Data protection
VIEŠOSIOS ĮSTAIGOS TRANSPORTO KOMPETENCIJŲ AGENTŪROS
ASMENS DUOMENŲ TVARKYMO
TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
-
Viešosios įstaigos Transporto kompetencijų agentūros asmens duomenų tvarkymo taisyklės (toliau – Taisyklės) nustato pagrindines asmens duomenų tvarkymo ir duomenų saugos organizacines priemonės viešojoje įstaigoje Transporto kompetencijų agentūroje (toliau – TKA).
-
Taisyklių nuostatos taikomos TKA darbuotojams, kurie tvarko TKA esančius asmens duomenis arba eidami savo pareigas juos sužino. Prieiga prie asmens duomenų gali būti suteikiama tik tiems darbuotojams, kuriems asmens duomenys yra reikalingi jų pareiginiuose nuostatuose nustatytoms funkcijoms vykdyti. Taisyklės TKA tvarkomiems registrams ir valstybės informacinėse sistemoms taikomos tiek, kiek to nereglamentuoja šių registrų ir informacinių sistemų nuostatai.
-
Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme (toliau – ADTAĮ).
II SKYRIUS
ASMENS DUOMENŲ TVARKYMAS
PIRMASIS SKIRSNIS
ASMENS DUOMENŲ TVARKYMO BENDROSIOS NUOSTATOS
4. TKA visi asmens duomenys yra tvarkomi vadovaujantis BDAR 5 straipsnyje nustatytai principais.
-
Detalūs asmens duomenų tvarkymo TKA pagrindai, tikslai, saugojimo terminai bei kita su duomenų tvarkymu susijusi informacija išdėstyti Transporto kompetencijų agentūros asmens duomenų tvarkymo veiklos įrašuose (Taisyklių III skyrius, 4 ir 5 priedai).
-
Asmens duomenys TKA gali būti tvarkomi tik tuo tikslu, kuriuo yra renkami. Jeigu asmens duomenys nėra būtini tam, kad būtų pasiektas konkretus tikslas, jie negali būti tvarkomi. Konkrečiam tikslui pasiekti yra tvarkomas kiek įmanoma mažesnis kiekis asmens duomenų. Asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, turi būti nedelsiant ištrinami arba ištaisomi – TKA imamasi visų pagrįstų priemonių užtikrinti, kad būtų laikomasi BDAR 5 straipsnio 1 dalyje nustatytų principų. Asmens duomenys tvarkomi ir saugomi ne ilgiau negu nustatytas jų saugojimo terminas, kuris turi būti ne ilgesnis, negu yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi. Asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, įgyvendinus atitinkamas technines ir organizacines priemones, siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas).
-
TKA asmens duomenys gali būti tvarkomi tik tada, jeigu yra bent viena iš BDAR 6 straipsnio 1 dalyje įtvirtintų teisėto tvarkymo sąlygų.
-
Draudžiama tvarkyti specialių kategorijų asmens duomenis, išskyrus tuos atvejus, jeigu yra bent viena iš BDAR 9 straipsnio 2 dalyje numatytų sąlygų.
-
Darbuotojai prieš kiekvieną asmens duomenų tvarkymo operaciją (veiksmą) privalo įvertinti, ar toks asmens duomenų tvarkymas atitinka Taisyklių 4 ir 6 punktuose įtvirtintus reikalavimus, bei užtikrinti, kad kiekviena duomenų tvarkymo operacija (veiksmas) atitiktų minėtus reikalavimus, taip pat įvertinti, ar toks asmens duomenų tvarkymas turi bent vieną Taisyklių 7 ar 8 punktuose įtvirtintą asmens duomenų tvarkymo pagrindą, bei užtikrinti, kad asmens duomenys nebūtų tvarkomi, jei nėra bent vieno iš minėtų teisinių pagrindų.
-
TKA asmens duomenys nėra tvarkomi tiesioginės rinkodaros tikslais. TKA veikloje nėra vykdomas profiliavimas.
-
TKA vidaus dokumentuose papildomi duomenų subjektų identifikavimo duomenys, tokie kaip asmens kodas, jeigu tai nėra būtina duomenų subjekto tapatybei nustatyti, kitam teisėtam tikslui pasiekti arba jeigu to nenustato teisės aktai, nenaudojami.
-
Siekiant užtikrinti, kad asmens duomenys TKA būtų saugomi tik nustatytą terminą, visi TKA tvarkomi asmens duomenys yra fiksuojami duomenų tvarkymo veiklos įrašuose kartu nurodant jų saugojimo terminus. Pasibaigus asmens duomenų saugojimo terminui, jis gali būti pratęstas, jeigu TKA nustato, kad saugoti asmens duomenis toliau yra būtina, ypač atsižvelgiant į būtinybę panaudoti asmens duomenis kaip įrodymą ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos (toliau – Inspekcija) vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais teisės aktų nustatytais atvejais. Prieš priimant sprendimą pratęsti asmens duomenų saugojimo terminą, konsultuojamasi su TKA duomenų apsaugos pareigūnu.
-
Tais atvejais, kai atsižvelgiant į asmens duomenų ir duomenų subjektų kategoriją, duomenų tvarkymo pobūdį, aprėptį, kontekstą, tikslus, duomenų subjektų teisėms bei laisvėms gali kilti didelis pavojus, TKA, prieš pradėdama vykdyti duomenų tvarkymo operacijas (veiksmus) ir tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimą.
ANTRASIS SKIRSNIS
REIKALAVIMAI SUTIKIMUI, KAIP ASMENS DUOMENŲ TVARKYMO PAGRINDUI
14. Asmens duomenys sutikimo pagrindu tvarkomi:
14.1. kai tai tiesiogiai numatyta Taisyklėse, BDAR, ADTAĮ arba kituose teisės aktuose;
14.2. kai, atsižvelgiant į duomenų tvarkymo tikslą ar duomenų kiekį, TKA neturi kito teisinio pagrindo tvarkyti asmens duomenis ar įvykdyti kitus BDAR nustatytus įpareigojimus visa apimtimi. Jeigu asmens duomenys, atsižvelgiant į jų kiekį ir tvarkymo tikslus, gali būti tvarkomi bent vienu BDAR įtvirtintų pagrindų, duomenų subjekto sutikimas papildomai nėra prašomas pateikti;
15. Duomenų subjekto sutikimas dėl asmens duomenų tvarkymo yra užpildomas raštu ir teikiamas TKA pagal Taisyklių 3 priede nustatytą formą.
16. Duomenų subjekto sutikimai gali būti renkami šiais būdais: raštu, įskaitant gautus elektroninėmis priemonėmis, žodžiu ar veiksmais, jeigu yra galimybė įrodyti, kad toks sutikimas buvo duotas, ir jeigu duomenų subjektas savo veiksmais aiškiai sutinka su siūlomu jo asmens duomenų tvarkymu. Pirmenybė kiekvienu atveju yra teikiama duomenų subjekto sutikimams, gautiems raštu (įskaitant gautus elektroninėmis priemonėmis), o kiti sutikimo būdai gali būti naudojami tik kiekvienu konkrečiu atveju įsitikinus, kad yra įmanoma įrodyti duomenų subjekto sutikimo davimo faktą. Duomenų subjekto tylėjimas, iš anksto pažymėti laukai arba neveikimas nelaikomi duomenų subjekto sutikimu.
17. Visais atvejais, kai asmens duomenys yra tvarkomi duomenų subjekto sutikimo pagrindu, TKA privalo kaupti ir turėti įrodymus, kad duomenų subjektas davė tokį sutikimą.
18. Kai asmens duomenys yra tvarkomi sutikimo pagrindu, tvarkomi tik tie asmens duomenys, tais tikslais, kurie nurodyti sutikime, ir su jais atliekamos tik tos tvarkymo operacijos (veiksmai), kurios nurodytos sutikime. Jeigu keičiasi tvarkomų duomenų kiekis, tvarkymo tikslas ar tvarkymo operacijos (veiksmai), privaloma gauti papildomą sutikimą tokiam duomenų tvarkymui arba turi egzistuoti kitas Taisyklėse, BDAR įtvirtintas asmens duomenų tvarkymo teisinis pagrindas.
19. Sutikimas gali būti asmens duomenų tvarkymo pagrindas, jei atitinka šiuos reikalavimus:
19.1. duotas laisva duomenų subjekto valia. Vertinant, ar sutikimas duotas laisva valia, atsižvelgiama į šias aplinkybes:
19.1.1. ar sutarties vykdymui nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti (tokiu atveju nelaikoma, kad sutikimas duotas laisva valia);
19.1.2. ar duomenų subjektas yra verčiamas duoti sutikimą, neturi realaus pasirinkimo dėl sutikimo davimo, patiria spaudimą, negali realiai kontroliuoti sutikimo davimo bei asmens duomenų pateikimo ar gali susilaukti neigiamų pasekmių (tiesioginių ir netiesioginių), jeigu sutikimas nebus duotas (tokiais atvejais nelaikoma, kad sutikimas duotas laisva valia);
19.1.3. jeigu yra aiški TKA ir duomenų subjekto padėties neatitiktis ir dėl to tikėtina, kad sutikimas, atsižvelgiant į visas to konkretaus atvejo aplinkybes, gali nebūti duotas laisva valia. Tokiu atveju TKA imasi papildomų priemonių užtikrinti, kad sutikimas būtų duodamas laisva valia;
19.1.4. jeigu sutikimas yra siejamas su keliais duomenų tvarkymo tikslais ar keliomis duomenų tvarkymo operacijomis (veiksmais), duomenų subjektams turi būti sudaryta galimybė sutikti ne su visais tikslais ar operacijomis (veiksmais), o tik su atskirais tikslais ar operacijomis (veiksmais), jeigu jie nėra tarpusavyje tiesiogiai susiję. Priešingu atveju nelaikoma, kad sutikimas duotas laisva valia;
19.2. sutikimas yra konkretus ir išsamus. Laikoma, kad sutikimas yra konkretus ir išsamus, jeigu jis atitinka šiuos reikalavimus:
19.2.1. nurodytas konkretus ir teisėtas asmens duomenų tvarkymo tikslas;
19.2.2. nurodyti konkretūs asmens duomenys, kurie bus tvarkomi konkrečiais duomenų tvarkymo tikslais;
19.2.3. nurodytos duomenų tvarkymo operacijos (veiksmai), kurios bus atliekamos sutikimo pagrindu;
19.2.4. duomenų subjektui sudaroma galimybė sutikti tik su atskirais duomenų tvarkymo tikslais, jeigu sutikimas duodamas keliems duomenų tvarkymo tikslams, taip pat tik su konkrečiomis duomenų tvarkymo operacijomis (veiksmais);
19.3. sutikimą duomenų subjektas davė tinkamai informuotas. Tam, kad šis reikalavimas būtų įvykdytas, prieš duomenų subjektui pasirašant sutikimą jam turi būti pateikta BDAR 13 straipsnyje nurodyta informacija bei informuojama apie duomenų subjekto teisę bet kuriuo metu atšaukti savo sutikimą. Informacija gali būti pateikta raštu, žodžiu, audiovizualinėmis žinutėmis, tačiau visais atvejais tokiu būdu, kad TKA turėtų galimybę įrodyti, jog informacija duomenų subjektui buvo pateikta ir kad ji atitinka BDAR 13 straipsnyje įtvirtintą turinį;
19.4. sutikimas yra nedviprasmiškas duomenų subjekto valios išreiškimas, kad su juo susiję duomenys būtų tvarkomi. Sutikimas turi būti duodamas aktyviais veiksmais.
20. Visais atvejais sutikimas turi būti gaunamas prieš atliekant duomenų tvarkymo operacijas (veiksmus), dėl kurių gaunamas sutikimas.
21. Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Duomenų subjektui atšaukus sutikimą, draudžiama tvarkyti asmens duomenis tais tikslais ir atlikti duomenų tvarkymo operacijas (veiksmus), kurios buvo atliekamos tokio sutikimo pagrindu, išskyrus atvejus, kai tokiam duomenų tvarkymui egzistuoja kitas Taisyklėse ar BDAR įtvirtintas asmens duomenų tvarkymo teisinis pagrindas. Sutikimui atšaukti yra sudaromos analogiškos sąlygos kaip ir sutikimui duoti, draudžiama apsunkinti ar sudaryti papildomas sąlygas sutikimui atšaukti. Sutikimo atšaukimas negali sukelti duomenų subjektui neigiamų padarinių, įskaitant paslaugos kokybės sumažinimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie šiame punkte išdėstytas nuostatas privalo būti informuojamas prieš jam duodant sutikimą.
22. Sutikimas galioja iki jo atšaukimo momento arba iki sutikime nurodyto jo galiojimo termino pabaigos.
23. Sutikimas ir jame nurodyti asmens duomenys yra saugomi trejus metus nuo sutikimo atšaukimo arba jo galiojimo termino pabaigos, arba nuo TKA sprendimo nebetvarkyti asmens duomenų sutikime nustatytais tikslais priėmimo dienos, išskyrus atvejus, kai teisės aktai numato kitokį duomenų saugojimo terminą. Jei sutikimo duomenys naudojami kaip įrodymai ikiteisminiame ar kitokiame tyrime, įskaitant ir Inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje arba kitais įstatymų nustatytais atvejais, asmens duomenys gali būti saugomi tiek, kiek reikia šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
TREČIASIS SKIRSNIS
DUOMENŲ SUBJEKTŲ INFORMAVIMAS
24. TKA privalo informuoti duomenų subjektą apie jo asmens duomenų tvarkymo veiklą. Kai asmens duomenys gaunami iš paties duomenų subjekto, duomenų subjektui pateikiama informacija apie asmens duomenų tvarkymą, nurodyta BDAR 13 straipsnyje, pagal Taisyklių 6 priede nustatytą formą.
25. Taisyklių 24 punkte nurodyta informacija duomenų subjektui pateikiama prieš gaunant asmens duomenis arba asmens duomenų gavimo metu.
26. Taisyklių 24 ir 25 punktai netaikomi, jeigu duomenų subjektas jau turi informaciją apie jo asmens duomenų tvarkymą, ir tokia apimtimi, kiek tos informacijos jis jau turi.
27. Kai asmens duomenys gaunami ne iš paties duomenų subjekto, TKA privalo duomenų subjektui pateikti Taisyklių 6 priede nustatytos formos informaciją apie asmens duomenų tvarkymą, nurodytą BDAR 14 straipsnyje.
28. Kai asmens duomenys gaunami ne iš paties duomenų subjekto, šių Taisyklių 27 punkte nurodyta informacija duomenų subjektui pateikiama:
28.1. ne vėliau kaip per vieną mėnesį nuo asmens duomenų gavimo;
28.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti, – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu;
28.3. jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui, – ne vėliau kaip atskleidžiant duomenis pirmą kartą.
29. Taisyklių 27 ir 28 punktai netaikomi tiek, kiek:
29.1. duomenų subjektai jau turi teiktiną informaciją;
29.2. tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų, arba jeigu dėl informavimo pareigos gali tapti neįmanoma pasiekti to tvarkymo tikslus arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus. Tokiais atvejais TKA imasi tinkamų priemonių duomenų subjekto teisėms ir laisvėms ir teisėtiems interesams apsaugoti, įskaitant viešą informacijos apie asmens duomenų tvarkymą paskelbimą TKA interneto svetainės skiltyje „Asmens duomenų apsauga“;
29.3. duomenų gavimas ar atskleidimas aiškiai nustatytas teisės aktuose, kurie taikomi TKA;
29.4. kai asmens duomenys privalo išlikti konfidencialūs laikantis teisės aktų reglamentuojamos profesinės paslapties prievolės.
30. Jei TKA ketina toliau tvarkyti asmens duomenis kitu tikslu, nei tas, kuriuo asmens duomenys buvo renkami, prieš toliau tvarkydama asmens duomenis TKA pateikia duomenų subjektui informaciją apie kitą tikslą ir informaciją, kaip nurodyta Taisyklių 6 priede.
31. Už duomenų subjektų informavimą atsakingas darbuotojas, kuris renka ir tvarko konkretaus duomenų subjekto duomenis. Dėl informavimo pareigos tinkamo vykdymo konsultuojamasi su duomenų apsaugos pareigūnu.
III SKYRIUS
DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI
-
TKA duomenų tvarkymo veiklos įrašai yra tvarkomi pagal Taisyklių 4 ir 5 prieduose nustatytas formas. TKA vykdoma asmens duomenų tvarkymo veikla privalo tiksliai atitikti duomenų tvarkymo veiklos įrašuose aprašytą veiklą.
-
TKA yra tvarkomi tik tie asmens duomenys ir tik tuo tikslu bei tuo teisiniu pagrindu, kurie nurodyti duomenų tvarkymo veiklos įrašuose.
-
Duomenų tvarkymo veiklos įrašai tvarkomi elektronine forma.
-
Už duomenų tvarkymo veiklos įrašų registravimą atsakingas duomenų apsaugos pareigūnas.
-
Duomenų tvarkymo veiklos įrašai turi būti teisingi, aktualūs ir išsamūs, atspindėti realią TKA duomenų tvarkymo veiklą.
-
Darbuotojai nedelsiant informuoja duomenų apsaugos pareigūną, jeigu TKA duomenų tvarkymo veiklos įrašai neatitinka TKA realaus poreikio dėl asmens duomenų tvarkymo, pateikdami duomenų tvarkymo veiklos įrašų užpildytą formą (Taisyklių 4 ir 5 priedai), kuri registruojama TKA dokumentų valdymo sistemoje.
-
TKA periodiškai, ne rečiau kaip vieną kartą per metus, tikrinama, ar TKA vykdoma asmens duomenų tvarkymo veikla atitinka duomenų tvarkymo veiklos įrašus. Už šias patikras yra atsakingas duomenų apsaugos pareigūnas, prireikus TKA direktoriaus sprendimu gali būti sudaroma komisija. Patikros rezultatai yra įforminami išvada, kurioje nurodoma, ar TKA vykdoma asmens duomenų tvarkymo veikla atitinka duomenų tvarkymo veiklos įrašus, nurodomi trūkumai, jeigu tokie nustatyti, bei rekomendacijos, kaip nustatytus trūkumus ištaisyti. Patikros išvados pateikiamos TKA direktoriui.
-
Duomenų apsaugos pareigūnas atlieka nuolatines patikras TKA, ar TKA vykdoma asmens duomenų tvarkymo veikla atitinka duomenų tvarkymo veiklos įrašus. Patikrų metu gali būti tikrinama konkreti duomenų tvarkymo operacija (veiksmas), konkrečios duomenų subjektų kategorijos duomenų tvarkymo veikla, konkretus duomenų tvarkymo veiklos epizodas. Patikros rezultatai yra įforminami protokolu, kuriame nurodoma, ar tikrinta TKA vykdoma asmens duomenų tvarkymo veikla atitinka duomenų tvarkymo veiklos įrašus, nurodomi trūkumai, jeigu tokie nustatyti. Patikros protokolas yra teikiamas TKA direktoriui.
IV SKYRIUS
DUOMENŲ APSAUGOS PAREIGŪNAS
-
TKA direktorius įsakymu paskiria TKA duomenų apsaugos pareigūną ir, jam negalint vykdyti funkcijų ir atlikti užduočių, jį pavaduojantį asmenį.
41. TKA duomenų apsaugos pareigūno kontaktiniai duomenys (vardas, pavardė, el. pašto adresas ir telefono ryšio numeris), jo funkcijos ir uždaviniai yra skelbiami TKA interneto svetainėje skiltyje „Asmens duomenų apsauga“ ir Taisyklių 3-7 prieduose nustatytose formose. Duomenų apsaugos pareigūno kontaktiniai duomenys pranešami Inspekcijai.
V SKYRIUS
DUOMENŲ SUBJEKTŲ TEISĖS IR JŲ ĮGYVENDINIMO TVARKA
-
Duomenų subjektai turi visas BDAR įtvirtintas teises:
42.1. teisę žinoti ir susipažinti su tvarkomais duomenimis ir tuo, kaip jie yra tvarkomi;
42.2. teisę reikalauti ištaisyti duomenis;
42.3. teisę reikalauti ištrinti duomenis;
42.4. teisę apriboti duomenų tvarkymą;
42.5. teisę į duomenų perkeliamumą;
42.6. teisę nesutikti su duomenų tvarkymu;
42.7. teisę nebūti automatizuotai vertinami ir profiliuojami.
-
Taisyklių 42 punkte nurodytos duomenų subjekto teisės įgyvendinamos TKA direktoriaus patvirtintų Duomenų subjekto teisių įgyvendinimo viešojoje įstaigoje Transporto kompetencijų agentūroje taisyklių nustatyta tvarka.
VI SKYRIUS
DARBUOTOJŲ ASMENS DUOMENŲ TVARKYMO YPATUMAI
-
Darbuotojų asmens duomenys yra tvarkomi šiais pagrindais: darbo sutarties ar kitos su darbuotoju sudarytos sutarties sudarymas ir vykdymas, teisės aktuose nustatytų teisinių prievolių vykdymas, TKA ar trečiųjų asmenų teisėtas interesas (pavyzdžiui, TKA materialinės nuosavybės apsauga, darbuotojų produktyvumo ir komunikacijos gerinimas, konfidencialios informacijos apsauga, asmens duomenų, už kuriuos atsakinga TKA, apsauga, klientų turto ir interesų apsauga, darbuotojų bei klientų teisių ir saugumo užtikrinimas ir kt.).
-
TKA gali būti tvarkomi tik tie darbuotojų asmens duomenys, kurie yra būtini darbo sutarčiai ar kitai su darbuotoju sudarytai sutarčiai sudaryti ir vykdyti, teisės aktuose nustatytoms TKA teisinėms prievolėms vykdyti, konkrečiam TKA teisėtam interesui apsaugoti. Darbuotojų duomenų tvarkymo tikslai numatyti duomenų tvarkymo veiklos įrašuose.
-
TKA draudžiama tvarkyti su darbu ir jų teisių įgyvendinimu nesusijusius (perteklinius) darbuotojų asmens duomenis, taip pat pateikti darbuotojo asmens duomenis tretiesiems asmenims, išskyrus įstatymuose ir šiose Taisyklėse nustatytus atvejus.
-
Draudžiama tvarkyti pretendento eiti pareigas arba dirbti darbus ir darbuotojo asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, išskyrus atvejus, kai šie asmens duomenys būtini patikrinti, ar asmuo atitinka įstatymuose ir (ar) įgyvendinamuosiuose teisės aktuose nustatytus reikalavimus pareigoms eiti arba darbams dirbti ir atsakomybei teisės aktų nustatyta tvarka taikyti.
-
Pretendento eiti pareigas arba dirbti darbus asmens duomenis, susijusius su kvalifikacija, profesiniais gebėjimais ir dalykinėmis savybėmis, galima rinkti iš buvusio darbdavio, prieš tai informavus pretendentą, o iš esamo darbdavio – tik pretendento sutikimu.
-
Viešai prieinami asmens duomenys apie pretendentą, pretenduojantį eiti pareigas arba dirbti darbus, ar darbuotojus gali būti renkami tik tiek ir tik tokia apimtimi, kiek tie asmens duomenys yra tiesiogiai reikalingi ir aktualūs darbo pareigoms ir funkcijoms, į kurias pretenduojama, vykdyti. Apie šią galimybę pretendentai yra informuojami darbo skelbime.
-
Pretendento, neatrinkto eiti pareigas asmens duomenys saugomi ne ilgiau nei 3 mėnesius nuo momento, kai pretendentui buvo pranešta, kad su juo nebus sudaryta darbo sutartis. Ilgesnį terminą tokie asmens duomenys gali būti saugomi tik tada, jeigu yra gaunamas pretendento sutikimas, atitinkantis šiose Taisyklėse įtvirtintus reikalavimus, arba atsiranda kitas teisinis pagrindas ilgiau saugoti duomenis.
-
Pasibaigus darbo teisiniams santykiams, nauji duomenys apie buvusį darbuotoją gali būti renkami tik esant teisiniam pagrindui ir tik tiek, kiek jie yra susiję ir būtini remiantis konkrečiu teisiniu pagrindu pagrįstam tikslui pasiekti. Apie tokį duomenų rinkimą šie asmenys yra informuojami pateikiant užpildytą Taisyklių 6 priedo formą.
-
Darbuotojas TKA darbo funkcijoms vykdyti suteiktą kompiuterį, elektroninį paštą ir kitus TKA įrenginius, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą naudoja tik su darbu susijusiais tikslais ir tik darbo funkcijoms vykdyti. Darbuotojams yra draudžiama naudoti kompiuterius, telefonus ir kitą TKA suteiktą įrangą, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą asmeniniais tikslais, juose kaupti asmeninio pobūdžio informaciją, asmens duomenis, išskyrus Taisyklių 53 punkte numatytą išimtį. Jeigu darbuotojas naudoja kompiuterius, telefonus ir kitą TKA suteiktą įrangą, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą asmeniniais tikslais, juose kaupia asmeninio pobūdžio informaciją ir asmens duomenis, darbuotojas prisiima riziką, kad tokią informaciją, asmens duomenis TKA gali sužinoti patikrinimo metu. TKA neužtikrina darbuotojų asmeninės informacijos konfidencialumo darbuotojams asmeniniais tikslais naudojant elektroninį paštą, internetą, socialinius tinklus ir programinę įrangą.
-
Interneto paslaugos gali būti naudojamos ir asmeniniais tikslais (socialinių tinklų naudojimas, asmeniniai mokestiniai ir bankiniai pervedimai, elektroninio pašto paslauga, momentiniai susirašinėjimai asmeniniais tikslais ir pan.), kiek tai netrukdo optimaliai ir kokybiškai atlikti darbo pareigas, nepažeidžiant Taisyklių 68 punkte nurodytų reikalavimų.
-
Darbuotojai savo darbo funkcijas atlieka tik naudodami TKA kompiuterius, elektroninius paštus ir kitus TKA įrenginius, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą, išskyrus tuos atvejus, kai TKA direktorius ar jo įgaliotas asmuo priima sprendimą dėl leidimo TKA darbuotojui darbo funkcijas atlikti naudojantis asmeninėmis priemonėmis. Darbuotojai, turintys nuotolinę prieigą prie TKA infrastuktūros, privalo imtis visų priemonių, kad būtų užtikrintas informacijos ir duomenų saugumas bei konfidencialumas, o TKA privalo padėti darbuotojui įgyvendinti šią pareigą.
-
Nuolatinį TKA darbuotojui suteikto kompiuterio, elektroninio pašto ir kitų TKA įrenginių, prietaisų, įtaisų, informacijos ir ryšių technologijų, programinės įrangos stebėjimą ar tikrinimą vykdyti draudžiama. TKA darbuotojams suteiktos darbo priemonės, įranga, įskaitant elektroninius paštus, kompiuterius, mobiliuosius telefonus, juose esantys asmens duomenys, kiti duomenys bei informacija gali būti tikrinami tik esant šioms sąlygoms:
55.1. darbuotojas yra informuotas apie patikrinimo galimybę;
55.2. yra pagrindas manyti, kad darbuotojas padarė darbo pareigų pažeidimą arba vykdė veiklą, nesuderinamą su TKA interesais, arba vykdė teisės aktams prieštaraujančią veiklą, arba TKA siekia patikrinti, ar darbuotojas laikosi įsipareigojimų TKA, tinkamai vykdo teisės aktų, įskaitant TKA vidinių dokumentų, reikalavimus, arba egzistuoja kitos svarbios tokį patikrinimą pagrindžiančios priežastys;
55.3. nėra galimybės pasiekti tikrinimo tikslus kitomis priemonėmis, kurios mažiau ribotų darbuotojo privatumą.
-
Šiose Taisyklėse įtvirtintas tikrinimas vykdomas limituota apimtimi, t. y. apibrėžtas konkretus laikotarpis, už kurį tikrinama, tikrinamas konkretaus projekto vykdymas, tikrinamas konkrečių funkcijų vykdymas ir tikrinamas tik tiek, kiek yra būtina išsiaiškinti šiose Taisyklėse išdėstytas aplinkybes ir apginti TKA interesus. Duomenų apsaugos pareigūnas teikia konsultacijas, kad tikrinimas nepažeistų BDAR, Taisyklių nuostatų bei duomenų subjektų teisės į privatumą.
-
Vaizdo stebėjimas ir garso įrašymas darbuotojų darbo vietose gali būti vykdomas tik tada, kai dėl darbo specifikos būtina užtikrinti asmenų, turto ar visuomenės saugumą, ir kitais atvejais, kai kiti būdai ar priemonės yra nepakankami ir (arba) netinkami siekiant išvardytų tikslų, išskyrus atvejus, kai tiesiogiai siekiama kontroliuoti darbo kokybę ir mastą. Apie vaizdo stebėjimą ir garso įrašymą konkrečioje vietoje informuojama vaizdiniu žymeniu matomoje vietoje.
-
Tvarkant vaizdo ir (ar) garso duomenis darbo vietoje ir TKA patalpose ar teritorijose, kuriose dirba jos darbuotojai, tvarkant asmens duomenis, susijusius su darbuotojų elgesio, vietos ar judėjimo stebėsena, šie darbuotojai apie tokį jų asmens duomenų tvarkymą turi būti informuojami būdu, įrodančiu informavimo faktą.
VII SKYRIUS
VAIZDO DUOMENŲ TVARKYMO YPATUMAI
59. Vaizdo stebėjimas TKA patalpose ar teritorijose vykdomas vadovaujantis BDAR, ADTAĮ, kitų įstatymų bei teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą, nuostatomis.
60. Vykdant vaizdo stebėjimą darbo vietoje ir TKA patalpose ar teritorijose, kuriose dirba TKA darbuotojai, jie apie tokį jų vaizdo duomenų tvarkymą turi būti informuoti Taisyklių 7 priede nustatytos formos vaizdiniu žymeniu (informaciniu lipduku) matomoje vietoje.
61. Vaizdo stebėjimas su garso įrašymu TKA patalpose ar teritorijoje gali būti vykdomas, kai dėl darbo specifikos būtina užtikrinti asmenų, turto ar visuomenės saugumą ir kitais atvejais, kai kiti būdai ar priemonės yra nepakankami ir (arba) netinkami siekiant išvardintų tikslų, išskyrus atvejus, kai tiesiogiai siekiama kontroliuoti kokybę ir mastą.
VIII SKYRIUS
GARSO ĮRAŠŲ DARYMAS
-
Kai TKA atlieka jai priskirtas funkcijas, įskaitant ir vidaus administravimą, gali būti daromas garso įrašymas.
-
Garso įrašai turi būti daromi specialiai tik šiems tikslams skirtais nešiojamaisiais įrenginiais, išskyrus atvejus, kai kyla būtinybė garso įrašus daryti kitokiais įrenginiais. Skaitmeninis garso įrašas perkeliamas į kompiuterinę laikmeną ir saugomas TKA. Pasibaigus būtinybei tvarkyti garso įrašuose esančius duomenis garso įrašai sunaikinami.
-
Duomenų subjektų teisės, susijusios su garso įrašų duomenų tvarkymu, įgyvendinamos Taisyklių V skyriuje nustatyta tvarka. Įgyvendinant duomenų subjekto teisę susipažinti su tvarkomais savo asmens duomenimis, t. y. duomenų subjektui susipažinti gali būti pateikiama tik garso įrašo dalis, susijusi su pačiu duomenų subjektu.
-
Duomenų subjektas apie garso įrašo darymą ir garso įrašuose fiksuojamų asmens duomenų tvarkymą turi būti informuojamas prieš pradedant daryti garso įrašą
IX SKYRIUS
ASMENS DUOMENŲ SAUGUMO NUOSTATOS
-
TKA įgyvendina organizacines ir technines priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. TKA taikomos asmens duomenų apsaugos priemonės nurodytos Taisyklių 1 priede.
-
TKA darbuotojai per 3 darbo dienas nuo darbo TKA pradžios turi pasirašyti Taisyklių 2 priede nustatytos formos konfidencialumo pasižadėjimą. Konfidencialumo principas reiškia, kad asmenims, tvarkantiems asmens duomenis, be duomenų valdytojo sutikimo draudžiama juos atskleisti, gavus trečiųjų asmenų prašymus dėl tokio atskleidimo, išskyrus įstatymų numatytus atvejus.
-
Darbuotojams, kurie naudojasi TKA suteiktu elektroniniu paštu, interneto prieiga ir kita informacinių ir komunikacinių technologijų įranga, draudžiama:
-
skelbti TKA konfidencialią informaciją, vidinius dokumentus, jais dalintis su kitais ne TKA dirbančiais asmenimis, jei tai nėra susiję su darbinių funkcijų vykdymu;
-
naudoti elektroninį paštą ir interneto prieigą asmeniniams komerciniams ar politiniams tikslams, Lietuvos Respublikos įstatymais draudžiamai veiklai, šmeižiančio, įžeidžiančio, grasinamojo pobūdžio ar visuomenės dorovės ir moralės principams prieštaraujančiai informacijai, kompiuterių virusams, masinei piktybiškai informacijai siųsti ar kitiems tikslams, kurie gali pažeisti TKA ar kitų asmenų teisėtus interesus;
-
perduoti TKA priklausančią informacinių technologijų ir komunikacinių technologijų techninę ir programinę įrangą tretiesiems asmenims, jei toks perdavimas nėra susijęs su darbinių funkcijų vykdymu ar gali bet kokiu būdu pakenkti TKA interesams;
-
diegti, saugoti, naudoti, kopijuoti ar platinti bet kokią neautorizuotą, neteisėtą, autorių teises pažeidžiančią programinę įrangą;
-
naudoti įrangą neteisėtai prieigai prie duomenų, sistemų saugumui tikrinti, skenuoti, kompiuterinio tinklo srauto duomenims stebėti, išskyrus atvejus, kai tai susiję su tiesioginių funkcijų, t. y. techninės programinės įrangos ir kompiuterinių tinklų priežiūros, vykdymu.
-
Asmens duomenų tvarkymo funkcijas vykdantys darbuotojai, siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, turi tinkamai saugoti duomenų rinkmenas bei vengti nereikalingų kopijų darymo. TKA dokumentų kopijos, kuriose nurodomi asmens duomenys, turi būti sunaikintos taip, kad šių duomenų nebūtų galima atkurti ir atpažinti jų turinio. Praradęs asmens duomenis darbuotojas, tvarkantis asmens duomenis, nedelsiant apie tai informuoja TKA direktorių ir duomenų apsaugos pareigūną TKA direktoriaus patvirtinto Asmens duomenų saugumo pažeidimų tyrimo viešojoje įstaigoje Transporto kompetencijų agentūroje tvarkos aprašo nustatyta tvarka. Prarastų asmens duomenų atkūrimą organizuoja informacinių technologijų specialistai.
-
Duomenų subjektams, pateikusiems prašymą susipažinti su savo asmens duomenimis ir kaip jie tvarkomi TKA, sudaromos sąlygos susipažinti su dokumentais, kuriuose yra jų asmens duomenys, TKA patalpose. TKA darbuotojai susipažinimui parengia su asmens duomenų subjektu susijusią medžiagą ir, jeigu reikia, ją nuasmenina, nustačius kito asmens duomenų buvimą.
-
Asmens duomenų saugojimo vietos nurodytos TKA duomenų tvarkymo veiklos įrašuose. Dokumentai, kuriuose yra asmens duomenų, neturi būti laikomi visiems prieinamose vietose. Nešiojamuose kompiuteriuose, planšetėse ar kitose nešiojamose priemonėse asmens duomenys gali būti tvarkomi tik esant būtinumui (pavyzdžiui, vykstant ar grįžtant į/iš patikrinimų ar susitikimų).
-
Duomenys iš archyviniam saugojimui perduotų TKA darbuotojų asmens bylų tretiesiems asmenims susipažinti teikiami tik tais atvejais, kai tą leidžia įstatymai ir kiti teisės aktai, ar TKA direktoriaus ar jo įgalioto asmens sprendimu.
-
TKA darbuotojai darbo kompiuteriuose privalo naudoti slaptažodžius, sudarytus iš ne mažiau kaip 8 simbolių. Slaptažodžiai turi būti keičiami periodiškai ne rečiau kaip kartą per 3 mėnesius, taip pat susidarius tam tikroms aplinkybėms (pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimams, kad slaptažodis tapo žinomas tretiesiems asmenims, ir pan.). Šiuos slaptažodžius žino tik darbuotojas, dirbantis su konkrečiu kompiuteriu. Kompiuteriuose rekomenduojama naudoti ekrano užsklandą su slaptažodžiu.
-
TKA darbuotojų kompiuteriuose esančios kompiuterinės bylos, kuriose kaupiami asmens duomenys, negali būti prieinamos kitų kompiuterių naudotojams.
-
Visuose TKA kompiuteriuose antivirusinė programa turi būti nustatyta atsinaujinti automatiškai kiekvieną dieną.
-
TKA interneto svetainė sukurta taip, kad maksimaliai apribotų galimybes viešai veikiančioms interneto paieškos sistemoms bei paieškos variklių robotams kopijuoti TKA svetainėje esančią informaciją, taip pat neleistų šioms sistemoms ir robotams surasti anksčiau skelbtos, bei iš TKA interneto svetainės jau pašalintos informacijos kopijų.
X SKYRIUS
ASMENS DUOMENŲ TVARKYMAS DUOMENŲ TVARKYTOJO STATUSU
-
Šio skyriaus nuostatos yra taikomos tais atvejais, kai TKA tvarko duomenis kaip duomenų tvarkytoja. TKA, kaip duomenų tvarkytojos, duomenų tvarkymo veikla yra fiksuojama duomenų tvarkymo veiklos įrašų registre.
-
TKA turi teisę tvarkyti kitų duomenų valdytojų duomenis tik tada, jeigu duomenų valdytojas yra aiškiai nustatęs ir nurodęs duomenų tvarkymo dalyką ir trukmę, duomenų tvarkymo pobūdį ir tikslą, asmens duomenų rūšis ir duomenų subjektų kategorijas bei duomenų valdytojo prievoles ir teises.
-
Tais atvejais, kai TKA tvarko duomenis kaip duomenų tvarkytoja, TKA privalo laikytis duomenų valdytojo nustatyto duomenų tvarkymo tikslo, priemonių ir kitų duomenų tvarkymo sąlygų, taip pat privalo tvarkyti tik tokį kiekį duomenų ir tik tokią trukmę, kurią nurodė duomenų valdytojas.
-
TKA turi teisę tvarkyti asmens duomenis kaip duomenų tvarkytoja tik esant bent vienam iš šių teisinių pagrindų:
-
sudaryta sutartis su duomenų valdytoju. Gali būti sudaryta atskira duomenų tvarkymo sutartis arba atskiros duomenų tvarkymo veiklos nuostatos įtrauktos į kitą sutartį;
-
pareiga tvarkyti duomenis nustatyta teisės aktuose.
-
Kai TKA konkrečiai duomenų tvarkymo veiklai duomenų valdytojo vardu atlikti pasitelkia kitą duomenų tvarkytoją, sutartimi ar kitu teisės aktu tam kitam duomenų tvarkytojui nustatomos tos pačios duomenų apsaugos prievolės, kaip ir prievolės, nustatytos TKA teisės aktų bei duomenų valdytojo, visų pirma prievolė pakankamai užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos taip, kad duomenų tvarkymas atitiktų BDAR reikalavimus.
-
Visais atvejais, be duomenų valdytojo nustatytų papildomų pareigų, TKA, tvarkydama duomenis kaip duomenų tvarkytoja, turi šias pareigas:
-
tvarkyti asmens duomenis tik pagal duomenų valdytojo dokumentais įformintus nurodymus, išskyrus atvejus, kai tai daryti reikalaujama pagal teisės aktų reikalavimus, kurie yra taikomi TKA. Tokiu atveju TKA, prieš pradėdama tvarkyti duomenis, praneša apie tokį teisinį reikalavimą duomenų valdytojui, išskyrus atvejus, kai pagal teisės aktus toks pranešimas yra draudžiamas dėl svarbių viešojo intereso priežasčių;
-
užtikrinti, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą;
-
imtis visų techninių ir organizacinių priemonių, kad būtų užtikrintas tvarkomų duomenų saugumas;
-
laikytis Taisyklėse nustatytų kito duomenų tvarkytojo pasitelkimo sąlygų;
-
atsižvelgdama į duomenų tvarkymo pobūdį, padėti duomenų valdytojui taikydama tinkamas technines ir organizacines priemones, kiek tai įmanoma, kad būtų įvykdyta duomenų valdytojo prievolė atsakyti į prašymus, susijusius su duomenų subjektų teisių įgyvendinimu;
-
padėti duomenų valdytojui įgyvendinti jo prievoles pranešti apie Asmens duomenų saugumo pažeidimus bei atlikti poveikio duomenų apsaugai vertinimą, atsižvelgiant į duomenų tvarkymo pobūdį ir TKA turimą informaciją;
-
užbaigus teikti su duomenų tvarkymu susijusias paslaugas, ištrinti arba grąžinti duomenų valdytojui visus asmens duomenis ir ištrinti esamas jų kopijas, išskyrus atvejus, kai teisės aktai nustato reikalavimą asmens duomenis saugoti;
-
duomenų valdytojo prašymu pateikti informaciją, būtiną siekiant įrodyti, kad vykdomos šiame straipsnyje nustatytos prievolės, ir sudaryti sąlygas bei padėti duomenų valdytojui arba kitam Duomenų valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus.
-
TKA informuoja duomenų valdytoją, jei, TKA nuomone, duomenų valdytojo nurodymas pažeidžia BDAR ar kitas duomenų apsaugos teisės nuostatas.
XI SKYRIUS
ASMENS DUOMENŲ PERDAVIMAS TRETIESIEMS ASMENIMS
-
TKA turi teisę sutarties pagrindu duomenų tvarkymo veiksmams atlikti pasitelkti duomenų tvarkytoją. TKA pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos taip, kad duomenų tvarkymas atitiktų BDAR ir Taisyklių reikalavimus ir būtų užtikrintas duomenų subjekto teisių įgyvendinimas bei apsauga.
-
Prieš pasitelkiant konkretų duomenų tvarkytoją pagal sutartį, konsultuojamasi su duomenų apsaugos pareigūnu, ar duomenų tvarkytojas pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos taip, kad duomenų tvarkymas atitiktų BDAR ir Taisyklių reikalavimus ir būtų užtikrintas duomenų subjekto teisių įgyvendinimas ir apsauga.
-
Kitiems asmenims (ne duomenų tvarkytojams) TKA tvarkomi asmens duomenys gali būti perduoti tik duomenų subjekto prašymo ar sutikimo pagrindu, taip pat, kai tokia teisė yra numatyta teisės aktuose.
XII SKYRIUS
ASMENS DUOMENŲ PERDAVIMAS Į TREČIĄSIAS VALSTYBES IR TARPTAUTINES ORGANIZACIJAS
-
Perduoti asmens duomenis į trečiąją valstybę arba tarptautinę organizaciją galima tik esant bent vienai iš šių sąlygų:
-
yra priimtas Europos Komisijos sprendimas, kad atitinkama trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečioje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamo lygio apsaugą;
-
jeigu nėra priimtas Europos Komisijos sprendimas dėl tinkamo apsaugos lygio užtikrinimo arba nenustatytos tinkamos apsaugos priemonės, asmens duomenys gali būti perduoti į trečiąją valstybę arba tarptautinei organizacijai tik tuo atveju, jeigu TKA yra nustačiusi tinkamas apsaugos priemones, įskaitant tai, kad duomenų subjektams bus užtikrinta galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis.
-
Jeigu nėra priimtas Europos Komisijos sprendimas dėl tinkamo apsaugos lygio užtikrinimo arba nenustatytos tinkamos apsaugos priemonės, kaip nurodyta BDAR 46 straipsnio 2 ir 3 dalyse, asmens duomenų perdavimas į trečiąją valstybę arba tarptautinei organizacijai gali būti atliekamas tik tada, jeigu egzistuoja bent viena iš BDAR 49 straipsnio 1 dalyje nurodytų sąlygų.
XIII SKYRIUS
BAIGIAMOSIOS NUOSTATOS
-
Asmuo, kurio asmens duomenys yra tvarkomi, pastebėjęs, kad TKA darbuotojas galbūt pažeidė šias Taisykles, ADTAĮ ar BDAR nuostatas, apie tai informuoja TKA direktorių ar TKA duomenų apsaugos pareigūną TKA interneto svetainėje nurodytais kontaktais.
-
TKA veiksmai (veikimas ar neveikimas), kuriais pažeidžiami teisės aktai, gali būti skundžiami Inspekcijai arba teismui Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.
Viešosios įstaigos Transporto kompetencijų agentūros asmens duomenų tvarkymo taisyklių
1 priedas
ASMENS DUOMENŲ APSAUGOS PRIEMONIŲ SĄRAŠAS
1. Fizinė prieiga prie kompiuterinės įrangos:
1.1. patalpos rakinamos;
1.2. įrengta patalpų signalizacijos sistema;
1.3. veikia asmenų įėjimo į patalpas kontrolės sistema (fizinė ir (arba) elektroninė).
2. Programinės įrangos naudotojai:
2.1. prieigos prie asmens duomenų slaptažodžiai suteikiami, keičiami ir saugomi užtikrinant jų konfidencialumą;
2.2. prieiga prie asmens duomenų suteikiama tik tiems asmenims, kuriems asmens duomenys yra reikalingi jų funkcijoms vykdyti.
3. Prieiga prie vidinio tinklo:
3.1. vidinis tinklas apsaugotas ugniasienėmis;
3.2. nutolę įrenginiai prie vidinio tinklo jungiasi saugiu ryšio kanalu (VPN, skirtinėmis linijomis ir pan.);
3.3. kontroliuojama naudotojų prieiga prie vidinio tinklo.
4. Atsarginių duomenų kopijų naudojimas:
4.1. patvirtinta atsarginių kopijų atlikimo tvarka;
4.2. atsarginės duomenų kopijos saugomos atskirose apsaugotose patalpose, kitame pastate;
4.3. kompiuterinė įranga ir laikmenos valdomos centralizuotai;
4.4. numatyta duomenų atkūrimo iš atsarginių kopijų procedūra.
5. Apsauga nuo vagystės:
5.1. ribojamas ir kontroliuojamas neįgaliotų asmenų patekimas į patalpas, kuriose saugomi asmens duomenys;
5.2. apribota fizinė prieiga prie tarnybinių stočių ir kompiuterinių darbo vietų;
5.3. apribota programinė prieiga prie tarnybinių stočių, kompiuterinių darbo vietų ir jose esančių duomenų.
6. Programinės įrangos klaidos:
6.1. naudojama sertifikuota programinė įranga, kuri prižiūrima laikantis gamintojo reikalavimų;
6.2. diegiami operacinių sistemų ir naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai.
7. Apsauga nuo kenkėjiškos programinės įrangos:
7.1. tarnybinėse stotyse ir kompiuterinėse darbo vietose įdiegtos ir nuolatos atnaujinamos vidinio tinklo antivirusinės programos;
7.2. darbuotojai supažindinami su vidaus tvarkomis ir žino, kaip elgtis pastebėjus kenkėjišką programinę įrangą.
8. Programinės įrangos naudojimas:
8.1. naudojama tik legali ir leistina programinė įranga;
8.2. nuolat atliekama naudotojų kompiuterinėse darbo vietose naudojamos programinės įrangos kontrolė;
8.3. darbuotojams nesuteiktos teisės patiems diegti programinę įrangą, nebent tai nustatyta pareiginiuose nuostatuose;
8.4. kompiuterinės darbo vietos valdomos centralizuotai.
9. Programinės įrangos naudotojų švietimas:
9.1. naudotojai mokomi dirbti su programine įranga;
9.2. naudotojams parengtos asmens duomenų saugos atmintinės.
10. Apsauga nuo duomenų perdavimo tinklo įrangos gedimų:
10.1. įranga prižiūrima pagal gamintojo rekomendacijas;
10.2. priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai;
10.3. stebima duomenų perdavimo tinklo būklė;
10.4. stebima duomenų perdavimo tinklo būklė.
11. Apsauga nuo kompiuterinės įrangos gedimų:
11.1. įranga prižiūrima pagal gamintojo rekomendacijas;
11.2. priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai;
11.3. svarbiausia kompiuterinė įranga dubliuota;
11.4. svarbiausios kompiuterinės įrangos techninė būklė nuolat stebima;
11.5. svarbiausiai kompiuterinei įrangai yra įsigyta garantinės priežiūros paslauga.
12. Apsauga nuo įsilaužimo: padidinto saugumo patalpose įrengti dūžio ir judesių davikliai.
13. Apsauga nuo ugnies:
13.1. visose patalpose įrengta priešgaisrinė signalizacija;
13.2. patalpose yra ugnies gesintuvai;
13.3. įrengti dūmų ir karščio davikliai;
13.4. padidinto saugumo patalpose įrengta automatinė gaisro gesinimo sistema;
13.5. atsarginės duomenų kopijos laikomos atskirose apsaugotose patalpose, kitame pastate.
14. Apsauga nuo užliejimo:
14.1. tinkamai suplanuotos ir įrengtos svarbiausios kompiuterinės įrangos laikymo patalpos;
14.2. įrengta vandens nutekėjimo sistema.
15. Apsauga nuo temperatūros ir drėgmės svyravimų:
15.1. tarnybinių stočių patalpose įrengta kondicionavimo sistema;
15.2. nuolat stebimi temperatūros ir drėgmės svyravimai;
15.3. kondicionavimo įranga prižiūrima pagal gamintojo reikalavimus;
15.4. kondicionavimo įrangos priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai.
16. Apsauga nuo elektros srovės tiekimo sutrikimų:
16.1. svarbiausiai kompiuterinei įrangai skirti nenutrūkstamo maitinimo šaltiniai (UPS);
16.2. stebima elektros srovės tiekimo būklė.
17. Apsauga nuo maitinimo ir ryšio linijų gedimų:
17.1. kabeliai yra izoliaciniuose vamzdžiuose;
17.2. elektros ir duomenų kabeliai saugiai atskirti.
__________________
Viešosios įstaigos Transporto kompetencijų agentūros asmens duomenų tvarkymo taisyklių
2 priedas
(konfidencialumo pasižadėjimo forma)
VIEŠOSIOS ĮSTAIGOS TRANSPORTO KOMPETENCIJŲ AGENTŪROS KONFIDENCIALUMO PASIŽADĖJIMAS
Aš suprantu, kad:
-
savo darbe tvarkysiu asmens duomenis, kurie negali būti atskleisti ar perduoti neįgaliotiems asmenims ar institucijoms;
-
draudžiama perduoti neįgaliotiems asmenims slaptažodžius ir kitus duomenis, leidžiančius programinių ir techninių priemonių pagalba sužinoti asmens duomenis ar sudaryti sąlygas susipažinti su asmens duomenimis;
-
netinkamas asmens duomenų tvarkymas užtraukia atsakomybę pagal Lietuvos Respublikos įstatymus.
Aš įsipareigoju:
-
saugoti asmens duomenų paslaptį;
-
tvarkyti asmens duomenis vadovaudamasis Lietuvos Respublikos įstatymais ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą;
-
neatskleisti, nesudaryti sąlygų įvairiomis priemonėmis susipažinti su tvarkoma informacija nei vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija tiek viešosios įstaigos Transporto kompetencijų agentūros (toliau – TKA) viduje, tiek už jos ribų;
-
pranešti savo vadovui ir duomenų apsaugos įgaliotiniui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę asmens duomenų saugumui;
-
saugoti ir tik įstatymų bei kitų teisės aktų nustatyta tvarka naudoti konfidencialią informaciją, kuri man taps žinoma atliekant savo darbo funkcijas.
Aš žinau:
-
kad už šio įsipareigojimo nesilaikymą, 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – BDAR), ir Lietuvos Respublikos asmens duomenų teisinė apsaugos įstatymo (toliau – ADTAĮ) pažeidimą turėsiu atsakyti pagal galiojančius Lietuvos Respublikos įstatymus;
-
kad asmuo, patyręs žalą dėl neteisėto asmens duomenų tvarkymo arba kitų duomenų valdytojo ar duomenų tvarkytojo veiksmų (veikimo ar neveikimo), turi teisę reikalauti atlyginti jam padarytą turtinę ar neturtinę žalą;
-
kad šis įsipareigojimas galios visą mano darbo laiką TKA, perėjus dirbti į kitas pareigas arba pasibaigus darbo santykiams.
Aš esu susipažinęs su BDAR ir ADTAĮ.
Susipažinau
__________________________________________________________________________
(pareigos, vardas, pavardė) (parašas) (data)
Viešosios įstaigos Transporto kompetencijų agentūros asmens duomenų tvarkymo taisyklių
3 priedas
(sutikimo dėl asmens duomenų tvarkymo pavyzdinė forma)
SUTIKIMAS DĖL ASMENS DUOMENŲ TVARKYMO
20__ m.___________________ __ d.
Nr.
__________________
(vieta)
Aš,_______________________________________________________________________,
(asmens vardas, pavardė / pavadinimas, gimimo data / įmonės kodas)
sutinku ir esu informuotas (-a), kad:
1. Viešoji įstaiga Transporto kompetencijų agentūra (toliau – TKA) gautų ir tvarkytų toliau išvardytus mano asmens duomenis:
___________________________________________________________________________________
_____________________________________________________________________________
2. Išvardyti asmens duomenys būtų tvarkomi šiais tikslais:
________________________________________________________________________________
________________________________________________________________________________
3. Su išvardytais asmens duomenimis būtų atliekami šie tvarkymo veiksmai:
________________________________________________________________________________
________________________________________________________________________________
4. Asmens duomenys būtų gaunami iš:
manęs, _________________________________________________________________________
________________________________________________________________________________
5. Asmens duomenys būtų perduoti ______________________. Duomenų gavėjai tokius asmens duomenis tvarkytų šiame sutikime nurodytais tikslais.
6. TKA duomenis tvarkys teisėtai, sąžiningai ir skaidriai, laikydamasi teisės aktų nustatytų reikalavimų, tik šiame sutikime nustatytais tikslais.
TKA naudoja įvairias saugumą užtikrinančias technologijas ir procedūras, siekdama apsaugoti Jūsų asmeninę informaciją nuo neteisėtos prieigos, naudojimo ar atskleidimo. Mūsų tiekėjai yra kruopščiai atrenkami, mes iš jų reikalaujame naudoti tinkamas priemones, galinčias apsaugoti Jūsų konfidencialumą ir užtikrinti Jūsų asmeninės informacijos saugumą. Vis dėlto informacijos perdavimo internetu ar mobiliuoju ryšiu saugumas negali būti užtikrintas; bet koks informacijos mums perdavimas nurodytais būdais yra vykdomas Jūsų pačių rizika.
7. Pasikeitus Jūsų asmens duomenims, tvarkomiems pagal šį sutikimą, prašome pranešti apie tai TKA.
8. Sutikimo galiojimo terminas – ____________.
9. Duomenų valdytojas – TKA, I. Kanto g. 23, 44296 Kaunas, korespondencijos adresas Rodūnios kelias 2, 02189 Vilnius, el. pašto adresas info@tka.lt;
10. Duomenų apsaugos pareigūno kontaktai – el. pašto adresas dap@tka.lt, adresas Rodūnios kelias 2, 02189 Vilnius.
11. Duomenų tvarkymo teisinis pagrindas – šiame sutikime nurodytų Jūsų asmens duomenų tvarkymo teisinis pagrindas yra šis sutikimas.
12. Be šio sutikimo 5 punkte nurodytų duomenų gavėjų Jūsų asmens duomenys, surinkti šio sutikimo pagrindu, gali būti perduoti:
12.1. duomenų tvarkytojams, kurie atlieka tam tikrus darbus ir teikia paslaugas (pvz., informacinių technologijų bendrovės, kurios duomenis tvarko, kad užtikrintų informacinių sistemų kūrimą, tobulinimą ir palaikymą; bendrovės, kurios užtikrina pranešimų klientams siuntimą, teikia apsaugos ir kitas paslaugas, įskaitant teisės, finansų, mokesčių, verslo valdymo, personalo administravimo, buhalterinės apskaitos paslaugas);
12.2. teismui, teisėsaugos įstaigoms ar valstybės institucijoms tiek, kiek tokį teikimą nustato teisės aktų reikalavimai;
12.3. kitiems asmenims Jūsų sutikimu, jei toks sutikimas gaunamas dėl konkretaus atvejo.
Mes Jūsų asmens duomenis tvarkome tik Europos Sąjungos teritorijoje. Mes šiuo metu neturime ketinimo perduoti ir neperduodame Jūsų asmens duomenų tvarkytojams ar gavėjams į trečiąsias valstybes.
13. Žinau, kad turiu šias teises: teisę prašyti, kad būtų leista susipažinti su duomenimis ir juos ištaisyti arba ištrinti, teisę prašyti apriboti duomenų tvarkymą, teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į duomenų perkeliamumą. Šias teises galiu įgyvendinti teisės aktų nustatyta tvarka.
Prašymai dėl teisių įgyvendinimo TKA turi būti pateikti raštu (įskaitant teikiamus elektroniniu formatu), taip pat turi būti įmanoma identifikuoti prašymą padavusio asmens bei duomenų subjekto tapatybę. Duomenų subjekto tapatybė nustatoma pagal asmens tapatybę patvirtinantį dokumentą ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį. Jei prašymą duomenų subjektas siunčia paštu ar per pasiuntinį, prie prašymo turi būti pridėta teisės aktų nustatyta tvarka patvirtinta duomenų subjekto asmens tapatybę patvirtinančio dokumento kopija. Kai dėl informacijos apie asmenį kreipiasi jo atstovas, jis turi pateikti atstovavimą patvirtinantį dokumentą ir savo asmens tapatybę patvirtinantį dokumentą. Jei prašymas pateikiamas elektroniniu paštu, jis turi būti pasirašytas kvalifikuotu elektroniniu parašu.
Iškilus klausimų dėl duomenų subjektų teisių įgyvendinimo TKA, maloniai prašome kreiptis į TKA duomenų apsaugos pareigūną 10 punkte nurodytais kontaktais.
14. Žinau, kad turiu teisę bet kada atšaukti šį sutikimą ir reikalauti nutraukti tolimesnį asmens duomenų tvarkymą, kuris yra vykdomas sutikimo pagrindu. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto asmens duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.
15. Asmens duomenų saugojimo laikotarpis. Šis sutikimas ir jame nurodyti mano asmens duomenys yra saugomi trejus metus nuo sutikimo atšaukimo arba jo galiojimo termino pabaigos arba nuo TKA sprendimo nebetvarkyti asmens duomenų sutikime nustatytais tikslais priėmimo dienos. Asmens duomenys surinkti šio sutikimo pagrindu saugomi (kur)_________________.
Šis terminas gali būti pratęstas, jei asmens duomenys yra naudojami arba gali būti naudojami kaip įrodymai ar informacijos šaltinis ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje arba kitais įstatymų nustatytais atvejais. Tokiu atveju asmens duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
16. Automatizuotų sprendimų priėmimai. Duomenys nebus naudojami automatizuotiems sprendimams priimti mano atžvilgiu, įskaitant profiliavimą.
17. Žinau, kad turiu teisę skųsti. Jeigu Jūs manote, kad Jūsų duomenis mes tvarkome pažeisdami duomenų apsaugos teisės aktų reikalavimus, mes visuomet pirmiausia prašome kreiptis tiesiogiai į mus. Jeigu Jūsų netenkins mūsų siūlomas problemos išsprendimo būdas arba, Jūsų nuomone, mes nesiimsime pagal Jūsų prašymą būtinų veiksmų, Jūs turėsite teisę pateikti skundą priežiūros institucijai, kuri Lietuvos Respublikoje yra Valstybinė duomenų apsaugos inspekcija (L. Sapiegos g. 17, LT-10312 Vilnius; tel. (8 5) 212 7532; el. paštas: ada@ada.lt).
___________________ _________________________
(parašas) (vardas, pavardė)
_____________
Viešosios įstaigos Transporto kompetencijų agentūros asmens duomenų tvarkymo taisyklių
4 priedas
(duomenų valdytojo duomenų tvarkymo veiklos įrašų forma)
______________
Viešosios įstaigos Transporto kompetencijų agentūros asmens duomenų tvarkymo taisyklių
5 priedas
(duomenų tvarkytojo duomenų tvarkymo veiklos įrašų forma)
_____________
Viešosios įstaigos Transporto kompetencijų agentūros asmens duomenų tvarkymo taisyklių
6 priedas
(informacijos apie asmens duomenų tvarkymą forma)
INFORMACIJA APIE ASMENS DUOMENŲ TVARKYMĄ
Vadovaudamiesi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (BDAR) 13/14 straipsniu, teikiame Jums informaciją, susijusią su Jūsų duomenų tvarkymu:
1. Duomenų valdytojas – viešoji įstaiga Transporto kompetencijų agentūra (toliau – TKA), adresas pašto korespondencijai: Rodūnios kelias 2, 02188 Vilnius, el. pašto adresas: info@tka.lt.
2. Duomenų apsaugos pareigūno kontaktai – el. pašto adresas: dap@tka.lt, adresas: Rodūnios kelias 2, 02188 Vilnius.
3. Duomenų tvarkymo tikslai. Toliau nurodyti Jūsų asmens duomenys yra tvarkomi šiais tikslais:
3.1. ________________________
3.2. ________________________
3.3. ________________________
3.4. ________________________
4. Tvarkomi duomenys. Informuojame Jus, kad tvarkome šiuos Jūsų asmens duomenis:
4.1. ________________________
4.2. ________________________
4.3. ________________________
4.4. ________________________
5. Duomenų tvarkymo teisinis pagrindas. Jūsų asmens duomenų tvarkymo teisinis pagrindas _________________________________________________________________________
_________________________________________________________________________________ .
6. Duomenų šaltinis. Pirmiau nurodyti Jūsų duomenys gauti iš _______________________
__________________________________________________________________________________
7. Asmens duomenų gavėjai. Jūsų asmens duomenys gali būti perduoti:
7.1. duomenų tvarkytojams, kurie atlieka tam tikrus darbus ir teikia paslaugas (informacinių technologijų bendrovės, kurios duomenis tvarko, kad užtikrintų informacinių sistemų kūrimą, tobulinimą ir palaikymą; bendrovės, kurios užtikrina pranešimų klientams siuntimą, teikia apsaugos ir kitas paslaugas, įskaitant teisės, finansų, mokesčių, verslo valdymo, personalo administravimo, buhalterinės apskaitos paslaugas);
7.2. teismui, teisėsaugos įstaigoms ar valstybės institucijoms tiek, kiek tokį teikimą nustato teisės aktų reikalavimai (pvz., antstoliams, teismams ir kt.);
7.3. kitiems fiziniams / juridiniams asmenims Jūsų sutikimu, jei toks sutikimas gaunamas dėl konkretaus atvejo;
7.4. ________________________________________________________________________.
8. Duomenų subjektų teisės. Informuojame Jus, kad turite šias teises: teisę prašyti, kad Jums būtų leista susipažinti su Jūsų asmens duomenimis ir juos ištaisyti arba ištrinti, teisę apriboti duomenų tvarkymą, teisę nesutikti, kad asmens duomenys būtų tvarkomi, taip pat teisę į asmens duomenų perkeliamumą. Šias teises galite įgyvendinti teisės aktų, reglamentuojančių asmens duomenų tvarkymą, nustatyta tvarka.
Prašymai dėl teisių įgyvendinimo TKA turi būti pateikti raštu (įskaitant ir elektroniniu formatu), taip pat turi būti įmanoma identifikuoti prašymą padavusio asmens bei duomenų subjekto tapatybę. Duomenų subjekto tapatybė nustatoma pagal tapatybę patvirtinantį dokumentą ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį. Jei prašymą duomenų subjektas siunčia paštu ar per pasiuntinį, prie prašymo turi būti pridėta teisės aktų nustatyta tvarka patvirtinta duomenų subjekto asmens tapatybę patvirtinančio dokumento kopija. Kai dėl informacijos apie asmenį kreipiasi jo atstovas, jis turi pateikti atstovavimą patvirtinantį dokumentą ir atstovo tapatybę patvirtinantį dokumentą, jeigu nėra kitų protingų būdų nustatyti atstovo tapatybę.
Dėl duomenų subjektų teisių įgyvendinimo tvarkos maloniai prašome kreiptis į duomenų apsaugos pareigūną 2 punkte nurodytais kontaktais.
9. Jūs taip pat turite teisę bet kada atšaukti sutikimą tvarkyti Jūsų duomenis. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto asmens duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.
10. Asmens duomenų saugojimo laikotarpis. Informuojame, kad Jūsų asmens duomenys bus saugomi ____________ laikotarpį. Šis terminas gali būti pratęstas, jei asmens duomenys yra naudojami arba gali būti naudojami kaip įrodymai ar informacijos šaltinis ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais įstatymų nustatytais atvejais. Tokiu atveju asmens duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
11. Automatizuotų sprendimų priėmimai. Informuojame, kad šie Jūsų duomenys nebus naudojami automatizuotiems sprendimams priimti Jūsų atžvilgiu, įskaitant profiliavimą.
12. Skundų teikimas. Informuojame, kad Jūs turite teisę skųsti TKA veiksmus (neveikimą) Valstybinei duomenų apsaugos inspekcijai ir teismui teisės aktų nustatyta tvarka, taip pat skųsti teismui Valstybinės duomenų apsaugos inspekcijos veiksmus (neveikimą).
______________
Viešosios įstaigos Transporto kompetencijų agentūros asmens duomenų tvarkymo taisyklių
7 priedas
(informacinio lipduko, informuojančio apie vaizdo stebėjimą, forma)
Informuojame, kad duomenų subjektas turi teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, taip pat kitas teises.
Išsamesnė informacija apie asmens duomenų tvarkymą:
www.tka.lt/oro-transportas/katalogas/asmens-duomenu-apsauga,
kreiptis į duomenų valdytoją taip pat galite Tel. +37061211338 arba el. paštu info@tka.lt
_____________