VŠĮ „PLAČIAJUOSTIS INTERNETAS“ ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

PATVIRTINTA

Viešosios įstaigos „Plačiajuostis internetas“ direktoriaus 2016 m. liepos 4 d. įsakymu Nr. V-54

VŠĮ „PLAČIAJUOSTIS INTERNETAS“

ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

I. BENDROSIOS NUOSTATOS

1. Asmens duomenų tvarkymo Viešojoje įstaigoje „Plačiajuostis internetas“ (toliau - Įstaiga) taisyklės nustato Įstaigos žinioje ir atsakomybėje esančių tinklo mazgų vaizdo stebėjimo, į Įstaigos valdymo centrą įeinančių skambučių, taip pat automobilių vietos nustatymo paslaugos, t. y. GPS navigatorių (toliau - GPS) informacijos įrašymo tikslą ir apimtį, asmens duomenų saugojimo terminą, priėjimo prie tvarkomų vaizdo duomenų sąlygas, šių duomenų laikymo sąlygas ir tvarką, taip pat Įstaigos darbuotojų judėjimo po administracines patalpas fiksavimo, šių duomenų laikymo, naudojimo sąlygas ir tvarką, taip pat tvarkantiems šiuos duomenis, įgaliotiems, Įstaigos darbuotojams keliamus reikalavimus.

2. Asmens duomenų tvarkymo tikslai:

2.1. Siekiama užtikrinti turto, esančio Įstaigos žinioje ir atsakomybėje, saugumą stebint tiesioginį vaizdą ar vaizdo įrašus iš tinklo mazgų patalpų, vaizdo stebėjimo kamerų pagalba identifikuojant asmenis patekusius į patalpą, o pastebėjus įtartinus asmenis būtų galima imtis įmanomų priemonių apsaugojant tinklo mazgus.

2.2. Siekiama užtikrinti asmenų, patekusių į tinklo mazgų patalpas, priežiūrą dėl operatoriaus atstovų bei Įstaigos darbuotojų atliekamų darbų kokybės stebint tiesioginį vaizdą ar vaizdo įrašus iš patalpų.

2.3. Patalpų vaizdo stebėjimas taip pat vykdomas dėl galimų tinklo mazgų gedimų priežastiniam ryšiui, tarp trečiųjų asmenų veiksmų ir gedimų, išsiaiškinti.

2.4. Vaizdo stebėjimas taip pat yra vykdomas atsižvelgiant į tai, kad ryšio mazgai tai įranga maitinama elektra, kuri kelia padidintą pavojų žmonių sveikatai ir gyvybei, o nelaimingo atsitikimo atveju būtų galima išsiaiškinti nelaimės aplinkybes peržiūrint įrašytą vaizdą.

2.5. Iš įeinančių skambučių gauti asmens duomenys kaupiami tinklų sutrikimų faktams užfiksuoti ir, ginčų atveju, aplinkybėms išsiaiškinti.

2.6. Įstaigos naudojamuose automobiliuose įdiegtas GPS skirtas tiksliai automobilio buvimo vietai nustatyti dėl turto saugumo užtikrinimo, kad automobilio pagrobimo atveju būtų lengviau išsiaiškinti aplinkybes.

2.7. GPS taip pat diegiamas darbų planavimo tikslais bei darbuotojo darbo efektyvumo įvertinimo tikslais, siekiant įsitikinti ar darbuotojas nenukrypsta nuo jam paskirtų užduočių, kad darbo jėgos ištekliai būtų kuo optimaliau panaudoti.

2.8. Įstaigos darbuotojų judėjimas po administracines patalpas fiksuojamas vidaus administravimo tikslais:

2.8.1. Įstaigos darbuotojų judėjimas po administracines patalpas fiksuojamas darbuotojų darbo efektyvumo vertinimo tikslais; kuriuo laiku darbuotojas atvyksta į darbo vietą, į kokias patalpas ir kuriuo laiku pateko (mėgino patekti) ir t. t.

3. Šiose Taisyklėse vartojamos sąvokos:

3.1. Asmens duomenų įrašymo įrenginiai – Įstaigos turto apskaitoje esantys skaitmeniniai įrenginiai, skirti skambučių, vaizdo duomenų, GPS koordinačių, praėjimų signalams įrašyti, saugoti, peržiūrėti ir kopijuoti.

3.2. Asmens duomenų įrašymo sistema – vaizdo ir garso duomenų įrašymo įrenginiai ir vaizdo stebėjimo kameros.

3.3. Vaizdo įrašas – Įstaigos vaizdo stebėjimo kameromis užfiksuoti ir vaizdo duomenų įrašymo įrenginiuose išsaugoti vaizdo duomenys.

3.4. Garso įrašas – telefoninio pokalbio įrašas, padarytas į Įstaigos valdymo centrą įeinančių skambučių metu ir užfiksuotas garso duomenų įrašymo įrenginiuose.

3.5. Praėjimo signalas – Įstaigos darbuotojų, judančių po administracines patalpas, darbuotojo pažymėjimo užfiksuotas signalas, kuris įrašomas ir saugomas praėjimo kontrolės sistemos serveryje.

3.6. Tiesioginio vaizdo duomenų gavėjų grupė – Tinklo valdymo tarnyboje, dirbantys asmenys, bei

kiti Įstaigos darbuotojai, kuriems direktoriaus įsakymu suteikta vartotojo prisijungimo teisė.

3.7. Darbuotojas, tvarkantis asmens duomenis - asmuo (arba asmenys), atsakingas už asmens duomenų įrašymo įrenginių sistemos techninę priežiūrą ir asmens duomenų tvarkymą.

3.8. Tiesioginio vaizdo duomenų gavėjų grupė ir Darbuotojas, tvarkantis asmens duomenis bendrai vadinami Duomenų tvarkytojais.

3.9. Duomenų tvarkytojai yra paskiriami Įstaigos direktoriaus įsakymu.

3.10. Kitos šiose Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose.

II. REIKALAVIMAI DUOMENŲ TVARKYTOJAMS

4. Susipažinti su asmens duomenimis turi teisę Duomenų tvarkytojai, kurie įgyvendindami šią teisę turi laikytis asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.

5. Darbuotojas, tvarkantis asmens duomenis, privalo:

5.1. Laikytis pagrindinių asmens duomenų tvarkymo principų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, šiose Taisyklėse ir kituose teisės aktuose.

5.2. Imtis priemonių, kad būtų užkirstas kelias atsitiktiniam ar neteisėtam asmens duomenų įrašų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugoti asmens duomenų įrašymo įrenginiuose esančius duomenis.

5.3. Užtikrinti, kad suėjus Taisyklių 19, 20, 21 ir 22 punkte nustatytam terminui, asmens duomenys

yra ištrinami.

5.4. Užtikrinti, kad asmens duomenų įrašymo įrenginiai būtų techniškai tvarkingi, techniniai šios sistemos sutrikimai būtų šalinami operatyviai, naudojant visus turimus techninius resursus.

5.5. Neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su asmens duomenimis tam teisės neturintiems asmenims.

5.6. Nedelsdamas pranešti Technologijų ir plėtros tarnybos vadovui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę tvarkomų asmens duomenų saugumui.

5.7. Laikytis kitų šiose Taisyklėse ir asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.

6. Duomenų tvarkytojai įsipareigoja neatskleisti slaptažodžių, kurie suteikia prieigas prie asmens duomenų įrašymo įrenginių ir (arba) asmens duomenų, o pastebėję neteisėtą prisijungimą arba bandymą neteisėtai prisijungti prie asmens duomenų įrašymo įrenginių ir (arba) įrašų duomenų, taip pat pastebėję asmens duomenų įrašymo įrenginių darbo sutrikimus, nedelsdami informuoti Technologijų ir plėtros tarnybos vadovą, o jam nesant, Įstaigos direktorių.

7. Duomenų tvarkytojai įsipareigoja neperduoti jokių asmens duomenų tretiesiems asmenims be teisėsaugos institucijų pareikalavimo ar duomenų subjektų raštiško sutikimo.

8. Duomenų tvarkytojai pasirašytinai supažindinami su šiomis Taisyklėmis ir taip įsipareigoja laikytis jų bei kitų asmens duomenų tvarkymo reikalavimus nustatančių teisės aktų.

III. ASMENS DUOMENŲ ĮRAŠYMAS, DUOMENŲ SAUGUMAS IR SAUGOJIMAS

9. Vaizdo duomenys fiksuojami Įstaigos atsakomybėje esančių tinklo mazgų patalpose arba jų dalyse, kuriose aiškiai matosi turtas, kurio saugumą siekiama užtikrinti, taip pat gali būti stebimas ir priėjimas prie minimo turto, o vietose kuriose pačio turto nesimato gali būti fiksuojamas tik priėjimas prie jo.

10. Garso duomenys fiksuojami interesantui paskambinus į Įstaigos valdymo centrą.

11. GPS signalo koordinatės serveryje yra matomos tiek automobilio varikliui esant užvestam, tiek užgesintam. Užvesto variklio koordinatės matomos vienokios spalvos ikona, o užgesinto kitokios. GPS signalo koordinatės matomos tiek judančio automobilio, tiek stovinčio.

12. Praėjimo signalas į serverį gaunamas Įstaigos darbuotojui savo darbo pažymėjimu palietus skaitytuvą, kuris atlieka praėjimo kontrolės funkciją, atpažindamas darbuotojus ir suteikdamas praėjimo teises į tam tikras patalpas.

13. Vaizdo duomenų fiksavimo zona yra Lietuvos Respublikos geografinė teritorija, o stebėjimo sistemos montuojamos pagal poreikį, laikantis Lietuvos Respublikos įstatymų, šalių susitarimų bei šių taisyklių.

14. Siekiant užtikrinti asmens duomenų saugumą Technologijų ir plėtros tarnybos vadovo nurodymu, darbuotojas valdantis asmens duomenis, kiekvienam Duomenų tvarkytojui suteikia unikalų slaptažodį, kuris yra:

14.1. Sudarytas iš ne mažiau kaip 8 simbolių, nenaudojant asmeninio pobūdžio informacijos.

14.2. Suteikiamas ir saugomas kiekvieno vartotojo atskirai, užtikrinant slaptažodžio konfidencialumą.

14.3. Yra keičiami ne rečiau kaip kartą per 2 mėnesius.

15. Darbuotojas, tvarkantis asmens duomenis, užtikrina kompiuterinės įrangos apsaugą nuo kenksmingos programinės įrangos bei suteikdamas skirtingas prisijungimo teises Duomenų tvarkytojams; su asmens duomenimis galima atlikti tik tuos veiksmus, kuriems atlikti yra suteiktos teisės:

15.1. Tiesioginio vaizdo duomenų gavėjams suteikiama teisė tiesiogiai stebėti vaizdą bet kuria kamera, tačiau peržiūrėti įrašyto vaizdo bei perklausyti balso įrašo nėra leidžiama.

15.2. Darbuotojas, tvarkantis asmens duomenis, kaip sistemos administratorius, turi teisę tiek stebėti tiesioginį kamerų vaizdą, tiek peržiūrėti įrašytus vaizdo bei garso įrašus, taip pat ištrinti, perkelti, nukopijuoti vaizdo ir garso įrašus, peržiūrėti darbuotojų judėjimo po Įstaigos patalpas duomenis bei pažiūrėti GPS koordinačių istoriją.

15.3. Technologijų ir plėtros vadovas turi tokias pat teises kaip ir Darbuotojas, tvarkantis asmens

duomenis.

16. GPS koordinačių judėjimas yra stebimas gyvai Tinklo valdymo tarnybos patalpose siekiant

užtikrinti darbo efektyvumą.

17. Kompiuterinė įranga, kurioje laikomi ir saugojami asmens duomenys, nuo žalingų programų yra apsaugomi laikantis Įstaigos informacijos saugos valdymo sistemos - tinklo saugumo politikos (ISVS), tuo pačiu dokumentu apibrėžiami informacijos saugos principai, įgyvendinimas bei atsakingi asmenys.

18. Asmens duomenų įrašymo įrenginiuose garso įrašai skaitmeniniu būdu įrašomi į fizinį įrašymo serverį.

19. Garso duomenys įrašymo įrenginiuose saugomi 2 mėnesius, o nustačius pažeidimą – iki tyrimo pabaigos.

20. Vaizdo duomenys vaizdo duomenų įrašymo įrenginiuose saugomi 31 kalendorinę dieną, o nustačius pažeidimą – iki tyrimo pabaigos.

21. GPS signalo koordinačių istorija kaupiama ir saugoma 2 mėnesius o nustačius pažeidimą – iki tyrimo pabaigos.

22. Praėjimo kontrolės signalų istorija bus kaupiama ir saugoma 31 kalendorinę dieną.

23. Suėjus Taisyklių 19, 20, 21 ir 22 punkte nustatytam terminui, asmens duomenys ištrinami.

24. Asmens duomenų įrašymo įrenginiai leidžia atlikti garso bei vaizdo įrašų paiešką pagal datą ir laiką.

25. Kamerų užfiksuoti ir saugomi vaizdo įrašai gali būti peržiūrimi bet kada, atsiradus poreikiui tai padaryti, taip pat teisėsaugos institucijų reikalavimu, kai pradėtas tyrimas dėl turto sunaikinimo ar sugadinimo, taip pat nelaimingo atsitikimo ar įvykio atveju

26. Asmens duomenų saugojimo laikotarpiu, garso įrašų duomenys gali būti išklausomi bet kada kai yra poreikis ir reikalinga užtikrinti suteiktos ar nesuteiktos paslaugos objektyvumą.

27. Nustatomas leistinų nepavykusių prisijungimų prie programinės įrangos skaičius – 3 (trys) kartai,

po nepavykusių prisijungimų sistema užblokuoja konkretų vartotoją.

28. Sistemoje fiksuojami prisijungimų prie asmens duomenų įrašai: prisijungimo identifikatorius, data, laikas, trukmė, jungimosi rezultatas (sėkmingas, nesėkmingas). Šie įrašai saugomi ne trumpiau kaip 1 metus.

29. Užtikrinamas patalpų, kuriose saugomi asmens duomenys, saugumas, užtikrinant tik įgaliotų asmenų patekimą į patalpas, kuriose kaupiami asmens duomenys (patekimas į patalpas galimas tik turint raktus bei specialius praėjimo leidimus).

IV. DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMAS

30. Duomenų subjektas, pateikęs asmens tapatybę patvirtinantį dokumentą arba, jeigu atsiųstas prašymas paštu su notaro patvirtinta asmens tapatybės kopija, turi teisę gauti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme nurodytus duomenis apie asmens duomenų, susijusių su juo, tvarkymą, bei vaizdo duomenų įrašymo įrenginyje saugomo vaizdo įrašo, kuriame jis užfiksuotas, kopiją.

31. Duomenų subjektas, siekdamas gauti šių taisyklių 26 punkte nurodytus duomenis, kartu su asmens tapatybę patvirtinančiu dokumentu technologijų ir plėtros tarnybos vadovui pateikia prašymą raštu, kuriame xxxxxx:

31.1. Kokių, konkrečių, duomenų asmuo reikalauja.

31.2. Tikslią vietą, datą ir laiką, kada duomenų subjektas galėjo būti (ar buvo) nufilmuotas, arba įrašytas jo pokalbis su tinklo valdymo tarnyba.

31.3. Jei duomenų subjektas prašo pateikti duomenis, esančius vaizdo įraše, kuriame užfiksuotas ne tik jis, bet ir kiti asmenys, prašyme taip pat turi būti nurodytas vaizdo duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas.

32. Technologijų ir plėtros tarnybos vadovas, gavęs duomenų subjekto paklausimą dėl asmens duomenų, susijusių su juo, tvarkymo, ne vėliau kaip per 3 darbo dienas nuo duomenų subjekto prašymo gavimo dienos atsako, ar su juo susiję asmens duomenys yra saugomi, ir, jei saugomi, – apie šių duomenų teikimo tvarką.

33. Duomenų subjekto prašomus, technologijų ir plėtros tarnybos tvarkomus duomenis Darbuotojas, tvarkantis asmens duomenis, pateikia ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos.

34. Technologijų ir plėtros tarnybos vadovas atsisako pateikti tvarkomus duomenis, kai:

34.1. Kyla įtarimas dėl duomenų subjekto tapatybės tikrumo;

34.2. Prašoma pateikti tvarkomus vaizdo duomenis, esančius vaizdo įraše, kuriame užfiksuoti kiti asmenys, kurių tapatybę būtų galima nustatyti pagal vaizdo įraše užfiksuotus vaizdo duomenis (asmens veidas, ūgis ir pan.), ir tokių vaizdo duomenų pateikimas pažeistų jų teises;

34.3. nustatomos kitos Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose nurodytos aplinkybės, kurioms esant šie duomenys nėra teikiami.

35. Technologijų ir plėtros tarnybos vadovas, atsisakęs įgyvendinti šias duomenų subjekto teises ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos turi pateikti jam motyvuotą atsakymą raštu.

36. Technologijų ir plėtros tarnybos vadovas kartu su Darbuotoju, tvarkančiu asmens duomenis, užtikrina, kad informacinių sistemų testavimas nebūtų vykdomas su realiais asmens duomenimis, išskyrus būtinus atvejus, kurių metu būtų naudojamos organizacinės ir techninės asmens duomenų saugumo priemonės, užtikrinančios realių asmens duomenų saugumą;

V. BAIGIAMOSIOS NUOSTATOS

37. Įvykus nelaimingam atsitikimui ar įvykiui, susijusiam su šiomis Taisyklėmis, jų nesilaikymu, ar netinkamu laikymusi direktoriaus įsakymu sudaroma darbo grupė įvykiui išsiaiškinti ir aplinkybėms nustatyti.

38. Visi Įstaigos darbuotojai, turintys darbuotojo pažymėjimą ir kontroliuojami praėjimo sistemos bei darbuotojai, kuriems priskirti automobiliai, privalo būti supažindinti su šiomis taisyklėmis.

39. Už Taisyklių nuostatų pažeidimą įgaliotiems Įstaigos darbuotojams taikoma įstatymuose

numatyta atsakomybė.

40. Už Taisyklių nuostatų laikymosi priežiūrą ir jose reglamentuotų nuostatų vykdymo kontrolę bei periodišką Taisyklių peržiūrėjimą atsakingas direktoriaus paskirtas darbuotojas, kuris, įvertinęs Taisyklių taikymo praktiką, esant poreikiui inicijuoja Taisyklių pakeitimus.