LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRAS
ĮSAKYMAS
DĖL ASMENS DUOMENŲ TVARKYMO TAISYKLIŲ PATVIRTINIMO
2020 m. balandžio 9 d. Nr. V-786
Vilnius
Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir atsižvelgdamas į Europos Komisijos 2018 m. sausio 24 d. komunikatą Europos Parlamentui ir Tarybai „Didesnė apsauga, naujos galimybės. Komisijos gairės dėl tiesioginio Bendrojo duomenų apsaugos reglamento taikymo nuo 2018 m. gegužės 25 d.“:
2. Skiriu Lietuvos Respublikos sveikatos apsaugos ministerijos patarėją Neringą Viliūnaitę atsakinga už Asmens duomenų tvarkymo taisyklių įgyvendinimo priežiūrą.
3. Pavedu Dokumentų valdymo ir asmenų priėmimo skyriui su šiuo įsakymu supažindinti Lietuvos Respublikos sveikatos apsaugos ministerijos valstybės tarnautojus ir darbuotojus, dirbančius pagal darbo sutartis.
PATVIRTINTA
Lietuvos Respublikos sveikatos apsaugos
ministro
2020 m. balandžio 9 d. įsakymu Nr. V-786
ASMENS DUOMENŲ TVARKYMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo taisyklės (toliau – Taisyklės) reglamentuoja asmens duomenų tvarkymą Lietuvos Respublikos sveikatos apsaugos ministerijoje (toliau – Ministerija), užtikrinant 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ) ir kitų teisės aktų, nustatančių asmens duomenų tvarkymą ir apsaugą, nuostatų laikymąsi ir įgyvendinimą.
2. Taisyklių paskirtis – numatyti pagrindines asmens duomenų tvarkymo ir asmens duomenų saugos organizacines priemones. Asmens duomenų tvarkymą Ministerijos valdomuose registruose ir valstybės informacinėse sistemose reglamentuoja šių registrų ir informacinių sistemų nuostatai.
3. Taisyklių privalo laikytis visi Ministerijos valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis, praktikantai bei stažuotojai, atliekantys praktiką arba besistažuojantys Ministerijoje (toliau – darbuotojas), taip pat kiti asmenys, kurie, tvarkydami asmens duomenis Ministerijoje ir (arba) eidami savo pareigas, sužino asmens duomenis arba turi bet kokio pobūdžio prieigą prie asmens duomenų.
4. Ministro paskirtas darbuotojas yra atsakingas už Taisyklių įgyvendinimo priežiūrą ir kartu su kitais Taisyklėse nurodytais darbuotojais atlieka Taisyklėse įtvirtintas funkcijas. Asmens, atsakingo už Taisyklių įgyvendinimo priežiūrą, paskyrimas nepanaikina kiekvieno darbuotojo, kuris tvarko asmens duomenis, eidamas savo pareigas juos sužino arba turi bet kokio pobūdžio prieigą prie asmens duomenų, pareigos ir atsakomybės už Taisyklių laikymąsi ir įgyvendinimą bei asmens duomenų tvarkymo teisėtumą. Už Taisyklių nesilaikymą taikoma atsakomybė teisės aktų nustatyta tvarka.
5. Taisyklėse vartojamos sąvokos suprantamos taip, kaip jas apibrėžia Reglamentas (ES) 2016/679 ir ADTAĮ.
II SKYRIUS
ASMENS DUOMENŲ TVARKYMAS
PIRMASIS SKIRSNIS
ASMENS DUOMENŲ TVARKYMO BENDROSIOS NUOSTATOS
7. Ministerijoje visi asmens duomenys yra tvarkomi griežtai vadovaujantis Reglamento (ES) 2016/679 5 straipsnio 1 dalyje nustatytų teisėtumo, sąžiningumo ir skaidrumo, tikslo apribojimo, duomenų kiekio mažinimo, tikslumo, saugojimo trukmės apribojimo, vientisumo ir konfidencialumo principų.
8. Asmens duomenys gali būti tvarkomi tik tuo tikslu, kuriuo yra renkami. Jeigu asmens duomenys nėra būtini tam, kad būtų pasiektas konkretus tikslas, jie negali būti tvarkomi. Konkrečiam tikslui pasiekti yra tvarkomas kiek įmanoma mažesnis kiekis asmens duomenų. Asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, turi būti nedelsiant ištrinami arba ištaisomi – Ministerijoje imamasi visų pagrįstų priemonių užtikrinti, kad būtų laikomasi Reglamento (ES) 2016/679 5 straipsnio 1 dalyje nustatytų principų. Asmens duomenys tvarkomi ir saugomi ne ilgiau, negu nustatytas jų saugojimo terminas, kuris turi būti ne ilgesnis, negu yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.
9. Ministerijoje asmens duomenys gali būti tvarkomi tik tada, jeigu yra bent viena iš Reglamento (ES) 2016/679 6 straipsnio 1 dalyje įtvirtintų teisėto tvarkymo sąlygų.
10. Draudžiama tvarkyti specialių kategorijų asmens duomenis, išskyrus tuos atvejus, jeigu yra bent viena iš Reglamento (ES) 2016/679 9 straipsnio 2 dalyje numatytų sąlygų.
11. Asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas Ministerija tvarko tik tais atvejais, kai tokią teisę tiesiogiai nustato teisės aktai.
12. Konkretūs tvarkomi asmens duomenys, jų tvarkymo tikslai, saugojimo terminai bei tvarkymo teisiniai pagrindai yra numatyti duomenų tvarkymo veiklos įrašuose, kuriais privalo vadovautis darbuotojai.
13. Darbuotojai prieš kiekvieną asmens duomenų tvarkymo operaciją (veiksmą) privalo įvertinti, ar toks asmens duomenų tvarkymas atitinka Taisyklių 7 ir 8 punktuose įtvirtintus reikalavimus, bei užtikrinti, kad kiekviena duomenų tvarkymo operacija (veiksmas) atitiktų minėtus reikalavimus, taip pat įvertinti, ar toks asmens duomenų tvarkymas turi bent vieną Taisyklių 9 ar 10 punktuose įtvirtintą asmens duomenų tvarkymo pagrindą, bei užtikrinti, kad asmens duomenys nebūtų tvarkomi, jei nėra bent vieno iš minėtų teisinių pagrindų.
14. Ministerijoje asmens duomenys nėra tvarkomi tiesioginės rinkodaros tikslais. Ministerijos veikloje nėra vykdomas profiliavimas.
15. Ministerijos vidaus dokumentuose papildomi duomenų subjektų identifikavimo duomenys, tokie kaip asmens kodas, jeigu tai nėra būtina duomenų subjekto tapatybei nustatyti, kitam teisėtam tikslui pasiekti arba jeigu to nenustato teisės aktai, nenaudojami.
16. Siekiant užtikrinti, kad asmens duomenys Ministerijoje būtų saugomi tik nustatytą terminą, visi Ministerijoje tvarkomi asmens duomenys yra fiksuojami duomenų tvarkymo veiklos įrašuose. Asmens duomenų saugojimo terminai yra nurodyti duomenų tvarkymo veiklos įrašuose.
17. Pasibaigus asmens duomenų saugojimo terminui, jis gali būti pratęstas, jeigu Ministerija nustato, kad saugoti asmens duomenis toliau yra būtina, ypač atsižvelgiant į būtinybę panaudoti asmens duomenis kaip įrodymą ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos (toliau – Inspekcija) vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais teisės aktų nustatytais atvejais. Prieš priimant sprendimą pratęsti asmens duomenų saugojimo terminą, konsultuojamasi su Ministerijos duomenų apsaugos pareigūnu.
ANTRASIS SKIRSNIS
REIKALAVIMAI SUTIKIMUI, KAIP ASMENS DUOMENŲ TVARKYMO PAGRINDUI
18. Asmens duomenys sutikimo pagrindu tvarkomi:
18.1. kai tai tiesiogiai numatyta Taisyklėse, Reglamente (ES) 2016/679, ADTAĮ arba kituose teisės aktuose;
18.2. kai, atsižvelgiant į duomenų tvarkymo tikslą ar duomenų kiekį, Ministerija neturi kito teisinio pagrindo tvarkyti asmens duomenis ar įvykdyti kitus Reglamente (ES) 2016/679 nustatytus įpareigojimus visa apimtimi. Jeigu asmens duomenys, atsižvelgiant į jų kiekį ir tvarkymo tikslus, gali būti tvarkomi bent vienu Reglamente (ES) 2016/679 įtvirtintų pagrindų, duomenų subjekto sutikimas papildomai nėra prašomas pateikti;
19. Duomenų subjekto sutikimas dėl asmens duomenų tvarkymo yra užpildomas raštu ir teikiamas Ministerijai pagal patvirtintą formą (Taisyklių 1 priedas).
20. Duomenų subjekto sutikimai gali būti renkami šiais būdais: raštu, įskaitant gautus elektroninėmis priemonėmis, žodžiu ar veiksmais, jeigu yra galimybė įrodyti, kad toks sutikimas buvo duotas, ir jeigu duomenų subjektas savo veiksmais aiškiai sutinka su siūlomu jo asmens duomenų tvarkymu. Pirmenybė kiekvienu atveju yra teikiama duomenų subjekto sutikimams, gautiems raštu (įskaitant gautus elektroninėmis priemonėmis), o kiti sutikimo būdai gali būti naudojami tik kiekvienu konkrečiu atveju įsitikinus, kad yra įmanoma įrodyti duomenų subjekto sutikimo davimo faktą. Duomenų subjekto tylėjimas, iš anksto pažymėti laukai arba neveikimas nelaikomi duomenų subjekto sutikimu.
21. Visais atvejais, kai asmens duomenys yra tvarkomi duomenų subjekto sutikimo pagrindu, Ministerija privalo kaupti ir turėti įrodymus, kad duomenų subjektas davė Taisyklių 1 priede nustatytos formos ir turinio sutikimą.
22. Kai asmens duomenys yra tvarkomi sutikimo pagrindu, tvarkomi tik tie asmens duomenys, kurie nurodyti sutikime, tik tais tikslais, kurie nurodyti sutikime, ir su jais atliekamos tik tos tvarkymo operacijos (veiksmai), kurios nurodytos sutikime. Jeigu keičiasi tvarkomų duomenų kiekis, tvarkymo tikslas ar tvarkymo operacijos (veiksmai), privaloma gauti papildomą sutikimą tokiam duomenų tvarkymui arba turi egzistuoti kitas Taisyklėse, Reglamente (ES) 2016/679 įtvirtintas asmens duomenų tvarkymo teisinis pagrindas.
23. Sutikimas gali būti asmens duomenų tvarkymo pagrindas, jei atitinka šiuos reikalavimus:
23.1. duotas laisva duomenų subjekto valia. Vertinant, ar sutikimas duotas laisva valia, atsižvelgiama į šias aplinkybes:
23.1.1. ar sutarties vykdymui nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti (tokiu atveju nelaikoma, kad sutikimas duotas laisva valia);
23.1.2. ar duomenų subjektas yra verčiamas duoti sutikimą, neturi realaus pasirinkimo dėl sutikimo davimo, patiria spaudimą, negali realiai kontroliuoti sutikimo davimo bei asmens duomenų ar gali susilaukti neigiamų pasekmių (tiesioginių ir netiesioginių), jeigu sutikimas nebus duotas (tokiais atvejais nelaikoma, kad sutikimas duotas laisva valia);
23.1.3. jeigu sutikimas yra neatsiejamai susietas su sąlygomis, dėl kurių duomenų subjektas neturi galimybės derėtis ar jas pakeisti, preziumuojama, kad toks sutikimas nėra duotas laisva valia. Tokiu atveju Ministerija imasi papildomų priemonių šiai prezumpcijai paneigti ir užtikrinti, kad sutikimas būtų duodamas laisva valia;
23.1.4. jeigu yra aiški Ministerijos ir duomenų subjekto padėties neatitiktis ir dėl to tikėtina, kad sutikimas, atsižvelgiant į visas to konkretaus atvejo aplinkybes, gali nebūti duotas laisva valia. Tokiu atveju Ministerija imasi papildomų priemonių užtikrinti, kad sutikimas būtų duodamas laisva valia;
23.1.5. jeigu sutikimas yra siejamas su keliais duomenų tvarkymo tikslais ar keliomis duomenų tvarkymo operacijomis (veiksmais), duomenų subjektams turi būti sudaryta galimybė sutikti ne su visais tikslais ar operacijomis (veiksmais), o tik su atskirais tikslais ar operacijomis (veiksmais), jeigu jie nėra tarpusavyje tiesiogiai susiję. Priešingu atveju nelaikoma, kad sutikimas duotas laisva valia;
23.2. sutikimas yra konkretus ir išsamus. Laikoma, kad sutikimas yra konkretus ir išsamus, jeigu jis atitinka šiuos reikalavimus:
23.2.2. nurodyti konkretūs asmens duomenys, kurie bus tvarkomi konkrečiais duomenų tvarkymo tikslais;
23.3. sutikimą duomenų subjektas davė tinkamai informuotas. Tam, kad šis reikalavimas būtų įvykdytas, prieš duomenų subjektui pasirašant sutikimą jam turi būti pateikta Reglamento (ES) 2016/679 13 straipsnyje nurodyta informacija bei informuojama apie duomenų subjekto teisę bet kuriuo metu atšaukti savo sutikimą. Informacija gali būti pateikta raštu, žodžiu, audiovizualinėmis žinutėmis, tačiau visais atvejais tokiu būdu, kad Ministerija turėtų galimybę įrodyti, jog informacija duomenų subjektui buvo pateikta ir kad ji atitinka Reglamento (ES) 2016/679 13 straipsnyje įtvirtintą turinį;
23.4. sutikimas yra nedviprasmiškas duomenų subjekto valios išreiškimas, kad su juo susiję duomenys būtų tvarkomi. Sutikimas turi būti duodamas aktyviais veiksmais;
24. Visais atvejais sutikimas turi būti gaunamas prieš atliekant duomenų tvarkymo operacijas (veiksmus), dėl kurių renkamas sutikimas.
25. Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Duomenų subjektui atšaukus sutikimą, draudžiama tvarkyti asmens duomenis tais tikslais ir atlikti duomenų tvarkymo operacijas (veiksmus), kurios buvo atliekamos tokio sutikimo pagrindu, išskyrus atvejus, kai tokiam duomenų tvarkymui egzistuoja kitas Taisyklėse ar Reglamente (ES) 2016/679 įtvirtintas asmens duomenų tvarkymo teisinis pagrindas. Sutikimui atšaukti yra sudaromos analogiškos sąlygos kaip ir sutikimui duoti, draudžiama apsunkinti ar sudaryti papildomas sąlygas sutikimui atšaukti. Sutikimo atšaukimas negali sukelti duomenų subjektui neigiamų padarinių, įskaitant paslaugos kokybės sumažinimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie šiame punkte išdėstytas nuostatas privalo būti informuojamas prieš jam duodant sutikimą.
26. Ministerija imasi priemonių, kad sutikimai, kiek tai yra įmanoma atsižvelgiant į asmens duomenų tvarkymo tikslus ir apimtį, galiotų apibrėžtą terminą.
27. Sutikimas galioja iki jo atšaukimo momento arba iki sutikime nurodyto jo galiojimo termino pabaigos.
28. Sutikimas ir jame nurodyti asmens duomenys yra saugomi trejus metus nuo sutikimo atšaukimo arba jo galiojimo termino pabaigos, arba nuo Ministerijos sprendimo nebetvarkyti asmens duomenų sutikime nustatytais tikslais priėmimo dienos, išskyrus atvejus, kai teisės aktai numato kitokį duomenų saugojimo terminą. Jei sutikimo duomenys naudojami kaip įrodymai ikiteisminiame ar kitokiame tyrime, įskaitant ir Inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje arba kitais įstatymų nustatytais atvejais, asmens duomenys gali būti saugomi tiek, kiek reikia šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
29. Jeigu Ministerijos iki Taisyklių įsigaliojimo gauti sutikimai neatitinka šių Taisyklių reikalavimų, Ministerija nedelsdama atnaujina sutikimo formas, kad sutikimai atitiktų šių Taisyklių reikalavimus, išskyrus atvejus, kai toks sutikimų atnaujinimas būtų neproporcingas, o iki šių Taisyklių patvirtinimo dienos gauti sutikimai aiškiai išreiškė duomenų subjektų valią dėl jų duomenų tvarkymo ir buvo gauti remiantis teisės aktų reikalavimais.
TREČIASIS SKIRSNIS
DUOMENŲ SUBJEKTŲ INFORMAVIMAS
30. Ministerija privalo informuoti duomenų subjektą apie jo asmens duomenų tvarkymo veiklą. Kai asmens duomenys gaunami iš paties duomenų subjekto, duomenų subjektui pateikiama informacija apie asmens duomenų tvarkymą, nurodyta Reglamento (ES) 2016/679 13 straipsnyje, pagal Taisyklių 2 priede nustatytą formą.
31. Taisyklių 30 punkte nurodyta informacija duomenų subjektui pateikiama prieš gaunant asmens duomenis arba asmens duomenų gavimo metu.
32. Taisyklių 30 ir 31 punktai netaikomi, jeigu duomenų subjektas jau turi informaciją apie jo asmens duomenų tvarkymą, ir tokia apimtimi, kiek tos informacijos jis turi.
33. Kai asmens duomenys gaunami ne iš paties duomenų subjekto, Ministerija privalo duomenų subjektui pateikti informaciją apie asmens duomenų tvarkymą, nurodytą Reglamento (ES) 2016/679 14 straipsnyje, pagal Taisyklių 2 priede nustatytą formą.
34. Kai asmens duomenys gaunami ne iš paties duomenų subjekto, šių Taisyklių 33 punkte nurodyta informacija duomenų subjektui pateikiama:
34.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti, – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu;
35. Taisyklių 33 ir 34 punktai netaikomi, jeigu ir tiek, kiek:
35.2. tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų, arba jeigu dėl informavimo pareigos gali tapti neįmanoma pasiekti to tvarkymo tikslus arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus. Tokiais atvejais Ministerija imasi tinkamų priemonių duomenų subjekto teisėms ir laisvėms ir teisėtiems interesams apsaugoti, įskaitant viešą informacijos apie asmens duomenų tvarkymą paskelbimą Ministerijos interneto svetainės skiltyje „Asmens duomenų apsauga“;
35.3. duomenų gavimas ar atskleidimas aiškiai nustatytas teisės aktuose, kurie taikomi Ministerijai;
36. Jei Ministerija ketina toliau tvarkyti asmens duomenis kitu tikslu, nei tas, kuriuo asmens duomenys buvo renkami, prieš toliau tvarkydama asmens duomenis Ministerija pateikia duomenų subjektui informaciją apie kitą tikslą ir informaciją, kaip nurodyta Taisyklių 2 priede.
III SKYRIUS
DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI
38. Ministerijoje yra tvarkomi duomenų tvarkymo veiklos įrašai pagal šiose Taisyklėse patvirtintą formą (Taisyklių 3 priedas). Ministerijoje vykdoma asmens duomenų tvarkymo veikla privalo tiksliai atitikti duomenų tvarkymo veiklos įrašuose aprašytą veiklą.
39. Ministerijoje yra tvarkomi tik tie asmens duomenys ir tik tuo tikslu bei tuo teisiniu pagrindu, kurie nurodyti duomenų tvarkymo veiklos įrašuose.
42. Darbuotojai nedelsiant informuoja duomenų apsaugos pareigūną, jeigu Ministerijos duomenų tvarkymo veiklos įrašai neatitinka Ministerijos realaus poreikio dėl asmens duomenų tvarkymo, pateikdami duomenų tvarkymo veiklos įrašų užpildytą formą (Taisyklių 3 priedas).
43. Duomenų tvarkymo veiklos įrašai turi būti teisingi, aktualūs ir išsamūs, atspindėti realią Ministerijos duomenų tvarkymo veiklą.
44. Duomenų tvarkymo veiklos išrašai, gavus prašymą, pateikiami Inspekcijai jos prašyme nurodytais terminais.
45. Ministerijoje periodiškai, ne rečiau kaip vieną kartą per metus, tikrinama, ar Ministerijoje vykdoma asmens duomenų tvarkymo veikla atitinka duomenų tvarkymo veiklos įrašus. Už šias patikras yra atsakingas duomenų apsaugos pareigūnas, kuris patikrai atlikti gali pasitelkti Ministerijos darbuotojus. Patikros rezultatai yra įforminami išvada, kurioje nurodoma, ar Ministerijoje vykdoma asmens duomenų tvarkymo veikla atitinka duomenų tvarkymo veiklos įrašus, nurodomi trūkumai, jeigu tokie nustatyti, bei rekomendacijos, kaip nustatytus trūkumus ištaisyti. Patikros išvados pateikiamos Ministerijos kancleriui.
46. Duomenų apsaugos pareigūnas atlieka nuolatines patikras Ministerijoje, ar Ministerijoje vykdoma asmens duomenų tvarkymo veikla atitinka duomenų tvarkymo veiklos įrašus. Patikrų metu gali būti tikrinama tik konkreti duomenų tvarkymo operacija (veiksmas), konkrečios duomenų subjektų kategorijos duomenų tvarkymo veikla, konkretus duomenų tvarkymo veiklos epizodas. Patikros rezultatai yra įforminami protokolu, kuriame nurodoma, ar tikrinta Ministerijos vykdoma asmens duomenų tvarkymo veikla atitinka duomenų tvarkymo veiklos įrašus, nurodomi trūkumai, jeigu tokie nustatyti. Patikros protokolas yra teikiamas Ministerijos kancleriui. Patikros metu nustačius trūkumus, nedelsiant imamasi priemonių jiems ištaisyti.
IV SKYRIUS
DUOMENŲ APSAUGOS PAREIGŪNAS
47. Sveikatos apsaugos ministras įsakymu paskiria vieną Ministerijos duomenų apsaugos pareigūną ir, jam negalint vykdyti funkcijų ir atlikti užduočių, jį pavaduojantį asmenį.
48. Ministerijos duomenų apsaugos pareigūno kontaktiniai duomenys (vardas, pavardė, el. pašto adresas ir telefono ryšio numeris) yra skelbiami Ministerijoje tokiu būdu, kad darbuotojams būtų aišku, jog konkretus asmuo yra duomenų apsaugos pareigūnas, taip pat jo funkcijos bei uždaviniai. Duomenų apsaugos pareigūno kontaktiniai duomenys pranešami Inspekcijai, taip pat nurodomi Ministerijos internetinės svetainės skiltyje „Asmens duomenų apsauga“, sutikimo dėl asmens duomenų tvarkymo formoje (Taisyklių 1 priedas), informavimo apie asmens duomenų tvarkymą formoje (Taisyklių 2 priedas) ir kitose vietose, siekiant sudaryti galimybę suinteresuotiems asmenims be kliūčių susisiekti su duomenų apsaugos pareigūnu.
49. Visi Ministerijos darbuotojai privalo bendradarbiauti su duomenų apsaugos pareigūnu, skubiai teikti visus jo paprašytus dokumentus ir informaciją. Darbuotojai privalo palaikyti nuolatinį kontaktą su duomenų apsaugos pareigūnu, t. y. užtikrinti, kad su darbuotoju duomenų apsaugos pareigūnui būtų lengva susisiekti, operatyviai reaguoti į duomenų apsaugos pareigūno paklausimus.
V SKYRIUS
DUOMENŲ SUBJEKTŲ TEISĖS IR JŲ ĮGYVENDINIMO TVARKA
50. Duomenų subjektai turi visas Reglamente (ES) 2016/679 įtvirtintas teises:
51. Ministerija imasi visų būtinų priemonių, kad visos duomenų subjektų teisės būtų tinkamai įgyvendintos. Duomenų subjektų teisių įgyvendinimo tvarka įtvirtinta:
51.2. Duomenų subjektų teisių įgyvendinimo Sveikatos apsaugos ministerijoje tvarkos apraše, patvirtintame Lietuvos Respublikos sveikatos apsaugos ministro 2015 m. balandžio 2 d. įsakymu Nr. V-456 „Dėl Duomenų subjektų teisių įgyvendinimo Sveikatos apsaugos ministerijoje tvarkos aprašo patvirtinimo“;
51.3. Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Lietuvos Respublikos sveikatos apsaugos ministerijos valdomuose registruose ir valstybės informacinėse sistemose tvarkos apraše, patvirtintame Lietuvos Respublikos sveikatos apsaugos ministro 2019 m. liepos 8 d. įsakymu Nr. V-800 „Dėl Duomenų subjekto teisių įgyvendinimo tvarkant asmens duomenis Lietuvos Respublikos sveikatos apsaugos ministerijos valdomuose registruose ir valstybės informacinėse sistemose tvarkos aprašo patvirtinimo“;
51.4. Duomenų subjektų teisių įgyvendinimo Elektroninėje sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinėje sistemoje tvarkos apraše, patvirtintame Lietuvos Respublikos sveikatos apsaugos ministro 2018 m. liepos 4 d. įsakymu Nr. V-769 „Dėl Duomenų subjektų teisių įgyvendinimo Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinėje sistemoje tvarkos aprašo patvirtinimo“;
51.5. Duomenų subjektų teisių įgyvendinimo Išankstinės pacientų registracijos informacinėje sistemoje tvarkos apraše, patvirtintame Lietuvos Respublikos sveikatos apsaugos ministro 2019 m. liepos 3 d. įsakymu Nr. V-777 „Dėl Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir valstybės įmonės Registrų centro tvarkomų elektroninės sveikatos sistemos informacinių sistemų duomenų saugos nuostatų ir duomenų subjektų teisių įgyvendinimo išankstinės pacientų registracijos informacinėje sistemoje tvarkos aprašo patvirtinimo“.
VI SKYRIUS
DARBUOTOJŲ ASMENS DUOMENŲ TVARKYMO YPATUMAI
52. Darbuotojų asmens duomenys yra tvarkomi šiais pagrindais: darbo sutarties ar kitos su darbuotoju sudarytos sutarties sudarymas ir vykdymas, valstybės tarnybos teisinių santykių pagrindas, teisės aktuose nustatytų teisinių prievolių vykdymas, Ministerijos ar trečiųjų asmenų teisėtas interesas (pavyzdžiui, Ministerijos materialinės nuosavybės apsauga, darbuotojų produktyvumo ir komunikacijos gerinimas, konfidencialios informacijos apsauga, asmens duomenų, už kuriuos atsakinga Ministerija, apsauga, klientų turto ir interesų apsauga, darbuotojų bei klientų teisių ir saugumo užtikrinimas ir kt.).
53. Ministerijoje gali būti tvarkomi tik tie darbuotojų asmens duomenys, kurie yra būtini darbo sutarčiai / valstybės tarnybos teisinių santykių ar kitai su darbuotoju sudarytai sutarčiai sudaryti ir vykdyti, teisės aktuose nustatytoms Ministerijos teisinėms prievolėms vykdyti, konkrečiam Ministerijos teisėtam interesui apsaugoti. Darbuotojų duomenų tvarkymo tikslai numatyti duomenų tvarkymo veiklos įrašuose.
54. Ministerijoje draudžiama tvarkyti su darbu / valstybės tarnyba ir jų teisių įgyvendinimu nesusijusius (perteklinius) darbuotojų asmens duomenis, taip pat pateikti darbuotojo asmens duomenis tretiesiems asmenims, išskyrus įstatymuose ir šiose Taisyklėse nustatytus atvejus.
55. Darbuotojai šių Taisyklių nustatyta tvarka yra informuojami apie jų asmens duomenų tvarkymą dokumentų valdymo sistemos (toliau – DVS) priemonėmis.
56. Draudžiama tvarkyti pretendento eiti pareigas arba dirbti darbus ir darbuotojo asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, išskyrus atvejus, kai šie asmens duomenys būtini patikrinti, ar asmuo atitinka įstatymuose ir (ar) įgyvendinamuosiuose teisės aktuose nustatytus reikalavimus pareigoms eiti arba darbams dirbti ir atsakomybei teisės aktų nustatyta tvarka taikyti.
57. Pretendento eiti pareigas arba dirbti darbus asmens duomenis, susijusius su kvalifikacija, profesiniais gebėjimais ir dalykinėmis savybėmis, galima rinkti iš buvusio darbdavio / valstybės ir savivaldybių įstaigų, kurioje valstybės tarnautojas atlieka valstybės tarnybą ar dirba pagal darbo sutartis, prieš tai informavus pretendentą, o iš esamo darbdavio / valstybės ir savivaldybės įstaigos, kurioje valstybės tarnautojas atlieka valstybės tarnybą ar dirba pagal darbo sutartis, – tik pretendento sutikimu.
58. Viešai prieinami asmens duomenys apie pretendentą, pretenduojantį eiti pareigas arba dirbti darbus, ar darbuotojus gali būti renkami tik tiek ir tik tokia apimtimi, kiek tie asmens duomenys yra tiesiogiai reikalingi ir aktualūs darbo / valstybės tarnybos pareigoms ir funkcijoms, į kurias pretenduojama, vykdyti. Apie šią galimybę pretendentai yra informuojami darbo skelbime / priėmimo į valstybės tarnybą paskelbimo pranešime.
59. Pretendento eiti pareigas arba dirbti darbus, neatrinkto eiti pareigas arba dirbti darbus asmens duomenys saugomi ne ilgiau nei 3 mėnesius nuo momento, kai pretendentui buvo pranešta, kad su juo nebus sudaryta darbo sutartis / pretendentas nebuvo atrinktas į valstybės tarnautojus. Ilgesnį terminą tokie asmens duomenys gali būti saugomi tik tada, jeigu yra gaunamas pretendento sutikimas, atitinkantis šiose Taisyklėse įtvirtintus reikalavimus, arba atsiranda kitas teisinis pagrindas ilgiau saugoti duomenis.
60. Pasibaigus darbo / valstybės tarnybos teisiniams santykiams, nauji duomenys apie darbuotoją gali būti renkami tik esant teisiniam pagrindui ir tik tiek, kiek jie yra susiję ir būtini remiantis konkrečiu teisiniu pagrindu pagrįstam tikslui pasiekti. Apie tokį duomenų rinkimą darbuotojai yra informuojami pateikiant užpildytą Taisyklių 2 priedo formą.
61. Atsižvelgiant į darbuotojo pareigas, suteikiamos šios darbo priemonės: kompiuterių techninė įranga, mobilusis telefonas, stacionarusis telefonas, prieiga prie interneto, elektroninis paštas ir pagal atliekamas funkcijas kita reikalinga programinė įranga bei prieiga prie kitų informacinių sistemų.
62. Darbuotojas Ministerijos darbo / valstybės tarnybos funkcijoms vykdyti suteiktą kompiuterį, elektroninį paštą ir kitus Ministerijos įrenginius, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą naudoja tik su darbu / valstybės tarnyba susijusiais tikslais ir tik darbo / valstybės tarnybos funkcijoms vykdyti. Darbuotojams yra draudžiama naudoti kompiuterius, telefonus ir kitą Ministerijos suteiktą įrangą, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą asmeniniais tikslais, juose kaupti asmeninio pobūdžio informaciją, asmens duomenis, išskyrus Taisyklių 63 punkte numatytą išimtį. Jeigu darbuotojas naudoja kompiuterius, telefonus ir kitą Ministerijos suteiktą įrangą, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą asmeniniais tikslais, juose kaupia asmeninio pobūdžio informaciją ir asmens duomenis, darbuotojas prisiima riziką, kad tokią informaciją, asmens duomenis Ministerija gali sužinoti patikrinimo metu. Ministerija neužtikrina darbuotojų asmeninės informacijos konfidencialumo darbuotojams asmeniniais tikslais naudojant elektroninį paštą, internetą, socialinius tinklus ir programinę įrangą.
63. Interneto paslaugos gali būti naudojamos ir asmeniniais tikslais (socialinių tinklų naudojimas, asmeniniai mokestiniai ir bankiniai pervedimai, elektroninio pašto paslauga, momentiniai susirašinėjimai asmeniniais tikslais ir pan.), kiek tai netrukdo optimaliai ir kokybiškai atlikti darbo pareigas, nepažeidžiant Taisyklių 79 punkte nurodytų reikalavimų.
64. Darbuotojai savo darbo / valstybės tarnybos funkcijas atlieka tik naudodami Ministerijos kompiuterius, elektroninius paštus ir kitus Ministerijos įrenginius, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą, išskyrus tuos atvejus, kai Ministerijos kancleris ar jo įgaliotas asmuo priima sprendimą dėl leidimo Ministerijos darbuotojui darbo funkcijas atlikti naudojantis asmeninėmis priemonėmis. Darbuotojai, turintys nuotolinę prieigą prie Ministerijos infrastuktūros, privalo imtis visų priemonių, kad būtų užtikrintas informacijos ir duomenų saugumas bei konfidencialumas, o Ministerija privalo padėti darbuotojui įgyvendinti šią pareigą.
65. Nuolatinį Ministerijos darbuotojui suteikto kompiuterio, elektroninio pašto ir kitų Ministerijos įrenginių, prietaisų, įtaisų, informacijos ir ryšių technologijų, programinės įrangos stebėjimą ar tikrinimą vykdyti draudžiama. Ministerijos darbuotojams suteiktos darbo priemonės, įranga, įskaitant elektroninius paštus, kompiuterius, mobiliuosius telefonus, juose esantys asmens duomenys, kiti duomenys bei informacija gali būti tikrinami tik esant šioms sąlygoms:
65.2. yra pagrindas manyti, kad darbuotojas padarė darbo / valstybės tarnybos pareigų pažeidimą arba vykdė veiklą, nesuderinamą su Ministerijos interesais, arba vykdė teisės aktams prieštaraujančią veiklą, arba Ministerija siekia patikrinti, ar darbuotojas laikosi įsipareigojimų Ministerijai, tinkamai vykdo teisės aktų, įskaitant Ministerijos vidinių dokumentų, reikalavimus, arba egzistuoja kitos svarbios tokį patikrinimą pagrindžiančios priežastys;
66. Šiose Taisyklėse įtvirtintas tikrinimas vykdomas limituota apimtimi, t. y. apibrėžtas konkretus laikotarpis, už kurį tikrinama, tikrinamas konkretaus projekto vykdymas, tikrinamas konkrečių funkcijų vykdymas ir tikrinamas tik tiek, kiek yra būtina išsiaiškinti šiose Taisyklėse išdėstytas aplinkybes ir apginti Ministerijos interesus. Duomenų apsaugos pareigūnas teikia konsultacijas, kad tikrinimas nepažeistų Reglamento (ES) 2016/679, Taisyklių nuostatų bei duomenų subjektų teisės į privatumą.
67. Darbuotojai turi būti supažindinti su informacinių ir komunikacinių technologijų naudojimo bei darbuotojų stebėsenos ir kontrolės darbo vietoje tvarka.
68. Vaizdo stebėjimas ir garso įrašymas darbuotojų darbo vietose gali būti vykdomas tik tada, kai dėl darbo specifikos būtina užtikrinti asmenų, turto ar visuomenės saugumą, ir kitais atvejais, kai kiti būdai ar priemonės yra nepakankami ir (arba) netinkami siekiant išvardytų tikslų, išskyrus atvejus, kai tiesiogiai siekiama kontroliuoti darbo kokybę ir mastą. Apie vaizdo stebėjimą ir garso įrašymą konkrečioje vietoje informuojama vaizdiniu žymeniu matomoje vietoje.
69. Tvarkant vaizdo ir (ar) garso duomenis darbo vietoje ir Ministerijos patalpose ar teritorijose, kuriose dirba / eina pareigas jos darbuotojai, tvarkant asmens duomenis, susijusius su darbuotojų elgesio, vietos ar judėjimo stebėsena, šie darbuotojai apie tokį jų asmens duomenų tvarkymą turi būti informuojami būdu, įrodančiu informavimo faktą.
VII SKYRIUS
VAIZDO DUOMENŲ TVARKYMO YPATUMAI
70. Vaizdo stebėjimą Ministerijos patalpose ar teritorijose, užtikrinant Reglamento (ES) 2016/679), ADTAĮ, kitų įstatymų bei teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą, reglamentuoja Asmens vaizdo duomenų tvarkymo Sveikatos apsaugos ministerijoje tvarkos aprašas, pavirtintas Lietuvos Respublikos sveikatos apsaugos ministro 2015 m. birželio 10 d. įsakymu Nr. V-727 „Dėl Asmens vaizdo duomenų tvarkymo Sveikatos apsaugos ministerijoje tvarkos aprašo patvirtinimo“.
71. Viešosios informacijos rengėjų ir (ar) skleidėjų, žurnalistų bei trečiųjų asmenų filmavimo, fotografavimo, garso ar vaizdo įrašų darymo, kitų techninio pobūdžio priemonių naudojimo (toliau – vaizdo ir garso fiksavimo techninės priemonės) Ministerijos patalpose ar Ministerijos, kaip valstybės institucijai, priskirtų funkcijų vykdymo metu ne Ministerijos patalpose principai ir tvarka:
71.1. darbuotojai privalo užtikrinti, kad vaizdo ir garso fiksavimo techninių priemonių naudojimo metu asmens duomenys (išskyrus tuos, kuriuos būtina ir teisėta atskleisti šių priemonių naudojimo metu) būtų apsaugoti nuo neteisėto jų užfiksavimo, t. y. darbo vietoje Ministerijos patalpose (ir (ar) darbuotojų funkcijų vykdymo metu ne Ministerijos patalpose) negali būti dokumentų, užrašų ir kitos informacijos, kurioje gali būti asmens duomenų (išskyrus tuos, kuriuos būtina ir teisėta atskleisti vaizdo ir garso fiksavimo techninių priemonių naudojimo metu);
71.2. jei reikalingą informaciją galima suteikti kitomis (lygiavertėmis) priemonėmis nei vaizdo ir garso fiksavimo techninės priemonės arba kitose (lygiavertėse) patalpose ir (ar) erdvėse (pvz., viešose erdvėse arba ne darbuotojų darbo vietose) ir dėl to jos turinys nenukentės, informaciją rekomenduojama pateikti lygiaverčiais būdais.
VIII SKYRIUS
GARSO ĮRAŠŲ DARYMAS
72. Darant garso įrašus užtikrinama, kad garso įrašų darymas ir tvarkymas atitiktų Taisyklių nuostatas.
73. Garso įrašų darymo ir tvarkymo Ministerijoje tikslai, garso įrašų saugojimo terminai bei garso įrašų darymo ir saugojimo tvarka numatyti Ministerijos komisijų ir komitetų posėdžių darbo reglamentuose (nuostatuose). Pasibaigus Ministerijų komisijų ir komitetų posėdžių darbo reglamentuose nustatytam garso įrašų saugojimo terminui, garso įrašai sunaikinami ir toliau Ministerijoje nebesaugomi.
74. Garso įrašai turi būti daromi specialiai tik šiems tikslams skirtais nešiojamaisiais įrenginiais, išskyrus atvejus, kai kyla būtinybė garso įrašus daryti kitokiais įrenginiais.
75. Duomenų subjektų teisės, susijusios su garso įrašų duomenų tvarkymu, įgyvendinamos Taisyklių V skyriuje nustatyta tvarka. Įgyvendinant duomenų subjekto teisę susipažinti su tvarkomais savo asmens duomenimis, t. y. Ministerijoje saugomu garso įrašu, užtikrinama trečiųjų asmenų teisė į privatų gyvenimą, t. y. duomenų subjektui susipažinti gali būti pateikiama tik garso įrašo dalis, susijusi su pačiu duomenų subjektu.
76. Duomenų subjektas apie garso įrašo darymą ir garso įrašuose fiksuojamų asmens duomenų tvarkymą turi būti informuojamas prieš pradedant daryti garso įrašą. Už duomenų subjekto informavimą apie garso įrašo darymą ir garso įrašuose fiksuojamų asmens duomenų tvarkymą atsakingi Ministerijos komisijų ir komitetų posėdžių sekretoriai.
IX SKYRIUS
ASMENS DUOMENŲ SAUGUMO NUOSTATOS
77. Ministerijoje taikomų tipinių asmens duomenų apsaugos priemonių sąrašas patvirtintas šių Taisyklių 4 priede.
78. Pagrindiniai asmens duomenų apsaugos užtikrinimo principai ir priemonės:
78.1. užtikrinama tinkama prieigos prie asmens duomenų apsauga, valdymas ir kontrolė. Prieigos teisės prie asmens duomenų suteikiamos, naikinamos ir keičiamos griežtai vadovaujantis Lietuvos Respublikos sveikatos apsaugos ministerijos informacinės sistemos naudotojų administravimo taisyklėmis, patvirtintomis Lietuvos Respublikos sveikatos apsaugos ministro 2012 m. birželio 5 d. įsakymu Nr. V-499 „Dėl saugos politiką įgyvendinančių dokumentų tvirtinimo“. Ministerija užtikrina, kad prieigos teisės prie asmens duomenų būtų suteikiamos tik legaliems naudotojams ir tik tokia apimtimi, kiek jos būtinos darbuotojų pareiginėms funkcijoms atlikti arba siekiant tinkamai vykdyti asmens duomenų tvarkymo sutartį, sudarytą su asmens duomenų tvarkytoju. Prieigos teisės prie asmens duomenų naikinamos pasibaigus Ministerijos ir jo darbuotojo darbo santykiams, pasibaigus valstybės tarnybos teisiniams santykiams, pasikeitus darbo funkcijoms, kurioms vykdyti prieiga nereikalinga, taip pat nutraukus asmens duomenų tvarkymo sutartį, sudarytą su asmens duomenų tvarkytoju, ar šiai sutarčiai nustojus galioti;
78.2. su asmens duomenimis galima atlikti tik tuos veiksmus, kuriems atlikti naudotojui yra suteiktos teisės;
78.5. kompiuterinės darbo vietos, tarnybinės stotys ir kita techninė įranga, per kurią gali būti pasiekiami asmens duomenys, yra tinkamai apsaugota, vadovaujantis gerosiomis informacijos saugos praktikomis ir teisės aktų reikalavimais;
78.6. draudžiamas ir griežtai kontroliuojamas nelegalios (neleistinos) programinės įrangos naudojimas;
78.7. užtikrinama tinkama asmens duomenų apsauga nuo neteisėtos prieigos elektroninių ryšių priemonėmis;
78.9. kiti asmens duomenų saugos reikalavimai nustatomi ir įgyvendinami vadovaujantis Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
78.10. asmens duomenų saugos priemonės parenkamos vadovaujantis tarptautiniais standartais ir Ministerijos saugos politiką įgyvendinančiais dokumentais, patvirtintais Lietuvos Respublikos sveikatos apsaugos ministro 2012 m. birželio 5 d. įsakymu Nr. V-499 „Dėl saugos politiką įgyvendinančių dokumentų tvirtinimo“.
79. Darbuotojams, kurie naudojasi Ministerijos suteiktu elektroniniu paštu, interneto prieiga ir kita informacinių ir komunikacinių technologijų įranga, draudžiama:
79.1. skelbti Ministerijos konfidencialią informaciją, vidinius dokumentus internete, jei tai nėra susiję su darbinių funkcijų vykdymu;
79.2. naudoti elektroninį paštą ir interneto prieigą asmeniniams komerciniams ar politiniams tikslams, Lietuvos Respublikos įstatymais draudžiamai veiklai, šmeižiančio, įžeidžiančio, grasinamojo pobūdžio ar visuomenės dorovės ir moralės principams prieštaraujančiai informacijai, kompiuterių virusams, masinei piktybiškai informacijai siųsti ar kitiems tikslams, kurie gali pažeisti Ministerijos ar kitų asmenų teisėtus interesus;
79.3. naudoti arba platinti tiesiogiai su darbu nesusijusią grafinę, garso ir vaizdo medžiagą, žaidimus ir programinę įrangą, naudoti duomenis, kurie gali sutrikdyti kompiuterių ar komunikacinių technologijų įrenginių, programinės įrangos funkcionavimą ir saugumą;
79.4. savarankiškai keisti, taisyti informacinių technologijų ir komunikacinių technologijų techninę ir programinę įrangą, išskyrus atvejus, kai tai susiję su tiesioginių funkcijų, t. y. techninės ir programinės įrangos priežiūros, vykdymu;
79.5. perduoti Ministerijai priklausančią informacinių technologijų ir komunikacinių technologijų techninę ir programinę įrangą tretiesiems asmenims, jei toks perdavimas nėra susijęs su darbinių funkcijų vykdymu ar gali bet kokiu būdu pakenkti Ministerijos interesams;
79.6. diegti, saugoti, naudoti, kopijuoti ar platinti bet kokią neautorizuotą, neteisėtą, autorių teises pažeidžiančią programinę įrangą;
X SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMAS
80. Asmens duomenų saugumo pažeidimų ir jų priežasčių klasifikavimą, pranešimo apie pažeidimus Ministerijai, Inspekcijai ir duomenų subjektams, pažeidimų tyrimo, jų ir jų pasekmių pašalinimo ir mažinimo, pažeidimų prevencijos ir dokumentavimo tvarką nustato Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašas, patvirtintas Lietuvos Respublikos sveikatos apsaugos ministro 2019 m. kovo 28 d. įsakymu Nr. V-385 „Dėl Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašo patvirtinimo“.
XI SKYRIUS
POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS IR KONSULTACIJOS SU PRIEŽIŪROS INSTITUCIJA
81. Tais atvejais, kai, atsižvelgiant į asmens duomenų ir duomenų subjektų kategoriją, duomenų tvarkymo pobūdį, aprėptį, kontekstą, tikslus, duomenų subjektų teisėms bei laisvėms gali kilti didelis pavojus, Ministerija, prieš pradėdama vykdyti duomenų tvarkymo operacijas (veiksmus) ir tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimą.
82. Poveikis duomenų apsaugai vertinamas, kai:
82.1. duomenų tvarkymo operacija patenka į Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą, patvirtintą Valstybinės duomenų apsaugos inspekcijos direktoriaus 2019 m. kovo 14 d. įsakymu Nr. 1T-35 (1.12. E) „Dėl Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašo patvirtinimo“ (toliau – Duomenų tvarkymo operacijų sąrašas), kurioms poveikio duomenų apsaugai vertinimas yra privalomas;
82.2. duomenų tvarkymo operacija nepatenka į Duomenų tvarkymo operacijų sąrašą, kurioms poveikio duomenų apsaugai vertinimo reikalavimas yra privalomas, tačiau Ministerija įvertina, kad duomenų tvarkymo operacija, atsižvelgiant į Taisyklių 83 punkte įtvirtintus kriterijus, duomenų subjektų teisėms bei laisvėms gali kelti didelį pavojų;
82.3. pasikeitus duomenų tvarkymo operacijų (veiksmų) įgyvendinimo sąlygoms ir kai tai gali lemti didelį pavojų duomenų subjektų teisėms ir laisvėms;
83. Ar duomenų tvarkymo operacijos (veiksmai) gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms, sprendžiama kiekvieną kartą atsižvelgiant į šiuos kriterijus:
83.2. neskelbtini duomenys arba labai asmeniški duomenys, pavyzdžiui, specialių kategorijų asmens duomenys;
83.3. didelio masto duomenų tvarkymas (susijusių duomenų subjektų skaičius, tvarkomų duomenų kiekis, tvarkomų duomenų įvairovė, duomenų tvarkymo veiklos trukmė ir pastovumas, geografinis duomenų tvarkymo mastas);
83.5. su pažeidžiamais duomenų subjektais susiję duomenys (pavyzdžiui, vaikų, darbuotojų, pažeidžiamų subjektų, kuriems reikalinga speciali apsauga, duomenys, kiti segmentai, kai galima nustatyti nelygiaverčius duomenų subjekto ir duomenų valdytojo santykius);
83.7. dėl duomenų tvarkymo duomenų subjektams užkertamas kelias naudotis savo teisėmis, paslaugomis arba sudaryti sutartis;
84. Kuo daugiau Taisyklių 83 punkte įtvirtintų kriterijų atitinka konkreti duomenų tvarkymo operacija (veiksmai), tuo didesnė tikimybė, kad duomenų tvarkymo operacija (veiksmai) gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms. Dėl poveikio duomenų apsaugai atlikimo būtinybės visais atvejais konsultuojamasi su duomenų apsaugos pareigūnu.
85. Jeigu duomenų tvarkymo operacija (veiksmai) atitinka du ir daugiau Taisyklių 83 punkte išdėstytus kriterijus, tačiau padaroma išvada, kad tokia duomenų tvarkymo operacija (veiksmai) negali kelti didelio pavojaus duomenų subjektų teisėms ir laisvėms, toks sprendimas ir jo argumentai išdėstomi raštu ir kartu su duomenų apsaugos pareigūno nuomone pateikiami Ministerijos kancleriui arba jo paskirtam asmeniui.
86. Poveikio duomenų apsaugai vertinimas turi būti atliktas prieš pradedant įgyvendinti duomenų tvarkymo operacijas (veiksmus).
87. Už poveikio duomenų apsaugai vertinimą kiekvienu konkrečiu atveju atsakingas Ministerijos padalinio (-ių), kuris (-ie) tvarkys asmens duomenis, arba, kuris (-ie) pagal kompetenciją formuoja politiką tam tikroje srityje, kurioje veikia Ministerijos valdomas registras ar informacinė sistema, kurioje bus tvarkomi duomenys, vadovas (-ai). Poveikio duomenų vertinimui atlikti gali būti pasitelkti išorės konsultantai, specialistai, ekspertai (teisininkai, IT specialistai, saugumo ekspertai, etikos specialistai ir pan.), jeigu Ministerijos žmogiškųjų, laiko išteklių nepakanka tinkamam poveikio duomenų apsaugai vertinimui atlikti.
88. Atlikus poveikio duomenų apsaugai vertinimą, asmuo ar asmenys, atlikę poveikio duomenų apsaugai vertinimą, užpildo poveikio duomenų apsaugai vertinimo ataskaitos formą (Taisyklių 5 priedas). Panašių didelius pavojus keliančių duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną poveikio duomenų apsaugai vertinimą.
89. Poveikio duomenų apsaugai vertinimui dokumentuoti gali būti naudojama programa „PIA“, kurią sukūrė Prancūzijos duomenų apsaugos inspekcija (Commission Nationale Informatique et Liberté (CNIL), siekdama padėti jos vartotojams užtikrinti asmens duomenų tvarkymo atitiktį Reglamento (ES) 2016/679 reikalavimams.
90. Jeigu, atsižvelgiant į numatomą duomenų tvarkymo operacijos pobūdį, yra įmanoma, Ministerija siekia išsiaiškinti duomenų subjektų ar jų atstovų nuomonę apie numatytą duomenų tvarkymą, nepažeisdama komercinių ar viešųjų interesų apsaugos arba duomenų tvarkymo operacijų saugumo reikalavimų.
91. Visais atvejais poveikio duomenų apsaugai vertinimo ataskaita vidiniu raštu yra pateikiama Ministerijos kancleriui ir už sprendimo dėl vertinamos duomenų tvarkymo operacijos priėmimą bei jo įgyvendinimą atsakingam asmeniui (Sveikatos apsaugos viceministrui arba padalinio vadovui pagal veiklos sritį).
92. Ministerija atlieka nuolatinę peržiūrą, kad įvertintų, ar duomenys tvarkomi laikantis poveikio duomenų apsaugai vertinimo, ypač tais atvejais, kai pakinta tvarkymo operacijų keliamas pavojus duomenų subjektų teisėms ir laisvėms.
93. Ministerija, prieš pradėdama duomenų tvarkymo operacijas (veiksmus), kurie gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms, privalo konsultuotis su Inspekcija Išankstinių konsultacijų teikimo taisyklių, patvirtintų Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-84(1.12. E) „Dėl Išankstinių konsultacijų teikimo taisyklių patvirtinimo“, 2 punkte nustatytais atvejais.
94. Duomenų tvarkymo veiksmai, kurie gali sukelti didelį pavojų duomenų subjektų teisėms ir laisvėms, gali būti vykdomi tik tada, kai Ministerija visiškai ir tinkamai įgyvendina Inspekcijos rekomendacijas, nurodymus ir priemones, gautus konsultavimosi procedūros metu.
95. Prekės ir (ar) paslaugos, susijusios su duomenų tvarkymu tokiu būdu, kuris gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms, gali būti perkami tik tada, jeigu atitinkamos prekės ir (ar) paslaugos pardavėjas yra atlikęs poveikio duomenų apsaugai vertinimą, Ministerijai yra pateikiama susipažinti tokio vertinimo išvada ir pardavėjas patvirtina, kad jų produktas atitinka Reglamento (ES) 2016/679 reikalavimus.
XII SKYRIUS
ASMENS DUOMENŲ TVARKYMAS DUOMENŲ TVARKYTOJO STATUSU
97. Šio skyriaus nuostatos yra taikomos tais atvejais, kai Ministerija tvarko duomenis kaip duomenų tvarkytoja. Ministerijos, kaip duomenų tvarkytojos, duomenų tvarkymo veikla yra fiksuojama duomenų tvarkymo veiklos įrašų registre.
98. Ministerija turi teisę tvarkyti kitų duomenų valdytojų duomenis tik tada, jeigu duomenų valdytojas yra aiškiai nustatęs ir nurodęs duomenų tvarkymo dalyką ir trukmę, duomenų tvarkymo pobūdį ir tikslą, asmens duomenų rūšis ir duomenų subjektų kategorijas bei duomenų valdytojo prievoles ir teises.
99. Tais atvejais, kai Ministerija tvarko duomenis kaip duomenų tvarkytoja, Ministerija privalo laikytis duomenų valdytojo nustatyto duomenų tvarkymo tikslo, priemonių ir kitų duomenų tvarkymo sąlygų, taip pat privalo tvarkyti tik tokį kiekį duomenų ir tik tokią trukmę, kurią nurodė duomenų valdytojas.
100. Ministerija turi teisę tvarkyti asmens duomenis kaip duomenų tvarkytoja tik esant bent vienam iš šių teisinių pagrindų:
100.1. sudaryta sutartis su duomenų valdytoju. Gali būti sudaryta atskira duomenų tvarkymo sutartis arba atskiros duomenų tvarkymo veiklos nuostatos įtrauktos į kitą sutartį;
101. Ministerija nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus arba bendro rašytinio duomenų valdytojo leidimo. Bendro rašytinio leidimo atveju Ministerija informuoja duomenų valdytoją apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu, ir taip suteikia duomenų valdytojui galimybę nesutikti su tokiais pakeitimais.
102. Kai Ministerija konkrečiai duomenų tvarkymo veiklai duomenų valdytojo vardu atlikti pasitelkia kitą duomenų tvarkytoją, sutartimi ar kitu teisės aktu tam kitam duomenų tvarkytojui nustatomos tos pačios duomenų apsaugos prievolės, kaip ir prievolės, nustatytos Ministerijos teisės aktų bei duomenų valdytojo, visų pirma prievolė pakankamai užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos taip, kad duomenų tvarkymas atitiktų Reglamento (ES) 2016/679 reikalavimus.
103. Visais atvejais, be duomenų valdytojo nustatytų papildomų pareigų, Ministerija, tvarkydama duomenis kaip duomenų tvarkytoja, turi šias pareigas:
103.1. tvarkyti asmens duomenis tik pagal duomenų valdytojo dokumentais įformintus nurodymus, išskyrus atvejus, kai tai daryti reikalaujama pagal teisės aktų reikalavimus, kurie yra taikomi Ministerijai. Tokiu atveju Ministerija, prieš pradėdama tvarkyti duomenis, praneša apie tokį teisinį reikalavimą duomenų valdytojui, išskyrus atvejus, kai pagal teisės aktus toks pranešimas yra draudžiamas dėl svarbių viešojo intereso priežasčių;
103.2. užtikrinti, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą;
103.3. imtis visų techninių ir organizacinių priemonių, kad būtų užtikrintas tvarkomų duomenų saugumas;
103.5. atsižvelgdama į duomenų tvarkymo pobūdį, padėti duomenų valdytojui taikydama tinkamas technines ir organizacines priemones, kiek tai įmanoma, kad būtų įvykdyta duomenų valdytojo prievolė atsakyti į prašymus, susijusius su duomenų subjektų teisių įgyvendinimu;
103.6. padėti duomenų valdytojui įgyvendinti jo prievoles pranešti apie Asmens duomenų saugumo pažeidimus bei atlikti poveikio duomenų apsaugai vertinimą, atsižvelgiant į duomenų tvarkymo pobūdį ir Ministerijos turimą informaciją;
103.7. užbaigus teikti su duomenų tvarkymu susijusias paslaugas, ištrinti arba grąžinti duomenų valdytojui visus asmens duomenis ir ištrinti esamas jų kopijas, išskyrus atvejus, kai teisės aktai nustato reikalavimą asmens duomenis saugoti;
XIII SKYRIUS
ASMENS DUOMENŲ PERDAVIMAS TRETIESIEMS ASMENIMS
105. Ministerija turi teisę sutarties pagrindu duomenų tvarkymo veiksmams atlikti pasitelkti duomenų tvarkytoją. Ministerija pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos taip, kad duomenų tvarkymas atitiktų Reglamento (ES) 2016/679 ir Taisyklių reikalavimus ir būtų užtikrintas duomenų subjekto teisių įgyvendinimas bei apsauga.
106. Ministerijos valdomų valstybės registro ir informacinės sistemos tvarkytojas (tvarkytojai) paskiriamas (paskiriami) teisės aktu, kuriuo tvirtinami valstybės registro nuostatai.
107. Sutartims su trečiaisiais asmenimis (duomenų tvarkytojais, duomenų gavėjais) taikomi reikalavimai nustatyti Lietuvos Respublikos sveikatos apsaugos ministerijos sutarčių sudarymo ir vykdymo kontrolės tvarkos apraše, patvirtintame Lietuvos Respublikos sveikatos apsaugos ministro 2019 m. birželio 3 d. įsakymu Nr. V-655 „Dėl Lietuvos Respublikos sveikatos apsaugos ministerijos sutarčių sudarymo ir vykdymo kontrolės tvarkos aprašo patvirtinimo“.
108. Ministerija, prieš pasitelkdama konkretų duomenų tvarkytoją pagal sutartį, konsultuojasi su duomenų apsaugos pareigūnu, ar duomenų tvarkytojas pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos taip, kad duomenų tvarkymas atitiktų Reglamento (ES) 2016/679 ir Taisyklių reikalavimus ir būtų užtikrintas duomenų subjekto teisių įgyvendinimas ir apsauga.
109. Siekiant tinkamai valdyti asmens duomenų judėjimą, Ministerijoje yra tvarkomas Ministerijos duomenų tvarkytojų registras pagal patvirtintą formą (Taisyklių 6 priedas). Už Ministerijos duomenų tvarkytojų registro pildymą atsakingas duomenų apsaugos pareigūnas, kuris Ministerijos duomenų tvarkytojų registrą pildo pagal Ministerijos struktūrinių padalinių pateiktą informaciją.
XIV SKYRIUS
ASMENS DUOMENŲ PERDAVIMAS Į TREČIĄSIAS VALSTYBES IR TARPTAUTINES ORGANIZACIJAS
111. Perduoti asmens duomenis į trečiąją valstybę arba tarptautinę organizaciją galima tik esant bent vienai iš šių sąlygų:
111.1. yra priimtas Europos Komisijos sprendimas, kad atitinkama trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečioje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamo lygio apsaugą;
111.2. jeigu nėra priimtas sprendimas dėl tinkamo apsaugos lygio užtikrinimo arba nenustatytos tinkamos apsaugos priemonės, asmens duomenys gali būti perduoti į trečiąją valstybę arba tarptautinei organizacijai tik tuo atveju, jeigu Ministerija yra nustačiusi tinkamas apsaugos priemones, įskaitant tai, kad duomenų subjektams bus užtikrinta galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis.
112. Jeigu nėra priimtas Komisijos sprendimas dėl tinkamo apsaugos lygio užtikrinimo arba nenustatytos tinkamos apsaugos priemonės, kaip nurodyta Reglamento (ES) 2016/679 46 straipsnio 2 ir 3 dalyse, asmens duomenų perdavimas į trečiąją valstybę arba tarptautinei organizacijai gali būti atliekamas tik tada, jeigu egzistuoja bent viena iš Reglamento (ES) 2016/679 49 straipsnio 1 dalyje nurodytų sąlygų.
XV SKYRIUS
VIENO LANGELIO PRIEŽIŪROS MECHANIZMO ĮGYVENDINIMAS
XVI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
114. Visi Ministerijos dokumentai, bet kokia apimtimi susiję su asmens duomenų tvarkymu ir apsauga, privalo būti peržiūrėti, ir turi būti užtikrinta jų atitiktis šioms Taisyklėms per dvejus metus nuo šių Taisyklių įsigaliojimo dienos. Už šį procesą yra atsakingas duomenų apsaugos pareigūnas.
115. Per dvejus metus nuo šių Taisyklių įsigaliojimo atliekamas iki šių Taisyklių įsigaliojimo vykdomų duomenų tvarkymo operacijų (veiksmų), kurie gali kelti pavojų duomenų subjektų teisėms ir laisvėms, poveikio duomenų apsaugai vertinimas ir įgyvendinamos priemonės bei mechanizmai, kuriais užtikrinama asmens duomenų apsauga ir pagrindžiama, kad laikomasi Taisyklių, Reglamento (ES) 2016/679 ir kitų teisės aktų, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus. Dėl konkrečių duomenų tvarkymo operacijų (veiksmų), kuriems būtinas poveikio duomenų apsaugai vertinimas, Ministerijoje konsultuoja duomenų apsaugos pareigūnas.
116. Ministerijoje periodiškai, bet ne rečiau kaip kartą per metus, vyksta darbuotojų mokymai Reglamento (ES) 2016/679, Taisyklių taikymo ir įgyvendinimo bei kitais asmens duomenų apsaugos klausimais. Už mokymų organizavimą atsakingas duomenų apsaugos pareigūnas.
117. Su šiomis Taisyklėmis visi Ministerijos darbuotojai supažindinami pasirašytinai priėmimo į darbą metu, o su taisyklių pakeitimais – DVS.
118. Ministerijoje periodiškai, bet ne rečiau kaip kartą per metus, vyksta Ministerijoje vykdomos asmens duomenų tvarkymo veiklos atitikties Reglamentui (ES) 2016/679, Taisyklėms bei kitiems asmens duomenų apsaugą reglamentuojantiems teisės aktams patikra. Už patikros vykdymą yra atsakingas duomenų apsaugos pareigūnas. Patikros rezultatai įforminami ataskaitoje, kurioje nurodomi nustatyti trūkumai, jei tokie nustatyti, bei rekomendacijos, kaip trūkumus ištaisyti ar pagerinti Ministerijos asmens duomenų tvarkymo veiklą.
Asmens duomenų tvarkymo taisyklių
1 priedas
(Sutikimo dėl asmens duomenų tvarkymo pavyzdinė forma)
SUTIKIMAS DĖL ASMENS DUOMENŲ TVARKYMO
20__ m.___________________ __ d.
Nr.
__________________
(vieta)
Aš,_______________________________________________________________________,
(asmens vardas, pavardė / pavadinimas, gimimo data / įmonės kodas)
sutinku ir esu informuotas (-a), kad:
1. Lietuvos Respublikos sveikatos apsaugos ministerija (toliau – Ministerija) gautų ir tvarkytų toliau išvardytus mano asmens duomenis[1]:
___________________________________________________________________________________
_____________________________________________________________________________
2. Išvardyti asmens duomenys būtų tvarkomi šiais tikslais[2]:
________________________________________________________________________________
________________________________________________________________________________
3. Su išvardytais asmens duomenimis būtų atliekami šie tvarkymo veiksmai[3]:
________________________________________________________________________________
________________________________________________________________________________
4. Asmens duomenys būtų gaunami iš[4]:
manęs, _________________________________________________________________________
________________________________________________________________________________
5. Asmens duomenys būtų perduoti ______________________[5]. Duomenų gavėjai tokius asmens duomenis tvarkytų šiame sutikime nurodytais tikslais.
6. Ministerija duomenis tvarkys teisėtai, sąžiningai ir skaidriai, laikydamasi teisės aktų nustatytų reikalavimų, tik šiame sutikime nustatytais tikslais.
Ministerija naudoja įvairias saugumą užtikrinančias technologijas ir procedūras, siekdama apsaugoti Jūsų asmeninę informaciją nuo neteisėtos prieigos, naudojimo ar atskleidimo. Mūsų tiekėjai yra kruopščiai atrenkami, mes iš jų reikalaujame naudoti tinkamas priemones, galinčias apsaugoti Jūsų konfidencialumą ir užtikrinti Jūsų asmeninės informacijos saugumą. Vis dėlto informacijos perdavimo internetu ar mobiliuoju ryšiu saugumas negali būti užtikrintas; bet koks informacijos mums perdavimas nurodytais būdais yra vykdomas Jūsų pačių rizika.
7. Pasikeitus Jūsų asmens duomenims, tvarkomiems pagal šį sutikimą, prašome pranešti apie tai Ministerijai.
9. Duomenų valdytojas – Ministerija, Vilniaus g. 33, 01506 Vilnius, el. pašto adresas [email protected];
10. Duomenų apsaugos pareigūno kontaktai – el. pašto adresas [email protected], korespondencijos adresas Vilniaus g. 33, 01506 Vilnius – laišką adresuokite Ministerijos duomenų apsaugos pareigūnui.
11. Duomenų tvarkymo teisinis pagrindas – šiame sutikime nurodytų Jūsų asmens duomenų tvarkymo teisinis pagrindas yra šis sutikimas.
12. Be šio sutikimo 5 punkte nurodytų duomenų gavėjų Jūsų asmens duomenys, surinkti šio sutikimo pagrindu, gali būti perduoti:
12.1. duomenų tvarkytojams, kurie atlieka tam tikrus darbus ir teikia paslaugas (pvz., informacinių technologijų bendrovės, kurios duomenis tvarko, kad užtikrintų informacinių sistemų kūrimą, tobulinimą ir palaikymą; bendrovės, kurios užtikrina pranešimų klientams siuntimą, teikia apsaugos ir kitas paslaugas, įskaitant teisės, finansų, mokesčių, verslo valdymo, personalo administravimo, buhalterinės apskaitos paslaugas);
12.2. teismui, teisėsaugos įstaigoms ar valstybės institucijoms tiek, kiek tokį teikimą nustato teisės aktų reikalavimai;
13. Žinau, kad turiu šias teises: teisė prašyti, kad būtų leista susipažinti su duomenimis ir juos ištaisyti arba ištrinti, teisė apriboti duomenų tvarkymą, teisė nesutikti, kad duomenys būtų tvarkomi, taip pat teisė į duomenų perkeliamumą. Šias teises galiu įgyvendinti teisės aktų nustatyta tvarka.
Prašymai dėl teisių įgyvendinimo Ministerijai turi būti pateikti raštu (įskaitant teikiamus elektroniniu formatu), taip pat turi būti įmanoma identifikuoti prašymą padavusio asmens bei duomenų subjekto tapatybę. Duomenų subjekto tapatybė nustatoma pagal tapatybę patvirtinantį dokumentą ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį. Jei prašymą duomenų subjektas siunčia paštu ar per pasiuntinį, prie prašymo turi būti pridėta teisės aktų nustatyta tvarka patvirtinta duomenų subjekto asmens tapatybę patvirtinančio dokumento kopija. Kai dėl informacijos apie asmenį kreipiasi jo atstovas, jis turi pateikti atstovavimą patvirtinantį dokumentą ir savo tapatybę patvirtinantį dokumentą. Jei prašymas pateikiamas elektroniniu paštu, jis turi būti pasirašytas kvalifikuotu elektroniniu parašu.
Iškilus klausimų dėl duomenų subjektų teisių įgyvendinimo Ministerijoje maloniai prašome kreiptis į Ministerijos duomenų apsaugos pareigūną 10 punkte nurodytais kontaktais.
14. Žinau, kad turiu teisę bet kada atšaukti šį sutikimą ir reikalauti nutraukti tolimesnį asmens duomenų tvarkymą, kuris yra vykdomas sutikimo pagrindu. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto asmens duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.
15. Asmens duomenų saugojimo laikotarpis. Šis sutikimas ir jame nurodyti mano asmens duomenys yra saugomi trejus metus nuo sutikimo atšaukimo arba jo galiojimo termino pabaigos arba nuo Ministerijos sprendimo nebetvarkyti asmens duomenų sutikime nustatytais tikslais priėmimo dienos. Asmens duomenys surinkti šio sutikimo pagrindu saugomi _________________.
Šis terminas gali būti pratęstas, jei asmens duomenys yra naudojami arba gali būti naudojami kaip įrodymai ar informacijos šaltinis ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje arba kitais įstatymų nustatytais atvejais. Tokiu atveju asmens duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
16. Automatizuotų sprendimų priėmimai. Duomenys nebus naudojami automatizuotiems sprendimams priimti mano atžvilgiu, įskaitant profiliavimą.
17. Žinau, kad turiu teisę skųsti. Jeigu Jūs manote, kad Jūsų duomenis mes tvarkome pažeisdami duomenų apsaugos teisės aktų reikalavimus, mes visuomet pirmiausia prašome kreiptis tiesiogiai į mus. Jeigu Jūsų netenkins mūsų siūlomas problemos išsprendimo būdas arba Jūsų nuomone mes nesiimsime pagal Jūsų prašymą būtinų veiksmų, Jūs turėsite teisę pateikti skundą priežiūros institucijai, kuri Lietuvos Respublikoje yra Valstybinė duomenų apsaugos inspekcija (L. Sapiegos g. 17, LT-10312 Vilnius; tel. (8 5) 212 7532; el. paštas: [email protected]).
(parašas) (vardas, pavardė)
_____________
Asmens duomenų tvarkymo taisyklių
2 priedas
(Informacijos apie asmens duomenų tvarkymą forma)
INFORMACIJA APIE ASMENS DUOMENŲ TVARKYMĄ
Vadovaudamiesi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 13/14[6] straipsniu, teikiame Jums informaciją, susijusią su Jūsų duomenų tvarkymu:
1. Duomenų valdytojas – Lietuvos Respublikos sveikatos apsaugos ministerija, Vilniaus g. 33, 01506 Vilnius, el. pašto adresas [email protected].
2. Duomenų apsaugos pareigūno kontaktai – el. pašto adresas [email protected], korespondencijos adresas Vilniaus g. 33, 01506 Vilnius – laišką adresuokite Ministerijos duomenų apsaugos pareigūnui.
3. Duomenų tvarkymo tikslai. Toliau nurodyti Jūsų asmens duomenys yra tvarkomi šiais tikslais[7]:
4. Tvarkomi duomenys. Informuojame Jus, kad tvarkome šiuos Jūsų asmens duomenis[8]:
5. Duomenų tvarkymo teisinis pagrindas. Jūsų asmens duomenų tvarkymo teisinis pagrindas[9] – _______________________________________________________________________
_________________________________________________________________________________ [10].
6. Duomenų šaltinis. Pirmiau nurodyti Jūsų duomenys gauti iš[11] ____________________
__________________________________________________________________________________
7. Asmens duomenų gavėjai. Jūsų asmens duomenys gali būti perduoti[12]:
7.1. duomenų tvarkytojams, kurie atlieka tam tikrus darbus ir teikia paslaugas (informacinių technologijų bendrovės, kurios duomenis tvarko, kad užtikrintų informacinių sistemų kūrimą, tobulinimą ir palaikymą; bendrovės, kurios užtikrina pranešimų klientams siuntimą, teikia apsaugos ir kitas paslaugas, įskaitant teisės, finansų, mokesčių, verslo valdymo, personalo administravimo, buhalterinės apskaitos paslaugas);
7.2. teismui, teisėsaugos įstaigoms ar valstybės institucijoms tiek, kiek tokį teikimą nustato teisės aktų reikalavimai (pvz., antstoliams, teismams ir kt.);
7.3. kitiems fiziniams / juridiniams asmenims Jūsų sutikimu, jei toks sutikimas gaunamas dėl konkretaus atvejo;
8. Duomenų subjektų teisės. Informuojame Jus, kad turite šias teises: teisę prašyti, kad Jums būtų leista susipažinti su Jūsų asmens duomenimis ir juos ištaisyti arba ištrinti, teisę apriboti duomenų tvarkymą, teisę nesutikti, kad asmens duomenys būtų tvarkomi, taip pat teisę į asmens duomenų perkeliamumą. Šias teises galite įgyvendinti teisės aktų nustatyta tvarka.
Prašymai dėl teisių įgyvendinimo Lietuvos Respublikos sveikatos apsaugos ministerijai turi būti pateikti raštu (įskaitant ir elektroniniu formatu), taip pat turi būti įmanoma identifikuoti prašymą padavusio asmens bei duomenų subjekto tapatybę. Duomenų subjekto tapatybė nustatoma pagal tapatybę patvirtinantį dokumentą ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį. Jei prašymą duomenų subjektas siunčia paštu ar per pasiuntinį, prie prašymo turi būti pridėta teisės aktų nustatyta tvarka patvirtinta duomenų subjekto asmens tapatybę patvirtinančio dokumento kopija. Kai dėl informacijos apie asmenį kreipiasi jo atstovas, jis turi pateikti atstovavimą patvirtinantį dokumentą ir atstovo tapatybę patvirtinantį dokumentą, jeigu nėra kitų protingų būdų nustatyti atstovo tapatybę.
Dėl duomenų subjektų teisių įgyvendinimo tvarkos maloniai prašome kreiptis į duomenų apsaugos pareigūną 2 punkte nurodytais kontaktais.
9. Jūs taip pat turite teisę bet kada atšaukti sutikimą tvarkyti Jūsų duomenis. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto asmens duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.[13]
10. Asmens duomenų saugojimo laikotarpis. Informuojame, kad Jūsų asmens duomenys bus saugomi ____________ laikotarpį[14]. Šis terminas gali būti pratęstas, jei asmens duomenys yra naudojami arba gali būti naudojami kaip įrodymai ar informacijos šaltinis ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais įstatymų nustatytais atvejais. Tokiu atveju asmens duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
11. Automatizuotų sprendimų priėmimai. Informuojame, kad šie Jūsų duomenys nebus naudojami automatizuotiems sprendimams priimti Jūsų atžvilgiu, įskaitant profiliavimą.
Asmens duomenų tvarkymo taisyklių
3 priedas
(Duomenų valdytojo duomenų tvarkymo veiklos įrašų forma)
Duomenų valdytojas: |
||||||||||||
Lietuvos Respublikos sveikatos apsaugos ministerija |
||||||||||||
Vilniaus g. 33, Vilnius |
+370 5 266 1400 |
www.sam.lt |
||||||||||
Duomenų valdytojo atstovas (darbuotojas ar padalinys, atsakingas už asmens duomenų tvarkymą: |
||||||||||||
Struktūrinio padalinio pavadinimas ir funkcijos tvarkant asmens duomenis |
||||||||||||
Vilniaus g. 33, Vilnius |
Telefono ryšio numeris |
el. pašto adresas |
|
|||||||||
Duomenų apsaugos pareigūnas: |
||||||||||||
Neringa Viliūnaitė |
||||||||||||
Vilniaus g. 33, Vilnius |
+370 5 266 1499 |
|
||||||||||
Duomenų tvarkymo tikslas (pvz., įdarbinimas, personalo administravimas, tarnybinis tyrimas dėl tarnybinio nusižengimo, profilaktinis sveikatos tikrinimas, vaizdo konferencijų organizavimas, viešosios informacijos administravimas, patalpų ir teritorijos apsauga, įsigijimų vykdymas, asmenų aptarnavimas, paslaugų kokybės užtikrinimas, leidimų statyti automobilį išdavimas, visiškos materialinės atsakomybės sutarčių administravimas, įgaliojimų suteikimas ir t. t.) |
||||||||||||
Duomenų tvarkymo teisinis pagrindas nurodoma BDAR 6 straipsnio. 1 dalies ir jei taikoma 9 straipsnio 2 dalies konkretus punktas ir jei taikoma Lietuvos Respublikos teisės aktas, kuris suteikia teisę tvarkyti asmens duomenis (pvz., Darbo kodeksas, Visuomenės informavimo įstatymas, Viešojo administravimo įstatymas, sutikimas ir t. t.) |
||||||||||||
Duomenų subjektų kategorijų aprašymas (pvz., asmenys, pretenduojantys arba paskirti (priimti) į pareigas; asmenys, su kuriais sudaroma tarnybos (darbo) sutartis; asmenys, teikiami skatinti ar apdovanoti; asmenys, kurie prašo leidimo dirbti kitą darbą; asmenys, kurių atžvilgiu atliekamas tarnybinis tyrimas, ir kiti asmenys, susiję su teisės pažeidimo tyrimu; vaizdo konferencijų dalyviai, žurnalistai ir kiti asmenys, viešąją informaciją renkantys iš SAM; asmenys, patenkantys į vaizdo stebėjimo lauką; klientai, ir t. t.) Esant kelioms duomenų subjektų grupėms, atskirai nurodomi kiekvienos duomenų subjektų grupės tvarkomi asmens duomenys (įskaitant ir specialių kategorijų asmens duomenis), jeigu tvarkomi duomenys yra skirtingi. |
||||||||||||
Asmens duomenų kategorijų aprašymas (pvz., vardas, pavardė, gimimo data, adresas, vaizdo duomenys, priskaičiuotas darbo užmokestis, duomenys apie sveikatą, telefono pokalbio įrašas, IP adresas ir t. t.) |
||||||||||||
Asmens duomenų gavėjų kategorijos (pvz., teisėsaugos institucijos, kurjerių tarnybos, bankai, Sodra, valstybės ir savivaldybių institucijos ir įstaigos teisės aktų nustatytoms funkcijoms vykdyti bei kiti fiziniai ir juridiniai asmenys, turintys teisę gauti duomenis, ir t. t.) |
||||||||||||
Asmens duomenų šaltinis (pvz., tiesiogiai iš duomenų subjekto, iš Gyventojų registro, iš duomenų subjekto buvusio darbdavio, iš banko, iš vaizdo įrašymo priemonės, iš Sodros ir t. t.) |
||||||||||||
Asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai (kai taikoma): |
||||||||||||
Trečiosios valstybės arba tarptautinės organizacijos, kuriai perduodami asmens duomenys, pavadinimas: |
BDAR 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai: |
|||||||||||
Kita informacija, susijusi su asmens duomenų perdavimu |
||||||||||||
Numatomi asmens duomenų saugojimo, ištrynimo terminai (kai įmanoma) (pvz., 10 metų po sutarties įvykdymo, 30 kalendorinių dienų, 3 mėn. nuo atrankos pabaigos, 6 mėn. nuo kandidato dokumentų gavimo ir t. t.) |
||||||||||||
Asmens duomenų saugojimo vieta (pvz., rakinama spinta, darbuotojo kompiuteryje, SAM serveryje, valstybės registre ar informacinėje sistemoje ir t. t.) |
||||||||||||
Bendras duomenų saugumo priemonių (nurodytų BDAR 32 straipsnio 1 dalyje) aprašymas (kai įmanoma): |
||||||||||||
Techninės saugumo priemonės: (pvz., programinė įranga yra nuolatos atnaujinama, aprūpinta ugniasienėmis ir antivirusinėmis programomis, daromos atsarginės duomenų kopijos, atliekamas duomenų šifravimas ir t. t.) |
Organizacinės saugumo priemonės: (pvz., informacinių sistemų ir duomenų bazių vartotojų teisių ribojimas ir kontrolė, asmenys, dirbantys su asmens duomenimis, yra saistomi teisės aktuose nustatytų konfidencialumo pareigų ir t. t.) |
|||||||||||
Kita informacija (pvz., Pranešimo duomenų subjektui apie asmens duomenų tvarkymą pateikimo vieta (arba aplinkybės, dėl kurių neįmanoma informuoti duomenų subjekto apie jo duomenų tvarkymą), kitų duomenų subjekto teisių įgyvendinimo ypatumai, nuorodos į kitus su duomenų apsauga susijusius dokumentus (į poveikio duomenų apsaugai vertinimą, vidaus tvarkos taisykles, informaciją apie asmens duomenų tvarkymą ir t. t.) |
||||||||||||
Duomenų įvedimo, keitimo data (-os), registravimo numeris, įvedusio asmens vardas, pavardė, parašas |
||||||||||||
data |
registravimo numeris |
vardas |
pavardė |
parašas |
||||||||
|
(Duomenų tvarkytojo duomenų tvarkymo veiklos įrašų forma)
Duomenų tvarkytojas: |
||||||
Lietuvos Respublikos sveikatos apsaugos ministerija |
||||||
Vilniaus g. 33, Vilnius |
+370 5 266 1400 |
www.sam.lt |
||||
Kiekvienas duomenų valdytojas (jei taikoma – ir jo atstovas), kurio vardu veikia duomenų tvarkytojas: |
||||||
Duomenų valdytojo pavadinimas (jei fizinis asmuo – jo vardas ir pavardė) |
||||||
Pašto adresas |
Telefono ryšio numeris |
Elektroninio pašto adresas |
Kitos ryšių priemonės (pvz., interneto svetainės adresas, el. siuntos pristatymo dėžutės adresas) |
|||
Duomenų apsaugos pareigūnas (jei taikoma): |
||||||
Neringa Viliūnaitė |
||||||
Vilniaus g. 33, Vilnius |
+370 5 266 1499 |
|
||||
Kiekvieno duomenų valdytojo vardu atliekamo duomenų tvarkymo kategorijos, t. y. atliekami asmens duomenų tvarkymo veiksmai (pvz., vaizdo stebėjimas, asmens duomenų saugojimas, naikinimas ir t. t.) |
||||||
Asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai (kai taikoma): |
||||||
Trečiosios valstybės arba tarptautinės organizacijos, kuriai perduodami asmens duomenys, pavadinimas: |
BDAR 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai: |
|||||
Kita informacija, susijusi su asmens duomenų perdavimu |
||||||
Bendras duomenų saugumo priemonių (nurodytų BDAR 32 straipsnio 1 dalyje) aprašymas (kai įmanoma): |
||||||
Techninės saugumo priemonės: (pvz., programinė įranga yra nuolatos atnaujinama, aprūpinta ugniasienėmis ir antivirusinėmis programomis, daromos atsarginės duomenų kopijos, atliekamas duomenų šifravimas ir t. t.) |
Organizacinės saugumo priemonės: (pvz., informacinių sistemų ir duomenų bazių vartotojų teisių ribojimas ir kontrolė, asmenys, dirbantys su asmens duomenimis, yra saistomi teisės aktuose nustatytų konfidencialumo pareigų ir t. t.) |
|||||
Kita informacija (pvz., darbuotojai (skyriai), atsakingi už duomenų tvarkymą, nuorodos į kitus su duomenų apsauga susijusius dokumentus ir t. t.) |
||||||
Duomenų įvedimo, keitimo data (-os) |
||||||
|
_____________
Asmens duomenų tvarkymo taisyklių
4 priedas
TIPINIŲ ASMENS DUOMENŲ APSAUGOS PRIEMONIŲ SĄRAŠAS
1. Fizinė prieiga prie kompiuterinės įrangos:
2. Programinės įrangos naudotojai:
2.2. prieigos prie asmens duomenų slaptažodžiai suteikiami, keičiami ir saugomi užtikrinant jų konfidencialumą;
3. Prieiga prie vidinio tinklo:
3.2. nutolę įrenginiai prie vidinio tinklo jungiasi saugiu ryšio kanalu (VPN, skirtinėmis linijomis ir pan.);
4. Atsarginių duomenų kopijų naudojimas:
5. Apsauga nuo vagystės:
5.1. ribojamas ir kontroliuojamas neįgaliotų asmenų patekimas į patalpas, kuriose saugomi asmens duomenys;
6. Apsauga nuo piktnaudžiavimo duomenų perdavimo tinklu:
7. Programinės įrangos klaidos:
8. Apsauga nuo kenkėjiškos programinės įrangos
8.1. tarnybinėse stotyse ir kompiuterinėse darbo vietose įdiegtos ir nuolatos atnaujinamos vidinio tinklo antivirusinės programos;
9. Programinės įrangos naudojimas:
9.2. nuolat atliekama naudotojų kompiuterinėse darbo vietose naudojamos programinės įrangos kontrolė;
9.3. darbuotojams nesuteiktos teisės patiems diegti programinę įrangą, nebent tai nustatyta pareigybės aprašymuose;
10. Naudotojų švietimas:
11. Apsauga nuo duomenų perdavimo tinklo įrangos gedimų:
12. Apsauga nuo kompiuterinės įrangos gedimų:
14. Apsauga nuo ugnies:
15. Apsauga nuo užliejimo:
16. Apsauga nuo temperatūros ir drėgmės svyravimų:
18. Apsauga nuo elektros srovės tiekimo sutrikimų:
Asmens duomenų tvarkymo taisyklių
5 priedas
(Poveikio duomenų apsaugai vertinimo ataskaitos pavyzdinė forma)
POVEIKIO DUOMENŲ APSAUGAI VERTINIMO ATASKAITA
Duomenų valdytojas: |
||||||||||||
Lietuvos Respublikos sveikatos apsaugos ministerija |
||||||||||||
Vilniaus g. 33, Vilnius |
+370 5 266 1400 |
www.sam.lt |
||||||||||
Duomenų valdytojo atstovas (darbuotojas ar padalinys, atsakingas už asmens duomenų tvarkymą): |
||||||||||||
Struktūrinio padalinio pavadinimas ir funkcijos tvarkant asmens duomenis |
||||||||||||
Vilniaus g. 33, Vilnius |
Telefono ryšio numeris |
el. pašto adresas |
|
|||||||||
Duomenų apsaugos pareigūnas: |
||||||||||||
Neringa Viliūnaitė |
||||||||||||
Vilniaus g. 33, Vilnius |
+370 5 266 1499 |
|
||||||||||
Priežastys, dėl kurių būtina atlikti poveikio duomenų apsaugai vertinimą: |
||||||||||||
Planuojamos vykdyti veiklos aprašymas, jos tikslai ir planuojamos atlikti asmens duomenų tvarkymo operacijos. Paaiškinimas, kodėl būtina atlikti poveikio duomenų apsaugai vertinimą. Jei reikia, prie formos pridedami susiję dokumentai. |
||||||||||||
|
||||||||||||
Asmens duomenų tvarkymo aprašymas |
||||||||||||
Aprašomi asmens duomenų rinkimo, naudojimo, saugojimo ir naikinimo veiksmai, nurodoma, iš kokių šaltinių bus renkami duomenys, kam bus teikiami (galima pateikti asmens duomenų tvarkymo veiksmų schemą). Aprašoma, kokie asmens duomenų tvarkymo veiksmai gali kelti pavojų fizinių asmenų teisėms ir laisvėms. |
||||||||||||
|
||||||||||||
Aprašomas tvarkymo mastas: kokių kategorijų asmens duomenys bus tvarkomi; ar bus tvarkomi specialių kategorijų asmens duomenys arba duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas; kiek duomenų, kaip dažnai bus renkama ir naudojama; kaip ilgai bus saugomi asmens duomenys; nurodomas apytikslis duomenų subjektų skaičius bei geografinė duomenų tvarkymo aprėptis. |
||||||||||||
|
||||||||||||
Aprašomas duomenų tvarkymo pobūdis: kokio pobūdžio santykiai sieja Jūsų įmonę su duomenų subjektais; ar duomenų subjektai turės galimybę kontroliuoti duomenų tvarkymą; ar duomenų subjektai gali numatyti, kad jų asmens duomenys bus tvarkomi šiuo būdu; ar bus tvarkomi vaikų ir kitų pažeidžiamų asmenų duomenys; įvertinama, ar toks duomenų tvarkymas yra saugus; ar duomenų tvarkymo technologijos yra naujos, ar egzistuojančios technologijos bus panaudotos kitokiu būdu; koks yra technologijų išsivystymo lygis šioje srityje; ar yra kokių nors visuomeninių ar pan. problemų ar klausimų, į kuriuos būtina atsižvelgti; nurodoma, ar yra įsipareigojimas laikytis patvirtinto elgesio kodekso ar patvirtinto sertifikavimo mechanizmo. |
||||||||||||
|
||||||||||||
Aprašomi asmens duomenų tvarkymo tikslai: kokį rezultatą siekiama gauti; kokį poveikį tai turės fiziniams asmenims; kokia yra tokio duomenų tvarkymo nauda Jūsų įmonei bei kitiems asmenims. |
||||||||||||
|
||||||||||||
Konsultacijos |
||||||||||||
Aprašoma, kaip planuojama sužinoti suinteresuotų asmenų nuomonę arba pagrindžiama, kodėl to daryti nebūtina: kokių asmenų nuomonę planuojama gauti; kokie asmenys bus pasitelkti Jūsų įmonėje, ar bus pasitelkti duomenų tvarkytojai; ar planuojama konsultuotis su duomenų saugos ekspertais ar kitokių sričių ekspertais. |
||||||||||||
|
||||||||||||
Būtinumo ir proporcingumo įvertinimas |
||||||||||||
Aprašomas asmens duomenų tvarkymo teisėtumas ir tvarkymo proporcingumas: nurodomas teisėto tvarkymo pagrindas; įvertinama, ar tvarkant asmens duomenis bus pasiektas Jūsų tikslas; ar tą patį rezultatą įmanoma pasiekti kitokiu būdu; kokiu būdu bus išvengta veiklos sutrikimų; kaip bus užtikrinta duomenų kokybė ir įgyvendintas duomenų kiekio mažinimo principas; kokia informacija bus pateikta duomenų subjektams; kaip Jūsų įmonė planuoja įgyvendinti duomenų subjektų teises; kokiu būdu bus užtikrinta, kad duomenų tvarkytojas laikytųsi reikalavimų; kokiu būdu bus užtikrintas į užsienio valstybes teikiamų asmens duomenų saugumas. |
||||||||||||
|
||||||||||||
Pavojų nustatymas ir įvertinimas |
||||||||||||
Aprašomas pavojaus ir poveikio fiziniam asmeniui pobūdis. Jei būtina, aprašoma susijusi verslo rizika. |
Žalos tikimybė |
Žalos sunkumas |
Bendras pavojaus lygis |
|||||||||
|
Mažai tikėtina, tikėtina ar labai tikėtina |
Minimali, reikšminga ar sunki |
Žemas, vidutinis ar aukštas |
|||||||||
|
|
|
|
|||||||||
Priemonių sumažinti pavojų nustatymas |
||||||||||||
Nurodomos papildomos priemonės, kurių galima imtis siekiant sumažinti ar panaikinti aukšto ar vidutinio lygio pavojus. |
||||||||||||
Pavojus |
Priemonės sumažinti ar pašalinti pavojų |
Priemonės pritaikymo rezultatas |
Likęs pavojus |
Priemonė patvirtinta |
||||||||
|
|
Pašalinta, sumažinta, priimtina rizika |
Žemas, vidutinis ar aukštas |
Taip, ne |
||||||||
|
|
|
|
|
||||||||
Išvados ir sprendimai |
||||||||||||
Nurodomos priemonės ir įvardijamas likęs pavojus |
Vardas, pavardė, data, parašas |
Pastabos |
||||||||||
Priemonės patvirtintos: |
|
Įtraukti numatytas priemones į veiklos planą, nustatant atlikimo terminą ir atsakingus asmenis |
||||||||||
Likęs pavojus pripažintas priimtina rizika:
|
|
Jei priimtina rizika pripažintas aukšto lygio pavojus priimtinas, privaloma kreiptis dėl išankstinės konsultacijos į Valstybinę duomenų apsaugos inspekciją |
||||||||||
Duomenų apsaugos pareigūno nuomonė |
||||||||||||
Duomenų apsaugos pareigūno nuomonė turi būti pateikta dėl asmens duomenų tvarkymo teisėtumo, planuojamų priemonių pavojams mažinti ar pašalinti bei dėl galimybės toliau tvarkyti asmens duomenis. |
||||||||||||
Nurodoma duomenų apsaugos pareigūno nuomonė:
|
||||||||||||
|
Vardas, pavardė, data, parašas |
|||||||||||
Nurodoma, ar atsižvelgta į duomenų apsaugos pareigūno nuomonę |
||||||||||||
Jeigu atmesta, pagrindžiama, kodėl. |
||||||||||||
|
||||||||||||
|
Vardas, pavardė, data, parašas |
|||||||||||
Gautos kitų asmenų nuomonės |
||||||||||||
Trumpai aprašomos kitų asmenų nuomonės ir nurodoma, ar į jas atsižvelgta. Jeigu sprendimas skiriasi nuo susijusių asmenų nuomonės, pagrindžiama, kodėl. |
||||||||||||
|
||||||||||||
|
Vardas, pavardė, data, parašas |
|||||||||||
Už šio poveikio duomenų apsaugai vertinimo priežiūrą paskirtas atsakingas asmuo |
||||||||||||
Trumpai aprašomos kitų asmenų nuomonės ir nurodoma, ar į jas atsižvelgta. Jeigu sprendimas skiriasi nuo susijusių asmenų nuomonės, pagrindžiama, kodėl. |
||||||||||||
|
||||||||||||
|
Vardas, pavardė, data, parašas |
|||||||||||
|
_____________
Asmens duomenų tvarkymo taisyklių
6 priedas
(Lietuvos Respublikos sveikatos apsaugos ministerijos duomenų tvarkytojų registro forma)
LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTERIJOS
DUOMENŲ TVARKYTOJŲ REGISTRAS
Eil. Nr. |
Duomenų tvarkytojas |
Sutarties su duomenų tvarkytoju sudarymo data, pobūdis |
Perduotų asmens duomenų kategorijos ir duomenų subjektų kategorijos |
Perduotų duomenų tvarkymo tikslas |
Duomenų tvarkytojui duoti nurodymai |
Sutarties su duomenų tvarkytoju pasibaigimo data |
_____________
[1] Šiame punkte pateikiamas asmens duomenų sąrašas, kuris yra reikalingas konkrečiam duomenų tvarkymo šio sutikimo pagrindu tikslui (-ams), numatytam (-iems) Ministerijos Duomenų tvarkymo veiklos įrašuose, pasiekti, pvz.: vardas, pavardė, gimimo data, kvalifikacija, darbo stažas ir pan.
[2] Šiame punkte pateikiami konkretūs tikslai, kuriais Ministerija naudos asmens duomenis šio sutikimo pagrindu, pvz.: darbuotojų atrankos tikslu, galimam įdarbinimui atsiradus laisvai darbo vietai.
[3] Šiame punkte pateikiama, kokie konkretūs veiksmai bus atliekami su 1 punkte nurodytais duomenimis juos tvarkant 2 punkte nurodytais tikslais, pvz.: duomenų vertinimas ir analizavimas.
[4] Nurodomi duomenų gavimo šaltiniai, pvz.: pats duomenų subjektas, valstybės registrai ar informacinės sistemos, fiziniai ar juridiniai asmenys.
[5] Šiame punkte įvardijami duomenų gavėjai, kuriems šio sutikimo pagrindu būtų perduodami duomenys.
[6] Pasirinkti tinkamą: jei duomenys gauti iš paties duomenų subjekto, nurodomas 13 straipsnis, jei iš kitų asmenų – 14 straipsnis.
[7] Šiame punkte pateikiami asmens duomenų tvarkymo tikslai, nurodyti Ministerijos asmens duomenų tvarkymo įrašuose.
[8] Šiame punkte pateikiamas tvarkomų asmens duomenų (asmens duomenų kategorijų) sąrašas, nurodytas Ministerijos asmens duomenų tvarkymo įrašuose.
[9] Šiame punkte pateikiamas asmens duomenų tvarkymo pagrindas, nurodytas Ministerijos asmens duomenų tvarkymo įrašuose.
[10] Atsižvelgiant į duomenų tvarkymo teisinį pagrindą nurodoma, ar duomenų pateikimas yra nustatytas teisės aktais, arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina vykdyti norint sudaryti sutartį, taip pat tai, ar duomenų subjektas privalo pateikti asmens duomenis, ir informacija apie galimas tokių duomenų nepateikimo pasekmes; jeigu duomenų tvarkymo pagrindas – teisėtas Ministerijos ar trečiųjų asmenų interesas – aiškiai įvardijamas šis interesas.
[11] Šiame punkte pateikiamas asmens duomenų kilmės šaltinis ir, jeigu taikoma, ar duomenys gauti iš viešai prieinamų šaltinių.
[12] Šiame punkte pateikiami duomenų gavėjai (jų kategorijos), nurodyti Ministerijos duomenų tvarkymo veiklos įrašuose.
[13] Ši pastraipa yra rašoma tik tada, kai duomenys yra tvarkomi sutikimo pagrindu.
[14] Šiame punkte pateikiamas asmens duomenų saugojimo laikotarpis, nurodytas Ministerijos duomenų tvarkymo veiklos įrašuose.