Asmens duomenų apsauga
VILNIAUS MIESTO SAVIVALDYBĖS
KONTROLIERIUS
ĮSAKYMAS
DĖL ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO VILNIAUS MIESTO SAVIVALDYBĖS KONTROLĖS IR AUDITO TARNYBOJE TVARKOS APRAŠO PATVIRTINIMO
2022 m. gegužės 30 d. Nr. B-01-13
Vilnius
Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų apsaugą:
1. Tvirtinu Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo Vilniaus miesto savivaldybės kontrolės ir audito tarnyboje tvarkos aprašą (pridedama).
2. P r i p a ž į s t u netekusiu galios Vilniaus miesto savivaldybės kontrolieriaus 2018 m. birželio 15 d. įsakymą Nr. B-01-9 „Dėl asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo Vilniaus miesto savivaldybės kontrolės ir audito tarnyboje tvarkos aprašo patvirtinimo”.
3. Įpareigoju:
3.1. Vilniaus miesto savivaldybės kontrolės ir audito tarnybos (toliau – Tarnyba) specialistę Danguolę Teslia su šiuo įsakymu supažindinti visus Tarnybos darbuotojus;
3.2. Tarnybos darbuotojus pasirašyti konfidencialumo pasižadėjimą.
Savivaldybės kontrolierius Gintaras Radavičius
PATVIRTINTA
Vilniaus miesto savivaldybės kontrolieriaus
2022 m. gegužės 30 d. įsakymu Nr. B-01-13
ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO VILNIAUS MIESTO SAVIVALDYBĖS KONTROLĖS IR AUDITO TARNYBOJE TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo Vilniaus miesto savivaldybės kontrolės ir audito tarnyboje tvarkos apraše (toliau – Tvarkos aprašas) nustatyta asmens duomenų tvarkymo apimtis ir tikslai, asmens duomenų saugojimo priemonės, asmens duomenų saugos pažeidimų valdymas, asmens duomenų subjektų teisės, duomenų subjektų prašymų dėl teisės (-ių), įtvirtintų 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (toliau – Reglamentas), įgyvendinimo pateikimo ir nagrinėjimo Vilniaus miesto savivaldybės kontrolės ir audito tarnyboje tvarka.
2. Tvarkos aprašas taikomas įgyvendinant duomenų subjektų – asmenų, kurių asmens duomenis tvarko Vilniaus miesto savivaldybės kontrolės ir audito tarnyba, teises.
3. Tvarkos apraše vartojamos sąvokos:
3.1. asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima tiesiogiai ar netiesiogiai nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens kodą, buvimo vietos duomenis, interneto identifikatorių arba pagal vieną ar kelis to asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
3.2. duomenų valdytojas – Vilniaus miesto savivaldybės kontrolės ir audito tarnyba (toliau – Tarnyba, duomenų valdytojas), juridinio asmens kodas 188649078, buveinės adresas Konstitucijos pr. 3, Vilnius, kuri tvarkydama duomenų subjektų asmens duomenis nustato tų duomenų naudojimo būdus ir priemones.
3.3. duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu ar tai yra trečioji šalis ar ne;
3.4. duomenų subjektas – darbuotojai, audituojamų subjektų darbuotojai ir kiti fiziniai asmenys, kurių duomenis tvarko Tarnyba;
3.5. duomenų teikimas – asmens duomenų atskleidimas perduodant ar kitu būdu padarant juos prieinamus (išskyrus paskelbimą visuomenės informavimo priemonėse);
3.6. duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.
3.7. duomenų tvarkytojas – fizinis ar juridinis asmuo, valdžios institucija ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis.
3.8. vidaus administravimas – veikla, kuria užtikrinamas Tarnybos savarankiškas funkcionavimas (struktūros tvarkymas, dokumentų, personalo valdymas, turimų materialinių ir finansinių išteklių valdymas), kad Tarnyba galėtų atlikti viešąjį administravimą.
4. Kitos Tvarkos apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose, reguliuojančiuose asmens duomenų apsaugą.
II SKYRIUS
TARNYBOJE TVARKOMI DUOMENŲ SUBJEKTŲ ASMENS DUOMENYS
5. Tarnyboje tvarkomi šie duomenų subjektų grupių asmens duomenys šiais asmens duomenų tvarkymo tikslais:
5.1. Tarnybos esamų ir buvusių valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis (toliau – Tarnybos darbuotojai), asmens duomenys (vardas, pavardė, asmens kodas, asmens socialinio draudimo numeris, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, gyvenimo ir veiklos aprašymas, šeiminė padėtis, pareigos, duomenys apie priėmimą (perkėlimą) į pareigas, atleidimą iš pareigų, duomenys apie išsilavinimą ir kvalifikaciją, duomenys apie mokymą, duomenys apie atostogas, duomenys apie darbo užmokestį, išeitines išmokas, kompensacijas, pašalpas, informacija apie dirbtą darbo laiką, informacija apie skatinimus ir nuobaudas, informacija apie atliktus darbus ir užduotis, duomenys apie darbuotojo veiklos vertinimą, viešų ir privačių interesų deklaravimo duomenys, Lietuvos Respublikos piliečio paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, ypatingi asmens duomenys, susiję su sveikata, teistumu, dalyvavimu uždraustos organizacijos veikloje, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti įpareigoja įstatymai ir kiti teisės aktai) tvarkomi vidaus administravimo (personalo valdymo, raštvedybos tvarkymo, apskaitos, materialinių ir finansinių išteklių naudojimo, vidinės komunikacijos) ir Tarnybos veiklos viešinimo tikslais;
5.2. pretendentų į Tarnybos darbuotojus asmens duomenys (vardas, pavardė, asmens kodas, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, pareigos, į kurias pretenduojama, gyvenimo ir veiklos aprašymas, duomenys apie išsilavinimą ir kvalifikaciją, ypatingi asmens duomenys, susiję su teistumu, dalyvavimu uždraustos organizacijos veikloje, pokalbio su pretendentu į valstybės tarnautojo pareigas skaitmeninis garso įrašas, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Tarnybą įpareigoja įstatymai ir kiti teisės aktai) tvarkomi vidaus administravimo (personalo valdymo, raštvedybos tvarkymo) tvarkomi vidaus administravimo (personalo valdymo ir administravimo) tikslu;
5.3. asmenų, pateikusių Tarnybai skundą ar prašymą, asmens duomenys (vardas, pavardė, asmens kodas, adresas, telefono ryšio numeris, elektroninio pašto adresas, parašas, skundo, prašymo ar pranešimo data ir numeris (registravimo Tarnyboje data ir numeris), skunde, prašyme ar pranešime nurodyta informacija (įskaitant ir ypatingus asmens duomenis), skundo, prašymo ar pranešimo nagrinėjimo rezultatas, Tarnybos atsakymo data ir numeris, skundo, prašymo ar pranešimo nagrinėjimo metu gauta informacija) tvarkomi asmenų informavimo, skundų ir prašymų nagrinėjimo, vidaus administravimo (raštvedybos tvarkymo) tikslais;
5.4. audituojamų ir (ar) audituotų subjektų darbuotojų ar kitų asmenų asmens duomenys (vardas, pavardė, darbovietė, kontaktiniai duomenys, duomenys apie pajamas, išlaidas, turtą ir įsipareigojimus, duomenys, susiję su sveikata, teistumu ir kiti audito metu gauti duomenys) tvarkomi audito ir poauditinės stebėsenos atlikimo tikslu;
5.5. asmenų, skambinančių į Tarnybą telefonu (balso ir pokalbių duomenys (bet kuri informacija, susijusi su asmeniu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai, telefono numeris, laikas, trukmė (-s)) tvarkomi vidaus administravimo (asmenų aptarnavimo) tikslu;
5.6. asmenų, kurie lankosi Tarnyboje, asmens duomenys (vardas, pavardė) tvarkomi asmenų saugumo ir Tarnybos turto apsaugos užtikrinimo tikslu, gerosios praktikos pasidalijimo, komunikacijos, Tarnybos veiklos viešinimo tikslu;
5.7. tiekėjų (fizinių asmenų) asmens duomenys: vardas (vardai), pavardė (pavardės), asmens kodas, išsilavinimas, darbovietė, pareigos, adresas, telefono ryšio numeris, elektroninio pašto adresas, kiti asmens duomenys, kuriuos pateikia pats duomenų subjektas, kuriuos Tarnyba gauna pagal teisės aktus vykdydama atitinkamą vidaus administravimo veiklą ir (arba) kuriuos tvarkyti Tarnybą įpareigoja įstatymai ir (arba) kiti teisės aktai tvarkomi viešųjų pirkimų procedūrų organizavimo ir vykdymo tikslais;
5.8. fizinių asmenų, su Tarnyba sudariusių prekių, paslaugų, darbų viešojo pirkimo, privalomos ir savanoriškos praktikos ar kitas sutartis, asmens duomenys, o juridinių asmenų – jų darbuotojų, nurodytų sutartyse, asmens duomenys (vardas, pavardė, darbovietė, pareigos, telefono ryšio numeris, elektroninio pašto adresas, parašas) tvarkomi vidaus administravimo (sutarčių vykdymo ir atsiskaitymo) tikslu.
6. Tarnyba asmens duomenis tvarko vadovaudamasi Reglamento 6 straipsnio 1 dalies b, c ir e papunkčiuose nurodytais pagrindais arba asmens duomenų subjekto sutikimu.
7. Kai iš duomenų subjekto renkami jo asmens duomenys, Tarnyba duomenų subjektui asmens duomenų gavimo metu pateikia Reglamento 13 straipsnyje nurodytą informaciją.
III SKYRIUS
ASMENS DUOMENŲ TVARKYMAS IR SAUGOJIMAS
8. Asmens duomenys Tarnyboje tvarkomi automatiniu ir neautomatiniu būdais.
9. Tarnybos darbuotojai, tvarkydami duomenų subjektų asmens duomenis, vadovaujasi šiais principais:
9.1. asmens duomenis tvarko teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo, skaidrumo principas);
9.2. asmens duomenis renka nustatytais, aiškiai apibrėžtais ir teisėtais tikslais ir toliau netvarko su tais tikslais nesuderintu būtu (tikslo apribojimo principas);
9.3. asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi, t. y. nereikalauja pateikti tų duomenų, kurie nėra būtini funkcijoms vykdyti, nekaupia ir netvarko perteklinių duomenų ir duomenų, kurie nėra būtini atitinkamiems tikslams pasiekti (duomenų kiekio mažinimo principas);
9.4. asmens duomenis tvarko taip, kad jie būtų tikslūs, ir jei reikia dėl asmens duomenų tvarkymo, juos atnaujina; netikslius, neišsamius duomenis ištaiso, papildo, sunaikina arba jų tvarkymą sustabdo (tikslumo principas).
9.5. asmens duomenis saugo teisės aktų ir Tvarkos aprašo nustatyta tvarka (saugojimo trukmės apribojimo principas);
9.6. asmens duomenis tvarko tokiu būdu, kad taikant atitinkamas fizines, technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).
10. Prieiga prie asmens duomenų suteikiama tik tiems Tarnybos darbuotojams, kuriems tokie duomenys yra reikalingi jų funkcijoms ir pavedimams atlikti.
11. Su asmens duomenimis galima atlikti tik tuos veiksmus, kuriuos atlikti Tarnybos darbuotojams yra suteiktos teisės.
12. Dokumentai, kuriuose yra asmens duomenys, tvarkomi, įtraukiami į apskaitą, viešinami ir saugomi vadovaujantis Dokumentų tvarkymo ir apskaitos taisyklių, patvirtintų Lietuvos vyriausiojo archyvaro 2011 m. liepos 4 d. įsakymu Nr. V-118 „Dėl Dokumentų tvarkymo ir apskaitos taisyklių patvirtinimo” ir Lietuvos vyriausiojo archyvaro tarnybos parengtomis Vaizdo ir garso dokumentų išsaugojimo rekomendacijomis.
13. Asmens duomenys saugomi ne ilgiau, nei to reikalauja duomenų tvarkymo tikslai. Asmens duomenų saugojimo terminai nustatomi savivaldybės kontrolieriaus patvirtintame kasmetiniame Tarnybos dokumentacijos plane. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie yra sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti atitinkamam archyvui.
14. Asmens duomenys (dokumentai, kuriuose yra asmens duomenys, ar jų kopijos) saugomi tam skirtose patalpose (rakinamose spintose, seifuose ar pan.).
IV SKYRIUS
DUOMENŲ SUBJEKTŲ TEISĖS
15. Duomenų subjektas turi šias teises:
15.1. teisę susipažinti su asmens duomenimis, tvarkomais Tarnyboje, ir gauti šią informaciją:
15.1.1. asmens duomenų tvarkymo tikslai,
15.1.2. atitinkamų asmens duomenų kategorijos,
15.1.3. duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems per paskutinius vienerius metus buvo ar yra teikiami asmens duomenys, visų pirma duomenų gavėjai trečiosiose valstybėse arba tarptautinės organizacijos,
15.1.4. nustatytas asmens duomenų saugojimo laikotarpis,
15.1.5. kai asmens duomenys renkami ne iš duomenų subjekto, – visa turima informacija apie jų šaltinius;
15.2. teisę reikalauti, kad būtų ištaisyti netikslūs su asmeniu susiję duomenys ir/ar papildyti neišsamūs asmens duomenys;
15.3. teisę reikalauti, kad Tarnyba nedelsdama ištrintų su juo susijusius asmens duomenis (teisė būti pamirštam), esant bent vienai iš šių sąlygų:
15.3.1. asmens duomenys nebereikalingi tikslams, kuriems jie buvo renkami arba kitaip tvarkomi, pasiekti,
15.3.2. asmens duomenų subjektas atšaukia sutikimą,
15.3.3. asmens duomenų subjektas nesutinka su duomenų tvarkymu,
15.3.4. asmens duomenys tvarkomi neteisėtai,
15.3.5. asmens duomenys turi būti ištrinti laikantis Europos Sąjungos arba nacionalinėje teisėje, kuri taikoma duomenų valdytojui, nustatytos teisinės prievolės;
15.4. teisę reikalauti, kad Tarnyba apribotų duomenų tvarkymą, esant bent vienai iš šių sąlygų:
15.4.1. asmens duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį duomenų valdytojas gali patikrinti asmens duomenų tikslumą,
15.4.2. asmens duomenų tvarkymas yra neteisėtas, kai duomenų subjektas nesutinka, kad duomenys būtų ištrinti, ir prašo apriboti jų naudojimą,
15.4.3. duomenų valdytojui nebereikia asmens duomenų tvarkymo tikslais, tačiau jų reikia duomenų subjektui, siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;
15.5. teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui susisteminto, įprastai naudojamo ir kompiuterio skaitomo formato, ir teisę persiųsti tuos duomenis kitam duomenų valdytojui (teisė į duomenų perkeliamumą), o Tarnyba, kuriai tokie asmens duomenys buvo pateikti, turi nesudaryti kliūčių, kai duomenų tvarkymas grindžiamas sutikimu arba duomenys yra tvarkomi automatizuotomis priemonėmis. Naudodamasis šiame punkte nurodyta teise, duomenų subjektas turi teisę prašyti, kad Tarnyba asmens duomenis tiesiogiai persiųstų kitam duomenų valdytojui, kai tai techniškai įmanoma.
16. Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas atliekamas, kai asmens duomenis tvarkyti būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas arba tvarkyti būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, įskaitant profiliavimą, remiantis tomis nuostatomis.
17. Duomenų subjektas turi teisę nesutikti, kad jam būtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, dėl kurio jam kyla teisinių pasekmių arba kuris jam panašiu būdu daro didelį poveikį.
V SKYRIUS
DUOMENŲ TEIKIMAS TRETIESIEMS ASMENIMS
18. Asmens duomenys tretiesiems asmenims teikiami tik įstatymų ir kitų teisės aktų nustatytais atvejais ir tvarka:
18.1. asmenų, pateikusių Tarnybai skundą ar prašymą, asmens duomenys skundo ar prašymo nagrinėjimo tikslu – juridiniams ir fiziniams asmenims;
18.2. asmenų, pateikusių Tarnybai skundą ar prašymą, ir duomenų valdytojų (fizinių asmenų) asmens duomenys ginčo dėl Tarnybos priimto sprendimo teisėtumo nagrinėjimo tikslu – teismams, Lietuvos administracinių ginčų nagrinėjimo komisijai, darbo ginčų komisijai;
18.3. pretendentų į Tarnybos valstybės tarnautojus asmens duomenys valstybės tarnybos valdymo tikslu – Valstybės tarnybos departamentui;
18.4. Tarnybos darbuotojų asmens duomenys: socialinio draudimo mokesčio administravimo tikslu – Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos, mokesčių administravimo tikslu – Valstybinei mokesčių inspekcijai prie Lietuvos Respublikos finansų ministerijos, valstybės tarnybos valdymo tikslu – Valstybės tarnybos departamentui; siekiant pranešti apie nelaimingą atsitikimą darbe – Valstybinei darbo inspekcijai prie Socialinės apsaugos ir darbo ministerijos;
18.5. audituotų subjektų darbuotojų ar kitų asmenų asmens duomenys, tvarkomi audito ir poauditinės stebėsenos atlikimo tikslu – ikiteisminio tyrimo institucijoms, kitoms viešojo administravimo institucijoms pagal kompetenciją ar teismams;
18.6. asmenų, skambinusių į Tarnybą telefonu, pokalbių duomenys galimų teisės aktų pažeidimų nustatymo tikslu – ikiteisminio tyrimo institucijoms, teismams ar kitoms valstybės įgaliotoms institucijoms;
18.7. kitiems tretiesiems asmenims, kuriems asmens duomenis teikti Tarnybą įpareigoja įstatymai ar kiti teisės aktai, sutartys.
VI SKYRIUS
PRAŠYMO DĖL DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO PATEIKIMAS
19. Duomenų subjektai, siekdami įgyvendinti savo teises, Tarnybai turi pateikti rašytinį prašymą asmeniškai, paštu ar per pasiuntinį arba elektroninių ryšių priemonėmis.
20. Prašymas turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyta duomenų subjekto vardas, pavardė, gyvenamoji vieta, duomenys ryšiui palaikyti ir informacija apie tai, kokią iš Tvarkos aprašo IV skyriuje nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti.
21. Pateikdamas prašymą, duomenų subjektas privalo patvirtinti savo tapatybę:
21.1. pateikdamas prašymą Tarnybos darbuotojui, registruojančiam prašymą, turi pateikti asmens tapatybę patvirtinantį dokumentą;
21.2. pateikdamas prašymą paštu ar per pasiuntinį, kartu turi pateikti asmens tapatybę patvirtinančio dokumento kopiją, patvirtintą notaro, ar šio dokumento kopiją, patvirtintą kita teisės aktų nustatyta tvarka;
21.3. pateikdamas prašymą elektroninių ryšių priemonėmis, turi pasirašyti jį elektroniniu parašu.
22. Duomenų subjektas savo teises Tarnyboje gali įgyvendinti pats arba per atstovą. Jei atstovaujamo duomenų subjekto vardu į Tarnybą kreipiasi asmens atstovas, jis savo prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, duomenis ryšiui palaikyti, taip pat atstovaujamo asmens vardą, pavardę, gyvenamąją vietą, informaciją apie tai, kokią iš Tvarkos aprašo IV skyriuje nurodytų duomenų subjekto teisių ir kokia apimtimi pageidaujama įgyvendinti, ir pridėti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą teisės aktų nustatyta tvarka.
VII SKYRIUS
PRAŠYMO DĖL DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO NAGRINĖJIMAS
23. Tarnyba duomenų subjekto prašymo, kuris pateiktas nesilaikant Tvarkos aprašo 19–22 punktuose nustatytų reikalavimų, nenagrinėja.
24. Tarnyba, nepagrįstai nedelsdama, tačiau ne vėliau kaip per 30 kalendorinių dienų nuo prašymo gavimo, pateikia duomenų subjektui ar jo atstovui informaciją apie veiksmus, kurių imtasi gavus prašymą. Tas laikotarpis prireikus gali būti pratęstas savivaldybės kontrolieriaus arba jo įgalioto Tarnybos darbuotojo (toliau – duomenų valdytojo vadovo) dar 60 kalendorinių dienų, atsižvelgiant į prašymo sudėtingumą ir jų skaičių. Tarnyba per 30 kalendorinių dienų nuo prašymo gavimo informuoja duomenų subjektą ar jo atstovą apie tokį pratęsimą, kartu pateikdama vėlavimo priežastis. Tarnyba atsakymą duomenų subjektui ar jo atstovui pateikia valstybine kalba duomenų subjekto pasirinktu būdu: registruotu paštu, įteikiant asmeniškai atvykus į Tarnybą arba elektroninėmis ryšio priemonėmis pateikiant elektroninį dokumentą, pasirašytą saugiu elektroniniu parašu. Tarnyba, dėl objektyvių priežasčių negalėdama pateikti atsakymo duomenų subjektui ar jo atstovui jo pasirinktu būdu, atsakymą pateikia registruota korespondencijos siunta.
25. Jei duomenų valdytojas nenagrinėja duomenų subjekto prašymo, jis nedelsdamas, tačiau ne vėliau kaip per 30 kalendorinių dienų nuo prašymo gavimo, informuoja duomenų subjektą ar jo atstovą apie nenagrinėjimo priežastis ir apie galimybę pateikti skundą priežiūros institucijai ir pasinaudoti kita teisių gynimo priemone.
26. Duomenų subjekto teisės Tarnyboje įgyvendinamos neatlygintinai.
27. Tarnyba, atsisakydama vykdyti duomenų subjekto prašymą įgyvendinti jo, kaip duomenų subjekto, teises, pateikia jam tokio atsisakymo motyvus.
28. Tarnybos atsisakymas įgyvendinti duomenų subjekto teises gali būti skundžiamas įstatymų nustatyta tvarka.
29. Tarnyba, įgyvendindama duomenų subjekto teises, užtikrina, kad nebūtų pažeista kitų asmenų teisė į privataus gyvenimo neliečiamumą.
VIII SKYRIUS
TECHNINĖS IR ORGANIZACINĖS ASMENS DUOMENŲ TVARKYMO SAUGUMO PRIEMONĖS
30. Tarnybos darbuotojai privalo laikytis Tvarkos aprašo nuostatų ir prisidėti įgyvendinant Tarnyboje įdiegtas organizacines ir technines saugumo priemones, skirtas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.
31. Tarnybos darbuotojai turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino eidami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Konfidencialumui ir asmens duomenų saugumui užtikrinti Tarnybos darbuotojai pasirašo konfidencialumo pasižadėjimą (1 priedas).
32. Pareiga saugoti asmens duomenų paslaptį galioja visą darbuotojo darbo laiką, taip pat galioja darbuotoją paskyrus į kitas pareigas ir pasibaigus darbo santykiams.
33. Siekiant apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio kito neteisėto tvarkymo, turi būti taikomos šios priemonės:
33.1. saugus ir tinkamas techninės įrangos išdėstymas ir jos priežiūra, naudojimosi internetu saugumo užtikrinimas ir kitos informacinių technologijų priemonės;
33.2. priešgaisrinės apsaugos tarnybos nustatytų normų laikymasis;
33.3. saugus ir tinkamas darbo organizavimas, kitos administracinės priemonės.
34. Darbuotojai automatiniu būdu tvarkyti asmens duomenis gali tik po to, kai jiems suteikiama prieigos teisė prie atitinkamos informacinės sistemos. Prieiga prie asmens duomenų gali būti suteikta tik tam asmeniui, kuriam asmens duomenys yra reikalingi jo funkcijoms vykdyti. Darbo santykiams pasibaigus, darbuotojui prieigos prie registrų ir kitų programų teisės nedelsiant panaikinamos.
35. Darbuotojai gali perduoti dokumentus, kuriuose nurodyti asmens duomenys, tik tiems darbuotojams, kurie pagal pareigas ar atskirus pavedimus turi teisę dirbti su asmens duomenimis.
36. Darbuotojai, vykdantys duomenų subjekto asmens duomenų tvarkymo funkcijas, turi užkirsti kelią atsitiktiniam ar neteisėtam tvarkymui, turi saugoti dokumentus tinkamai ir saugiai (vengiant nereikalingų kopijų su duomenų subjekto duomenimis kaupimo ir kt.). Dokumentų kopijos, kuriose nurodomi duomenų subjekto duomenys, turi būti sunaikinamos tokiu būdu, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio, pavyzdžiui, susmulkinant, tačiau jokiu būdu neišmetant į šiukšliadėžę ar nepaliekant duomenų šalia jos ar kitoje atviroje vietoje. Automatiniu būdu surinkti duomenys sunaikinami ištrinant nebereikalingas asmens duomenų bylas iš saugojimo laikmenos taip, kad jų nebūtų galima atgaminti. Už duomenų sunaikinimą atsakingas duomenis naikinantis darbuotojas.
37. Darbuotojų darbo kompiuteriuose, kuriuose yra saugomi asmens duomenys, turi būti ekrano užsklanda su slaptažodžiu. Darbuotojai prieigos prie asmens duomenų slaptažodžiais turi naudotis asmeniškai ir neatskleisti jų tretiesiems asmenims.
38. Minimalūs reikalavimai slaptažodžiams:
38.1. juos turi sudaryti ne mažiau kaip 8 simboliai – didžiųjų ir mažųjų raidžių bei skaičių ar specialiųjų simbolių kombinacija;
38.2. juose negali būti naudojama asmeninio pobūdžio informacija (pvz., darbuotojo gimimo data, vardas ir pan.);
38.3. juos saugo ir gali žinoti tik darbuotojai, dirbantys su konkrečiomis paskyromis;
38.4. jie negali būti saugomi viešai ir negali būti prieinami kaip visuma.
39. Slaptažodžiai prireikus (pvz., iškilus įsilaužimo grėsmei) turi būti keičiami.
40. Darbuotojų darbo kompiuteriai, kuriuose saugomos rinkmenos su asmens duomenimis, negali būti laisvai prieinami iš kitų tinklo kompiuterių. Šių kompiuterių antivirusinė programinė įranga turi būti nuolat atnaujinama.
41. Nesant būtinybės, rinkmenos su asmens duomenimis neturi būti dauginamos skaitmeniniu būdu, t. y. kuriamos rinkmenų kopijos vietiniuose kompiuterių diskuose, nešiojamosiose laikmenose, nuotolinėse rinkmenų talpyklose ir kt.
42. Darbuotojai privalo taip organizuoti savo darbą, kad kiek įmanoma apribotų galimybę kitiems asmenims (kitiems darbuotojams ar kitiems tretiesiems asmenims) sužinoti tvarkomus asmens duomenis. Ši nuostata įgyvendinama:
42.1. nepaliekant dokumentų su tvarkomais asmens duomenimis ar kompiuterio, kuriuo naudojantis galima atidaryti rinkmenas su asmens duomenimis, be priežiūros taip, kad juose esančią informaciją galėtų perskaityti darbuotojai, neturintys teisės dirbti su konkrečiais asmens duomenimis, kiti asmenys;
42.2. dokumentus laikant taip, kad jų (ar jų fragmentų) negalėtų perskaityti atsitiktiniai asmenys;
42.3. jei dokumentai, kuriuose yra asmens duomenų, kitiems darbuotojams, padaliniams, įstaigoms perduodami per asmenis, kurie neturi teisės tvarkyti asmens duomenų, arba per paštą ar kurjerį, jie privalo būti perduodami užklijuotame nepermatomame voke.
43. Už asmens duomenų saugumo pažeidimų valdymą ir reagavimą į šiuos pažeidimus nuo informacijos gavimo yra atsakingas Tarnybos asmens duomenų pareigūnas teisės aktų nustatyta tvarka.
IX SKYRIUS
ASMENS DUOMENŲ SAUGOS PAŽEIDIMŲ VALDYMAS
44. Asmens duomenų saugumo pažeidimu yra laikomas bet kuris tyčinis ar neatsargus asmens duomenų apsaugos pažeidimas, kuomet:
44.1. sunaikinami, prarandami, pakeičiami asmens duomenys;
44.2. be leidimo atskleidžiami asmens duomenys;
44.3. be leidimo asmenys, neturintys tam teisės, gautų prieigą prie asmens duomenų.
45. Jei dėl įvykdyto asmens duomenų saugumo pažeidimo kyla pavojus duomenų subjektų teisėms ir laisvėms, Tarnybos duomenų apsaugos pareigūnas ar kitas savivaldybės kontrolieriaus paskirtas darbuotojas privalo nedelsdamas, bet ne vėliau nei kaip per 72 valandas pranešti Valstybinei duomenų apsaugos inspekcijai apie įvykusį duomenų saugumo pažeidimą. Jeigu Valstybinei duomenų apsaugos inspekcijai apie asmens duomenų saugumo pažeidimą nepranešama per 72 valandas, prie pranešimo turi būti pridėtos vėlavimo priežastys.
46. Kilus ypatingai dideliam pavojui duomenų subjektų teisėms ir laisvėms, informacija apie įvykusį saugumo pažeidimą nedelsiant taip pat turi būti pateikta duomenų subjektams.
47. Šio Tvarkos aprašo 45 ir 46 punktuose numatytuose pranešimuose dėl įvykusio asmens duomenų saugumo pažeidimo Valstybinei duomenų apsaugos inspekcijai, duomenų subjektams privalo būti trumpai aprašytas asmens duomenų saugumo pažeidimo pobūdis, nurodant apytikslį duomenų subjektų skaičių, kurios asmens teisės ir laisvės galėjo būti pažeistos, pareigūno ar kito atsakingo darbuotojo kontaktai, trumpai aprašytos tikėtinos pažeidimo pasekmės bei priemonės, kurių Tarnyba imasi / imsis, kad būtų pašalintos neigiamos pasekmės, susijusios su įvykusiu duomenų saugumo pažeidimu.
48. Nustatydami, ar būtina vykdyti informavimo pareigą, aptartą šio Tvarkos aprašo Taisyklių 45 ir 46 punktuose, Tarnybos duomenų apsaugos pareigūnas ar kitas savivaldybės kontrolieriaus paskirtas atsakingas darbuotojas privalo įvertinti, ar dėl įvykusio incidento:
48.1. įvyko konfidencialumo pažeidimas (pavyzdžiui, atskleisti duomenys ir jie tapo prieinami tretiesiems asmenims, suteikiant prieigą, tinkamai nešifruojant, kt.);
48.2. įvyko duomenų pasiekiamumo pažeidimas (pavyzdžiui, prarasti duomenys ir neturima atsarginių kopijų);
48.3. įvyko duomenų vientisumo pažeidimas (pavyzdžiui, kai yra neteisėtas ar netyčinis asmens duomenų praradimas).
49. Jei Tarnybos duomenų apsaugos pareigūnas ar kitas savivaldybės kontrolieriaus paskirtas atsakingas darbuotojas nustato, kad yra bent vienas iš šio Tvarkos aprašo 48.1 – 48.3 papunkčiuose numatytų pažeidimų, nedelsdamas vykdo informavimo pareigą, kaip tai aptarta Tvarkos aprašo 45 ir 46 punktuose.
50. Tarnybos duomenų apsaugos pareigūnas ar kitas savivaldybės kontrolieriaus paskirtas atsakingas darbuotojas privalo užtikrinti, kad visi asmens duomenų apsaugos pažeidimai, įskaitant ir tuos, dėl kurių nevykdoma informavimo pareiga, kaip aptarta šiame Tvarkos aprašo skyriuje, būtų tinkamai dokumentuoti ir saugomi.
51. Įvykus asmens duomenų saugumo pažeidimui, aptartam šiame Tvarkos aprašo skyriuje, Tarnybos duomenų apsaugos pareigūnas ar kitas savivaldybės kontrolieriaus paskirtas atsakingas darbuotojas informuoja Tarnybos darbuotojus ir duoda atitinkamas instrukcijas konkretiems darbuotojams dėl jų pareigų, funkcijų vykdymo, susijusio su asmens duomenų saugumo pažeidimo valdymu.
52. Įvykus asmens duomenų saugumo pažeidimui, aptartam šiame Tvarkos aprašo skyriuje, Tarnybos duomenų apsaugos pareigūnas, be kitų šiame skyriuje aptartų pareigų, taip pat sudaro veiksmų planą su prevenciniais veiksmais, kuriais būtų siekiama ateityje užkirsti kelią analogiškam ar panašiam duomenų saugumo pažeidimui, ir pateikia jį savivaldybės kontrolieriui.
X SKYRIUS
ASMENS DUOMENŲ TVARKYTOJAI
53. Tais atvejais, kai Tarnyba įgalioja duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp Tarnybos ir duomenų tvarkytojo turi būti sudaroma rašytinė asmens duomenų tvarkymo sutartis arba kitoks oficialus dokumentas.
54. Sprendimą perduoti duomenų subjektų asmens duomenų tvarkymą duomenų tvarkytojui, priima savivaldybės kontrolierius.
55. Tarnyba parenka duomenų tvarkytoją, kuris užtikrina, kad būtų įgyvendintos techninės ir organizacinės duomenų apsaugos priemonės ir užtikrintas tokių priemonių laikymasis.
56. Tarnyba, sutartimi įgaliodama duomenų tvarkytoją tvarkyti asmens duomenis nurodo, kad asmens duomenys būtų tvarkomi atsižvelgiant į asmens duomenų tvarkymą reglamentuojančius teisės aktus, Tarnybos nurodymus, taip pat nurodoma, kokius asmens duomenų tvarkymo veiksmus privalo atlikti duomenų tvarkytojas Tarnybos vardu, duomenų tvarkytojo įsipareigojimai Tarnybai, įskaitant įsipareigojimą laikytis Reglamente įtvirtintų reikalavimų, duomenų tvarkymo trukmė, pobūdis, asmens duomenų rūšis, duomenų subjektų kategorijos, duomenų tvarkytojo pareiga ištrinti arba grąžinti Tarnybai asmens duomenis, jų kopijas, pabaigus Tarnybai teikti pareigas.
57. Tarnyba, sudarydama sutartį su duomenų tvarkytoju, be kita ko, nurodo, kad duomenų tvarkytojas privalo užtikrinti Tarnybos perduodamų tvarkyti duomenų konfidencialumą, o ketindamas tvarkymui pasitelkti trečiuosius asmenis (kitus duomenų tvarkytojus), duomenų tvarkytojas privalo gauti išankstinį rašytinį Tarnybos pritarimą bei užtikrinti, kad pasitelktas duomenų tvarkytojas (subtvarkytojas) laikytųsi tų pačių reikalavimų, kurie nustatyti tvarkytojui.
XI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
58. Šis tvarkos aprašas atnaujinamas (peržiūrimas, keičiamas, papildomas) pasikeitus asmens duomenų tvarkymą reglamentuojantiems teisės aktams arba ne rečiau kaip kartą per du metus.
__________________
Asmens duomenų tvarkymo ir duomenų subjektų teisių
įgyvendinimo Vilniaus miesto savivaldybės kontrolės ir
audito tarnyboje tvarkos aprašo
1 priedas
(Konfidencialumo pasižadėjimo forma)
Vilniaus miesto savivaldybės kontrolės ir tarnybos
______________________________________________________
(pareigos)
______________________________________________________
(vardas ir pavardė)
KONFIDENCIALUMO PASIŽADĖJIMAS
20 _________ _____d.
Vilnius
1. Suprantu, kad:
1.1. savo darbe tvarkysiu duomenis, kurie negali būti atskleisti ar perduoti neįgaliotiems asmenims ar institucijoms;
1.2. draudžiama perduoti neįgaliotiems asmenims slaptažodžius ir kitą informaciją, leidžiančius programinėmis ir techninėmis priemonėmis sužinoti duomenis ar kitaip sudaryti sąlygas susipažinti su duomenimis ar naudotis IS;
1.3. netinkamas duomenų tvarkymas gali užtraukti atsakomybę pagal Lietuvos Respublikos įstatymus.
2. Įsipareigoju:
2.1. saugoti duomenų paslaptį;
2.2. tvarkyti duomenis, vadovaudamasis Lietuvos Respublikos įstatymais ir kitais teisės aktais, taip pat pareigybės aprašymu;
2.3. neatskleisti, neperduoti ir nesudaryti sąlygų įvairiomis priemonėmis susipažinti su tvarkoma informacija nė vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija tiek įstaigos viduje, tiek už jos ribų;
2.4. pranešti savivaldybės kontrolieriui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę duomenų saugumui.
3. Žinau, kad:
3.1. už šio pasižadėjimo nesilaikymą ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo pažeidimą turėsiu atsakyti pagal Lietuvos Respublikos įstatymus;
3.2. asmuo, patyręs žalą dėl neteisėto duomenų tvarkymo arba kitų duomenų valdytojo ar duomenų tvarkytojo veiksmų ar neveikimo, turi teisę reikalauti atlyginti jam padarytą turtinę ar neturtinę žalą (pagal Lietuvos Respublikos civilinį kodeksą, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą ir kitus teisės aktus);
3.3. duomenų valdytojas, duomenų tvarkytojas arba kitas asmuo, atlyginantis asmeniui padarytą žalą, patirtą nuostolį išreikalauja įstatymų nustatyta tvarka iš duomenis tvarkančio darbuotojo, dėl kurio kaltės atsirado ši žala;
3.4. šis pasižadėjimas galios visą mano darbo Vilniaus miesto savivaldybės kontrolės ir audito tarnyboje laiką.
4. Esu susipažinęs (-usi) su 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo Vilniaus miesto savivaldybės kontrolės ir audito tarnyboje tvarkos aprašu.
__________________________________________________________________________
(pareigos) (parašas) (vardas ir pavardė)
__________________
Informacija atnaujinta 2022 m. birželio 1 d.