Skip to main content

Duomenų apsaugos politika

PATVIRTINTA

Nacionalinio kibernetinio saugumo  centro prie Krašto apsaugos ministerijos direktoriaus 2022 m.  spalio     d. įsakymu Nr.

NACIONALINIO KIBERNETINIO SAUGUMOCENTRO PRIE KRAŠTO APSAUGOS MINISTERIJOSASMENS DUOMENŲ TVARKOS APRAŠAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos asmens duomenų tvarkos aprašas (toliau – Taisyklės) nustato asmens duomenų tvarkymui keliamus reikalavimus, duomenų subjekto teisių įgyvendinimo tvarką, asmens duomenų saugumo pažeidimų valdymą, naudojamas asmens duomenų apsaugos priemones (procesus), poveikio duomenų apsaugai vertinimą, Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos (toliau  – NKSC) darbuotojų kompetenciją, atsakomybę, teises ir pareigas asmens duomenų tvarkymo srityje.

 2. Taisyklės parengtos ir asmens duomenys NKSC tvarkomi vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau – ADTAĮ), taip pat (kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais (ar užtikrinant nacionalinį saugumą ir gynybą) - Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymu (toliau – Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymas), Lietuvos Respublikos mobilizacijos ir priimančios šalies paramos įstatymu, Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymu.

Taisyklės taip pat parengtos ir asmens duomenys NKSC tvarkomi vadovaujantis Lietuvos Respublikos darbo kodekso 27 straipsnio 1 dalimi, Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklėmis, patvirtintomis Lietuvos Respublikos krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymu Nr. V-1253 „Dėl Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklių patvirtinimo“ (toliau – KAM asmens duomenų tvarkymo taisyklės), Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2019 m. liepos 22 d. įsakymu Nr. V-644 ,,Dėl Asmens duomenų saugumo pažeidimų aprašo patvirtinimo“ (toliau – Asmens duomenų saugumo pažeidimų aprašas) ir kitais teisės aktais bei Valstybinės duomenų apsaugos inspekcijos (toliau – VDAI) rekomendacijomis, gairėmis, metodine medžiaga.

  3. Taisyklių privalo laikytis visi NKSC valstybės tarnautojai, darbuotojai, dirbantys pagal darbo sutartis, kariai, asmenys, priimti atlikti praktiką NKSC (toliau – darbuotojai), taip pat asmens duomenų, kurių valdytoja yra NKSC, tvarkytojai, kurie tvarko asmens duomenis arba eidami savo pareigas juos sužino. NKSC darbuotojai, tvarkantys asmens duomenis, pasirašo pasižadėjimus pagal KAM asmens duomenų tvarkymo taisyklių 2 priede pateiktą formą, kuri saugoma darbuotojo asmens byloje.

  4. Taisyklėse vartojamos sąvokos:

 4.1. Duomenų apsaugos pareigūnas – NKSC direktoriausįsakymu paskirtas asmuo ar duomenų apsaugos pareigūno funkcijas pagal pareiginius nuostatus vykdantis darbuotojas, atsakingas už asmens duomenų tvarkymo reikalavimų laikymosi NKSC stebėseną, duomenų subjektų teisių įgyvendinimą, turintis kitas BDAR, Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatyme, KAM asmens duomenų tvarkymo taisyklėse ir šiose Taisyklėse nustatytas teises ir pareigas;

  4.2. Duomenų subjektas – asmuo, kurio asmens duomenis NKSC tvarko ar ketina tvarkyti nustatytais tikslais ir priemonėmis;

  4.3. kitos Taisyklėse vartojamos sąvokos atitinka BDAR, ADTAĮ ir kituose asmens duomenų apsaugą reguliuojančiuose teisės aktuose vartojamas sąvokas.

II SKYRIUS

DARBUOTOJŲ TEISĖS IR PAREIGOS

 5. Darbuotojai tvarko asmens duomenis tik teisės aktų nustatyta tvarka atlikdami savo funkcijas. Darbuotojas tvarko asmens duomenis tol, kol eina pareigas, kurioms vykdyti yra būtinas asmens duomenų tvarkymas. Jei darbuotojas laikinai eina kito darbuotojo pareigas ar vykdo kito darbuotojo funkcijas, jis turi teisę tvarkyti asmens duomenis tik laikino pareigų ėjimo arba funkcijų vykdymo laikotarpiu.

 6. Darbuotojas privalo:

 6.1. saugoti asmens duomenų konfidencialumą visą darbo ar praktikos laiką ir pasibaigus darbo ar praktikos santykiams;

 6.2. atlikti tik tuos asmens duomenų tvarkymo veiksmus, kuriuos atlikti yra teisinis pagrindas ar juos atlikti jam suteiktos teisės.

Jeidarbuotojas pagal savo vykdomas funkcijas privalo ar gali suteikti prieigas prie popierinio formato dokumentų ar duomenų bei dokumentų Krašto apsaugos sistemos (toliau – KAS) dokumentų valdymo ir kitose informacinėse sistemose, kurių asmens duomenų valdytoja yra Lietuvos Respublikos krašto apsaugos ministerija (toliau – KAM) ar NKSC, tais atvejais, kai dokumento ar duomenų turinys susijęs su asmens duomenimis ar informacija apie asmens gyvenimą, jis jas gali suteikti tik tiems darbuotojams, kuriems dokumentas skirtas ar (ir) reikalingas darbo / tarnybinėms funkcijoms ar užduotims atlikti (atsižvelgiant į principą ,,būtina žinoti”);

  6.3. asmens duomenis tvarkyti tik darbuotojui suteiktomis darbo (kompiuterinėmis, programinėmis ir kitomis) priemonėmis;

 6.4. asmens duomenis tvarkyti tiksliai, nedelsdamas atnaujinti, ištaisyti ar papildyti netikslius, klaidingus, neišsamius asmens duomenis (toliau – netikslūs asmens duomenys) ir (ar) apriboti tokių asmens duomenų tvarkymą (išskyrus saugojimą)  bei informuoti apie tai duomenų subjektą;

 6.5. asmens duomenis tvarkyti tik tokios apimties, kuri būtina jo funkcijoms atlikti;

6.6. neatlikti veiksmų, galinčių didinti duomenų saugumo pažeidimo riziką:

  6.6.1. nesinešti į nuotolinio darbo vietas popierinio formato dokumentų, jų kopijų, išrašų, juodraščių su asmens duomenimis, išskyrus atvejus, kai tai būtina (tokiais atvejais pasirūpinti dokumentų saugumu);

 6.6.2. atvirai nelaikyti dokumentų su asmens duomenimis, kad nebūtų sudaryta neteisėtos prieigos prie jų galimybių, nepalikti dokumentų su tvarkomais asmens duomenimis ar kompiuterio, kuriuo naudojantis galima atidaryti rinkmenas su asmens duomenimis, be priežiūros taip, kad juose esančią informaciją galėtų perskaityti ar kitaip panaudoti bet kurie kiti asmenys, neturintys teisės dirbti su tais asmens duomenimis;

 6.6.3. netvarkyti asmens duomenų, jei yra rizika, kad toje pačioje patalpoje esantys kiti asmenys, neturintys teisės tvarkyti šių asmens duomenų ar jų tvarkyti tuo pačiu tikslu, gali juos matyti ar kitu būdu su jais susipažinti;

 6.7. asmens duomenis tvarkyti taip, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;

 6.8. pastebėjęs galimą asmens duomenų saugumo pažeidimą, nedelsdamas atlikti Taisyklių 48-49 punktuose numatytus veiksmus;

 6.9. kai kyla neaiškumų dėl Taisyklių, BDAR, ADTAĮ, Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo reikalavimų taikymo vykdant paskirtas funkcijas, konsultuotis su NKSC duomenų apsaugos pareigūnu;

 6.10. kelti kompetenciją asmens duomenų apsaugos mokymuose.

  7. Darbuotojams draudžiama savavališkai, be teisinio pagrindo tvarkyti asmens duomenis ir naudoti asmens duomenis asmeniniams, su vykdomomis funkcijomis nesusijusiems tikslams, daryti perteklines dokumentų kopijas, kurios nėra būtinos funkcijoms vykdyti.

Darbuotojams taip pat draudžiama skaityti, kopijuoti, saugoti, siųsti ir bet kokiu kitu būdu tvarkyti ar platinti KAS dokumentų valdymo ir kitose informacinėse sistemose, kurių asmens duomenų valdytoja yra KAM, taip pat ir ne informacinėse sistemose esančius duomenis bei dokumentus, kurių valdytoja yra KAM ar NKSC, susijusius su konkrečiu asmeniu, jo gyvenimu bei veikla (tarnybinio tyrimo, tarnybinio nusižengimo ar drausmės pažeidimo tyrimo medžiagą bei išvadas, asmenų skundus, atsakymus į juos ir bet kuriuos kitus duomenis ar dokumentus, kai jų turinys atskleidžia asmens duomenis ar informaciją apie asmens gyvenimą, veiklą), kai tai nereikalinga tų darbuotojų darbo / tarnybos funkcijoms ar užduotims atlikti.

III SKYRIUS

ASMENS DUOMENŲ TVARKYMAS

 8. NKSC, kaip duomenų valdytojo, pagrindiniai asmens duomenų tvarkymo tikslai, duomenų apimtis ir duomenų subjektai nurodomi Taisyklių priede. Vadovaujantis BDAR ir ADTAĮ, tvarkomų asmens duomenų tvarkymo tikslai, asmens duomenų kategorijos ir duomenų subjektai nurodyti priedo I skyriuje, nacionalinio saugumo ir gynybos tikslais tvarkomų asmens duomenų kategorijos, tikslai, duomenų subjektai nurodyti priedo II skyriuje.

  9. NKSC tvarkomų asmens duomenų sąrašas (apimtis), teisiniai pagrindai ir kita Taisyklių 16 punkte nurodyta informacija, pateikiama NKSC, kaip duomenų valdytojo, tvarkomuose duomenų tvarkymo veiklos įrašuose, Taisyklių IV skyriaus nustatyta tvarka.

10.NKSC, tvarkydamas asmens duomenis, kurių valdytojas yra KAM, vadovaujasi KAM asmens duomenų tvarkymo taisyklėmis, Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2019 m. liepos 22 d. įsakymu Nr. V-644 Dėl Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašo patvirtinimo“ (toliau – KAM asmens duomenų pažeidimų aprašas) ir kitais teisės aktais.

11. Asmens duomenys tvarkomi automatiniu ir neautomatiniu būdu.

12. NKSC asmens duomenys saugomi ne ilgiau, negu to reikalauja asmens duomenų tvarkymo tikslai. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti valstybės archyvams arba kurių saugojimui nustatyti terminai kituose teisės aktuose.

13. Specialių kategorijų asmens duomenys NKSC tvarkomi tik esant BDAR 9 straipsnyje nurodytiems pagrindams (kai asmens duomenys tvarkomi vadovaujantis Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu esant šio įstatymo 8 straipsnyje nurodytam pagrindui) ir laikantis kitų teisės aktų nustatytų sąlygų. Specialių kategorijų asmens duomenys neteikiami jokiems duomenų gavėjams ar kitiems tretiesiems asmenims, išskyrus atvejus, kai tam yra teisinis pagrindas.

14. Jei asmens duomenys NKSC tvarkomi duomenų subjekto sutikimo pagrindu, NKSC darbuotojai sutikimo iš duomenų subjekto prašo raštu ar elektroninėmis priemonėmis, sutikimo turinį aiškiai atskirdami nuo kitų klausimų, pateikdami suprantama ir lengvai prieinama forma, taip pat paaiškindami subjektui, kokiu tikslu bus tvarkomi jo asmens duomenys ir pateikdami kitą svarbią informaciją. Prieš sutikimo davimą duomenų subjektas informuojamas apie teisę bet kuriuo metu atšaukti sutikimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.

IV SKYRIUS

DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI

15. Asmens duomenų tvarkymo veiklos įrašai NKSC pildomi elektroniniu būdu.    

16. NKSC, kaip duomenų valdytojo, duomenų tvarkymo veiklos įrašuose nurodoma:

16.1. duomenų valdytojo (jei taikoma – bendro duomenų valdytojo) pavadinimas ir kontaktiniai duomenys;

16.2.  NKSC duomenų apsaugos pareigūno vardas, pavardė ir kontaktiniai duomenys (adresas, telefono ryšio numeris ir (ar) elektroninio pašto adresas);

 16.3. duomenų tvarkymo tikslai;

 16.4. tvarkomų asmens duomenų kategorijos;

 16.5. informacija apie duomenų tvarkymo (tvarkymo operacijos, kuriai yra skirti asmens duomenys) teisinį pagrindą;

 16.6. duomenų subjektų kategorijos;

  16.7. duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, kategorijos, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas;

 16.8. kai taikoma, asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą ir BDAR 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai;

  16.9. jei įmanoma, numatomi duomenų ištrynimo (saugojimo) terminai;

  16.10. jei įmanoma, nurodomas bendras techninių ir organizacinių saugumo priemonių aprašymas;

  16.11. gali būti pateikiama ir kita reikalinga informacija;

  16.12. jei asmens duomenys tvarkomi vadovaujantis Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu, veiklos įrašuose papildomai nurodoma informacija apie profiliavimą, jei jis atliekamas, ir asmens duomenų perdavimo trečiajai valstybei arba tarptautinei organizacijai, jei asmens duomenys perduodami, kategorijos.

  17. NKSC padaliniai ar darbuotojai, atsakingi už asmens duomenų tvarkymą konkrečiais tikslais, pasikeitus asmens duomenų tvarkymui (tvarkomų asmens duomenų kategorijoms, subjektams, apimčiai, teisiniams pagrindams ir pan.), ar pastebėję netikslumus, nedelsdami pateikia NKSC duomenų apsaugos pareigūnui informaciją, atsižvelgdami į Taisyklių 19 punktą, nurodydami pasikeitusius ar atnaujinamus duomenis. Įvertinęs gautą informaciją, esant pagrindui, NKSC duomenų apsaugos pareigūnas atnaujina duomenų tvarkymo veiklos įrašus.

18. Duomenų veiklos įrašams reikalingą informaciją NKSC duomenų apsaugos pareigūnuiteikia NKSC darbuotojai, tvarkantys asmens duomenis,NKSC duomenų apsaugos pareigūnas tinkamai įformina duomenų veiklos įrašus, užtikrindamas įrašų pakeitimų atsekamumą – pakeitimai veiklos įrašuose atliekami fiksuojant pakeitimo datą ir pakeitimo turinį.

19. NKSC pildomi ir NKSC, kaip duomenų tvarkytojo, duomenų veiklos įrašai, juose nurodoma informacija pagal BDAR, ar atitinkamai, Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo reikalavimus.

20. Duomenų tvarkymo veiklos įrašai saugomi NKSC vidiniame serveryje (apsaugoti slaptažodžiu).

21. VDAI prašymu, duomenų tvarkymo veiklos įrašai pateikiami VDAI, išskyrus atvejus, kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais.

V SKYRIUS

duomenų subjekto TEISĖS IR JŲ ĮGYVENDINIMO TVARKA

 22.Duomenų subjektai turi šias teises, įtvirtintas BDAR:

22.1. teisę žinoti (būti informuotam) apie savo asmens duomenų tvarkymą. Ši teisė įgyvendinama informaciją pateikiant:

22.1.1.   NKSC interneto svetainėje https://nksc.lrv.lt/, skiltyje „Asmens duomenų apsauga“, šiose Taisyklėse, kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą ir duomenų subjektų teisių įgyvendinimą. Apie naujai nustatomus duomenų tvarkymo tikslus ir tvarkomus asmens duomenis, jų tvarkymo pagrindą ir kitą informavimui būtiną informaciją, NKSC darbuotojai informuojami per dokumentų valdymo sistemą DokVIS arba elektroniniu paštu, jiems susipažinimui pateikiant tai reglamentuojančius teisės aktus;

22.1.2. apie vykdomą teritorijos ir patalpų vaizdo stebėjimą informaciniais užrašais teritorijoje ir prieš įėjimą į stebimas patalpas;

22.2. teisę susipažinti su NKSC tvarkomais savo asmens duomenimis (BDAR 15 straipsnyje nurodyta informacija). Teisė susipažinti su NKSC tvarkomais vaizdo duomenimis įgyvendinama duomenų subjektui sudarant galimybę NKSC patalpose peržiūrėti vaizdo įrašą su jo asmens duomenimis;

22.3. teisę reikalauti, kad būtų ištaisyti netikslūs jo asmens duomenys ir (arba) papildyti neišsamūs jo asmens duomenys;

22.4. teisę reikalauti ištrinti savo asmens duomenis (NKSCnedelsdamas ištrina asmens duomenis, jei tai galima pagrįsti viena iš BDAR 17 straipsnio 1 dalyje nurodytų priežasčių, ši teisė gali būti neįgyvendinta BDAR 17 straipsnio 3 dalyje numatytais atvejais);

22.5. teisę apriboti savo asmens duomenų tvarkymą (BDAR 18 straipsnio 1 dalyje numatytais atvejais);

22.6. teisę į savo asmens duomenų perkeliamumą (NKSC, kaip duomenų valdytojas, turi nesudaryti tam kliūčių, kai yra BDAR 20 straipsnio 1 dalyje nurodytos aplinkybės (ši teisė netaikoma BDAR 20 straipsnio 3 dalyje nurodytu atveju);

22.7. teisę nesutikti su savo asmens duomenų tvarkymu, kai toks duomenų tvarkymas vykdomas pagal BDAR 6 straipsnio 1 dalies e arba f punktus; remiantis tomis nuostatomis, ši teisė įgyvendinama BDAR 21 straipsnyje nustatyta tvarka.

23. Kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais, duomenų subjektas turi Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo III skyriuje nurodytas teises, kurioms įstatymų nustatytais atvejais gali būti taikomi nurodytame skyriuje nustatyti teisių apribojimai.

24. Duomenų subjektas, siekdamas įgyvendinti savo teises, privalo tiesiogiai, paštu, per pasiuntinį ar el. ryšių priemonėmis pateikti rašytinį prašymą (toliau – prašymas) NKSC.

25.Prašymas turi būti aiškus, įskaitomas, paties asmens pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, kontaktiniai duomenys, kuriais asmuo pageidauja gauti atsakymą, informacija, kokią teisę ir kokios apimties duomenų subjektas pageidauja įgyvendinti. Prašymas teikiamas pagal patvirtintą KAM asmens duomenų tvarkymo taisyklių 3 priede pateiktą formą.

26.Duomenų subjektas, pateikdamas prašymą, privalo patvirtinti savo tapatybę:

26.1. jei prašymas pateikiamas tiesiogiai, pateikdamas prašymą darbuotojui, registruojančiam prašymą, duomenų subjektas turi pateikti asmens tapatybę patvirtinantį dokumentą;

26.2. jei prašymas pateikiamas paštu ar per pasiuntinį, kartu su prašymu duomenų subjektas turi pateikti asmens tapatybę patvirtinančio dokumento kopiją;

  •  jei prašymas pateikiamas elektroninių ryšių priemonėmis (elektroniniu paštu), pasirašydamas prašymą kvalifikuotu elektroniniu parašu arba prašymas turi būti suformuotas elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą.

27. Duomenų subjektas Taisyklių 22 punkte nurodytas teises įgyvendina pats arba per savo atstovą. Jeigu atstovaujamo duomenų subjekto vardu į NKSC kreipiasi duomenų subjekto atstovas, jis prašyme turi nurodyti savo vardą, pavardę, kontaktinius duomenis, kuriais asmens atstovas pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę, informaciją, kokią duomenų subjekto teisę ir kokios apimties pageidauja įgyvendinti, ir pridėti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą notaro arba kita teisės aktų nustatyta tvarka.

28. Jei prašymas pateiktas nesilaikant Taisyklių 25–27 punktuose nustatytų reikalavimų ir (ar) nėra galimybės prašymą teikiantį asmenį identifikuoti arba patikrinti prašymo autentiškumo, taip pat ir kitais Lietuvos Respublikos viešojo administravimo įstatymo 11 straipsnyje nurodytais atvejais prašymas gali būti nenagrinėjamas, duomenų subjektas apie tai informuojamas per 5 darbo dienas, nurodant prašymo nenagrinėjimo priežastį.

 29. NKSC turi teisę atsisakyti imtis veiksmų pagal prašymą, jeigu prašymas yra nepagrįstas arba neproporcingas. Tokiu atveju NKSC privalo raštu nurodyti tokio atsisakymo motyvus.

30.NKSC prašymą privalo išnagrinėti (priimti sprendimą) ir atsakymą apie prašymo rezultatus (priimtą sprendimą) duomenų subjektui pateikti ne vėliau kaip per 30 kalendorinių dienų nuo prašymo gavimo dienos. Atsakymas apie prašymo rezultatus (priimtą sprendimą) pateikiamas tokiu būdu, kokiu buvo gautas, išskyrus atvejus, kai duomenų subjektas prašo atsakymą pateikti kitokia forma.

Atsakymo apie Prašymo rezultatus (priimtą sprendimą) duomenų subjektui pateikimo laikotarpis gali būti pratęstas dar dviem mėnesiams arba trims mėnesiams (kai asmens duomenys tvarkomi vadovaujantis Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu), atsižvelgiant į Prašymo sudėtingumą ir nagrinėjamų Prašymų skaičių. Tokiu atveju duomenų subjektas per 30 kalendorinių dienų nuo Prašymo gavimo dienos informuojamas apie Prašymo nagrinėjimo termino pratęsimą, nurodant termino pratęsimo priežastis.

31. Nagrinėjant duomenų subjekto prašymą įvertinama, ar prašomos įgyvendinti duomenų subjekto teisės, įstatymų ir kitų teisės aktų nustatyta tvarka turi būti visiškai arba iš dalies apribotos (vadovaujantis  BDAR 23 straipsniu, Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 13 straipsniu ir Lietuvos Respublikos mobilizacijos ir priimančios šalies paramos įstatymo 14 straipsnio 9 ir 11 punktais, Valstybės ir tarnybos paslapčių įstatymo 18 straipsnio 11 punktu).

32. Duomenų subjekto prašymai saugomi vadovaujantis Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“ parengtame NKSC dokumentacijos plane nustatytais terminais.

33.  Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai.

34. NKSC, kaip duomenų valdytojo,veiksmus ar neveikimą, įgyvendinant duomenų subjekto teises kai asmens duomenys tvarkomi vadovaujantis BDAR nuostatomis, duomenų subjektas (arba duomenų subjekto atstovas) turi teisę skųsti VDAI, taip pat Vilniaus apygardos administraciniam teismui (toliau Teismas).

35. Tais atvejais, kai asmens duomenys tvarkomi vadovaujantis Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu, duomenų subjektas NKSC veiksmus ar neveikimą įgyvendinant subjekto teises turi teisę skųsti Lietuvos Respublikos Seimo kontrolieriui arba Teismui.

VI SKYRIUS

 ASMENS DUOMENŲ SAUGUMAS

36. Pagrindiniai teisės aktai, kuriais vadovaujantis NKSC yra diegiamos organizacinės ir techninės duomenų saugumo priemonės, yra šie:

36.1. BDAR;

36.2. ADTAĮ;

36.3. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

36.4. Lietuvos Respublikos kibernetinio saugumo įstatymas;

36.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo”;

36.6. Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos duomenų saugos nuostatai, patvirtinti 2019 m. gegužės 27 d. LR krašto apsaugos ministro įsakymu Nr. V-482 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos duomenų saugos nuostatų patvirtinimo“;

36.7. Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos saugaus elektroninės informacijos tvarkymo taisyklės, patvirtintos 2019 m. gruodžio 11 d. LR krašto apsaugos ministro įsakymu Nr. V-1045 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos saugaus elektroninės informacijos tvarkymo taisyklių, naudotojų administravimo taisyklių ir veiklos tęstinumo valdymo plano patvirtinimo“;

36.8. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“.

37. NKSC darbuotojų asmens duomenys, kurie tvarkomi programinėmis priemonėmis, tvarkomi KAS institucijų ryšių ir informacinėse sistemose bei įslaptintos informacijos ryšių informacinėse sistemose šių informacinių sistemų nuostatuose ir kituose jų steigimo ir įteisinimo bei saugos dokumentuose nustatyta tvarka.

38. NKSC automatiniu būdu tvarkomiems asmens duomenims taikomos šios pagrindinės organizacinės ir techninės saugos priemonės:

38.1. darbuotojams (ar kitiems asmenims) suteikiama prieiga tik prie tų duomenų, kurie reikalingi darbo funkcijoms (arba kitų asmenų sutartiniams įsipareigojimams NKSC) vykdyti. Su prieinamais asmens duomenimis galima atlikti tik tokius veiksmus, kokiems atlikti buvo suteiktos teisės. Nutrūkus (ar pasikeitus) darbo santykiams (sutartiniams įsipareigojimams) užtikrinama, kad suteiktos prieigos prie duomenų būtų nedelsiant panaikintos (ar pakeistos). Darbuotojai užtikrina, kad jų funkcijoms vykdyti suteikta prieiga nebūtų prieinama tretiesiems asmenims arba kitiems asmenims, neturintiems teisės žinoti arba naudoti tokių duomenų (pvz., nepalikti darbo su asmens duomenimis vietos be priežiūros ir pan.);

38.2. NKSC valdomų ir tvarkomų informacinių išteklių administratoriai ir saugos įgaliotiniai tvirtinami NKSC direktoriaus įsakymu;

38.3. darbuotojams prisijungimui prie NKSC kompiuterinių darbo vietų suteikiami slaptažodžiai, taip pat naudojama ekrano užsklanda (angl. screen saver) su slaptažodžiu ir kt. Slaptažodžiai suteikiami, keičiami ir saugomi, užtikrinant jų konfidencialumą. Pirmojo prisijungimo metu slaptažodžiai keičiami. Slaptažodžius gali žinoti tik darbuotojas, kuriam jis skirtas. Slaptažodis keičiamas reguliariai, o esant įtarimui, kad slaptažodis galėjo būti atskleistas, keičiama nedelsiant;

38.4. darbuotojų aktyvūs veiksmai informacinėse sistemose ir duomenų bazėse su duomenimis bei duomenų pakeitimai jose įskaitant prisijungimo veiksmą, registruojami tarnybinių stočių ar kompiuterinių sistemų istorijos žurnaluose;

38.5. darbuotojams nustatomas leistinų nepavykusių prisijungimų prie NKSC informacinių išteklių skaičius, fiksuojant prisijungimų duomenis: identifikatorius, data, laikas, trukmė, prisijungimo rezultatas, šie įrašai saugomi 6 mė

38.6. NKSC neatliekamas informacinių sistemų testavimas su realiais duomenimis.

39. NKSC ne rečiau kaip kartą per vienerius metus atliekamas asmens duomenų tvarkymo rizikos vertinimas.

40. Įeigos į NKSC administracines patalpas kontrolę užtikrina apsaugos darbuotojai vidaus tvarkoje nustatyta tvarka.

VII SKYRIUS

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMAI IR JŲ TYRIMAS

41. Asmens duomenų saugumo pažeidimai gali būti:

41.1. konfidencialumo pažeidimas – asmens duomenų atskleidimas arba prieigos prie jų suteikimas asmenims, kurie neturi teisės susipažinti su asmens duomenimis;

41.2. vientisumo pažeidimas – netyčinis arba neteisėtas asmens duomenų pakeitimas;

41.3. prieinamumo pažeidimas – netyčinis arba neteisėtas prieigos prie asmens duomenų praradimas arba jų sunaikinimas.

42. Atsižvelgiant į aplinkybes, asmens duomenų saugumo pažeidimas gali būti ir bet kurių dviejų ar visų trijų Taisyklių 41.1-41.3 papunkčiuose nurodytų pažeidimų derinys.

43. NKSC darbuotojas, sužinojęs ar pats nustatęs galimą asmens duomenų saugumo pažeidimą arba gavęs informaciją apie galimą asmens duomenų saugumo pažeidimą iš visuomenės informavimo priemonių ar kitų šaltinių (toliau – asmens duomenų saugumo pažeidimo paaiškėjimas), informuoja apie tai NKSC direktorių ir NKSC duomenų apsaugos pareigūną, pateikdamas apie pažeidimą kuo tikslesnę turimą informaciją.

44. Kai galimas asmens duomenų saugumo pažeidimas yra susijęs su kibernetiniu incidentu, NKSC darbuotojas, sužinojęs ar pats nustatęs galimą asmens duomenų saugumo pažeidimą, arba NKSC duomenų apsaugos pareigūnas informuoja apie tai NKSC Kibernetinio saugumo valdymo departamento Incidentų valdymo skyriaus vedėją (toliau – atsakingas asmuo). Atsakingas asmuo paveda darbuotojui, atsakingam už kibernetinio incidento tyrimą, ištirti galimą pažeidimą. Pažeidimui tirti gali būti pasitelkiami kiti NKSC darbuotojai pagal kompetenciją.

45. Jei galimas asmens duomenų saugumo pažeidimas nėra susijęs su kibernetiniu incidentu, tokį asmens duomenų saugumo pažeidimą tiria kitas NKSC direktoriaus paskirtas darbuotojas (ar darbuotojų grupė). Pažeidimui tirti gali būti pasitelkiami ir kiti NKSC darbuotojai.

46. Jei galimas asmens duomenų saugumo pažeidimas yra susijęs su KAM valdomais asmens duomenimis, atliekami veiksmai, numatyti KAM Asmens duomenų pažeidimo apraše.

47. Jei galimas asmens duomenų saugumo pažeidimas yra susijęs su kitų duomenų valdytojų (ne NKSC ar KAM) valdomais, tačiau NKSC tvarkomais asmens duomenimis, atliekami veiksmai, numatyti NKSC su kitais duomenų valdytojais sudarytuose duomenų tvarkymo susitarimuose ir šiose Taisyklėse.

48. Darbuotojas, paskirtas tirti asmens duomenų saugumo pažeidimą (ar darbuotojų grupė), privalo:

48.1. įvertinęs, kad asmens duomenų saugumo pažeidimas nepadarytas, apie tai informuoti NKSC duomenų apsaugos pareigūną ir NKSC direktorių;

48.2. įvertinęs, kad asmens duomenų saugumo pažeidimas yra padarytas:

48.2.1. skubiai imtis priemonių galimam asmens duomenų saugumo pažeidimui pašalinti ir priemonių galimoms neigiamoms jo pasekmėms sumažinti ar pašalinti;

48.2.2. nedelsiant, bet ne vėliau kaip per 24 valandas nuo pranešimo apie asmens duomenų saugumo pažeidimą gavimo dienos, jį ištirti (išskyrus, kai yra objektyvios priežastys, dėl kurių negalima ištirti nurodytu terminu) ir tyrimo rezultatus įforminti surašant Taisyklių 54 punkte nurodytą ataskaitą.

49. Asmens duomenų saugumo pažeidimo tyrimo metu NKSC duomenų apsaugos pareigūnas, bendradarbiaudamas su darbuotoju, paskirtu tirti asmens duomenų saugumo pažeidimą (ar darbuotojų grupe):

49.1. nustato, kokio tipo pažeidimas padarytas;

49.2. nustato asmens duomenų, kurių saugumas pažeistas, kategorijas, įskaitant specialių kategorijų asmens duomenis;

49.3. nustato asmens duomenų pažeidimo priežastis, lėmusias asmens duomenų saugumo pažeidimą;

49.4. nustato asmens duomenų pažeidimo apimtis (duomenų subjektų, su kurių asmens duomenimis susijęs pažeidimas kategorijosir jų skaičius);

49.5. nustato ir įvertina esamas ir (ar) galimas pasekmes ir žalą, padarytą duomenų subjektui (subjektams);

49.6. Taisyklių 50-51 punktuose nustatyta tvarka įvertina pavojų duomenų subjektų teisėms ir laisvėms, kuris gali atsirasti dėl pažeidimo;

49.7. pasitelkia kitų NKSC darbuotojų (informacinių technologijų specialistų ir pan.) pagalbą, jei yra būtina;

49.8. nustato, kokių skubių ir tinkamų priemonių būtina imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas (pvz., naudoti atsargines kopijas, siekiant atkurti prarastus ar sugadintus duomenis ar kt.);

49.9. įvertina, ar būtina nedelsiant pranešti duomenų subjektui ir VDAI apie asmens duomenų saugumo pažeidimą ir rūpinasi, kad būtų per 72 val. nuo paaiškėjmo apie pažeidimą pranešta VDAI (jei reikalinga pranešti). Kai neįmanoma pranešti laiku dėl svarbių priežasčių, pranešime suformuluoja jo pateikimo vėlavimo priežastis.

50. Pavojus duomenų subjekto teisėms ir laisvėms vertinamas objektyviai, įvertinus konkrečias pažeidimo aplinkybes, įskaitant pavojaus tikimybę ir rimtumą, atsižvelgiant į:

50.1. asmens duomenų saugumo pažeidimo tipą (Taisyklių 41.1 – 41.3 punktai);

50.2. asmens duomenų kategorijas (pvz., specialių kategorijų asmens duomenys), pobūdį, asmens duomenų, kurių saugumas pažeistas, kiekį;

50.3. galimybę lengvai nustatyti asmens tapatybę, pasinaudojant asmens duomenimis, kurie yra pažeidimo objektas;

50.4. pasekmių rimtumą duomenų subjektui;

50.5. su duomenų subjektu susijusius ypatumus;

50.6. asmenų, kuriems pažeidimas daro poveikį, skaičių.

51. Vertinant pavojų duomenų subjekto teisėms ir laisvėms turi būti laikoma, kad asmens duomenų saugumo pažeidimas, galintis kelti pavojų duomenų subjektų teisėms ir laisvėms, yra toks, dėl kurio laiku nesiėmus tinkamų priemonių kyla grėsmė duomenų subjektų sveikatai ir (ar) gyvybei, grėsmė patirti materialinę ar nematerialinę žalą, pvz., prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala. Pažeidimas kelia pavojų duomenų subjekto teisėms ir laisvėms, kai pažeidimas yra susijęs su specialių kategorijų asmens duomenimis.

52. Įvertinuspavojų duomenų subjekto teisėms ir laisvėms nustatoma, kad:

52.1. pavojaus duomenų subjekto teisėms ir laisvėms nėra (žema rizikos tikimybė): asmuo gali susidurti su nepatogumais (sugaištas laikas iš naujo suvedant informaciją, nepasitenkinimas ir pan.);

52.2. dėl asmens duomenų saugumo pažeidimo yra arba gali kilti nedidelis pavojus duomenų subjektų teisėms ir laisvėms (vidutinė rizikos tikimybė): asmuo gali patirti didelių nepatogumų, kuriuos jis galės įveikti nepaisant tam tikrų sunkumų (papildomos išlaidos, prieigos prie reikalingų resursų praradimas, nedideli fiziniai negalavimai ir pan.);

52.3. dėl asmens duomenų saugumo pažeidimo yra arba gali kilti didelis pavojusduomenų subjektų teisėms ir laisvėms (didelė rizikos tikimybė): asmuo gali patirti reikšmingas pasekmes ir norint jas ištaisyti/pašalinti reikės susidurti su rimtais sunkumais (lėšų praradimas, finansinių institucijų įtraukimas į juodąjį sąrašą, turto nuostoliai (žala), darbo vietos praradimas, teisminiai procesai, sveikatos būklės pablogėjimas ir pan.). Labai didelis pavojus fizinių asmenų teisėms ir laisvėms, kai asmuo gali turėti labai dideles ar net negrįžtamas pasekmes, kurių negalės ištaisyti/pašalinti (pvz., negalėjimas dirbti, ilgalaikiai negalavimai, mirtis ir pan.).

53. Kai dėl asmens duomenų saugumo pažeidimo kyla arba gali kilti pavojus fizinių asmenų teisėms ir laisvėms, nedelsiant, ir, jei įmanoma, praėjus ne daugiau kaip 72 val. nuo tada, kai NKSC  sužino apie asmens duomenų saugumo pažeidimą, apie tai pranešama VDAI teikiant informaciją VDAI direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82 (1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“ patvirtinta forma. Formą užpildo NKSC duomenų apsaugos pareigūnas, kuris konsultuojasi su asmeniu, paskirtu tirti asmens duomenų saugumo pažeidimą (ar darbuotojų grupe).

VDAI apie asmens duomenų saugumo pažeidimą nėra informuojama tais atvejais, kai buvo pažeisti asmens duomenys, NKSC tvarkomi vadovaujantis Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu.

54. Darbuotojas, kuriam paskirta atlikti tyrimą (ar darbuotojų grupė), Taisyklių nustatyta tvarka atlikęs asmens duomenų saugumo pažeidimo tyrimą, bendradarbiaudamas su NKSC duomenų apsaugos pareigūnu,nedelsiant surašo Asmens duomenų saugumo pažeidimo ataskaitą, ją pasirašo ir pateikia registruoti (pildoma KAM Asmens duomenų pažeidimų aprašo 2 priede nustatyta forma).

55. Pasirašyta ir užregistruota darbuotojo, paskirto tirti asmens duomenų saugumo pažeidimus, Asmens duomenų saugumo pažeidimo ataskaita per dokumentų valdymo sistemą DokVIS pateikiama tvirtinti NKSC direktoriui.

56. Prireikus, NKSC direktorius, atsižvelgdamas į Asmens duomenų saugumo pažeidimo ataskaitą, tvirtina priemonių planą, kuriame numatomas būtinų techninių, organizacinių, administracinių ir kitų priemonių poreikis dėl asmens duomenų saugumo pažeidimo šalinimo, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus. Priemonių planą parengia NKSC duomenų apsaugos pareigūnas ir darbuotojas, paskirtas tirti asmens duomenų saugumo pažeidimą.

57. Kai įtariama, kad asmens duomenų saugumo pažeidimas turi nusikalstamos veikos požymių, NKSC duomenų apsaugos pareigūnas inicijuoja informacijos apie galimai padarytą nusikalstamą veiką pateikimą atitinkamoms valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą.

58. Kai padarytas asmens duomenų saugumo pažeidimas yra susijęs su Kibernetinio saugumo informaciniame tinkle (KSIT) ar Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemoje (ARSIS) įvykusiu kibernetiniu incidentu, kibernetinio incidento valdymui, užkardymui atliekami veiksmai, numatyti šių sistemų saugos dokumentuose ir kituose teisės aktuose, reglamentuojančiuose kibernetinių incidentų valdymą.

59. Kai dėl asmens duomenų saugumo pažeidimo kyla arba gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, NKSC duomenų apsaugos pareigūnas, kartu su darbuotoju, paskirtu tirti asmens duomenų saugumo pažeidimą (ar darbuotojų grupė), nedelsdami ir, jeigu įmanoma, praėjus ne daugiau kaip 72 valandoms nuo asmens duomenų saugumo pažeidimo nustatymo, apie tai parengia pranešimą duomenų subjektui ir užtikrina, kad duomenų subjektas būtų apie asmens duomenų saugumo pažeidimą informuotas tiesiogiai (pvz., siunčiant jiems pranešimą elektroniniu paštu ar kitu efektyviu būdu, kad būtų maksimaliai užtikrinta galimybė tinkamai pranešti informaciją visiems nukentėjusiems asmenims). Jei duomenų subjektui reikia pranešti atskiru raštu, NKSC duomenų apsaugos pareigūnas parengia rašto projektą ir suderinęs jį su darbuotoju, paskirtu tirti asmens duomenų saugumo pažeidimą, teikia pasirašyti NKSC direktoriui.

60. Pranešime duomenų subjektui turėtų būti pateikiama ši informacija:

60.1. asmens duomenų saugumo pažeidimo pobūdžio aprašymas;

60.2. duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas, pavardė ir kontaktiniai duomenys (telefonas, adresas ir (arba) el. pašto adresas);

60.3. tikėtinų asmens duomenų saugumo pažeidimo pasekmių (padarinių) aprašymas;

60.4. priemonių, kurių ėmėsi arba pasiūlė imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas, įskaitant (kai tinkama) priemones galimoms neigiamoms jo pasekmėms sumažinti, aprašymas (pvz., kad apie pažeidimą yra informuota VDAI ir kad gautas patarimas dėl pažeidimo tvarkymo ir jo poveikio sumažinimo; siūlymas duomenų subjektui pasikeisti slaptažodžius ir kt.);

60.5. kita reikšmingainformacija, susijusi su asmens duomenų saugumo pažeidimu, kuri turėtų būti pateikta duomenų subjektui.

61. Visi asmens duomenų saugumo pažeidimai, nepriklausomai nuo to, ar apie juos buvo pranešta VDAI, ar nepranešta, turi būti fiksuojami (įrašomi) Asmens duomenų saugumo pažeidimų apskaitos žurnale (pildoma KAM Asmens duomenų saugumo pažeidimų aprašo 3 priede numatyta forma). Asmens duomenų saugumo pažeidimai, įvykę tvarkant asmens duomenis nacionalinio saugumo ir gynybos tikslais (ar užtikrinant nacionalinį saugumą ir gynybą), gali būti registruojami atskirame, šių pažeidimų registracijai skirtame žurnale. Asmens duomenų saugumo pažeidimų žurnalą (-us) pildo NKSC duomenų apsaugos pareigūnas.

62. Asmens duomenų saugumo pažeidimų apskaitos žurnale nurodoma:

62.1. visi su asmens duomenų saugumo pažeidimu susiję faktai: pažeidimo priežastis, kas įvyko ir kokie asmens duomenys pažeisti;

62.2. asmens duomenų saugumo pažeidimo pasekmės ir pavojus fizinių asmenų teisėms ir laisvėms;

62.3. taisomieji veiksmai (techninės priemonės), kurių buvo imtasi;

62.4. su asmens duomenų saugumo pažeidimu susijusių sprendimų priėmimo motyvai (pvz., kodėl nuspręsta nepranešti apie pažeidimą VDAI ir (arba) duomenų subjektui, t. y. kodėl nuspręsta, kad tikėtina, jog pažeidimas negali sukelti pavojaus fizinių asmenų teisėms ir laisvėms ir kt.);

62.5. pranešimo VDAI pateikimo vėlavimo priežastys, jeigu pranešimą vėluojama pateikti ar pranešimas teikiamas etapais (tuo atveju, jei reikia pranešti);

62.6. informacija, susijusi su pranešimu duomenų subjektui (pvz., ar buvo pranešta, kodėl nepranešta);

62.7. kita reikšminga informacija, susijusi su asmens duomenų saugumo pažeidimu (pvz., kad tyrimo metu nustatyta, jog faktiškai pažeidimo nebuvo, o buvo tik saugumo incidentas).

63. Asmens duomenų saugumo pažeidimų apskaitos žurnalas tvarkomas elektronine forma ir saugomas Lietuvos vyriausiojo archyvaro nustatyta tvarka NKSC dokumentacijos plane nurodytais terminais.

VIII SKYRIUS

POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS

 64. Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, naudojant naujas technologijas, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus žmogaus teisėms ir laisvėms gali kilti didelis pavojus, duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą.  Nustatant, ar duomenų tvarkymo operacijos gali sukelti didelį pavojų žmogaus teisėms ir laisvėms, atsižvelgiama į 29 straipsnio duomenų apsaugos darbo grupės 2017 m. balandžio 4 d. ,,Poveikio duomenų apsaugai vertinimo (PDAV) gaires, kuriomis Reglamento 2016/679 taikymo tikslais nurodoma, kaip nustatyti, ar duomenų tvarkymo operacijos gali sukelti didelį pavojų“ (toliau – 29 darbo grupės PDAV gairės). Panašius didelius pavojus keliančių duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną vertinimą.

65. Poveikio duomenų apsaugai vertinimas gali būti neatliekamas:

65.1. jei panašaus duomenų tvarkymo poveikio duomenų apsaugai vertinimas dėl duomenų valdytojo tvarkomų duomenų jau yra atliktas (toks sprendimas priimamas tik prieš tai pasikonsultavus su duomenų apsaugos pareigūnu);

65.2. kai taikoma Reglamento 35 straipsnio 10 dalyje nurodyta išimtis.

66. Atliekant poveikio duomenų apsaugai vertinimą vadovaujamasi atitinkamai Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo 25 straipsniu arba BDAR 35 straipsniu ir Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašu, patvirtintu Valstybinės duomenų apsaugos inspekcijos direktoriaus 2019 m. kovo 14 d. įsakymu Nr. 1T-35 (1.12.E) ,,Dėl Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašo patvirtinimo“, atsižvelgiama į 29 darbo grupės PDAV gaires.

 67. Poveikio duomenų apsaugai vertinimas atliekamas pagal šiuos kriterijus:

 67.1. numatytų duomenų tvarkymo operacijų aprašymas (aprėptis, duomenų tvarkymo tikslai, įskaitant, kai  taikoma, NKSC teisėtus interesus, renkami asmens duomenys, duomenų gavėjų tapatybė, saugojimo laikotarpis);

 67.2. duomenų tvarkymo operacijų reikalingumo ir proporcingumo, palyginti su tikslais, vertinimas;

67.3. duomenų subjektų teisėms ir laisvėms kylančių pavojų vertinimas;

67.4. pavojams pašalinti numatytos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi BDAR, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus.

 68. Atlikęs poveikio asmens domenų apsaugai vertinimą ir nustatęs, kad tvarkant duomenis gali kilti didelis pavojus, NKSC vykdo išankstines konsultacijas su VDAI. Išankstinės konsultacijos vykdomos vadovaujantis BDAR 36 straipsniu. Kai asmens duomenys tvarkomi nacionalinio saugumo ir gynybos tikslais, išankstinės konsultacijos nevykdomos.

                                                                                                                                                                                                                                                                                                      IX  skyrius

KONSULTAVIMASIS IR BENDRADARBIAVIMAS SU NKSC DUOMENŲ APSAUGOS PAREIGŪNU

69. NKSC darbuotojai, tvarkantys asmens duomenis ar organizuojantys jų tvarkymą, siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam duomenų tvarkymui, privalo konsultuotis su NKSC duomenų apsaugos pareigūnu, o kai klausimas susijęs su asmens duomenų, kurių valdytoja yra KAM, tvarkymu – taip pat ir su KAM duomenų apsaugos pareigūnu šiais klausimais:

  • nagrinėjant duomenų subjektų prašymus dėl jų teisių įgyvendinimo pagal Taisykles ir teikiant informaciją duomenų subjektams;
  • tiriant duomenų saugumo pažeidimus;
  • rengiant administracinio teisės akto projektą, jei jis susijęs su asmens duomenų tvarkymu ir (ar) apsauga;
  • rengiant informaciją apie duomenų tvarkymo veiklos įrašų pildymą, pakeitimą ar atnaujinimą;
  • sudarant, keičiant duomenų perdavimo (teikimo) sutartis, pagal kurias perduodami (teikiami) ir (ar) gaunami asmens duomenys, ar teikiant asmens duomenis pagal prašymą;
  • atliekant poveikio duomenų apsaugai vertinimą;
  • keičiant esamus ar nustatant naujus asmens duomenų tvarkymo procesus;
  • priimant sprendimus dėl asmens duomenų apsaugos priemonių, įskaitant technines ir organizacines priemones, taikymo;
  • rengiant viešųjų pirkimų, kuriuos vykdant numatoma įsigyti asmens duomenų tvarkymo ir apsaugos priemonių (įskaitant technines ir organizacines), dokumentus;
  • NKSC duomenų apsaugos pareigūnas bendradarbiauja su KAS institucijų duomenų apsaugos pareigūnais.

X SKYRIUS

BAIGIAMOSIOS NUOSTATOS

70.Esant poreikiui NKSC, kaip duomenų valdytojas, gali sudaryti susitarimus dėl asmens duomenų saugos su kitomis įmonėmis ir organizacijomis, teikiančiomis paslaugas NKSC, įskaitant duomenų tvarkytojo. Susitarimai su tokiomis įmonėmis ar organizacijomis sudaromi vadovaujantis VDAI patvirtintomis Standartinėmis sutarčių sąlygomis asmens duomenų tvarkymo sutartyse, kurios parengtos įgyvendinant BDAR 28 straipsnio 8 dalies, 57 straipsnio 1 dalies j punkto ir 58 straipsnio 3 dalies g punkto reikalavimus. Susitarimai negali prieštarauti šioms Taisyklėms.71.NKSC duomenų apsaugos pareigūnas užtikrina, kad šios Taisyklės būtų periodiškai, bet ne rečiau kaip vieną kartą per metus, peržiūrimos ir, esant poreikiui, atnaujinamos, o taip pat vykdo Taisyklių įgyvendinimo stebėseną ir kontrolę - kaip laikomasi Taisyklėse įtvirtintų reikalavimų.

71.NKSC darbuotojas, netinkamai vykdęs Taisyklių, BDAR, kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą, reikalavimus, atsako įstatymų ir kitų teisės aktų nustatyta tvarka.

72.Visi darbuotojai pasirašytinai arba dokumentų valdymo sistemoje DokVIS supažindinami su šiomis Taisyklėmis, o naujai priimti į NKSC dirbti darbuotojai ir duomenų tvarkytojai su šiomis Taisyklėmis supažindinami iki jiems pradėjus atlikti bet kokius veiksmus su NKSC valdomais asmens duomenimis.

__________

English version: DESCRIPTION OF PROCEDURE FOR PROCESSING OF PERSONAL DATA OF THE NATIONAL CYBER SECURITY CENTRE UNDER THE MINISTRY OF NATIONAL DEFENCE

Atnaujinimo data: 2023-09-25