ASMENS DUOMENŲ APSAUGA

 

ASMENS DUOMENŲ POLITIKA VIEŠOJOJE ĮSTAIGOJE „SOCIALINĖS PARTNERYSTĖS CENTRAS“

I SKYRIUS

BENDROSIOS NUOSTATOS

  1. Asmens duomenų politika (toliau – Politika) viešojoje įstaigoje „Socialinės partnerystės centras“ (toliau – SPC) nustato SPC vykdomo asmens duomenų tvarkymo principus, reikalavimus asmenims, tvarkantiems asmens duomenis SPC, procedūras, skirtas asmens duomenų saugumui užtikrinti, vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų, reguliuojančių asmens duomenų apsaugą, reikalavimais.
  2. Politika privalo vadovautis SPC darbuotojai, dirbantys pagal darbo sutartis, taip pat asmenys, priimti atlikti praktiką ar dirbantys pagal savanoriškos veiklos sutartis (toliau kartu – darbuotojai), kurie, vykdydami pareigybės aprašyme nustatytas funkcijas ir (ar) gautus pavedimus (užduotis), tvarko asmens duomenis.
  3. Politikoje vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679 ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų apsaugą.
  4. Duomenų subjektų asmens duomenis tvarko duomenų valdytoja – Viešoji įstaiga „Socialinės partnerystės centras“, juridinio asmens kodas 193271922, buveinės adresas Kapsų 22-53, Vilnius.

II SKYRIUS

ASMENS DUOMENŲ TVARKYMO PRINCIPAI

  1. SPC tvarkant asmens duomenis laikomasi šių asmens duomenų tvarkymo principų:

5.1. asmens duomenys tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);

5.2. asmens duomenys renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi, jei toks tvarkymo būdas su jais nėra suderinamas; tolesnis duomenų tvarkymas archyvavimo tikslais dėl viešojo intereso, mokslinių ar istorinių tyrimų arba statistiniais sumetimais nelaikomas nesuderinamu su pirminiais tikslais (tikslo apribojimo principas);

5.3. asmens duomenys yra adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas). Tvarkomas mažiausias asmens duomenų kiekis, kuris būtinas ir pakankamas SPC nustatytiems asmens duomenų tvarkymo tikslams įgyvendinti;

5.4. asmens duomenys yra tikslūs ir prireikus atnaujinami (tikslumo principas). Imamasi visų pagrįstų priemonių, kad būtų užtikrinta, jog asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi;

5.5. asmens duomenys yra laikomi tokios formos, kad asmens tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina siekiant tikslų, dėl kurių šie asmens duomenys yra tvarkomi (saugojimo trukmės apribojimo principas); asmens duomenis galima saugoti ilgiau, jeigu jie tvarkomi tik archyvavimo tikslais dėl viešojo intereso, mokslinių ar istorinių tyrimų arba statistiniais sumetimais, įgyvendinus tam tikras technines ir organizacines priemones, reikalingas duomenų subjekto teisėms ir laisvėms apsaugoti. Turi būti nustatomas visų SPC tvarkomų asmens duomenų saugojimo terminas;

5.6. asmens duomenys yra tvarkomi tokiu būdu, kad taikant tam tikras technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba nuo neteisėto duomenų tvarkymo ir netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas). SPC naudojamoms technologijoms turi būti taikomi asmens duomenų apsaugai palankūs nustatymai. Tvarkydama asmens duomenis, SPC laikosi pritaikytosios duomenų apsaugos ir standartizuotos duomenų apsaugos reikalavimų, atsižvelgdama į technines galimybes, jų įgyvendino sąnaudas, asmens duomenų tvarkymo pobūdį, taip pat į asmens duomenų tvarkymo keliamą riziką.

  1. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi Reglamente (ES) 2016/679 ir Politikoje įtvirtintų principų, ir turi sugebėti įrodyti, kad jų yra laikomasi (atskaitomybės principas). Tvarkydama asmens duomenis, SPC įgyvendina asmens duomenų apsaugos teisinius reikalavimus, stebi, kaip jų laikomasi, ir kaupia duomenis atitikčiai Reglamento (ES) 2016/679 reikalavimams įrodyti. SPC fiksuoja asmens duomenų saugumo pažeidimus, asmens duomenų tvarkymo veiklos pokyčius ir kitus su asmens duomenų tvarkymu susijusius SPC atliekamus veiksmus.
  2. Asmens duomenys saugomi ne ilgiau, negu to reikia siekiant duomenų tvarkymo tikslų. Asmens duomenų saugojimo terminai nurodyti Politikoje ar kituose teisės aktuose, reguliuojančiuose dokumentų valdymą:

7.1. asmens duomenys, esantys SPC veiklos dokumentuose, saugomi dokumentacijos plane nustatytais terminais, atsižvelgiant į tai, kokiai bylai dokumentas priskirtas. Pasibaigus dokumentų, kuriame yra asmens duomenų, saugojimo terminams, priimamas sprendimas dėl jų sunaikinimo arba dėl dokumentų saugojimo termino pratęsimo. Priėmus sprendimą dokumentus sunaikinti, jie sunaikinami Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka, išskyrus, kai teisės aktų nustatytais atvejais dokumentai turi būti perduoti saugoti valstybės archyvams;

7.2. elektroninės informacijos (duomenų) atsarginės kopijos saugomos nustatyta tvarka ir terminais;

  1. Asmens duomenys, reikalingi teisiniams reikalavimams pareikšti, vykdyti arba apginti, saugomi tiek, kiek tai yra būtina remiantis teismine, administracine ar neteismine procedūromis, ir sunaikinami nedelsiant, kai tampa nereikalingi, arba perduodami atitinkamam archyvui.
  2. Asmens duomenys gali būti pateikti teismams ar kitoms teisėsaugos ir (ar) ginčų nagrinėjimo institucijoms šioms vykdant teisėtus įgaliojimus arba SPC iniciatyva, pareiškiant, vykdant ar siekiant apginti teisinius reikalavimus ar kitais asmens duomenų teikimą reguliuojančių teisės aktų nustatytais atvejais ir tvarka, taip pat užsienio valstybių kompetentingoms institucijoms ir (ar) įstaigoms laikantis galiojančių tarptautinių sutarčių, Reglamento (ES) 2016/679, asmens duomenų apsaugą reguliuojančių teisės aktų ir Politikos nuostatų. Teikiant asmens duomenis šiame punkte nustatytais atvejais, jie teikiami minimalios, konkrečiu atveju būtinos apimties.
  3. SPC savo tvarkomus asmens duomenis teikia valstybės registrų ir valstybės informacinių sistemų valdytojams ir (arba) tvarkytojams, valstybės ir savivaldybių institucijoms, įstaigoms, organizacijoms ir kitiems asmenims, kuriems teikti asmens duomenis SPC įpareigoja įstatymai ar kiti teisės aktai arba kuriems SPC teikia asmens duomenis, teisės aktų nustatyta tvarka vykdydama savo funkcijas, taip pat pagal duomenų gavėjų prašymus (vienkartinio teikimo atveju) arba pagal SPC ir duomenų gavėjų sudarytas asmens duomenų teikimo sutartis (daugkartinio teikimo atvejais). Sutartyje turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis. Prašyme turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis. Kai asmens duomenys tvarkomi automatiniu būdu ir taikomos tinkamos duomenų saugumą užtikrinančios priemonės, teikiant asmens duomenis pagal SPC ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį, prioritetas turi būti teikiamas automatiniam duomenų teikimui, o teikiant asmens duomenis pagal duomenų gavėjo prašymą, – duomenų teikimui elektroninėmis priemonėmis.
  4. Asmens duomenis duomenų gavėjams, įsteigtiems Europos ekonominės erdvės (toliau – EEE) valstybėse narėse, SPC gali teikti tik įsitikinusi, kad duomenų gavėjas užtikrina perduodamų asmens duomenų saugumą Reglamente (ES) 2016/679, asmens duomenų apsaugą reguliuojančiuose teisės aktuose ir Politikoje nustatytų reikalavimų laikymąsi asmens duomenų tvarkymo srityje. Asmens duomenys į trečiąsias valstybes už EEE ribų perduodami tik laikantis Reglamento (ES) 2016/679 44–49 straipsniuose ir Leidimų perduoti asmens duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms išdavimo tvarkos aprašo, patvirtinto Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 18 d. įsakymu Nr.  1T-68(1.12.E) „Dėl Leidimų perduoti asmens duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms išdavimo tvarkos aprašo patvirtinimo“, nustatytų sąlygų ir tvarkos.
  5. SPC, tvarkydama asmens duomenis, įgyvendina ir užtikrina organizacines ir technines priemones, skirtas asmens duomenims nuo netyčinio ar neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo apsaugoti.

III SKYRIUS

REIKALAVIMAI ASMENIMS, TVARKANTIEMS ASMENS DUOMENIS

  1. Prieiga prie asmens duomenų suteikiama tik tiems SPC darbuotojams, kuriems tokie duomenys yra reikalingi jų funkcijoms ir pavedimams (užduotims) atlikti (toliau – atsakingi darbuotojai).
  2. Su asmens duomenimis galima atlikti tik tuos veiksmus, kuriuos būtina atlikti SPC darbuotojui vykdant savo funkcijas ir gautus pavedimus (užduotis).
  3. Atsakingi darbuotojai privalo:

15.1. tvarkyti asmens duomenis vadovaudamiesi Reglamentu (ES) 2016/679, Asmens duomenų teisinės apsaugos įstatymu, Politikoje ir kitais teisės aktais, reguliuojančiais asmens duomenų apsaugą;

15.2. laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria susipažino vykdydami savo funkcijas, išskyrus viešą pagal galiojančių įstatymų ar kitų teisės aktų nuostatas informaciją. Pareiga saugoti asmens duomenų paslaptį galioja ir perėjus dirbti į kitas pareigas ar pasibaigus darbo santykiams SPC;

15.3. laikytis SPC nustatytų organizacinių ir techninių asmens duomenų saugumo reikalavimų, siekiant užkirsti kelią netyčiniam ar neteisėtam tvarkomų asmens duomenų sunaikinimui, praradimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugoti dokumentus, duomenų rinkmenas bei duomenų bazėse saugomus duomenis ir vengti perteklinių jų kopijų darymo;

15.4. neatskleisti, neperduoti asmens duomenų ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su jais asmeniui, kuris nėra įgaliotas tvarkyti asmens duomenų;

15.5. nedelsdami pranešti savo tiesioginiam vadovui apie bet kokią įtartiną situaciją, kuri kelia ar gali kelti grėsmę asmens duomenų saugumui.

  1. Darbuotojams draudžiama savavališkai tvarkyti asmens duomenis ir naudoti juos su vykdomomis funkcijomis nesusijusiems tikslams.
  2. SPC darbuotojas netenka teisės tvarkyti duomenų subjektų asmens duomenų, kai pasibaigia darbo santykiai su SPC arba kai, pasikeitus darbuotojo užimamoms pareigoms SPC, vykdant darbo funkcijas nėra tvarkomi atitinkami asmens duomenys. Atsakingo darbuotojo tiesioginis vadovas užtikrina, kad tokiais atvejais darbuotojas nebeturėtų prieigos prie šių asmens.

IV SKYRIUS

ASMENS DUOMENŲ TVARKYMAS DUOMENŲ SUBJEKTO SUTIKIMU

  1. Jeigu asmens duomenys tvarkomi duomenų subjekto sutikimu, SPC, prieš pradėdama tvarkyti duomenų subjekto asmens duomenis, turi gauti duomenų subjekto raštišką sutikimą. Jeigu asmens duomenis numatoma tvarkyti skirtingais tikslais, duomenų subjektui sudaroma galimybė pareikšti savo sutikimą dėl atskirų tikslų.
  2. Sutikimas bet kuriuo metu gali būti atšaukiamas.
  3. Darbuotojai, atsakingi už asmens duomenų tvarkymą, privalo užtikrinti, kad duomenų subjekto duotas ar atšauktas sutikimas būtų tinkamai įgyvendinamas.
  4. Asmens duomenys perduodami duomenų tvarkytojams ir duomenų gavėjams, kai teisę ir (ar) pareigą gauti asmens duomenis jiems suteikia teisės aktai, asmens duomenų tvarkymo sutartis ir (ar) gautas duomenų subjekto sutikimas.

V SKYRIUS

ASMENS DUOMENŲ TVARKYTOJAI

  1. Kai SPC įgalioja duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, raštu sudaroma SPC ir duomenų tvarkytojo asmens duomenų tvarkymo sutartis arba kitoks oficialus dokumentas, išskyrus atvejus, kai duomenų tvarkytojo atliekamą asmens duomenų tvarkymą reglamentuoja teisės aktai.
  2. Sprendimą perduoti duomenų subjekto duomenų tvarkymą asmens duomenų tvarkytojui priima SPC direktorius arba jo įgaliotas asmuo.
  3. SPC parenka duomenų tvarkytoją, kuris užtikrina, kad būtų įgyvendintos techninės ir organizacinės duomenų apsaugos priemonės ir užtikrintas tokių priemonių laikymasis.
  4. SPC, sutartimi įgaliodama duomenų tvarkytoją tvarkyti asmens duomenis, nurodo, kad asmens duomenys būtų tvarkomi atsižvelgiant į asmens duomenų tvarkymą reglamentuojančius teisės aktus, SPC nurodymus, taip pat nustato, kokius asmens duomenų tvarkymo veiksmus privalo atlikti duomenų tvarkytojas SPC vardu, kokie jo įsipareigojimai SPC, įskaitant įsipareigojimą laikytis Reglamento (ES) 2016/679 įtvirtintų reikalavimų. Sutartyje taip pat nurodoma duomenų tvarkymo trukmė, pobūdis, asmens duomenų rūšis, duomenų subjektų kategorijos, duomenų tvarkytojo pareiga ištrinti arba grąžinti SPC asmens duomenis, jų kopijas, baigus teikti paslaugas SPC.
  5. SPC, sudarydama sutartį su duomenų tvarkytoju, be kita ko, nurodo, kad duomenų tvarkytojas privalo užtikrinti SPC perduodamų tvarkyti duomenų konfidencialumą, o ketindamas tvarkymu pasitelkti trečiųjų asmenų (kitų duomenų tvarkytojų), privalo gauti išankstinį rašytinį SPC pritarimą bei užtikrinti, kad pasitelktas subtvarkytojas laikytųsi tų pačių reikalavimų, kurie nustatyti tvarkytojui.
  6. Bendradarbiavimo su duomenų tvarkytojais sutarčių rengimo, pasirašymo, pakeitimo, atnaujinimo ar nutraukimo procedūras inicijuoja ir jas vykdo atsakingas SPC darbuotojas.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

  1. SPC duomenų subjektų teises, įtvirtintas Reglamente (ES) 2016/679, įgyvendina vadovaudamasi Reglamentu (ES) 2016/679.
  2. Asmens duomenų saugumo pažeidimai SPC dokumentuojami, vertinami, apie juos pranešama vadovaujantis Reglamentu (ES) 2016/679.
  3. Susipažinimas su šios Politikos nuostatomis yra prilyginamas kiekvieno darbuotojo įsipareigojimui saugoti asmens duomenų paslaptį.
  4. Už šios Politikos nuostatų pažeidimą SPC darbuotojai atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.