ASMENS DUOMENŲ TVARKYMO TAISYKLĖS
I SKYRIUS BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo VŠĮ „Mados meno studija“ (toliau – Įstaiga) tvarkos taisyklės (toliau – Taisyklės) nustato Įstaigos steigėjų ir darbuotojų, Įstaigos klientų, kitų fizinių asmenų (toliau – duomenų subjektai) asmens duomenų tvarkymo reikalavimus, asmens duomenų tvarkymo principų įgyvendinimo tvarką, įgyvendinamas organizacines ir technines asmens duomenų saugumo priemones.
2. Taisyklių tikslas – reglamentuoti asmens duomenų tvarkymą Įstaigoje užtikrinant, kad būtų laikomasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento) (toliau – Reglamentas (ES) 2016/679), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymo ir privatumo apsaugos reikalavimus, nuostatų. Taisyklėmis siekiama įgyvendinti atskaitomybės principą, įtvirtintą Reglamento (ES) 2016/679 5 straipsnio 2 dalyje.
3. Taisyklių privalo laikytis visi Įstaigos darbuotojai, kurie eidami pareigas arba atlikdami funkcijas tvarko asmens duomenis arba juos sužino.
4. Taisyklės parengtas vadovaujantis Reglamentu (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir privatumo apsaugą.
5. Įstaigoje tvarkomų asmens duomenų valdytojas yra VŠĮ „Mados meno studija“, įmonės kodas 307679852, veikianti adresu S.Žukausko g. 33-53, LT-09129 Vilnius, elektroninio pašto adresas info@madosmenostudija.lt.
II SKYRIUS
DUOMENŲ VALDYTOJO PAREIGOS
6. Įstaiga, tvarkydama asmens duomenis ir nustatydama duomenų tvarkymo priemones, nuo asmens duomenų surinkimo iki saugojimo termino pabaigos įgyvendina tinkamas technines ir organizacines priemones, kad būtų veiksmingai įgyvendinti duomenų apsaugos principai, įtvirtinti Reglamento (ES) 2016/679 5 straipsnyje. Tuo tikslu Įstaiga:
6.1. nustato asmens duomenų tvarkymo tikslus ir priemones ir užtikrina, kad asmens duomenys būtų renkami nustatytais, aiškiai apibrėžtais ir teisėtais tikslais ir toliau tvarkomi tik su tais tikslais suderinamu būdu;
6.2. užtikrina, kad asmens duomenys būtų tvarkomi teisėtai, sąžiningai ir skaidriai, laikantis teisės aktuose nustatytų asmens duomenų tvarkymo reikalavimų;
6.3. užtikrina, kad asmens duomenys būtų adekvatūs, tinkami ir tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi;
6.4. užtikrina, kad asmens duomenys būtų tikslūs ir prireikus atnaujinami, o netikslūs asmens duomenys nedelsiant ištrinami arba ištaisomi;
6.5. užtikrina, kad asmens duomenys būtų laikomi tokia forma, kad nustatyti duomenų subjekto tapatybę būtų galima ne ilgiau, nei būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;
6.6. užtikrina, kad būtų taikomos tinkamos techninės ir organizacinės duomenų saugumo priemonės, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;
6.7. užtikrina duomenų subjekto teisių įgyvendinimą;
6.8. rengia ir priima vidaus teisės aktus, reglamentuojančius asmens duomenų tvarkymą ir užtikrinančius atskaitomybės principo įgyvendinimą;
6.9. sprendžia dėl asmens duomenų teikimo;
6.10. įgalioja duomenų tvarkytojus tvarkyti asmens duomenis parinkdama tokį duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines asmens duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi;
6.11. pildo duomenų tvarkymo veiklos įrašus;
6.12. teisės aktų nustatytais atvejais atlieka poveikio duomenų apsaugai vertinimą;
6.13. imasi priemonių valdyti asmens duomenų saugumo pažeidimus ir teisės aktuose
nustatytais atvejais praneša apie juos priežiūros institucijai ir duomenų subjektams; 6.14. vykdo kitus teisės aktuose nustatytus reikalavimus.
III SKYRIUS
ASMENS DUOMENŲ TVARKYMO TIKSLAI IR ASMENS DUOMENŲ TVARKYMO TEISINIAI PAGRINDAI
7. Įstaiga tvarko asmens duomenis šiais tikslais:
7.1. Įstaigos valdymo užtikrinimo tikslu Įstaiga tvarko valdymo organų narių asmens duomenis. Asmens duomenys tvarkomi vykdant Įstaigai taikomus teisės aktų reikalavimus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c punktu;
7.2. darbuotojų atrankos tikslu Įstaiga tvarko kandidatų į darbuotojus asmens duomenis. Asmens duomenys tvarkomi remiantis asmens sutikimu bei Įstaigos teisėtu interesu į darbą priimti įstaigai tinkamiausią kandidatą, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. a, f punktais;
7.3. personalo valdymo (darbo sutarčių sudarymo ir vykdymo, Įstaigos darbo organizavimo, Įstaigos, kaip darbdavio, pareigų, nustatytų teisės aktuose, vykdymo bei tinkamų darbo sąlygų užtikrinimo ir pan.) tikslu Įstaiga tvarko darbuotojų asmens duomenis, įskaitant ir specialios kategorijos duomenis. Asmens duomenys tvarkomi siekiant vykdyti darbo sutartį, vykdant Įstaigai taikomus teisės aktų reikalavimus bei siekiant vykdyti Įstaigos, kaip darbdavio, prievoles bei sudarytigalimybę darbuotojams pasinaudoti jiems suteiktomis teisėmis darbo ir socialinės apsaugos srityje ir siekiant Įstaigos teisėtų interesų efektyviai organizuoti savo veiklą, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. a, b, c, f punktais, 9 str. 2 d. b, g punktais;
7.4. buhalterinės apskaitos, materialinių finansinių išteklių valdymo tikslu Įstaiga tvarko darbuotojų, kitų buhalteriniuose dokumentuose nurodytų asmenų asmens duomenis. Asmens duomenys tvarkomi vykdant Įstaigai taikomus teisės aktų reikalavimus, vadovaujantis Reglamento
(ES) 2016/679 6 str. 1 d. c punktu, Lietuvos Respublikos buhalterinės apsaugos įstatymu, kitais teisės aktais;
7.5. dokumentų valdymo tikslu Įstaiga tvarko gautuose, siunčiamuose, vidaus ir kituose dokumentuose nurodytų asmenų asmens duomenis. Asmens duomenys tvarkomi remiantis Reglamento 6 straipsnio 1 dalies c punktu, 9 straipsnio 2 dalies g, j punktais, Lietuvos Respublikos dokumentų ir archyvų įstatymu, kitais teisės aktais;
7.6. skundų, prašymų, pretenzijų nagrinėjimo tikslu Įstaiga tvarko skundą, prašymą, pretenziją pateikusių asmenų asmens duomenis. Asmens duomenys tvarkomi remiantis duomenų subjekto sutikimu bei siekiant Įstaigos teisėtų interesų tinkamai išnagrinėti jai pateiktus klausimus ir turėti priimtų sprendimų įrodymus, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. a, f punktu, 9 str. 2 d. a, f punktais;
7.7. sutarčių sudarymo ir vykdymo tikslu Įstaiga tvarko potencialių ir esamų paslaugų teikėjų, partnerių - juridinių asmenų - darbuotojų ar atstovų, pasirašiusių sutartis ar atsakingų už sutarties vykdymą; potencialių ir esamų paslaugų teikėjų, partnerių - fizinių asmenų asmens duomenis. Asmens duomenys tvarkomi siekiant vykdyti teisės aktuose įtvirtintus reikalavimus, sudaryti ir vykdyti sutartį bei siekiant teisėtų Įstaigos interesų apsaugos, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. b, c, f punktu;
7.8. sutarčių sudarymo ir vykdymo su paslaugų gavėjais (paslaugų gavėjai – mokinių tėvai (globėjai, rūpintojai), atstovaujantys mokinių interesus) tikslu Įstaiga tvarko sutartis pasirašiusių duomenų subjektų ir jų atstovaujamų vaikų asmens duomenis. Asmens duomenys tvarkomi siekiant vykdyti teisės aktuose įtvirtintus reikalavimus, sudaryti ir vykdyti sutartį bei siekiant teisėtų Įstaigos interesų apsaugos, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. b, c, f punktu;
7.9. Įstaigos informacinių sistemų ir tvarkomos informacijos bei asmens duomenų saugumo užtikrinimo tikslu Įstaiga tvarko darbuotojų ir kitų asmenų, besinaudojančių Įstaigos informacinių ir ryšių technologijų ištekliais, interneto svetaine ir / arba kitomis suteiktomis priemonėmis asmens duomenis. Asmens duomenys tvarkomi vykdant Įstaigai taikomus teisės aktų reikalavimus bei siekiant teisėtų Įstaigos interesų apsaugoti Įstaigos veiklai būtiną informaciją, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. c, f punktu;
7.10. Europos Sąjungos, valstybės, savivaldybės lėšomis finansuojamų, kitų projektų įgyvendinimo tikslu Įstaiga tvarko projekto įgyvendinime dalyvaujančių Įstaigos darbuotojų ir kitų asmenų asmens duomenis. Asmens duomenys tvarkomi Reglamento 6 straipsnio 1 dalies a, b, c, f punktais, teisės aktais reglamentuojančiais projektų finansavimą ir jų įgyvendinimo kontrolę;
7.11.visuomenės informavimo tikslu Įstaiga tvarko Įstaigos darbuotojų, asmenų dalyvaujančių (dalyvavusių) Įstaigos ar jos partnerių organizuotuose renginiuose, projektuose ir veiklose asmens duomenis. Asmens duomenys tvarkomi Reglamento 6 straipsnio 1 dalies a, c, e, f punktais, Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms ir mobiliosioms programoms aprašu, kitais teisės aktais;
7.12. naujienlaiškių siuntimo ir jų prenumeratos administravimo tikslu Įstaiga tvarko naujienlaiškius užsisakiusių asmenų asmens duomenis. Asmens duomenys tvarkomi naujienlaiškius užsisakiusių asmenų sutikimu, vadovaujantis Reglamento (ES) 2016/679 6 str. 1 d. a punktu.
8. Įstaiga gali tvarkyti asmens duomenis ir kitais tikslais, kiek tai būtina siekiant teisėtai vykdyti veiklą, atitikti teisės aktų keliamus reikalavimus, apsiginti nuo pretenzijų, ieškinių ir siekiant teisėtų Įstaigos interesų apsaugos. Asmens duomenys tvarkomi laikantis Reglamento (ES) 2016/679 6 straipsnio 1 dalyje, o specialių kategorijų asmens duomenys – 9 straipsnio 2 dalyje nurodytų sąlygų.
9. Asmens duomenų tvarkymo tikslai, kiekvienu tikslu tvarkomi asmens duomenys ir kita su asmens duomenų tvarkymu susijusi informacija pateikiama duomenų tvarkymo veiklos įrašuose.
IV SKYRIUS
ASMENS DUOMENŲ TVARKYMAS
10. Įstaigoje asmens duomenys tvarkomi vadovaujantis Reglamentu (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir privatumo apsaugą, Lietuvos standartais LST ISO/IEC 27001 ir LST ISO/IEC 27002, V alstybinės duomenų apsaugos inspekcijos teisės aktais, gairėmis bei rekomendacijomis.
11. Asmens duomenys Įstaigoje tvarkomi automatiniu būdu ir (ar) neautomatiniu būdu susistemintose rinkmenose. Dėl techninės ir programinės įrangos, skirtos asmens duomenų tvarkymui, sprendimą priima Įstaigos vadovas.
12. Asmens duomenys Įstaigoje teisės aktų nustatyta tvarka renkami tiesiogiai iš duomenų subjekto ir iš kitų juridinių ir fizinių asmenų, turinčių teisę juos pateikti Įstaigai.
13. Įstaiga asmens duomenis tikslina, taiso ir atnaujina savo arba asmens, kurio duomenys yra tvarkomi, iniciatyva. Savo iniciatyva Įstaiga turi teisę tikslinti, taisyti ir atnaujinti asmens duomenis tada, kai gaunama informacija apie pasikeitusius asmens duomenis. Duomenų subjekto prašymai dėl asmens duomenų patikslinimo, ištaisymo ar atnaujinimo nagrinėjami Duomenų subjekto teisių įgyvendinimo tvarkos apraše, kurį tvirtina Įstaigos vadovas, nustatyta tvarka.
14. Asmens duomenys taisomi, tikslinami ar atnaujinami pagal asmens duomenis patvirtinančius dokumentus.
15. Apie atliktą asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą Įstaiga teisės aktuose nustatytais terminais, o jei tokie terminai nenustatyti – per 20 darbo dienų nuo šių veiksmų atlikimo dienos praneša duomenų gavėjams, nebent to padaryti neįmanoma arba tai pareikalautų neproporcingų pastangų.
16. Už asmens duomenų taisymą, tikslinimą, atnaujinimą yra atsakingas Įstaigos vadovas ar kitas jo tvarkyti asmens duomenis įgaliotas asmuo.
17. Asmens duomenų Taisyklių 7 punkte nurodytais tikslais konkrečiu atveju tvarkoma tik tiek, kiek yra būtina.
V SKYRIUS
ASMENS DUOMENŲ TEIKIMAS
18. Įstaiga teikia asmens duomenis duomenų gavėjams: tretiesiems asmenims ir duomenų tvarkytojams.
19. VadovaujantisReglamentu(ES)2016/679Įstaigaasmensduomenisgaliteiktiteismams, teisėsaugos institucijoms, Įstaigos veiklos patikrinimus atliekančioms valstybės ir savivaldybės institucijoms, kitiems tretiesiems asmenims, kuriems teikti asmens duomenis Įstaigą įpareigoja įstatymai ar kiti teisės aktai arba kitiems asmenims, kurie turi teisę asmens duomenis iš Įstaigos gauti.
20. Vadovaujantis Reglamentu (ES) 2016/679 Įstaiga asmens duomenis gali teikti savo partneriams, kitiems asmenimis, jeigu tai yra būtina, kad Įstaiga galėtų vykdyti savo veiklą.
21. Asmens duomenys tretiesiems asmenims teikiami pagal asmens duomenų teikimo sutartį (daugkartinio teikimo atveju), pagal prašymą (vienkartinio teikimo atveju), teisės aktų nustatyta tvarka arba Įstaigos iniciatyva.
22. Jeigu asmens duomenys yra teikiami pagal sutartį, sutartyje turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo / gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis. Jeigu asmens duomenys teikiami pagal prašymą, prašyme turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis.
23. Asmens duomenys tretiesiems asmenims teikiami tik esant asmens duomenų teikimo teisiniam pagrindui ir įvertinus asmens duomenų teikimo tikslą ir teikiamų asmens duomenų apimtį.
24. Asmens duomenys tretiesiems asmenims teikiami šių teisės aktų nustatyta tvarka:
24.1. gyventojų pajamų mokesčio administravimo tikslu Valstybinei mokesčių inspekcijai prie Lietuvos Respublikos finansų ministerijos asmens duomenys teikiami Lietuvos Respublikos gyventojų pajamų mokesčio įstatymo nustatyta tvarka;
24.2. socialinio draudimo mokesčio administravimo tikslu Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos asmens duomenys teikiami Lietuvos Respublikos valstybinio socialinio draudimo įstatymo nustatyta tvarka;
24.3. darbo užmokesčio išmokėjimo tikslu darbuotojo pasirinktiems bankams asmens duomenys teikiami Lietuvos Respublikos darbo kodekso nustatyta tvarka;
24.4. darbuotojų nelaimingų atsitikimų tyrimo tikslu Valstybinei darbo inspekcijai prie Socialinės apsaugos ir darbo ministerijos asmens duomenys teikiami Lietuvos Respublikos darbuotojų saugos ir sveikatos įstatymo ir kitų teisės aktų nustatyta tvarka;
24.5. viešųjų pirkimų skaidrumo užtikrinimo tikslu Viešųjų pirkimų tarnybai asmens duomenys teikiami Lietuvos Respublikos viešųjų pirkimų įstatymo ir kitų teisės aktų, reglamentuojančių viešuosius pirkimus, nustatyta tvarka.
25. Įstaiga asmens duomenis teikia pasitelktiems duomenų tvarkytojams. Įstaiga gali pasitelkti duomenų tvarkytojus – paslaugų teikėjus -– techninės ir programinės įrangos priežiūros ir palaikymo, interneto svetainės prieglobos ir priežiūros, duomenų centrų, turto priežiūros ir aptarnavimo organizavimo ir kitas paslaugas teikiančius paslaugų teikėjus, kuriems teikiami asmens duomenys arba sudaroma galimybė su jais susipažinti.
26. DuomenųtvarkytojaituriteisętvarkytiasmensduomenistikĮstaigosvardupagalĮstaigos nurodymus ir tik tiek, kiek tai būtina siekiant tinkamai vykdyti paslaugų teikimo sutartyje nustatytus įsipareigojimus. Nuostatos, susijusios su asmens duomenų tvarkymu ir apsauga, įtraukiamos į su duomenų tvarkytojais sudaromas sutartis, kuriose turi būti aptarti visi Reglamento (ES) 2016/679 28 straipsnyje nurodyti klausimai.
27. Įstaiga pasitelkia tik tuos duomenų tvarkytojus, kurie užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Reglamento (ES) 2016/679 reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.
VI SKYRIUS
DUOMENŲ SAUGOJIMO IR SUNAIKINIMO TVARKA
28. Įstaigoje tvarkomi asmens duomenys saugomi Įstaigos serveryje ir (arba) paslaugų teikėjo serveryje, darbuotojų kompiuteriuose, elektroniniame pašte, darbuotojų asmens bylose ir kitose susistemintose rinkmenose pagal poreikį.
29. Asmens duomenys Įstaigoje saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.
30. Asmens duomenys, nereikalingi jų tvarkymo tikslams, sunaikinami, jeigu Lietuvos Respublikos teisės aktai nenustato kitaip.
31. Asmens duomenys Įstaigoje saugomi:
31.1. Įstaigos valdymo užtikrinimo tikslu – iki Įstaigos veiklos pabaigos;
31.2. darbuotojų atrankos tikslu – 1 mėnesį po atrankos procedūrų pabaigos;
31.3. personalo valdymo (darbo sutarčių sudarymo ir vykdymo, Įstaigos darbo organizavimo,
Įstaigos, kaip darbdavio, pareigų, nustatytų teisės aktuose, vykdymo bei tinkamų darbo sąlygų užtikrinimo ir pan.) tikslu – darbo sutartyje ir jos prieduose esantys duomenys saugomi 50 metų darbo sutarčiai pasibaigus, kiti asmens duomenys – 10 metų darbo santykiams pasibaigus;
31.4. buhalterinės apskaitos, materialinių finansinių išteklių valdymo tikslu – 10 metų po kalendorinių metų, kuriais vyko ūkinė operacija, pabaigos;
31.5. dokumentų valdymo tikslu, gautuose, siunčiamuose, vidaus ir kituose dokumentuose nurodytų asmenų duomenys – 1 metus.
31.6. skundų, prašymų, pretenzijų nagrinėjimo tikslu – 1 metus po galutinio sprendimo priėmimo;
31.7. sutarčių sudarymo ir vykdymo tikslu – 1 metus sutarčiai pasibaigus;
31.8. informacinių sistemų ir tvarkomos informacijos bei asmens duomenų saugumo užtikrinimo tikslu – 6 mėnesiai;
31.9. Europos Sąjungos, valstybės, savivaldybės lėšomis finansuojamų, kitų projektų įgyvendinime dalyvaujančių (dalyvavusių) darbuotojų ir kitų asmenų asmens duomenys – 1 metai po projekto pabaigos.
31.10. Visuomenės informavimo tikslu tvarkomų darbuotojų, asmenų dalyvaujančių (dalyvavusių) Įstaigos ar jos partnerių organizuotuose renginiuose, projektuose ir veiklose asmenų duomenys bei atvaizdai (nuotraukos, vaizdo medžiaga) – 5 metus;
31.11. naujienlaiškių siuntimo ir jų prenumeratos administravimo tikslu – 3 metus;
31.12. siekiant teisėtų Įstaigos interesų apsaugos apsiginti nuo pretenzijų, ieškinių – teisės aktuose nustatytais ieškinio senaties terminais;
31.13. kitais tikslais tvarkomi asmens duomenys saugomi tol, kol jie reikalingi šiems tikslams arba saugojimo terminus ir tvarką reglamentuojančiuose Lietuvos Respublikos teisės aktuose nustatytais terminais.
32. Pasibaigus Taisyklių 31 punkte nustatytiems terminams asmens duomenys sunaikinami arba teisės aktų nustatyta tvarka perduodami valstybės archyvui.
33. Automatiniu būdu tvarkomi asmens duomenys saugomi kartu su kitais duomenimis duomenų bazėje, duomenų bazės archyve, remiantis nustatytais terminais.
34. Darbuotojų kompiuteriuose esantys asmens duomenys tvarkomi tol, kol jie yra būtini konkrečios užduoties atlikimui ar darbuotojo pareigų vykdymui.
35. Dokumentai, kuriuose yra asmens duomenų, ar jų kopijos turi būti sunaikinti taip, kad jų nebūtų galima atkurti ir atpažinti turinio.
36. Už asmens duomenų sunaikinimą atsakingas Įstaigos vadovas arba jo įgaliotas asmuo.
VII SKYRIUS
REIKALAVIMAI DARBUOTOJAMS, TVARKANTIEMS ASMENS DUOMENIS
37. Įstaiga užtikrina, kad asmens duomenis tvarkytų ar su jais susipažinti galėtų tik tie darbuotojai, kuriems tokie duomenys yra reikalingi jų darbinėms funkcijoms atlikti.
38. Įstaigosdarbuotojai,tvarkydamiasmensduomenis,suasmensduomenimisgaliatliktitik tuos veiksmus, kuriems atlikti yra suteiktos teisės.
39. Įstaigos darbuotojai, tvarkantys asmens duomenis, privalo:
39.1. laikytis su asmens duomenų tvarkymu susijusių principų ir saugumo reikalavimų, įtvirtintų Reglamente (ES) 2016/679, šiame Taisyklėse ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą ir privatumo apsaugą;
39.2. laikytis konfidencialumo principo, pasirašant Taisyklių priede nustatytos formos konfidencialumo pasižadėjimą ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami darbo funkcijas, nebent tokia informacija yra vieša pagal galiojančių teisės aktų reikalavimus. Prievolė saugoti asmens duomenų paslaptį galioja ir perėjus dirbti į kitas pareigas arba pasibaigus darbo santykiams Įstaigoje;
39.3. neatskleisti, neperduoti ar kitu būdu nesudaryti galimybės naudotis ir (ar) susipažinti su asmens duomenimis nė vienam asmeniui, kuriam nėra pavesta dirbti ir (ar) susipažinti su asmens duomenimis Įstaigoje ar už jos ribų;
39.4. netvarkyti asmens duomenų, jeigu nėra tam įgalioti;
39.5. saugoti dokumentus ir duomenų rinkmenas tinkamai ir saugiai, vengti daryti nereikalingas kopijas. Dokumentų kopijos, kuriose yra asmens duomenų, turi būti sunaikintos taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio;
39.6. be Įstaigos direktoriaus ar jo įgalioto asmens pavedimo ir teisinio pagrindo, darbo vietoje draudžiama bet kokiomis priemonėmis fiksuoti asmens duomenis ir platinti juos viešai bet kokiais būdais (žodžiu, socialiniuose tinkluose ir t.t.).
39.7. laikytis kitų Taisyklėse ir asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.
40. Asmens duomenys elektroninėmis ryšio perdavimo priemonėmis gali būti siunčiami tik užtikrinant perduodamų asmens duomenų konfidencialumą ir vientisumą.
VIII SKYRIUS
ORGANIZACINIŲ IR TECHNINIŲ ASMENS DUOMENŲ
SAUGUMO PRIEMONIŲ NAUDOJIMAS IR ATSAKOMYBĖ
41. Įstaiga, tvarkydama asmens duomenis, įgyvendina ir užtikrina tinkamas organizacines ir technines priemones, skirtas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.
42. Įstaiga užtikrina:
42.1. nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą;
42.2. gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju;
42.3. reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą.
43. Tvarkomų asmens duomenų saugumas užtikrinamas vadovaujantis Reglamento (ES) 2016/679 32 straipsniu, Lietuvos standartais LST ISO/IEC 27001 ir LST ISO/IEC 27002, Organizacinių ir techninių asmens duomenų saugumo priemonių įgyvendinimo tvarkos taisyklėmis, patvirtintomis Įstaigos vadovo.
44. Už asmens duomenų saugumą atsako Įstaigos vadovas, darbuotojai, paslaugų teikėjai, vykdantys techninės ir programinės įrangos priežiūrą, remontą ir administravimą, teikiantys kitas paslaugas.
45. Įstaigos vadovas atsako už Įstaigos vidaus teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, tvirtinimą, įgaliojimų tvarkyti asmens duomenis darbuotojams suteikimą, sprendimų dėl žmogiškųjų, finansinių ir kitų išteklių, būtinų tinkamam Reglamento (ES) 2016/679 nuostatų įgyvendinimui ir asmens duomenų saugumui užtikrinti, priėmimą.
46. Įstaigos darbuotojai atsako už pareigų, susijusių su asmens duomenų tvarkymu, nevykdymą ar netinkamą vykdymą, teisės aktų ir Įstaigos vidaus dokumentų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą neįgyvendinimą ar netinkamą įgyvendinimą. Pažeidimai, susiję su asmens duomenų tvarkymu ir apsauga, yra laikomi šiurkščiu darbo drausmės pažeidimu.
47. Paslaugų teikėjų atsakomybė nustatoma paslaugų teikimo arba Duomenų tvarkytojo sutartyje.
48. Įstaigos asmens duomenų saugumo priemonės periodiškai, ne rečiau kaip kartą per metus, peržiūrimos ir įvertinamas jų veiksmingumas bei jų naudojimo tikslingumas.
IX SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO IR REAGAVIMO Į
ŠIUOS PAŽEIDIMUS TVARKA
49. KiekvienasĮstaigosdarbuotojas,pastebėjęsarsužinojęsapieasmensduomenųsaugumo pažeidimą ar kitą su asmens duomenimis įvykusį incidentą, privalo apie tai nedelsdamas pranešti Įstaigos vadovui.
50. Asmens duomenų saugumo pažeidimai Įstaigoje dokumentuojami, analizuojami, apie juos pranešama Reglamento (ES) 2016/679 ir asmens duomenų pažeidimų aptikimo, sustabdymo ir nagrinėjimo tvarkos, kuri patvirtina Įstaigos vadovas, nustatyta tvarka.
X SKYRIUS
POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS
51. Reglamento (ES) 2016/679 35 straipsnio ir Valstybinės duomenų apsaugos inspekcijos nustatytais atvejais Įstaigoje yra atliekamas poveikio duomenų apsaugai vertinimas.
52. Poreikis atlikti poveikio duomenų apsaugai vertinimą nustatomas ir, jeigu reikia, poveikio duomenų apsaugai vertinimas atliekamas prieš pradedant asmens duomenų tvarkymą ir (ar) prieš priimant sprendimą įdiegti naujas asmens duomenų tvarkymo priemones.
53. Poveikio duomenų apsaugai vertinimą atlieka Įstaigos darbuotojai, atsakingi už asmens duomenų tvarkymą, arba asmenys pagal paslaugų teikimo sutartį.
54. Atlikus poveikio duomenų apsaugai vertinimą, surašoma ataskaita, kurioje pateikiama Reglamento (ES) 2016/679 35 straipsnio 7 dalyje nurodyta informacija. Poveikio duomenų apsaugai vertinimo ataskaita saugoma teisės aktų nustatyta tvarka.
55. Jeigu, atlikus poveikio duomenų apsaugai vertinimą, nustatoma, kad tvarkant asmens duomenis kiltų didelis pavojus duomenų subjektų teisėms ir laisvėms, jeigu duomenų valdytojas nesiimtų priemonių pavojui sumažinti, konsultuojamasi su Valstybine duomenų apsaugos inspekcija jos nustatyta tvarka.
XI SKYRIUS
DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO TVARKA
56. Įstaiga užtikrina duomenų subjektų teisių, įtvirtintų Reglamente (ES) 2016/679, įgyvendinimą.
57. Informacija apie asmens duomenų tvarkymą ir duomenų subjektų teisių įgyvendinimą Įstaigoje yra prieinama Įstaigos interneto svetainėje ir (arba) kreipiantis į Įstaigos vadovą ar kitą jo įgaliotą asmenį.
58. Duomenų subjekto teisės Įstaigoje įgyvendinamos vadovaujantis Reglamentu (ES) 2016/679 ir Duomenų subjektų teisių įgyvendinimo taisyklėmis, patvirtintomis Įstaigos vadovo.
XII SKYRIUS BAIGIAMOSIOS NUOSTATOS
59. Asmens duomenis Įstaigoje yra įgalioti tvarkyti Įstaigos vadovas, darbuotojai bei paslaugų teikėjai pagal su jais sudarytas sutartis.
60. Įstaigos darbuotojai su Taisyklėmis supažindinami pasirašytinai.
61. Įstaigos darbuotojai, pažeidę Taisyklių, Reglamento (ES) 2016/679, kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, reikalavimus, atsako pagal galiojančius teisės aktus.
62. Taisyklės peržiūrimas įvykus esminiams organizaciniams, sisteminiams ar kitiems asmens duomenų tvarkymo ir (ar) Įstaigos veiklos pokyčiams arba pasikeitus teisės aktų reikalavimams, bet ne rečiau kaip vieną kartą per metus.
63. Įstaigos veiksmai ar neveikimas, kuriais pažeidžiami teisės aktai, reglamentuojantys asmens duomenų tvarkymą ir apsaugą, gali būti skundžiami Valstybinei duomenų apsaugos inspekcijai arba teismui teisės aktų nustatyta tvarka.