VALSTYBINĖS TERITORIJŲ PLANAVIMO IR STATYBOS INSPEKCIJOS PRIE APLINKOS MINISTERIJOS VIRŠININKAS

ĮSAKYMASDĖL VALSTYBINĖS TERITORIJŲ PLANAVIMO IR STATYBOS INSPEKCIJOS PRIE APLINKOS MINISTERIJOS VIRŠININKO 2014 M. GRUODŽIO 30 D. ĮSAKYMO NR.

1V-205 „DĖL ASMENS DUOMENŲ TVARKYMO VALSTYBINĖJE TERITORIJŲ PLANAVIMO IR STATYBOS INSPEKCIJOJE PRIE APLINKOS MINISTERIJOS TAISYKLIŲ PATVIRTINIMO IR ATSAKINGŲ UŽ DUOMENŲ SAUGĄ ASMENŲ

SKYRIMO“ PAKEITIMO

2019 m. birželio 27 d. Nr. 1V-92Vilnius

1. P a k e i č i u Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos viršininko 2014 m. gruodžio 30 d. įsakymą Nr. 1V-205 „Dėl Asmens duomenų tvarkymo Valstybinėje teritorijų planavimo ir statybos inspekcijoje prie Aplinkos ministerijos taisyklių patvirtinimo ir atsakingų už duomenų saugą asmenų skyrimo“ ir jį išdėstau nauja redakcija:

„VALSTYBINĖS TERITORIJŲ PLANAVIMO IR STATYBOS INSPEKCIJOS PRIE APLINKOS MINISTERIJOS VIRŠININKAS

ĮSAKYMASDĖL ASMENS DUOMENŲ TVARKYMO IR DUOMENŲ SUBJEKTŲ TEISIŲ

ĮGYVENDINIMO VALSTYBINĖJE TERITORIJŲ PLANAVIMO IR STATYBOS INSPEKCIJOJE PRIE APLINKOS MINISTERIJOS TAISYKLIŲ PATVIRTINIMO

Vadovaudamasi Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos nuostatų, patvirtintų Lietuvos Respublikos aplinkos ministro 2003 m. liepos 9 d. įsakymu Nr. 349 „Dėl Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos nuostatų patvirtinimo“, 19.1 ir 19.15 papunkčiais ir siekdama užtikrinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo ir kuriuo panaikina Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, P. 1) nuostatų įgyvendinimą,

t v i r t i n u pridedamas:1. Asmens duomenų tvarkymo Valstybinėje teritorijų planavimo ir statybos inspekcijoje

prie Aplinkos ministerijos taisykles;2. Duomenų subjektų teisių įgyvendinimo Valstybinėje teritorijų planavimo ir statybos

inspekcijoje prie Aplinkos ministerijos taisykles.“ 2. N u r o d a u Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos

ministerijos (toliau – Inspekcija) darbuotojams ne vėliau kaip per 20 darbo dienų nuo šio įsakymo įsigaliojimo dienos pasirašyti, dokumentų valdymo informacinėje sistemoje „Avilys“ užregistruoti ir Inspekcijos duomenų apsaugos pareigūnui perduoti susipažinti Asmens duomenų tvarkymo Valstybinėje teritorijų planavimo ir statybos inspekcijoje prie Aplinkos ministerijos taisyklių

2

5 priede nurodytos formos Pasižadėjimą saugoti asmens duomenų paslaptį.3. N u s t a t a u, kad šis įsakymas įsigalioja 2019 m. liepos 1 d.

L. e. viršininko pareigas Renata Planutienė

3

PATVIRTINTAValstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos viršininko 2014 m. gruodžio 30 d. įsakymu Nr. 1V-205(Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos viršininko 2019 m. birželio 27 d. įsakymo Nr. 1V- 92redakcija)

ASMENS DUOMENŲ TVARKYMO VALSTYBINĖJE TERITORIJŲ PLANAVIMO IR STATYBOS INSPEKCIJOJE PRIE APLINKOS MINISTERIJOS

TAISYKLĖS

I SKYRIUSBENDROSIOS NUOSTATOS

1.Asmens duomenų tvarkymo Valstybinėje teritorijų planavimo ir statybos inspekcijoje prie Aplinkos ministerijos taisyklės (toliau – Taisyklės) nustato asmens duomenų tvarkymui Valstybinėje teritorijų planavimo ir statybos inspekcijoje prie Aplinkos ministerijos (toliau – Inspekcija) keliamus reikalavimus.

2.Inspekcijoje asmens duomenys tvarkomi vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Lietuvos Respublikos statybos įstatymu, Lietuvos Respublikos teritorijų planavimo įstatymu, Lietuvos Respublikos teritorijų planavimo ir statybos valstybinės priežiūros įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą.

3.Taisyklėse vartojamos sąvokos atitinka Reglamente (ES) 2016/679 vartojamas sąvokas.4.Taisyklių privalo laikytis visi Inspekcijos valstybės tarnautojai ir darbuotojai, dirbantys

pagal darbo sutartis, asmenys, priimti atlikti praktiką Inspekcijoje, (toliau visi kartu – darbuotojai), kurie tvarko Inspekcijoje esančius asmens duomenis arba eidami savo pareigas juos sužino.

5. Asmens duomenys Inspekcijoje turi būti:5.1. duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo,

sąžiningumo ir skaidrumo principas);5.2. renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais

tikslais nesuderinamu būdu; tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais nėra laikomas nesuderinamu su pirminiais tikslais (tikslo apribojimo principas);

5.3. adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

5.4. tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);

5.5. laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, įgyvendinus

4

atitinkamas technines ir organizacines priemones, reikalingas siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);

5.6. tvarkomi taip, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).

6.Inspekcija yra atsakinga už Taisyklių 5 punkte nurodytų principų laikymąsi ir turi sugebėti įrodyti, kad jų laikomasi (atskaitomybės principas).

7.Asmens duomenys Inspekcijoje renkami tik teisės aktų nustatyta tvarka, juos gaunant tiesiogiai iš duomenų subjekto, oficialiai paklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų, teisės aktų ir duomenų teikimo sutarčių pagrindu prisijungiant prie atskirus duomenis kaupiančių duomenų bazių, registrų bei informacinių sistemų.

II SKYRIUSASMENS DUOMENŲ VALDYTOJAS, ASMENS DUOMENŲ TVARKYTOJAI

8. Inspekcija yra Taisyklių 1 ir 4 prieduose nurodytų asmens duomenų valdytoja ir tvarkytoja.

9. Inspekcijoje įgyvendinti atskaitomybės principą padeda duomenų apsaugos pareigūnas. 10. Inspekcijoje duomenų apsaugos pareigūno funkcijas vykdo paskirtas Inspekcijos

administracijos darbuotojas. Duomenų apsaugos pareigūno kontaktiniai duomenys skelbiami Inspekcijos interneto svetainės skiltyje „Asmens duomenų apsauga“. Duomenų subjektai gali kreiptis į duomenų apsaugos pareigūną visais klausimais, susijusiais jų asmeninių duomenų tvarkymu ir naudojimusi savo teisėmis pagal Reglamentą (ES) 2016/679 ir Taisykles.

11. Duomenų apsaugos pareigūnas:11.1. informuoja asmens duomenis tvarkančius darbuotojus apie jų prievoles pagal

Reglamentą (ES) 2016/679 ir kitus Europos Sąjungos arba Lietuvos Respublikos teisės aktus ir konsultuoja juos šiais klausimais;

11.2. stebi, kaip laikomasi Reglamento (ES) 2016/679, kitų Europos Sąjungos arba Lietuvos Respublikos teisės aktų nuostatų ir Inspekcijos politikos asmens duomenų apsaugos srityje, įskaitant pareigų pavedimą, duomenų tvarkymo operacijose dalyvaujančių darbuotojų informuotumo didinimą bei mokymą ir susijusius auditus;

11.3. konsultuoja dėl poveikio duomenų apsaugai vertinimo ir stebi jo atlikimą pagal Reglamento (ES) 2016/679 35 straipsnį;

11.4. bendradarbiauja su Asmens duomenų apsaugos inspekcija (toliau – Priežiūros institucija);

11.5. atlieka kontaktinio asmens funkcijas Priežiūros institucijai kreipiantis su duomenų tvarkymu susijusiais klausimais, įskaitant Reglamento (ES) 2016/679 36 straipsnyje nurodytas išankstines konsultacijas, ir prireikus konsultuoja visais kitais klausimais;

11.6. rengia su duomenų apsauga susijusius Inspekcijos teisės aktus;11.7. vykdo kitas Reglamente (ES) 2016/679, šiose Taisyklėse ir kituose teisės aktuose

asmens duomenų apsaugos pareigūnui priskirtas užduotis.12. Asmens duomenų tvarkymui Inspekcijos vardu, Inspekcija gali pasitelkti asmens

duomenų tvarkytojus (toliau – Tvarkytojai). Pasitelkti galima tik tuos Tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Reglamento (ES) 2016/679 reikalavimus ir būtų užtikrinta

5

duomenų subjekto teisių apsauga. Inspekcijos ir duomenų tvarkytojų santykiai nustatomi rašytinėmis sutartimis, išskyrus atvejus, kai tokius santykius nustato įstatymai ar kiti teisės aktai. Tvarkytojo funkcijos įgyvendinamos pagal Reglamento (ES) 2016/679 28 straipsnį.

13. Tais atvejais, kai Inspekcija įgalioja duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp Inspekcijos ir duomenų tvarkytojo sudarytoje rašytinėje asmens duomenų tvarkymo sutartyje arba teisės akte, kuris yra privalomas Tvarkytojui Inspekcijos atžvilgiu, turi būti nustatomas duomenų tvarkymo dalykas ir trukmė, pobūdis ir tikslas, asmens duomenų rūšis, duomenų subjektų kategorijos, Inspekcijos teisės ir pareigos bei tai, kad Tvarkytojas:

13.1. asmens duomenis tvarko laikydamasis duomenų tvarkymą reglamentuojančių teisės aktų reikalavimų ir tik pagal Inspekcijos įformintus nurodymus;

13.2. privalo užtikrinti Inspekcijos perduodamų tvarkyti duomenų konfidencialumą, kad asmenys įgalioti tvarkyti asmens duomenis, būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkamais įstatais nustatyta konfidencialumo prievolė;

13.3. užtikrina ir įgyvendina saugumo priemones, kurių reikalaujama pagal Reglamento (ES) 2016/679 32 straipsnį;

13.4. gali pasitelkti kitą duomenų tvarkytoją (subtvarkytoją) tik gavęs išankstinį Inspekcijos sutikimą arba pasirašydamas su Inspekcija rašytinę sutartį. Kai Tvarkytojas konkrečiai duomenų tvarkymo veiklai Inspekcijos vardu atlikti pasitelkia kitą duomenų tvarkytoją, sutartimi ar kitu teisės aktu tam kitam duomenų tvarkytojui nustatomos tos pačios duomenų apsaugos prievolės, kaip ir prievolės, nustatytos Inspekcijos ir Tvarkytojo sutartyje ar kitame teisės akte, visų pirma prievolė pakankamai užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Reglamento (ES) 2016/679 reikalavimus. Kai tas kitas duomenų tvarkytojas nevykdo duomenų apsaugos prievolių, pirminis duomenų tvarkytojas išlieka visiškai atsakingas duomenų valdytojui už to kito duomenų tvarkytojo prievolių vykdymą;

13.5. atsižvelgiant į duomenų tvarkymo pobūdį, padeda Inspekcijai taikydamas tinkamas technines ir organizacines priemones, kiek tai įmanoma, kad būtų įvykdyta Inspekcijos prievolė atsakyti į prašymus pasinaudoti Reglamento (ES) 2016/679 III skyriuje nustatytomis duomenų subjekto teisėmis;

13.6. padeda Inspekcijai užtikrinti Reglamento (ES) 2016/679 32-36 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdamas į duomenų tvarkymo pobūdį ir Tvarkytojo turimą informaciją;

13.7. pagal Inspekcijos pasirinkimą, užbaigus teikti su duomenų tvarkymu susijusias paslaugas, ištrina arba grąžina Inspekcijai visus asmens duomenis ir ištrina esamas jų kopijas, išskyrus atvejus, kai pagal teisės aktus reikalaujama asmens duomenis saugoti;

13.8. pateikia Inspekcijai visą informaciją, būtiną siekiant įrodyti, kad vykdomos Reglamento (ES) 2016/679 28 straipsnyje nustatytos prievolės, ir sudaro sąlygas bei padeda Inspekcijai ar kitam Inspekcijos įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus;

13.9. turi kitas Reglamente (ES) 2016/679 numatytas pareigas, pvz., tvarkyti duomenų veiklos įrašus apie duomenų tvarkytojo veiklą, paskirti duomenų apsaugos pareigūną (kai taikoma) ir kt.

14. Jei asmens duomenų tvarkymui būtina suteikti prieigą prie informacinių sistemų ir pan., prieigos teisės prie asmens duomenų suteikiamos tik legaliems naudotojams, kurie turi teisę juos tvarkyti, ir tik tokia apimtimi, kiek jos būtinos siekiant tinkamai vykdyti sutartį, sudarytą su Tvarkytoju. Sutartyje turi būti nurodyta, kad prieigos teisės prie asmens duomenų naikinamos nutraukus sutartį, sudarytą su asmens duomenų tvarkytoju, ar šiai sutarčiai nustojus galioti.

6

15. Bendradarbiavimo su Tvarkytojais sutarčių rengimo, pasirašymo, pakeitimo, atnaujinimo ar nutraukimo procedūras inicijuoja ir jas pagal kompetenciją vykdo atitinkamas Inspekcijos administracijos padalinys ar darbuotojas, suderinę su duomenų apsaugos pareigūnu. Esant poreikiui, inicijuoti bendradarbiavimo su duomenų tvarkytojais sutarčių atnaujinimą, pakeitimą ir (ar) nutraukimą gali ir Inspekcijos duomenų apsaugos pareigūnas. Siekiant tinkamai valdyti asmens duomenų judėjimą, duomenų tvarkytojai registruojami žurnale pagal patvirtintą formą (Taisyklių 2 priedas). Duomenų tvarkytojų registracijos žurnalas pildomas popierine forma. Už duomenų tvarkytojų registro pildymą atsakingas duomenų apsaugos pareigūnas. Atsakingi Inspekcijos administracijos padaliniai ir darbuotojai ne vėliau kaip per 2 darbo dienas nuo sutarties su duomenų tvarkytoju sudarymo/ pakeitimo, sutarties kopiją privalo pateikti duomenų apsaugos pareigūnui susipažinti.

III SKYRIUSASMENS DUOMENŲ GAVĖJAI

16. Asmens duomenys tretiesiems asmenims teikiami tik įstatymų ir kitų teisės aktų nustatytais atvejais ir tvarka:

16.1. asmenų, pateikusių Inspekcijai skundą ar prašymą, asmens duomenys skundo ar prašymo nagrinėjimo tikslu – juridiniams ir fiziniams asmenims;

16.2. asmenų, pateikusių Inspekcijai skundą ar prašymą, ir duomenų valdytojų (fizinių asmenų) asmens duomenys ginčo dėl Inspekcijos priimto sprendimo teisėtumo nagrinėjimo tikslu – teismams, neteisminio ginčo nagrinėjimo institucijoms;

16.3. Inspekcijos valstybės tarnautojų duomenys asmens duomenys Valstybės tarnybos departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos valstybės tarnybos valdymo tikslu;

16.4. Inspekcijos darbuotojų asmens duomenys Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos socialinio draudimo mokesčio administravimo tikslu, Valstybinei mokesčių inspekcijai prie Lietuvos Respublikos finansų ministerijos – mokesčių administravimo tikslu;

16.5. viešųjų pirkimų laimėtojo duomenys Viešųjų pirkimų tarnybai informavimo apie pirkimo procedūros rezultatus tikslu;

16.6. Inspekcijos valdomuose registruose ir informacinėse sistemos esantys duomenų subjektų asmens duomenys, atitinkamo registro ar atitinkamos informacinės sistemos nuostatuose nurodytiems susijusiems registrams, informacinėms sistemoms bei kitiems duomenų gavėjams duomenų teikimo sutarčių pagrindais;

16.7. asmenų, patekusių į Inspekcijos atliekamo vaizdo stebėjimo lauką, vaizdo duomenys asmenų ir turto apsaugos tikslu – ikiteisminio tyrimo institucijoms, teismams ar kitoms valstybės įgaliotoms institucijoms;

16.8. asmenų, skambinusių į Inspekciją telefonu, pokalbių duomenys galimų teisės aktų pažeidimų nustatymo tikslu – ikiteisminio tyrimo institucijoms, teismams ar kitoms valstybės įgaliotoms institucijoms;

16.9. žiniasklaidos atstovų duomenys ginčo dėl Lietuvos Respublikos visuomenės informavimo įstatyme ir kituose visuomenės informavimą reglamentuojančiuose įstatymuose bei teisės aktuose nustatytų visuomenės informavimo principų nesilaikymo nagrinėjimo tikslu – Žurnalistų etikos inspektoriaus tarnybai, teismams ar kitoms valstybės įgaliotoms institucijoms;

7

16.10. kitiems tretiesiems asmenims, kuriems asmens duomenis teikti Inspekciją įpareigoja įstatymai ar kiti teisės aktai.

17. Asmens duomenų teikimas valstybės ir savivaldybės institucijoms ir įstaigoms, kai šios institucijos ir įstaigos pagal konkretų paklausimą gauna asmens duomenis įstatymų nustatytoms kontrolės funkcijoms vykdyti, nelaikytinas duomenų teikimu duomenų gavėjams.

18. Inspekcija asmens duomenis tretiesiems asmenims teikia pagal sudarytą sutartį arba vienkartinį duomenų gavėjo prašymą, nepažeisdama teisės aktuose įtvirtintų reikalavimų ir asmens duomenų konfidencialumo užtikrinimo bei laikydamasi duomenų valdytojo atskaitomybės principo. Vienkartiniai prašymai teikiami ir nagrinėjami Asmenų prašymų, skundų nagrinėjimo ir asmenų aptarnavimo Valstybinėje teritorijų planavimo ir statybos inspekcijoje prie Aplinkos ministerijos taisyklių, patvirtintų Inspekcijos viršininko 2014 m. sausio 8 d. įsakymu Nr. 1V-5 „Dėl Asmenų prašymų, skundų nagrinėjimo ir asmenų aptarnavimo Valstybinėje teritorijų planavimo ir statybos inspekcijoje prie Aplinkos ministerijos taisyklių patvirtinimo“, nustatyta tvarka.

19. Vienkartinio duomenų teikimo atveju Inspekcija, teikdama asmens duomenis, pirmenybę teikia duomenų teikimui elektroninių ryšių priemonėmis, jeigu prašyme nenurodyta kitaip. Siekiant įgyvendinti Reglamento (ES) 2016/679 5 straipsnio 2 dalyje įtvirtintą duomenų valdytojo atskaitomybės principą, duomenys trečiosioms šalims gali būti teikiami tik, kai duomenų gavėjas teiktame prašyme nurodo aplinkybes, pagrindžiančias, kad duomenų tvarkymas (teikimas) atitinka Reglamento (ES) 2016/679 5 straipsnyje įtvirtintus principus ir yra pagrįstas bent viena Reglamento (ES) 2016/679 6 straipsnio 1 dalyje arba 9 straipsnio 2 dalyje įtvirtinta teisėto duomenų tvarkymo sąlyga. Prašyme privaloma nurodyti:

19.1. duomenų gavimo konkretų ir aiškiai apibrėžtą tikslą;19.2. jeigu yra, duomenų tvarkymo (gavimo) teisinį pagrindą, įtvirtintą Lietuvos

Respublikos arba Europos Sąjungos teisės aktuose, ir konkrečią jų nuostatą, suteikiančią teisę gauti asmens duomenis;

19.3. duomenų tvarkymo (gavimo) teisėtą sąlygą, įtvirtintą Reglamento (ES) 2016/679 6 straipsnio 1 dalyje arba 9 straipsnio 2 dalyje, kuria vadovaujantis suteikiama teisė gauti asmens duomenis;

19.4. duomenų teisėto tvarkymo (teikimo) sąlygą, įtvirtintą Reglamento (ES) 2016/679 6 straipsnio 1 dalyje arba 9 straipsnio 2 dalyje, kuria vadovaudamasi Inspekcija turi teisę pateikti šiuos duomenis trečiajam asmeniui;

19.5. konkrečią prašomų duomenų apimtį, t. y. kokių konkrečių duomenų prašoma: vardo, pavardės, paskirtos baudos dydžio ir pan. Prašymai pateikti visą turimą informaciją apie asmenį nelaikytini konkrečiais;

19.6. kai duomenis tvarkyti (teikti) reikia siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas arba teikti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų apsaugos, kodėl šių asmenų interesai yra viršesni už duomenų subjekto teises ir laisves.

20. Duomenų teikimo sutartyje turi būti įtvirtintos Taisyklių 19.1 – 19.6 papunkčiuose numatytos nuostatos ir asmens duomenų teikimo (gavimo) sąlygos bei tvarka.

21. Inspekcijos darbuotojas, nagrinėjantis gautą prašymą pateikti asmens duomenis, privalo:

21.1. patikrinti, kad prašyme nurodytas asmens duomenų naudojimo tikslas yra konkretus ir teisėtas (nurodymas, kad duomenys reikalingi nagrinėjant bylą ar teikiant ieškinį, paprastai nelaikomas konkrečiu tikslu);

8

21.2. patikrinti, ar duomenų gavėjas pagrįstai remiasi prašyme nurodytu gavimo ir teikimo teisiniu pagrindu bei teisėta duomenų teikimo ir gavimo sąlyga, įtvirtinta Reglamento (ES) 2016/679 6 straipsnio 1 dalyje arba 9 straipsnio 2 dalyje;

21.3. kai duomenis pateikti prašoma remiantis Reglamento (ES) 2016/679 6 straipsnio 1 dalies e arba f punktais, įvertinti, ar gavėjo interesai tikrai yra svarbesni už duomenų subjekto teises ir laisves;

21.4. įvertinti, ar prašomų pateikti duomenų apimtis nėra per didelė nurodytam tikslui pasiekti.

IV SKYRIUSASMENS DUOMENŲ TVARKYMO PAGRINDAI IR TIKSLAI

22. Inspekcijoje asmens duomenys yra tvarkomi tik Reglamento (ES) 2016/679 6 straipsnyje nurodytais pagrindais (sąlygomis):

22.1. duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais tikslais;

22.2. tvarkyti asmens duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;

22.3. tvarkyti duomenis būtina, kad būtų įvykdyta Inspekcijai taikoma teisinė prievolė;22.4. tvarkyti asmens duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar

kito fizinio asmens interesus;22.5. tvarkyti asmens duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso

labui arba vykdant Inspekcijai pavestas viešojo administravimo funkcijas;22.6. tvarkyti duomenis būtina siekiant teisėtų Inspekcijos ar trečiosios šalies interesų,

išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač, kai duomenų subjektas yra vaikas.

23. Specialių kategorijų asmens duomenys yra tvarkomi laikantis Reglamento (ES) 2016/679 9 straipsnyje nustatytų reikalavimų.

V SKYRIUSSUTIKIMAS KAIP ASMENS DUOMENŲ TVARKYMO PAGRINDAS

 24. Asmens duomenys sutikimo pagrindu tvarkomi:24.1. kai, tai tiesiogiai numatyta Reglamente (ES) 2016/679, Taisyklėse arba kituose teisės

aktuose;24.2.  kai, atsižvelgiant į duomenų tvarkymo tikslą ar duomenų kiekį, Inspekcija neturi kito

teisinio pagrindo tvarkyti asmens duomenis ar įvykdyti kitus Reglamente (ES) 2016/679 nustatytus įpareigojimus visa apimtimi. Jeigu asmens duomenys, atsižvelgiant į jų kiekį ir tvarkymo tikslus, gali būti tvarkomi bent vienu iš Reglamento (ES) 2016/679 6 straipsnyje numatytu pagrindu, papildomai pateikti duomenų subjekto sutikimą nėra prašoma;

24.3.  kai tai labiausiai atitinka Inspekcijos interesus ir padidintos rizikos atvejais sumažina asmens duomenų tvarkymo neteisėtumo riziką.

25. Sutikimas gali būti asmens duomenų tvarkymo pagrindas, jei atitinka šiuos reikalavimus:25.1. duotas laisva duomenų subjekto valia;25.2. sutikimas yra konkretus ir išsamus, jame aiškiai ir išsamiai nurodytas konkretus ir

teisėtas asmens duomenų tvarkymo tikslas, nurodyti konkretūs asmens duomenys, kurie bus

9

tvarkomi konkrečiais duomenų tvarkymo tikslais, nurodytos duomenų tvarkymo operacijos (veiksmai), kurios bus atliekamos sutikimo pagrindu, duomenų subjektui sudaroma galimybė sutikti tik su atskirais duomenų tvarkymo tikslais, jeigu sutikimas duodamas keliems duomenų tvarkymo tikslams, taip pat tik su konkrečiomis duomenų tvarkymo operacijomis (veiksmais);

25.3. sutikimą duomenų subjektas davė tinkamai informuotas. Tam, kad šis reikalavimas būtų įvykdytas, prieš duomenų subjektui pasirašant sutikimą, jam turi būti pateikta Reglamento (ES) 2016/679 13 straipsnyje nurodyta informacija bei informuojama apie duomenų subjekto teisę bet kuriuo metu atšaukti savo sutikimą. Informacija gali būti pateikta raštu, žodžiu;

25.4. sutikimas yra nedviprasmiškas duomenų subjekto valios išreiškimas, kad su juo susiję duomenys būtų tvarkomi. Sutikimas turi būti duodamas aktyviais veiksmais;

25.5. sutikimas turi būti parašytas paprasta, aiškia, duomenų subjektui suprantama kalba.26. Sutikimas turi būti gaunamas prieš atliekant duomenų tvarkymo operacijas (veiksmus),

dėl kurių renkamas sutikimas. 27.  Duomenų subjekto sutikimas duodamas:27.1 užpildant ir raštu teikiant Inspekcijai Taisyklių 3 priede nustatytos formos Sutikimą dėl

asmens duomenų tvarkymo. Sutikimas registruojamas gautų dokumentų registre;27.2. pažymint langelį dėl sutikimo popierinėje formoje;27.3. pažymint langelį (mygtuką) dėl sutikimo ar paspaudžiant sutikimo nuorodą Inspekcijos

interneto svetainėje ar kitoje informacinėje sistemoje;27.4. kitais būdais, jeigu yra galimybė įrodyti, kad toks sutikimas buvo duotas.28. Kai duomenys tvarkomi remiantis sutikimu, Inspekcija turi galėti įrodyti, kad duomenų

subjektas davė sutikimą, kad būtų tvarkomi jo asmens duomenys.29.  Kai asmens duomenys yra tvarkomi sutikimo pagrindu, tvarkomi tik tie asmens

duomenys, kurie nurodyti sutikime, tik tais tikslais, kurie nurodyti sutikime, ir su jais atliekamos tik tos tvarkymo operacijos (veiksmai), kurios nurodytos sutikime. Jeigu keičiasi tvarkomų duomenų kiekis, tvarkymo tikslas ar tvarkymo operacijos (veiksmai), privaloma gauti papildomą sutikimą tokiam duomenų tvarkymui arba turi egzistuoti kitas Reglamento (ES) 2016/679 6 straipsnyje įtvirtintas asmens duomenų tvarkymo teisinis pagrindas.

30.  Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Duomenų subjektui atšaukus sutikimą, draudžiama tvarkyti asmens duomenis tais tikslais ir atlikti duomenų tvarkymo operacijas (veiksmus), kurios buvo atliekamos tokio sutikimo pagrindu, išskyrus atvejus, kai tokiam duomenų tvarkymui egzistuoja kitas Reglamento (ES) 2016/679 6 straipsnyje įtvirtintas asmens duomenų tvarkymo teisinis pagrindas. Sutikimui atšaukti yra sudaromos analogiškos sąlygos kaip ir sutikimui duoti, draudžiama apsunkinti ar sudaryti papildomas sąlygas sutikimui atšaukti. Sutikimo atšaukimas negali sukelti duomenų subjektui neigiamų padarinių, įskaitant paslaugos kokybės sumažinimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie šiame punkte išdėstytas nuostatas privalo būti informuojamas prieš jam duodant sutikimą.

31.  Sutikimas galioja iki jo atšaukimo momento arba iki sutikime nurodyto jo galiojimo termino pabaigos.

32. Sutikimas ir jame nurodyti asmens duomenys yra saugomi vienerius metus nuo sutikimo atšaukimo arba jo galiojimo termino pabaigos, arba nuo Inspekcijos sprendimo nebetvarkyti asmens duomenų sutikime nustatytais tikslais priėmimo dienos, išskyrus atvejus, kai teisės aktai numato kitokį duomenų saugojimo terminą. Jei sutikimo duomenys naudojami kaip įrodymai ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje arba kitais įstatymų

10

nustatytais atvejais, asmens duomenys gali būti saugomi tiek, kiek reikia šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.

VI SKYRIUSASMENS DUOMENŲ TVARKYMUI KELIAMI REIKALAVIMAI

PIRMASIS SKIRSNISBENDRIEJI REIKALAVIMAI

33. Inspekcijoje asmens duomenys yra tvarkomi automatiniu ir neautomatiniu būdu, laikantis Reglamente (ES) 2016/679, Taisyklėse ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytų reikalavimų.

34. Inspekcijoje yra tvarkomi duomenų tvarkymo veiklos įrašai (toliau – įrašai) pagal Taisyklėse patvirtintą formą (Taisyklių 4 priedas), įrašus registruojant Asmens duomenų tvarkymo įrašų registravimo žurnale. Inspekcijoje vykdoma asmens duomenų tvarkymo veikla privalo tiksliai atitikti Asmens duomenų tvarkymo įrašų registravimo žurnale nurodytus įrašus. Inspekcijoje yra tvarkomi tik tie asmens duomenys ir tik tuo tikslu bei tuo teisiniu pagrindu, kurie nurodyti Taisyklių 1 priede ir Asmens duomenų tvarkymo įrašų registravimo žurnale.

35. Įrašai tvarkomi raštu, įskaitant elektronine forma. Asmens duomenų tvarkymo įrašų registravimo žurnale esantys įrašai turi būti teisingi, aktualūs ir išsamūs, atspindėti realią Inspekcijos duomenų tvarkymo veiklą. Asmens duomenų tvarkymo įrašų registravimo žurnalą pildo duomenų apsaugos pareigūnas. Įrašus duomenų apsaugos pareigūnui privalo pateikti kiekvienas Inspekcijos administracijos padalinys pagal kompetenciją. Asmens duomenų tvarkymo įrašų registracijos žurnalas saugomas pas duomenų apsaugos pareigūną.

36. Inspekcijoje periodiškai, ne rečiau kaip vieną kartą per metus, tikrinama, ar vykdoma asmens duomenų tvarkymo veikla atitinka Asmens duomenų tvarkymo įrašų registravimo žurnale nurodytus įrašus. Už šias patikras yra atsakingas duomenų apsaugos pareigūnas, kuris patikrai atlikti gali pasitelkti kitus Inspekcijos darbuotojus. Patikros rezultatai yra įforminami tarnybiniu pranešimu, kuriame nurodoma, ar Inspekcijos vykdoma asmens duomenų tvarkymo veikla atitinka Asmens duomenų tvarkymo įrašų registravimo žurnale nurodytus įrašus, nurodomi trūkumai, jeigu tokie nustatyti, bei rekomendacijos, kaip nustatytus trūkumus ištaisyti. Patikros išvados pateikiamos Inspekcijos viršininkui.

37. Inspekcijoje asmens duomenys yra tvarkomi ne ilgiau, negu to reikalauja duomenų tvarkymo tikslai. Konkretūs dokumentų, automatinių duomenų rinkmenų ir duomenų bazių, jų kopijų, kuriuose nurodomi asmenys duomenys, saugojimo terminai nustatyti Inspekcijos viršininko įsakymu patvirtintame Dokumentacijos plane, registrų ir informacinių sistemų nuostatuose, registrų ir informacinių sistemų saugos nuostatuose. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams įgyvendinti, jie yra perduodami į Inspekcijos archyvą arba valstybės archyvą arba sunaikinami, išskyrus tuos asmens duomenis, kurie įstatymų nustatyta tvarka turi būti perduodami į valstybės archyvą.

38. Inspekcija suteikia įgaliojimus ir prieigos teises tvarkyti asmens duomenis tiems darbuotojams, kurie vykdydami savo funkcijas, turi tokius duomenis tvarkyti ir tik tokios apimtiems, kiek yra būtina jų funkcijoms atlikti. Pasikeitus darbuotojo pareigybės aprašymui arba jam nustojus vykdyti funkcijas, kurias vykdant asmens duomenys atitinkamais tikslais buvo tvarkomi duomenų bazėse, registruose ir informacinėse sistemose, darbuotojas, atsakingas už atitinkamos sistemos, duomenų bazės, registro ar informacinės sistemos prieigos administravimą,

11

privalo pakeisti arba panaikinti nurodyto darbuotojo prieigą prie jų, nebent kitaip nustato teisės aktai ar duomenų apsaugos dokumentai, reglamentuojantys atitinkamų duomenų bazių, registrų ar informacinių sistemų veiklą. Darbuotojas netenka prieigos prie dokumentų, saugomų saugyklose, pasikeitus jo pareigybės aprašymui arba nustojus vykdyti funkcijas, kurias vykdant atitinkamais tikslais neautomatiniu būdu tvarkomos asmenų duomenų susistemintos rinkmenos.

39. Darbuotojas turi teisę asmens duomenis tvarkyti nuo darbo, valstybės tarnybos ar praktikos santykių pradžios iki jų pabaigos, išskyrus atvejus, kai darbuotojas nustoja tvarkyti asmens duomenis, susijusius su tam tikrų funkcijų vykdymu, pasikeitus jo pareigybės aprašymui arba nustojęs vykdyti tam tikras funkcijas – tokiais atvejais įgaliojimo ir prieigos teisės tvarkyti asmens duomenis darbuotojas netenka. Jei darbuotojas laikinai eina kito darbuotojo pareigas ar vykdo kito darbuotojo funkcijas, teisė tvarkyti asmens duomenis suteikiama pareigų ėjimo arba funkcijų vykdymo laikotarpiui.

40. Asmens duomenis tvarkantis darbuotojas privalo:40.1. saugoti asmens duomenų konfidencialumą visą valstybės tarnybos, darbo ar praktikos

laiką ir pasibaigus valstybės tarnybos, darbo ar praktikos santykiams; 40.2. atlikti tik tuos asmens duomenų tvarkymo veiksmus, kuriuos atlikti jam suteiktos teisės

ir tik tokios apimties, kuri būtina jo funkcijoms atlikti;40.3. asmens duomenis tvarkyti tiksliai, nedelsdamas atnaujinti, ištaisyti ar papildyti

netikslius, klaidingus, neišsamius asmens duomenis (toliau – netikslūs asmens duomenys) ir (ar) apriboti tokių asmens duomenų tvarkymą, išskyrus saugojimą;

40.4. asmens duomenis tvarkyti taip, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;

40.5. asmens duomenis tarnybiniame el. pašte ir kompiuteryje tvarkyti tik tokį laikotarpį, kuris būtinas teisėtiems asmens duomenų tvarkymo tikslams pasiekti. Ilgalaikis asmens duomenų tvarkymas el. pašte ir kompiuteryje yra draudžiamas. Darbuotojams draudžiama tvarkyti asmens duomenis el. pašte ir kompiuteriuose, kai asmens duomenų tvarkymo tikslas yra pasiektas;

40.6. dokumentus, kuriuose yra asmens duomenys (įsakymus, prašymus, raštus, sutartis ir kitus dokumentus, jų kopijas ar išrašus, taip pat asmens bylas, kompiuterines duomenų laikmenas su asmens duomenimis ir kt.), elektroniniu būdu tvarkyti tik ryšių ir informacinėse sistemose, kuriose duomenys yra tvarkomi laikantis teisės aktuose numatytų duomenų apsaugos reikalavimų;

40.7. pastebėjęs asmens duomenų saugumo pažeidimą, Taisyklių VII skyriuje nustatyta tvarka nedelsdamas informuoti duomenų apsaugos pareigūną;

40.8. renkant ir tvarkant asmens duomenis, laikytis tikslingumo, proporcingumo ir duomenų kiekio mažinimo principų, t. y. nereikalauti pateikti tų duomenų, kurie nėra būtini Inspekcijos funkcijoms vykdyti, nekaupti ir netvarkyti perteklinių duomenų ir duomenų, kurie nėra būtini atitinkamiems tikslams pasiekti;

40.9. įgyvendinti švaraus stalo ir švaraus ekrano politiką:40.9.1. kompiuterį ir ekrano užsklandą apsaugoti slaptažodžiu. Slaptažodžiai, esant

būtinybei (pasikeitus darbuotojui, iškilus įsilaužimo grėsmei ir pan.), turi būti keičiami. Darbuotojų darbo kompiuteriai, kuriuose saugomos rinkmenos su fizinių asmenų duomenimis, negali būti laisvai prieinami iš kitų tinklo kompiuterių. Šių kompiuterių antivirusinė programinė įranga turi būti nuolat atnaujinama. Minimalūs reikalavimai slaptažodžiams:

40.9.1.1. juos turi sudaryti ne mažiau kaip 8 simboliai, iš kurių bent keli turi būti skaičius ir raidė. Jjie negali sutapti su darbuotojų ar jų šeimos narių asmeniniais duomenimis;

40.9.1.2. juos saugo ir juos gali žinoti tik darbuotojai, dirbantys su konkrečiais kompiuteriais. Jie negali būti saugomi viešai ir negali būti prieinami kaip visuma;

12

40.9.2. nustatyti automatinį ekrano užsklandos įsijungimą po nesinaudojimo kompiuteriu laiko;

40.9.3. nepalikti dokumentų su tvarkomais asmens duomenimis ar kompiuterio, kuriuo naudojantis galima atidaryti rinkmenas su asmens duomenimis, matomoje vietoje, be priežiūros taip, kad juose esančią informaciją galėtų perskaityti darbuotojai, neturintys teisės dirbti su konkrečiais asmens duomenimis, kiti asmenys. Baigus darbą ar pasitraukiant iš darbo vietos, atsijungiant nuo informacinių išteklių, turi būti įjungiama ekrano užsklanda su slaptažodžiu;

40.9.4. dokumentus laikyti taip, kad jų (ar jų fragmentų) negalėtų perskaityti atsitiktiniai asmenys, t. y. nelaikyti ant darbo stalo ar kitose kabineto vietose atvirų dokumentų, kuriuose yra asmens duomenų. Popieriniai dokumentai ir jų rinkmenos turi būti laikomos rakinamose spintose;

40.9.5. užkirsti kelią atsitiktiniam ar neteisėtam tvarkymui, saugoti dokumentus tinkamai ir saugiai (vengiant nereikalingų kopijų su duomenų subjekto duomenimis kaupimo ir kt.);

40.9.6. nebereikalingi dokumentai, kuriuose yra asmens duomenų, sunaikinami. Sunaikinama turi būti tokiu būdu, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio, pavyzdžiui, susmulkinant, tačiau jokiu būdu neišmetant į šiukšliadėžę ar nepaliekant duomenų šalia jos ar kitoje atviroje vietoje. Nelaikyti kompiuteryje atidarytų rinkmenų ar dokumentų, kai jie nėra būtini;

40.10. kai kyla teisinė prievolė (pvz., atleidžiant iš pareigų) tarnybinį mobiliųjų telefoną ar kompiuterinę techniką perduoti naudoti kitam darbuotojui ar grąžinti Inspekcijai be asmens duomenų;

40.11. Taisyklių 41 punkte nustatyta tvarka pasirašyti pasižadėjimą ir laikytis konfidencialumo principo, paslaptyje laikant bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Darbuotojai gali perduoti dokumentus (informaciją), kuriuose nurodyti asmens duomenys, tik tiems darbuotojams, kurie pagal pareigas ar atskirus pavedimus turi teisę dirbti su asmens duomenimis;

40.12. išeinant iš darbo kabineto užrakinti duris;40.13. asmens duomenis tvarkyti taikant Taisyklėse ir kituose teisės aktuose nustatytas

atitinkamas fizines, technines ir organizacines priemones;40.14. rengiant teisės aktus, sutartis, susijusius su asmens duomenų gavimu, tvarkymu ir

teikimu tretiesiems asmenims, konsultuotis su duomenų apsaugos pareigūnu.41. Siekiant užtikrinti asmens duomenų konfidencialumą, darbuotojai privalo pasirašyti

Pasižadėjimą saugoti duomenų paslaptį (Taisyklių 5 priedas). Į pareigas, praktikai priimti darbuotojai pasižadėjimą pasirašo ne vėliau kaip per 5 darbo dienas nuo valstybės tarnybos, darbo ar praktikos santykių pradžios. Tiesioginiai vadovai informuoja priimtus į pareigas ar praktikai darbuotojus, kokiu tikslu jie tvarkys asmens duomenis vykdydami savo pareigas. Pasižadėjimus darbuotojai pasirašo, užregistruoja dokumentų valdymo informacinėje sistemoje „Avilys“ (toliau – IS „Avilys“) ir perduoda susipažinti duomenų apsaugos pareigūnui. Duomenų apsaugos pareigūnas patikrina, ar teisingai užpildytos pasižadėjimų skiltys, ar jie tinkamai ir laiku pasirašyti, užregistruoti.

42. Darbuotojas Inspekcijos darbo/ valstybės tarnybos funkcijoms vykdyti suteiktą kompiuterį, elektroninį paštą ir kitus Inspekcijos įrenginius, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą naudoja tik su darbu/ valstybės tarnyba susijusiais tikslais ir tik darbo/ valstybės tarnybos funkcijoms vykdyti. Darbuotojams yra draudžiama naudoti kompiuterius, telefonus ir kitą Inspekcijos suteiktą įrangą, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą asmeniniais tikslais, juose kaupti asmeninio pobūdžio

13

informaciją, asmens duomenis. Jeigu darbuotojas naudoja kompiuterius, telefonus ir kitą Inspekcijos suteiktą įrangą, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą asmeniniais tikslais, juose kaupia asmeninio pobūdžio informaciją ir asmens duomenis, darbuotojas prisiima riziką, kad tokią informaciją, asmens duomenis Inspekcija gali sužinoti patikrinimo metu.

43. Darbuotojai savo darbo/ valstybės tarnybos funkcijas atlieka tik naudodami Inspekcijos kompiuterius, elektroninį paštą ir kitus Inspekcijos įrenginius, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą, išskyrus tuos atvejus, kai Inspekcijos viršininkas ar jo įgaliotas asmuo priima sprendimą dėl leidimo Inspekcijos darbuotojui darbo funkcijas atlikti naudojantis asmeninėmis priemonėmis. Darbuotojai, turintys nuotolinę prieigą prie Inspekcijos infrastuktūros, privalo imtis visų priemonių, kad būtų užtikrintas informacijos ir duomenų saugumas bei konfidencialumas, o Inspekcija privalo padėti darbuotojui įgyvendinti šią pareigą.

44. Darbuotojams draudžiama savavališkai tvarkyti asmens duomenis ir naudoti asmens duomenis asmeniniams, su vykdomomis funkcijomis nesusijusiems tikslams, daryti perteklines dokumentų kopijas, kurios nėra būtinos funkcijoms vykdyti, kitiems asmenims prieinamoje vietoje laikyti ar kitaip atskleisti prieigos prie kompiuterių, el. pašto sistemų, informacinių sistemų, registrų bei duomenų bazių, kuriose tvarkomi asmens duomenys, slaptažodžius.

45. Darbuotojai, turintys teisę tvarkyti asmens duomenis, privalo būti apmokyti laikytis duomenų apsaugos reikalavimų, turi būti susipažinę su teisės aktais ir saugos dokumentais, reglamentuojančiais atitinkamų duomenų bazių, registrų ar informacinių sistemų veiklą, bei jų pakeitimais.

46. Nauji darbuotojai su duomenų apsaugos reikalavimais, duomenų bazių, registrų ar informacinių sistemų veikla susipažįsta adaptacijos proceso, vykdomo vadovaujantis Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, adaptacijos tvarkos aprašu, patvirtintu Inspekcijos viršininko 2014 m. spalio 28 d. įsakymu Nr. 1V-152 „Dėl Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, adaptacijos tvarkos aprašo patvirtinimo“, metu.

ANTRASIS SKIRSNISPRETENDENTŲ EITI PAREIGAS ARBA DIRBTI DARBUS IR DARBUOTOJŲ

ASMENS DUOMENŲ TVARKYMO YPATUMAI

47. Inspekcijoje gali būti tvarkomi tik tie darbuotojų asmens duomenys, kurie yra būtini darbo sutarčiai/ valstybės tarnybos teisinių santykių/praktikos sutarčiai ar kitai su darbuotoju sudarytai sutarčiai sudaryti ir vykdyti, teisės aktuose nustatytoms Inspekcijos teisinėms prievolėms vykdyti, konkrečiam Inspekcijos teisėtam interesui apsaugoti. Inspekcijoje draudžiama tvarkyti perteklinius darbuotojų asmens duomenis, taip pat pateikti darbuotojo asmens duomenis tretiesiems asmenims, išskyrus įstatymuose ir Taisyklėse nustatytus atvejus.

48. Draudžiama tvarkyti pretendento eiti pareigas arba dirbti darbus, ir darbuotojo asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, išskyrus atvejus, kai šie asmens duomenys būtini patikrinti, ar asmuo atitinka įstatymuose ir (ar) įgyvendinamuosiuose teisės aktuose nustatytus reikalavimus pareigoms eiti arba darbams dirbti ir atsakomybei teisės aktų nustatyta tvarka taikyti.

49. Pretendento eiti pareigas arba dirbti darbus asmens duomenis, susijusius su kvalifikacija, profesiniais gebėjimais ir dalykinėmis savybėmis, galima rinkti iš buvusio darbdavio/ valstybės ir

14

savivaldybių įstaigų, kurioje valstybės tarnautojas atlieka valstybės tarnybą ar dirba pagal darbo sutartis, prieš tai informavus pretendentą, o iš esamo darbdavio/ valstybės ir savivaldybės įstaigos, kurioje valstybės tarnautojas atlieka valstybės tarnybą ar dirba pagal darbo sutartis, – tik pretendento sutikimu. Sutikimas turi atitikti Taisyklėse įtvirtintus reikalavimus.

50. Viešai prieinami asmens duomenys apie pretendentą, pretenduojantį eiti pareigas arba dirbti darbus, ar darbuotojus gali būti renkami tik tiek ir tik tokia apimtimi, kiek tie asmens duomenys yra tiesiogiai reikalingi ir aktualūs darbo/ valstybės tarnybos pareigoms ir funkcijoms, į kurias pretenduojama, vykdyti. Apie šią galimybę pretendentai yra informuojami darbo skelbime/ priėmimo į valstybės tarnybą paskelbimo tarnybiniame pranešime.

51. Pretendento eiti pareigas arba dirbti darbus, neatrinkto eiti pareigas arba dirbti darbus, asmens duomenys saugomi 3 mėnesius nuo momento, kai pretendentui buvo pranešta, kad su juo nebus sudaryta darbo sutartis/ pretendentas nebuvo atrinktas į valstybės tarnautojus. Ilgesnį terminą tokio asmens duomenys gali būti saugomi tik tada, jeigu yra gaunamas pretendento sutikimas, atitinkantis Taisyklėse įtvirtintus reikalavimus, arba atsiranda kitas teisinis pagrindas ilgiau saugoti duomenis.

52. Pasibaigus darbo/ valstybės tarnybos/ praktikos teisiniams santykiams, nauji duomenys apie darbuotoją gali būti renkami tik esant teisiniam pagrindui ir tik tiek, kiek jie yra susiję ir būtini remiantis konkrečiu teisiniu pagrindu pagrįstam tikslui pasiekti.

53. Draudžiama vykdyti nuolatinį Inspekcijos darbuotojui suteikto kompiuterio, elektroninio pašto ir kitų Inspekcijos įrenginių, prietaisų, įtaisų, informacijos ir ryšių technologijų, programinės įrangos stebėjimą ar tikrinimą. Inspekcijos darbuotojams suteiktos darbo priemonės, įranga, įskaitant elektroninius paštus, kompiuterius, mobiliuosius telefonus, juose esantys asmens duomenys, kiti duomenys bei informacija gali būti tikrinami tik esant visoms šioms sąlygoms:

53.1. darbuotojas yra informuotas apie patikrinimo galimybę;53.2. yra pagrindas manyti, kad darbuotojas padarė darbo/ valstybės tarnybos pareigų

pažeidimą arba vykdė veiklą, nesuderinamą su Inspekcijos interesais, arba vykdė teisės aktams prieštaraujančią veiklą, arba Inspekcija siekia patikrinti, ar darbuotojas laikosi įsipareigojimų Inspekcijai, tinkamai vykdo teisės aktų, įskaitant Inspekcijos vidinių dokumentų, reikalavimus;

53.3. nėra galimybės pasiekti tikrinimo tikslus kitomis priemonėmis, kurios mažiau ribotų darbuotojo privatumą.

54. Taisyklėse įtvirtintas tikrinimas vykdomas limituota apimtimi, t. y. apibrėžtas konkretus laikotarpis, už kurį tikrinama, tikrinamas konkretaus projekto vykdymas, tikrinamas konkrečių funkcijų vykdymas ir tikrinamas tik tiek, kiek yra būtina išsiaiškinti šiose Taisyklėse išdėstytas aplinkybes ir apginti Inspekcijos interesus. Duomenų apsaugos pareigūnas teikia konsultacijas, kad tikrinimas nepažeistų Reglamento (ES) 2016/679, Taisyklių nuostatų bei duomenų subjektų teisės į privatumą.

55. Vaizdo stebėjimas ir garso įrašymas darbuotojų darbo vietose gali būti vykdomas tik tada, kai dėl darbo specifikos būtina užtikrinti asmenų, turto ar visuomenės saugumą, ir kitais atvejais, kai kiti būdai ar priemonės yra nepakankami ir (arba) netinkami siekiant išvardytų tikslų, išskyrus atvejus, kai tiesiogiai siekiama kontroliuoti darbo kokybę ir mastą. Tvarkant vaizdo ir (ar) garso duomenis darbo vietoje ir Inspekcijos patalpose ar teritorijose, kuriose dirba/ eina pareigas/ atlieka praktiką jo darbuotojai, tvarkant asmens duomenis, susijusius su darbuotojų elgesio, vietos ar judėjimo stebėsena, šie darbuotojai apie tokį jų asmens duomenų tvarkymą turi būti informuojami pateikiant Taisykles susipažinti. Taisyklės pateikiamos susipažinti pirmąją jų įsigaliojimo dieną, pirmąją darbuotojo darbo dieną arba pirmąją darbo dieną po darbuotojo

15

atostogų, po komandiruotės ar nedarbingumo laikotarpio, kai šiuo laikotarpiu Taisyklės buvo pakeistos.

56. Tvarkyti darbuotojų asmens duomenis turi teisę tik tie Inspekcijos darbuotojai, kuriems šie duomenys yra reikalingi darbinėms funkcijoms atlikti.

TREČIASIS SKIRSNISVAIZDO DUOMENŲ TVARKYMO YPATUMAI

57. Vaizdo stebėjimas vykdomas Inspekcijos teritorijoje – pastato, esančio A. Vienuolio g. 8, Vilniuje, vidiniame kieme. Vaizdas stebimas be garso.

58. Vaizdo stebėjimo kameros turi būti įrengiamos taip, kad vaizdo stebėjimas nebūtų vykdomas didesnėje duomenų valdytojo teritorijoje, nei nurodyta Taisyklių 57 punkte. Vaizdo stebėjimo apimtis gali būti keičiama tik prieš tai atlikus poveikio duomenų apsaugai vertinimą ir pakeitus Taisykles.

59. Vaizdo stebėjimo priemonių sukaupti duomenys saugomi Inspekcijos serveryje 30 kalendorinių dienų, išskyrus atvejus, kai įtariama, kad galėjo būti padaryta nusikalstama veika, administracinis teisės pažeidimas ar buvo apgadintas Inspekcijos, darbuotojų arba trečiųjų asmenų turtas. Prieiga prie vaizdo stebėjimo priemonių sukauptų duomenų suteikiama darbuotojui, atsakingam už vaizdo stebėjimo priemonių sukauptų duomenų tvarkymą (skiria Inspekcijos viršininkas). Prieiga turi būti apsaugota slaptažodžiu. Vaizdo stebėjimo priemonių sukaupti duomenys naikinami automatiškai pasibaigus jų saugojimo terminui. Kai įtariama, kad galėjo būti padaryta nusikalstama veika, administracinis teisės pažeidimas ar buvo apgadintas Inspekcijos, darbuotojų arba trečiųjų asmenų turtas, vaizdo stebėjimo duomenys saugomi tiek, kiek reikalauja šių duomenų tvarkymo tikslai, ir sunaikinami neautomatiniu būdu nedelsiant, kai tampa nebereikalingi jų tvarkymo tikslams.

60. Parašę tarnybinį pranešimą, Inspekcijos viršininko sutikimu (įrašant rezoliuciją), susipažinti su vaizdo stebėjimo priemonių sukauptais duomenimis turi teisę tik tie Inspekcijos darbuotojai, kuriems šie duomenys yra reikalingi darbinėms funkcijoms atlikti.

61. Vaizdo stebėjimo priemonių sukaupti duomenys gali būti naudojami tik įtariamoms nusikalstamoms veikoms, administraciniams teisės pažeidimams atskleisti ar Inspekcijos, darbuotojų arba trečiųjų asmenų turtui apgadinimu padarytai žalai įrodyti. Vaizdo duomenys gali būti teikiami tik Inspekcijos pasitelktiems vaizdo duomenų tvarkytojams ir ikiteisminį tyrimą arba kitą tyrimą atliekančiai įstaigai, prokurorui ar teismui dėl jų žinioje esančių administracinių, civilinių, baudžiamųjų bylų kaip įrodymai ar kitais įstatymų nustatytais atvejais. Vaizdo duomenys duomenų subjektui gali būti pateikti susipažinti tik tada, jeigu egzistuoja visos Taisyklėse įtvirtintos sąlygos.

62. Įgyvendinant duomenų subjekto teisę susipažinti su savo vaizdo duomenimis, užtikrinama trečiųjų asmenų teisė į privatų gyvenimą, t. y. duomenų subjektui susipažįstant su vaizdo įrašu, jeigu vaizdo įraše matomi kiti asmenys, kurių tapatybė gali būti nustatyta, ar kita informacija, kuri gali pažeisti trečiųjų asmenų privatumą, šie vaizdai turi būti retušuoti ar kitais būtais panaikinama galimybė identifikuoti trečiuosius asmenis.

63. Vykdant vaizdo stebėjimą draudžiama:63.1. įrengti ir eksploatuoti įrengtas vaizdo stebėjimo priemones, kad į jų stebėjimo lauką

patektų gyvenamoji patalpa ir (arba) jai priklausanti privati teritorija ar įėjimas į ją;

16

63.2. stebėti vaizdą Inspekcijos patalpose, kuriose duomenų subjektas pagrįstai tikisi absoliučios privatumo apsaugos ir kur toks vaizdo stebėjimas žemintų žmogaus orumą (pvz., duše, tualetuose ir pan.);

63.3. stebėti vaizdą slaptomis vaizdo kameromis;63.4. kitais atvejais, kai vaizdo stebėjimas neatitinka nustatytų tikslų.64. Tvarkant vaizdo duomenis turi būti užtikrinama:64.1. vaizdo duomenų apsauga nuo neteisėto prisijungimo prie vidinio kompiuterinio tinklo

elektroninių ryšių priemonėmis – prieiga prie vidinio kompiuterių tinklo apsaugota ugniasiene;64.2. vaizdo įrangos, kurioje saugomi vaizdo duomenys, fizinis saugumas – ribojama ir

kontroliuojama neturinčių įgaliojimų tvarkyti vaizdo duomenis asmenų prieiga prie vaizdo įrangos;

64.3. užtikrinama vaizdo įrangos apsauga nuo kenksmingos programinės įrangos – įdiegtos ir nuolatos atnaujinamos vidinio tinklo ir antivirusinės apsaugos priemonės;

64.4. vaizdo įrašai apsaugomi nuo galimybės juos keisti.65. Duomenų subjektas apie duomenų tvarkymą vykdant vaizdo stebėjimą informuojamas

iškabinant informacines lenteles prieš patenkant į teritoriją, kurioje vykdomas vaizdo stebėjimas. Informacinėse lentelėse pranešama apie vaizdo stebėjimą, nurodant vaizdo stebėjimo tikslą, vaizdo kameros simbolį, Inspekcijos pavadinimą ir kontaktinę ir kitą informaciją, kur galima plačiau sužinoti apie vykdomą vaizdo stebėjimą. Informacinės lentelės formatavimo pavyzdys:

ASMENŲ IR TURTO APSAUGOS TIKSLUTERITORIJOJE VYKDOMAS VAIZDO STEBĖJIMAS

(vaizdo kameros simbolis)

 Valstybinė teritorijų planavimo ir statybos inspekcija prie Aplinkos ministerijosA. Vienuolio g. 8, Vilnius, Tel. (8 5) 272 2748

Plačiau apie vykdomą vaizdo stebėjimą:http://vtpsi.lrv.lt/lt/, telefonu arba el. paštu: info@vtpsi.lt

66. Kitos vaizdo įrašų darymo, fotografavimo (toliau – techninės priemonės) Inspekcijoje ir kitoje vietoje sąlygos:

66.1. viešosios informacijos rengėjams ir (ar) skleidėjams, žurnalistams bei tretiesiems asmenims Inspekcijoje naudojant technines priemones, turi būti užtikrinama, kad techninių priemonių naudojimo metu asmens duomenys (išskyrus tuos, kuriuos būtina ir teisėta atskleisti šių priemonių naudojimo metu) būtų apsaugoti nuo neteisėto jų užfiksavimo, t. y. darbo vietoje Inspekcijos patalpose (ir (ar) darbuotojų funkcijų vykdymo metu ne Inspekcijos patalpose) negali būti dokumentų, užrašų ir kitos informacijos, kurioje gali būti asmens duomenų (išskyrus tuos, kuriuos būtina ir teisėta atskleisti techninių priemonių naudojimo metu). Jei reikalingą informaciją galima suteikti kitomis (lygiavertėmis) priemonėmis nei techninės priemonės arba kitose (lygiavertėse) patalpose ir (ar) erdvėse (pvz. viešose erdvėse arba ne darbuotojų darbo vietose) ir dėl to jos turinys nenukentės, informaciją rekomenduojama pateikti kitais būdais;

66.2. jei vykdant statybos patikrinimus ir (ar) reidus ne viešose erdvėse teisės aktų nustatyta tvarka ketinama naudoti technines priemones, siekiant užtikrinti asmens duomenų apsaugą, fizinio asmens teisę į atvaizdą ir į privatų gyvenimą bei jo slaptumą, techninių priemonių pagalba turi būti fiksuojama tik tiek asmens duomenų, kiek yra būtina siekiam teisėtam tikslui pasiekti.

17

KETVIRTASIS SKIRSNISŽODŽIU TEIKIAMŲ KONSULTACIJŲ METU GAUTŲ ASMENS DUOMENŲ

TVARKYMO YPATUMAI

67. Žodinės konsultacijos (toliau – konsultacijos) Inspekcijoje teikiamos automatiniu (telefonu arba įrašant diktofonu) ir neautomatiniu būdu (interesantų priėmimo metu).

68. Konsultacijas, kurias Inspekcijos darbuotojai teikia Inspekcijos interneto svetainėje viešai paskelbtais fiksuotojo ryšio telefono numeriais, yra įrašomos, o jų metu gautus įrašus Reglamento (ES) 2016/679, Lietuvos Respublikos elektroninių ryšių įstatymo nustatyta tvarka tvarko asmens duomenų tvarkytojas – viešąjį Inspekcijos fiksuoto telefono ryšio paslaugų pirkimą laimėjęs tiekėjas. Elektroninę telefono pokalbių įrašymo sistemą tvarko Inspekcijos viršininko paskirtas atsakingas Inspekcijos darbuotojas.

69. Duomenų subjektas apie konsultacijos telefonu įrašymą informuojamas automatiniu garsiniu pranešimu. Duomenų subjektas nesutikimą, kad būtų tvarkomi jo asmens duomenys, išreiškia nelaukdamas, kol bus sujungtas su konsultacijas telefonu teikiančiu Inspekcijos darbuotoju, ir nutraukdamas skambutį. Skambučio nutraukimas neužkerta kelio duomenų subjektui kitais būdais gauti jam reikalingą konsultaciją, t. y. jis gali atvykti į Inspekciją arba pateikti paklausimą raštu.

70. Konsultacijos į diktofoną įrašomos tais atvejais, kai prieš konsultaciją, priėmimo metu duomenų subjektas informuoja, kad pokalbis su Inspekcijos darbuotoju, teikiančiu konsultaciją, bus įrašomas. Inspekcijos darbuotojas apie konsultacijos įrašymą diktofonu duomenų subjektą informuoja žodžiu du kartus (prieš pradedant pokalbį ir jį pradėjus), nurodydamas Inspekcijos pavadinimą ir kontaktus, duomenų apsaugos pareigūno kontaktinius duomenis, Taisyklių 1 priede nurodytą duomenų tvarkymo tikslą, dėl kurio ketinama tvarkyti asmens duomenis, ir pagrindą, asmens duomenų gavėjų kategorijas, taip pat savo vardą, pavardę ir pareigas.

71. Sutikimas, kad pokalbis būtų įrašomas diktofonu, reiškia sutikimą su asmens duomenų tvarkymu. Jei duomenų subjektas nesutinka, kad jo pokalbis būtų įrašomas, Inspekcijos darbuotojas konsultaciją pradeda teikti tik po to, kai įsitikina, kad duomenų subjektas konsultacijos neįrašinėja. Duomenų subjektui atsisakiusiam pradėti arba išreiškusiam norą sustabdyti įrašinėjimą Inspekcijos darbuotojas gali pasiūlyti pateikti paklausimą raštu ir žodinės konsultacijos neteikti.

72. Diktofonu įrašytų konsultacijų garso įrašai iki jų perdavimo už diktofonu įrašytų garso įrašų tvarkymą Inspekcijoje atsakingam darbuotojui (skiria Inspekcijos viršininkas), saugomi įrašą sukūrusio Inspekcijos darbuotojo kompiuteryje. Įrašas perduodamas už diktofonu įrašytų garso įrašų tvarkymą atsakingam darbuotojui elektroniniu paštu ne vėliau kaip per 5 darbo dienas nuo įrašo sukūrimo dienos. Už diktofonu įrašytų garso įrašų tvarkymą atsakingas darbuotojas privalo informuoti garso įrašą siuntusį darbuotoją apie įrašo gavimo faktą.

73. Garso įrašų saugojimo terminai:73.1. telefonu teikiamų konsultacijų garso įrašai saugomi 6 mėnesius nuo ryšio datos,

išskyrus Elektroninių ryšių įstatymo 66 straipsnyje numatytas išimtis;73.2. diktofonu įrašytų konsultacijų garso įrašai saugomi 6 mėnesius nuo įrašo sukūrimo.

Pasibaigus garso įrašo saugojimo terminui, už diktofonu įrašytų garso įrašų tvarkymą Inspekcijoje atsakingas darbuotojas garso įrašą sunaikina ir apie tai tarnybiniu pranešimu informuoja tiesioginį vadovą. Kilus ginčui dėl suteiktos konsultacijos kokybės, garso įrašai saugomi tiek, kiek reikalauja šių duomenų tvarkymo tikslas, ir sunaikinami nedelsiant, kai tampa nebereikalingi jų tvarkymo tikslui.

18

74. Taisyklių 72 punkte nustatyta tvarka siųsti laiškai su garso įrašais privalo būti nedelsiant ištrinti ir panaikinti kompiuteryje (jei jame buvo išsaugota), kai tik gaunamas už įrašų tvarkymą atsakingo darbuotojo pranešimas apie įrašo gavimo faktą. Gauti laiškai su garso įrašais privalo būti ištrinti, kai garso įrašas išsaugomas (ne vėliau kaip per 2 darbo dienas nuo gavimo) už įrašų tvarkymą atsakingo asmens kompiuteryje.

75. Parašę tarnybinį pranešimą, Inspekcijos viršininko sutikimu (įrašant rezoliuciją), susipažinti su garso įrašų duomenimis turi teisę tik tie Inspekcijos darbuotojai, kuriems šie duomenys yra reikalingi darbinėms funkcijoms atlikti.

76. Pranešimų Pasitikėjimo linija garso įrašams Taisyklės taikomas tiek, kiek jų tvarkymo nereglamentuoja Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos pasitikėjimo linijos nuostatai, patvirtinti Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos viršininko 2017 m. rugpjūčio 29 d. įsakymu Nr. 1V-105 „Dėl Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos pasitikėjimo linijos nuostatų patvirtinimo“.

PENKTASIS SKIRSNISELEKTRONINIŲ KORTELIŲ IR TARNYBINIO TRANSPORTO STEBĖJIMO METU

GAUTŲ ASMENS DUOMENŲ TVARKYMO YPATUMAI

77. Inspekcijoje atliekamas darbuotojų stebėjimas, vykdant:77.1. darbo laiko apskaitos kontrolę, kai stebimi darbuotojų elektroninių kortelių

duomenys;77.2. tarnybinio transporto naudojimo kontrolę, kai vietos nustatymo įrenginio

tarnybiniame automobilyje pagalba gaunami tarnybinio automobilio duomenys. 78. Elektroninių kortelių ir vietos nustatymo įrenginio tarnybiniame automobilyje stebėjimo

duomenys yra saugomi 3 metus nuo duomenų užfiksavimo dienos, po kurių yra automatiškai ištrinami, išskyrus atvejus, kai yra reikalingi Inspekcijai kylančiai teisiniai prievolei įvykdyti ar darbuotojo teisei į gynybą įgyvendinti, tokiu atveju saugomi tiek, kiek reikalauja šių duomenų tvarkymo tikslas, ir sunaikinami nedelsiant, kai tampa nebereikalingi jų tvarkymo tikslui. Prieiga prie elektroninių kortelių ir vietos nustatymo įrenginio tarnybiniame automobilyje pagalba gaunamų tarnybinio automobilio duomenų turi būti apsaugota slaptažodžiu ir suteikta tik už elektroninės telefono pokalbių įrašymo sistemos ir už vietos nustatymo įrenginio tarnybiniame automobilyje pagalba gaunamų tarnybinio automobilio duomenų sistemos tvarkymą atsakingiems darbuotojams, paskirtiems Inspekcijos viršininko.

79. Vykdant Taisyklių 77 punkte numatytą stebėjimą, gauti duomenys tvarkomi laikantis Taisyklėse nustatytų reikalavimų ir gali būti pateikti tik teisėsaugos institucijoms ar  kitiems tretiesiems asmenims, kuriems toks duomenų pateikimas yra privalomas pagal teisės aktų reikalavimus.

80. Susipažinti su elektroninių kortelių stebėjimo ir vietos nustatymo įrenginio tarnybiniame automobilyje pagalba gautais duomenimis parašę tarnybinį pranešimą, Inspekcijos viršininko sutikimu (įrašant rezoliuciją), turi teisę tik tie Inspekcijos darbuotojai, kuriems šie duomenys yra reikalingi darbinėms funkcijoms atlikti.

19

ŠEŠTASASIS SKIRSNISIŠ REGISTRŲ IR KITŲ INFORMACINIŲ SISTEMŲ GAUNAMŲ ASMENS DUOMENŲ

TVARKYMO YPATUMAI

81. Inspekcija asmens duomenis iš registrų ir kitų informacinių sistemų (toliau kartu – informacinės sistemos) gauna įstatymų, kitų teisės aktų nustatytais atvejais, sutarčių pagrindais. Prieigos teisės prie informacinių sistemų ir (arba) jose esantys asmens duomenys teikiami tik tiems Inspekcijos darbuotojams, kuriems jos būtinos darbinėms funkcijoms atlikti.

82. Asmens duomenys naudojantis informacinėmis sistemomis gali būti gaunami Inspekcijos darbuotojui tiesiogiai jungiantis prie informacinės sistemos arba dėl asmens duomenų, esančių Lietuvos Respublikos gyventojų registre (toliau – Gyventojų registras), pateikimo kreipiantis į atsakingą asmenį, kuriam suteikta prieigos teisė prie Gyventojų registro (toliau – už Gyventojų registro duomenų pateikimą atsakingas darbuotojas).

83. Tiesioginės prieigos teisės suteikiamos įstatymų, kitų teisės aktų ar sutarčių nustatyta tvarka.

83. Inspekcijos darbuotojas, kuriam reikalingi asmens duomenys iš Gyventojų registro:83.1. už Gyventojų registro duomenų pateikimą atsakingam asmeniui turi pateikti Taisyklių

6 priede nustatytos formos Prašymą dėl asmens duomenų pateikimo (toliau – Prašymas). Prašymas turi būti tinkamai užpildytas, pasirašytas ir darbuotojo tiesioginio vadovo pavizuotas. Prašymo skanuotas variantas siunčiamas atsakingam darbuotojui tarnybiniu elektroniniu paštu arba įteikiamas asmeniškai paduodant prašymo originalą;

83.2. iš už Gyventojų registro duomenų pateikimą atsakingo darbuotojo gavęs asmens duomenis, privalo ištrinti laišką su asmens duomenimis iš elektroninio pašto ir panaikinti kompiuteryje (jei jame buvo išsaugota), nedelsdamas, kai tik šie duomenys nebereikalingi jų tvarkymo tikslais;

83.3. gautus asmens duomenis naudoti tik tuo tikslu, kuris buvo nurodytas Prašyme.84. už Gyventojų registro duomenų pateikimą atsakingas darbuotojas:84.1. gavęs prašymą ne vėliau kaip per 3 darbo dienas jo gavimo priima sprendimą dėl jo

pagrįstumo;84.2. jei prašymas pagrįstas, nedelsdamas jį užregistruoja Taisyklių 7 priede nurodytame

Prašymų pateikti asmens duomenis iš Gyventojų registro registravimo žurnale (toliau – žurnalas) Žurnalo visi lapai privalo būti sunumeruoti ir susiūti, paskutiniame lape surištas mazgas turi būti užklijuotas popieriaus lapu, antspauduotas ir Inspekcijos viršininko pasirašytas taip, kad nebūtų galima išardyti mazgo nepažeidžiant antspaudavimo ir parašo, taip pat padaromas įrašas apie lapų skaičių. Prašymai registruojami, kol bus užpildyti visi žurnalo lapai. Už teisingą Prašymų pateikti asmens duomenis iš Gyventojų registro ir asmens duomenų teikimo pagal prašymus registravimo žurnalo pildymą atsako už Gyventojų registro duomenų pateikimą atsakingas darbuotojas, paskirtas Inspekcijos viršininko. Pildant žurnalą, draudžiama daryti bet kokius pataisymus, išskyrus nurodytus šiame punkte. Jei būtina atlikti pataisymus, žurnalą pildantis darbuotojas turi kryžmai perbraukti neteisingai įrašytus duomenis ir įrašyti žodžius „taisymu tikėti“, nurodyti savo vardą, pavardę ir pasirašyti. Žurnalą užrakinamoje saugykloje saugo už Gyventojų registro duomenų pateikimą atsakingas darbuotojas;

84.3. pasinaudojęs valstybės įmonės Registrų centro jam suteikta prieigos prie Gyventojų registro duomenų teise, jam asmeniškai suteikta tiesiogine prieiga prisijungia prie registro ir, gavęs duomenis, elektroniniu paštu per 3 darbo dienas nuo Prašymo gavimo išsiunčia asmens

20

duomenis Prašymą pateikusiam darbuotojui. Išsiųstas laiškas iš elektroninio pašto turi būti nedelsiant ištrintas, o Gyventojų registro duomenų įrašas, jei jame buvo išsaugotas, panaikintas;

84.4. nustatęs, kad Prašymas nepagrįstas, elektroniniu paštu nedelsiant apie tai informuoja Prašymą pateikusį darbuotoją.

85. už Gyventojų registro duomenų pateikimą atsakingas darbuotojas ir darbuotojas, kuriam reikalingi asmens duomenys iš Gyventojų registro, neturi teisės daryti Gyventojų registro duomenų išrašų ir laiškų, kuriuose išsaugoti asmens duomenys, kopijų, saugoti jų savo kompiuteryje ar spausdinti. Siųsti laiškai su asmens duomenimis privalo būti nedelsiant ištrinti ir panaikinti kompiuteryje (jei jame buvo išsaugota), kai tik laiškas išsiunčiamas prašymą pateikusiam darbuotojui. Gauti laiškai su asmens duomenimis privalo būti ištrinti, kai tampa nereikalingi tikslams dėl kurių jie buvo tvarkomi pasiekti.

SEPTINTASIS SKIRSNISASMENS DUOMENŲ SAUGUMO REIKALAVIMAI

86 Inspekcijoje taikomų tipinių asmens duomenų saugumo priemonių sąrašas patvirtintas Taisyklių 8 priede.

87. Informacinėse sistemose ir registruose, kurių valdytoja/ tvarkytoja yra Inspekcija, duomenų bazėse asmens duomenų tvarkymo, technines ir organizacines priemones, naudojant informacines sistemas, registrus ir duomenų bazes, kiek nenustato šių informacinių sistemų ir registrų nuostatai ir kiti privalomi duomenų apsaugą įgyvendinantys dokumentai, nustato Taisyklės

88. Pagrindiniai asmens duomenų saugumo užtikrinimo principai:88.1. užtikrinama tinkama prieigos prie asmens duomenų apsauga, valdymas ir kontrolė.

Prieigos teisės prie asmens duomenų suteikiamos, naikinamos ir keičiamos laikantis Taisyklių ir kitų teisės aktų reikalavimų;

88.2. užtikrinama, kad su asmens duomenimis būtų galima atlikti tik tuos veiksmus, kuriems atlikti yra suteiktos teisės;

88.3. asmens duomenys teikiami tik tiems Inspekcijos darbuotojams, kurie turi teisę juos gauti ir tik tokios apimties, kiek yra būtina jų funkcijoms atlikti;

88.4. įgyvendinami asmens duomenų konfidencialumo, vientisumo ir prieinamumo principai;

88.5. įgyvendinami Taisyklėse numatyti asmens duomenų tvarkymo reikalavimai ir asmens duomenų saugumo priemonės;

88.6. įgyvendinama švaraus stalo ir švaraus ekrano politika;88.7. draudžiamas ir griežtai kontroliuojamas nelegalios (neleistinos) programinės įrangos

naudojimas;88.8. užtikrinama tinkama asmens duomenų apsauga nuo neteisėtos prieigos elektroninių

ryšių priemonėmis;88.9. užtikrinamas tinkamas patalpų, kuriose saugomi asmens duomenys, saugumas;88.10. užtikrinta, kad Inspekcijoms poreikiams perkami nauji baldai (spintos, spintelės) būtų

rakinami;88.11. kiti asmens duomenų saugos reikalavimai nustatomi ir įgyvendinami vadovaujantis

Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių

21

valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“ ir kitais teisės aktais.

89. Centralizuotai saugomų duomenų atsarginės kopijos daromos periodiškai, bet ne rečiau kaip vieną kartą per mėnesį arba duomenų apsaugos dokumentuose nustatyta tvarka ir terminais. Atsarginių duomenų kopijų laikmenos saugomos serveriuose, esančiuose Inspekcijos ir Lietuvos Respublikos aplinkos ministerijos patalpose.

90.Avarinio praradimo atvejais centralizuotai saugoti duomenys atkuriami iš atsarginių kopijų.

91. Duomenys, prarasti dėl kompiuterių įrangos gedimo, programinės įrangos klaidos ar kitaip pažeidus jų vientisumą, atkuriami iš paskutinių turimų atsarginių duomenų kopijų.

92.Atkūrus duomenis, atliekamas informacinių sistemų, registrų bei duomenų bazių funkcionalumo ir duomenų vientisumo testavimas, informacinių sistemų saugos politiką įgyvendinančių teisės aktų nustatyta tvarka.

93.Inspekcija turi teisę sudarytos sutarties pagrindu pavesti duomenų tvarkytojui atlikti Taisyklių 89 ir 92 punktuose numatytus veiksmus. Jei sutartis dėl minėtų veiksmų atlikimo nesudaroma, juos atlieka Inspekcijos darbuotojas, kurio pareigybės aprašyme nurodyta atsarginių kopijų darymo funkcija.

94. Už duomenų, kurie nėra saugomi centralizuotai, kopijų darymą atsakingi patys darbuotojai.

95. Inspekcijoje atliekamas duomenų keliamos rizikos vertinimas Taisyklių nustatyta tvarka.

96. Duomenų tvarkymo keliamos rizikos vertinimas atliekamas nustačius asmens duomenų tvarkymo pažeidimus, bet ne rečiau kaip kartą į du metus (išskyrus informacinių sistemų ir registrų rizikos įvertinimą, kuris atliekamas duomenų apsaugos dokumentų nustatytais terminais ir tvarka) įvertinant duomenų tvarkymo keliamą riziką, organizacinių ir techninių duomenų saugumo priemonių parinkimą bei taikymą, siekiant sumažinti rizikos tikimybę, šią sritį reglamentuojančius teisės aktus. Vertinimas baigiamas surašius išvadą dėl asmens duomenų tvarkyti keliamos rizikos. Išvadoje nurodomos siūlomos priemonės, kurių būtina imtis nustatytiems rizikos veiksniams valdyti ar šalinti bei kiti pasiūlymai Taisyklių tobulinimo.

97. Rizikos vertinimą atlieka Inspekcijos viršininko įsakymu sudaryta darbo grupė pagal nustatytas užduotis ir kompetencijas.

98. Atsižvelgiant į rizikos vertinimo rezultatus ir į įgyvendintų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimo rezultatus, diegiamos papildomos organizacinės ir (arba) techninės duomenų saugumo priemonės, atnaujinamos Taisyklės, skiriami atsakingi darbuotojai.

22

VII SKYRIUSASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMAS

99. Asmens duomenų saugumo pažeidimu yra laikomas bet kuris tyčinis (neteisėtas įsibrovimas į Inspekcijos patalpas, asmens duomenų laikmenų saugyklas, informacines sistemas, kompiuterių tinklą, piktybinis nustatytų taisyklių tvarkant asmens duomenis pažeidimas, sąmoningas kompiuterinio viruso platinimas, asmens duomenų vagystė, neteisėtas naudojimasis kito darbuotojo teisėmis ir kt.) ar neatsargus asmens duomenų apsaugos pažeidimas (duomenų tvarkymo klaidos, informacijos laikmenų, duomenų įrašų ištrynimo, sunaikinimo, ar sistemų sutrikimai dėl elektros tiekimo nutrūkimo, kompiuterinio viruso ir pan., vidaus taisyklių pažeidimas, sistemos priežiūros trūkumas, programinės įrangos testai, netinkama duomenų laikmenų priežiūra, netinkamas ryšio linijų pajėgumas ir apsauga, kompiuterių integravimas į tinklą, kompiuterinių programų apsaugos, ir kt.), kuomet:

99.1. sunaikinami, prarandami, pakeičiami asmens duomenys;99.2. be leidimo atskleidžiami asmens duomenys;99.3. be leidimo asmenys, neturintys tam teisės, gautų prieigą prie asmens duomenų.100. Darbuotojas sužinojęs ar pats nustatęs galimą asmens duomenų saugumo pažeidimą

arba kai informacija apie galimą asmens duomenų saugumo pažeidimą gaunama iš duomenų Tvarkytojo, žiniasklaidos ar kito šaltinio:

100.1. nedelsdamas, bet ne vėliau kaip per 2 darbo valandas nuo asmens duomenų saugumo pažeidimo paaiškėjimo momento informuoja savo tiesioginį vadovą ir duomenų apsaugos pareigūną apie galimus pažeidimus;

100.2. užpildo Taisyklių 9 priede nurodytos formos Pranešimą apie asmens duomenų saugumo pažeidimą ir nedelsdamas, bet ne vėliau kaip per 2 darbo valandas nuo pažeidimo paaiškėjimo momento jį per IS „Avilys“ perduoda duomenų apsaugos pareigūnui;

100.3. jei įmanoma, suderinęs su tiesioginiu vadovu, imasi priemonių pašalinti asmens duomenų saugumo pažeidimą ir priemonių galimoms neigiamoms jo pasekmėms sumažinti.

101. Tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, nedelsdamas, bet ne vėliau kaip per 3 darbo valandas, apie tai praneša Inspekcijai, pateikdamas pranešimą, numatytą Reglamento (ES) 2016/679 33 straipsnio 3 dalyje, tiek, pateikdamas apie įvykį tiek informacijos, kiek įmanoma pateikti tuo metu.

102. Kai Inspekcija asmens duomenis tvarko asmens duomenų valdytojo, pavyzdžiui, Lietuvos Respublikos aplinkos ministerijos, vardu, apie asmens duomenų saugumo pažeidimą pranešama duomenų valdytojo nustatyta tvarka.

103. Duomenų apsaugos pareigūnas, gavęs Inspekcijos darbuotojo užpildytą pranešimą ar duomenų Tvarkytojo pranešimą (toliau kartu – pranešimas):

103.1. nedelsdamas nagrinėja pranešime nurodytas aplinkybes;103.2. įvertina, ar padarytas asmens duomenų saugumo pažeidimas;103.3. jei asmens duomenų saugumo pažeidimas padarytas, nustato kokio tipo pažeidimas

padarytas, asmens duomenų kategorijas, įskaitant specialių kategorijų asmens duomenis, kurios buvo susijusios su pažeidimu, pažeidimo priežastis, lėmusias asmens duomenų saugumo pažeidimą, apimtis (duomenų subjektų kategorijos ir skaičius), žalą padaryta asmeniui;

103.4. pasitelkia Inspekcijos už informacinių sistemų, dokumentų valdymą ar kitas valdymo sritis atsakingus darbuotojus arba Tvarkytojų specialistus, jei asmens duomenų saugumo pažeidimas yra susijęs su elektroninės informacijos saugos ir kibernetinio saugumo incidentu;

23

103.5. nustato, kokių skubių ir tinkamų priemonių būtina imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas (pvz., naudoti atsargines kopijas, siekiant atkurti prarastus ar sugadintus duomenis ar kt.);

103.6. nustato, ar būtina nedelsiant pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą, t. y. ar asmens duomenų pažeidimas kelia pavojų duomenų subjektams. Sukeliančiais pavojų duomenų subjektams laikomi tokie asmens duomenų pažeidimai, kurie gali sukelti šias pasekme: kūno sužalojimas, turtinė ir neturtinė žala, diskriminacija, pavogta ar suklastota tapatybė, finansiniai nuostoliai, pakenkimas reputacijai, profesinės paslapties atskleidimas, pseudonimų panaikinimas, galimybės naudotis savo teisėmis praradimas, negalėjimas kontroliuoti savo duomenų. Didelį pavojų duomenų subjektų teisėms ir laisvėms sukeliantys asmens duomenų saugumo pažeidimai yra tie, kurie gali sukelti fizinę, materialią ar nematerialią žalą duomenų subjektams, tokių pažeidimų pavyzdžiai gali būti diskriminacija, tapatybės vagystė ar klastojimas, finansinė žala, pakenkimas reputacijai, pažeidimai, susiję su duomenimis apie sveikatą, kaltinamuosius nuosprendžius ir nusikalstamas veikas.

104. Tvarkytojai pateikia Inspekcijai visą jos prašomą informaciją, susijusią su informavimu apie asmens duomenų saugumo pažeidimą ir jo tyrimu, per Inspekcijos nurodytą terminą.

105. Duomenų apsaugos pareigūnas, atlikęs asmens duomenų saugumo pažeidimo tyrimą:105.1 surašo Taisyklių 10 priede nurodytos formos Asmens duomenų saugumo pažeidimo

ataskaitą ir ją užregistruoja Inspekcijos IS „Avilys“. Asmens duomenų saugumo pažeidimo ataskaita yra pateikiama Inspekcijos viršininkui ir Tvarkytojo vadovui, jei tai susiję su duomenų tvarkytojo atliekamais asmens duomenų tvarkymo veiksmais. Atsižvelgiant į Asmens duomenų saugumo pažeidimo ataskaitą, Inspekcijos viršininkas, esant poreikiui, tvirtina priemonių planą, kuriame numatomas būtinų techninių, organizacinių, administracinių ir kitų priemonių poreikis dėl asmens duomenų saugumo pažeidimo, nustato įgyvendinimo terminus ir skiria atsakingus vykdytojus;

105.2. nustatęs asmens duomenų pažeidimą ir įvertinęs jo riziką, ne vėliau kaip per 5 darbo dienas jį registruoja Asmens duomenų saugumo pažeidimų registracijos žurnale (Taisyklių 11 priedas);

105.3. nedelsdamas ir, jei įmanoma, nepraėjus 72 valandoms nuo to laiko, kai buvo sužinota apie asmens duomenų saugumo pažeidimą, Priežiūros institucijai pateikia Pranešimą apie asmens duomenų saugumo pažeidimą pagal Priežiūros institucijos direktoriaus 2018 m. gegužės 24 d. įsakymu Nr. 1T-53(1.12.) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“ patvirtintą rekomenduojamą Pranešimo apie asmens duomenų saugumo pažeidimą formą. Tuo atveju, kai asmens duomenų saugumo pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms, apie padarytą asmens duomenų saugumo pažeidimą Priežiūros institucija nėra informuojama. Jei per 72 valandas yra neįmanoma ištirti padarytą asmens duomenų saugumo pažeidimą, pranešime Priežiūros institucijai yra pateikiama tuo metu prieinama informacija, nurodyta Reglamento (ES) 2016/679 33 straipsnio 3 dalyje, vėlavimo priežastys ir kada bus pateikta kita detalesnė informacija;

105.4. kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, ne vėliau kaip per 72 valandas apie asmens duomenų saugumo pažeidimą praneša tiesiogiai duomenų subjektui, pateikdamas užpildytą Taisyklių 105.3 papunktyje rekomenduojamą Pranešimo apie asmens duomenų saugumo pažeidimą formą. Pranešimas duomenų subjektui pateikiamas įprastu ryšio su duomenų subjektu būdu, dedant maksimalias pastangas, kad pranešimas pasiektų adresatą. Duomenų subjektui apie asmens duomenų pažeidimą pranešti nebūtina, jei:

24

105.4.1. buvo įgyvendintos tinkamos techninės ir organizacinės apsaugos priemonės, pvz., šifravimo priemonės, taikytos tiems duomenims, kuriems pažeidimas turėjo poveikį;

105.4.2. po pažeidimo buvo imtasi visų reikiamų apsaugos priemonių, kurios užkirstų kelią dideliam pavojui duomenų subjekto teisėms ir laisvėms;

105.4.3. informavimas pareikalautų neproporcingai daug pastangų. Tokiu atveju apie asmens duomenų pažeidimą duomenų subjektus galima informuoti paskelbiant informaciją viešai.

106. Asmens duomenų saugumo valdymo schema pateikta Taisyklių 12 priede.107. Tuo atveju, kai yra įtariama, kad asmens duomenų saugumo pažeidimas turi

nusikalstamos veikos požymių, informacija apie galimą nusikalstamą veiką nedelsiant pateikiama atitinkamoms valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą.

108. Kai padarytas asmens duomenų saugumo pažeidimas yra susijęs su kibernetiniu incidentu, informacija apie kibernetinį incidentą, susijusį su asmens duomenų saugumo pažeidimu, nedelsiant pateikiama Lietuvos Respublikos kibernetinio saugumo įstatyme nurodytoms valstybės institucijoms šio įstatymo nustatyta tvarka ir atvejais.

VIII SKYRIUSPOVEIKIO ASMENS DUOMENŲ APSAUGAI VERTINIMO IR KONSULTAVIMOSI SU

ASMENS DUOMENŲ PRIEŽIŪROS INSTITUCIJA TVARKA

109. Tais atvejais, kai, atsižvelgiant į asmens duomenų ir duomenų subjektų kategoriją, duomenų tvarkymo pobūdį, aprėptį, kontekstą, tikslus, duomenų subjektų teisėms bei laisvėms gali kilti didelis pavojus, Inspekcija, prieš pradėdama tvarkyti asmens duomenis, atlieka numatytų duomenų tvarkymo veiksmų poveikio asmens duomenų apsaugai vertinimą (toliau – PDAV). PDAV atlikimo metu turi būti konsultuojamasi su duomenų apsaugos pareigūnu.

110. PDAV atliekamas, kai duomenų tvarkymo veiksmai patenka į Valstybinės duomenų apsaugos inspekcijos viršininko 2019 m. kovo 14 d. įsakymu Nr. 1T-35(1.12E) patvirtintą Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą.

111. PDAV turi būti atliktas prieš pradedant įgyvendinti duomenų tvarkymo veiksmus.112. Darbuotojas ar darbuotojai, atlikę PDAV, užpildo Poveikio asmens duomenų apsaugai

vertinimo ataskaitą (Taisyklių 13 priedas) ir ją užregistruoja Inspekcijos IS „Avilys“. Panašių, didelius pavojus keliančių duomenų tvarkymo veiksmų sekai išnagrinėti galima atlikti vieną PDAV.

113. Inspekcija prieš pradėdama asmens duomenų tvarkymo veiksmus, kurie gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms, privalo konsultuotis su Priežiūros institucija šiais atvejais:

113.1. jeigu poveikio duomenų apsaugai vertinimo ataskaitoje yra nustatyta, kad duomenų tvarkymo veiksmai gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms ir numatytos priemonės nesumažina šios rizikos iki priimtino lygio;

113.2. jeigu pareiga konsultuotis su Priežiūros institucija dėl tam tikrų rūšių asmens duomenų tvarkymo veiksmų įtvirtinta teisės aktuose.

114. Asmens duomenų tvarkymo veiksmai, kurie gali sukelti didelį pavojų duomenų subjektų teisėms ir laisvėms, gali būti vykdomi tik tada, kai Inspekcija tinkamai įgyvendina Priežiūros institucijos rekomendacijas, nurodymus ir priemones, gautus konsultavimosi metu.

25

IX SKYRIUSBAIGIAMOSIOS NUOSTATOS

115. Darbuotojams, kurie pažeidžia Reglamento (ES) 2016/679, Asmens duomenų teisinės apsaugos įstatymą, Taisykles ir kitus asmens duomenų tvarkymą reglamentuojančius teisės aktus, taikoma Lietuvos Respublikos teisės aktuose nustatyta atsakomybė.

116. Taisyklės ne rečiau kaip kartą per 2 metus peržiūrimos ir, prireikus ar pasikeitus asmens duomenų tvarkymą reglamentuojantiems teisės aktams, atnaujinamos. Kaip laikomasi šių Taisyklių nuostatų, stebi ir atnaujinimą pagal poreikį inicijuoja duomenų apsaugos pareigūnas.

__________________________

 

26

PATVIRTINTAValstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos viršininko 2019 m. birželio 27 d. įsakymu Nr. 1V-92

DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO VALSTYBINĖJE TERITORIJŲ PLANAVIMO IR STATYBOS INSPEKCIJOJE PRIE APLINKOS MINISTERIJOS

TAISYKLĖS

I SKYRIUSBENDROSIOS NUOSTATOS

5. Asmens duomenų įgyvendinimo Valstybinėje teritorijų planavimo ir statybos inspekcijoje prie Aplinkos ministerijos taisyklės (toliau – Taisyklės) nustato duomenų subjekto teisių įgyvendinimo Valstybinėje teritorijų planavimo ir statybos inspekcijoje prie Aplinkos ministerijos (toliau – Inspekcija) tvarką siekiant įgyvendinti atskaitomybės principą.

6. Inspekcijoje duomenų subjektų teisės įgyvendinamos vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu. Nagrinėjant duomenų subjektų teisių įgyvendinimo prašymus Asmenų prašymų, skundų nagrinėjimo ir asmenų aptarnavimo Valstybinėje teritorijų planavimo ir statybos inspekcijoje prie Aplinkos ministerijos taisyklės, patvirtintos Inspekcijos viršininko 2014 m. sausio 8 d. įsakymu Nr. 1V-5 „Dėl Asmenų prašymų, skundų nagrinėjimo ir asmenų aptarnavimo Valstybinėje teritorijų planavimo ir statybos inspekcijoje prie Aplinkos ministerijos taisyklių patvirtinimo“, taikomos tiek, kiek tų klausimų nereglamentuoja šios Taisyklės.

7. Taisyklėse vartojamos sąvokos atitinka Reglamente (ES) 2016/679 vartojamas sąvokas.8. Taisyklės parengtos vadovaujantis Reglamentu (ES) 2016/679 ir atsižvelgiant į Europos

Komisijos 2018 m. sausio 24 d. komunikatą Europos Parlamentui ir Tarybai „Didesnė apsauga, naujos galimybės. Komisijos gairės dėl tiesioginio Bendrojo duomenų apsaugos reglamento taikymo nuo 2018 m. gegužės 25 d.“ ir į Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 9 d. įsakymą Nr. 1T-63 (1.12. E) „Dėl Duomenų subjekto teisių įgyvendinimo pavyzdinių taisyklių patvirtinimo“.

II SKYRIUSDUOMENŲ SUBJEKTŲ TEISĖS

5. Duomenų subjektų teisės:5.1. teisė gauti informaciją apie asmens duomenų tvarkymą;5.2. teisė susipažinti su asmens duomenimis;5.3. teisė reikalauti ištaisyti duomenis;5.4. teisė reikalauti ištrinti duomenis („teisė būti pamirštam“);5.5. teisė apriboti duomenų tvarkymą;5.6. teisė į duomenų perkeliamumą;5.7. teisė nesutikti su duomenų tvarkymu;

27

5.8. teisė reikalauti, kad asmeniui nebūtų taikomas automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas.

III SKYRIUSTEISĖ GAUTI INFORMACIJĄ APIE ASMENS DUOMENŲ TVARKYMĄ

 

6. Informacija apie Inspekcijoje atliekamą duomenų subjektų asmens duomenų tvarkymą, nurodyta Reglamento (ES) 2016/679 13 ir 14 straipsniuose, Inspekcijoje įgyvendinama šiais būdais:

6.1. Inspekcijos valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, asmenų, priimtų atlikti praktiką Inspekcijoje, (toliau visi kartu – darbuotojai) informavimas apie jų asmens duomenų tvarkymą pateikiant jiems pirmą tarnybos / darbo / praktikos Inspekcijoje dieną informacinėje dokumentų valdymo sistemoje „Avilys“ (toliau – IS „Avilys“) susipažinti šias ir Asmens duomenų tvarkymo Inspekcijoje taisykles;

6.2. darbuotojų informavimas apie vykdomą pokalbių įrašymą, vaizdo Inspekcijos teritorijoje, elektroninių kortelių ir naudojamo tarnybinio automobilio stebėjimą pasirašant Asmens duomenų tvarkymo Inspekcijoje taisyklių, patvirtintų Inspekcijos viršininko įsakymu, nustatytos formos Pasižadėjimą saugoti duomenų paslaptį;

6.3. duomenų subjektų informavimas, kad Inspekcijos teikiamos žodinės konsultacijos telefonu ir konsultacijos vietoje, kai naudojamas diktofonas, bus įrašomos;

6.4. duomenų subjektų, pirmą kartą besijungiančių prie Inspekcijos valdomų informacinių sistemų, informavimas apie asmens duomenų tvarkymą, privatumo politiką;

6.5. vykdant vaizdo stebėjimą, duomenų subjektų prieš patenkant į teritoriją, kurioje vykdomas vaizdo stebėjimas, informavimas apie vykdomą vaizdo stebėjimą informacinėse lentelėse;

6.6. informacijos apie asmens duomenų tvarkymą nurodymas Inspekcijai teikiamų prašymų, skundų ir kitų dokumentų (toliau – dokumentas) rekvizituose;

6.7. informacinio pranešimo duomenų subjektui, nurodžiusiam savo elektroninio pašto adresą, išsiuntimas elektroniniu paštu iš Inspekcijos elektroninio pašto info@vtpsi.lt arba IS „Avilys“, kai Inspekcijoje gautas laisvos formos dokumentas arba dokumentas, kurio patvirtintuose rekvizituose nėra nurodyta informacija apie asmens duomenų tvarkymą;

6.8. pateikiant informaciją Inspekcijos esančiuose informaciniuose stenduose, Inspekcijos leidžiamuose informaciniuose leidiniuose, skrajutėse, interneto svetainėje, spaudoje ir pan.;

6.9. raštu duomenų subjektui pateikiant informaciją apie asmens duomenų tvarkymą (Taisyklių 1 priedas), kai duomenų subjektas Taisyklių XI skyriaus nustatyta tvarka pateikia prašymą įgyvendinti duomenų subjekto teisę (-es) (toliau – prašymas);

6.10. kitais būdais, atsižvelgus į vykdomų duomenų tvarkymo veiksmų pobūdį ir specifiką.7. Kai duomenys renkami iš duomenų subjektų, įgyvendinant duomenų subjektų teisę gauti

informaciją apie asmens duomenų tvarkymą, duomenų subjektui turi būti pateikiama visa, išskyrus atvejus, kai duomenų subjektas šią informaciją jau turi, Reglamento (ES) 2016/679 13 straipsnyje nurodyta informacija apie:

7.1. Inspekcijos kontaktinius duomenis;7.2. duomenų apsaugos pareigūno kontaktinius duomenis;7.3. asmens duomenų tvarkymo tikslą, dėl kurių ketinama tvarkyti asmens duomenis, taip

pat asmens duomenų tvarkymo teisinį pagrindą;7.4. kai duomenų tvarkymas atliekamas pagal Reglamento (ES) 2016/679 6 straipsnio 1

28

dalies f punktą (siekiant teisėtų Inspekcijos interesų), teisėtus Inspekcijos interesus;7.5. jei yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas;7.6. kai taikoma, apie Inspekcijos ketinimą asmens duomenis perduoti į trečiąją valstybę

arba tarptautinei organizacijai ir Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą, arba Reglamento (ES) 2016/679 46 ar 47 straipsniuose arba 49 straipsnio 1 dalies antroje pastraipoje nurodytų perdavimų atveju – tinkamas arba pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti;

7.7. asmens duomenų saugojimo laikotarpį arba, jei įmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;

7.8. teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į duomenų perkeliamumą;

7.9. kai duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies a punktu arba 9 straipsnio 2 dalies a punktu, teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;

7.10. teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai;7.11. tai, ar asmens duomenų pateikimas yra teisės aktais arba sutartyje numatytas

reikalavimas, ar reikalavimas, kurį būtina įvykdyti norint sudaryti sutartį, taip pat tai, ar duomenų subjektas privalo pateikti asmens duomenis, ir informaciją apie galimas tokių duomenų nepateikimo pasekmes;

7.12. tai, kai taikoma, kad esama Reglamento (ES) 2016/679 22 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

8. Kai asmens duomenys renkami iš duomenų subjekto, informacija apie asmens duomenų tvarkymą, taikant Taisyklių 6.1 – 6.10 papunkčiuose numatytas priemones, pateikiama asmens duomenų gavimo metu.

9. Kai asmens duomenys yra gauti ne iš duomenų subjekto, laikantis Taisyklių 10.1–10.2 papunkčiuose nustatytų terminų, duomenų subjektui turi būti pateikiama visa Reglamento (ES) 2016/679 14 straipsnyje nurodyta informacija apie:

9.1. Inspekcijos kontaktinius duomenis;9.2. duomenų apsaugos pareigūno kontaktinius duomenis;9.3. asmens duomenų tvarkymo tikslą, dėl kurių ketinama tvarkyti asmens duomenis, taip

pat asmens duomenų tvarkymo teisinį pagrindą;9.4. atitinkamas asmens duomenų kategorijas;9.5. jei jos yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas;9.6. kai taikoma, apie Inspekcijos ketinimą asmens duomenis perduoti į trečiąją valstybę

arba tarptautinei organizacijai ir Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą, arba Reglamento (ES) 2016/679 46 ar 47 straipsniuose arba 49 straipsnio 1 dalies antroje pastraipoje nurodytų perdavimų atveju – tinkamas arba pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti;

9.7. asmens duomenų saugojimo laikotarpį arba, jei įmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;

9.8. kai duomenų tvarkymas atliekamas pagal Reglamento (ES) 2016/679 6 straipsnio 1 dalies f punktą (siekiant teisėtų Inspekcijos interesų), teisėtus Inspekcijos interesus;

9.9. teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens

29

duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į duomenų perkeliamumą;

9.10. kai duomenų tvarkymas grindžiamas 6 straipsnio 1 dalies a punktu arba 9 straipsnio 2 dalies a punktu, teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;

9.11. teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai;9.12. koks yra asmens duomenų kilmės šaltinis, ir, jei taikoma, ar duomenys gauti iš viešai

prieinamų šaltinių;9.13. tai, kai taikoma, kad esama Reglamento (ES) 2016/679 22 straipsnio 1 ir 4 dalyse

nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

10. Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto, apie šio duomenų subjekto asmens duomenų tvarkymą informuojama:

10.1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;

10.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba

10.3. jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.

11. Tuo atveju, jeigu duomenys renkami ne iš duomenų subjekto, Taisyklių 9 punkte nurodyta informacija apie tokių duomenų tvarkymą ir nuorodos į teisės aktus, reglamentuojančius tokių duomenų tvarkymą, gali būti pateikiamos Inspekcijos interneto svetainėje http://vtpsi.lrv.lt/.

12. Taisyklių 9 ir 10 punktai nėra taikomi, jeigu:12.1. duomenų subjektas buvo supažindintas su šia informacija anksčiau arba ją turi iš kitų

asmenų, tačiau tik tiek, kiek šios informacijos duomenų subjektas jau turi;12.2. duomenų subjekto informavimas yra neįmanomas arba tam reikėtų neproporcingų

pastangų, visų pirma kai duomenys tvarkomi archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais laikantis Reglamento (ES) 2016/679 89 straipsnio 1 dalyje nurodytų sąlygų ir apsaugos priemonių arba jeigu dėl šio straipsnio 1 dalyje nurodytos pareigos gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus. Tokiais atvejais Inspekcija imasi tinkamų priemonių duomenų subjekto teisėms ir laisvėms ir teisėtiems interesams apsaugoti, įskaitant viešą informacijos paskelbimą Taisyklių 11 punkte nustatyta tvarka;

12.3. asmens duomenų gavimas ar atskleidimas aiškiai nustatytas Europos Sąjungos arba Lietuvos Respublikos teisės aktuose, ir kurie taikomi Inspekcijai ir kuriuose nustatytos tinkamos teisėtų duomenų subjektų interesų apsaugos priemonės; arba

12.4. asmens duomenys privalo išlikti konfidencialūs, laikantis Europos Sąjungos arba Lietuvos Respublikos teisės aktuose reglamentuojamos profesinės paslapties prievolės.

IV SKYRIUSTEISĖ SUSIPAŽINTI SU ASMENS DUOMENIMIS

 

13. Taisyklių nustatyta tvarka duomenų subjektas turi teisę (Reglamento (ES) 15 straipsnio 1 ir 2 dalys) neatlygintinai:

13.1. gauti patvirtinimą, ar Inspekcija tvarko duomenų subjekto duomenis, ar netvarko;

30

13.2. susipažinti su Inspekcijoje tvarkomais jo asmens duomenimis ir (ar) asmens duomenų kategorijomis;

13.3. gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti;13.4. sužinoti, kokiu tikslu tvarkomi jo asmens duomenys;13.5. sužinoti numatomą asmens duomenų saugojimo laikotarpį arba kriterijus, pagal

kuriuos nustatomas asmens duomenų saugojimo laikotarpis;13.6. jei tai yra įmanoma, kokiems duomenų gavėjams ar jų kategorijoms teikiami ir buvo

teikti jo asmens duomenys;13.7. sužinoti, kokiu pagrindu surinkti jo asmens duomenys iš įvairių registrų, institucijų ir

kitų asmenų.14. Duomenų subjektui paprašius, Inspekcija pateikia ir tvarkomų konkrečių asmens

duomenų kopiją. Už bet kurias kitas duomenų subjekto prašomas kopijas Inspekcija gali nustatyti pagrįstą mokestį pagal administracines išlaidas. Kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis, informacija pateikiama įprastai naudojama elektronine forma, išskyrus atvejus, kai duomenų subjektas prašo ją pateikti kitaip.

15. Kai atvykus į Inspekciją Taisyklių XI skyriaus nustatyta tvarka pateikiamas prašymas susipažinti su savo vaizdo ar telefoninio pokalbio garso įrašo duomenimis ir Inspekcijos darbuotojas patikrina duomenų subjekto asmens tapatybę, duomenų subjektas turi teisę:

15.1. peržiūrėti vaizdo arba perklausyti garso įrašą Inspekcijos patalpose;15.2. kai įmanoma, gauti vaizdo ar telefoninio pokalbio garso įrašo kopiją kompaktiniame

diske arba duomenų subjekto pateiktoje laikmenoje.16. Jeigu Inspekcija tvarko didelį informacijos, susijusios su duomenų subjektu, kiekį,

pavyzdžiui, asmens duomenys tvarkomi keliais tikslais ir įvairių dokumentų, apskaitomų informacinėse sistemose, turinyje, ir nėra galimybės visos informacijos duomenų subjektui pateikti, Inspekcija turi teisę paprašyti duomenų subjekto sukonkretinti pateiktą prašymą pateikiant daugiau informacijos apie prašomus pateikti asmens duomenis. Jeigu asmens duomenų surasti ar pateikti duomenų subjektui iš karto nepavyksta ar negalima saugant trečiųjų šalių teises, ar prieš pateikiant duomenis juos būtina techniškai apdoroti (iškirpti ir pan.), prašymo įgyvendinimas gali būti pratęsiamas, bet ne ilgiau nei vieną mėnesį nuo prašymo pateikimo dienos. Jeigu per nustatytą terminą prašymo įgyvendinti nepavyksta, prašymo įgyvendinimo terminas gali būti pratęstas Taisyklių 51 punkte nustatyta tvarka.

17. Kai tam tikra informacija apie duomenų subjektą yra susijusi ir su kitais asmenimis, duomenų subjektui informacijos turi būti pateikiama tiek, kad nebūtų pažeistos kitų asmenų teisės.

V SKYRIUSTEISĖ REIKALAUTI IŠTAISYTI ASMENS DUOMENIS

18. Taisyklių nustatyta tvarka duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 16 straipsniu, turi teisę reikalauti, kad bet kokie jo Inspekcijoje tvarkomi netikslūs asmens duomenys būtų ištaisyti, o neišsamūs, atsižvelgdamas į tikslus, kuriais duomenys buvo tvarkomi, papildyti.

19. Inspekcija nedelsdama, bet ne vėliau kaip per 10 darbo dienų nuo prašymo gavimo patikrina asmens duomenis ir:

19.1. kai prašymas pagrįstas, ištaiso netikslius ar papildo neišsamius Inspekcijos tvarkomus asmens duomenis;

31

19.2. jei nėra techninių galimybių per Taisyklių 19 punkte nurodytą terminą ištaisyti netikslius ar neišsamius asmens duomenis, sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą, kol bus ištaisyti neteisingi, netikslūs ir papildyti neišsamūs asmens duomenys.

20. Siekiant įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, Inspekcija turi teisę duomenų subjekto prašyti pateikti tai patvirtinančius dokumentus.

21. Inspekcija nedelsdama, bet ne vėliau kaip per 3 darbo dienas:21.1. nuo netikslių ar neišsamių asmens duomenų ištaisymo praneša duomenų subjektui apie

ištaisytus asmens duomenis;21.2. nuo tvarkymo veikslų sustabdymo praneša duomenų subjektui apie, asmens duomenų

tvarkymo veiksmų sustabdymą bei šių veiksmų priežastis.22. Inspekcija taip pat nedelsdama, bet ne vėliau kaip Taisyklių 21 punkte nustatytais

terminais, informuoja duomenų gavėjus apie, duomenų subjekto prašymu, ištaisytus asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). Tokiu atveju Inspekcija apie duomenų subjekto prašymu ištaisytus asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus šiame Taisyklių punkte nustatytais terminais praneša Valstybinei duomenų apsaugos inspekcijai. Bet kokiu atveju duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

VI SKYRIUSTEISĖ REIKALAUTI IŠTRINTI ASMENS DUOMENIS („TEISĖ BŪTI

PAMIRŠTAM“) 23. Duomenų subjekto teisė ištrinti jo asmens duomenis („teisė būti pamirštam“)

įgyvendinama Reglamento (ES) 2016/679 17 straipsnyje numatytais atvejais. Duomenų subjektas turi teisę reikalauti ištrinti („teisė būti pamirštam“) savo asmens duomenis, išskyrus saugojimą, kai duomenys tvarkomi nesilaikant teisės aktų reikalavimų. Ši teisė nėra absoliuti ir galioja tik esant vienam iš šių pagrindų:

23.1. asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, dėl kurių šie duomenys buvo surinkti ar kitaip tvarkomi;

23.2. duomenų subjektas atšaukia sutikimą, pagal kurį buvo grindžiamas duomenų tvarkymas, ir nėra jokio kito teisinio pagrindo tvarkyti duomenis;

23.3. asmens duomenys buvo tvarkomi neteisėtai;23.4. asmens duomenys turi būti ištrinti laikantis Europos Sąjungos arba Lietuvos

Respublikos teisės aktuose nustatytos teisinės prievolės.24. Duomenų subjekto prašyme turi būti išsamiai argumentuota, dėl kokių priežasčių yra

prašoma ištrinti jo asmens duomenis (prašyme turi būti nurodytas vienas iš Taisyklių 23.1–23.4 papunkčiuose nurodytų pagrindų). Teisė reikalauti ištrinti asmens duomenis („teisė būti pamirštam“) Inspekcijoje neįgyvendinama (Reglamento (ES) 2016/679 17 straipsnio 3 dalis), kai asmens duomenų tvarkymas yra grindžiamas:

24.1. Europos Sąjungos ar Lietuvos Respublikos teisės aktuose nustatytų reikalavimų vykdymu;

24.2. archyvavimo tikslais viešojo intereso labui;24.3. siekiant pareikšti, vykdyti arba apginti teisinius interesus.25. Inspekcija, gavusi duomenų subjekto prašymą, privalo nedelsdama, bet ne vėliau kaip

32

per 10 darbo dienų nuo prašymo gavimo dienos atlikti prašymo įvertinimą, siekdama nustatyti, ar duomenų subjekto pateiktas prašymas yra pagrįstas.

26. Jeigu yra nustatoma, kad duomenų subjekto pateiktas prašymas yra pagrįstas, Inspekcija privalo:

26.1. nedelsdama, bet ne vėliau kaip per vieną mėnesį nuo prašymo gavimo dienos ištrinti visus turimus su duomenų subjektu susijusius asmens duomenis;

26.2. jeigu nėra techninių galimybių nedelsiant ištrinti duomenų subjekto asmens duomenų, sustabdyti duomenų subjekto asmens duomenų tvarkymo veiksmus, kol bus ištrinti asmens duomenys;

26.3. ne vėliau kaip per 5 darbo dienas nuo asmens duomenų ištrynimo informuoti duomenų subjektą apie ištrintus asmens duomenis, nurodant ištrintus asmens duomenis;

26.4. informuoti duomenų gavėjus apie, duomenų subjekto prašymu, ištrintus asmens duomenis, jeigu duomenų subjekto asmens duomenys buvo teikiami duomenų gavėjams. Informuoti duomenų gavėjų nereikia, kai pateikti tokią informaciją neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, asmens duomenų saugojimo laikotarpio, nepagrįstai didelių sąnaudų). Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

VII SKYRIUSTEISĖ APRIBOTI ASMENS DUOMENŲ TVARKYMĄ

 27. Reglamento (ES) 2016/679 18 straipsnio 1 dalyje numatytais atvejais Inspekcija privalo

įgyvendinti duomenų subjekto teisę apriboti jo asmens duomenų tvarkymą. Duomenų subjektas turi teisę kreiptis į Inspekciją su prašymu apriboti savo asmens duomenų tvarkymą, jeigu yra vienas iš šių pagrindų:

27.1. kai duomenų subjektas užginčija (nepriklausomai kokiu būdu) Inspekcijos tvarkomų jo asmens duomenų tikslumą. Tokiu atveju duomenų subjekto asmens duomenų tvarkymas gali būti apribotas tokiam laikotarpiui, per kurį Inspekcija patikrina asmens duomenų tikslumą;

27.2. kai yra nustatyta, kad duomenų subjekto asmens duomenų tvarkymas buvo neteisėtas, tačiau duomenų subjektas nesutinka, kad asmens duomenys būtų ištrinti, ir vietoj to, prašo apriboti jų tvarkymą;

27.3. jeigu yra pasiektas asmens duomenų tvarkymo tikslas ir Inspekcijai, kaip duomenų valdytojui, nebereikia šiam tikslui pasiekti surinktų duomenų subjekto asmens duomenų, tačiau jų reikia duomenų subjektui, siekiančiam pareikšti, vykdyti ar apginti teisinius reikalavimus;

27.4. kai duomenų subjektas pateikė prašymą Inspekcijai, kuriame išreiškė nesutikimą, kad Inspekcija tvarkytų jo asmens duomenis. Tokiu atveju duomenų subjekto asmens duomenų tvarkymas gali būti apribotas tokiam laikotarpiui, per kurį Inspekcija patikrina, ar šis duomenų subjekto prašymas yra pagrįstas;

27.5. kai duomenų subjektas pateikia prašymą ištrinti jo Inspekcijoje tvarkomus asmens duomenis ir nustatoma, kad prašymas yra pagrįstas, tačiau nėra techninių galimybių duomenų subjekto asmens duomenis ištrinti nedelsiant. Tokiu atveju duomenų subjekto asmens duomenų tvarkymas gali būti apribotas iki tol, kol duomenų subjekto asmens duomenys bus ištrinti.

28. Inspekcija, gavusi duomenų subjekto prašymą, privalo nedelsdama, bet ne vėliau kaip per 10 darbo dienų nuo prašymo gavimo dienos atlikti prašymo įvertinimą, siekdama nustatyti, ar duomenų subjekto pateiktas prašymas yra pagrįstas.

29. Jeigu yra nustatoma, kad duomenų subjekto pateiktas prašymas yra pagrįstas,

33

Inspekcija privalo:29.1. apriboti duomenų subjekto asmens duomenų tvarkymą. Kai duomenų tvarkymas

apribotas, tokius asmens duomenis galima tvarkyti, išskyrus saugojimą, tik gavus duomenų subjekto sutikimą arba pareikšti, vykdyti arba apginti teisinius reikalavimus, arba apsaugoti kito fizinio ar juridinio asmens teises, arba dėl svarbaus Europos Sąjungos arba Lietuvos Respublikos viešojo intereso priežasčių (Reglamento (ES) 2016/679 18 straipsnio 2 dalis);

29.2. nedelsdama, bet ne vėliau kaip per 5 darbo dienas nuo sprendimo dėl asmens duomenų tvarkymo apribojimo priėmimo informuoti duomenų subjektą apie jo asmens duomenų tvarkymo apribojimą. Jeigu yra galimybė, nurodyti preliminarų laikotarpį, kurio metu bus apribotas duomenų subjekto asmens duomenų tvarkymas;

29.3. ne vėliau kaip per 5 darbo dienas nuo sprendimo dėl asmens duomenų tvarkymo apribojimo priėmimo informuoti duomenų gavėjus apie priimtą sprendimą, jeigu duomenų subjekto asmens duomenys buvo teikiami duomenų gavėjams. Informuoti duomenų gavėjų nereikia, kai pateikti tokią informaciją neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, asmens duomenų saugojimo laikotarpio, nepagrįstai didelių sąnaudų). Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus;

29.4. kai yra priimamas sprendimas panaikinti apribojimą tvarkyti duomenų subjekto asmens duomenis, Inspekcija, prieš panaikindama apribojimą, privalo raštu informuoti duomenų subjektą.

VIII SKYRIUSTEISĖ Į ASMENS DUOMENŲ PERKELIAMUMĄ

 30. Inspekcija įgyvendina duomenų subjekto teisę į duomenų perkeliamumą (teisę, kad

Inspekcija asmens duomenis tiesiogiai persiųstų kitam duomenų valdytojui, kai tai techniškai įmanoma) Reglamento (ES) 2016/679 20 straipsnyje numatytomis sąlygomis. Duomenų subjektas turi teisę kreiptis į Inspekciją su prašymu gauti su juo susijusius asmens duomenis bei turi teisę prašyti persiųsti Inspekcijoje tvarkomus duomenų subjekto asmens duomenis kitam duomenų valdytojui, kai:

30.1. duomenų tvarkymas atliekamas duomenų subjekto sutikimu arba duomenų tvarkymas vykdomas remiantis sutartimi tarp Inspekcijos ir duomenų subjekto;

30.2. asmens duomenys yra tvarkomi automatizuotomis priemonėmis;30.3. duomenų subjektas asmens duomenis, kuriuos ketina persiųsti kitam duomenų

valdytojui, pateikė Inspekcijai pats arba per atstovą;30.4. duomenų subjekto pateikti asmens duomenys yra susisteminti bei pateikti įprastai

naudojamu ir kompiuteriu skaitomu formatu. Duomenų subjektas teisės perkelti duomenis neturi tų asmens duomenų atžvilgiu, kurie tvarkomi neautomatiniu būdu susistemintose rinkmenose, pavyzdžiui, popierinėse bylose.

31. Tam, kad būtų įgyvendintas duomenų subjekto prašymas, turi būti įgyvendintos visos Taisyklių 30.1–30.4 papunkčiuose nurodytos sąlygos.

32. Inspekcija, gavusi duomenų subjekto prašymą įgyvendinti duomenų subjekto teisę perkelti asmens duomenis, privalo nedelsdama, bet ne vėliau kaip per 10 darbo dienų nuo prašymo gavimo dienos atlikti prašymo įvertinimą, siekdama nustatyti, ar duomenų subjekto pateiktas prašymas yra pagrįstas.

33. Jeigu prašymas yra pagrįstas, informacija gali būti pateikiama:

34

33.1. duomenų subjektui;33.2. kitam duomenų valdytojui, jeigu yra abi šios sąlygos:33.2.1. duomenų subjektas prašyme nurodo, kad Inspekcija asmens duomenis turėtų

persiųsti kitam duomenų valdytojui;33.2.2. yra techninės galimybės pateikti asmens duomenis tiesiogiai kitam duomenų

valdytojui.34. Jeigu duomenų subjekto prašymas dėl asmens duomenų perkėlimo įgyvendinamas

duomenų subjekto asmens duomenis perkeliant kitam duomenų valdytojui, Inspekcija nevertina, ar duomenų valdytojas, kuriam bus perkelti duomenų subjekto asmens duomenys, turi teisinį pagrindą gauti duomenų subjekto asmens duomenis ir ar šis duomenų valdytojas užtikrins tinkamas asmens duomenų saugumo priemones. Inspekcija neprisiima atsakomybės už perkeltų asmens duomenų tolesnį tvarkymą, kurį atliks kitas duomenų valdytojas.

35. Inspekcija užtikrina, kad duomenų subjektams įgyvendinant savo teisę perkelti asmens duomenis būtų perkeliami tik tie duomenys, kurie tvarkomi sutarties arba sutikimo pagrindu ir yra tvarkomi automatizuotomis priemonėmis. Tokiu atveju asmens duomenys duomenų subjektui būtų pateikiami susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu.

36. Duomenų subjekto teisė į duomenų perkeliamumą nebus taikoma tais atvejais, kai asmens duomenų tvarkymas yra būtinas Inspekcijai siekiant laikytis jai nustatytos teisinės prievolės arba siekiant atlikti užduotį, vykdomą dėl viešojo intereso, arba vykdant Inspekcijai pavestas viešosios valdžios funkcijas.

37. Pagal duomenų subjekto prašymą perkelti jo asmens duomenys nėra automatiškai ištrinami. Jeigu duomenų subjektas to pageidauja, turi kreiptis į Inspekciją dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) įgyvendinimo šių Taisyklių nustatyta tvarka.

IX SKYRIUSTEISĖ NESUTIKTI SU ASMENS DUOMENŲ TVARKYMU

 38. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 21 straipsniu, turi teisę

dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, o Inspekcija duomenų subjektui privalo sudaryti galimybę dėl su juo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti su duomenų tvarkymu, kai duomenų subjekto asmens duomenys tvarkomi siekiant:

38.1. įgyvendinti Inspekcijai pavestą užduotį, vykdomą viešojo intereso labui arba vykdant Inspekcijai pavestas viešosios valdžios funkcijas; arba

38.2. teisėtų Inspekcijos arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni.

39. Teisė nesutikti įgyvendinama laikantis šios procedūros: 39.1. apie duomenų subjekto teisę nesutikti, kad būtų tvarkomi jo asmens duomenys,

Inspekcija informuoja:39.1.1. Inspekcijos interneto svetainės skiltyje „Asmens duomenų apsauga“;39.1.2. bendravimo su duomenų subjektu metu tokiu būdu, kokiu duomenų subjektas

kreipiasi į Inspekcija: 39.1.2.1. jei kreipiamasi žodžiu (pavyzdžiui, konsultacijos telefonu atveju) – Inspekcija

informaciją apie jo teisę nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, pateikia

35

žodžiu arba informuoja, kad tokia informacija yra paskelbta Inspekcijos interneto svetainės skiltyje „Asmens duomenų apsauga“;

39.1.2.2. jei kreipiamasi raštu (pavyzdžiui, naudojantis Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacine sistema „Infostatyba“) – informacija pateikiama informacinių sistemų privatumo politikoje ir (ar) informaciniuose pranešimuose, kai pirmą kartą jungiamasi prie informacinių sistemų, dokumentų rekvizituose;

39.1.3. kitais būdais, pavyzdžiui, skelbimų lentoje ir pan.;39.2. jeigu yra gaunamas duomenų subjekto nesutikimas, Inspekcija patikrina prašymo

pagrįstumą ir Taisyklių 50 punkte nustatytais terminais: 39.2.1. jei prašymas yra teisiškai pagrįstas, t. y. duomenų subjekto nurodytos priežastys yra

viršesnės už Inspekcijos ar trečiųjų šalių interesą duomenis tvarkyti, nedelsdama nutraukia asmens duomenų tvarkymo veiksmus (pavyzdžiui, vaizdo įrašo saugojimą), išskyrus teisės aktų nustatytus atvejus, ir apie tai informuoja duomenų subjektą bei duomenų gavėjus, kai tai įmanoma;

39.2.2. jei prašymas nepagrįstas, raštu duomenų subjektui nurodo priežastis, kodėl duomenų subjekto asmens duomenys turi būti ir toliau tvarkomi dėl pagrįstų ir teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus. Atsakyme taip pat nurodoma teisė duomenų subjektui šių Taisyklių 56 punkte nurodytais terminais pateikti skundą Valstybinei duomenų apsaugos inspekcijai.

X SKYRIUSTEISĖ REIKALAUTI, KAD NEBŪTŲ TAIKOMAS TIK AUTOMATIZUOTU

ASMENS DUOMENŲ TVARKYMU, ĮSKAITANT PROFILIAVIMĄ, GRINDŽIAMAS SPRENDIMAS

 40. Inspekcija duomenų subjektų teisės reikalauti, kad nebūtų taikomas tik automatizuotu

asmens duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, neįgyvendina, kadangi Inspekcijoje dėl duomenų subjektų nėra priimami sprendimai, grindžiami automatizuotu duomenų tvarkymu ir nėra vykdomas profiliavimas.

XI SKYRIUSPRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES PATEIKIMAS

 41. Kreiptis dėl Taisyklių 5 punkte nurodytų duomenų subjekto teisių įgyvendinimo

duomenų subjektas turi teisę raštu, pateikdamas prašymą atvykęs į Inspekciją, paštu ar elektroninėmis priemonėmis el. paštu info@vtpsi.lt.

42. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi raštu atvykus į Inspekciją, duomenų subjektas turi patvirtinti savo tapatybę, pateikdamas asmens tapatybės patvirtinimo dokumentą. To nepadarius, duomenų subjekto teisės nėra įgyvendinamos, informacija pateikiama Taisyklių 52 punkto nustatyta tvarka. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.

43. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi raštu, pateikiant prašymą paštu, tuomet kartu su prašymu turi būti pateikta notaro patvirtinta asmens tapatybės patvirtinimo dokumento kopija. Teikiant prašymą elektroninėmis priemonėmis, prašymas turi būti pasirašytas kvalifikuotu elektroniniu parašu. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl

36

informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.

44. Prašymas įgyvendinti duomenų subjekto teises (toliau – prašymas) turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyti duomenų subjekto vardas, pavardė, adresas ir (ar) kiti ryšio duomenys ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo.

45. Savo teises duomenų subjektas gali įgyvendinti pats arba per atstovą.46. Asmens atstovas prašyme turi nurodyti savo vardą, pavardę, adresą ir (ar) kitus

duomenis, kuriais pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę ir adresą bei pateikti atstovavimo patvirtinimo dokumentą ar jo kopiją. Atstovo prašymas turi būti pateiktas laikantis tų pačių, kaip ir duomenų subjekto prašymui nustatytų, prašymui (pateikimo būdui, turiniui ir kt.) keliamų reikalavimų.

47. Esant abejonių dėl duomenų subjekto tapatybės, Inspekcija prašo papildomos informacijos, reikalingos ja įsitikinti.

48. Kreipiantis raštu dėl duomenų subjekto teisių įgyvendinimo, rekomenduojama pateikti Taisyklių 2 priede nurodytos formos prašymą.

49. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis į duomenų apsaugos pareigūną el. paštu: duomenuapsauga@vtpsi.lt, adresu: A. Vienuolio g. 8, 01104 Vilnius arba tel.: tel. (8 5) 27728057.

 XII SKYRIUS

PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES NAGRINĖJIMAS

50. Gauti prašymai registruojami gautų dokumentų registre. Prašymus nagrinėja duomenų apsaugos pareigūnas arba kitas Inspekcijos viršininko įgaliotas darbuotojas. Siekiant tinkamai įgyvendinti prašymą, esant duomenų apsaugos pareigūno kreipimuisi, darbuotojai pagal kompetencija privalo suteikti tarnybinę pagalbą.

51. Gavus duomenų subjekto prašymą, ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, išskyrus atvejus kai šios Taisyklės nustato kitus terminus, jam pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Jeigu bus pratęsiamas terminas pateikti informaciją per nurodytą vieno mėnesio terminą, duomenų subjektas informuojamas apie tai, nurodant pratęsimo priežastis ir apie galimybę pateikti skundą Valstybinei duomenų apsaugos inspekcijai. Vieno mėnesio terminas gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymo sudėtingumą ir nagrinėjamų prašymų skaičių. Jeigu prašymo nagrinėjimo metu duomenų subjektas prašymą patikslina (papildo) arba suformuluoja iš esmės naują prašymą, nagrinėjimo terminas skaičiuojamas nuo patikslinto (papildyto) prašymo gavimo dienos.

52. Jeigu prašymas pateiktas nesilaikant Taisyklėse nustatytos tvarkos ir reikalavimų, jis nenagrinėjamas, ir nedelsiant, bet ne vėliau kaip per 10 darbo dienų nuo jo gavimo, duomenų subjektas apie tai informuojamas raštu nurodant priežastis.

53. Jeigu prašymo nagrinėjimo metu nustatoma, jog duomenų subjekto teisės yra apribotos Reglamento (ES) 2016/679 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.

54. Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba arba turėti vertimą į valstybinę kalbą, kurio tikrumas būtų paliudytas Lietuvos Respublikos notariato įstatymo nustatyta tvarka.

37

55. Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai, išskyrus Taisyklių 14 punkte numatytą išimtį.

56. Inspekcijos veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę per 3 mėnesius nuo atsakymo iš Inspekcijos gavimo dienos arba per 3 mėnesius nuo tos dienos, kada baigiasi 30 kalendorinių dienų terminas pateikti atsakymą skųsti pats subjektas arba jo atstovas, taip pat jo įgaliota ne pelno siekianti įstaiga, organizacija ar asociacija, atitinkanti Reglamento (ES) 2016/679 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai adresu: L. Sapiegos g. 17, 10312 Vilnius, el. paštas ada@ada.lt, interneto svetainė www.ada.lt, taip pat Vilniaus apygardos administraciniam teismui (Žygimantų g. 2, 01102 Vilnius) per 1 mėnesį nuo atsakymo gavimo Lietuvos Respublikos Administracinių bylų teisenos įstatymo nustatyta tvarka.

57. Dėl duomenų subjekto teisių pažeidimo patyrus materialinę ar nematerialinę žalą, duomenų subjektas turi teisę į kompensaciją, dėl kurios priteisimo turi kreiptis į teismą.

_______________________

38

Duomenų subjekto teisių įgyvendinimo Valstybinėje teritorijų planavimo ir statybos inspekcijoje taisyklių 1 priedas

(Informacijos apie asmens duomenų tvarkymą forma)

INFORMACIJA APIE ASMENS DUOMENŲ TVARKYMĄ

Vadovaudamiesi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) 13/141 straipsniu, teikiame Jums informaciją, susijusią su Jūsų duomenų tvarkymu:

1. Duomenų valdytojas – Valstybinė teritorijų planavimo ir statybos inspekcija prie Aplinkos ministerijos (toliau – Inspekcija), buveinės adresas: A. Vienuolio g. 8, 01104, Vilnius, el. pašto adresas info@vtpsi.lt.

2. Duomenų apsaugos pareigūno kontaktai – el. pašto adresas duomenuapsauga@vtpsi.lt, tel. (8 5) 27728057.

3. Tvarkomi duomenys. Informuojame Jus, kad tvarkome šiuos Jūsų asmens duomenis2:3.1. ________________________3.2. ________________________3.3. ________________________3.4. ________________________4. Duomenų tvarkymo tikslai. Aukščiau nurodyti Jūsų asmens duomenys yra tvarkomi

šiais tikslais3: 4.1. ________________________4.2. ________________________4.3. ________________________4.4. ________________________5. Duomenų tvarkymo teisinis pagrindas. Jūsų asmens duomenų tvarkymo teisinis

pagrindas4 – ______________________________________________________________________________________________________________________________________________________.________________________________________________________________________________5.

6. Duomenų šaltinis. Aukščiau nurodyti Jūsų duomenys gauti iš6 _______________________________________________________________________________________________________

7. Asmens duomenų gavėjai. Jūsų asmens duomenys gali būti perduoti7:7.1. duomenų tvarkytojams, kurie atlieka tam tikrus darbus ir teikia paslaugas

(informacinių technologijų bendrovės, kurios duomenis tvarko, kad užtikrintų informacinių sistemų kūrimą, tobulinimą ir palaikymą; bendrovės, kurios užtikrina pranešimų klientams

1 Pasirinkti tinkamą: jei duomenys gauti iš paties duomenų subjekto, nurodomas 13 straipsnis, jei iš kitų asmenų – 14 straipsnis.2 Šiame punkte pateikiamas tvarkomų asmens duomenų (asmens duomenų kategorijų) sąrašas, nurodytas Inspekcijos asmens duomenų tvarkymo taisyklėse ir Inspekcijos asmens duomenų tvarkymo įrašų registre.3 Šiame punkte pateikiami asmens duomenų tvarkymo tikslai, nurodyti Inspekcijos asmens duomenų tvarkymo taisyklėse ir Inspekcijos asmens duomenų tvarkymo įrašų registre. 4 Šiame punkte pateikiamas asmens duomenų tvarkymo pagrindas, nurodytas Inspekcijos asmens duomenų tvarkymo taisyklėse ir Inspekcijos asmens duomenų tvarkymo įrašų registre.5 Atsižvelgiant į duomenų tvarkymo teisinį pagrindą, nurodoma, ar duomenų pateikimas yra nustatytas teisės aktais, arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina vykdyti norint sudaryti sutartį, taip pat tai, ar duomenų subjektas privalo pateikti asmens duomenis, ir informacija apie galimas tokių duomenų nepateikimo pasekmes; jeigu duomenų tvarkymo pagrindas – teisėtas Inspekcijos ar trečiųjų asmenų interesas – aiškiai įvardinamas šis interesas6 Šiame punkte pateikiamas asmens duomenų kilmės šaltinis ir, jeigu taikoma asmens duomenų apsauga, ar duomenys gauti iš viešai prieinamų šaltinių.7 Šiame punkte pateikiami duomenų gavėjai (jų kategorijos), nurodyti Inspekcijos asmens duomenų tvarkymo taisyklėse ir Inspekcijos asmens duomenų tvarkymo įrašų registre.

39

siuntimą, teikia apsaugos ir kitas paslaugas, įskaitant teisės, finansų, mokesčių, verslo valdymo, personalo administravimo, buhalterinės apskaitos paslaugas);

7.2. teismui, teisėsaugos įstaigoms ar valstybės institucijoms tiek, kiek tokį teikimą nustato teisės aktų reikalavimai (pvz.: antstoliams, teismams ir kt.);

7.3. kitiems fiziniams/juridiniams asmenims Jūsų sutikimu, jei toks sutikimas gaunamas dėl konkretaus atvejo;

7.4. ____________________________________.8. Duomenų subjektų teisės. Informuojame Jus, kad turite šias teises: teisę prašyti, kad

Jums būtų leista susipažinti su Jūsų asmens duomenimis ir juos ištaisyti arba ištrinti, teisę apriboti duomenų tvarkymą, teisę nesutikti, kad asmens duomenys būtų tvarkomi, taip pat teisę į asmens duomenų perkeliamumą.

Šias teises galite įgyvendinti Reglamento (ES) 2016/679), Duomenų subjektų teisių įgyvendinimo Inspekcijoje nustatyta tvarka.

9. Jūs taip pat turite teisę bet kada atšaukti sutikimą tvarkyti Jūsų duomenis. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto asmens duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.8

10. Asmens duomenų saugojimo laikotarpis. Informuojame, kad Jūsų asmens duomenys bus saugomi ____________ laikotarpį9. Šis terminas gali būti pratęstas, jei asmens duomenys yra naudojami arba gali būti naudojami kaip įrodymai ar informacijos šaltinis ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais įstatymų nustatytais atvejais. Tokiu atveju asmens duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.

11. Automatizuotų sprendimų priėmimai. Informuojame, kad šie Jūsų duomenys nebus naudojami automatizuotų sprendimų priėmimui Jūsų atžvilgiu, įskaitant profiliavimą10.

12. Skundų teikimas. Inspekcijos veiksmus ar neveikimą įgyvendinant Jūsų teises, Jūs turi teisę per 3 mėnesius nuo atsakymo iš Inspekcijos gavimo dienos arba per 3 mėnesius nuo tos dienos, kada baigiasi 30 kalendorinių dienų terminas pateikti atsakymą skųsti pats arba per atstovą, taip pat per Jūsų įgaliotą ne pelno siekiančią įstaigą, organizaciją ar asociaciją, atitinkančią Reglamento (ES) 2016/679 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai adresu: L. Sapiegos g. 17, 10312 Vilnius, el. paštas ada@ada.lt, interneto svetainė www.ada.lt, taip pat Vilniaus apygardos administraciniam teismui (Žygimantų g. 2, 01102 Vilnius) per 1 mėnesį nuo atsakymo gavimo Lietuvos Respublikos Administracinių bylų teisenos įstatymo nustatyta tvarka.

______________

8 Ši pastraipa yra rašoma tik tada, kai duomenys yra tvarkomi sutikimo pagrindu.9 Šiame punkte pateikiamas asmens duomenų saugojimo laikotarpis, nurodytas Inspekcijos asmens duomenų tvarkymo taisyklėse ir Inspekcijos asmens duomenų tvarkymo įrašų registre.10 Profiliavimas atliekamas tada, kai vertinami asmens asmeniniai aspektai, kad būtų padarytos prognozės, net jeigu ir nebus priimtas sprendimas.

40

Duomenų subjekto teisių įgyvendinimo Valstybinėje teritorijų planavimo ir statybos inspekcijoje taisyklių 2 priedas

_______________________________________________________________________________(duomenų subjekto vardas, pavardė)

_______________________________________________________________________________(adresas ir (ar) kiti ryšio duomenys (telefono numeris ar el. pašto adresas

(nurodoma pareiškėjui pageidaujant)_______________________________________________________________________________

_(atstovas ir atstovavimo pagrindas, jeigu prašymą pateikia duomenų subjekto atstovas)1

Valstybinei teritorijų planavimo ir statybos inspekcijai prie Aplinkos ministerijos

PRAŠYMASĮGYVENDINTI DUOMENŲ SUBJEKTO TEISĘ (-ES)

____________(data)

________(vieta)

1. Prašau įgyvendinti šią (šias) duomenų subjekto teisę (-es):(tinkamą langelį pažymėkite kryželiu):

□ Teisę gauti informaciją apie asmens duomenų tvarkymą□ Teisę susipažinti su asmens duomenimis□ Teisę reikalauti ištaisyti asmens duomenis□ Teisę reikalauti ištrinti asmens duomenis („teisė būti pamirštam“)□ Teisę apriboti asmens duomenų tvarkymą□ Teisę į asmens duomenų perkeliamumą□ Teisę nesutikti su asmens duomenų tvarkymu□ Teisę reikalauti, kad nebūtų taikomas tik automatizuotu asmens duomenų tvarkymu,

įskaitant profiliavimą, grindžiamas sprendimas

2. Nurodykite, ko konkrečiai prašote ir pateikite kiek įmanoma daugiau informacijos, kuri leistų tinkamai įgyvendinti Jūsų teisę (-es) (pavyzdžiui, jeigu norite gauti asmens duomenų kopiją, nurodykite, kokių konkrečiai duomenų (pavyzdžiui, 2018 m. x mėn. x d. elektroninio pašto laiško kopiją, 2018 m. x mėn. x d. vaizdo įrašo (x val. x min. – x val. x min.) kopiją pageidaujate gauti; jeigu norite ištaisyti duomenis, nurodykite, kokie konkrečiai Jūsų asmens duomenys yra netikslūs; jeigu nesutinkate, kad būtų tvarkomi Jūsų asmens duomenys, tuomet nurodykite argumentus, kuriais grindžiate savo nesutikimą, nurodykite dėl kokio konkrečiai duomenų tvarkymo nesutinkate; jeigu kreipiatės dėl teisės į duomenų perkeliamumą įgyvendinimo, prašome nurodyti, kokių duomenų atžvilgiu šią teisę pageidaujate įgyvendinti, ar pageidaujate juos perkelti į savo įrenginį ar kitam duomenų valdytojui, jeigu pastarajam, tuomet nurodykite kokiam):__________________________________________________________________________________________________________________________________________________________________

41

___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

PRIDEDAMA2:1. ________________________________________________________________________.2. ________________________________________________________________________.3. ________________________________________________________________________.4. ________________________________________________________________________.

_______________ _____________________________ (parašas) (vardas, pavardė)

____________________Jeigu prašymą pateikia duomenų subjekto atstovas, kartu turi būti pridedamas atstovo įgaliojimų patvirtinimo

dokumentas. 2 Jeigu kreipiamasi dėl netikslių duomenų ištaisymo, pateikiamos tikslių duomenų patvirtinimo dokumentų

kopijos; jeigu jos siunčiamos paštu, tuomet turi būti patvirtintos notaro ar kita teisės aktų nustatyta tvarka. Jeigu duomenų subjekto asmens duomenys, tokie kaip vardas, pavardė, yra pasikeitę, kartu pateikiamos dokumentų, kuriais

42

patvirtinamas šių duomenų pasikeitimas, kopijos; jeigu jos siunčiamos paštu, tuomet turi būti patvirtintos notaro ar kita teisės aktų nustatyta tvarka.