VISAGINO VIEŠOSIOS BIBLIOTEKOS ASMENS DUOMENŲ TVARKYMO TAISYKLĖS
PATVIRTINTA
Xxxxxxxx xxxxxxxxx bibliotekos direktoriaus 2021-10-04
įsakymu (1.9.) Nr. V-22
VISAGINO VIEŠOSIOS BIBLIOTEKOS ASMENS DUOMENŲ TVARKYMO TAISYKLĖS
1 SKYRIUS BENDROSIOS NUOSTATOS
1. Visagino viešosios bibliotekos (toliau — Biblioteka) asmens duomenų tvarkymo taisyklės (toliau — Taisyklės) reglamentuoja fizinių asmenų (toliau — Duomenų subjektas) duomenų tvarkymo tikslus, principus Bibliotekoje, nustato Duomenų subjekto teisių įgyvendinimo tvarką, įtvirtina organizacines ir technines duomenų apsaugos priemones.
2. Asmens duomenys Bibliotekoje tvarkomi vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendruoju duomenų apsaugos reglamentu) (toliau − Reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau — ADTAĮ) ir kitais asmens duomenų apsaugą reglamentuojančiais teisės aktais.
3. Šios Taisyklės taikomos tvarkant Duomenų subjekto duomenis automatiniu būdu, taip pat ir neautomatiniu būdu tvarkant asmens duomenų susistemintas rinkmenas: Skaitytojo registracijos kortelė ir kita. Šios Taisyklės taip pat nustato Bibliotekos darbuotojų teises, pareigas ir atsakomybę tvarkant asmens duomenis.
4. Taisyklių privalo laikytis visi Bibliotekoje dirbantys bei praktiką joje atliekantys ir (ar) savanoriaujantys asmenys sužino (toliau – Bibliotekos darbuotojai), kurie tvarko asmens duomenis arba eidami savo pareigas juos, ir sutartiniais pagrindais ar teisės aktų nustatyta tvarka Bibliotekai paslaugas teikiantys fiziniai ir (ar) juridiniai asmenys (saugos, informacinių sistemų priežiūros paslaugų teikėjai ir pan.), kurie atlieka asmens duomenų tvarkymo veiksmus (toliau – Bibliotekos įgalioti duomenų tvarkytojai). Bibliotekos darbuotojai turi būti pasirašytinai su jomis supažindinti bei atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo laikytis pagrindinių asmens duomenų tvarkymo principų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų Reglamente, ADTAĮ ir šiose Taisyklėse.
5. Asmens duomenys yra tvarkomi automatiniu ir neautomatiniu būdu pagal Reglamento 6 straipsnio 1 dalyje nustatytas sąlygas. Bibliotekos tvarkomų asmens duomenų tvarkymo tikslai, jų apimtis ir duomenų subjektai nurodyti šių Taisyklių III skyriuje.
6. Taisyklėse vartojamos sąvokos atitinka Reglamente ir ADTAĮ vartojamas sąvokas.
II SKYRIUS
PAGRINDINĖS SĄVOKOS
7. Taisyklėse vartojamos sąvokos:
7.1. asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima tiesiogiai arba netiesiogiai nustatyti visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens kodą, buvimo vietos duomenis ir interneto
identifikatorių, arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;
7.2. darbuotojai – Bibliotekos darbuotojai, dirbantys pagal darbo sutartis;
7.3. duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne;
7.4. duomenų subjektas – darbuotojai, klientai ir kiti fiziniai asmenys, kurių duomenis tvarko Biblioteka;
7.5. duomenų teikimas – asmens duomenų atskleidimas perduodant ar kitu būdu padarant juos prieinamus (išskyrus paskelbimą visuomenės informavimo priemonėse);
7.6. duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;
7.7. duomenų tvarkytojas – subjektai, kurie tvarko Bibliotekos valdomus asmens duomenis pagal Bibliotekos nurodymus ir vadovaujasi sudarytomis paslaugų sutartimis, bei kiti subjektai, turintys prieigą prie Bibliotekos duomenų;
7.8. duomenų valdytojas – Xxxxxxxx xxxxxxx biblioteka, juridinio asmens kodas 300141349, buveinė Taikos pr. 52, Visaginas, kuri tvarkydama klientų, darbuotojų, kitų fizinių asmenų duomenis nustato tų duomenų naudojimo būdus, priemones ir tikslus;
7.9. LIBIS – Lietuvos integrali bibliotekų informacinė sistema;
7.10. LIBIS valdytojas – Lietuvos nacionalinė Xxxxxxx Xxxxxxx biblioteka (Gedimino pr. 51, LT-01504, Vilnius);
7.11. vidaus administravimas – veikla, kuria užtikrinamas duomenų valdytojo savarankiškas funkcionavimas (struktūros tvarkymas, dokumentų, personalo, turimų materialinių ir finansinių išteklių valdymas), kad duomenų valdytojas galėtų atlikti viešąjį administravimą;
7.12. Neregistruotas vartotojas – vartotojas, kuris lankosi bibliotekoje ir naudojasi bibliotekos paslaugomis, kurioms nebūtinas jo tapatybės patvirtinimas (identifikavimas), pavyzdžiui, naudojimasis bibliotekos skaityklomis, dalyvavimas viešuose renginiuose, ekskursijose ir pan.;
7.13. Registruotas vartotojas – vartotojas, kuris yra registruotas Bibliotekos informacinėje sistemoje ir turi jam išduotą vartotojo pažymėjimą, suteikiantį teisę rezervuoti ir gauti panaudai į namus Bibliotekos dokumentus, pratęsti jų panaudos terminą, nuotoliniu būdu naudotis prenumeruojamomis duomenų bazėmis, kurias licencijuoja Biblioteka (jei licencija tai leidžia), ir naudotis kitomis Bibliotekos paslaugomis, kurioms būtinas vartotojo tapatybės patvirtinimas;
7.14. Vartotojo pažymėjimas – registruotojo vartotojo identifikavimo dokumentas, suteikiantis teisę naudotis Bibliotekos paslaugomis, kurioms būtinas vartotojo tapatybės patvirtinimas (identifikavimas).
8. Kitos Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos BDAR.
III SKYRIUS
ASMENS DUOMENŲ TVARKYMO TIKSLAI
9. Asmens duomenų valdytojas ir tvarkytojas — Visagino viešoji biblioteka (juridinio asmens kodas: 300141349, adresas Taikos pr. 52, LT-31203, Visaginas). Lietuvos integralioje bibliotekų informacijos sistemoje (toliau – LIBIS) asmens duomenų LIBIS valdytojas — Lietuvos
nacionalinė Xxxxxxx Xxxxxxx biblioteka (juridinio asmens kodas; 290757560, Gedimino pr. 51, LT- 01504, Vilnius), o tvarkytojas – Biblioteka.
10. Asmens duomenys Bibliotekoje tvarkomi šiais tikslais:
10.1. asmenų prašymų, skundų nagrinėjimo tikslais tvarko šiuos asmens duomenis: vardas (vardai), pavardė (pavardės), gimimo data arba asmens kodas (kai tai numatyta teisės aktuose), adresas, telefono numeris, elektroninio pašto adresas, parašas;
10.2. Bibliotekos registruotų Lietuvos integralioje bibliotekų informacijos sistemoje (toliau – LIBIS) ir neregistruotų skaitytojų identifikavimo, kai pažeidžiamos Bibliotekos paslaugų naudojimosi taisyklės, tikslu tvarkomi šie asmens duomenys: vardas (vardai), pavardė (pavardės), gimimo data, skaitytojo pažymėjimo numeris, parašas;
10.3. susisiekimui su registruotu LIBIS ir neregistruotu Bibliotekos paslaugų vartotoju vykdant paslaugų teikimą, informuojant apie įsipareigojimų Bibliotekai neįvykdymą tvarkomi šie duomenys: vardas (vardai), pavardė (pavardės), skaitytojo pažymėjimo numeris, telefono numeris, elektroninio pašto adresas;
10.4. vieningo visuose LIBIS tinklo bibliotekose skaitytojo pažymėjimo tikslu tvarkomi šie asmens duomenys: vardas (vardai), pavardė (pavardės), gimimo data, asmens kodas, skaitytojo pažymėjimo numeris;
10.5. tėvo (globėjo) sutikimo, kad jų vaikai (globotiniai) iki 16 metų galėtų naudotis Bibliotekos paslaugomis, tikslu tvarkomi šie tėvų (globėjų) duomenys: vardas, pavardė, telefono numeris, elektroninio pašto adresas, parašas;
10.6. Bibliotekos bendrosios statistikos tikslais tvarkomi šie duomenys: bibliotekoje registruoto skaitytojo skaitymo istorija, gyvenamasis miestas, mokymosi įstaiga (jei asmuo yra moksleivis ar studentas), lytis, skaitytojų kategorija;
10.7. konferencijų, parodų ir kitų renginių organizavimo tikslu: vardas (vardai), pavardė (pavardės), elektroninis pašto adresas, telefono numeris;
10.8. paramos, dovanojimo dokumentų (sutarčių, aktų) sudarymui su fiziniais asmenimis: vardas (vardai), pavardė (pavardės), asmens kodas, adresas, elektroninis pašto adresas, telefono numeris;
10.9. tiesioginės rinkodaros vykdymo tikslais: vardas (vardai), pavardė (pavardės), elektroninis adresas, telefono numeris;
10.10. susisiekimo su potencialiais respondentais dėl Bibliotekos organizuojamų ir vykdomu tyrimų, apklausų tikslu: elektroninis pašto adresas, lytis, gimimo data;
10.11. darbuotojų dirbančių pagal darbo sutartis mokymo, kvalifikacijos kėlimo tikslu tvarkomi šie duomenys: vardas (vardai), pavardė (pavardės), asmens kodas, darbovietės adresas, telefono numeris, elektroninio pašto adresas, gyvenamosios vietos adresas, atsiskaitomoji sąskaita;
10.12. vidaus administravimo (personalo valdymo, dokumentų valdymo, materialinių ir finansinių išteklių naudojimo, tinkamos komunikacijos su darbuotojais) tikslais tvarkomi šie duomenys: vardas (vardai), pavardė (pavardės), asmens kodas, gimimo data, asmens socialinio draudimo numeris, adresas, atsiskaitomosios sąskaitos numeris, telefono numeris, elektroninio pašto adresas, gyvenimo ir veiklos aprašymas, šeiminė padėtis, pareigos; duomenys apie priėmimą (perkėlimą) į pareigas, atleidimą iš pareigų; duomenys apie išsilavinimą ir kvalifikaciją; duomenys apie atostogas; duomenys apie atskirų darbo grafikų; duomenys apie darbo užmokestį, išeitines išmokas, kompensacijas, informacija apie dirbtą darbo laiką; informacija apie skatinimus ir nuobaudas, tarnybinius, darbo pareigų pažeidimus; duomenys apie darbuotojų veiklos vertinimą; kiti asmens duomenys, kuriuos pateikia pats asmuo;
10.13. pretendentų į Bibliotekos darbuotojus asmens duomenys (vardas, pavardė, asmens kodas, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, pareigos, į kurias pretenduojama, gyvenimo ir veiklos aprašymas, parašas, duomenys apie išsilavinimą ir kvalifikaciją, specialios kategorijos asmens duomenys, susiję su teistumu, dalyvavimu uždraustos organizacijos veikloje, pokalbio su pretendentu į pareigas skaitmeninis garso įrašas, dokumentų registracijos data ir numeris, kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti Biblioteką įpareigoja įstatymai ir kiti teisės aktai), tvarkomi vidaus administravimo vidaus administravimo (dokumentų, personalo valdymo) tikslu;
10.14. viešųjų pirkimų procedūrų organizavimo ir vykdymo tikslais gali būti tvarkomi tiekėjų (fizinių asmenų) asmens duomenys: vardas (vardai), pavardė (pavardės), asmens kodas, išsilavinimas, darbovietė, pareigos, adresas, telefono ryšio numeris, elektroninio pašto adresas, kiti asmens duomenys, kuriuos pateikia pats duomenų subjektas, kuriuos Biblioteka gauna pagal teisės aktus vykdydama atitinkamą vidaus administravimo veiklą ir (arba) kuriuos tvarkyti Biblioteką įpareigoja įstatymai ir (arba) kiti teisės aktai;
10.15. prekių, darbų, paslaugų sutarčių su tiekėjais vykdymo tikslu gali būti tvarkomi tiekėjų (fizinių asmenų) asmens duomenys: vardas (vardai), pavardė (pavardės), asmens kodas, adresas, telefono ryšio numeris, elektroninio pašto adresas, banko sąskaitos numeris, kiti asmens duomenys, kuriuos pateikia pats asmuo, kuriuos Biblioteka gauna pagal teisės aktus vykdydama atitinkamą vidaus administravimo veiklą ir (arba) kuriuos tvarkyti Biblioteką įpareigoja įstatymai ir (arba) kiti teisės aktai;
10.16. fizinių asmenų, su Biblioteka sudariusių prekių, paslaugų, darbų viešojo pirkimo, privalomosios ir savanoriškos praktikos ar kitas sutartis, o juridinių asmenų – jų darbuotojų, nurodytų sutartyse, sutarčių vykdymo tikslais tvarko šiuos asmens duomenis: vardas (vardai), pavardė (pavardės), asmens kodas, elektroninio pašto adresas, atsiskaitomosios sąskaitos numeris;
10.17. kompiuterių tinklų, elektroninio pašto vartotojų administravimo, informacinių sistemų ir kompiuterizuotų darbo vietų diegimo ir priežiūros tikslais tvarko asmens duomenis: asmens vardas ir pavardė, elektroninio pašto adresas, telefono numeris, pareigos;
10.18. užtikrindami tvarką, asmenų ir Bibliotekos turto apsaugą, išaiškindami administracinius nusižengimus tvarko asmens duomenis vaizdo stebėjimo;
10.19. darbų saugos instruktavimo tikslais, tirdamas administracijoje įvykusius nelaimingus atsitikimus tvarko asmens duomenis: vardas (vardai), pavardė (pavardės), asmens kodas, pareigos.
IV SKYRIUS
ASMENS DUOMENŲ TVARKYMO PRINCIPAI IR ATITIKTIES UŽTIKRINIMO PRIEMONĖS
11. Bibliotekos darbuotojai ir Bibliotekos įgalioti duomenų tvarkytojai bei jų darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo laikytis ir užtikrinti, kad būtų laikomasi šių pagrindinių principų:
11.1. teisėtumo, sąžiningumo ir skaidrumo – asmens duomenys tvarkomi tik tuo atveju, jei apie tai informuotas duomenų subjektas ir tam yra teisinis pagrindas;
11.2. tikslo apribojimo – asmens duomenys renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir netvarkomi su šiais tikslais nesuderinamu būdu;
11.3. duomenų kiekio mažinimo – tvarkomi asmens duomenys yra adekvatūs, tinkami ir tik tokios apimties, kuri būtina siekiant tikslų, dėl kurių jie tvarkomi;
11.4. tikslumo – asmens duomenys turi būti tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs asmens duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas;
11.5. saugojimo trukmės apribojimo – asmens duomenys saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tais tikslais, kuriais asmens duomenys buvo surinkti ir tvarkomi;
11.6. konfidencialumo – asmens duomenys tvarkomi tokiu būdu, kad taikant atitinkamas technines ir organizacines priemones būtų užtikrintas jų saugumas, įskaitant apsaugą nuo asmens duomenų tvarkymo be leidimo arba neteisėto asmens duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;
11.7. atskaitomybės – Biblioteka atsako už tai, kad būtų laikomasi Taisyklių 11.1–11.6 papunkčiuose nurodytų principų, ir turi visas reikiamas priemones įrodyti, kad jų laikomasi.
12. Atitiktį Reglamentui Biblioteka išreiškia laikydamasi šių Taisyklių, taikydama organizacines ir technines asmens duomenų saugumo priemones, atlikdama poveikio asmens duomenų apsaugai vertinimo procedūrą, įgyvendindama asmens duomenų saugumo pažeidimų nustatymo procedūrą bei dokumentuodama jos eigą, užtikrindama pritaikytąją ir standartizuotąją asmens duomenų apsaugą.
13. Tvarkant asmens duomenis laikomasi asmens duomenų tvarkymo reikalavimų:
13.1. asmens duomenys renkami apibrėžtais ir teisėtais tikslais ir toliau negali būti tvarkomi tikslais, nesuderinamais su nustatytaisiais prieš renkant asmens duomenis;
13.2. asmens duomenys Bibliotekoje tvarkomi neautomatiniu būdu susistemintose rinkmenose ir (arba) automatiniu būdu;
13.3. asmens duomenys tvarkomi tiksliai, sąžiningai ir teisėtai;
13.4. asmens duomenys turi būti tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymą;
13.5. asmens duomenys turi būti tokios apimties, kuri būtina jiems rinkti ir toliau
tvarkyti;
13.6. asmens duomenys saugomi tokia forma, kad Duomenų subjektų tapatybę būtų
galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;
13.7. asmens duomenų saugojimo terminus ir veiksmus, kurie atliekami pasibaigus šiam terminui, nustato teisės aktai, reglamentuojantys asmens duomenų tvarkymą. Asmens duomenys saugomi ne ilgiau negu to reikalauja duomenų tvarkymo tikslai:
13.7.1 asmens duomenys, kurie pateikti skaitytojo registracinėje kortelėje saugomi — 6 metus (nuo paskutinių asmens registracijos/persiregistravimo bibliotekoje metų);
13.7.2. asmens duomenys, kurie pateikti ir/ar gauti iš LIBIS — 6 metus (nuo paskutinių asmens registracijos/persiregistravimo bibliotekoje metų),
13.7.3. asmens duomenys, kurie pateikti prašymų, skundų, pranešimų tikslu — 5 metai;
13.7.4. asmens duomenys pateikti tėvų (globėjų) pateikti pildant sutikimą kol vaikui, kuriam duotas tėvų (globėjų) sutikimas, sukanka 16 metų,
13.7.5. asmens duomenys gauti organizuojant konferencijas, parodas ir kitus renginius
— 10 metų;
13.7.6. asmens duomenys gauti mokėjimų (programų vykdytojams arba teikiantiems
prekes ar/ir paslaugas pagal sutartis) tikslais 10 metų;
metų; atsisakymo;
13.7.7. paramos, dovanojimo dokumentai (sutartys, aktai) su fiziniais asmenimis — 10
13.7.8. asmens duomenys, kurie naudojami tiesioginės rinkodaros tikslais — iki asmens
13.7.9. asmens duomenys, kurie naudojami susisiekimui dėl Bibliotekos vykdomų ir/ar
organizuojamų apklausų, tyrimų — iki asmens atsisakymo;
13.7.10. vaizdo stebėjimo duomenys ne ilgiau kaip 14 kalendorinių dienų;
13.7.11. asmenų duomenys, kurie dirbo ir dirba Bibliotekoje pagal darbo sutartis, gauti pagal Taisyklių 10.11–10.13. papunkčių tikslus saugomi pagal Bibliotekos direktoriaus patvirtintų dokumentacijos plano, kuriame bylų saugojimo terminai nurodyti vadovaujantis Lietuvos Respublikos dokumentų ir archyvo įstatymo 13 str. 1 dalimi bei „Bendrųjų dokumentų saugojimo terminu rodykle" (toliau BTR), patvirtinta Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo".
13.8. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie yra sunaikinami taip, kad jų nebūtų galima atkurti;
13.9. Asmens duomenys tvarkomi pagal ADTAĮ ir kituose atitinkamą veiklą reglamentuojančiuose įstatymuose nustatytus aiškius ir skaidrius asmens duomenų tvarkymo reikalavimus;
V SKYRIUS
ASMENS DUOMENŲ TVARKYMO ATSKIRAIS TIKSLAIS TVARKA IR SĄLYGOS
14. Asmens duomenys Bibliotekoje renkami teisės aktų nustatyta tvarka juos gaunant tiesiogiai iš duomenų subjekto, oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų ar sutarčių bei teisės aktų pagrindu prisijungiant prie atskirus duomenis kaupiančių duomenų bazių, registrų ir informacinių sistemų.
15. Teisės aktų nustatytais atvejais ir tvarka Bibliotekos tvarkomi asmens duomenys teikiami Valstybinei mokesčių inspekcijai prie Finansų ministerijos, Valstybinei ligonių kasai prie Sveikatos apsaugos ministerijos, Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos, Viešųjų pirkimų tarnybai, bibliotekos informacinės sistemos valdytojui Lietuvos nacionalinei Xxxxxxx Xxxxxxx bibliotekai ir kitiems tretiesiems asmenims pagal prašymą (vienkartinio asmens duomenų rinkimo atveju) arba pagal asmens duomenų teikimo sutartį (daugkartinio asmens duomenų rinkimo atveju).
16. Biblioteka, laikydamasi Reglamento nuostatų, surinktus asmens duomenis gali tvarkyti archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų ir statistiniais tikslais.
17. Biblioteka tvarko asmens duomenis ne ilgiau, negu to reikalauja jų tvarkymo tikslai:
17.1. dokumentai, kuriuose yra asmens duomenų, nurodyti Bendrųjų dokumentų saugojimo terminų rodyklėje, patvirtintoje Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“ ir Bibliotekos dokumentacijos plane, saugomi Lietuvos vyriausiojo archyvaro nustatyta tvarka ir terminais;
17.2. dokumentai, kuriuose yra asmens duomenų, ar duomenys, kaupiami informacinėse sistemose, programose ir kt., yra saugomi 3 mėnesius nuo dienos, kai yra atlikti visi veiksmai, kuriems atlikti buvo naudojami asmens duomenys, išskyrus atvejus, kai šie dokumentai reikalingi
teisminiams ginčams spręsti arba ilgesnė asmens duomenų saugojimo trukmė nustatyta kituose teisės aktuose;
17.3. Bibliotekos vartotojų asmens duomenys saugomi 5 metus;
17.4. vaizdo stebėjimo duomenys saugomi ne ilgiau kaip 14 kalendorinių dienų.
18. Su Bibliotekos įgaliotu duomenų tvarkytoju sudaromas Reglamento reikalavimus atitinkantis rašytinis susitarimas prie pagrindinės paslaugų teikimo sutarties arba asmens duomenų tvarkymo sąlygos aptariamos pačioje sutartyje. Ši nuostata netaikoma, kai duomenų tvarkytojo atliekamas asmens duomenų tvarkymas reglamentuojamas teisės aktu.
19. Bibliotekos vykdomo vaizdo stebėjimo įrangos naudojimo ir vaizdo duomenų tvarkymo tvarką nustato Bibliotekos vadovo įsakymu patvirtintas aprašas.
20. Stebėti asmens darbo vietą, Bibliotekos tarnybines patalpas draudžiama, išskyrus atvejus, kai darbo vietoje vyksta vaizdo konferencija arba kai kiti būdai ar priemonės nėra pakankami ar tinkami tikslams pasiekti. Asmenys apie nuolat vykdomą jų darbo vietos vaizdo stebėjimą informuojami pasirašytinai.
VI SKYRIUS
ASMENS DUOMENŲ TVARKYME DALYVAUJANČIŲ SUBJEKTŲ PAREIGOS
21. Šių Taisyklių 1 priede nurodytų duomenų valdytoja ir tvarkytoja yra Biblioteka, kuri užtikrina, kad asmens duomenys būtų tvarkomi laikantis Reglamente, Asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose nustatytų asmens duomenų tvarkymo reikalavimų. Šiose Taisyklėse nurodytus asmens duomenis teisės aktais nustatytais atvejais ir tvarka gali tvarkyti ir kiti subjektai.
22. Bibliotekos, kaip duomenų valdytojos, pareigos:
22.1. nustatyti asmens duomenų tvarkymo tikslus ir priemones;
22.2. užtikrinti, kad asmens duomenys būtų tvarkomi laikantis Asmens duomenų teisinės apsaugos įstatymo 3 straipsnyje nustatytų asmens duomenų tvarkymo reikalavimų;
22.3. rengti ir priimti vidinius asmens duomenų apsaugos ir tvarkymo reikalavimus reglamentuojančius teisės aktus;
22.4. kontroliuoti, kaip Bibliotekos įgalioti duomenų tvarkytojai vykdo Taisyklių 23 punkte nustatytas pareigas;
22.5. įgyvendinti tinkamas technines ir organizacines priemones asmens duomenų apsaugai užtikrinti;
22.6. organizuoti darbuotojų mokymus asmens duomenų teisinės apsaugos srityje;
22.7. ne rečiau kaip kartą per dvejus metus peržiūrėti Taisyklėse nustatytus reikalavimus ir, jei reikia, inicijuoti Taisyklių pakeitimus;
22.8. užtikrinti duomenų subjekto teisių įgyvendinimą ir vykdyti kitas teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytas asmens duomenų valdytojo pareigas.
23. Bibliotekos, kaip duomenų tvarkytojos, ir (ar) Bibliotekos įgaliotų duomenų tvarkytojų pareigos:
23.1. užtikrinti, kad asmens duomenis Bibliotekoje tvarkytų tik tie asmenys, kuriems tai būtina savo darbo funkcijoms atlikti, ir tik tokios apimties, kuri būtina numatytiems tikslams pasiekti;
23.2. vykdyti teisėtą asmens duomenų tvarkymą, duomenų subjektų teisių ir reikiamų techninių duomenų apsaugos priemonių įgyvendinimą Bibliotekos valdomų ir (ar) tvarkomų informacinių sistemų priemonėmis;
23.3. taikyti technines priemones, užtikrinančias asmens duomenų saugojimą tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau nei to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;
23.4. atlikti poveikio tvarkant asmens duomenis vertinimo procedūrą.
24. Prieiga prie asmens duomenų gali būti suteikta tik tiems Bibliotekos darbuotojams, kuriems asmens duomenys reikalingi darbo funkcijoms atlikti. Jei darbuotojas laikinai eina kito darbuotojo pareigas ar atlieka kito darbuotojo darbo funkciją, teisė tvarkyti asmens duomenis suteikiama pareigų arba funkcijos atlikimo laikotarpiui.
25. Bibliotekos darbuotojų, tvarkančių asmens duomenis, pareigos:
25.1. laikytis pagrindinių asmens duomenų tvarkymo ir saugumo reikalavimų, įtvirtintų Reglamente, Asmens duomenų teisinės apsaugos įstatyme, šiose Taisyklėse ir kituose teisės aktuose;
25.2. saugoti asmens duomenų paslaptį visą darbo laiką ir pasibaigus darbo santykiams Bibliotekoje, jei šie asmens duomenys neskirti skelbti viešai. Darbuotojai pasirašo šių Taisyklių 2 priede nustatytos formos konfidencialumo pasižadėjimą, kuris saugomas jų asmens bylose visą darbo laiką ir pasibaigus darbo santykiams;
25.3. taikyti Taisyklėse nustatytas organizacines ir technines asmens duomenų saugumo priemones, saugoti dokumentus, duomenų rinkmenas bei duomenų bazėse, informacinėse sistemose saugomus asmens duomenis ir vengti perteklinių jų kopijų darymo;
25.4. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su asmens duomenimis asmenims, kurie nėra įgalioti tvarkyti asmens duomenų;
25.5. nedelsiant pranešti tiesioginiam vadovui ir duomenų apsaugos pareigūnui apie bet kokią įtartiną situaciją, galinčią kelti grėsmę Bibliotekos tvarkomų asmens duomenų saugumui;
25.6. laikytis kitų šiose Taisyklėse ir asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.
VII SKYRIUS
DUOMENŲ APSAUGOS PAREIGŪNAS
26. Bibliotekos vadovo įsakymu duomenų apsaugos pareigūnu gali būti paskirtas vienas iš esamų Bibliotekos darbuotojų, priimtas naujas darbuotojas arba sudaryta paslaugų teikimo sutartis su šias paslaugas teikiančiu fiziniu ar juridiniu asmeniu. Duomenų apsaugos pareigūną gali paskirti / sudaryti sutartį ir kiti subjektai (pavyzdžiui, Bibliotekos savininko teises ir pareigas įgyvendinanti institucija), jei tai atitinka Reglamento 37 straipsnyje nustatytas sąlygas.
27. Skirdamas duomenų apsaugos pareigūną, Bibliotekos vadovas privalo užtikrinti, kad darbuotojas:
27.1. turėtų asmens duomenų teisinės apsaugos praktinių ir ekspertinių žinių;
27.2. būtų tiesiogiai pavaldus Bibliotekos vadovui;
27.3. neturėtų kitų pareigų, neatliktų darbo funkcijų, kurios galėtų sukelti interesų konfliktą su jo atliekamomis duomenų apsaugos pareigūno funkcijomis.
28. Bibliotekos vadovas, paskyręs arba sudaręs su duomenų apsaugos pareigūnu paslaugų teikimo sutartį, privalo užtikrinti, kad jo kontaktiniai duomenys būtų paskelbti Bibliotekos interneto svetainėje ir pateikti Valstybinei duomenų apsaugos inspekcijai.
29. Duomenų apsaugos pareigūnas privalo:
29.1. informuoti Bibliotekos vadovą ir asmens duomenis tvarkančius darbuotojus apie jų prievoles pagal Reglamentą ir kitus teisės aktus, reglamentuojančius asmens duomenų apsaugą, ir konsultuoti dėl konkrečių pareigų vykdymo;
29.2. stebėti, kaip laikomasi Reglamento, kitų teisės aktų, reglamentuojančių asmens duomenų teisinę apsaugą, šių Taisyklių ir kitų Bibliotekos dokumentų, susijusių su asmens duomenų apsauga, reikalavimų;
29.3. konsultuoti Biblioteką dėl poveikio duomenų apsaugai vertinimo ir stebėti jo atlikimą pagal Reglamentą;
29.4. dalyvauti nagrinėjant klausimus, susijusius su asmens duomenų tvarkymu Bibliotekoje;
29.5. pranešti Bibliotekos vadovui apie bet kokius neatitikimus, pažeidimus asmens duomenų apsaugos srityje, kuriuos duomenų apsaugos pareigūnas nustato vykdydamas savo funkcijas;
29.6. bendradarbiauti su Valstybine duomenų apsaugos inspekcija ir atlikti kontaktinio asmens funkcijas Valstybinei duomenų apsaugos inspekcijai kreipiantis su asmens duomenų tvarkymu susijusiais klausimais, įskaitant Reglamento 36 straipsnyje nurodytas išankstines konsultacijas;
29.7. konsultuoti Bibliotekos vadovą įvykus asmens duomenų saugumo pažeidimui ir vykdyti Bibliotekos valdomų asmens duomenų saugumo pažeidimų apskaitą;
29.8. ne rečiau kaip kartą per dvejus metus organizuoti asmens duomenų tvarkymo rizikos vertinimą, parengti ataskaitą ir prireikus imtis priemonių rizikai pašalinti arba sumažinti;
29.9. raštu informuoti Valstybinę duomenų apsaugos inspekciją, jei nustatoma, kad asmens duomenys Bibliotekoje tvarkomi pažeidžiant teisės aktų, reglamentuojančių duomenų apsaugą, nuostatas, ar atsisakoma vykdyti tiesioginius nurodymus pašalinti šiuos pažeidimus.
VIII SKYRIUS
DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO TVARKA
30. Duomenų subjektas turi šias teises:
30.1. teisę gauti informaciją apie duomenų tvarkymą:
30.1.1. informacija apie Bibliotekos atliekamą asmens duomenų tvarkymą gali būti pateikiama:
30.1.1.1. Bibliotekos interneto svetainėje xxx.xxxxxxxxxxxxxxxxxx.xx;
30.1.1.2. informacinio pobūdžio lentelėse ir (ar) lipdukuose apie vaizdo stebėjimą Bibliotekos teritorijoje ir patalpose;
30.1.1.3. žodžiu ir (ar) raštu asmens duomenų gavimo metu.
30.2. teisę susipažinti su duomenimis:
30.2.1. Biblioteka, gavusi duomenų subjekto prašymą įgyvendinti šią teisę, turi pateikti:
30.2.1.1. informaciją, ar duomenų subjekto asmens duomenys tvarkomi ar ne;
30.2.1.2. informaciją, iš kokių šaltinių ir kokie asmens duomenys yra surinkti, kokiu tikslu jie tvarkomi, kiek laiko saugomi, kokiems duomenų gavėjams teikiami ar buvo teikti;
30.2.1.3. tvarkomų asmens duomenų kopiją;
30.3. teisę reikalauti ištaisyti duomenis:
30.3.1. siekiant įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, Biblioteka gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus;
30.3.2. jeigu duomenų subjekto asmens duomenys (ištaisyti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Biblioteka šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus;
30.4. teisę reikalauti ištrinti asmens duomenis („teisė būti pamirštam“):
30.4.1. duomenų subjekto teisė įgyvendinama, jei:
30.4.1.1. asmens duomenys nebereikalingi tikslams, kuriems jie buvo renkami ir tvarkomi;
30.4.1.2. duomenų subjektas atšaukia savo sutikimą, kuriuo grindžiamas jo asmens duomenų tvarkymas, ir nėra kito teisinio pagrindo duomenis tvarkyti;
30.4.1.3. duomenų subjektas nesutinka su asmens duomenų tvarkymu ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis;
30.4.1.4. asmens duomenys buvo tvarkomi neteisėtai;
30.4.2. duomenų subjekto teisė gali būti neįgyvendinta, jei Biblioteka įpareigota tvarkyti asmens duomenis pagal teisės aktus siekiant atlikti užduotį, vykdomą viešojo intereso labui, ir jei asmens duomenys tvarkomi mokslinių ar istorinių tyrimų, statistiniais tikslais bei siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;
30.4.3. jeigu duomenų subjekto asmens duomenys (ištrinti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Biblioteka šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus;
30.5. teisę apriboti duomenų tvarkymą:
30.5.1. asmens duomenų tvarkymo ribojimas gali būti įgyvendinimas šiais būdais: atrinkti duomenys perkeliami į kitą tvarkymo sistemą ir padaromi neprieinamais naudotojams, laikinai išimami iš interneto svetainės, jei jie yra paskelbti. Automatiniuose susistemintuose rinkiniuose asmens duomenų tvarkymo ribojimas užtikrinamas techninėmis priemonėmis taip, kad asmens duomenys nebūtų toliau tvarkomi ir jų nebūtų galima pakeisti;
30.5.2. asmens duomenys, kurių tvarkymas apribotas, yra saugomi, o prieš tokio apribojimo panaikinimą duomenų subjektas yra informuojamas raštiškai;
30.5.3. jeigu duomenų subjekto asmens duomenys (kurių tvarkymas apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Biblioteka šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus;
30.6. teisę nesutikti su duomenų tvarkymu:
30.6.1. įgyvendinama tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių atliekamas asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus;
30.6.2. jei tvarkyti asmens duomenis būtina, kad būtų įvykdyta Bibliotekai taikoma teisinė prievolė, duomenų subjekto teisė negali būti įgyvendinama;
30.7. teisę į duomenų perkeliamumą:
30.7.1. įgyvendinama tik dėl tų asmens duomenų, kurie tvarkomi automatizuotomis priemonėmis, remiantis duomenų subjekto sutikimu arba sutartimi, kurios šalis yra duomenų subjektas;
30.7.2. duomenų subjektas teisės į duomenų perkeliamumą neturi tų asmens duomenų atžvilgiu, kurie tvarkomi neautomatiniu būdu susistemintose rinkmenose, pavyzdžiui, popierinėse bylose;
30.7.3. duomenų subjekto asmens duomenys kitam duomenų valdytojui gali būti persiųsti, jei yra techninės galimybės pateikti asmens duomenis tiesiogiai kitam duomenų valdytojui ir užtikrinamas saugus elektroninių duomenų ir informacijos perdavimas;
30.7.4. jeigu duomenų subjekto prašymas dėl asmens duomenų perkeliamumo patenkinamas, Biblioteka nevertina, ar duomenų valdytojas, kuriam bus persiųsti duomenų subjekto asmens duomenys, turi teisinį pagrindą gauti duomenų subjekto asmens duomenis ir ar šis duomenų valdytojas užtikrins tinkamas asmens duomenų saugumo priemones. Biblioteka neprisiima atsakomybės už persiųstų asmens duomenų tolimesnį tvarkymą, kurį atliks kitas duomenų valdytojas;
30.7.5. pagal duomenų subjekto prašymą perkelti jo duomenys nėra automatiškai ištrinami. Jeigu duomenų subjektas to pageidauja, turi kreiptis į Biblioteką, kaip duomenų valdytoją, dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) įgyvendinimo.
31. Duomenų subjektas, siekdamas įgyvendinti šių taisyklių 30 punkte nurodytas teises (išskyrus teisę, nurodytą 30.1 papunktyje), privalo asmeniškai, paštu, per pasiuntinį ar elektroninėmis priemonėmis pateikti rašytinį prašymą, kurio pavyzdinė forma nustatyta šių Taisyklių 3 priede.
32. Rašytinis prašymas teikiamas valstybine kalba, turi būti aiškus ir suprantamas, parašytas įskaitomai, duomenų subjekto pasirašytas. Jame turi būti nurodytas duomenų subjekto vardas, pavardė, gyvenamoji vieta, duomenys ryšiui palaikyti, informacija apie tai, kurią iš šių Taisyklių 30.2–30.7 papunkčiuose nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti, bei informacija, kokiu būdu duomenų subjektas pageidauja gauti atsakymą. Nevalstybine kalba pateikti duomenų subjektų prašymai gali būti priimami ir nagrinėjami tik išimtiniais atvejais Bibliotekos vadovo ar jo įgalioto asmens sprendimu.
33. Duomenų subjektas, pateikdamas prašymą, privalo patvirtinti savo tapatybę:
33.1. jei prašymas pateikiamas tiesiogiai Bibliotekos darbuotojui, pateikti asmens tapatybę patvirtinantį dokumentą;
33.2. jei prašymas pateikiamas paštu arba per pasiuntinį, kartu su prašymu pateikti notaro patvirtintą asmens tapatybę patvirtinančio dokumento kopiją;
33.3. jei prašymas pateikiamas elektroninėmis priemonėmis, prašymą pasirašyti kvalifikuotu elektroniniu parašu arba suformuoti elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą.
34. Duomenų subjektas šių taisyklių 30 punkte nurodytas savo teises gali įgyvendinti pats arba per notariškai įgaliotą atstovą. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiasi duomenų subjekto atstovas, jis prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, duomenis ryšiui palaikyti, taip pat atstovaujamo asmens vardą, pavardę, gyvenamąją vietą, informaciją apie tai, kokią iš šių Taisyklių 30.2–30.7 papunkčiuose nurodytų teisių ir kokia apimtimi pageidaujama įgyvendinti, bei informaciją, kokiu būdu pageidauja gauti atsakymą, ir pridėti atstovavimą patvirtinantį dokumentą ar teisės aktų nustatyta tvarka patvirtintą jo kopiją.
35. Duomenų subjekto prašymas, pateiktas nesilaikant Taisyklių 33–34 punktuose nustatytų reikalavimų, nenagrinėjamas. Duomenų subjektas apie tai informuojamas nurodant priežastis ne vėliau kaip per 5 darbo dienas nuo prašymo gavimo.
36. Ne vėliau kaip per vieną mėnesį nuo duomenų subjekto prašymo gavimo duomenų subjektui pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Šis vieno mėnesio terminas gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į gautų prašymų sudėtingumą ir jų skaičių. Tokiu atveju per vieną mėnesį nuo prašymo gavimo dienos duomenų subjektas informuojamas apie tokį pratęsimą, nurodant vėlavimo priežastis.
37. Jeigu prašymo nagrinėjimo metu nustatoma, kad duomenų subjekto teisės yra apribotos Reglamento 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.
38. Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai, išskyrus atvejus, kai gaunami akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, duomenų subjekto prašymai.
39. Jei duomenų subjekto teisių įgyvendinimo nereglamentuoja Taisyklės ir Taisyklių 2 punkte nurodyti teisės aktai, taikomos Prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklės, patvirtintos Lietuvos Respublikos Vyriausybės 2007 m. rugpjūčio 22 d. nutarimu Nr. 875 „Dėl prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklių patvirtinimo“.
40. Bibliotekos veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai (el. xxxxxx xxx@xxx.xx, interneto svetainė xxx.xxx.xx), taip pat teismui.
IX SKYRIUS
ASMENS DUOMENŲ SAUGUMO PRIEMONĖS
41. Dokumentai, kuriuose yra asmens duomenų, jų kopijos ir bylos negali būti laikomi visiems prieinamoje matomoje vietoje. Jie saugomi Bibliotekos padaliniuose, kaip nurodyta Bibliotekos dokumentacijos plane, rakinamose patalpose esančiose spintose, seifuose arba įrengiant įėjimo į patalpas kontrolės sistemą (fizinę ar elektroninę).
42. Dokumentai, kuriuose nurodomi asmens duomenys ir kurių saugojimo terminas yra pasibaigęs, ir jų kopijos turi būti sunaikinami taip, kad šių dokumentų negalima būtų atkurti ir atpažinti jų turinio. Automatiniu būdu surinkti duomenys sunaikinami ištrinant nebereikalingas asmens duomenų bylas iš saugojimo laikmenos taip, kad jų nebūtų galima atgaminti.
43. Keičiantis asmens duomenis tvarkantiems darbuotojams, dokumentai, kuriuose yra asmens duomenys, ar jų kopijos perduodami naujai priimtiems ir asmens duomenis tvarkyti paskirtiems darbuotojams perdavimo-priėmimo aktu.
44. Bibliotekos darbuotojai, kurių kompiuteriuose saugomi asmens duomenys, arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis ar informacines sistemas, kuriose yra saugomi asmens duomenys, savo kompiuteriuose privalo naudoti slaptažodžius. Slaptažodžiai turi būti keičiami periodiškai, ne rečiau kaip kartą per 2 mėnesius, taip pat susidarius tam tikroms aplinkybėms (pavyzdžiui, pasikeitus darbuotojui, kilus įtarimui, kad slaptažodis tapo žinomas
tretiesiems asmenims ir pan.). Šiuose kompiuteriuose rekomenduojama naudoti ekrano užsklandą su slaptažodžiu.
45. Bibliotekos darbuotojai, atsakingi už asmens duomenų tvarkymą, organizuodami savo darbą privalo užtikrinti, kad nebūtų sudaryta jokių sąlygų kitiems darbuotojams ar tretiesiems asmenims sužinoti duomenų subjektų asmens duomenis. Pavyzdžiui, nepalikti be priežiūros dokumentų su tvarkomais asmens duomenimis ar kompiuterio, kuriuo naudojantis būtų galima atidaryti rinkmenas su asmens duomenimis, ir laikyti juos taip, kad juose esančios informacijos negalėtų perskaityti darbuotojai, neturintys teisės dirbti su asmens duomenimis, ar atsitiktiniai asmenys; dokumentus, perduodamus kitiems darbuotojams, padaliniams, įstaigoms per paštą, kurjerį ar kitus asmenis, pateikti užklijuotame nepermatome voke ir pan.
46. Bibliotekų informacinėse sistemose tvarkomų vartotojų asmens duomenų saugumas užtikrinamas vadovaujantis bibliotekų informacinių sistemų nuostatų reikalavimais ir saugos politikos įgyvendinamaisiais dokumentais: saugos nuostatais, saugaus elektroninės informacijos tvarkymo taisyklėmis, informacinės sistemos veiklos tęstinumo valdymo planu, informacinės sistemos naudotojų administravimo taisyklėmis. Už šių dokumentų parengimą ir patvirtinimą atsako įstaiga ar institucija, kuri teisės aktų nustatyta tvarka atlieka informacinės sistemos valdytojo funkciją.
47. Biblioteka gali taikyti ir kitas asmens duomenų apsaugos organizacines ir technines priemones.
X SKYRIUS
PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ TVARKA
48. Bibliotekos darbuotojai ar Bibliotekos įgalioti duomenų tvarkytojai, pastebėję asmens duomenų saugumo pažeidimą, ne vėliau kaip per 2 darbo valandas nuo pažeidimo pastebėjimo informuoja Bibliotekos vadovą ar jo įgaliotą atsakingą asmenį.
49. Bibliotekos vadovas ar jo įgaliotas atsakingas asmuo, sužinojęs apie galimą asmens duomenų saugumo pažeidimą, organizuoja pažeidimo tyrimą, kurio metu nustatomas pažeidimo pobūdis, tipas (asmens duomenų konfidencialumo, vientisumo ir (ar) prieinamumo pažeidimas), aplinkybės, apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius, asmens duomenų, kurių saugumas pažeistas, kategorijos (asmens tapatybę patvirtinantys asmens duomenys, prisijungimo duomenys ir kt.) ir apimtis, tikėtinos asmens duomenų saugumo pažeidimo pasekmės, pavojus fizinių asmenų teisėms ir laisvėms, priemonės pažeidimui pašalinti ir (ar) neigiamoms pažeidimo pasekmėms sumažinti.
50. Bibliotekos vadovas ar jo įgaliotas atsakingas asmuo užtikrina, kad ne vėliau kaip per 72 valandas nuo pranešimo apie asmens duomenų saugumo pažeidimą būtų pranešta Valstybinei duomenų apsaugos inspekcijai, nebent asmens duomenų saugumo pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms. Jeigu Valstybinei duomenų apsaugos inspekcijai nepranešama per 72 valandas, pranešime nurodomos vėlavimo priežastys. Pranešimas apie asmens duomenų saugumo pažeidimą teikiamas Valstybinės duomenų apsaugos inspekcijos nustatyta tvarka.
51. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, Bibliotekos vadovas ar jo įgaliotas atsakingas asmuo užtikrina, kad apie asmens duomenų saugumo pažeidimą nedelsiant būtų pranešta duomenų subjektui: duomenų subjektui aiškia ir paprasta kalba aprašomas duomenų saugumo pažeidimo pobūdis, nurodomas duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau
informacijos, vardas, pavardė, telefono numeris, elektroninio pašto adresas, aprašomos tikėtinos asmens duomenų saugumo pažeidimo pasekmės ir priemonės, kurių buvo imtasi arba pasiūlyta imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas, taip pat priemonės galimoms neigiamoms jo pasekmėms sumažinti bei pagal galimybes atitinkamam fiziniam asmeniui skirtos rekomendacijos, kaip sumažinti galimą neigiamą poveikį (pavyzdžiui, pasikeisti prisijungimo slaptažodžius neteisėtos prieigos prie asmens duomenų atveju ir kt.).
52. Esant pažeidimui, pranešimo duomenų subjektams teikti nereikia, jeigu:
52.1. Biblioteka įgyvendino tinkamas technines ir organizacines apsaugos priemones ir jos taikytos asmens duomenims, kuriems pažeidimas turėjo poveikio;
52.2. iš karto po asmens duomenų saugumo pažeidimo Biblioteka ėmėsi priemonių, kuriomis užtikrino, kad nebegalėtų kilti didelis pavojus duomenų subjektų teisėms ir laisvėms;
52.3. reikalingos neproporcingai didelės pastangos susisiekti su asmenimis (pvz., dėl pažeidimo prarasti jų kontaktiniai duomenys arba jie nežinomi). Tokiu atveju apie asmens duomenų saugumo pažeidimą paskelbiama viešai arba taikomos kitos informavimo priemonės.
53. Bibliotekos vadovas ar jo įgaliotas atsakingas asmuo užtikrina, kad būtų fiksuojami visi asmens duomenų saugumo pažeidimų atvejai ir kaupiama informacija apie tokių pažeidimų priežastis, jų poveikį ir pasekmes, priemones, kurių buvo imtasi, sprendimų dėl pranešimo (nepranešimo) Valstybinei duomenų apsaugos inspekcijai ir (ar) duomenų subjektui motyvus, vėlavimo pateikti pranešimą priežastis bei kitokio pobūdžio informaciją, kuri leistų patikrinti, kaip buvo laikomasi šio Taisyklių skyriaus nuostatų. Šiame punkte nurodyta informacija įrašoma Asmens duomenų saugumo pažeidimų registravimo žurnale, kurio pavyzdinė forma nustatyta Taisyklių 4 priede.
XI SKYRIUS
POVEIKIO ASMENS DUOMENŲ APSAUGAI VERTINIMO PROCEDŪRA
54. Poveikio asmens duomenų apsaugai vertinimo procedūra (toliau – Procedūra) atliekama vadovaujantis Reglamentu ir Europos Parlamento ir Tarybos direktyvos 95/46/EB 29 straipsnio duomenų apsaugos darbo grupės 2017 m. balandžio 4 d. Poveikio duomenų apsaugai vertinimo gairėmis, kuriomis Reglamento 2016/679 taikymo tikslais nurodoma, kaip nustatyti, ar duomenų tvarkymo operacijos gali sukelti didelį pavojų fizinių asmenų teisėms ir laisvėms.
55. Procedūra atliekama, kai:
55.1. planuojama rinkti arba kitaip tvarkyti naujus asmens duomenis;
55.2. keičiasi Bibliotekos jau tvarkomų asmens duomenų tvarkymo procesas (būdas, tikslas ir pan.) arba asmens duomenų tvarkymo aplinka (atsiranda naujas procesas, nauja informacinių technologijų sistema arba keičiamas esamas procesas).
56. Procedūrai atlikti Bibliotekos vadovo įsakymu sudaroma darbo grupė. Į jos sudėtį gali būti įtrauktas ir duomenų apsaugos pareigūnas.
57. Procedūros metu pildoma Valstybinės duomenų apsaugos inspekcijos patvirtintos formos Poveikio duomenų apsaugai vertinimo ataskaita (toliau – Ataskaita). Joje nurodomos visos suinteresuotų asmenų ir Bibliotekos darbuotojų teiktos nuomonės, konsultacijos ir kiti pastebėjimai. Ataskaitą pildo darbo grupės pirmininkas arba įsakymu, kuriuo tvirtinama darbo grupės sudėtis, paskirtas darbuotojas.
58. Procedūra atliekama šiais etapais:
58.1. I etapas – poreikio atlikti Procedūrą pirminis vertinimas:
58.1.1. prieš atliekant duomenų tvarkymo operacijas Biblioteka vadovaujasi Valstybinės duomenų apsaugos inspekcijos patvirtintu sąrašu, kuriame numatytos asmens duomenų tvarkymo operacijos, kurioms taikomas arba netaikomas reikalavimas atlikti Procedūrą;
58.1.2. jeigu asmens duomenų tvarkymo operacija patenka į operacijų sąrašą, kurioms taikomas reikalavimas atlikti Procedūrą, tai darbo grupė tęsia Procedūrą ir apie tai pažymi Ataskaitos 1.1 papunktyje. Jei asmens duomenų tvarkymo operacija į sąrašą nepatenka, tai Procedūra baigiama ir apie tai pažymima Ataskaitos 1.2 papunktyje;
58.1.3. jeigu asmens duomenų tvarkymo operacija nepatenka nei į vieną 58.1.1. papunktyje nurodytą sąrašą, tai atsakoma į Ataskaitos 1.3 papunktyje pateiktus pirminius klausimus, kurių tikslas yra nustatyti Procedūros poreikį. Jei atsakymai į klausimus rodo, kad duomenų tvarkymo operacija tikėtinai gali kelti didelę riziką fizinių asmenų teisėms ir laisvėms, Procedūra turi būti atliekama. Sprendžiant, ar duomenų tvarkymo operacija gali kelti didelę riziką fizinių asmenų teisėms ir laisvėms, vadovaujamasi kriterijais, nurodytais Ataskaitos 2 punkte. Atsakius į pirminius klausimus ir atsižvelgiant į kriterijus, nurodytus Ataskaitos 2 punkte, Procedūra gali būti atliekama / neatliekama, o vertinimo procesas tęsiamas / baigiamas (tai pažymima Ataskaitos 2.10 papunktyje).
58.2. II etapas – atitikties asmens duomenų apsaugai įvertinimas, kurio metu darbo grupė nustato ir išanalizuoja asmens duomenų tvarkymo operacijas, atsakydama į Ataskaitos 3 punkte nurodytus klausimus. Prireikus gali būti atsiklausiama duomenų subjektų ar jų atstovų nuomonės apie numatytą duomenų tvarkymą, nepažeidžiant viešųjų interesų apsaugos ir duomenų tvarkymo operacijų saugumo reikalavimų, pvz., atliekant bendro pobūdžio tyrimą, susijusį su asmens duomenų tvarkymo operacijos tikslu ir priemonėmis. Poreikis atsiklausti duomenų subjektų nuomonės nurodomas Ataskaitos 4 punkte.
59. Kai iš Procedūros paaiškėja, kad duomenų tvarkymo operacijos kelia didelį pavojų duomenų subjektų teisėms ir laisvėms, o Biblioteka negali jo sumažinti tinkamomis rizikos valdymo priemonėmis (turimomis technologijomis ir įgyvendinimo sąnaudomis), prieš pradedant asmens duomenų tvarkymą turi būti iš anksto konsultuojamasi su Valstybine duomenų apsaugos inspekcija pagal jos nustatytą tvarką.
60. Užpildytą Procedūros ataskaitą pasirašo Bibliotekos vadovas ar jo įgaliotas atsakingas asmuo.
61. Biblioteka atlieka priežiūrą ir stebėjimą, siekdama įvertinti, ar duomenys yra tvarkomi laikantis Procedūros, ypač tais atvejais, kai kinta tvarkymo operacijos ir jų keliamas pavojus.
XII SKYRIUS BAIGIAMOSIOS NUOSTATOS
62. Darbuotojai, kurie yra įgalioti asmens duomenis arba eidami savo pareigas juos sužino, privalo laikytis Taisyklių, pagrindinių asmens duomenų tvarkymo reikalavimų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų ADTAĮ ir šiose Taisyklėse. Darbuotojai pažeidę Taisykles ir (ar) ADTAĮ atsako teisės aktų nustatyta tvarka.
63. Patvirtinus ar pakeitus Taisykles, Bibliotekos darbuotojai su jomis supažindinami pasirašytinai. Priėmus naują darbuotoją, jis su Taisyklėmis privalo būti supažindintas pirmąją jo darbo dieną. Už darbuotojų supažindinimą atsakingas Bibliotekos vadovo įsakymu, kuriuo tvirtinamos Taisyklės, paskirtas Bibliotekos darbuotojas (-ai). Su Taisyklėmis susipažinęs bibliotekos darbuotojas pasirašo supažindinimo lape (toliau – supažindinimo lapas) (5 priedas). Pasirašydami
supažindinimo lape, bibliotekos darbuotojai nurodo savo pareigas, vardą, pavardę ir datą. Užregistruotas supažindinimo lapas saugomas darbuotojo asmens byloje.
64. Darbuotojams, pažeidusiems Reglamente, Asmens duomenų teisinės apsaugos įstatyme, šiose Taisyklėse ir kituose Bibliotekos teisės aktuose nustatytus asmens duomenų tvarkymo ir apsaugos reikalavimus, taikoma Bibliotekos darbo tvarkos taisyklėse ir kituose teisės aktuose nustatyta atsakomybė.
65. Taisyklėse įtvirtintos nuostatos gali būti papildomos ir išsamiau reglamentuojamos kituose Bibliotekos veiklą reglamentuojančiuose vidaus dokumentuose. Visais atvejais turi būti vadovaujamasi Taisyklėmis.
66. Taisyklės periodiškai, ne rečiau kaip kartą per dvejus metus peržiūrimos ir, prireikus ar pasikeitus asmens duomenų tvarkymą reglamentuojantiems teisės aktams, atnaujinamos.
67. Taisyklės skelbiamos Bibliotekos interneto svetainėje.