1.         Asmens duomenų tvarkymo taisyklės (toliau – Taisyklės) reglamentuoja asmens duomenų tvarkymą Lietuvos Respublikos švietimo, mokslo ir sporto ministerijoje (toliau – Ministerija), užtikrinant 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ) ir kitų teisės aktų, nustatančių asmens duomenų tvarkymą ir apsaugą, nuostatų laikymąsi ir įgyvendinimą.

2.         Taisyklių paskirtis – numatyti pagrindines asmens duomenų tvarkymo ir asmens duomenų saugos organizacines priemones. Asmens duomenų tvarkymą Ministerijos valdomuose registruose ir valstybės informacinėse sistemose reglamentuoja šių registrų ir informacinių sistemų nuostatai.

3.         Taisyklių privalo laikytis visi Ministerijos valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis, praktikantai bei stažuotojai, atliekantys praktiką arba besistažuojantys Ministerijoje (toliau – darbuotojas), taip pat kiti asmenys, kurie, tvarkydami asmens duomenis Ministerijoje ir (arba) eidami savo pareigas, sužino asmens duomenis arba turi bet kokio pobūdžio prieigą prie asmens duomenų.

4.         Ministro paskirtas darbuotojas yra atsakingas už Taisyklių įgyvendinimo priežiūrą ir kartu su kitais Taisyklėse nurodytais darbuotojais atlieka Taisyklėse įtvirtintas funkcijas. Asmens, atsakingo už Taisyklių įgyvendinimo priežiūrą, paskyrimas nepanaikina kiekvieno darbuotojo, kuris tvarko asmens duomenis, eidamas savo pareigas, juos sužino arba turi bet kokio pobūdžio prieigą prie asmens duomenų, pareigos ir atsakomybės už Taisyklių laikymąsi ir įgyvendinimą bei asmens duomenų tvarkymo teisėtumą.

5.         Taisyklėse vartojamos sąvokos suprantamos taip, kaip jas apibrėžia Bendrasis duomenų apsaugos reglamentas (toliau – Reglamentas) ir ADTAĮ. 

PIRMASIS SKIRSNIS

ASMENS DUOMENŲ TVARKYMO BENDROSIOS NUOSTATOS

ANTRASIS SKIRSNIS

REIKALAVIMAI SUTIKIMUI, KAIP ASMENS DUOMENŲ TVARKYMO PAGRINDUI

TREČIASIS SKIRSNIS

DUOMENŲ SUBJEKTŲ INFORMAVIMAS

38.       Ministerijoje yra tvarkomi duomenų tvarkymo veiklos įrašai pagal Taisyklėse patvirtintą formą (Taisyklių 3 priedas). Ministerijoje vykdoma asmens duomenų tvarkymo veikla privalo tiksliai atitikti duomenų tvarkymo veiklos įrašuose aprašytą veiklą.

39.       Ministerijoje yra tvarkomi tik tie asmens duomenys ir tik tuo tikslu bei tuo teisiniu pagrindu, kurie nurodyti duomenų tvarkymo veiklos įrašuose.

40.       Duomenų tvarkymo veiklos įrašai tvarkomi raštu, įskaitant elektroninę formą.

41.       Už duomenų tvarkymo veiklos įrašų registravimą atsakingas Ministerijos duomenų apsaugos pareigūnas.

42.       Darbuotojai nedelsdami informuoja Ministerijos duomenų apsaugos pareigūną, jeigu Ministerijos duomenų tvarkymo veiklos įrašai neatitinka Ministerijos realaus poreikio dėl asmens duomenų tvarkymo, pateikdami duomenų tvarkymo veiklos įrašų užpildytą formą (Taisyklių 3 priedas).

43.       Duomenų tvarkymo veiklos įrašai turi būti teisingi, aktualūs ir išsamūs, atspindėti realią Ministerijos duomenų tvarkymo veiklą.

44.       Duomenų tvarkymo veiklos išrašai, gavus prašymą, pateikiami Inspekcijai jos prašyme nurodytais terminais.

45.       Ministerijos duomenų apsaugos pareigūnas atlieka nuolatines patikras Ministerijoje, ar Ministerijoje vykdoma asmens duomenų tvarkymo veikla atitinka duomenų tvarkymo veiklos įrašus. Patikrų metu gali būti tikrinama tik konkreti duomenų tvarkymo operacija (veiksmas), konkrečios duomenų subjektų kategorijos duomenų tvarkymo veikla, konkretus duomenų tvarkymo veiklos epizodas. Patikros rezultatai yra įforminami protokolu, kuriame nurodoma, ar tikrinta Ministerijos vykdoma asmens duomenų tvarkymo veikla atitinka duomenų tvarkymo veiklos įrašus, nurodomi trūkumai, jeigu tokie nustatyti. Patikros protokolas yra teikiamas Ministerijos kancleriui. Patikros metu nustačius trūkumus, nedelsiant imamasi priemonių jiems ištaisyti.

46.       Ministerijos duomenų apsaugos pareigūnas atskaitingas švietimo, mokslo ir sporto ministrui. Ministerijos duomenų apsaugos pareigūnui negalint vykdyti funkcijų ir atlikti užduočių, švietimo, mokslo ir sporto ministras įsakymu paskiria jį pavaduojantį asmenį.

47.       Ministerijos duomenų apsaugos pareigūno kontaktiniai duomenys (vardas, pavardė, el. pašto adresas ir telefono ryšio numeris) yra skelbiami Ministerijoje tokiu būdu, kad darbuotojams būtų aišku, jog konkretus asmuo yra duomenų apsaugos pareigūnas, taip pat jo funkcijos bei uždaviniai. Ministerijos duomenų apsaugos pareigūno kontaktiniai duomenys pranešami Inspekcijai, taip pat nurodomi Ministerijos internetinės svetainės skiltyje „Asmens duomenų apsauga“, sutikimo dėl asmens duomenų tvarkymo formoje (Taisyklių 1 priedas), informavimo apie asmens duomenų tvarkymą formoje (Taisyklių 2 priedas) ir kitose vietose, siekiant sudaryti galimybę suinteresuotiems asmenims be kliūčių susisiekti su Ministerijos duomenų apsaugos pareigūnu.

48.       Ministerijos darbuotai tvarkydami asmens duomenis, bendradarbiauja su Ministerijos duomenų apsaugos pareigūnu, privalo teikti jam reikalingą medžiagą ir informaciją, kurios reikia Ministerijos duomenų apsaugos pareigūno tiesioginėms funkcijoms atlikti.

49.       Duomenų subjektai turi visas Reglamento III skyriuje įtvirtintas teises, pagrindinės iš jų:

50.       Ministerija imasi visų būtinų priemonių, kad būtų užtikrintos visos duomenų subjektų teisės. Duomenų subjektų teisių įgyvendinimo tvarka įtvirtinta:

51.       Darbuotojų asmens duomenys yra tvarkomi šiais pagrindais: darbo sutarties ar kitos su darbuotoju sudarytos sutarties sudarymas ir vykdymas, valstybės tarnybos teisinių santykių pagrindas, teisės aktuose nustatytų teisinių prievolių vykdymas, Ministerijos ar trečiųjų asmenų teisėtas interesas (pavyzdžiui, Ministerijos materialinės nuosavybės apsauga, darbuotojų produktyvumo ir komunikacijos gerinimas, konfidencialios informacijos apsauga, asmens duomenų, už kuriuos atsakinga Ministerija, apsauga, turto ir interesų apsauga, darbuotojų bei kitų subjektų teisių ir saugumo užtikrinimas ir kt.).

52.       Ministerijoje gali būti tvarkomi tik tie darbuotojų asmens duomenys, kurie yra būtini darbo sutarčiai / valstybės tarnybos teisinių santykių ar kitai su darbuotoju sudarytai sutarčiai sudaryti ir vykdyti, teisės aktuose nustatytoms Ministerijos teisinėms prievolėms vykdyti, konkrečiam Ministerijos teisėtam interesui apsaugoti. Darbuotojų duomenų tvarkymo tikslai numatyti duomenų tvarkymo veiklos įrašuose.

53.       Ministerijoje draudžiama tvarkyti su darbu / valstybės tarnyba ir jų teisių įgyvendinimu nesusijusius (perteklinius) darbuotojų asmens duomenis, taip pat pateikti darbuotojo asmens duomenis tretiesiems asmenims, išskyrus Reglamente ir įstatymuose nustatytus atvejus.

54.       Darbuotojai Taisyklių nustatyta tvarka yra informuojami apie jų asmens duomenų tvarkymą Ministerijos dokumentų valdymo sistemos (toliau – DVS) priemonėmis.

55.       Draudžiama tvarkyti pretendento eiti pareigas arba dirbti darbus ir darbuotojo asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, išskyrus atvejus, kai šie asmens duomenys būtini patikrinti, ar asmuo atitinka įstatymuose ir (ar) įgyvendinamuosiuose teisės aktuose nustatytus reikalavimus pareigoms eiti arba darbams dirbti ir atsakomybei teisės aktų nustatyta tvarka taikyti.

56.       Pretendento eiti pareigas arba dirbti darbus asmens duomenis, susijusius su kvalifikacija, profesiniais gebėjimais ir dalykinėmis savybėmis, galima rinkti iš buvusio darbdavio / valstybės ir savivaldybių įstaigų, kurioje valstybės tarnautojas atliko valstybės tarnybą ar dirbo pagal darbo sutartis, prieš tai informavus pretendentą, o iš esamo darbdavio / valstybės ir savivaldybės įstaigos, kurioje valstybės tarnautojas atlieka valstybės tarnybą ar dirba pagal darbo sutartis, – tik pretendento sutikimu.

57.       Viešai prieinami asmens duomenys apie pretendentą, pretenduojantį eiti pareigas arba dirbti darbus, ar darbuotojus gali būti renkami tik tiek ir tik tokia apimtimi, kiek tie asmens duomenys yra tiesiogiai reikalingi ir aktualūs darbo / valstybės tarnybos pareigoms ir funkcijoms, į kurias pretenduojama, vykdyti. Apie šią galimybę pretendentai yra informuojami darbo skelbime / priėmimo į valstybės tarnybą paskelbimo pranešime.

58.       Pretendento eiti pareigas arba dirbti darbus, neatrinkto eiti pareigas arba dirbti darbus, asmens duomenys saugomi ne ilgiau nei 3 mėnesius nuo momento, kai pretendentui buvo pranešta, kad su juo nebus sudaryta darbo sutartis / pretendentas nebuvo atrinktas į valstybės tarnautojus. Ilgesnį terminą tokie asmens duomenys gali būti saugomi tik tada, jeigu yra gaunamas pretendento sutikimas, atitinkantis Taisyklėse įtvirtintus reikalavimus, arba atsiranda kitas teisinis pagrindas ilgiau saugoti duomenis.

59.       Pasibaigus darbo / valstybės tarnybos teisiniams santykiams, nauji duomenys apie darbuotoją gali būti renkami tik esant teisiniam pagrindui ir tik tiek, kiek jie yra susiję ir būtini remiantis konkrečiu teisiniu pagrindu pagrįstam tikslui pasiekti. Apie tokį duomenų rinkimą darbuotojai yra informuojami pateikiant užpildytą Taisyklių 2 priedo formą.

60.       Darbuotojas Ministerijos darbo / valstybės tarnybos funkcijoms vykdyti suteiktą kompiuterį, elektroninį paštą ir kitus Ministerijos įrenginius, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą naudoja tik su darbu / valstybės tarnyba susijusiais tikslais ir tik darbo / valstybės tarnybos funkcijoms vykdyti. Darbuotojams yra draudžiama naudoti kompiuterius, telefonus ir kitą Ministerijos suteiktą įrangą, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą asmeniniais tikslais, juose kaupti asmeninio pobūdžio informaciją, asmens duomenis, išskyrus Taisyklių 61 punkte numatytą išimtį. Jeigu darbuotojas naudoja kompiuterius, telefonus ir kitą Ministerijos suteiktą įrangą, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą asmeniniais tikslais, juose kaupia asmeninio pobūdžio informaciją ir asmens duomenis, darbuotojas prisiima riziką, kad tokią informaciją, asmens duomenis Ministerija gali sužinoti patikrinimo metu. Ministerija neužtikrina darbuotojų asmeninės informacijos konfidencialumo darbuotojams asmeniniais tikslais naudojant elektroninį paštą, internetą, socialinius tinklus ir programinę įrangą.

61.       Interneto paslaugos gali būti naudojamos ir asmeniniais tikslais (socialinių tinklų naudojimas, asmeniniai mokestiniai ir bankiniai pervedimai, elektroninio pašto paslauga, momentiniai susirašinėjimai asmeniniais tikslais ir pan.), kiek tai netrukdo optimaliai ir kokybiškai atlikti darbo pareigas, nepažeidžiant Taisyklių 77 punkte nurodytų reikalavimų.

62.       Darbuotojai, turintys nuotolinę prieigą prie Ministerijos infrastuktūros, privalo imtis visų priemonių, kad būtų užtikrintas informacijos ir duomenų saugumas bei konfidencialumas, o Ministerija privalo padėti darbuotojui įgyvendinti šią pareigą.

63.       Nuolatinį Ministerijos darbuotojui suteikto kompiuterio, elektroninio pašto ir kitų Ministerijos įrenginių, prietaisų, įtaisų, informacijos ir ryšių technologijų, programinės įrangos stebėjimą ar tikrinimą vykdyti draudžiama. Ministerijos darbuotojams suteiktos darbo priemonės, įranga, įskaitant elektroninius paštus, kompiuterius, mobiliuosius telefonus, juose esantys asmens duomenys, kiti duomenys bei informacija gali būti tikrinami tik esant visoms šioms sąlygoms:

64.       Taisyklėse įtvirtintas tikrinimas vykdomas limituota apimtimi, t. y. apibrėžtas konkretus laikotarpis, už kurį tikrinama, tikrinamas konkretaus projekto vykdymas, tikrinamas konkrečių funkcijų vykdymas ir tikrinamas tik tiek, kiek yra būtina išsiaiškinti Taisyklėse išdėstytas aplinkybes ir apginti Ministerijos interesus. Ministerijos duomenų apsaugos pareigūnas teikia konsultacijas, kad tikrinimas nepažeistų Reglamento, Taisyklių nuostatų bei duomenų subjektų teisės į privatumą.

65.       Darbuotojai turi būti supažindinti su informacinių ir komunikacinių technologijų naudojimo bei darbuotojų stebėsenos ir kontrolės darbo vietoje tvarka.

66.       Vaizdo stebėjimas ir garso įrašymas darbuotojų darbo vietose gali būti vykdomas tik tada, kai dėl darbo specifikos būtina užtikrinti asmenų, turto ar visuomenės saugumą, ir kitais atvejais, kai kiti būdai ar priemonės yra nepakankami ir (arba) netinkami siekiant išvardytų tikslų, išskyrus atvejus, kai tiesiogiai siekiama kontroliuoti darbo kokybę ir mastą. Apie vaizdo stebėjimą ir garso įrašymą konkrečioje vietoje informuojama vaizdiniu žymeniu matomoje vietoje.

67.       Vaizdo stebėjimas Ministerijos patalpose ar teritorijose, užtikrinant Reglamento, ADTAĮ, kitų įstatymų bei teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą, vykdomas pagal švietimo, mokslo ir sporto ministro nustatytą asmens vaizdo duomenų tvarkymo tvarką.

68.       Viešosios informacijos rengėjų ir (ar) skleidėjų, žurnalistų bei trečiųjų asmenų filmavimo, fotografavimo, garso ar vaizdo įrašų darymo, kitų techninio pobūdžio priemonių naudojimo (toliau – vaizdo ir garso fiksavimo techninės priemonės) Ministerijos patalpose ar Ministerijai, kaip valstybės institucijai, priskirtų funkcijų vykdymo metu ne Ministerijos patalpose principai ir tvarka:

69.       Darant garso įrašus užtikrinama, kad garso įrašų darymas ir tvarkymas atitiktų Taisyklių nuostatas.

70.       Garso įrašų darymo ir tvarkymo Ministerijoje tikslai, garso įrašų saugojimo terminai bei garso įrašų darymo ir saugojimo tvarka numatyti Ministerijos darbo grupių, komisijų ir komitetų posėdžių darbo reglamentuose (nuostatuose). Pasibaigus Ministerijų komisijų ir komitetų posėdžių darbo reglamentuose nustatytam garso įrašų saugojimo terminui, garso įrašai sunaikinami ir toliau Ministerijoje nebesaugomi.

71.       Duomenų subjektų teisės, susijusios su garso įrašų duomenų tvarkymu, įgyvendinamos pagal Taisyklių 50 punkte nurodytus teisės aktus. Įgyvendinant duomenų subjekto teisę susipažinti su tvarkomais savo asmens duomenimis, t. y. Ministerijoje saugomu garso įrašu, užtikrinama trečiųjų asmenų teisė į privatų gyvenimą, t. y. duomenų subjektui susipažinti gali būti pateikiama tik garso įrašo dalis, susijusi su pačiu duomenų subjektu.

72.       Duomenų subjektas apie garso įrašo darymą ir garso įrašuose fiksuojamų asmens duomenų tvarkymą turi būti informuojamas prieš pradedant daryti garso įrašą. Už duomenų subjekto informavimą apie garso įrašo darymą ir garso įrašuose fiksuojamų asmens duomenų tvarkymą atsakingi Ministerijos darbo grupių, komisijų ir komitetų posėdžių sekretoriai.

73.       Ministerijoje taikomų tipinių asmens duomenų apsaugos priemonių sąrašas patvirtintas Taisyklių 4 priede.

74.       Pagrindiniai asmens duomenų apsaugos užtikrinimo principai ir priemonės:

75.       Darbuotojams, kurie naudojasi Ministerijos suteiktu elektroniniu paštu, interneto prieiga ir kita informacinių ir komunikacinių technologijų įranga, draudžiama:

76.       Asmens duomenų saugumo pažeidimų ir jų priežasčių klasifikavimą, pranešimo apie pažeidimus Ministerijai, Inspekcijai ir duomenų subjektams, pažeidimų tyrimo, pažeidimų ir jų pasekmių pašalinimo ir mažinimo, pažeidimų prevencijos ir dokumentavimo tvarką nustato Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos asmens duomenų saugumo pažeidimų valdymo tvarkos aprašas, patvirtintas Lietuvos Respublikos švietimo, mokslo ir sporto ministro 2019 m. liepos 1 d. įsakymu Nr. V-678 „Dėl dokumentų, reglamentuojančių duomenų subjektų teises, patvirtinimo“.

77.       Tais atvejais, kai, atsižvelgiant į asmens duomenų ir duomenų subjektų kategoriją, duomenų tvarkymo pobūdį, aprėptį, kontekstą, tikslus, duomenų subjektų teisėms bei laisvėms gali kilti didelis pavojus, Ministerija, prieš pradėdama vykdyti duomenų tvarkymo operacijas (veiksmus) ir tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimą.

78.       Poveikis duomenų apsaugai vertinamas, kai:

79.       Ar duomenų tvarkymo operacijos (veiksmai) gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms, sprendžiama kiekvieną kartą atsižvelgiant į šiuos kriterijus:

80.       Kuo daugiau Taisyklių 79 punkte įtvirtintų kriterijų atitinka konkreti duomenų tvarkymo operacija (veiksmai), tuo didesnė tikimybė, kad duomenų tvarkymo operacija (veiksmai) gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms. Dėl poveikio duomenų apsaugai atlikimo būtinybės visais atvejais konsultuojamasi su Ministerijos duomenų apsaugos pareigūnu.

81.       Jeigu duomenų tvarkymo operacija (veiksmai) atitinka du ir daugiau Taisyklių 79 punkte išdėstytų kriterijų, tačiau padaroma išvada, kad tokia duomenų tvarkymo operacija (veiksmai) negali kelti didelio pavojaus duomenų subjektų teisėms ir laisvėms, toks sprendimas ir jo argumentai išdėstomi raštu ir kartu su Ministerijos duomenų apsaugos pareigūno nuomone pateikiami Ministerijos kancleriui.

82.       Poveikio duomenų apsaugai vertinimas turi būti atliktas prieš pradedant įgyvendinti duomenų tvarkymo operacijas (veiksmus).

83.       Už poveikio duomenų apsaugai vertinimą kiekvienu konkrečiu atveju atsakingas Ministerijos padalinio (-ių), kuris (-ie) tvarkys asmens duomenis arba kuris (-ie) pagal kompetenciją formuoja politiką tam tikroje srityje, kurioje veikia Ministerijos valdomas registras ar informacinė sistema, kurioje bus tvarkomi duomenys, vadovas (-ai). Poveikio duomenų vertinimui atlikti gali būti pasitelkti išorės konsultantai, specialistai, ekspertai (teisininkai, informacinių technologijų specialistai, saugumo ekspertai, etikos specialistai ir pan.), jeigu Ministerijos žmogiškųjų, laiko išteklių nepakanka tinkamam poveikio duomenų apsaugai vertinimui atlikti.

84.       Atlikus poveikio duomenų apsaugai vertinimą, asmuo ar asmenys, atlikę poveikio duomenų apsaugai vertinimą, užpildo poveikio duomenų apsaugai vertinimo ataskaitos formą (Taisyklių 5 priedas). Panašių didelius pavojus keliančių duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną poveikio duomenų apsaugai vertinimą.

85.       Jeigu, atsižvelgiant į numatomą duomenų tvarkymo operacijos pobūdį, yra įmanoma, Ministerija siekia išsiaiškinti duomenų subjektų ar jų atstovų nuomonę apie numatytą duomenų tvarkymą, nepažeisdama komercinių ar viešųjų interesų apsaugos arba duomenų tvarkymo operacijų saugumo reikalavimų.

86.       Visais atvejais poveikio duomenų apsaugai vertinimo ataskaita yra pateikiama Ministerijos kancleriui ir už sprendimo dėl vertinamos duomenų tvarkymo operacijos priėmimą bei jo įgyvendinimą atsakingam asmeniui (viceministrui arba padalinio vadovui pagal veiklos sritį).

87.       Ministerija, prieš pradėdama duomenų tvarkymo operacijas (veiksmus), kurios gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms, privalo konsultuotis su Inspekcija Išankstinių konsultacijų teikimo taisyklių, patvirtintų Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-84(1.12. E) „Dėl Išankstinių konsultacijų teikimo taisyklių patvirtinimo“, 2 punkte nustatytais atvejais.

88.       Duomenų tvarkymo veiksmai, kurie gali sukelti didelį pavojų duomenų subjektų teisėms ir laisvėms, gali būti vykdomi tik tada, kai Ministerija visiškai ir tinkamai įgyvendina Inspekcijos rekomendacijas, nurodymus ir priemones, gautus konsultavimosi procedūros metu.

89.       Prekės ir (ar) paslaugos, susijusios su duomenų tvarkymu tokiu būdu, kuris gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms, gali būti perkami tik tada, jeigu atitinkamos prekės ir (ar) paslaugos pardavėjas yra atlikęs poveikio duomenų apsaugai vertinimą, Ministerijai yra pateikiama susipažinti tokio vertinimo išvada ir pardavėjas patvirtina, kad jų produktas atitinka Reglamento reikalavimus.

90.       Kai duomenų tvarkymo apimtis, pobūdis, kontekstas ir tikslas yra labai panašūs į duomenų tvarkymą, kurio poveikis duomenų apsaugai buvo atliktas, galima iš naujo nevertinti poveikio duomenų apsaugai, o pasinaudoti dėl panašaus duomenų tvarkymo atliktu poveikio duomenų apsaugai vertinimu.

91.       Šio skyriaus nuostatos yra taikomos tais atvejais, kai Ministerija tvarko duomenis kaip duomenų tvarkytoja. Ministerijos, kaip duomenų tvarkytojos, duomenų tvarkymo veikla yra fiksuojama duomenų tvarkymo veiklos įrašų registre.

92.       Ministerija turi teisę tvarkyti kitų duomenų valdytojų duomenis tik tada, jeigu duomenų valdytojas yra aiškiai nustatęs ir nurodęs duomenų tvarkymo dalyką ir trukmę, duomenų tvarkymo pobūdį ir tikslą, asmens duomenų rūšis ir duomenų subjektų kategorijas bei duomenų valdytojo prievoles ir teises.

93.       Tais atvejais, kai Ministerija tvarko duomenis kaip duomenų tvarkytoja, Ministerija privalo laikytis duomenų valdytojo nustatyto duomenų tvarkymo tikslo, priemonių ir kitų duomenų tvarkymo sąlygų, taip pat privalo tvarkyti tik tokį kiekį duomenų ir tik tokią trukmę, kaip nurodyta duomenų valdytojo.

94.       Ministerija turi teisę tvarkyti asmens duomenis kaip duomenų tvarkytoja tik esant bent vienam iš šių teisinių pagrindų:

95.       Ministerija nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus arba bendro rašytinio duomenų valdytojo leidimo. Bendro rašytinio leidimo atveju Ministerija informuoja duomenų valdytoją apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu, ir taip suteikia duomenų valdytojui galimybę nesutikti su tokiais pakeitimais.

96.       Kai Ministerija konkrečiai duomenų tvarkymo veiklai duomenų valdytojo vardu atlikti pasitelkia kitą duomenų tvarkytoją, sutartimi ar kitu teisės aktu tam kitam duomenų tvarkytojui nustatomos tos pačios duomenų apsaugos prievolės, kaip ir prievolės, nustatytos Ministerijos teisės aktų bei duomenų valdytojo, visų pirma prievolė pakankamai užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos taip, kad duomenų tvarkymas atitiktų Reglamento reikalavimus.

97.       Visais atvejais, be duomenų valdytojo nustatytų papildomų pareigų, Ministerija, tvarkydama duomenis kaip duomenų tvarkytoja, turi šias pareigas:

98.       Ministerija informuoja duomenų valdytoją, jei, Ministerijos nuomone, duomenų valdytojo nurodymas pažeidžia Reglamentą ar kitas duomenų apsaugos teisės nuostatas.

99.       Ministerija turi teisę sutarties pagrindu duomenų tvarkymo veiksmams atlikti pasitelkti duomenų tvarkytoją. Ministerija pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos taip, kad duomenų tvarkymas atitiktų Reglamento, ADTAĮ ir Taisyklių reikalavimus ir būtų užtikrintas duomenų subjekto teisių įgyvendinimas bei apsauga.

100.     Ministerijos valdomų valstybės registro ir informacinės sistemos tvarkytojas (tvarkytojai) paskiriamas (paskiriami) teisės aktu, kuriuo tvirtinami valstybės registro nuostatai. 

101.     Sutartys su trečiaisiais asmenimis (duomenų tvarkytojais, duomenų gavėjais) rengiamos pagal Lietuvos Respublikos švietimo, mokslo ir sporto ministro 2019 m. rugpjūčio 23 d. įsakymą Nr. V-933 „Dėl pavyzdinių sutarčių formų patvirtinimo“.

102.     Ministerija, prieš pasitelkdama konkretų duomenų tvarkytoją pagal sutartį, konsultuojasi su Ministerijos duomenų apsaugos pareigūnu, ar duomenų tvarkytojas pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos taip, kad duomenų tvarkymas atitiktų Reglamento, ADTAĮ ir Taisyklių reikalavimus ir būtų užtikrintas duomenų subjekto teisių įgyvendinimas ir apsauga.

103.     Siekiant tinkamai valdyti asmens duomenų judėjimą, Ministerijoje yra tvarkomas Ministerijos duomenų tvarkytojų registras pagal formą (Taisyklių 6 priedas). Už Ministerijos duomenų tvarkytojų registro pildymą atsakingas Ministerijos duomenų apsaugos pareigūnas, kuris Ministerijos duomenų tvarkytojų registrą pildo pagal Ministerijos struktūrinių padalinių pateiktą informaciją.

104.     Kitiems asmenims (ne duomenų tvarkytojams) Ministerijos tvarkomi asmens duomenys gali būti perduoti tik duomenų subjekto prašymo ar sutikimo pagrindu, taip pat tuo atveju, kai tokia teisė yra numatyta teisės aktuose.

105.     Perduoti asmens duomenis į trečiąją valstybę arba tarptautinę organizaciją galima tik esant bent vienai iš šių sąlygų:

106.     Jeigu nėra priimtas Komisijos sprendimas dėl tinkamo apsaugos lygio užtikrinimo arba nenustatytos tinkamos apsaugos priemonės, kaip nurodyta Reglamento 46 straipsnio 2 ir 3 dalyse, asmens duomenų perdavimas į trečiąją valstybę arba tarptautinei organizacijai gali būti atliekamas tik tada, jeigu duomenų valdytojas arba duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis.

107.     Visais klausimais Ministerija bendradarbiauja ir komunikuoja su Inspekcija, kaip vadovaujančia priežiūros institucija, išskyrus atvejus, kai konkretų skundą ar Reglamento pažeidimą nagrinėja kita priežiūros institucija.

108.     Per dvejus metus nuo Taisyklių įsigaliojimo atliekamas iki Taisyklių įsigaliojimo vykdomų duomenų tvarkymo operacijų (veiksmų), kurios gali kelti pavojų duomenų subjektų teisėms ir laisvėms, poveikio duomenų apsaugai vertinimas ir įgyvendinamos priemonės bei mechanizmai, kuriais užtikrinama asmens duomenų apsauga ir pagrindžiama, kad laikomasi Reglamento, ADTAĮ, Taisyklių ir kitų teisės aktų, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus. Dėl konkrečių duomenų tvarkymo operacijų (veiksmų), kurioms būtinas poveikio duomenų apsaugai vertinimas, Ministerijoje konsultuoja Ministerijos duomenų apsaugos pareigūnas.

109.     Ministerijoje periodiškai, bet ne rečiau kaip kartą per metus, vyksta darbuotojų mokymai Reglamento taikymo ir įgyvendinimo bei kitais asmens duomenų apsaugos klausimais. Už mokymų organizavimą atsakingas Ministerijos duomenų apsaugos pareigūnas.

110.     Su Taisyklėmis visi Ministerijos darbuotojai supažindinami pasirašytinai per DVS.

111.     Ministerijoje periodiškai, bet ne rečiau kaip kartą per metus, vyksta Ministerijoje vykdomos asmens duomenų tvarkymo veiklos atitikties Reglamentui bei kitiems asmens duomenų apsaugą reglamentuojantiems teisės aktams patikra. Už patikros vykdymą yra atsakingas Ministerijos duomenų apsaugos pareigūnas. Patikros rezultatai įforminami ataskaitoje, kurioje nurodomi nustatyti trūkumai, jei tokie nustatyti, bei rekomendacijos, kaip trūkumus ištaisyti ar pagerinti Ministerijos asmens duomenų tvarkymo veiklą.

1.   Lietuvos Respublikos švietimo, mokslo ir sporto ministerija (toliau – Ministerija) gautų ir tvarkytų toliau išvardytus mano asmens duomenis^[1]:

___________________________________________________________________________________

_____________________________________________________________________________

2. Išvardyti asmens duomenys būtų tvarkomi šiais tikslais^[2]:

________________________________________________________________________________

________________________________________________________________________________

3. Su išvardytais asmens duomenimis būtų atliekami šie tvarkymo veiksmai^[3]:

________________________________________________________________________________

________________________________________________________________________________

4. Asmens duomenys būtų gaunami iš^[4]:

manęs, _________________________________________________________________________

________________________________________________________________________________

5. Asmens duomenys būtų perduoti ______________________^[5]. Duomenų gavėjai tokius asmens duomenis tvarkytų šiame sutikime nurodytais tikslais.

6. Ministerija duomenis tvarkys teisėtai, sąžiningai ir skaidriai, laikydamasi teisės aktų nustatytų reikalavimų, tik šiame sutikime nustatytais tikslais.

Ministerija naudoja įvairias saugumą užtikrinančias technologijas ir procedūras, siekdama apsaugoti Jūsų asmeninę informaciją nuo neteisėtos prieigos, naudojimo ar atskleidimo. Mūsų tiekėjai yra kruopščiai atrenkami, mes iš jų reikalaujame naudoti tinkamas priemones, galinčias apsaugoti Jūsų konfidencialumą ir užtikrinti Jūsų asmeninės informacijos saugumą. Vis dėlto informacijos perdavimo internetu ar mobiliuoju ryšiu saugumas negali būti užtikrintas; bet koks informacijos mums perdavimas nurodytais būdais yra vykdomas Jūsų pačių rizika.

7. Pasikeitus Jūsų asmens duomenims, tvarkomiems pagal šį sutikimą, prašome pranešti apie tai Ministerijai.

8. Sutikimo galiojimo terminas – ____________.

9. Duomenų valdytojas – Ministerija, A. Volano g. 2, 01124 Vilnius, tel. (8 5) 219 1225, el. p. [email protected], http://www.smm.lt.

10. Ministerijos duomenų apsaugos pareigūno kontaktai – el. pašto adresas [email protected], korespondencijos adresas A. Volano g. 2, 01124 Vilnius, – laišką adresuokite Ministerijos duomenų apsaugos pareigūnui.

11. Duomenų tvarkymo teisinis pagrindas – šiame sutikime nurodytų Jūsų asmens duomenų tvarkymo teisinis pagrindas yra šis sutikimas.

12. Be šio sutikimo 5 punkte nurodytų duomenų gavėjų, Jūsų asmens duomenys, surinkti šio sutikimo pagrindu, gali būti perduoti:

13. Žinau, kad turiu šias teises: teisė prašyti, kad būtų leista susipažinti su duomenimis ir juos ištaisyti arba ištrinti, teisė apriboti duomenų tvarkymą, teisė nesutikti, kad duomenys būtų tvarkomi, taip pat teisė į duomenų perkeliamumą. Šias teises galiu įgyvendinti teisės aktų nustatyta tvarka.

Prašymai dėl teisių įgyvendinimo Ministerijai turi būti pateikti raštu (įskaitant teikiamus elektroniniu formatu), taip pat turi būti įmanoma identifikuoti prašymą padavusio asmens bei duomenų subjekto tapatybę. Duomenų subjekto tapatybė nustatoma pagal tapatybę patvirtinantį dokumentą ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį. Jei prašymą duomenų subjektas siunčia paštu ar per pasiuntinį, prie prašymo turi būti pridėta teisės aktų nustatyta tvarka patvirtinta duomenų subjekto asmens tapatybę patvirtinančio dokumento kopija. Kai dėl informacijos apie asmenį kreipiasi jo atstovas, jis turi pateikti atstovavimą patvirtinantį dokumentą ir savo tapatybę patvirtinantį dokumentą. Jei prašymas pateikiamas elektroniniu paštu, jis turi būti pasirašytas kvalifikuotu elektroniniu parašu.

Iškilus klausimų dėl duomenų subjektų teisių įgyvendinimo Ministerijoje, maloniai prašome kreiptis į Ministerijos duomenų apsaugos pareigūną 10 punkte nurodytais kontaktais.

14. Žinau, kad turiu teisę bet kada atšaukti šį sutikimą ir reikalauti nutraukti tolimesnį asmens duomenų tvarkymą, kuris yra vykdomas sutikimo pagrindu. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto asmens duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.

15. Asmens duomenų saugojimo laikotarpis. Šis sutikimas ir jame nurodyti mano asmens duomenys yra saugomi trejus metus nuo sutikimo atšaukimo arba jo galiojimo termino pabaigos arba nuo Ministerijos sprendimo nebetvarkyti asmens duomenų sutikime nustatytais tikslais priėmimo dienos. Asmens duomenys surinkti šio sutikimo pagrindu saugomi _________________.

Šis terminas gali būti pratęstas, jei asmens duomenys yra naudojami arba gali būti naudojami kaip įrodymai ar informacijos šaltinis ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje arba kitais įstatymų nustatytais atvejais. Tokiu atveju asmens duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.

16. Automatizuotų sprendimų priėmimai. Duomenys nebus naudojami automatizuotiems sprendimams priimti mano atžvilgiu, įskaitant profiliavimą.

17. Žinau, kad turiu teisę skųsti. Jeigu Jūs manote, kad Jūsų duomenis mes tvarkome pažeisdami duomenų apsaugos teisės aktų reikalavimus, mes visuomet pirmiausia prašome kreiptis tiesiogiai į mus. Jeigu Jūsų netenkins mūsų siūlomas problemos išsprendimo būdas arba, Jūsų nuomone, mes nesiimsime pagal Jūsų prašymą būtinų veiksmų, Jūs turėsite teisę pateikti skundą priežiūros institucijai, kuri Lietuvos Respublikoje yra Valstybinė duomenų apsaugos inspekcija (L. Sapiegos g. 17, LT-10312 Vilnius, tel. (8 5) 212 7532, el. paštas [email protected]).

(parašas) (vardas, pavardė)

_____________

1. Duomenų valdytojas – Lietuvos Respublikos švietimo, mokslo ir sporto ministerija (toliau – Ministerija), A. Volano g. 2, 01124 Vilnius, tel. (8 5) 219 1225, el. p. [email protected], http://www.smm.lt.

2. Ministerijos duomenų apsaugos pareigūno kontaktai – el. pašto adresas [email protected], korespondencijos adresas A. Volano g. 2, 01124 Vilnius, – laišką adresuokite Ministerijos duomenų apsaugos pareigūnui.

3. Duomenų tvarkymo tikslai. Toliau nurodyti Jūsų asmens duomenys yra tvarkomi šiais tikslais^[7]:

4. Tvarkomi duomenys. Informuojame Jus, kad tvarkome šiuos Jūsų asmens duomenis^[8]:

5. Duomenų tvarkymo teisinis pagrindas. Jūsų asmens duomenų tvarkymo teisinis pagrindas^[9] – _______________________________________________________________________

_________________________________________________________________________________ ^[10].

6. Duomenų šaltinis. Pirmiau nurodyti Jūsų duomenys gauti iš^[11] ____________________

__________________________________________________________________________________

7. Asmens duomenų gavėjai. Jūsų asmens duomenys gali būti perduoti^[12]:

8. Duomenų subjektų teisės. Informuojame Jus, kad turite šias teises: teisę prašyti, kad Jums būtų leista susipažinti su Jūsų asmens duomenimis ir juos ištaisyti arba ištrinti, teisę apriboti duomenų tvarkymą, teisę nesutikti, kad asmens duomenys būtų tvarkomi, taip pat teisę į asmens duomenų perkeliamumą. Šias teises galite įgyvendinti teisės aktų nustatyta tvarka.

Prašymai dėl teisių įgyvendinimo Ministerijai turi būti pateikti raštu (įskaitant ir elektroniniu formatu), taip pat turi būti įmanoma identifikuoti prašymą padavusio asmens bei duomenų subjekto tapatybę. Duomenų subjekto tapatybė nustatoma pagal tapatybę patvirtinantį dokumentą ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį. Jei prašymą duomenų subjektas siunčia paštu ar per pasiuntinį, prie prašymo turi būti pridėta teisės aktų nustatyta tvarka patvirtinta duomenų subjekto asmens tapatybę patvirtinančio dokumento kopija. Kai dėl informacijos apie asmenį kreipiasi jo atstovas, jis turi pateikti atstovavimą patvirtinantį dokumentą ir atstovo tapatybę patvirtinantį dokumentą, jeigu nėra kitų protingų būdų nustatyti atstovo tapatybę.

Dėl duomenų subjektų teisių įgyvendinimo tvarkos maloniai prašome kreiptis į Ministerijos duomenų apsaugos pareigūną 2 punkte nurodytais kontaktais.

9. Jūs taip pat turite teisę bet kada atšaukti sutikimą tvarkyti Jūsų duomenis. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto asmens duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.^[13]

10. Asmens duomenų saugojimo laikotarpis. Informuojame, kad Jūsų asmens duomenys bus saugomi ____________ laikotarpį^[14]. Šis terminas gali būti pratęstas, jei asmens duomenys yra naudojami arba gali būti naudojami kaip įrodymai ar informacijos šaltinis ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais įstatymų nustatytais atvejais. Tokiu atveju asmens duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.

11. Automatizuotų sprendimų priėmimai. Informuojame, kad šie Jūsų duomenys nebus naudojami automatizuotiems sprendimams priimti Jūsų atžvilgiu, įskaitant profiliavimą.

12. Skundų teikimas. Informuojame, kad Jūs turite teisę skųsti Ministerijos veiksmus (neveikimą) Valstybinei duomenų apsaugos inspekcijai ir teismui teisės aktų nustatyta tvarka, taip pat skųsti teismui Valstybinės duomenų apsaugos inspekcijos veiksmus (neveikimą).

______________

1.1. patalpos rakinamos;

1.2. įrengta patalpų signalizacijos sistema;

1.3. veikia asmenų įėjimo į patalpas kontrolės sistema (fizinė ir (arba) elektroninė).

2.1. nustatyta naudotojų prisijungimo tvarka;

2.2. prieigos prie asmens duomenų slaptažodžiai suteikiami, keičiami ir saugomi užtikrinant jų konfidencialumą;

2.3. nustatomas leistinų nepavykusių prisijungimų prie programinės įrangos skaičius;

2.4. prieiga prie asmens duomenų suteikiama tik tiems asmenims, kuriems asmens duomenys yra reikalingi jų funkcijoms vykdyti.

3.1. vidinis tinklas apsaugotas ugniasienėmis;

3.2. nutolę įrenginiai prie vidinio tinklo jungiasi saugiu ryšio kanalu (VPN, skirtinėmis linijomis ir pan.);

3.3. kontroliuojama naudotojų prieiga prie vidinio tinklo;

3.4. tinklu siunčiama informacija šifruojama;

3.5. naudojamos ryšio ir tinklo srautų atakų prevencijos priemonės.

4.1. patvirtinta atsarginių kopijų atlikimo tvarka;

4.2. atsarginės duomenų kopijos saugomos atskirose apsaugotose patalpose, kitame pastate;

4.3. kompiuterinė įranga ir laikmenos valdomos centralizuotai;

4.4. atsarginės duomenų kopijos ir laikmenos yra šifruojamos;

4.5. numatyta duomenų atkūrimo iš atsarginių kopijų procedūra.

5.1. ribojamas ir kontroliuojamas neįgaliotų asmenų patekimas į patalpas, kuriose saugomi asmens duomenys;

5.2. apribota fizinė prieiga prie tarnybinių stočių ir kompiuterinių darbo vietų;

5.3. apribota programinė prieiga prie tarnybinių stočių, kompiuterinių darbo vietų ir jose esančių duomenų.

6.1. veikia duomenų perdavimo tinklo valdymo sistema;

6.2. nustatyti griežti duomenų perdavimo tinklo srauto apribojimai;

6.3. įdiegta speciali duomenų perdavimo tinklo srauto stebėjimo įranga;

6.4. nuolat stebima duomenų perdavimo tinklo būklė.

7.1. naudojama sertifikuota programinė įranga, kuri prižiūrima laikantis gamintojo reikalavimų;

7.2. diegiami operacinių sistemų ir naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai.

8.1. tarnybinėse stotyse ir kompiuterinėse darbo vietose įdiegtos ir nuolatos atnaujinamos vidinio tinklo antivirusinės programos;

8.2. darbuotojai supažindinami su vidaus tvarkomis ir žino, kaip elgtis pastebėjus kenkėjišką programinę įrangą.

9.1. naudojama tik legali ir leistina programinė įranga;

9.2. nuolat atliekama naudotojų kompiuterinėse darbo vietose naudojamos programinės įrangos kontrolė;

9.3. darbuotojams nesuteiktos teisės patiems diegti programinę įrangą, nebent tai nustatyta pareigybės aprašymuose;

9.4. kompiuterinės darbo vietos valdomos centralizuotai.

10.1.  naudotojai mokomi dirbti su programine įranga;

10.2.  naudotojams parengtos asmens duomenų saugos atmintinės.

11.1.  įranga prižiūrima pagal gamintojo rekomendacijas;

11.2.  priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai;

11.3.  stebima duomenų perdavimo tinklo būklė;

11.4.  didžiausią įtaką duomenų perdavimui turinti kompiuterinė įranga dubliuota;

11.5.  stebima duomenų perdavimo tinklo būklė.

12.1.  įranga prižiūrima pagal gamintojo rekomendacijas;

12.2.  priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai;

12.3.  svarbiausia kompiuterinė įranga dubliuota;

12.4.  svarbiausios kompiuterinės įrangos techninė būklė nuolat stebima;

12.5.  svarbiausiai kompiuterinei įrangai yra įsigyta garantinės priežiūros paslauga.

13.1.  padidinto saugumo patalpose įrengti dūžio ir judesių davikliai.

14.1.  visose patalpose įrengta priešgaisrinė signalizacija;

14.2.  patalpose yra ugnies gesintuvai;

14.3.  įrengti dūmų ir karščio davikliai;

14.4.  atsarginės duomenų kopijos laikomos atskirose apsaugotose patalpose, kitame pastate.

15.1.  tinkamai suplanuotos ir įrengtos svarbiausios kompiuterinės įrangos laikymo patalpos;

15.2.  įrengta vandens nutekėjimo sistema.

16.1.  tarnybinių stočių patalpose įrengta kondicionavimo sistema;

16.2.  nuolat stebimi temperatūros ir drėgmės svyravimai;

16.3.  kondicionavimo įranga prižiūrima pagal gamintojo reikalavimus;

16.4.  kondicionavimo įrangos priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai.

17.1.  parengtas veiklos tęstinumo planas.

18.1.  svarbiausiai kompiuterinei įrangai skirti nenutrūkstamo maitinimo šaltiniai (UPS);

18.2.  stebima elektros srovės tiekimo būklė.

19.1.  kabeliai yra izoliaciniuose vamzdžiuose;

19.2.  elektros ir duomenų kabeliai saugiai atskirti.