ASMENS DUOMENŲ TVARKYMO PAGĖGIŲ SAVIVALDYBĖS VYDŪNO VIEŠOJOJE BIBLIOTEKOJE TAISYKLĖS
PATVIRTINTA Pagėgių savivaldybės Vydūno viešosios bibliotekos direktoriaus
2020 m. spalio 26 d. įsakymu Nr. 11-2.6
ASMENS DUOMENŲ TVARKYMO PAGĖGIŲ SAVIVALDYBĖS VYDŪNO VIEŠOJOJE BIBLIOTEKOJE TAISYKLĖS
I SKYRIUS BENDROSIOS NUOSTATOS
1. Pagėgių savivaldybės Vydūno viešosios bibliotekos (toliau – Biblioteka) asmens duomenų tvarkymo taisyklės (toliau − Taisyklės) nustato fizinių asmenų (toliau − duomenų subjektas) asmens duomenų tvarkymo principus ir atitikties užtikrinimo priemones, asmens duomenų tvarkymo atskirais tikslais tvarką ir sąlygas, asmens duomenų tvarkyme dalyvaujančių subjektų ir duomenų apsaugos pareigūno pareigas, duomenų subjekto teisių įgyvendinimo tvarką, asmens duomenų saugumo priemones, pranešimo apie asmens duomenų saugumo pažeidimą tvarką ir poveikio asmens duomenų apsaugai vertinimo procedūrą.
2. Asmens duomenys Bibliotekoje tvarkomi vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendruoju duomenų apsaugos reglamentu) (toliau − Reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais asmens duomenų apsaugą reglamentuojančiais teisės aktais.
3. Taisyklių privalo laikytis visi Bibliotekoje dirbantys bei praktiką joje atliekantys ir (ar) savanoriaujantys asmenys, kurie tvarko asmens duomenis (toliau – Bibliotekos darbuotojai), ir sutartiniais pagrindais ar teisės aktų nustatyta tvarka Bibliotekai paslaugas teikiantys fiziniai ir (ar) juridiniai asmenys (saugos, informacinių sistemų priežiūros paslaugų teikėjai ir pan.), kurie atlieka asmens duomenų tvarkymo veiksmus (toliau – Bibliotekos įgalioti duomenų tvarkytojai).
4. Asmens duomenys yra tvarkomi automatiniu ir neautomatiniu būdu pagal Reglamento 6 straipsnio 1 dalyje nustatytas sąlygas. Bibliotekos tvarkomų asmens duomenų tvarkymo tikslai, jų apimtis ir duomenų subjektai nurodyti šių Taisyklių 1 priede.
5. Taisyklėse vartojamos sąvokos atitinka Reglamente, Asmens duomenų teisinės apsaugos įstatyme vartojamas sąvokas.
II SKYRIUS
ASMENS DUOMENŲ TVARKYMO PRINCIPAI IR ATITIKTIES UŽTIKRINIMO
PRIEMONĖS
6. Bibliotekos darbuotojai ir Bibliotekos įgalioti duomenų tvarkytojai bei jų darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo užtikrinti, kad būtų laikomasi šių pagrindinių principų:
6.1. teisėtumo, sąžiningumo ir skaidrumo – asmens duomenys tvarkomi tik tuo atveju, jei apie tai informuotas duomenų subjektas ir tam yra teisinis pagrindas;
6.2. tikslo apribojimo – asmens duomenys renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir netvarkomi su šiais tikslais nesuderinamu būdu;
6.3. duomenų kiekio mažinimo – tvarkomi asmens duomenys yra adekvatūs, tinkami ir tik tokios apimties, kuri būtina siekiant tikslų, dėl kurių jie tvarkomi;
6.4. tikslumo – asmens duomenys turi būti tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs asmens duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas;
6.5. saugojimo trukmės apribojimo – asmens duomenys saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tais tikslais, kuriais asmens duomenys buvo surinkti ir tvarkomi;
6.6. konfidencialumo – asmens duomenys tvarkomi tokiu būdu, kad taikant atitinkamas technines ir organizacines priemones būtų užtikrintas jų saugumas, įskaitant apsaugą nuo asmens duomenų tvarkymo be leidimo arba neteisėto asmens duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;
6.7. atskaitomybės – Biblioteka atsako už tai, kad būtų laikomasi Taisyklių 6.1–6.6 papunkčiuose nurodytų principų, ir turi visas reikiamas priemones įrodyti, kad jų laikomasi.
7. Atitiktį Reglamentui Biblioteka išreiškia laikydamasi šių Taisyklių, taikydama organizacines ir technines asmens duomenų saugumo priemones, atlikdama poveikio asmens duomenų apsaugai vertinimo procedūrą, įgyvendindama asmens duomenų saugumo pažeidimų nustatymo procedūrą bei dokumentuodama jos eigą, užtikrindama pritaikytąją ir standartizuotąją asmens duomenų apsaugą.
8. Biblioteka tvarko asmens duomenų tvarkymo veiklos įrašus, t. y. pildo Duomenų tvarkymo veiklos įrašų žurnalą (2 priedas). Duomenų tvarkymo veiklos įrašai tvarkomi elektronine forma. Už duomenų tvarkymo veiklos įrašų vedimą atsakinga Vyresnioji bibliotekininkė fondų komplektavimui Xxxxxxx Xxxxxxxxxxxx. Duomenų tvarkymo veiklos įrašų saugumas užtikrinamas laikantis Taisyklių nuostatų.
III SKYRIUS
ASMENS DUOMENŲ TVARKYMO ATSKIRAIS TIKSLAIS TVARKA IR
SĄLYGOS
9. Asmens duomenys Bibliotekoje renkami teisės aktų nustatyta tvarka juos gaunant tiesiogiai iš duomenų subjekto, oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų ar sutarčių bei teisės aktų pagrindu prisijungiant prie atskirus duomenis kaupiančių duomenų bazių, registrų ir informacinių sistemų.
10. Teisės aktų nustatytais atvejais ir tvarka Bibliotekos tvarkomi asmens duomenys teikiami Valstybinei mokesčių inspekcijai prie Finansų ministerijos, Valstybinei ligonių kasai prie Sveikatos apsaugos ministerijos, Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos, Viešųjų pirkimų tarnybai, Informacinės visuomenės plėtros komitetui prie Ūkio ministerijos, kuris teisės aktų nustatyta tvarka atlieka Bibliotekos vartotojų duomenų valdytojo funkciją – elektroninę dokumentų valdymo paslaugą (eDVS), ir kitiems tretiesiems asmenims pagal prašymą (vienkartinio asmens duomenų rinkimo atveju) arba pagal asmens duomenų teikimo sutartį (daugkartinio asmens duomenų rinkimo atveju).
11. Biblioteka, laikydamasi Reglamento nuostatų, surinktus asmens duomenis gali tvarkyti archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų ir statistiniais tikslais.
12. Biblioteka tvarko asmens duomenis ne ilgiau, negu to reikalauja jų tvarkymo tikslai:
12.1. dokumentai, kuriuose yra asmens duomenų, nurodyti Bendrųjų dokumentų saugojimo terminų rodyklėje, patvirtintoje Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“ ir Bibliotekos dokumentacijos plane, saugomi Lietuvos vyriausiojo archyvaro nustatyta tvarka ir
terminais;
12.2. dokumentai, kuriuose yra asmens duomenų, ar duomenys, kaupiami informacinėse sistemose, programose ir kt., yra saugomi 3 mėnesius nuo dienos, kai yra atlikti visi veiksmai, kuriems atlikti buvo naudojami asmens duomenys, išskyrus atvejus, kai šie dokumentai reikalingi teisminiams ginčams spręsti arba ilgesnė asmens duomenų saugojimo trukmė nustatyta kituose teisės aktuose;
12.3. Bibliotekos vartotojų asmens duomenys saugomi teisės aktų nustatyta bibliotekų informacinių sistemų nuostatuose tvarka;
12.4. vaizdo konferencijų vaizdo ir (ar) garso įrašai saugomi ne ilgiau kaip 14 kalendorinių dienų;
12.5. vaizdo stebėjimo duomenys saugomi ne ilgiau kaip 2 mėnesius.
13. Su Bibliotekos įgaliotu duomenų tvarkytoju sudaromas Reglamento reikalavimus atitinkantis rašytinis susitarimas prie pagrindinės paslaugų teikimo sutarties arba asmens duomenų tvarkymo sąlygos aptariamos pačioje sutartyje. Ši nuostata netaikoma, kai duomenų tvarkytojo atliekamas asmens duomenų tvarkymas reglamentuojamas teisės aktu.
14. Bibliotekos vykdomo vaizdo stebėjimo įrangos naudojimo ir vaizdo duomenų tvarkymo tvarką nustato Bibliotekos vadovo įsakymu patvirtintas aprašas.
15. Stebėti asmens darbo vietą, Bibliotekos tarnybines patalpas draudžiama, išskyrus atvejus, kai darbo vietoje vyksta vaizdo konferencija arba kai kiti būdai ar priemonės nėra pakankami ar tinkami tikslams pasiekti. Asmenys apie nuolat vykdomą jų darbo vietos vaizdo stebėjimą informuojami pasirašytinai. Informavimo forma (3 priedas) saugoma Bibliotekoje visą jų darbo laikotarpį.
16. Vaizdo įrašai gali būti peržiūrėti Naudojimosi biblioteka taisyklių pažeidimų, nelaimingų atsitikimų su vartotojais, paslaugų teikėjais ar darbuotojais, materialinių vertybių praradimo, sugadinimo ar sunaikinimo, konfliktų tarp vartotojų ir darbuotojų bei kitų incidentų atvejais. Bibliotekoje vedamas Vaizdo įrašų peržiūros žurnalas (4 priedas).
IV SKYRIUS
ASMENS DUOMENŲ TVARKYME DALYVAUJANČIŲ SUBJEKTŲ PAREIGOS
17. Šių Taisyklių 1 priede nurodytų duomenų valdytoja ir tvarkytoja yra Biblioteka, kuri užtikrina, kad asmens duomenys būtų tvarkomi laikantis Reglamente, Asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose nustatytų asmens duomenų tvarkymo reikalavimų. Šiose Taisyklėse nurodytus asmens duomenis teisės aktais nustatytais atvejais ir tvarka gali tvarkyti ir kiti subjektai.
18. Bibliotekos, kaip duomenų valdytojos, pareigos:
18.1. nustatyti asmens duomenų tvarkymo tikslus ir priemones;
18.2. užtikrinti, kad asmens duomenys būtų tvarkomi laikantis Asmens duomenų teisinės apsaugos įstatymo 3 straipsnyje nustatytų asmens duomenų tvarkymo reikalavimų;
18.3. rengti ir priimti vidinius asmens duomenų apsaugos ir tvarkymo reikalavimus reglamentuojančius teisės aktus;
18.4. kontroliuoti, kaip Bibliotekos įgalioti duomenų tvarkytojai vykdo Taisyklių 19 punkte nustatytas pareigas;
18.5. įgyvendinti tinkamas technines ir organizacines priemones asmens duomenų apsaugai užtikrinti;
18.6. organizuoti darbuotojų mokymus asmens duomenų teisinės apsaugos srityje;
18.7. ne rečiau kaip kartą per dvejus metus peržiūrėti Taisyklėse nustatytus reikalavimus ir, jei reikia, inicijuoti Taisyklių pakeitimus;
18.8. užtikrinti duomenų subjekto teisių įgyvendinimą ir vykdyti kitas teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytas asmens duomenų valdytojo
pareigas.
19. Bibliotekos, kaip duomenų tvarkytojos, ir (ar) Bibliotekos įgaliotų duomenų tvarkytojų pareigos:
19.1. užtikrinti, kad asmens duomenis Bibliotekoje tvarkytų tik tie asmenys, kuriems tai būtina savo darbo funkcijoms atlikti, ir tik tokios apimties, kuri būtina numatytiems tikslams pasiekti;
19.2. vykdyti teisėtą asmens duomenų tvarkymą, duomenų subjektų teisių ir reikiamų techninių duomenų apsaugos priemonių įgyvendinimą Bibliotekos valdomų ir (ar) tvarkomų informacinių sistemų priemonėmis;
19.3. taikyti technines priemones, užtikrinančias asmens duomenų saugojimą tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau nei to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;
19.4. atlikti poveikio tvarkant asmens duomenis vertinimo procedūrą.
20. Prieiga prie asmens duomenų gali būti suteikta tik tiems Bibliotekos darbuotojams, kuriems asmens duomenys reikalingi darbo funkcijoms atlikti. Jei darbuotojas laikinai eina kito darbuotojo pareigas ar atlieka kito darbuotojo darbo funkciją, teisė tvarkyti asmens duomenis suteikiama pareigų arba funkcijos atlikimo laikotarpiui.
21. Bibliotekos darbuotojų, tvarkančių asmens duomenis, pareigos:
21.1. laikytis pagrindinių asmens duomenų tvarkymo ir saugumo reikalavimų, įtvirtintų Reglamente, Asmens duomenų teisinės apsaugos įstatyme, šiose Taisyklėse ir kituose teisės aktuose;
21.2. saugoti asmens duomenų paslaptį visą darbo laiką ir pasibaigus darbo santykiams Bibliotekoje, jei šie asmens duomenys neskirti skelbti viešai. Darbuotojai pasirašo šių Taisyklių 5 priede nustatytos formos konfidencialumo pasižadėjimą, kuris saugomas jų asmens bylose visą darbo laiką ir pasibaigus darbo santykiams;
21.3. taikyti Taisyklėse nustatytas organizacines ir technines asmens duomenų saugumo priemones, saugoti dokumentus, duomenų rinkmenas bei duomenų bazėse, informacinėse sistemose saugomus asmens duomenis ir vengti perteklinių jų kopijų darymo;
21.4. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su asmens duomenimis asmenims, kurie nėra įgalioti tvarkyti asmens duomenų;
21.5. nedelsiant pranešti tiesioginiam vadovui ir duomenų apsaugos pareigūnui apie bet kokią įtartiną situaciją, galinčią kelti grėsmę Bibliotekos tvarkomų asmens duomenų
saugumui;
21.6. laikytis kitų šiose Taisyklėse ir asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.
V SKYRIUS
DUOMENŲ APSAUGOS PAREIGŪNAS
22. Bibliotekos vadovo įsakymu duomenų apsaugos pareigūnu gali būti paskirtas vienas iš esamų Bibliotekos darbuotojų, priimtas naujas darbuotojas arba sudaryta paslaugų teikimo sutartis su šias paslaugas teikiančiu fiziniu ar juridiniu asmeniu. Duomenų apsaugos pareigūną gali paskirti / sudaryti sutartį ir kiti subjektai, jei tai atitinka Reglamento 37 straipsnyje nustatytas sąlygas.
23. Skirdamas duomenų apsaugos pareigūną, Bibliotekos vadovas privalo užtikrinti, kad darbuotojas:
23.1. turėtų asmens duomenų teisinės apsaugos praktinių ir ekspertinių žinių;
23.2. būtų tiesiogiai pavaldus Bibliotekos vadovui;
23.3. neturėtų kitų pareigų, neatliktų darbo funkcijų, kurios galėtų sukelti interesų konfliktą su jo atliekamomis duomenų apsaugos pareigūno funkcijomis.
24. Bibliotekos vadovas, paskyręs arba sudaręs su duomenų apsaugos pareigūnu paslaugų teikimo sutartį, privalo užtikrinti, kad jo kontaktiniai duomenys būtų paskelbti Bibliotekos interneto svetainėje ir pateikti Valstybinei duomenų apsaugos inspekcijai.
25. Duomenų apsaugos pareigūnas privalo:
25.1. informuoti Bibliotekos vadovą ir asmens duomenis tvarkančius darbuotojus apie jų prievoles pagal Reglamentą ir kitus teisės aktus, reglamentuojančius asmens duomenų apsaugą, ir konsultuoti dėl konkrečių pareigų vykdymo;
25.2. stebėti, kaip laikomasi Reglamento, kitų teisės aktų, reglamentuojančių asmens duomenų teisinę apsaugą, šių Taisyklių ir kitų Bibliotekos dokumentų, susijusių su asmens duomenų apsauga, reikalavimų;
25.3. konsultuoti Biblioteką dėl poveikio duomenų apsaugai vertinimo ir stebėti jo atlikimą pagal Reglamentą;
25.4. dalyvauti nagrinėjant klausimus, susijusius su asmens duomenų tvarkymu Bibliotekoje;
25.5. pranešti Bibliotekos vadovui apie bet kokius neatitikimus, pažeidimus asmens duomenų apsaugos srityje, kuriuos duomenų apsaugos pareigūnas nustato vykdydamas savo funkcijas;
25.6. bendradarbiauti su Valstybine duomenų apsaugos inspekcija ir atlikti kontaktinio asmens funkcijas Valstybinei duomenų apsaugos inspekcijai kreipiantis su asmens duomenų tvarkymu susijusiais klausimais, įskaitant Reglamento 36 straipsnyje nurodytas išankstines konsultacijas;
25.7. konsultuoti Bibliotekos vadovą įvykus asmens duomenų saugumo pažeidimui ir vykdyti Bibliotekos valdomų asmens duomenų saugumo pažeidimų apskaitą;
25.8. ne rečiau kaip kartą per dvejus metus organizuoti asmens duomenų tvarkymo rizikos vertinimą, parengti ataskaitą ir prireikus imtis priemonių rizikai pašalinti arba sumažinti;
25.9. raštu informuoti Valstybinę duomenų apsaugos inspekciją, jei nustatoma, kad asmens duomenys Bibliotekoje tvarkomi pažeidžiant teisės aktų, reglamentuojančių duomenų apsaugą, nuostatas, ar atsisakoma vykdyti tiesioginius nurodymus pašalinti šiuos pažeidimus.
VI SKYRIUS
DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO TVARKA
26. Duomenų subjektas turi šias teises:
26.1. teisę gauti informaciją apie duomenų tvarkymą:
26.1.1. informacija apie Bibliotekos atliekamą asmens duomenų tvarkymą gali būti pateikiama:
26.1.1.1. Bibliotekos interneto svetainėje xxx.xxxxxxxxxx.xx;
26.1.1.2. informacinio pobūdžio lentelėse ir (ar) lipdukuose apie vaizdo stebėjimą Bibliotekos teritorijoje ir patalpose;
26.1.1.3. žodžiu ir (ar) raštu asmens duomenų gavimo metu.
26.2. teisę susipažinti su duomenimis:
26.2.1. Biblioteka, gavusi duomenų subjekto prašymą įgyvendinti šią teisę, turi pateikti:
26.2.1.1. informaciją, ar duomenų subjekto asmens duomenys tvarkomi ar ne;
26.2.1.2. informaciją, iš kokių šaltinių ir kokie asmens duomenys yra surinkti, kokiu tikslu jie tvarkomi, kiek laiko saugomi, kokiems duomenų gavėjams teikiami ar buvo teikti;
26.2.1.3. tvarkomų asmens duomenų kopiją;
26.3. teisę reikalauti ištaisyti duomenis:
26.3.1. siekiant įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, Biblioteka gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus;
26.3.2. jeigu duomenų subjekto asmens duomenys (ištaisyti pagal duomenų subjekto
prašymą) buvo perduoti duomenų gavėjams, Biblioteka šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus;
26.4. teisę reikalauti ištrinti asmens duomenis („teisė būti pamirštam“):
26.4.1. duomenų subjekto teisė įgyvendinama, jei:
26.4.1.1. asmens duomenys nebereikalingi tikslams, kuriems jie buvo renkami ir tvarkomi;
asmens duomenys nebereikalingi tikslams, kuriems jie buvo renkami ir tvarkomi;
26.4.1.2. duomenų subjektas atšaukia savo sutikimą, kuriuo grindžiamas jo asmens duomenų tvarkymas, ir nėra kito teisinio pagrindo duomenis tvarkyti;
26.4.1.3. duomenų subjektas nesutinka su asmens duomenų tvarkymu ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis;
26.4.1.4. asmens duomenys buvo tvarkomi neteisėtai;
26.4.2. duomenų subjekto teisė gali būti neįgyvendinta, jei Biblioteka įpareigota tvarkyti asmens duomenis pagal teisės aktus siekiant atlikti užduotį, vykdomą viešojo intereso labui, ir jei asmens duomenys tvarkomi mokslinių ar istorinių tyrimų, statistiniais tikslais bei siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;
26.4.3. jeigu duomenų subjekto asmens duomenys (ištrinti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Biblioteka šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus;
26.5. teisę apriboti duomenų tvarkymą:
26.5.1. asmens duomenų tvarkymo ribojimas gali būti įgyvendinimas šiais būdais: atrinkti duomenys perkeliami į kitą tvarkymo sistemą ir padaromi neprieinamais naudotojams, laikinai išimami iš interneto svetainės, jei jie yra paskelbti. Automatiniuose susistemintuose rinkiniuose asmens duomenų tvarkymo ribojimas užtikrinamas techninėmis priemonėmis taip, kad asmens duomenys nebūtų toliau tvarkomi ir jų nebūtų galima pakeisti;
26.5.2. asmens duomenys, kurių tvarkymas apribotas, yra saugomi, o prieš tokio apribojimo panaikinimą duomenų subjektas yra informuojamas raštiškai;
26.5.3. jeigu duomenų subjekto asmens duomenys (kurių tvarkymas apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Biblioteka šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus;
26.6. teisę nesutikti su duomenų tvarkymu:
26.6.1. įgyvendinama tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių atliekamas asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus;
26.6.2. jei tvarkyti asmens duomenis būtina, kad būtų įvykdyta Bibliotekai taikoma teisinė prievolė, duomenų subjekto teisė negali būti įgyvendinama;
26.7. teisę į duomenų perkeliamumą:
26.7.1. įgyvendinama tik dėl tų asmens duomenų, kurie tvarkomi automatizuotomis priemonėmis, remiantis duomenų subjekto sutikimu arba sutartimi, kurios šalis yra duomenų subjektas;
26.7.2. duomenų subjektas teisės į duomenų perkeliamumą neturi tų asmens duomenų atžvilgiu, kurie tvarkomi neautomatiniu būdu susistemintose rinkmenose, pavyzdžiui, popierinėse bylose;
26.7.3. duomenų subjekto asmens duomenys kitam duomenų valdytojui gali būti persiųsti, jei yra techninės galimybės pateikti asmens duomenis tiesiogiai kitam duomenų valdytojui ir užtikrinamas saugus elektroninių duomenų ir informacijos perdavimas;
26.7.4. jeigu duomenų subjekto prašymas dėl asmens duomenų perkeliamumo patenkinamas, Biblioteka nevertina, ar duomenų valdytojas, kuriam bus persiųsti duomenų subjekto asmens duomenys, turi teisinį pagrindą gauti duomenų subjekto asmens duomenis ir ar šis duomenų valdytojas užtikrins tinkamas asmens duomenų saugumo priemones. Biblioteka neprisiima atsakomybės už persiųstų asmens duomenų tolimesnį tvarkymą, kurį atliks kitas duomenų valdytojas;
26.7.5. pagal duomenų subjekto prašymą perkelti jo duomenys nėra automatiškai ištrinami. Jeigu duomenų subjektas to pageidauja, turi kreiptis į Biblioteką, kaip duomenų valdytoją, dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) įgyvendinimo.
27. Duomenų subjektas, siekdamas įgyvendinti šių taisyklių 26 punkte nurodytas teises (išskyrus teisę, nurodytą 26.1 papunktyje), privalo asmeniškai, paštu, per pasiuntinį ar elektroninėmis priemonėmis pateikti rašytinį prašymą, kurio pavyzdinė forma nustatyta šių Taisyklių 6 priede.
28. Rašytinis prašymas teikiamas valstybine kalba, turi būti aiškus ir suprantamas, parašytas įskaitomai, duomenų subjekto pasirašytas. Jame turi būti nurodytas duomenų subjekto vardas, pavardė, gyvenamoji vieta, duomenys ryšiui palaikyti, informacija apie tai, kurią iš šių Taisyklių 26.2–26.7 papunkčiuose nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti, bei informacija, kokiu būdu duomenų subjektas pageidauja gauti atsakymą. Nevalstybine kalba pateikti duomenų subjektų prašymai gali būti priimami ir nagrinėjami tik išimtiniais atvejais Bibliotekos vadovo ar jo įgalioto asmens sprendimu.
29. Duomenų subjektas, pateikdamas prašymą, privalo patvirtinti savo tapatybę:
29.1. jei prašymas pateikiamas tiesiogiai Bibliotekos darbuotojui, pateikti asmens tapatybę patvirtinantį dokumentą;
29.2. jei prašymas pateikiamas paštu arba per pasiuntinį, kartu su prašymu pateikti notaro patvirtintą asmens tapatybę patvirtinančio dokumento kopiją;
29.3. jei prašymas pateikiamas elektroninėmis priemonėmis, prašymą pasirašyti kvalifikuotu elektroniniu parašu arba suformuoti elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą.
30. Duomenų subjektas šių taisyklių 26 punkte nurodytas savo teises gali įgyvendinti pats arba per notariškai įgaliotą atstovą. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiasi duomenų subjekto atstovas, jis prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, duomenis ryšiui palaikyti, taip pat atstovaujamo asmens vardą, pavardę, gyvenamąją vietą, informaciją apie tai, kokią iš šių Taisyklių 26.2–26.7 papunkčiuose nurodytų teisių ir kokia apimtimi pageidaujama įgyvendinti, bei informaciją, kokiu būdu pageidauja gauti atsakymą, ir pridėti atstovavimą patvirtinantį dokumentą ar teisės aktų nustatyta tvarka patvirtintą jo kopiją.
31. Duomenų subjekto prašymas, pateiktas nesilaikant Taisyklių 28–29 punktuose nustatytų reikalavimų, nenagrinėjamas. Duomenų subjektas apie tai informuojamas nurodant priežastis ne vėliau kaip per 5 darbo dienas nuo prašymo gavimo.
32. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis į Bibliotekos duomenų apsaugos pareigūną (8 447) 68 042, el. p. xxxxxxxxxx@xxxxx.xxx, Xxxxxxx x. 3, Pagėgiai.
33. Ne vėliau kaip per vieną mėnesį nuo duomenų subjekto prašymo gavimo duomenų subjektui pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Šis vieno mėnesio terminas gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į gautų prašymų sudėtingumą ir jų skaičių. Tokiu atveju per vieną mėnesį nuo prašymo gavimo dienos duomenų subjektas informuojamas apie tokį pratęsimą, nurodant vėlavimo priežastis.
34. Jeigu prašymo nagrinėjimo metu nustatoma, kad duomenų subjekto teisės yra apribotos Reglamento 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai
informuojamas.
35. Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai, išskyrus atvejus, kai gaunami akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, duomenų subjekto prašymai.
36. Jei duomenų subjekto teisių įgyvendinimo nereglamentuoja Taisyklės ir Taisyklių 2 punkte nurodyti teisės aktai, taikomos Prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklės, patvirtintos Lietuvos Respublikos Vyriausybės 2007 m. rugpjūčio 22 d. nutarimu Nr. 875 „Dėl prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklių patvirtinimo“.
37. Bibliotekos veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai (el. xxxxxx xxx@xxx.xx, interneto svetainė xxx.xxx.xx), taip pat teismui.
VII SKYRIUS
ASMENS DUOMENŲ SAUGUMO PRIEMONĖS
38. Dokumentai, kuriuose yra asmens duomenų, jų kopijos ir bylos negali būti laikomi visiems prieinamoje matomoje vietoje. Jie saugomi Bibliotekos padaliniuose, kaip nurodyta Bibliotekos dokumentacijos plane, rakinamose patalpose esančiose spintose, seifuose arba įrengiant įėjimo į patalpas kontrolės sistemą (fizinę ar elektroninę).
39. Dokumentai, kuriuose nurodomi asmens duomenys ir kurių saugojimo terminas yra pasibaigęs, ir jų kopijos turi būti sunaikinami taip, kad šių dokumentų negalima būtų atkurti ir atpažinti jų turinio. Automatiniu būdu surinkti duomenys sunaikinami ištrinant nebereikalingas asmens duomenų bylas iš saugojimo laikmenos taip, kad jų nebūtų galima atgaminti.
40. Keičiantis asmens duomenis tvarkantiems darbuotojams, dokumentai, kuriuose yra asmens duomenys, ar jų kopijos perduodami naujai priimtiems ir asmens duomenis tvarkyti paskirtiems darbuotojams perdavimo-priėmimo aktu.
41. Bibliotekos darbuotojai, kurių kompiuteriuose saugomi asmens duomenys, arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis ar informacines sistemas, kuriose yra saugomi asmens duomenys, savo kompiuteriuose privalo naudoti slaptažodžius. Slaptažodžiai turi būti keičiami periodiškai, ne rečiau kaip kartą per 2 mėnesius, taip pat susidarius tam tikroms aplinkybėms (pavyzdžiui, pasikeitus darbuotojui, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims ir pan.). Šiuose kompiuteriuose rekomenduojama naudoti ekrano užsklandą su slaptažodžiu.
42. Bibliotekos darbuotojai, atsakingi už asmens duomenų tvarkymą, organizuodami savo darbą privalo užtikrinti, kad nebūtų sudaryta jokių sąlygų kitiems darbuotojams ar tretiesiems asmenims sužinoti duomenų subjektų asmens duomenis. Pavyzdžiui, nepalikti be priežiūros dokumentų su tvarkomais asmens duomenimis ar kompiuterio, kuriuo naudojantis būtų galima atidaryti rinkmenas su asmens duomenimis, ir laikyti juos taip, kad juose esančios informacijos negalėtų perskaityti darbuotojai, neturintys teisės dirbti su asmens duomenimis, ar atsitiktiniai asmenys; dokumentus, perduodamus kitiems darbuotojams, padaliniams, įstaigoms per paštą, kurjerį ar kitus asmenis, pateikti užklijuotame nepermatome voke ir pan.
43. Bibliotekų informacinėse sistemose tvarkomų vartotojų asmens duomenų saugumas užtikrinamas vadovaujantis bibliotekų informacinių sistemų nuostatų reikalavimais ir saugos politikos įgyvendinamaisiais dokumentais: saugos nuostatais, saugaus elektroninės
informacijos tvarkymo taisyklėmis, informacinės sistemos veiklos tęstinumo valdymo planu, informacinės sistemos naudotojų administravimo taisyklėmis. Už šių dokumentų parengimą ir patvirtinimą atsako įstaiga ar institucija, kuri teisės aktų nustatyta tvarka atlieka informacinės sistemos valdytojo funkciją.
44. Biblioteka gali taikyti ir kitas asmens duomenų apsaugos organizacines ir technines priemones.
VIII SKYRIUS
PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ TVARKA
45. Bibliotekos darbuotojai ar Bibliotekos įgalioti duomenų tvarkytojai, pastebėję asmens duomenų saugumo pažeidimą, ne vėliau kaip per 2 darbo valandas nuo pažeidimo pastebėjimo informuoja Bibliotekos vadovą ar jo įgaliotą atsakingą asmenį.
46. Bibliotekos vadovas ar jo įgaliotas atsakingas asmuo, sužinojęs apie galimą asmens duomenų saugumo pažeidimą, organizuoja pažeidimo tyrimą, kurio metu nustatomas pažeidimo pobūdis, tipas (asmens duomenų konfidencialumo, vientisumo ir (ar) prieinamumo pažeidimas), aplinkybės, apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius, asmens duomenų, kurių saugumas pažeistas, kategorijos (asmens tapatybę patvirtinantys asmens duomenys, prisijungimo duomenys ir kt.) ir apimtis, tikėtinos asmens duomenų saugumo pažeidimo pasekmės, pavojus fizinių asmenų teisėms ir laisvėms, priemonės pažeidimui pašalinti ir (ar) neigiamoms pažeidimo pasekmėms sumažinti.
47. Bibliotekos vadovas ar jo įgaliotas atsakingas asmuo užtikrina, kad ne vėliau kaip per
72 valandas nuo pranešimo apie asmens duomenų saugumo pažeidimą būtų pranešta Valstybinei duomenų apsaugos inspekcijai, nebent asmens duomenų saugumo pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms. Jeigu Valstybinei duomenų apsaugos inspekcijai nepranešama per 72 valandas, pranešime nurodomos vėlavimo priežastys. Pranešimas apie asmens duomenų saugumo pažeidimą teikiamas Valstybinės duomenų apsaugos inspekcijos nustatyta tvarka.
48. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, Bibliotekos vadovas ar jo įgaliotas atsakingas asmuo užtikrina, kad apie asmens duomenų saugumo pažeidimą nedelsiant būtų pranešta duomenų subjektui: duomenų subjektui aiškia ir paprasta kalba aprašomas duomenų saugumo pažeidimo pobūdis, nurodomas duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas, pavardė, telefono numeris, elektroninio pašto adresas, aprašomos tikėtinos asmens duomenų saugumo pažeidimo pasekmės ir priemonės, kurių buvo imtasi arba pasiūlyta imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas, taip pat priemonės galimoms neigiamoms jo pasekmėms sumažinti bei pagal galimybes atitinkamam fiziniam asmeniui skirtos rekomendacijos, kaip sumažinti galimą neigiamą poveikį (pavyzdžiui, pasikeisti prisijungimo slaptažodžius neteisėtos prieigos prie asmens duomenų atveju ir kt.).
49. Esant pažeidimui, pranešimo duomenų subjektams teikti nereikia, jeigu:
49.1. Biblioteka įgyvendino tinkamas technines ir organizacines apsaugos priemones ir jos taikytos asmens duomenims, kuriems pažeidimas turėjo poveikio;
49.2. iš karto po asmens duomenų saugumo pažeidimo Biblioteka ėmėsi priemonių, kuriomis užtikrino, kad nebegalėtų kilti didelis pavojus duomenų subjektų teisėms ir laisvėms;
49.3. reikalingos neproporcingai didelės pastangos susisiekti su asmenimis (pvz., dėl pažeidimo prarasti jų kontaktiniai duomenys arba jie nežinomi). Tokiu atveju apie asmens duomenų saugumo pažeidimą paskelbiama viešai arba taikomos kitos informavimo priemonės.
50. Bibliotekos vadovas ar jo įgaliotas atsakingas asmuo užtikrina, kad būtų fiksuojami visi asmens duomenų saugumo pažeidimų atvejai ir kaupiama informacija apie tokių pažeidimų priežastis, jų poveikį ir pasekmes, priemones, kurių buvo imtasi, sprendimų dėl
pranešimo (nepranešimo) Valstybinei duomenų apsaugos inspekcijai ir (ar) duomenų subjektui motyvus, vėlavimo pateikti pranešimą priežastis bei kitokio pobūdžio informaciją, kuri leistų patikrinti, kaip buvo laikomasi šio Taisyklių skyriaus nuostatų. Šiame punkte nurodyta informacija įrašoma Asmens duomenų saugumo pažeidimų registravimo žurnale, kurio pavyzdinė forma nustatyta Taisyklių 7 priede.
IX SKYRIUS
POVEIKIO ASMENS DUOMENŲ APSAUGAI VERTINIMO PROCEDŪRA
51. Poveikio asmens duomenų apsaugai vertinimo procedūra (toliau – Procedūra) atliekama vadovaujantis Reglamentu ir Europos Parlamento ir Tarybos direktyvos 95/46/EB 29 straipsnio duomenų apsaugos darbo grupės 2017 m. balandžio 4 d. Poveikio duomenų apsaugai vertinimo gairėmis, kuriomis Reglamento 2016/679 taikymo tikslais nurodoma, kaip nustatyti, ar duomenų tvarkymo operacijos gali sukelti didelį pavojų fizinių asmenų teisėms ir laisvėms.
52. Procedūra atliekama, kai:
52.1. planuojama rinkti arba kitaip tvarkyti naujus asmens duomenis;
52.2. keičiasi Bibliotekos jau tvarkomų asmens duomenų tvarkymo procesas (būdas, tikslas ir pan.) arba asmens duomenų tvarkymo aplinka (atsiranda naujas procesas, nauja informacinių technologijų sistema arba keičiamas esamas procesas).
53. Procedūrai atlikti Bibliotekos vadovo įsakymu sudaroma darbo grupė. Į jos sudėtį gali būti įtrauktas ir duomenų apsaugos pareigūnas.
54. Procedūros metu pildoma Valstybinės duomenų apsaugos inspekcijos patvirtintos formos Poveikio duomenų apsaugai vertinimo ataskaita (toliau – Ataskaita). Joje nurodomos visos suinteresuotų asmenų ir Bibliotekos darbuotojų teiktos nuomonės, konsultacijos ir kiti pastebėjimai. Ataskaitą pildo darbo grupės pirmininkas arba įsakymu, kuriuo tvirtinama darbo grupės sudėtis, paskirtas darbuotojas.
55. Procedūra atliekama šiais etapais:
55.1. I etapas – poreikio atlikti Procedūrą pirminis vertinimas:
55.1.1. prieš atliekant duomenų tvarkymo operacijas Biblioteka vadovaujasi Valstybinės duomenų apsaugos inspekcijos patvirtintu sąrašu, kuriame numatytos asmens duomenų tvarkymo operacijos, kurioms taikomas arba netaikomas reikalavimas atlikti Procedūrą;
55.1.2. jeigu asmens duomenų tvarkymo operacija patenka į operacijų sąrašą, kurioms taikomas reikalavimas atlikti Procedūrą, tai darbo grupė tęsia Procedūrą ir apie tai pažymi Ataskaitos 1.1 papunktyje. Jei asmens duomenų tvarkymo operacija į sąrašą nepatenka, tai Procedūra baigiama ir apie tai pažymima Ataskaitos 1.2 papunktyje;
55.1.3. jeigu asmens duomenų tvarkymo operacija nepatenka nei į vieną 55.1.1. papunktyje nurodytą sąrašą, tai atsakoma į Ataskaitos 1.3 papunktyje pateiktus pirminius klausimus, kurių tikslas yra nustatyti Procedūros poreikį. Jei atsakymai į klausimus rodo, kad duomenų tvarkymo operacija tikėtinai gali kelti didelę riziką fizinių asmenų teisėms ir laisvėms, Procedūra turi būti atliekama. Sprendžiant, ar duomenų tvarkymo operacija gali kelti didelę riziką fizinių asmenų teisėms ir laisvėms, vadovaujamasi kriterijais, nurodytais Ataskaitos 2 punkte. Atsakius į pirminius klausimus ir atsižvelgiant į kriterijus, nurodytus Ataskaitos 2 punkte, Procedūra gali būti atliekama / neatliekama, o vertinimo procesas tęsiamas
/ baigiamas (tai pažymima Ataskaitos 2.10 papunktyje).
55.2. II etapas – atitikties asmens duomenų apsaugai įvertinimas, kurio metu darbo grupė nustato ir išanalizuoja asmens duomenų tvarkymo operacijas, atsakydama į Ataskaitos 3 punkte nurodytus klausimus. Prireikus gali būti atsiklausiama duomenų subjektų ar jų atstovų nuomonės apie numatytą duomenų tvarkymą, nepažeidžiant viešųjų interesų apsaugos ir duomenų tvarkymo operacijų saugumo reikalavimų, pvz., atliekant bendro pobūdžio tyrimą, susijusį su asmens duomenų tvarkymo operacijos tikslu ir priemonėmis. Poreikis atsiklausti
duomenų subjektų nuomonės nurodomas Ataskaitos 4 punkte.
56. Kai iš Procedūros paaiškėja, kad duomenų tvarkymo operacijos kelia didelį pavojų duomenų subjektų teisėms ir laisvėms, o Biblioteka negali jo sumažinti tinkamomis rizikos valdymo priemonėmis (turimomis technologijomis ir įgyvendinimo sąnaudomis), prieš pradedant asmens duomenų tvarkymą turi būti iš anksto konsultuojamasi su Valstybine duomenų apsaugos inspekcija pagal jos nustatytą tvarką.
57. Užpildytą Procedūros ataskaitą pasirašo Bibliotekos vadovas ar jo įgaliotas atsakingas asmuo.
58. Biblioteka atlieka priežiūrą ir stebėjimą, siekdama įvertinti, ar duomenys yra tvarkomi laikantis Procedūros, ypač tais atvejais, kai kinta tvarkymo operacijos ir jų keliamas pavojus.
X SKYRIUS
BIBLIOTEKOS LANKYTOJŲ REGISTRACIJA DĖL COVID-19 LIGOS
59. Lietuvos Respublikos Sveikatos apsaugos ministrui – Valstybės lygio ekstremaliosios situacijos valstybės operacijų vadovui nurodžius, Biblioteka privalo užtikrinti visų lankytojų registraciją, įsitikinant jų asmens tapatybe.
60. Bibliotekos lankytojų registraciją vykdo Bibliotekos Skaitytojų aptarnavimo skyriaus darbuotojai, filialų bei kiti lankytojus aptarnaujantys darbuotojai.
61. Vykdydami lankytojų registravimą, asmens duomenis tvarko šiomis sąlygomis ir tvarka:
61.1. Biblioteka tvarko šiuos lankytojo (toliau – duomenų subjektas) asmens duomenis:
61.1.1. vardas, xxxxxxx;
61.1.2. telefono ryšio numeris (asmeninis, darbo, kitas);
61.2. 60 punkte nurodyti darbuotojai 61.1. papunktyje nurodytus duomenis:
61.2.1. renka tiesiogiai iš duomenų subjekto;
61.2.2. tvarko COVID-19 ligos (koronaviruso infekcijos) profilaktikos ir kontrolės priemonių įgyvendinimo tikslais;
61.2.3. saugo 21 dieną nuo apsilankymo dienos, po to iš karto sunaikina;
61.2.4. oficialiu raštu neatlygintinai teikia NVSC COVID-19 ligos (koronaviruso infekcijos) židinio epidemiologinės diagnostikos tikslais;
61.2.5. pateikia NVSC ne vėliau kaip per 2 darbo dienas, gavus prašymą.
61.3. 61.1. punkte nurodytus duomenis Bibliotekai draudžiama tvarkyti kitais tikslais, nei nurodyti šios tvarkos 61.2.2. papunktyje.
XI SKYRIUS BAIGIAMOSIOS NUOSTATOS
62. Patvirtinus ar pakeitus Taisykles, Bibliotekos darbuotojai su jomis supažindinami pasirašytinai. Priėmus naują darbuotoją, jis su Taisyklėmis privalo būti supažindintas pirmąją jo darbo dieną.
63. Darbuotojams, pažeidusiems Reglamente, Asmens duomenų teisinės apsaugos įstatyme, šiose Taisyklėse ir kituose Bibliotekos teisės aktuose nustatytus asmens duomenų tvarkymo ir apsaugos reikalavimus, taikoma Bibliotekos darbo tvarkos taisyklėse ir kituose teisės aktuose nustatyta atsakomybė.
64. Taisyklėse įtvirtintos nuostatos gali būti papildomos ir išsamiau reglamentuojamos kituose Bibliotekos veiklą reglamentuojančiuose vidaus dokumentuose. Visais atvejais turi būti vadovaujamasi Taisyklėmis.
65. Taisyklės skelbiamos Bibliotekos interneto ir svetainėje.
Asmens duomenų tvarkymo bibliotekoje taisyklių
1 priedas
ASMENS DUOMENŲ TVARKYMO TIKSLAI, DUOMENŲ APIMTIS IR DUOMENŲ SUBJEKTAI
Eil. Nr. | Asmens duomenų tvarkymo tikslas | Asmens duomenų apimtis | Duomenų subjektai |
1. | Vidaus administravimas | ||
1.1. | Personalo administravimas | ||
1.1.1. | priėmimas, perkėlimas, atleidimas | asmens kodas, vardas, pavardė, pilietybė, šeimyninė padėtis, duomenys apie darbo vietą, darbo istorija, išsilavinimo ir kvalifikacijos duomenys, paso ar asmens tapatybės kortelės, banko sąskaitos duomenys, duomenys ryšiams palaikyti (telefono numeris, elektroninio pašto adresas, gyvenamosios vietos adresas), duomenys apie laikinąjį nedarbingumą, duomenys apie asmens neįgalumą, asmens parašas, kiti paties asmens pateikti duomenys ir duomenys, kuriuos Biblioteka gauna pagal teisės aktus vykdydama atitinkamą vidaus administravimo veiklą ir (ar) kuriuos tvarkyti Biblioteką įpareigoja įstatymai ir (ar) kiti teisės aktai | asmenys, pretenduojantys arba priimti į pareigas Bibliotekoje |
1.1.2. | darbo sutarties sudarymas, pratęsimas, nutraukimas | asmens kodas, vardas, pavardė, duomenys apie darbo vietą, išsilavinimą ir kvalifikaciją, paskatinimai, apdovanojimai, darbo pareigų pažeidimai, sveikatos patikrinimo rezultatai, duomenys apie asmens neįgalumą, paso ar asmens tapatybės kortelės duomenys, banko sąskaitos duomenys, duomenys ryšiams palaikyti (telefono numeris, elektroninio pašto adresas, gyvenamosios vietos adresas), asmens parašas | asmenys, su kuriais sudaroma darbo sutartis |
1.1.3. | teikimas skatinti, apdovanoti | vardas, pavardė, gimimo data, duomenys apie darbo vietą, duomenys apie veiklos vertinimą | asmenys, teikiami skatinti ar apdovanoti |
1.1.4. | darbo pareigų pažeidimas | vardas, pavardė, darbo pareigų | asmenys, priimti į |
pažeidimai, duomenys apie tarnybinio tyrimo išvadas | pareigas Bibliotekoje | ||
1.1.5. | atostogų suteikimas | vardas, pavardė, duomenys apie darbo vietą ir darbo stažą, duomenys apie išleidimą atostogų, duomenys apie asmens neįgalumą, duomenys apie laikinąjį nedarbingumą, duomenys apie vaiko neįgalumą, kiti duomenys, susiję su atostogomis | asmenys, priimti į pareigas Bibliotekoje |
1.1.6. | asmens bylų tvarkymas | asmens kodas, vardas, pavardė, gimimo data, šeimyninė padėtis, duomenys apie darbą, išsilavinimą ir kvalifikaciją, paskatinimai, apdovanojimai, duomenys apie darbo pareigų pažeidimus, sveikatos patikrinimo rezultatai, duomenys apie išleidimą atostogų, duomenys apie darbo užmokestį ir kitas išmokas, auginamų nepilnamečių vaikų gimimo liudijimai, paso ar asmens tapatybės kortelės duomenys, duomenys ryšiams palaikyti (telefono numeris, elektroninio pašto adresas, gyvenamosios vietos adresas), duomenys apie laikinąjį nedarbingumą, santuokos liudijimas dėl pasikeitusios pavardės, duomenys apie kasmetinės veiklos vertinimą, asmens nuotrauka, asmens parašas, kiti paties asmens pateikti duomenys ir duomenys, kuriuos Biblioteka gauna pagal teisės aktus vykdydama atitinkamą vidaus administravimo veiklą ir (ar) kuriuos tvarkyti Biblioteką įpareigoja įstatymai ir (ar) kiti teisės aktai | asmenys, priimti į pareigas Bibliotekoje |
1.1.7. | darbo užmokesčio ir kitų išmokų administravimas | asmens kodas, vardas, pavardė, šeimyninė padėtis, duomenys apie darbo vietą, darbo stažą, išsilavinimą ir kvalifikaciją, duomenys apie darbo pareigų pažeidimus, duomenys apie darbo užmokestį ir kitas priemokas, socialinio draudimo duomenys, banko sąskaitos duomenys, deklaruota gyvenamoji vieta, duomenys ryšiams palaikyti | asmenys, kuriems užmokestis ir kitos išmokos mokamos iš Bibliotekai skirtų lėšų |
(telefono numeris, elektroninio pašto adresas, gyvenamosios vietos adresas), duomenys apie laikinąjį nedarbingumą, duomenys apie kasmetinės veiklos vertinimą, asmens parašas, kiti paties asmens pateikti duomenys ir duomenys, kuriuos Biblioteka gauna pagal teisės aktus vykdydama atitinkamą vidaus administravimo veiklą ir (ar) kuriuos tvarkyti Biblioteką įpareigoja įstatymai ir (ar) kiti teisės aktai | |||
1.1.8. | stažuočių ir mokymų administravimas | asmens kodas, vardas, pavardė, duomenys apie darbo vietą, išsilavinimą ir kvalifikaciją, darbo istoriją, kasmetinės veiklos vertinimą, duomenys ryšiams palaikyti (telefono ryšio numeris, elektroninio pašto adresas), asmens parašas | asmenys, priimti į pareigas Bibliotekoje |
1.1.9. | tarnybinių komandiruočių administravimas | vardas, pavardė, gimimo data, duomenys apie darbo vietą, duomenys, susiję su komandiruote (tikslas, vieta, laikas, kelionės būdas, automobilio registracijos liudijimas, išlaidos ir pan.) | asmenys, vykstantys į tarnybines komandiruotes |
1.1.10. | leidimas dirbti kitą darbą, užsiimti pedagogine ar kūrybine veikla | vardas, pavardė, duomenys apie darbo vietą, pareigos naujoje darbo vietoje ir darbo grafikas | asmenys, kurie prašo leidimo dirbti kitą darbą |
1.1.11. | įgaliojimų suteikimas | vardas, pavardė, asmens kodas, dokumento numeris, pareigos, asmens parašas | asmenys, kuriems yra suteikiami įgaliojimai atlikti veiksmus |
1.1.12. | viešųjų ir privačiųjų interesų deklaravimas | asmens kodas, vardas, pavardė, sutuoktinio, sugyventinio, partnerio asmens kodas, vardas, pavardė, pilietybė, duomenys apie darbovietę, viešųjų ir privačių interesų deklaracijos duomenys (sandoriai, ryšiai, veikla ir kt.), duomenys ryšiams palaikyti (telefono numeris, elektroninio pašto adresas) | asmenys, turintys administravimo įgaliojimus ar vykdantys viešuosius pirkimus |
1.2. | Darbo pareigų pažeidimo tyrimas | asmens kodas, vardas, pavardė, duomenys apie darbo vietą, asmens parašas, duomenys, susiję su darbo pareigų pažeidimu | asmenys, kurių atžvilgiu atliekamas pažeidimo tyrimas, ir kiti asmenys, susiję su darbo pareigų pažeidimo tyrimu |
1.3. | Buhalterinė apskaita | asmens kodas, vardas, pavardė, individualios veiklos pažymėjimo numeris, banko sąskaitos duomenys, duomenys ryšiams palaikyti (telefono numeris, elektroninio pašto adresas, gyvenamosios vietos adresas), parašas | finansinius įsipareigojimus vykdantys asmenys |
1.4. | Prekių, darbų, paslaugų sutarčių su tiekėjais vykdymas | vardas, pavardė, asmens kodas, darbovietė, pareigos, duomenys ryšiams palaikyti (telefono numeris ir elektroninio pašto adresas), atsiskaitomosios sąskaitos numeris, kiti paties asmens pateikti duomenys ir duomenys, kuriuos Biblioteka gauna pagal teisės aktus vykdydama atitinkamą vidaus administravimo veiklą ir (ar) kuriuos tvarkyti Biblioteką įpareigoja įstatymai ir (ar) kiti teisės aktai | tiekėjai (fiziniai asmenys) |
1.5. | Leidimų statyti automobilį išdavimas | vardas, pavardė, transporto priemonės valstybinis numeris | asmenys, norintys gauti ir turintys leidimą statyti automobilį |
2. | Vartotojams teikiamų paslaugų administravimas | ||
2.1. | vartotojų aptarnavimas ir informacinis aprūpinimas | asmens kodas, vardas, pavardė, duomenys ryšiams palaikyti (telefono numeris, elektroninio pašto adresas, gyvenamosios vietos adresas), išsilavinimo duomenys (neprivalomi), duomenys apie darbo ir/ar mokymosi vietą (neprivalomi), nuotrauka (neprivaloma), asmens iki 16 metų pareiškėjo (tėvo, įtėvio, globėjo ar rūpintojo) asmens kodas, vardas, pavardė, duomenys ryšiams palaikyti (telefono numeris, elektroninio pašto adresas, gyvenamosios vietos adresas), asmens parašas | Bibliotekos vartotojai |
2.2. | asmens tapatybės nustatymas (identifikavimas) | asmens kodas, vardas, pavardė | Bibliotekos vartotojai |
2.3. | vartotojų apskaita | asmens kodas, vardas, pavardė, gyvenamoji vieta | Bibliotekos vartotojai |
2.4. | vartotojo pažymėjimo funkcionavimas bendros vartotojų registravimo | asmens kodas, vardas, pavardė, duomenys ryšiams palaikyti (telefono numeris, elektroninio | Bibliotekos vartotojai |
duomenų bazės pagrindu | pašto adresas, gyvenamosios vietos adresas) | ||
2.5. | vartotojų informavimas | vardas, pavardė, duomenys ryšiams palaikyti (telefono numeris ir (ar) elektroninio pašto adresas) | Bibliotekos vartotojai |
3. | Tiesioginė rinkodara | vardas, pavardė, duomenys ryšiams palaikyti (telefono numeris ir (ar) elektroninio pašto adresas) | Bibliotekos vartotojai ir darbuotojai |
4. | Tarptautinė standartinė leidinių numeracija | vardas, pavardė, duomenys ryšiams palaikyti (telefono ir fakso numeris, elektroninio pašto adresas) | leidėjai (fiziniai asmenys) |
5. | Lietuvos leidėjų duomenų bazės tvarkymas | vardas, pavardė, duomenys ryšiams palaikyti (telefono ir fakso numeris, elektroninio pašto adresas) | leidėjai (fiziniai asmenys) |
6. | Vaizdo konferencijų organizavimas | vardas, pavardė, duomenys apie darbo (tarnybos) vietą, asmens vaizdo ir pokalbio duomenys, vaizdo konferencijos data, laikas ir trukmė | vaizdo konferencijų dalyviai |
7. | Asmenų, patalpų ir turto apsauga (vaizdo stebėjimas) | vardas, pavardė, duomenys apie darbo vietą, asmens nuotrauka (stebėjimo vaizdas), buvimo teritorijoje (patalpose) laikas | asmenys, patenkantys į bibliotekos teritorijų (patalpų) stebėjimo zonas |
8. | Skaitmeninių garso įrašų kūrimas protokolams | vardas, pavardė, balso įrašas, pareigos, asmens parašas | asmenys, dalyvaujantys posėdyje |
9. | Asmenų prašymų ir skundų, pranešimų nagrinėjimas | vardas, pavardė, gyvenamoji vieta, duomenys ryšiams palaikyti (telefono numeris, elektroninis paštas, korespondencijos adresas), parašas, faktinės aplinkybės, kuriomis grindžiamas reikalavimas, ir jas patvirtinantys dokumentai, trečiųjų suinteresuotų fizinių asmenų vardai, pavardės, gyvenamoji vieta | asmenys, pateikę prašymą, pranešimą, skundą |
10. | /pagal poreikį nurodyti kitus asmens duomenų tvarkymo Bibliotekoje tikslus/ |
Asmens duomenų tvarkymo bibliotekoje taisyklių
2 priedas
PAGĖGIŲ SAVIVALDYBĖS VYDŪNO VIEŠOJI BIBLIOTEKA DUOMENŲ TVARKYMO VEIKLOS ĮRAŠŲ ŽURNALAS
Duomenų apsaugos pareigūnas –
(vardas, pavardė, kontaktiniai duomenys)
Eil. Nr. | Asmens duomenų tvarkymo tikslas (pvz., vidaus administravi mas ir t. t.) | Asmens duomenų tvarkymo sub- tikslas (pvz., personalo administravi mas ir t. t.) | Asmens duomenų tvarkymo teisinis pagrindas (pvz., sutikimas, sutartinė prievolė, teisinė prievolė, viešasis interesas ir t. t.) | Duomenų subjektų grupės (pvz., darbuotojai, vartotojai ir t. t.) | Asmens duomenų kategorijos (pvz., vardas, pavardė, asmens kodas ir t. t.) | Duomenų gavėjų kategorijos (pvz., Valstybinio socialinio draudimo fondo valdybaprie Socialinės apsaugos ir darbo ministerijos ir t. t.) | Asmens duomenų saugojimo, ištrynimo terminai (pvz., 10 metų po sutarties sudarymo, 14 kalendorinių dienų ir t. t.) | Techninių ir organizacinių saugumo priemonių aprašymas (pvz., darbuotojų konfidencialu mopareiga, antivirusinės programos ir t. t.) | Duomenų šaltiniai (pvz., duomenų subjekto pateikti duomenys ir t. t.) | Darbuotojai (struktūriniai padaliniai), atsakingi už asmens duomenų tvarkymą | Duomenų įvedimo, keitimo data (datos) |
1. | |||||||||||
2. | |||||||||||
3. | |||||||||||
4. |
Asmens duomenų tvarkymo bibliotekoje taisyklių
3 priedas
(Informavimo forma)
Aš, ,
(vardas ir xxxxxxx)
,
(bibliotekos ar jos padalinio pavadinimas, pareigų pavadinimas)
p a t v i r t i n u, kad esu susipažinęs (-usi) su Asmens duomenų tvarkymo bibliotekoje taisyklėmis ir Bibliotekos vaizdo stebėjimo įrangos naudojimo ir vaizdo duomenų tvarkymo tvarkos aprašu ir esu informuotas (-a), kad mano darbo vietos vaizdas stebimas siekiant užtikrinti Bibliotekos turto apsaugą, darbuotojų ir lankytojų saugumą.
(data) (parašas) (vardas, xxxxxxx)
Asmens duomenų tvarkymo bibliotekoje pavyzdinių taisyklių
4 priedas
PAGĖGIŲ SAVIVALDYBĖS VYDŪNO VIEŠOJI BIBLIOTEKA VAIZDO ĮRAŠŲ PERŽIŪROS ŽURNALAS
Eil. Nr. | Vaizdo kameros identifikacinis numeris | Incidento (priežasties), dėl kurio peržiūrėti vaizdo duomenys, aprašymas | Incidento data | Vaizdo duomenų peržiūros data | Vaizdo duomenis peržiūrėję asmenys (pareigos, vardas, pavardė) | Peržiūrėti vaizdo duomenys | Incidento pasekmės duomenų subjektams | Priemonės, kurių buvo imtasi incidento pasekmėms šalinti |
1. | ||||||||
2. | ||||||||
3. | ||||||||
4. | ||||||||
5. | ||||||||
6. | ||||||||
7. | ||||||||
8. | ||||||||
9. | ||||||||
10. |
Asmens duomenų tvarkymo bibliotekoje taisyklių
5 priedas
KONFIDENCIALUMO PASIŽADĖJIMAS
Aš,
(vardas ir xxxxxxx)
(Bibliotekos ar jos teritorinio padalinio pavadinimas, pareigų pavadinimas)
p a t v i r t i n u, kad esu susipažinęs (-usi) su 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendruoju duomenų apsaugos reglamentu), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Asmens duomenų tvarkymo bibliotekoje taisyklėmis ir kitais Lietuvos Respublikos įstatymais ir teisės aktais, numatančiais atsakomybę už asmens duomenų atskleidimą, neteisėtą tvarkymą ar kitus asmens duomenų apsaugos reikalavimų pažeidimus, ir
p a s i ž a d u :
1. asmens duomenis tvarkyti tik laikantis Taisyklių reikalavimų ir vadovaujantis Reglamento 5 straipsnyje nurodytais asmens duomenų tvarkymo principais;
2. neatskleisti, neperduoti ir nesudaryti sąlygų įvairiomis priemonėmis susipažinti su tvarkoma arba gauta informacija nei vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija tiek bibliotekos viduje, tiek už jos ribų;
3. pranešti savo vadovui ir duomenų apsaugos pareigūnui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę asmens duomenų saugumui;
4. saugoti asmens duomenų paslaptį visą darbo laiką ir pasibaigus darbo santykiams, jei šie asmens duomenys neskirti skelbti viešai.
Pasirašydamas šį pasižadėjimą, patvirtinu, kad suprantu, kad už jo nesilaikymą taikoma atsakomybė teisės aktuose nustatyta tvarka.
(data) (parašas) (vardas, xxxxxxx)
Įgaliojimo tvarkyti asmens duomenis teisinis pagrindas
(nurodyti pareigybės aprašymo ar kito dokumento sudarytojo pavadinimą, datą ir dokumento numerį)
Asmens duomenų tvarkymo bibliotekoje taisyklių
6 priedas
Prašymas įgyvendinti duomenų subjekto teisę (-es)
(Duomenų subjekto vardas, xxxxxxx)
(Adresas ir (ar) kiti kontaktiniai duomenys (telefono ryšio numeris ar el. pašto adresas (xxxxxxxx pareiškėjui pageidaujant)
(Atstovo vardas ir pavardė arba pavadinimas ir atstovavimo pagrindas, jeigu prašymą pateikia duomenų subjekto atstovas)
(Bibliotekos pavadinimas)
PRAŠYMAS
ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISĘ (-ES)
(Data)
(Sudarymo vieta)
1. Prašau įgyvendinti šią (šias) duomenų subjekto teisę (-es): (Tinkamą langelį pažymėkite kryželiu):
Teisę gauti informaciją apie duomenų tvarkymą Teisę susipažinti su duomenimis
Teisę reikalauti ištaisyti duomenis
Teisę reikalauti ištrinti duomenis („teisė būti pamirštam“) Teisę apriboti duomenų tvarkymą
Teisę į duomenų perkeliamumą
Teisę nesutikti su duomenų tvarkymu
Teisę reikalauti, kad nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas
2. Nurodykite, ko konkrečiai prašote ir pateikite kiek įmanoma daugiau informacijos, kuri leistų tinkamai įgyvendinti Jūsų teisę (-es) (pavyzdžiui, jeigu norite gauti asmens duomenų kopiją, nurodykite, kokių konkrečiai duomenų (pavyzdžiui, 2018 m. x mėn. x d. elektroninio pašto laiško kopiją, 2018 m. x mėn. x d. vaizdo įrašą (x val. x min. – x val. x min.) kopiją pageidaujate gauti; jeigu norite ištaisyti duomenis, nurodykite, kokie konkrečiai Jūsų asmens duomenys yra netikslūs; jeigu nesutinkate, kad būtų tvarkomi Jūsų asmens duomenys, tuomet nurodykite argumentus, kuriais grindžiate savo nesutikimą, nurodykite dėl kokio konkrečiai duomenų tvarkymo nesutinkate; jeigu kreipiatės dėl teisės į duomenų perkeliamumą įgyvendinimo, prašome nurodyti, kokių duomenų atžvilgiu šią teisę pageidaujate įgyvendinti, ar pageidaujate juos perkelti į savo įrenginį ar kitam duomenų valdytojui, jeigu pastarajam, tuomet nurodykite kokiam):
.
PRIDEDAMA:
1. ;
2. ;
3. ;
4. .
Atsakymą noriu gauti (pažymėti vieną):
paštu;
atvykęs į Biblioteką adresu ;
elektroniniu paštu (tik pasirašius prašymą kvalifikuotu elektroniniu parašu).
(Parašas) (Vardas, pavardė)
Asmens duomenų tvarkymo bibliotekoje taisyklių
7 priedas
PAGĖGIŲ SAVIVALDYBĖS VYDŪNO
VIEŠOJI BIBLIOTEKA
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ REGISTRAVIMO ŽURNALAS
Eil. Nr. | Pažeidimo nustatymo data, valanda (minučių tikslumu) ir vieta | Darbuotojas ar kitas subjektas, pranešęs apie pažeidimą (vardas, pavardė, pareigos) | Pažeidimo padarymo data ir vieta | Pažeidimo pradžia ir pabaiga, pobūdis, tipas, aplinkybės | Duomenų subjektų, kurių asmens duomenų saugumas pažeistas, kategorijos ir apytikslis skaičius | Asmens duomenų, kurių saugumas pažeistas, kategorijos ir apimtis | Tikėtinos pažeidimo pasekmės bei pavojus fizinių asmenų teisėmsir laisvėms | Priemonės, kurių buvo imtasi pažeidimui pašalinti ir (ar) neigiamoms pažeidimo pasekmėms sumažinti | Darbuotojas ar kitas subjektas, pašalinęs pažeidimą (vardas, pavardė, pareigos) | Pažeidimo pašalinimo data, laikas | Informacija, ar apie pažeidimą buvo pranešta Valstybinei duomenų apsaugos inspekcijai, ir priimto sprendimo motyvai | Informacija, ar apie pažeidimą buvo pranešta duomenų subjektui (-ams), ir priimto sprendimo motyvai |
1. | ||||||||||||
2. | ||||||||||||
3. | ||||||||||||
4. | ||||||||||||
5. |