Suvestinė redakcija nuo 2020-10-10 iki 2020-12-31
Įsakymas paskelbtas: TAR 2015-12-03, i. k. 2015-19232
Nauja redakcija nuo 2018-10-17:
Nr. V-977, 2018-10-15, paskelbta TAR 2018-10-16, i. k. 2018-16244
LIETUVOS RESPUBLIKOS KRAŠTO APSAUGOS MINISTRAS
ĮSAKYMAS
DĖL ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO KRAŠTO APSAUGOS SISTEMOJE TAISYKLIŲ PATVIRTINIMO
2015 m. gruodžio 3 d. Nr. V-1253
Vilnius
Vadovaudamasis Lietuvos Respublikos krašto apsaugos sistemos organizavimo ir karo tarnybos įstatymo 10 straipsnio 2 dalies 4 punktu ir 3 dalimi ir siekdamas užtikrinti Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB nuostatų įgyvendinimą,
tvirtinu Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisykles (pridedama).
Krašto apsaugos ministras Juozas Olekas
SUDERINTA
Valstybinės duomenų apsaugos inspekcijos
2015-10-23 raštu Nr. 2R-6188 (3.32.E)
PATVIRTINTA
Lietuvos Respublikos krašto apsaugos ministro
2015 m. gruodžio 3 d. įsakymu Nr. V-1253
(Lietuvos Respublikos krašto apsaugos ministro
2018 m. spalio 15 d. įsakymo Nr. V-977
redakcija)
ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO KRAŠTO APSAUGOS SISTEMOJE
TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklės (toliau – Taisyklės) reglamentuoja asmens duomenų tvarkymui keliamus reikalavimus, duomenų subjektų teisių įgyvendinimo tvarką krašto apsaugos sistemoje (toliau – KAS).
2. KAS asmens duomenys tvarkomi ir duomenų subjektų teisės įgyvendinamos:
2.1. vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kai asmens duomenys tvarkomi Taisyklių 1 priede ir kituose teisės aktuose nurodytais tikslais;
2.2. vadovaujantis Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ir gynybos tikslais, teisinės apsaugos įstatymu (toliau – Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymas) ir atitinkamai Lietuvos Respublikos krašto apsaugos sistemos organizavimo ir karo tarnybos įstatymu, Lietuvos Respublikos karo prievolės įstatymu, Lietuvos Respublikos šaulių sąjungos įstatymu, Lietuvos Respublikos tarptautinių operacijų, pratybų ir kitų karinio bendradarbiavimo renginių įstatymu, Lietuvos kariuomenės drausmės statutu, Lietuvos Respublikos karių materialinės atsakomybės įstatymu, Lietuvos Respublikos kariuomenės drausmės statutu, Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymu, kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais.
3. Taisyklių privalo laikytis visi KAS institucijų kariai, valstybės tarnautojai, žvalgybos pareigūnai ir darbuotojai, dirbantys pagal darbo sutartis, asmenys, priimti atlikti praktiką KAS institucijose (toliau visi kartu – darbuotojai), kurie tvarko asmens duomenis arba eidami savo pareigas juos sužino.
4. Asmens duomenys tvarkomi automatiniu ir neautomatiniu būdais. Kai asmens duomenys tvarkomi vadovaujantis Reglamentu, jie tvarkomi tik Reglamento 6 straipsnyje nurodytais pagrindais, specialių kategorijų asmens duomenys tvarkomi laikantis Reglamento 9 straipsnyje nustatytų reikalavimų. Kai asmens duomenys, įskaitant specialių kategorijų asmens duomenis, tvarkomi nacionalinio saugumo ir gynybos tikslais, jie tvarkomi vadovaujantis Taisyklių 2.2 papunktyje nurodytų įstatymų nuostatomis.
5. KAS tvarkomų duomenų subjektų asmens duomenys ir jų tvarkymo tikslai yra nurodyti Taisyklių 2.2 papunktyje nurodytuose įstatymuose, Lietuvos Respublikos Vyriausybės nutarimuose ir krašto apsaugos ministro įsakymuose, reguliuojančiuose su KAS susijusius teisinius santykius, taip pat Taisyklių 1 priede.
6. Taisyklėse vartojamos sąvokos atitinka sąvokas, nustatytas Taisyklių 2 punkte nurodytuose teisės aktuose.
Skyriaus pakeitimai:
Nr. V-813, 2020-10-09, paskelbta TAR 2020-10-09, i. k. 2020-21121
II SKYRIUS
ASMENS DUOMENŲ VALDYTOJAS IR ASMENS DUOMENŲ TVARKYTOJAI
7. Lietuvos Respublikos krašto apsaugos ministerija (toliau – KAM) yra Taisyklių 1 priede nurodytų asmens duomenų valdytoja (toliau – Valdytojas). Valdytojas šių Taisyklių ir kitų teisės aktų numatyta tvarka įgyvendina asmens duomenų valdytojo teises ir pareigas pagal Reglamento 24 straipsnį, o tvarkant asmens duomenis nacionalinio saugumo ir gynybos tikslais – pagal Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymą. Kitos Taisyklių 1 priede nurodytos KAS institucijos yra 1 priede nurodytų asmens duomenų tvarkytojos (toliau – Tvarkytojas), jos Taisyklių ir kitų teisės aktų nustatyta tvarka įgyvendina asmens duomenų tvarkytojo funkcijas, nurodytas Reglamento 28, 33 ir kituose straipsniuose, o tvarkant asmens duomenis nacionalinio saugumo ir gynybos tikslais – Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 20 straipsnio 3 dalyje ir kituose straipsniuose nurodytas duomenų tvarkytojo funkcijas.
Tvarkytojas turi užtikrinti, kad Tvarkytojo darbuotojai, nurodyti Taisyklių 3 punkte, pasirašytų pasižadėjimus pagal Taisyklių 2 priede pateiktą formą.
Punkto pakeitimai:
Nr. V-813, 2020-10-09, paskelbta TAR 2020-10-09, i. k. 2020-21121
8. Valdytojas skiria duomenų apsaugos pareigūną, kuris:
8.1. stebi ir analizuoja, kaip laikomasi asmens duomenų apsaugą reglamentuojančių teisės aktų reikalavimų ir Valdytojo politikos asmens duomenų apsaugos srityje, teikia siūlymus Valdytojui dėl asmens duomenų apsaugos reglamentavimo tobulinimo;
8.2. konsultuoja Tvarkytojų duomenų apsaugos pareigūnus ir darbuotojus dėl poveikio asmens duomenų apsaugai vertinimo, atliekamo KAS, ir stebi jo atlikimą;
8.4. atlieka kontaktinio asmens funkcijas Valstybinei duomenų apsaugos inspekcijai kreipiantis su asmens duomenų tvarkymu susijusiais klausimais;
8.6. gauna informaciją iš Tvarkytojų apie asmens duomenų saugumo pažeidimus, priemones, kurių buvo imtasi asmens duomenų saugumo padariniams pašalinti ar sušvelninti, teikia Valdytojo vadovui ar įgaliotam asmeniui siūlymus dėl nurodymų Tvarkytojams imtis papildomų priemonių, kurias Tvarkytojai privalo pritaikyti, bei teikia Valdytojo vadovui ar įgaliotam asmeniui siūlymus dėl pranešimų apie asmens duomenų saugumo pažeidimus Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektui.
Papunkčio pakeitimai:
Nr. V-661, 2020-08-14, paskelbta TAR 2020-08-14, i. k. 2020-17389
8.8. ne rečiau kaip kartą per 1 metus peržiūri Taisyklėse nustatytus reikalavimus ir, jei reikia, inicijuoja Taisyklių pakeitimus;
8.9. prireikus atlieka asmens duomenų tvarkymo rizikos vertinimą KAS, parengia ataskaitą, imasi priemonių rizikai pašalinti arba sumažinti. Atlikdamas vertinimą duomenų apsaugos pareigūnas turi teisę duoti nurodymus Tvarkytojų duomenų apsaugos pareigūnams.
Papunkčio pakeitimai:
Nr. V-661, 2020-08-14, paskelbta TAR 2020-08-14, i. k. 2020-17389
8.11. tvarko Valdytojo asmens duomenų tvarkymo veiklos įrašus, juos registruoja Asmens duomenų tvarkymo veiklos įrašų tvarkymo tvarkos aprašo, patvirtinto Lietuvos Respublikos krašto apsaugos ministro 2019 m. gegužės 31 d. įsakymu Nr. V-496 „Dėl Asmens duomenų tvarkymo veiklos įrašų tvarkymo tvarkos aprašo patvirtinimo“ nustatyta tvarka (toliau – Asmens duomenų tvarkymo veiklos įrašų tvarkymo tvarkos aprašas);
Papunkčio pakeitimai:
Nr. V-661, 2020-08-14, paskelbta TAR 2020-08-14, i. k. 2020-17389
8.12. informuoja darbuotojus apie jų pareigas, nustatytas asmens duomenų apsaugą reglamentuojančiuose teisės aktuose, ir juos konsultuoja šiais klausimais;
Papunkčio pakeitimai:
Nr. V-661, 2020-08-14, paskelbta TAR 2020-08-14, i. k. 2020-17389
8.13. atlieka kitus teisės aktais jam numatytus atlikti veiksmus.
Papildyta papunkčiu:
Nr. V-661, 2020-08-14, paskelbta TAR 2020-08-14, i. k. 2020-17389
9. Tvarkytojas (ar keli Tvarkytojai bendrai) skiria duomenų apsaugos pareigūną (-us), kuris (-ie):
9.1. informuoja darbuotojus apie jų pareigas, nustatytas asmens duomenų apsaugą reglamentuojančiuose teisės aktuose, ir konsultuoja juos šiais klausimais;
9.2. stebi ir analizuoja, ar asmens duomenys yra tvarkomi pagal Taisyklių ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą, reikalavimus, ir teikia pasiūlymus Valdytojo duomenų apsaugos pareigūnui dėl asmens duomenų apsaugos tobulinimo;
9.4. teikia Tvarkytojo vadovui ar įgaliotam asmeniui siūlymus dėl priemonių asmens duomenų saugumo pažeidimo pasekmėms sumažinti ar pašalinti, Reglamento 33 ir 34 straipsniuose nustatytais atvejais nedelsdamas (-i) teikia Valdytojo duomenų apsaugos pareigūnui reikalingą informaciją dėl pranešimų apie asmens duomenų saugumo pažeidimus Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektui, prireikus nedelsiant užpildo Valstybinės duomenų apsaugos inspekcijos rekomenduojamą Pranešimo apie asmens duomenų saugumo pažeidimą formą (toliau – Pranešimo forma);
9.5. tvarko Tvarkytojo asmens duomenų tvarkymo veiklos įrašus, juos registruoja Asmens duomenų tvarkymo veiklos įrašų tvarkymo tvarkos apraše nustatyta tvarka ir teikia informaciją, būtiną KAM, kaip duomenų valdytojos, asmens duomenų tvarkymo įrašams parengti bei informuoja KAM duomenų apsaugos pareigūną, pasikeitus šiai informacijai Asmens duomenų tvarkymo veiklos įrašų tvarkymo tvarkos aprašo nustatyta tvarka;
9.6. vertina Tvarkytojo darbuotojų parengtus teisės aktų, reglamentuojančių asmens duomenų apsaugą ir jų tvarkymą, projektus;
9.7. prireikus atlieka Tvarkytojo asmens duomenų tvarkymo rizikos vertinimą, parengia ataskaitą, imasi priemonių rizikai pašalinti arba sumažinti, ataskaitą pateikia Tvarkytojui ir Valdytojo duomenų apsaugos pareigūnui;
Punkto pakeitimai:
Nr. V-661, 2020-08-14, paskelbta TAR 2020-08-14, i. k. 2020-17389
III SKYRIUS
DARBUOTOJŲ TEISĖS IR PAREIGOS
10. Darbuotojai tvarko asmens duomenis tik teisės aktų nustatyta tvarka atlikdami tiesiogines savo funkcijas. Darbuotojas tvarko asmens duomenis tol, kol eina pareigas, kurioms vykdyti yra būtinas asmens duomenų tvarkymas. Jei darbuotojas laikinai eina kito darbuotojo pareigas ar vykdo kito darbuotojo funkcijas, teisė tvarkyti asmens duomenis suteikiama pareigų ėjimo arba funkcijų vykdymo laikotarpiui. Ministras, viceministrai, kancleris, KAM administracijos padalinių vadovai ir įstaigų vadovai, Lietuvos kariuomenės vadas, Lietuvos kariuomenės pajėgų vadai ir Gynybos štabo viršininkas gali susipažinti su asmens duomenimis, kai tai yra reikalinga pagal veiklos sritis nustatytoms užduotims vykdyti.
11. Darbuotojas privalo:
11.1. saugoti asmens duomenų konfidencialumą visą tarnybos, darbo ar praktikos laiką ir pasibaigus tarnybos, darbo ar praktikos santykiams. Darbuotojas pasirašo pasižadėjimą (Taisyklių 2 priedas), kuris saugomas darbuotojo asmens byloje (asmenų, priimtų atlikti praktiką KAS institucijose – KAS institucijos personalą administruojančiame padalinyje) visą tarnybos (darbo) laiką ir pasibaigus tarnybos (darbo) santykiams;
Papunkčio pakeitimai:
Nr. V-813, 2020-10-09, paskelbta TAR 2020-10-09, i. k. 2020-21121
11.3. asmens duomenis tvarkyti tiksliai, nedelsdamas atnaujinti, ištaisyti ar papildyti netikslius, klaidingus, neišsamius asmens duomenis (toliau – netikslūs asmens duomenys) ir (ar) apriboti tokių asmens duomenų tvarkymą, išskyrus saugojimą;
11.4. pasikeitus Taisyklių 1 priede nurodytiems jų asmens duomenims, nedelsdamas ištaisyti ar sunaikinti netikslius asmens duomenis ir informuoti apie tai duomenų subjektą;
11.5. asmens duomenis tvarkyti tik tokios apimties, kuri būtina jo funkcijoms atlikti (asmens duomenų tvarkymo apimtis apibrėžta Taisyklių 1 priede);
11.6. asmens duomenis tvarkyti taip, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.
11.7. dokumentus, kuriuose yra asmens duomenys (įsakymus, prašymus, raštus, sutartis ir kitus dokumentus, jų kopijas ar išrašus, taip pat asmens bylas, kompiuterines duomenų laikmenas su asmens duomenimis ir kt.), elektroniniu būdu tvarkyti tik ryšių ir informacinėse sistemose, kuriose duomenys yra tvarkomi laikantis Lietuvos Respublikos teisės aktuose numatytų duomenų apsaugos reikalavimų;
11.8. pastebėjęs galimą asmens duomenų saugumo pažeidimą, nedelsdamas atlikti Asmens duomenų saugumo pažeidimų valdymo tvarkymo apraše, patvirtintame Lietuvos Respublikos krašto apsaugos ministro 2019 m. liepos 22 d. įsakymu Nr. V-644 „Dėl Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašo patvirtinimo“, nurodytus darbuotojui privalomus veiksmus, informuoti Tvarkytojo ir Valdytojo duomenų apsaugos pareigūną.
Papunkčio pakeitimai:
Nr. V-661, 2020-08-14, paskelbta TAR 2020-08-14, i. k. 2020-17389
IV SKYRIUS
duomenų subjekto TEISĖS IR JŲ ĮGYVENDINIMO TVARKA
13. Kai asmens duomenys tvarkomi vadovaujantis Taisyklių 2.1 papunktyje nurodytais teisės aktais, duomenų subjektas turi šias teises, įtvirtintas Reglamente, kurios įgyvendinamos Reglamente nustatytais atvejais ir sąlygomis:
13.1. teisę gauti informaciją apie savo asmens duomenų tvarkymą. Informacija duomenų subjektams apie asmens duomenų tvarkymą, nurodyta Reglamento 13–14 straipsniuose, pateikiama:
13.1.1. KAM interneto svetainėje www.kam.lt, kitų valdytojų ar tvarkytojų interneto svetainėse (jeigu turi);
13.1.3. įrengiant informacines lenteles apie vykdomą vaizdo stebėjimą Valdytojų patalpose ar teritorijose;
13.3. teisę reikalauti, kad būtų ištaisyti netikslūs jo asmens duomenys ir (arba) papildyti neišsamūs jo asmens duomenys;
Punkto pakeitimai:
Nr. V-813, 2020-10-09, paskelbta TAR 2020-10-09, i. k. 2020-21121
131. Kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais, vadovaujantis Taisyklių 2.2 papunkčiu, duomenų subjektas turi teises ir jam gali būti taikomi šių teisių apribojimai, nurodyti Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo III skyriuje, taip pat atitinkamus teisinius santykius reglamentuojančiame Taisyklių 2.2 papunktyje nurodytame įstatyme.
Papildyta punktu:
Nr. V-813, 2020-10-09, paskelbta TAR 2020-10-09, i. k. 2020-21121
14. Neteko galios nuo 2020-08-15
Punkto naikinimas:
Nr. V-661, 2020-08-14, paskelbta TAR 2020-08-14, i. k. 2020-17389
15. Duomenų subjektas, siekdamas įgyvendinti Reglamento 15–22 straipsniuose įtvirtintas teises, kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais – Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatyme nustatytas duomenų subjekto teises, Valdytojui ar Tvarkytojui asmeniškai, paštu ar per pasiuntinį arba elektroninių ryšių priemonėmis turi pateikti rašytinį (valstybine kalba) prašymą įgyvendinti duomenų subjekto teisę (-es) (Taisyklių 3 priedas).
Punkto pakeitimai:
Nr. V-813, 2020-10-09, paskelbta TAR 2020-10-09, i. k. 2020-21121
16. Prašymas įgyvendinti duomenų subjekto teises turi būti įskaitomas, paties asmens pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, kontaktiniai duomenys, kuriais asmuo pageidauja gauti atsakymą, informacija, kokią teisę ir kokios apimties duomenų subjektas pageidauja įgyvendinti.
17. Duomenų subjektas, pateikdamas prašymą, privalo patvirtinti savo tapatybę:
17.1. pateikdamas prašymą KAS darbuotojui, registruojančiam prašymą, duomenų subjektas turi pateikti asmens tapatybę patvirtinantį dokumentą;
18. pateikdamas prašymą elektroninių ryšių priemonėmis, turi pasirašyti jį kvalifikuotu elektroniniu parašu arba prašymas turi būti suformuotas elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą. Duomenų subjektas savo teises gali įgyvendinti pats arba per įgaliotą atstovą.
Punkto pakeitimai:
Nr. V-813, 2020-10-09, paskelbta TAR 2020-10-09, i. k. 2020-21121
19. Jeigu atstovaujamo duomenų subjekto vardu į Valdytoją ar Tvarkytoją kreipiasi duomenų subjekto atstovas, jis prašyme turi nurodyti savo vardą, pavardę, kontaktinius duomenis, kuriais asmens atstovas pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę, informaciją, kokią duomenų subjekto teisę ir kokios apimties pageidauja įgyvendinti, ir pridėti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą notaro arba kita teisės aktų nustatyta tvarka. Atstovo pateiktas prašymas turi atitikti Taisyklių 15–17 punktų reikalavimus.
20. Duomenų subjekto prašymas, pateiktas nesilaikant Taisyklių 15–19 punktuose nustatytų reikalavimų, nenagrinėjamas ir duomenų subjektas nedelsiant, bet ne vėliau kaip per 5 darbo dienas, apie tai informuojamas nurodant priežastis.
21. Gavus duomenų subjekto prašymą, ne vėliau kaip per vieną mėnesį nuo prašymo gavimo duomenų subjektui pateikiama informacija, kokių veiksmų buvo imtasi pagal gautą prašymą. Šis vieno mėnesio terminas gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir jų skaičių. Tokiu atveju per vieną mėnesį nuo prašymo gavimo dienos duomenų subjektas informuojamas apie termino pratęsimą, kartu nurodant vėlavimo priežastis.
22. Nagrinėjant duomenų subjekto prašymą įvertinama, ar prašomos įgyvendinti duomenų subjekto teisės, vadovaujantis Reglamento 23 straipsniu ar Taisyklių 2.2 papunktyje nurodytais teisės aktais, turi būti visiškai arba iš dalies apribotos. Jei duomenų subjekto prašymą nagrinėjantis darbuotojas neturi informacijos, reikalingos įvertinti, ar prašomos įgyvendinti duomenų subjekto teisės turi būti visiškai arba iš dalies apribotos, ar šios informacijos trūksta, jis kreipiasi į atitinkamą informaciją administruojančias KAS institucijas ar jų padalinius. KAS institucijos ar jų padaliniai prašomą informaciją duomenų subjekto prašymą nagrinėjančiam darbuotojui privalo pateikti ne vėliau kaip per 5 darbo dienas nuo prašymo gavimo dienos.
Punkto pakeitimai:
Nr. V-813, 2020-10-09, paskelbta TAR 2020-10-09, i. k. 2020-21121
23. Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba.
24. Jei pagal duomenų subjekto prašymą asmens duomenys yra ištaisomi, ištrinami ar jų tvarkymas yra apribojamas, darbuotojas privalo apie tai informuoti kitus Tvarkytojus, kuriems tokie duomenys buvo teikiami.
25. Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai.
26. Tiek, kiek duomenų subjektų teisių įgyvendinimo nereglamentuoja Taisyklės ir Taisyklių 2 punkte nurodyti teisės aktai, taikomos Prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklės, patvirtintos Lietuvos Respublikos Vyriausybės 2007 m. rugpjūčio 22 d. nutarimu Nr. 875 „Dėl prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklių patvirtinimo“.
27. Valdytojo ir Tvarkytojo veiksmus ar neveikimą, įgyvendinant duomenų subjekto teises, duomenų subjektas arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento 80 straipsnio reikalavimus, išskyrus atvejus, kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais, turi teisę skųsti Valstybinei duomenų apsaugos inspekcijai (L. Sapiegos g. 17, Vilnius, el. p. [email protected], interneto svetainė https://vdai.lrv.lt/), taip pat teismui, o tais atvejais, kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais, – Lietuvos Respublikos Seimo kontrolieriui (Gedimino pr. 56, Vilnius, el. p. ombuds@lrski.lt), taip pat teismui.
Punkto pakeitimai:
Nr. V-661, 2020-08-14, paskelbta TAR 2020-08-14, i. k. 2020-17389
Nr. V-813, 2020-10-09, paskelbta TAR 2020-10-09, i. k. 2020-21121
V SKYRIUS
ASMENS DUOMENŲ TVARKYMAS PROGRAMINĖMIS PRIEMONĖMIS
28. Valstybės ar žinybinių registrų, valstybės informacinių sistemų, informacinių sistemų, duomenų perdavimo tinklų, telekomunikacijų tinklų, ryšių sistemų ar kitos iš techninės ir programinės įrangos sudarytos infrastruktūros, veikiančios informacinių ir ryšių technologijų pagrindu (toliau – programinė priemonė), kuriuose tvarkomi asmens duomenys, savininkai, atsakingi už programinės priemonės naudojimą institucijoje teisės aktų nustatytoms funkcijoms atlikti, ar valdytojai, jei programinės priemonės buvo įsteigtos ir įteisintos teisės aktų nustatyta tvarka, privalo įgyvendinti organizacinius, programinius ir techninius duomenų saugumo reikalavimus, nurodytus Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 5 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, ir kituose susijusiuose teisės aktuose, kurie, jei programinė priemonė yra įsteigta ir įteisinta, yra nurodyti duomenų saugos nuostatuose ir (ar) kituose duomenų saugą reglamentuojančiuose dokumentuose.
Punkto pakeitimai:
Nr. V-813, 2020-10-09, paskelbta TAR 2020-10-09, i. k. 2020-21121
VI SKYRIUS
VAIZDO STEBĖJIMAS, VAIZDO IR GARSO DUOMENŲ TVARKYMAS
29. Siekiant užtikrinti KAS institucijoms ar jų padaliniams priklausančių patalpų ir teritorijos apsaugą, taip pat organizuojant vaizdo konferencijas, gali būti tvarkomi vaizdo stebėjimo ir (arba) garso duomenys.
30. Apie tai, kad vykdomas vaizdo stebėjimas, duomenų subjektai informuojami informaciniais užrašais, kurie išdėstomi prieš įėjimą į teritoriją, pastatą ar patalpą, arba, kai vyksta vaizdo konferencija, duomenų subjektai kompiuterio ekrane informuojami apie vykdomą vaizdo ir (arba) garso transliaciją.
31. Stebėti asmens darbo vietą, kareivines ar tarnybines gyvenamąsias patalpas draudžiama, išskyrus atvejus, kai darbo vietoje vyksta vaizdo konferencija arba kai būtina užtikrinti įslaptintos informacijos apsaugą ir kiti būdai ar priemonės nėra pakankami ir (arba) tinkami tikslams pasiekti. Asmenys apie nuolat vykdomą jų darbo vietos stebėjimą informuojami pasirašytinai. Informavimo forma (Taisyklių 4 priedas) saugoma KAS institucijoje visą tarnybos (darbo) laikotarpį.
32. Vaizdo stebėjimo priemonės įrengiamos taip, kad būtų stebimas tik asmuo, dalyvaujantis vaizdo konferencijoje, arba konkreti patalpa, teritorija ar jos prieigos, kurias siekiama apsaugoti.
33. Siekiant užtikrinti KAS institucijoms ar jų padaliniams priklausančių patalpų ir teritorijos apsaugą, vaizdo stebėjimo duomenys saugomi nuo 30 iki 45 kalendorinių dienų. Pasibaigus šiam terminui, vaizdo stebėjimo duomenys sunaikinami ištrinant vaizdo laikmenas. Vaizdo konferencijų vaizdas ir (arba) garsas nėra įrašomas, išskyrus atvejus, kai iš anksto žinoma, kad vaizdo ir (arba) garso įrašas bus reikalingas tarnybiniam naudojimui. Apie konferencijos vaizdo ir (arba) garso įrašymą vaizdo konferencijos dalyviai informuojami žodžiu vaizdo ir (arba) garso įrašymo pradžioje. Vaizdo konferencijų įrašai yra saugomi ir sunaikinami Taisyklių 35 punkte nurodytais terminais ir tvarka.
VII SKYRIUS
ASMENS DUOMENŲ SAUGOJIMAS IR SUNAIKINIMAS
35. Bendrųjų dokumentų saugojimo terminų rodyklėje, patvirtintoje Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“, ir Valdytojo bei Tvarkytojo dokumentacijos planuose nurodyti dokumentai, kuriuose yra asmens duomenų, saugomi Lietuvos vyriausiojo archyvaro nustatyta tvarka ir terminais. Kiti dokumentai, kuriuose yra asmens duomenų, ar duomenys saugomi ne dokumentuose (informacinėse sistemose, programose ir kt.), yra saugomi 3 mėnesius nuo dienos, kai yra atlikti visi veiksmai, kuriems atlikti buvo naudojami asmens duomenys, išskyrus atvejus, kai šie dokumentai reikalingi teisminiams ginčams spręsti, kai duomenys gali būti saugomi iki teismo sprendimo įsigaliojimo arba ilgesnė duomenų saugojimo trukmė nustatyta kituose teisės aktuose.
Priedo pakeitimai:
Nr. V-977, 2018-10-15, paskelbta TAR 2018-10-16, i. k. 2018-16244
Priedų pakeitimai:
Asmens duomenu tvarkymo krašto apsaugos sistemos taisykliu 1 priedo pakeitimas pagal V-813 pakeitimą.
Priedo pakeitimai:
Nr. V-977, 2018-10-15, paskelbta TAR 2018-10-16, i. k. 2018-16244
Nr. V-278, 2020-04-06, paskelbta TAR 2020-04-16, i. k. 2020-07974
Nr. V-661, 2020-08-14, paskelbta TAR 2020-08-14, i. k. 2020-17389
Nr. V-813, 2020-10-09, paskelbta TAR 2020-10-09, i. k. 2020-21121
Asmens duomenų tvarkymo krašto apsaugos sistemos taisyklių 2 priedo nauja redakcija pagal V-813 pakeitimą.
Priedo pakeitimai:
Nr. V-996, 2016-10-28, paskelbta TAR 2016-11-02, i. k. 2016-26088
Nr. V-1283, 2017-12-28, paskelbta TAR 2017-12-29, i. k. 2017-21700
Nr. V-977, 2018-10-15, paskelbta TAR 2018-10-16, i. k. 2018-16244
Nr. V-813, 2020-10-09, paskelbta TAR 2020-10-09, i. k. 2020-21121
Asmens duomenu tvarkymo krašto apsaugos sistemos taisykliu 3 priedo nauja redakcija pagal V-977 pakeitimą.
Priedo pakeitimai:
Nr. V-977, 2018-10-15, paskelbta TAR 2018-10-16, i. k. 2018-16244
Asmens duomenu tvarkymo krašto apsaugos sistemos taisykliu 4 priedo nauja redakcija pagal V-977 pakeitimą.
Papildyta priedu:
Nr. V-977, 2018-10-15, paskelbta TAR 2018-10-16, i. k. 2018-16244
Pakeitimai:
1.
Lietuvos Respublikos krašto apsaugos ministerija, Įsakymas
Nr. V-996, 2016-10-28, paskelbta TAR 2016-11-02, i. k. 2016-26088
Dėl krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymo Nr. V-1253 „Dėl Asmens duomenų tvarkymo krašto apsaugos sistemoje taisyklių patvirtinimo“ pakeitimo
2.
Lietuvos Respublikos krašto apsaugos ministerija, Įsakymas
Nr. V-1283, 2017-12-28, paskelbta TAR 2017-12-29, i. k. 2017-21700
Dėl krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymo Nr. V-1253 „Dėl Asmens duomenų tvarkymo krašto apsaugos sistemoje taisyklių patvirtinimo“ pakeitimo
3.
Lietuvos Respublikos krašto apsaugos ministerija, Įsakymas
Nr. V-977, 2018-10-15, paskelbta TAR 2018-10-16, i. k. 2018-16244
Dėl krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymo Nr. V-1253 „Dėl Asmens duomenų tvarkymo krašto apsaugos sistemoje taisyklių patvirtinimo“ pakeitimo
4.
Lietuvos Respublikos krašto apsaugos ministerija, Įsakymas
Nr. V-278, 2020-04-06, paskelbta TAR 2020-04-16, i. k. 2020-07974
Dėl Krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymo Nr. V-1253 „Dėl Asmens duomenų tvarkymo krašto apsaugos sistemoje taisyklių patvirtinimo“ pakeitimo
5.
Lietuvos Respublikos krašto apsaugos ministerija, Įsakymas
Nr. V-661, 2020-08-14, paskelbta TAR 2020-08-14, i. k. 2020-17389
Dėl krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymo Nr. V-1253 „Dėl Asmens duomenų tvarkymo krašto apsaugos sistemoje taisyklių patvirtinimo“ pakeitimo
6.
Lietuvos Respublikos krašto apsaugos ministerija, Įsakymas
Nr. V-813, 2020-10-09, paskelbta TAR 2020-10-09, i. k. 2020-21121
Dėl krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymo Nr. V-1253 „Dėl Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklių patvirtinimo“ pakeitimo