PATVIRTINTA
Pabėgėlių priėmimo centro direktoriaus
2018 m. gegužės 24 d. įsakymu Nr. VK-133
PABĖGĖLIŲ PRIĖMIMO CENTRO
ASMENS DUOMENŲ TVARKYMO TAISYKLĖS
I. SKYRIUS
BENDROSIOS NUOSTATOS
- Asmens duomenų tvarkymo Pabėgėlių priėmimo centre (toliau – Centras) taisyklių (toliau – Taisyklės) tikslas – reglamentuoti fizinių asmenų duomenų tvarkymą Centre ir užtikrinti 2016-04-27 Europos parlamento ir tarybos reglamento (ES) 2016/679 dėl fizinių asmenų duomenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų, nustatančių asmens duomenų tvarkymą ir apsaugą laikymąsi ir įgyvendinimą.
- Taisyklių paskirtis – numatyti pagrindines asmens duomenų tvarkymo, duomenų subjekto teisių įgyvendinimo technines ir asmens duomenų saugos organizacines priemones.
- Taisyklių privalo laikytis visi Centre dirbantys asmenys (toliau – darbuotojai), kurie tvarko asmens duomenis Centre, eidami savo pareigas juos sužino arba turi bet kokio pobūdžio prieigą prie asmens duomenų. Šių Taisyklių nesilaikymas yra šiurkštus darbo pareigų pažeidimas.
- Taisyklėse vartojamos sąvokos:
- asmens duomenys– bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;
- asmens duomenų saugumo pažeidimas–– saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų prieigą gauna asmuo neturintis leidimo. Asmens duomenų saugumo pažeidimai gali būti: (1) konfidencialumo pažeidimai – netyčinis arba neteisėtas asmens duomenų laikinas ar nuolatinis atskleidimas ar prieigos suteikimas asmenims, kurie neturi teisės susipažinti su asmens duomenimis, (2) prieinamumo pažeidimai – netyčinis arba neteisėtas, laikinas ar nuolatinis prieigos prie asmens duomenų praradimas arba asmens duomenų sunaikinimas, (3) vientisumo pažeidimai – netyčinis arba neteisėtas asmens duomenų laikinas ar nuolatinis pakeitimas;
- ADTAĮ – Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;
- biometriniai duomenys– po specialaus techninio apdorojimo gauti asmens duomenys, susiję su fizinio asmens fizinėmis, fiziologinėmis arba elgesio savybėmis, pagal kurias galima konkrečiai nustatyti arba patvirtinti to fizinio asmens tapatybę, kaip antai veido atvaizdai arba daktiloskopiniai duomenys;
- duomenų gavėjas– fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne;
- duomenų tvarkymas– bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija (veiksmas) ar operacijų (veiksmų) seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;
- duomenų tvarkytojas– fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis;
- duomenų subjektas – fizinis asmuo, kurio asmens duomenys tvarkomi;
- duomenų subjekto sutikimas– bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys;
- duomenų valdytojas – Pabėgėlių priėmimo centras;
- genetiniai duomenys– asmens duomenys, susiję su paveldėtomis ar įgytomis fizinio asmens genetinėmis savybėmis, suteikiančiomis unikalios informacijos apie to fizinio asmens fiziologiją ar sveikatą, ir kurie gauti visų pirma analizuojant biologinį atitinkamo fizinio asmens mėginį;
- Inspekcija – Valstybinė duomenų apsaugos inspekcija;
- Reglamentas – 2016-04-27 Europos parlamento ir tarybos reglamentas (ES) 2016/679 Dėl fizinių asmens duomenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
- Sąjunga – Europos Sąjunga;
- sveikatos duomenys– asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę;
- Specialių kategorijų asmens duomenys – duomenys, atskleidžiantys duomenų subjekto rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat genetiniai duomenys, biometriniai duomenys, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys, duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją;
- Taisyklės – šios taisyklės;
- trečioji šalis– fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis;
- vaizdo stebėjimas – vaizdo duomenų, susijusių su fiziniu asmeniu (toliau – vaizdo duomenys), tvarkymas naudojant automatines vaizdo stebėjimo priemones (vaizdo ir fotokameras ar pan.), nepaisant to, ar šie duomenys yra išsaugomi laikmenoje.
- Kitos šiose Taisyklės vartojamos sąvokos suprantamos taip, kaip jas apibrėžia Reglamentas ir ADTAĮ.
- Taisyklės parengtos vadovaujantis Reglamentu, ADTAĮ, 29 straipsnio duomenų apsaugos darbo grupės metodiniais nurodymais, nuomone, ir kitais teisės šaltiniais, susijusiais su asmens duomenų tvarkymu ir apsauga.
II. SKYRIUS
ASMENS DUOMENŲ TVARKYMAS
- Centre visi asmens duomenys yra tvarkomi griežtai vadovaujantis šiais reikalavimais:
- asmens duomenys duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu;
- asmens duomenys renkami ir tvarkomi nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu. Asmens duomenys gali būti tvarkomi tik tuo tikslu, kuriuo yra renkami;
- renkami ir tvarkomi tik adekvatūs, tinkami ir tik tokie asmens duomenys, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi. Jeigu asmens duomenys nėra būtini tam, kad būtų pasiektas konkretus tikslas, tokie asmens duomenys negali būti tvarkomi. Konkrečiam tikslui pasiekti yra tvarkomas kiek įmanomai minimalesnis kiekis asmens duomenų;
- tvarkomi tikslūs duomenys, ir, prireikus, jie yra atnaujinami. Centras imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi;
- asmens duomenys tvarkomi ir saugomi ne ilgiau, negu nustatytas jų saugojimo terminas, kuris turi būti ne ilgesnis, negu yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;
- asmens duomenys tvarkomi tokiu būdu, kad būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo.
- Centre asmens duomenys gali būti tvarkomi tik jeigu tam egzistuoja bent vienas iš šių teisinių pagrindų:
- duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais. Duomenų subjekto sutikimo pagrindu gali būti tvarkomi tik tie asmens duomenys ir tik tuo tikslu, kurie yra numatyti sutikime;
- tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;
- tvarkyti duomenis būtina, kad būtų įvykdyta Centrui teisės aktų nustatyta teisinė prievolė;
- tvarkyti duomenis būtina siekiant teisėtų Centro arba trečiosios šalies interesų, išskyrus atvejus, kai duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas;
- tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus.
- Draudžiama tvarkyti specialių kategorijų asmens duomenis, išskyrus, jeigu egzistuoja bent viena iš šių sąlygų:
- duomenų subjektas aiškiai sutiko, kad tokie asmens duomenys būtų tvarkomi vienu ar keliais nurodytais tikslais, išskyrus, jeigu teisės aktai numato, kad toks draudimas sutikimu negali būti panaikintas;
- tvarkyti duomenis būtina, kad Centras arba duomenų subjektas galėtų įvykdyti prievoles ir naudotis specialiomis teisėmis darbo ir socialinės apsaugos teisės srityje, kiek tai leidžiama pagal teisės aktus arba pagal teisės aktų nustatyta tvarka sudarytas sutartis;
- tvarkyti duomenis būtina, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito fizinio asmens interesai, kai duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo;
- tvarkomi asmens duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai;
- tvarkyti duomenis būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;
- tvarkyti duomenis būtina profilaktinės arba darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą, nustatyti medicininę diagnozę, teikti sveikatos priežiūros arba socialinės rūpybos paslaugas ar gydymą arba valdyti sveikatos priežiūros ar socialinės rūpybos sistemas ir paslaugas remiantis teisės aktų nuostatomis arba pagal sutartį su sveikatos priežiūros specialistu. Šiuo pagrindu duomenys gali būti tvarkomi, kai tuos duomenis tvarko specialistas arba kitas asmuo, kuriam pagal teisės aktų reikalavimus taikoma pareiga saugoti profesinę paslaptį.
- Asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas Centre tvarkyti draudžiama, išskyrus, atvejus, kai tokią teisę tiesiogiai nustato teisės aktai.
- Konkretūs tvarkomi asmens duomenys, jų tvarkymo tikslai, saugojimo terminai bei tvarkymo teisiniai pagrindai yra numatomi asmens duomenų tvarkymo veiklos įrašuose, kuriais privalo vadovautis Centro darbuotojai.
- Centro darbuotojai, prieš kiekvieną duomenų tvarkymo operaciją (veiksmą) privalo įvertinti, ar toks duomenų tvarkymas atitinka 6.1. – 6.6. punktuose įtvirtintus reikalavimus bei užtikrinti, kad kiekviena duomenų tvarkymo operacija (veiksmas) atitiktų minėtus reikalavimus, taip pat įvertinti, ar toks duomenų tvarkymas turi bent vieną 7.1. – 7.5. ar 8.1. – 8.6. punktuose įtvirtintą asmens duomenų tvarkymo pagrindą bei užtikrinti, kad asmens duomenys nebūtų tvarkomi nesant bent vienam iš minėtų teisinių pagrindų.
- Centro vidaus dokumentuose draudžiama naudoti papildomus duomenų subjektų identifikavimo duomenis, tokius kaip asmens kodas, jeigu tai nėra būtina duomenų subjekto tapatybei nustatyti, kitam teisėtam tikslui pasiekti arba jeigu to nenustato teisės aktai.
- Pasibaigus asmens duomenų saugojimo terminui, jis gali būti pratęstas, jeigu Centras nustato, kad saugoti duomenis toliau yra būtina, ypač atsižvelgiant būtinybė panaudoti asmens duomenis kaip įrodymą ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje, ar kitais įstatymų nustatytais atvejais. Prieš priimant sprendimą pratęsti duomenų saugojimo terminą pasikonsultuojama su duomenų apsaugos pareigūnu.
REIKALAVIMAI SUTIKIMUI KAIP ASMENS DUOMENŲ TVARKYMO PAGRINDUI
- Asmens duomenys sutikimo pagrindu yra tvarkomi šiais atvejais:
- kai tai tiesiogiai numatyta šiose Taisyklėse, Reglamente, ADTAĮ arba kitose teisės aktuose;
- kai, atsižvelgiant į duomenų tvarkymo tikslą ar duomenų kiekį, Centras neturi kito Taisyklių 7.2 – 7.5. punktuose įtvirtinto pagrindo tvarkyti asmens duomenis. Jeigu asmens duomenys, atsižvelgiant į jų kiekį ir tvarkymo tikslus, gali būti tvarkomi bent vienu iš 7.2 – 7.5. punktuose įtvirtintų pagrindų, duomenų subjekto sutikimas papildomai nėra renkamas;
- kai tai labiausiai atitinka Centro interesus ir padidintos rizikos atvejais tai sumažina asmens duomenų tvarkymo neteisėtumo riziką.
- Duomenų subjekto sutikimas yra užpildomas pagal patvirtintą formą (šių Taisyklių Priedas Nr. 1).
- Duomenų subjekto sutikimas gali būti renkami šiais būdais: raštu, įskaitant elektronines priemones, žodžiu ar veiksmais, jeigu yra galimybė įrodyti, kad toks sutikimas buvo duotas ir jeigu duomenų subjektas aiškiai sutinka su siūlomu jo asmens duomenų tvarkymu.
- Visais atvejais, kai asmens duomenys yra tvarkomi duomenų subjekto sutikimo pagrindu, Centras privalo kaupti ir turėti įrodymus, kad duomenų subjektas davė sutikimą ir kad duoto sutikimo turinys atitinka su šiomis Taisyklėmis patvirtintos sutikimo formos turinį.
- Kai asmens duomenys yra tvarkomi sutikimo pagrindu, tvarkomi tik tie duomenys, kurie nurodyti sutikime, tik tais tikslais, kurie nurodyti sutikime, ir su jais atliekamos tik tos tvarkymo operacijos (veiksmai), kurios nurodytos sutikime. Jeigu keičiasi tvarkomų duomenų kiekis, tvarkymo tikslas ar tvarkymo operacijos (veiksmai), privalo būti gaunamas papildomas sutikimas tokiam duomenų tvarkymui arba egzistuoti kitas Taisyklių 7.2. – 7.5. punktuose įtvirtintas asmens duomenų tvarkymo teisinis pagrindas.
- Sutikimas gali būti asmens duomenų tvarkymo pagrindas, tik jeigu sutikimas atitinka visus šiuos reikalavimus:
- Sutikimas duotas laisva duomenų subjekto valia. Vertinant, ar sutikimas duotas laisva valia atsižvelgiama į šias aplinkybes:
- ar, be kita ko, sutarties vykdymui yra nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti. Tokiu atveju negali būti laikoma, kad sutikimas duotas laisva valia;
- ar duomenų subjektas yra verčiamas duoti sutikimą, neturi realaus pasirinkimo dėl sutikimo davimo, patiria spaudimą, neturi realios sutikimo davimo bei asmens duomenų kontrolės, ar gali susilaukti neigiamų pasekmių (tiesioginių ir netiesioginių), jeigu sutikimas nebus duotas. Tokiais atvejais negali būti laikoma, kad sutikimas duotas laisva valia;
- jeigu sutikimas yra neatsiejamai susietas su sąlygomis, dėl kurių duomenų subjektas neturi galimybės derėtis ar pakeisti, preziumuojama, kad toks sutikimas nėra duotas laisva valia. Tokiu atveju Centras imasi papildomų priemonių šiai prezumpcijai paneigti ir užtikrinti, kad sutikimas būtų duodamas laisva valia;
- jeigu yra aiškus Centro ir duomenų subjekto padėties disbalansas, pavyzdžiui, darbo teisiniai santykiai, ir dėl to tikėtina, kad sutikimas, atsižvelgiant į visas to konkretaus atvejo aplinkybes, gali nebūti duotas laisva valia. Tokiu atveju Centras imasi papildomų priemonių užtikrinti, kad sutikimas būtų duodamas laisva valia;
- jeigu sutikimas yra siejamas su keliais duomenų tvarkymo tikslais ar keliomis duomenų tvarkymo operacijomis (veiksmais), duomenų subjektams turi būti sudaryta galimybė sutikti ne su visais tikslais ar operacijomis (veiksmais), tačiau tik su atskirais tikslais ar operacijomis (veiksmais), jeigu jie nėra tarpusavyje betarpiškai susiję. Priešingu atveju, negali būti laikoma, kad sutikimas duotas laisva valia.
- Sutikimas yra konkretus ir išsamus. Laikoma, kad sutikimas yra konkretus ir išsamus, jeigu jis atitinka šiuos reikalavimus:
- aiškiai ir išsamiai nurodytas konkretus ir teisėtas asmens duomenų tvarkymo tikslas;
- nurodyti konkretūs asmens duomenys, kurie bus tvarkomi konkrečiais duomenų tvarkymo tikslais;
- nurodytos duomenų tvarkymo operacijos (veiksmai), kurios bus atliekamos sutikimo pagrindu;
- duomenų subjektui sudaroma galimybė sutikti tik su atskirais duomenų tvarkymo tikslais, jeigu sutikimas renkamas keliems duomenų tvarkymo tikslams, taip pat tik su konkrečiomis duomenų tvarkymo operacijomis (veiksmais).
- Sutikimą duomenų subjektas davė tinkamai informuotas. Tam, kad šis reikalavimas būtų įvykdytas, prieš duomenų subjektui pasirašant sutikimą, jam turi būti pateikta Taisyklių 28 punkte nurodyta informacija, bei informuojama apie duomenų subjekto teisę bet kuriuo metu atšaukti savo sutikimą. Informacija gali būti pateikta raštu, žodžiu, audiovizualinėmis žinutėmis, tačiau visais atvejais tokiu būdu, kad Centras turėtų galimybę įrodyti, kad informacija duomenų subjektui buvo pateikta ir kad ji atitinka Taisyklių 28 punkte įtvirtintą turinį.
- Sutikimas yra nedviprasmiškas duomenų subjekto valios išreiškimas, kad su juo susiję duomenys būtų tvarkomi. Sutikimas turi būti duodamas aktyviais veiksmais.
- Sutikimas turi būti suformuotas paprasta, aiškia, duomenų subjektui suprantama kalba.
- Sutikimas duotas laisva duomenų subjekto valia. Vertinant, ar sutikimas duotas laisva valia atsižvelgiama į šias aplinkybes:
- Visais atvejais sutikimas turi būti gaunamas prieš atliekant duomenų tvarkymo operacijas (veiksmus), kuriems sutikimas yra renkamas.
- Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Duomenų subjektui atšaukus sutikimą, draudžiama tvarkyti asmens duomenis tais tikslais ir atlikti duomenų tvarkymo operacijas (veiksmus), kurios buvo atliekamos tokio sutikimo pagrindu, išskyrus tokiam duomenų tvarkymui egzistuoja kitas Taisyklių 7.2. – 7.5. punktuose įtvirtintas asmens duomenų tvarkymo teisinis pagrindas. Atšaukti sutikimą turi būti taip pat lengva kaip jį duoti. Sutikimui atšaukti yra sudaromos analogiškos sąlygos kaip ir sutikimo davimui, draudžiama apsunkinti ar sudaryti papildomas sąlygas sutikimo atšaukimui. Sutikimo atšaukimas negali sukelti duomenų subjektui neigiamų padarinių. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie šiame punkte išdėstytas nuostatas privalo būti informuojamas prieš jam duodant sutikimą.
- Centras imasi priemonių, kad sutikimai, kiek tai yra įmanoma atsižvelgiant į duomenų tvarkymo tikslus ir apimtį, galiotų apibrėžtą terminą.
- Sutikimas galioja iki jo atšaukimo momento arba iki sutikime nurodytos jo galiojimo termino pabaigos.
- Sutikimas ir jame nurodyti asmens duomenys yra saugomas trejus metus nuo sutikimo atšaukimo, arba jo galiojimo termino pabaigos, arba nuo Centro sprendimo nebetvarkyti asmens duomenų sutikime nustatytais tikslais priėmimo dienos. Jei sutikimo duomenys naudojami kaip įrodymai ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje, ar kitais įstatymų nustatytais atvejais, asmens duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
DUOMENŲ SUBJEKTŲ INFORMAVIMAS
- Centras privalo informuoti duomenų subjektą apie jo asmens duomenų tvarkymo veiklą.
- Kai asmens duomenys gaunami iš paties duomenų subjekto, asmens duomenų gavimo metu duomenų subjektui pateikiama ši informacija pagal nustatytą formą (šių Taisyklių Priedas Nr. 2):
- Centro kontaktiniai duomenys;
- duomenų apsaugos pareigūno kontaktiniai duomenys;
- duomenų tvarkymo tikslai, kuriais ketinama tvarkyti asmens duomenis;
- duomenų tvarkymo teisinis pagrindas;
- asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;
- jeigu duomenys tvarkomi siekiant teisėtų Centro arba trečiosios šalies interesų, teisėtus Centro arba trečiosios šalies interesus;
- tai, ar asmens duomenų pateikimas yra teisės aktais arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina įvykdyti norint sudaryti sutartį, taip pat tai, ar duomenų subjektas privalo pateikti asmens duomenis, ir informaciją apie galimas tokių duomenų nepateikimo pasekmes;
- jei yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas;
- teisę prašyti, kad Centras leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į duomenų perkeliamumą;
- kai duomenų tvarkymas grindžiamas duomenų subjektų sutikimu, teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;
- duomenų subjektų prašymams dėl teisių įgyvendinimo keliamus reikalavimus, įtvirtintus šiose Taisyklėse;
- kai taikoma, apie Centro ketinimą asmens duomenis perduoti į trečiąją valstybę arba tarptautinei organizacijai ir Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą, arba kitu Taisyklėse nurodytu perdavimų atveju – tinkamas arba pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti;
- teisę pateikti skundą Inspekcijai.
- Kai asmens duomenys gaunami iš paties duomenų subjekto, Taisyklėse nurodyta informacija duomenų subjektui pateikiama prieš gaunant asmens duomenis arba asmens duomenų gavimo metu.
- Kai asmens duomenys gaunami ne iš paties duomenų subjekto, Centras privalo duomenų subjektui pateikti šią informaciją pagal nustatytą formą (šių Taisyklių Priedas Nr. 3):
- Centro kontaktiniai duomenys;
- duomenų apsaugos pareigūno kontaktiniai duomenys;
- duomenų tvarkymo tikslai, kuriais ketinama tvarkyti asmens duomenis;
- duomenų tvarkymo teisinis pagrindas;
- atitinkamų asmens duomenų kategorijas;
- asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;
- jeigu duomenys tvarkomi siekiant teisėtų Centro arba trečiosios šalies interesų, t. y. šių Taisyklių 7.4. punkto pagrindu, teisėtus Centro arba trečiosios šalies interesus;
- teisę prašyti, kad Centras leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į duomenų perkeliamumą;
- duomenų subjektų prašymams dėl teisių įgyvendinimo keliamus reikalavimus, įtvirtintus šiose Taisyklėse;
- koks yra asmens duomenų kilmės šaltinis, ir, jei taikoma, ar duomenys gauti iš viešai prieinamų šaltinių;
- jei yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijos;
- kai taikoma, apie Centro ketinimą asmens duomenis perduoti į trečiąją valstybę arba tarptautinei organizacijai ir Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą, arba kitu Taisyklėse nurodytu perdavimų atveju – tinkamas arba pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti;
- teisę pateikti skundą Inspekcijai.
- Kai asmens duomenys gaunami ne iš paties duomenų subjekto, šiose Taisyklėse nurodyta informacija duomenų subjektui pateikiama:
- ne vėliau kaip per vieną mėnesį nuo asmens duomenų gavimo;
- jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba
- jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.
- Taisyklių 27-31 punktai netaikomi, jeigu ir tiek, kiek:
- duomenų subjektai jau turi informaciją;
- tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų, arba jeigu dėl informavimo pareigos gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus. Tokiais atvejais Centras imasi tinkamų priemonių duomenų subjekto teisėms ir laisvėms ir teisėtiems interesams apsaugoti, įskaitant viešą informacijos paskelbimą;
- duomenų gavimas ar atskleidimas aiškiai nustatytas teisės aktuose, kurie taikomi Centrui; arba
- kai asmens duomenys privalo išlikti konfidencialūs laikantis teisės aktų reikalavimų.
- Jei Centras ketina toliau tvarkyti asmens duomenis kitu tikslu, nei tas, kurio asmens duomenys buvo renkami, prieš taip toliau tvarkydamas duomenis duomenų valdytojas pateikia duomenų subjektui informaciją apie tą kitą tikslą ir visą kitą atitinkamą papildomą informaciją, kaip nurodyta Taisyklėse, priklausomai nuo asmens duomenų šaltinio.
- Už duomenų subjektų informavimą atsakingas Centro darbuotojas, kuris renka ir tvarko konkretaus duomenų subjekto duomenis. Dėl informavimo pareigos tinkamo vykdymo konsultuojamasi su duomenų apsaugos pareigūnu.
III. SKYRIUS
DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI
- Centre yra tvarkomi duomenų tvarkymo veiklos įrašai. Centro vykdoma duomenų tvarkymo veikla privalo tiksliai atitikti duomenų tvarkymo veiklos įrašus.
- Centre yra tvarkomi tik tie asmens duomenys, kurie nurodyti duomenų tvarkymo veiklos įrašuose, ir tik tuo tikslu bei tuo teisiniu pagrindu, kurie nurodyti duomenų tvarkymo veiklos įrašuose.
- Duomenų tvarkymo įrašai tvarkomi raštu, įskaitant elektroninę formą.
- Duomenų tvarkymo veiklos įrašų kopija pateikiama duomenų apsaugos pareigūnui.
- Darbuotojai nedelsiant informuoja Centro vadovą, jeigu Centro duomenų tvarkymo veiklos įrašai neatitinka Centro realaus poreikio dėl asmens duomenų tvarkymo.
- Duomenų tvarkymo veiklos įrašai gali būti pildomi ar/ir keičiami įtraukiant naujus duomenų tvarkymo tikslus, duomenų subjektų kategorijas, tvarkomus asmens duomenis, duomenų tvarkymo teisinį pagrindą, duomenų saugojimo (ištrynimo) terminus ir kitą informaciją, tik jeigu toks pildymas ir keitimas atitinka šių Taisyklių nuostatas, ypač įvertinus atitiktį Taisyklių 6 – 10 punktų nuostatoms, ir, kai dėl tokio duomenų tvarkymo veiklos įrašų pildymo ar/ir keitimo pasikonsultavus su duomenų apsaugos pareigūnu, iš jo gaunama išvada, kad toks duomenų tvarkymo veiklos įrašų pildymas ir/ar keitimas atitinka šių Taisyklių, Reglamento, ADTAĮ bei kitų teisės aktų nuostatas, arba iš duomenų apsaugos pareigūno gaunamos rekomendacijos, kad duomenų tvarkymo veiklos įrašai atitiktų minėtus teisės aktus, ir tokios rekomendacijos yra įgyvendinamos.
- Duomenų tvarkymo veiklos įrašai turi būti teisingi, aktualūs ir išsamūs, atspindėti realią Centro duomenų tvarkymo veiklą.
- Duomenų tvarkymo veiklos įrašas, gavus prašymą, pateikiamas Inspekcijai jos prašyme nurodytais terminais.
IV. SKYRIUS
DUOMENŲ APSAUGOS PAREIGŪNAS
- Duomenų apsaugos pareigūną skiria Centro vadovas.
- Duomenų apsaugos pareigūnu gali būti paskirtas Centro darbuotojas, sudaryta darbuotojų, atliekančių duomenų apsaugos pareigūno funkcijas, darbo grupė, taip pat duomenų apsaugos pareigūno užduotis gali atlikti išorės paslaugos tiekėjas, su kuriuo sudaryta paslaugų teikimo sutartis, ar jų grupė, arba išorės paslaugos tiekėjų bei darbuotojų grupė. Skiriant duomenų apsaugos pareigūnu ne Centro darbuotoją ar jų grupę užtikrinama, kad jis pagal paslaugų teikimo sutartį atliktus visas funkcijas ir užduotis, kurias šios Taisyklės ir Reglamentas priskiria duomenų apsaugos pareigūno kompetencijai, bei atitiktų šiose Taisyklėse keliamus kvalifikacinius ir profesinius reikalavimus.
- Duomenų apsaugos pareigūnas turi atitikti šiuos kvalifikacinius ir profesinius reikalavimus:
- nacionalinės ir Europos Sąjungos asmens duomenų apsaugos ir susijusių teisės aktų ir praktikos ekspertinės žinios, gebėjimas jas pritaikyti praktikoje, išsamus ir visapusiškas Reglamento bei ADTAĮ išmanymas;
- Centro atliekamų duomenų tvarkymo operacijų (veiksmų) išsamus supratimas;
- duomenų saugumo išmanymas;
- žinios apie sritį, kurioje vykdoma Centro veikla;
- gebėjimas Centre skatinti pagarbą asmens duomenims ir asmens duomenų apsaugos kultūrą.
- Jeigu duomenų apsaugos pareigūno funkcijas ir užduotis atlieka asmenų grupė, kiekvienas iš šią grupę sudarančių asmenų turi atitikti šiose Taisyklėse išdėstytus reikalavimus.
- Duomenų apsaugos pareigūno statusas:
- duomenų apsaugos pareigūnas savo pareigas ir užduotis atlieka savarankiškai ir nepriklausomai. Duomenų apsaugos pareigūnas neturi gauti privalomų nurodymų, kaip spręsti jo kompetencijai priskirtą klausimą. Duomenų apsaugos pareigūnui neturi būti nurodoma laikytis tam tikro požiūrio į su duomenų apsaugos teise susijusį klausimą;
- duomenų apsaugos pareigūnas turi būti tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsaugą ir duomenų tvarkymo operacijomis (veiksmais) susijusių klausimų nagrinėjimą Centre;
- duomenų apsaugos pareigūnas teikia nuomonę ir konsultuoja priimant bet kokius ir visus Centro sprendimus, kurie yra susiję su asmens duomenų tvarkymo veikla Centre. Priimant sprendimus, kurie yra susiję su asmens duomenų tvarkymo veikla Centre, privaloma deramai atsižvelgti į asmens duomenų pareigūno nuomonę. Jeigu kyla nesutarimų, dokumentais įforminama priežastis ir argumentai, kodėl nebuvo vadovaujamasi duomenų apsaugos pareigūno konsultacija;
- duomenų apsaugos pareigūnas yra kviečiamas dalyvauti visuose posėdžiuose, pasitarimuose, susirinkimuose, kuriuose yra priimami ar svarstomi sprendimai, turintys įtaką asmens duomenų apsaugai Centre;
- duomenų apsaugos pareigūnas gali eiti ir kitas pareigas bei vykdyti kitas užduotis Centre tik jeigu tokios pareigos ar užduotys nėra susijusios su asmens duomenų tvarkymo tikslų ir priemonių nustatymo procesu Centre;
- turi būti užtikrinama duomenų apsaugos pareigūno funkcijų ir užduočių vykdymo nepertraukiamumas, t. y. duomenų apsaugos pareigūnui negalint eiti funkcijų ir atlikti užduočių, privalo būti paskirtas jį pavaduojantis asmuo.
- Duomenų apsaugos pareigūno pareigos:
- funkcijas ir užduotis atlikti maksimaliai rūpestingai bei kvalifikuotai. Vykdant funkcijas ir užduotis teikiamos konsultacijos, rekomendacijos, išvados, nuomonės bei pozicijos privalo būti argumentuotos, pagrįstos Reglamentu, Taisyklėmis bei kitais teisės aktais, teismų praktika ir metodine medžiaga;
- duomenų apsaugos pareigūnas privalo užtikrinti bet kokios informacijos, gautos ar sužinotos vykdant duomenų apsaugos pareigūno funkcijas ir uždavinius, slaptumą ir konfidencialumą;
- duomenų apsaugos pareigūnas privalo nuolat sekti naujausias tendencijas duomenų apsaugos srityje, naujausią praktiką, teisinį reglamentavimą ir kitą metodinę medžiagą. Duomenų apsaugos pareigūnas privalo nuolat kelti ekspertinių žinių lygį dalyvauti mokymuose, seminaruose;
- jeigu Centras priima sprendimus, kurie yra nesuderinami su duomenų apsaugos pareigūno konsultacija, duomenų apsaugos pareigūnas privalo aiškiai raštu motyvuotai išdėstyti savo poziciją dėl priimto sprendimo vertinimo asmens duomenų apsaugos atžvilgiu;
- duomenų apsaugos pareigūnas privalo vengti interesų konfliktų situacijos, įskaitant, kai jam einant kitas pareigas ar atliekant kitas funkcijas ir užduotis Centre, jos yra susijusios su asmens duomenų tvarkymo tikslų ir priemonių nustatymo procesu, kurį jis vėliau vertins duomenų apsaugos kontekste;
- duomenų apsaugos pareigūnas privalo užtikrinti, kad su juo būtų lengva susisiekti jo kontaktais (el. paštu bei telefonu) Inspekcijai, duomenų subjektams, Centro darbuotojams, operatyviai reaguoti į Centro, Inspekcijos ir duomenų subjektų paklausimus.
- Duomenų apsaugos pareigūno funkcijos ir užduotys:
- nuolat aktyviai vykdo stebėjimą, ar Centro vykdoma duomenų tvarkymo veikla atitinka Reglamento, Taisyklių ir kitų teisės aktų, susijusių su asmens duomenų apsauga, reikalavimus, teikia Centro vadovui pastebėjimus, rekomendacijas, siūlymus dėl duomenų tvarkymo veiklos atitikties Reglamentui, Taisyklėms ir kitiems teisės aktams susijusiems su asmens duomenų apsauga;
- konsultuoja Centro vadovą ir kitus Centro darbuotojus dėl Reglamente nustatytų prievolių įgyvendinimo, vykdomos duomenų tvarkymo veiklos atitikties asmens duomenų tvarkymą reglamentuojantiems teisės aktams;
- anksčiausiojo įmanomoje stadijoje yra įtraukiamas ir dalyvauja visuose Centro procesuose, sprendimų priėmime, vidaus teisės aktų rengime, jeigu tai yra susiję su asmens duomenimis ir jų apsauga, asmens duomenų tvarkymo operacijomis (veiksmais), teikia konsultacijas ir rekomendacijas dėl minėtų procesų atitikties Reglamento reikalavimams;
- duomenų apsaugos pareigūnas kontaktuoja su duomenų subjektais visais klausimais, susijusiais su jų asmens duomenų tvarkymu ir naudojimusi savo teisėmis pagal Reglamentą bei Taisykles. Duomenų apsaugos pareigūnas, gavęs duomenų subjekto prašymą dėl teisių įgyvendinimo, skundą ar pretenziją įvertina jo pagrįstumą, parengia ir pateikia duomenų subjektui motyvuotą atsakymą;
- konsultuoja Centrą dėl duomenų tvarkymo veiklos įrašų turinio atitikties Reglamento ir šių Taisyklių reikalavimams, taip pat pildymo ir/ar keitimo, kaupia Centro duomenų tvarkymo veiklos įrašus;
- konsultuoja Centrą atliekant poveikio duomenų apsaugai vertinimą, stebi jo atlikimą, teikia savo nuomonę;
- konsultuoja Centrą dėl asmens duomenų saugumo pažeidimo valdymo procedūros;
- pateikia pranešimus Inspekcijai ir duomenų subjektams dėl duomenų saugumo pažeidimų;
- bendradarbiauja su Inspekcija ir atlieka kontaktinio asmens funkcijas Inspekcijai kreipiantis su duomenų tvarkymu susijusiais klausimais, ir prireikus, ypač priežiūros institucijai atliekant tyrimus, pateikus paklausimus, konsultuoja Centro vadovą ar atsakingus darbuotojus visais klausimais, teikia atsakymus į Inspekcijos paklausimus;
- dalyvauja Centre vykdant darbuotojui suteikto kompiuterio, elektroninio pašto ir kitų Centro įrenginių, prietaisų, įtaisų, informacijos ir ryšių technologijų, programinės įrangos tikrinime, teikia konsultacijas, kad tikrinimas nepažeistų Reglamento, Taisyklių nuostatų bei duomenų subjektų teisių į privatumą.
- atlieka kitas funkcijas ir užduotis, įtvirtintas šiose Taisyklėse ir Reglamente.
- Duomenų apsaugos pareigūno kontaktiniai duomenys pranešami Inspekcijai, taip pat nurodomi Centro internetinėje svetainėje, sutikime dėl duomenų tvarkymo formoje, informavimo apie duomenų tvarkymą formoje ir kitose vietose, siekiant sudaryti galimybę suinteresuotiems asmenims be kliūčių susisiekti su duomenų apsaugos pareigūnu.
- Centras suteikia duomenų apsaugos pareigūnui jo užduotims atlikti būtinas priemones, taip pat suteikia galimybę netrukdomai susipažinti su Centro tvarkomais asmens duomenimis ir asmens duomenų tvarkymo operacijomis, su duomenų apsaugos pareigūno funkcijų ir užduočių vykdymui reikalingais dokumentais ir informacija. Centras suteikia galimybę duomenų apsaugos pareigūnui išlaikyti ir tobulinti savo ekspertines žinias. Duomenų apsaugos pareigūnui yra suteikiama būtina infrastuktūra (patalpos, priemonės, įranga, kompiuteris), o prireikus duomenų apsaugos pareigūnas savo funkcijų ir užduočių vykdymui gali pasitelkti kitus Centro darbuotojus ir išorės konsultantus.
- Visi Centro darbuotojai privalo bendradarbiauti su duomenų apsaugos pareigūnu, skubiai teikti visus jo paprašytus dokumentus ir informaciją.
- Duomenų apsaugos pareigūnas už savo funkcijų ir užduočių nevykdymą ar netinkamą vykdymą atsako teisės aktų nustatyta tvarką. Duomenų apsaugos pareigūnui negali būti taikoma atsakomybė už jam nustatytų užduočių atlikimą.
V. SKYRIUS
DUOMENŲ SUBJEKTŲ TEISĖS IR JŲ ĮGYVENDINIMO TVARKA
- Duomenų subjektai turi šias teises:
- Teisę susipažinti su duomenimis ir tuo, kaip jie yra tvarkomi;
- Teisę reikalauti ištaisyti duomenis;
- Teisę reikalauti ištrinti duomenis;
- Teisę apriboti duomenų tvarkymą;
- Teisę į duomenų perkeliamumą;
- Teisę nesutikti su duomenų tvarkymu;
- Teisę nebūti automatizuotai vertinamam ir profiliuojamam.
- Centras imasi visų būtinų priemonių, kad visos duomenų subjektų teisės būtų tinkamai įgyvendintos šiose Taisyklėse ir Reglamente įtvirtinta tvarka.
KONKREČIŲ DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO YPATUMAI
- Teisė susipažinti su duomenimis:
- Duomenų subjektas turi teisę iš Centro gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, ir, jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir toliau nurodyta informacija:
- duomenų tvarkymo tikslai;
- tvarkomų asmens duomenų kategorijos;
- duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus trečiosiose valstybėse arba tarptautinėse organizacijose;
- duomenų saugojimo laikotarpis. Jeigu tikslaus duomenų saugojimo laikotarpio nurodyti nėra įmanoma, nurodomi kriterijai, taikomi tam laikotarpiui nustatyti;
- teisė prašyti Centro ištaisyti arba ištrinti asmens duomenis ar apriboti su duomenų subjektu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu;
- teisė pateikti skundą Inspekcijai;
- informacija apie duomenų šaltinius, kai asmens duomenys gaunami ir renkami ne iš duomenų subjekto.
- Jeigu asmens duomenys perduodami į trečiąją valstybę arba tarptautinei organizacijai, duomenų subjektas turi teisę gauti informaciją apie taikomas su duomenų perdavimu susijusias apsaugos priemones.
- Kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis ir išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip, informacija pateikiama įprastai naudojama elektronine forma.
- Centras, esant duomenų subjekto prašymui, pateikia tvarkomų to duomenų subjekto asmens duomenų kopiją, tačiau Centras neprivalo pateikti tvarkomų asmens duomenų kopijų, jeigu tai darytų neigiamą poveikį kitų fizinių ar juridinių asmenų teisėms, visų pirma, jeigu būtų atskleista konfidenciali informacija.
- Duomenų subjektas turi teisę iš Centro gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, ir, jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir toliau nurodyta informacija:
- Teisė reikalauti ištaisyti duomenis. Duomenų subjektas turi teisę reikalauti, kad Centras ištaisytų netikslius su juo susijusius asmens duomenis. Atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys.
- Teisė reikalauti ištrinti duomenis:
- Duomenų subjektas turi teisę reikalauti, kad Centras nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis. Centrui kyla pareiga ištrinti asmens duomenis, jei egzistuoja bent viena iš šių sąlygų:
- asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;
- duomenų subjektas atšaukia sutikimą, jeigu duomenys buvo tvarkomi duomenų subjekto sutikimo pagrindu, ir nėra jokio kito teisinio pagrindo tvarkyti šiuos duomenis;
- duomenų subjektas nesutinka su duomenų tvarkymu ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis;
- asmens duomenys buvo tvarkomai neteisėtai, t. y. nesilaikant šių Taisyklių nuostatų bei Reglamento reikalavimų;
- asmens duomenys turi būti ištrinti laikantis teisės aktų nustatytų teisinių prievolių.
- Centras, nepaisant to, ar egzistuoja Taisyklėse įtvirtintos sąlygos, neprivalo ištrinti asmens duomenų, jeigu jie yra būtini:
- siekiant pasinaudoti teise į saviraiškos ir informacijos laisvę;
- siekiant laikytis teisės aktų nustatytos teisinės prievolės, kuria reikalaujama tvarkyti duomenis;
- dėl viešojo intereso priežasčių visuomenės sveikatos srityje;
- siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.
- Duomenų subjektas turi teisę reikalauti, kad Centras nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis. Centrui kyla pareiga ištrinti asmens duomenis, jei egzistuoja bent viena iš šių sąlygų:
- Teisė apriboti duomenų tvarkymą:
- Duomenų subjektas turi teisę reikalauti, kad Centras apribotų duomenų tvarkymą. Centras privalo apriboti duomenų tvarkymo veiksmus, jeigu egzistuoja bent viena iš šių sąlygų:
- asmens duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį duomenų valdytojas gali patikrinti asmens duomenų tikslumą;
- asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad duomenys būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;
- Centrui nebereikia asmens duomenų tvarkymo tikslais, tačiau jų reikia duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;
- duomenų subjektas paprieštaravo duomenų tvarkymui, kol bus patikrinta, ar Centro teisėtos priežastys yra viršesnės už duomenų subjekto priežastis.
- Duomenų tvarkymo apribojimas reiškia, kad Centras su duomenų subjekto asmens duomenimis nebegali atlikti jokių duomenų tvarkymo operacijų (veiksmų), išskyrus duomenų saugojimą. Jeigu duomenų subjektas apriboja tik tam tikras duomenų tvarkymo operacijas (veiksmus), duomenų tvarkymo apribojimas galioja tik duomenų subjekto nurodytoms duomenų tvarkymo operacijoms (veiksmams).
- Kai duomenų tvarkymas yra apribojamas, tokius asmens duomenis galima tvarkyti, išskyrus duomenų saugojimą, tik jeigu egzistuoja bent viena iš šių sąlygų:
- gautas duomenų subjekto sutikimas;
- siekiama pareikšti, vykdyti arba apginti teisinius reikalavimus;
- siekiama apsaugoti kito fizinio ar juridinio asmens teises;
- dėl svarbaus viešojo intereso priežasčių.
- Centras privalo informuoti duomenų subjektą, jeigu po to, kai duomenų tvarkymas buvo apribotas, toks apribojimas yra panaikinamas.
- Duomenų subjektas turi teisę reikalauti, kad Centras apribotų duomenų tvarkymą. Centras privalo apriboti duomenų tvarkymo veiksmus, jeigu egzistuoja bent viena iš šių sąlygų:
- Teisė į duomenų perkeliamumą:
- Duomenų subjektas turi teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė Centrui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui. Centras privalo įgyvendinti duomenų subjekto teisę į duomenų perkeliamumą, jeigu egzistuoja visos šios sąlygos:
- duomenys yra tvarkomi sutikimo arba sutarties, kurios šalis yra duomenų subjektas, pagrindu. Duomenys, tvarkomi kitais teisiniais pagrindais, nėra perkeliami;
- prašomų pateikti duomenų turinys – duomenys, susiję su duomenų subjektu. Bet kurie anoniminiai arba su duomenų subjektu nesusiję duomenys nėra šios teisės objektu;
- prašomų pateikti duomenų šaltinis – duomenų subjektas. Perkeliami gali būti tik tie asmens duomenys, kurie yra pateikti paties duomenų subjekto. Pateiktais duomenų subjekto laikomi duomenys, kurie duomenų subjekto aktyviai ir sąmoningai pateikti Centrui, arba duomenų subjekto duomenys, nustatyti stebėjimo būdu pagal naudojimąsi paslauga ar įrenginiu. Šios duomenų kategorijos neapima duomenys, kuriuos surenka Centras, todėl šių duomenų atžvilgiu teisė į duomenų perkeliamumą nėra taikoma;
- duomenys tvarkomi automatizuotomis priemonėmis, duomenys Centrui yra pateikti susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu. Teisė neapima duomenų, kurie yra tvarkomi popieriniu būdu;
- įgyvendinus teisę į duomenų perkeliamumą nebus padarytas neigiamas poveikis kitų asmenų teisės ir laisvėms. Laikoma, kad teisė į duomenų perkeliamumą darys neigiamą poveikį Centrui, jeigu įgyvendinus teisę į duomenų perkeliamumą nebus apsaugota Centro konfidenciali informaciją, užtikrintas Centro turto saugumas.
- Centras, gavęs duomenų subjekto prašymą dėl duomenų perkeliamumo, įvertina visas išdėstytas sąlygas, ir duomenų subjektų prašymą tenkina, tik jeigu prašomi perkelti duomenys atitinka visas šias sąlygas. Jeigu tik dalis duomenų subjekto prašyme nurodytų duomenų atitinka išdėstytas sąlygas, prašymas yra įgyvendinamas tik tų duomenų, kurie atitinka visas išdėstytas sąlygas, atžvilgiu.
- Teisė į duomenų perkeliamumą gali būti įgyvendinta dviem būdais, priklausomai nuo duomenų subjekto pasirikimo:
- duomenys pateikiami duomenų subjektui;
- duomenų subjekto nurodymu, duomenys pateikiami kitam duomenų valdytojui.
- Centras privalo persiųsti perkeliamus duomenis tiesiogiai kitiems duomenų valdytojams ar duomenų subjektui, kai tai yra techniškai įmanoma. Centrui nekyla prievolė turėti ar išlaikyti duomenų tvarkymo sistemas, kurios yra techniškai suderinamos su kitų duomenų valdytojų ar duomenų subjekto sistemomis, tik duomenų perkėlimo teisės įgyvendinimo tikslu. Tiesioginis duomenų persiuntimas iš vieno duomenų valdytojo kitam arba duomenų subjektui gali vykti tik saugiai, t. y. kai įmanomas dviejų sistemų ryšys ir kai gaunanti sistema turi technines galimybes priimti gaunamus duomenis.
- Duomenų perkeliamumas pats savaime nesukelia pareigos ištrinti duomenis iš Centro sistemų, jeigu nėra pasibaigęs duomenų saugojimo terminas pagal šias Taisykles. Duomenų perkeliamumo teisės įgyvendinimas neturi poveikio perkeltų duomenų saugojimo laikotarpiui.
- Duomenų subjektas turi teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė Centrui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui. Centras privalo įgyvendinti duomenų subjekto teisę į duomenų perkeliamumą, jeigu egzistuoja visos šios sąlygos:
- Teisė nesutikti su duomenų tvarkymu. Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas teisėtų Centro ar trečiosios šalies interesų pagrindu. Centras nebetvarko asmens duomenų, išskyrus atvejus, kai Centras gali įrodyti, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.
DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO TVARKA
- Centre gavus duomenų subjekto rašytinį prašymą dėl jo teisių įgyvendinimo, su šiuo prašymu nedelsiant, bet ne vėliau kaip kitą darbo dieną, yra supažindinamas duomenų apsaugos pareigūnui. Duomenų apsaugos pareigūnas turi teisę gauti visą Centro informaciją ir dokumentus, reikalingus duomenų subjektų teisių įgyvendinimui bei pateikia rekomendacijas ir teikia konsultacijas atsakymo teikimui duomenų subjektui. Siekiant įgyvendinti duomenų subjektų teises bei pateikti atsakymus į prašymus, duomenų apsaugos pareigūnas gali pasitelkti Centro darbuotojus.
- Duomenų subjektų prašymai yra įgyvendinami, jeigu jie atitinka visus šiuos reikalavimus:
-
- yra įmanoma identifikuoti duomenų subjekto tapatybę;
- prašymas pateiktas raštu, įskaitant elektroninę formą;
- egzistuoja visos Reglamente ir Taisyklėse įtvirtintos konkrečios duomenų subjekto teisės įgyvendinimo sąlygos;
- neegzistuoja jokia sąlyga, įtvirtinta Reglamente ar Taisyklėse, kuri suteikia teisę konkrečios duomenų subjekto teisės neįgyvendinti.
-
- Jeigu Taisyklėse išdėstytas sąlygas atitinka tik dalis duomenų subjekto prašymo, įgyvendinama tik ta prašymo dalis.
- Duomenų subjekto prašymas gali būti įgyvendinamas tik tada, kai galima tiksliai nustatyti duomenų subjekto tapatybę. Duomenų subjekto tapatybė nustatoma pagal tapatybę patvirtinantį dokumentą ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį. Jei prašymą duomenų subjektas siunčia paštu ar per pasiuntinį, prie prašymo turi būti pridėta teisės aktų nustatyta tvarka patvirtinta duomenų subjekto asmens tapatybę patvirtinančio dokumento kopija. Kai dėl informacijos apie asmenį kreipiasi jo atstovas, jis turi pateikti atstovavimą patvirtinantį dokumentą ir duomenų subjekto bei atstovo tapatybę patvirtinantį dokumentą, jeigu nėra kitų protingų būtų nustatyti atstovo ir duomenų subjekto tapatybių.
- Jeigu gavus duomenų subjekto prašymą kyla pagrįstų abejonių dėl duomenų subjektų tapatybės arba jos nustatyti neįmanoma, turi būti imamasi papildomų priemonių tapatybei nustatyti.
- Jeigu duomenų subjekto prašymas atitinka Taisyklėse išdėstytas sąlygas, ne vėliau kaip per vieną mėnesį nuo prašymo gavimo dienos duomenų subjektas yra informuojamas apie jo teisių įgyvendinimo veiksmus, kurių ėmėsi Centras, gavęs prašymą. Šis terminas gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymo sudėtingumą ir prašymų skaičių. Duomenų subjektas turi būti informuojamas apie tokį termino pratęsimą per vieną mėnesį nuo prašymo gavimo dienos, kartu nurodant vėlavimo priežastis. Terminas turi būti pratęsiamas jam dar nepasibaigus.
- Jeigu duomenų subjekto prašymas neatitinka Taisyklėse įtvirtintų sąlygų ar po papildomų veiksmų duomenų negalima nustatyti duomenų subjekto tapatybės ar prašymas pateiktas ne raštu, ne vėliau kaip per vieną mėnesį nuo prašymo gavimo dienos duomenų subjektas yra informuojamas apie prašymo netenkinimo priežastis ir apie galimybę pateikti skundą Inspekcijai bei pasinaudoti teisių gynimo priemonėmis.
- Centras atsakymus duomenų subjektams pateikia bei jų teisių įgyvendinimo veiksmus atlieka neatlygintinai. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, Centras gali atsisakyti imtis veiksmų pagal prašymą.
- Duomenų subjektų skundai bei pretenzijos sprendžiami analogiškai tvarka nustatyta šiame skyriuje.
- Įgyvendinant duomenų subjekto teises neturi būti pažeistos trečiųjų asmenų teisės į privatų gyvenimą ir asmens duomenų apsaugą. Jeigu įgyvendinant duomenų subjekto teises asmens duomenys yra susiję su trečiojo asmens duomenimis, Centras privalo imtis priemonių, kad nebūtų atskleisti trečiojo asmens duomenys (pvz., pateikti dokumentų išrašus, retušuoti ar kitais būdais panaikinti galimybę identifikuoti trečiuosius asmenis).
VI. SKYRIUS
DARBUOTOJŲ ASMENS DUOMENŲ TVARKYMO YPATUMAI
- Darbuotojų asmens duomenys yra tvarkomi tik šiais pagrindais: darbo sutarties ar kitos su darbuotoju sudarytos sutarties sudarymas ir vykdymas, teisės aktuose nustatytų teisinių prievolių vykdymas, Centro ar trečiųjų asmenų teisėtas interesas (pvz., Centro nuosavybės apsauga, darbuotojų produktyvumo gerinimas, konfidencialios informacijos apsauga, asmens duomenų, už kuriuos atsakingas darbdavys, apsauga, Centro gyventojų turto ir interesų apsauga, darbuotojų bei Centro gyventojų teisių ir saugumo užtikrinimas, ir kt.). Sutikimo pagrindu darbuotojų asmens duomenys tvarkomi tik išimtiniais atvejais, užtikrinant, kad dėl sutikimo nedavimo darbuotojas nepatirtų jokių neigiamų padarinių.
- Centre gali būti tvarkomi tik tie darbuotojų asmens duomenys, kurie yra būtini darbo sutarties ar kitos su darbuotoju sudarytos sutarties sudarymui ir vykdymui, teisės aktuose nustatytų Centro teisinių prievolių vykdymas, konkretaus darbdavio teisėto intereso apsaugai. Kiti darbuotojų asmens duomenys gali būti tvarkomi tik gavus darbuotojo sutikimą, kuris atitinka Taisyklių reikalavimus.
- Centrui draudžiama tvarkyti su darbu nesusijusius (perteklinius) darbuotojo asmens duomenis, taip pat pateikti darbuotojo asmens duomenis tretiesiems asmenims, išskyrus įstatymuose ir šiose Taisyklėse nustatytus atvejus.
- Darbuotojai šių Taisyklių nustatyta tvarka yra informuojami apie jų duomenų tvarkymą.
- Draudžiama tvarkyti kandidato, pretenduojančio eiti pareigas arba dirbti darbus, ir darbuotojo asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, išskyrus atvejus, kai šie asmens duomenys būtini patikrinti, ar asmuo atitinka įstatymuose ir (ar) įgyvendinamuosiuose teisės aktuose nustatytus reikalavimus pareigoms eiti arba darbams dirbti.
- Kandidato pateiktas rekomendacijas tikrina arba atsiliepimo iš buvusio kandidato darbdavio Centras teiraujasi tik informavęs kandidatą, o esamo darbdavio – tik tuo atveju, jeigu kandidatas Centrui suteikia sutikimą kreiptis į jo įvardintą darbdavį ir (arba) kitą asmenį ir gauti atsiliepimą apie jį.
- Viešai prieinami asmens duomenys apie kandidatą, pretenduojantį eiti pareigas arba dirbti darbus, ar darbuotojus gali būti renkama tik tiek ir tik tokia apimtimi, kiek tie asmens duomenys yra tiesiogiai reikalingi ir aktualūs darbo pareigoms ir funkcijoms, į kurias pretenduoja kandidatas, vykdyti. Apie šią galimybę kandidatai yra informuojami darbo skelbime.
- Kandidato, pretenduojančio eiti pareigas arba dirbti darbus, kuris nebuvo atrinktas eiti pareigas arba dirbti darbus, asmens duomenys yra saugiai sunaikinami per protingai ir pagrįstai tokiam veiksmui atlikti reikalingą laikotarpį. Tokio asmens duomenys gali būti saugomi tik jeigu:
- esama pagrįstų įtarimų dėl neteisėtos veikos, dėl kurios yra atliekamas tyrimas;
- kandidato duomenys būtini tinkamam ginčo, skundo išsprendimui;
- esant kitiems teisės aktuose numatytiems pagrindams.
- Darbuotojas Centro darbo funkcijoms vykdyti suteiktą kompiuterį, elektroninį paštą ir kitus Centro įrenginius, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą naudoja tik su darbu susijusiais tikslais ir tik darbo funkcijų vykdymui. Darbuotojams yra draudžiama naudoti kompiuterius, telefonus ir kitą darbdavio suteiktą įrangą, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą asmeniniais tikslais, juose kaupti asmeninio pobūdžio informaciją, asmens duomenis. Jeigu darbuotojas naudoja kompiuterius, telefonus ir kitą darbdavio suteiktą įrangą, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą asmeniniais tikslais, juose kaupia asmeninio pobūdžio informaciją ir asmens duomenis, darbuotojas pats prisiima riziką, kad tokią informaciją, asmens duomenis Centras gali sužinoti patikrinimo metu.
- Darbuotojai savo darbo funkcijas atlieka tik naudodami Centro kompiuterius, elektroninius paštus ir kitus Centro įrenginius, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą, išskyrus, jeigu Centro vadovas priima sprendimą dėl leidimo Centro darbuotojui darbo funkcijas atlikti naudojantis asmeninėmis priemonėmis. Darbuotojai, turintys nuotolinę prieigą prie Centro infrastuktūros, privalo imtis visų priemonių, kad būtų užtikrintas informacijos ir duomenų saugumas bei konfidencialumas, o Centras privalo padėti darbuotojui įgyvendinti šią pareigą.
- Nuolatinį Centro darbuotojui suteikto kompiuterio, elektroninio pašto ir kitų Centro įrenginių, prietaisų, įtaisų, informacijos ir ryšių technologijų, programinė įrangos stebėjimą ar tikrinimą vykdyti draudžiama. Centro darbuotojams suteiktos darbo priemonės, įranga, įskaitant elektroninius paštus, kompiuterius, mobiliuosius telefonus, juose esantys asmens duomenys, kiti duomenys bei informacija gali būti tikrinami tik esant šioms sąlygoms:
- darbuotojas yra informuotas apie patikrinimo galimybę. Darbuotojas pasirašytinai ar kitu būdu, įrodančiu informavimo faktą, supažindinamas su šiomis Taisyklėmis;
- yra pagrindas manyti, kad darbuotojas padarė darbo pareigų pažeidimą arba vykdė veiklą nesuderinamą su Centro interesais, arba vykdė teisės aktams prieštaraujančią veiklą, arba Centras siekia patikrinti, ar darbuotojas laikosi įsipareigojimų Centrui, tinkamai vykdo teisės aktus, įskaitant Centro vidinių dokumentų reikalavimus, arba egzistuoja kitos svarbios tokį patikrinimą pagrindžiančios priežastys;
- nėra galimybės pasiekti tikrinimo tikslų kitomis priemonėmis, kurios mažiau ribotų darbuotojo privatumą.
- Tikrinimas vykdomas limituota apimtimi (pvz., apibrėžtas konkretus laikotarpis, už kurį tikrinama, tikrinamas konkretaus projekto vykdymas, tikrinama konkrečių funkcijų vykdymas) ir tikrinamas tik tiek, kiek yra būtina išsiaiškinti aplinkybėms ir apginti Centro interesus. Patikrinimuose dalyvauja duomenų apsaugos pareigūnas ir teikia konsultacijos, kad tikrinimas nepažeistų Reglamento, Taisyklių nuostatų bei duomenų subjektų teisių į privatumą.
- Vaizdo stebėjimas ir/ar garso įrašymas darbuotojų darbo vietose gali būti vykdomas, kai dėl darbo specifikos būtina užtikrinti asmenų, turto ar visuomenės saugumą ir kitais atvejais, kai kiti būdai ar priemonės yra nepakankami ir (arba) netinkami siekiant išvardytų tikslų, išskyrus atvejus, kai tiesiogiai siekiama kontroliuoti darbo kokybę ir mastą. Apie vaizdo stebėjimą ir garso įrašymą konkrečioje darbovietės vietoje informuojama vaizdiniu žymeniu matomoje vietoje.
VII. SKYRIUS
VAIZDO DUOMENŲ TVARKYMO YPATUMAI
- Vykdant vaizdo stebėjimą ir tvarkant vaizdo duomenis užtikrinama, kad toks vaizdo duomenų rinkimas ir tvarkymas atitiktų šių Taisyklių nuostatas.
- Centras gali pasitelkti duomenų tvarkytojus tvarkyti vaizdo duomenis.
- Vaizdo stebėjimo ir vaizdo duomenų tvarkymo tikslas – užtikrinti Centro gyventojų, darbuotojų ir kitų asmenų bei jų turto saugumą, taip pat visuomenės saugumą. Kitais tikslais vaizdo duomenys gali būti tvarkomi, jeigu toks tvarkymas atitinka šių Taisyklių 6 – 8, 10 punktų nuostatas. Jeigu vaizdas stebimas kitais tikslais, prieš pradedant tokį stebėjimą privalo būti atliktas poveikio duomenų apsaugai vertinimas, nustatytos rizikos ir įgyvendintos jas mažinančios priemonės.
- Vaizdo stebėjimas vykdomas šiose Centro teritorijose ir patalpose:
- centro automobilių stovėjimo aikštelėse;
- prie centrinio įėjimo į Centrą;
- Centro laukiamajame;
- gyvenamųjų korpusų koridoriuose
- Vaizdo stebėjimo kameros turi būti įrengiamos taip, kad vaizdo stebėjimas nebūtų vykdomas didesnėje duomenų valdytojo teritorijoje ar patalpoje, nei nurodyta šiose Taisyklėse.
- Šių Taisyklių 86 punkte įtvirtinta vaizdo stebėjimo apimtis gali būti keičiama tik pakeitus Taisykles ir tik prieš tai atlikus poveikio duomenų apsaugai vertinimą.
- Vaizdo duomenys renkami dviem būdais: vaizdo duomenys peržiūrimi realiu laiku ir daromas vaizdo duomenų įrašas. Vaizdo duomenų įrašų atsarginės kopijos daromos tais atvejais, kai yra nustatoma pagrįstas poreikis vaizdo duomenų įrašą saugoti ilgesnį negu Taisyklėse nurodytą laikotarpį dėl vaizdo įrašų duomenų panaudojimo kaip įrodymo ikiteisminiame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje, kituose teisiniuose procesuose siekiant apginti Centro ir/ar trečiųjų asmenų pagrįstas teises ir laisves ar kitais įstatymų nustatytais atvejais.
- Vaizdo duomenys gali būti teikiami tik ikiteisminį tyrimą arba kitą tyrimą atliekančiai įstaigai, prokurorui ar teismui dėl jų žinioje esančių administracinių, civilinių, baudžiamųjų bylų, kaip įrodymai ar kitais įstatymų nustatytais atvejais. Vaizdo duomenys duomenų subjektui gali būti pateikti susipažinti, tik jeigu egzistuoja visos Taisyklėse įtvirtintos sąlygos.
- Įgyvendinant duomenų subjekto teisę susipažinti su savo vaizdo duomenimis, užtikrinama trečiųjų asmenų teisė į privatų gyvenimą, t. y. duomenų subjektui susipažįstant su vaizdo įrašu, jeigu vaizdo įraše matomi kiti asmenys, kurių tapatybė gali būti nustatyta, ar kita informacija, kuri gali pažeisti trečiųjų asmenų privatumą (pavyzdžiui, transporto priemonės valstybinis numeris), šie vaizdai turi būti retušuoti ar kitais būtais panaikinama galimybė identifikuoti trečiuosius asmenis.
- Vykdant vaizdo stebėjimą draudžiama:
- įrengti ir eksploatuoti įrengtas vaizdo stebėjimo priemones, kad į jų stebėjimo lauką patektų gyvenamoji patalpa ir (arba) jai priklausanti privati teritorija ar įėjimas į ją;
- stebėti vaizdą Centro patalpose, kuriose duomenų subjektas pagrįstai tikisi absoliučios privatumo apsaugos ir kur toks vaizdo stebėjimas žemintų žmogaus orumą;
- stebėti vaizdą slaptomis vaizdo kameromis;
- kitais atvejais, kai vaizdo stebėjimas neatitinka Taisyklėse nustatytų tikslų.
- Siekiant užtikrinti vaizdo duomenų saugumą įgyvendinamos šios minimalios organizacinės ir techninės asmens duomenų saugumo priemonės:
- užtikrinama prieigos prie vaizdo įrangos ir vaizdo duomenų apsauga, valdymas ir kontrolė;
- prieiga prie vaizdo įrangos ir/ vaizdo duomenų asmenims suteikiama tik pasirašytinai įsipareigojus saugoti asmens duomenų paslaptį;
- prieiga prie vaizdo duomenų gali būti suteikta tik tam Centro darbuotojui, kuriam asmens duomenys yra reikalingi jam priskirtoms funkcijoms vykdyti;
- su vaizdo duomenimis galima atlikti tik tuos veiksmus, kuriems atlikti tvarkytojui yra suteiktos teisės;
- prieigos prie vaizdo duomenų slaptažodžiai suteikiami, keičiami ir saugomi užtikrinant jų konfidencialumą;
- užtikrinama vaizdo duomenų apsauga nuo neteisėto prisijungimo prie vidinio kompiuterinio tinklo elektroninių ryšių priemonėmis – prieiga prie vidinio kompiuterių tinklo apsaugota ugniasiene;
- užtikrinamas vaizdo įrangos, kurioje saugomi vaizdo duomenys, fizinis saugumas – ribojama ir kontroliuojama neturinčių įgaliojimų tvarkyti vaizdo duomenis asmenų prieiga prie vaizdo įrangos;
- užtikrinama vaizdo įrangos apsauga nuo kenksmingos programinės įrangos – įdiegtos ir nuolatos atnaujinamos vidinio tinklo ir antivirusinės apsaugos priemonės;
- vaizdo įrašai apsaugomi nuo galimybės juos keisti.
- Vaizdo duomenys įrašomi ir saugomi 14 dienų terminą. Pasibaigus nustatytam terminui, duomenys automatiniu būdu sunaikinami. Jei vaizdo įrašų duomenys, naudojami kaip įrodymai ikiteisminiame ar kitame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais įstatymų nustatytais atvejais, vaizdo duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
- Duomenų valdytojo ar duomenų tvarkytojo darbuotojai, turintys prieigos teisę prie vaizdo duomenų, pastebėję vaizdo duomenų saugumo pažeidimus (veiksmus ar neveikimą, galinčius sukelti ar sukeliančius grėsmę asmens duomenų saugumui) turi informuoti Centro vadovą, kuris informuoja duomenų apsaugos pareigūną.
- Duomenų subjektų teisės, susijusios su vaizdo duomenų tvarkymu, įgyvendinamos šių Taisyklių V skyriuje nustatyta tvarka.
- Duomenų subjekto informavimas apie duomenų tvarkymą vykdomas tokia tvarka:
- 97.1.iškabinamos informacines lenteles (Taisyklių Priedas Nr. 4) prieš patenkant į patalpas ar teritoriją, kurioje vykdomas vaizdo stebėjimas;
- 97.2.informacinėje lentelėje pateikiamas filmavimo kameros simbolis;
- Centro darbuotojai apie vaizdo stebėjimą duomenų valdytojo teritorijoje, kurioje dirba turi būti informuojami pasirašytinai.
VIII. SKYRIUS
ASMENS DUOMENŲ SAUGUMO NUOSTATOS
- Centro taikomų asmens duomenų saugumo priemonių sąrašas patvirtintas šių Taisyklių Priede Nr. 6.
- 100.Centre taip pat turi būti įgyvendintos šios minimalios organizacinės ir techninės asmens duomenų saugumo priemonės:
- užtikrinama prieigos prie asmens duomenų apsauga, valdymas ir kontrolė;
- prieiga prie asmens duomenų gali būti suteikta tik tam asmeniui, kuriam asmens duomenys yra reikalingi jo funkcijoms vykdyti;
- su asmens duomenimis galima atlikti tik tuos veiksmus, kuriems atlikti naudotojui yra suteiktos teisės;
- darbuotojai, kurių kompiuteriuose saugomi duomenų subjektų duomenys arba iš kurių kompiuterių galima patekti į Centro informacines sistemas, kuriose yra saugomi duomenų subjektų duomenys, savo kompiuteriuose turi naudoti slaptažodžius. Šiuose kompiuteriuose taip pat reikia naudoti ekrano užsklandą su slaptažodžiu. Prieigos prie asmens duomenų slaptažodžiai yra suteikiami, keičiami ir saugomi užtikrinant jų konfidencialumą:
- 100.4.1.unikalūs, sudaryti iš ne mažiau kaip 8 simbolių, nenaudojant asmeninio pobūdžio informacijos;
- 100.4.2.keičiami ne rečiau kaip kartą per 6 mėnesius;
- 100.4.3.pirmojo prisijungimo metu naudotojo privalomai keičiami.
- darbuotojams draudžiama Centro suteiktuose kompiuteriuose, mobiliuosiuose telefonuose naudotis programine įranga, kurios neįdiegė Centras;
- užtikrinama asmens duomenų apsauga nuo neteisėto prisijungimo prie vidinio kompiuterinio tinklo elektroninių ryšių priemonėmis;
- užtikrinamas patalpų, kuriose saugomi asmens duomenys, fizinis saugumas (apribojamas neįgaliotų asmenų patekimas į atitinkamas patalpas);
- užtikrinama kompiuterinės įrangos apsauga nuo kenksmingos programinės įrangos (antivirusinių programų įdiegimas, atnaujinimas ir pan.);
- darbuotojai, kurie tvarko duomenų subjekto duomenis, turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su duomenų subjekto duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas. Ši pareiga išlieka galioti perėjus dirbti į kitas darbovietes arba pasibaigus darbo ar sutartiniams santykiams Centre;
- 100.10.darbuotojai gali perduoti dokumentus, kuriuose nurodyti asmens duomenys, tik tiems darbuotojams, kurie pagal pareigas ar atskirus pavedimus turi teisę dirbti su asmens duomenimis;
- darbuotojai, vykdantys duomenų subjekto duomenų tvarkymo funkcijas, turi užkirsti kelią atsitiktiniam ar neteisėtam tvarkymui, turi saugoti dokumentus tinkamai ir saugiai (vengiant nereikalingų kopijų su duomenų subjekto duomenimis kaupimo ir kt.). Dokumentų kopijos, kuriose nurodomi duomenų subjekto duomenys, turi būti sunaikinamos tokiu būdu, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio;
- 100.12. darbuotojų kompiuteriai, kuriuose saugomos rinkmenos su Duomenų subjektų duomenimis, negali būti laisvai prieinami iš kitų tinklo kompiuterių. Šių kompiuterių antivirusinė programinė įranga turi būti nuolat atnaujinama;
- 100.13. nesant būtinybės rinkmenos su Duomenų subjekto duomenimis neturi būti dauginamos skaitmeniniu būdu, t. y. kuriamos rinkmenų kopijos vietiniuose kompiuterių diskuose, nešiojamose laikmenose, nuotolinėse rinkmenų talpyklose ir kt.;
- 100.14. asmens duomenų, esančių išorinėse duomenų laikmenose ir elektroniniame pašte, saugos kontrolė ir ištrynimas po jų panaudojimo užtikrinamas perkeliant juos į duomenų bazes;
- 100.15. darbuotojai privalo taip organizuoti savo darbą, kad kiek įmanoma apribotų galimybę
kitiems asmenims sužinoti tvarkomus asmens duomenis:
- 100.15.1.nepaliekant dokumentų su tvarkomais asmens duomenimis ar kompiuterio, kuriuo naudojantis galima atidaryti rinkmenas su asmens duomenimis, be priežiūros taip, kad juose esančią informaciją galėtų perskaityti darbuotojai, neturintys teisės dirbti su asmens duomenimis ar kiti asmenys;
- 100.15.2.dokumentus laikant taip, kad jų (ar jų fragmentų) negalėtų perskaityti atsitiktiniai asmenys;
- 100.15.3.jei dokumentai, kuriose yra asmens duomenų, kitiems darbuotojams, padaliniams, įstaigoms perduodami per asmenis, kurie neturi teisės tvarkyti asmens duomenis, arba per paštą ar kurjerį, jie privalo būti perduodami užklijuotame nepermatomame voke;
- 100.16.duomenų subjektų dokumentai bei jų kopijos, finansavimo, buhalterinės apskaitos ir atskaitomybės, archyvinės ar kitos bylos, kuriose yra asmens duomenų, saugomos rakinamose metalinėse spintose arba seifuose. Dokumentai, kuriuose yra asmens duomenų, neturi būti laikomi visiems prieinamoje matomoje vietoje.
- 101.Darbuotojai automatiniu būdu tvarkyti asmens duomenis gali tik po to, kai jiems suteikiama prieigos teisė prie atitinkamos informacinės sistemos. Prieiga prie asmens duomenų gali būti suteikta tik tam asmeniui, kuriam asmens duomenys yra reikalingi jo funkcijoms vykdyti. Darbo santykiams pasibaigus, darbuotojui prieigos prie registrų ir kitų programų teisės panaikinamos.
IX. SKYRIUS
DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO PROCEDŪRA
- 102.Asmens duomenų saugumo pažeidimai gali būti nulemti šių rizikos veiksnių: (1) netyčiniai veiksmai, kai asmens duomenų saugumas pažeidžiamas dėl atsitiktinių priežasčių (duomenų tvarkymo klaidos, informacijos laikmenų, duomenų įrašų ištrynimo, sunaikinimo, ar sistemų sutrikimai dėl elektros tiekimo nutrūkimo, kompiuterinio viruso ir pan., vidaus taisyklių pažeidimas, sistemos priežiūros trūkumas, programinės įrangos testai, netinkama duomenų laikmenų priežiūra, netinkamas linijų pajėgumas ir apsauga, kompiuterių integravimas į tinklą, kompiuterinių programų apsaugos, ir kt.; (2) tyčiniai, kai asmens duomenų saugumas pažeidžiamas sąmoningai (neteisėtas įsibrovimas į Centro patalpas, asmens duomenų laikmenų saugyklas, informacines sistemas, kompiuterių tinklą, piktybinis nustatytų taisyklių tvarkant asmens duomenis pažeidimas, sąmoningas kompiuterinio viruso platinimas, asmens duomenų vagystė, neteisėtas naudojimasis kito darbuotojo teisėmis ir kt.); (3) netikėti atsitiktiniai įvykiai (žaibas, gaisras, potvynis, užliejimas, audros, elektros instaliacijos degimas, temperatūros ir/ar drėgmės pakitimų poveikis, purvo, dulkių ir magnetinių laukų įtaka, atsitiktinės techninės avarijos, kiti nenugalimi ir/ar nekontroliuojami veiksniai ir pan.). Visų šių rizikų sukelti asmens duomenų saugumo pažeidimai patenka į šio Taisyklių skyriaus reguliavimo sritį.
- 103.Įvykus bet kokiam asmens duomenų saugumo pažeidimui ar kitam incidentui, susijusiam su asmens duomenų saugumu Centre, Centro darbuotojai, kuriems tapo žinoma apie duomenų saugumo pažeidimą, visada privalo nedelsiant, bet ne vėliau kaip pažeidimo ar incidento paaiškėjimo dieną, informuoti Centro vadovą, kuris informuoja duomenų apsaugos pareigūną. Nepagrįstas delsimas informuoti Centro vadovą apie duomenų saugumo pažeidimą yra šiurkštus darbo pareigų pažeidimas.
- 104.Įvykus bet kokiam asmens duomenų saugumo pažeidimui, Centras privalo kuo greičiau ištaisyti asmens duomenų saugumo pažeidimus, eliminuoti jų pasekmes, siekiant atstatyti padėtį, kuri buvo prieš pažeidimą, imtis visų priemonių, kad pavojus arba galima žala duomenų subjektų teisėms ir laisvėms būtų sumažinta arba panaikinta.
- 105.Asmens duomenų saugumo pažeidimo atveju Centras ne vėliau kaip per 72 valandas nuo tada, kai sužinojo apie asmens duomenų saugumo pažeidimą, praneša Inspekcijai pateikdama Inspekcijos direktoriaus nustatytos rekomenduojamos formos pranešimą. Jeigu visos ar išsamios pranešime nurodytos informacijos neįmanoma pateikti per šį terminą, informacija Inspekcijai gali būti teikiama etapais užtikrinant, kad Inspekcijai pirminė informacija būtų pateikta ne vėliau kaip per 72 valandas ir kad Inspekcija būtų aiškiai informuota apie tai, kad pirminė informacija yra neišsami ir kita susijusi informacija bus teikiama etapais. Papildoma informacija yra teikiama su Inspekcija suderinta tvarka, būdu ir terminais. Jeigu po papildomo tyrimo paaiškėja, kad asmens duomenų saugumo pažeidimas neįvyko, ši informacija ir ją pagrindžiantys argumentai bei informacija pateikiama Inspekcijai.
- 106.Pranešimas Inspekcijai nėra teikiamas, jeigu asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Nustatant, ar asmens duomenų saugumo pažeidimas kelia pavojų fizinių asmenų teisės ir laisvėms, be kita ko yra vertinama:
- pažeidimo pobūdis;
- asmens duomenų pobūdis, kategorija, apimtis, jautrumas;
- duomenų subjekto identifikavimo galimybė tiesiogiai ar netiesiogiai pasinaudojant pažeidimo objektu esančiais duomenimis;
- padarinių duomenų subjektui sunkumas, t. y. vertinama tokio duomenų saugumo pažeidimo galimi sukelti fiziniai, materialiniai ir nematerialiniai padariniai duomenų subjekto teisėms ir laisvėms: ar duomenų subjektas praranda savo asmens duomenų kontrolę, ar pasireiškia koks nors duomenų subjektų teisių apribojimas, diskriminacija, tapatybės vagystė ar sukčiavimas, finansiniai nuostoliai, žala reputacijai, konfidencialios informacijos praradimas, jautrios informacijos atskleidimas, kiti galimi nuostoliai;
- duomenų subjektų ypatinga charakteristika (pvz., vaikai, pažeidžiami asmenys);
- su asmens duomenų saugumo pažeidimu susijusių asmenų apimtis, mastas;
- 107.Preziumuojama, kad asmens duomenų saugumo pažeidimas kelia pavojų duomenų subjekto asmens teisėms ir laisvėms, kuomet asmens duomenų saugumo pažeidimas yra susijęs su specialių kategorijų asmens duomenimis.
- 108.Jeigu pranešimas Inspekcijai yra pateikiamas praėjus daugiau kaip 72 valandoms po paaiškėjimo apie asmens duomenų saugumo pažeidimą, pranešime nurodomos ir pagrindžiamos vėlavimo priežastys.
- 109.Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, Centras privalo ne vėliau kaip per 72 valandas pranešti apie asmens duomenų saugumo pažeidimą tiesiogiai duomenų subjektui. Pranešimas duomenų subjektui pateikiamas įprastu komunikavimo su duomenų subjektu būdu, dedant maksimalias pastangas, kad pranešimas pasiektų adresatą.
- 110.Pranešimas duomenų subjektams apie asmens duomenų saugumo pažeidimus nėra teikiami jeigu yra bent viena iš šių sąlygų:
- Centras įgyvendino tinkamas technines ir organizacines priemones ir tos priemonės taikytos asmens duomenimis, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio, visų pirma tas priemones, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie nebūtų suprantami;
- Centras ėmėsi priemonių, kuriomis užtikrinama, kad nebegalėtų kilti didelis pavojus duomenų subjektų teisėms ir laisvėms;
- tai pareikalautų neproporcingai daug pastangų. Tokiu atveju vietoj to apie asmens duomenų saugumo pažeidimo aplinkybes paskelbiama viešai arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.
- 111.Jeigu Centras remiasi Taisyklių 110.1. – 110.3. punktais, Centras turi pagrįsti, kad atitinka sąlygos, kuria remiasi, reikalavimus.
- 112.Centras privalo informuoti duomenų subjektus apie asmens duomenų saugumo pažeidimą pateikdamas nustatytos formos pranešimą, jeigu to pareikalauja Inspekcija.
- 113.Duomenų apsaugos pareigūnas turi teisę nuolat stebėti asmens duomenų tvarkymo veiklą Centre ir tirti bet kokius incidentus, kurie gali būti susiję su asmens duomenų saugumo pažeidimas. Esant poreikiui Centre gali būti sudaryta darbo grupė tirti asmens duomenų saugumo pažeidimus, jų priežastis, pasekmes bei teikti pasiūlymus dėl asmens duomenų saugumo pažeidimų išvengimo ateityje. Centras nuolat tobulina vidinius procesus, atsižvelgdama į nustatytas asmens duomenų saugumo pažeidimų priežastis.
X. SKYRIUS
POVEIKIO DUOMENŲ APSAUGAI VERTINIMO ATLIKIMAS IR KONSULTACIJOS SU PRIEŽIŪROS INSTITUCIJA
- 114.Tais atvejais, kai, atsižvelgiant į asmens duomenų ir duomenų subjektų kategoriją, duomenų tvarkymo pobūdį, aprėptį, kontekstą, tikslus, duomenų subjektų teisėms bei laisvėms gali kilti didelis pavojus, Centras, prieš pradėdamas vykdyti duomenų tvarkymo operacijas (veiksmus) ir tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimą.
- 115.Poveikio duomenų apsaugai vertinamas yra atliekamas šiais atvejais:
- Duomenų tvarkymo operacija patenka į Inspekcijos sudarytą duomenų tvarkymo operacijų sąrašą, kurioms poveikio duomenų apsaugai vertinimas yra privalomas;
- Duomenų tvarkymo operacija nepatenka į Inspekcijos sudarytą duomenų tvarkymo operacijų sąrašą, kurioms poveikio duomenų apsaugai vertinimo reikalavimas yra privalomas, tačiau Centras įvertina, kad duomenų tvarkymo operacija, atsižvelgiant į Taisyklių 116 punkte įtvirtintus kriterijus, duomenų subjektų teisėms bei laisvėms gali kelti didelį pavojų;
- Kitais šiose Taisyklėse įtvirtintais atvejais;
- Pasikeitus duomenų tvarkymo operacijų (veiksmų) įgyvendinimo sąlygoms ir kai tai gali lemti didelį pavojų duomenų subjektų teisėms ir laisvėms.
- 116.Ar duomenų tvarkymo operacijos (veiksmai) gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms, sprendžiama kiekvieną kartą be kita ko atsižvelgiant į šiuos kriterijus, kurie rodo didelį pavojų asmenų teisėms ir laisvėms:
- sisteminga stebėsena;
- neskelbtini duomenys arba labai asmeniški duomenys, pvz., specialių kategorijų asmens duomenys;
- duomenų rinkinių siejimas ir derinimas;
- su pažeidžiamais duomenų subjektais susiję duomenys, pvz., vaikų duomenys, darbuotojai, pažeidžiamesni subjektai, kuriems reikalinga speciali apsauga, segmentai, kai galima nustatyti nelygiaverčius duomenų subjekto ir duomenų valdytojo santykius;
- naujų technologijų ar organizacinių sprendimų būdų taikymas;
- dėl duomenų tvarkymo duomenų subjektams užkertamas kelias naudotis savo teisėmis, paslaugomis arba sudaryti sutartis;
- kitos aplinkybės rodančios galimą didelį pavojų subjektų teisėms ir laisvėms.
- 117.Kuo daugiau kriterijų atitinka konkreti duomenų tvarkymo operacija (veiksmai), tuo didesnė tikimybė, kad duomenų tvarkymo operacija (veiksmai) gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms. Dėl poveikio duomenų apsaugai atlikimo būtinybės visais atvejais konsultuojamasi su duomenų apsaugos pareigūnu.
- 118.Jeigu duomenų tvarkymo operacija (veiksmai) atitinka du ir daugiau 116 punkte išdėstytus kriterijus, tačiau padaroma išvada, kad tokia duomenų tvarkymo operacija (veiksmai) negali kelti didelio pavojaus duomenų subjektų teisėms ir laisvėms, toks sprendimas ir jo argumentai išdėstomi raštu ir kartu su duomenų apsaugos pareigūno nuomone pateikiama Centro vadovui arba jo paskirtam asmeniui.
- 119. Poveikis duomenų vertinimui turi būti atliktas prieš pradedant įgyvendinti duomenų tvarkymo operacijas (veiksmus).
- 120.Už poveikio duomenų apsaugai vertinimą kiekvienu konkrečiu atveju atsakingas Centro vadovo įsakymu paskirtas darbuotojas ar jų grupė.
- 121.Poveikio duomenų vertinimui atlikimui gali būti pasitelkti išorės konsultantai, specialistai, ekspertai (teisininkai, IT specialistai, saugumo ekspertai, etikos specialistai ir pan.), jeigu Centro žmogiškųjų, laiko išteklių nepakanka tinkamam poveikio duomenų apsaugai vertinimo atlikimui.
- 122.Atlikus poveikio duomenų apsaugai vertinimą yra surašoma poveikio duomenų apsaugai vertinimo ataskaita, kurioje, be kita ko, nurodoma:
- sistemingas numatytų duomenų tvarkymo operacijų aprašymas ir duomenų tvarkymo tikslai;
- duomenų tvarkymo operacijų reikalingumo ir proporcingumo, palyginti su tikslais, vertinimas;
- pavojų, kylančių arba galinčių kilti duomenų subjektų teisėms ir laisvėms įvardinimas ir vertinimas (kilmė, pobūdis, specifika, rimtumas);
- pavojams pašalinti numatytos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir pagrindžiama, kad laikomasi Taisyklių, Reglamento ir kitų teisės aktų, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus;
- duomenų subjektų ar jų atstovų nuomonė apie numatomą duomenų tvarkymą taip pat argumentai ir motyvai, jeigu nusprendžiama neatsižvelgti į duomenų subjektų ar jų atstovų nuomonę, arba priežastys, dėl kurių nesiekiama išsiaiškinti duomenų subjektų nuomonę;
- duomenų apsaugos pareigūno nuomonė ir konsultacijos dėl poveikio duomenų apsaugai vertinimo;
- pasitelktų konsultantų, specialistų, ekspertų nuomonė ir išvados, jeigu konsultantai, specialistai, ekspertai buvo pasitelkti.
- 123.Panašius didelius pavojus keliančių duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną vertinimą.
- 124.Jeigu, atsižvelgiant į numatomą duomenų tvarkymo operacijos pobūdį, yra įmanoma, Centras siekia išsiaiškinti duomenų subjektų ar jų atstovų nuomonę apie numatytą duomenų tvarkymą, nepažeisdamas interesų apsaugos arba duomenų tvarkymo operacijų saugumo reikalavimų.
- 125.Visais atvejais poveikio duomenų apsaugai vertinimo ataskaita yra pateikiama Centro vadovui.
- 126.Centras prieš pradėdamas duomenų tvarkymo operacijas (veiksmus), kurie gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms, privalo konsultuotis su Inspekcija šiais atvejais:
- jeigu poveikio duomenų apsaugai vertinimo ataskaitoje yra nustatyta, kad duomenų tvarkymo veiksmai (operacijos) gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms ir numatytos priemonės nesumažina šios rizikos iki priimtino lygio;
- jeigu pareiga konsultuotis su Inspekcija dėl tam tikrų rūšių duomenų tvarkymo operacijų (veiksmų) įtvirtinta teisės aktuose arba šiose Taisyklėse.
- 127.Centras, konsultuodamasis su Inspekcija, pateikia jai šią informaciją:
- numatyto duomenų tvarkymo tikslus ir priemones;
- nustatytas priemones bei apsaugos priemones duomenų subjektų teisėms ir laisvėms apsaugoti;
- duomenų apsaugos pareigūno ir (ar) kito atsakingo asmens kontaktinius duomenis;
- Poveikio duomenų apsaugai vertinimo ataskaitą, atitinkančią Taisyklėse išdėstytus reikalavimus;
- kai taikoma, atitinkamas duomenų tvarkymo procese dalyvaujančio duomenų valdytojo, bendrų duomenų valdytojų ir duomenų tvarkytojų atsakomybės sritis;
- bet kokią kitą priežiūros institucijos prašomą informaciją.
- 128.Duomenų tvarkymo veiksmai, kurie gali sukelti didelį pavojų duomenų subjektų teisėms ir laisvėms, gali būti vykdomi tik tada, kai Centras pilnai ir tinkamai įgyvendina Inspekcijos rekomendacijas, nurodymus ir priemonės, gautus konsultavimosi procedūros metu.
- 129.Prekės ir (ar) paslaugos, susijusios su duomenų tvarkymu tokiu būdu, kuris gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms, gali būti perkamos tik tada, jeigu atitinkamos prekės ir (ar) paslaugos pardavėjas yra atlikęs poveikio duomenų apsaugai vertinimą, Centrui yra pateikiama susipažinti su tokio vertinimo išvada ir pardavėjas patvirtina, kad jų produktas atitinka Reglamento reikalavimus.
- 130.Kai duomenų tvarkymo apimtis, pobūdis, kontekstas ir tikslas yra labai panašūs į duomenų tvarkymą, kurio poveikis duomenų apsaugai buvo atliktas, galima nedaryti naujo poveikio duomenų apsaugai vertinimo, o pasinaudoti dėl panašaus duomenų tvarkymo atliktu poveikio duomenų apsaugai vertinimu.
XI. SKYRIUS
ASMENS DUOMENŲ PERDAVIMAS TRETIESIEMS ASMENIMS
- 131.Centras turi teisę sutarties pagrindu duomenų tvarkymo veiksmams atlikti pasitelkti duomenų tvarkytoją (-us). Centras pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Reglamento ir Taisyklių reikalavimus ir būtų užtikrinta duomenų subjekto teisių įgyvendinimas bei apsauga.
- 132.Su duomenų tvarkytoju yra sudaroma atskira duomenų tvarkymo sutartis pagal patvirtintas standartines sąlygas (Taisyklių Priedas Nr. 5) arba standartines sąlygas įtraukiant į su duomenų tvarkytoju sudarytą atskirą civilinę sutartį.
- 133.Visais atvejais, kuomet duomenų tvarkymui yra pasitelkiamas duomenų tvarkytojas, sutartyje privalo būti nustatytos šios sąlygos, išskyrus atvejus, kai šių įpareigojimų laikymąsi duomenų tvarkytojui nustato teisės aktai:
- duomenų tvarkytojas privalo tvarkyti Centro perduotus asmens duomenis griežtai laikantis Centro nurodyto asmens duomenų tvarkymo dalyko ir trukmės, duomenų tvarkymo pobūdžio ir tikslo, asmens duomenų rūšies ir duomenų subjektų kategorijų taip pat kitų duomenų valdytojo prievolių. Jeigu duomenų tvarkytojas pažeidžia šiuos Centro nurodytus duomenų tvarkymo reikalavimus, tų duomenų, kurie tvarkomi pažeidžiant šiuos reikalavimus, atžvilgiu duomenų tvarkytojas yra laikomas duomenų valdytoju ir jam kyla visos Reglamente duomenų valdytojui nustatytos pareigos;
- duomenų tvarkytojas tvarko Centro perduotus asmens duomenis tik pagal Centro dokumentais įformintus nurodymus, išskyrus atvejus, kai tai daryti reikalaujama pagal teisės aktų reikalavimus, kuri yra taikoma duomenų tvarkytojui. Tokiu atveju duomenų tvarkytojas prieš pradėdamas tvarkyti duomenis privalo pranešti apie tokį teisinį reikalavimą Centrui;
- duomenų tvarkytojas užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti asmens duomenų konfidencialumą. Duomenų tvarkytojas Centrui paprašius privalo pateikti tai patvirtinančius dokumentus;
- imasi visų techninių ir organizacinių priemonių, kad būtų užtikrintas tvarkomų duomenų saugumas. Duomenų tvarkytojas Centrui paprašius privalo pateikti nurodytų priemonių sąrašą bei patvirtinančius dokumentus;
- duomenų tvarkytojui draudžiama pasitelkti kitą duomenų tvarkytoją be išankstinio rašytinio Centro leidimo;
- pareiga padėti Centrui taikyti tinkamas technines ir organizacines priemones, kiek tai įmanoma, kad būtų įvykdyta Centro prievolė atsakyti į duomenų subjektų prašymus pasinaudoti duomenų subjekto teisėmis, taip pat skundus ir pretenzijas. Duomenų tvarkytojo pareiga nedelsiant, bet ne vėliau kaip per penkias darbo dienas, pateikti Centruii visą jo prašomą informaciją, susijusią su duomenų tvarkymo veikla, reikalingą duomenų subjektų teisių įgyvendinimui;
- pareiga įvykus bet kokiam duomenų saugumo pažeidimui nedelsiant, bet ne vėliau kaip tą pačią dieną, informuoti Centrą bei pateikti visą jo prašomą informaciją;
- pareiga padėti Centrui atlikti poveikio duomenų apsaugai vertinimą ir, jeigu vykdoma, vesti išankstines konsultacijas su Inspekcija, tiek, kiek tai apima Duomenų tvarkytojo duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją;
- pagal Centro nurodymą, užbaigus teikti su duomenų tvarkymu susijusias paslaugas, grąžinti duomenų valdytojui visus asmens duomenis ir ištrina esamas jų kopijas, išskyrus atvejus, kai teisės aktai reikalauja asmens duomenis saugoti. Duomenų tvarkytojas informuojamas, kad jeigu užbaigus teikti su duomenų tvarkymu susijusias paslaugas, visi arba dalis asmens duomenų nėra grąžinami Centrui arba nėra ištrinami duomenų tvarkytojas šių duomenų atžvilgiu tampa duomenų valdytoju ir jam kyla visos Reglamente įtvirtintos duomenų valdytojo pareigos;
- 133.10. pareiga pateikti duomenų valdytojui visą informaciją, įskaitant ir duomenų tvarkymo veiklos įrašus, būtiną siekiant įrodyti, kad vykdomos visos duomenų tvarkytojo prievolės, ir sudaro sąlygas bei padeda Centrui arba kitam Centro įgaliotam asmeniui atlikti patikrinimus;
- pareiga informuoti Centrą, jeigu kyla rizika dėl duomenų tvarkytojui perduotos duomenų tvarkymo veiklos neatitikties Reglamentui ir kitiems teisės aktų reikalavimams;
- 133.12. jeigu duomenų tvarkytojas perduoda duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms, pareiga tai aiškiai nurodyti Centrui bei perduoti duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms tik laikantis šių Taisyklių XI skyriuje įtvirtintos tvarkos.
- 134.Centras, prieš pasitelkdama konkretų duomenų tvarkytoją, konsultuojasi su duomenų apsaugos pareigūnu, ar duomenų tvarkytojas pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Reglamento ir Taisyklių reikalavimus ir būtų užtikrinta duomenų subjekto teisių įgyvendinimas ir apsauga. Duomenų tvarkytojas pasirenkamas atsižvelgiant į duomenų apsaugos pareigūno rekomendacijas ir nuomonę.
- 135.Kitiems asmenims Centro tvarkomi asmens duomenys gali būti perduoti tik duomenų subjekto prašymo ar sutikimo pagrindu, bei kai tokią Centro teisę ar pareigą nustato šios Taisyklės arba teisės aktai.
XII. SKYRIUS
ASMENS DUOMENŲ PERDAVIMAS Į TREČIĄSIAS VALSYBES IR TARPRAUTINES ORGANIZACIJAS
- 136.Perduoti asmens duomenis į trečiąją valstybę arba tarptautinę organizaciją galima tik esant bent vienai iš šių sąlygų:
- yra priimtas Komisijos sprendimas, kad atitinkama trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečioje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamo lygio apsaugą;
- jeigu nėra priimtas sprendimas, nurodytas Taisyklių 136.1. punkte, asmens duomenys gali būti perduoti į trečiąją valstybę arba tarptautinei organizacijai tik tuo atveju, jeigu Centras yra nustatęs tinkamas apsaugos priemones, įskaitant, kad duomenų subjektams bus užtikrinta galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis.
- 137.Tinkamos apsaugos priemonės, kurių taikymui reikia specialaus atskiro Inspekcijos leidimo, gali būti nustatomos:
- Centro ir duomenų valdytojo, duomenų tvarkytojo arba asmens duomenų gavėjo trečiojoje valstybėje arba tarptautinės organizacijos sutarčių sąlygomis;
- nuostatomis, kurios turi būti įtrauktos į valdžios institucijų arba įstaigų tarpusavio administracinius susitarimus, kuriais numatomos vykdytinos ir veiksmingos duomenų subjektų teisės.
- 138.Jeigu nėra priimtas Komisijos sprendimas dėl tinkamo apsaugos lygio užtikrinimo arba nenustatytos tinkamos apsaugos priemonės, asmens duomenų perdavimas į trečiąją valstybę arba tarptautinei organizacijai gali būti atliekamas tik jeigu egzistuoja bent viena iš šių sąlygų:
- duomenų subjektas aiškiai sutiko su siūlomu duomenų perdavimu po to, kai buvo informuotas apie galimus tokių perdavimų pavojus duomenų subjektui dėl to, kad nepriimtas sprendimas dėl tinkamumo ir nenustatytos tinkamos apsaugos priemonės;
- duomenų perdavimas yra būtinas duomenų subjekto ir duomenų valdytojo sutarčiai vykdyti arba ikisutartinėms priemonėms, kurių imtasi duomenų subjekto prašymu, įgyvendinti;
- duomenų perdavimas yra būtinas, kad būtų sudaryta arba įvykdyta duomenų subjekto interesais sudaroma duomenų valdytojo ir kito fizinio ar juridinio asmens sutartis;
- duomenų perdavimas yra būtinas siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus;
- duomenų perdavimas yra būtinas, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kitų asmenų interesai, jeigu duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo;
- duomenys perduodami iš registro, pagal teisės aktus skirto teikti informaciją visuomenei, su kuria gali susipažinti plačioji visuomenė arba bet kuris asmuo, galintis įrodyti teisėtą interesą, tačiau tik tiek, kiek konkrečiu atveju laikomasi pagal teisės aktus nustatytų susipažinimo su tokiame registre esančia informacija sąlygų.
XIII. SKYRIUS
VIENO LANGELIO PRIEŽIŪROS MECHANIZMO ĮGYVENDINIMAS
- 139.Visais klausimais Centras bendradarbiauja ir komunikuoja su Inspekcija kaip vadovaujančia priežiūros institucija, išskyrus atvejus, kai konkretų skundą ar Reglamento pažeidimą nagrinėja kita priežiūros institucija.
XIV. SKYRIUS
BAIGIAMOSIOS NUOSTATOS
- 140.Visi Centro dokumentai, bet kokia apimtimi susiję su asmens duomenų tvarkymu ir apsauga, privalo būti peržiūrėti ir užtikrinta jų atitiktis šioms Taisyklėms per dvejus metus nuo šių Taisyklių įsigaliojimo dienos.
- 141.Su šiomis Taisyklėmis visi Centro darbuotojai supažindinami pasirašytinai.
- Atsižvelgdamas į teisės aktų pokyčius bei reikalavimus, Centras turi teisę iš dalies arba visiškai pakeisti šias Taisykles. Su pakeitimais turi būti supažindinti darbuotojai ir kiti atsakingi asmenys.