lietuvos respublikos krašto apsaugos
ministras
Įsakymas
DĖL KRAŠTO APSAUGOS MINISTRO 2015 M. GRUODŽIO 3 D. ĮSAKYMO NR. V-1253 „DĖL ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO KRAŠTO APSAUGOS SISTEMOJE TAISYKLIŲ PATVIRTINIMO“ PAKEITIMO
2021 m. lapkričio 12 d. Nr. V-871
Vilnius
1.Pakeičiu Lietuvos Respublikos krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymą Nr. V-1253 „Dėl Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklių patvirtinimo“:
1.1. Pakeičiu preambulę ir ją išdėstau taip:
„Vadovaudamasis Lietuvos Respublikos krašto apsaugos sistemos organizavimo ir karo tarnybos įstatymo 10 straipsnio 2 dalies 4 punktu ir 3 dalimi ir siekdamas užtikrinti Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymo ir Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) nuostatų įgyvendinimą,“.
2. P a v e d u krašto apsaugos sistemos institucijoms (išskyrus Antrąjį operatyvinių tarnybų departamentą prie Krašto apsaugos ministerijos) ir pavaldžioms įstaigoms (toliau kartu – institucijos), atsižvelgiant į šio įsakymo 1.2 papunkčiu keičiamas Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisykles, iki šio įsakymo įsigaliojimo atnaujinti ar priimti institucijos, kaip duomenų valdytojos, atskaitomybei užtikrinti reikalingus teisės aktus, jei reikia, atlikti institucijos tvarkomų asmens duomenų inventorizaciją.
PATVIRTINTA
Lietuvos Respublikos krašto apsaugos ministro
2015 m. gruodžio 3 d. įsakymu Nr. V-1253
(Lietuvos Respublikos krašto apsaugos ministro
2021 m. lapkričio 12 d. įsakymo Nr. V-871
redakcija)
ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO KRAŠTO APSAUGOS SISTEMOJE
TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklės (toliau – Taisyklės) reglamentuoja asmens duomenų tvarkymo reikalavimus, duomenų subjektų teisių įgyvendinimo tvarką vadovaujančioje krašto apsaugos sistemos (toliau – KAS) institucijoje – Krašto apsaugos ministerijoje (toliau – KAM) ir pagrindines duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo nuostatas, gaires KAS. Taisyklės netaikomos Antrajam operatyvinių tarnybų departamentui prie KAM.
KAS institucijos ir įstaigos (toliau kartu – KAS institucijos) yra atsakingos už savo, kaip duomenų valdytojų, tvarkomų asmens duomenų tvarkymo tikslų nustatymą ir duomenų valdytojo atskaitomybei užtikrinti reikalingų dokumentų rengimą. Siekiant vienodos asmens duomenų tvarkymo praktikos KAS, rengiant šiuos dokumentus, KAS institucijoms rekomenduojama atsižvelgti į Taisyklių 1 priedo 2 skyriuje reglamentuojamus asmens duomenų, kurių valdytoja yra KAM, tvarkymo tikslus ir tvarkomus duomenis, nustatant duomenų subjektų teisių įgyvendinimą konkrečioje KAS institucijoje – į Taisyklių IV skyriaus, taip pat kitas Taisyklių nuostatas.
2. Asmens duomenys, įskaitant specialių kategorijų asmens duomenis, KAS tvarkomi ir duomenų subjektų teisės įgyvendinamos vadovaujantis:
2.1. Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymu (toliau – Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymas) (asmens duomenys tvarkomi, esant šio įstatymo 7 straipsnio 1 dalyje, specialių kategorijų asmens duomenys – 8 straipsnyje nurodytam pagrindui), Lietuvos Respublikos krašto apsaugos sistemos organizavimo ir karo tarnybos įstatymu (51 straipsnis), Lietuvos Respublikos karo prievolės įstatymu (351 straipsnis), Lietuvos Respublikos šaulių sąjungos įstatymu (362 straipsnis), Lietuvos Respublikos tarptautinių operacijų, pratybų ir kitų karinio bendradarbiavimo renginių įstatymu (31 straipsnis), Lietuvos Respublikos karių materialinės atsakomybės įstatymu (11 straipsnis), Lietuvos Respublikos kariuomenės drausmės statutu (21 straipsnis), Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymu (18 straipsnio 11 dalis), kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais, Lietuvos Respublikos mobilizacijos ir priimančios šalies paramos įstatymu (14 straipsnio 9 ir 11 dalys), Lietuvos Respublikos karo policijos įstatymu (Lietuvos kariuomenės Karo policija, vykdydama šiame įstatyme numatytą veiklą, vadovaudamasi 9 straipsniu renkamus asmens duomenis tvarko nacionalinio saugumo, gynybos, nusikalstamų veikų, administracinių nusižengimų ir kitų teisės pažeidimų prevencijos, tyrimo, atskleidimo tikslais), Lietuvos Respublikos Lietuvos šaulių sąjungos įstatymu (362 straipsnis) ir kitais teisės aktais, kai juose numatyta, kad KAS institucija (-os) tvarko asmens duomenis nacionalinio saugumo ir (ar) gynybos tikslais ar užtikrinant nacionalinį saugumą ir (ar) gynybą arba pagal esmę toks tvarkymas atitinka nacionalinio saugumo ir (ar) gynybos tikslus;
2.2. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, kai jie numato, kad asmens duomenys tvarkomi vadovaujantis Reglamentu, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu. Asmens duomenys, vadovaujantis Reglamentu, KAS gali būti tvarkomi tik esant bent vienam iš Reglamento 6 straipsnio 1 dalyje nurodytų pagrindų, specialių kategorijų asmens duomenys (tarp jų ir sveikatos duomenys) – tik esant bent vienam iš Reglamento 9 straipsnyje nurodytų pagrindų (taikomas kartu su atitinkamu Reglamento 6 straipsnio 1 dalyje nurodytu pagrindu).
3. Taisyklių privalo laikytis visi KAS institucijų kariai, valstybės tarnautojai, darbuotojai, dirbantys pagal darbo sutartis, asmenys, priimti atlikti praktiką KAS institucijose (toliau visi kartu – darbuotojai), kurie tvarko asmens duomenis arba eidami savo pareigas juos sužino. Taisyklių 1 priede nurodytos KAM valdomų asmens duomenų tvarkytojos KAS institucijos (toliau – Tvarkytojas) turi užtikrinti, kad jų darbuotojai, tvarkantys asmens duomenis, pasirašytų pasižadėjimus pagal Taisyklių 2 priede pateiktą formą ir šie pasižadėjimai būtų saugomi, kaip numatyta Taisyklių 11.1 papunktyje.
4. Asmens duomenys KAS tvarkomi automatinėmis ir neautomatinėmis priemonėmis, automatiniai sprendimai, įskaitant profiliavimą, KAM nepriimami. Kai asmens duomenis tvarko teisės aktais įgalioti duomenų tvarkytojai KAM valdomose informacinėse sistemose ir registruose, duomenų subjekto teisės įgyvendinamos konkrečios informacinės sistemos ar registro nuostatuose nustatyta tvarka, jei ji nenustatyta – Taisyklių nustatyta tvarka.
5. KAS nacionalinio saugumo ir gynybos tikslais tvarkomų asmens duomenų kategorijos, jų tvarkymo tikslai, duomenų subjektai yra nurodyti Taisyklių 1 priedo II skyriaus pirmajame skirsnyje, Taisyklių 2.1 papunktyje nurodytuose įstatymuose, taip pat kituose teisės aktuose (Lietuvos Respublikos Vyriausybės nutarimuose, Lietuvos Respublikos krašto apsaugos ministro įsakymuose ir kt.), reglamentuojančiuose asmens duomenų tvarkymą vadovaujantis Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu.
Vadovaujantis Reglamentu KAM tvarkomų asmens duomenų kategorijos, jų tvarkymo tikslai, duomenų subjektai yra nurodyti Taisyklių 1 priedo II skyriaus antrajame skirsnyje bei teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą vadovaujantis Reglamentu.
6. Taisyklėse vartojamos sąvokos atitinka sąvokas, nustatytas Taisyklių 2 punkte nurodytuose teisės aktuose. Duomenų apsaugos pareigūnas Taisyklėse suprantamas ir kaip asmuo, kuriam pavestos duomenų apsaugos pareigūno funkcijos (tuo atveju, jei KAS institucijos paskirtas duomenų apsaugos pareigūnas dėl svarbių priežasčių negali eiti pareigų ar nėra atskiros pareigūno pareigybės).
II SKYRIUS
DUOMENŲ VALDYTOJAS IR TVARKYTOJAI, DUOMENŲ APSAUGOS PAREIGŪNAI
PIRMASIS SKIRSNIS
VALDYTOJAS, TVARKYTOJAI IR JŲ PAREIGOS
7. Taisyklių 1 priede ir kitais teisės aktų nustatytais atvejais KAM yra asmens duomenų valdytoja (toliau – Valdytojas), juridinio asmens kodas 188602751, buveinės adresas: Totorių g. 25, Vilnius, el. p. [email protected].
Valdytojas Taisyklių ir kitų teisės aktų nustatyta tvarka įgyvendina duomenų valdytojo teises ir pareigas vadovaudamasis Reglamentu, tvarkydamas asmens duomenis nacionalinio saugumo ir (ar) gynybos tikslais – Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu.
Tvarkytojai Taisyklių ir kitų teisės aktų nustatyta tvarka įgyvendina duomenų tvarkytojo funkcijas, nurodytas Reglamento 28, 33 ir kituose straipsniuose, o tvarkydami asmens duomenis nacionalinio saugumo ir gynybos tikslais – Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 20 straipsnio 3 dalyje ir kituose straipsniuose.
Tvarkytojai, tvarkydami asmens duomenis nacionalinio saugumo ir gynybos tikslais, turi teises ir pareigas, numatytas duomenų tvarkytojui Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatyme, tvarkydami duomenis vadovaujantis Reglamentu, turi jame numatytas teises ir pareigas. Jei kitaip nenustatyta specialiaisiais teisės aktais ar (ir) Valdytojo ir Tvarkytojo sutartimis, Tvarkytojai taip pat vykdo šias pareigas:
7.1. tvarko asmens duomenis laikydamiesi Valdytojo dokumentais įformintų nurodymų ir teisės aktų, reglamentuojančių asmens duomenų tvarkymą, reikalavimų;
7.2. užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma įstatymuose nustatyta konfidencialumo prievolė;
7.3. atsižvelgdami į asmens duomenų tvarkymo pobūdį, taikydami tinkamas technines ir organizacines priemones, padeda Valdytojui atsakyti į duomenų subjektų prašymus pasinaudoti duomenų subjekto teisėmis;
7.4. nebevykdydami Tvarkytojo funkcijų, atsižvelgdami į Valdytojo nurodymus, sunaikina arba grąžina jam visus asmens duomenis ir sunaikina turimas jų kopijas, išskyrus atvejus, kai pagal Europos Sąjungos ar Lietuvos Respublikos teisės aktus yra nustatyta pareiga juos saugoti;
7.5. pateikia Valdytojui, jo įgaliotiems auditoriams ar asmeniui, atliekančiam asmens duomenų tvarkymo patikrinimus, visą informaciją, susijusią su asmens duomenų tvarkymu, būtiną siekiant įrodyti, kad vykdomos Tvarkytojui nustatytos prievolės;
7.6. laikosi kito duomenų tvarkytojo pasitelkimo sąlygų ir nepasitelkia kito duomenų tvarkytojo be Valdytojo leidimo;
7.7. užtikrina, kad jų darbuotojai laikytųsi Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2019 m. liepos 22 d. įsakymu Nr. V-644 „Dėl Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašo patvirtinimo“ (toliau – Duomenų saugumo pažeidimų valdymo aprašas), nustatytos pranešimo Valdytojui apie asmens duomenų saugumo pažeidimą tvarkos ir terminų:
7.7.1. apie galimai įvykdytą duomenų saugumo pažeidimą nedelsdami, ne vėliau kaip galimo asmens duomenų saugumo pažeidimo paaiškėjimo dieną, praneštų Valdytojui (minėtame apraše Valdytojo nurodytiems asmenims – KAM kancleriui ir KAM duomenų apsaugos pareigūnui);
7.7.2. ne vėliau kaip per 48 valandas nuo galimo asmens duomenų saugumo pažeidimo, jei dėl jo kyla ar galėtų kilti pavojus fizinių asmenų teisėms ir laisvėms, užpildytų ir pateiktų Valdytojui (minėtame apraše Valdytojo nurodytiems asmenims – KAM kancleriui ir KAM duomenų apsaugos pareigūnui) pranešimo apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai projektą. Valstybinei duomenų apsaugos inspekcijai nepranešama, kai įvyksta nacionalinio saugumo ir (ar) gynybos tikslu tvarkomų asmens duomenų saugumo pažeidimas;
7.7.3. kai dėl asmens duomenų saugumo pažeidimo kyla arba gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, nepagrįstai nedelsdami ir, jeigu galima, praėjus ne daugiau kaip 72 valandoms nuo asmens duomenų saugumo pažeidimo paaiškėjimo, apie tai parengtų pranešimą duomenų subjektui ir užtikrintų, kad jam būtų pranešta 7.7 papunktyje nurodyto aprašo nustatyta tvarka, vadovaujantis Reglamentu ar Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu.
ANTRASIS SKIRSNIS
KAS DUOMENŲ APSAUGOS PAREIGŪNAI
8. KAM duomenų pareigūno kontaktiniai duomenys: Totorių g. 25, Vilnius, el. p. [email protected]. KAM skiria duomenų apsaugos pareigūną (-us), kuris (-ie):
8.1. stebi ir analizuoja, kaip laikomasi asmens duomenų apsaugą reglamentuojančių teisės aktų reikalavimų ir Valdytojo politikos asmens duomenų apsaugos srityje, teikia siūlymus Valdytojui dėl asmens duomenų apsaugos reglamentavimo tobulinimo;
8.4. atlieka kontaktinio asmens funkcijas Valstybinei duomenų apsaugos inspekcijai kreipiantis su asmens duomenų tvarkymu susijusiais klausimais;
8.6. gauna informaciją iš Tvarkytojų apie asmens duomenų saugumo pažeidimus, priemones, kurių buvo imtasi asmens duomenų saugumo pažeidimo padariniams pašalinti ar sušvelninti, teikia Valdytojo vadovui ar įgaliotam asmeniui siūlymus dėl nurodymų Tvarkytojams imtis papildomų priemonių, prireikus – siūlymus dėl pranešimų apie asmens duomenų saugumo pažeidimus Valstybinei duomenų apsaugos inspekcijai ir (ar) duomenų subjektui;
8.8. ne rečiau kaip kartą per metus peržiūri Taisyklėse nustatytus reikalavimus ir, jei reikia, inicijuoja Taisyklių pakeitimus;
8.9. kartą per metus teikia siūlymus KAM kancleriui dėl Valdytojo tvarkomų asmens duomenų tvarkymo tobulinimo, rizikų šalinimo ar jų sumažinimo;
8.11. informuoja darbuotojus apie jų pareigas, nustatytas asmens duomenų apsaugą reglamentuojančiuose teisės aktuose, ir juos konsultuoja šiais klausimais;
8.12. turi teisę teikti prašymus ir nurodymus Tvarkytojų duomenų apsaugos pareigūnams, susijusius su Valdytojo vardu Tvarkytojų tvarkomais asmens duomenimis;
9. Tvarkytojas (ar keli Tvarkytojai kartu) skiria duomenų apsaugos pareigūną (-us), kuris (-ie):
9.1. informuoja darbuotojus apie jų pareigas, nustatytas asmens duomenų apsaugą reglamentuojančiuose teisės aktuose, ir juos konsultuoja šiais klausimais;
9.2. stebi ir analizuoja, ar asmens duomenys yra tvarkomi pagal Taisyklių ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą, reikalavimus, ir teikia pasiūlymus Valdytojo duomenų apsaugos pareigūnui dėl asmens duomenų apsaugos tobulinimo;
9.4. teikia Tvarkytojo vadovui ar įgaliotam asmeniui siūlymus dėl priemonių asmens duomenų saugumo pažeidimo pasekmėms sumažinti ar pašalinti, Reglamento 33 ir 34 straipsniuose nustatytais atvejais nedelsdamas (-i) teikia Valdytojo duomenų apsaugos pareigūnui reikalingą informaciją dėl pranešimų apie asmens duomenų saugumo pažeidimus Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektui. Įvykus Valdytojo ar Tvarkytojo tvarkomų asmens duomenų saugumo pažeidimui, rūpinasi, kad būtų laiku ir tinkamai užpildyta Valstybinės duomenų apsaugos inspekcijos rekomenduojama Pranešimo apie asmens duomenų saugumo pažeidimą forma (toliau – Pranešimo forma) ir ji pateikta Valstybinei duomenų apsaugos inspekcijai;
9.5. teikia KAM duomenų apsaugos pareigūnui elektroniniu paštu [email protected] informaciją, būtiną KAM, kaip Valdytojo, asmens duomenų tvarkymo įrašams parengti ir atnaujinti;
9.6. vertina Tvarkytojo darbuotojų parengtų teisės aktų, reglamentuojančių asmens duomenų apsaugą ir jų tvarkymą, projektus, teikia dėl jų pastabas ir pasiūlymus;
9.7. savo iniciatyva, Tvarkytojo nurodymu ar KAM duomenų apsaugos pareigūno prašymu atlieka Tvarkytojo asmens duomenų, kurių valdytoja yra KAM, tvarkymo rizikos vertinimą, parengia ataskaitą, imasi priemonių rizikai pašalinti arba sumažinti, ataskaitą pateikia Tvarkytojui, KAM kancleriui ir KAM duomenų apsaugos pareigūnui;
III SKYRIUS
DARBUOTOJŲ TEISĖS IR PAREIGOS
10. Darbuotojai tvarko asmens duomenis tik teisės aktų nustatyta tvarka atlikdami savo funkcijas. Darbuotojas tvarko asmens duomenis tol, kol eina pareigas, kurioms yra būtinas asmens duomenų tvarkymas. Jei darbuotojas laikinai eina kito darbuotojo pareigas ar vykdo kito darbuotojo funkcijas, jis turi teisę tvarkyti asmens duomenis pareigų arba funkcijų vykdymo laikotarpiu.
11. Darbuotojas privalo:
11.1. saugoti asmens duomenų konfidencialumą visą tarnybos, darbo ar praktikos laiką ir pasibaigus tarnybos, darbo ar praktikos santykiams. Darbuotojas pasirašo pasižadėjimą (Taisyklių 2 priedas), kuris saugomas darbuotojo asmens byloje (asmenų, priimtų atlikti praktiką KAS institucijose – KAS institucijos personalą administruojančiame padalinyje) visą tarnybos (darbo) laiką ir pasibaigus tarnybos (darbo) santykiams asmens bylų saugojimo terminą (asmenų, priimtų atlikti praktiką KAS institucijose – praktikos sutarčių saugojimo terminą);
11.2. atlikti tik tuos asmens duomenų tvarkymo veiksmus, kuriuos atlikti yra teisinis pagrindas ar juos atlikti jam suteiktos teisės;
11.3. asmens duomenis tvarkyti tiksliai, nedelsdamas atnaujinti, ištaisyti ar papildyti netikslius, klaidingus, neišsamius asmens duomenis (toliau – netikslūs asmens duomenys) ir (ar) apriboti tokių asmens duomenų tvarkymą, išskyrus saugojimą;
11.4. pasikeitus Taisyklių 1 priede nurodytiems duomenų subjekto asmens duomenims, nedelsdamas ištaisyti ar sunaikinti netikslius asmens duomenis ir informuoti apie tai duomenų subjektą;
11.6. asmens duomenis tvarkyti taip, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;
11.7. dokumentus, kuriuose yra asmens duomenys (įsakymus, prašymus, raštus, sutartis ir kitus dokumentus, jų kopijas ar išrašus, taip pat asmens bylas, kompiuterines duomenų laikmenas su asmens duomenimis ir kt.), elektroniniu būdu tvarkyti tik tose ryšių ir informacinėse sistemose, kuriose duomenys yra tvarkomi laikantis Europos Sąjungos ar (ir) Lietuvos Respublikos teisės aktuose numatytų duomenų apsaugos reikalavimų;
11.8. pastebėjęs galimą asmens duomenų saugumo pažeidimą, nedelsdamas atlikti Duomenų saugumo pažeidimų valdymo apraše nurodytus darbuotojui privalomus veiksmus, informuoti Tvarkytojo ir Valdytojo duomenų apsaugos pareigūnus, KAM kanclerį;
IV SKYRIUS
duomenų subjekto TEISĖS IR JŲ ĮGYVENDINIMO TVARKA
PIRMASIS SKIRSNIS
DUOMENŲ SUBJEKTO TEISĖS
13. Kai asmens duomenys tvarkomi vadovaujantis Taisyklių 2.2 papunktyje nurodytais teisės aktais, duomenų subjektas turi šias Reglamente įtvirtintas teises, kurios įgyvendinamos Reglamente nustatytais atvejais ir sąlygomis:
13.1. teisę gauti informaciją apie savo asmens duomenų tvarkymą. Informacija duomenų subjektams apie asmens duomenų tvarkymą, nurodyta Reglamento 13–14 straipsniuose, pateikiama:
13.1.1. KAM interneto svetainėje www.kam.lt, skiltyje „Asmens duomenų tvarkymas“, Taisyklėse, kitų duomenų valdytojų ir (ar) Tvarkytojų interneto svetainėse (jeigu turi) ir (ar) jų priimtuose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą ir duomenų subjektų teisių įgyvendinimą. Apie naujai nustatomus duomenų tvarkymo tikslus ir tvarkomus asmens duomenis, jų tvarkymo pagrindą ir saugojimo terminus darbuotojai informuojami dokumentų valdymo sistemoje („Avilys“), jiems susipažinti pateikiant tai reglamentuojantį KAS institucijos priimtą teisės aktą ar kitą dokumentą, esant reikalui, darbuotojai apie numatomą jų asmens duomenų tvarkymą taip pat gali būti informuojami tarnybiniu elektroniniu paštu, pateikiant jų, kaip duomenų subjektų, informavimui reikalingą informaciją. Gavęs šią informaciją, darbuotojas turi su ja susipažinti ne vėliau kaip per 5 darbo dienas po jos pateikimo ar grįžimo į darbą;
13.1.3. įrengiant informacines lenteles apie vykdomą vaizdo stebėjimą Valdytojo ir Tvarkytojų patalpose ar teritorijose;
13.2. teisę susipažinti su KAS tvarkomais savo asmens duomenimis (duomenų subjektas turi teisę iš Valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir Reglamento 15 straipsnyje nurodyta informacija);
13.3. teisę reikalauti, kad būtų ištaisyti netikslūs jo asmens duomenys ir (arba) papildyti neišsamūs jo asmens duomenys (duomenų subjektas turi teisę reikalauti, kad Valdytojas nepagrįstai nedelsdamas ištaisytų netikslius su juo susijusius asmens duomenis; atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys);
13.4. teisę reikalauti ištrinti savo asmens duomenis (teisė būti pamirštam) (duomenų subjektas turi teisę reikalauti, kad Valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o Valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jei tai galima pagrįsti viena iš Reglamento 17 straipsnio 1 dalyje nurodytų priežasčių; ši teisė gali būti neįgyvendinta Reglamento 17 straipsnio 3 dalyje numatytais atvejais);
13.5. teisę apriboti savo asmens duomenų tvarkymą (duomenų subjektas turi šią teisę Reglamento 18 straipsnio 1 dalyje numatytais atvejais);
13.6. teisę į savo asmens duomenų perkeliamumą (duomenų subjektas turi teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė Valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui (neapsiribojant KAS institucijomis), o duomenų valdytojas, kuriam asmens duomenys buvo pateikti, turi nesudaryti tam kliūčių, kai yra Reglamento 20 straipsnio 1 dalyje nurodytos aplinkybės; ši teisė netaikoma Reglamento 20 straipsnio 3 dalyje nurodytu atveju);
13.7. teisę nesutikti su savo asmens duomenų tvarkymu (duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas pagal Reglamento 6 straipsnio 1 dalies e arba f punktus, įskaitant profiliavimą, remiantis tomis nuostatomis, kaip tai numatyta Reglamento 21 straipsnyje);
13.8. teisę reikalauti, kad nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas (dėl kurio duomenų subjektui kyla teisinės pasekmės arba kuris jam panašiu būdu daro didelį poveikį). Ši teisė neįgyvendinama Reglamento 22 straipsnio 2 dalyje nurodytais atvejais, taip pat negali būti įgyvendinta, kai nepriimami sprendimai, grindžiami automatizuotu duomenų tvarkymu, ir nevykdomas profiliavimas (KAM netaikomas automatizuotas sprendimų priėmimas, įskaitant profiliavimą);
14. Kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais, vadovaujantis Taisyklių 2.1 papunktyje nurodytais teisės aktais, duomenų subjektas turi Taisyklių 13.2–13.5 papunkčiuose ir Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo III skyriuje nurodytas teises, jam gali būti taikomi šių teisių apribojimai, nurodyti Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo III skyriuje, taip pat atitinkamus teisinius santykius reglamentuojančiame Taisyklių 2.1 papunktyje nurodytame įstatyme. Duomenų subjektas turi teisę gauti informaciją apie savo asmens duomenų tvarkymą Taisyklių 13.1.1–13.1.4 papunkčiuose, 30 punkte nurodytais būdais.
ANTRASIS SKIRSNIS
DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMAS
15. Duomenų subjektas, siekdamas įgyvendinti Reglamento 15–22 straipsniuose įtvirtintas teises ar kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais – Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo III skyriuje nustatytas subjekto teises, Valdytojui ar Tvarkytojui asmeniškai, paštu ar per pasiuntinį arba elektroninių ryšių priemonėmis turi pateikti rašytinį (valstybine kalba) prašymą įgyvendinti duomenų subjekto teisę (-es), užpildydamas Taisyklių 3 priede pateiktą formą.
16. Prašymas įgyvendinti duomenų subjekto teises turi būti aiškus, įskaitomas, paties asmens pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, kontaktiniai duomenys, kuriais asmuo pageidauja gauti atsakymą, informacija, kokią teisę ir kokios apimties duomenų subjektas pageidauja įgyvendinti.
17. Duomenų subjektas, pateikdamas prašymą, privalo patvirtinti savo tapatybę:
17.1. jei prašymas pateikiamas tiesiogiai, pateikdamas prašymą darbuotojui, registruojančiam prašymą, duomenų subjektas turi pateikti asmens tapatybę patvirtinantį dokumentą;
17.2. jei prašymas pateikiamas paštu ar per pasiuntinį, kartu su prašymu duomenų subjektas turi pateikti asmens tapatybę patvirtinančio dokumento kopiją;
17.3. jei prašymas pateikiamas elektroninių ryšių priemonėmis: prašymą pasirašydamas kvalifikuotu elektroniniu parašu arba prašymą suformuodamas elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą (pvz., informacinės sistemos „E. pristatymas“ atveju); jei prašymas pateikiamas elektroniniu paštu, kartu su prašymu duomenų subjektas turi pateikti jo asmens tapatybę patvirtinančio dokumento kopiją (skenuotą ar fotografuotą dokumentą).
19. Jeigu atstovaujamo duomenų subjekto vardu į Valdytoją ar Tvarkytoją kreipiasi duomenų subjekto atstovas, jis prašyme turi nurodyti savo vardą, pavardę, kontaktinius duomenis, kuriais asmens atstovas pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę, informaciją, kokią duomenų subjekto teisę ir kokios apimties pageidauja įgyvendinti, ir pridėti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą notaro arba kita teisės aktų nustatyta tvarka. Atstovo pateiktas prašymas turi atitikti Taisyklių 15–17 punktų reikalavimus.
20. Duomenų subjekto prašymas, pateiktas nesilaikant Taisyklių 15–19 punktuose nustatytų reikalavimų, nenagrinėjamas ir duomenų subjektas nedelsiant, bet ne vėliau kaip per 5 darbo dienas apie tai informuojamas nurodant priežastis.
21. Gavus duomenų subjekto prašymą, ne vėliau kaip per vieną mėnesį nuo prašymo gavimo duomenų subjektui pateikiama informacija, kokių veiksmų buvo imtasi pagal gautą prašymą. Šis vieno mėnesio terminas prireikus gali būti pratęstas dar dviem mėnesiams (kai asmens duomenys tvarkomi vadovaujantis Reglamentu) arba trims mėnesiams (kai asmens duomenys tvarkomi vadovaujantis Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu), atsižvelgiant į prašymų sudėtingumą ir jų skaičių. Kai duomenų subjektui neatsakoma per vieną mėnesį, Valdytojas per vieną mėnesį nuo duomenų subjekto prašymo gavimo raštu jam praneša apie termino pratęsimą ir vėlavimo (kai asmens duomenys tvarkomi vadovaujantis Reglamentu) ar pratęsimo (kai asmens duomenys tvarkomi vadovaujantis Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu) priežastis.
22. Nagrinėjant duomenų subjekto prašymą įvertinama, ar prašomos įgyvendinti duomenų subjekto teisės, vadovaujantis Reglamento 23 straipsniu ar Taisyklių 2.1 papunktyje nurodytais teisės aktais, turi būti visiškai arba iš dalies apribotos. Jei duomenų subjekto prašymą nagrinėjantis darbuotojas neturi informacijos, reikalingos įvertinti, ar prašomos įgyvendinti duomenų subjekto teisės turi būti visiškai arba iš dalies apribotos, ar šios informacijos trūksta, jis kreipiasi į atitinkamą informaciją administruojančias KAS institucijas ar jų padalinius. KAS institucijos ar jų padaliniai prašomą informaciją duomenų subjekto prašymą nagrinėjančiam darbuotojui privalo pateikti ne vėliau kaip per 5 darbo dienas nuo prašymo gavimo dienos.
23. Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba. Kilus abejonių dėl duomenų subjekto tapatybės, atsakingas (tiek registruojantis prašymą, tiek jį nagrinėjantis) Valdytojo ar Tvarkytojo darbuotojas pareiškėjo gali paprašyti suteikti papildomos informacijos.
24. Jei pagal duomenų subjekto prašymą asmens duomenys yra ištaisomi, ištrinami ar jų tvarkymas yra apribojamas, prašymą išnagrinėjęs darbuotojas privalo apie tai informuoti kitus Tvarkytojus, kuriems tokie duomenys buvo teikiami.
25. Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai.
26. Tiek, kiek duomenų subjektų teisių įgyvendinimo nereglamentuoja Taisyklės ir Taisyklių 2 punkte nurodyti teisės aktai, taikomos Prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklės, patvirtintos Lietuvos Respublikos Vyriausybės 2007 m. rugpjūčio 22 d. nutarimu Nr. 875 „Dėl Prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklių patvirtinimo“.
TREČIASIS SKIRSNIS
SKUNDŲ PATEIKIMO TVARKA
27. Valdytojo ir Tvarkytojo veiksmus ar neveikimą, įgyvendinant duomenų subjekto teises, duomenų subjektas arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento 80 straipsnio reikalavimus, išskyrus atvejus, kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais (ar užtikrinant nacionalinį saugumą ir gynybą), turi teisę skųsti Valstybinei duomenų apsaugos inspekcijai (L. Sapiegos g. 17, Vilnius, el. p. [email protected], interneto svetainė https://vdai.lrv.lt/), taip pat Vilniaus apygardos administraciniam teismui, o tais atvejais, kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais (ar užtikrinant nacionalinį saugumą ir gynybą), – subjektui, kuris pagal Lietuvos Respublikos įstatymus, reglamentuojančius kompetentingų institucijų veiklą, nagrinėja skundus dėl žmogaus teisių ir laisvių pažeidimų – Lietuvos Respublikos Seimo kontrolieriui (Gedimino pr. 56, Vilnius, el. p. [email protected]), taip pat Vilniaus apygardos administraciniam teismui (Žygimantų g. 2, Vilnius).
28. Prieš pateikiant skundą Valstybinei duomenų apsaugos inspekcijai, Lietuvos Respublikos Seimo kontrolieriui ar Vilniaus apygardos administraciniam teismui dėl Tvarkytojo ar Valdytojo padalinių veiksmų ar neveikimo, įgyvendinant duomenų subjekto teises, duomenų subjektui siūloma kreiptis į Valdytojo vadovą – KAM vadovaujantį krašto apsaugos ministrą.
KETVIRTASIS SKIRSNIS
INFORMACIJOS DUOMENŲ SUBJEKTUI PATEIKIMAS
29. Kai KAS asmens duomenys tvarkomi vadovaujantis Reglamentu:
29.1. Kai duomenų subjekto asmens duomenys gauti iš duomenų subjekto, informacija, nurodyta Reglamento 13 straipsnyje apie KAM atliekamą duomenų subjekto asmens duomenų tvarkymą pateikiama, kai gaunami duomenų subjekto asmens duomenys, bendraujant su juo tokiu būdu, kokiu jis kreipėsi į KAM. Informaciją raštu rekomenduojama teikti pagal Taisyklių 5 priede pateiktą formą. Šis papunktis netaikomas, jeigu duomenų subjektas jau turi informaciją.
29.2. Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto, apie jo asmens duomenų tvarkymą duomenų subjektui pateikiama Reglamento 14 straipsnyje nurodyta informacija (informaciją rekomenduojama teikti, naudojant Taisyklių 5 priede pateiktą formą):
29.2.1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;
29.2.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekus su tuo duomenų subjektu; arba
29.3. Taisyklių 29.2 papunktis netaikomas, kai duomenų subjektas tokią informaciją jau turi arba kai tokių duomenų rinkimo bei teikimo tvarka ir duomenų gavėjai apibrėžiami įstatymuose ir kituose teisės aktuose ar yra kitų Reglamento 14 straipsnio 5 dalyje nurodytų sąlygų.
29.4. Kai Valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo gauti, prieš toliau tvarkydamas tuos duomenis, pateikia duomenų subjektui informaciją apie tą tikslą ir visą papildomą atitinkamą informaciją, kaip to reikalaujama Reglamento 13 straipsnio 3 dalyje ir 14 straipsnio 4 dalyje.
30. Kai KAS asmens duomenys tvarkomi nacionalinio saugumo ar (ir) gynybos tikslais, tais atvejais, kai duomenų valdytojas ketina tvarkyti ar tvarko duomenų subjekto asmens duomenis, jis duomenų subjektui pateikia Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 11 straipsnyje nurodytą informaciją, kai ji gali būti pateikta. Informaciją rekomenduojama teikti, naudojant Taisyklių 6 priede pateiktą formą. Informacijos teikimas duomenų subjektui gali būti atidėtas, apribotas arba ši informacija gali būti neteikiama Lietuvos Respublikos įstatymuose nustatytais atvejais. Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo nustatyta tvarka Valdytojas turi raštu pateikti duomenų subjektui informaciją (išskyrus šiame įstatyme nustatytus atvejus) apie bet kokį atsisakymą suteikti teisę susipažinti su asmens duomenimis arba šios teisės apribojimą ir šio atsisakymo ar apribojimo priežastis, taip pat apie bet kokį atsisakymą ištaisyti ar ištrinti asmens duomenis arba apriboti jų tvarkymą ir apie šio atsisakymo priežastis.
V SKYRIUS
ASMENS DUOMENŲ TVARKYMAS PROGRAMINĖMIS PRIEMONĖMIS
31. Valstybės ar žinybinių registrų, valstybės informacinių sistemų, informacinių sistemų, duomenų perdavimo tinklų, telekomunikacijų tinklų, ryšių sistemų ar kitos iš techninės ir programinės įrangos sudarytos infrastruktūros, veikiančios informacinių ir ryšių technologijų pagrindu (toliau – programinė priemonė), kuriuose tvarkomi asmens duomenys, savininkai, atsakingi už programinės priemonės naudojimą institucijoje teisės aktų nustatytoms funkcijoms atlikti, ar valdytojai, jei programinės priemonės buvo įsteigtos ir įteisintos teisės aktų nustatyta tvarka, privalo įgyvendinti organizacinius, programinius ir techninius duomenų saugumo reikalavimus, nurodytus Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 5 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, ir kituose susijusiuose teisės aktuose, kurie, jei programinė priemonė yra įsteigta ir įteisinta, yra nurodyti duomenų saugos nuostatuose ir (ar) kituose duomenų saugą reglamentuojančiuose dokumentuose. Siekiama, kad tvarkant duomenis informacinėse sistemose būtų laikomasi teisės aktais numatytų bei kompetentingų institucijų rekomenduojamų standartų.
32. Darbuotojų asmens duomenys yra tvarkomi KAS institucijų ryšių ir informacinėse sistemose (toliau – RIS) bei įslaptintos informacijos ryšių informacinėse sistemose (toliau – ĮIRIS). Ne KAS institucijų darbuotojų asmens duomenys gali būti tvarkomi šiose sistemose, jei ne KAS institucijos darbuotojas yra KAS institucijų RIS ar ĮIRIS naudotojas arba asmuo, stojantis į tikrąją karo tarnybą ar atlikęs tikrąją karo tarnybą, taip pat tais atvejais, kai kiti teisės aktai numato tokį tvarkymą. Detali informacija apie tvarkomus asmens duomenis pateikiama RIS ir ĮIRIS nuostatuose ir kituose jų steigimo ir įteisinimo dokumentuose.
VI SKYRIUS
VAIZDO STEBĖJIMAS, VAIZDO IR GARSO DUOMENŲ TVARKYMAS
33. Siekiant užtikrinti KAS institucijoms ar jų padaliniams priklausančių (valdomų, naudojamų) pastatų ar patalpų ir teritorijos apsaugą bei juose esančių asmenų apsaugą, taip pat organizuojant vaizdo konferencijas, gali būti tvarkomi vaizdo stebėjimo ir (arba) garso duomenys.
34. Apie tai, kad vykdomas vaizdo stebėjimas, duomenų subjektai informuojami informaciniais užrašais, kurie išdėstomi prieš įėjimą į teritoriją, pastatą ar patalpą, arba, kai vyksta vaizdo konferencija, duomenų subjektai kompiuterio ekrane informuojami apie vykdomą vaizdo ir (arba) garso įrašą ar retransliaciją.
35. Stebėti asmens darbo vietą, kareivines ar tarnybines gyvenamąsias patalpas draudžiama, išskyrus atvejus, kai darbo vietoje vyksta vaizdo konferencija arba kai būtina užtikrinti įslaptintos informacijos apsaugą, ar patalpose esančių asmenų apsaugą ir kiti būdai ar priemonės nėra pakankami ir (arba) tinkami tikslams pasiekti. Asmenys apie nuolat vykdomą jų darbo vietos stebėjimą informuojami pasirašytinai. Informavimo forma (Taisyklių 4 priedas) saugoma KAS institucijoje visą tarnybos (darbo) laikotarpį.
36. Vaizdo stebėjimo priemonės įrengiamos taip, kad būtų stebimas tik asmuo, dalyvaujantis vaizdo konferencijoje, arba konkreti patalpa, teritorija ar jos prieigos, kurias siekiama apsaugoti.
37. Siekiant užtikrinti KAS institucijoms ar jų padaliniams priklausančių patalpų ir teritorijos apsaugą, vaizdo stebėjimo duomenys, atsižvelgiant į technines galimybes ir poreikį, saugomi nuo 14 iki 45 kalendorinių dienų (išskyrus Taisyklių 40 punkte nurodytus atvejus, kai duomenis reikia saugoti ilgiau), paprastai šie duomenys saugomi 30 dienų. Pasibaigus šiam terminui, vaizdo stebėjimo duomenys sunaikinami, ištrinant vaizdo laikmenas.
38. Vaizdo konferencijų vaizdas ir (arba) garsas nėra įrašomas, išskyrus atvejus, kai iš anksto žinoma ir informuojama, kad vaizdo ir (arba) garso įrašas bus reikalingas tarnybiniam naudojimui, protokolo surašymui ir pan. Apie konferencijos vaizdo ir (arba) garso įrašymą vaizdo konferencijos dalyviai informuojami žodžiu vaizdo ir (arba) garso įrašymo pradžioje ir atvaizduojant kompiuterio ekrane perspėjamąjį simbolį apie vykdomą vaizdo ir garso įrašymą. Vaizdo konferencijų įrašai yra saugomi ir sunaikinami Taisyklių 40 punkte nurodytais terminais ir tvarka, jei nėra kitaip nurodyta specialiuosiuose teisės aktuose.
VII SKYRIUS
DUOMENŲ SAUGOJIMAS IR SUNAIKINIMAS
40. Bendrųjų dokumentų saugojimo terminų rodyklėje, patvirtintoje Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“, ir Valdytojo bei Tvarkytojo dokumentacijos planuose nurodyti dokumentai, kuriuose yra asmens duomenų, saugomi Lietuvos vyriausiojo archyvaro nustatyta tvarka ir terminais pagal Valdytojo bei Tvarkytojo dokumentacijos planus. Kiti dokumentai, kuriuose yra asmens duomenų, ar duomenys, kurie saugomi ne dokumentuose (informacinėse sistemose, programose ir kt.), saugomi 2 mėnesius nuo dienos, kai pasiekiami tikslai, dėl kurių buvo tvarkomi asmens duomenys, išskyrus atvejus, kai ilgesnė duomenų saugojimo trukmė nustatyta įstatymuose ar kituose teisės aktuose arba vyksta teisminis procesas, susijęs su šiais asmens duomenimis, arba kitomis svarbiomis priežastimis objektyviai galima pagrįsti ilgesnį jų saugojimą. KAM valdomose informacinėse sistemose ir registruose asmens duomenys saugomi bei archyvuojami įstatymų ir (ar) šių sistemų, registrų nuostatuose nustatytais terminais.
Suėjus asmens duomenų saugojimo terminams, teisės aktų nustatyta tvarka asmens duomenys sunaikinami taip, kad jų nebūtų galima atkurti ir atpažinti jų turinio.
VIII SKYRIUS
DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI
41. Duomenų tvarkymo veiklos įrašai KAS pildomi elektroniniu būdu. KAS rekomenduojama naudoti KAM duomenų tvarkymo veiklos įrašų pildymo įrankį.
PIRMASIS SKIRSNIS
DUOMENŲ TVARKYMO VEIKLOS ĮRAŠŲ TURINYS
42. Valdytojo duomenų tvarkymo veiklos įrašuose nurodoma:
42.2. duomenų apsaugos pareigūno vardas, pavardė ir kontaktiniai duomenys (adresas, telefono numeris ir (ar) elektroninio pašto adresas);
42.5. informacija apie duomenų tvarkymo (tvarkymo operacijos, kuriai yra skirti asmens duomenys) teisinį pagrindą;
42.7. duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, kategorijos, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas;
42.8. asmens duomenų perdavimas trečiajai valstybei arba tarptautinei organizacijai ( įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą) ir Reglamento 49 straipsnio 1 dalies antrojoje pastraipoje nurodytais duomenų perdavimo atvejais tinkamų apsaugos priemonių dokumentai (šiame papunktyje nurodyta informacija pateikiama, kai asmens duomenys tvarkomi vadovaujantis Reglamentu ir kai asmens duomenys perduodami trečiajai valstybei arba tarptautinei organizacijai);
42.10. jei įmanoma, nurodomas bendras techninių ir organizacinių saugumo priemonių (atitinkamai numatytų Reglamento 32 straipsnio 1 dalyje ar Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 27 straipsnio 1 dalyje) aprašymas;
43. Kai asmens duomenys tvarkomi vadovaujantis Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu, duomenų tvarkymo veiklos įrašuose papildomai nurodoma informacija:
43.2. asmens duomenų perdavimo trečiajai valstybei arba tarptautinei organizacijai, jei asmens duomenys perduodami, kategorijos;
44. KAM, kaip duomenų tvarkytojos, veiklos įrašuose nurodoma:
44.1. duomenų tvarkytojo ar duomenų tvarkytojų ir kiekvieno duomenų valdytojo (neapsiribojant KAS institucijomis), kurio vardu veikia duomenų tvarkytojas, pavadinimas ir kontaktiniai duomenys;
44.3. kiekvieno duomenų valdytojo (neapsiribojant KAS institucijomis) vardu atliekamo duomenų tvarkymo kategorijos;
44.4. asmens duomenų perdavimas trečiajai valstybei arba tarptautinei organizacijai (kai asmens duomenys perduodami trečiajai valstybei arba tarptautinei organizacijai):
44.4.1. įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą ir Reglamento 49 straipsnio 1 dalies antrojoje pastraipoje nurodytais duomenų perdavimo atvejais tinkamų apsaugos priemonių dokumentus (šiame papunktyje nurodyta informacija pateikiama, kai asmens duomenys tvarkomi vadovaujantis Reglamentu); arba
44.4.2. asmens duomenų perdavimas trečiajai valstybei arba tarptautinei organizacijai, jeigu duomenų valdytojas aiškiai paveda tai padaryti, nurodant tą trečiąją valstybę arba tarptautinę organizaciją (šiame papunktyje nurodyta informacija pateikiama, kai asmens duomenys tvarkomi vadovaujantis Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu);
44.5. jei įmanoma, bendras techninių ir organizacinių saugumo priemonių aprašymas (atitinkamai numatytas Reglamento 32 straipsnio 1 dalyje ar Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 27 straipsnio 1 dalyje);
ANTRASIS SKIRSNIS
DUOMENŲ TVARKYMO VEIKLOS ĮRAŠŲ PILDYMAS
45. KAM, kaip Valdytojo, duomenų tvarkymo įrašai pildomi tokia tvarka:
45.1. KAM padaliniai ir jiems nepriklausantys darbuotojai, tvarkantys asmens duomenis, kurių valdytoja yra KAM, teikia KAM duomenų apsaugos pareigūnui ar (ir) kitam Valdytojo įgaliotam asmeniui informaciją (dokumentų valdymo sistemoje („Avilys“) ar el. paštu [email protected]) pagal Taisyklių 42 punktą užpildydami 7 priede pateiktą formą, pasikeitus asmens duomenų tvarkymui ar pastebėję netikslumų, taip pat KAM duomenų apsaugos pareigūno prašymu nedelsdami ją atnaujina.
45.2. KAS institucijos, jų padaliniai ir padaliniams nepriklausantys darbuotojai, tvarkantys asmens duomenis (toliau kartu – informacijos teikėjai), kurių valdytoja yra KAM, teikia jų institucijos duomenų apsaugos pareigūnui (jo elektroniniu paštu) informaciją pagal Taisyklių 42 punktą užpildydami 7 priede pateiktą formą; KAS institucijos (Tvarkytojo) duomenų apsaugos pareigūnas, įvertinęs pateiktą informaciją, prireikus ją patikslina pats arba prašo, kad patikslintų informacijos teikėjas. Kai Tvarkytojo duomenų apsaugos pareigūnas laiko, kad informacija parengta tinkamai, ją pateikia KAM duomenų apsaugos pareigūnui elektroniniu paštu [email protected]. Informacijos teikėjai, pasikeitus asmens duomenų tvarkymui ar pastebėję netikslumų, taip pat jų institucijos ar KAM duomenų apsaugos pareigūno prašymu nedelsdami ją atnaujina šiame papunktyje nustatyta tvarka.
45.3. Įvertinęs iš Tvarkytojo duomenų apsaugos pareigūno gautą informaciją ir, esant reikalui, ją patikslinęs (prireikus gali prašyti Tvarkytojo duomenų apsaugos pareigūno patikslinti informaciją), KAM duomenų apsaugos pareigūnas užpildo ar atnaujina Valdytojo duomenų tvarkymo veiklos įrašus elektronine forma; šiam tikslui pasiekti KAM duomenų apsaugos pareigūnas gali pasitelkti Tvarkytojo duomenų apsaugos pareigūną (-us) arba Taisyklių 45.4 papunktyje nurodytą darbo grupę.
46. KAM, kaip duomenų tvarkytojos, duomenų tvarkymo veiklos įrašai pildomi tokia tvarka:
46.1. tais atvejais, kai KAM, kaip duomenų tvarkytoja, tvarko duomenų tvarkymo veiklos įrašus, KAM padaliniai ir jiems nepriklausantys darbuotojai, tvarkantys asmens duomenis konkrečiais tikslais, teikia KAM duomenų apsaugos pareigūnui informaciją elektroniniu paštu [email protected], pagal Taisyklių 44 punktą užpildydami 8 priede pateiktą formą; pasikeitus asmens duomenų tvarkymui ar pastebėję netikslumų, taip pat KAM duomenų apsaugos pareigūno prašymu nedelsdami ją atnaujina;
IX SKYRIUS
POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS
48. Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, naudojant naujas technologijas, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus žmogaus teisėms ir laisvėms gali kilti didelis pavojus, duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą. (Nustatant, ar duomenų tvarkymo operacijos gali sukelti didelį pavojų žmogaus teisėms ir laisvėms, atsižvelgiama į 29 straipsnio duomenų apsaugos darbo grupės 2017 m. balandžio 4 d. „Poveikio duomenų apsaugai vertinimo (PDAV) gaires, kuriomis Reglamento 2016/679 taikymo tikslais nurodoma, kaip nustatyti, ar duomenų tvarkymo operacijos gali sukelti didelį pavojų“ (toliau – 29 darbo grupės PDAV gairės). Panašius didelius pavojus keliančių duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną vertinimą.
49. Poveikio duomenų apsaugai vertinimas gali būti neatliekamas:
49.1. jei panašaus duomenų tvarkymo poveikio duomenų apsaugai vertinimas dėl duomenų valdytojo tvarkomų duomenų jau yra atliktas (toks sprendimas priimamas tik prieš tai pasikonsultavus su jį numatančios atlikti KAS institucijos duomenų apsaugos pareigūnu, o jei poveikio duomenų apsaugai vertinimas turi būti atliekamas dėl duomenų, kurių valdytoja yra KAM, tvarkymo, turi būti konsultuojamasi ir su KAM duomenų apsaugos pareigūnu);
50. Atliekant poveikio duomenų apsaugai vertinimą vadovaujamasi atitinkamai Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 25 straipsniu arba Reglamento 35 straipsniu ir Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašu, patvirtintu Valstybinės duomenų apsaugos inspekcijos direktoriaus 2019 m. kovo 14 d. įsakymu Nr. 1T-35 (1.12.E) „Dėl Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašo patvirtinimo“, atsižvelgiama į 29 darbo grupės PDAV gaires.
51. Poveikio duomenų apsaugai vertinimą Valdytojo vardu atlieka ta KAS institucija ar KAM padalinys, kuris dėl numatomų tvarkyti duomenų rengia teisės aktą ar kitaip inicijuoja tokį duomenų tvarkymą.
52. KAS institucijos ir KAM padaliniai, atlikdami KAM, kaip Valdytojo, numatomų tvarkyti duomenų poveikio duomenų apsaugai vertinimą:
52.2. Valdytojo vardu inicijuoja išankstines konsultacijas su Valstybine duomenų apsaugos inspekcija Reglamento 36 straipsnyje (kai asmens duomenis numatoma tvarkyti kitais, ne nacionalinio saugumo ar (ir) gynybos tikslais) arba Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 26 straipsnio nustatyta tvarka (kai asmens duomenis numatoma tvarkyti nacionalinio saugumo ar (ir) gynybos tikslais); vykdant išankstines konsultacijas, konsultuojasi su duomenų apsaugos pareigūnais Taisyklių 52.3 papunktyje nustatyta tvarka;
X SKYRIUS
KONSULTAVIMASIS IR BENDRADARBIAVIMAS SU DUOMENŲ APSAUGOS PAREIGŪNU
53. Darbuotojai, tvarkantys asmens duomenis ar organizuojantys jų tvarkymą, siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam duomenų tvarkymui, privalo konsultuotis su jų institucijos duomenų apsaugos pareigūnu, o kai klausimas susijęs su asmens duomenų, kurių valdytoja yra KAM, tvarkymu – taip pat ir su KAM duomenų apsaugos pareigūnu šiais klausimais:
53.1. nagrinėjant duomenų subjektų prašymus dėl jų teisių įgyvendinimo pagal Taisykles ir teikiant informaciją duomenų subjektams;
53.3. rengiant administracinio teisės akto projektą, jei jis susijęs su asmens duomenų tvarkymu ir (ar) apsauga;
53.5. sudarant, keičiant duomenų perdavimo (teikimo) sutartis, pagal kurias perduodami (teikiami) ir (ar) gaunami asmens duomenys, ar teikiant asmens duomenis pagal prašymą;
53.8. priimant sprendimus dėl asmens duomenų apsaugos priemonių, įskaitant technines ir organizacines priemones, taikymo;
54. KAS institucijų darbuotojai turi bendradarbiauti su KAS institucijų duomenų apsaugos pareigūnais ir teikti jiems informaciją apie institucijoje vykdomą asmens duomenų tvarkymą. KAS institucijos ir jų duomenų apsaugos pareigūnai, taip pat darbuotojai bei asmenys, priimti atlikti praktiką, turi bendradarbiauti su KAM duomenų apsaugos pareigūnu Taisyklių 53 punkte nurodytais atvejais, kai tai susiję su KAM, kaip Valdytojo, tvarkomais asmens duomenimis.
XI SKYRIUS
DUOMENŲ PERDAVIMO TREČIOSIOMS VALSTYBĖMS REIKALAVIMAI
55. Pagrindinis asmens duomenų perdavimo trečiosioms valstybėms pagrindas – Europos Komisijos sprendimas dėl tinkamo lygio apsaugos (Reglamento 45 straipsnis, Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 35 straipsnis). Atitinkamai, jeigu Europos Komisija nėra priėmusi sprendimo dėl tinkamo lygio apsaugos, vadovaujantis Reglamento 46 straipsnio 1 dalimi ar Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 36 straipsnio 1 dalimi, Valdytojas ar duomenų valdytojas arba duomenų tvarkytojas gali perduoti asmens duomenis trečiajai valstybei arba tarptautinei organizacijai tik tuo atveju, jeigu gaunamų duomenų valdytojas arba tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis. Duomenų valdytojas arba duomenų tvarkytojas, visų pirma, kiekvienu atveju ir prireikus bendradarbiaudamas su duomenų gavėju, turi patikrinti, ar pagal paskirties trečiosios šalies teisę užtikrinama tinkama, atsižvelgiant į Europos Sąjungos teisę, asmens duomenų, perduodamų remiantis vienu iš Reglamento 46 straipsnyje ar Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 36 straipsnyje įtvirtintų asmens duomenų teikimo trečiosioms valstybėms įrankių, apsauga ir prireikus suteikiama papildomų garantijų. Dėl atvejų, kai duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais ir nėra galimybės patikrinti, ar pagal paskirties trečiosios šalies teisę užtikrinama tinkama apsauga, sprendžiama, įvertinus visas reikšmingas tokio duomenų tvarkymo aplinkybes.
56. Kai asmens duomenų tvarkymui taikomos Reglamento nuostatos, duomenys trečiosioms valstybėms perduodami laikantis Reglamento straipsniuose, Leidimų perduoti asmens duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms išdavimo tvarkos aprašo, patvirtinto Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 18 d. įsakymu Nr. 1T-68 (1.12.E) „Dėl Leidimų perduoti asmens duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms išdavimo tvarkos aprašo patvirtinimo“, nustatytų sąlygų ir tvarkos.
XII SKYRIUS
BAIGIAMOSIOS NUOSTATOS
57. Jeigu KAM tvarkoma informacija turi būti skelbiama viešai ir joje yra viešai neskelbtinų duomenų (valstybės, tarnybos, profesinių, komercinių ar kitų teisės aktų saugomų paslapčių arba kitokių neskelbtinų duomenų) ar asmens duomenų (fizinių asmenų asmens kodai, gyvenamųjų vietų adresai, gimimo datos ir vietos, valstybiniai automobilių numeriai, sveikatos duomenys ir kita), parengiama viešai skelbtina teksto versija, kurioje asmens duomenys pakeičiami taip, kad duomenų subjekto tapatybės nebūtų galima nustatyti. Nuasmeninant informaciją rekomenduotina vadovautis Valstybinės duomenų apsaugos inspekcijos 2020 m. rugpjūčio 5 d. rekomendacija „Nuasmeninimo metodai“.
58. KAS rengiamų Lietuvos Respublikos teisės aktų, reglamentuojančių asmens duomenų tvarkymą, projektuose nurodomi duomenų tvarkymo tikslai, tvarkytini asmens duomenys ir kiti duomenų tvarkymo reikalavimai, kuriais siekiama užtikrinti teisėtą asmens duomenų tvarkymą; kai duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais, taip pat nurodomi duomenų tvarkymo siekiai.