VIEŠOSIOS ĮSTAIGOS ,,DIENOS CENTRAS SUTRIKUSIO INTELEKTO ASMENIMS“ ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

PATVIRTINTA

VšĮ ,,Dienos centras sutrikusio intelekto asmenims“ direktoriaus 2018 m. liepos 20 d. įsakymu Nr. V1-8

VIEŠOSIOS ĮSTAIGOS ,,DIENOS CENTRAS SUTRIKUSIO INTELEKTO ASMENIMS“ ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

I SKYRIUS BENDROSIOS NUOSTATOS

1. Viešoji įstaiga ,,Dienos centras sutrikusio intelekto asmenims” (toliau-Įstaiga). Asmens duomenų tvarkymo taisyklės (toliau-Taisyklės) reguliuoja fizinių asmenų, kurių duomenis tvarko įstaiga, Asmens duomenų tvarkymo tikslus, nustato jų teisių įgyvendinimo tvarką, įtvirtina organizacines ir technines duomenų apsaugos priemones, Asmens duomenų incidentų valdymo, poveikio duomenų apsaugai atlikimo tvarką, reguliuoja Asmens duomenų tvarkytojo pasitelkimo atvejus.

2. Šios Taisyklės parengtos remiantis:

2.1. Lietuvos Respublikos Asmens duomenų teisinės apsaugos įstatymu (toliau – ADTAĮ);

2.2. Bendruoju Asmens duomenų apsaugos reglamentu (toliau – BDAR);

2.3. Lietuvos Respublikos Vyriausybės 2001 m. vasario 28 d. nutarimu Nr. 228 „Dėl duomenų teikimo Duomenų subjektui atlyginimo tvarkos ir duomenų surinkimo iš registruotų duomenų valdytojų atlyginimo tvarkos patvirtinimo“;

2.4. Valstybinės duomenų apsaugos inspekcijos direktoriaus 2016 m. birželio 23 d. įsakymu Nr. 1T- 25(1.12E) „Dėl pranešimų dėl išankstinės patikros formų patvirtinimo“;

2.5. Lietuvos Respublikos Vyriausybės 2002 m. vasario 20 d. nutarimu „Dėl Asmens duomenų valdytojų valstybės registro reorganizavimo, šio registro nuostatų ir Asmens duomenų valdytojų pranešimo apie Duomenų tvarkymą automatiniu būdu tvarkos patvirtinimo“;

2.6. Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T- 71(1.12) „Dėl bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“;

2.7. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

2.8. Kitais teisės aktais, susijusiais su Asmens duomenų tvarkymu ir apsauga.

3. Šios Taisyklės taikomos tvarkant fizinių asmenų duomenis automatiniu būdu, taip pat ir neautomatiniu būdu tvarkant Asmens duomenų susistemintas rinkmenas: socialinių paslaugų gavėjų bylos, sąrašus, kartotekas, bylas, sąvadus ir kita. Šios Taisyklės taip pat nustato Įstaigos darbuotojų teises, pareigas ir atsakomybę tvarkant Asmens duomenis.

4. Šių Taisyklių reikalavimai privalomi visiems Įstaigos darbuotojams (toliau – Darbuotojai), kurie tvarko įstaigoje esančius Asmens duomenis arba eidami savo pareigas juos sužino. Šių Taisyklių taip pat privalo laikytis Duomenų tvarkytojai, kurie teikdami įstaigai duomenų tvarkymo paslaugas, sužino ir tvarko Asmens duomenis.

II SKYRIUS PAGRINDINĖS SĄVOKOS

5. Įstaiga – Viešosios įstaiga ,,Dienos centras sutrikusio intelekto asmenims”, kodas 301739602, Durpynų g. 10, LT-81171 Kuršėnai, tel.: (8 41) 580 778.

6. Socialinių paslaugų gavėjai – fiziniai asmenys, kuriems teikiamos dienos globos socialinės paslaugos.

7. Atsakingas asmuo – fizinis ar juridinis asmuo pagal paslaugų ar kitą sutartį, išskyrus darbo sutartį, Įstaigos paskirtas tvarkyti darbuotojų asmens duomenis.

8. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima tiesiogiai arba netiesiogiai nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens kodą, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.

9. Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar Asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.

10. Duomenų valdytojas – Įstaiga, kuri tvarkydama socialinių paslaugų gavėjų, kitų fizinių asmenų ir darbuotojų duomenis nustato tų duomenų naudojimo būdus ir priemones.

11. Duomenų subjektas – Darbuotojai, socialinių paslaugų gavėjai ir kiti fiziniai asmenys, kurių duomenis tvarko Įstaiga.

12. Duomenų tvarkytojas – subjektai, kurie tvarko Įstaigos valdomus asmens duomenis pagal viešosios įstaigos nurodymus ir vadovaujantis sudarytomis paslaugų teikimo sutartimis.

13. Duomenų teikimas – Asmens duomenų atskleidimas perduodant ar kitu būdu padarant juos prieinamus (išskyrus paskelbimą visuomenės informavimo priemonėse).

14. Vidaus administravimas – veikla, kuria užtikrinamas duomenų valdytojo savarankiškas funkcionavimas (struktūros tvarkymas, personalo valdymas, turimų materialinių ir finansinių išteklių valdymas ir naudojimas, raštvedybos tvarkymas).

15. Kitos Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos ADTAĮ ir/ar BDAR.

III SKYRIUS

ASMENS DUOMENŲ TVARKYMO PRINCIPAI IR TIKSLAI

16. Darbuotojai, atlikdami savo pareigas ir tvarkydami Asmens duomenis, privalo:

16.1. Asmens duomenis tvarkyti teisėtai, sąžiningai ir skaidriai;

16.2. Rinkti nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkyti su tais tikslais nesuderinamu būdu;

16.3. Renkant ir tvarkant Asmens duomenis laikytis tikslingumo, proporcingumo ir duomenų kiekio mažinimo principų, nereikalauti iš darbuotojų, socialinių paslaugų gavėjų, kitų interesantų pateikti tų duomenų, kurie nėra reikalingi, nekaupiami ir netvarkyti perteklinių duomenų;

16.4. Užtikrinti Asmens duomenų tikslumą ir, jei reikia dėl Asmens duomenų tvarkymo, juos atnaujinti; netikslius ar neišsamius duomenis ištaisyti, papildyti, sunaikinti arba jų tvarkymą sustabdyti;

16.5. Asmens duomenis saugoti teisės aktų ir šių Taisyklių nustatyta tvarka;

16.6. Asmens duomenis tvarkyti tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas Asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).

17. Visa informacija apie socialinių paslaugų gavėjo buvimą Įstaigoje, visa kita asmeninio pobūdžio informacija apie socialinių paslaugų gavėją yra konfidenciali. Informacija apie socialinių paslaugų gavėją turi būti teikiama, jeigu tai yra privaloma pagal įstatymus arba raštišku kreipimusi į Įstaigą.

IV SKYRIUS

DUOMENŲ TVARKYMO TIKSLAS, ŠALTINIAI, TEIKIMAS IR SAUGOJIMAS

18. Įstaigos Duomenų subjektų Asmens duomenys tvarkomi:

18.1. Darbuotojų - vidaus administravimo tikslu; Darbo sutarčių sudarymo, vykdymo ir apskaitos; Įstaigos kaip darbdavio pareigų, nustatytų teisės aktuose, tinkamam vykdymui; Tinkamai komunikacijai su darbuotojais ne darbo metu palaikyti; Tinkamoms darbo sąlygoms užtikrinti;

18.2. Socialinių paslaugų gavėjų - socialinės priežiūros ir globos paslaugų teikimo tikslu renkami šie asmens duomenys: vardas (-ai), pavardė (-ės), asmens kodas, lytis, gimimo data, pilietybė, deklaruota ir faktinė gyvenamoji vieta arba patvirtinimas, kad asmuo įtrauktas į gyvenamosios vietos neturinčiųjų asmenų apskaitą, ryšių duomenys (telefono numeris), paso, asmens tapatybės kortelės duomenys, asmens artimųjų giminaičių kontaktiniai duomenys (telefono numeris), informacija apie asmens biografiją (įgytą išsilavinimą, darbinę patirtį, teistumą, jei toks buvo, ir kt.), elgesio ypatumus, pomėgius, asmens gaunamas lėšas ir pan.

18.3. Socialinių paslaugų gavėjų – sveikatos, kai kurie kiti asmeniui būdingi fizinio, fiziologinio ar socialinio pobūdžio duomenys: savivaldybės administracijos direktoriaus įsakymai ar teismo nutartys ir kiti dokumentai, pateikti dėl suaugusio asmens pripažinimo neveiksniu, globėjo (rūpintojo) paskyrimo, asmens socialinės globos poreikio vertinimo (su priedais) duomenys, savivaldybės pažymos apie asmens mokėjimo už socialinę globą dydžiai, neįgaliojo pažymėjimo duomenys (neįgalumo lygio pažymos, darbingumo lygio pažymos, pažymos dėl specialiųjų poreikių lygio nustatymo ar specialiojo nuolatinės slaugos ar nuolatinės priežiūros/pagalbos poreikio nustatymo pažymos duomenys), medicininiai dokumentai – pažymos ir kt.

19. Įstaigai tvarkant duomenis Taisyklių 18.1 p. nurodytu tikslu, iš darbuotojų yra renkami ir tvarkomi tokie jų Asmens duomenys, kurie yra būtini darbo sutarties su jais sudarymo, vykdymo ir nutraukimo tikslu (vardas, pavardė, asmens kodas, gimimo data, gyvenamosios vietos adresas, asmens tapatybės dokumento duomenys, elektroninio pašto adresas, telefono numeris, duomenys apie išsilavinimą, profesinę patirtį, kvalifikaciją, pareigas, darbo užmokestis, banko sąskaitos numeris, dirbtas laikas, sukauptos, panaudotos atostogos, šeiminė padėtis, pilietybė).

19.1. Įstaigai tvarkant duomenis Taisyklių 18.1 p. tikslu, Asmens duomenys yra gaunami tiesiogiai iš Darbuotojų. Šių duomenų Įstaiga neperduoda jokiems duomenų gavėjams, išskyrus įstatymo numatytus atvejus, kai toks perdavimas būtų sąlygotas teisės aktų ar teismo, kitos institucijos privalomo sprendimo. Darbuotojų duomenys yra saugomi sutinkamai su teisės aktų nustatytais reikalavimais (Lietuvos vyriausiojo archyvaro patvirtinta bendrųjų dokumentų saugojimo terminų rodyklė).

20. Įstaigai tvarkant duomenis Taisyklių 18.2 p. tikslu, iš socialinių paslaugų gavėjų yra renkami ir tvarkomi Asmens duomenys, tam, kad galėtų tinkamai ir kokybiškai teikti socialinės globos ir priežiūros paslaugas:

20.1. sudaryti socialinės globos/priežiūros paslaugų teikimo sutartis ir tinkamai jas vykdyti;

20.2. vykdyti užklausas apie teikiamas paslaugas;

20.3. išrašyti ir pateikti paraiškas už suteiktas paslaugas;

20.4. atstovauti paslaugų gavėjų interesus Valstybės ir savivaldybių įstaigose, teismuose;

20.5. vykdyti kitas pareigas pagal Įstaigos įstatus;

20.6. Nurodytais tikslais, Taisyklių 20.1-20.6 punktuose, atsakingi Įstaigos darbuotojai tvarko šiuos socialinių paslaugų gavėjų duomenis: vardus ir pavardes; gyvenamosios vietos adresus; gimimo datą; asmens kodą; jo artimuosius, globėjus, patikėtinius; xxxxxxxxxx bei gyventojo artimųjų telefono numerius; informaciją, susijusią su asmens socialine ir sveikatos būklę; kitus duomenis, reikalingus tinkamai vykdyti veiklą pagal Įstaigos istatus.

20.7. Įstaigai tvarkant duomenis šių Taisyklių 18.1p. tikslu, šie duomenys gaunami iš Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos („Sodros“).

21. Įstaigos asmens duomenų apsaugos pareigūnas (toliau – Pareigūnas) privalo tvarkyti bei saugoti su Asmens duomenų apsauga susijusios veiklos duomenis, kurie nurodytų bent šią minimalią ir aktualią informaciją:

21.1. Įstaigos rekvizitus ir Xxxxxxxxx rekvizitus;

21.2. Duomenų subjektų duomenis;

21.3. Duomenų tvarkytojų kontaktus;

21.4. Asmens duomenų saugojimo terminus, pagal kuriuos Asmens duomenys yra saugomi Įstaigoje;

V SKYRIUS

DUOMENŲ SUBJEKTŲ TEISĖS IR JŲ ĮGYVENDINIMO TVARKA

Duomenų subjektų teisės ir informuotumo užtikrinimas

22. Duomenų subjektai turi teisę:

22.1. Žinoti (būti informuoti) apie savo Asmens duomenų tvarkymą;

22.2. Pateikę Įstaigai – asmens tapatybės dokumentą arba elektroninio ryšio priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, susipažinti su savo Asmens duomenimis ir jų tvarkymu, gauti informaciją, iš kokių šaltinių ir kokie jo Asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti bent per paskutinius 3 metus, taip pat gauti dokumentų, kuriame yra jų Asmens duomenys, kopiją.

22.3. Reikalauti ištaisyti, ištrinti savo Asmens duomenis arba apriboti Duomenų tvarkymą, išskyrus saugojimą, kai duomenys tvarkomi nesilaikant teisės aktų reikalavimų;

22.4. Nesutikti, kad būtų tvarkomi jo Asmens duomenys.

22.5. Pateikti skundą valstybinės duomenų apsaugos inspekcijai;

22.6. Atšaukti duotą sutikimą (jei Asmens duomenys tvarkomi sutikimo pagrindu).

23. Visais atvejais, Įstaiga privalo suteikti Duomenų subjektui informaciją (išskyrus atvejus, kai Duomenų subjektas tokią informaciją jau turi):

23.1. Savo pavadinimą, juridinio asmens kodą ir buveinę;

23.2. Pareigūno kontaktinius duomenis, jei toks yra;

23.3. Kokiais tikslais ir teisiniu pagrindu tvarkomi Duomenų subjekto Asmens duomenys;

23.4. Duomenų gavėjus, jų kategorijas;

23.5. Duomenų saugojimo laikotarpį arba kriterijus, taikomus tam laikotarpiui nusakyti;

23.6. Kitą papildomą informaciją (duomenų gavimo šaltinus, kokius savo Asmens duomenis Duomenų subjektas privalo pateikti ir kokios yra duomenų nepateikimo pasekmės, apie Duomenų subjekto teisę susipažinti su savo asmens duomenimis ir teisę reikalauti ištaisyti neteisingus, neišsamius, netikslius savo Asmens duomenis), kiek jos reikia, kad būtų užtikrintas teisingas Asmens duomenų tvarkymas nepažeidžiant Duomenų subjekto teisių.

24. Įstaiga užtikrina, kad Duomenų subjektams įgyvendinant savo teisę į duomenų perkeliamumą, perkeliami tik tie duomenys, kurie tvarkomi sutarties arba sutikimo pagrindu ir yra tvarkomi automatizuotomis

priemonėmis. Tokiu atveju Asmens duomenys Duomenų subjektui būtų pateikiami susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu.

25. Duomenų subjektų teisės taip pat yra numatytos Įstaigos įstatuose ir taikomos tiek, kiek neprieštarauja šioms Taisyklėms.

Duomenų subjekto teisių įgyvendinimo tvarka

26. Įstaiga, privalo:

26.1. Sudaryti sąlygas Duomenų subjektui įgyvendinti šių Taisyklių V skyriuje nurodytas Duomenų subjekto teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti valstybės saugumą ar gynybą, viešąją tvarką, nusikalstamų veikų prevenciją, tyrimą, nustatymą ar baudžiamąjį persekiojimą, svarbius valstybės ekonominius ar finansinius interesus, tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą, Duomenų subjekto ar kitų asmenų teisių ir laisvių apsaugą;

26.2. Duomenų subjektai dėl šių Taisyklių V skyriuje nurodytų teisių įgyvendinimo, privalo kreiptis į Įstaigos direktorių;

26.3. Įstaiga privalo užtikrinti, kad visa reikalinga informacija Duomenų subjektui būtų pateikiama aiškiai ir suprantamai;

26.4. Duomenų subjektui atsakymas privalo būti pateiktas ne vėliau kaip per 20 (dvidešimt) darbo dienų nuo prašymo gavimo dienos. Jei duomenis teikti Duomenų subjektui atsisakoma, jam turi būti pateiktas motyvuotas ir pagrįstas atsakymas dėl jo prašymo nevykdymo.

27. Įstaiga privalo ne vėliau kaip per 5 dienas informuoti duomenų gavėjus apie Duomenų subjekto prašymu ištaisytus ar sunaikintus Asmens duomenis, sustabdytus Asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). Tokiu atveju turi būti nedelsiant pranešama Valstybinei duomenų apsaugos inspekcijai.

28. Įstaiga duomenis Duomenų subjektui teikia neatlygintinai. Tam tikrais atvejais (kai Duomenų subjektas akivaizdžiai piktnaudžiauja savo teisėmis, nepagrįstai pakartotinai teikia prašymus pateikti informaciją, išrašus, dokumentus), toks informacijos ir duomenų teikimo prašymas Duomenų subjektui gali būti atmestas.

Duomenų teikimas duomenų gavėjams

29. Įstaiga Duomenų subjektų duomenis duomenų gavėjams teikia nepažeidžiant teisės aktuose įtvirtintų reikalavimų ir Asmens duomenų konfidencialumo užtikrinimo pagal sudarytą sutartį arba vienkartinį duomenų gavėjo prašymą.

30. Vienkartinio duomenų teikimo atveju, Įstaiga, teikdama Asmens duomenis pagal duomenų gavėjo prašymą, prioritetą teikia duomenų teikimui elektroninių ryšių priemonėmis.

31. Asmens duomenų teikimas valstybės ir savivaldybės institucijoms ir kitoms įstaigoms, kai šios institucijos ir įstaigos pagal konkretų paklausimą gauna Asmens duomenis įstatymų nustatytoms kontrolės funkcijoms atlikti, nelaikytinas duomenų teikimu duomenų gavėjams:

31.1. Įstaiga įsipareigoja laikytis konfidencialumo pareigos duomenų subjektų atžvilgiu. Asmens duomenys gali būti atskleisti trečiosioms šalims tik tada, jeigu to reikia sutarčiai duomenų subjekto naudai sudaryti ir vykdyti, arba dėl kitų teisėtų priežasčių.

31.2. Įstaiga gali pateikti asmens duomenis duomenų tvarkytojams. Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik pagal Įstaigos nurodymus ir tik ta apimtimi, kiek tai yra būtina siekiant tinkamai teikti dienos socialinės globos paslaugas, bei nustatytus įsipareigojimus.

31.3. Įstaiga taip pat gali teikti asmens duomenis atsakydama į teismo arba valstybinių institucijų prašymus ta apimtimi, kiek tai būtina siekiant tinkamai vykdyti galiojančius teisės aktus ir valstybinių institucijų nurodymus.

31.4. Įstaiga garantuoja, kad asmens duomenys nebus nei pardavinėjami, nei nuomojami tretiesiems asmenims.

VI SKYRIUS

ASMENS DUOMENŲ APSAUGOS PAREIGŪNAS

32. Įstaiga tvarko ypatingus socialinių paslaugų gavėjų asmens duomenis, be kurių būtų neįmanomas tinkamas įstaigos funkcionavimas ir socialinių paslaugų teikimas.

33. Įstaiga direktoriaus įsakymu, Pareigūnu gali būti paskirtas vienas iš esamų įstaigos darbuotojų, naujas darbuotojas arba asmuo, su kuriuo būtų sudaroma paslaugų teikimo sutartis.

34. Skirdamas Pareigūną, įstaigos direktorius privalo įvertinti ir įgyvendinti tai, kad:

34.1. Pareigūnas būtų įtraukiamas į visų su Asmens duomenų apsauga ir privatumu susijučių klausimų nagrinėjimą Įstaigoje.

34.2. Pareigūnas būtų tiesiogiai pavaldus Įstaigos direktoriui;

34.3. Pareigūnas neturėtų jokių kitų pareigų, neatliktų funkcijų, kurios galėtų sukelti interesų konfliktą su jo atliekamomis Pareigūno funkcijomis.

35. Pareigūnas privalo:

35.1. Užtikrinti, kad Įstaigoje vykdomas Asmens duomenų tvarkymas atitiktų BDAR, kitų, asmens duomenų teisinę apsaugą reglamentuojančių teisės aktų reikalavimus, tinkamai įvertinant duomenų tvarkymo operacijas, duomenų tvarkymo pobūdį, aprėptį, kontekstą, tikslus, potencialų pavojų;

35.2. Stebėti, kaip laikomasi BDAR, kitų, Asmens duomenų teisinę apsaugą reglamentuojančių teisės aktų reikalavimų, šių Taisyklių, kitų vidinių dokumentų, susijusių su Asmens duomenų apsauga;

35.3. Konsultuoti ir stebėti, kaip atliekamas poveikio duomenų apsaugai vertinimas, aptariamas šių Taisyklių VII skyriuje.

35.4. Informuoti Įstaigos direktorių ir kitus darbuotojus apie jų pareigas pagal BDAR ir kitus, asmens duomenų teisinę apsaugą reglamentuojančius, teisės aktus ir juos konsultuoti dėl konkrečių pareigų vykdymo;

35.5. Informuoti Įstaigos direktorių apie bet kokius neatitikimus, pažeidimus asmens duomenų apsaugos srityje, kuriuos Pareigūnas nustato, vykdydamas savo funkcijas;

35.6. Bendradarbiauti, būti kontaktiniu asmeniu santykiuose su Valstybine duomenų apsaugos inspekcija.

36. Įstaigos direktorius paskyręs Pareigūną, privalo užtikrinti, kad Pareigūno kontaktiniai duomenys būtų tinkamai paskelbti Duomenų subjektams bei pranešti Valstybinei duomenų apsaugos inspekcijai.

VII SKYRIUS

POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS

37. Įstaigai pradėjus vykdyti naują (-as) duomenų tvarkymo operaciją (-as), ji privalo atlikti poveikio duomenų apsaugai vertinimą, jei Duomenų tvarkymas:

37.1. Keltų didelį pavojų Duomenų subjektų teisėms ir laisvėms (pavyzdžiui, atvejai, kai Duomenų subjektas neturi galimybės nesutikti su Duomenų tvarkymu, duomenys perduodami už ES ribų, būtų pradėti tvarkyti duomenys, kurie gauti juos sujungus su duomenimis iš kitų šaltinių, būtų tvarkomi jautrūs duomenys tokie kaip sveikata, būtų pradėti naudoti nauji technologiniai sprendimai, pavyzdžiui, veido atpažinimo sistemos, kt.);

37.2. Automatizuotai būtų tvarkomi asmeniniai aspektai, vykdomas profiliavimas ir priimami teisiniai ar kiti didelio poveikio (pavyzdžiui, asmenų suskirstymas į grupes, kuris gali turėti jiems įtakos) sprendimai;

37.3. Būtų pradėtas vykdyti sistemingas vaizdo stebėjimas dideliu mastu;

37.4. Būtų pradėti tvarkyti ypatingi Asmens duomenys dideliu mastu.

38. Jei Įstaiga, atlikdama poveikio duomenų apsaugai vertinimą nustatytų, kad Duomenų subjektų teisėms ir laisvėms gali kilti didelis pavojus (žr. Taisyklių 37.1 p.), ji privalo konsultuotis su Valstybine duomenų apsaugos inspekcija dėl tinkamų saugumo ir kitų priemonių įgyvendinimo.

39. Atliekant poveikio duomenų apsaugai vertinimą, Įstaiga privalo nustatyti:

39.1. Kokia bus atliekama duomenų tvarkymo operacija (-os);

39.2. Kiek konkreti duomenų tvarkymo operacija yra reikalinga ir proporcinga;

39.3. Koks gali būti poveikis Duomenų subjektams;

39.4. Kokios yra galimos potencialių pavojų šalinimo, saugumo užtikrinimo priemonės.

40. Įstaiga privalo užtikrinti, kad šiame skyriuje aprašytas ir Įstaigos numatytais atvejais atliekamas poveikio duomenų apsaugai vertinimas, būtų tinkamai dokumentuotas ir saugomas.

41. Poveikio duomenų apsaugai vertinimas gali būti atliekamas ir esamoms duomenų tvarkymo operacijoms (t. y. vykdomoms iki BDAR įsigaliojimo), jei tose operacijose atsirastų reikšmingų pokyčių, pavyzdžiui, būtų pradėtos naudoti naujos technologijos, duomenys būtų pradėti tvarkyti kitu tikslu nei iki tol, atsirastų naujos rizikos, susijusios su įvykdytomis kibernetinėmis, atakomis, įsilaužimais į įstaigos sistemą, duomenys būtų pradėti teikti naujiems duomenų gavėjams, tvarkytojams už ES ribų, kt.

42. Poveikio duomenų apsaugai vertinimas taip pat gali būti atliekamas ir šiame skyriuje neaptartais atvejais, bet esant Įstaigos direktoriaus, Pareigūno ar Valstybinės duomenų apsaugos inspekcijos rekomendacijai tai atlikti.

VIII SKYRIUS

ASMENS DUOMENŲ INCIDENTAI

43. Asmens duomenų incidentu yra laikomas toks pažeidimas, dėl kurio netyčia arba neteisėtais veiksmais būtų:

43.1. Sunaikinami, prarandami, pakeičiami Asmens duomenys;

43.2. Be leidimo atskleidžiami Asmens duomenys;

43.3. Be leidimo asmenys, neturintys tam teisės, gautų prieigą prie Asmens duomenų.

44. Jei dėl įvykdyto asmens duomenų incidento kyla pavojus Duomenų subjektų teisėms ir laisvėms, Pareigūnas ar kitas direktoriaus paskirtas darbuotojas privalo nedelsiant, bet ne vėliau nei kaip per 72 val. pranešti Valstybinei duomenų apsaugos inspekcijai apie įvykusį incidentą. Kilus ypatingai dideliam pavojui Duomenų subjektų teisėms ir laisvėms, informacija apie įvykusį incidentą nedelsiant taip pat turi būti pateikta Duomenų subjektams. Nesant galimybės informuoti visus Duomenų subjektus dėl jų didelio kiekio ar kitų priežasčių, Xxxxxxxxxx kartu su Įstaigos direktoriumi apsvarsto ir priima sprendimą šią informaciją pateikti per visuomenės informavimo kanalus (spauda, televizija, kt.).

45. Šių Taisyklių 44 p. numatytame pranešime dėl įvykusio Asmens duomenų incidento Valstybinei duomenų apsaugos inspekcijai, Duomenų subjektams privalo būti trumpai aprašytas asmens duomenų incidento pobūdis, nurodant apytikslį Duomenų subjektų skaičių, kurių asmens teisės ir laisvės galėjo būti pažeistos, Pareigūno ar kito atsakingo darbuotojo kontaktai, trumpai aprašytos tikėtinos incidento pasekmės bei priemonės, kurių įstaiga imasi/imsis, kad būtų pašalintos neigiamos pasekmės, susijusios su įvykusiu incidentu.

46. Nustatant, ar būtina vykdyti informavimo pareigą, aptartą šių Taisyklių 43 p., Xxxxxxxxxx privalo įvertinti, ar dėl įvykusio incidento:

46.1. Įvyko konfidencialumo pažeidimas (pavyzdžiui, atskleisti duomenys ir jie tapo prieinami tretiesiems asmenims, suteikiant prieigą, tinkamai nešifruojant, kt.);

46.2. Įvyko duomenų pasiekiamumo pažeidimas (pavyzdžiui, prarasti duomenys ir neturima atsarginių kopijų);

46.3. Įvyko duomenų vientisumo pažeidimas (pavyzdžiui, prarastos socialinių paslaugų gavėjų bylos, turima tik dalis atsarginių kopijų, dėl ko neįmanoma „atkurti“ visos paslaugų gavėjo istorijos).

47. Jei Pareigūnas nustato, kad yra bent vienas iš šių Taisyklių 46.1. p., 46.2. p., 46.3. p. numatytų pažeidimų, nedelsiant vykdo informavimo pareigą, kaip tai aptarta Taisyklių 44 p. Informavimas gali vykti ir esant kitiems pagrindams, jei tokius nustato Pareigūnas.

48. Pareigūnas privalo užtikrinti, kad visi asmens duomenų apsaugos incidentai, įskaitant ir tuos, dėl kurių nevykdoma informavimo pareiga kaip aptarta šiame Taisyklių skyriuje, būtų tinkamai dokumentuoti ir saugomi.

49. Įvykus asmens duomenų incidentui, aptartam šiame Taisyklių skyriuje, Xxxxxxxxxx informuoja Įstaigos darbuotojus ir duoda atitinkamas instrukcijas konkretiems darbuotojams dėl jų pareigų, funkcijų atlikimo, susijusio su asmens duomenų incidento valdymu.

50. Įvykus asmens duomenų incidentui, aptartam šiame Taisyklių skyriuje, Pareigūnas, be kitų šiame skyriuje aptartų pareigų, taip pat sudaro veiksmų planą su prevenciniais veiksmais, kuriais būtų siekiama ateityje užkirsti kelią pasikartoti analogiškam ar panašiam incidentui ir pateikia jį Įstaigos direktoriui.

IX SKYRIUS

ORGANIZACINĖS IR TECHNINĖS ASMENS DUOMENŲ APSAUGOS PRIEMONĖS

51. Įstaigos organizacinės ir techninės duomenų saugumo priemonės turi užtikrinti trečiąjį automatiniu būdu tvarkomų Asmens duomenų saugumo lygį. Siekiant apsaugoti Asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio kito neteisėto tvarkymo turi būti taikomos tokios infrastruktūrinės, administracinės ir telekomunikacinės (elektroninės) priemonės:

51.1. Tinkamas techninės įrangos išdėstymas ir priežiūra, informacinių sistemų priežiūra, tinklo valdymas, naudojimosi internetu saugumo užtikrinimas ir kitos informacinių technologijų priemonės:

51.1.1. Griežtas priešgaisrinės apsaugos tarnybos nustatytų normų laikymasis;

51.1.2. Tinkamas darbo organizavimas ir kitos administracinės priemonės;

51.1.3. Informacinių sistemų duomenų tvarkymo keliamos rizikos vertinimas, kuris būtų atliekamas kartą per 1 (vienerius) metus;

51.1.4. Įgyvendintų organizacinių ir techninių duomenų saugumo priemonių įvertinimo auditas, kuris būtų atliekamas kartą per 2 (dvejus) metus;

51.1.5. Diegiamos reikiamos duomenų saugumo priemonės, atsižvelgiant į rizikos vertinimo

rezultatus;

51.1.6. Duomenų atsarginių kopijų darymas ir atkūrimas, kuris būtų atliekamas ne rečiau kaip vieną kartą per mėnesį. Atsarginių duomenų kopijų laikmenos, kurios būtų saugomos atsarginių kopijų saugykloje.

52. Už šiame skyriuje numatytų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimą, kontrolę, užtikrinimą yra atsakingas Įstaigos direktoriaus paskirtas atsakingas darbuotojas – Pareigūnas.

53. Darbuotojai, kurie tvarko socialinių paslaugų gavėjų, kitų fizinių asmenų duomenis, turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su socialinių paslaugų gavėjais, kitais interesantais susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas. Ši pareiga išlieka galioti perėjus dirbti į kitas pareigas Įstaigoje arba pasibaigus darbo ar sutartiniams santykiams su Įstaiga.

54. Darbuotojai automatiniu būdu tvarkyti Asmens duomenis gali tik po to, kai jiems suteikiama prieigos teisė prie atitinkamos informacinės sistemos. Prieiga prie Asmens duomenų gali būti suteikta tik tam asmeniui, kuriam Asmens duomenys yra reikalingi jo funkcijoms vykdyti. Darbo santykiams pasibaigus, Darbuotojui prieigos prie registrų ir kitų programų teisės panaikinamos.

55. Darbuotojai gali perduoti dokumentus, kuriuose nurodyti Asmens duomenys, tik tiems Darbuotojams, kurie pagal pareigas ar atskirus pavedimus turi teisę dirbti su asmens duomenimis.

56. Darbuotojai, vykdantys Duomenų subjekto duomenų tvarkymo funkcijas, turi užkirsti kelią atsitiktiniam ar neteisėtam tvarkymui, turi saugoti dokumentus tinkamai ir saugiai (vengiant nereikalingų kopijų su Duomenų subjekto duomenimis kaupimo ir kt.). Dokumentų kopijos, kuriose nurodomi Duomenų subjekto duomenys, turi būti sunaikinamos tokiu būdu, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio.

57. Darbuotojai, kurių kompiuteriuose saugomi socialinių paslaugų gavėjų bylos, kitų interesantų duomenys arba iš kurių kompiuterių galima patekti į Įstaigos informacines sistemas, kuriose yra saugomi socialinių paslaugų gavėjų duomenys, savo kompiuteriuose turi naudoti slaptažodžius: „svečio“ („guest“) tipo, t.

y. neapsaugoti slaptažodžiais, vartotojai yra draudžiami. Šiuose kompiuteriuose taip pat reikia naudoti ekrano užsklandą su slaptažodžiu. Reikalavimai slaptažodžiams:

57.1. Juos turi sudaryti ne mažiau kaip 6 simboliai, iš kurių bent vienas turi būti skaičius ir raidė;

57.3. Juos saugo ir juos gali žinoti tik Darbuotojai, dirbantys su konkrečiais kompiuteriais;

57.4. Jie negali būti saugomi viešai ir negali būti prieinami kaip visuma.

58. Slaptažodžiai esant būtinybei (pasikeitus Darbuotojui, iškilus įsilaužimo grėsmei ir pan.) turi būti

keičiami.

59. Darbuotojų kompiuteriai, kuriuose saugomos rinkmenos su socialinių paslaugų gavėjų bylomis,

kitų fizinių asmenų duomenimis, negali būti laisvai prieinami iš kitų tinklo kompiuterių. Šių kompiuterių antivirusinė programinė įranga turi būti nuolat atnaujinama.

60. Nesant būtinybės, rinkmenos su socialinių paslaugų gavėjų bylomis, kitų interesantų duomenimis neturi būti dauginamos skaitmeniniu būdu, t. y. kuriamos rinkmenų kopijos vietiniuose kompiuterių diskuose, nešiojamose laikmenose, nuotolinėse rinkmenų talpyklose ir kt.

61. Įstaigoje yra užtikrinamas saugių protokolų ir (arba) slaptažodžių naudojimas, kai Asmens duomenys perduodami išoriniais duomenų perdavimo tinklais.

62. Asmens duomenų, esančių išorinėse duomenų laikmenose ir elektroniniame pašte, saugos kontrolė ir ištrynimas po jų panaudojimo užtikrinamas perkeliant juos į duomenų bazes.

63. Įstaigos informacinėse sistemose ir kompiuterių tinkluose įgyvendinamos šios saugumo priemonės: 63.1.Mobiliuosiuose įrenginiuose (nešiojamuosiuose kompiuteriuose, planšetėse, išmaniuosiuose

telefonuose ir pan.), jeigu jie naudojami ne Įstaigos vidiniame kompiuterių tinkle, esantys ypatingi Asmens duomenys ir prisijungimo prie Įstaigos tvarkomų Asmens duomenų informacija šifruojama ar apsaugoma tokiomis priemonėmis, kurios atitiktų Asmens duomenų atskleidimo keliamą riziką;

63.2. Šifruojami atsarginėse kopijose, archyvuose ir išorinėse duomenų laikmenose saugomi Asmens duomenys;

63.3. Šifruojami elektroniniu paštu perduodami Asmens duomenys;

63.4. Įstaigos direktoriaus paskirtas atsakingas darbuotojas privalo užtikrinti vidinio įstaigos kompiuterių tinklo apsaugą.

64. Darbuotojai privalo taip organizuoti savo darbą, kad kiek įmanoma apribotų galimybę kitiems asmenims (kitiems Įstaigos darbuotojams, praktikantams, savanorišką praktiką atliekantiems ar kitiems tretiesiems asmenims) sužinoti tvarkomus Asmens duomenis. Ši nuostata įgyvendinama:

64.1. Nepaliekant dokumentų su tvarkomais Asmens duomenimis ar kompiuterio, kuriuo naudojantis galima atidaryti rinkmenas su Asmens duomenimis, be priežiūros taip, kad juose esančią informaciją galėtų perskaityti Darbuotojai, neturintys teisės dirbti su konkrečiais Asmens duomenimis, praktikantai ar kiti asmenys;

64.2. Dokumentus laikant taip, kad jų (ar jų fragmentų) negalėtų perskaityti atsitiktiniai asmenys;

64.3. Jei dokumentai, kuriose yra Asmens duomenų, kitiems darbuotojams, įstaigoms perduodami per asmenis, kurie neturi teisės tvarkyti Asmens duomenis, arba per paštą ar kurjerį, jie privalo būti perduodami

užklijuotame nepermatomame voke. Šis punktas netaikomas, jeigu minėti pranešimai įteikiami socialinių paslaugų gavėjams, kitiems interesantams asmeniškai ir konfidencialiai.

65. Už Asmens duomenų saugumo pažeidimų valdymą ir reagavimą į šiuos pažeidimus atsako Įstaigos Pareigūnas.

X SKYRIUS

ASMENS DUOMENŲ TVARKYTOJO PASITELKIMAS

66. Tais atvejais, kai Įstaiga įgalioja Duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp įstaigos ir Duomenų tvarkytojo turi būti sudaroma rašytinė asmens duomenų tvarkymo sutartis.

67. Sprendimą perduoti Duomenų subjekto Duomenų tvarkymą asmens duomenų tvarkytojui priima Įstaigos direktorius.

68. Įstaiga parenka Duomenų tvarkytoją, kuris užtikrina, kad būtų įgyvendintos techninės ir organizacinės duomenų apsaugos priemonės ir užtikrintas tokių priemonių laikymasis, įskaitant ir šių Taisyklių IX skyriuje aptartas technines, organizacines duomenų saugumo užtikrinimo priemones.

69. Įstaiga, sutartimi įgaliodama Duomenų tvarkytoją tvarkyti Asmens duomenis, nurodo, kad Asmens duomenys būtų tvarkomi atsižvelgiant į Asmens duomenų tvarkymą reglamentuojančius teisės aktus, Įstaigos nurodymus, taip pat nurodant, kokius Asmens duomenų tvarkymo veiksmus privalo atlikti Duomenų tvarkytojas Įstaigos vardu, Duomenų tvarkytojo įsipareigojimai Įstaigai, įskaitant įsipareigojimą laikytis BDAR įtvirtintų reikalavimų, duomenų tvarkymo trukmė, pobūdis, Asmens duomenų rūšis, duomenų subjektų kategorijos, Duomenų tvarkytojo pareiga ištrinti arba grąžinti Įstaigai Asmens duomenis, jų kopijas, pabaigus Įstaigai teikti paslaugas.

70. Įstaiga, sudarydama sutartį su Duomenų tvarkytoju nurodo, kad Duomenų tvarkytojas privalo užtikrinti įstaigos perduodamų tvarkyti duomenų konfidencialumą, o ketindamas tvarkymui pasitelkti trečiuosius asmenis (kitus Duomenų tvarkytojus), Duomenų tvarkytojas privalo gauti išankstinį rašytinį Įstaigos pritarimą.

71. Įstaigos Pareigūnas privalo saugoti, peržiūrėti, esant poreikiui inicijuoti sutarčių ir bendradarbiavimo su Duomenų tvarkytojais atnaujinimą/pakeitimą/nutraukimą/papildymą.

XI SKYRIUS BAIGIAMOSIOS NUOSTATOS

72. Su šiomis Taisyklėmis privalo susipažinti visi Įstaigos darbuotojai pasirašytinai.

73. Taisyklės, jų pakeitimai ar papildymai skelbiami įstaigos interneto tinklalapyje.

74. Darbuotojai, pasikeitus jų Asmens duomenims, raštu informuoja apie tai Įstaigos administraciją, o ši ne vėliau kaip per 3 darbo dienas patikslina ir atnaujina duomenis Darbuotojų Asmens duomenis bylose bei tam skirtose duomenų bazėse.

75. Už Taisyklių nuostatų laikymosi priežiūrą ir juose reglamentuotų nuostatų vykdymo kontrolę bei periodiškumą, ne rečiau kaip kartą per 2 metus, Taisyklių peržiūrėjimo, atnaujinimo pagal poreikį iniciavimą ir šių veiksmų atlikimo kontrolę yra atsakingas Įstaigos Pareigūnas.

76. Taisyklių neatsiejama dalimi yra jų priedai:

76.1. Priedas Nr. 1 – sutikimo, dėl asmens duomenų gavimo ir tvarkymo, forma (neveiksnių lankytojų – tėvų/gobėjų);

76.2. Priedas Nr. 2 – sutikimo, dėl asmens duomenų gavimo ir tvarkymo, forma (darbuotojų);

76.3. Priedas Nr. 3 - sutikimo, dėl asmens duomenų gavimo ir tvarkymo, forma (veiksnių lankytojų);

76.4. Priedas Nr. 4 - sutikimo, dėl asmens duomenų gavimo ir tvarkymo, forma (savanorių);

76.5. Priedas Nr. 5 - papildomas susitarimas prie sutarties, forma;

76.6. Priedas Nr. 6 – prašymų, pateikti asmens duomenis, registracijos žurnalo forma;

77. Taisyklės įsigalioja patvirtinus Įstaigos direktoriui.

78. Taisyklės peržiūrimos ir, reikalui esant, atnaujinamos pasikeitus asmens duomenų apsaugą reglamentuojantiems teisės aktams ar jų įgyvendinimo praktikai, taip pat pasikeitus Duomenų valdytojo atliekamam asmens duomenų tvarkymui, bet ne rečiau kaip kartą per vienerius metus.