Lietuvos Respublikos konkurencijos taryba
Nutarimas
Dėl LIETUVOS RESPUBLIKOS KONKURENCIJOS TARYBOS 2019 m. sausio 22 d. nutarimo Nr. 1S-4 (2019) „Dėl ASMENS DUOMENŲ TVARKYMO LIETUVOS RESPUBLIKOS KONKURENCIJOS TARYBOJE TAISYKLIŲ patvirtinimo“ pakeitimo
2020 m. birželio 15 d. Nr. 1S-68 (2020)
Vilnius
Vadovaudamasi Lietuvos Respublikos konkurencijos įstatymo 18 straipsnio 2 dalies 2 punktu, Lietuvos Respublikos konkurencijos taryba nutaria:
1. Pakeisti Asmens duomenų tvarkymo Lietuvos Respublikos konkurencijos taryboje taisykles, patvirtintas Lietuvos Respublikos konkurencijos tarybos 2019 m. sausio 22 d. nutarimu Nr. 1S-4 (2019) „Dėl asmens duomenų tvarkymo Lietuvos Respublikos konkurencijos taryboje taisyklių patvirtinimo“ (toliau – Taisyklės):
1.1. Pakeisti 6 punktą ir jį išdėstyti taip:
„6. Atliekant veiksmus, susijusius su Lietuvos Respublikos konkurencijos įstatymo, Lietuvos Respublikos mažmeninės prekybos įmonių nesąžiningų veiksmų draudimo įstatymo, Lietuvos Respublikos darbo kodekso, Lietuvos Respublikos valstybės tarnybos įstatymo ir kitų teisės aktų nuostatų įgyvendinimu, Konkurencijos taryboje gali būti tvarkomi asmens duomenys.“
1.2. Pakeisti 7.1 papunktį ir jį išdėstyti taip:
„7.1. Esamų ir buvusių Konkurencijos tarybos darbuotojų asmens duomenys: vardas, pavardė, gimimo data, asmens kodas, asmens socialinio draudimo numeris, parašas, pilietybė, gyvenamosios vietos adresas, darbo ir (ar) asmeninio telefono numeris, darbo ir (ar) asmeninio elektroninio pašto adresas, gyvenimo ir veiklos aprašymas, šeiminė padėtis ir informacija apie šeimos narius, pareigos, duomenys apie priėmimą (perkėlimą) į pareigas, atleidimą iš pareigų, duomenys, susiję su išsilavinimu ir kvalifikacija, taip pat duomenys, susiję su kvalifikacijos kėlimu bei komandiruotėmis, duomenys apie atostogas, duomenys apie darbo užmokestį, išeitines išmokas, kompensacijas, pašalpas, skatinimus ir nuobaudas, informacija apie dirbtą darbo laiką, atliktus darbus ir užduotis, informacija apie veiklos vertinimą, viešųjų ir privačių interesų deklaravimo duomenys, asmens dokumento (Lietuvos Respublikos piliečio paso arba asmens tapatybės kortelės) numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, asmens atvaizdas, asmens balso įrašas, asmens parašas, darbo užmokesčiui pervesti reikalingos banko sąskaitos numeris, naudojamų techninių įrenginių duomenys (pvz., tokių įrenginių numeriai, IP adresai) bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Konkurencijos tarybą įpareigoja įstatymai ir kiti teisės aktai. Taip pat gali būti tvarkomi specialių kategorijų asmens duomenys, susiję su sveikata, teistumu, dalyvavimu uždraustos organizacijos veikloje, etnine ir rasine kilme, politinėmis pažiūromis bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Konkurencijos tarybą įpareigoja įstatymai ir kiti teisės aktai;“
1.3. Pakeisti 7.2 papunktį ir jį išdėstyti taip:
„7.2. Pretendentų į Konkurencijos tarybos valstybės tarnautojus ir darbuotojus, dirbančius pagal darbo sutartį, studentų, priimamų atlikti praktiką Konkurencijos taryboje, stažuotojų bei kitais pagrindais atliekančių funkcijas ar vykdančių veiklą Konkurencijos taryboje asmenų asmens duomenys: vardas, pavardė, gimimo data, asmens kodas, asmens dokumentų registracijos data ir numeris, parašas, pilietybė, gyvenamosios vietos adresas, asmeninio telefono numeris, asmeninio elektroninio pašto adresas, asmens atvaizdas, pareigos, į kurias pretenduojama, gyvenimo ir veiklos aprašymas, duomenys apie išsilavinimą ir kvalifikaciją, pokalbio su pretendentu į Konkurencijos tarybos pareigybes skaitmeninis garso įrašas, specialių kategorijų asmens duomenys, susiję su sveikata, teistumu, dalyvavimu uždraustos organizacijos veikloje, etnine ir rasine kilme, politinėmis pažiūromis bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Konkurencijos tarybą įpareigoja įstatymai ir kiti teisės aktai;“
1.4. Papildyti nauju 7.21 papunkčiu:
1.5. Pakeisti 7.3 punktą ir jį išdėstyti taip:
„7.3. Su Konkurencijos tarybos konkurencijos priežiūros funkcijų vykdymu susijusių ir kitų tyrimo medžiagoje nurodytų duomenų subjektų asmens duomenys (pavyzdžiui, vardas, pavardė, gimimo data, asmens kodas, parašas, adresas, telefono ir (ar) telefakso numeris, elektroninio pašto adresas, balso įrašas, kt.);“
1.6. Pakeisti 7.6 papunktį ir jį išdėstyti taip;
„7.6. Konkurencijos tarybos interneto svetainės ar socialinių tinklų, kuriuose dalyvauja Konkurencijos taryba, lankytojų (dalyvių) asmens duomenys renkami naudojant slapukus (angl. cookies) arba naršant: IP adresas, duomenys, kuriuos Konkurencijos tarybos interneto svetainės ar socialinių tinklų lankytojas pats pateikia per socialinius tinklus ar kreipdamasis interneto svetainėje nurodytais kontaktais ir būdais, bendro pobūdžio (anoniminė) informacija apie naudojimąsi interneto svetaine ir informacija, leidžianti atpažinti ir suskaičiuoti svetainės lankytojus bei stebėti lankytojų apsilankymus ir jų veiklą interneto svetainėje;“
1.8. Pakeisti 8.8 papunktį ir jį išdėstyti taip:
„8.8. Konkurencijos tarybos funkcijų tinkamam įgyvendinimui ir darbuotojų bei kitų Konkurencijos taryboje besilankančių asmenų saugumui užtikrinti; šiuo tikslu ir tik ta apimtimi, kuri reikalinga šiam tikslui įgyvendinti, gali būti atliekamas vaizdo stebėjimas, apimantis ribotą vaizdo stebėjimo lauką Konkurencijos tarybos patalpų išorėje ir vidaus bendrojo naudojimo patalpose; taip pat yra registruojami asmenys, kurie lankosi Konkurencijos taryboje;“
1.9. Pakeisti 8.9 papunktį ir jį išdėstyti taip:
„8.9. privatumo, naudojantis Konkurencijos tarybos interneto svetaine ir socialiniais tinklais, kuriuose dalyvauja Konkurencijos taryba, užtikrinimo tikslais:
8.9.1. panaudojant slapukus renkami ir toliau tvarkomi asmens duomenys, siekiant užtikrinti interneto svetainės funkcionalumą, pagerinti svetainės veikimą ir įsiminti lankytojams aktualią informaciją;
8.9.2. Konkurencijos tarybos interneto svetainės lankytojų asmens duomenys (IP adresas) renkami ir toliau tvarkomi siekiant identifikuoti unikalių apsilankymų interneto svetainėje skaičių;
8.9.3. socialinių tinklų, kuriuose dalyvauja Konkurencijos taryba, naudotojų asmens duomenys tvarkomi siekiant pateikti pagal lankytojų poreikius pritaikytą turinį ir, lankytojams pasikreipus, siųsti informaciją, susijusią su Konkurencijos tarybos veikla;
8.9.4. asmens duomenys, kuriuos pats asmuo pateikia kreipdamasis į Konkurencijos tarybą interneto svetainėje nurodytais kontaktais ir būdais, įskaitant teikdamas „Pranešk mums“ pranešimo formą (vardas, pavardė, elektroninio pašto adresas, darbovietė, pareigos, darbo ir (ar) asmeninio telefono numeris) tvarkomi lankytojo informavimo ar lankytojo pateiktos informacijos tikslinimo tikslais ir informacijos sklaidos tikslais (pvz., informuojant asmenis apie Konkurencijos tarybos atliekamus veiksmus, organizuojamus renginius, seminarus, konferencijas).“
1.10. Papildyti nauju 8.11 papunkčiu:
„8.11. Konkurencijos tarybos darbuotojų asmens duomenys tvarkomi šiais tikslais:
8.11.1. Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informavimo apie darbo pradžią ir pabaigą, neatvykimą į darbą, darbuotojo draudžiamąsias pajamas ir valstybinio socialinio draudimo įmokas, atostogas vaikui prižiūrėti, tėvystės atostogas, ligos pašalpos, mokamos darbdavio lėšomis, deklaravimo tikslais;
8.11.2. darbo sutarčių sudarymo, vykdymo ir apskaitos, priėmimo į valstybės tarnybą, studentų praktikos atlikimo, įskaitant ir minėtų kategorijų asmenų atranką, bei kitais su darbo, valstybės tarnybos atlikimo ar profesinės patirties įgijimo tikslais, įskaitant su darbo funkcijomis susijusiai būtinai komunikacijai su darbuotojais ne darbo metu palaikyti;
8.11.4. funkcijoms, susijusioms su įstatymų, kurių priežiūrą atlieka Konkurencijos taryba, vykdyti. Siekiant užtikrinti Konkurencijos tarybos funkcijų vykdymą ir nepertraukiamumą, pasibaigus darbo santykiams ir prieš tai informavus darbuotoją, Konkurencijos tarybos pirmininko įgaliotiems asmenims gali būti suteikta prieiga ir teisė ribotą laiką (bet ne ilgiau nei du mėnesius) tvarkyti buvusio darbuotojo elektroninio pašto dėžutės turinį;
8.11.5. Konkurencijos tarybos funkcijų efektyvumui ir saugumui užtikrinti. Šiuo tikslu tvarkomi Konkurencijos tarybos darbuotojų prisijungimo prie jų asmeninių paskyrų laikas ir trukmė;
1.11. Papildyti nauju 91 punktu:
„91. Konkurencijos tarybos interneto svetainės ar socialinių tinklų, kuriuose dalyvauja Konkurencijos taryba, lankytojų (dalyvių) asmens duomenys renkami naudojant slapukus (angl. cookies) arba naršant tvarkomi tik gavus duomenų subjekto sutikimą (BDAR 6 str. 1 d. a) punktas). Sutikimą tvarkyti asmens duomenis lankytojas suteikia Konkurencijos tarybai į ją kreipdamasis institucijos socialinių tinklų paskyrose arba svetainėje nurodytais kontaktais bei būdais (pvz., teikdamas „Pranešk mums“ pranešimo formą) ir (arba) pasirinkęs svetainėje ir (ar) naršyklėje esančius slapukų nustatymus. Slapukų sąrašas skelbiamas šių Taisyklių 3 priede.“
1.12. Papildyti nauju 92 punktu:
„92. Visi Konkurencijos taryboje atliekamo asmens duomenų tvarkymo tikslai nurodomi asmens duomenų tvarkymo veiklos įrašų registre (toliau – Registras), kuris yra skirtas nustatyti visus Konkurencijos taryboje tvarkomus asmens duomenis, suskirstant juos į asmens duomenų kategorijas bei įvardinant kiekvienai kategorijai taikomą teisinį pagrindą, kuriuo remiantis nustatomas asmens duomenų tvarkymo teisėtumas, techninės ir organizacinės priemonės, asmens duomenų saugojimo terminai, asmens duomenų saugojimo vietos bei kita informacija, kuri leidžia visapusiškai užtikrinti tiek atskiru tikslu tvarkomų asmens duomenų, tiek visos Konkurencijos tarybos tvarkomų asmens duomenų teisėtą tvarkymą bei tvarkomų asmens duomenų saugumą. Registro forma nurodyta Taisyklių 3 priede.“
1.13. Papildyti nauju 93 punktu:
„93. Registro pildymui Konkurencijos taryboje Konkurencijos tarybos pirmininkas paskiria atsakingą darbuotoją ar darbuotojus. Paskirtas darbuotojas ar darbuotojai atsako už Registre esančios informacijos teisingumą, aktualumą, jos savalaikį atnaujinimą bei reikalingų saugos priemonių diegimo koordinavimą. Registro pildymą ir kitus su tuo susijusius veiksmus paskirtas darbuotojas ar darbuotojai derina su duomenų apsaugos pareigūnu.“
1.14. Papildyti nauju 94 punktu:
„94. Registre pateikta informacija atnaujinama ne vėliau kaip per 10 (dešimt) darbo dienų, kai pasikeičia Registre nurodytų tvarkomų asmens duomenų kategorijos, jų tvarkymo tikslai, duomenų gavėjai, duomenų tvarkytojai, asmens duomenų saugojimo terminai. Kitos Registre nurodytos informacijos atnaujinimas vykdomas atliekant metinę Registro peržiūrą, kurią vykdo duomenų apsaugos pareigūnas.“
1.15. Pakeisti 10.8 papunktį ir jį išdėstyti taip:
„10.8. Asmens duomenys Konkurencijos taryboje renkami tik teisės aktų nustatyta tvarka, asmens duomenis gaunant tiesiogiai iš duomenų subjekto arba asmens duomenis apie duomenų subjektą gaunant iš trečiųjų asmenų, oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų pagal prašymą (vienkartinio asmens duomenų rinkimo atveju) arba pagal asmens duomenų teikimo sutartį (daugkartinio asmens duomenų rinkimo atveju), arba tretiesiems asmenims teisės aktų nustatyta tvarka perduodant tokią informaciją, gaunant kartu su dokumentų originalais ar jų kopijomis patikrinimų metu, iš kitų subjektų, naudojant technines priemones ar kartu su surinkta kita informacija, reikalinga Konkurencijos tarybos funkcijoms atlikti.“
1.16. Pakeisti 11 punktą ir jį išdėstyti taip:
„11. Asmens duomenų saugojimo terminus ir veiksmus, kurie atliekami pasibaigus šiam terminui, nustato teisės aktai, reglamentuojantys atitinkamų asmens duomenų tvarkymą. Asmens duomenys saugomi ne ilgiau, negu to reikalauja duomenų tvarkymo tikslai. Konkretūs dokumentų saugojimo terminai nustatyti Konkurencijos tarybos kasmetiniame Dokumentacijos plane ir kituose Konkurencijos tarybos teisės aktuose, nurodomi Registre. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie yra sunaikinami (ištrinami), išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti Lietuvos valstybės naujajam archyvui ar yra saugomi teisės aktų nustatyta tvarka ir terminais.“
1.17. Pakeisti 12 punktą ir jį išdėstyti taip:
„12. Konkurencijos tarybos darbuotojai turi teisę tvarkyti (pavyzdžiui, rinkti, analizuoti, peržiūrėti, perduoti, saugoti, naikinti ar kitaip naudoti) asmens duomenis tik atlikdami savo tiesiogines funkcijas, apibrėžtas pareigybių aprašymuose arba kitaip priskirtas Konkurencijos tarybos pavedimu, ir tik teisės aktų nustatyta tvarka bei šiose Taisyklėse nurodytiems tikslams pasiekti. Su Konkurencijos tarybos darbuotojų asmens duomenimis turi teisę susipažinti tik tie asmenys, kurie yra įgalioti susipažinti su tokiais duomenimis, ir tik ta apimtimi bei tik tuomet, kai tai yra būtina.“
1.18. Pakeisti 15 punktą ir jį išdėstyti taip:
„15. Konkurencijos tarybos pirmininkas ar jo įgalioti asmenys privalo užtikrinti, kad būtų laikomasi pagrindinių asmens duomenų tvarkymo reikalavimų Konkurencijos taryboje, kontroliuoti, kaip darbuotojai tvarko asmens duomenis, nedelsdami imtis atitinkamų organizacinių priemonių (leidžiami įsakymai, nurodymai, rekomendacijos) pašalinti asmens duomenų tvarkymo pažeidimus, kad būtų įgyvendintos duomenų valdytojui priskirtos prievolės (pavyzdžiui, įpareigojant nutraukti neteisėtus ar asmens duomenų apsaugos reikalavimus pažeidžiančius duomenų tvarkymo veiksmus, nustatyta tvarka užslaptinti asmens duomenis, sunaikinti dokumentų, kuriuose yra nurodyti asmens duomenys, kopijas ir pan.). Konkurencijos taryboje yra paskirtas Konkurencijos tarybos duomenų apsaugos pareigūnas, kuriuo gali būti Konkurencijos tarybos darbuotojas arba asmuo, teikiantis duomenų apsaugos pareigūno paslaugas pagal paslaugų teikimo sutartį.“
1.19. Papildyti nauju 201 punktu:
„201. Konkurencijos taryba savo interneto svetainėje Konkurencijos įstatymo 40 straipsnio 6 dalyje nustatytais tikslais ir tvarka skelbia sąrašą asmenų, kuriems įsiteisėjusiu teismo sprendimu paskirtos ūkio subjektų vadovams nustatytos sankcijos. Konkurencijos tarybos interneto svetainėje nurodomas asmuo, kuriam skirta sankcija (asmens vardas, pavardė ir ūkio subjekto, kurio vadovu buvo asmuo, pavadinimas), Konkurencijos tarybos nutarimas, teismo sprendimo įsiteisėjimo data, sankcija ir sankcijų taikymo pabaiga. Šie duomenys skelbiami ne ilgiau nei teismo paskirtų sankcijų taikymo pabaiga.“
1.20. Pakeisti 22 punktą ir jį išdėstyti taip:
„22. Atliekant tyrimo veiksmus ir proceso dalyvių išklausymo Konkurencijos taryboje posėdžių metu, įstatymų, kurių priežiūrą vykdo Konkurencijos taryba, įgyvendinimo ir įtariamų teisės pažeidimų tyrimų tikslais, gali būti daromas garso ir (ar) vaizdo įrašas apie tai informuojant proceso dalyvius ar tyrimo veiksmuose dalyvaujančius duomenų subjektus. Minėti įrašai daromi protokolų surašymo tikslais. Proceso dalyvių išklausymo Konkurencijos taryboje posėdžio įrašas sunaikinamas surašius šio posėdžio protokolą ir suėjus Konkurencijos tarybos darbo reglamente numatytam pastabų protokolui pateikimo terminui. Tyrimo veiksmų įrašas gali būti saugomas bei naudojamas pažeidimų tyrimų tikslais. Jeigu surašius protokolą, tyrimą atlikti įgaliotas Konkurencijos tarybos pareigūnas, įvertinęs tyrimo veiksmo turinį, priima sprendimą, kad garso ar vaizdo įrašas tyrimo tikslais nėra reikalingas, fiksuojant tyrimo veiksmą dalyvavusiam asmeniui įrašas yra sunaikinamas apie tai pažymėjus protokole. Jeigu įgaliotas pareigūnas priima sprendimą garso ar vaizdo įrašą naudoti tyrimo tikslais, jis yra saugomas tyrimo bylos medžiagoje teisės aktų nustatyta tvarka ir terminais. Konkurencijos taryba turi teisę parengti įrašo stenogramą.“
1.21. Papildyti nauju 231 punktu:
„231. Konkurencijos tarybos patalpose tretiesiems asmenims filmuoti, fotografuoti, daryti garso ar vaizdo įrašus ir naudoti šiems tikslams skirtas technines priemones draudžiama, išskyrus atvejus, kai tretieji asmenys gauna Konkurencijos tarybos darbuotojų, kurie dalyvauja atliekant minėtus įrašymo veiksmus, sutikimą. Minėtus įrašymo veiksmus vykdę tretieji asmenys užtikrina BDAR ir kitų teisės aktų laikymąsi tvarkant tokiu būdu surinktus asmens duomenis.“
1.22. Papildyti nauju 241 papunkčiu:
„241. Konkurencijos tarybos darbuotojų ir kitų asmenų, Konkurencijos tarybos turto ir kitų patalpose bei teritorijoje esančių daiktų ir dokumentų bei viešosios tvarkos apsaugos tikslu Konkurencijos taryba vykdo praėjimo kontrolę. Praėjimo kontrolė vykdoma Konkurencijos tarybos darbuotojams ir tretiesiems asmenims patenkant į Konkurencijos tarybos patalpas ir teritoriją. Konkurencijos tarybos darbuotojų patekimas į Konkurencijos tarybos patalpas ir teritoriją fiksuojamas techninėmis (automatinėmis) priemonėmis, užfiksuojant kiekvieno patekimo į patalpas ir teritoriją laiką, o trečiųjų asmenų patekimą į Konkurencijos tarybą, jų vardą, pavardę, parašą, atvykimo laiką, išvykimo laiką, darbuotoją ar darbuotojus, pas kuriuos atvyksta (jų vardą ir pavardę) fiksuoja Konkurencijos tarybos darbuotojai, priimantys šiuos asmenis.“
1.23. Papildyti nauju 242 papunkčiu:
„242. Duomenys, užfiksuoti praėjimo kontrolės metu, naudojami nusikaltimų prevencijai, įtariamoms nusikalstamoms veikoms, administraciniams ar kitiems pažeidimams atskleisti arba Konkurencijos tarybos darbuotojų, trečiųjų asmenų, Konkurencijos tarybos turto ir kitų patalpose bei teritorijoje esančių daiktų ir dokumentų, asmenų sveikatai ar gyvybei padarytai žalai įrodyti, atskleisti ir gali būti perduoti tik įstatymų nustatyta tvarka turintiems teisę gauti šiuos duomenis asmenims.“
1.24. Pakeisti 25 punktą ir jį išdėstyti taip:
„25. Konkurencijos taryba, saugodama asmens duomenis, įgyvendina ir užtikrina tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Konkurencijos taryboje taikomos asmens duomenų apsaugos organizacinės ir techninės priemonės (toliau – saugumo priemonės) nurodytos Taisyklių 2 priede.“
1.25. Pakeisti 27 punktą ir jį išdėstyti taip:
„27. Konkurencijos tarybos darbuotojai, tvarkantys asmens duomenis, turi laikytis BDAR, Asmens duomenų teisinės apsaugos įstatyme, kituose teisės aktuose bei šiose Taisyklėse numatytų reikalavimų ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino atlikdami savo funkcijas. Konkurencijos tarybos darbuotojai pasirašytinai susipažindinami su šiomis Taisyklėmis ir įsipareigoja saugoti asmens duomenų paslaptį. Pastaroji pareiga taip pat galioja darbuotoją paskyrus į kitas pareigas Konkurencijos taryboje bei pasibaigus tarnybos ar darbo santykiams.“
1.26. Pakeisti 29 punktą iš jį išdėstyti taip:
„29. Atsitikus duomenų saugumo pažeidimui, Konkurencijos tarybos darbuotojas ar išorinis paslaugų teikėjas turi nedelsdamas informuoti Konkurencijos tarybos pirmininką arba jo įgaliotą asmenį ir (ar) duomenų apsaugos pareigūną. Konkurencijos tarybos pirmininkas arba jo įgaliotas asmuo imasi visų reikiamų priemonių, kad būtų pašalintos pažeidimo pasekmės bei atstatyti asmens duomenys. Asmens duomenų saugumo pažeidimo atveju Konkurencijos tarybos pirmininkas arba jo įgaliotas asmuo, BDAR 33 straipsnyje numatyta tvarka, informuoja Valstybinę duomenų apsaugos inspekciją. BDAR 34 straipsnyje numatytais atvejais ir tvarka yra informuojamas ir duomenų subjektas.“
1.27. Pakeisti 30 punktą ir jį išdėstyti taip:
1.28. Papildyti nauju 301 punktu:
„301. Įgyvendinant pritaikytosios duomenų apsaugos (angl. privacy by design) ir standartizuotosios duomenų apsaugos (angl. privacy by default) principus, turi būti užtikrinamas nuolatinis asmens duomenų tvarkymo ir su tuo susijusių rizikų vertinimas. Šiame punkte nurodytų principų įgyvendinimas Konkurencijos taryboje realizuojamas:
301.1. numatant privalomą asmens duomenų tvarkymo vertinimą pradiniame kiekvieno pokyčio etape, pavyzdžiui, pradedant naują pažeidimo tyrimą, atliekant tam tikrus tyrimo ar kitos priežiūros ar Konkurencijos tarybos vykdomos funkcijos veiksmus, atliekant informacinių technologijų sistemų pakeitimą. Vertinimą atlieka Konkurencijos tarybos pirmininko įgaliotas asmuo, kuris vertinimą derina su duomenų apsaugos pareigūnu ir atsako už vertinimo rezultatų teisingumą;
301.2. įtraukiant duomenų apsaugos pareigūną į Konkurencijos tarybos sprendimų priėmimą, tuo užtikrinant, kad Konkurencijos tarybos pirmininko įgaliotų ir už asmens duomenų tinkamą tvarkymą Konkurencijos taryboje atsakingų darbuotojų teikiami pasiūlymai būtų vertinami dėl su asmens duomenų tvarkymu susijusių klausimų;“
1.29. Papildyti nauju 302 punktu:
„302. Prieš pradedant naudoti naujas asmens duomenų rinkimo ir tvarkymo priemones, pavyzdžiui, diegiant informacinę sistemą ar jos pakeitimus, įsigyjant programinę įrangą ar pradedant naudoti kitas asmens duomenų tvarkymo priemones, konsultuojamasi su duomenų apsaugos pareigūnu dėl numatomų naudoti priemonių atitikties, atsižvelgiant į nustatytą asmens duomenų tvarkymo tikslą ir būtiną duomenų apimtį bei į konkrečiu atveju būtinas užtikrinti organizacines ir technines duomenų saugumo priemones. Visais atvejais privalo būti atsižvelgta į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į duomenų tvarkymo keliamus pavojus duomenų subjektų teisėms ir laisvėms.“
1.30. Papildyti nauju 303 punktu:
„303. Jei Konkurencijos taryba tvarkyti asmens duomenis pasitelkia duomenų tvarkytoją, ji privalo jį parinkti įvertinusi, ar šis turi pakankamas galimybes ir išteklius garantuoti reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrinti, kad tokių priemonių būtų laikomasi. Konkurencijos taryba, įgaliodama duomenų tvarkytoją tvarkyti asmens duomenis, nustato, kad duomenys turi būti tvarkomi tik pagal Konkurencijos tarybos nurodymus. Konkurencijos tarybos ir duomenų tvarkytojo santykiai turi būti reglamentuojami rašytine sutartimi, išskyrus atvejus, kai tokius santykius nustato įstatymai ar kiti teisės aktai.“
1.31. Papildyti nauju III1 skyriumi:
III1 SKYRIUS
DUOMENŲ APSAUGOS PAREIGŪNO FUNKCIJOS
304. Duomenų apsaugos pareigūnas turi šias teises:
304.1. gauti visą reikiamą informaciją bei dokumentus iš bet kurio Konkurencijos tarybos darbuotojo ir (ar) Konkurencijos tarybos partnerio, kuris atlieka asmens duomenų tvarkymą;
304.2. suderinus su Konkurencijos tarybos pirmininku arba jo įgaliotu asmeniu ir darbuotojui sutikus, pasitelkti bet kurį Konkurencijos tarybos darbuotoją duomenų apsaugos pareigūno funkcijoms įgyvendinti;
304.3. būti tinkamai ir laiku įtraukiamam į visų su asmens duomenų apsauga susijusių klausimų (pvz., naujų projektų įgyvendinimo procesą) svarstymą. Duomenų apsaugos pareigūnui suteikiamas protingas laikas nuomonei pareikšti. Jei į duomenų apsaugos pareigūno nuomonę neatsižvelgiama, duomenų apsaugos pareigūnas yra atsakingas už su tuo susijusių priežasčių dokumentavimą ir šios informacijos saugojimą;
304.4. informuoti Konkurencijos tarybos pirmininką arba jo įgaliotą asmenį apie kylančius organizacinius ar kitus trukdžius, kliudančius tinkamai vykdyti šiose Taisyklėse nurodytas pareigas (pvz., darbuotojai nevykdo duomenų apsaugos pareigūno nurodymų asmens duomenų tvarkymo srityje);
304.5. duomenų apsaugos pareigūnas funkcijų vykdymo metu negali gauti privalomų nurodymų dėl duomenų apsaugos pareigūno kompetencijai priskirtų klausimų sprendimo, pvz., iš anksto numatyto atsakymo pateikimo (duomenų apsaugos pareigūno nepriklausomumo garantija);
304.6. reikalauti skirti būtinus ir protingus išteklius (finansinius, organizacinius, žmogiškuosius, informacinius) duomenų apsaugos pareigūno funkcijoms vykdyti (duomenų apsaugos pareigūno veiklos išteklių garantija);
305. Duomenų apsaugos pareigūnas atlieka šias užduotis:
305.1. informuoja Konkurencijos tarybą ir duomenis tvarkančius Konkurencijos tarybos darbuotojus apie jų prievoles pagal BDAR ir kitus Europos Sąjungos bei Lietuvos Respublikos asmens duomenų apsaugą reglamentuojančių teisės aktų nuostatas ir konsultuoja juos šiais klausimais;
305.2. prižiūri, kaip laikomasi asmens duomenų apsaugą reglamentuojančių teisės aktų, kitų teisės aktų reikalavimų, šių Taisyklių bei kitų Konkurencijos tarybos teisės aktų, susijusių su asmens duomenų tvarkymu, nuostatų;
305.3. vertina asmens duomenų tvarkymo veiklos dokumentus (pvz., sutartis, jų pakeitimus su asmens duomenų tvarkytojais, sutikimus, pranešimus apie asmens duomenų tvarkymą), patikrina jų atitiktį teisės aktų reikalavimams;
305.4. organizuoja, o prireikus ir pats nustatytu periodiškumu vykdo asmens duomenų tvarkymo veiklos auditą, poveikio duomenų apsaugai vertinimo procesą, asmens duomenų tvarkymo veiklos keliamos rizikos įvertinimą (periodiškai peržiūri IT sistemų atliktų veiksmų ir įvykių įrašus neįprastoms duomenų tvarkymo veikloms identifikuoti), asmens duomenų pažeidimo sukelto poveikio duomenų subjektų teisėms įvertinimą;
305.6. informuoja Konkurencijos tarybos pirmininką arba jo įgaliotą asmenį apie neįgyvendintas asmens duomenų apsaugą reglamentuojančių teisės aktų, asmens duomenų tvarkymo taisyklių pareigas;
305.7. siūlo konkrečias priemones bei būdus, užtikrinančius Konkurencijos tarybos veiklos atitikimą BDAR, šioms Taisyklėms bei kitų teisės aktų nuostatoms;
305.8. konsultuoja Konkurencijos tarybos darbuotojus, duomenų subjektus ir Konkurencijos tarybą visais su asmens duomenų apsauga susijusiais klausimais;
305.9. esant poreikiui bendradarbiauja su Valstybine duomenų apsaugos inspekcija ir atlieka kontaktinio asmens funkcijas, Valstybinei duomenų apsaugos inspekcijai kreipiantis į Konkurencijos tarybą su asmens duomenų tvarkymu susijusiais klausimais;
305.10. organizuoja, o prireikus ir pats teikia pranešimus apie asmens duomenų saugumo pažeidimus Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektams;
305.11. organizuoja, o prireikus ir pats vykdo duomenų subjektų teisių įgyvendinimo ir duomenų subjektų skundų nagrinėjimo procesą;
305.13. koordinuoja Registro atnaujinimą ne rečiau kaip vieną kartą per metus arba įvykus duomenų saugumo pažeidimui, teisinio reglamentavimo pakeitimams ir (ar) kitoms esminę reikšmę duomenų atnaujinimui turinčioms aplinkybėms, inicijuoja Registro peržiūrą ir atnaujinimą, reguliariai peržiūri ir atnaujina asmens duomenų tvarkymo įrašų informaciją, atlieka kitus reikalingus Registro pakeitimus (pvz., atnaujina asmens duomenų kategorijas, gavus informaciją iš duomenų subjektų arba kitų asmenų), fiksuoja pakeitimų padarymą nauja asmens duomenų tvarkymo įrašų versija;
305.14. užtikrina asmens duomenų (įskaitant dokumentų) tvarkymo, saugojimo ir naikinimo terminų laikymąsi (seka terminus ir organizuoja asmens duomenų tvarkymo ar saugojimo nutraukimą, sunaikinimą);
305.15. užtikrina nenutrūkstamą asmens duomenų saugumo pažeidimo monitoringą asmens duomenų tvarkymo veikloje;
305.17. užtikrina visos jam žinomos ir (ar) patikėtos konfidencialios informacijos, įskaitant vykdant nurodytas funkcijas sužinotų asmens duomenų, slaptumą;
306. Tais atvejais, kai į Konkurencijos tarybą kreipiasi duomenų subjektas dėl IV skyriuje nurodytų savo teisių įgyvendinimo, Konkurencijos tarybos atsakingi darbuotojai dėl asmens duomenų pateikimo duomenų subjektui sprendžia tik gavę raštišką prašymą bei pagrindimą tokius duomenis atskleisti. Kiekvienu tokiu atveju už asmens duomenų tinkamą tvarkymą Konkurencijos taryboje atsakingi Konkurencijos tarybos darbuotojai konsultuojasi su duomenų apsaugos pareigūnu.
307. Darbuotojai, atsakingi už asmens duomenų tinkamą tvarkymą Konkurencijos taryboje ir (arba) dalyvaujantys priimant sprendimus dėl asmens duomenų tvarkymo ar naujų asmens duomenų tvarkymo technologijų diegimo, privalo užtikrinti, kad būtų laikomasi su asmens duomenų tvarkymu susijusių principų ir dėl jų įgyvendinimo konsultuojasi su duomenų apsaugos pareigūnu.
308. Visi Konkurencijos taryboje rengiami vidaus dokumentai negali prieštarauti Taisyklėse išdėstytoms nuostatoms. Visi Konkurencijos taryboje rengiami dokumentų ir daugkartinio taikymo dokumentų, susijusių su asmens duomenų apsauga, projektai, pateikiamai derinti duomenų apsaugos pareigūnui ir tvirtinami atsižvelgus į duomenų apsaugos pareigūno rekomendacijas.
1.32. Pakeisti 46 punką ir jį išdėstyti taip:
„46. Konkurencijos tarybos darbuotojų veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę teisės aktų nustatyta tvarka skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti BDAR 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai, L. Sapiegos g. 17, 10312 Vilnius, el. paštas ada@ada.lt, interneto svetainė www.vdai.lrv.lt, taip pat Vilniaus apygardos administraciniam teismui.
1.33. Papildyti nauju 50.5 papunkčiu:
1.34. Papildyti nauju 50.6 papunkčiu:
1.35. Papildyti nauju 681 punktu:
„681. Konkurencijos tarybos interneto svetainės lankytojas bet kuriuo metu turi teisę atšaukti savo duotą sutikimą tvarkyti jo asmens duomenis, informuodamas apie tai Konkurencijos tarybos duomenų apsaugos pareigūną el. paštu rusne@duomenuapsauga.eu ar svetainės administratorių el. paštu webadmin@kt.gov.lt.“
1.36. Papildyti Taisyklių 2 priedo sąrašą nauju punktu:
1.37. Papildyti Taisykles nauju 3 priedu:
Asmens duomenų tvarkymo
Lietuvos Respublikos
konkurencijos taryboje taisyklių
3 priedas
Konkurencijos tarybos interneto svetainėje naudojami slapukai
| Slapuko rūšis |
Slapuko pavadinimas |
Slapuko paskirtis |
Slapuko galiojimo laikas |
| Google Analytics |
ga |
Analitinis Google Analytics programos slapukas, sekantis vartotojo veiksmus svetainėje. Gauti duomenys naudojami svetainės veikimui gerinti. |
2 metai |
|
|
_gat |
Analitinis Google Analytics programos slapukas, renka ir saugo informaciją apie vartotojų elgseną svetainėje. |
10 minučių |
|
|
_gid |
Analitinis Google Analytics programos slapukas, renkantis statistinę informaciją apie naudotoją (slapukas nerenka jokių asmens duomenų, o suteikia kiekvienam vartotojui ID pagal savo apskaitą). Gauti duomenys naudojami svetainės veikimui gerinti. |
24 valandos |
|
|
_utma |
Šis slapukas naudojamas atskirti unikalų svetainės lankytoją. Pastarasis yra atnaujinamas kaskart apsilankant naujame puslapyje. |
2 metai |
|
|
_utmz |
Šis slapukas išsaugo visą informaciją, reikalingą srauto šaltinio nustatymui. Šiame slapuke yra įrašoma ši informacija: duomenų srauto šaltinis, šio srauto šaltinio palaikymas, paieškos žodis, kurį surenka naršytojas svetainėje. |
6 mėnesiai |
| Būtini užtikrinti svetainės veikimą |
PHPSESSID |
Sesijos ID slapukas, naudojamas puslapio funkcionalumui užtikrinti (pvz., grįžimas atgal į paskutinę sąrašo vietą) |
Galioja, kol neišjungiama naršyklė |
|
|
gpdr-checked |
Pirmo apsilankymo tikrinimas |
1 metai |
|
|
guess language |
Spėjimo kalba |
1 metai |
|
|
submission_form |
Pildomos formos ID, kad kitą kartą atėjus prisimintų, kokie duomenys jau buvo užpildyti |
1 metai |
| Nebūtini slapukai |
gpdr-stats-cookies |
Slapukas, skirtas statistikai rinkti |
|
1.38. Papildyti Taisykles nauju 4 priedu:
Asmens duomenų tvarkymo
Lietuvos Respublikos
konkurencijos taryboje taisyklių
4 priedas
ASMENS DUOMENŲ TVARKYMO VEIKLOS ĮRAŠŲ REGISTRO FORMA
| Eil. Nr. |
Konkurencijos tarybos administracinis padalinys ir (ar) padaliniams nepriklausančios pareigybės |
Tvarkymo tikslas |
Duomenų subjektų kategorijos |
Asmens duomenų kategorijos |
Specialių kategorijų duomenų kategorijos |
Asmens duomenų šaltiniai |
Duomenų gavėjų kategorijos |
Duomenų tvarkytojas |
Sutarties su duomenų tvarkytoju sudarymo data, numeris |
Duomenų saugojimo vieta |
Duomenų saugojimo ir ištrynimo terminas (kai įmanoma) |
Tvarkymo teisėtumas (6 str.) |
Specialių kategorijų asmens duomenų tvarkymo teisėtumas (9 str.) |
Poveikio vertinimas ir balanso testas |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1.39. Papildyti Taisykles nauju 5 priedu:
Asmens duomenų tvarkymo
Lietuvos Respublikos
konkurencijos taryboje taisyklių
5 priedas
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ REGISTRO FORMA
| Eil. Nr. |
Asmens duomenų saugumo pažeidimo aprašymas |
Asmens duomenų saugumo pažeidimo pradžia (metai, mėnuo, diena, valanda) |
Sužinojimo apie asmens duomenų saugumo pažeidimą data ir laikas (metai, mėnuo, diena, valanda) |
Asmens duomenų saugumo pažeidimo pašalinimo data ir laikas (metai, mėnuo, diena, valanda) |
Taikytos asmens duomenų saugumo pažeidimo pašalinimo priemonės |
Ar apie asmens duomenų saugumo pažeidimą informuota Valstybinė duomenų apsaugos inspekcija (jeigu taip, nurodoma data ir laikas) |
Ar apie asmens duomenų saugumo pažeidimą informuotas duomenų subjektas (jeigu taip, nurodoma data ir laikas) |
Asmens duomenų saugumo pažeidimą pašalino (vardas ir pavardė) |
Pastabos |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|