VALSTYBINĖS DUOMENŲ APSAUGOS INSPEKCIJOS DIREKTORIAUS
ĮSAKYMAS
DĖL DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO PAVYZDINIŲ TAISYKLIŲ
PATVIRTINIMO
2018 m. liepos 9 d. Nr. 1T-63(1.12.E)
Vilnius
Siekdamas padėti duomenų valdytojams tinkamai įgyvendinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) numatytas duomenų subjektų teises ir įgyvendinti atskaitomybės principą,
PATVIRTINTA
Valstybinės duomenų apsaugos inspekcijos
direktoriaus 2018 m. liepos 9 d.
įsakymu Nr. 1T-63(1.12.E)
DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO PAVYZDINĖS TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Duomenų subjekto teisių įgyvendinimo ____________________ (nurodomas duomenų valdytojo pavadinimas) taisyklių (toliau – Taisyklės) tikslas – nustatyti duomenų subjektų teisių įgyvendinimo ____________________ (nurodomas duomenų valdytojo pavadinimas) tvarką siekiant įgyvendinti atskaitomybės principą.
2. Įgyvendinant duomenų subjekto teises vadovaujamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.
II SKYRIUS
TEISĖ GAUTI INFORMACIJĄ APIE DUOMENŲ TVARKYMĄ
5. Informacija apie ____________________ (nurodomas duomenų valdytojo pavadinimas) atliekamą duomenų subjekto asmens duomenų tvarkymą, nurodyta Reglamento (ES) 2016/679 13 ir 14 straipsniuose, pateikiama ___________________________ (nurodomi būdai kaip informacija yra pateikiama[2]).
7. Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto, apie šio duomenų subjekto asmens duomenų tvarkymą informuojama:
7.1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;
7.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba
III SKYRIUS
TEISĖ SUSIPAŽINTI SU DUOMENIMIS
8. ___________________ (nurodomas duomenų valdytojo pavadinimas) esant duomenų subjekto prašymui įgyvendinti teisę susipažinti su savo asmens duomenimis turi pateikti:
8.2. su asmens duomenų tvarkymu susijusią informaciją, numatytą Reglamento (ES) 2016/679 15 straipsnio 1 ir 2 dalyse, jeigu duomenų subjekto asmens duomenys tvarkomi;
IV SKYRIUS
TEISĖ REIKALAUTI IŠTAISYTI DUOMENIS
10. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 16 straipsniu, turi teisę reikalauti, kad bet kokie jo tvarkomi netikslūs asmens duomenys būtų ištaisyti, o neišsamūs papildyti.
11. Siekiant įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, __________________ (nurodomas duomenų valdytojo pavadinimas) gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus.
12. Jeigu duomenų subjekto asmens duomenys (ištaisyti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, ____________________ (nurodomas duomenų valdytojo pavadinimas) šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
V SKYRIUS
TEISĖ REIKALAUTI IŠTRINTI DUOMENIS („TEISĖ BŪTI PAMIRŠTAM“)
13. Duomenų subjekto teisė ištrinti jo asmens duomenis („teisė būti pamirštam“) įgyvendinama Reglamento (ES) 2016/679 17 straipsnyje numatytais atvejais tik dėl šių asmens duomenų, tvarkomų žemiau nurodytais tikslais[5]:
14. Duomenų subjekto teisė reikalauti ištrinti asmens duomenis („teisė būti pamirštam“) gali būti neįgyvendinta Reglamento (ES) 2016/679 17 straipsnio 3 dalyje numatytais atvejais.
15. Jeigu duomenų subjekto asmens duomenys (ištrinti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, ____________________ (nurodomas duomenų valdytojo pavadinimas) šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
VI SKYRIUS
TEISĖ APRIBOTI DUOMENŲ TVARKYMĄ
16. Reglamento (ES) 2016/679 18 straipsnio 1 dalyje numatytais atvejais ____________________ (nurodomas duomenų valdytojo pavadinimas) privalo įgyvendinti duomenų subjekto teisę apriboti jo asmens duomenų tvarkymą.
17. Asmens duomenys, kurių tvarkymas apribotas, yra saugomi, o prieš tokio apribojimo panaikinimą duomenų subjektas _________ (nurodyti kokiu būdu, pavyzdžiui, raštu, žodžiu, elektroninių ryšių priemonėmis ir pan.) yra informuojamas.
18. Jeigu duomenų subjekto asmens duomenys (kurių tvarkymas apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, ____________________ (nurodomas duomenų valdytojo pavadinimas) šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
VII SKYRIUS
TEISĖ Į DUOMENŲ PERKELIAMUMĄ
19. Duomenų subjekto teisę į duomenų perkeliamumą, numatytą Reglamento (ES) 2016/679 20 straipsnyje, ____________________ (nurodomas duomenų valdytojo pavadinimas) įgyvendina tik dėl šių asmens duomenų, tvarkomų žemiau nurodytais tikslais[6]:
20. Duomenų subjektas teisės į duomenų perkeliamumą neturi tų asmens duomenų atžvilgiu, kurie tvarkomi neautomatiniu būdu susistemintose rinkmenose, pavyzdžiui, popierinėse bylose.
21. Duomenų subjektas, kreipdamasis dėl teisės į duomenų perkeliamumą, turi nurodyti, ar pageidauja, kad jo asmens duomenys būtų persiųsti jam ar kitam duomenų valdytojui.
VIII SKYRIUS
TEISĖ NESUTIKTI SU DUOMENŲ TVARKYMU
23. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 21 straipsniu, turi teisę dėl su juo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad ____________________ (nurodomas duomenų valdytojo pavadinimas) tvarkytų jo asmens duomenis šiais atvejais[7]:
24. Apie duomenų subjekto teisę nesutikti su asmens duomenų tvarkymu ____________________ (nurodomas duomenų valdytojo pavadinimas) informuoja _________________ (nurodomas informavimo būdas, pavyzdžiui, pateikiant informaciją raštu, žodžiu, interneto svetainėje ir pan.).
25. Duomenų subjektui išreiškus nesutikimą su asmens duomenų tvarkymu, toks tvarkymas atliekamas tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių atliekamas asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus.
IX SKYRIUS
TEISĖ REIKALAUTI, KAD NEBŪTŲ TAIKOMAS TIK AUTOMATIZUOTU DUOMENŲ TVARKYMU, ĮSKAITANT PROFILIAVIMĄ, GRINDŽIAMAS SPRENDIMAS
26. Šiais atvejais, duomenų subjektas turi teisę reikalauti, kad jo atžvilgiu nebūtų taikomas tik automatizuotu duomenų tvarkymu grindžiamas sprendimas ir toks sprendimas būtų peržiūrėtas[8]:
27. Duomenų subjektui kreipusis dėl automatizuotu duomenų tvarkymu grindžiamo sprendimo peržiūros, duomenų valdytojas[9], turi atlikti išsamų visų svarbių duomenų, įskaitant ir duomenų subjekto pateiktos informacijos, vertinimą.
X SKYRIUS
PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES PATEIKIMAS
28. Kreiptis dėl duomenų subjekto teisių įgyvendinimo duomenų subjektas turi teisę žodžiu arba raštu, pateikiant prašymą asmeniškai, paštu ar elektroninėmis priemonėmis ____________________ (rekomenduojama nurodyti duomenų valdytojo duomenų apsaugos pareigūno elektroninio pašto adresą).
29. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi žodžiu ar prašymas pateiktas raštu asmeniškai, duomenų subjektas turi patvirtinti savo tapatybę pateikdamas asmens tapatybę patvirtinantį dokumentą. To nepadarius, duomenų subjekto teisės nėra įgyvendinamos. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.
30. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi raštu, pateikiant prašymą paštu, tuomet kartu su prašymu turi būti pateikta notaro patvirtinta asmens tapatybę patvirtinančio dokumento kopija. Teikiant prašymą elektroninėmis priemonėmis, prašymas turi būti pasirašytas kvalifikuotu elektroniniu parašu arba jis turi būti suformuotas elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.
31. Prašymas įgyvendinti duomenų subjekto teises turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyti duomenų subjekto vardas, pavardė, adresas[10] ir (ar) kiti kontaktiniai duomenys ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo.
33. Asmens atstovas prašyme turi nurodyti savo vardą, pavardę, adresą ir (ar) kitus kontaktinius duomenis ryšiui palaikyti, kuriais asmens atstovas pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę ir _____________ (nurodyti kitus duomenis, kurie reikalingi duomenų subjekto identifikavimui) bei pateikti atstovavimą patvirtinantį dokumentą ar jo kopiją.
34. Esant abejonių dėl duomenų subjekto tapatybės, duomenų valdytojas prašo papildomos informacijos, reikalingos ja įsitikinti.
35. Kreipiantis raštu dėl duomenų subjekto teisių įgyvendinimo, rekomenduojama pateikti Taisyklių 1 priede nurodytos formos prašymą[11].
36. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis į duomenų apsaugos pareigūną _____________________ (nurodomi duomenų apsaugos pareigūno kontaktiniai duomenys (telefono ryšio numeris, elektroninio pašto adresas, adresas). Siekiant užtikrinti Reglamento (ES) 2016/679 38 straipsnio 5 dalyje įtvirtintą konfidencialumą, kreipiantis į duomenų apsaugos pareigūną paštu, ant voko užrašoma, kad korespondencija skirta duomenų apsaugos pareigūnui.
XI SKYRIUS
PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES NAGRINĖJIMAS
37. Gavus duomenų subjekto prašymą, ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, jam pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Jeigu bus vėluojama pateikti informaciją, per nurodytą terminą duomenų subjektas informuojamas apie tai, nurodant vėlavimo priežastis ir apie galimybę pateikti skundą Valstybinei duomenų apsaugos inspekcijai.
38. Jeigu prašymas pateiktas nesilaikant Taisyklių IX skyriuje nustatytos tvarkos ir reikalavimų, jis nenagrinėjamas, ir nedelsiant, bet ne vėliau kaip per _________ (įrašyti darbo dienų skaičių), duomenų subjektas apie tai informuojamas nurodant priežastis.
39. Jeigu prašymo nagrinėjimo metu nustatoma, jog duomenų subjekto teisės yra apribotos Reglamento (ES) 2016/679 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.
40. Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba.
41. Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai[12].
42. ____________________ (nurodomas duomenų valdytojo pavadinimas) veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento (ES) 2016/679 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai, A. Juozapavičius g. 6, Vilnius, el. paštas [email protected], interneto svetainė www.ada.lt, taip pat _____________________ (nurodomas teismingas teismas).
Duomenų subjekto teisių įgyvendinimo pavyzdinių taisyklių
1 priedas
(Prašymo įgyvendinti duomenų subjekto teisę (-es) rekomenduojama forma)
(Duomenų subjekto vardas, pavardė[13])
(Adresas ir (ar) kiti kontaktiniai duomenys (telefono ryšio numeris ar el. pašto adresas (nurodoma pareiškėjui pageidaujant)
(Atstovas ir atstovavimo pagrindas, jeigu prašymą pateikia duomenų subjekto atstovas)[14]
_____________________________
(Duomenų valdytojo pavadinimas)
PRAŠYMAS
ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISĘ (-ES)
____________
(Data)
________
(Vieta)
1. Prašau įgyvendinti šią (šias) duomenų subjekto teisę (-es):
(Tinkamą langelį pažymėkite kryželiu):
Teisę gauti informaciją apie duomenų tvarkymą
Teisę susipažinti su duomenimis
Teisę reikalauti ištaisyti duomenis
Teisę reikalauti ištrinti duomenis („teisė būti pamirštam“)
Teisę apriboti duomenų tvarkymą
Teisę į duomenų perkeliamumą
Teisę nesutikti su duomenų tvarkymu
Teisę reikalauti, kad nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas
2. Nurodykite, ko konkrečiai prašote ir pateikite kiek įmanoma daugiau informacijos, kuri leistų tinkamai įgyvendinti Jūsų teisę (-es) (pavyzdžiui, jeigu norite gauti asmens duomenų kopiją, nurodykite, kokių konkrečiai duomenų (pavyzdžiui, 2018 m. x mėn. x d. elektroninio pašto laiško kopiją, 2018 m. x mėn. x d. vaizdo įrašą (x val. x min. – x val. x min.) kopiją pageidaujate gauti; jeigu norite ištaisyti duomenis, nurodykite, kokie konkrečiai Jūsų asmens duomenys yra netikslūs; jeigu nesutinkate, kad būtų tvarkomi Jūsų asmens duomenys, tuomet nurodykite argumentus, kuriais grindžiate savo nesutikimą, nurodykite dėl kokio konkrečiai duomenų tvarkymo nesutinkate; jeigu kreipiatės dėl teisės į duomenų perkeliamumą įgyvendinimo, prašome nurodyti, kokių duomenų atžvilgiu šią teisę pageidaujate įgyvendinti, ar pageidaujate juos perkelti į savo įrenginį ar kitam duomenų valdytojui, jeigu pastarajam, tuomet nurodykite kokiam):
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.
PRIDEDAMA[15]:
[1] Pastebėtina, kad Taisyklės turi būti parengtos vadovaujantis ne tik Reglamentu (ES) 2016/679, bet ir atsižvelgiant į Europos Komisijos 2018 m. sausio 24 d. komunikatą Europos Parlamentui ir Tarybai „Didesnė apsauga, naujos galimybės. Komisijos gairės dėl tiesioginio Bendrojo duomenų apsaugos reglamento taikymo nuo 2018 m. gegužės 25 d.“, kuriame draudžiamas duomenų subjekto teisių kartojimas, papildomų Reglamento (ES) 2016/679 teksto sąlygų ar aiškinimų numatymas.
[2] Pavyzdžiui, nurodoma, ar informacija yra teikiama žodžiu asmens duomenų gavimo metu, raštu asmens duomenų gavimo metu, duomenų valdytojo interneto svetainėje skelbiamoje asmens duomenų apsaugos privatumo politikoje ir pan.
[3] Taisyklėse gali būti nustatyta, kad mokestis nėra imamas.
[4] Rekomenduotina Taisyklėse nurodyti standartinį mokestį už kitas asmens duomenų kopijas.
[5] Pavyzdžiui, duomenų valdytojas tvarko asmens duomenis (vardą, pavardę, telefono ryšio numerį, el. pašto adresą) tiesioginės rinkodaros tikslu pagal Reglamento (ES) 2016/679 8 straipsnio 1 dalį.
[6] Jeigu duomenų valdytojas netvarko duomenų subjekto asmens duomenų automatizuotomis priemonėmis remdamasis duomenų subjekto sutikimu arba sutartimi, kurios šalis yra duomenų subjektas, tuomet nurodoma, kad duomenų valdytojas neatlieka asmens duomenų tvarkymo, dėl kurio duomenų subjektas gali įgyvendinti teisę į duomenų perkeliamumą pagal Reglamento (ES) 2016/679 20 straipsnį.
[7] Nurodoma, kokiu tikslu tvarkomų asmens duomenų atžvilgiu duomenų subjektas turi teisę įgyvendinti teisę nesutikti su jo asmens duomenų tvarkymu.
[8] Jeigu duomenų valdytojas nepriima tik automatizuotu duomenų tvarkymu grindžiamų sprendimų, nurodoma, kad ši teisė nėra įgyvendinama duomenų valdytojo atliekamo duomenų tvarkymo atžvilgiu.
[9] Vertinimą turėtų atlikti duomenų valdytojo asmuo, kuris turi atitinkamus įgaliojimus ir gebėjimus pakeisti sprendimą.
[10] Gali būti taisyklėse nustatyta, kad asmuo prašyme turėtų nurodyti daugiau duomenų, siekiant nustatyti, ar duomenų subjekto asmens duomenys yra tvarkomi, pavyzdžiui, nurodyti duomenų valdytojo duomenų subjektui priskirtą kodą ir pan.
[11] Duomenų valdytojas gali pasitvirtinti ir kitokią prašymo įgyvendinti duomenų subjekto teises formą nei Inspekcijos rekomenduojama.
[12] Duomenų subjekto teisių įgyvendinimas remiantis Reglamento (ES) 2016/679 12 straipsnio 5 dalimi gali būti apmokestinamas. Tokiu atveju Taisyklėse rekomenduotina nurodyti apmokėjimo dydį ir tvarką.
[13] Gali būti prašoma nurodyti daugiau duomenų, siekiant nustatyti, ar duomenų subjekto duomenys yra tvarkomi, pavyzdžiui, nurodyti duomenų valdytojo duomenų subjektui priskirtą kodą ir pan.
[14] Jeigu prašymą pateikia duomenų subjekto atstovas, kartu turi būti pridedamas atstovo įgaliojimus patvirtinantis dokumentas.
[15] Jeigu prašymas yra siunčiamas paštu, prie prašymo pridedama asmens tapatybę patvirtinančio dokumento kopija, patvirtinta notaro ar kita teisės aktų nustatyta tvarka.
Jeigu kreipiamasi dėl netikslių duomenų ištaisymo, pateikiamos tikslius duomenis patvirtinančių dokumentų kopijas; jeigu jos siunčiamos paštu, tuomet turi būti patvirtintos notaro ar kita teisės aktų nustatyta tvarka.
Jeigu duomenų subjekto asmens duomenys, tokie kaip vardas, pavardė, yra pasikeitę, kartu pateikiamos dokumentų, patvirtinančių šių duomenų pasikeitimą, kopijos; jeigu jos siunčiamos paštu, tuomet turi būti patvirtintos notaro ar kita teisės aktų nustatyta tvarka.