ASMENS DUOMENŲ TVARKYMO VYTAUTO DIDŽIOJO UNIVERSITETO STUDENTŲ ATSTOVYBĖJE TVARKOS APRAŠAS
PATVIRTINTA
Vytauto Didžiojo universiteto Studentų atstovybės parlamento posėdyje
2021 m. Vasario 11 d.
PROTOKOLO Nr. 210211
ASMENS DUOMENŲ TVARKYMO VYTAUTO DIDŽIOJO UNIVERSITETO STUDENTŲ ATSTOVYBĖJE TVARKOS APRAŠAS
I SKYRIUS BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo Vytauto Didžiojo Universiteto (toliau – VDU) Studentų atstovybėje tvarkos aprašas (toliau – Aprašas) nustato asmens duomenų tvarkymo ir apsaugos reikalavimus, asmens duomenų tvarkymo tikslus, duomenų subjektų teises ir jų įgyvendinimo tvarką, duomenų apsaugos technines ir organizacines priemones.
2. Šis Aprašas taikomas ir yra privalomas duomenų valdytojui – Vytauto Didžiojo universiteto Studentų atstovybei (toliau – VDU SA) – ir visiems VDU SA nariams, kurie tvarko asmens duomenis arba eidami savo pareigas juos sužino.
3. VDU SA tvarkomi visų esamų ir buvusių VDU SA narių ir kitų asmenų asmens duomenys, kuriuos jie pateikė įstatymų nustatyta tvarka sutartinių ir kitų teisinių santykių pagrindu.
4. VDU SA yra visų VDU SA veiklos ir vidaus administravimo procesuose surinktų duomenų valdytojas, taip pat duomenų subjektų bei trečiųjų šalių, perduotų asmens duomenų, tvarkytojas.
5. Šis Aprašas parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 94/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau – ADTAĮ) ir kitais teisės aktais.
6. VDU SA įsipareigoja rinkti ir tvarkyti asmens duomenis tik tada ir tik tiek, kiek yra būtina konkrečiam, apibrėžtam ir teisėtam tikslui įgyvendinti.
7. Šiame Apraše vartojamos pagrindinės sąvokos:
7.1. Asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip vardas, pavardė, adresas, el. pašto adresas, asmens kodas ir kiti socialinio pobūdžio požymiai.
7.2. Duomenų gavėjas – juridinis ar fizinis asmuo, kuriam teikiami asmens duomenys.
7.3. Duomenų subjektas – fizinis asmuo, kurio asmens duomenis tvarko duomenų valdytojas ar tvarkytojas (-ai).
7.4. Duomenų teikimas – asmens duomenų atskleidimas perduodant ar kitu būdu padarant juos prieinamus (išskyrus paskelbimą visuomenės informavimo priemonėse).
7.5. Duomenų tvarkymas – bet kuris su asmens duomenimis atliekamas veiksmas: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas, loginės ir (ar) aritmetinės operacijos, paieška, skleidimas, naikinimas ar kitas veiksmas arba veiksmų rinkinys.
7.6. Duomenų tvarkymas statistikos tikslais – statistinių tyrimų vykdymas, jų rezultatų teikimas ir saugojimas.
7.7. Duomenų subjekto sutikimas (toliau – Sutikimas) – savanoriškas rašytinis duomenų subjekto valios pareiškimas tvarkyti jo asmens duomenis jam žinomu tikslu.
7.8. Prašymas – su asmens duomenų apsaugos teisių ar teisėtų interesų pažeidimu nesusijęs asmens kreipimasis į VDU SA prašant pagal VDU SA nustatytą tvarką suteikti jam informaciją apie VDU SA jo tvarkomus asmens duomenis bei gauti jų kopiją.
7.9. Prašymo nagrinėjimas – VDU SA veikla, apimanti asmens prašymo priėmimą, įregistravimą, esmės nustatymą, atsakymo parengimą ir išsiuntimą (įteikimą) asmeniui.
7.10. Skundas – asmens adresuotas rašytinis kreipimasis į VDU SA, kuriame nurodoma, kad pažeistos jo asmens duomenų apsaugos teisės ar teisėti interesai, ar pranešama apie kito asmens pažeistas asmens duomenų teises ir teisėtus interesus ir prašoma juos apginti.
7.11. Trečiasis asmuo – juridinis ar fizinis asmuo, išskyrus duomenų subjektą, duomenų valdytoją, duomenų tvarkytoją ir asmenis, kurie yra tiesiogiai duomenų valdytojo ar duomenų tvarkytojo įgalioti tvarkyti asmens duomenis.
II SKYRIUS
ASMENS DUOMENŲ TVARKYMO TIKSLAI, APIMTIS IR LAIKOTARPIS
8. Asmens duomenys VDU SA tvarkomi šiais tikslais:
8.1. Vidinės komunikacijos tikslais tvarkomi šie VDU SA būsimų, esamų ir buvusių narių bei kandidatų į VDU SA narius duomenys:
8.1.1. Vardas ir pavardė;
8.1.2. Telefono numeris, adresas ir elektroninio pašto adresas;
8.1.3. Gimimo data;
8.1.4. Pareigos, pareigų vykdymo laikotarpis;
8.1.5. Vaizdinė medžiaga, kurioje Asmuo yra nufilmuotas arba nufotografuotas;
8.1.6. Informacija apie studijų pradžią, studijų pabaigą (arba numatomą studijų pabaigą), studijų pakopa, studijų padalinys, studijų programa, studijų kursas.
8.2. Studentų atstovavimo tikslais tvarkomi šie studentų atstovų įvairiuose VDU ir VDU SA struktūriniuose organuose duomenys:
8.2.1 Xxxxxx ir pavardė;
8.2.2. Gimimo data ir asmens kodas;
8.2.3. Telefono numeris ir elektroninio pašto adresas;
8.2.4. Pareigos, pareigų vykdymo laikotarpis;
8.2.5. Vaizdinė medžiaga, kurioje Asmuo yra nufilmuotas arba nufotografuotas;
8.2.6. Informacija apie studijų pradžią, studijų pabaigą (arba numatomą studijų pabaigą), studijų pakopa, studijų padalinys, studijų programa, studijų kursas.
8.3. Vykdomų renginių organizavimo tikslais tvarkomi šie renginių dalyvių duomenys:
8.3.1 Xxxxxx ir pavardė;
8.3.2 Telefono numeris ir elektroninio pašto adresas;
8.3.3 Gimimo data;
8.3.4 Studijų padalinys, studijų programa, studijų kursas;
8.3.5 Socialinio tinklo paskyros adresas;
8.3.6. Maitinimosi poreikiai ir kiti duomenų subjekto pateikti duomenys;
8.3.7 Vaizdinė medžiaga, kurioje Asmuo yra nufilmuotas arba nufotografuotas.
8.4. Kandidatų į pareigybes administravimo tikslu tvarkomi šie kandidatų duomenys:
8.4.1 Xxxxxx ir pavardė;
8.4.2 Telefono numeris ir elektroninio pašto adresas;
8.4.3 Gimimo data;
8.4.4. Informacija apie studijų pradžią, studijų pabaigą (arba numatomą studijų pabaigą), studijų pakopa, studijų padalinys, studijų programa, studijų kursas.;
8.4.5 Vaizdinė medžiaga, kurioje Asmuo yra nufilmuotas arba nufotografuotas.;
8.4.6 Kiti duomenys, kuriuos kandidatas nurodo savo motyvaciniame laiške ir gyvenimo aprašyme.
9. Teisės aktų nustatytais atvejais ir tvarka 8 punkte nurodyti asmens duomenys gali būti teikiami Universitetui.
10. Asmens duomenys saugomi kol asmuo turi studento statusą, VDU SA nario statusą ar renginio dalyvio statusą ir 2 metus po studijų, narystės ar renginio pabaigos.
III SKYRIUS
DUOMENŲ TVARKYME DALYVAUJANČIŲ SUBJEKTŲ PAREIGOS
11. Duomenys VDU SA renkami teisės aktų nustatyta tvarka juos gaunant tiesiogiai iš duomenų subjekto, oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų ar sutarčių pagrindu. Paprastai asmens duomenys tvarkomi gaunant duomenų subjekto sutikimą.
12. VDU SA, kaip duomenų valdytojas:
12.1. užtikrina duomenų subjekto teisių įgyvendinimą ir vykdo bendruosiuose reikalavimuose organizacinėms ir techninėms asmens duomenų saugumo priemonėms ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytas asmens duomenų valdytojo pareigas;
12.2. paskiria Revizijos komisiją atsakinga už duomenų apsaugą ir kitus asmenis, atsakingus už asmens duomenų tvarkymą VDU SA;
12.3. užtikrina, kad Revizijos komisija būtų įgaliota atsakyti į duomenų subjektų prašymus ir skundus, tinkamai ir laiku įtraukiama į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą;
12.4. užtikrina savo narių kompetencijos kėlimą asmens duomenų apsaugos srityje tinkamam pareigų vykdymui.
13. Toliau nurodytas asmens duomenų tvarkytojo funkcijas atlieka Prezidento įgalioti asmenys:
13.1. užtikrina, kad asmens duomenis VDU SA tvarkytų tik tie asmenys, kuriems tai būtina vykdomoms VDU SA pareigoms ir funkcijoms atlikti, ir tik tokios apimties, kuri būtina numatytiems tikslams pasiekti;
13.2. numato ir įgyvendina VDU SA tvarkomų technines duomenų apsaugos priemones;
13.3. užtikrina teisėtą asmens duomenų tvarkymą, duomenų subjektų teisių ir reikiamų techninių duomenų apsaugos priemonių įgyvendinimą VDU SA;
13.4. užtikrina technines priemones, įgalinančias asmens duomenų saugojimą tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau nei to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;
13.5. užtikrina VDU SA narių ir asmens duomenis tvarkančių asmenų supažindinimą su šiuo Aprašu;
13.6. atsako už asmens duomenų tvarkymui reikalingų dokumentų (susitarimų, protokolų, sutarčių, pranešimų ir pan.) parengimą ir tvirtinimą, registraciją ir pateikimą Revizijos komisijai (įgyvendinant duomenų subjektų teises);
13.7. užtikrina, kad asmens duomenys būtų tvarkomi laikantis šio Aprašo ir duomenis būtų įmanoma atkurti jų avarinio praradimo atveju;
13.8. užtikrina tinkamų organizacinių priemonių, skirtų apsaugoti atitinkamą VDU SA ir (ar) VDU SA padalinių veiklą koordinuojančių asmenų padalinio tvarkomus asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo, įgyvendinimą.
14. Revizijos komisija:
14.1. užtikrina, kad būtų laikomasi šių duomenų tvarkymo principų:
14.1.1. asmens duomenys būtų tvarkomi laikantis BDAR, ADTAĮ, ir kitų norminių bei VDU teisės aktų, reglamentuojančių duomenų apsaugą;
14.1.2. asmens duomenys būtų renkami apibrėžtais ir teisėtais tikslais ir toliau nebūtų tvarkomi tikslais, nesuderinamais su nustatytaisiais prieš renkant asmens duomenis;
14.1.3. asmens duomenys būtų tvarkomi tiksliai, sąžiningai ir teisėtai;
14.1.4. asmens duomenys būtų tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas;
14.1.5. asmens duomenys būtų tapatūs, tinkami ir tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti;
14.1.6. asmens duomenys būtų tvarkomi taip, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau nei to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi.
14.2. užtikrina, kad asmens duomenys būtų tvarkomi laikantis organizacinių ir techninių duomenų saugumo priemonių, nurodytų Prezidento įgaliotų asmenų parengtuose dokumentuose (susitarimuose, protokoluose, sutartyse, pranešimuose ir pan.);
14.3. identifikavusi perteklinius, nebenaudojamus duomenis, arba duomenis, kurių tvarkymui nebeliko teisinio pagrindo, užtikrina, kad galimas duomenų tvarkymo neatitikimas būtų nedelsiant pašalintas;
14.4. užtikrina elektroninių ir (ar) popierinių dokumentų su asmens duomenimis sunaikinimą, pasibaigus nustatytiems asmens duomenų saugojimo terminams;
14.5. užtikrina konfidencialumo reikalavimų laikymąsi, kad asmens duomenys nebūtų atskleisti tretiesiems asmenims.
14.6. praneša Prezidentui, jeigu įvertina ir nustato, kad organizacinės ir techninės priemonės, skirtos asmens duomenų apsaugai, yra nepatikimos.
VI SKYRIUS
DUOMENŲ SUBJEKTO TEISĖS
15. Duomenų subjektas, kurio duomenys tvarkomi VDU SA veikloje, turi šias teises:
15.1. žinoti (būti informuotas) apie savo duomenų tvarkymą (teisė žinoti);
15.2. susipažinti su savo duomenimis ir kaip jie yra tvarkomi (teisė susipažinti);
15.3. reikalauti ištaisyti arba, atsižvelgiant į asmens duomenų tvarkymo tikslus, papildyti asmens neišsamius asmens duomenis (teisė ištaisyti);
15.4. savo duomenis sunaikinti arba sustabdyti savo duomenų tvarkymo veiksmus (išskyrus saugojimą) (teisė sunaikinti ir teisė būti pamirštam);
16. Visais klausimais, susijusiais su duomenų subjektų asmeninių duomenų tvarkymu ir duomenų subjektų teisėmis, numatytomis BDAR, ADTAĮ ir kituose susijusiuose teisės aktuose, duomenų subjektai turi teisę kreiptis tiesiogiai į Revizijos komisiją.
17. Atsakymas į duomenų subjekto prašymą ar skundą dėl jo asmens duomenų tvarkymo turi būti pateiktas neatlygintinai per 30 kalendorinių dienų nuo kreipimosi dienos, išskyrus atvejus ir sąlygas, numatytus BDAR ir kituose teisės aktuose, be kita ko BDAR 12 straipsnio 3 dalyje, kai atsižvelgiant į prašymo sudėtingumą ir kitų prašymų skaičių, tas laikotarpis gali būti pratęstas dar 2 mėnesiams.
18. Jeigu duomenų subjektas, susipažinęs su atsakyme pateiktais VDU SA tvarkomais savo asmens duomenimis, nustato, kad jo asmens duomenys yra tvarkomi neteisėtai arba nesąžiningai, ir kreipiasi į Revizijos komisiją, ne vėliau kaip per 5 darbo dienas ji turi patikrinti asmens duomenų tvarkymo tikslumą, teisėtumą, sąžiningumą ir imtis
priemonių, kad nedelsiant būtų sunaikinti neteisėtai ir nesąžiningai sukaupti asmens duomenys ar sustabdyti tokių asmens duomenų tvarkymo veiksmai, išskyrus saugojimą, ir informuoja duomenų subjektą apie atliktus veiksmus.
19. Jeigu duomenų subjektas, susipažinęs su atsakyme pateiktais VDU SA tvarkomais savo asmens duomenimis, nustato, kad tolesnis jo asmens duomenų tvarkymas yra netikslingas, ir atšaukia savo anksčiau duotą sutikimą tvarkyti duomenis bei kreipiasi į VDU SA su prašymu jį pamiršti, Revizijos komisija imasi priemonių, kad būtų sunaikinti sutikimo pagrindu tvarkomi asmens duomenys, išskyrus saugojimą, ir informuoja duomenų subjektą apie atliktus veiksmus arba praneša jam, kodėl duomenys negali būti sunaikinti.
20. Kai VDU SA viešai paskelbė duomenų subjekto asmens duomenis, bet subjekto reikalavimu privalo asmens duomenis ištrinti, Revizijos komisija, atsižvelgdami į VDU SA naudojamas technologijas ir įgyvendinimo sąnaudų dydį, imasi pagrįstų veiksmų, įskaitant technines priemones, kad tokie asmens duomenys ir (ar) jų kopijos arba dublikatai būtų nedelsiant sunaikinti.
21. Reikalavimai pamiršti ir ištrinti asmens duomenis netaikomi, jei negalima pagrįsti šiame Apraše nurodytų priežasčių, ir BDAR 17 straipsnio 3 dalyje numatytais atvejais, įskaitant, kai:
21.1. VDU SA nustatytos teisinės prievolės, kuriomis reikalaujama tvarkyti duomenis, arba siekiant atlikti užduotį, vykdomą dėl viešojo intereso;
21.2. archyvavimo tikslais dėl viešojo intereso, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais laikantis BDAR ir kitų teisės nustatytų reikalavimų;
21.3. kitais BDAR ir kitų teisės aktų numatytais atvejais.
22. VDU SA, duomenų subjekto prašymu sustabdęs jo asmens duomenų tvarkymo veiksmus, asmens duomenis, kurių tvarkymo veiksmai sustabdyti, saugo tol, kol jie bus ištaisyti ar sunaikinti (duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui).
23. Duomenų subjektas turi teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai dėl VDU SA veikų.
24. VDU SA turi užtikrinti, kad duomenų subjekto teisės būtų tinkamai įgyvendintos ir visa informacija duomenų subjektui būtų pateikiama aiškiai, suprantamai ir priimtina forma. Šiame Apraše nustatyti asmens duomenų tvarkymo tikslai, duomenų subjektų teisės ir jų įgyvendinimo tvarka supaprastinta forma išdėstomi VDU SA privatumo politikoje, kuri skelbiama VDU SA interneto svetainėje.
VII SKYRIUS
DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMAS
25. Duomenų subjektas, siekdamas įgyvendinti savo teises, teikia Revizijos komisijai adresuotą laisvos formos rašytinį prašymą ar skundą asmens duomenų tvarkymo klausimais.
26. Duomenų subjektas prašymus ar skundus teikia tiesiogiai VDU SA biure arba elektroniniu paštu.
27. Prašymas turi būti įskaitomas, pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, adresas ir kiti kontaktiniai duomenys pageidaujamos formos ryšiui palaikyti, informacija apie tai, kokią iš duomenų subjekto teisių ir kokia apimtimi pageidaujama įgyvendinti.
28. Duomenų subjektas gali įgyvendinti savo teises tik suteikus VDU SA galimybę patikrinti jo tapatybę. Duomenų subjekto tapatybė patikrinama vienu iš šių būdų:
26.1. atvykstant į VDU SA biurą ir kartu su prašymu įgyvendinti teises pateikiant asmens tapatybę patvirtinantį dokumentą;
26.2. rašydamas prašymą ar skundą iš VDU suteiktos elektroninio pašto dėžutės.
29. Duomenų subjektas savo teises gali įgyvendinti pats arba per notariškai įgaliotą atstovą.
30. Jei atstovaujamo duomenų subjekto vardu kreipiasi asmens atstovas, jis savo prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, duomenis ryšiui palaikyti, taip pat atstovaujamo asmens vardą, pavardę, gyvenamąją vietą, informaciją apie tai, kokią iš Apraše nurodytų duomenų subjekto teisių ir kokia apimtimi pageidaujama įgyvendinti, ir pridėti atstovavimą patvirtinantį dokumentą ar jo dokumento kopiją, patvirtintą Lietuvos Respublikos teisės aktų nustatyta tvarka. Atstovo pateiktas prašymas turi atitikti tuos pačius reikalavimus kaip ir atstovaujamojo.
31. Į asmenų prašymus ir skundus atsakoma tokiu būdu, kokiu pateiktas prašymas ar skundas.
32. Atsakymo į prašymą ar skundą parengimą koordinuoja ir Revizijos komisiją konsultuoja bei atsakymą duomenų subjektui pateikia Prezidentas. Atsakymą duomenų subjektui pasirašo Prezidentas.
33. Į prašymą ar skundą atsakoma aiškiai ir argumentuotai, nurodant visas prašymo ar skundo nagrinėjimui įtakos turėjusias aplinkybes ir konkrečias teisės aktų nuostatas, kuriomis remtasi vertinant prašymo ar skundo turinį.
34. Atsakyme, kuriame nurodomos atsisakymo suteikti prašomą paslaugą, informaciją priežastys, asmuo ar jo atstovas turi būti informuojamas apie tokio atsakymo apskundimo tvarką, nurodant institucijos (-ų), kuriai (-ioms) gali būti pateiktas skundas, pavadinimą (-us) ir adresą (-us), taip pat terminą (-us), per kurį (-iuos) gali būti pateiktas skundas. Persiunčiant prašymą ar skundą nagrinėti kitai kompetentingai institucijai ir informuojant apie tai asmenį ar jo atstovą, pranešime asmeniui nurodyti minėtos apskundimo tvarkos nereikia.
35. Į gautus prašymus ar skundus atsakoma per 30 (trisdešimt) kalendorinių dienų nuo duomenų subjekto kreipimosi dienos.
36. Revizijos komisijos sprendimu, BDAR numatytais atvejais, atsakymo pateikimas gali būti atidėtas iki 60 dienų informuojant apie tai duomenų subjektą.
VIII SKYRIUS
INCIDENTŲ STEBĖJIMO, NUSTATYMO, ĮVERTINIMO TVARKA
37. Duomenų valdytojas užtikrina tinkamą asmens duomenų pažeidimo incidentų stebėjimą, nustatymą bei įvertinimą. Asmens duomenų apsaugos pažeidimo rizikos veiksniai gali būti:
37.1. netyčiniai, kai asmens duomenų apsauga pažeidžiama dėl atsitiktinių priežasčių (duomenų tvarkymo klaidos, informacijos laikmenų, duomenų įrašų ištrynimo, sunaikinimo, neteisingų maršrutų (adresų) perduodant duomenis nustatymo ir pan., ar sistemų sutrikimai dėl elektros tiekimo nutrūkimo, kompiuterinio viruso ir pan., vidaus taisyklių pažeidimas, sistemos priežiūros trūkumas, programinės įrangos testai, netinkama duomenų laikmenų priežiūra, netinkamas linijų pajėgumas ir apsauga, kompiuterių integravimas į tinklą, kompiuterinių programų apsaugos, nepakankamos fakso medžiagų tiekimas ir kt.);
37.2. tyčiniai, kai asmens duomenų apsauga pažeidžiama sąmoningai (neteisėtas įsibrovimas į VDU SA patalpas, asmens duomenų laikmenų saugyklas, kompiuterių tinklą, piktybinis nustatytų taisyklių tvarkant asmens duomenis pažeidimas, sąmoningas kompiuterinio viruso platinimas, asmens duomenų vagystė, neteisėtas naudojimasis kito asmens teisėmis ir kt.);
37.3. netikėti atsitiktiniai įvykiai (žaibas, gaisras, potvynis, užliejimas, audros, elektros instaliacijos degimas, temperatūros ir/ar drėgmės pakitimų poveikis, purvo, dulkių ir magnetinių laukų įtaka, atsitiktinės techninės avarijos, kiti nenugalimi ir/ar nekontroliuojami veiksniai ir pan.).
38. Duomenų pažeidimo incidentu laikomas įvykis, kuris sukelia arba gali sukelti, be kita ko:
38.1. asmens duomenų paviešinimą;
38.2. asmens duomenų nutekėjimą, t. y. kai asmens duomenys tampa prieinami asmenims, kurie neturi teisės jų tvarkyti;
38.3. asmens duomenų tvarkymui naudojamos įrangos gedimus, kurie gali nulemti asmens duomenų sunaikinimą;
38.4. asmens duomenų klaidas.
39. Kiekvienas VDU SA vardu asmens duomenis tvarkantis asmuo, kuris pastebėjo duomenų pažeidimo incidentą, privalo nedelsiant pranešti apie jį Revizijos komisijai.
40. Atlikusi pirminį duomenų pažeidimo incidento įvertinimą, Revizijos komisija apie duomenų pažeidimą informuoja Prezidentą, kuris, atsižvelgdamas į duomenų pažeidimo incidento rimtumą ir galimą poveikį asmens duomenų subjekto teisėms, nedelsiant atlieka žemiau nurodytus veiksmus:
40.1. imasi visų įmanomų (atsižvelgiant į technologines bei finansines galimybes) veiksmų siekiant susigrąžinti prarastus asmens duomenis ir/arba sumažinti duomenų pažeidimo incidentu asmens duomenims padarytą žalą;
40.2. jeigu reikia, kreipiasi į kitas valstybės institucijas (policija, Ryšių reguliavimo tarnyba, Nacionalinis kibernetinio saugumo centras ir kt.) (ne vėliau kaip per 1 darbo dieną po to, kai nustatomas poreikis kreiptis į atitinkamą instituciją);
40.3. identifikuoja visas asmens duomenų grupes, kurios gali būti paveiktos tokios pat rūšies duomenų pažeidimo incidento (ne vėliau kaip per 2 darbo dienas nuo savo sužinojimo apie pažeidimą dienos);
40.4. sprendžia dėl pranešimo apie incidentą Valstybinei duomenų apsaugos inspekcijai poreikio (pranešti nereikia, jei įvykęs pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms);
40.5. nustatęs, kad duomenų saugumo pažeidimas gali sukelti didelį pavojų fizinių asmenų teisėms ir laisvėms, todėl apie jį pranešti Valstybinei duomenų apsaugos inspekcijai būtina, užtikrina, kad apie pažeidimą Inspekcijai būtų pranešta ne vėliau kaip per 72 val. nuo sužinojimo apie duomenų saugumo pažeidimą momento. Pranešime turi būti nurodomas bent:
40.5.1. duomenų saugumo pažeidimo pobūdis (įskaitant, jei įmanoma, atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, apytiksles duomenų įrašų kategorijas ir apytikslį skaičių,
40.5.2. aprašytas duomenų saugumo pažeidimo pobūdis bei galimos jo pasekmės,
40.5.3. pateiktos atitinkamam fiziniam asmeniui skirtos rekomendacijos, kaip pašalinti duomenų saugumo pažeidimą ar galimą neigiamą jo poveikį ir pasekmes (pvz. tam tikrų el. pašto adresų siunčiamų laiškų blokavimas ir pan. veiksmai).
40.6. įvertina, ar dėl šio asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinio asmens teisėms ir laisvėms ir ar turi būti informuojami duomenų subjektai, kurių duomenys buvo pažeisti;
40.7. jei nustatoma, kad dėl duomenų saugumo pažeidimo duomenų subjektų teisėms ir laisvėms gali kilti didelis pavojus, todėl pranešti duomenų subjektams būtina, inicijuoja kuo skubesnį duomenų subjektų, kurių duomenys buvo pažeisti, informavimą (išskyrus Reglamento numatytus atvejus, kuomet apie pažeidimą duomenų subjektams pranešti nereikia ar leidžiama apie jį paskelbti viešai). Pranešime turi būti pateikti bent:
40.7.1. VDU SA atstovo kontaktiniai duomenys,
40.7.2. aprašytas duomenų saugumo pažeidimo pobūdis bei galimos jo pasekmės,
40.7.3. pateiktos atitinkamam fiziniam asmeniui skirtos rekomendacijos, kaip pašalinti duomenų saugumo pažeidimą ar galimą neigiamą jo poveikį ir pasekmes (pvz. tam tikrų el. pašto adresų siunčiamų laiškų blokavimas ir pan. veiksmai);
40.8. jeigu reikia, nedelsdamas kreipiasi į trečiasis šalis, kurios gali padėti suvaldyti duomenų pažeidimo incidento padarinius (IT įmones, saugos įmones, patalpų bei technikos remonto įmones ir pan.).
41. Kiekvieną su asmens duomenimis susijusį incidentą Prezidento įgaliotas asmuo privalo užregistruoti Asmens duomenų incidentų registre (Priedas Nr. 1).
IX SKYRIUS
KITOS ORGANIZACINĖS ASMENS DUOMENŲ APSAUGOS PRIEMONĖS
42. Asmens duomenys (dokumentai, kuriuose yra asmens duomenys, ar jų kopijos) neturi būti laikomi visiems prieinamoje matomoje vietoje, kur neturintys teisės asmenys nekliudomai galėtų su jais susipažinti.
43. Prezidento įgalioti asmenys užtikrina apsaugą nuo neteisėtos fizinės prieigos prie asmens duomenų tokiomis priemonėmis: rakinamos patalpos, įrengta veikianti asmenų
įėjimo į patalpas kontrolės sistema, apribotas asmenų patekimas į atitinkamas patalpas ar kitos atitinkančios riziką priemonės.
44. Internetinėse platformose saugomi duomenys yra prienami tik asmenims, kurių funkcijų vykdymui šie duomenys yra reikalingi. Elektroniniai dokumentai, kuriuose tvarkomi asmens duomenys, kuriami tik VDU SA priklausančiomis paskyromis ir platformomis.
45. Esant poreikiui, Prezidentas arba Prezidento įgalioti asmenys gali numatyti papildomas organizacines asmens duomenų apsaugos priemones.
X SKYRIUS BAIGIAMOSIOS NUOSTATOS
46. Aprašas turi būti periodiškai (ne rečiau kaip kartą per du metus) peržiūrimas ir prireikus atnaujinamas.
47. Prezidentas turi užtikrinti, kad asmens duomenis VDU SA tvarkantys asmenys būtų informuoti apie Aprašo atnaujinimus.
48. Asmenims, kurie pažeidžia BDAR, ADTAĮ, kituose teisės aktuose, šiame Apraše ir kituose VDU SA teisės aktuose nustatytus asmens duomenų tvarkymo ir apsaugos reikalavimus, taikoma Lietuvos Respublikos teisės aktuose nustatyta atsakomybė.
49. Aprašas skelbiamas VDU SA interneto svetainėje.
50. Aprašas tvirtinamas Parlamento nutarimu.
Asmens duomenų tvarkymo Vytauto Didžiojo universiteto
Studentų atstovybėje tvarkos aprašo
1 priedas
ASMENS DUOMENŲ INCIDENTŲ REGISTRO FORMA
Data, kada incide ntas užfiks uotas | Tikėtin a inciden to priežas tis | Incide nto tipas | Baigtin is duome nų, susijusi ų su inciden tu sąrašas | Duomenų subjektų, susijusių su incidentu, sąrašas. Jei įmanoma, baigtinis | Inciden to likvida vimo data | Priem onės, kurių imtasi incide nto pasek mėms sumaž inti | Įrašą padariusi o asmens vardas, pavardė, pareigos, parašas | Duom enų tvarky tojas (tvark ytojai ) | Ar yra pareiga pranešti VDAI ir, jei reikia, kaip/kad a tai padaryta | Ar yra pareiga pranešti duomenų subjektui ir, jei reikia, kaip/kad a tai padaryta |