LIETUVOS RESPUBLIKOS ŠVIETIMO, MOKSLO IR SPORTO MINISTRAS

 

 

 

ĮSAKYMAS

DĖL DOKUMENTŲ, REGLAMENTUOJANČIŲ DUOMENŲ SUBJEKTŲ TEISES, PATVIRTINIMO

 

2019 m. liepos 1 d. Nr. V-768

Vilnius

 

 

Siekdamas tinkamai įgyvendinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) numatytas duomenų subjektų teises,

t v i r t i n u pridedamus:

1. Duomenų subjekto teisių įgyvendinimo Lietuvos Respublikos švietimo, mokslo ir sporto ministerijoje taisykles;

2. Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos asmens duomenų saugumo pažeidimų valdymo tvarkos aprašą;

3. Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos poveikio asmens duomenų apsaugai vertinimo ir konsultavimosi su asmens duomenų priežiūros institucija tvarkos aprašą.

 

 

 

Švietimo, mokslo ir sporto ministras                                                        Algirdas Monkevičius

 

PATVIRTINTA

Lietuvos Respublikos švietimo, mokslo ir sporto ministro

2019 m. liepos 1 d.

įsakymu Nr. V-768

 

DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO LIETUVOS RESPUBLIKOS ŠVIETIMO, MOKSLO IR SPORTO MINISTERIJOJE TAISYKLĖS

 

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Duomenų subjekto teisių įgyvendinimo Lietuvos Respublikos švietimo, mokslo ir sporto ministerijoje taisyklių (toliau – Taisyklės) tikslas – nustatyti duomenų subjektų teisių įgyvendinimo Lietuvos Respublikos švietimo, mokslo ir sporto ministerijoje (toliau – Ministerija) tvarką siekiant įgyvendinti atskaitomybės principą.

2. Įgyvendinant duomenų subjekto teises vadovaujamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Reglamentas (ES) 2016/679) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.

3. Taisyklėse vartojamos sąvokos atitinka Reglamente (ES) 2016/679 vartojamas sąvokas.

4. Taisyklės parengtos vadovaujantis Reglamentu (ES) 2016/679 ir atsižvelgiant į Europos Komisijos 2018 m. sausio 24 d. komunikatą Europos Parlamentui ir Tarybai „Didesnė apsauga, naujos galimybės. Komisijos gairės dėl tiesioginio Bendrojo duomenų apsaugos reglamento taikymo nuo 2018 m. gegužės 25 d.“ ir į Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 9 d. įsakymą Nr. 1T-63 (1.12.E) „Dėl Duomenų subjekto teisių įgyvendinimo pavyzdinių taisyklių patvirtinimo“.

5. Duomenų subjektų asmens duomenis tvarko duomenų valdytoja – Ministerija, juridinio asmens kodas 188603091, buveinės adresas A. Volano g. 2, 01516 Vilnius. Asmens duomenys Ministerijoje tvarkomi neautomatiniu būdu susistemintose rinkmenose ir (arba) automatiniu būdu.

6. Duomenų subjektų, nurodytų Taisyklių 7.10 papunktyje, teises įgyvendina Ministerijos įgalioti duomenų tvarkytojai.

7. Ministerijoje tvarkomi šių duomenų subjektų grupių asmens duomenys šiais asmens duomenų tvarkymo tikslais:

7.1. Ministerijos esamų ir buvusių valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis (toliau – valstybės tarnautojai ir darbuotojai), asmens duomenys (vardas, pavardė, asmens kodas, asmens socialinio draudimo numeris, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, gyvenimo ir veiklos aprašymas, šeiminė padėtis, pareigos, duomenys apie priėmimą (perkėlimą) į pareigas, atleidimą iš pareigų, išsilavinimą ir kvalifikaciją, mokymus, atostogas, darbo užmokestį, išeitines išmokas, kompensacijas, pašalpas, informacija apie dirbtą darbo laiką, skatinimus ir nuobaudas, atliktus darbus ir užduotis, duomenys apie valstybės tarnautojo tarnybinės veiklos vertinimą, viešų ir privačių interesų deklaravimo duomenys, Lietuvos Respublikos piliečio paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, specialiųjų kategorijų asmens duomenys, susiję su sveikata, teistumu, dalyvavimu uždraustos organizacijos veikloje, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Ministeriją įpareigoja įstatymai ir kiti teisės aktai), tvarkomi vidaus administravimo (personalo valdymo, dokumentų tvarkymo, materialinių ir finansinių išteklių naudojimo) tikslu;

7.2. pretendentų į Ministerijos valstybės tarnautojus ir darbuotojus asmens duomenys (vardas, pavardė, asmens kodas, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, pareigos, į kurias pretenduojama, gyvenimo ir veiklos aprašymas, duomenys apie išsilavinimą ir kvalifikaciją, specialiųjų kategorijų asmens duomenys, susiję su teistumu, dalyvavimu uždraustos organizacijos veikloje, pokalbio su pretendentu į valstybės tarnautojo pareigas skaitmeninis garso įrašas, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Ministeriją įpareigoja įstatymai ir kiti teisės aktai) tvarkomi vidaus administravimo (personalo valdymo, dokumentų tvarkymo) tikslu;

7.3. asmenų, pateikusių Ministerijai skundą, prašymą ar pranešimą, asmens duomenys (vardas, pavardė, asmens kodas, adresas, telefono ryšio ir (ar) telefakso numeris, elektroninio pašto adresas, parašas, skundo, prašymo ar pranešimo data ir numeris (registravimo Ministerijoje data ir numeris), skunde, prašyme ar pranešime nurodyta informacija (įskaitant ir specialiųjų kategorijų asmens duomenis), skundo, prašymo ar pranešimo nagrinėjimo rezultatas, Ministerijos atsakymo data ir numeris, skundo, prašymo ar pranešimo nagrinėjimo metu gauta informacija) tvarkomi skundų, prašymų ar pranešimų nagrinėjimo, vidaus administravimo (dokumentų tvarkymo), asmens tapatybės nustatymo tikslais;

7.4. tiekėjų asmens duomenys (potencialių tiekėjų asmens duomenys: gyvenimo aprašymuose pateikta informacija (vardas, pavardė, gimimo data, telefono ryšio numeris, el. paštas, nuotrauka, išsilavinimo ir mokymų duomenys, projektų vykdymo patirtis, ankstesnių darboviečių duomenys), diplomų, sertifikatų kopijos, santuokos liudijimų kopijos, jeigu dalyvauja kaip fizinis asmuo – asmens kodas, informacija apie teistumą (Lietuvos Respublikos viešųjų pirkimų įstatymo nustatytais atvejais), mokumą; įmonės vadovo ir buhalterio duomenys apie teistumą (Viešųjų pirkimų įstatymo nustatytais atvejais) ir gimimo datos; esamų tiekėjų asmens duomenys – viešųjų pirkimų sutartyje tiekėjo, jo atstovo ir kitų, už pirkimo sutarties vykdymą atsakingų asmenų, asmens duomenys: vardas (vardai), pavardė (pavardės), gimimo data, asmens kodas (jeigu asmens kodas suteiktas Lietuvos Respublikos gyventojų registro įstatymo nustatyta tvarka), užsienio valstybės suteiktas asmens kodas (kai fizinis asmuo yra asmuo be pilietybės arba užsienio valstybės pilietis ir tokį kodą turi); individualios veiklos pažymėjimo arba verslo liudijimo numeris; gyvenamosios (veiklos) vietos adresas; telefono ryšio numeris; elektroninio pašto adresas; banko ir atsiskaitomosios sąskaitos duomenys; pagal sutartį gaunamos pajamos; išsilavinimo ir turimos kvalifikacijos pagrindimo dokumentų (atestatų, sertifikatų, licencijų, pažymėjimų ir pan.) duomenys; taip pat kiti asmeniui būdingi ekonominio ar socialinio pobūdžio duomenys, kuriuos asmuo pateikė dalyvaudamas viešajame pirkime) tvarkomi siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;

7.5. paslaugų gavėjų duomenys (asmenų, pateikusių prašymus dėl pažymų ar archyvinių dokumentų kopijų apie buvusį darbo užmokestį ir (ar) darbo stažą, asmens duomenys (vardas, pavardė, gyvenamoji vieta, kontaktinio telefono ryšio numeris, elektroninio pašto adresas, pavardės pasikeitimai, gimimo data, laikotarpis, už kurį prašoma pažymos, informacija apie darbovietes, asmens tapatybės patvirtinimo dokumento kopija, darbo knygelės (socialinio draudimo pažymėjimo) kopija); melioracijos įmonių ir specialistų atestavimo duomenys (asmens tapatybės patvirtinimo dokumento kopija, gyvenimo aprašymas, diplomo kopija, kvalifikacijos atestato kopija); sertifikuojamų tradicinių amatininkų (fizinių asmenų) asmens duomenys (vardas, pavardė, gyvenamoji vietovė, telefono ryšio numeris, elektroninio pašto adresas, informacija apie fizinio asmens vykdomą veiklą (tautinio paveldo produkto sertifikavimo data, sertifikato Nr., sertifikuoto tautinio paveldo produkto pavadinimas, sritis, rūšis, kategorija (tvarkomi Tautinio paveldo informacinėje sistemoje)), tvarkomi siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, vidaus administravimo (dokumentų tvarkymo), asmens tapatybės nustatymo, sertifikavimo tikslais;

7.6. rentų buvusiems sportininkams gavėjų asmens duomenys (vardas, pavardė, asmens kodas, adresas, telefono ryšio numeris, fakso numeriai, el. pašto adresas, susiję su rentos skyrimu dokumentai) tvarkomi siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, vidaus administravimo (dokumentų tvarkymo), asmens tapatybės nustatymo, rentos skyrimo tikslais;

7.7. Ministerijos informacinių ir komunikacinių technologijų naudojimo duomenys (praėjimo pro vartelius kontrolės įrašai, prieigos teisės, prieigos įrašai, tarnybinio el. pašto naudojimas, darbo užduočių ir operacijų žurnalai), siekiant apsaugoti teisėtus duomenų valdytojo interesus užtikrinant informacijos ir nuosavybės apsaugą;

7.8. asmenų, Ministerijai pateikusių prašymą, skundą, paklausimą, pranešimą ar kitą kreipimąsi, taip pat ir anoniminį (toliau – pranešimas), asmens duomenys (vardas, pavardė, telefono ryšio numeris, elektroninio pašto adresas), valstybės tarnautojų ir darbuotojų, dėl kurių galimai neteisėtų veiksmų Ministerijai pateiktas pranešimas, asmens duomenys (vardas, pavardė, pareigos), pranešimo duomenys (data, laikas, gavimo būdas, pranešime nurodyta informacija (įskaitant ir specialiųjų kategorijų asmens duomenis), duomenys apie pranešimo nagrinėjimą ar perdavimą (sprendimo dėl pranešimo nagrinėjimo ar perdavimo data, turinys, sprendimą priėmęs asmuo, sprendimo nagrinėti vykdytojas ir vykdymo terminai), pranešimo nagrinėjimo metu gauta informacija, duomenys apie pranešimo nagrinėjimo rezultatus (pranešimo apie nagrinėjimo rezultatus data ir turinys) tvarkomi korupcijos prevencijos ir išaiškinimo tikslais siekiant užkirsti kelią Ministerijos, Ministerijai pavaldžių įstaigų ir viešųjų įstaigų, kuriose Ministerija įgyvendina dalininko ar savininko teises ir pareigas, valstybės tarnautojų ir darbuotojų, galimai neteisėtiems veikimams, neveikimui, netinkamam pareigų vykdymui, piktnaudžiavimui suteiktais įgaliojimais ir veiksmams, susijusiems su galima korupcija, išaiškinti ir ištirti;

7.9. duomenų subjektų, patenkančių į Ministerijos vykdomą vaizdo stebėjimo lauką, vaizdo duomenys (duomenų subjektų ir jų valdomų transporto priemonių), bei asmenų, kurie lankosi Ministerijoje, asmens duomenys (vardas, pavardė, apsilankymo data ir laikas), vidaus administravimo (asmenų aptarnavimo), visuomenės saugumo, viešosios tvarkos, teritorijos ir nuosavybės apsaugos užtikrinimo tikslu;

7.10. Ministerijos valdomuose informaciniuose ištekliuose esantys duomenų subjektų asmens duomenys, kurių tvarkymo tikslas ir baigtinis tvarkomų asmens duomenų sąrašas, duomenų teikimo ir naudojimo tvarka numatyta atitinkamo informacinio ištekliaus nuostatuose ir specifikacijoje.

 

II SKYRIUS

TEISĖ GAUTI INFORMACIJĄ APIE ASMENS DUOMENŲ TVARKYMĄ

 

8. Informacija apie Ministerijoje atliekamą duomenų subjektų asmens duomenų tvarkymą, nurodyta Reglamento (ES) 2016/679 13 ir 14 straipsniuose, duomenų subjektui pateikiama žodžiu, raštu arba elektroninių ryšių priemonėmis (duomenų subjekto kreipimosi į Ministeriją būdu), taip pat paskelbta Ministerijos interneto svetainėje ir Taisyklių 6 punkte.

9. Informacija apie duomenų subjektų asmens duomenų tvarkymą pateikiama asmens duomenų gavimo metu.

10. Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto, apie šio duomenų subjekto asmens duomenų tvarkymą informuojama:

10.1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;

10.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu arba jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.

 

III SKYRIUS

TEISĖ SUSIPAŽINTI SU ASMENS DUOMENIMIS

 

11. Ministerija, esant duomenų subjekto prašymui įgyvendinti teisę susipažinti su savo asmens duomenimis, turi pateikti:

11.1. informaciją, ar duomenų subjekto asmens duomenys tvarkomi;

11.2. su asmens duomenų tvarkymu susijusią informaciją, numatytą Reglamento (ES) 2016/679 15 straipsnio 1 ir 2 dalyse, jeigu duomenų subjekto asmens duomenys tvarkomi;

11.3. tvarkomų asmens duomenų kopiją.

12. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta tvarkomų asmens duomenų užpildytos formos kopija taip pat ir kita forma, nei Ministerija teikia, tačiau už tai gali būti imamas mokestis pagal Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymą.

 

IV SKYRIUS

TEISĖ REIKALAUTI IŠTAISYTI ASMENS DUOMENIS

 

13. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 16 straipsniu, turi teisę reikalauti, kad bet kokie jo tvarkomi netikslūs asmens duomenys būtų ištaisyti, o neišsamūs papildyti.

14. Siekdama įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra tikslūs ar išsamūs, Ministerija gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus.

15. Jeigu duomenų subjekto asmens duomenys (ištaisyti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Ministerija šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar tam prireiktų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

 

V SKYRIUS

TEISĖ REIKALAUTI IŠTRINTI ASMENS DUOMENIS („TEISĖ BŪTI PAMIRŠTAM“)

 

16. Duomenų subjekto teisė ištrinti jo asmens duomenis („teisė būti pamirštam“) įgyvendinama Reglamento (ES) 2016/679 17 straipsnyje numatytais atvejais.

17. Duomenų subjekto teisė reikalauti ištrinti asmens duomenis gali būti neįgyvendinta Reglamento (ES) 2016/679 17 straipsnio 3 dalyje numatytais atvejais.

18. Jeigu duomenų subjekto asmens duomenys (ištrinti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Ministerija šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar tam prireiktų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

 

VI SKYRIUS

TEISĖ APRIBOTI ASMENS DUOMENŲ TVARKYMĄ

 

19. Reglamento (ES) 2016/679 18 straipsnio 1 dalyje numatytais atvejais Ministerija privalo įgyvendinti duomenų subjekto teisę apriboti jo asmens duomenų tvarkymą.

20. Asmens duomenys, kurių tvarkymas apribotas, yra saugomi, o prieš tokio apribojimo panaikinimą duomenų subjektas raštu, žodžiu arba elektroninių ryšių priemonėmis yra informuojamas.

21. Jeigu duomenų subjekto asmens duomenys (kurių tvarkymas apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Ministerija šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar tam prireiktų, pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

 

VII SKYRIUS

TEISĖ Į ASMENS DUOMENŲ PERKELIAMUMĄ

 

22. Ministerija įgyvendina duomenų subjekto teisę į duomenų perkeliamumą Reglamento (ES) 2016/679 20 straipsnyje numatytomis sąlygomis.

23. Duomenų subjektas teisės į duomenų perkeliamumą neturi tų asmens duomenų atžvilgiu, kurie tvarkomi neautomatiniu būdu susistemintose rinkmenose, pavyzdžiui, popierinėse bylose.

24. Duomenų subjektas, kreipdamasis dėl teisės į duomenų perkeliamumą, turi nurodyti, ar pageidauja, kad jo asmens duomenys būtų persiųsti jam ar kitam duomenų valdytojui.

25. Pagal duomenų subjekto prašymą perkelti jo asmens duomenys nėra automatiškai ištrinami. Jeigu duomenų subjektas to pageidauja, turi kreiptis į duomenų valdytoją dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) įgyvendinimo.

 

VIII SKYRIUS

TEISĖ NESUTIKTI SU ASMENS DUOMENŲ TVARKYMU

 

26. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 21 straipsniu, turi teisę dėl su juo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad Ministerija tvarkytų jo asmens duomenis, išskyrus šiuos atvejus:

26.1. tvarkyti asmens duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;

26.2. tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas.

27. Apie duomenų subjekto teisę nesutikti su asmens duomenų tvarkymu duomenų subjektas aiškiai informuojamas žodžiu, raštu (tokiu būdu, kokiu duomenų subjektas kreipiasi į Ministeriją), taip pat Ministerijos interneto svetainėje.

28. Duomenų subjektui išreiškus nesutikimą dėl asmens duomenų tvarkymo, toks tvarkymas atliekamas tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių tvarkomi asmens duomenys, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus.

 

IX SKYRIUS

TEISĖ REIKALAUTI, KAD NEBŪTŲ TAIKOMAS TIK AUTOMATIZUOTU ASMENS DUOMENŲ TVARKYMU, ĮSKAITANT PROFILIAVIMĄ, GRINDŽIAMAS SPRENDIMAS

 

29. Duomenų subjektas turi teisę reikalauti, kad jo atžvilgiu nebūtų taikomas tik automatizuotu duomenų tvarkymu grindžiamas sprendimas ir toks sprendimas būtų peržiūrėtas, vadovaujantis Reglamento (ES) 2016/679 22 straipsniu.

30. Duomenų subjektui kreipusis dėl automatizuotu asmens duomenų tvarkymu grindžiamo sprendimo peržiūros, duomenų valdytojas turi atlikti išsamų visų svarbių duomenų, įskaitant ir duomenų subjekto pateiktos informacijos, vertinimą.

 

X SKYRIUS

PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES PATEIKIMAS

 

31. Kreiptis dėl duomenų subjekto teisių įgyvendinimo į Ministeriją duomenų subjektas turi teisę žodžiu arba raštu, pateikdamas prašymą asmeniškai, paštu ar elektroninėmis priemonėmis.

32. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi žodžiu ar prašymas pateiktas raštu asmeniškai, duomenų subjektas turi patvirtinti savo tapatybę pateikdamas asmens tapatybės patvirtinimo dokumentą. To nepadarius, duomenų subjekto teisės nėra įgyvendinamos. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.

33. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi raštu, pateikiant prašymą paštu, tuomet kartu su prašymu turi būti pateikta notaro patvirtinta asmens tapatybės patvirtinimo dokumento kopija. Teikiant prašymą elektroninėmis priemonėmis, prašymas turi būti pasirašytas kvalifikuotu elektroniniu parašu arba jis turi būti suformuotas elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.

34. Prašymas įgyvendinti duomenų subjekto teises turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyti duomenų subjekto vardas, pavardė, adresas ir (ar) kiti ryšio duomenys ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo.

35. Savo teises duomenų subjektas gali įgyvendinti pats arba per atstovą.

36. Asmens atstovas prašyme turi nurodyti savo vardą, pavardę, adresą ir (ar) kitus duomenis, kuriais pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę ir adresą bei pateikti atstovavimo patvirtinimo dokumentą ar jo kopiją.

37. Esant abejonių dėl duomenų subjekto tapatybės, duomenų valdytojas prašo papildomos informacijos, reikalingos ja įsitikinti.

38. Kreipiantis raštu dėl duomenų subjekto teisių įgyvendinimo, rekomenduojama pateikti Taisyklių priede nurodytos formos prašymą.

39. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis į Ministerijos duomenų apsaugos pareigūną. Siekiant užtikrinti Reglamento (ES) 2016/679 38 straipsnio 5 dalyje įtvirtintą konfidencialumą, kreipiantis į Ministerijos duomenų apsaugos pareigūną paštu ant voko užrašoma, kad korespondencija skirta Ministerijos duomenų apsaugos pareigūnui.

 

 

XI SKYRIUS

PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES NAGRINĖJIMAS

 

40. Gavus duomenų subjekto prašymą, ne vėliau kaip per 20 darbo dienų nuo prašymo gavimo jam pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Jeigu bus vėluojama pateikti informaciją, per nurodytą terminą duomenų subjektas informuojamas apie tai, nurodant vėlavimo priežastis ir apie galimybę pateikti skundą Valstybinei duomenų apsaugos inspekcijai.

41. Jeigu prašymas pateiktas nesilaikant Taisyklių X skyriuje nustatytos tvarkos ir reikalavimų, jis nenagrinėjamas, ir nedelsiant, bet ne vėliau kaip per 10 darbo dienų, duomenų subjektas apie tai informuojamas nurodant priežastis.

42. Jeigu prašymo nagrinėjimo metu nustatoma, jog duomenų subjekto teisės yra apribotos Reglamento (ES) 2016/679 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.

43. Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba.

44. Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai, išskyrus Taisyklių 11 punkte nurodytą išimtį.

45. Ministerijos veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento (ES) 2016/679 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai taip pat teismui.

46. Dėl duomenų subjekto teisių pažeidimo patyrus materialinę ar nematerialinę žalą, duomenų subjektas turi teisę į kompensaciją, dėl kurios priteisimo turi teisę kreiptis į teismą.

 

XII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

47. Asmens duomenys Ministerijoje saugomi ne ilgiau, negu to reikia dėl tikslų, kuriais jie buvo surinkti, arba tokį laikotarpį, kokį numato teisės aktai, reglamentuojantys duomenų ir dokumentų saugojimą.

48. Ministerija imasi visų įmanomų saugumo priemonių, siekdama apsaugoti asmenų duomenis nuo neteisėtos prieigos, naudojimo ar atskleidimo.

49. Rinkdama ir naudodama asmens duomenis Ministerija laikosi šių principų:

49.1. asmens duomenys tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);

49.2. asmens duomenys renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu (tikslo apribojimo principas);

49.3. asmens duomenys yra adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

49.4. asmens duomenys yra tikslūs ir prireikus atnaujinami (tikslumo principas);

49.5. asmens duomenys yra laikomi tokia forma, kad asmens tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais šie asmens duomenys yra tvarkomi (saugojimo trukmės apribojimo principas);

49.6. asmens duomenys yra tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).

50. Rinkdama ir naudodama asmens duomenis Ministerija įsipareigoja:

50.1. asmens duomenis tvarkyti tik aiškiai apibrėžtais ir teisėtais tikslais;

50.2. netvarkyti asmens duomenų kitais tikslais, nei nurodyta Taisyklėse, išskyrus teisės aktuose nustatytus atvejus;

50.3. tvarkyti asmens duomenis teisėtai, tiksliai, skaidriai, sąžiningai ir tokiu būdu, kad būtų užtikrintas tvarkomų asmens duomenų tikslumas, tapatumas, saugumas;

50.4. užtikrinti, kad nebūtų tvarkomi pertekliniai asmens duomenys;

50.5. tvarkyti asmens duomenis ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;

50.6. būti atsakinga už tai, kad būtų laikomasi Taisyklėse įtvirtintų principų, ir gebėti įrodyti, kad jų laikomasi;

50.7. vykdyti kitas, asmens duomenų apsaugą reglamentuojančiuose teisės aktuose numatytas pareigas.

______________

 

Duomenų subjekto teisių įgyvendinimo

Lietuvos Respublikos švietimo, mokslo ir sporto ministerijoje taisyklių

priedas

 

_______________________________________________________________________________

(duomenų subjekto vardas ir pavardė)

_______________________________________________________________________________

(adresas ir (ar) kiti ryšio duomenys (telefono numeris ar el. pašto adresas (nurodoma pareiškėjui pageidaujant)

________________________________________________________________________________

(atstovas ir atstovavimo pagrindas, jeigu prašymą pateikia duomenų subjekto atstovas)1

 

Lietuvos Respublikos švietimo, mokslo ir sporto ministerijai

(duomenų valdytojo pavadinimas)

 

PRAŠYMAS

ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISĘ (-ES)

 

____________

(data)

________

(vieta)

 

1. Prašau įgyvendinti šią (šias) duomenų subjekto teisę (-es):

(tinkamą langelį pažymėkite kryželiu):

 

□ Teisę gauti informaciją apie asmens duomenų tvarkymą

□ Teisę susipažinti su asmens duomenimis

□ Teisę reikalauti ištaisyti asmens duomenis

□ Teisę reikalauti ištrinti asmens duomenis („teisė būti pamirštam“)

□ Teisę apriboti asmens duomenų tvarkymą

□ Teisę į asmens duomenų perkeliamumą

□ Teisę nesutikti su asmens duomenų tvarkymu

□ Teisę reikalauti, kad nebūtų taikomas tik automatizuotu asmens duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas

 

2. Nurodykite, ko konkrečiai prašote ir pateikite kiek įmanoma daugiau informacijos, kuri leistų tinkamai įgyvendinti Jūsų teisę (-es) (pavyzdžiui, jeigu norite gauti asmens duomenų kopiją, nurodykite, kokių konkrečiai duomenų (pavyzdžiui, 2018 m. x mėn. x d. elektroninio pašto laiško kopiją, 2018 m. x mėn. x d. vaizdo įrašo (x val. x min. – x val. x min.) kopiją pageidaujate gauti; jeigu norite ištaisyti duomenis, nurodykite, kokie konkrečiai Jūsų asmens duomenys yra netikslūs; jeigu nesutinkate, kad būtų tvarkomi Jūsų asmens duomenys, tuomet nurodykite argumentus, kuriais grindžiate savo nesutikimą, nurodykite dėl kokio konkrečiai duomenų tvarkymo nesutinkate; jeigu kreipiatės dėl teisės į duomenų perkeliamumą įgyvendinimo, prašome nurodyti, kokių duomenų atžvilgiu šią teisę pageidaujate įgyvendinti, ar pageidaujate juos perkelti į savo įrenginį ar kitam duomenų valdytojui, jeigu pastarajam, tuomet nurodykite kokiam):

________________________________________________________________________________

________________________________________________________________________________

________________________________________________________________________________

________________________________________________________________________________

________________________________________________________________________________

________________________________________________________________________________

________________________________________________________________________________

________________________________________________________________________________

________________________________________________________________________________

________________________________________________________________________________

________________________________________________________________________________

________________________________________________________________________________

________________________________________________________________________________

_______________________________________________________________________________ .

 

PRIDEDAMA2:

1. _____________________________________________________________________________ .

2. _____________________________________________________________________________ .

3. _____________________________________________________________________________ .

4. _____________________________________________________________________________ .

 

_______________                                                           _____________________________

        (parašas)                                                                                  (vardas ir pavardė)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

[1]Jeigu prašymą pateikia duomenų subjekto atstovas, kartu turi būti pridedamas atstovo įgaliojimų patvirtinimo dokumentas.

2 Jeigu kreipiamasi dėl netikslių duomenų ištaisymo, pateikiamos tikslių duomenų patvirtinimo dokumentų kopijos; jeigu jos siunčiamos paštu, tuomet turi būti patvirtintos notaro ar kita teisės aktų nustatyta tvarka. Jeigu duomenų subjekto asmens duomenys, tokie kaip vardas, pavardė, yra pasikeitę, kartu pateikiamos dokumentų, kuriais patvirtinamas šių duomenų pasikeitimas, kopijos; jeigu jos siunčiamos paštu, tuomet turi būti patvirtintos notaro ar kita teisės aktų nustatyta tvarka.

 

 

JŪSŲ TEISĖS NĖRA ABSOLIUČIOS ir gali būti ribojamos Lietuvos Respublikos teisės aktuose nustatyta tvarka, jeigu siekiama užtikrinti: a) nacionalinį saugumą; b) gynybą; c) visuomenės saugumą; d) nusikalstamų veikų prevenciją, tyrimą, nustatymą ar patraukimą už jas baudžiamojon atsakomybėn arba baudžiamųjų sankcijų vykdymą, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją; e) kitus Lietuvos Respublikos svarbius tikslus, susijusius su bendrais viešaisiais interesais, visų pirma svarbiu ekonominiu ar finansiniu Lietuvos Respublikos interesu, įskaitant pinigų, biudžeto bei mokesčių klausimus, visuomenės sveikatą ir socialinę apsaugą; f) teismų nepriklausomumo ir teismo proceso apsaugą; g) reglamentuojamųjų profesijų etikos pažeidimų prevenciją, tyrimą, nustatymą ir patraukimą baudžiamojon atsakomybėn už juos; h) stebėsenos, tikrinimo ar reguliavimo funkciją, kuri (net jeigu tik kartais) yra susijusi su viešosios valdžios funkcijų vykdymu a- e ir g punktuose nurodytais atvejais; i) Jūsų apsaugą arba kitų asmenų teisių ir laisvių apsaugą; j) civilinių ieškinių vykdymo užtikrinimą.

 

PATVIRTINTA

Lietuvos Respublikos švietimo, mokslo ir sporto ministro

2019 m. liepos 1 d.

įsakymu Nr. V-768

 

 

LIETUVOS RESPUBLIKOS ŠVIETIMO, MOKSLO IR SPORTO MINISTERIJOS ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO TVARKOS APRAŠAS

 

 

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

 

1. Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos (toliau – Ministerija) asmens duomenų saugumo pažeidimų valdymo tvarkos aprašas (toliau – Aprašas) parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (OL 2016 L 119, p. 1)  (toliau – Reglamentas) nustatytais reikalavimais.

2. Aprašas nustato duomenų saugumo pažeidimų valdymo, taip pat pranešimų asmens duomenų priežiūros institucijai bei duomenų subjektams teikimo tvarką.

3. Aprašo tikslas – užtikrinti, kad įvykus asmens duomenų saugumo įvykiams ar incidentams jie būtų laiku pastebėti ir būtų imtasi atsakomųjų veiksmų.

4. Aprašas yra privalomas visiems Ministerijos valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis (toliau – darbuotojai).

5. Apraše vartojamos sąvokos:

5.1. Asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu, kurio tapatybė gali būti nustatyta.

5.2. Asmens duomenų konfidencialumo pažeidimas – neteisėtas arba atsitiktinis  asmens duomenų atskleidimas arba gaunama prieiga prie jų.

5.3. Asmens duomenų pažeidimų tipai – konfidencialumo, prieinamumo, vientisumo pažeidimai arba jų  kombinacija.

5.4. Asmens duomenų prieinamumo pažeidimas – netyčinis arba neautorizuotas prieigos prie asmens duomenų praradimas arba šių sunaikinimas.

5.5. Asmens duomenų priežiūros institucija (toliau – Priežiūros institucija) – Valstybinė duomenų apsaugos inspekcija.

5.6. Asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio neatsargiai arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga.

5.7. Asmens duomenų subjektas (toliau – duomenų subjektas) – fizinis asmuo, kurio duomenys yra tvarkomi.

5.8. Asmens duomenų vientisumo pažeidimas – netyčinis arba neteisėtas asmens duomenų pakeitimas.

 

II SKYRIUS

ATSAKOMYBĖ

 

 

6. Ministerijos duomenų apsaugos pareigūnas, įgyvendindamas Aprašo nuostatas (toliau – pareigūnas):

6.1. registruoja asmens duomenų saugumo pažeidimus;

6.2. klasifikuoja asmens duomenų saugumo pažeidimus;

6.3. skiria atsakingus asmenis už asmens duomenų saugumo pažeidimų tyrimą ir sprendimą;

6.4. kontroliuoja asmens duomenų saugumo pažeidimų sprendimo vykdymą;

6.5. analizuoja asmens duomenų saugumo pažeidimų sprendimo rezultatus;

6.6. praneša Priežiūros institucijai apie asmens duomenų saugumo pažeidimą;

6.7. kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, informuoja apie pažeidimą duomenų subjektą.

7. Informacijos saugos įgaliotinis registruoja visus informacijos saugos pažeidimus (incidentus) Ministerijos nustatyta informacijos saugos incidentų valdymo tvarka ir perduoda informaciją pareigūnui, jei informacijos saugos pažeidimai susiję su asmens duomenų pažeidimais.

8. Darbuotojai, pastebėję asmens duomenų saugumo pažeidimus, nedelsiant apie tai informuoja pareigūną.

 

 

III SKYRIUS

ASMENS DUOMENŲ PAŽEIDIMŲ VALDYMAS

 

 

9. Pareigūnas, gavęs informaciją apie asmens duomenų saugumo pažeidimą arba pats jį pastebėjęs, jį registruoja ir atlieka pirminį pažeidimo įvertinimą, atsižvelgdamas į pažeidimo pavojingumą ir galimą poveikį duomenų subjektui (-ams).

10. Vertinant galimą poveikį duomenų subjektui reikia nustatyti, ar asmens duomenų pažeidimas kelia pavojų duomenų subjektams.

11. Sukeliančiais pavojų duomenų subjektams laikomi tokie asmens duomenų pažeidimai, kurie gali sukelti šias pasekmes:

11.1. kūno sužalojimas;

11.2. turtinė ir neturtinė žala;

11.3. diskriminacija;

11.4. pavogta ar suklastota tapatybė;

11.5. finansiniai nuostoliai;

11.6. pakenkimas reputacijai;

11.7. profesinės paslapties atskleidimas;

11.8. pseudonimų panaikinimas;

11.9. galimybės naudotis savo teisėmis praradimas;

11.10. negalėjimas kontroliuoti savo duomenų.

12. Didelį pavojų duomenų subjektų teisėms ir laisvėms sukeliantys asmens duomenų saugumo pažeidimai yra tie, kurie gali sukelti fizinę, materialią ar nematerialią žalą duomenų subjektams, tokių pažeidimų pavyzdžiai gali būti:

12.1. diskriminacija;

12.2. tapatybės vagystė ar klastojimas;

12.3. finansinė žala;

12.4. pakenkimas reputacijai;

12.5. pažeidimai, susiję su duomenimis apie sveikatą, kaltinamuosius nuosprendžius ir nusikalstamas veikas.

13. Kiekvieno asmens duomenų pažeidimo atveju turi būti atliktas atskiras vertinimas.

14. Atlikęs įvertinimą pareigūnas:

14.1. jeigu būtina, suformuoja pažeidimo tyrimo bei padarinių šalinimo komandą;

14.2. imasi visų reikiamų priemonių pašalinti asmens duomenų saugumo pažeidimo padarinius ir sumažinti padarytą žalą;

14.3. jeigu tam egzistuoja teisinis pagrindas, kreipiasi į atsakingas valstybės institucijas;

14.4. imasi prevencinių priemonių tokiems pat ar panašiems asmens duomenų saugumo pažeidimams ateityje išvengti.

15. Visi asmens duomenų saugumo pažeidimai turi būti registruojami Asmens duomenų saugumo pažeidimų registravimo žurnale (Aprašo 1 priedas).

16. Tais atvejais, kai asmens duomenų saugumo pažeidimas gali kelti pavojų duomenų subjektų teisėms ir laisvėms, apie asmens duomenų saugumo pažeidimą turi būti pranešta Priežiūros institucijai.

17. Kai dėl asmens duomenų pažeidimo gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, apie pažeidimą nedelsiant pranešama duomenų subjektams.

 

 

IV SKYRIUS

PRANEŠIMŲ PRIEŽIŪROS INSTITUCIJAI TVARKA

 

 

18. Jei asmens duomenų pažeidimas nekelia pavojaus duomenų subjektams, apie tokį pažeidimą Priežiūros institucijai pranešti nereikia, tačiau, jei neįmanoma įrodyti, kad pažeidimas negali sukelti pavojaus duomenų subjektams, reikia informuoti apie jį Priežiūros instituciją.

19. Asmens duomenų saugumo pažeidimo atveju Ministerija ne vėliau kaip per 72 valandas nuo tada, kai apie jį sužinojo, vadovaudamasi Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos apraše, patvirtintame Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T-72 (1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“, tvarka ir sąlygomis praneša Priežiūros institucijai, pateikdama užpildytą patvirtintą pranešimą pagal formą (Aprašo 2 priedas).

20. Jei visos informacijos neįmanoma pateikti vienu metu, ji gali būti pateikiama etapais.

 

V SKYRIUS

PRANEŠIMŲ DUOMENŲ SUBJEKTAMS TEIKIMO TVARKA

 

 

21. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, pareigūnas privalo ne vėliau kaip per 72 valandas pranešti apie asmens duomenų saugumo pažeidimą tiesiogiai duomenų subjektui, pateikdamas užpildytą pranešimą pagal formą (Aprašo 2 priedas). Pranešimas duomenų subjektui pateikiamas įprastu ryšio su duomenų subjektu būdu.

22. Duomenų subjektui apie asmens duomenų pažeidimą pranešti nebūtina, jei:

22.1. buvo įgyvendintos tinkamos techninės ir organizacinės apsaugos priemonės, pvz., šifravimo priemonės, taikytos tiems duomenims, kuriems pažeidimas turėjo poveikį;

22.2. po pažeidimo buvo imtasi visų reikiamų apsaugos priemonių, kurios užkirstų kelią dideliam pavojui duomenų subjekto teisėms ir laisvėms;

22.3. informavimas pareikalautų neproporcingai daug pastangų. Tokiu atveju apie asmens duomenų pažeidimą duomenų subjektus galima informuoti paskelbiant informaciją viešai.

 

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

23. Darbuotojai turi būti supažindinami su Aprašu.

24. Asmenys, pažeidę Aprašo reikalavimus, atsako asmens duomenų ir (ar) privatumo apsaugą reglamentuojančių teisės aktų nustatyta tvarka.

________________

 

Lietuvos Respublikos švietimo, mokslo

ir sporto ministerijos asmens duomenų

saugumo pažeidimų valdymo

tvarkos aprašo

1 priedas

 

(Asmens duomenų saugumo pažeidimų registravimo žurnalo forma)

 

Asmens duomenų saugumo pažeidimų registravimo žurnalas

 

Eil. Nr.

Asmens duomenų saugumo pažeidimas[1]

 

Asmens duomenų saugumo pažeidimo poveikis[2]

Taisomieji veiksmai[3]

Informacija, ar buvo pateiktas pranešimas Valstybinei duomenų inspekcijai ir duomenų subjektams[4]

Priežastys ir argumentai, kodėl pranešimas Valstybinei duomenų inspekcijai ir (ar) duomenų subjektams nebuvo pateiktas[5]

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

______________

 

 

Lietuvos Respublikos švietimo, mokslo

ir sporto ministerijos asmens duomenų

saugumo pažeidimų valdymo

tvarkos aprašo

2 priedas

 

(Pranešimo apie asmens duomenų saugumo pažeidimą forma)

 

Valstybinei duomenų apsaugos inspekcijai

A. Juozapavičiaus g. 6, 09310 Vilnius

Tel.: (8 5) 271 2804, 279 1445

Faks. (8 5) 261 9494

El. paštas [email protected]

arba

Duomenų subjekto vardas ir pavardė

Ryšio duomenys

 

PRANEŠIMAS APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ

_______

(data)

________

(vieta)

 

1. Duomenų valdytojas:

Lietuvos Respublikos švietimo, mokslo ir sporto ministerija

Kodas 188603091

A. Volano g. 2, 01516 Vilnius

Tel. (8 5) 219 1225/219 1152

El. paštas [email protected]

2. Duomenų apsaugos pareigūnas:

2.1. Vardas, pavardė, tel. Nr. el. paštas:

_______________________________________________________________________________________

3. Asmens duomenų saugumo pažeidimas:

3.1. asmens duomenų saugumo pažeidimo data, laikas ir vieta:

________________________________________________________________________________

________________________________________________________________________________

3.2. asmens duomenų saugumo pažeidimo nustatymo data ir laikas:

________________________________________________________________________________

________________________________________________________________________________

3.3. asmens duomenų saugumo pažeidimo aplinkybės1:

________________________________________________________________________________

________________________________________________________________________________

3.4. apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius ir kategorijos:

________________________________________________________________________________

________________________________________________________________________________

3.5. apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius ir kategorijos:

________________________________________________________________________________

________________________________________________________________________________

3.6. tikėtinos asmens duomenų saugumo pažeidimo pasekmės:

________________________________________________________________________________

________________________________________________________________________________

3.7. kita, duomenų valdytojo nuomone, reikšminga informacija:

________________________________________________________________________________

________________________________________________________________________________

 

4. Priemonės, kurių duomenų valdytojas ėmėsi arba siūlo imtis, kad būtų pašalintas asmens

duomenų saugumo pažeidimas arba kad būtų sumažintos neigiamos pasekmės:

________________________________________________________________________________

________________________________________________________________________________

5. Informacija apie tai, ar apie asmens duomenų saugumo pažeidimą informuoti duomenų subjektai (jeigu duomenų subjektai neinformuojami, nurodomos priežastys):

________________________________________________________________________________

________________________________________________________________________________

6. Pasiūlymai, kokių priemonių gali imtis duomenų subjektai, siekdami sumažinti ar išvengti asmens duomenų saugumo pažeidimo neigiamų padarinių[6] (pildoma, jeigu įmanoma pateikti efektyvių pasiūlymų duomenų subjektui):

________________________________________________________________________________

________________________________________________________________________________

7. Vėlavimo pateikti informaciją Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) priežastys[7] (pildoma, jeigu pranešimas teikiamas Inspekcijai praėjus daugiau kaip 72 val. po pažeidimo paaiškėjimo):

________________________________________________________________________________

________________________________________________________________________________

8. Ar su asmens duomenų saugumo pažeidimu susijusi informacija bus teikiama etapais[8] (pildoma, jeigu pradiniame pranešime neįmanoma pateikti visos ir išsamios su asmens duomenų saugumo pažeidimu susijusios informacijos, ir informacija Inspekcijai numatoma teikti etapais):

________________________________________________________________________________

________________________________________________________________________________

 

 

(pareigos)                                                                                                                  (vardas ir pavardė)

 

PATVIRTINTA

Lietuvos Respublikos švietimo,

mokslo ir sporto ministro

2019 m. liepos 1 d.

įsakymu Nr. V-768

 

 

LIETUVOS RESPUBLIKOS ŠVIETIMO, MOKSLO IR SPORTO MINISTERIJOS POVEIKIO ASMENS DUOMENŲ APSAUGAI VERTINIMO IR KONSULTAVIMOSI SU ASMENS DUOMENŲ PRIEŽIŪROS INSTITUCIJA TVARKOS APRAŠAS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos poveikio asmens duomenų apsaugai vertinimo ir konsultavimosi su asmens duomenų priežiūros institucija tvarkos aprašas (toliau – Aprašas) parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (OL 2016 L 119, p. 1)  (toliau – Reglamentas) nustatytais reikalavimais.

2. Aprašas reikalingas įvertinti ir valdyti pavojų, kylantį dėl asmens duomenų tvarkymo fizinių asmenų laisvėms ir teisėms ir laiku imtis tinkamų priemonių.

3. Aprašas nustato poveikio asmens duomenų apsaugai vertinimo metodiką ir konsultavimosi su asmens duomenų priežiūros institucija tvarką.

4. Aprašas yra privalomas visiems Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos (toliau Ministerija) valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis (toliau – darbuotojai).

5. Apraše vartojami sutrumpinimai ir sąvokos:

5.1. DAP – asmens duomenų apsaugos pareigūnas.

5.2. PDAV – poveikio asmens duomenų apsaugai vertinimas.

5.3. Asmens duomenų priežiūros institucija (toliau – Priežiūros institucija) – Valstybinė duomenų apsaugos inspekcija.

5.4. Konfidencialumas – informacijos savybė – su informacija gali susipažinti tik tą daryti įgalioti asmenys.

5.5. Liekamoji rizika – rizika, pritaikius rizikos valdymo priemones.

5.6. Nepriimtina rizika – rizika, kuri yra nepriimtina Ministerijai, atsižvelgiant į grėsmės tikimybės laipsnį ir jos sukeltų padarinių dydį.

5.7. Prieinamumas – informacijos savybė – informacija gali būti tvarkoma reikiamu metu.

5.8. Pažeidžiamumas – informacinio ištekliaus ar jo dalies savybė, nurodanti labiausiai pažeidžiamą (silpnąją) vietą, dėl kurios gali kilti viena ar daugiau grėsmių šiam ištekliui.

5.9. Vientisumas – informacijos savybė – informacija nebuvo atsitiktiniu ar neteisėtu būdu pakeista ar sunaikinta.

 

II SKYRIUS

ATSAKOMYBĖ

 

 

6. DAP ar kitas vadovybės paskirtas atlikti PDAV asmuo:

6.1. nustato poreikį atlikti PDAV;

6.2. nustato asmens duomenų tvarkymo operacijas, numato informacijos pažeidžiamumus ir galimas grėsmes;

6.3. kartu su informacijos saugos įgaliotiniu nustato esamas valdymo priemones;

6.4. nustato rizikos lygį;

6.5. kartu su informacijos saugos įgaliotiniu parengia rizikos valdymo priemonių planą ir prižiūri jo įgyvendinimą.

7. Už PDAV kiekvienu konkrečiu atveju atsakingas padalinio, kuris tvarko asmens duomenis, vadovas. PDAV gali būti pasitelkti ir išorės konsultantai, specialistai, ekspertai (teisininkai, IT specialistai, saugumo ekspertai, ir pan.), jeigu Ministerijos žmogiškųjų, laiko išteklių nepakanka tinkamam PDAV atlikti.

 

 

III SKYRIUS

PDAV METODIKA

 

 

8. Tais atvejais, kai, atsižvelgiant į asmens duomenų ir duomenų subjektų kategoriją, duomenų tvarkymo pobūdį, aprėptį, kontekstą, tikslus, duomenų subjektų teisėms bei laisvėms gali kilti didelis pavojus, Ministerija, prieš pradėdama tvarkyti asmens duomenis atlieka numatytų duomenų tvarkymo veiksmų PDAV.

9. PDAV atliekamas, kai:

9.1. duomenų tvarkymo veiksmai, kuriems PDAV yra privalomas, patenka į Priežiūros institucijos sudarytą duomenų tvarkymo veiksmų sąrašą;

9.2. duomenų tvarkymo veiksmai, kuriems PDAV reikalavimas yra privalomas, nepatenka į Priežiūros institucijos sudarytą asmens duomenų tvarkymo veiksmų sąrašą, tačiau Ministerija įvertina, kad duomenų tvarkymo veiksmas, atsižvelgiant į Aprašo 10 punkte įtvirtintus kriterijus, duomenų subjektų teisėms bei laisvėms gali kelti didelį pavojų;

9.3. pasikeitus duomenų tvarkymo veiksmų įgyvendinimo sąlygoms ir kai tai gali lemti didelį pavojų duomenų subjektų teisėms ir laisvėms;

9.4. kitais įvertintais atvejais.

10. Ar asmens duomenų tvarkymo veiksmai gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms, sprendžiama kiekvieną kartą atsižvelgiant į šiuos kriterijus:

10.1. sisteminga asmens duomenų ar duomenų subjektų stebėsena;

10.2. neskelbtini asmens duomenys arba labai asmeniški duomenys, pavyzdžiui, specialių kategorijų asmens duomenys;

10.3. didelio masto asmens duomenų tvarkymas (susijusių duomenų subjektų skaičius, tvarkomų duomenų kiekis, tvarkomų duomenų įvairovė, duomenų tvarkymo veiklos trukmė ir pastovumas);

10.4. asmens duomenų rinkinių siejimas ir derinimas;

10.5. su pažeidžiamais duomenų subjektais susiję asmens duomenys (pavyzdžiui, vaikų duomenys, darbuotojai, pažeidžiamesni subjektai, kuriems reikalinga speciali apsauga, segmentai, kai galima nustatyti nelygiaverčius duomenų subjekto ir duomenų valdytojo santykius);

10.6. naujų technologijų ar organizacinių sprendimo būdų taikymas;

10.7. dėl asmens duomenų tvarkymo duomenų subjektams užkertamas kelias naudotis savo teisėmis;

10.8. kitos aplinkybės, rodančios galimą didelį pavojų duomenų subjektų teisėms ir laisvėms.

11. Kuo daugiau Aprašo 10 punkte įtvirtintų kriterijų atitinka konkrečius duomenų tvarkymo veiksmus, tuo didesnė tikimybė, kad šie veiksmai gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms. Dėl poveikio duomenų apsaugai atlikimo būtinybės visais atvejais sprendžia DAP.

12. Jeigu duomenų tvarkymo veiksmai atitinka du ir daugiau Aprašo 10 punkte išdėstytų kriterijų, tačiau padaroma išvada, kad toks duomenų tvarkymo veiksmas negali kelti didelio pavojaus duomenų subjektų teisėms ir laisvėms, toks sprendimas ir jo argumentai išdėstomi raštu ir pateikiami Ministerijos kancleriui arba jo paskirtam asmeniui.

13. PDAV turi būti atliktas prieš pradedant įgyvendinti duomenų tvarkymo veiksmus.

14. Asmuo ar asmenys, atlikę PDAV, užpildo Poveikio asmens duomenų apsaugai vertinimo ataskaitą (Aprašo priedas). Panašių didelius pavojus keliančių duomenų tvarkymo veiksmų sekai išnagrinėti galima atlikti vieną PDAV.

15. Jeigu, atsižvelgiant į numatomą asmens duomenų tvarkymo veiksmo pobūdį, yra įmanoma, Ministerija siekia išsiaiškinti duomenų subjektų ar jų atstovų nuomonę apie numatytą asmens duomenų tvarkymą, nepažeisdama komercinių ar viešųjų interesų apsaugos arba asmens duomenų tvarkymo veiksmų saugos reikalavimų.

16. Ministerija atlieka nuolatinę peržiūrą, kad įvertintų, ar asmens duomenys tvarkomi laikantis PDAV, ypač tais atvejais, kai pakinta tvarkymo veiksmų keliamas pavojus duomenų subjektų teisėms ir laisvėms.

17. PDAV kriterijai:

 

Balas

Lygis

Poveikis

1

Nereikšmingas

Asmenys nebus paveikti arba patirs nedidelių nepatogumų, kuriuos įveiks be didelių problemų (pvz.: laikas, praleistas iš naujo suvedant informaciją, susierzinimas ir pan.) Asmens duomenys viešai prieinami (telefonų kataloguose, adresų knygose ir pan.).

2

Apibrėžtas

Asmenys arba nebus paveikti arba gali patirti nepatogumų, kuriuos galima įveikti be didelių problemų (laikas, praleistas iš naujo suvedant informaciją, susierzinimas ir pan.). Asmens duomenys, prie kurių reikalinga teisėta prieiga.

3

Žymus

Asmenys gali susidurti su reikšmingomis pasekmėmis, kurias įmanoma įveikti net susidūrus su rimtais sunkumais (neteisėtas lėšų panaudojimas, bankų nepageidautinų klientų sąrašas, žala nuosavybei, darbo praradimas, teismo šaukimas, blogėjanti sveikatos būklė ir pan.). Asmens duomenys, kurių neteisėtas atskleidimas gali turėti įtakos asmenų reputacijai (pvz.: informacija apie pajamas, socialinės išmokos, turto mokestis ar nuobaudos).

4

Maksimalus

Asmenys gali susidurti su reikšmingomis ar net negrįžtamomis pasekmėmis, kurių negalėtų įveikti (finansinės pasekmės, tokios kaip netinkamos skolos ar nesugebėjimas dirbti, ilgalaikiai psichologiniai ar fiziniai negalavimai, mirtis ir pan.). Asmens duomenys, kurių neteisėtas atskleidimas, pakeitimas, praradimas arba sunaikinimas gali paveikti asmens egzistavimą ar sveikatą, laisvę ar gyvenimą (pvz.: informacija apie įsipareigojimus institucijai, teistumas, sveikatos duomenys, netinkamos skolos ar informacija apie tai, kad asmeniui kyla pavojus nukentėti baudžiamojoje byloje).

 

18. Grėsmių tikimybės vertinimo kriterijai:

 

Balas

Lygis

Tikimybė

1

Nereikšmingas

Rizikos grėsmė mažai tikėtina (pvz.: popierinių dokumentų, saugomų patalpoje, apsaugotoje kortelių skaitytuvu ir prieigos kodu, vagystė).

2

Apibrėžtas

Pasirinktiems rizikos šaltiniams sunku nustatyti grėsmę panaudojant pagalbinių išteklių savybes.

3

Žymus

Pasirinktų rizikos šaltinių atranka gali būti įvykdyta panaudojant pagalbinių išteklių savybes.

4

Maksimalus

Pasirinktiems rizikos šaltiniams labai lengva nustatyti grėsmę panaudojant pagalbinių išteklių savybes.

 

19. Rizika vertinama pagal asmens duomenų saugos pažeidimo tikimybę bei įtaką asmenų privatumui. Rizikos lygis nustatomas pagal toliau pateiktą rizikos matricą. Rekomenduojamas priimtinos rizikos lygis yra 5 balai ir mažesnis.

 

 

 

 

Poveikio lygis

Tikimybės lygis

1. Nereikšmingas

2. Apibrėžtas

3. Žymus

4. Maksimalus

1 Nereikšmingas

1

2

3

4

2. Apibrėžtas

2

3

4

5

3. Žymus

3

4

5

6

4. Maksimalus

4

5

6

7

 

 

IV SKYRIUS

KONSULTAVIMOSI SU PRIEŽIŪROS INSTITUCIJA TVARKA

 

 

20. Ministerija prieš pradėdama asmens duomenų tvarkymo veiksmus, kurie gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms, privalo konsultuotis su Priežiūros institucija šiais atvejais:

20.1. jeigu poveikio duomenų apsaugai vertinimo ataskaitoje yra nustatyta, kad duomenų tvarkymo veiksmai gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms ir numatytos priemonės nesumažina šios rizikos iki priimtino lygio;

20.2. jeigu pareiga konsultuotis su Priežiūros institucija dėl tam tikrų rūšių asmens duomenų tvarkymo veiksmų įtvirtinta teisės aktuose.

21. Asmens duomenų tvarkymo veiksmai, kurie gali sukelti didelį pavojų duomenų subjektų teisėms ir laisvėms, gali būti vykdomi tik tada, kai Ministerija tinkamai įgyvendina Priežiūros institucijos rekomendacijas, nurodymus ir priemones, gautus konsultavimosi metu.

 

 

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

 

22. Kai asmens duomenų tvarkymo apimtis, pobūdis, kontekstas ir tikslas yra labai panašūs į duomenų, kurių PDAV buvo atliktas, galima iš naujo nevertinti poveikio duomenų apsaugai, o pasinaudoti dėl panašaus duomenų tvarkymo atliktu PDAV.

23. Darbuotojai turi būti supažindinami su Aprašu.

24. Asmenys, pažeidę Aprašo reikalavimus, atsako asmens duomenų ir (ar) privatumo apsaugą reglamentuojančių teisės aktų nustatyta tvarka.

______________

 

Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos  poveikio asmens duomenų apsaugai vertinimo ir konsultavimosi su asmens duomenų priežiūros institucija tvarkos aprašo 

priedas

 

 

(Poveikio asmens duomenų apsaugai vertinimo ataskaitos forma)

 

POVEIKIO ASMENS DUOMENŲ APSAUGAI VERTINIMO ATASKAITA

 

__________________

(vieta)

 

__________________

(data)

 

I. Vertinamas duomenų tvarkymo veiksmas ir jo išsamus aprašymas:

________________________________________________________________________________

________________________________________________________________________________

II. Numatomi tvarkyti asmens duomenys, duomenų subjektų kategorijų aprašymas:

________________________________________________________________________________

________________________________________________________________________________

III. Asmens duomenų tvarkymo tikslai, teisinis pagrindas, duomenų tvarkymo veiksmų reikalingumo ir proporcingumo siekiamiems tikslams vertinimas:

________________________________________________________________________________

________________________________________________________________________________

IV. Kriterijų, rodančių galimą didelį pavojų duomenų subjektų teisės ir laisvėms, vertinimas:

Eil. Nr.

Kriterijus

Egzistuoja / neegzistuoja

1.

Naudojamas asmens duomenų ar duomenų subjektų vertinimas ir balų skyrimas, įskaitant profiliavimą ir prognozavimą

 

2.

Automatizuotas sprendimų, sukeliančių teisinį arba panašų rimtą poveikį, priėmimas

 

3.

Sisteminga asmens duomenų ar duomenų subjektų stebėsena

 

4.

Neskelbtini duomenys arba labai asmeniški duomenys, pvz., specialių kategorijų asmens duomenys

 

5.

Didelio masto duomenų tvarkymas

 

6.

Duomenų rinkinių siejimas ir derinimas

 

7.

Su pažeidžiamais duomenų subjektais susiję duomenys, pvz., vaikų duomenys, darbuotojai, pažeidžiamesni subjektai, kuriems reikalinga speciali apsauga, segmentai, kai galima nustatyti nelygiaverčius duomenų subjekto ir duomenų valdytojo santykius

 

8.

Naujų technologijų ar organizacinių sprendimų būdų taikymas

 

9.

Dėl asmens duomenų tvarkymo duomenų subjektams užkertamas kelias naudotis savo teisėmis, paslaugomis arba sudaryti sutartis

 

10.

Kitos aplinkybės, rodančios galimą didelį pavojų subjektų teisėms ir laisvėms

 

 

V. Pavojų, grėsmių, kylančių arba galinčių kilti duomenų subjektų teisėms ir laisvėms, įvardijimas ir vertinimas (kilmė, pobūdis, specifika, rimtumas):

________________________________________________________________________________

________________________________________________________________________________

VI. Duomenų tvarkymo operacijos atitikties Reglamento ir kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą, vertinimas:

________________________________________________________________________________

________________________________________________________________________________

VII. Pavojams, grėsmėms duomenų subjektų teisėms ir laisvėms (V dalis) bei galimam neatitikimui Reglamentui ir kitiems teisės aktams, reglamentuojantiems asmens duomenų apsaugą (VI dalis), pašalinti numatytos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir pagrindžiama, kad bus laikomasi minėto Reglamento ir kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą:

________________________________________________________________________________

________________________________________________________________________________

VIII. Duomenų subjektų ar jų atstovų nuomonė apie numatomą asmens duomenų tvarkymą, jeigu tokia nuomonė yra gauta, argumentai ir motyvai, jeigu nusprendžiama neatsižvelgti į duomenų subjektų ar jų atstovų nuomonę, arba priežastys, dėl kurių nesiekiama išsiaiškinti duomenų subjektų ar jų atstovų nuomonės:

________________________________________________________________________________

________________________________________________________________________________

IX. Asmens duomenų apsaugos pareigūno nuomonė ir konsultacijos dėl poveikio duomenų apsaugai vertinimo:

________________________________________________________________________________

________________________________________________________________________________

X. Argumentai, kuriais remiantis nebuvo vadovaujamasi asmens duomenų apsaugos pareigūno nuomone, ir konsultacija (jeigu nebuvo vadovaujamasi):

________________________________________________________________________________

________________________________________________________________________________

XI. Pasitelktų konsultantų, specialistų, ekspertų nuomonė ir išvados (jeigu konsultantai, specialistai, ekspertai buvo pasitelkti):

________________________________________________________________________________

________________________________________________________________________________

XII. Poveikio duomenų apsaugai vertinimo išvados (ar duomenų tvarkymo operacijos kelia riziką dėl didelio pavojaus duomenų subjektų teisėms ir laisvėms ar neatitikties Reglamento ar kitų teisės aktų nuostatoms, ar numatytos priemonės (VII dalis) sumažina riziką iki priimtino lygio, ar yra pagrindas konsultuotis su asmens duomenų priežiūros institucija):

________________________________________________________________________________

________________________________________________________________________________

 

Poveikio asmens duomenų apsaugai vertinimą atlikę asmenys, jų parašai:

 

_________________________________________                                __________________

(vardas ir pavardė, pareigos)                                                                                (parašas)

 

_________________________________________                                __________________

(vardas ir pavardė, pareigos)                                                                                (parašas)

 

_________________________________________                                __________________

(vardas ir pavardė, pareigos)                                                                                (parašas)



[1] Šioje skiltyje pateikiama: 1) laikas ir data, kada pažeidimas įvyko, kada pažeidimas buvo užfiksuotas, kada apie pažeidimą sužinojo  Ministerija, 2) pažeidimo faktinės aplinkybės, 3) pažeidimo pobūdis, 4) pažeidimo priežastys.

[2] Šioje skiltyje pateikiama: 1) asmens duomenų ir asmens duomenų subjektų kategorija, susijusi su pažeidimu, 2) asmens duomenų, susijusių su pažeidimu, apimtis, 3) realus ar galimas pažeidimo poveikis ir jo padariniai duomenų subjektų teisėms ir laisvėms (fiziniai, materialiniai ir nematerialiniai padariniai).

[3] Šioje skiltyje pateikiama: 1) priemonės ir veiksmai, kurių buvo imtasi siekiant ištaisyti asmens duomenų pažeidimą ir jo padarinius, 2) priemonės ir veiksmai, kurių buvo imtasi siekiant užkirsti kelią ar sumažinti pažeidimo poveikį duomenų subjektams, 3) priemonėmis ir veiksmais pasiekti rezultatai.

[4] Šioje skiltyje pateikiama: 1) ar buvo teiktas pranešimas Valstybinei duomenų inspekcijai ir duomenų subjektams, 2) pranešimo data, (3) pranešimo pateikimo būdas.

[5] Ši skiltis pildoma tuomet, jeigu Valstybinei duomenų inspekcijai  ir (ar) duomenų subjektui nebuvo teiktas pranešimas dėl asmens duomenų saugumo pažeidimo. Šioje skiltyje nurodomos priežastys, argumentai, nuorodos į dokumentus ir tyrimo rezultatus, kurie pagrindžia, kad: 1) asmens duomenų saugumo pažeidimas nekelia pavojaus duomenų subjektų teisėms ir laisvėms – kai pranešimas nėra teikiamas nei Valstybinei duomenų inspekcijai, nei duomenų subjektams, 2) asmens duomenų saugumo pažeidimas negali sukelti didelio pavojaus duomenų subjektų teisėms ir laisvėms – kai pranešimas yra teikiamas Inspekcijai, bet nėra teikiamas duomenų subjektams.

1Nurodoma, ar tai asmens duomenų konfidencialumo praradimas (neautorizuota prieiga ar atskleidimas), asmens duomenų integralumo praradimas (neautorizuotas asmens duomenų pakeitimas), asmens duomenų valdymo kontrolės praradimas (asmens duomenų praradimas, sunaikinimas).

2Pildoma, jeigu pranešimas yra teikiamas duomenų subjektui.

3Jei pranešimas yra teikiamas duomenų subjektui, nepildoma.

4 Jei pranešimas yra teikiamas duomenų subjektui, nepildoma.