PROJEKTAS SUDERINTAS

PROJEKTAS SUDERINTAS

Lietuvos akademinės elektroninės bibliotekos (eLABa) konsorciumo valdyboje 2016 m. birželio 28 d.,

PROJEKTAS

Valdybos posėdžio protokolas VlP-16 /7

PATVIRTINTA

Lietuvos mokslo ir studijų institucijos

Vadovo įsakymu Nr. yy-xxxx

ASMENS DUOMENŲ TVARKYMO eLABa INFORMACINĖJE SISTEMOJE TVARKA

I. BENDROSIOS NUOSTATOS

1.1. Lietuvos mokslo ir studijų institucijos (įrašyti pavadinimą) asmens duomenų tvarkymo eLABa informacinėje sistemoje tvarkos (toliau – Tvarka) paskirtis – reglamentuoti Lietuvos akademinės elektroninės bibliotekos informacinės sistemos (toliau – eLABa) duomenų valdytojų, duomenų tvarkytojų, duomenų teikėjų ir gavėjų bei naudotojų pareigas ir teises tvarkant eLABa asmens duomenis.

1.2. Asmens duomenų tvarkymo eLABa tikslas – identifikuoti naudotojus informacinėje sistemoje, susieti su jų mokslo ir studijų veikla.

1.3. Vadovaujantis eLABa duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos švietimo ir mokslo ministro 2014 m. rugsėjo 22 d. įsakymo Nr.V-838 punktu 14, asmens duomenų tvarkymo eLABa administracinės ir techninės asmens duomenų saugumo priemonės privalo užtikrinti antrą saugumo lygį.

1.4. eLABa duomenų subjektais yra Lietuvos mokslo ir studijų institucijos darbuotojai ir studentai.

1.5. Tvarka taikoma tvarkant institucijos studentų ir darbuotojų asmens duomenis automatizuotai ar rankiniu būdu (sąrašai, kartotekos, bylos, sąvadai ir kita).

1.6. Tvarkant asmens duomenis eLABa bei užtikrinant jų saugą vadovaujamasi šiais Lietuvos Respublikos įstatymais, kitais teisės aktais bei standartais:

1.6.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau - ADTAĮ);

1.6.2. Lietuvos Respublikos statistikos įstatymu;

1.6.3. Lietuvos Respublikos elektroninių ryšių įstatymu;

1.6.4. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

1.6.5. Lietuvos Respublikos valstybės registrų įstatymu;

1.6.6. Lietuvos akademinės elektroninės bibliotekos informacinės sistemos eLABa nuostatais, patvirtintais Lietuvos Respublikos švietimo ir mokslo ministro 2014 m. rugsėjo 22 d. įsakymu Nr.V-838;

1.6.7. Lietuvos akademinės elektroninės bibliotekos informacinės sistemos eLABa duomenų saugos nuostatais (toliau – eLABa saugos nuostatai), patvirtintais Lietuvos Respublikos švietimo ir mokslo ministro 2014 m. rugsėjo 22 d. įsakymu Nr.V-838;

1.6.8. Lietuvos akademinės elektroninės bibliotekos informacinės sistemos eLABa saugaus elektroninės informacijos tvarkymo taisyklėmis (toliau – eLABa saugaus elektroninės informacijos tvarkymo taisyklės), patvirtintomis Lietuvos Respublikos švietimo ir mokslo ministro 2015 m. liepos 2 d. įsakymu Nr. V-710;

1.6.9. Lietuvos akademinės elektroninės bibliotekos informacinės sistemos eLABa naudotojų administravimo taisyklėmis (toliau - eLABa naudotojų administravimo taisyklės), patvirtintomis Lietuvos Respublikos švietimo ir mokslo ministro 2015 m. liepos 2 d. įsakymu Nr. V-710;

1.6.10. Valstybinės duomenų inspekcijos direktoriaus 2014-12-18 įsakymu Nr. 1T-74(1.12.E) Dėl Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008-11-12 d. įsakymo Nr. 1T-71 (1.12)

„Dėl bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“ pakeitimo;

1.6.11. Valstybinės duomenų inspekcijos direktoriaus 2015-02-25 įsakymu Nr. 1T-9(1.12.E) „Dėl pavyzdinės asmens duomenų teikimo sutarties formos patvirtinimo“;

1.6.12. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl bendrųjų elektroninės informacijos saugos reikalavimų aprašo, saugos dokumentų turinio gairių aprašo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;

1.6.13. Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

1.6.14. Lietuvos standartais LST ISO/IEC 27002:20013, LST ISO/IEC 27001:20013 ir kitais Lietuvos bei tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais bei teisės aktais.

II. PAGRINDINĖS SĄVOKOS

2.1. Asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai.

2.2. Duomenų gavėjas – juridinis ar fizinis asmuo, kuriam teikiami asmens duomenys.

2.3. Duomenų subjektas – fizinis asmuo, kurio asmens duomenis tvarko duomenų valdytojas ar tvarkytojai.

2.4. Duomenų teikimas – asmens duomenų atskleidimas perduodant ar kitu būdu padarant juos prieinamus (išskyrus paskelbimą visuomenės informavimo priemonėse).

2.5. Duomenų tvarkymas – bet kuris su asmens duomenimis atliekamas veiksmas: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas, loginės ir (arba) aritmetinės operacijos, paieška, skleidimas, naikinimas ar kitoks veiksmas arba veiksmų rinkinys.

2.6. Duomenų tvarkymas automatiniu būdu – duomenų tvarkymo veiksmai, visiškai ar iš dalies atliekami automatinėmis priemonėmis.

2.7. Duomenų tvarkymas neautomatiniu būdu – duomenų tvarkymo veiksmai, atliekami neautomatinėmis priemonėmis (informaciją tvarkant administracinių ar techninių priemonių pagalba).

2.8. Duomenų tvarkymas statistikos tikslais - statistinių tyrimų vykdymas, jų rezultatų teikimas ir saugojimas.

2.9. eLABa duomenų tvarkytojai – Lietuvos mokslo ir studijų institucijos, kiti su mokslinių tyrimų, eksperimentine (socialine, kultūrine) plėtra ir studijomis susijusią veiklą vykdantys juridiniai asmenys, eLABa duomenų valdytojo (-jų) įgalioti tvarkyti duomenų valdytojo perduodamus duomenis.

2.10. eLABa duomenų valdytojai – eLABa konsorciumo nariai, kiekvienas atskirai valdantys savo institucijos ir tvarkantys kitų konsorciumo narių eLABa duomenis, bei kartu sistemai bei atskirai savo institucijoje nustatantys asmens duomenų tvarkymo eLABa tikslus ir priemones.

2.11. eLABa duomenų valdymo įgaliotinis – pagrindinio eLABa tvarkytojo įgaliotas asmuo, atsakingas už eLABa informacinės sistemos tvarkymo funkcijų, numatytų Lietuvos Respublikos (toliau – LR) valstybės informacinių išteklių valdymo įstatyme, tarp jų asmens duomenų tvarkymo veiklos organizavimą ir atlikimą.

2.12. Institucijos duomenų valdymo įgaliotinis - institucijos paskirtas darbuotojas, institucijos valdomų ir/arba tvarkomų eLABa duomenų atžvilgiu atliekantis pareigas, nustatytas LR asmens duomenų teisinės apsaugos įstatyme (toliau – ADTAĮ).

2.13. Išankstinė patikra – numatomų duomenų tvarkymo veiksmų patikrinimas prieš juos pradedant tvarkyti ADTAĮ nustatytais atvejais.

2.14. eLABa konsorciumas – Lietuvos akademinių bibliotekų informacinės infrastruktūros mokslui ir studijoms palaikymo ir plėtros konsorciumas, pagal 2010 m. spalio 28 d. sutartį Nr. S- 523/BS- 540000-1591 bendradarbiaujantis su eLABa valdytoju Lietuvos Respublikos švietimo ir moks-lo ministerija.

2.15. Susisteminta rinkmena – rinkmena asmens duomenų, sistemiškai išdėstytų pagal tam tikrus su asmeniu susijusius kriterijus, leidžiančius lengviau surasti asmens duomenis rinkmenoje.

2.16. Duomenų subjekto sutikimas (toliau – Sutikimas) – savanoriškas rašytinis duomenų subjekto valios pareiškimas tvarkyti jo asmens duomenis jam žinomu tikslu.

2.17. Trečiasis asmuo – juridinis ar fizinis asmuo, išskyrus duomenų subjektą, duomenų valdytoją, duomenų tvarkytoją ir asmenis, kurie yra tiesiogiai duomenų valdytojo ar duomenų tvarkytojo įgalioti tvarkyti asmens duomenis.

2.18. Kitos vartojamos sąvokos suprantamos taip, kaip jos yra apibrėžtos Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose.

III. eLABa ASMENS DUOMENŲ VALDYTOJAI

3.1. Kiekvienas eLABa konsorciume dalyvaujanti Lietuvos mokslo ir studijų institucija yra savo institucijos asmens duomenų valdytojas ir tvarkytojas.

3.2. Duomenų valdytojo pareiga yra tinkamai įgyvendinti Lietuvos Respublikos (toliau – LR) asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ), kitų LR teisės aktų bei LR ir tarptautinių standartų, reglamentuojančių asmens duomenų apsaugą, nuostatas.

3.3. eLABa duomenų valdytojas atlieka šias funkcijas:

3.3.1. nustato asmens duomenų tvarkymo eLABa informacinėje sistemoje tikslus, reglamentuoja asmens duomenų tvarkymą, duomenų subjekto teisių įgyvendinimą, technines ir organizacines duomenų saugos priemones;

3.3.2. užtikrina teisėtą asmens duomenų tvarkymą, duomenų subjektų teisių ir reikiamų organizacinių bei techninių asmens duomenų saugumo priemonių įgyvendinimą eLABa informacinės sistemos priemonėmis;

3.3.4. užtikrina eLABa informacinės sistemos priemones, įgalinančias asmens duomenų saugojimą tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;

3.3.5. nustato atlygintino eLABa duomenų teikimo duomenų subjektams tvarką.

3.4. Duomenų valdytojas turi teisę paskirti už eLABa duomenų apsaugą institucijoje atsakingą asmenį ar padalinį. Duomenų valdytojas privalo užtikrinti, kad eLABa tvarkomi asmens duomenys būtų:

3.4.1. renkami apibrėžtais ir teisėtais tikslais ir toliau nebūtų tvarkomi tikslais, nesuderinamais su nustatytaisiais prieš renkant asmens duomenis;

3.4.2. tvarkomi tiksliai, sąžiningai ir teisėtai;

3.4.3. tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas;

3.4.4. tapatūs, tinkami ir tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti;

3.4.5. tvarko savo institucijos duomenis taip, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;

3.4.6. teisės aktų nustatyta tvarka teikia informaciją apie asmens duomenų tvarkymą Lietuvos Respublikos Švietimo ir mokslo ministerijai, Lietuvos Respublikos akademinės etikos ir procedūrų kontrolieriui, kitoms valstybės įgaliotoms institucijoms ir duomenų subjektams;

3.4.7. užtikrina, kad asmens duomenys būtų tvarkomi laikantis organizacinių ir techninių duomenų saugumo priemonių, nurodytų:

3.4.7.1. eLABa duomenų saugos nuostatuose;

3.4.7.2. eLABa saugaus elektroninės informacijos tvarkymo taisyklėse;

3.4.7.3. eLABa naudotojų administravimo taisyklėse.

3.5. Institucijos duomenų valdymo įgaliotinis:

3.5.1. viešai skelbia apie duomenų valdytojo atliekamus duomenų tvarkymo veiksmus Vyriausybės nustatyta tvarka;

3.5.2. prižiūri, kad asmens duomenys būtų tvarkomi laikantis šio įstatymo ir kitų teisės aktų, reglamentuojančių duomenų apsaugą, nuostatų;

3.5.3. inicijuoja pranešimų Valstybinei duomenų apsaugos inspekcijai apie aplinkybes, nurodytas šio įstatymo 33 straipsnio 1 dalyje, rengimą;

3.5.4. kontroliuoja, kaip duomenų valdytojo darbuotojai tvarko asmens duomenis;

3.5.5. teikia siūlymus, išvadas duomenų valdytojui dėl duomenų apsaugos ir duomenų tvarkymo priemonių nustatymo, prižiūri, kaip šios priemonės įgyvendinamos ir naudojamos;

3.5.6. nedelsdamas imasi priemonių pašalinti asmens duomenų tvarkymo pažeidimus;

3.5.7. supažindina darbuotojus, įgaliotus tvarkyti asmens duomenis, su šio įstatymo ir kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą, nuostatomis;

3.5.8. inicijuoja kreipimųsi į Valstybinę duomenų apsaugos inspekciją asmens duomenų tvarkymo ir apsaugos klausimais rengimą;

3.5.9. padeda duomenų subjektams įgyvendinti jų teises;

3.5.10. raštu informuoja Valstybinę duomenų apsaugos inspekciją, jeigu nustato, kad duomenų valdytojas tvarko asmens duomenis pažeisdamas šio įstatymo ir kitų teisės aktų, reglamentuojančių duomenų apsaugą, nuostatas, ir jeigu atsisako pašalinti šiuos pažeidimus.

IV. eLABa ASMENS DUOMENŲ TVARKYTOJŲ PARINKIMAS

4.1. Kiekvienas eLABa duomenų valdytojas gali tvarkyti asmens duomenis pats arba įgalioti kitą juridinį (išimtiniais atvejais fizinį) asmenį tvarkyti savo valdomus asmens duomenis.

4.2. Kiekvienas eLABa duomenų valdytojas gali sudaryti duomenų tvarkymo sutartį su kitu tvarkytoju, pasitvirtinusiu lygiavertes eLABa asmens duomenų tvarkymo taisykles ir garantuojančiu tinkamas organizacines ir technines asmens duomenų apsaugos priemones.

4.3. Privaloma parinkti tokį duomenų tvarkytoją, kuris garantuotų tinkamų organizacinių ir techninių priemonių, skirtų apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo, įgyvendinimą.

4.4. eLABa duomenų valdytojas turi teisę kartą metuose arba įvykus incidentui, nedelsiant tikrinti duomenų tvarkytojo užtikrinamų techninių ir organizacinių priemonių atitikimą eLABa saugos dokumentų reikalavimams.

V. eLABa ASMENS DUOMENŲ TVARKYTOJŲ PAREIGOS

5. eLABa tvarkytojai savo tvarkomų duomenų atžvilgiu turi LR asmens duomenų teisinės apsaugos, valstybės informacinių išteklių valdymo įstatyme ir kituose teisės aktuose nurodytas teises ir pareigas bei atlieka šias nustatytas funkcijas:

5.1. užtikrina, kad asmens duomenys būtų tvarkomi laikantis šioje Tvarkoje ir eLABa asmens duomenų kopijavimo ir atkūrimo jų avarinio praradimo atveju tvarkoje nustatytų reikalavimų;

5.2. atsako už asmens duomenų tvarkymui reikalingų dokumentų (įsakymų, susitarimų, protokolų, sutarčių, pranešimų ir panašiai) parengimą, registraciją ir pateikimą;

5.4. užtikrina elektroninių ir (ar) popierinių dokumentų su asmens duomenimis, pasibaigus nustatytam eLABa nuostatų 40 punkte asmens duomenų saugojimo terminui, sunaikinimą;

5.5. užtikrina tinkamų organizacinių ir techninių priemonių, skirtų apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo, įgyvendinimą;

5.6. užtikrina teisėtą asmens duomenų tvarkymą, duomenų subjektų teisių ir reikiamų organizacinių bei techninių asmens duomenų saugumo priemonių įgyvendinimą;

5.7. teikia informaciją apie asmens duomenų tvarkymą duomenų subjektams ADTAĮ, šios Tvarkos bei kitų teisės aktų nustatyta tvarka.

5.8. eLABa tvarkytojai užtikrina, kad asmens duomenys būtų:

5.8.1. renkami apibrėžtais ir teisėtais tikslais ir toliau nebūtų tvarkomi tikslais, nesuderinamais su nustatytaisiais prieš renkant asmens duomenis;

5.8.2. tvarkomi tiksliai, sąžiningai ir teisėtai;

5.8.3. tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas;

5.8.4. tapatūs, tinkami ir tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti.

VI. eLABa TVARKOMI ASMENS DUOMENYS

6.1. eLABa tvarkomi „Lietuvos akademinės elektroninės bibliotekos informacinės sistemos nuostatų“ 21-24 punktuose nurodyti asmens duomenys.

6.2. naudotojo paskyrai administruoti bei tapatybei nustatyti naudojami šie asmens duomenys:

6.2.1. asmens kodas;

6.2.2. xxxxxx vardas, xxxxxxx;

6.2.3. mokslinis laipsnis (turintiems);

6.2.3. studento pažymėjimo nr. (studentams);

6.2.4. tabelio nr. (darbuotojams);

6.2.5. elektroninio pašto adresas;

6.2.6. institucija (asmens darbo ar studijų).

6.3. nustatyti autorystei, fiksuoti ir vertinti mokslo ir studijų institucijų darbuotojų ir studentų mokslinės (meno) veiklos rezultatus, vykdyti studijų baigimo procedūras Lietuvos mokslo ir studijų institucijoje, komplektuoti bei teikti dokumentus naudojami šie asmens duomenys:

6.3.1. xxxxxx vardas, xxxxxxx;

6.3.2. gimimo data;

6.3.3. institucija (darbo ar studijų);

6.3.4. institucijos padalinys (darbo ar studijų);

6.3.5. studijų tipas (studentams);

6.3.6. akademinė grupė (studentams);

6.3.7. studijų pradžios data (studentams);

6.3.8. studijų pabaigos data (studentams);

6.3.9. personalo grupė (darbuotojams);

6.3.10. pareigos, mokslinis laipsnis (darbuotojams);

6.3.11. darbo pradžios data;

6.3.12. darbo pabaigos ar/ir gynimo data;

6.3.13. elektroninio pašto adresas;

6.3.14. telefonas;

6.3.15. baigiamojo ar mokslinio darbo parašymo kalba;

6.3.16. baigiamojo ar mokslinio darbo tema;

6.3.17. baigiamojo ar mokslinio darbo tema anglų kalba;

6.3.18. baigiamojo ar mokslinio darbo santrauka lietuvių ir anglų kalba;

6.3.19. darbo gynimo proceso dalyvių pareigos ir tapatybę nustatant naudojami duomenys (6.2.1);

6.3.20. baigiamojo arba mokslinio darbo prieigos statusas internete, apribojimo terminas, paskelbimo data;

6.3.21. baigiamojo arba mokslinio darbo sutapties patikros atlikimo požymis;

6.3.22. baigiamojo arba mokslinio darbo sutapties patikros reikšmė;

6.3.23. atlikusio sutapties patikrą asmens tapatybei nustatyti naudojami duomenys (6.2.1);

6.3.24. baigiamojo arba mokslinio darbo dokumentai.

VII. eLABa ASMENS DUOMENŲ TVARKYMAS

7.1. eLABa tvarkomi asmens duomenys saugomi nuostatų 40 str. numatytais terminais.

7.2. eLABa surinkti ir saugomi asmens duomenys ADTAĮ numatyta tvarka gali būti panaudoti kitais (statistikos, mokslinio tyrimo ar socialinio ir viešosios nuomonės tyrimo) tikslais.

7.3. Asmens duomenys, surinkti statistikos tikslais, gali būti teikiami ir naudojami ne statistikos tikslais Statistikos įstatymo nustatyta tvarka ir atvejais.

7.4. Prieš teikiant duomenis trečioms šalims, duomenų teikėjas privalo informuoti duomenų subjektą ADTAĮ 24 str. nustatyta tvarka.

7.5. Tiesiogiai renkant asmens duomenis iš duomenų subjekto, privaloma suteikti šią informaciją (išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi):

7.5.1. duomenų valdytojo adresas, telefonas, elektroninio pašto adresas, duomenų valdymo įgaliotinio vardas ir pavardė;

7.5.2. kokiais tikslais ketinama tvarkyti duomenų subjekto asmens duomenis;

7.5.3. kokie duomenų subjekto asmens duomenys yra reikalingi;

7.5.4. kokios yra asmens duomenų nepateikimo pasekmės;

7.5.5. kam ir kokiais tikslais bus teikiami jo asmens duomenys;

7.5.6. apie duomenų subjekto teisę susipažinti su savo asmens duomenimis ir teisę reikalauti ištaisyti neteisingus, neišsamius, netikslius savo asmens duomenis.

7.6. Ketinant asmens duomenis apie duomenų subjektą gauti netiesiogiai iš duomenų subjekto arba ketinant asmens duomenis teikti tretiesiems asmenims, privaloma apie tai informuoti duomenų subjektą (išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi). Duomenų subjektui turi būti pateikta ši informacija:

7.6.1. duomenų valdytojo adresas, telefonas, elektroninio pašto adresas, duomenų valdymo įgaliotinio vardas ir pavardė;

7.6.2. kokiais tikslais tvarkomi ar ketinami tvarkyti duomenų subjekto asmens duomenys;

7.6.3. iš kokių šaltinių ir kokie duomenų subjekto asmens duomenys yra surinkti ar ketinami rinkti;

7.6.4. kam ir kokiais tikslais teikiami duomenų subjekto asmens duomenys;

7.6.5. apie duomenų subjekto teisę susipažinti su savo asmens duomenimis ir teisę reikalauti ištaisyti neteisingus, neišsamius, netikslius savo asmens duomenis.

7.7. Kai informacijos duomenų subjektui pateikti neįmanoma dėl didelio duomenų subjektų skaičiaus, duomenų senumo, nepagrįstai didelių sąnaudų, privaloma apie tai pranešti Valstybinei duomenų apsaugos inspekcijai.

7.8. Asmens duomenys, sukaupti eLABa, daugkartinio teikimo atveju teikiami pagal duomenų valdytojo ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį arba duomenų gavėjo prašymą (vienkartinio teikimo atveju).

7.9. Prašyme turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis.

7.10. Duomenų gavėjas turi užtikrinti tinkamų organizacinių ir techninių priemonių, skirtų apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo, įgyvendinimą.

7.11. Duomenų gavėjo asmens duomenų saugos priemonės turi atitikti eLABa saugos dokumentuose nustatytus reikalavimus.

7.11. Kai duomenų valdytojas su duomenų tvarkytoju sudaro rašytinę sutartį, sutartyje turi būti:

7.11.1. nurodytas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas;

7.11.2. nustatyta, kad asmens duomenų tvarkytojas gali veikti tik duomenų valdytojo nurodymu;

7.11.3. nurodyti teisės aktai ir standartai, kuriais vadovaujamasi tvarkant asmens duomenis;

7.11.4. nustatyti asmens duomenų tvarkymo tikslai ir būdai;

7.11.5. pateiktas baigtinis tvarkomų asmens duomenų sąrašas;

7.11.6. nurodyta, kokius asmens duomenų tvarkymo veiksmus duomenų valdytojo vardu privalo ir gali atlikti duomenų tvarkytojas;

7.11.7. xxxxxxxx, kaip, kokiais atvejais atliekamas asmens duomenų tikslinimas, taisymas, kada jie yra atnaujinami, kaip tvarkomi pasikeitę asmens duomenys ir pan.;

7.11.8. aptarta duomenų subjekto teisių įgyvendinimo tvarka;

7.11.9. numatytas asmens duomenų saugojimo, taip pat aktyvioje ir (ar) pasyvioje duomenų bazėje, terminas ir veiksmai, kurie atliekami pasibaigus šiam terminui;

7.11.10. nustatytas konfidencialumo reikalavimo laikymasis;

7.11.11. aptartas organizacinių bei techninių asmens duomenų saugumo priemonių taikymas;

7.11.12. nustatyta atsakomybė už sutarties sąlygų nesilaikymą.

7.12. Asmens duomenys duomenų gavėjams, esantiems Europos Sąjungos valstybėse narėse ir kitose Europos ekonominės erdvės valstybėse, teikiami tomis pačiomis sąlygomis ir tvarka kaip ir duomenų gavėjams, esantiems Lietuvos Respublikoje.

7.13. Asmens duomenys duomenų gavėjams trečiosiose valstybėse teikiami tik gavus Valstybinės asmens duomenų apsaugos inspekcijos leidimą, išskyrus, jeigu duomenų subjektas davė sutikimą, ir kitus ADTAĮ nustatytus atvejus.

VIII. DUOMENŲ SUBJEKTO TEISĖS

8.1. eLABa duomenų subjektas turi teisę žinoti (būti informuotas) apie savo asmens duomenų tvarkymą.

8.2. Kai eLABa duomenų valdytojas ar tvarkytojas asmens duomenis gauna ne iš duomenų subjekto, privalo apie tai informuoti duomenų subjektą pradėdamas tvarkyti asmens duomenis arba, jei ketina duomenis teikti tretiesiems asmenims, privalo apie tai informuoti duomenų subjektą ne vėliau kaip iki to momento, kai duomenys teikiami pirmą kartą, išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi arba duomenų perdavimą nustato kiti teisės aktai.

8.3. Perduodant informaciją duomenų subjektui privaloma suteikti:

8.3.1. duomenų valdytojo ir tvarkytojo pavadinimą, juridinio asmens kodą ir buveinę;

8.3.2. kokiais tikslais tvarkomi ar ketinami tvarkyti duomenų subjekto asmens duomenys;

8.3.3. kitą papildomą informaciją (iš kokių šaltinių ir kokie duomenų subjekto asmens duomenys renkami ar ketinami rinkti; kam ir kokiais tikslais teikiami duomenų subjekto asmens duomenys; apie duomenų subjekto teisę susipažinti su savo asmens duomenimis ir teisę reikalauti ištaisyti neteisingus, neišsamius, netikslius savo asmens duomenis), kiek jos reikia, kad būtų užtikrintas teisingas asmens duomenų tvarkymas nepažeidžiant duomenų subjekto teisių.

8.4. Informacija duomenų subjektui turi būti pateikta rašytine forma (tiesiogiai, paštu ar elektroninio ryšio priemonėmis), gaunant patvirtinimą apie informacijos gavimą, užtikrinantį susipažinimo įrodomumą.

8.5. Papildoma informacija apie panaudojimą gali būti teikiama tiesiogiai, paštu ar elektroninio ryšio priemonėmis.

8.6. Duomenų subjektas turi teisę nesutikti, kad būtų tvarkomi jo duomenys.

8.7. Duomenų subjektas turi teisę susipažinti iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti bent per paskutinius 1 metus:

8.7.1. norėdamas pasinaudoti šia teise, duomenų subjektas su rašytiniu prašymu turi kreiptis į duomenų valdytoją;

8.7.2. duomenų subjektas, patvirtinęs savo asmens tapatybę (asmens dokumentu arba LR teisės aktų nustatyta tvarka elektroninių ryšių priemonėmis), prašymą gali pateikti asmeniškai, paštu ar elektroninių ryšių priemonėmis;

8.7.3. Duomenų subjektui atsakymas (raštu) dėl jo asmens duomenų tvarkymo turi būti pateiktas neatlygintinai per 30 kalendorinių dienų nuo kreipimosi dienos;

8.7.4. neatlygintinai tokius duomenis duomenų valdytojas arba tvarkytojas teikia duomenų subjektui kartą per kalendorinius metus. Teikiant duomenis atlygintinai, atlyginimo dydis neturi viršyti duomenų teikimo sąnaudų.

8.8. Duomenų subjektas turi teisę reikalauti ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant LR ADTAĮ ir kitų įstatymų nuostatų:

8.8.1. jeigu duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir kreipiasi į valdytoją arba tvarkytoją, valdytojas arba tvarkytojas nedelsdamas, ne vėliau kaip per 5 darbo dienas, patikrina asmens duomenis ir ištaiso neteisingus, neišsamius, netikslius asmens duomenis ir (arba) sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą;

8.8.2. jeigu duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra tvarkomi neteisėtai, nesąžiningai, ir kreipiasi į duomenų valdytoją arba tvarkytoją, valdytojas arba tvarkytojas nedelsdamas, ne vėliau kaip per 5 darbo dienas, neatlygintinai patikrina asmens duomenų tvarkymo teisėtumą, sąžiningumą ir nedelsdamas sunaikina neteisėtai ir nesąžiningai sukauptus asmens duomenis ar sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.

8.9. Duomenų valdytojas arba duomenų tvarkytojas, duomenų subjekto prašymu sustabdęs jo asmens duomenų tvarkymo veiksmus, asmens duomenis, kurių tvarkymo veiksmai sustabdyti, saugo tol, kol jie bus ištaisyti ar sunaikinti (duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui).

8.10. Asmens duomenys taisomi ir naikinami arba jų tvarkymo veiksmai sustabdomi gavus duomenų subjekto prašymą bei jo asmens tapatybę patvirtinančius dokumentus.

8.11. Jeigu abejojama asmens duomenų teisingumu, privaloma sustabdyti tokių asmens duomenų tvarkymo veiksmus, duomenis patikrinti ir patikslinti; tokie asmens duomenys gali būti naudojami tik jų teisingumui patikrinti.

8.12. Būtina nedelsiant, ne vėliau kaip per 5 darbo dienas, raštu pranešti duomenų subjektui apie jo prašymu atliktą ar neatliktą asmens duomenų ištaisymą, sunaikinimą ar asmens duomenų tvarkymo veiksmų sustabdymą.

8.13. Būtina nedelsiant, ne vėliau kaip per 5 darbo dienas, informuoti raštu duomenų gavėjus apie duomenų subjekto prašymu ištaisytus ar sunaikintus asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus.

8.14. Kiti tvarkymo veiksmai su tokiais asmens duomenimis gali būti atliekami tik:

8.14.1. turint tikslą įrodyti aplinkybes, dėl kurių duomenų tvarkymo veiksmai buvo sustabdyti,

8.14.2. jei duomenų subjektas duoda sutikimą toliau tvarkyti savo asmens duomenis,

8.14.3. reikia apsaugoti trečiųjų asmenų teises ar teisėtus interesus.

8.15. Duomenų subjektas turi teisę pateikti skundą dėl valdytojo arba tvarkytojo veiksmų (neveikimo).

8.16. Duomenų subjektas turi teisę reikalauti atlyginti valdytojo arba tvarkytojo jam padarytą turtinę ir neturtinę žalą dėl neteisėto asmens duomenų tvarkymo (neveikimo).

8.17. Asmenys, tvarkantys asmens duomenis, turi užtikrinti, kad duomenų subjekto teisės būtų tinkamai įgyvendintos ir visa informacija duomenų subjektui būtų pateikiama aiškiai, suprantamai ir priimtina forma.

IX. PRAŠYMO DĖL DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO PATEIKIMAS

9.1. Duomenų subjektai, siekdami įgyvendinti savo teises, turi pateikti duomenų valdytojui arba tvarkytojui rašytinį prašymą asmeniškai, paštu ar per pasiuntinį, ar elektroninių ryšių priemonėmis.

9.2. Prašymas turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, gyvenamoji vieta, duomenys ryšiui palaikyti ir informacija apie tai, kokią iš duomenų subjekto teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti.

9.3. Pateikdamas prašymą, duomenų subjektas privalo patvirtinti savo tapatybę:

9.3.1. pateikdamas prašymą valdytojo arba tvarkytojo darbuotojui, registruojančiam prašymą, turi pateikti asmens tapatybę patvirtinantį dokumentą;

9.3.2. pateikdamas prašymą paštu ar per pasiuntinį, kartu turi pateikti asmens tapatybę patvirtinančio dokumento kopiją, patvirtintą teisės aktų nustatyta tvarka;

9.3.3. pateikdamas prašymą elektroninių ryšių priemonėmis, turi pasirašyti jį elektroniniu parašu arba savo tapatybę patvirtinti naudojantis Valstybinės duomenų apsaugos inspekcijos elektroninių paslaugų sistema.

9.4. Duomenų subjektas savo teises gali įgyvendinti pats arba per atstovą.

9.5. Jei atstovaujamo duomenų subjekto vardu kreipiasi asmens atstovas, jis savo prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, duomenis ryšiui palaikyti, taip pat atstovaujamo asmens vardą, pavardę, gyvenamąją vietą, informaciją apie tai, kokią iš Tvarkoje nurodytų duomenų subjekto teisių ir kokia apimtimi pageidaujama įgyvendinti, ir pridėti atstovavimą

patvirtinantį dokumentą ar jo dokumento kopiją, patvirtintą teisės aktų nustatyta tvarka. Atstovo pateiktas prašymas turi atitikti tuos pačius reikalavimus, kaip ir atstovaujamojo.

X. eLABa ORGANIZACINĖS ASMENS DUOMENŲ SAUGUMO PRIEMONĖS

10.1. Už asmens duomenų tvarkymo eLABa keliamos rizikos vertinimą, kontrolę, organizacinių ir techninių asmens duomenų saugumo priemonių taikymą, asmens duomenų saugumo pažeidimų valdymą ir reagavimo į šiuos pažeidimus veiksmų atlikimą yra atsakingas Lietuvos mokslo ir studijų institucijos (įrašti pavadinimą) eLABa duomenų valdymo įgaliotinis, kuris privalo:

10.1.1. kartą per 1 metus organizuoti asmens duomenų tvarkymo institucijoje rizikos vertinimą;

10.1.2. pastebėjus asmens duomenų saugumo pažeidimą, nedelsiant išsiaiškinti pažeidimo priežastis, imtis priemonių pažeidimo priežasčių, galimų pasekmių pašalinimui bei pažeidimų prevencijai;

10.1.3. nustačius asmens duomenų saugumo pažeidimus, įgyvendinus naujas organizacines ir technines duomenų saugumo priemones, atnaujinus Tvarką pakartotinai atlikti asmenų, tvarkančių asmens duomenis, informavimo ir apmokymo procedūras.

10.2. Lietuvos mokslo ir studijų institucijos (įrašyti pavadinimą) eLABa duomenų valdymo įgaliotinis sudaro tvarkytinų eLABa asmens duomenų sąrašą, numato asmenis, tvarkysiančius asmens duomenis bei jų funkcijas tvarkant asmens duomenis.

10.3. Įgaliojimus tvarkyti eLABa kaupiamus duomenis asmenims savo organizacijoje įsakymu suteikia duomenų valdytojas (arba duomenų tvarkytojas (vadovas) arba duomenų valdymo įgaliotinis). Įgaliojimai gali būti panaikinti ar pakeisti atskiru įsakymu.

10.4. Lietuvos mokslo ir studijų institucijos (įrašyti pavadinimą) eLABa duomenų valdymo įgaliotinis, būdu, užtikrinančiu susipažinimo įrodomumą, supažindina asmenis, kuriems suteikta teisė tvarkyti asmens duomenis eLABa, su šia Tvarka bei, poreikiui esant, organizuoja mokymus praktiniais asmens duomenų tvarkymo aspektais.

10.5. Įgaliotas asmuo su gautais asmens duomenimis gali atlikti tik tuos veiksmus, kuriems atlikti jam yra suteiktos teisės.

10.6. Asmuo, vykdantis asmens duomenų tvarkymo eLABa funkcijas, privalo:

10.6.1. susipažinti su šia Tvarka būdu, užtikrinančiu susipažinimo įrodomumą ir jų laikytis;

10.6.2. laikytis konfidencialumo reikalavimo ir neatskleisti tretiesiems asmenims bet kokios su asmens duomenimis susijusios informacijos, su kuria jis susipažino vykdydamas savo funkcijas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas; ši pareiga galioja ir pasibaigus darbo ar sutartiniams santykiams;

10.6.3. nedelsiant pranešti apie bet kokius asmens duomenų saugos pažeidimus institucijos duomenų valdymo įgaliotiniui ir struktūrinio padalinio vadovui;

10.6.4. nedelsiant pranešti apie elektroninės informacijos saugos incidentus eLABa elektroninės informacijos incidentų tyrimo tvarka;

10.6.5. nedelsiant pakeisti slaptažodį, jeigu iškilo įsilaužimo į kompiuterį su saugomais asmens duomenimis grėsmė ar kilo įtarimas, kad slaptažodis tapo žinomu tretiesiems asmenims ir kt.;

10.6.6. vengti perteklinių elektroninių ir (ar) popierinių dokumentų su asmens duomenimis kopijų darymo, nelaikyti šių dokumentų visiems prieinamoje matomoje vietoje, tinkamai juos saugoti;

10.6.7. elektroninius ir (ar) popierinius dokumentus su asmens duomenimis, pasibaigus nustatytam asmens duomenų saugojimo terminui, ar perteklines tokių dokumentų kopijas sunaikinti taip, kad nebūtų galima atkurti ir atpažinti jų turinio;

10.6.8. pranešti struktūrinio padalinio vadovui ir institucijos eLABa saugos įgaliotiniui, jeigu įvertina ir nustato, kad organizacinės ir techninės priemonės, skirtos asmens duomenų apsaugai, yra nepatikimos;

10.6.9. laikytis Lietuvos mokslo ir studijų institucijos (įrašyti pavadinimą) Dokumentų įkėlimo į Lietuvos akademinės elektroninės bibliotekos informacinę sistemą tvarkos apraše nustatytos tvarkos.

10.7. Struktūrinių padalinių vadovai užtikrina apsaugą nuo neteisėtos fizinės prieigos prie asmens duomenų tokiomis priemonėmis: patalpos rakinamos, įrengta veikianti patalpų stebėjimo ir (ar) signalizacijos sistema; įrengta veikianti asmenų įėjimo į patalpas kontrolės sistema (fizinė arba elektroninė); apribotas asmenų patekimas į atitinkamas patalpas.

10.8. eLABa asmens duomenų saugos pažeidimai tiriami Lietuvos akademinės elektroninės bibliotekos elektroninės informacijos saugos incidentų tyrimo tvarkos apraše nustatyta tvarka.

10.9. Asmens duomenų kopijavimo, jei jis daromas, ir atkūrimo jų avarinio praradimo atvejais tvarka nustatyta eLABa duomenų atkūrimo iš atsarginių kopijų tvarkos apraše.

10.10. Duomenų įkėlimo į eLABa informacinę sistemą nustato Lietuvos mokslo ir studijų institucijos (įrašyti pavadinimą) Dokumentų įkėlimo į Lietuvos akademinės elektroninės bibliotekos informacinę sistemą tvarkos aprašas.

XI. PRAŠYMO DĖL DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO NAGRINĖJIMAS

11.1. eLABa valdytojas arba tvarkytojas duomenų subjekto prašymo, kuris pateiktas nesilaikant šioje Tvarkoje nustatytų reikalavimų, nenagrinėja, jeigu valdytojo arba tvarkytojo vadovas nenusprendžia kitaip. Apie atsisakymo nagrinėti prašymą motyvus duomenų valdytojas arba duomenų tvarkytojas raštu informuoja prašymą pateikusį asmenį.

11.2. Duomenų subjekto prašymas įgyvendinti jo, kaip duomenų subjekto, teises išnagrinėjamas ir atsakymas duomenų subjektui pateikiamas ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos.

11.3. Atsakymas duomenų subjektui pateikiamas valstybine kalba duomenų subjekto pasirinktu būdu: registruotu paštu arba įteikiant asmeniškai. Duomenų valdytojas arba tvarkytojas, dėl objektyvių priežasčių negalėdamas pateikti atsakymo duomenų subjektui jo pasirinktu būdu, atsakymą pateikia registruotu paštu.

11.4. Duomenų valdytojas arba tvarkytojas, atsisakydami vykdyti duomenų subjekto prašymą įgyvendinti jo, kaip duomenų subjekto, teises, duomenų subjektui pateikia tokio atsisakymo motyvus.

11.5 Duomenų valdytojo arba tvarkytojo atsisakymas įgyvendinti duomenų subjekto teises teisės aktų nustatyta tvarka gali būti skundžiamas Vilniaus apygardos administraciniam teismui.

XII. BAIGIAMOSIOS NUOSTATOS

12.1. Tvarka įsigalioja nuo jų patvirtinimo.

12.2. Tvarka turi būti periodiškai, ne rečiau kaip kartą per dvejus metus, peržiūrima ir, esant reikalui, atnaujinama.

12.3. Duomenų valdytojai ir tvarkytojai turi užtikrinti, kad darbuotojai būtų informuoti apie Xxxxxxx atnaujinimą. Informavimą apie tvarkos atnaujinimą inicijuoja duomenų valdymo įgaliotinis.

12.4. Asmenims, kurie pažeidžia ADTAĮ, kituose LR įstatymuose bei teisės aktuose ir šioje Tvarkoje nustatytus asmens duomenų tvarkymo ir apsaugos reikalavimus, taikoma LR teisės aktų nustatyta atsakomybė.

12.5. Tvarkoje reglamentuotų nuostatų vykdymo kontrolę atlieka Lietuvos mokslo ir studijų institucijos (įrašyti pavadinimą) eLABa duomenų valdymo įgaliotinis.