Vadovaudamasis Lietuvos Respublikos krašto apsaugos sistemos organizavimo ir karo tarnybos įstatymo 10 straipsnio 2 dalies 4 punktu ir 3 dalimi ir siekdamas užtikrinti Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB nuostatų įgyvendinimą,

tvirtinu Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisykles (pridedama).

Krašto apsaugos ministras                                                                                             Juozas Olekas 

SUDERINTA

Valstybinės duomenų apsaugos inspekcijos

2015-10-23 raštu Nr. 2R-6188 (3.32.E)

1. Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklės (toliau – Taisyklės) reglamentuoja asmens duomenų tvarkymui keliamus reikalavimus, duomenų subjektų teisių įgyvendinimo tvarką krašto apsaugos sistemoje (toliau – KAS).

2. KAS asmens duomenys tvarkomi ir duomenų subjektų teisės įgyvendinamos:

3. Taisyklių privalo laikytis visi KAS institucijų kariai, valstybės tarnautojai, žvalgybos pareigūnai ir darbuotojai, dirbantys pagal darbo sutartis, asmenys, priimti atlikti praktiką KAS institucijose (toliau visi kartu – darbuotojai), kurie tvarko asmens duomenis arba eidami savo pareigas juos sužino. 

4. Asmens duomenys tvarkomi automatiniu ir neautomatiniu būdais. Kai asmens duomenys tvarkomi vadovaujantis Reglamentu, jie tvarkomi tik Reglamento 6 straipsnyje nurodytais pagrindais, specialių kategorijų asmens duomenys tvarkomi laikantis Reglamento 9 straipsnyje nustatytų reikalavimų. Kai asmens duomenys, įskaitant specialių kategorijų asmens duomenis, tvarkomi nacionalinio saugumo ir gynybos tikslais, jie tvarkomi vadovaujantis Taisyklių 2.2 papunktyje nurodytų įstatymų nuostatomis.

5. KAS tvarkomų duomenų subjektų asmens duomenys ir jų tvarkymo tikslai yra nurodyti Taisyklių 2.2 papunktyje nurodytuose įstatymuose, Lietuvos Respublikos Vyriausybės nutarimuose  ir krašto apsaugos ministro įsakymuose, reguliuojančiuose su KAS susijusius teisinius santykius,  taip pat Taisyklių 1 priede.

6. Taisyklėse vartojamos sąvokos atitinka sąvokas, nustatytas Taisyklių 2 punkte nurodytuose teisės aktuose.

7. Lietuvos Respublikos krašto apsaugos ministerija (toliau – KAM) yra Taisyklių 1 priede nurodytų asmens duomenų valdytoja (toliau – Valdytojas). Valdytojas šių Taisyklių ir kitų teisės aktų numatyta tvarka įgyvendina asmens duomenų valdytojo teises ir pareigas pagal Reglamento 24 straipsnį, o tvarkant asmens duomenis nacionalinio saugumo ir gynybos tikslais – pagal Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymą. Kitos Taisyklių 1 priede nurodytos KAS institucijos yra 1 priede nurodytų asmens duomenų tvarkytojos (toliau – Tvarkytojas), jos Taisyklių ir kitų teisės aktų nustatyta tvarka įgyvendina asmens duomenų tvarkytojo funkcijas, nurodytas Reglamento 28, 33 ir kituose straipsniuose, o tvarkant asmens duomenis nacionalinio saugumo ir gynybos tikslais – Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 20 straipsnio 3 dalyje ir kituose straipsniuose nurodytas duomenų tvarkytojo funkcijas.

Tvarkytojas turi užtikrinti, kad Tvarkytojo darbuotojai, nurodyti Taisyklių 3 punkte, pasirašytų pasižadėjimus pagal Taisyklių 2 priede pateiktą formą.

Punkto pakeitimai:

Nr. V-813, 2020-10-09, paskelbta TAR 2020-10-09, i. k. 2020-21121

8. Valdytojas skiria duomenų apsaugos pareigūną, kuris:

9. Tvarkytojas (ar keli Tvarkytojai bendrai) skiria duomenų apsaugos pareigūną (-us), kuris (-ie):

Punkto pakeitimai:

Nr. V-661, 2020-08-14, paskelbta TAR 2020-08-14, i. k. 2020-17389

10.  Darbuotojai tvarko asmens duomenis tik teisės aktų nustatyta tvarka atlikdami tiesiogines savo funkcijas. Darbuotojas tvarko asmens duomenis tol, kol eina pareigas, kurioms vykdyti yra būtinas asmens duomenų tvarkymas. Jei darbuotojas laikinai eina kito darbuotojo pareigas ar vykdo kito darbuotojo funkcijas, teisė tvarkyti asmens duomenis suteikiama pareigų ėjimo arba funkcijų vykdymo laikotarpiui. Ministras, viceministrai, kancleris, KAM administracijos padalinių vadovai ir įstaigų vadovai, Lietuvos kariuomenės vadas, Lietuvos kariuomenės pajėgų vadai ir Gynybos štabo viršininkas gali susipažinti su asmens duomenimis, kai tai yra reikalinga pagal veiklos sritis nustatytoms užduotims vykdyti.

11.  Darbuotojas privalo:

12.  Darbuotojams draudžiama savavališkai tvarkyti asmens duomenis ir naudoti asmens duomenis asmeniniams, su vykdomomis funkcijomis nesusijusiems tikslams. Daryti perteklines dokumentų kopijas, kurios nėra būtinos funkcijoms vykdyti, yra draudžiama.

13. Kai asmens duomenys tvarkomi vadovaujantis Taisyklių 2.1 papunktyje nurodytais teisės aktais, duomenų subjektas turi šias teises, įtvirtintas Reglamente, kurios įgyvendinamos Reglamente nustatytais atvejais ir sąlygomis:

Punkto pakeitimai:

Nr. V-813, 2020-10-09, paskelbta TAR 2020-10-09, i. k. 2020-21121

13¹. Kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais, vadovaujantis Taisyklių 2.2 papunkčiu, duomenų subjektas turi teises ir jam gali būti taikomi šių teisių apribojimai, nurodyti Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo III skyriuje, taip pat atitinkamus teisinius santykius reglamentuojančiame Taisyklių 2.2 papunktyje nurodytame įstatyme.

Papildyta punktu:

Nr. V-813, 2020-10-09, paskelbta TAR 2020-10-09, i. k. 2020-21121

14. Neteko galios nuo 2020-08-15

Punkto naikinimas:

Nr. V-661, 2020-08-14, paskelbta TAR 2020-08-14, i. k. 2020-17389

15. Duomenų subjektas, siekdamas įgyvendinti Reglamento 15–22 straipsniuose įtvirtintas teises, kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais – Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatyme nustatytas duomenų subjekto teises, Valdytojui ar Tvarkytojui asmeniškai, paštu ar per pasiuntinį arba elektroninių ryšių priemonėmis turi pateikti rašytinį (valstybine kalba) prašymą įgyvendinti duomenų subjekto  teisę (-es) (Taisyklių 3 priedas).

Punkto pakeitimai:

Nr. V-813, 2020-10-09, paskelbta TAR 2020-10-09, i. k. 2020-21121

16.  Prašymas įgyvendinti duomenų subjekto teises turi būti įskaitomas, paties asmens pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, kontaktiniai duomenys, kuriais asmuo pageidauja gauti atsakymą, informacija, kokią teisę ir kokios apimties duomenų subjektas pageidauja įgyvendinti.

17.  Duomenų subjektas, pateikdamas prašymą, privalo patvirtinti savo tapatybę:

18. pateikdamas prašymą elektroninių ryšių priemonėmis, turi pasirašyti jį kvalifikuotu elektroniniu parašu arba prašymas turi būti suformuotas elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą. Duomenų subjektas  savo teises gali įgyvendinti pats arba per  įgaliotą atstovą.

Punkto pakeitimai:

Nr. V-813, 2020-10-09, paskelbta TAR 2020-10-09, i. k. 2020-21121

19.  Jeigu atstovaujamo duomenų subjekto vardu į Valdytoją ar Tvarkytoją kreipiasi duomenų subjekto atstovas, jis prašyme turi nurodyti savo vardą, pavardę, kontaktinius duomenis, kuriais asmens atstovas pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę, informaciją, kokią duomenų subjekto teisę ir kokios apimties pageidauja įgyvendinti, ir pridėti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą notaro arba kita teisės aktų nustatyta tvarka. Atstovo pateiktas prašymas turi atitikti Taisyklių 15–17 punktų reikalavimus.

20.  Duomenų subjekto prašymas, pateiktas nesilaikant Taisyklių 15–19 punktuose nustatytų reikalavimų, nenagrinėjamas ir duomenų subjektas nedelsiant, bet ne vėliau kaip per 5 darbo dienas, apie tai informuojamas nurodant priežastis.

21.  Gavus duomenų subjekto prašymą, ne vėliau kaip per vieną mėnesį nuo prašymo gavimo duomenų subjektui pateikiama informacija, kokių veiksmų buvo imtasi pagal gautą prašymą. Šis vieno mėnesio terminas gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir jų skaičių. Tokiu atveju per vieną mėnesį nuo prašymo gavimo dienos duomenų subjektas informuojamas apie termino pratęsimą, kartu nurodant vėlavimo priežastis.

22. Nagrinėjant duomenų subjekto prašymą įvertinama, ar prašomos įgyvendinti duomenų subjekto teisės, vadovaujantis  Reglamento 23 straipsniu ar Taisyklių 2.2 papunktyje nurodytais teisės aktais, turi būti visiškai arba iš dalies apribotos. Jei duomenų subjekto prašymą nagrinėjantis darbuotojas neturi informacijos, reikalingos įvertinti, ar  prašomos įgyvendinti duomenų subjekto teisės turi būti visiškai arba iš dalies apribotos, ar šios informacijos trūksta, jis kreipiasi į atitinkamą informaciją administruojančias KAS institucijas ar jų padalinius. KAS institucijos ar jų padaliniai prašomą informaciją duomenų subjekto prašymą nagrinėjančiam darbuotojui privalo pateikti ne vėliau kaip per 5 darbo dienas nuo prašymo gavimo dienos.

Punkto pakeitimai:

Nr. V-813, 2020-10-09, paskelbta TAR 2020-10-09, i. k. 2020-21121

23.  Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba.

24.  Jei pagal duomenų subjekto prašymą asmens duomenys yra ištaisomi, ištrinami ar jų tvarkymas yra apribojamas, darbuotojas privalo apie tai informuoti kitus Tvarkytojus, kuriems tokie duomenys buvo teikiami.

25.  Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai.

26.  Tiek, kiek duomenų subjektų teisių įgyvendinimo nereglamentuoja Taisyklės ir Taisyklių 2 punkte nurodyti teisės aktai, taikomos Prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklės, patvirtintos Lietuvos Respublikos Vyriausybės 2007 m. rugpjūčio 22 d. nutarimu Nr. 875 „Dėl prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklių patvirtinimo“.

27.    Valdytojo ir Tvarkytojo veiksmus ar neveikimą, įgyvendinant duomenų subjekto teises,  duomenų subjektas arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento 80 straipsnio reikalavimus, išskyrus atvejus, kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais, turi teisę skųsti Valstybinei duomenų apsaugos inspekcijai (L. Sapiegos g. 17, Vilnius, el. p. [email protected], interneto svetainė https://vdai.lrv.lt/), taip pat teismui, o tais atvejais, kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais, –  Lietuvos Respublikos Seimo kontrolieriui (Gedimino pr. 56, Vilnius, el. p. ombuds@lrski.lt), taip pat teismui.

Punkto pakeitimai:

Nr. V-661, 2020-08-14, paskelbta TAR 2020-08-14, i. k. 2020-17389

Nr. V-813, 2020-10-09, paskelbta TAR 2020-10-09, i. k. 2020-21121

28. Valstybės ar žinybinių registrų, valstybės informacinių sistemų, informacinių sistemų, duomenų perdavimo tinklų, telekomunikacijų tinklų, ryšių sistemų ar kitos iš techninės ir programinės įrangos sudarytos infrastruktūros, veikiančios informacinių ir ryšių technologijų pagrindu (toliau – programinė priemonė), kuriuose tvarkomi asmens duomenys, savininkai, atsakingi už programinės priemonės naudojimą institucijoje teisės aktų nustatytoms funkcijoms atlikti, ar valdytojai, jei programinės priemonės buvo įsteigtos ir įteisintos teisės aktų nustatyta tvarka, privalo įgyvendinti organizacinius, programinius ir techninius duomenų saugumo reikalavimus, nurodytus Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 5 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, ir kituose susijusiuose teisės aktuose, kurie, jei programinė priemonė yra įsteigta ir įteisinta, yra nurodyti duomenų saugos nuostatuose ir (ar) kituose duomenų saugą reglamentuojančiuose dokumentuose.

Punkto pakeitimai:

Nr. V-813, 2020-10-09, paskelbta TAR 2020-10-09, i. k. 2020-21121

29.  Siekiant užtikrinti KAS institucijoms ar jų padaliniams priklausančių patalpų ir teritorijos apsaugą, taip pat organizuojant vaizdo konferencijas, gali būti tvarkomi vaizdo stebėjimo ir (arba) garso duomenys.

30.  Apie tai, kad vykdomas vaizdo stebėjimas, duomenų subjektai informuojami informaciniais užrašais, kurie išdėstomi prieš įėjimą į teritoriją, pastatą ar patalpą, arba, kai vyksta vaizdo konferencija, duomenų subjektai kompiuterio ekrane informuojami apie vykdomą vaizdo ir (arba) garso transliaciją.

31.  Stebėti asmens darbo vietą, kareivines ar tarnybines gyvenamąsias patalpas draudžiama, išskyrus atvejus, kai darbo vietoje vyksta vaizdo konferencija arba kai būtina užtikrinti įslaptintos informacijos apsaugą ir kiti būdai ar priemonės nėra pakankami ir (arba) tinkami tikslams pasiekti. Asmenys apie nuolat vykdomą jų darbo vietos stebėjimą informuojami pasirašytinai. Informavimo forma (Taisyklių 4 priedas) saugoma KAS institucijoje visą tarnybos (darbo) laikotarpį.

32.  Vaizdo stebėjimo priemonės įrengiamos taip, kad būtų stebimas tik asmuo, dalyvaujantis vaizdo konferencijoje, arba konkreti patalpa, teritorija ar jos prieigos, kurias siekiama apsaugoti.

33.  Siekiant užtikrinti KAS institucijoms ar jų padaliniams priklausančių patalpų ir teritorijos apsaugą, vaizdo stebėjimo duomenys saugomi nuo 30 iki 45 kalendorinių dienų. Pasibaigus šiam terminui, vaizdo stebėjimo duomenys sunaikinami ištrinant vaizdo laikmenas. Vaizdo konferencijų vaizdas ir (arba) garsas nėra įrašomas, išskyrus atvejus, kai iš anksto žinoma, kad vaizdo ir (arba) garso įrašas bus reikalingas tarnybiniam naudojimui. Apie konferencijos vaizdo ir (arba) garso įrašymą vaizdo konferencijos dalyviai informuojami žodžiu vaizdo ir (arba) garso įrašymo pradžioje. Vaizdo konferencijų įrašai yra saugomi ir sunaikinami Taisyklių 35 punkte nurodytais terminais ir tvarka.

34.  Vaizdo stebėjimo priemonės, jų įrengimo vietos, stebėjimo laukas ir laikas nustatomi vadovaujantis Reglamento ir krašto apsaugos ministro nustatytais karinių teritorijų ir įslaptintos informacijos apsaugos reikalavimais.

35.  Bendrųjų dokumentų saugojimo terminų rodyklėje, patvirtintoje Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“, ir Valdytojo bei Tvarkytojo dokumentacijos planuose nurodyti dokumentai, kuriuose yra asmens duomenų, saugomi Lietuvos vyriausiojo archyvaro nustatyta tvarka ir terminais. Kiti dokumentai, kuriuose yra asmens duomenų, ar duomenys saugomi ne dokumentuose (informacinėse sistemose, programose ir kt.), yra saugomi 3 mėnesius nuo dienos, kai yra atlikti visi veiksmai, kuriems atlikti buvo naudojami asmens duomenys, išskyrus atvejus, kai šie dokumentai reikalingi teisminiams ginčams spręsti, kai duomenys gali būti saugomi iki teismo sprendimo įsigaliojimo arba ilgesnė duomenų saugojimo trukmė nustatyta kituose teisės aktuose.

36.  Suėjus dokumentų, kuriuose yra asmens duomenų, saugojimo terminams, teisės aktų nustatyta tvarka dokumentai sunaikinami taip, kad jų nebūtų galima atkurti ir atpažinti jų turinio.