NERINGOS SAVIVALDYBĖS ADMINISTRACIJOS
DIREKTORIUS
ĮSAKYMAS
DĖL ASMENS DUOMENŲ TVARKYMO NERINGOS SAVIVALDYBĖS ADMINISTRACIJOJE TAISYKLIŲ PATVIRTINIMO
2019 m. spalio 24 d. Nr. V13-526
Neringa
Vadovaudamasis Lietuvos Respublikos vietos savivaldos įstatymo 29 straipsnio 8 dalies 2 punktu, Europos Parlamento ir Tarybos 2016 m. balandžio 27 d. reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų apsaugą, bei siekdamas tinkamai įgyvendinti asmens duomenų apsaugos reikalavimus Neringos savivaldybės administracijoje:
2. Įpareigoju Dokumentų valdymo ir ūkio skyriaus sekretorę-referentę Rasą Dimšaitę su šiuo įsakymu elektroninėmis priemonėmis supažindinti Neringos savivaldybės administracijos darbuotojus.
3. Skelbiu šį įsakymą Neringos savivaldybės interneto svetainėje www.neringa.lt ir Teisės aktų registre.
PATVIRTINTA
Neringos savivaldybės administracijos direktoriaus
2019 m. spalio 24 d. įsakymu
Nr.V13-526
ASMENS duomenų tvarkymo NERINGOS SAVIVALDYBĖS ADMINISTRACIJOJE taisyklės
I SKYRIUS
Bendrosios nuostatos
1. Asmens duomenų tvarkymo Neringos savivaldybės administracijos taisyklių (toliau – Taisyklės) tikslas – reglamentuoti asmens duomenų tvarkymo ir apsaugos reikalavimus, taip pat pagrindines asmens duomenų tvarkymo įgyvendinimo ir duomenų apsaugos technines bei organizacines priemones Neringos savivaldybės administracijoje (toliau – Įstaiga).
2. Įgyvendinant duomenų subjekto teises vadovaujamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.
3. Taisyklėse vartojamos sąvokos:
3.1. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;
3.2. Duomenų valdytojas – Neringos savivaldybės administracija, juridinio asmens kodas 188754378, adresas Taikos g.2, 93123 Neringa, el. p. [email protected];
3.3. Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgavimas, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;
3.4. Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis;
3.5. Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne. Valdžios institucijos, kurios pagal Europos Sąjungos arba valstybės narės teisę gali gauti asmens duomenis vykdydamos konkretų tyrimą, nelaikomos duomenų gavėjais.
4. Kitos Taisyklėse vartojamos sąvokos atitinka Asmens duomenų teisinės apsaugos įstatyme ir Reglamente (ES) 2016/679 vartojamas sąvokas.
II SKYRIUS
ASMENS DUOMENŲ TVARKYMO PRINCIPAI
6. Įstaiga, tvarkydama asmens duomenis, vadovaujasi šiais principais:
6.1. asmens duomenis tvarko teisėtai, sąžiningai, skaidriu būdu ir šiose taisyklėse apibrėžtiems tikslams pasiekti;
6.2. asmens duomenis tvarko tikslingai, nustatytais, aiškiai apibrėžtais bei teisėtais tikslais, ir duomenys netvarkomi su tais tikslais nesuderinamu būdu;
6.3. asmens duomenis tvarko taip, kad jie būtų tikslūs, prireikus atnaujinami; imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištaisomi, ištrinami arba sustabdomas jų tvarkymas;
6.4. asmens duomenis tvarko tik tokia apimtimi, kuri yra reikalinga asmens duomenų tvarkymo tikslams pasiekti;
6.5. asmens duomenis saugo tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;
III SKYRIUS
ASMENS DUOMENŲ TVARKYMO TIKSLAI
7. Asmens duomenys Įstaigoje tvarkomi šiais tikslais:
7.1. pretendentų į Įstaigos darbuotojus asmens duomenys (Lietuvos Respublikos piliečio paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, dokumentų registracijos data ir numeris, asmens vardas (vardai), pavardė (pavardės), asmens kodas, gimimo data, pilietybė, tautybė, parašas, gyvenamosios vietos adresas, telefono ryšio numeris, elektroninio pašto adresas, nuotrauka, gyvenimo ir veiklos aprašymas, duomenys apie išsilavinimą ir kvalifikaciją, specialių kategorijų asmens duomenys, susiję su teistumu, asmens sveikata, dalyvavimu politinių partijų veikloje, pareigos, į kurias pretenduojama; informacija apie karo prievolę; informacija apie stažuotes; paskatinimus ir apdovanojimus; informacija apie tarnybines nuobaudas) tvarkomi pretendentų konkurso (atrankos) organizavimo, vidaus administravimo (personalo valdymo, raštvedybos tvarkymo) tikslu;
7.2. Įstaigoje esamų ir buvusių darbuotojų asmens duomenys (Lietuvos Respublikos piliečio paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, dokumentų registracijos data ir numeris; asmens vardas (vardai), pavardė (pavardės); asmens kodas, gimimo data, pilietybė, tautybė, nuotrauka, parašas, deklaruotos gyvenamosios vietos adresas, faktinės gyvenamosios vietos adresas, telefono ryšio numeris (namų ir asmeninio mobiliojo ryšio), elektroninio pašto adresas, atsiskaitomosios sąskaitos numeris, asmens socialinio draudimo numeris, karo prievolė, gyvenimo ir veiklos aprašymas, specialių kategorijų asmens duomenys, susiję su sveikata, teistumu, ikiteisminio tyrimo pradėjimu; šeiminė padėtis, pareigos, duomenys apie priėmimą (perkėlimą) į pareigas, atleidimą iš pareigų, duomenys apie išsilavinimą ir kvalifikaciją, darbo stažą; duomenys apie mokymąsi, duomenys apie atostogas, duomenys apie darbo užmokestį, pašalpas, informacija apie dirbtą darbo laiką, duomenys apie atskirą darbo grafiką; informacija apie skatinimus ir nuobaudas, darbo pareigų pažeidimus; informacija apie atliktus darbus ir užduotis, duomenys apie darbuotojų veiklos vertinimą, dalyvavimą politinių partijų, profsąjungos veikloje, dokumentų registracijos data ir numeris, išeitinės išmokos, kompensacijos, informacija, susijusi su asmens atleidimu iš pareigų už šiurkštų darbo pareigų pažeidimą, profesinės etikos pažeidimą, jeigu nuo atleidimo iš pareigų dienos nepraėjo treji metai, informacija apie asmens atleidimą iš pareigų dėl darbo su konfidencialia informacija pažeidimo, jeigu nuo tokio sprendimo dienos nepraėjo penkeri metai, informacija bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Įstaigą įpareigoja įstatymai ir kiti teisės aktai) tvarkomi vidaus administravimo (personalo valdymo, raštvedybos tvarkymo, materialinių ir finansinių išteklių naudojimo, archyvavimo) tikslais;
7.3. Įstaiga gali tvarkyti tik tuos kandidato, pretenduojančio eiti pareigas arba dirbti darbus, asmens duomenis, kurie susiję su šio asmens kvalifikacija, profesiniais gebėjimais ir dalykinėmis savybėmis, išskyrus įstatymuose nurodytus atvejus;
7.4. Įstaiga gali tvarkyti kandidato, pretenduojančio eiti pareigas arba dirbti darbus, ir darbuotojo ypatingus asmens duomenis bei asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, kai šie asmens duomenys būtini patikrinti, ar asmuo atitinka įstatymuose nustatytus reikalavimus pareigoms eiti arba darbams dirbti;
7.5. Įstaiga gali rinkti kandidato, pretenduojančio eiti pareigas arba dirbti darbus, asmens duomenis, susijusius su kvalifikacija, profesiniais gebėjimais ir dalykinėmis savybėmis, iš buvusio darbdavio prieš tai informavęs kandidatą, o iš esamo darbdavio – tik kandidato sutikimu;
7.6. Piliečių asmens duomenys (Lietuvos Respublikos piliečio paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, dokumentų registracijos data ir numeris; asmens vardas (vardai), pavardė (pavardės); asmens kodas, gimimo data, pilietybė, nuotrauka, parašas, deklaruotos gyvenamosios vietos adresas, faktinės gyvenamosios vietos adresas, telefono ryšio numeris, elektroninio pašto adresas, atsiskaitomosios sąskaitos numeris, transporto priemonės registracijos liudijimo duomenys, specialių kategorijų asmens duomenys, susiję su sveikata, teistumu; šeimyninė padėtis, informacija bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Įstaigą įpareigoja įstatymai ir kiti teisės aktai) tvarkomi vidaus administravimo (personalo valdymo, raštvedybos tvarkymo, materialinių ir finansinių išteklių naudojimo, archyvavimo) tikslais;
7.7. Asmenų, pateikusių Įstaigai skundą, prašymą ar pranešimą, asmens duomenys (vardas (vardai), pavardė (pavardės), asmens kodas, adresas, telefono ryšio numeris, elektroninio pašto adresas, parašas, skundo, prašymo ar pranešimo data ir numeris (registravimo Įstaigoje data ir numeris), skunde, prašyme ar pranešime nurodyta informacija (įskaitant ir ypatingus asmens duomenis), skundo, prašymo ar pranešimo nagrinėjimo rezultatas, Įstaigos atsakymo data ir numeris, skundo, prašymo ar pranešimo nagrinėjimo metu gauta informacija) tvarkomi skundų, prašymų ar pranešimų nagrinėjimo ir vidaus administravimo (raštvedybos tvarkymo) tikslais;
7.8. Asmens duomenys Įstaigoje renkami tik teisės aktų nustatyta tvarka, juos gaunant tiesiogiai iš duomenų subjekto;
7.9. Įstaiga teikia jos tvarkomus asmens duomenis tretiesiems asmenims, pagal prašymą (vienkartinio asmens duomenų rinkimo atveju) arba pagal asmens duomenų teikimo sutartį (daugkartinio asmens duomenų rinkimo atveju), atitinkančius Asmens duomenų teisinės apsaugos įstatymo reikalavimus. Asmens duomenys tretiesiems asmenims teikiami tik įstatymų ir kitų teisės aktų nustatytais atvejais ir tvarka:
7.9.1. asmenų, pateikusių Įstaigai skundą, prašymą ar pranešimą, asmens duomenys skundo, prašymo ar pranešimo nagrinėjimo tikslu – juridiniams ir fiziniams asmenims, kai šiuose dokumentuose yra asmens duomenų – juridiniams ir fiziniams asmenims teikiami tik su asmens sutikimu;
7.9.2. asmenų, pateikusių Įstaigai skundą, prašymą ar pranešimą, ir duomenų valdytojų (fizinių asmenų) asmens duomenys ginčo dėl Įstaigos priimto sprendimo teisėtumo nagrinėjimo tikslu – teismams;
7.9.3. Įstaigos darbuotojų asmens duomenys: socialinio draudimo mokesčio administravimo tikslu – Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos, mokesčių administravimo tikslu – Valstybinei mokesčių inspekcijai prie Lietuvos Respublikos finansų ministerijos;
IV Skyrius
ASMENS DUOMENŲ VALDYTOJO PAREIGOS
8. Įstaigoje tvarkomų asmens duomenų valdytoja yra Neringos savivaldybės administracija, kuri:
8.1. užtikrina duomenų subjekto teisių įgyvendinimą ir vykdo teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytas asmens duomenų valdytojo pareigas;
8.3. rengia asmens duomenų apsaugą ir tvarkymą reglamentuojančius teisės aktus, ne rečiau kaip kartą per trejus metus peržiūri Taisykles ir prireikus inicijuoja pakeitimus;
8.4. ne rečiau kaip kartą per trejus metus atlieka asmens duomenų tvarkymo rizikos vertinimą, parengia ataskaitą ir prireikus imasi priemonių rizikai pašalinti arba sumažinti;
V SKYRIUS
SPECIALIEJI ASMENS DUOMENŲ TVARKYMO REIKALAVIMAI
9. Įstaiga įgyvendina Taisyklėse nurodytas organizacines ir technines asmens duomenų saugumo priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.
10. Keičiantis asmens duomenis (dokumentus, kuriuose yra asmens duomenys, ar jų kopijas) tvarkantiems Įstaigos darbuotojams, asmens duomenys (dokumentai, kuriuose yra asmens duomenys, ar jų kopijos) naujai priimtiems ir asmens duomenis tvarkyti paskirtiems darbuotojams perduodami perdavimo aktu.
11. Asmens duomenys (dokumentai, kuriuose yra asmens duomenys, ar jų kopijos) saugomi tam skirtose patalpose (rakinamose spintose, seifuose ar pan.). Asmens duomenys (dokumentai, kuriuose yra asmens duomenys, ar jų kopijos) negali būti laikomi visiems prieinamoje matomoje vietoje, kur neturintys teisės asmenys nekliudomai galėtų su jais susipažinti.
12. Asmens duomenys (dokumentai, kuriuose yra asmens duomenys, ar jų kopijos), esantys išorinėse duomenų laikmenose ir elektroniniame pašte, turi būti ištrinti nedelsiant nuo jų panaudojimo ir (ar) perkėlimo į saugojimo vietas, tačiau ne vėliau kaip per 3 darbo dienas.
13. Asmens duomenų (dokumentų, kuriuose yra asmens duomenys, ar jų kopijų) saugojimo terminai nustatomi vadovaujantis Neringos savivaldybės administracijos direktoriaus patvirtintu dokumentacijos planu. Asmens duomenys (dokumentai, kuriuose yra asmens duomenys, ar jų kopijos) saugomi ne ilgiau, negu to reikalauja duomenų tvarkymo tikslai.
14. Dokumentai, kuriuose yra asmens duomenys, ir jų kopijos turi būti sunaikinti taip, kad jų nebūtų galima atkurti ir atpažinti turinio.
VI SKYRIUS
REIKALAVIMAI DARBUOTOJAMS, TVARKANTIEMS ASMENS DUOMENIS
16. Prieiga prie asmens duomenų gali būti suteikta tik tiems darbuotojams, kurie atsakingi už asmens duomenų tvarkymą arba, kuriems tokie duomenys yra reikalingi jų funkcijoms vykdyti.
17. Su asmens duomenimis galima atlikti tik tuos veiksmus, kuriems atlikti darbuotojams yra suteiktos teisės.
18. Darbuotojai, tvarkantys duomenų subjektų asmens duomenis, privalo:
18.1. laikytis pagrindinių asmens duomenų tvarkymo ir saugumo reikalavimų, įtvirtintų Asmens duomenų teisinės apsaugos įstatyme, Reglamente (ES) 2016/679, šiose Taisyklėse ir kituose teisės aktuose;
18.2. laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo funkcijas, nebent tokia informacija būtų vieša pagal galiojančių teisės aktų reikalavimus (pareiga saugoti asmens duomenų paslaptį galioja ir pasibaigus darbo santykiams Įstaigoje);
18.3. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su asmens duomenimis nė vienam asmeniui, kuris nėra įgaliotas tvarkyti asmens duomenis;
18.4. nedelsiant pranešti Įstaigos darbuotojui, vykdančiam asmens duomenų teisinės apsaugos reikalavimų laikymosi Įstaigoje kontrolės funkcijas, apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę Įstaigoje tvarkomų asmens duomenų saugumui. Esant asmens duomenų apsaugos pažeidimui, Įstaigos darbuotojas, vykdantis asmens duomenų teisinės apsaugos reikalavimų laikymosi Įstaigos kontrolės funkcijas, įvertina rizikos veiksnius, pažeidimo poveikio laipsnį, žalą ir padarinius bei kiekvienu konkrečiu atveju teikia pasiūlymus Įstaigos direktoriui dėl priemonių, reikiamų asmens duomenų apsaugos pažeidimui ir jo padariniams pašalinti;
19. Įstaigos darbuotojas, vykdantis asmens duomenų teisinės apsaugos reikalavimų laikymosi Įstaigoje kontrolės funkcijas, darbuotojus, tvarkančius asmens duomenis, pasirašytinai arba kitokiu būdu (turi būti užtikrintas susipažinimo įrodomumas) supažindina su šiomis Taisyklėmis.
20. Darbuotojai, tvarkantys asmens duomenis, privalo pasirašyti konfidencialumo pasižadėjimą (1 priedas). Pasirašytas pasižadėjimas saugomas asmens byloje.
VIII skyrius
baigiamosios nuostatos
22. Šios Taisyklės atnaujinamos (peržiūrimos, keičiamas, papildomas, rengiamos naujos) ne rečiau kaip kartą per metus arba pasikeitus teisės aktams, kurie reglamentuoja asmens duomenų tvarkymą.
23. Darbuotojai, kurie atsakingi už asmens duomenų tvarkymą, arba darbuotojų atliekamos funkcijos sudaro galimybę sužinoti asmens duomenis, privalo vykdyti šiose taisyklėse nustatytus asmens duomenų tvarkymo reikalavimus.
24. Įstaigos darbuotojas, vykdantis asmens duomenų teisinės apsaugos reikalavimų laikymosi Įstaigoje kontrolės funkcijas, ne rečiau kaip kartą per trejus metus atlieka asmens duomenų tvarkymo rizikos vertinimą ir ataskaitą pateikia Įstaigos direktoriui.
Asmens duomenų tvarkymo Neringos savivaldybės administracijoje taisyklių
1 priedas
(Konfidencialumo pasižadėjimo forma)
KONFIDENCIALUMO PASIŽADĖJIMAS (ĮSIPAREIGOJIMAS)
_________
(data)
_______________
(sudarymo vieta)
Aš, ____________________________________________________________________ ,
(vardas, pavardė)
_______________________________________________________________________________ ,
(pareigų pavadinimas)
su Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Reglamentu (ES) 2016/679, Asmens duomenų tvarkymo Neringos savivaldybės administracijoje taisyklėmis, patvirtintomis direktoriaus 2019 m. spalio 24 d. įsakymu Nr. V13- 526 „Dėl asmens duomenų tvarkymo Neringos savivaldybės administracijoje taisyklių patvirtinimo“, kitais teisės aktais, reglamentuojančiais asmens duomenų apsaugą, ir pasižadu:
1. Saugoti asmens duomenų paslaptį visą darbo laiką ir pasibaigus darbo santykiams, jeigu šie asmens duomenys neskirti skelbti viešai.
3. Asmens duomenis tvarkyti tiksliai ir, jeigu reikia, nuolat atnaujinti, ištaisyti ar papildyti netikslius ar neišsamius duomenis ir (ar) sustabdyti tokių asmens duomenų tvarkymą.
4. Asmens duomenis tvarkyti tik tokios apimties, kuri būtina jiems tvarkyti ir vykdomai funkcijai atlikti.
5. Asmens duomenis tvarkyti taip, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau negu to reikia tiems tikslams, dėl kurių šie duomenys buvo tvarkomi, įgyvendinti, vėliau šiuos duomenis sunaikinti.
6. Įgyvendinti teisės aktų, reglamentuojančių asmens duomenų apsaugą, nuostatas, numatančias, kaip asmens duomenis apsaugoti nuo neteisėto tvarkymo ar atskleidimo.