VIEŠOSIOS ĮSTAIGOS JŪRINIO SEKTORIAUS DARBUOTOJŲ RENGIMO CENTRO ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

PATVIRTINTA

Jūrinio sektoriaus darbuotojų rengimo centro l. e. direktoriaus pareigas

2020 m. spalio 12 d. įsakymu Nr. V-49

VIEŠOSIOS ĮSTAIGOS JŪRINIO SEKTORIAUS DARBUOTOJŲ RENGIMO CENTRO ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

I SKYRIUS BENDROSIOS NUOSTATOS

1. Viešoji įstaiga Jūrinio sektoriaus darbuotoji rengimo centras, įstaigos kodas 305616472, adresas Statybininkų pr. 39, Klaipėda (toliau – Centras) asmens duomenų tvarkymo taisyklių (toliau

– Taisyklės) paskirtis – laikantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804; toliau – Įstatymas) nustatytų asmens duomenų apsaugos pagrindinių reikalavimų, reglamentuoti asmens duomenų tvarkymą, duomenų subjekto (toliau – klientas) teisių įgyvendinimą, techninių ir organizacinių asmens duomenų saugumo užtikrinimo priemonių taikymą.

2. Tvarkydamas asmens duomenis, Centras vadovaujasi Įstatymu, Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) (su vėlesniais pakeitimais; toliau – Bendrieji reikalavimai) bei kitais Lietuvos Respublikoje galiojančiais teisės aktais, reglamentuojančiais duomenų apsaugą.

3. Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Įstatyme ir kituose teisės aktuose, reglamentuojančiuose duomenų apsaugą, jeigu kontekstas nereikalauja jų vartoti kitaip.

4. Centras yra duomenų valdytoja, kurios teisės ir pareigos yra nustatytos Įstatyme ir kuri, šiose Taisyklėse nustatytais tikslais valdo ir tvarko asmens duomenis.

II SKYRIUS TAIKYMAS

5. Taisyklės taikomos santykiams, kurie atsiranda Centrui tvarkant asmens duomenis automatiniu būdu, taip pat neautomatiniu būdu tvarkant asmens duomenų susistemintas rinkmenas: sąrašus, kartotekas, bylas, sąvadus. Taisyklės taip pat nustato Centro darbuotojų teises, pareigas ir atsakomybę tvarkant asmens duomenis.

6. Taisyklių nuostatos privalomos visiems Centro darbuotojams, kurių funkcijos yra susijusios su asmens duomenų tvarkymu bei visiems ekspertams (konsultantams) ir kitiems asmenims, kurie eidami savo pareigas ir/ar teikdami Centrui paslaugas, sužino asmens duomenis (toliau – Darbuotojai). Naujai priimamus Centro darbuotojus, jei jiems būtina susipažinti su Taisyklėmis, pasirašytinai supažindina Centro vadovas ar jo įgaliotas asmuo.

III SKYRIUS

UŽ DUOMENŲ APSAUGĄ ATSAKINGI ASMENYS

7. Įstatyme ir šiose Taisyklėse numatytų duomenų apsaugos priemonių įgyvendinimą ir darbo koordinavimą Centre organizuoja ir kontroliuoja Centro direktoriaus paskirtas atsakingas asmuo, kuris vadovauja ir pagal savo kompetenciją duoda nurodymus Darbuotojams, teikia metodines rekomendacijas asmens duomenų teisinės apsaugos klausimais ir atlieka kitas funkcijas, nurodytas Įstatymo 32 straipsnyje (arba jį vėliau pakeisiančiuose straipsniuose).

8. Centro direktorius už Taisyklių 7 punkte nurodytų funkcijų atlikimą atsakingą (-us) asmenį (-is) skiria įsakymu. Apie paskirto (-ų) atsakingo (-ų) asmens (-ų) paskyrimą, pasikeitimą Centro direktorius per 30 (trisdešimt) dienų nuo paskyrimo/pasikeitimo praneša kompetentingai įstaigai, prižiūrinčiai asmens duomenų tvarkymą (toliau – Valstybinė duomenų apsaugos inspekcija).

9. Centro direktorius esant poreikiui tiesiogiai bendradarbiauja su Valstybine duomenų apsaugos inspekcija ir teikia jai privalomus Centro dokumentus ir/ar informaciją.

IV SKYRIUS

TVARKOMI ASMENS DUOMENYS, JŲ TVARKYMO TIKSLAI IR TEISĖTO TVARKYMO REIKALAVIMAI

10. Centras tvarko asmens duomenis šiais teisėtais tikslais:

10.1. tiesioginės rinkodaros;

10.2. vidaus administravimo:

10.2.1. struktūros tvarkymo;

10.2.2. personalo valdymo;

10.2.3. turimų materialinių ir finansinių išteklių valdymo ir naudojimo;

10.2.4. raštvedybos tvarkymo.

11. Centras tvarko šiuos asmens duomenis (baigtinis sąrašas):

11.1. Taisyklių 10.1. punkte numatytu tikslu – vardą, pavardę, gimimo datą, elektroninio pašto adresą, adresą korespondencijai siųsti, judriojo telefono ryšio numerį. Šiame punkte išvardinti Centro tvarkomi asmens duomenys gaunami iš duomenų subjekto Taisyklių 12, 14-15, 17 ir 28 punktuose nustatyta tvarka ir sąlygomis;

11.2. Taisyklių 10.2. punkte numatytu tikslu:

11.2.1. Taisyklių 10.2.1 numatytu tikslu – Centro darbuotojo vardą, pavardę;

11.2.2. Taisyklių 10.2.2 numatytu tikslu – Centro darbuotojo vardą, pavardę, gyvenamosios vietos adresą, elektroninio pašto adresą, telefono numerį, asmens tapatybę patvirtinančio dokumento seriją ir numerį, jo išdavimo ir galiojimo datą, išdavusią instituciją, asmens dokumento kopiją, išsilavinimą, mokymosi įstaigą, jos baigimo metus, profesinę patirtį, socialinio draudimo pažymėjimo seriją ir numerį, duomenis apie neįgalumą, duomenis apie neįgalų vaiką, vaiko gimimo datą, vaiko vardą ir pavardę, santuokos datą, santuokos liudijimo seriją ir numerį (šiuos duomenis Centras tvarko tik tuo atveju, jei pasikeičia darbuotojo pavardė), ištuokos liudijimo seriją ir numerį, ištuokos datą (šiuos duomenis Centras tvarko tik tuo atveju, jei darbuotojas augina vaikų iki 14 metų);

11.2.3. Taisyklių 10.2.3 numatytu tikslu – Centro darbuotojo vardą, pavardę darbuotojo darbo užmokestį, turimų nepilnamečių vaikų ir/ar kitų išlaikytinių skaičių;

11.2.4. Taisyklių 10.2.4 numatytu tikslu – Centro darbuotojo vardą, pavardę, gyvenamosios vietos adresą, elektroninio pašto adresą.

12. Centras asmens duomenis Taisyklių 10.2 punkte numatytais tiesioginės rinkodaros tikslais, vadovaudamasis Lietuvos Respublikos elektroninių ryšių įstatymu 2004 m. balandžio 15 d. Nr. IX-2135 (Žin., 2004, 69-2382) ir įstatymo poįstatyminiais aktais įsigaliojusiais nuo 2020 m. sausio 17 d. bei kitais teisės aktais. Gavusi Centro mokinio sutikimą ir nustačius renkamų asmens duomenų saugojimo trukmę. Centras užtikrina kiekvieno mokyklos mokinio supažindinimą su jo teise nesutikti, kad būtų tvarkomi jo asmens duomenys tiesioginės rinkodaros tikslu. Klientas/mokinys turi teisę išreikšti sutikimą ar nesutikimą dėl jo asmens duomenų tvarkymo atitinkamoje sutartyje ar susitarime su centru. Registracijos formoje, mokinio anketoje ar kitame dokumente, jo pasirašymo metu atskirai pažymėdamas, ar jis sutinka, kad jo asmens duomenys būtų tvarkomi tiesioginės rinkodaros tikslu. Jei klientas/mokinys jau buvo davęs sutikimą ir centras tvarko asmens duomenis tiesioginės rinkodaros tikslu, klientas/mokinys gali bet kada išreikšti nesutikimą dėl asmens duomenų tvarkymo šiuo tikslu, atsakydamas į elektroninį laišką su pastaba, kad daugiau nenori gauti tokios informacijos arba raštu ar žodžiu informuodamas apie nesutikimą,

kad toliau būtų tvarkomi jo asmens duomenys tiesioginės rinkodaros tikslu.

13. Kitais Taisyklių 10 punkte nurodytais tikslais Centras tvarko asmens duomenis vadovaudamasi Įstatymu, Bendraisiais reikalavimais ir kitais duomenų apsaugą reglamentuojančiais teisės aktais. Centro Darbuotojai, vykdydami savo funkcijas ir tvarkydami asmens duomenis, privalo vadovautis šiomis Taisyklėmis ir aukščiau minėtais teisės aktais, reglamentuojančiais asmens duomenų apsaugą, taip pat laikytis asmens duomenų teisėto tvarkymo reikalavimų, numatytų Taisyklių 14 punkte.

14. Bendrieji asmens duomenų tvarkymo reikalavimai:

14.1. asmens duomenys renkami apibrėžtais ir teisėtais tikslais, nustatytais prieš renkant asmens duomenis, ir paskui tvarkomi su šiais tikslais suderintais būdais;

14.2. asmens duomenys tvarkomi tiksliai, sąžiningai ir teisėtai;

14.3. asmens duomenys yra tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs duomenys ištaisomi, papildomi, sunaikinami arba sustabdomas jų tvarkymas;

14.4. asmens duomenys yra tapatūs, tinkami ir tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti;

14.5. asmens duomenys saugomi tokia forma, kad kliento tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;

14.6. asmens duomenys tvarkomi pagal Įstatyme ir kituose atitinkamą veiklą reglamentuojančiuose teisės aktuose nustatytus aiškius ir skaidrius asmens duomenų tvarkymo reikalavimus.

15. Asmens duomenys tvarkomi tik esant bent vienam iš Taisyklių 10 punkte nurodytų teisėtų duomenų tvarkymo tikslų, tik tokia apimtimi, kaip nurodyta Taisyklių 11.1-11.3 papunkčiuose, kai klientas/mokinys duoda sutikimą, arba yra sudaroma ar vykdoma sutartis, arba kitais teisės aktuose numatytais pagrindais (teisėto tvarkymo kriterijai). Sutikimu laikomas savanoriškas kliento/mokinio valios pareiškimas tvarkyti jo asmens duomenis jam žinomu tikslu ar tikslais.

16. Tinkamu perspėjimu laikomas visų Įstatyme ar kituose teisės aktuose nurodytų veiksmų įgyvendinimas, dėl kurių asmuo sužino, kad yra renkami asmens duomenys.

17. Centro klientas/mokinys gali savo valią dėl asmens duomenų tvarkymo išreikšti Centro raštinėje, užpildydamas anketą, joje nurodant savo asmens duomenis (vardą, pavardę, gimimo datą, elektroninio pašto adresą, adresą korespondencijai siųsti, judriojo telefono ryšio numerį) Taisyklių

10.1 punkte nurodytu tikslu ir duodamas sutikimą dėl asmens duomenų tvarkymo. Sutikimu laikomas savanoriškas asmens valios pareiškimas tvarkyti jo asmens duomenis jam žinomu tikslu ar tikslais.

18. Taisyklių 10.2 punkte nurodytu tikslu ir Taisyklių 11.2.2 punkte nurodyta apimtimi duomenys renkami iš asmenų, kurie kandidatuoja į laisvas Centro darbo vietas, ir iš esamų Centro darbuotojų Įstatyme ir Lietuvos Respublikos darbo kodekse nustatyta tvarka.

V SKYRIUS

ASMENS DUOMENŲ TVARKYTOJAI, GAVĖJAI IR TVARKYMO TERMINAI

19. Taisyklių 19.1 – 19.2 punktuose nurodomi Centro asmens duomenų tvarkytojai, kurie tvarko žemiau išvardytus asmens duomenis:

19.1. Mokykla surinktus asmens duomenis tvarko pati.

19.2. UAB „Nacionalinė švietimo agentūra“ į. k. 305238040, teikia duomenų saugojimo (serverių) paslaugą – saugomi Centro teisėtai sukaupti elektroniniai duomenys. Visos duomenų tvarkytojo atliekamos funkcijos, turimos teisės ir pareigos aptariamos su UAB „Nacionaline švietimo agentūra“ sudarytose sutartyse.

20. Asmens duomenys tretiesiems asmenims gali būti teikiami tik Įstatymo nustatyta tvarka

esant apibrėžtiems ir teisėtiems tikslams bei teisėtam asmens duomenų tvarkymo pagrindui juos gauti, t. y., pagal su duomenų gavėju sudarytą sutartį (daugkartinio teikimo atveju) arba pagal duomenų gavėjo prašymą (vienkartinio teikimo atveju). Sutartyje turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis. Prašyme turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis. Už teisėtą duomenų teikimą tretiesiems asmenims atsakingas Centro direktorius. Duomenų gavėjai turi garantuoti reikalingas technines ir organizacines duomenų apsaugos priemones ir užtikrinti tokių priemonių laikymąsi. Duomenų gavėjai negali naudoti asmens duomenų kitaip ar panaudoti jų kitam tikslui, nei buvo nustatyta prašymuose ir sutartyse, pagal kurias teikiami duomenys. Vaizdo stebėjimo duomenys gali būti teikiami ikiteisminio tyrimo institucijoms, prokurorui ar teismui dėl jų žinioje esančių administracinių, civilinių, baudžiamųjų bylų, kaip įrodymai ar kitais įstatymų numatytais atvejais.

21. Tuo atveju, jeigu asmens duomenys yra renkami iš pastovių šaltinių arba juos teikia nuolatiniai duomenų teikėjai, gali būti renkami tik Taisyklėse išvardyti duomenys ir tik jose numatytais tikslais.

22. Asmens duomenų saugojimo terminai:

22.1. tiesioginės rinkodaros tikslu duomenys saugomi 5 (penkerius) metus nuo jų gavimo dienos. Pasibaigus saugojimo terminui asmens duomenys yra sunaikinami;

23. vidaus administravimo tikslu duomenys saugomi 5 (penkerius) metus nuo jų gavimo dienos, išskyrus tuos asmens duomenis, kurie įstatymų nustatytais atvejais turi būti saugomi ilgesnį laikotarpį ir/ar turi būti perduoti valstybės archyvams.

24. Asmens duomenys yra saugomi Centrą aptarnaujančių įmonių serveriuose, pagal sudarytą paslaugų teikimo sutartį.

25. Asmens duomenys tvarkomi (keičiami, papildomi) Centro darbuotojams prisijungus prie Pedagogų ir Mokinių registro.

26. Duomenys jų avarinio praradimo atveju atkuriami iš vienos ar kelių išlikusių laikmenų arba iš asmens duomenų, saugomų Centrą aptarnaujančiame serveryje.

27. Duomenų atkūrimo, jų avarinio praradimo atveju, esant poreikiui, tvarka bus reglamentuota atskiruose Centro vidiniuose teisės aktuose.

VI SKYRIUS

DUOMENŲ ŠALTINIAI

28. Centras finansinius ir kitus asmens duomenis gauna tiesiogiai iš klientų/mokinių arba darbuotojų, taip pat asmenų, kandidatuojančių į laisvas darbo vietas Centre, arba Taisyklių 10.1-

10.2 punktuose nurodytais tikslais.

VII SKYRIUS

KLIENTO IR MOKYKLOS TEISĖS BEI PAREIGOS VALDANT AR KITAIP TVARKANT ASMENS DUOMENIS

29. Duomenų subjekto sutikimuose dėl asmens duomenų tvarkymo, klientų/mokinių anketose, taip pat kituose dokumentuose, sudarytuose su klientu, turi būti numatytos asmens duomenų teisinės apsaugos sąlygos.

30. Centro direktorius ir/ar Centro direktoriaus pavaduotojai, įgalioti asmenys (toliau – atsakingi asmenys) turi užtikrinti šias duomenų subjekto teises:

30.1. būti informuotam apie duomenų valdytojo tikslų pavadinimą, kodą, buveinės adresą, telefono ryšio, fakso numerį arba elektroninio pašto adresą, kokiu tikslu tvarkomi mokinių/klientų ar kitų centro subjektų asmens duomenys ir kam jie teikiami, kokius asmens duomenis duomenų subjektas privalo pateikti ir gauti, apie mokinių/klientų ar kitų Centro subjektų turimas teises tvarkant asmens duomenis, kitą Įstatyme numatytą informaciją. Mokinių/klientų ar kitų Centro

subjektų sutikimus, anketas ar kitus panašaus pobūdžio dokumentus ruošiantis Centro darbuotojas turi užtikrinti, kad mokiniams/klientams ir kitiems Centro subjektams visa informacija būtų pateikta iki aukščiau nurodytų dokumentų pasirašymo ar pasirašymo metu, arba pagal atskirą paklausimą;

30.2. renkant (gaunant) asmens duomenis apie mokinius/klientus ir kitus Centro subjektus ne iš jų pačių, jie turi būti apie tai informuoti iki asmens duomenų tvarkymo pradžios. Ketinant teikti mokinio/kliento ar kito Centro subjekto duomenis tretiesiems asmenims, jie turi būti apie tai informuoti iki to momento, kai duomenys bus teikiami pirmą kartą, išskyrus tuos atvejus, kai Lietuvos Respublikos teisės aktai numato tokių duomenų rinkimo ir teikimo tvarką bei duomenų gavėjus. Mokiniui/klientui ar kitam Centro subjektui turi būti pateikta informacija apie jo turimas teises tvarkant asmens duomenis, Centro tikslų pavadinimą, kodą, buveinės adresą, telefono ryšio, fakso numerį arba elektroninio pašto adresą, taip pat iš kokių šaltinių ir kokie kliento/mokinio asmens duomenys renkami ar kokius ketinama rinkti, kokiu tikslu jie tvarkomi, kam teikiami ar ketinami teikti, taip pat nurodant kitą Įstatyme reikalaujamą informaciją;

30.3. renkant ar ketinant rinkti asmens duomenis iš mokinio/kliento ar kito Centro subjekto ir juos tvarkant ar ketinant tvarkyti tiesioginės rinkodaros tikslais, asmuo privalo duoti sutikimą šių Taisyklių 12 punkte nustatyta tvarka. Centras taip pat turi gauti mokinio/kliento ar kito Centro subjekto sutikimą dėl duomenų teikimo konkretiems tretiesiems asmenims prieš teikiant mokinio/kliento ar kito Centro subjekto duomenis tiesioginės rinkodaros tikslu (jeigu tokie veiksmai būtų atliekami). Prieš teikiant jo duomenis klientas turi būti informuotas kokiems tretiesiems asmenims ir kokiais tikslais jo asmens duomenys bus teikiami.

31. Duomenų subjektai taip pat turi šias teises:

31.1. susipažinti su savo asmens duomenimis. Klientas/mokinys ar kitas duomenų subjektas, žodžiu arba raštu pateikęs prašymą ir savo asmens tapatybę patvirtinantį dokumentą (šio dokumento pateikti nereikia Centro darbuotojams) arba kitais Įstatyme numatytais būdais tinkamai save identifikavęs, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir ar buvo teikti bent kartą per paskutinius vienerius metus. Tuo atveju, jei prašymas susipažinti su savo duomenimis Centrui pateikiamas tiesiogiai, t. y., atvykus į Centrą, Centras paprašo mokinio/kliento ar kito mokyklos subjekto pateikti asmens tapatybę patvirtinantį dokumentą; tuo atveju, jei prašymas siunčiamas paštu ar per pasiuntinį (kurjerį), prie jo turėtų būti pridėta notaro patvirtinta asmens tapatybę patvirtinančio dokumento kopija; kai dėl informacijos apie asmenį kreipiasi jo atstovas, jis turėtų pateikti atstovavimą patvirtinantį dokumentą ir savo asmens tapatybę patvirtinantį dokumentą. Gavus mokinio/kliento ar kito subjekto paklausimą dėl jo asmens duomenų tvarkymo turi būti informuojamas Centro direktorius, kuris paskiria atsakingą asmenį už atsakymo mokiniui/klientui ar kitam Centro subjektui ruošimą. Mokiniui/klientui ar kitam Centro subjektui turi būti atsakyta, ar su juo susiję asmens duomenys yra tvarkomi, ir prašomi duomenys jam turi būti pateikti ne vėliau kaip per 30 (trisdešimt) kalendorinių dienų nuo kliento/mokinio kreipimosi gavimo dienos. Jei klientas/mokinys pageidauja, atsakymas jam pateikiamas raštu. Neatlygintinai tokie duomenys teikiami mokiniui/klientui ar kitam Centro subjektui kartą per kalendorinius metus.

31.2. kreipiantis rašytiniu prašymu, pateiktu asmeniškai, paštu ar elektroninių ryšių priemonėmis, tinkamai save identifikavus, klientas/mokinys gali reikalauti nedelsiant ištaisyti neteisingus, neišsamius, netikslius asmens duomenis ir/arba sustabdyti tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą. Jeigu klientas/mokinys, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra tvarkomi neteisėtai, nesąžiningai ir kreipiasi į Centrą, Centras nedelsdamas privalo neatlygintinai patikrinti asmens duomenų tvarkymo teisėtumą, sąžiningumą ir duomenų subjekto prašymu (išreikštu rašytine forma) nedelsdama sunaikinti neteisėtai ir nesąžiningai sukauptus asmens duomenis ar sustabdyti tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą. Mokinio/kliento ar kito Centro subjekto prašymu, sustabdžius jo asmens duomenų tvarkymo veiksmus, asmens duomenys, kurių tvarkymo veiksmai sustabdyti, turi būti saugomi tol, kol bus ištaisyti ar sunaikinti (duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui). Jeigu Centras abejoja mokinio/kliento ar kito mokyklos

subjekto pateiktų asmens duomenų teisingumu, jis privalo sustabdyti tokių duomenų tvarkymo veiksmus, duomenis patikrinti ir patikslinti. Tokie asmens duomenys gali būti naudojami tik jų teisingumui patikrinti. Mokiniui/klientui ar kitam centro subjektui turi būti pranešta apie Centro sprendimą, kurį jis priima ne vėliau kaip per 5 (penkias) darbo dienas nuo reikalavimo gavimo (apie atliktą ar neatliktą asmens duomenų ištaisymą, sunaikinimą ar asmens duomenų tvarkymo veiksmų sustabdymą). Centro mokinį/klientą ar kitą Centro subjektą apie priimtą sprendimą informuoja ne vėliau kaip per 5 (penkias) darbo dienas nuo jo priėmimo dienos. Centras privalo nedelsdama informuoti duomenų gavėjus apie kliento prašymu ištaisytus ar sunaikintus asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio mokinių/klientų ar kitų Centro subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). Tokiu atveju turi būti nedelsiant pranešama Centro direktoriui, kuris organizuoja informacijos pateikimą Valstybinei duomenų apsaugos inspekcijai;

31.3. Taisyklių 12 punkte nustatyta tvarka asmuo gali nesutikti, kad būtų tvarkomi jo duomenys, nenurodydamas nesutikimo motyvų, kai duomenys tvarkomi ar ketinami tvarkyti tiesioginės rinkodaros tikslu. Šiuo atveju Centras privalo nedelsdamas ir nemokamai nutraukti asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus. Mokinio /kliento ar kito Centro subjekto prašymu, Centras privalo pranešti duomenų subjektui apie jo asmens duomenų tvarkymo veiksmų nutraukimą ar atsisakymą nutraukti duomenų tvarkymo veiksmus ne vėliau kaip per 5 (penkias) darbo dienas nuo prašymo gavimo dienos;

31.4. gauti iš Centro visą reikalingą informaciją aiškiai, suprantamai bei priimtina forma.

32. Ruošiant atsakymus į mokinių/klientų ar kitų Centro subjektų paklausimus, vadovaujamasi Įstatymu, kitais Lietuvos Respublikos galiojančiais teisės aktais bei lokaliniais Centro dokumentais.

33. Klientas/mokinys gali skųsti Centro veiksmus (neveikimą) Valstybinei duomenų apsaugos inspekcijai per 3 (tris) mėnesius nuo atsakymo iš Centro gavimo dienos arba per 3 (tris) mėnesius nuo tos dienos, kada baigiasi Įstatymo 23 straipsnio 3 dalyje nustatytas terminas pateikti atsakymą.

34. Visos kitos centro funkcijos, teisės ir pareigos valdant ir tvarkant asmens duomenis nesiskiria nuo tų, kurios išdėstytos Įstatyme, Bendruosiuose reikalavimuose ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų apsaugą ir duomenų valdytojo veikimo ribas bei atsakomybę.

VIII SKYRIUS

ORGANIZACINĖS IR TECHNINĖS ASMENS DUOMENŲ APSAUGOS PRIEMONĖS

35. Organizacinės ir techninės priemonės turi užtikrinti tvarkomų asmens duomenų saugumo lygį, atitinkantį saugomų Centro, kaip asmens duomenų valdytojos, asmens duomenų pobūdį ir jų tvarkymo keliamą riziką. Automatiškai tvarkomų asmens duomenų saugumo lygis nurodytas Centro Duomenų apsaugos priemonių apraše, kuris jį pakeitus/atnaujinus pateikiamas Valstybinei duomenų apsaugos inspekcijai.

36. Siekiant apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio kito neteisėto tvarkymo, Centre yra įgyvendintos tokios organizacinės ir techninės asmens duomenų saugumo priemonės:

36.1. infrastruktūrinės (tinkamas techninės įrangos išdėstymas ir priežiūra, griežtas priešgaisrinės apsaugos tarnybos nustatytų normų laikymasis ir kt.);

36.2. administracinės (tinkamas darbo organizavimas, informacinių sistemų priežiūra (pavyzdžiui, informacinės sistemos nuo neteisėto prisijungimo elektroninių ryšių priemonėmis saugomos ugniasiene, taip pat darbuotojams draudžiama jungti neleistiną ir mokyklos nepatvirtintą įrangą prie darbinio kompiuterio arba tinklo, siųsti ar diegti programas, informacinėse sistemose įdiegta programinė įranga (antivirusinės programos), skirta apsaugoti informacinę sistemą nuo kenksmingos programinės įrangos (virusų, šnipinėjimui skirtos programinės įrangos,

nepageidaujamų elektroninių laiškų ir kt.), instruktažų Centro darbuotojams organizavimas apie asmens duomenų apsaugą ir atsakomybę, rizikų bei veiklos tęstinumo planavimas ir kt.);

36.3. techninės ir programinės (pavyzdžiui: prisijungiant prie informacinių sistemų, kuriose saugomi asmens duomenys, darbuotojas yra identifikuojamas pagal jam suteiktą unikalų vartotojo kodą ir/ar slaptažodį; yra nustatyta tvarka, kuria vadovaujantis yra suteikiamos, panaikinamos, periodiškai peržiūrimos ir atnaujinamos prieigos teisės prie informacinių sistemų, taip pat klasifikuojama, tvarkoma bei saugoma informacija);

36.4. telekomunikacinės (tinklo valdymas, saugumo užtikrinimas naudojant Internetą ir kt.) ir kitos, kurios nurodytos 13–16 punktuose.

37. Centras informuoja Valstybinę asmens duomenų inspekciją, pagal teisės aktų reikalavimus, apie šiuos duomenų pasikeitimus:

37.1. Centro rekvizitų (pavadinimo, juridinio asmens kodo, buveinės adreso);

37.2. duomenų tvarkymo tikslo ar tikslų;

37.3. duomenų subjekto grupės ar grupių ir su jomis susijusių asmens duomenų sąrašo;

37.4. asmens duomenų šaltinių;

37.5. duomenų gavėjų, tvarkytojų, kuriems Centras numato teikti asmens duomenis.

38. Darbuotojai turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Konfidencialumo principas taip pat reiškia, kad darbuotojams, tvarkantiems asmens duomenis, draudžiama juos atskleisti, gavus trečiųjų šalių prašymus dėl tokio atskleidimo, išskyrus įstatymų ir sutarčių su klientais numatytus atvejus.

39. Konfidencialumo principo darbuotojai turi laikytis ir pasibaigus darbo santykiams ar paslaugų teikimo sutarčiai.

40. Centro direktorius turi užtikrinti, kad darbuotojai, tvarkantys asmens duomenis, raštu įsipareigotų saugoti asmens duomenų paslaptį (toliau – Įsipareigojimas). Šis Įsipareigojimas galioja ir pasibaigus darbo santykiams ar perėjus dirbti į kitas pareigas.

41. Kiekvieno darbuotojo pasirašytas įsipareigojimas saugomas Centro raštinėje kartu su jo darbo sutartimi.

42. Asmenis, teikiančius Centrui paslaugas civilinių (ne darbo) sutarčių pagrindu, su Taisyklėmis supažindina sutarties pasirašymą inicijavęs asmuo.

43. Darbuotojai, asmenys, teikiantys Centrui paslaugas civilinių (ne darbo) sutarčių pagrindu, gali susipažinti su dokumentais, kuriuose nurodyti klientų asmens duomenys, jei toks susipažinimas susijęs su jų funkcijų vykdymu.

44. Asmens duomenis gali tvarkyti darbuotojai, kuriems suteikta teisė tvarkyti asmens duomenis. Centro direktorius privalo užtikrinti, kad asmens duomenis tvarkytų tik tie asmenys, kuriems jie yra reikalingi jų funkcijų vykdymui bei kad jie atliktų su asmens duomenimis tik tuos veiksmus, kuriems atlikti yra suteiktos teisės. Asmens duomenų tvarkymo teisę turi: Centro direktorius, pavaduotojai, einantys su Centro valdymu susijusias pareigas, informacinių komunikacinių technologijų specialistai, kiti darbuotojai, dirbantys su klientų/mokinių asmens duomenų tvarkymu, techninių priemonių įdiegimu ir palaikymu.

45. Darbuotojai turi užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugodami dokumentus tinkamai ir saugiai, įskaitant „tuščio stalo taisyklę“ (angl. clear desk policy) bei vengiant nereikalingų dokumentų ir/ar elektroninių laikmenų kopijų su klientų/mokinių asmens duomenimis darymo.

46. Darbuotojai, kurių kompiuteriuose saugomi asmens duomenys, savo kompiuteriuose turi naudoti slaptažodžius, atitinkančius šiuos reikalavimus:

46.1. jie turi būti sudaryti iš ne mažiau kaip 8 (aštuonių) simbolių, tarp kurių yra simboliai bent iš 3 kategorijų (didžiosios raidės, mažosios raidės, skaičiai, kiti simboliai, Azijos šalių simboliai);

46.2. juos sudarantys ženklai turi sudaryti atsitiktinės sekos įspūdį;

46.3. jie turi būti keičiami kas 90 (devyniasdešimt) kalendorinių dienų;

46.4. jie neturi sutapti su darbuotojo vardu ar prisijungimo vardu;

46.5. juos saugo ir juos gali žinoti tik darbuotojas, dirbantis su konkrečiu kompiuteriu;

46.6. jie negali būti saugomi viešai ir negali būti prieinami kaip visuma. Slaptažodžiai negali būti niekur užrašomi ar saugomi tokia forma, kuri leistų jų identifikavimą;

46.7. pirmojo prisijungimo metu darbuotojo slaptažodžiai privalomai keičiami.

47. Slaptažodžiai esant reikalui (pasikeitus darbuotojui, iškilus įsilaužimo grėsmei ir pan.) turi būti keičiami dažniau nei numatyta Taisyklių 46.3 punkte.

48. Darbuotojų kompiuteriuose esančios asmens duomenų bylos neturi būti „matomos“ (angl. shared) iš kitų kompiuterių. Šiuose kompiuteriuose antivirusinė programinė įranga turi būti pastoviai atnaujinama informacijos saugos sistemos reikalavimu.

49. Duomenų prieigos teisių ir įgaliojimų tvarkyti asmens duomenis suteikimo, naikinimo ir keitimo tvarka, saugumo pažeidimo valdymo ir reagavimo į šiuos pažeidimus tvarka, asmens duomenų kopijavimo ir atkūrimo jų avarinio praradimo atvejais tvarka, reglamentuota atskiruose Centro lokaliniuose teisės aktuose.

IX SKYRIUS BAIGIAMOSIOS NUOSTATOS

50. Centro direktorius nuolatos tikrina ir kontroliuoja, ar darbuotojai ir kiti asmenys, turintys teisę tvarkyti Centre valdomus asmens duomenis, laikosi šiose Taisyklėse nustatytų reikalavimų.

51. Centro darbuotojai, turintys teisę tvarkyti Centro valdomus asmens duomenis, nesilaikantys Taisyklėse nurodytų reikalavimų, baudžiami drausminėmis nuobaudomis ir atsako pagal teisės aktų reikalavimus.

52. Visi kiti veiksmai, kurie neaprašyti ar nepaminėti šiose Taisyklėse, turi būti vykdomi remiantis Lietuvos Respublikoje galiojančiais tesės aktais ir kitais Centro vidiniais normatyviniais dokumentais. Jeigu kuri nors Taisyklių nuostata prieštarauja įstatymams, kitiems teisės aktams ar dėl kurios nors priežasties tampa dalinai arba visiškai negaliojančia, ji nedaro negaliojančiomis likusių Taisyklių nuostatų. Šios Taisyklės galioja tiek, kiek neprieštarauja imperatyvioms teisės aktų nuostatoms.

53. Taisyklės periodiškai, ne rečiau kaip kartą per 2 (dvejus) metus, peržiūrimos, keičiamos, atnaujinamos, papildomos ir tvirtinamos Centro direktoriaus įsakymu.

SUDERINTA

Darbo tarybos 2020 m. spalio 8 d.

posėdžio protokolu Nr. T-02