Vadovaudamasis Lietuvos Respublikos krašto apsaugos sistemos organizavimo ir karo tarnybos įstatymo 10 straipsnio 2 dalies 4 punktu ir 3 dalimi ir siekdamas užtikrinti Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB nuostatų įgyvendinimą,

tvirtinu Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisykles (pridedama).

Krašto apsaugos ministras                                                                                             Juozas Olekas 

SUDERINTA

Valstybinės duomenų apsaugos inspekcijos

2015-10-23 raštu Nr. 2R-6188 (3.32.E)

1. Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklės (toliau – Taisyklės) reglamentuoja asmens duomenų tvarkymui keliamus reikalavimus, duomenų subjektų teisių įgyvendinimo tvarką krašto apsaugos sistemoje (toliau – KAS).

2. Asmens duomenys tvarkomi ir duomenų subjektų teisės įgyvendinamos vadovaujantis 2016 m. balandžio 27 d.  Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Reglamentas) bei Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.

3. Jei duomenys yra tvarkomi nacionalinio saugumo, gynybos, nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo tikslais, taikomos Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ir gynybos tikslais, teisinės apsaugos įstatymo nuostatos. Jei asmens duomenys yra tvarkomi tarptautinio bendradarbiavimo tikslais, taikomos tarptautinių sutarčių ir tarptautinių susitarimų nuostatos. 

4. Taisyklių privalo laikytis visi KAS institucijų kariai, valstybės tarnautojai, žvalgybos pareigūnai ir darbuotojai, dirbantys pagal darbo sutartis, asmenys, priimti atlikti praktiką KAS institucijose (toliau visi kartu – darbuotojai), kurie tvarko asmens duomenis arba eidami savo pareigas juos sužino. 

5. Asmens duomenys yra tvarkomi automatiniu ir neautomatiniu būdais ir tik Reglamento 6 straipsnyje nurodytais pagrindais. KAS tvarkomų duomenų subjektų grupių asmens duomenys ir jų tvarkymo tikslai yra nurodyti Taisyklių 1 priede. Specialių kategorijų asmens duomenys yra tvarkomi laikantis Reglamento 9 straipsnyje nustatytų reikalavimų. 

6. Taisyklėse vartojamos sąvokos atitinka sąvokas, nustatytas Reglamente.

7. Lietuvos Respublikos krašto apsaugos ministerija (toliau – KAM) yra Taisyklių 1 priede nurodytų asmens duomenų valdytoja (toliau – Valdytojas). Valdytojas šių Taisyklių ir kitų teisės aktų numatyta tvarka įgyvendina asmens duomenų valdytojo teises ir pareigas pagal Reglamento 24 straipsnį. Kitos Taisyklių 1 priede nurodytos KAS institucijos yra 1 priede nurodytų asmens duomenų tvarkytojos (toliau – Tvarkytojas), kurios šių Taisyklių ir kitų teisės aktų nustatyta tvarka įgyvendina asmens duomenų tvarkytojo funkcijas pagal Reglamento 28 straipsnį.

8. Valdytojas skiria duomenų apsaugos pareigūną, kuris:

9. Tvarkytojas (ar keli Tvarkytojai bendrai) skiria duomenų apsaugos pareigūną (-us), kuris (-ie):

Punkto pakeitimai:

Nr. V-661, 2020-08-14, paskelbta TAR 2020-08-14, i. k. 2020-17389

10.  Darbuotojai tvarko asmens duomenis tik teisės aktų nustatyta tvarka atlikdami tiesiogines savo funkcijas. Darbuotojas tvarko asmens duomenis tol, kol eina pareigas, kurioms vykdyti yra būtinas asmens duomenų tvarkymas. Jei darbuotojas laikinai eina kito darbuotojo pareigas ar vykdo kito darbuotojo funkcijas, teisė tvarkyti asmens duomenis suteikiama pareigų ėjimo arba funkcijų vykdymo laikotarpiui. Ministras, viceministrai, kancleris, KAM administracijos padalinių vadovai ir įstaigų vadovai, Lietuvos kariuomenės vadas, Lietuvos kariuomenės pajėgų vadai ir Gynybos štabo viršininkas gali susipažinti su asmens duomenimis, kai tai yra reikalinga pagal veiklos sritis nustatytoms užduotims vykdyti.

11.  Darbuotojas privalo:

12.  Darbuotojams draudžiama savavališkai tvarkyti asmens duomenis ir naudoti asmens duomenis asmeniniams, su vykdomomis funkcijomis nesusijusiems tikslams. Daryti perteklines dokumentų kopijas, kurios nėra būtinos funkcijoms vykdyti, yra draudžiama.

13.  Duomenų subjektas turi šias teises, įtvirtintas Reglamente, kurios įgyvendinamos Reglamente nustatytais atvejais ir sąlygomis:

14. Neteko galios nuo 2020-08-15

Punkto naikinimas:

Nr. V-661, 2020-08-14, paskelbta TAR 2020-08-14, i. k. 2020-17389

15.  Duomenų subjektas, siekdamas įgyvendinti Reglamento 15–22 straipsniuose įtvirtintas teises, Valdytojui ar Tvarkytojui asmeniškai, paštu ar per pasiuntinį arba elektroninių ryšių priemonėmis turi pateikti rašytinį (valstybine kalba) prašymą įgyvendinti duomenų subjekto      teisę (-es) (Taisyklių 3 priedas).

16.  Prašymas įgyvendinti duomenų subjekto teises turi būti įskaitomas, paties asmens pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, kontaktiniai duomenys, kuriais asmuo pageidauja gauti atsakymą, informacija, kokią teisę ir kokios apimties duomenų subjektas pageidauja įgyvendinti.

17.  Duomenų subjektas, pateikdamas prašymą, privalo patvirtinti savo tapatybę:

18.  pateikdamas prašymą elektroninių ryšių priemonėmis, turi pasirašyti jį kvalifikuotu elektroniniu parašu arba prašymas turi būti suformuotas elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą. Duomenų subjektas Reglamento 15–22 straipsniuose  įtvirtintas duomenų subjekto teises gali įgyvendinti pats arba per  įgaliotą atstovą.

19.  Jeigu atstovaujamo duomenų subjekto vardu į Valdytoją ar Tvarkytoją kreipiasi duomenų subjekto atstovas, jis prašyme turi nurodyti savo vardą, pavardę, kontaktinius duomenis, kuriais asmens atstovas pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę, informaciją, kokią duomenų subjekto teisę ir kokios apimties pageidauja įgyvendinti, ir pridėti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą notaro arba kita teisės aktų nustatyta tvarka. Atstovo pateiktas prašymas turi atitikti Taisyklių 15–17 punktų reikalavimus.

20.  Duomenų subjekto prašymas, pateiktas nesilaikant Taisyklių 15–19 punktuose nustatytų reikalavimų, nenagrinėjamas ir duomenų subjektas nedelsiant, bet ne vėliau kaip per 5 darbo dienas, apie tai informuojamas nurodant priežastis.

21.  Gavus duomenų subjekto prašymą, ne vėliau kaip per vieną mėnesį nuo prašymo gavimo duomenų subjektui pateikiama informacija, kokių veiksmų buvo imtasi pagal gautą prašymą. Šis vieno mėnesio terminas gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir jų skaičių. Tokiu atveju per vieną mėnesį nuo prašymo gavimo dienos duomenų subjektas informuojamas apie termino pratęsimą, kartu nurodant vėlavimo priežastis.

22.  Jeigu prašymo nagrinėjimo metu nustatoma, kad duomenų subjekto teisės yra apribotos Reglamento 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.

23.  Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba.

24.  Jei pagal duomenų subjekto prašymą asmens duomenys yra ištaisomi, ištrinami ar jų tvarkymas yra apribojamas, darbuotojas privalo apie tai informuoti kitus Tvarkytojus, kuriems tokie duomenys buvo teikiami.

25.  Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai.

26.  Tiek, kiek duomenų subjektų teisių įgyvendinimo nereglamentuoja Taisyklės ir Taisyklių 2 punkte nurodyti teisės aktai, taikomos Prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklės, patvirtintos Lietuvos Respublikos Vyriausybės 2007 m. rugpjūčio 22 d. nutarimu Nr. 875 „Dėl prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklių patvirtinimo“.

27.    Valdytojo ir Tvarkytojo veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento 80 straipsnio reikalavimus, turi teisę skųsti Valstybinei duomenų apsaugos inspekcijai (L. Sapiegos g. 17, Vilnius; el. paštas [email protected], interneto svetainė https://vdai.lrv.lt/), taip pat teismui.

Punkto pakeitimai:

Nr. V-661, 2020-08-14, paskelbta TAR 2020-08-14, i. k. 2020-17389

28.  Valstybės ar žinybinių registrų, valstybės informacinių sistemų, informacinių sistemų, duomenų perdavimo tinklų, telekomunikacijų tinklų, ryšių sistemų ar kitos iš techninės ir programinės įrangos sudarytos infrastruktūros, veikiančios informacinių ir ryšių technologijų pagrindu (toliau – programinė priemonė), kuriuose tvarkomi asmens duomenys, savininkai, atsakingi už programinės priemonės naudojimą institucijoje teisės aktų nustatytoms funkcijoms atlikti, ar valdytojai, jei programinės priemonės buvo įsteigtos ir įteisintos teisės aktų nustatyta tvarka, privalo įgyvendinti organizacinius, programinius ir techninius duomenų saugumo reikalavimus, nurodytus Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, ir kituose susijusiuose teisės aktuose, kurie, jei programinė priemonė yra įsteigta ir įteisinta, yra nurodyti duomenų saugos nuostatuose ir (ar) kituose duomenų saugą reglamentuojančiuose dokumentuose.

29.  Siekiant užtikrinti KAS institucijoms ar jų padaliniams priklausančių patalpų ir teritorijos apsaugą, taip pat organizuojant vaizdo konferencijas, gali būti tvarkomi vaizdo stebėjimo ir (arba) garso duomenys.

30.  Apie tai, kad vykdomas vaizdo stebėjimas, duomenų subjektai informuojami informaciniais užrašais, kurie išdėstomi prieš įėjimą į teritoriją, pastatą ar patalpą, arba, kai vyksta vaizdo konferencija, duomenų subjektai kompiuterio ekrane informuojami apie vykdomą vaizdo ir (arba) garso transliaciją.

31.  Stebėti asmens darbo vietą, kareivines ar tarnybines gyvenamąsias patalpas draudžiama, išskyrus atvejus, kai darbo vietoje vyksta vaizdo konferencija arba kai būtina užtikrinti įslaptintos informacijos apsaugą ir kiti būdai ar priemonės nėra pakankami ir (arba) tinkami tikslams pasiekti. Asmenys apie nuolat vykdomą jų darbo vietos stebėjimą informuojami pasirašytinai. Informavimo forma (Taisyklių 4 priedas) saugoma KAS institucijoje visą tarnybos (darbo) laikotarpį.

32.  Vaizdo stebėjimo priemonės įrengiamos taip, kad būtų stebimas tik asmuo, dalyvaujantis vaizdo konferencijoje, arba konkreti patalpa, teritorija ar jos prieigos, kurias siekiama apsaugoti.

33.  Siekiant užtikrinti KAS institucijoms ar jų padaliniams priklausančių patalpų ir teritorijos apsaugą, vaizdo stebėjimo duomenys saugomi nuo 30 iki 45 kalendorinių dienų. Pasibaigus šiam terminui, vaizdo stebėjimo duomenys sunaikinami ištrinant vaizdo laikmenas. Vaizdo konferencijų vaizdas ir (arba) garsas nėra įrašomas, išskyrus atvejus, kai iš anksto žinoma, kad vaizdo ir (arba) garso įrašas bus reikalingas tarnybiniam naudojimui. Apie konferencijos vaizdo ir (arba) garso įrašymą vaizdo konferencijos dalyviai informuojami žodžiu vaizdo ir (arba) garso įrašymo pradžioje. Vaizdo konferencijų įrašai yra saugomi ir sunaikinami Taisyklių 35 punkte nurodytais terminais ir tvarka.

34.  Vaizdo stebėjimo priemonės, jų įrengimo vietos, stebėjimo laukas ir laikas nustatomi vadovaujantis Reglamento ir krašto apsaugos ministro nustatytais karinių teritorijų ir įslaptintos informacijos apsaugos reikalavimais.

35.  Bendrųjų dokumentų saugojimo terminų rodyklėje, patvirtintoje Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“, ir Valdytojo bei Tvarkytojo dokumentacijos planuose nurodyti dokumentai, kuriuose yra asmens duomenų, saugomi Lietuvos vyriausiojo archyvaro nustatyta tvarka ir terminais. Kiti dokumentai, kuriuose yra asmens duomenų, ar duomenys saugomi ne dokumentuose (informacinėse sistemose, programose ir kt.), yra saugomi 3 mėnesius nuo dienos, kai yra atlikti visi veiksmai, kuriems atlikti buvo naudojami asmens duomenys, išskyrus atvejus, kai šie dokumentai reikalingi teisminiams ginčams spręsti, kai duomenys gali būti saugomi iki teismo sprendimo įsigaliojimo arba ilgesnė duomenų saugojimo trukmė nustatyta kituose teisės aktuose.

36.  Suėjus dokumentų, kuriuose yra asmens duomenų, saugojimo terminams, teisės aktų nustatyta tvarka dokumentai sunaikinami taip, kad jų nebūtų galima atkurti ir atpažinti jų turinio.