LIETUVOS RESPUBLIKOS ŠVIETIMO, MOKSLO IR SPORTO MINISTRAS
ĮSAKYMAS
DĖL DOKUMENTŲ, REGLAMENTUOJANČIŲ DUOMENŲ SUBJEKTŲ TEISES, PATVIRTINIMO
2019 m. liepos 1 d. Nr. V-768
Vilnius
Siekdamas tinkamai įgyvendinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) numatytas duomenų subjektų teises,
1. Duomenų subjekto teisių įgyvendinimo Lietuvos Respublikos švietimo, mokslo ir sporto ministerijoje taisykles;
2. Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos asmens duomenų saugumo pažeidimų valdymo tvarkos aprašą;
3. Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos poveikio asmens duomenų apsaugai vertinimo ir konsultavimosi su asmens duomenų priežiūros institucija tvarkos aprašą.
PATVIRTINTA
Lietuvos Respublikos švietimo, mokslo ir sporto ministro
2019 m. liepos 1 d.
įsakymu Nr. V-768
DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO LIETUVOS RESPUBLIKOS ŠVIETIMO, MOKSLO IR SPORTO MINISTERIJOJE TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Duomenų subjekto teisių įgyvendinimo Lietuvos Respublikos švietimo, mokslo ir sporto ministerijoje taisyklių (toliau – Taisyklės) tikslas – nustatyti duomenų subjektų teisių įgyvendinimo Lietuvos Respublikos švietimo, mokslo ir sporto ministerijoje (toliau – Ministerija) tvarką siekiant įgyvendinti atskaitomybės principą.
2. Įgyvendinant duomenų subjekto teises vadovaujamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Reglamentas (ES) 2016/679) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.
4. Taisyklės parengtos vadovaujantis Reglamentu (ES) 2016/679 ir atsižvelgiant į Europos Komisijos 2018 m. sausio 24 d. komunikatą Europos Parlamentui ir Tarybai „Didesnė apsauga, naujos galimybės. Komisijos gairės dėl tiesioginio Bendrojo duomenų apsaugos reglamento taikymo nuo 2018 m. gegužės 25 d.“ ir į Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 9 d. įsakymą Nr. 1T-63 (1.12.E) „Dėl Duomenų subjekto teisių įgyvendinimo pavyzdinių taisyklių patvirtinimo“.
5. Duomenų subjektų asmens duomenis tvarko duomenų valdytoja – Ministerija, juridinio asmens kodas 188603091, buveinės adresas A. Volano g. 2, 01516 Vilnius. Asmens duomenys Ministerijoje tvarkomi neautomatiniu būdu susistemintose rinkmenose ir (arba) automatiniu būdu.
6. Duomenų subjektų, nurodytų Taisyklių 7.10 papunktyje, teises įgyvendina Ministerijos įgalioti duomenų tvarkytojai.
7. Ministerijoje tvarkomi šių duomenų subjektų grupių asmens duomenys šiais asmens duomenų tvarkymo tikslais:
7.1. Ministerijos esamų ir buvusių valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis (toliau – valstybės tarnautojai ir darbuotojai), asmens duomenys (vardas, pavardė, asmens kodas, asmens socialinio draudimo numeris, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, gyvenimo ir veiklos aprašymas, šeiminė padėtis, pareigos, duomenys apie priėmimą (perkėlimą) į pareigas, atleidimą iš pareigų, išsilavinimą ir kvalifikaciją, mokymus, atostogas, darbo užmokestį, išeitines išmokas, kompensacijas, pašalpas, informacija apie dirbtą darbo laiką, skatinimus ir nuobaudas, atliktus darbus ir užduotis, duomenys apie valstybės tarnautojo tarnybinės veiklos vertinimą, viešų ir privačių interesų deklaravimo duomenys, Lietuvos Respublikos piliečio paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, specialiųjų kategorijų asmens duomenys, susiję su sveikata, teistumu, dalyvavimu uždraustos organizacijos veikloje, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Ministeriją įpareigoja įstatymai ir kiti teisės aktai), tvarkomi vidaus administravimo (personalo valdymo, dokumentų tvarkymo, materialinių ir finansinių išteklių naudojimo) tikslu;
7.2. pretendentų į Ministerijos valstybės tarnautojus ir darbuotojus asmens duomenys (vardas, pavardė, asmens kodas, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, pareigos, į kurias pretenduojama, gyvenimo ir veiklos aprašymas, duomenys apie išsilavinimą ir kvalifikaciją, specialiųjų kategorijų asmens duomenys, susiję su teistumu, dalyvavimu uždraustos organizacijos veikloje, pokalbio su pretendentu į valstybės tarnautojo pareigas skaitmeninis garso įrašas, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Ministeriją įpareigoja įstatymai ir kiti teisės aktai) tvarkomi vidaus administravimo (personalo valdymo, dokumentų tvarkymo) tikslu;
7.3. asmenų, pateikusių Ministerijai skundą, prašymą ar pranešimą, asmens duomenys (vardas, pavardė, asmens kodas, adresas, telefono ryšio ir (ar) telefakso numeris, elektroninio pašto adresas, parašas, skundo, prašymo ar pranešimo data ir numeris (registravimo Ministerijoje data ir numeris), skunde, prašyme ar pranešime nurodyta informacija (įskaitant ir specialiųjų kategorijų asmens duomenis), skundo, prašymo ar pranešimo nagrinėjimo rezultatas, Ministerijos atsakymo data ir numeris, skundo, prašymo ar pranešimo nagrinėjimo metu gauta informacija) tvarkomi skundų, prašymų ar pranešimų nagrinėjimo, vidaus administravimo (dokumentų tvarkymo), asmens tapatybės nustatymo tikslais;
7.4. tiekėjų asmens duomenys (potencialių tiekėjų asmens duomenys: gyvenimo aprašymuose pateikta informacija (vardas, pavardė, gimimo data, telefono ryšio numeris, el. paštas, nuotrauka, išsilavinimo ir mokymų duomenys, projektų vykdymo patirtis, ankstesnių darboviečių duomenys), diplomų, sertifikatų kopijos, santuokos liudijimų kopijos, jeigu dalyvauja kaip fizinis asmuo – asmens kodas, informacija apie teistumą (Lietuvos Respublikos viešųjų pirkimų įstatymo nustatytais atvejais), mokumą; įmonės vadovo ir buhalterio duomenys apie teistumą (Viešųjų pirkimų įstatymo nustatytais atvejais) ir gimimo datos; esamų tiekėjų asmens duomenys – viešųjų pirkimų sutartyje tiekėjo, jo atstovo ir kitų, už pirkimo sutarties vykdymą atsakingų asmenų, asmens duomenys: vardas (vardai), pavardė (pavardės), gimimo data, asmens kodas (jeigu asmens kodas suteiktas Lietuvos Respublikos gyventojų registro įstatymo nustatyta tvarka), užsienio valstybės suteiktas asmens kodas (kai fizinis asmuo yra asmuo be pilietybės arba užsienio valstybės pilietis ir tokį kodą turi); individualios veiklos pažymėjimo arba verslo liudijimo numeris; gyvenamosios (veiklos) vietos adresas; telefono ryšio numeris; elektroninio pašto adresas; banko ir atsiskaitomosios sąskaitos duomenys; pagal sutartį gaunamos pajamos; išsilavinimo ir turimos kvalifikacijos pagrindimo dokumentų (atestatų, sertifikatų, licencijų, pažymėjimų ir pan.) duomenys; taip pat kiti asmeniui būdingi ekonominio ar socialinio pobūdžio duomenys, kuriuos asmuo pateikė dalyvaudamas viešajame pirkime) tvarkomi siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;
7.5. paslaugų gavėjų duomenys (asmenų, pateikusių prašymus dėl pažymų ar archyvinių dokumentų kopijų apie buvusį darbo užmokestį ir (ar) darbo stažą, asmens duomenys (vardas, pavardė, gyvenamoji vieta, kontaktinio telefono ryšio numeris, elektroninio pašto adresas, pavardės pasikeitimai, gimimo data, laikotarpis, už kurį prašoma pažymos, informacija apie darbovietes, asmens tapatybės patvirtinimo dokumento kopija, darbo knygelės (socialinio draudimo pažymėjimo) kopija); melioracijos įmonių ir specialistų atestavimo duomenys (asmens tapatybės patvirtinimo dokumento kopija, gyvenimo aprašymas, diplomo kopija, kvalifikacijos atestato kopija); sertifikuojamų tradicinių amatininkų (fizinių asmenų) asmens duomenys (vardas, pavardė, gyvenamoji vietovė, telefono ryšio numeris, elektroninio pašto adresas, informacija apie fizinio asmens vykdomą veiklą (tautinio paveldo produkto sertifikavimo data, sertifikato Nr., sertifikuoto tautinio paveldo produkto pavadinimas, sritis, rūšis, kategorija (tvarkomi Tautinio paveldo informacinėje sistemoje)), tvarkomi siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, vidaus administravimo (dokumentų tvarkymo), asmens tapatybės nustatymo, sertifikavimo tikslais;
7.6. rentų buvusiems sportininkams gavėjų asmens duomenys (vardas, pavardė, asmens kodas, adresas, telefono ryšio numeris, fakso numeriai, el. pašto adresas, susiję su rentos skyrimu dokumentai) tvarkomi siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, vidaus administravimo (dokumentų tvarkymo), asmens tapatybės nustatymo, rentos skyrimo tikslais;
7.7. Ministerijos informacinių ir komunikacinių technologijų naudojimo duomenys (praėjimo pro vartelius kontrolės įrašai, prieigos teisės, prieigos įrašai, tarnybinio el. pašto naudojimas, darbo užduočių ir operacijų žurnalai), siekiant apsaugoti teisėtus duomenų valdytojo interesus užtikrinant informacijos ir nuosavybės apsaugą;
7.8. asmenų, Ministerijai pateikusių prašymą, skundą, paklausimą, pranešimą ar kitą kreipimąsi, taip pat ir anoniminį (toliau – pranešimas), asmens duomenys (vardas, pavardė, telefono ryšio numeris, elektroninio pašto adresas), valstybės tarnautojų ir darbuotojų, dėl kurių galimai neteisėtų veiksmų Ministerijai pateiktas pranešimas, asmens duomenys (vardas, pavardė, pareigos), pranešimo duomenys (data, laikas, gavimo būdas, pranešime nurodyta informacija (įskaitant ir specialiųjų kategorijų asmens duomenis), duomenys apie pranešimo nagrinėjimą ar perdavimą (sprendimo dėl pranešimo nagrinėjimo ar perdavimo data, turinys, sprendimą priėmęs asmuo, sprendimo nagrinėti vykdytojas ir vykdymo terminai), pranešimo nagrinėjimo metu gauta informacija, duomenys apie pranešimo nagrinėjimo rezultatus (pranešimo apie nagrinėjimo rezultatus data ir turinys) tvarkomi korupcijos prevencijos ir išaiškinimo tikslais siekiant užkirsti kelią Ministerijos, Ministerijai pavaldžių įstaigų ir viešųjų įstaigų, kuriose Ministerija įgyvendina dalininko ar savininko teises ir pareigas, valstybės tarnautojų ir darbuotojų, galimai neteisėtiems veikimams, neveikimui, netinkamam pareigų vykdymui, piktnaudžiavimui suteiktais įgaliojimais ir veiksmams, susijusiems su galima korupcija, išaiškinti ir ištirti;
7.9. duomenų subjektų, patenkančių į Ministerijos vykdomą vaizdo stebėjimo lauką, vaizdo duomenys (duomenų subjektų ir jų valdomų transporto priemonių), bei asmenų, kurie lankosi Ministerijoje, asmens duomenys (vardas, pavardė, apsilankymo data ir laikas), vidaus administravimo (asmenų aptarnavimo), visuomenės saugumo, viešosios tvarkos, teritorijos ir nuosavybės apsaugos užtikrinimo tikslu;
II SKYRIUS
TEISĖ GAUTI INFORMACIJĄ APIE ASMENS DUOMENŲ TVARKYMĄ
8. Informacija apie Ministerijoje atliekamą duomenų subjektų asmens duomenų tvarkymą, nurodyta Reglamento (ES) 2016/679 13 ir 14 straipsniuose, duomenų subjektui pateikiama žodžiu, raštu arba elektroninių ryšių priemonėmis (duomenų subjekto kreipimosi į Ministeriją būdu), taip pat paskelbta Ministerijos interneto svetainėje ir Taisyklių 6 punkte.
10. Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto, apie šio duomenų subjekto asmens duomenų tvarkymą informuojama:
10.1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;
III SKYRIUS
TEISĖ SUSIPAŽINTI SU ASMENS DUOMENIMIS
11. Ministerija, esant duomenų subjekto prašymui įgyvendinti teisę susipažinti su savo asmens duomenimis, turi pateikti:
11.2. su asmens duomenų tvarkymu susijusią informaciją, numatytą Reglamento (ES) 2016/679 15 straipsnio 1 ir 2 dalyse, jeigu duomenų subjekto asmens duomenys tvarkomi;
12. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta tvarkomų asmens duomenų užpildytos formos kopija taip pat ir kita forma, nei Ministerija teikia, tačiau už tai gali būti imamas mokestis pagal Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymą.
IV SKYRIUS
TEISĖ REIKALAUTI IŠTAISYTI ASMENS DUOMENIS
13. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 16 straipsniu, turi teisę reikalauti, kad bet kokie jo tvarkomi netikslūs asmens duomenys būtų ištaisyti, o neišsamūs papildyti.
14. Siekdama įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra tikslūs ar išsamūs, Ministerija gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus.
15. Jeigu duomenų subjekto asmens duomenys (ištaisyti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Ministerija šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar tam prireiktų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
V SKYRIUS
TEISĖ REIKALAUTI IŠTRINTI ASMENS DUOMENIS („TEISĖ BŪTI PAMIRŠTAM“)
16. Duomenų subjekto teisė ištrinti jo asmens duomenis („teisė būti pamirštam“) įgyvendinama Reglamento (ES) 2016/679 17 straipsnyje numatytais atvejais.
17. Duomenų subjekto teisė reikalauti ištrinti asmens duomenis gali būti neįgyvendinta Reglamento (ES) 2016/679 17 straipsnio 3 dalyje numatytais atvejais.
18. Jeigu duomenų subjekto asmens duomenys (ištrinti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Ministerija šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar tam prireiktų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
VI SKYRIUS
TEISĖ APRIBOTI ASMENS DUOMENŲ TVARKYMĄ
19. Reglamento (ES) 2016/679 18 straipsnio 1 dalyje numatytais atvejais Ministerija privalo įgyvendinti duomenų subjekto teisę apriboti jo asmens duomenų tvarkymą.
20. Asmens duomenys, kurių tvarkymas apribotas, yra saugomi, o prieš tokio apribojimo panaikinimą duomenų subjektas raštu, žodžiu arba elektroninių ryšių priemonėmis yra informuojamas.
21. Jeigu duomenų subjekto asmens duomenys (kurių tvarkymas apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Ministerija šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar tam prireiktų, pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
VII SKYRIUS
TEISĖ Į ASMENS DUOMENŲ PERKELIAMUMĄ
22. Ministerija įgyvendina duomenų subjekto teisę į duomenų perkeliamumą Reglamento (ES) 2016/679 20 straipsnyje numatytomis sąlygomis.
23. Duomenų subjektas teisės į duomenų perkeliamumą neturi tų asmens duomenų atžvilgiu, kurie tvarkomi neautomatiniu būdu susistemintose rinkmenose, pavyzdžiui, popierinėse bylose.
24. Duomenų subjektas, kreipdamasis dėl teisės į duomenų perkeliamumą, turi nurodyti, ar pageidauja, kad jo asmens duomenys būtų persiųsti jam ar kitam duomenų valdytojui.
VIII SKYRIUS
TEISĖ NESUTIKTI SU ASMENS DUOMENŲ TVARKYMU
26. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 21 straipsniu, turi teisę dėl su juo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad Ministerija tvarkytų jo asmens duomenis, išskyrus šiuos atvejus:
26.1. tvarkyti asmens duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;
26.2. tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas.
27. Apie duomenų subjekto teisę nesutikti su asmens duomenų tvarkymu duomenų subjektas aiškiai informuojamas žodžiu, raštu (tokiu būdu, kokiu duomenų subjektas kreipiasi į Ministeriją), taip pat Ministerijos interneto svetainėje.
28. Duomenų subjektui išreiškus nesutikimą dėl asmens duomenų tvarkymo, toks tvarkymas atliekamas tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių tvarkomi asmens duomenys, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus.
IX SKYRIUS
TEISĖ REIKALAUTI, KAD NEBŪTŲ TAIKOMAS TIK AUTOMATIZUOTU ASMENS DUOMENŲ TVARKYMU, ĮSKAITANT PROFILIAVIMĄ, GRINDŽIAMAS SPRENDIMAS
29. Duomenų subjektas turi teisę reikalauti, kad jo atžvilgiu nebūtų taikomas tik automatizuotu duomenų tvarkymu grindžiamas sprendimas ir toks sprendimas būtų peržiūrėtas, vadovaujantis Reglamento (ES) 2016/679 22 straipsniu.
X SKYRIUS
PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES PATEIKIMAS
31. Kreiptis dėl duomenų subjekto teisių įgyvendinimo į Ministeriją duomenų subjektas turi teisę žodžiu arba raštu, pateikdamas prašymą asmeniškai, paštu ar elektroninėmis priemonėmis.
32. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi žodžiu ar prašymas pateiktas raštu asmeniškai, duomenų subjektas turi patvirtinti savo tapatybę pateikdamas asmens tapatybės patvirtinimo dokumentą. To nepadarius, duomenų subjekto teisės nėra įgyvendinamos. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.
33. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi raštu, pateikiant prašymą paštu, tuomet kartu su prašymu turi būti pateikta notaro patvirtinta asmens tapatybės patvirtinimo dokumento kopija. Teikiant prašymą elektroninėmis priemonėmis, prašymas turi būti pasirašytas kvalifikuotu elektroniniu parašu arba jis turi būti suformuotas elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.
34. Prašymas įgyvendinti duomenų subjekto teises turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyti duomenų subjekto vardas, pavardė, adresas ir (ar) kiti ryšio duomenys ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo.
36. Asmens atstovas prašyme turi nurodyti savo vardą, pavardę, adresą ir (ar) kitus duomenis, kuriais pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę ir adresą bei pateikti atstovavimo patvirtinimo dokumentą ar jo kopiją.
37. Esant abejonių dėl duomenų subjekto tapatybės, duomenų valdytojas prašo papildomos informacijos, reikalingos ja įsitikinti.
38. Kreipiantis raštu dėl duomenų subjekto teisių įgyvendinimo, rekomenduojama pateikti Taisyklių priede nurodytos formos prašymą.
39. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis į Ministerijos duomenų apsaugos pareigūną. Siekiant užtikrinti Reglamento (ES) 2016/679 38 straipsnio 5 dalyje įtvirtintą konfidencialumą, kreipiantis į Ministerijos duomenų apsaugos pareigūną paštu ant voko užrašoma, kad korespondencija skirta Ministerijos duomenų apsaugos pareigūnui.
XI SKYRIUS
PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES NAGRINĖJIMAS
40. Gavus duomenų subjekto prašymą, ne vėliau kaip per 20 darbo dienų nuo prašymo gavimo jam pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Jeigu bus vėluojama pateikti informaciją, per nurodytą terminą duomenų subjektas informuojamas apie tai, nurodant vėlavimo priežastis ir apie galimybę pateikti skundą Valstybinei duomenų apsaugos inspekcijai.
41. Jeigu prašymas pateiktas nesilaikant Taisyklių X skyriuje nustatytos tvarkos ir reikalavimų, jis nenagrinėjamas, ir nedelsiant, bet ne vėliau kaip per 10 darbo dienų, duomenų subjektas apie tai informuojamas nurodant priežastis.
42. Jeigu prašymo nagrinėjimo metu nustatoma, jog duomenų subjekto teisės yra apribotos Reglamento (ES) 2016/679 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.
43. Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba.
44. Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai, išskyrus Taisyklių 11 punkte nurodytą išimtį.
45. Ministerijos veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento (ES) 2016/679 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai taip pat teismui.
XII SKYRIUS
BAIGIAMOSIOS NUOSTATOS
47. Asmens duomenys Ministerijoje saugomi ne ilgiau, negu to reikia dėl tikslų, kuriais jie buvo surinkti, arba tokį laikotarpį, kokį numato teisės aktai, reglamentuojantys duomenų ir dokumentų saugojimą.
48. Ministerija imasi visų įmanomų saugumo priemonių, siekdama apsaugoti asmenų duomenis nuo neteisėtos prieigos, naudojimo ar atskleidimo.
49. Rinkdama ir naudodama asmens duomenis Ministerija laikosi šių principų:
49.1. asmens duomenys tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);
49.2. asmens duomenys renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu (tikslo apribojimo principas);
49.3. asmens duomenys yra adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);
49.5. asmens duomenys yra laikomi tokia forma, kad asmens tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais šie asmens duomenys yra tvarkomi (saugojimo trukmės apribojimo principas);
49.6. asmens duomenys yra tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).
50. Rinkdama ir naudodama asmens duomenis Ministerija įsipareigoja:
50.2. netvarkyti asmens duomenų kitais tikslais, nei nurodyta Taisyklėse, išskyrus teisės aktuose nustatytus atvejus;
50.3. tvarkyti asmens duomenis teisėtai, tiksliai, skaidriai, sąžiningai ir tokiu būdu, kad būtų užtikrintas tvarkomų asmens duomenų tikslumas, tapatumas, saugumas;
50.5. tvarkyti asmens duomenis ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;
50.6. būti atsakinga už tai, kad būtų laikomasi Taisyklėse įtvirtintų principų, ir gebėti įrodyti, kad jų laikomasi;
Duomenų subjekto teisių įgyvendinimo
Lietuvos Respublikos švietimo, mokslo ir sporto ministerijoje taisyklių
priedas
_______________________________________________________________________________
(duomenų subjekto vardas ir pavardė)
_______________________________________________________________________________
(adresas ir (ar) kiti ryšio duomenys (telefono numeris ar el. pašto adresas (nurodoma pareiškėjui pageidaujant)
________________________________________________________________________________
(atstovas ir atstovavimo pagrindas, jeigu prašymą pateikia duomenų subjekto atstovas)1
Lietuvos Respublikos švietimo, mokslo ir sporto ministerijai
(duomenų valdytojo pavadinimas)
PRAŠYMAS
ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISĘ (-ES)
____________
(data)
________
(vieta)
1. Prašau įgyvendinti šią (šias) duomenų subjekto teisę (-es):
(tinkamą langelį pažymėkite kryželiu):
□ Teisę gauti informaciją apie asmens duomenų tvarkymą
□ Teisę susipažinti su asmens duomenimis
□ Teisę reikalauti ištaisyti asmens duomenis
□ Teisę reikalauti ištrinti asmens duomenis („teisė būti pamirštam“)
□ Teisę apriboti asmens duomenų tvarkymą
□ Teisę į asmens duomenų perkeliamumą
□ Teisę nesutikti su asmens duomenų tvarkymu
□ Teisę reikalauti, kad nebūtų taikomas tik automatizuotu asmens duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas
2. Nurodykite, ko konkrečiai prašote ir pateikite kiek įmanoma daugiau informacijos, kuri leistų tinkamai įgyvendinti Jūsų teisę (-es) (pavyzdžiui, jeigu norite gauti asmens duomenų kopiją, nurodykite, kokių konkrečiai duomenų (pavyzdžiui, 2018 m. x mėn. x d. elektroninio pašto laiško kopiją, 2018 m. x mėn. x d. vaizdo įrašo (x val. x min. – x val. x min.) kopiją pageidaujate gauti; jeigu norite ištaisyti duomenis, nurodykite, kokie konkrečiai Jūsų asmens duomenys yra netikslūs; jeigu nesutinkate, kad būtų tvarkomi Jūsų asmens duomenys, tuomet nurodykite argumentus, kuriais grindžiate savo nesutikimą, nurodykite dėl kokio konkrečiai duomenų tvarkymo nesutinkate; jeigu kreipiatės dėl teisės į duomenų perkeliamumą įgyvendinimo, prašome nurodyti, kokių duomenų atžvilgiu šią teisę pageidaujate įgyvendinti, ar pageidaujate juos perkelti į savo įrenginį ar kitam duomenų valdytojui, jeigu pastarajam, tuomet nurodykite kokiam):
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
_______________________________________________________________________________ .
PRIDEDAMA2:
1. _____________________________________________________________________________ .
2. _____________________________________________________________________________ .
3. _____________________________________________________________________________ .
4. _____________________________________________________________________________ .
_______________ _____________________________
(parašas) (vardas ir pavardė)
[1]Jeigu prašymą pateikia duomenų subjekto atstovas, kartu turi būti pridedamas atstovo įgaliojimų patvirtinimo dokumentas.
2 Jeigu kreipiamasi dėl netikslių duomenų ištaisymo, pateikiamos tikslių duomenų patvirtinimo dokumentų kopijos; jeigu jos siunčiamos paštu, tuomet turi būti patvirtintos notaro ar kita teisės aktų nustatyta tvarka. Jeigu duomenų subjekto asmens duomenys, tokie kaip vardas, pavardė, yra pasikeitę, kartu pateikiamos dokumentų, kuriais patvirtinamas šių duomenų pasikeitimas, kopijos; jeigu jos siunčiamos paštu, tuomet turi būti patvirtintos notaro ar kita teisės aktų nustatyta tvarka.
JŪSŲ TEISĖS NĖRA ABSOLIUČIOS ir gali būti ribojamos Lietuvos Respublikos teisės aktuose nustatyta tvarka, jeigu siekiama užtikrinti: a) nacionalinį saugumą; b) gynybą; c) visuomenės saugumą; d) nusikalstamų veikų prevenciją, tyrimą, nustatymą ar patraukimą už jas baudžiamojon atsakomybėn arba baudžiamųjų sankcijų vykdymą, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją; e) kitus Lietuvos Respublikos svarbius tikslus, susijusius su bendrais viešaisiais interesais, visų pirma svarbiu ekonominiu ar finansiniu Lietuvos Respublikos interesu, įskaitant pinigų, biudžeto bei mokesčių klausimus, visuomenės sveikatą ir socialinę apsaugą; f) teismų nepriklausomumo ir teismo proceso apsaugą; g) reglamentuojamųjų profesijų etikos pažeidimų prevenciją, tyrimą, nustatymą ir patraukimą baudžiamojon atsakomybėn už juos; h) stebėsenos, tikrinimo ar reguliavimo funkciją, kuri (net jeigu tik kartais) yra susijusi su viešosios valdžios funkcijų vykdymu a- e ir g punktuose nurodytais atvejais; i) Jūsų apsaugą arba kitų asmenų teisių ir laisvių apsaugą; j) civilinių ieškinių vykdymo užtikrinimą.
PATVIRTINTA
Lietuvos Respublikos švietimo, mokslo ir sporto ministro
2019 m. liepos 1 d.
įsakymu Nr. V-768
LIETUVOS RESPUBLIKOS ŠVIETIMO, MOKSLO IR SPORTO MINISTERIJOS ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos (toliau – Ministerija) asmens duomenų saugumo pažeidimų valdymo tvarkos aprašas (toliau – Aprašas) parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (OL 2016 L 119, p. 1) (toliau – Reglamentas) nustatytais reikalavimais.
2. Aprašas nustato duomenų saugumo pažeidimų valdymo, taip pat pranešimų asmens duomenų priežiūros institucijai bei duomenų subjektams teikimo tvarką.
3. Aprašo tikslas – užtikrinti, kad įvykus asmens duomenų saugumo įvykiams ar incidentams jie būtų laiku pastebėti ir būtų imtasi atsakomųjų veiksmų.
4. Aprašas yra privalomas visiems Ministerijos valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis (toliau – darbuotojai).
5. Apraše vartojamos sąvokos:
5.1. Asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu, kurio tapatybė gali būti nustatyta.
5.2. Asmens duomenų konfidencialumo pažeidimas – neteisėtas arba atsitiktinis asmens duomenų atskleidimas arba gaunama prieiga prie jų.
5.3. Asmens duomenų pažeidimų tipai – konfidencialumo, prieinamumo, vientisumo pažeidimai arba jų kombinacija.
5.4. Asmens duomenų prieinamumo pažeidimas – netyčinis arba neautorizuotas prieigos prie asmens duomenų praradimas arba šių sunaikinimas.
5.5. Asmens duomenų priežiūros institucija – (toliau – Priežiūros institucija) – Valstybinė duomenų apsaugos inspekcija.
5.6. Asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio neatsargiai arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga.
5.7. Asmens duomenų subjektas (toliau – duomenų subjektas) – fizinis asmuo, kurio duomenys yra tvarkomi.
II SKYRIUS
ATSAKOMYBĖ
6. Ministerijos duomenų apsaugos pareigūnas, įgyvendindamas Aprašo nuostatas (toliau – pareigūnas):
7. Informacijos saugos įgaliotinis registruoja visus informacijos saugos pažeidimus (incidentus) Ministerijos nustatyta informacijos saugos incidentų valdymo tvarka ir perduoda informaciją pareigūnui, jei informacijos saugos pažeidimai susiję su asmens duomenų pažeidimais.
III SKYRIUS
ASMENS DUOMENŲ PAŽEIDIMŲ VALDYMAS
9. Pareigūnas, gavęs informaciją apie asmens duomenų saugumo pažeidimą arba pats jį pastebėjęs, jį registruoja ir atlieka pirminį pažeidimo įvertinimą, atsižvelgdamas į pažeidimo pavojingumą ir galimą poveikį duomenų subjektui (-ams).
10. Vertinant galimą poveikį duomenų subjektui reikia nustatyti, ar asmens duomenų pažeidimas kelia pavojų duomenų subjektams.
11. Sukeliančiais pavojų duomenų subjektams laikomi tokie asmens duomenų pažeidimai, kurie gali sukelti šias pasekmes:
12. Didelį pavojų duomenų subjektų teisėms ir laisvėms sukeliantys asmens duomenų saugumo pažeidimai yra tie, kurie gali sukelti fizinę, materialią ar nematerialią žalą duomenų subjektams, tokių pažeidimų pavyzdžiai gali būti:
14. Atlikęs įvertinimą pareigūnas:
14.2. imasi visų reikiamų priemonių pašalinti asmens duomenų saugumo pažeidimo padarinius ir sumažinti padarytą žalą;
15. Visi asmens duomenų saugumo pažeidimai turi būti registruojami Asmens duomenų saugumo pažeidimų registravimo žurnale (Aprašo 1 priedas).
16. Tais atvejais, kai asmens duomenų saugumo pažeidimas gali kelti pavojų duomenų subjektų teisėms ir laisvėms, apie asmens duomenų saugumo pažeidimą turi būti pranešta Priežiūros institucijai.
IV SKYRIUS
PRANEŠIMŲ PRIEŽIŪROS INSTITUCIJAI TVARKA
18. Jei asmens duomenų pažeidimas nekelia pavojaus duomenų subjektams, apie tokį pažeidimą Priežiūros institucijai pranešti nereikia, tačiau, jei neįmanoma įrodyti, kad pažeidimas negali sukelti pavojaus duomenų subjektams, reikia informuoti apie jį Priežiūros instituciją.
19. Asmens duomenų saugumo pažeidimo atveju Ministerija ne vėliau kaip per 72 valandas nuo tada, kai apie jį sužinojo, vadovaudamasi Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos apraše, patvirtintame Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T-72 (1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“, tvarka ir sąlygomis praneša Priežiūros institucijai, pateikdama užpildytą patvirtintą pranešimą pagal formą (Aprašo 2 priedas).
V SKYRIUS
PRANEŠIMŲ DUOMENŲ SUBJEKTAMS TEIKIMO TVARKA
21. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, pareigūnas privalo ne vėliau kaip per 72 valandas pranešti apie asmens duomenų saugumo pažeidimą tiesiogiai duomenų subjektui, pateikdamas užpildytą pranešimą pagal formą (Aprašo 2 priedas). Pranešimas duomenų subjektui pateikiamas įprastu ryšio su duomenų subjektu būdu.
22. Duomenų subjektui apie asmens duomenų pažeidimą pranešti nebūtina, jei:
22.1. buvo įgyvendintos tinkamos techninės ir organizacinės apsaugos priemonės, pvz., šifravimo priemonės, taikytos tiems duomenims, kuriems pažeidimas turėjo poveikį;
22.2. po pažeidimo buvo imtasi visų reikiamų apsaugos priemonių, kurios užkirstų kelią dideliam pavojui duomenų subjekto teisėms ir laisvėms;
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
Lietuvos Respublikos švietimo, mokslo
ir sporto ministerijos asmens duomenų
saugumo pažeidimų valdymo
tvarkos aprašo
1 priedas
(Asmens duomenų saugumo pažeidimų registravimo žurnalo forma)
Asmens duomenų saugumo pažeidimų registravimo žurnalas
Eil. Nr. |
Asmens duomenų saugumo pažeidimas[1]
|
Asmens duomenų saugumo pažeidimo poveikis[2] |
Taisomieji veiksmai[3] |
Informacija, ar buvo pateiktas pranešimas Valstybinei duomenų inspekcijai ir duomenų subjektams[4] |
Priežastys ir argumentai, kodėl pranešimas Valstybinei duomenų inspekcijai ir (ar) duomenų subjektams nebuvo pateiktas[5] |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
______________
Lietuvos Respublikos švietimo, mokslo
ir sporto ministerijos asmens duomenų
saugumo pažeidimų valdymo
tvarkos aprašo
2 priedas
(Pranešimo apie asmens duomenų saugumo pažeidimą forma)
Valstybinei duomenų apsaugos inspekcijai
A. Juozapavičiaus g. 6, 09310 Vilnius
Tel.: (8 5) 271 2804, 279 1445
Faks. (8 5) 261 9494
El. paštas [email protected]
arba
Duomenų subjekto vardas ir pavardė
Ryšio duomenys
PRANEŠIMAS APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ
_______
(data)
________
(vieta)
1. Duomenų valdytojas:
Lietuvos Respublikos švietimo, mokslo ir sporto ministerija
Kodas 188603091
A. Volano g. 2, 01516 Vilnius
Tel. (8 5) 219 1225/219 1152
El. paštas [email protected]
_______________________________________________________________________________________
3. Asmens duomenų saugumo pažeidimas:
3.1. asmens duomenų saugumo pažeidimo data, laikas ir vieta:
________________________________________________________________________________
________________________________________________________________________________
3.2. asmens duomenų saugumo pažeidimo nustatymo data ir laikas:
________________________________________________________________________________
________________________________________________________________________________
3.3. asmens duomenų saugumo pažeidimo aplinkybės1:
________________________________________________________________________________
________________________________________________________________________________
3.4. apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius ir kategorijos:
________________________________________________________________________________
________________________________________________________________________________
3.5. apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius ir kategorijos:
________________________________________________________________________________
________________________________________________________________________________
3.6. tikėtinos asmens duomenų saugumo pažeidimo pasekmės:
________________________________________________________________________________
________________________________________________________________________________
duomenų saugumo pažeidimas arba kad būtų sumažintos neigiamos pasekmės:
________________________________________________________________________________
________________________________________________________________________________
5. Informacija apie tai, ar apie asmens duomenų saugumo pažeidimą informuoti duomenų subjektai (jeigu duomenų subjektai neinformuojami, nurodomos priežastys):
________________________________________________________________________________
________________________________________________________________________________
6. Pasiūlymai, kokių priemonių gali imtis duomenų subjektai, siekdami sumažinti ar išvengti asmens duomenų saugumo pažeidimo neigiamų padarinių[6] (pildoma, jeigu įmanoma pateikti efektyvių pasiūlymų duomenų subjektui):
________________________________________________________________________________
________________________________________________________________________________
7. Vėlavimo pateikti informaciją Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) priežastys[7] (pildoma, jeigu pranešimas teikiamas Inspekcijai praėjus daugiau kaip 72 val. po pažeidimo paaiškėjimo):
________________________________________________________________________________
________________________________________________________________________________
8. Ar su asmens duomenų saugumo pažeidimu susijusi informacija bus teikiama etapais[8] (pildoma, jeigu pradiniame pranešime neįmanoma pateikti visos ir išsamios su asmens duomenų saugumo pažeidimu susijusios informacijos, ir informacija Inspekcijai numatoma teikti etapais):
________________________________________________________________________________
________________________________________________________________________________
(pareigos) (vardas ir pavardė)
PATVIRTINTA
Lietuvos Respublikos švietimo,
mokslo ir sporto ministro
2019 m. liepos 1 d.
įsakymu Nr. V-768
LIETUVOS RESPUBLIKOS ŠVIETIMO, MOKSLO IR SPORTO MINISTERIJOS POVEIKIO ASMENS DUOMENŲ APSAUGAI VERTINIMO IR KONSULTAVIMOSI SU ASMENS DUOMENŲ PRIEŽIŪROS INSTITUCIJA TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos poveikio asmens duomenų apsaugai vertinimo ir konsultavimosi su asmens duomenų priežiūros institucija tvarkos aprašas (toliau – Aprašas) parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (OL 2016 L 119, p. 1) (toliau – Reglamentas) nustatytais reikalavimais.
2. Aprašas reikalingas įvertinti ir valdyti pavojų, kylantį dėl asmens duomenų tvarkymo fizinių asmenų laisvėms ir teisėms ir laiku imtis tinkamų priemonių.
3. Aprašas nustato poveikio asmens duomenų apsaugai vertinimo metodiką ir konsultavimosi su asmens duomenų priežiūros institucija tvarką.
4. Aprašas yra privalomas visiems Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos (toliau – Ministerija) valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis (toliau – darbuotojai).
5. Apraše vartojami sutrumpinimai ir sąvokos:
5.3. Asmens duomenų priežiūros institucija (toliau – Priežiūros institucija) – Valstybinė duomenų apsaugos inspekcija.
5.4. Konfidencialumas – informacijos savybė – su informacija gali susipažinti tik tą daryti įgalioti asmenys.
5.6. Nepriimtina rizika – rizika, kuri yra nepriimtina Ministerijai, atsižvelgiant į grėsmės tikimybės laipsnį ir jos sukeltų padarinių dydį.
5.8. Pažeidžiamumas – informacinio ištekliaus ar jo dalies savybė, nurodanti labiausiai pažeidžiamą (silpnąją) vietą, dėl kurios gali kilti viena ar daugiau grėsmių šiam ištekliui.
II SKYRIUS
ATSAKOMYBĖ
6. DAP ar kitas vadovybės paskirtas atlikti PDAV asmuo:
6.2. nustato asmens duomenų tvarkymo operacijas, numato informacijos pažeidžiamumus ir galimas grėsmes;
7. Už PDAV kiekvienu konkrečiu atveju atsakingas padalinio, kuris tvarko asmens duomenis, vadovas. PDAV gali būti pasitelkti ir išorės konsultantai, specialistai, ekspertai (teisininkai, IT specialistai, saugumo ekspertai, ir pan.), jeigu Ministerijos žmogiškųjų, laiko išteklių nepakanka tinkamam PDAV atlikti.
III SKYRIUS
PDAV METODIKA
8. Tais atvejais, kai, atsižvelgiant į asmens duomenų ir duomenų subjektų kategoriją, duomenų tvarkymo pobūdį, aprėptį, kontekstą, tikslus, duomenų subjektų teisėms bei laisvėms gali kilti didelis pavojus, Ministerija, prieš pradėdama tvarkyti asmens duomenis atlieka numatytų duomenų tvarkymo veiksmų PDAV.
9. PDAV atliekamas, kai:
9.1. duomenų tvarkymo veiksmai, kuriems PDAV yra privalomas, patenka į Priežiūros institucijos sudarytą duomenų tvarkymo veiksmų sąrašą;
9.2. duomenų tvarkymo veiksmai, kuriems PDAV reikalavimas yra privalomas, nepatenka į Priežiūros institucijos sudarytą asmens duomenų tvarkymo veiksmų sąrašą, tačiau Ministerija įvertina, kad duomenų tvarkymo veiksmas, atsižvelgiant į Aprašo 10 punkte įtvirtintus kriterijus, duomenų subjektų teisėms bei laisvėms gali kelti didelį pavojų;
9.3. pasikeitus duomenų tvarkymo veiksmų įgyvendinimo sąlygoms ir kai tai gali lemti didelį pavojų duomenų subjektų teisėms ir laisvėms;
10. Ar asmens duomenų tvarkymo veiksmai gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms, sprendžiama kiekvieną kartą atsižvelgiant į šiuos kriterijus:
10.2. neskelbtini asmens duomenys arba labai asmeniški duomenys, pavyzdžiui, specialių kategorijų asmens duomenys;
10.3. didelio masto asmens duomenų tvarkymas (susijusių duomenų subjektų skaičius, tvarkomų duomenų kiekis, tvarkomų duomenų įvairovė, duomenų tvarkymo veiklos trukmė ir pastovumas);
10.5. su pažeidžiamais duomenų subjektais susiję asmens duomenys (pavyzdžiui, vaikų duomenys, darbuotojai, pažeidžiamesni subjektai, kuriems reikalinga speciali apsauga, segmentai, kai galima nustatyti nelygiaverčius duomenų subjekto ir duomenų valdytojo santykius);
11. Kuo daugiau Aprašo 10 punkte įtvirtintų kriterijų atitinka konkrečius duomenų tvarkymo veiksmus, tuo didesnė tikimybė, kad šie veiksmai gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms. Dėl poveikio duomenų apsaugai atlikimo būtinybės visais atvejais sprendžia DAP.
12. Jeigu duomenų tvarkymo veiksmai atitinka du ir daugiau Aprašo 10 punkte išdėstytų kriterijų, tačiau padaroma išvada, kad toks duomenų tvarkymo veiksmas negali kelti didelio pavojaus duomenų subjektų teisėms ir laisvėms, toks sprendimas ir jo argumentai išdėstomi raštu ir pateikiami Ministerijos kancleriui arba jo paskirtam asmeniui.
14. Asmuo ar asmenys, atlikę PDAV, užpildo Poveikio asmens duomenų apsaugai vertinimo ataskaitą (Aprašo priedas). Panašių didelius pavojus keliančių duomenų tvarkymo veiksmų sekai išnagrinėti galima atlikti vieną PDAV.
15. Jeigu, atsižvelgiant į numatomą asmens duomenų tvarkymo veiksmo pobūdį, yra įmanoma, Ministerija siekia išsiaiškinti duomenų subjektų ar jų atstovų nuomonę apie numatytą asmens duomenų tvarkymą, nepažeisdama komercinių ar viešųjų interesų apsaugos arba asmens duomenų tvarkymo veiksmų saugos reikalavimų.
16. Ministerija atlieka nuolatinę peržiūrą, kad įvertintų, ar asmens duomenys tvarkomi laikantis PDAV, ypač tais atvejais, kai pakinta tvarkymo veiksmų keliamas pavojus duomenų subjektų teisėms ir laisvėms.
17. PDAV kriterijai:
Balas |
Lygis |
Poveikis |
1 |
Nereikšmingas |
Asmenys nebus paveikti arba patirs nedidelių nepatogumų, kuriuos įveiks be didelių problemų (pvz.: laikas, praleistas iš naujo suvedant informaciją, susierzinimas ir pan.) Asmens duomenys viešai prieinami (telefonų kataloguose, adresų knygose ir pan.). |
2 |
Apibrėžtas |
Asmenys arba nebus paveikti arba gali patirti nepatogumų, kuriuos galima įveikti be didelių problemų (laikas, praleistas iš naujo suvedant informaciją, susierzinimas ir pan.). Asmens duomenys, prie kurių reikalinga teisėta prieiga. |
3 |
Žymus |
Asmenys gali susidurti su reikšmingomis pasekmėmis, kurias įmanoma įveikti net susidūrus su rimtais sunkumais (neteisėtas lėšų panaudojimas, bankų nepageidautinų klientų sąrašas, žala nuosavybei, darbo praradimas, teismo šaukimas, blogėjanti sveikatos būklė ir pan.). Asmens duomenys, kurių neteisėtas atskleidimas gali turėti įtakos asmenų reputacijai (pvz.: informacija apie pajamas, socialinės išmokos, turto mokestis ar nuobaudos). |
4 |
Maksimalus |
Asmenys gali susidurti su reikšmingomis ar net negrįžtamomis pasekmėmis, kurių negalėtų įveikti (finansinės pasekmės, tokios kaip netinkamos skolos ar nesugebėjimas dirbti, ilgalaikiai psichologiniai ar fiziniai negalavimai, mirtis ir pan.). Asmens duomenys, kurių neteisėtas atskleidimas, pakeitimas, praradimas arba sunaikinimas gali paveikti asmens egzistavimą ar sveikatą, laisvę ar gyvenimą (pvz.: informacija apie įsipareigojimus institucijai, teistumas, sveikatos duomenys, netinkamos skolos ar informacija apie tai, kad asmeniui kyla pavojus nukentėti baudžiamojoje byloje). |
18. Grėsmių tikimybės vertinimo kriterijai:
Balas |
Lygis |
Tikimybė |
1 |
Nereikšmingas |
Rizikos grėsmė mažai tikėtina (pvz.: popierinių dokumentų, saugomų patalpoje, apsaugotoje kortelių skaitytuvu ir prieigos kodu, vagystė). |
2 |
Apibrėžtas |
Pasirinktiems rizikos šaltiniams sunku nustatyti grėsmę panaudojant pagalbinių išteklių savybes. |
3 |
Žymus |
Pasirinktų rizikos šaltinių atranka gali būti įvykdyta panaudojant pagalbinių išteklių savybes. |
4 |
Maksimalus |
Pasirinktiems rizikos šaltiniams labai lengva nustatyti grėsmę panaudojant pagalbinių išteklių savybes. |
19. Rizika vertinama pagal asmens duomenų saugos pažeidimo tikimybę bei įtaką asmenų privatumui. Rizikos lygis nustatomas pagal toliau pateiktą rizikos matricą. Rekomenduojamas priimtinos rizikos lygis yra 5 balai ir mažesnis.
|
Poveikio lygis |
|||
Tikimybės lygis |
1. Nereikšmingas |
2. Apibrėžtas |
3. Žymus |
4. Maksimalus |
1 Nereikšmingas |
1 |
2 |
3 |
4 |
2. Apibrėžtas |
2 |
3 |
4 |
5 |
3. Žymus |
3 |
4 |
5 |
6 |
4. Maksimalus |
4 |
5 |
6 |
7 |
IV SKYRIUS
KONSULTAVIMOSI SU PRIEŽIŪROS INSTITUCIJA TVARKA
20. Ministerija prieš pradėdama asmens duomenų tvarkymo veiksmus, kurie gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms, privalo konsultuotis su Priežiūros institucija šiais atvejais:
20.1. jeigu poveikio duomenų apsaugai vertinimo ataskaitoje yra nustatyta, kad duomenų tvarkymo veiksmai gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms ir numatytos priemonės nesumažina šios rizikos iki priimtino lygio;
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
22. Kai asmens duomenų tvarkymo apimtis, pobūdis, kontekstas ir tikslas yra labai panašūs į duomenų, kurių PDAV buvo atliktas, galima iš naujo nevertinti poveikio duomenų apsaugai, o pasinaudoti dėl panašaus duomenų tvarkymo atliktu PDAV.
Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos poveikio asmens duomenų apsaugai vertinimo ir konsultavimosi su asmens duomenų priežiūros institucija tvarkos aprašo
priedas
(Poveikio asmens duomenų apsaugai vertinimo ataskaitos forma)
POVEIKIO ASMENS DUOMENŲ APSAUGAI VERTINIMO ATASKAITA
__________________
(vieta)
__________________
(data)
I. Vertinamas duomenų tvarkymo veiksmas ir jo išsamus aprašymas:
________________________________________________________________________________
________________________________________________________________________________
II. Numatomi tvarkyti asmens duomenys, duomenų subjektų kategorijų aprašymas:
________________________________________________________________________________
________________________________________________________________________________
III. Asmens duomenų tvarkymo tikslai, teisinis pagrindas, duomenų tvarkymo veiksmų reikalingumo ir proporcingumo siekiamiems tikslams vertinimas:
________________________________________________________________________________
________________________________________________________________________________
IV. Kriterijų, rodančių galimą didelį pavojų duomenų subjektų teisės ir laisvėms, vertinimas:
Eil. Nr. |
Kriterijus |
Egzistuoja / neegzistuoja |
1. |
Naudojamas asmens duomenų ar duomenų subjektų vertinimas ir balų skyrimas, įskaitant profiliavimą ir prognozavimą |
|
2. |
Automatizuotas sprendimų, sukeliančių teisinį arba panašų rimtą poveikį, priėmimas |
|
3. |
Sisteminga asmens duomenų ar duomenų subjektų stebėsena |
|
4. |
Neskelbtini duomenys arba labai asmeniški duomenys, pvz., specialių kategorijų asmens duomenys |
|
5. |
Didelio masto duomenų tvarkymas |
|
6. |
Duomenų rinkinių siejimas ir derinimas |
|
7. |
Su pažeidžiamais duomenų subjektais susiję duomenys, pvz., vaikų duomenys, darbuotojai, pažeidžiamesni subjektai, kuriems reikalinga speciali apsauga, segmentai, kai galima nustatyti nelygiaverčius duomenų subjekto ir duomenų valdytojo santykius |
|
8. |
Naujų technologijų ar organizacinių sprendimų būdų taikymas |
|
9. |
Dėl asmens duomenų tvarkymo duomenų subjektams užkertamas kelias naudotis savo teisėmis, paslaugomis arba sudaryti sutartis |
|
10. |
Kitos aplinkybės, rodančios galimą didelį pavojų subjektų teisėms ir laisvėms |
|
V. Pavojų, grėsmių, kylančių arba galinčių kilti duomenų subjektų teisėms ir laisvėms, įvardijimas ir vertinimas (kilmė, pobūdis, specifika, rimtumas):
________________________________________________________________________________
________________________________________________________________________________
VI. Duomenų tvarkymo operacijos atitikties Reglamento ir kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą, vertinimas:
________________________________________________________________________________
________________________________________________________________________________
VII. Pavojams, grėsmėms duomenų subjektų teisėms ir laisvėms (V dalis) bei galimam neatitikimui Reglamentui ir kitiems teisės aktams, reglamentuojantiems asmens duomenų apsaugą (VI dalis), pašalinti numatytos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir pagrindžiama, kad bus laikomasi minėto Reglamento ir kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą:
________________________________________________________________________________
________________________________________________________________________________
VIII. Duomenų subjektų ar jų atstovų nuomonė apie numatomą asmens duomenų tvarkymą, jeigu tokia nuomonė yra gauta, argumentai ir motyvai, jeigu nusprendžiama neatsižvelgti į duomenų subjektų ar jų atstovų nuomonę, arba priežastys, dėl kurių nesiekiama išsiaiškinti duomenų subjektų ar jų atstovų nuomonės:
________________________________________________________________________________
________________________________________________________________________________
IX. Asmens duomenų apsaugos pareigūno nuomonė ir konsultacijos dėl poveikio duomenų apsaugai vertinimo:
________________________________________________________________________________
________________________________________________________________________________
X. Argumentai, kuriais remiantis nebuvo vadovaujamasi asmens duomenų apsaugos pareigūno nuomone, ir konsultacija (jeigu nebuvo vadovaujamasi):
________________________________________________________________________________
________________________________________________________________________________
XI. Pasitelktų konsultantų, specialistų, ekspertų nuomonė ir išvados (jeigu konsultantai, specialistai, ekspertai buvo pasitelkti):
________________________________________________________________________________
________________________________________________________________________________
XII. Poveikio duomenų apsaugai vertinimo išvados (ar duomenų tvarkymo operacijos kelia riziką dėl didelio pavojaus duomenų subjektų teisėms ir laisvėms ar neatitikties Reglamento ar kitų teisės aktų nuostatoms, ar numatytos priemonės (VII dalis) sumažina riziką iki priimtino lygio, ar yra pagrindas konsultuotis su asmens duomenų priežiūros institucija):
________________________________________________________________________________
________________________________________________________________________________
Poveikio asmens duomenų apsaugai vertinimą atlikę asmenys, jų parašai:
_________________________________________ __________________
(vardas ir pavardė, pareigos) (parašas)
_________________________________________ __________________
(vardas ir pavardė, pareigos) (parašas)
_________________________________________ __________________
(vardas ir pavardė, pareigos) (parašas)
[1] Šioje skiltyje pateikiama: 1) laikas ir data, kada pažeidimas įvyko, kada pažeidimas buvo užfiksuotas, kada apie pažeidimą sužinojo Ministerija, 2) pažeidimo faktinės aplinkybės, 3) pažeidimo pobūdis, 4) pažeidimo priežastys.
[2] Šioje skiltyje pateikiama: 1) asmens duomenų ir asmens duomenų subjektų kategorija, susijusi su pažeidimu, 2) asmens duomenų, susijusių su pažeidimu, apimtis, 3) realus ar galimas pažeidimo poveikis ir jo padariniai duomenų subjektų teisėms ir laisvėms (fiziniai, materialiniai ir nematerialiniai padariniai).
[3] Šioje skiltyje pateikiama: 1) priemonės ir veiksmai, kurių buvo imtasi siekiant ištaisyti asmens duomenų pažeidimą ir jo padarinius, 2) priemonės ir veiksmai, kurių buvo imtasi siekiant užkirsti kelią ar sumažinti pažeidimo poveikį duomenų subjektams, 3) priemonėmis ir veiksmais pasiekti rezultatai.
[4] Šioje skiltyje pateikiama: 1) ar buvo teiktas pranešimas Valstybinei duomenų inspekcijai ir duomenų subjektams, 2) pranešimo data, (3) pranešimo pateikimo būdas.
[5] Ši skiltis pildoma tuomet, jeigu Valstybinei duomenų inspekcijai ir (ar) duomenų subjektui nebuvo teiktas pranešimas dėl asmens duomenų saugumo pažeidimo. Šioje skiltyje nurodomos priežastys, argumentai, nuorodos į dokumentus ir tyrimo rezultatus, kurie pagrindžia, kad: 1) asmens duomenų saugumo pažeidimas nekelia pavojaus duomenų subjektų teisėms ir laisvėms – kai pranešimas nėra teikiamas nei Valstybinei duomenų inspekcijai, nei duomenų subjektams, 2) asmens duomenų saugumo pažeidimas negali sukelti didelio pavojaus duomenų subjektų teisėms ir laisvėms – kai pranešimas yra teikiamas Inspekcijai, bet nėra teikiamas duomenų subjektams.
1Nurodoma, ar tai asmens duomenų konfidencialumo praradimas (neautorizuota prieiga ar atskleidimas), asmens duomenų integralumo praradimas (neautorizuotas asmens duomenų pakeitimas), asmens duomenų valdymo kontrolės praradimas (asmens duomenų praradimas, sunaikinimas).
2Pildoma, jeigu pranešimas yra teikiamas duomenų subjektui.