Valstybinė teismo psichiatrijos tarnyba

prie Sveikatos apsaugos ministerijos

 
 
Asmens duomenų apsauga

                                                                                               PATVIRTINTA

                                                                                               Valstybinės teismo psichiatrijos tarnybos prie

                                                                                               Sveikatos apsaugos ministerijos direktoriaus

                                                                                               2017 m. gegužės 15 d. įsakymu Nr. 12 P- 18

                                                                                               (2018 m. gruodžio 3 d. įsakymo Nr. 12P-43

                                                                                               redakcija)

 

 

VALSTYBINĖS TEISMO PSICHIATRIJOS TARNYBOS PRIE SVEIKATOS APSAUGOS MINISTERIJOS

ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

 

1. BENDROSIOS NUOSTATOS

 

1.1. Šių asmens duomenų apsaugos taisyklių (toliau - Taisyklės) tikslai yra:
1.1.1. nustatyti asmens duomenų rinkimo, naudojimo ir saugojimo Valstybinėje teismo psichiatrijos tarnyboje prie Sveikatos apsaugos ministerijos (toliau - Įstaiga) bendruosius principus ir taisykles;
1.1.2. įgyvendinti Darbo kodekso reikalavimus priimti ir įprastais darbovietėje būdais paskelbti darbuotojų asmens duomenų saugojimo taisykles ir jų įgyvendinimo priemones;
1.1.3. įgyvendinti Darbo kodekso reikalavimus priimti ir įprastais darbovietėje būdais paskelbti darbuotojų stebėsenos ir kontrolės darbo vietoje tvarką;
1.1.4. įgyvendinti Bendrojo duomenų apsaugos reglamento įtvirtintus realios asmens duomenų apsaugos ir atskaitomybės principus;
1.1.5. palengvinti tinkamą Bendrojo duomenų apsaugos reglamento, Asmens duomenų apsaugos įstatymo, Darbo kodekso, kitų Europos Sąjungos ir Lietuvos Respublikos teisės aktų asmens duomenų apsaugos srityje (toliau - ADA teisės aktai) reikalavimų įgyvendinimą;
1.1.6. sukurti tarpusavio supratimą bei teisinį aiškumą tarp Įstaigos ir jos darbuotojų dėl veiksmų, kuriais Įstaiga siekia apsaugoti savo darbuotojų asmens duomenis;
1.1.7. padėti Įstaigos darbuotojams įgyvendinti ADA teisės aktų reikalavimus.
1.2. Taisyklės taikomos visiems Įstaigos Darbuotojams. Darbuotojai su šiomis Taisyklėmis yra supažindinami galiojančių Darbo tvarkos taisyklių nustatyta tvarka.

 

2. TAIKYMO SRITIS IR ADRESATAI

 

2.1. Šios Taisyklės taikomos:
2.1.1. Duomenų rinkimui, naudojimui ir saugojimui Įstaigos vardu;
2.1.2. Duomenų, tvarkomų Įstaigoje rinkimui, naudojimui ir saugojimui;
2.1.3. Darbuotojų darbo funkcijų tikslu vykdomam Duomenų rinkimui, naudojimui ir saugojimui;
2.1.4. Duomenų rinkimui, naudojimui ir saugojimui naudojant IRT.
2.2. Taisyklės skirtos visiems Įstaigos darbuotojams, įskaitant vadovybę. Atskiruose Taisyklių skyriuose numatytos atsakomybės, aktualios tik atitinkamas pareigas einantiems Darbuotojams. Taisyklės taip pat numato pareigas ir atsakomybes, kurių turi laikytis visi Darbuotojai.
2.3. Visi Darbuotojai turi patvirtinti, kad suprato savo įsipareigojimus ir privalo jų laikytis. Duomenų apsaugos pareigūnas turi užtikrinti, kad kiekvienam Darbuotojui būtų pateikta ar pasiekiama šių Taisyklių kopija.

 

3. SĄVOKOS

 

3.1. Jei šiose Taisyklėse ir jos prieduose aiškiai nenurodyta kitaip, pirmąja didžiąja raide rašomos sąvokos turi reikšmes, nurodytas žemiau:
ADA teisės aktai Visi galiojantys tarptautiniai, Europos Sąjungos ir Lietuvos Respublikos teisės aktai, administraciniai sprendimai, iš teismų praktikos kylantys reikalavimai, nustatantys taisykles ir/ar reikalavimus asmens duomenų tvarkymui, įskaitant, bet neapsiribojant Bendruoju duomenų apsaugos reglamentu, Darbo kodeksu, Asmens duomenų teisinės apsaugos įstatymu, Elektroninių ryšių įstatymu.
Asmuo
Žmogus (fizinis asmuo), kurio asmens duomenys renkami, naudojami ir saugojami Įstaigoje ir kurio tapatybę galima nustatyti, įskaitant, bet neapsiribojant, Darbuotojais. ADA teisės aktuose apibrėžiamas kaip duomenų subjektas.
Duomenys
Bet kokia informacija, susijusi su Asmeniu, renkama, naudojama ar saugoma Įstaigoje. ADA teisės aktuose apibrėžiama kaip asmens duomenys.
Asmens prašymas Bet kuris iš žemiau nurodytų:
(a) prašymas susipažinti su Duomenimis apie Asmenį;
(b) prašymas ištaisyti netikslius Asmens Duomenis;
(c) prašymas ištrinti Duomenis apie Asmenį;
(d) prašymas apriboti Duomenų apie Asmenį naudojimą ar trynimą;
(e) prašymas išeksportuoti Duomenis apie Asmenį;
(f) prieštaravimas dėl Duomenų apie Asmenį rinkimo, naudojimo ir saugojimo Įstaigoje;
(g) prieštaravimas dėl bet kokio automatinio sprendimo priėmimo dėl Asmens ar Asmens profiliavimo Įstaigoje;
(h) bet kuris kitas prašymas ir (arba) skundas dėl bet kokio klausimo, susijusio su Duomenų apsauga Įstaigoje.
Asmenų prašymų valdymas
Procesas, kuriuo metu analizuojami, tiriami Įstaigoje gauti Asmens prašymai ir į juos atsakoma.
Įstaiga Valstybinė teismo psichiatrijos tarnyba prie Sveikatos apsaugos ministerijos, atsakinga už Duomenų rinkimą, naudojimą ir saugojimą, ADA teisės aktų laikymąsi. ADA teisės aktuose apibrėžiama kaip duomenų valdytojas arba duomenų tvarkytojas, atsižvelgiant į konkrečių Duomenų tvarkymą savo arba savo klientų interesais.
Darbuotojas
Bet kuris Įstaigos darbuotojas arba komandiruotas į Įstaigą darbuotojas, turintis tiesioginę ar netiesioginę prieigą prie Duomenų.
Duomenų apsaugos pareigūnas
Įstaigos skiriamas darbuotojas arba išorės paslaugų teikėjas (fizinis arba juridinis asmuo), padedantis Įstaigai užtikrinti teisinę atitiktį ADA teisės aktams.
Duomenų tvarkymas Duomenų rinkimas, naudojimas, saugojimas, persiuntimas, naikinimas ar bet kuris kitas konkretus su Duomenimis atliekamas veiksmas.
IKT
Informacinės ir komunikacinės technologijos, kurias Įstaiga suteikia Darbuotojams arba kurias Darbuotojai naudoja siekdami atlikti savo pareigas Įstaigoje, įskaitant, bet neapsiribojant, kompiuteriais, planšetiniais kompiuteriais, išmaniaisiais telefonais, USB įrenginiais ar kitomis duomenų laikmenomis, nutolusiomis duomenų saugyklomis, interneto svetainėmis bei kita programine įranga.
Duomenų saugumo pažeidimas Bet kuris iš toliau nurodytų įvykių:
(a) Įstaigos IKT, dokumentų ir (arba) kitų priemonių, kuriuose yra Duomenų praradimas, vagystė arba nesuplanuotas sunaikinimas;
(b) atsitiktinis ar tyčinis Duomenų siuntimas, įkėlimas ar dalinimasis su trečiaisiais asmenimis, neturinčiai teisės jų gauti;
(c) trečiųjų asmenų neteisėta prieiga prie Įstaigos IKT, dokumentų ir (ar) kitų priemonių, kuriose yra Duomenų;
(d) kenkėjiškos atakos prieš Įstaigos IKT ir (ar) kitas priemones, kuriose yra Duomenų;
(e) klaidos, susijusios su kuriamomis, naudojamomis ir konfigūruojamomis IKT ir (ar) kitomis priemonėmis, kurios gali kelti pavojų Duomenų saugumui;
(f) bet kokie kiti saugumo pažeidimai, lemiantys atsitiktinį ar neteisėtą Duomenų sunaikinimą, praradimą, nutekėjimą, pakeitimą, neleistiną atskleidimą arba prieigos prie Įstaigai perduodamų, saugojamų ar kitaip renkamų, naudojamų ar saugojamų Duomenų suteikimą.
Duomenų saugumo pažeidimo valdymas
Procesas, kurio metu Įstaigoje analizuojami, registruojami Duomenų saugumo pažeidimai ir, jei reikia, teikiami pranešimai Inspekcijai ar Asmenims, kurių Duomenys buvo paveikti.
Duomenų tvarkymo veiklos įrašai
Elektroninis dokumentas, išsamiai apibūdinantis Įstaigoje renkamus, naudojamus ir saugomus Duomenis.
EEE
Europos Ekonominė Erdvė (visos ES valstybės narės bei Islandija, Norvegija, Lichtenšteinas).
Inspekcija Valstybinė duomenų apsaugos inspekcija.
Inspekcijos paklausimas Bet kuris laiškas, pranešimas, užklausa ar kitas dokumentas, kurį pateikia Valstybinė duomenų apsaugos inspekcija, ir kuris yra adresuotas Įstaigai.
Inspekcijos paklausimų valdymas
Procesas, kurio metu nagrinėjami Inspekcijos paklausimai, renkama atsakymui reikalingai informacija ir Inspekcijai pateikiamas atsakymas.
Ypatingi duomenys
ADA teisės aktuose nurodyti duomenys, kurių tvarkymui keliami padidinti reikalavimai (pvz.: duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją, genetiniai, biometriniai identifikatoriai, duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas).
Paslaugų teikėjas Konkretus paslaugos teikėjas ar kitas išorės juridinis ar fizinis asmuo, kuris turi prieigą prie Įstaigos Duomenų ir juos tvarko pagal Įstaigos nurodymus. ADA teisės aktuose apibrėžiamas kaip duomenų tvarkytojas.
Taisyklės Šios asmens duomenų tvarkymo taisyklės.
Tretieji asmenys Visi fiziniai arba juridiniai asmenys, išskyrus Darbuotojus.

3.2. Kitos šios Taisyklėse neapibrėžtos sąvokos suprantamos taip, kaip jos apibrėžtos ADA teisės aktuose.

 

4. DUOMENŲ TVARKYMO PRINCIPAI

 

4.1. Įstaiga tvarkydama Duomenis vadovaujasi principais, kad asmens duomenys turi būti:
4.1.1. tvarkomi teisėtai, sąžiningai ir skaidriai;
4.1.2. renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu;
4.1.3. adekvatūs, tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi;
4.1.4. renkami, naudojami ir saugojami laikantis Įstaigos vidaus procedūrų ir užtikrinant Duomenų apsaugą nuo neleistinos prieigos, neteisėto rinkimo, naudojimo ir saugojimo, netyčinio praradimo, sunaikinimo ar sugadinimo;
4.1.5. tikslūs ir prireikus atnaujinami;
4.1.6. laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;
4.1.7. tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas ir konfidencialumas, įskaitant prieigos prie Duomenų suteikimą tik tiems darbuotojams, kuriems jų reikia savo tiesioginėms darbo funkcijoms atlikti..
4.2. Duomenys gali būti teisėtai tvarkomi Įstaigoje tik esant bent vienam iš šių pagrindų:
4.2.1. Sutartis: Duomenys reikalingi siekiant sudaryti ar vykdyti darbo, civilinę ar kitokią sutartį su Asmeniu, įskaitant, bet neapsiribojant sutarties sąlygų vykdymą, teisės aktų atitinkamai sutarties rūšiai numatytų šalių teisių ir pareigų vykdymą ir iš sutarties esmės kylančių šalių įsipareigojimų vykdymą;
4.2.2. Teisinė prievolė: Įstaiga teisės aktais yra įpareigota tvarkyti Duomenis mokesčių, darbo ir kitose srityse;
4.2.3. Viešasis interesas: tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;
4.2.4. Sutikimas: Asmuo galėjo laisvai pasirinkti, ar duoti sutikimą dėl jo Duomenų tvarkymo, be jokių neigiamų pasekmių Asmeniui ir tokį sutikimą davė.
4.3. Ypatingi duomenys gali būti teisėtai tvarkomi Įstaigoje:
4.3.1. Darbuotojų ypatingi asmens duomenys, įskaitant sveikatos duomenis, - tik ta apimtimi, kiek yra būtina siekiant įgyvendinti teises ar pareigas darbo ir socialinės apsaugos teisės srityse arba pagal kolektyvines sutartis;
4.3.2. Kitų asmenų ypatingi duomenys kai tvarkyti duomenis būtina profilaktinės arba darbo medicinos tikslais, siekiant nustatyti medicininę diagnozę, teikti sveikatos priežiūros paslaugas ar socialinės rūpybos paslaugas ar gydymą arba valdyti sveikatos priežiūros ar socialinės rūpybos sistemas ir paslaugas remiantis ES ar valstybės narės teise;
4.3.3. Kitų asmenų ypatingi duomenys - tik ta apimtimi, kiek Asmuo galėjo laisvai pasirinkti, ar duoti sutikimą tvarkyti Ypatingus duomenis, be jokių neigiamų pasekmių Asmeniui bei davė tokį sutikimą raštu arba elektronine forma;
4.3.4. Kitų asmenų ypatingus duomenis tvarkyti yra būtina ES ar nacionalinių teismų teisminių įgaliojimų vykdymui, teisėtvarkos ar priežiūros institucijų tyrimų vykdymui;
4.3.5. Tvarkyti Ypatingus duomenis būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.
4.4. Duomenys apie Asmenų teistumą gali būti tvarkomi tik, kai tai numato specialūs teisės aktai ir tik ta apimtimi, kiek tai reikalinga atitinkamų teisės aktų įgyvendinimui, pvz., prireikus tokių duomenų viešajame pirkime ar projekto konkurse, tačiau tokie duomenys turi būti (a) saugomi atskirai nuo kitų duomenų ir su jais nejungiami ir (b) sunaikinti pasibaigus viešojo pirkimo ar projekto konkurso procedūrai, jei specialūs teisės aktai nenumato specialios Įstaigos pareigos tam tikrą laiką saugoti tokius Duomenis.

 

5. DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI

 

5.1. Siekdama užtikrinti Duomenų tvarkymo teisėtumą, Įstaiga sudaro Duomenų tvarkymo veiklos įrašus (Priedas Nr. 7), kuriuose nurodoma:
5.1.1. Duomenų valdytojo tapatybė;
5.1.2. Duomenų apsaugos pareigūnas ir jo kontaktiniai duomenys;
5.1.3. Asmenų kategorijos;
5.1.4. Duomenų kategorijos pagal kiekvieną Asmenų kategoriją;
5.1.5. Duomenų tvarkymo tikslai ir teisinis pagrindas (Bendrojo duomenų apsaugos reglamento straipsnio nuorodą) pagal kiekvieną Duomenų kategoriją;
5.1.6. Duomenų gavėjų kategorijos kiekvienai Asmenų kategorijai pagal Duomenų perdavimo tikslus bei teisinį pagrindą;
5.1.7. Jei tokių yra, duomenų gavėjai, veikiantys ne EEE šalyse, ir jiems taikomos duomenų apsaugos užtikrinimo priemonės;
5.1.8. Duomenų saugojimo terminai.
5.2. Darbuotojai supažindinami su Duomenų tvarkymo veiklos įrašais Darbo tvarkos taisyklių nustatyta tvarka.

 

6. BENDROSIOS DARBUOTOJŲ PAREIGOS DUOMENŲ APSAUGOS SRITYJE

 

6.1. Kiekvienas Darbuotojas privalo:
6.1.1. tvarkydamas Duomenis, įsitikinti, kad yra laikomasi visų reikalavimų, numatytų Taisyklėse;
6.1.2. tvarkyti Duomenis tik tam, kad atliktų savo darbo funkcijas, ir tik ta apimtimi, kiek tai reikalinga jų vykdymui;
6.1.3. visais atvejais identifikuoti Duomenis, kurie yra tvarkomi Darbuotojo veikloje bei žinoti, kad veiklai, susijusiai su Duomenimis, yra taikomi šios Taisyklės, duomenų tvarkymo sutarčių ir ADA teisės aktų reikalavimai;
6.1.4. visais atvejais įsitikinti, kad tvarkoma Duomenų kategorija yra įtraukta į Duomenų tvarkymo veiklos įrašus, o tvarkymo tikslas atitinka bent vieną iš Duomenų tvarkymo veiklos įrašuose nurodytų tikslų; apie poreikį tvarkyti naujas Duomenų kategorijas ir (ar) naujais tikslais informuoti Duomenų apsaugos pareigūną;
6.1.5. visais atvejais prieš perduodant Duomenis Tretiesiems asmenims įsitikinti, kad tokia Duomenų gavėjų kategorija yra įtraukta į Duomenų tvarkymo veiklos įrašus, o jei ketinama Duomenis perduoti už EEE ribų - kad atitinkamas Duomenų gavėjas yra įtrauktas į Duomenų tvarkymo veiklos įrašus; apie poreikį perduoti Duomenis Duomenų tvarkymo veiklos įrašuose nenurodytai Duomenų gavėjų kategorijai arba už EEE ribų veikiančiam Trečiajam asmeniui, nenurodytam Duomenų tvarkymo veiklos įrašuose, informuoti Duomenų apsaugos pareigūną.
6.1.6. įsitikinti, kad kiekvienas Asmuo, su kuriuo jie susiduria pirmą sykį Įstaigoje, buvo informuotas apie jo Duomenų tvarkymą arba turėjo galimybę pats lengvai susipažinti su šia informacija, o Duomenų tvarkymo veiklos įrašuose numatytais atvejais yra davęs sutikimą arba yra kitas teisinis pagrindas asmens Duomenų tvarkymui; jei konkrečiu atveju nėra tinkama nei viena iš Įstaigos naudojamų tipinių informacinių pranešimų formų, Darbuotojas apie tai turi nedelsiant informuoti Duomenų apsaugos pareigūną;
6.1.6.1. Įstaigos patalpose, kuriose įrengtas pacientų laukiamasis, akivaizdžiai bei aiškiai matomose vietose turi būti iškabinta ar kitaip viešai paskelbta informacija apie tai, kaip yra tvarkomi pacientų duomenys. Įstaigos darbuotojai privalo užtikrinti, kad pacientai visada turėtų galimybę susipažinti su šia informacija;
6.1.6.2. Atsakingi už Įstaigos interneto svetainės turinį Įstaigos darbuotojai užtikrina, kad šį informacija būtų lengvai prieinama Įstaigos interneto svetainėje;
6.1.6.3. Įstaigos pacientai su šia informacija nėra supažindinami pasirašytinai vadovaujantis Bendrojo duomenų apsaugos reglamento 13 str. 4 d., kadangi apie ekspertizių atlikimą pacientai yra pakankamai informuojami teismo nutartimis.
6.1.7. atsižvelgiant į atliekamų darbo funkcijų pobūdį imtis protingų pastangų, kad užtikrintų, jog visi Įstaigos valdomi Duomenys būtų tikslūs ir prireikus atnaujinami;
6.1.8. tvarkydami Duomenis, elgtis rūpestingai ir atsargiai, turėdami omenyje tai, kad Darbuotojo veiksmai, susiję su Duomenimis, kelia pavojų Įstaigai ir Asmenims, esant bet kokiam neaiškumui, susijusiam su Duomenų tvarkymu, kreiptis į Duomenų apsaugos pareigūną ir prieš atliekant Duomenų tvarkymo operaciją gauti Duomenų apsaugos pareigūno konsultaciją ar nurodymą;
6.1.9. įgyvendinti ir naudoti technines ir organizacines Duomenų apsaugos priemones, užtikrinančias Duomenų apsaugą nuo neleistinos prieigos, neteisėto rinkimo, naudojimo ir saugojimo, netyčinio praradimo, sunaikinimo ar sugadinimo, kaip tai nustatyta šiose Taisyklėse, darbo tvarkos taisyklėse ir kituose Įstaigos dokumentuose;
6.1.10. neatskleisti informacijos apie Įstaigos taikomas technines ir organizacines Duomenų apsaugos priemones, įskaitant, bet neapsiribojant, Įstaigos vidaus dokumentais, jokiems Tretiesiems asmenims, prieš tai neįsitikinus jų teise gauti tokią informaciją;
6.1.11. nesaugoti asmens duomenų jokiose Darbuotojui priklausančiose asmeninėse atmintinėse, kompiuterinėje ar programinėje įrangoje (internetinėse duomenų saugyklose, atmintinėse, kompiuteriuose, telefonuose ir pan.), nebent konkrečiu atveju Įstaiga leistų Darbuotojui naudoti konkrečias asmenines priemones darbo funkcijų vykdymui;
6.1.12. kai Darbuotojui leidžiama naudoti asmenines atmintines ir/ar kompiuterinę ar programinę įrangą darbo funkcijoms vykdyti, pasibaigus darbo santykiams perduoti visus Darbuotojo bet kokiose informacijos rinkmenose (asmeninėse internetinėse saugyklose, atmintinėse, asmeniniame kompiuteryje, telefone ir pan.) esančius Duomenis Įstaigai ir sunaikinti visas tokios informacijos kopijas;
6.1.13. kreiptis į Duomenų apsaugos pareigūną ir gauti jo konsultaciją:
6.1.13.1. ketinant Įstaigoje pasitelkti naują Paslaugų teikėją;
6.1.13.2. ketinant Įstaigoje sukurti, diegti ar naudoti naujas IKT ir (ar) kitus metodus Duomenų tvarkymui;
6.1.13.3. esant bet kokiems netikslumams, abejonėms ar klausimams, susijusiems su Taisyklių taikymu, aiškinimu, pažeidimu ar atitikimu Taisyklėms.
6.1.14. su Asmenų prašymais elgtis rūpestingai ir atidžiai; gavę bet kokį Asmens prašymą nedelsdami, ne vėliau kaip per 1 (vieną) darbo dieną nuo Asmens prašymo gavimo, pranešti apie tai Duomenų apsaugos pareigūnui;
6.1.15. nedelsiant, bet ne vėliau kaip per 12 (dvylika) valandų, nuo sužinojimo apie Duomenų saugumo pažeidimą Įstaigoje:
6.1.15.1. informuoti Duomenų apsaugos pareigūną apie Duomenų saugumo pažeidimą;
6.1.15.2. pagal savo kompetenciją imtis pagrįstų veiksmų, kad Duomenų saugumo pažeidimas būtų sustabdytas;
6.1.15.3. pagal savo kompetenciją imtis pagrįstų veiksmų, kad Duomenų saugumo pažeidimas nepasikartotų.
6.1.16. bendradarbiauti su Duomenų apsaugos pareigūnu, kitais Darbuotojais ir (ar) Paslaugų teikėjais atliekant Duomenų saugumo pažeidimo valdymą, Asmenų prašymų valdymą, Inspekcijos paklausimų valdymą ir kitas Įstaigos nustatytas su Duomenų tvarkymu susijusias procedūras;
6.1.17. per trumpiausius galimus terminus pateikti Duomenų apsaugos pareigūnui bet kokią prašomą informaciją;
6.1.18. vykdyti Duomenų apsaugos pareigūno nurodymus dėl Duomenų tvarkymo.
6.2. Nė vienam Darbuotojui neturi būti suteikta prieiga prie Duomenų, jei šie Duomenys nėra reikalingi jų darbo funkcijoms atlikti.

 

7. ASMENŲ TEISIŲ ĮGYVENDINIMAS

 

7.1. Asmenys turi šias teises, teises dėl kurių įgyvendinimo gali kreiptis į Įstaigą:
7.1.1. teisę susipažinti su duomenimis apie save;
7.1.2. teisę reikalauti ištaisyti duomenis;
7.1.3. teisę reikalauti ištrinti duomenis;
7.1.4. teisę apriboti duomenų tvarkymą;
7.1.5. teisę nesutikti;
7.1.6. teisę į duomenų perkeliamumą;
7.1.7. teisę bet kuriuo metu atšaukti sutikimą asmens duomenų tvarkymui, kai asmens duomenys buvo tvarkomi sutikimo pagrindu.
7.2. Darbuotojas, gavęs Asmens prašymą susijusį su asmens duomenimis, nedelsdamas, ne vėliau kaip per 1 (vieną) darbo dieną nuo Asmens prašymo gavimo dienos kreipiasi į Duomenų apsaugos pareigūną.
7.3. Duomenų apsaugos pareigūnas atlieka gautų Asmenų prašymų valdymą vadovaudamasis šiomis Taisyklėmis ir ADA teisės aktais.
7.4. Gavęs prašymą, Duomenų apsaugos pareigūnas:
7.4.1. peržiūri prašymą;
7.4.2. nustato prašymą pateikusio Asmens tapatybę;
7.4.3. surenka prašymo nagrinėjimui reikalingą informaciją;
7.4.4. įvertina prašymo teisinį pagrįstumą;
7.4.5. patvirtina Asmeniui, kad jo prašymas yra gautas;
7.4.6. nustato, ar ir kokia papildoma informacija iš Darbuotojų, Paslaugų teikėjų ir (ar) Asmens, kuris pateikė prašymą, yra reikalinga siekiant atsakyti į Asmens prašymą;
7.4.7. esant reikalui duoda reikiamus pavedimus Darbuotojams dėl prašymą pateikusio Asmens Duomenų tolesnio tvarkymo
7.4.8. paruošia ir pateikia Asmeniui atsakymą į prašymą.
7.5. Prašymą pateikusio Asmens tapatybė nustatoma:
7.4.1. pateikiant prašymą fiziškai - pateikiant asmens dokumentą;
7.4.2. siunčiant prašymą paštu ar per kurjerį - pateikiant notariškai patvirtintą asmens dokumento nuorašą;
7.4.3. siunčiant prašymą elektroniniu paštu - pasirašant prašymą kvalifikuotu elektroniniu parašu;
7.4.4. kitais priimtinais būdais, kai turimų duomenų užtenka Asmens tapatybei nustatyti.
7.6. Duomenų apsaugos pareigūnas užtikrina, kad:
7.6.1. į Asmens prašymą būtų atsakyta per 1 (vieną) mėnesį nuo jo gavimo dienos; jei Asmens prašymų, pateiktų to paties Asmens, sudėtingumas ar skaičius yra didelis, Duomenų apsaugos pareigūnas turi teisę pratęsti terminą atsakymui pateikti iki 2 (dviejų) mėnesių informuodamas apie tai Asmenį ir nurodydamas termino pratęsimo priežastis;
7.6.2. Asmeniui būtų pateikta tik ta informacija, kuri yra susijusi su juo;
7.6.3. Asmeniui būtų pateikiama tik tiek informacijos, kiek reikalauja ADA teisės aktai;
7.6.4. ADA teisės aktų numatytais atvejais, kai Asmuo neturi teisės pasinaudoti savo kaip duomenų subjekto teise, Asmens prašymas nebūtų tenkinamas;
7.6.5. Asmenims nebūtų atskleista jokia Įstaigos konfidenciali informacija.
7.7. Asmens prašymą tenkinti atsisakoma, kai:
7.7.1. Asmens prašymas nesusijęs su ADA teisės aktų numatytomis teisėmis;
7.7.2. Asmens prašymas susijęs su informacija, kuri nėra Duomenys;
7.7.3. Asmens prašymas susijęs su informacija apie kitą Asmenį;
7.7.4. Asmuo neturi teisės pasinaudoti atitinkamomis duomenų subjekto teisėmis pagal ADA teisės aktų nustatytus reikalavimus bei išimtis;
7.7.5. Asmens prašymas yra akivaizdžiai neproporcingas, įskaitant, bet neapsiribojant, šiais atvejais:
7.7.5.1. Asmens prašymas yra pasikartojantis - tas pats Asmuo jau yra pateikęs tokį patį Prašymą per 1 (vienus) metus iki Prašymo gavimo išskyrus atvejus, kai per šį laikotarpį Asmuo gali pagrįstai tikėtis, kad pasikeitė apie Asmenį tvarkomų Duomenų apimtis ar tikslas;
7.7.5.2. Asmens prašymas susijęs su dideliu kiekiu pasikartojančių Duomenų;
7.7.5.3. aplinkybės rodo, kad vienintelis Asmens prašymo tikslas yra sutrikdyti Įstaigos veiklą ir Įstaiga gali tai įrodyti.
7.8. Duomenų apsaugos pareigūnas į Asmens prašymą atsako elektroninėmis priemonėmis glausta ir Asmeniui suprantama forma, vartodamas aiškią ir suprantamą kalbą, išskyrus atvejus, kai Asmuo prašo žodinio atsakymo ar ne elektroninio atsakymo raštu.
7.9. Jei Asmens prašymą tenkinti atsisakoma visiškai arba iš dalies, atsakyme turi būti nurodomos atsisakymo priežastys ir informuojama apie galimybę pateikti skundą Inspekcijai ir (ar) imtis teisminės gynybos priemonių.
7.10. Jei Asmens prašymas tenkinamas, Duomenų apsaugos pareigūnas koordinuoja ir planuoja Asmens prašymo įgyvendinimą Įstaigoje, teikia nurodymus bei konsultacijas Darbuotojams ir Paslaugų teikėjams, kurie turi dalyvauti Asmens prašymo įgyvendinime.

 

8. PASLAUGŲ TEIKĖJAI

 

8.1. Duomenų apsaugos pareigūnas, sužinojęs apie ketinimą pasitelkti naują Paslaugų teikėją, turi:
8.1.1. patikrinti ir įsitikinti, kad Paslaugų teikėjas imasi tinkamų techninių ir organizacinių duomenų apsaugos priemonių ir atitinka kitus ADA teisės aktų reikalavimus;
8.1.2. pasirūpinti, kad Įstaiga prieš dalindamasi Duomenimis su Paslaugų teikėju sudarytų su juo Duomenų tvarkymo sutartį (arba įtrauktų atitinkamas nuostatas į esamas sutartis, įskaitant paslaugų teikimo sąlygas) (Priedas Nr. 4).
8.2. Jei Paslaugų teikėjas pateikia Įstaigai savo Duomenų tvarkymo sutarties formą, įskaitant paslaugų teikimo sąlygas, Duomenų apsaugos pareigūnas, prieš Įstaigai sudarant tokią sutartį, turi įsitikinti, kad ji atitinka ADA teisės aktų nustatytus reikalavimus.

 

9. VAIZDO STEBĖJIMO TAISYKLĖS

 

9.1. Vaizdo stebėjimo duomenys gali būti renkami išskirtinai siekiant apsaugoti Įstaigos turtą nuo vagysčių ir panašių nusikaltimo požymių turinčių veikų bei užtikrinti asmenų ir visuomenės saugumą, viešąją tvarką.
9.2. Vaizdo stebėjimo kameros ir jų stebima teritorija paženklinama aiškiai matomais ir suprantamais ženklais, juose turi būti nurodyta, kur galima susipažinti su stebėjimo duomenimis ir jų tvarkymo sąlygomis.
9.3. Vaizdo stebėjimas organizuojamas taip, kad į stebėjimo lauką nepakliūtų didesnė nei būtinai reikalinga teritorija ar būtų renkama daugiau vaizdo duomenų nei būtinai reikia.
9.4. Vaizdo kameros negali būti įrengiamos taip, kad į stebimas patalpas patektų vietos, kuriose Asmenys pagrįstai tikisi privatumo (pvz.: tualetai, persirengimo kambariai, poilsio zonos ir pan.).
9.5. Vaizdo stebėjimo duomenys yra prieinami tik specialiai Darbdavio paskirtam darbuotojui (-ams) arba Įstaigai saugos paslaugas teikiančiai Įstaigai; nustatęs įtariamą vagystę ar panašią nusikaltimo požymių turinčią veiką, už vaizdo stebėjimą atsakingas asmuo perduoda atitinkamą vaizdo įrašo fragmentą Įstaigos vadovui ar kitam jo paskirtam Darbuotojui; kai įtariamas Darbuotojas, jis yra supažindinamas su atitinkamu vaizdo įrašo fragmentu ir jo paprašoma pateikti paaiškinimus, kitais atvejais Įstaigos vadovo sprendimu atitinkamas vaizdo įrašo fragmentas yra perduodamas teisėsaugos institucijoms.
9.6. Vaizdas Įstaigos patalpose ir (ar) teritorijoje stebimas naudojant automatines vaizdo stebėjimo priemones - vaizdo kameras, duomenis išsaugant Įstaigos serveryje. Vaizdas stebimas 24 valandas per parą, 7 dienas per savaitę.
9.7. Vaizdo stebėjimo duomenys saugomi keturiolika kalendorinių dienų, išskyrus atvejus, kai jų prireikia siekiant pareikšti reikalavimus ar gintis nuo reikalavimų, pareikštų teisme, baudžiamojo proceso, administracinėje ar kitokioje teisinėje procedūroje. Tokiu atveju vaizdo stebėjimo duomenys saugomi tiek, kiek reikalinga šiems tikslams. Vaizdo stebėjimo priemonių sukaupti duomenys naikinami automatiškai, pasibaigus jų saugojimo tikslui.
9.8. Vaizdo stebėjimo duomenys gali būti panaudoti kaip įrodymas nustatant Darbuotojo darbo pareigų pažeidimus tik ta apimtimi, kiek tokie pažeidimai turi vagystės ar panašių nusikalstamų veikų požymių arba yra susiję su pavojumi žmonių sveikatai ar gyvybei.
9.9. Vaizdas stebimas Įstaigos patalpose ir/arba teritorijose:
9.9.1. Valstybinės teismo psichiatrijos tarnyboje prie Sveikatos apsaugos ministerijos Utenos ekspertinio skyriaus I-o (suimtų asmenų) poskyrio vidaus patalpose ir lauko teritorijoje, adresu Aušros g. 30, Utena (Priedas Nr. 8).
9.10. Atsižvelgiant į tai, kad Valstybinėje teismo psichiatrijos tarnyboje prie Įstaigoje yra dirbama su areštuotais, galimai agresyviai asmenimis, taip pat, su asmenimis turinčiais psichikos negalią ir dėl to yra galimi dažni smurto bei prievartos panaudojimo atvejai prieš darbuotojus ar trečiuosius asmenis, visos vaizdo stebėjimo kameros duomenis renka 9.1. punkte nurodytu tikslu.
9.11. Darbuotojai apie vykdomą vaizdo stebėjimą informuojami pateikiant jiems informacinius pranešimus, apie tai, kaip Įstaiga renka, naudoja ir saugo informaciją apie savo darbuotojus. Su informacija apie vykdomą vaizdo stebėjimą kiti asmenys informuojami aiškiai matomais ir suprantamais ženklais apie vykdomą vaizdo stebėjimą ir interneto puslapyje skelbiamoje vaizdo stebėjimo privatumo politikoje.
9.12. Siekiant užtikrinti vaizdo įrašų duomenų saugumą įgyvendinamos šios organizacinės ir techninės duomenų saugumo priemonės:
9.12.1. užtikrinama prieigos prie Vaizdo įrangos ir vaizdo duomenų apsauga, valdymas ir kontrolė;
9.12.2. prieiga prie Vaizdo įrangos ir vaizdo duomenų asmenims suteikiama tik pasirašytinai įsipareigojus saugoti asmens duomenų paslaptį (toliau - įsipareigojimas):
9.12.2.1. Įstaigos darbuotojai, kuriems suteikta prieiga prie vaizdo stebėjimo įrangos ir vaizdo duomenų, privalo pasirašyti pasižadėjimą saugoti duomenų paslaptį (Priedas Nr. 9);
9.12.2.2. vaizdo įrangos priežiūros paslaugų teikėjo darbuotojai, atliekantys paslaugų sutartyje numatytas paslaugas privalo pasirašyti su paslaugos teikėjų susitarimą, dėl klientų tvarkomų asmens duomenų saugojimo ir neatskleidimo, kaip tai numatyta Bendrojo duomenų apsaugos reglamento 28 straipsnio 3 dalies b punkte.
9.12.3 prieiga prie vaizdo duomenų būti suteikta tik tam Įstaigos darbuotojui, kuriam asmens duomenys yra reikalingi jam priskirtoms darbo funkcijoms atlikti;
9.12.4 su vaizdo duomenimis galima atlikti tik tuos veiksmus, kuriems atlikti yra suteiktos teisės;
9.12.5 prieigos prie vaizdo duomenų slaptažodžiai suteikiami, keičiami ir saugomi užtikrinant jų konfidencialumą;
9.12.6 už tikrinama vaizdo duomenų apsauga nuo neteisėto prisijungimo prie vidinio kompiuterių tinklo elektroninių ryšių priemonėmis - prieiga prie vidinio kompiuterių tinklo apsaugota ugniasiene;
9.12.7 užtikrinamas vaizdo įrangos, kurioje saugomi vaizdo duomenys, fizinis saugumas - ribojama ir kontroliuojama neturinčių įgaliojimų tvarkyti vaizdo duomenis asmenų prieiga prie vaizdo įrangos;
9.12.8 užtikrinama Vaizdo įrangos apsauga nuo kenksmingos programinės įrangos - įdiegtos ir nuolatos atnaujinamos vidinio tinklo ir antivirusinės apsaugos priemonės.
9.13. Prieigos teisių ir įgaliojimų tvarkyti vaizdo duomenis suteikimo, naikinimo ir keitimo tvarka:
9.13.1. prieigos teisės prie Vaizdo įrangos ir įgaliojimai tvarkyti vaizdo duomenis suteikiami, naikinami ir keičiami VTPT prie SAM direktoriaus įsakymu;
9.13.2. dėl prieigos prie vaizdo duomenų suteikimo ar naikinimo kreipiasi darbuotojo tiesioginis vadovas;
9.13.3. už įsakymo dėl prieigos prie vaizdo duomenų suteikimo ar naikinimo vykdymą atsakingi Įstaigos direktoriaus įsakymu paskirti darbuotojai;
9.13.4. prieigos teisės prie vaizdo duomenų naikinamos pasibaigus Įstaigos ir jo darbuotojo darbo santykiams, pasikeitus darbuotojo funkcijoms, kurioms vykdyti prieiga prie vaizdo duomenų nereikalinga.
9.14. Atsarginės vaizdo duomenų kopijos nėra daromos;
9.15. Vaizdo duomenys įrašomi ir saugomi šiose Taisyklėse nustatytais terminais, pasibaigus nustatytam terminui, duomenys automatiniu būdu yra sunaikinami.


10. DARBUOTOJŲ STEBĖSENOS IR KONTROLĖS DARBO VIETOJE TVARKA

 

10.1. Įstaiga, siekdama valdyti savo IKT infrastruktūrą bei užtikrinti jos saugumą, suteikia nuotolinio prisijungimą prie savo IKT (kompiuterių, planšečių, telefonų ir pan.) jų techninę priežiūrą vykdantiems Darbuotojams, išoriniams paslaugų teikėjams - programinės įrangos diegimui, atnaujinimui, gedimų šalinimui ir panašios techninės pagalbos darbams. Nors šiuo atveju nėra renkama įrenginyje saugoma informacija, teikiant techninę priežiūrą gali būti nustatyti Darbuotojo darbo pareigų pažeidimai (pvz., neteisėtai instaliuota programinė įranga) ir tokia informacija gali būti panaudota kaip įrodymas nustatant Darbuotojo darbo pareigų pažeidimus.
10.2. Darbuotojo susirašinėjimo su kitais Darbuotojais ir Trečiaisiais asmenimis (klientais, tiekėjais ir pan.) naudojant Įstaigos elektroninio pašto, socialinių tinklų ar panašią paskyrą duomenys yra saugomi Įstaigos ir (ar) Įstaigos pasitelkto atitinkamų elektroninių paslaugų tiekėjo informacinėse sistemose siekiant užtikrinti Įstaigos teisėtus interesus - sudarytų sutarčių vykdymą, ypač atsižvelgiant į tai, kad toks susirašinėjimas laikomas sutarčių dalimi, informacijos pateikimą kontrahentams, efektyvų darbo organizavimą, taip pat ir paties darbuotojo darbo palengvinimui. Šie Duomenys tvarkomi laikantis tokių taisyklių:
10.2.1. Įstaigos komunikacijos sistemos, įskaitant elektroninį paštą ir pan., technologiškai yra sukurtos informacijos saugojimui, t.y. vien dėl techninių priežasčių jos saugo visą įkeltą informaciją, jei ji nėra specialiai ištrinama;
10.2.2. Darbuotojai keldami bet kokią informaciją į Įstaigos IKT, įskaitant elektroninių pranešimų siuntimą naudojant Įstaigos elektroninį paštą ir kitas sistemas, gali ir privalo suprasti, kad tokia informacija neišvengiamai bus išsaugota. Darbdavio naudojamos technologijos neleidžia pažymėti keliamos informacijos, įskaitant elektroninio pašto žinutes, kaip asmeninės ir tokia techninė įranga reikalauja neproporcingai didelių kaštų, todėl įkėlus asmeninio pobūdžio informaciją ji gali atsitiktinai tapti žinoma kitiems asmenims. Atitinkamai Darbuotojai neturi naudoti Įstaigos IKT asmeninėms reikmėms, o tą darydami prisiima riziką, kad asmeninio pobūdžio informacija atsitiktinai gali tapti žinoma kitiems asmenims.
10.2.3. Siekiant įgyvendinti komunikacijos su Įstaigos klientais ir vidinės tarpusavio komunikacijos Įstaigoje praktiką, užtikrinti nenutrūkstamą ūkinę veiklą, kai yra būtina, Įstaigos Darbuotojams gali būti suteikiama prieigą prie kitų Įstaigos Darbuotojų naudojamų komunikacijos kanalų (pavyzdžiui, vardinio elektroninio pašto).
10.2.4. Darbuotojo susirašinėjimo duomenys siekiant užtikrinti Įstaigos veiklos nepertraukiamumą ir tęstinumą gali būti prieinami pavaduojantiems Darbuotojams jo atostogų, nedarbingumo ar panašiais laikotarpiais, o taip pat, Darbuotojui nutraukus darbo sutartį bus prieinami naujam Darbuotojui, perimsiančiam atleisto Darbuotojo darbą.
10.2.5. Laikina prieiga prie Darbuotojo susirašinėjimo duomenų gali būti suteikta kitiems Darbuotojams:
10.2.5.1. kai prireikia skubiai gauti atitinkamą informaciją, o pačio Darbuotojo nėra darbo vietoje;
10.2.5.2. kai to reikia informacijos surinkimui siekiant pareikšti arba ginantis nuo pareikštų reikalavimų teisme, administracinėse procedūrose, komerciniuose ginčuose su Darbuotoju ar Trečiaisiais asmenimis arba kitokiose teisinėse procedūrose.
10.2.6. Darbuotojo susirašinėjimo duomenys gali būti panaudoti kaip įrodymas nustatant Darbuotojo darbo pareigų pažeidimus tik kai toks pažeidimas nustatomas šiose Taisyklėse nustatyta tvarka.
10.3. Įstaiga nevykdo nuolatinio, sistemingo IKT stebėjimo, t.y. nerenka Darbuotojų Duomenų IKT, tačiau Įstaigos paskirti Darbuotojai turi teisę atlikti IKT patikrinimą, įskaitant, bet neapsiribojant, Darbuotojo elektroninio pašto, socialinių tinklų ir panašių paskyrų, išskyrus asmenines paskyras, Darbuotojo žinioje esančių kompiuterių, planšetinių kompiuterių ir kitos įrangos patikrinimą, šiais atvejais:
10.3.1. kai yra nustatoma arba tiriama nusikalstama veika, kiti rimti teisės ir (ar) darbo tvarkos taisyklių pažeidimai;
10.3.2. kai yra nustatomas arba tiriamas konfidencialios informacijos nutekėjimas, intelektinės nuosavybės pažeidimas;
10.3.3. kai vyksta bylinėjimasis;
10.3.4. kai reikia atlikti Duomenų saugumo pažeidimo valdymą;
10.3.5. kai reikia užtikrinti Įstaigos IKT saugumą.
10.4. 10.3 punkte numatytą IKT patikrinimą gali atlikti Įstaigos darbuotojai.
10.5. Įstaiga tikrina IKT tais atvejais, kai nėra kitų priemonių 10.3 punkte nurodytiems tikslams pasiekti. Sprendimą dėl IKT tikrinimo priima Įstaigos vadovas (Priedas Nr. 5).
10.6. Tikrindami IKT, Įstaigos paskirti Darbuotojai turi kiek įmanoma labiau sumažinti renkamų, naudojamų ir saugojamų Duomenų kiekį. Tikrindami IKT, Įstaigos paskirti Darbuotojai renka, naudoja ir saugo tik tokius Duomenis, kurie yra būtini IKT tikrinimui. Jei tikrinant IKT pertekliniai Duomenys buvo surinkti, Darbuotojai nedelsdami juos ištrina.
10.7. Įstaigos paskirti Darbuotojai gali pradėti tikrinti IKT po to, kai atliko žemiau išvardintus veiksmus:
10.7.1. nustatė konkrečias priežastis, įtarimus ar informaciją, dėl kurių reikia tikrinti IKT, ir konkrečius IKT tikrinimo tikslus remdamiesi šių Taisyklių 9.9 punktu;
10.7.2. nustatė, kad kitų priemonių pasiekti tikslinimo tikslams nėra arba šios priemonės yra neveiksmingos;
10.7.3. informavo Duomenų apsaugos pareigūną ir gavo jo konsultaciją dėl numatomo IKT tikrinimo;
10.7.4. reikiamais atvejais pasitelkė IKT ekspertą ir (ar) antstolį;
10.7.5. pasirūpino, kad būtų priimtas raštiškas sprendimas dėl IKT tikrinimo (Priedas Nr. 5).
10.8. Įstaigos paskirti Darbuotojai turi informuoti konkrečius Darbuotojus, kurių IKT yra tikrinamos, ir sudaryti jiems galimybę stebėti IKT tikrinimą, nebent minėtos informacijos atskleidimas sutrukdytų pasiekti tikrinimo tikslus.
10.9. Atlikę IKT patikrinimą, Įstaigos paskirti Darbuotojai turi raštu įforminti IKT tikrinimo rezultatus.

 

11. DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMAS

 

11.1. Darbuotojas, sužinojęs apie galimą Duomenų saugumo pažeidimą Įstaigoje, nedelsdamas, bet ne vėliau kaip per 12 (dvylika) valandų, turi apie tai informuoti Duomenų apsaugos pareigūną.
11.2. Duomenų apsaugos pareigūnas vykdo Duomenų saugumo pažeidimų valdymą vadovaudamasis šiomis Taisyklėmis ir ADA teisės aktais ir pildo duomenų saugumo pažeidimo registrą (Priedas Nr. 1).
11.3. Duomenų apsaugos pareigūnas užtikrina, kad laikomasi šių Taisyklių ir ADA teisės aktų nustatytų terminų. Duomenų apsaugos pareigūnas pažeidimų registre nurodydamas pratęsimo priežastis, gali pratęsti terminus, jei tai reikalinga dėl to paties Asmens Duomenų saugumo pažeidimo sudėtingumo ar masto.
11.4. Duomenų apsaugos pareigūnas, gavęs informaciją apie galimą Duomenų saugumo pažeidimą iš Darbuotojo ar pats jį pastebėjęs, nedelsdamas, bet ne vėliau kaip per 12 (dvylika) valandų, atlieka pirminę Duomenų saugumo pažeidimo analizę:
11.4.1. peržiūri informaciją apie Duomenų saugumo pažeidimą;
11.4.2. nustato Duomenų saugumo pažeidimo valdymo (įskaitant reikalingos informacijos rinkimą, konsultavimąsi su Darbuotojais ir (arba) Paslaugų teikėjais) terminus;
11.4.3. nustato, ar ir kokia papildoma informacija iš Darbuotojų yra reikalinga vykdant Duomenų saugumo pažeidimo valdymą bei paprašo šios informacijos;
11.4.4. nustato, ar ir kokie Paslaugų teikėjai, išorės Duomenų apsaugos pareigūnai, IT saugumo konsultantai ir (ar) kiti Tretieji asmenys turi būti įtraukti į Duomenų saugumo pažeidimo valdymo procesą bei prireikus prašo jų pagalbos.
11.5. Duomenų apsaugos pareigūnas, nustatęs, kad Duomenų saugumo pažeidimo valdymui reikalinga papildoma informacija, paprašo Darbuotojų ir (ar) Paslaugų teikėjų suteikti reikiamą informaciją ne vėliau kaip per 24 (dvidešimt keturias) valandas. Darbuotojai ir paslaugų teikėjai turi laiku suteikti Duomenų apsaugos pareigūnui visą prašomą informaciją.
11.6. Duomenų apsaugos pareigūnas ne vėliau kaip per 72 (septyniasdešimt dvi) valandas nuo momento, kai sužinojo apie Duomenų saugumo pažeidimą, turi užbaigti Duomenų saugumo pažeidimo valdymą, įskaitant Duomenų saugumo pažeidimo užregistravimą ir, jei reikia, pranešimų pateikimą Inspekcijai.
11.7. Duomenų apsaugos pareigūnas vykdo Duomenų saugumo pažeidimo valdymą:
11.7.1. pildydamas Duomenų saugumo pažeidimų registro įrašo formą ir joje aprašydamas kiekvieną Duomenų saugumo pažeidimą (Priedas Nr. 1);
11.7.2. teikdamas pranešimus Inspekcijai ir Asmenims apie Duomenų saugumo pažeidimus;
11.7.3. teikdamas rekomendacijas ir nurodymus Darbuotojams dėl Duomenų saugumo pažeidimų pasekmių šalinimo ar švelninimo.
11.8. Duomenų apsaugos pareigūnas raštu praneša Inspekcijai apie kiekvieną Duomenų saugumo pažeidimą (Priedas Nr. 2), išskyrus atvejus, kai Duomenų saugumo pažeidimų registro įrašas rodo, jog atitinkamas Duomenų saugumo pažeidimas nekelia pavojaus Asmenims.
11.9. Jei užpildytas Duomenų saugumo pažeidimų registro įrašas rodo, jog atitinkamas Duomenų saugumo pažeidimas kelia didelį pavojų Asmenims, kurių Duomenys buvo paveikti, Duomenų apsaugos pareigūnas raštu praneša Asmenims apie Duomenų saugumo pažeidimą, išskyrus atvejus, kai Duomenų saugumo pažeidimų registro įrašas įrodo, jog Asmenys buvo apsaugoti nuo pavojaus (pranešimo forma pridedama kaip Priedas Nr. 3).
11.10. Jei užpildytas Duomenų saugumo pažeidimų registro įrašas pagrindžia, jog Asmenų informavimas apie jų Duomenų saugumo pažeidimą pareikalautų neproporcingų pastangų, Duomenų apsaugos pareigūnas neprivalo pranešti Asmenims apie Duomenų saugumo pažeidimą. Šiuo atveju Duomenų apsaugos pareigūnas, derindamas su Įstaigos vadovu, turi imtis kitų veiksmingų priemonių, skirtų informuoti Asmenis, kurių Duomenys buvo paveikti Duomenų saugumo pažeidimo (pvz., informaciją paskelbti internete ar žiniasklaidoje) bei šias priemones nurodyti Duomenų saugumo pažeidimo registro įraše.

 

12. INSPEKCIJOS PAKLAUSIMAI

 

12.1. Duomenų apsaugos pareigūnas vykdo Inspekcijos paklausimų valdymą vadovaudamasis šiomis Taisyklėmis ir ADA teisės aktais.
12.2. Darbuotojas gavęs Inspekcijos paklausimą, nedelsiant, bet ne vėliau kaip per 1 (vieną) darbo dieną, informuoja Duomenų apsaugos pareigūną apie tokį paklausimą.
12.3. Duomenų apsaugos pareigūnas, gavęs Inspekcijos paklausimą, turi nedelsdamas atlikti pirminę Inspekcijos paklausimo analizę:
12.3.1. peržiūrėti Inspekcijos paklausimą;
12.3.2. nustatyti atsakymo į Inspekcijos paklausimą terminus (įskaitant reikalingos informacijos surinkimą, konsultacijas su Darbuotojais ir (ar) Paslaugų teikėjais);
12.3.3. jei reikia, kreiptis į Inspekciją dėl termino pateikti atsakymą pratęsimo;
12.3.4. nustatyti, ar yra reikalinga papildoma informacija iš Darbuotojų ir, jei taip - paprašyti tokią informaciją pateikti;
12.3.5. nustatyti, ar Paslaugų teikėjai, išoriniai Duomenų apsaugos pareigūnai, IT saugumo konsultantai ir (ar) Tretieji asmenys yra susiję su Inspekcijos paklausimu ir, jei taip, paprašyti jų pagalbos rengiant atsakymą į Inspekcijos paklausimą.
12.4. Surinkęs visą atsakymui į Inspekcijos paklausimą reikalingą informaciją, tačiau jokiu būdu ne vėliau kaip per Inspekcijos nustatytą terminą, Duomenų apsaugos pareigūnas parengia ir pateikia Inspekcijai atsakymą į paklausimą.

 

13. DUOMENŲ APSAUGOS PAREIGŪNAS

 

13.1. Įstaiga paskiria Duomenų apsaugos pareigūną, kuris padeda prižiūrėti kaip Įstaigoje laikomasi ADA teisės aktų reikalavimų.
13.2. Duomenų apsaugos pareigūnas turi būti tinkamai ir laiku (kuo anksčiau) įtrauktas į visus klausimus, susijusius su Duomenų apsauga Įstaigoje.
13.3. Duomenų apsaugos pareigūno vardas ir pavardė (pavadinimas, jei duomenų apsaugos pareigūno paslaugas teikia juridinis asmuo) ir kontaktiniai duomenys turi būti nurodyti Duomenų tvarkymo veiklos įrašuose bei paskelbti Įstaigos interneto puslapyje. Įstaiga apie Duomenų apsaugos pareigūno paskyrimą praneša Inspekcijai.
13.4. Duomenų apsaugos pareigūnas tiesiogiai atskaitingas Įstaigos vadovybei.
13.5. Duomenų apsaugos pareigūnas neturi gauti jokių nurodymų dėl užduočių vykdymo. Įstaiga negali atleisti Duomenų apsaugos pareigūno arba bausti jo dėl jam nustatytų užduočių atlikimo.
13.6. Įstaiga padeda Duomenų apsaugos pareigūnui vykdyti nurodytas užduotis suteikdama būtinus išteklius, taip pat suteikdama galimybę susipažinti su Duomenimis, dalyvauti duomenų tvarkymo operacijose ir išlaikyti savo ekspertines žinias.
13.7. Duomenų apsaugos pareigūnas atlieka šias užduotis:
13.7.1. informuoja įstaigą, jos Darbuotojus ir valdymo organų narius apie jų prievoles pagal ADA teisės aktus, taip pat apie Duomenų apsaugą Įstaigoje ir konsultuoja juos šiais klausimais;
13.7.2. stebi, kaip Įstaigoje laikomasi ADA teisės aktų;
13.7.3. rūpinasi Duomenų rinkimo, naudojimo ir saugojimo veikloje dalyvaujančių Darbuotojų sąmoningumo ugdymu bei mokymu;
13.7.4. atlieka ir (arba) koordinuoja Įstaigos atitikties ADA teisės aktams auditus;
13.7.5. koordinuoja, atlieka ir (ar) stebi poveikio Duomenų apsaugai vertinimus Įstaigoje;
13.7.6. stebi, ar Įstaiga kuria, diegia ir (ar) naudoja IKT Duomenų tvarkymui laikantis ADA teisės aktų reikalavimų;
13.7.7. atlieka kontaktinio asmens funkcijas Asmenims, kurie kreipiasi į Įstaigą su Duomenų tvarkymu susijusiais klausimais;
13.7.8. konsultuoja Darbuotojus dėl Duomenų perdavimo konkretiems Paslaugų teikėjams ar kitiems subjektams EEE ribose, taip pat, subjektams įsisteigusiems už EEE ribų;
13.7.9. rengia šias Taisykles, Duomenų tvarkymo veiklos įrašus, kitas su Duomenų apsauga susijusias vidaus taisykles, procedūras, šablonus, standartines formas ir kitus dokumentus, prižiūri jų laikymąsi ir juos periodiškai peržiūri;
13.7.10. koordinuoja, kad Įstaiga su visais Paslaugų teikėjais sudarytų Duomenų tvarkymo sutartis, įskaitant sąlygas dėl paslaugų teikimo (arba sutartis su Paslaugų teikėjais atitinkamomis nuostatomis);
13.7.11. praneša apie esamus ar galimus ADA teisės aktų pažeidimus, keliančius pavojus Įstaigos veiklai bei konsultuoja Darbuotojus, atsakingus už šiuos pažeidimus;
13.7.12. praneša Įstaigos vadovybei, kai Įstaigoje nesivadovaujama Duomenų apsaugos pareigūno nuomone;
13.7.13. atlieka Duomenų saugumo pažeidimų valdymą;
13.7.14. atlieka Asmenų teisių įgyvendinimo valdymą;
13.7.15. atlieka kontaktinio asmens funkcijas Inspekcijai kreipiantis į Įstaigą;
13.7.16. atlieka kitas užduotis, susijusias su Įstaigos atitiktimi ADA teisės aktų reikalavimams ir užtikrina jų laikymąsi.

 

14. POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS

 

14.1. Darbuotojai privalo prieš protingą terminą informuoti Duomenų apsaugos pareigūną, kai ketinama Įstaigoje kurti, diegti ar naudoti tam tikras IKT ir (ar) kitus metodus, skirtus tvarkyti Duomenis, šiais atvejais:
14.1.1. naujos rūšies informacinės technologijos, kurios pirmą kartą diegiamos Įstaigoje;
14.1.2. Ypatingų duomenų bazės;
14.1.3. Asmenų automatinio vertinimo ir profiliavimo įrankiai;
14.1.4. vaizdo stebėjimo priemonės;
14.1.5. IKT tikrinimo priemonės;
14.1.6. įrankiai, skirti Asmenis sekti internete;
14.1.7. nacionalinio, regioninio ar tarptautinio pobūdžio Duomenų bazės, kuriose saugomi dideli Duomenų kiekiai;
14.1.8. vaikų arba vyresnio amžiaus žmonių Duomenų bazės;
14.1.9. debesų kompiuterijos įrankiai;
14.1.10. daiktų interneto įrankiai (t.y., įrankiai, sujungiantys į interneto tinklą kasdieninius objektus ir leidžiantys jiems siųsti ir gauti Duomenis);
14.1.11. dirbtinio intelekto įrankiai;
14.1.12. blokų grandinės (angl. blockchain) įrankiai;
14.1.13. socialinių tinklų įrankiai;
14.1.14. įrankiai, dėl kurių naudojimo Duomenys tampa prieinami Paslaugų teikėjams, įsteigtiems už EEE ribų;
14.1.15. kitos konkrečios IKT ir (arba) kiti metodai, skirti Įstaigoje tvarkyti Duomenis, jeigu jie patenka į Inspekcijos patvirtintą poveikio duomenų apsaugai reikalaujančių operacijų sąrašą;
14.1.16. kitos konkrečios IKT ir (ar) kiti metodai, skirti Įstaigoje tvarkyti Duomenis, kurie kelia pavojų Asmenims pagal ADA teisės aktus.
14.2. Duomenų apsaugos pareigūnas, gavęs Darbuotojo pranešimą, jį išnagrinėjęs ir derindamas su Įstaigos vadovu turi nuspręsti, ar turi būti atliktas poveikio Duomenų apsaugai vertinimas dėl konkrečių IKT ir (ar) kitų metodų, skirtų tvarkyti Duomenis Įstaigoje.
14.3. Duomenų apsaugos pareigūnas, priėmęs sprendimą atlikti poveikio Duomenų apsaugai vertinimą, pagal šių Taisyklių ir ADA teisės aktų reikalavimus turi:
14.3.1. nustatyti, ar ir kokia papildoma informacija iš Darbuotojų ir (ar) Paslaugų teikėjų yra reikalinga siekiant atlikti poveikio Duomenų apsaugai vertinimą, ir paprašyti tokią informaciją pateikti;
14.3.2. nuspręsti, ar atliks poveikio Duomenų apsaugai vertinimą pats, ar paprašys Paslaugų teikėjo ar kitos kvalifikuotos trečiosios šalies atlikti tokį vertinimą bei paruošti išvadą;
14.3.3. nustatyti, ar ir kurie Paslaugų teikėjai, išorės duomenų apsaugos pareigūnai, IT saugumo konsultantai ir (arba) kiti tretieji asmenys turi dalyvauti poveikio Duomenų apsaugai vertinime bei paprašyti šių trečiųjų asmenų įsitraukti į poveikio Duomenų apsaugai vertinimo rengimą;
14.3.4. per protingą terminą nuo visos reikiamos informacijos gavimo pagal ADA teisės aktų reikalavimus atlikti poveikio Duomenų apsaugai vertinimą ir parengti raštišką vertinimo ataskaitą dėl kiekvienos konkrečios IKT ir (ar) metodo, užpildant poveikio Duomenų apsaugai vertinimo formą (priedas Nr. 6); o tais atvejais, kai nusprendžiama poveikio Duomenų apsaugai vertinimą pavesti atlikti Paslaugų teikėjui ar kitai kvalifikuotai trečiajai šaliai, užtikrinti, kad šiuos veiksmus atliktų atitinkamas subjektas;
14.3.5. pateikti poveikio Duomenų apsaugai vertinimo išvadą atsakingam (-iems) Darbuotojui (-ams);
14.3.6. jei Duomenų apsaugai vertinimo išvadoje nustatoma, kad kyla didelis pavojus Asmenų Duomenų apsaugai, Duomenų apsaugos pareigūnas nusprendžia, ar kreiptis į Inspekciją dėl išankstinės konsultacijos, o nusprendęs - kreipiasi į Inspekciją Įstaigos vardu. Nusprendus nesikreipti į Inspekciją dėl išankstinės konsultacijos IKT priemonės ar kitos 13.1. punkte nurodytos priemonės diegimo yra atsisakoma;
14.3.7. Duomenų apsaugos pareigūnas dalyvauja išankstinių konsultacijų procedūroje, bendradarbiauja su Inspekcija, analizuoja ir atsako į Inspekcijos paklausimus, Inspekcijos prašymu renka informaciją, jei reikia prašo Paslaugų teikėjų ir trečiųjų asmenų pagalbos arba kreipiasi į Inspekciją su prašymu gauti raštišką konsultaciją.


15. DUOMENŲ PERDAVIMAS Į TREČIĄSIAS VALSTYBES

 

15.1. Darbuotojas gali perduoti asmens duomenis konkretiems paslaugų teikėjams ar kitiems subjektams, įsteigtiems už EEE ribų, tik tais atvejais, kai tokie paslaugų teikėjai ar kiti subjektai yra įtraukti į Įstaigos Duomenų tvarkymo veiklos įrašus.
15.2. Jeigu Darbuotojas siekia pirmą sykį Įstaigoje Duomenis padaryti prieinamus konkretiems Paslaugų teikėjams ar kitiems subjektams, įsteigtiems už EEE ribų bei neįtrauktiems į Įstaigos Duomenų tvarkymo veiklos įrašus, Darbuotojas turi kreiptis į Duomenų apsaugos pareigūną ir gauti jo išankstinę konsultaciją ar nurodymus.
15.3. Duomenų apsaugos pareigūnas, prieš Įstaigai perduodant asmens duomenis konkretiems paslaugų teikėjams ar kitiems subjektams, įsteigtiems už EEE ribų, pirmą kartą, įsitikina, kad pagal Bendrojo duomenų apsaugos reglamento V skyrių yra įgyvendinamos perduodamų duomenų tinkamo lygio apsaugą užtikrinančios priemonės (pavyzdžiui, duomenys perduodami JAV bendrovei, kuri laikosi Saugaus uosto (angl. Privacy shield) principų, arba duomenų gavėjui, su kuriuo Įstaiga yra sudariusi duomenų perdavimo sutartį pagal Europos Komisijos patvirtintas standartines sutarčių sąlygas).
15.4. Tais atvejais, kai Įstaiga ketina perduoti duomenis už EEE ribų pagal paslaugos teikėjo internete skelbiamas arba kitaip Įstaigai pateiktas paslaugų teikimo taisykles, Duomenų apsaugos pareigūnas įsitikina, kad tokios taisyklės atitinka šios Tvarkos ir ADA teisės aktų reikalavimus.

 

16. BAIGIAMOSIOS NUOSTATOS

 

16.1. Šios Taisyklės įsigalioja nuo jos patvirtinimo dienos ir taikoma Darbuotojams nuo supažindinimo su Taisyklėmis dienos.
16.2. Toliau nurodyti dokumentai pridedami prie Taisyklių kaip priedai ir yra neatskiriama jos dalis:
16.2.1. Priedas Nr. 1: Duomenų saugumo pažeidimų registro įrašo forma;
16.2.2. Priedas Nr. 2: Pranešimo apie Duomenų saugumo pažeidimą Inspekcijai forma;
16.2.3. Priedas Nr. 3: Pranešimo apie Duomenų saugumo pažeidimą Asmenims forma;
16.2.4. Priedas Nr. 4: Duomenų tvarkymo sutarties forma;
16.2.5. Priedas Nr. 5: Sprendimo dėl IKT tikrinimo forma;
16.2.6. Priedas Nr. 6: Poveikio duomenų apsaugai vertinimo forma;
16.2.7. Priedas Nr. 7: Duomenų tvarkymo veiklos įrašai;
16.2.8. Priedas Nr. 8: Stebimų vidaus patalpų ir teritorijos kamerų išdėstymo planas;
16.2.9. Priedas Nr. 9: Pasižadėjimas saugoti asmens duomenis.


                                              ____________________________________________________

 

 

 

 

 

Atnaujinta: 2019 sausio 03 d.
 
Kontaktai
A.Kojelavičiaus g. 121,

LT-11106 Vilnius

Žemėlapis

Tel. 8~5 2677200

El. p.: info@vtpt.lt

Valstybės biudžetinė įstaiga. Duomenys kaupiami ir saugomi juridiniu asmenų registre.

Kodas 191671615

Mums rūpi jūsų nuomonė
Siųsti
 
Sprendimas: Fresh media. Naudojama EasyWeb 3.0