Duomenų subjekto teisių įgyvendinimo Vilniaus rajono priešgaisrinėje tarnyboje taisyklės
I skyrius
Bendrosios nuostatos
1. Duomenų subjekto teisių įgyvendinimo Vilniaus rajono savivaldybės priešgaisrinėje tarnyboje taisyklių (toliau – Taisyklės) tikslas – nustatyti duomenų subjektų teisių įgyvendinimo Vilniaus rajono savivaldybės priešgaisrinėje tarnyboje tvarką, siekiant įgyvendinti atskaitomybės principą.
2. Įgyvendinant duomenų subjekto teises vadovaujamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybo reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo , kuriuo panaikinama Direktyva 95/46/EB (toliau – Reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Duomenų subjekto teisių įgyvendinimo pavyzdinėmis taisyklėmis, patvirtintomis Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 9 d. įsakymu Nr. 1T-63(1.12.E).
3.Taisyklės parengtos vadovaujantis Reglamentu.
4.Taisyklėse vartojamos sąvokos:
4.1.Asmens duomenys (toliau – duomenys) – bet kokia informacija arba jos visuma apie fizinį asmenį, pagal kurią galima nustatyti fizinio asmens tapatybę. Tokia informacija gali būti vardas ir pavardė, asmens kodas, buvimo vietos duomenys, elektroninis paštas, fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės duomenys.
4.2.Darbuotojas – Vilniaus rajono savivaldybės priešgaisrinės tarnybos darbuotojas, dirbantis pagal darbo sutartį.
4.3.Duomenų apsaugos pareigūnas – Vilniaus rajono savivaldybės priešgaisrinės tarnybos specialistas duomenų apsaugai.
4.4.Duomenų subjektas – fizinis asmuo, kurio duomenis tvarko Vilniaus rajono savivaldybės priešgaisrinė tarnyba.
4.5.Kitos Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose, kurie reglamentuoja asmens duomenų apsaugą.
5. Duomenų subketas turi šias teises:
5.1.gauti informaciją apie savo asmens duomenų tvarkymą;
5.2.susipažinti su savo asmens duomenimis, kurie yra saugomi;
5.3.prašyti ištaisyti neteisingus, netikslius ar neišsamius asmens duomenis;
5.4.prašyti ištrinti (teisė „būti pamirštam”) asmens duomenis;
5.5.nesutikti, kad būtų tvarkomi bet kokie su konkrečiu atveju susiję asmens duomenys;
5.6.prašyti apriboti savo asmens duomenų tvarkymą;
5.7.gauti savo asmens duomenis skaitmeniniu formatu ir persiųsti juos kitam duomenų valdytojui („duomenų perkeliamumas”).
6.Automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiami sprendimai, kurie yra susiję su asmeniu arba turi asmeniui reikšmingos įtakos ir yra pagrįsti asmens duomenimis, Vilniaus rajono savivaldybės administracijoje nepriimami.
II skyrius
Teisė gauti informaciją apie duomenų tvarkymą
7.Asmens duomenys Vilniaus rajono savivaldybės priešgaisrinėje tarnyboje tvarkomi teisėtai ir tik esant teisėtam duomenų tvarkymo pagrindui ir vadovaujantis pagrindiniais duomenų tvarkymo principais.
8.Informacija apie Vilniaus rajono savivaldybės priešgaisrinėje tarnyboje atliekamą asmens duomenų tvarkymą duomenų subjektui pateikiama asmens duomenų gavimo metu. Pateikiama tokia bendra informacija apie asmens duomenų tvarkymą: duomenų valdytojo kontaktiniai duomenys; duomenų apsaugos pareigūno kontaktiniai duomenys; informacija apie duomenų tvarkymo tikslą ir duomenų tvarkymo teisinį pagrindą; asmens duomenų saugojimo laikotarpį; nurodoma, kad duomenų subjektas turi teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba duomenų subjekto teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į duomenų perkeliamumą; teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai.
9.Bendra informacija apie asmens duomenų tvarkymą pateikiama Vilniaus rajono savivaldybės priešgaisrinės tarnybos interneto svetainėje www.vilniausrajspt.lt .
10.Kai duomenų subjekto asmens duomenys renkami netiesiogiai iš duomenų subjekto, apie šio duomenų subjekto asmens duomenų tvarkymą informuojama:
10.1.per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;
10.2.jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subkjektu;
10.3.jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą. Ši nuostata netaikoma, kai asmens duomenys Vilniaus rajono savivaldybės priešgaisrinėje tarnyboje tvarkomi esant teisėtam pagrindui.
11.Tvarkant duomenų subjekto asmens duomenis, kurie buvo gauti ne iš duomenų subjekto tiesiogiai, duomenų subjektas neinformuojamas, kai toks duomenų tvarkymas yra būtinas Vilniaus rajono savivaldybės priešgaisrinės tarnybos darbuotojų funkcijoms vykdyti.
III skyrius
Prašymo įgyvendinti duomenų subjekto teises pateikimas
12.Kreiptis dėl duomenų subjekto teisių įgyvendinimo duomenų subjektas turi teisę žodžiu arba raštu, pateikiant prašymą asmeniškai, paštu ar elektroninėmis priemonėmis Vilniaus rajono savivaldybės priešgaisrinei tarnybai.
13.Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi žodžiu ar prašymas pateiktas raštu asmeniškai, duomenų subjektas turi patvirtinti savo tapatybę pateikdamas asmens tapatybę patvirtinantį dokumentą. To nepadarius, duomenų subjekto teisės nėra įgyvendinamos.
14.Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi raštu, pateikiant prašymą paštu, tuomet kartu su prašymu turi būti pateikta notaro patvirtinta asmens tapatybę patvirtinančio dokumento kopija. Teikiant prašymą elektroninėmis priemonėmis, prašymas turi būti pasirašytas kvalifikuotu elektroniniu parašu arba jis turi būti suformuotas elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą.
15.Prašymas įgyvendinti duomenų subjekto teises turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyti duomenų subjekto vardas, pavardė, adresas ir (ar) kiti kontaktiniai duomenys ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo.
16.Savo teises duomenų subjektas gali įgyvendinti pats arba per atstovą.
17.Asmens atstovas prašyme turi nurodyti savo vardą, pavardę, adresą ir (ar) kitus kontaktinius duomenis ryšiui palaikyti, kuriais asmens atstovas pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę, gimimo metus, adresą, bei pateikti atstovavimą patvirtinantį dokumentą ar jo kopiją.
18.Esant abejonių dėl duomenų subjekto tapatybės, duomenų valdytojas prašo papildomos informacijos, reikalingos ją įsitikinti.
19.Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis į Vilniaus rajono savivaldybės priešgaisrinės tarnybos specialistą duomenų apsaugai (toliau – duomenų apsaugos pareigūnas).
IV skyrius
Prašymo įgyvendinit duomenų subjekto teises nagrinėjimas
20.Duomenų subjektas turi teisę pateikti prašymą įgyvendinti vieną iš Taisyklių 5 punkte nurodytų teisių.
21.Vilniaus rajono savivaldybės priešgaisrinė tarnyba, gavusi duomenų subjekto prašymą, privalo ne vėliau kaip per 10 dienų nuo prašymo gavimo dienos, atlikti prašymo vertinimą, siekdama nustatyti, ar duomenų subjekto pateiktas prašymas yra pagrįstas.
22.Įvertinus gauto prašymo pagrįstumą, ne vėliau kaip per vieną mėnesį nuo prašymo gavimo dienos, duomenų subjektui pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Jeigu bus vėluojama pateikti informaciją, per nurodytą terminą duomenų subjektas informuojamas apie tai, nurodant vėlavimo priežastis ir apie galimybę pateikti skundą Valstybinei duomenų apsaugos inspekcijai. Prašymo nagrinėjimo laikotarpis gali būti pratęstas dar dviems mėnesiams, atsižvelgiant į prašymo sudėtingumą. Apie termino pratęsimą duomenų subjektas privalomai informuojamas, nurodant termino pratęsimo priežastis.
23.Jeigu prašymas pateiktas nesilaikant Taisyklių III skyriuje nustatytos tvarkos ir reikalavimų, jis nenagrinėjamas, ir nedelsiant, bet ne vėliau kaip per 10 dienų po to, kai buvo atliktas prašymo vertinimas, duomenų subjektas apie tai informuojamas nurodant priežastis.
24.Jeigu prašymo nagrinėjimo metu nustatoma, jog duomenų subjekto teisės yra apribotos Reglamento 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.
25.Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba.
26.Vilniaus rajono savivaldybės administracija turi teisę atsisakyti pateikti informaciją apie asmens duomenų tvarkymą arba pateikti ne visą duomenų subjekto prašomą informaciją, jeigu:
26.1.duomenų subjektas jau turi šią informaciją;
26.2.duomenų subjekto prašomos informacijos pateikimas neįmanomas arba tam reikėtų neproporcingai sąnaudų ir pastangų;
26.3.asmens duomenų gavimas ar atskleidimas aiškiai nustatytas Europos Sąjungos teisės aktuose arba Lietuvos Respublikos teisės aktuose, kuriuose nustatytos tinkamos teisėtų duomenų subjektų interesų apsaugos priemonės;
26.4.asmens duomenys privalo išlikti konfidencialūs, laikantis Europos Sąjungos teisės aktuose arba Lietuvos Respublikos teisės aktuose reglamentuojamos profesinės paslapties prievolės.
27.Vilniaus rajono savivaldybės priešgaisrinės tarnybos veiksmus ir neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai, L. Sapiegos g. 7, Vilnius, el. paštas ada@ada.lt , interneto svetainė www.vdai.lrv.lt
V skyrius
Asmens duomenų subjekto teisės
19. VRSPAT paskiria atsakingą asmenį (duomenų apsaugos pareigūną), kuris užtikrina, kad darbuotojų , kaip duomenų subjektų, teisės būtų užtikrintos, tinkamai įgyvendinamos ir visa informacija būtų saugoma, pateikiama tinkamai, laiku ir darbuotojams priimtina forma.
20. VRSPAT darbuotojai, kaip duomenų subjektai, turi šias teises, įtvirtintas Asmens duomenų teisinės apsaugos įstatyme (ADTAĮ):
20.1.žinoti (būti informuotas) apie savo asmens duomenų tvarkymą. Darbdavys, rinkdamas darbuotojo asmens duomenis, privalo informuoti darbuotoją, kokius asmens duomenis darbuotojas turi pateikti, kokiu tikslu atitinkamai duomenys yra renkami, kam ir kokiu tikslu jie gali būti teikiami ir kokios asmens duomenų nepateikimo pasekmės.
20.2.susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi. Darbuotojas turi teisę kreiptis į direktoriaus pavaduotoją ir administratorių su prašymu pateikti informaciją apie tai, kokie ir kokiu tikslu jo asmens duomenys yra tvarkomi. Vieną kartą per metus darbuotojui ši informacija pateikiama nemokamai. Jeigu darbuotojas kreipiasi daugiau nei vieną kartą per metu dėl tokios informacijos pateikimo, mokestis už šios informacijos patiekimą negali viršyti tokios informacijos pateikimo sąnaudų.
20.3.reikalauti ištaisyti pastebėtas klaidas, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant ADTAĮ ir kitų įstatymų nuostatų;
a. nesutikti, kad būtų tvarkomi jo asmens duomenys. Darbuotojas turi teisę nesutikti, kad būtų tvarkomi tam tikri neprivalomi jo asmens duomenys. Toks nesutikimas gali būti išreikštas įdarbinimo metu neužpildant tam tikrų darbuotojų anketos ar kitų papildomų dokumentų skilčių arba pateikiant pranešimą apie nesutikimą dėl asmens duomenų darbdaviui asmeniškai, paštu ar elektroninių ryšių priemonėmis. Jeigu duomenų subjekto nesutikimas yra teisiškai pagrįstas, VRSPAT privalo nedelsiant neatlygintinai nutraukti asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus, ir informuoti duomenų gavėjus apie tvarkymą ir darbuotoją.
b.tvarkos aprašo 16 punkte nustatyta VRSPAT darbuotojų teisė įgyvendinama, informacija apie jų duomenų tvarkymą (kas yra duomenų valdytojas, kokiu tikslu, kokiu būdu ir kurie asmens duomenys; kokius savo asmens duomenis duomenų subjektas privalo pateikti ir kokios yra duomenų nepateikimo pasekmės, apie duomenų subjekto teisę susipažinti su savo asmens duomenimis ir teisę reikalauti ištaisyti neteisingus, neišsamius, netikslius savo asmens duomenis), kiek jos reikia, kad būtų užtikrintas teisingas asmens duomenų tvarkymas nepažeidžiant darbuotojų teisių, pateikiama tokia forma, kokia kreipėsi į darbdavį.
c. VRSPAT darbuotojai, siekdami įgyvendinti 17.1-17.4 papunkčiuose nurodytas teises, privalo privalo Darbdaviui pateikti rašytinį prašymą (Toliau-Prašymas).
VI skyrius
Asmens duomenų saugumo užtikrinimo priemonės
21. Prieigos teisės prie asmens duomenų ir įgaliojimai tvarkyti asmens duomenis suteikiami, naikinami ir keičiami VRSPAT direktoriaus įsakymu.
22.VRSPAT, saugodama asmens duomenis, įgyvendina ir užtikrina tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.
23.VRSPAT užtikrina tinkamą dokumentų bei duomenų rinkmenų saugojimą, imasi priemonių, kad būtų užkirstas kelias atsitiktiniam ar neteisėtam aasmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui. Dokumentų kopijos, kuriose nurodomi darbuotojų asmens duomenys, turi būti sunaikintos taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio.
24. Su darbuotojų asmens duomenimis iš VRSPAT turi teisę susipažinti tik tie asmenys, kurie buvo įgalioti susipažinti su tokiais duomenimis, ir tik tuomet, kai tai yra būtina šiame Tvarkos apraše numatytiems tikslams pasiekti.
25. VRSPAT užtikrina patalpų, kuriose laikomi asmens duomenys, saugumą, tinkamą techninės įrangos išdėstymą ir peržiūrą, priešgaisrinės saugos taisyklių laikymąsi, informacinių sistemų priežiūrą bei kitų techninių priemonių, būtinų asmens duomenų apsaugai užtikrinti, įgyvendinimą.
26.VRSPAT imasi priemonių, kad būtų užkirstas kelias atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugodama jai patikėtus dokumentus bei duomenų rinkmenas tinkamai ir saugiai.
27.Jei darbuotojas ar kitas atsakingas asmuo abejoja įdiegtų saugumo priemonių patikimumu, jis turi kreiptis į VRSPAT vadovą, kad būtų įvertintos turimos saugumo priemonės ir, jei reikia, inicijuotas papildomų priemonių įsigijimas ir įdiegimas.
28.Darbuotojai ar kiti atsakingi asmenys, kurie automatiniu būdu tvarko (jei tvarko) asmens duomenis arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis, kuriose yra saugomi asmens duomenys, naudoja pagal atitinkamas taisykles sukurtus slaptažodžius. Slaptažodžiai yra keičiami priodiškai, ne rečiau kaip kartą per tris mėnesius, taip pat susidarius tam tikroms aplinkybėms (pvz.: pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims, ir pan.).
29.Darbuotojo, dirbančio konkrečiu kompiuteriu, slaptažodį gali žinoti tik tas darbuotojas.
30.Ne rečiau kaip kartą per mėnesį paskirtas darbuotojas ar kitas atsakingas asmuo daro kompiuteriuose esančių asmenų duomenų kopijas.
31.Nustačius asmens duomenų saugumo pažeidimus, VRSPAT imasi neatidėliotinų priemonių užkertant kelią neteisėtam asmens duomenų tvarkymui.
VII skyrius
Baigiamosios nuostatos
32.Šis Tvarkos aprašas atnaujinamas (rengiamas naujas, keičiamas, papildomas) ne rečiau kaip kartą per metus arba pasikeitus teisės aktams, kurie reglamentuoja asmens duomenų tvarkymą.
33.Darbuotojai su šiuo Tvarkos aprašu, jo pakeitimais, papildymais supažindinami pasirašytinai arba naudojant informacines technologijas ir privalo laikytis jame nustatytų įsipareigojimų, o atlikdami savo darbo funkcijas vadovautis šiame Tvarkos apraše nustatytais principais.
34.Šio Tvarkos aprašo nesilaikymas, atsižvelgiant į pažeidimo sunkumą, gali būti laikomas darbo drausmės pažeidimu, už kurį darbuotojui gali būti taikoma atsakomybė, numatyta Lietuvos Respublikos darbo kodekse.