VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO

GENERALINIS DIREKTORIUS

 

ĮSAKYMAS

DĖL VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO DIREKTORIAUS 2018 M. GEGUŽĖS 24 D. ĮSAKYMO NR. V-171 „DĖL ASMENS DUOMENŲ TVARKYMO VALSTYBĖS ĮMONĖJE REGISTRŲ CENTRE TAISYKLIŲ PATVIRTINIMO“ PAKEITIMO

 

2023 m. gruodžio 22 d. Nr. VE-632 (1.3 E)

Vilnius

 

 

P a k e i č i u Asmens duomenų tvarkymo valstybės įmonėje Registrų centre taisykles, patvirtintas valstybės įmonės Registrų centro direktoriaus 2018 m. gegužės 24 d. įsakymu Nr. v-171 „Dėl Asmens duomenų tvarkymo valstybės įmonėje Registrų centre taisyklių patvirtinimo“, ir jas išdėstau nauja redakcija (pridedama).

 

 

Generalinis direktorius                                                                                                    Adrijus Jusas

 

PATVIRTINTA

valstybės įmonės Registrų centro

direktoriaus 2018 m. gegužės 24 d. įsakymu

Nr. v-171

(valstybės įmonės Registrų centro

generalinio direktoriaus 2023 m. gruodžio 22 d.

įsakymo Nr. VE-632 (1.3 E)

redakcija)

 

ASMENS DUOMENŲ TVARKYMO VALSTYBĖS ĮMONĖJE REGISTRŲ CENTRE TAISYKLĖS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.  Asmens duomenų tvarkymo valstybės įmonėje Registrų centre taisyklių (toliau – Taisyklės) tikslas – reglamentuoti asmens duomenų tvarkymą valstybės įmonėje Registrų centre (toliau – Registrų centras), užtikrinant, kad būtų laikomasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą, nuostatų.

2.    Taisyklių nuostatos taikomos Registrų centrui, juridinio asmens kodas 124110246, buveinės adresas Lvivo g. 25-101, 09320 Vilnius, kai jis asmens duomenis tvarko kaip duomenų valdytojas, arba duomenų valdytojų (ministerijų ar kitų įstaigų) vardu, kaip duomenų tvarkytojas, kai asmens duomenys tvarkomi valstybės registruose ir valstybės informacinėse sistemose.

3.    Taisyklėse vartojamos sąvokos:

3.1. Duomenų subjektas – fizinis asmuo (įskaitant Registrų centro darbuotojus), kurio asmens duomenis tvarko Registrų centras;

3.2. Duomenų subjekto asmens duomenys (toliau – duomenys) – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima tiesiogiai arba netiesiogiai nustatyti, visų pirma pagal identifikatorių: vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių, arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

3.3. Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su duomenimis ar duomenų rinkiniais atliekama operacija ar operacijų seka: rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

3.4. Duomenų tvarkymo veiklos įrašas (toliau – veiklos įrašas) – Registrų centro, veikiančio kaip duomenų valdytojas arba duomenų tvarkytojas, parengtas dokumentas, skirtas duomenų tvarkymo operacijų fiksavimui toje veikloje už kurią jis atsako;

3.5. Interesų balanso testas – teisėtų interesų vertinimas, kurio metu siekiama išsiaiškinti tikėtiną teigiamą ir neigiamą poveikį duomenų subjektų pagrindinėms teisėms ir laisvėms, galimas apsaugos priemones, siekiant išvengti neigiamų pasekmių, bei nustatyti, ar teisėti duomenų valdytojo ar trečiosios šalies interesai iš tiesų yra viršesni už duomenų subjektų interesus bei pagrindines teises ir laisves;

3.6. Poveikio duomenų apsaugai vertinimas (toliau – PDAV) – procesas, skirtas duomenų tvarkymo operacijai aprašyti ir tokios duomenų tvarkymo operacijos reikalingumui ir proporcingumui įvertinti, apimantis pavojaus įvertinimą ir jo pašalinimo priemonių nustatymą.

4.    Duomenys Registrų centre tvarkomi laikantis Reglamento (ES) 2016/679 5 straipsnyje nurodytų su duomenų tvarkymu susijusių principų, esant bent vienai Reglamento (ES) 2016/679 6 straipsnio 1 dalies a–f punktuose ir 9 straipsnio 2 dalies b ir h punktuose, 10 straipsnyje nurodytai teisėto duomenų tvarkymo sąlygai. Registrų centrui tvarkant duomenis valstybės registruose ir valstybės informacinėse sistemose duomenų valdytojų vardu, remiamasi Reglamento (ES) 2016/679 6 straipsnio 1 dalies c punktu (tvarkyti duomenis įpareigoja teisės aktai).

5.  Duomenys Registrų centre renkami tiesiogiai iš duomenų subjekto arba gaunami iš kitų fizinių ir (ar) juridinių asmenų arba susijusių valstybės registrų ir (ar) valstybės informacinių sistemų.

 

II SKYRIUS

DUOMENŲ TVARKYMAS

 

6. Duomenys Registrų centre gali būti tvarkomi tik tuo tikslu, kuriuo yra renkami ir toliau netvarkomi su tais tikslais nesuderinamu būdu. Jeigu duomenys nėra būtini konkrečiam tikslui pasiekti, jie negali būti tvarkomi.

7. Konkretūs tvarkomi duomenys, jų tvarkymo tikslai, saugojimo terminai ir tvarkymo teisiniai pagrindai yra nurodyti veiklos įrašuose, kurie turi atitikti Reglamento (ES) 2016/679 30 straipsnio reikalavimus, ir kuriais privalo vadovautis Registrų centro darbuotojai tvarkydami duomenis. Veiklos įrašai tvarkomi vadovaujantis Registrų centro proceso apraše nustatyta tvarka.

8Duomenų subjektams informacija apie duomenų tvarkymą pateikiama privatumo pranešimuose, vadovaujantis Taisyklių III skyriuje „Duomenų subjekto teisės“ nustatyta tvarka.

9Bet koks duomenų tvarkymas, kuris remiasi Registrų centro teisėtu interesu, gali būti vykdomas tik atlikus interesų balanso testą.

10Pasibaigus duomenų saugojimo terminui duomenys turi būti sunaikinami (ištrinami arba nuasmeninami). Jei Registrų centras nustato, kad saugoti duomenis toliau yra būtina, ypač atsižvelgiant į būtinybę panaudoti duomenis kaip įrodymą ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos (toliau – Inspekcija) vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais teisės aktų nustatytais atvejais, toks sprendimas turi būti dokumentuojamas. Prieš priimant sprendimą pratęsti duomenų saugojimo terminą, konsultuojamasi su Registrų centro duomenų apsaugos pareigūnu.

11.     Kai dėl duomenų tvarkymo, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms ir laisvėms gali kilti didelis pavojus, turi būti atliekamas PDAV. PDAV padeda Registrų centrui valdyti pavojų, kuris fizinių asmenų teisėms ir laisvėms kyla dėl duomenų tvarkymo. PDAV vykdomas vadovaujantis Registrų centro proceso apraše nustatyta tvarka.

12.     Registrų centro tvarkomų valstybės registrų ir informacinių sistemų bei vidaus informacinių sistemų testavimui (toliau – testavimas) duomenys gali būti naudojami tik tuo atveju, kai tai pagrįstai būtina konkretaus testavimo tikslams pasiekti ir kai nėra galimybių testavimo atlikti nenaudojant duomenų (naudojant fiktyvius, nuasmenintus duomenis), taip pat įvertinus būtiną minimalų duomenų kiekį, t. y. testavimui gali būti panaudojama tik tokia duomenų apimtis, kuri būtina konkretaus testavimo tikslams pasiekti. Konkretaus testavimo procedūros, kurios metu tvarkomi duomenys, turi būti dokumentuojamos.

 

III SKYRIUS

DUOMENŲ SUBJEKTO TEISĖS

 

13Duomenų subjektams informacija pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius pateikiama privatumo pranešimuose, kurie viešai skelbiami Registrų centro interneto svetainėje www.registrucentras.lt skiltyje „Asmens duomenų apsauga“, taip pat gali būti teikiama elektroniniu paštu, klientų aptarnavimo padaliniuose arba bendruoju kontaktiniu telefonu. Privatumo pranešimai apie Registrų centro darbuotojų duomenų tvarkymą yra skelbiami Registrų centro darbuotojams skirtoje vidaus intraneto svetainės skiltyje „Asmens duomenų apsauga“.

14. Kai Registrų centras duomenis tvarko valstybės registruose ir valstybės informacinėse sistemose duomenų valdytojų vardu kaip duomenų tvarkytojas, duomenų subjektų teisės įgyvendinamos atitinkamo valstybės registro ar valstybės informacinės sistemos duomenų valdytojo patvirtintame teisės akte nustatyta tvarka.

15. Kai Registrų centras duomenis tvarko kaip duomenų valdytojas, duomenų subjektai turi šias teises:

15.1.  teisę gauti informaciją apie duomenų tvarkymą (įgyvendinama pagal Taisyklių 13 punktą);

15.2.  teisę susipažinti su duomenimis;

15.3.  teisę reikalauti ištaisyti duomenis;

15.4.  teisę reikalauti ištrinti duomenis („teisė būti pamirštam“). Ši teisė įgyvendinama Reglamento (ES) 2016/679 17 straipsnio 1 dalyje nustatytais atvejais, išskyrus 3 dalyje nustatytus atvejus;

15.5.  teisę apriboti duomenų tvarkymą. Ši teisė taikoma Reglamento (ES) 2016/679 18 straipsnio 1 dalyje nustatytais atvejais;

15.6.  teisę į duomenų perkeliamumą;

15.7.  teisę nesutikti su duomenų tvarkymu. Ši teisė taikoma Reglamento (ES) 2016/679 21 straipsnyje nustatytais atvejais.

16.     Duomenų subjektas dėl jo, kaip duomenų subjekto, teisių įgyvendinimo (išskyrus Taisyklių 15.1 papunktyje nurodytą teisę) turi kreiptis į Registrų centrą raštu, pateikdamas prašymą (rekomenduojamos prašymų formos yra skelbiamos Registrų centro interneto svetainėje www.registrucentras.lt skiltyje „Asmens duomenų apsauga“):

16.1.  asmeniškai Registrų centro klientų aptarnavimo padalinyje;

16.2.  paštu ar per pašto ar kitų siuntinių pristatymo paslaugas teikiančius asmenis, adresu Lvivo g. 25-101, 09320 Vilnius;

16.3.  elektroniniu paštu [email protected];

16.4.  naudojantis Nacionalinės elektroninių siuntų pristatymo naudojant pašto tinklą informacinės sistemos elektroninio pristatymo dėžute (toliau – E. dėžutė). E. dėžutės adresas – 124110246.

17.     Prašyme įgyvendinti duomenų subjekto teises turi būti nurodyta: 

17.1.  fizinio asmens vardas, pavardė, asmens kodas (interesų Lietuvoje turinčio užsieniečio kodas (toliau – ILTU kodas), gimimo data, jei asmuo neturi suteikto asmens kodo);

17.2.  atstovo vardas, pavardė, asmens kodas (ILTU kodas, gimimo data, jei asmuo neturi suteikto asmens kodo) arba juridinio asmens pavadinimas ir kodas, juridinio asmens atstovo vardas, pavardė, jei prašymą teikia fizinį asmenį atstovaujantis asmuo, atstovavimo pagrindas;

17.3.  pasirinkta kontaktinė informacija ryšiui su asmeniu palaikyti – telefono numeris, elektroninio pašto adresas, E. dėžutė, kontaktinis arba gyvenamosios vietos adresas arba prireikus kitų elektroninių ryšių priemonių nuorodos ir (ar) numeriai.

18.     Prašymas turi būti pasirašytas prašymą pateikusio asmens arba jo atstovo.

19.     Duomenų subjektas, pateikdamas prašymą įgyvendinti duomenų subjekto teises, privalo patvirtinti savo tapatybę:

19.1. kai prašymas teikiamas Registrų centro klientų aptarnavimo padalinyje, Registrų centro darbuotojui privalo būti pateikiamas Lietuvos Respublikos ar užsienio valstybės išduotas asmens tapatybę patvirtinantis dokumentas arba leidimas gyventi Lietuvos Respublikoje, arba Europos ekonominės erdvės valstybėje išduotas vairuotojo pažymėjimas, atitinkantis 2006 m. gruodžio 20 d. Europos Parlamento ir Tarybos direktyvos 2006/126/EB dėl vairuotojo pažymėjimų (nauja redakcija) I priede nustatytus reikalavimus; 

19.2.  kai prašymas teikiamas elektroniniu paštu, prašymas turi būti pasirašytas saugiu elektroniniu parašu, patvirtintu kvalifikuotu sertifikatu;

19.3.  kai prašymas pateikiamas paštu ar per pašto ar kitų siuntinių pristatymo paslaugas teikiančius asmenis, kartu su pasirašytu prašymu turi būti pateikiama asmens tapatybę patvirtinančio dokumento kopija.

20.     Teikiant prašymą per atstovą turi būti pateikiamas atstovavimą patvirtinantis dokumentas ar jo kopija, patvirtinta teisės aktų nustatyta tvarka, o kai įgaliojimas sudarytas informacinių technologijų priemonėmis ir duotas jį įregistruojant Įgaliojimų registre, – prašyme turi būti nurodyti įgaliojimą identifikuojantys duomenys. Atstovas taip pat turi patvirtinti savo tapatybę Taisyklių 19 punkte nustatyta tvarka.

21.     Esant abejonių dėl duomenų subjekto ar jo atstovo tapatybės, Registrų centras turi teisę paprašyti papildomos informacijos, reikalingos ja įsitikinti.

22.    Tais atvejais, kai duomenų subjektas nenurodo, dėl kokios konkrečios duomenų tvarkymo veiklos pateiktas prašymas ar (ir) prašymą dėl duomenų subjekto teisių įgyvendinimo suformuluoja neaiškiai, o Registrų centras tvarko didelį informacijos, susijusios su duomenų subjektu, kiekį, jis, vadovaujantis Reglamento (ES) 2016/679 preambulės 63 konstatuojamąja dalimi, gali paprašyti duomenų subjekto nurodyti, dėl kokios informacijos ar duomenų tvarkymo veiklos pateiktas prašymas, prašyti patikslinti prašymą. Duomenų subjektui pateikus patikslintą prašymą, duomenų subjekto teisės įgyvendinamos pagal patikslintą prašymą.

23.     Duomenų subjektas, nesutikdamas su Registrų centro priimtu sprendimu dėl pateikto prašymo, susijusio su jo, kaip duomenų subjekto, teisių įgyvendinimu, turi teisę pateikti skundą Inspekcijai Asmens duomenų teisinės apsaugos įstatymo nustatyta tvarka.

 

IV SKYRIUS

DUOMENŲ APSAUGOS PAREIGŪNAS

 

24. Siekiant užtikrinti atitiktį Reglamentui (ES) 2016/679, Registrų centras paskiria duomenų apsaugos pareigūną, kuris atlieka Reglamento (ES) 2016/679 39 straipsnio 1 dalyje, Registrų centro vidaus teisės aktuose ir veiklos procesų aprašuose nustatytas užduotis.

25. Atsižvelgiant į tvarkomų duomenų mastą ir siekiant užtikrinti atitiktį Reglamentui (ES) 2016/679, Registrų centre gali būti paskirti keli duomenų apsaugos pareigūnai, kurie tokiu atveju užduotis ir funkcijas atlieka pagal kuruojamas Registrų centro veiklos sritis.

26. Duomenų apsaugos pareigūnas, vykdydamas užduotis, veikia nepriklausomai ir autonomiškai. Tai reiškia, kad, vykdydamas Reglamentu (ES) 2016/679 nustatytas užduotis, duomenų apsaugos pareigūnas neturi gauti nurodymų, kaip spręsti klausimą, kaip tirti skundą ir ar konsultuotis su Inspekcija. Be to, jam neturi būti nurodoma laikytis tam tikro požiūrio į su duomenų apsaugos teise susijusį klausimą (pavyzdžiui, tam tikro teisės aiškinimo).

27. Dėl bet kokių funkcijų ir užduočių atlikimo duomenų apsaugos pareigūnui negali kilti interesų konfliktas. Jeigu duomenų apsaugos pareigūnui, atliekant pavestas funkcijas ir užduotis, kyla interesų konflikto galimybė, atsižvelgiant į Reglamento (ES) 2016/679 38 straipsnio 6 dalį, jis privalo nusišalinti nuo šių funkcijų ar užduočių atlikimo Registrų centro nustatyta tvarka.

28. Duomenų apsaugos pareigūnas privalo būti tinkamai ir laiku įtraukiamas į visų su duomenų apsauga susijusių klausimų nagrinėjimą, jam turi būti suteikti užduotims atlikti būtini ištekliai (taip pat ir kitų Registrų centro padalinių metodinė pagalba, ekspertinės žinios), užtikrinta galimybė susipažinti su duomenimis ir išlaikyti savo ekspertines žinias bei kitos Reglamento (ES) 2016/679 38 straipsnyje numatytos garantijos.

29. Duomenų apsaugos pareigūnas, atsižvelgdamas į galimas rizikas, kartą per metus inicijuoja ir atlieka patikrinimus bent vienoje pasirinktoje duomenų tvarkymo srityje. Duomenų apsaugos pareigūnas patikrinimo metu analizuoja ir vertina, ar duomenų tvarkymo veikla atitinka Reglamento (ES) 2016/679 ir kitų duomenų tvarkymą reglamentuojančių teisės aktų reikalavimus. Patikrinimų metu Registrų centro darbuotojai privalo laiku teikti reikiamą informaciją, atsakyti į duomenų apsaugos pareigūno pateiktus klausimus. Atliktų patikrinimų rezultatai ir siūlomi korekciniai veiksmai yra įforminami Registrų centro nustatyta tvarka bei pristatomi Registrų centro aukščiausio lygio vadovams, struktūrinių padalinių, kurie tvarko duomenis duomenų apsaugos pareigūno tikrintoje veiklos srityje, vadovams.

30. Asmenys gali kreiptis į duomenų apsaugos pareigūną visais klausimais, susijusiais su duomenų tvarkymu Registrų centre ir duomenų subjekto teisių, nustatytų Reglamente (ES) 2016/679, įgyvendinimu. Tais atvejais, kai keliamas klausimas yra priskirtas kito Registrų centro padalinio kompetencijai, duomenų apsaugos pareigūnas nedelsiant asmens kreipimąsi perduoda šiam padaliniui.

31. Duomenų apsaugos pareigūnas su duomenų subjektais ir kitais fiziniais ir juridiniais asmenimis bendrauja elektroniniu paštu [email protected]. Duomenų apsaugos pareigūnas su Registrų centro darbuotojais bendrauja vidiniais komunikacijos kanalais.

32. Duomenų apsaugos pareigūnas nėra asmeniškai atsakingas, jei Registrų centre nesilaikoma duomenų apsaugos reikalavimų, t. y. Registrų centras, tiek kaip duomenų valdytojas, tiek kaip paskirtas duomenų tvarkytojas, privalo užtikrinti ir sugebėti įrodyti, kad duomenys tvarkomi laikantis Reglamento (ES) 2016/679 ir kitų teisės aktų, reglamentuojančių duomenų tvarkymą ir apsaugą.

 

V SKYRIUS

ORGANIZACINĖS IR TECHNINĖS DUOMENŲ SAUGUMO PRIEMONĖS

 

33.  Siekiant užtikrinti tiek automatiniu, tiek ir ne automatiniu būdu tvarkomų duomenų saugumą, atsižvelgiant į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų pobūdį ir jų tvarkymo keliamą riziką, įgyvendinamos šios organizacinės ir techninės duomenų saugumo priemonės:

33.1.  organizacinės duomenų saugumo priemonės, apimančios duomenų saugumo politiką ir procedūras, vaidmenis ir atsakomybę, prieigų valdymą, išteklių ir turto valdymą, informacinių išteklių pokyčių valdymą, reikalavimus paslaugų teikėjams (duomenų tvarkytojams), duomenų saugumo pažeidimų ir incidentų valdymą, konfidencialumo užtikrinimą, veiklos tęstinumą, mokymus;

33.2.  techninės duomenų saugumo priemonės, apimančios prieigos kontrolę ir autentifikavimą, techninių žurnalų įrašus ir stebėseną, tarnybinių stočių ir duomenų bazių apsaugą, darbo stočių apsaugą, tinklo ir komunikacijos saugą, atsargines kopijas, mobiliuosius ir nešiojamus įrenginius, programinės įrangos saugą, duomenų naikinimą, fizinę saugą.

34.  Konkrečios techninės ir organizacinės duomenų saugumo priemonės nustatytos:

34.1.  Registrų centro generalinio direktoriaus patvirtintuose Valstybės įmonės Registrų centro tvarkomų informacinių išteklių saugos nuostatuose, Valstybės įmonės Registrų centro tvarkomų vidaus informacinių išteklių naudotojų administravimo taisyklėse, Valstybės įmonės Registrų centro tvarkomų vidaus informacinių išteklių saugaus elektroninės informacijos tvarkymo taisyklėse, Valstybės įmonės Registrų centro tvarkomų vidaus informacinių išteklių veiklos tęstinumo valdymo plane ir Valstybės įmonės Registrų centro tvarkomų vidaus informacinių išteklių pokyčių valdymo tvarkos apraše, kai Registrų centras tvarko duomenis kaip duomenų valdytojas;

34.2Valstybės registro ar valstybės informacinės sistemos duomenų valdytojo patvirtintoje saugos politikoje, kurią sudaro valstybės registro ar valstybės informacinės sistemos duomenų saugos nuostatai, Saugaus elektroninės informacijos duomenų tvarkymo taisyklės, veiklos tęstinumo planas ir Informacinės sistemos naudotojų administravimo taisyklės, tais atvejais, kai Registrų centras duomenis tvarko kaip duomenų tvarkytojas valstybės registruose ir (ar) valstybės informacinėse sistemose.

 

VI SKYRIUS

REIKALAVIMAI DARBUOTOJAMS, TVARKANTIEMS DUOMENIS

 

35.     Kiekvienas darbuotojas privalo: 

35.1.  tvarkydamas duomenis, laikytis su duomenų tvarkymu susijusių principų, duomenų tvarkymo saugumo reikalavimų, įtvirtintų Reglamente (ES) 2016/679, Asmens duomenų teisinės apsaugos įstatyme, Taisyklėse ir kituose teisės aktuose, reglamentuojančiuose duomenų tvarkymą; 

35.2.  laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su duomenimis susijusią informaciją, su kuria jis susipažino vykdydamas darbo funkcijas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti duomenų paslaptį galioja ir perėjus dirbti į kitas pareigas ar pasibaigus darbo santykiams Registrų centre;

35.3.  tvarkyti duomenis tik tiek, kiek reikia darbo funkcijoms atlikti, ir tik ta apimtimi, kiek tai reikalinga jų vykdymui;   

35.4.  naudoti technines ir organizacines duomenų apsaugos priemones, užtikrinančias duomenų apsaugą nuo neleistinos prieigos, neteisėto rinkimo, naudojimo ir saugojimo, neteisėto ar netyčinio praradimo, sunaikinimo, pakeitimo ar sugadinimo;  

35.5.  nesaugoti (nekaupti) duomenų jokiose darbuotojui priklausančiose asmeninėse laikmenose (įskaitant ir popieriniu formatu), kompiuterinėje ar programinėje įrangoje (internetinėse duomenų saugyklose, atmintinėse, kompiuteriuose, telefonuose ir pan.), nebent konkrečiu atveju darbuotojui būtų leista naudoti konkrečias asmenines priemones darbo funkcijų vykdymui; 

35.6.  kai darbuotojui leidžiama naudoti asmenines atmintines ir (ar) kompiuterinę ar programinę įrangą darbo funkcijoms vykdyti, pasibaigus darbo santykiams perduoti visus darbuotojo bet kokiose informacijos rinkmenose (asmeninėse internetinėse saugyklose, atmintinėse, asmeniniame kompiuteryje, telefone ir pan.) esančius darbo funkcijoms skirtus duomenis Registrų centrui ir sunaikinti visas tokios informacijos kopijas; 

35.7.  pranešti apie duomenų saugumo pažeidimą Registrų centro generalinio direktoriaus patvirtintame Asmens duomenų saugumo pažeidimų valdymo valstybės įmonėje Registrų centre tvarkos apraše nustatyta tvarka; 

35.8.  konsultuotis su duomenų apsaugos pareigūnu. Konsultavimosi su duomenų apsaugos pareigūnu procesas vyksta vadovaujantis Registrų centro proceso apraše nustatyta tvarka;

35.9. išklausyti (ar susipažinti su mokomąja medžiaga) mokymus, susijusius su duomenų tvarkymu.

 

VII SKYRIUS

DUOMENŲ TVARKYTOJŲ PASITELKIMAS

 

36.     Registrų centras, prieš pasitelkdamas kitą duomenų tvarkytoją, įsitikina, kad duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines saugumo priemones, kad duomenų tvarkymas atitiktų Reglamento (ES) 2016/679 ir kitų duomenų apsaugą reguliuojančių teisės aktų reikalavimus ir būtų užtikrinta duomenų subjektų teisių apsauga.

37.     Tais atvejais, kai Registrų centras tvarko duomenis kaip duomenų tvarkytojas, jis nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus arba bendrojo rašytinio valstybės registro ar valstybės informacinės sistemos duomenų valdytojo leidimo.

38.     Registrų centras, sudarydamas paslaugų teikimo ar prekių pirkimo sutartį su paslaugos teikėju ar pardavėju, kuris duomenis tvarkys kaip duomenų tvarkytojas, duomenų tvarkymo reikalavimus nustato duomenų tvarkymo sutartyje.

 

VIII SKYRIUS

SLAPUKAI

 

39.     Tvarkant duomenis Registrų centro interneto svetainėje ar Registrų centro tvarkomo valstybės registro ar valstybės informacinės sistemos interneto svetainėje, naudojami šių tipų slapukai:

39.1būtinieji slapukai. Šie slapukai naudojami Reglamento (ES) 2016/679 6 straipsnio 1 dalies f punktu (teisėtu interesu);

39.2 nebūtinieji slapukai. Šio tipo slapukai naudojami Reglamento (ES) 2016/679 6 straipsnio 1 dalies a punktu (kliento sutikimu).

40.     Jeigu klientas nepažymi, kad sutinka su nebūtinųjų slapukų naudojimu, šio tipo slapukai negali būti naudojami.

41.     Informacija apie naudojamus slapukus klientui turi būti pateikta kiekvieno prisijungimo prie Registrų centro interneto svetainės ar Registrų centro tvarkomo valstybės registro ar valstybės informacinės sistemos interneto svetainės metu. Pateikiamoje informacijoje turi būti nurodyta:

41.1.  slapukų paskirtis, pavadinimas, galiojimo laikas;

41.2.  informacija kaip pašalinti (ištrinti) slapukus iš įrenginio;

41.3.  nuorodos į detalias instrukcijas priklausomai nuo naudojamos naršyklės;

41.4. informacija apie naudojamus trečiųjų šalių slapukus.

 

IX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

42.     Taisyklės periodiškai, bet ne rečiau kaip kartą per metus, peržiūrimos ir, prireikus, atnaujinamos.

43.     Už Taisyklių atnaujinimą atsakingas Teisės departamento Asmens duomenų teisinės apsaugos skyrius.

44.     Registrų centro darbuotojas, pažeidęs Taisyklių reikalavimus, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.

_________________