gautą informaciją dėl galimai padaryto asmens duomenų saugumo pažeidimo persiunčia Vidaus reikalų ministerijos vardu nagrinėti ir vertinti duomenų tvarkytojui per vieną darbo dieną nuo šios informacijos gavimo dienos.
8. Tai atvejais, kai duomenų tvarkytojas nustato, kad asmens duomenų saugumo pažeidimas yra padarytas, atliekamas poveikio duomenų subjektų teisėms ir laisvėms vertinimas. Poveikio duomenų subjektų teisėms ir laisvėms vertinimo išvados gali būti šios:
III SKYRIUS
PRANEŠIMŲ APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ TEIKIMAS
9. Kai asmens duomenų saugumo pažeidimas nekelia pavojaus duomenų subjektų teisėms ir laisvėms, apie padarytą asmens duomenų saugumo pažeidimą Valstybinė duomenų apsaugos inspekcija ir duomenų subjektai nėra informuojami. Duomenų tvarkytojas apie tokius asmens duomenų saugumo pažeidimus pateikia informaciją Vidaus reikalų ministerijai vieną kartą per mėnesį.
10. Duomenų tvarkytojas privalo informuoti Valstybinę duomenų apsaugos inspekciją ir (ar) duomenų subjektus, jeigu to pareikalauja Vidaus reikalų ministerija, gavusi informaciją pagal Aprašo 9 punktą ir įvertinusi, kad yra tikimybė, kad dėl asmens duomenų saugumo pažeidimo gali kilti pavojus duomenų subjektų teisėms ir laisvėms.
11. Esant asmens duomenų saugumo pažeidimui, kuris gali sukelti pavojų duomenų subjektų teisėms ir laisvėms, duomenų tvarkytojas ne vėliau kaip per 72 valandas nuo tada, kai sužinojo apie asmens duomenų saugumo pažeidimą, vadovaudamasis Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos apraše, patvirtintame Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T-72(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“, nustatyta tvarka ir sąlygomis pateikia pranešimą apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai ir Vidaus reikalų ministerijai. Pranešimas parengiamas pagal Valstybinės duomenų apsaugos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“ patvirtintą rekomenduojamą pranešimo apie asmens duomenų saugumo pažeidimą formą.
12. Kai apie asmens duomenų saugumo pažeidimą privaloma informuoti Valstybinę duomenų apsaugos inspekciją ir per 72 valandas padaryto asmens duomenų saugumo pažeidimo ištirti nėra įmanoma, pranešime apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai ir Vidaus reikalų ministerijai yra pateikiama tuo metu prieinama informacija, nurodyta Reglamento (ES) 2016/679 33 straipsnio 3 dalyje, vėlavimo priežastys ir kitos detalesnės informacijos pateikimo data.
13. Tuo atveju, jei po pranešimo apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai pateikimo, atlikus tolesnį tyrimą, yra nustatoma, kad asmens duomenų saugumo incidentas buvo sustabdytas ir faktiškai nebuvo jokio asmens duomenų saugumo pažeidimo, duomenų tvarkytojas nedelsdamas apie tai informuoja Valstybinę duomenų apsaugos inspekciją ir Vidaus reikalų ministeriją.
14. Jeigu abejojama, ar asmens duomenų saugumo pažeidimas gali sukelti pavojų duomenų subjektų teisės ir laisvėms ir ar reikia pateikti pranešimą apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai ir Vidaus reikalų ministerijai, rekomenduotina pranešimą apie asmens duomenų saugumo pažeidimą pateikti.
15. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, duomenų tvarkytojas privalo nedelsdamas pranešti apie asmens duomenų saugumo pažeidimą tiesiogiai duomenų subjektui, Valstybinei duomenų apsaugos inspekcijai ir Vidaus reikalų ministerijai. Duomenų subjektui aiškia ir paprasta kalba pateikiama informacija: asmens duomenų saugumo pažeidimo pobūdis, nurodomas duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas, pavardė ir kontaktiniai duomenys, tikėtinos asmens duomenų saugumo pažeidimo pasekmės ir priemonės, kurių buvo imtasi arba pasiūlyta imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas, taip pat priemonės galimoms neigiamoms jo pasekmėms sumažinti bei pagal galimybes atitinkamam fiziniam asmeniui skirtos rekomendacijos, kaip sumažinti galimą neigiamą poveikį. Pranešimas duomenų subjektui pateikiamas įprastu komunikavimo su duomenų subjektu būdu, dedant maksimalias pastangas, kad pranešimas pasiektų adresatą.
16. Aprašo 15 punkte nurodytas pranešimas duomenų subjektams apie asmens duomenų saugumo pažeidimus gali būti neteikiamas, jeigu yra bent viena Reglamento (ES) 2016/679 34 straipsnio 3 dalyje nurodytų sąlygų.
17. Duomenų tvarkytojas privalo informuoti duomenų subjektus apie asmens duomenų saugumo pažeidimą, jeigu to pareikalauja Valstybinė duomenų apsaugos inspekcija ar Vidaus reikalų ministerija, įvertinusi, kad yra tikimybė, kad dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms.
IV SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ APSKAITA
19. Duomenų tvarkytojas visus asmens duomenų saugumo pažeidimus turi dokumentuoti ir registruoti duomenų tvarkytojo nustatyta tvarka.
20. Registruojant asmens duomenų saugumo pažeidimus turi būti nurodyta ši informacija:
20.1. visi su asmens duomenų saugumo pažeidimu susiję faktai – asmens duomenų saugumo pažeidimo data, priežastis, kas įvyko ir kokie asmens duomenys pažeisti;
20.4. informacija, ar apie pažeidimą buvo pranešta Valstybinei duomenų apsaugos inspekcijai, ir priimto sprendimo motyvai;
20.5. informacija, ar apie pažeidimą buvo pranešta duomenų subjektui (-ams), ir priimto sprendimo motyvai;
21. Informacija apie asmens duomenų saugumo pažeidimų apskaitą turi būti pateikiama Valstybinei duomenų apsaugos inspekcijai ir Vidaus reikalų ministerijai jos pareikalavimu.
22. Vidaus reikalų ministerijos gauti duomenų tvarkytojo pranešimai apie asmens duomenų saugumo pažeidimus ir kita informacija, susijusi su asmens duomenų saugumo pažeidimų valdymu, pateikiama Vidaus reikalų ministerijos administracijos padaliniui, atliekančiam valstybės informacinių sistemų, registrų, elektroninių tinklų, kurių valdytoja yra Vidaus reikalų ministerija, valdytojo ir juose tvarkomų asmens duomenų valdytojo funkcijas.
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
23. Vidaus reikalų ministerija ir duomenų tvarkytojas bendradarbiauja, teikia pagalbą, kurios reikia, kad būtų tinkamai pranešta apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai ir (ar) duomenų subjektui.
24. Įtarus, kad asmens duomenų saugumo pažeidimas turi nusikalstamos veikos požymių, duomenų tvarkytojo atsakingas darbuotojas inicijuoja informacijos apie galimai padarytą nusikalstamą veiką teikimą atitinkamoms valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą.
25. Kai padarytas asmens duomenų saugumo pažeidimas yra susijęs su kibernetiniu incidentu, duomenų tvarkytojo atsakingas darbuotojas inicijuoja informacijos apie kibernetinį incidentą, susijusį su asmens duomenų saugumo pažeidimu, teikimą Lietuvos Respublikos kibernetinio saugumo įstatyme nurodytoms valstybės institucijoms šio įstatymo nustatyta tvarka ir atvejais.
26. Atvejais, numatytais Aprašo 24 ir 25 punktuose, informacija pateikiama ir Vidaus reikalų ministerijai.
27. Įvykus bet kokiam asmens duomenų saugumo pažeidimui, duomenų tvarkytojas privalo kuo greičiau imtis visų įmanomų priemonių ištaisyti asmens duomenų saugumo pažeidimus, pašalinti jų pasekmes, siekiant atkurti padėtį, kuri buvo prieš pažeidimą, taip pat imtis visų priemonių, kad pavojus arba galima žala duomenų subjektų teisėms ir laisvėms būtų sumažinta arba panaikinta.
28. Duomenų tvarkytojas, sudarydamas bet kokio pobūdžio sutartis, kurių pagrindu yra perduodami asmens duomenys, užtikrina, kad sutartyse būtų įtvirtinta pareiga kitai sutarties šaliai pranešti duomenų tvarkytojui apie asmens duomenų saugumo pažeidimo atvejus nedelsiant, bet ne vėliau kaip per 24 valandas nuo sužinojimo momento pateikiant informaciją ir bendradarbiauti teikiant informaciją Valstybinei duomenų apsaugos inspekcijai ir (ar) duomenų subjektams.