VILNIAUS MIESTO SAVIVALDYBĖS
KONTROLIERIUS

ĮSAKYMAS
DĖL ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO VILNIAUS MIESTO SAVIVALDYBĖS KONTROLĖS IR AUDITO TARNYBOJE TVARKOS APRAŠO PATVIRTINIMO

2018 m. birželio 15 d. Nr. B-01-9
Vilnius

Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu(ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu:
1. Tvirtinu Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo Vilniaus miesto savivaldybės kontrolės ir audito tarnyboje tvarkos aprašą (pridedama).
2. Įpareigoju Vilniaus miesto savivaldybės kontrolės ir audito tarnybos (toliau – Tarnyba) specialistę Danguolę Teslia su šiuo įsakymu pasirašytinai supažindinti visus Tarnybos darbuotojus.

Savivaldybės kontrolierius                                                                                                                                                                                        Gintaras Radavičius

 

 PATVIRTINTA                                         

Vilniaus miesto savivaldybės kontrolieriaus

2018 m. birželio 15 d. įsakymu Nr. B-01-9

 

ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO VILNIAUS MIESTO SAVIVALDYBĖS KONTROLĖS IR AUDITO TARNYBOJE TVARKOS APRAŠAS

I SKYRIUS
BENDROSIOS NUOSTATOS

1. Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo Vilniaus miesto savivaldybės kontrolės ir audito tarnyboje tvarkos apraše (toliau – Tvarkos aprašas) nustatyta asmens duomenų tvarkymo apimtis ir tikslai, asmens duomenų saugojimo priemonės, asmens duomenų saugos pažeidimų valdymas, asmens duomenų subjektų teisės, duomenų subjektų prašymų dėl teisės (-ių), įtvirtintų 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (toliau – Reglamentas), įgyvendinimo pateikimo ir nagrinėjimo Vilniaus miesto savivaldybės kontrolės ir audito tarnyboje tvarka.
2. Tvarkos aprašas taikomas įgyvendinant duomenų subjektų – asmenų, kurių asmens duomenis tvarko Vilniaus miesto savivaldybės kontrolės ir audito tarnyba, teises.
3. Tvarkos apraše vartojamos sąvokos:
3.1. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima tiesiogiai ar netiesiogiai nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens kodą, buvimo vietos duomenis, interneto identifikatorių arba pagal vieną ar kelis to asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
3.2. Duomenų valdytojas – Vilniaus miesto savivaldybės kontrolės ir audito tarnyba (toliau – Tarnyba, duomenų valdytojas), juridinio asmens kodas 188649078, buveinės adresas Konstitucijos pr. 3, Vilnius, kuri tvarkydama duomenų subjektų asmens duomenis nustato tų duomenų naudojimo būdus ir priemones.
3.3. Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.
3.4. Duomenų tvarkytojas – fizinis ar juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis.
4. Kitos Tvarkos apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose, reguliuojančiuose asmens duomenų apsaugą.

II SKYRIUS
TARNYBOJE TVARKOMI DUOMENŲ SUBJEKTŲ ASMENS DUOMENYS

5. Tarnyboje tvarkomi šie duomenų subjektų grupių asmens duomenys šiais asmens duomenų tvarkymo tikslais:
5.1. Tarnybos esamų ir buvusių valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis (toliau – Tarnybos darbuotojai), asmens duomenys (vardas, pavardė, asmens kodas, asmens socialinio draudimo numeris, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, gyvenimo ir veiklos aprašymas, šeiminė padėtis, pareigos, duomenys apie priėmimą (perkėlimą) į pareigas, atleidimą iš pareigų, duomenys apie išsilavinimą ir kvalifikaciją, duomenys apie mokymą, duomenys apie atostogas, duomenys apie darbo užmokestį, išeitines išmokas, kompensacijas, pašalpas, informacija apie dirbtą darbo laiką, informacija apie skatinimus ir nuobaudas, informacija apie atliktus darbus ir užduotis, duomenys apie darbuotojo veiklos vertinimą, viešų ir privačių interesų deklaravimo duomenys, Lietuvos Respublikos piliečio paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, ypatingi asmens duomenys, susiję su sveikata, teistumu, dalyvavimu uždraustos organizacijos veikloje, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti įpareigoja įstatymai ir kiti teisės aktai) tvarkomi vidaus administravimo (personalo valdymo, raštvedybos tvarkymo, apskaitos, materialinių ir finansinių išteklių naudojimo, vidinės komunikacijos) ir Tarnybos veiklos viešinimo tikslais;
5.2. pretendentų į Tarnybos darbuotojus asmens duomenys (vardas, pavardė, asmens kodas, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, pareigos, į kurias pretenduojama, gyvenimo ir veiklos aprašymas, duomenys apie išsilavinimą ir kvalifikaciją, ypatingi asmens duomenys, susiję su teistumu, dalyvavimu uždraustos organizacijos veikloje, pokalbio su pretendentu į valstybės tarnautojo pareigas skaitmeninis garso įrašas, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Tarnybą įpareigoja įstatymai ir kiti teisės aktai) tvarkomi vidaus administravimo (personalo valdymo, raštvedybos tvarkymo) tvarkomi vidaus administravimo (personalo valdymo ir administravimo) tikslu;
5.3. asmenų, pateikusių Tarnybai skundą ar prašymą, asmens duomenys (vardas, pavardė, asmens kodas, adresas, telefono ryšio numeris, elektroninio pašto adresas, parašas, skundo, prašymo ar pranešimo data ir numeris (registravimo Tarnyboje data ir numeris), skunde, prašyme ar pranešime nurodyta informacija (įskaitant ir ypatingus asmens duomenis), skundo, prašymo ar pranešimo nagrinėjimo rezultatas, Tarnybos atsakymo data ir numeris, skundo, prašymo ar pranešimo nagrinėjimo metu gauta informacija) tvarkomi asmenų informavimo, skundų ir prašymų nagrinėjimo, vidaus administravimo (raštvedybos tvarkymo) tikslais;
5.4. audituojamų ir (ar) audituotų subjektų darbuotojų ar kitų asmenų asmens duomenys (vardas, pavardė, darbovietė, kontaktiniai duomenys, duomenys apie pajamas, išlaidas, turtą ir įsipareigojimus, duomenys, susiję su sveikata, teistumu ir kiti audito metu gauti duomenys) tvarkomi audito ir poauditinės stebėsenos atlikimo tikslu;
5.5. asmenų, skambinančių į Tarnybą telefonu (balso ir pokalbių duomenys (bet kuri informacija, susijusi su asmeniu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai, telefono numeris, laikas, trukmė (-s)) tvarkomi vidaus administravimo (asmenų aptarnavimo) tikslu;
5.6. asmenų, kurie lankosi Tarnyboje, asmens duomenys (vardas, pavardė) tvarkomi asmenų saugumo ir Tarnybos turto apsaugos užtikrinimo tikslu, gerosios praktikos pasidalijimo, komunikacijos, Tarnybos veiklos viešinimo tikslu;
5.7. fizinių asmenų, su Tarnyba sudariusių prekių, paslaugų, darbų viešojo pirkimo, privalomos ir savanoriškos praktikos ar kitas sutartis, asmens duomenys, o juridinių asmenų – jų darbuotojų, nurodytų sutartyse, asmens duomenys (vardas, pavardė, darbovietė, pareigos, telefono ryšio numeris, elektroninio pašto adresas, parašas) tvarkomi vidaus administravimo (sutarčių vykdymo ir atsiskaitymo) tikslu.
6. Tarnyba asmens duomenis tvarko vadovaudamasi Reglamento 6 straipsnio 1 dalies b, c ir e papunkčiuose nurodytais pagrindais arba asmens duomenų subjekto sutikimu.
7. Kai iš duomenų subjekto renkami jo asmens duomenys, Tarnyba duomenų subjektui asmens duomenų gavimo metu pateikia Reglamento 13 straipsnyje nurodytą informaciją.

III SKYRIUS
ASMENS DUOMENŲ TVARKYMAS IR SAUGOJIMAS

8. Asmens duomenys Tarnyboje tvarkomi automatiniu ir neautomatiniu būdais.
9. Tarnyba, tvarkydama duomenų subjektų asmens duomenis, vadovaujasi šiais principais:
9.1. asmens duomenis tvarko teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo, skaidrumo principas);
9.2. asmens duomenis renka nustatytais, aiškiai apibrėžtais ir teisėtais tikslais ir toliau netvarko su tais tikslais nesuderintu būtu (tikslo apribojimo principas);
9.3. asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi, t. y. nereikalauja pateikti tų duomenų, kurie nėra būtini funkcijoms vykdyti, nekaupia ir netvarko perteklinių duomenų ir duomenų, kurie nėra būtini atitinkamiems tikslams pasiekti (duomenų kiekio mažinimo principas);
9.4. asmens duomenis tvarko taip, kad jie būtų tikslūs, ir jei reikia dėl asmens duomenų tvarkymo, juos atnaujina; netikslius, neišsamius duomenis ištaiso, papildo, sunaikina arba jų tvarkymą sustabdo (tikslumo principas).
9.5. asmens duomenis saugo teisės aktų ir Tvarkos aprašo nustatyta tvarka (saugojimo trukmės apribojimo principas);
9.6. asmens duomenis tvarko tokiu būdu, kad taikant atitinkamas fizines, technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).
10. Prieiga prie asmens duomenų suteikiama tik tiems Tarnybos darbuotojams, kuriems tokie duomenys yra reikalingi jų funkcijoms ir pavedimams atlikti. Prieigos prie asmens duomenų, esančių Tarnybos informacinėse sistemose, Tarnybos darbuotojams suteikiamos, keičiamos ir naikinamos vadovaujantis savivaldybės kontrolieriaus įsakymu.
11. Su asmens duomenimis galima atlikti tik tuos veiksmus, kuriuos atlikti Tarnybos darbuotojams yra suteiktos teisės.
12. Tarnybos darbuotojai, kuriems yra suteikta teisė tvarkyti asmens duomenis, privalo laikytis Reglamente nurodytų asmens duomenų tvarkymo principų ir reikalavimų, laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino atlikdami savo funkcijas ir pavedimus.
13. Dokumentai, kuriuose yra asmens duomenys, tvarkomi, įtraukiami į apskaitą, viešinami ir saugomi vadovaujantis Dokumentų tvarkymo ir apskaitos taisyklių, patvirtintų Lietuvos vyriausiojo archyvaro 2011 m. liepos 4 d. įsakymu Nr. V-118 „Dėl Dokumentų tvarkymo ir apskaitos taisyklių patvirtinimo", Elektroninių dokumentų valdymo taisyklių, patvirtintų Lietuvos vyriausiojo archyvaro 2011 m. gruodžio 29 d. įsakymu Nr. V-158 „Dėl Elektroninių dokumentų valdymo taisyklių patvirtinimo", reikalavimais ir Lietuvos vyriausiojo archyvaro tarnybos parengtomis Vaizdo ir garso dokumentų išsaugojimo rekomendacijomis.
14. Asmens duomenys saugomi ne ilgiau, nei to reikalauja duomenų tvarkymo tikslai. Asmens duomenų saugojimo terminai nustatomi savivaldybės kontrolieriaus patvirtintame kasmetiniame Tarnybos dokumentacijos plane. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie yra sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti atitinkamam archyvui.
15. Asmens duomenys (duomenys, kuriuose yra asmens dokumentai, ar jų kopijos) saugomi tam skirtose patalpose (rakinamose spintose, seifuose ar pan.) Asmens duomenys (dokumentai, kuriuose yra asmens duomenų, ar jų kopijos) negali būti laikomi visiems prieinamoje matomoje vietoje, kur neturintys teisės asmenys nekliudomi galėtų su jais susipažinti.
16. Asmens duomenys (dokumentai, kuriuose asmens duomenys, ar jų kopijos, esantys išorinėse duomenų laikmenose ir elektroniniame pašte, turi būti ištrinami nedelsiant nuo jų panaudojimo ir (ar) perkėlimo į saugojimo vietas, tačiau ne vėliau kaip per 7 dienas.
17. Kompiuteriuose, kuriuose yra saugomi asmens duomenys, turi būti ekrano užsklanda su slaptažodžiu. Darbuotojai prieigos prie asmens duomenų slaptažodžiais turi naudotis asmeniškai ir neatskleisti jų tretiesiems asmenims.
18. Dokumentai, kuriuose yra asmens duomenys, ir jų kopijos turi būti sunaikinami taip, kad jų negalima būti atkurti ir atpažinti turinio.

IV SKYRIUS
DUOMENŲ SUBJEKTŲ TEISĖS

19. Duomenų subjektas turi šias teises:
19.1. teisę susipažinti su asmens duomenimis, tvarkomais Tarnyboje, ir gauti šią informaciją:
19.1.1. asmens duomenų tvarkymo tikslai,
19.1.2. atitinkamų asmens duomenų kategorijos,
19.1.3. duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems per paskutinius vienerius metus buvo ar yra teikiami asmens duomenys, visų pirma duomenų gavėjai trečiosiose valstybėse arba tarptautinės organizacijos,
19.1.4. nustatytas asmens duomenų saugojimo laikotarpis,
19.1.5. kai asmens duomenys renkami ne iš duomenų subjekto, – visa turima informacija apie jų šaltinius;
19.2. teisę reikalauti, kad būtų ištaisyti netikslūs su asmeniu susiję duomenys ir/ar papildyti neišsamūs asmens duomenys;
19.3. teisę reikalauti, kad Tarnyba nedelsdama ištrintų su juo susijusius asmens duomenis (teisė būti pamirštam), esant bent vienai iš šių sąlygų:
19.3.1. asmens duomenys nebereikalingi tikslams, kuriems jie buvo renkami arba kitaip tvarkomi, pasiekti,
19.3.2. asmens duomenų subjektas atšaukia sutikimą,
19.3.3. asmens duomenų subjektas nesutinka su duomenų tvarkymu,
19.3.4. asmens duomenys tvarkomi neteisėtai,
19.3.5. asmens duomenys turi būti ištrinti laikantis Europos Sąjungos arba nacionalinėje teisėje, kuri taikoma duomenų valdytojui, nustatytos teisinės prievolės;
19.4. teisę reikalauti, kad Tarnyba apribotų duomenų tvarkymą, esant bent vienai iš šių sąlygų:
19.4.1. asmens duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį duomenų valdytojas gali patikrinti asmens duomenų tikslumą,
19.4.2. asmens duomenų tvarkymas yra neteisėtas, kai duomenų subjektas nesutinka, kad duomenys būtų ištrinti, ir prašo apriboti jų naudojimą,
19.4.3. duomenų valdytojui nebereikia asmens duomenų tvarkymo tikslais, tačiau jų reikia duomenų subjektui, siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;
19.5. teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui susisteminto, įprastai naudojamo ir kompiuterio skaitomo formato, ir teisę persiųsti tuos duomenis kitam duomenų valdytojui (teisė į duomenų perkeliamumą), o Tarnyba, kuriai tokie asmens duomenys buvo pateikti, turi nesudaryti kliūčių, kai duomenų tvarkymas grindžiamas sutikimu arba duomenys yra tvarkomi automatizuotomis priemonėmis. Naudodamasis šiame punkte nurodyta teise, duomenų subjektas turi teisę prašyti, kad Tarnyba asmens duomenis tiesiogiai persiųstų kitam duomenų valdytojui, kai tai techniškai įmanoma.
20. Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas atliekamas, kai asmens duomenis tvarkyti būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas arba tvarkyti būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, įskaitant profiliavimą, remiantis tomis nuostatomis.
21. Duomenų subjektas turi teisę nesutikti, kad jam būtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, dėl kurio jam kyla teisinių pasekmių arba kuris jam panašiu būdu daro didelį poveikį.

V SKYRIUS
DUOMENŲ TEIKIMAS TRETIESIEMS ASMENIMS

22. Asmens duomenys tretiesiems asmenims teikiami tik įstatymų ir kitų teisės aktų nustatytais atvejais ir tvarka:
22.1. asmenų, pateikusių Tarnybai skundą ar prašymą, asmens duomenys skundo ar prašymo nagrinėjimo tikslu – juridiniams ir fiziniams asmenims;
22.2. asmenų, pateikusių Tarnybai skundą ar prašymą, ir duomenų valdytojų (fizinių asmenų) asmens duomenys ginčo dėl Tarnybos priimto sprendimo teisėtumo nagrinėjimo tikslu – teismams, Lietuvos administracinių ginčų nagrinėjimo komisijai, darbo ginčų komisijai;
22.3. pretendentų į Tarnybos valstybės tarnautojus asmens duomenys valstybės tarnybos valdymo tikslu – Valstybės tarnybos departamentui;
22.4. Tarnybos darbuotojų asmens duomenys: socialinio draudimo mokesčio administravimo tikslu – Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos, mokesčių administravimo tikslu – Valstybinei mokesčių inspekcijai prie Lietuvos Respublikos finansų ministerijos, valstybės tarnybos valdymo tikslu – Valstybės tarnybos departamentui; siekiant pranešti apie nelaimingą atsitikimą darbe – Valstybinei darbo inspekcijai prie Socialinės apsaugos ir darbo ministerijos;
22.5. audituotų subjektų darbuotojų ar kitų asmenų asmens duomenys, tvarkomi audito ir poauditinės stebėsenos atlikimo tikslu – ikiteisminio tyrimo institucijoms, kitoms viešojo administravimo institucijoms pagal kompetenciją ar teismams;
22.6. asmenų, skambinusių į Tarnybą telefonu, pokalbių duomenys galimų teisės aktų pažeidimų nustatymo tikslu – ikiteisminio tyrimo institucijoms, teismams ar kitoms valstybės įgaliotoms institucijoms;
22.7. kitiems tretiesiems asmenims, kuriems asmens duomenis teikti Tarnybą įpareigoja įstatymai ar kiti teisės aktai, sutartys.


VI SKYRIUS
PRAŠYMO DĖL DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO PATEIKIMAS

23. Duomenų subjektai, siekdami įgyvendinti savo teises, Tarnybai turi pateikti rašytinį prašymą asmeniškai, paštu ar per pasiuntinį arba elektroninių ryšių priemonėmis.
24. Prašymas turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyta duomenų subjekto vardas, pavardė, gyvenamoji vieta, duomenys ryšiui palaikyti ir informacija apie tai, kokią iš Tvarkos aprašo IV skyriuje nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti.
25. Pateikdamas prašymą, duomenų subjektas privalo patvirtinti savo tapatybę:
25.1. pateikdamas prašymą Tarnybos darbuotojui, registruojančiam prašymą, turi pateikti asmens tapatybę patvirtinantį dokumentą;
25.2. pateikdamas prašymą paštu ar per pasiuntinį, kartu turi pateikti asmens tapatybę patvirtinančio dokumento kopiją, patvirtintą notaro, ar šio dokumento kopiją, patvirtintą kita teisės aktų nustatyta tvarka;
25.3. pateikdamas prašymą elektroninių ryšių priemonėmis, turi pasirašyti jį elektroniniu parašu.
26. Duomenų subjektas savo teises Tarnyboje gali įgyvendinti pats arba per atstovą. Jei atstovaujamo duomenų subjekto vardu į Tarnybą kreipiasi asmens atstovas, jis savo prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, duomenis ryšiui palaikyti, taip pat atstovaujamo asmens vardą, pavardę, gyvenamąją vietą, informaciją apie tai, kokią iš Tvarkos aprašo IV skyriuje nurodytų duomenų subjekto teisių ir kokia apimtimi pageidaujama įgyvendinti, ir pridėti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą teisės aktų nustatyta tvarka.

VII SKYRIUS
PRAŠYMO DĖL DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO NAGRINĖJIMAS

27. Tarnyba duomenų subjekto prašymo, kuris pateiktas nesilaikant Tvarkos aprašo 23–26 punktuose nustatytų reikalavimų, nenagrinėja.
28. Tarnyba, nepagrįstai nedelsdama, tačiau ne vėliau kaip per 30 kalendorinių dienų nuo prašymo gavimo, pateikia duomenų subjektui ar jo atstovui informaciją apie veiksmus, kurių imtasi gavus prašymą. Tas laikotarpis prireikus gali būti pratęstas savivaldybės kontrolieriaus arba jo įgalioto Tarnybos darbuotojo (toliau – duomenų valdytojo vadovo) dar 60 kalendorinių dienų, atsižvelgiant į prašymo sudėtingumą ir jų skaičių. Tarnyba per 30 kalendorinių dienų nuo prašymo gavimo informuoja duomenų subjektą ar jo atstovą apie tokį pratęsimą, kartu pateikdama vėlavimo priežastis. Tarnyba atsakymą duomenų subjektui ar jo atstovui pateikia valstybine kalba duomenų subjekto pasirinktu būdu: registruotu paštu, įteikiant asmeniškai atvykus į Tarnybą arba elektroninėmis ryšio priemonėmis pateikiant elektroninį dokumentą, pasirašytą saugiu elektroniniu parašu. Tarnyba, dėl objektyvių priežasčių negalėdama pateikti atsakymo duomenų subjektui ar jo atstovui jo pasirinktu būdu, atsakymą pateikia registruota korespondencijos siunta.
29. Jei duomenų valdytojas nenagrinėja duomenų subjekto prašymo, jis nedelsdamas, tačiau ne vėliau kaip per 30 kalendorinių dienų nuo prašymo gavimo, informuoja duomenų subjektą ar jo atstovą apie nenagrinėjimo priežastis ir apie galimybę pateikti skundą priežiūros institucijai ir pasinaudoti kita teisių gynimo priemone.
30. Duomenų subjekto teisės Tarnyboje įgyvendinamos neatlygintinai.
31. Tarnyba, atsisakydama vykdyti duomenų subjekto prašymą įgyvendinti jo, kaip duomenų subjekto, teises, pateikia jam tokio atsisakymo motyvus.
32. Tarnybos atsisakymas įgyvendinti duomenų subjekto teises gali būti skundžiamas įstatymų nustatyta tvarka.
33. Tarnyba, įgyvendindama duomenų subjekto teises, užtikrina, kad nebūtų pažeista kitų asmenų teisė į privataus gyvenimo neliečiamumą.

VIII SKYRIUS
ASMENS DUOMENŲ SAUGOS PAŽEIDIMŲ VALDYMAS

34. Asmens duomenų saugumo pažeidimu yra laikomas bet kuris tyčinis ar neatsargus asmens duomenų apsaugos pažeidimas, kuomet:
34.1. sunaikinami, prarandami, pakeičiami asmens duomenys;
34.2. be leidimo atskleidžiami asmens duomenys;
34.3. be leidimo asmenys, neturintys tam teisės, gautų prieigą prie asmens duomenų.
35. Jei dėl įvykdyto asmens duomenų saugumo pažeidimo kyla pavojus duomenų subjektų teisėms ir laisvėms, Tarnybos duomenų apsaugos pareigūnas ar kitas savivaldybės kontrolieriaus paskirtas darbuotojas privalo nedelsdamas, bet ne vėliau nei kaip per 72 valandas pranešti Valstybinei duomenų apsaugos inspekcijai apie įvykusį duomenų saugumo pažeidimą. Jeigu Valstybinei duomenų apsaugos inspekcijai apie asmens duomenų saugumo pažeidimą nepranešama per 72 valandas, prie pranešimo turi būti pridėtos vėlavimo priežastys.
36. Kilus ypatingai dideliam pavojui duomenų subjektų teisėms ir laisvėms, informacija apie įvykusį saugumo pažeidimą nedelsiant taip pat turi būti pateikta duomenų subjektams.
37. Šio Tvarkos aprašo 35 ir 36 punktuose numatytuose pranešimuose dėl įvykusio asmens duomenų saugumo pažeidimo Valstybinei duomenų apsaugos inspekcijai, duomenų subjektams privalo būti trumpai aprašytas asmens duomenų saugumo pažeidimo pobūdis, nurodant apytikslį duomenų subjektų skaičių, kurios asmens teisės ir laisvės galėjo būti pažeistos, pareigūno ar kito atsakingo darbuotojo kontaktai, trumpai aprašytos tikėtinos pažeidimo pasekmės bei priemonės, kurių Tarnyba imasi / imsis, kad būtų pašalintos neigiamos pasekmės, susijusios su įvykusiu duomenų saugumo pažeidimu.
38. Nustatydami, ar būtina vykdyti informavimo pareigą, aptartą šio Tvarkos aprašo Taisyklių 35 ir 36 punktuose, Tarnybos duomenų apsaugos pareigūnas ar kitas savivaldybės kontrolieriaus paskirtas atsakingas darbuotojas privalo įvertinti, ar dėl įvykusio incidento:
38.1. įvyko konfidencialumo pažeidimas (pavyzdžiui, atskleisti duomenys ir jie tapo prieinami tretiesiems asmenims, suteikiant prieigą, tinkamai nešifruojant, kt.);
38.2. įvyko duomenų pasiekiamumo pažeidimas (pavyzdžiui, prarasti duomenys ir neturima atsarginių kopijų);
38.3. įvyko duomenų vientisumo pažeidimas (pavyzdžiui, kai yra neteisėtas ar netyčinis asmens duomenų praradimas).
39. Jei Tarnybos duomenų apsaugos pareigūnas ar kitas savivaldybės kontrolieriaus paskirtas atsakingas darbuotojas nustato, kad yra bent vienas iš šio Tvarkos aprašo 38.1 – 38.3 papunkčiuose numatytų pažeidimų, nedelsdamas vykdo informavimo pareigą, kaip tai aptarta Tvarkos aprašo 35 ir 36 punktuose.
40. Tarnybos duomenų apsaugos pareigūnas ar kitas savivaldybės kontrolieriaus paskirtas atsakingas darbuotojas privalo užtikrinti, kad visi asmens duomenų apsaugos pažeidimai, įskaitant ir tuos, dėl kurių nevykdoma informavimo pareiga, kaip aptarta šiame Tvarkos aprašo skyriuje, būtų tinkamai dokumentuoti ir saugomi.
41. Įvykus asmens duomenų saugumo pažeidimui, aptartam šiame Tvarkos aprašo skyriuje, Tarnybos duomenų apsaugos pareigūnas ar kitas savivaldybės kontrolieriaus paskirtas atsakingas darbuotojas informuoja Tarnybos darbuotojus ir duoda atitinkamas instrukcijas konkretiems darbuotojams dėl jų pareigų, funkcijų vykdymo, susijusio su asmens duomenų saugumo pažeidimo valdymu.
42. Įvykus asmens duomenų saugumo pažeidimui, aptartam šiame Tvarkos aprašo skyriuje, Tarnybos duomenų apsaugos pareigūnas, be kitų šiame skyriuje aptartų pareigų, taip pat sudaro veiksmų planą su prevenciniais veiksmais, kuriais būtų siekiama ateityje užkirsti kelią analogiškam ar panašiam duomenų saugumo pažeidimui, ir pateikia jį savivaldybės kontrolieriui.

IX SKYRIUS
ASMENS DUOMENŲ TVARKYTOJAI

43. Tais atvejais, kai Tarnyba įgalioja duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp Tarnybos ir duomenų tvarkytojo turi būti sudaroma rašytinė asmens duomenų tvarkymo sutartis arba kitoks oficialus dokumentas.
44. Sprendimą perduoti duomenų subjektų asmens duomenų tvarkymą duomenų tvarkytojui, priima savivaldybės kontrolierius.
45. Tarnyba parenka duomenų tvarkytoją, kuris užtikrina, kad būtų įgyvendintos techninės ir organizacinės duomenų apsaugos priemonės ir užtikrintas tokių priemonių laikymasis.
46. Tarnyba, sutartimi įgaliodama duomenų tvarkytoją tvarkyti asmens duomenis nurodo, kad asmens duomenys būtų tvarkomi atsižvelgiant į asmens duomenų tvarkymą reglamentuojančius teisės aktus, Tarnybos nurodymus, taip pat nurodoma, kokius asmens duomenų tvarkymo veiksmus privalo atlikti duomenų tvarkytojas Tarnybos vardu, duomenų tvarkytojo įsipareigojimai Tarnybai, įskaitant įsipareigojimą laikytis Reglamente įtvirtintų reikalavimų, duomenų tvarkymo trukmė, pobūdis, asmens duomenų rūšis, duomenų subjektų kategorijos, duomenų tvarkytojo pareiga ištrinti arba grąžinti Tarnybai asmens duomenis, jų kopijas, pabaigus Tarnybai teikti pareigas.
47. Tarnyba, sudarydama sutartį su duomenų tvarkytoju, be kita ko, nurodo, kad duomenų tvarkytojas privalo užtikrinti Tarnybos perduodamų tvarkyti duomenų konfidencialumą, o ketindamas tvarkymui pasitelkti trečiuosius asmenis (kitus duomenų tvarkytojus), duomenų tvarkytojas privalo gauti išankstinį rašytinį Tarnybos pritapimą bei užtikrinti, kad pasitelktas duomenų tvarkytojas (subtvarkytojas) laikytųsi tų pačių reikalavimų, kurie nustatyti tvarkytojui.

X SKYRIUS
BAIGIAMOSIOS NUOSTATOS

48. Šis tvarkos aprašas atnaujinamas (peržiūrimas, keičiamas, papildomas) pasikeitus asmens duomenų tvarkymą reglamentuojantiems teisės aktams arba ne rečiau kaip kartą per du metus.
__________________

 

DUOMENŲ APSAUGOS PAREIGŪNAS

 

 

 

Informacija atnaujinta 2018 m. liepos 25 d.

Papildoma informacija