ASMENS DUOMENŲ TVARKYMO
PATVIRTINTA
Kauno apskrities viešosios bibliotekos direktoriaus 2019 m. liepos 9 d.
įsakymu Nr. V-62
ASMENS DUOMENŲ TVARKYMO
KAUNO APSKRITIES VIEŠOJOJE BIBLIOTEKOJE TAISYKLĖS
I SKYRIUS BENDROSIOS NUOSTATOS
1. Kauno apskrities viešosios bibliotekos (toliau – KAVB) asmens duomenų tvarkymo taisyklės (toliau − Taisyklės) nustato fizinių asmenų (toliau − duomenų subjektas) asmens duomenų tvarkymo principus ir atitikties užtikrinimo priemones, asmens duomenų tvarkymo atskirais tikslais tvarką ir sąlygas, asmens duomenų tvarkyme dalyvaujančių subjektų ir duomenų apsaugos pareigūno pareigas, duomenų subjekto teisių įgyvendinimo tvarką, asmens duomenų saugumo priemones, pranešimo apie asmens duomenų saugumo pažeidimą tvarką ir poveikio asmens duomenų apsaugai vertinimo procedūrą.
2. Asmens duomenys KAVB tvarkomi vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendruoju duomenų apsaugos reglamentu) (toliau − Reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais asmens duomenų apsaugą reglamentuojančiais teisės aktais.
3. Taisyklių privalo laikytis visi KAVB dirbantys bei praktiką joje atliekantys ir (ar) savanoriaujantys asmenys, kurie tvarko asmens duomenis (toliau – KAVB darbuotojai), ir sutartiniais pagrindais ar teisės aktų nustatyta tvarka KAVB paslaugas teikiantys fiziniai ir (ar) juridiniai asmenys (saugos, informacinių sistemų priežiūros paslaugų teikėjai ir pan.), kurie atlieka asmens duomenų tvarkymo veiksmus (toliau - KAVB įgalioti duomenų tvarkytojai).
4. Asmens duomenys yra tvarkomi automatiniu ir neautomatiniu būdu pagal Reglamento 6 straipsnio 1 dalyje nustatytas sąlygas. KAVB tvarkomų asmens duomenų tvarkymo tikslai, jų apimtis ir duomenų subjektai nurodyti šių Taisyklių 1 priede.
5. Taisyklėse vartojamos sąvokos atitinka Reglamente, Asmens duomenų teisinės apsaugos įstatyme vartojamas sąvokas.
II SKYRIUS
ASMENS DUOMENŲ TVARKYMO PRINCIPAI IR ATITIKTIES UŽTIKRINIMO PRIEMONĖS
6. KAVB darbuotojai ir KAVB įgalioti duomenų tvarkytojai bei jų darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo užtikrinti, kad būtų laikomasi šių pagrindinių principų:
6.1. teisėtumo, sąžiningumo ir skaidrumo – asmens duomenys tvarkomi tik tuo atveju, jei apie tai informuotas duomenų subjektas ir tam yra teisinis pagrindas;
6.2. tikslo apribojimo – asmens duomenys renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir netvarkomi su šiais tikslais nesuderinamu būdu;
6.3. duomenų kiekio mažinimo – tvarkomi asmens duomenys yra adekvatūs, tinkami ir tik tokios apimties, kuri būtina siekiant tikslų, dėl kurių jie tvarkomi;
6.4. tikslumo – asmens duomenys turi būti tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs asmens duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas;
6.5. saugojimo trukmės apribojimo – asmens duomenys saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tais tikslais, kuriais asmens duomenys buvo surinkti ir tvarkomi;
6.6. konfidencialumo – asmens duomenys tvarkomi tokiu būdu, kad taikant atitinkamas technines ir organizacines priemones būtų užtikrintas jų saugumas, įskaitant apsaugą nuo asmens duomenų tvarkymo be leidimo arba neteisėto asmens duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;
6.7. atskaitomybės – KAVB atsako už tai, kad būtų laikomasi Taisyklių 6.1–6.6 papunkčiuose nurodytų principų, ir turi visas reikiamas priemones įrodyti, kad jų laikomasi.
7. Atitiktį Reglamentui KAVB išreiškia laikydamasi šių Taisyklių, taikydama organizacines ir technines asmens duomenų saugumo priemones, atlikdama poveikio asmens duomenų apsaugai vertinimo procedūrą, įgyvendindama asmens duomenų saugumo pažeidimų nustatymo procedūrą bei dokumentuodama jos eigą, užtikrindama pritaikytąją ir standartizuotąją asmens duomenų apsaugą.
8. KAVB tvarko asmens duomenų tvarkymo veiklos įrašus, t. y. pildo Duomenų tvarkymo veiklos įrašų žurnalą (2 priedas). Duomenų tvarkymo veiklos įrašai tvarkomi elektronine forma. Už duomenų tvarkymo veiklos įrašų vedimą atsakingi: padalinių vadovai, personalo specialistai, KAVB direktoriaus įsakymu paskirtas asmens duomenų apsaugos pareigūnas. Duomenų tvarkymo veiklos įrašų saugumas užtikrinamas laikantis Taisyklių nuostatų.
III SKYRIUS
ASMENS DUOMENŲ TVARKYMO ATSKIRAIS TIKSLAIS TVARKA IR SĄLYGOS
9. Asmens duomenys KAVB renkami teisės aktų nustatyta tvarka juos gaunant tiesiogiai iš duomenų subjekto, oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų ar sutarčių bei teisės aktų pagrindu prisijungiant prie atskirus duomenis kaupiančių duomenų bazių, registrų ir informacinių sistemų.
10. Teisės aktų nustatytais atvejais ir tvarka KAVB tvarkomi asmens duomenys teikiami atitinkamoms institucijoms (Valstybinei mokesčių inspekcijai prie Finansų ministerijos, Valstybinei ligonių kasai prie Sveikatos apsaugos ministerijos, Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos, Viešųjų pirkimų tarnybai, bibliotekos informacinės sistemos LIBIS valdytojui Nacionalinei Xxxxxxx Xxxxxxx bibliotekai ir kitiems tretiesiems asmenims pagal prašymą (vienkartinio asmens duomenų rinkimo atveju) arba pagal asmens duomenų teikimo sutartį (daugkartinio asmens duomenų rinkimo atveju), vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu bei kitais Lietuvos Respublikos teisės aktais.
11. KAVB, laikydamasi Reglamento nuostatų, surinktus asmens duomenis gali tvarkyti archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų ir statistiniais tikslais.
12. KAVB tvarko asmens duomenis ne ilgiau, negu to reikalauja jų tvarkymo tikslai:
12.1. dokumentai, kuriuose yra asmens duomenų, nurodyti Bendrųjų dokumentų saugojimo terminų rodyklėje, patvirtintoje Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V- 100 „Dėl bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“ ir KAVB dokumentacijos plane, saugomi Lietuvos vyriausiojo archyvaro nustatyta tvarka ir terminais;
12.2. dokumentai, kuriuose yra asmens duomenų, ar duomenys, kaupiami informacinėse sistemose, programose ir kt., yra saugomi 3 mėnesius nuo dienos, kai yra atlikti visi veiksmai, kuriems atlikti buvo naudojami asmens duomenys, išskyrus atvejus, kai šie dokumentai reikalingi teisminiams ginčams spręsti arba ilgesnė asmens duomenų saugojimo trukmė nustatyta kituose teisės aktuose;
12.3. KAVB vartotojų asmens duomenys saugomi bibliotekų informacinių sistemų nuostatuose nustatytą asmens duomenų saugojimo bibliotekos informacinėje sistemoje terminą;
12.4. vaizdo konferencijų vaizdo ir (ar) garso įrašai saugomi iki laikmenos fizinio ar įrašo kokybinio susidėvėjimo;
12.5. vaizdo stebėjimo duomenys saugomi KAVB vaizdo stebėjimo įrangos naudojimo ir vaizdo duomenų tvarkymo tvarkos apraše nustatytą terminą;
12.6. vartotojų finansinių operacijų dokumentai saugomi tiek, kiek to reikalauja Lietuvos Respublikos teisės aktai;
12.7. vartotojų, kurie skolingi KAVB, duomenys saugomi iki pilno atsiskaitymo su KAVB.
13. Su KAVB įgaliotu duomenų tvarkytoju sudaromas Reglamento reikalavimus atitinkantis rašytinis susitarimas prie pagrindinės paslaugų teikimo sutarties arba asmens duomenų tvarkymo sąlygos aptariamos pačioje sutartyje. Ši nuostata netaikoma, kai duomenų tvarkytojo atliekamas asmens duomenų tvarkymas reglamentuojamas teisės aktu.
14. KAVB vykdomo vaizdo stebėjimo įrangos naudojimo ir vaizdo duomenų tvarkymo tvarką nustato KAVB direktoriaus įsakymu patvirtintas aprašas.
15. Stebėti asmens darbo vietą, KAVB tarnybines patalpas draudžiama, išskyrus atvejus, kai darbo vietoje vyksta vaizdo konferencija arba kai kiti būdai ar priemonės nėra pakankami ar tinkami tikslams pasiekti. Asmenys apie nuolat vykdomą jų darbo vietos vaizdo stebėjimą informuojami pasirašytinai. Informavimo forma (3 priedas) saugoma KAVB visą jų darbo laikotarpį.
16. Vaizdo įrašai gali būti peržiūrėti Naudojimosi biblioteka taisyklių pažeidimų, nelaimingų atsitikimų su vartotojais, paslaugų teikėjais ar darbuotojais, materialinių vertybių praradimo, sugadinimo ar sunaikinimo, konfliktų tarp vartotojų ir darbuotojų bei kitų incidentų atvejais. KAVB vedamas Vaizdo įrašų peržiūros žurnalas (4 priedas).
IV SKYRIUS
ASMENS DUOMENŲ TVARKYME DALYVAUJANČIŲ SUBJEKTŲ PAREIGOS
17. Šių Taisyklių 1 priede nurodytų duomenų valdytoja ir tvarkytoja yra KAVB, kuri užtikrina, kad asmens duomenys būtų tvarkomi laikantis Reglamente, Asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose nustatytų asmens duomenų tvarkymo reikalavimų. Šiose Taisyklėse nurodytus asmens duomenis teisės aktais nustatytais atvejais ir tvarka gali tvarkyti ir kiti subjektai.
18. KAVB, kaip duomenų valdytojos, pareigos:
18.1. nustatyti asmens duomenų tvarkymo tikslus ir priemones;
18.2. užtikrinti, kad asmens duomenys būtų tvarkomi laikantis Asmens duomenų teisinės apsaugos įstatymo 3 straipsnyje nustatytų asmens duomenų tvarkymo reikalavimų;
18.3. rengti ir priimti vidinius asmens duomenų apsaugos ir tvarkymo reikalavimus reglamentuojančius teisės aktus;
18.4. kontroliuoti, kaip KAVB įgalioti duomenų tvarkytojai vykdo Taisyklių 19 punkte nustatytas pareigas;
18.5. įgyvendinti tinkamas technines ir organizacines priemones asmens duomenų apsaugai užtikrinti;
18.6. organizuoti darbuotojų mokymus asmens duomenų teisinės apsaugos srityje;
18.7. ne rečiau kaip kartą per dvejus metus peržiūrėti Taisyklėse nustatytus reikalavimus ir, jei reikia, inicijuoti Taisyklių pakeitimus;
18.8. užtikrinti duomenų subjekto teisių įgyvendinimą ir vykdyti kitas teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytas asmens duomenų valdytojo pareigas.
19. KAVB, kaip duomenų tvarkytojos, ir (ar) KAVB įgaliotų duomenų tvarkytojų pareigos:
19.1. užtikrinti, kad asmens duomenis KAVB tvarkytų tik tie asmenys, kuriems tai būtina savo darbo funkcijoms atlikti, ir tik tokios apimties, kuri būtina numatytiems tikslams pasiekti;
19.2. vykdyti teisėtą asmens duomenų tvarkymą, duomenų subjektų teisių ir reikiamų techninių duomenų apsaugos priemonių įgyvendinimą KAVB valdomų ir (ar) tvarkomų informacinių sistemų priemonėmis;
19.3. taikyti technines priemones, užtikrinančias asmens duomenų saugojimą tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau nei to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;
19.4. atlikti poveikio tvarkant asmens duomenis vertinimo procedūrą.
20. Prieiga prie asmens duomenų gali būti suteikta tik tiems KAVB darbuotojams, kuriems asmens duomenys reikalingi darbo funkcijoms atlikti. Jei darbuotojas laikinai eina kito darbuotojo pareigas ar atlieka kito darbuotojo darbo funkciją, teisė tvarkyti asmens duomenis suteikiama pareigų arba funkcijos atlikimo laikotarpiui.
21. KAVB darbuotojų, tvarkančių asmens duomenis, pareigos:
21.1. laikytis pagrindinių asmens duomenų tvarkymo ir saugumo reikalavimų, įtvirtintų Reglamente, Asmens duomenų teisinės apsaugos įstatyme, šiose Taisyklėse ir kituose teisės aktuose;
21.2. saugoti asmens duomenų paslaptį visą darbo laiką ir pasibaigus darbo santykiams KAVB, jei šie asmens duomenys neskirti skelbti viešai. Darbuotojai pasirašo šių Taisyklių 5 priede nustatytos formos konfidencialumo pasižadėjimą, kuris saugomas jų asmens bylose visą darbo laiką ir pasibaigus darbo santykiams;
21.3. taikyti Taisyklėse nustatytas organizacines ir technines asmens duomenų saugumo priemones, saugoti dokumentus, duomenų rinkmenas bei duomenų bazėse, informacinėse sistemose saugomus asmens duomenis ir vengti perteklinių jų kopijų darymo;
21.4. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su asmens duomenimis asmenims, kurie nėra įgalioti tvarkyti asmens duomenų;
21.5. nedelsiant pranešti tiesioginiam vadovui ir duomenų apsaugos pareigūnui apie bet kokią įtartiną situaciją, galinčią kelti grėsmę KAVB tvarkomų asmens duomenų saugumui;
21.6. laikytis kitų šiose Taisyklėse ir asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.
22. KAVB padalinių vadovai koordinuoja ir kontroliuoja šių Taisyklių laikymąsi ir įgyvendinimą jų padaliniuose.
V SKYRIUS
DUOMENŲ APSAUGOS PAREIGŪNAS
23. KAVB direktoriaus įsakymu duomenų apsaugos pareigūnu gali būti paskirtas vienas iš esamų Bibliotekos darbuotojų, priimtas naujas darbuotojas arba sudaryta paslaugų teikimo sutartis su šias paslaugas teikiančiu fiziniu ar juridiniu asmeniu.
24. Skirdamas duomenų apsaugos pareigūną, KAVB direktorius privalo užtikrinti, kad darbuotojas:
24.1. turėtų asmens duomenų teisinės apsaugos praktinių ir ekspertinių žinių;
24.2. būtų tiesiogiai pavaldus KAVB direktoriui;
24.3. neturėtų kitų pareigų, neatliktų darbo funkcijų, kurios galėtų sukelti interesų konfliktą su jo atliekamomis duomenų apsaugos pareigūno funkcijomis.
25. KAVB direktorius, paskyręs arba sudaręs su duomenų apsaugos pareigūnu paslaugų teikimo sutartį, privalo užtikrinti, kad jo kontaktiniai duomenys būtų paskelbti KAVB interneto svetainėje ir pateikti Valstybinei duomenų apsaugos inspekcijai.
26. Duomenų apsaugos pareigūnas privalo:
26.1. informuoti KAVB direktorių ir asmens duomenis tvarkančius darbuotojus apie jų prievoles pagal Reglamentą ir kitus teisės aktus, reglamentuojančius asmens duomenų apsaugą, ir konsultuoti dėl konkrečių pareigų vykdymo;
26.2. stebėti, kaip laikomasi Reglamento, kitų teisės aktų, reglamentuojančių asmens duomenų teisinę apsaugą, šių Taisyklių ir kitų KAVB dokumentų, susijusių su asmens duomenų apsauga, reikalavimų;
26.3. konsultuoti KAVB dėl poveikio duomenų apsaugai vertinimo ir stebėti jo atlikimą pagal Reglamentą;
26.4. dalyvauti nagrinėjant klausimus, susijusius su asmens duomenų tvarkymu KAVB;
26.5. pranešti KAVB direktoriui apie bet kokius neatitikimus, pažeidimus asmens duomenų apsaugos srityje, kuriuos duomenų apsaugos pareigūnas nustato vykdydamas savo funkcijas;
26.6. bendradarbiauti su Valstybine duomenų apsaugos inspekcija ir atlikti kontaktinio asmens funkcijas Valstybinei duomenų apsaugos inspekcijai kreipiantis su asmens duomenų tvarkymu susijusiais klausimais, įskaitant Reglamento 36 straipsnyje nurodytas išankstines konsultacijas;
26.7. konsultuoti KAVB direktorių įvykus asmens duomenų saugumo pažeidimui ir vykdyti KAVB valdomų asmens duomenų saugumo pažeidimų apskaitą;
26.8. ne rečiau kaip kartą per dvejus metus organizuoti asmens duomenų tvarkymo rizikos vertinimą, parengti ataskaitą ir prireikus imtis priemonių rizikai pašalinti arba sumažinti;
26.9. raštu informuoti Valstybinę duomenų apsaugos inspekciją, jei nustatoma, kad asmens duomenys KAVB tvarkomi pažeidžiant teisės aktų, reglamentuojančių duomenų apsaugą, nuostatas, ar atsisakoma vykdyti tiesioginius nurodymus pašalinti šiuos pažeidimus.
VI SKYRIUS
DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO TVARKA
27. Duomenų subjektas turi šias teises:
27.1. teisę gauti informaciją apie duomenų tvarkymą:
27.1.1. informacija apie KAVB atliekamą asmens duomenų tvarkymą gali būti pateikiama:
27.1.1.1. KAVB interneto svetainėje xxx.xxx.xx;
27.1.1.2. informacinio pobūdžio lentelėse ir (ar) lipdukuose apie vaizdo stebėjimą Bibliotekos teritorijoje ir patalpose;
27.1.1.3. žodžiu ir (ar) raštu asmens duomenų gavimo metu.
27.2. teisę susipažinti su duomenimis:
27.2.1. KAVB, gavusi duomenų subjekto prašymą įgyvendinti šią teisę, turi pateikti:
27.2.1.1. informaciją, ar duomenų subjekto asmens duomenys tvarkomi ar ne;
27.2.1.2. informaciją, iš kokių šaltinių ir kokie asmens duomenys yra surinkti, kokiu tikslu jie tvarkomi, kiek laiko saugomi, kokiems duomenų gavėjams teikiami ar buvo teikti;
27.2.1.3. tvarkomų asmens duomenų kopiją;
27.3. teisę reikalauti ištaisyti duomenis:
27.3.1. siekiant įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, KAVB gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus;
27.3.2. jeigu duomenų subjekto asmens duomenys (ištaisyti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, KAVB šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus;
27.4. teisę reikalauti ištrinti asmens duomenis („teisė būti pamirštam“):
27.4.1. duomenų subjekto teisė įgyvendinama, jei:
27.4.1.1. asmens duomenys nebereikalingi tikslams, kuriems jie buvo renkami ir tvarkomi;
27.4.1.2. duomenų subjektas atšaukia savo sutikimą, kuriuo grindžiamas jo asmens duomenų tvarkymas, ir nėra kito teisinio pagrindo duomenis tvarkyti;
27.4.1.3. duomenų subjektas nesutinka su asmens duomenų tvarkymu ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis;
27.4.1.4. asmens duomenys buvo tvarkomi neteisėtai;
27.4.2. duomenų subjekto teisė gali būti neįgyvendinta, jei KAVB įpareigota tvarkyti asmens duomenis pagal teisės aktus siekiant atlikti užduotį, vykdomą viešojo intereso labui, ir jei asmens duomenys tvarkomi mokslinių ar istorinių tyrimų, statistiniais tikslais bei siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;
27.4.3. jeigu duomenų subjekto asmens duomenys (ištrinti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, KAVB šiuos duomenų gavėjus apie tai informuoja,
nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus;
27.5. teisę apriboti duomenų tvarkymą:
27.5.1. asmens duomenų tvarkymo ribojimas gali būti įgyvendinimas šiais būdais: atrinkti duomenys perkeliami į kitą tvarkymo sistemą ir padaromi neprieinamais naudotojams, laikinai išimami iš interneto svetainės, jei jie yra paskelbti. Automatiniuose susistemintuose rinkiniuose asmens duomenų tvarkymo ribojimas užtikrinamas techninėmis priemonėmis taip, kad asmens duomenys nebūtų toliau tvarkomi ir jų nebūtų galima pakeisti;
27.5.2. asmens duomenys, kurių tvarkymas apribotas, yra saugomi, o prieš tokio apribojimo panaikinimą duomenų subjektas yra informuojamas raštiškai;
27.5.3. jeigu duomenų subjekto asmens duomenys (kurių tvarkymas apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, KAVB šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus;
27.6. teisę nesutikti su duomenų tvarkymu:
27.6.1. įgyvendinama tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių atliekamas asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus;
27.6.2. jei tvarkyti asmens duomenis būtina, kad būtų įvykdyta KAVB taikoma teisinė prievolė, duomenų subjekto teisė negali būti įgyvendinama;
27.7. teisę į duomenų perkeliamumą:
27.7.1. įgyvendinama tik dėl tų asmens duomenų, kurie tvarkomi automatizuotomis priemonėmis, remiantis duomenų subjekto sutikimu arba sutartimi, kurios šalis yra duomenų subjektas;
27.7.2. duomenų subjektas teisės į duomenų perkeliamumą neturi tų asmens duomenų atžvilgiu, kurie tvarkomi neautomatiniu būdu susistemintose rinkmenose, pavyzdžiui, popierinėse bylose;
27.7.3. duomenų subjekto asmens duomenys kitam duomenų valdytojui gali būti persiųsti, jei yra techninės galimybės pateikti asmens duomenis tiesiogiai kitam duomenų valdytojui ir užtikrinamas saugus elektroninių duomenų ir informacijos perdavimas;
27.7.4. jeigu duomenų subjekto prašymas dėl asmens duomenų perkeliamumo patenkinamas, KAVB nevertina, ar duomenų valdytojas, kuriam bus persiųsti duomenų subjekto asmens duomenys, turi teisinį pagrindą gauti duomenų subjekto asmens duomenis ir ar šis duomenų valdytojas užtikrins tinkamas asmens duomenų saugumo priemones. KAVB neprisiima atsakomybės už persiųstų asmens duomenų tolimesnį tvarkymą, kurį atliks kitas duomenų valdytojas;
27.7.5. pagal duomenų subjekto prašymą perkelti jo duomenys nėra automatiškai ištrinami. Jeigu duomenų subjektas to pageidauja, turi kreiptis į KAVB, kaip duomenų valdytoją, dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) įgyvendinimo.
28. Duomenų subjektas, siekdamas įgyvendinti šių taisyklių 27 punkte nurodytas teises (išskyrus teisę, nurodytą 27.1 papunktyje), privalo asmeniškai, paštu, per pasiuntinį ar elektroninėmis priemonėmis pateikti rašytinį prašymą, kurio pavyzdinė forma nustatyta šių Taisyklių 6 priede.
29. Rašytinis prašymas teikiamas valstybine kalba, turi būti aiškus ir suprantamas, parašytas įskaitomai, duomenų subjekto pasirašytas. Jame turi būti nurodytas duomenų subjekto vardas, pavardė, gyvenamoji vieta, duomenys ryšiui palaikyti, informacija apie tai, kurią iš šių Taisyklių 27.2–27.7 papunkčiuose nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti, bei informacija, kokiu būdu duomenų subjektas pageidauja gauti atsakymą. Nevalstybine kalba pateikti duomenų subjektų prašymai gali būti priimami ir nagrinėjami tik išimtiniais atvejais KAVB direktoriaus ar jo įgalioto asmens sprendimu.
30. Duomenų subjektas, pateikdamas prašymą, privalo patvirtinti savo tapatybę:
30.1. jei prašymas pateikiamas tiesiogiai KAVB darbuotojui, pateikti asmens tapatybę patvirtinantį dokumentą;
30.2. jei prašymas pateikiamas paštu arba per pasiuntinį, kartu su prašymu pateikti notaro patvirtintą asmens tapatybę patvirtinančio dokumento kopiją;
30.3. jei prašymas pateikiamas elektroninėmis priemonėmis, prašymą pasirašyti kvalifikuotu elektroniniu parašu arba suformuoti elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą.
31. Duomenų subjektas šių taisyklių 27 punkte nurodytas savo teises gali įgyvendinti pats arba per notariškai įgaliotą atstovą. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiasi duomenų subjekto atstovas, jis prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, duomenis ryšiui palaikyti, taip pat atstovaujamo asmens vardą, pavardę, gyvenamąją vietą, informaciją apie tai, kokią iš šių Taisyklių 27.2–27.7 papunkčiuose nurodytų teisių ir kokia apimtimi pageidaujama įgyvendinti, bei informaciją, kokiu būdu pageidauja gauti atsakymą, ir pridėti atstovavimą patvirtinantį dokumentą ar teisės aktų nustatyta tvarka patvirtintą jo kopiją.
32. Duomenų subjekto prašymas, pateiktas nesilaikant Taisyklių 29–30 punktuose nustatytų reikalavimų, nenagrinėjamas. Duomenų subjektas apie tai informuojamas nurodant priežastis ne vėliau kaip per 5 darbo dienas nuo prašymo gavimo.
33. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis į KAVB direktoriaus įsakymu paskirtą duomenų apsaugos pareigūną, kurio kontaktiniai duomenys skelbiami viešai KAVB internetinėje svetainėje xxx.xxx.xx.
34. Ne vėliau kaip per vieną mėnesį nuo duomenų subjekto prašymo gavimo duomenų subjektui pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Šis vieno mėnesio terminas gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į gautų prašymų sudėtingumą ir jų skaičių. Tokiu atveju per vieną mėnesį nuo prašymo gavimo dienos duomenų subjektas informuojamas apie tokį pratęsimą, nurodant vėlavimo priežastis.
35. Jeigu prašymo nagrinėjimo metu nustatoma, kad duomenų subjekto teisės yra apribotos Reglamento 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.
36. Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai, išskyrus atvejus, kai gaunami akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, duomenų subjekto prašymai.
37. Jei duomenų subjekto teisių įgyvendinimo nereglamentuoja Taisyklės ir Taisyklių 2 punkte nurodyti teisės aktai, taikomos Prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklės, patvirtintos Lietuvos Respublikos Vyriausybės 2007 m. rugpjūčio 22 d. nutarimu Nr. 875 „Dėl prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklių patvirtinimo“.
38. KAVB veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai (el. paštas xxx@xxx.xx, interneto svetainė xxx.xxx.xx), taip pat teismui.
VII SKYRIUS
ASMENS DUOMENŲ SAUGUMO PRIEMONĖS
39. Dokumentai, kuriuose yra asmens duomenų, jų kopijos ir bylos negali būti laikomi visiems prieinamoje matomoje vietoje. Jie saugomi KAVB padaliniuose, kaip nurodyta KAVB dokumentacijos plane, rakinamose patalpose esančiose rakinamose spintose, seifuose.
40. Dokumentai, kuriuose nurodomi asmens duomenys ir kurių saugojimo terminas yra pasibaigęs, ir jų kopijos turi būti sunaikinami taip, kad šių dokumentų negalima būtų atkurti ir atpažinti jų turinio. Automatiniu būdu surinkti duomenys sunaikinami ištrinant nebereikalingas asmens duomenų bylas iš saugojimo laikmenos taip, kad jų nebūtų galima atgaminti.
41. Keičiantis asmens duomenis tvarkantiems darbuotojams, dokumentai, kuriuose yra asmens duomenys, ar jų kopijos perduodami naujai priimtiems ir asmens duomenis tvarkyti paskirtiems darbuotojams perdavimo-priėmimo aktu.
42. KAVB darbuotojai, kurių kompiuteriuose saugomi asmens duomenys, arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis ar informacines sistemas, kuriose yra saugomi asmens duomenys, savo kompiuteriuose privalo naudoti slaptažodžius. Slaptažodžiai turi būti keičiami periodiškai, ne rečiau kaip kartą per 6 mėnesius, taip pat susidarius tam tikroms aplinkybėms (pavyzdžiui, pasikeitus darbuotojui, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims ir pan.). Šiuose kompiuteriuose rekomenduojama naudoti ekrano užsklandą su slaptažodžiu.
43. KAVB darbuotojai, atsakingi už asmens duomenų tvarkymą, organizuodami savo darbą privalo užtikrinti, kad nebūtų sudaryta jokių sąlygų kitiems darbuotojams ar tretiesiems asmenims sužinoti duomenų subjektų asmens duomenis. Pavyzdžiui, nepalikti be priežiūros dokumentų su tvarkomais asmens duomenimis, laikmenų ar kompiuterio, kuriuo naudojantis būtų galima atidaryti rinkmenas su asmens duomenimis, ir laikyti juos taip, kad juose esančios informacijos negalėtų perskaityti darbuotojai, neturintys teisės dirbti su asmens duomenimis, ar atsitiktiniai asmenys; dokumentus, perduodamus kitiems darbuotojams, padaliniams, įstaigoms per paštą, kurjerį ar kitus asmenis, pateikti užklijuotame nepermatome voke ir pan.
44. KAVB informacinėse sistemose tvarkomų vartotojų asmens duomenų saugumas užtikrinamas vadovaujantis bibliotekų informacinių sistemų nuostatų reikalavimais ir saugos politikos įgyvendinamaisiais dokumentais: saugos nuostatais, saugaus elektroninės informacijos tvarkymo taisyklėmis, informacinės sistemos veiklos tęstinumo valdymo planu, informacinės sistemos naudotojų administravimo taisyklėmis. Už šių dokumentų parengimą ir patvirtinimą atsako įstaiga ar institucija, kuri teisės aktų nustatyta tvarka atlieka informacinės sistemos valdytojo funkciją.
45. KAVB gali taikyti ir kitas asmens duomenų apsaugos organizacines ir technines priemones.
VIII SKYRIUS
PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ TVARKA
46. KAVB darbuotojai ar KAVB įgalioti duomenų tvarkytojai, pastebėję asmens duomenų saugumo pažeidimą, ne vėliau kaip per 2 darbo valandas nuo pažeidimo pastebėjimo informuoja padalinio vadovą ir KAVB direktorių ar jo įgaliotą atsakingą asmenį (duomenų apsaugos pareigūną).
47. KAVB direktorius ar jo įgaliotas atsakingas asmuo, sužinojęs apie galimą asmens duomenų saugumo pažeidimą, organizuoja pažeidimo tyrimą, kurio metu nustatomas pažeidimo pobūdis, tipas (asmens duomenų konfidencialumo, vientisumo ir (ar) prieinamumo pažeidimas), aplinkybės, apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius, asmens duomenų, kurių saugumas pažeistas, kategorijos (asmens tapatybę patvirtinantys asmens duomenys, prisijungimo duomenys ir kt.) ir apimtis, tikėtinos asmens duomenų saugumo pažeidimo pasekmės, pavojus fizinių asmenų teisėms ir laisvėms, priemonės pažeidimui pašalinti ir (ar) neigiamoms pažeidimo pasekmėms sumažinti.
48. KAVB direktorius ar jo įgaliotas atsakingas asmuo užtikrina, kad ne vėliau kaip per 72 valandas nuo pranešimo apie asmens duomenų saugumo pažeidimą būtų pranešta Valstybinei duomenų apsaugos inspekcijai, nebent asmens duomenų saugumo pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms. Jeigu Valstybinei duomenų apsaugos inspekcijai nepranešama per 72 valandas, pranešime nurodomos vėlavimo priežastys. Pranešimas apie asmens duomenų saugumo pažeidimą teikiamas Valstybinės duomenų apsaugos inspekcijos nustatyta tvarka.
49. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, KAVB direktorius ar jo įgaliotas atsakingas asmuo užtikrina, kad apie asmens duomenų saugumo pažeidimą nedelsiant būtų pranešta duomenų subjektui: duomenų subjektui aiškia ir paprasta kalba aprašomas duomenų saugumo pažeidimo pobūdis, nurodomas duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas, pavardė, telefono numeris, elektroninio pašto adresas, aprašomos tikėtinos asmens duomenų saugumo pažeidimo pasekmės ir priemonės, kurių buvo imtasi arba pasiūlyta imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas, taip pat priemonės galimoms neigiamoms jo pasekmėms sumažinti
bei pagal galimybes atitinkamam fiziniam asmeniui skirtos rekomendacijos, kaip sumažinti galimą neigiamą poveikį (pavyzdžiui, pasikeisti prisijungimo slaptažodžius neteisėtos prieigos prie asmens duomenų atveju ir kt.).
50. Esant pažeidimui, pranešimo duomenų subjektams teikti nereikia, jeigu:
50.1. KAVB įgyvendino tinkamas technines ir organizacines apsaugos priemones ir jos taikytos asmens duomenims, kuriems pažeidimas turėjo poveikio;
50.2. iš karto po asmens duomenų saugumo pažeidimo KAVB ėmėsi priemonių, kuriomis užtikrino, kad nebegalėtų kilti didelis pavojus duomenų subjektų teisėms ir laisvėms;
50.3. reikalingos neproporcingai didelės pastangos susisiekti su asmenimis (pvz., dėl pažeidimo prarasti jų kontaktiniai duomenys arba jie nežinomi). Tokiu atveju apie asmens duomenų saugumo pažeidimą paskelbiama viešai arba taikomos kitos informavimo priemonės.
51. KAVB direktorius ar jo įgaliotas atsakingas asmuo užtikrina, kad būtų fiksuojami visi asmens duomenų saugumo pažeidimų atvejai ir kaupiama informacija apie tokių pažeidimų priežastis, jų poveikį ir pasekmes, priemones, kurių buvo imtasi, sprendimų dėl pranešimo (nepranešimo) Valstybinei duomenų apsaugos inspekcijai ir (ar) duomenų subjektui motyvus, vėlavimo pateikti pranešimą priežastis bei kitokio pobūdžio informaciją, kuri leistų patikrinti, kaip buvo laikomasi šio Taisyklių skyriaus nuostatų. Šiame punkte nurodyta informacija įrašoma Asmens duomenų saugumo pažeidimų registravimo žurnale, kurio pavyzdinė forma nustatyta Taisyklių 7 priede.
IX SKYRIUS
POVEIKIO ASMENS DUOMENŲ APSAUGAI VERTINIMO PROCEDŪRA
52. Poveikio asmens duomenų apsaugai vertinimo procedūra (toliau – Procedūra) atliekama vadovaujantis Reglamentu ir Europos Parlamento ir Tarybos direktyvos 95/46/EB 29 straipsnio duomenų apsaugos darbo grupės 2017 m. balandžio 4 d. Poveikio duomenų apsaugai vertinimo gairėmis, kuriomis Reglamento 2016/679 taikymo tikslais nurodoma, kaip nustatyti, ar duomenų tvarkymo operacijos gali sukelti didelį pavojų fizinių asmenų teisėms ir laisvėms.
53. Procedūra atliekama, kai:
53.1. planuojama rinkti arba kitaip tvarkyti naujus asmens duomenis;
53.2. keičiasi KAVB jau tvarkomų asmens duomenų tvarkymo procesas (būdas, tikslas ir pan.) arba asmens duomenų tvarkymo aplinka (atsiranda naujas procesas, nauja informacinių technologijų sistema arba keičiamas esamas procesas).
54. Procedūrai atlikti KAVB direktoriaus įsakymu sudaroma darbo grupė. Į jos sudėtį gali būti įtrauktas ir duomenų apsaugos pareigūnas.
55. Procedūros metu pildoma Valstybinės duomenų apsaugos inspekcijos patvirtintos formos Poveikio duomenų apsaugai vertinimo ataskaita (toliau – Ataskaita). Joje nurodomos visos suinteresuotų asmenų ir KAVB darbuotojų teiktos nuomonės, konsultacijos ir kiti pastebėjimai. Ataskaitą pildo darbo grupės pirmininkas arba įsakymu, kuriuo tvirtinama darbo grupės sudėtis, paskirtas darbuotojas.
56. Procedūra atliekama šiais etapais:
56.1. I etapas – poreikio atlikti Procedūrą pirminis vertinimas:
56.1.1. prieš atliekant duomenų tvarkymo operacijas KAVB vadovaujasi Valstybinės duomenų apsaugos inspekcijos patvirtintu sąrašu, kuriame numatytos asmens duomenų tvarkymo operacijos, kurioms taikomas arba netaikomas reikalavimas atlikti Procedūrą;
56.1.2. jeigu asmens duomenų tvarkymo operacija patenka į operacijų sąrašą, kurioms taikomas reikalavimas atlikti Procedūrą, tai darbo grupė tęsia Procedūrą ir apie tai pažymi Ataskaitos
1.1 papunktyje. Jei asmens duomenų tvarkymo operacija į sąrašą nepatenka, tai Procedūra baigiama ir apie tai pažymima Ataskaitos 1.2 papunktyje;
56.1.3. jeigu asmens duomenų tvarkymo operacija nepatenka nei į vieną 56.1.1. papunktyje nurodytą sąrašą, tai atsakoma į Ataskaitos 1.3 papunktyje pateiktus pirminius klausimus, kurių tikslas yra nustatyti Procedūros poreikį. Jei atsakymai į klausimus rodo, kad duomenų tvarkymo operacija
tikėtinai gali kelti didelę riziką fizinių asmenų teisėms ir laisvėms, Procedūra turi būti atliekama. Sprendžiant, ar duomenų tvarkymo operacija gali kelti didelę riziką fizinių asmenų teisėms ir laisvėms, vadovaujamasi kriterijais, nurodytais Ataskaitos 2 punkte. Atsakius į pirminius klausimus ir atsižvelgiant į kriterijus, nurodytus Ataskaitos 2 punkte, Procedūra gali būti atliekama / neatliekama, o vertinimo procesas tęsiamas / baigiamas (tai pažymima Ataskaitos 2.10 papunktyje).
56.2. II etapas – atitikties asmens duomenų apsaugai įvertinimas, kurio metu darbo grupė nustato ir išanalizuoja asmens duomenų tvarkymo operacijas, atsakydama į Ataskaitos 3 punkte nurodytus klausimus. Prireikus gali būti atsiklausiama duomenų subjektų ar jų atstovų nuomonės apie numatytą duomenų tvarkymą, nepažeidžiant viešųjų interesų apsaugos ir duomenų tvarkymo operacijų saugumo reikalavimų, pvz., atliekant bendro pobūdžio tyrimą, susijusį su asmens duomenų tvarkymo operacijos tikslu ir priemonėmis. Poreikis atsiklausti duomenų subjektų nuomonės nurodomas Ataskaitos 4 punkte.
57. Kai iš Procedūros paaiškėja, kad duomenų tvarkymo operacijos kelia didelį pavojų duomenų subjektų teisėms ir laisvėms, o KAVB negali jo sumažinti tinkamomis rizikos valdymo priemonėmis (turimomis technologijomis ir įgyvendinimo sąnaudomis), prieš pradedant asmens duomenų tvarkymą turi būti iš anksto konsultuojamasi su Valstybine duomenų apsaugos inspekcija pagal jos nustatytą tvarką.
58. Užpildytą Procedūros ataskaitą pasirašo KAVB direktorius ar jo įgaliotas atsakingas
asmuo.
59. KAVB atlieka priežiūrą ir stebėjimą, siekdama įvertinti, ar duomenys yra tvarkomi
laikantis Procedūros, ypač tais atvejais, kai kinta tvarkymo operacijos ir jų keliamas pavojus.
X SKYRIUS BAIGIAMOSIOS NUOSTATOS
60. Patvirtinus ar pakeitus Taisykles, KAVB darbuotojai bei praktiką atliekantys ir (ar) savanoriaujantys asmenys, tvarkantys asmens duomenis, ir sutartiniais pagrindais ar teisės aktų nustatyta tvarka KAVB paslaugas teikiantys fiziniai ir (ar) juridiniai asmenys (saugos, informacinių sistemų priežiūros paslaugų teikėjai ir pan.), kurie atlieka asmens duomenų tvarkymo veiksmus (KAVB įgalioti duomenų tvarkytojai), su jomis supažindinami pasirašytinai. Priėmus naują darbuotoją, jis su Taisyklėmis privalo būti supažindintas pirmąją jo darbo dieną. Už darbuotojų supažindinimą atsakingas KAVB direktoriaus įsakymu, kuriuo tvirtinamos Taisyklės, paskirtas KAVB darbuotojas (-ai).
61. Kiti KAVB darbuotojai, kurie netvarko asmens duomenų, su intranete paskelbtomis Taisyklėmis privalo susipažinti savarankiškai.
62. Darbuotojams, pažeidusiems Reglamente, Asmens duomenų teisinės apsaugos įstatyme, šiose Taisyklėse ir kituose KAVB teisės aktuose nustatytus asmens duomenų tvarkymo ir apsaugos reikalavimus, taikoma KAVB darbo tvarkos taisyklėse ir kituose teisės aktuose nustatyta atsakomybė.
63. Taisyklėse įtvirtintos nuostatos gali būti papildomos ir išsamiau reglamentuojamos kituose KAVB veiklą reglamentuojančiuose vidaus dokumentuose. Visais atvejais turi būti vadovaujamasi Taisyklėmis.
64. Taisyklės skelbiamos KAVB interneto svetainėje xxx.xxx.xx ir intranete.
Informavimo ir konsultavimo procedūra su Darbo taryba įvykdyta:
Darbo tarybos pirmininkas Xxxxxxx Xxxxxxx