PATVIRTINTA
Viešosios įstaigos
Rytų Europos studijų centro direktoriaus
2020 m. liepos 15 d. įsakymu Nr. 179
I skyrius: Bendrosios nuostatos
- Asmens duomenų tvarkymo Rytų Europos studijų centre tvarkos aprašas (toliau – aprašas) nustato asmens duomenų tvarkymo ir apsaugos reikalavimus, asmens duomenų tvarkymo tikslus ir principus, duomenų subjektų teises ir jų įgyvendinimo tvarką, duomenų apsaugos technines ir organizacines priemones.
- Aprašas parengtas gerbiant asmenų teisę į privatų gyvenimą ir siekiant užtikrinti asmens duomenų apsaugą Centre, vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (toliau – reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu bei kitais teisės aktais.
- Aprašas taikomas ir yra privalomas duomenų valdytojui, Rytų Europos studijų centrui (toliau – Centras), ir visiems Centre dirbantiems asmenims, kurie tvarko asmens duomenis arba eidami savo pareigas juos sužinojo.
- Centre tvarkomi visų Centro esamų ir buvusių darbuotojų ir kitų asmenų, įstatymų nustatyta tvarka sutartinių ir kitų teisinių santykių pagrindu pateikusių informaciją, asmens duomenys.
- Centras yra visų Centro veiklos ir vidaus administravimo procesuose surinktų duomenų valdytojas, taip pat duomenų subjektų bei trečių šalių perduotų asmens duomenų tvarkytojas.
- Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos reglamente.
II skyrius: Asmens duomenų tvarkymo tikslai
Asmens duomenys Centre tvarkomi šiais tikslais:
- Vidaus administravimo (personalo, dokumentų valdymo, materialinių ir finansinių išteklių naudojimo) tikslu: vardas (vardai), pavardė (pavardės), asmens kodas, gimimo data, nuotrauka, parašas, asmens socialinio draudimo numeris, pilietybė, adresas, atsiskaitomosios sąskaitos numeris, tel. numeriai, el. pašto adresas, gyvenimo ir veiklos aprašymas, šeiminė padėtis, pareigos; duomenys apie priėmimą (perkėlimą) į pareigas, atleidimą iš pareigų; duomenys apie išsilavinimą ir kvalifikaciją; duomenys apie atostogas; duomenys apie atskirą darbo grafiką; duomenys apie darbo užmokestį, išeitines išmokas, kompensacijas, pašalpas; informacija apie dirbtą darbo laiką; informacija apie skatinimą ir nuobaudas, darbo pareigų pažeidimus; Lietuvos Respublikos piliečio paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, dokumentų registracijos data ir numeris; įgyto mokslo pažymėjimų numeriai, kiti asmens duomenys, kuriuos pateikia pats asmuo. Duomenys gaunami iš duomenų subjektų (darbuotojų), juridinių asmenų: VĮ Registrų centro, Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos, Valstybinės mokesčių inspekcijos.
- Prekių, darbų, paslaugų sutarčių su tiekėjais vykdymo tikslu: tiekėjo (fizinio asmens) vardas (vardai), pavardė (pavardės), asmens kodas, adresas, tel. numeris, el. pašto adresas, banko sąskaitos numeris ir kiti asmens duomenys, kuriuos pateikia pats asmuo. Duomenys gaunami iš duomenų subjekto.
- Viešųjų pirkimų procedūrų organizavimo ir vykdymo tikslu: tiekėjų (fizinių asmenų) vardas (vardai), pavardė (pavardės), asmens kodas, išsilavinimas, darbovietė, pareigos, adresas, tel. numeris, el. pašto adresas bei kiti asmens duomenys, kuriuos pateikia pats asmuo. Duomenys gaunami iš duomenų subjekto.
- Konferencijų ir kitų renginių organizavimo tikslu: duomenų subjekto vardas, pavardė, asmens kodas, gimimo data, tel. numeriai, atsiskaitomosios sąskaitos numeris (fiziniams asmenims-mokėtojams ir fiziniams asmenims-lėšų gavėjams), el. pašto adresas, darbovietė, atstovaujama organizacija ar institucija, pareigos, asmens tapatybei nustatyti naudojami tapatybės dokumentų duomenys. Duomenys gaunami iš duomenų subjekto.
- Kandidatų administravimo tikslu: duomenų subjekto vardas, pavardė, asmens kodas, gyvenimo aprašymas ir juose pateikti duomenys – nuotrauka, tel. numeriai, el. pašto adresas, esama ir buvusios darbovietės, gimimo data, studijų institucija, pareigos, mokslo laipsnis ir kiti kandidato savanoriškai pateikti asmeniniai duomenys. Duomenys gaunami iš duomenų subjekto.
III skyrius: Asmens duomenų tvarkymo principai
Centro darbuotojai, atlikdami savo funkcijas ir tvarkydami asmens duomenis, privalo laikytis asmens duomenų tvarkymo principų:
- asmens duomenys turi būti tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);
- asmens duomenys turi būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu;
- asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kokių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);
- asmens duomenys turi būti tikslūs ir prireikus atnaujinami;
- turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);
- asmens duomenys turi būti laikomi tokia forma, kad duomenų subjekto tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais jie yra tvarkomi;
- asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas);
- Asmens duomenų tvarkymą ir apsaugą pagal kompetenciją užtikrina kiekvienas Centro darbuotojas.
- Centras yra atsakingas už tai, kad būtų laikomasi aukščiau nurodytų principų (atskaitomybės principas).
IV skyrius: Asmens duomenų tvarkymas
- Duomenys Centre renkami teisės aktų nustatyta tvarka juos gaunant tiesiogiai iš duomenų subjekto, oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų ar sutarčių pagrindu. Kai kuriais atvejais asmens duomenys tvarkomi gaunant duomenų subjekto sutikimą.
- Renkant asmens duomenis iš duomenų subjekto privaloma suteikti šią informaciją (išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi):
- duomenų valdytojo adresas, telefonas, elektroninio pašto adresas;
- kokiais tikslais ketinama tvarkyti duomenų subjekto asmens duomenis;
- kokie duomenų subjekto asmens duomenys yra reikalingi;
- kokios yra asmens duomenų nepateikimo pasekmės;
- kam ir kokiais tikslais bus teikiami jo asmens duomenys;
- iš kokių šaltinių ir kokie duomenų subjekto asmens duomenys yra surinkti ar ketinami rinkti (kai duomenys apie duomenų subjektą gauti netiesiogiai iš duomenų subjekto);
- apie duomenų subjekto teisę susipažinti su savo asmens duomenimis ir teisę reikalauti ištaisyti neteisingus, neišsamius, netikslius savo asmens duomenis.
- Asmens duomenys, kurie tvarkomi arba kuriuos ketinama tvarkyti juos perdavus į trečiąją valstybę arba tarptautinei organizacijai, perduodami tik tuo atveju, jeigu duomenų valdytojas ir duomenų tvarkytojas laikosi reglamento nuostatų.
- Darbuotojai, kuriems yra suteikta teisė tvarkyti asmens duomenis, laikosi konfidencialumo principo ir be teisėto pagrindo neatskleidžia bet kokios su asmens duomenimis susijusios informacijos, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti asmens duomenų paslaptį galioja taip pat ir perėjus dirbti į kitas pareigas ar pasibaigus darbo santykiams.
- Darbuotojai, kurie vykdydami savo tiesiogines pareigas tvarko asmens duomenis, prieš pradėdami vykdyti pareigas pasirašo Įsipareigojimą saugoti asmens duomenų paslaptį (priedas). Šie įsipareigojimai saugomi asmens bylose ir (arba) Centro dokumentų valdymo sistemoje.
- Asmens duomenų tvarkymo funkcijas vykdantys darbuotojai turi užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugodami dokumentus tinkamai ir saugiai bei vengiant nereikalingų kopijų darymo. Dokumentų kopijos, kuriose nurodomi asmens duomenys, turi būti sunaikinamos tokiu būdu, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio.
- Asmens duomenys, kurie yra atitinkamų dokumentų (sutartys, įsakymai, prašymai ir kt.) tekstuose, yra saugomi specialiai tam skirtose patalpose (rakinamose spintose, seifuose ar pan.). Dokumentai, kuriuose yra asmens duomenų, neturi būti laikomi taip, kad neturintys teisės asmenys nekliudomai galėtų su jais susipažinti.
- Asmens duomenys yra saugomi vadovaujantis Lietuvos Respublikos dokumentų ir archyvų įstatymu ir Bendrųjų dokumentų saugojimo terminų rodyklėje, patvirtintoje Lietuvos vyriausiojo archyvaro įsakymu, nurodytais terminais. Kiti asmens duomenys yra saugomi ne ilgiau nei tai yra reikalinga numatytiems tikslams pasiekti.
V skyrius: Duomenų subjektų teisės ir jų įgyvendinimo tvarka
- Duomenų subjektas, kurio duomenys tvarkomi Centro veikloje, turi šias teises:
- žinoti (būti informuotas) apie duomenų tvarkymą Centre (teisė žinoti);
- susipažinti su savo duomenimis ir kaip jie yra tvarkomi (teisė susipažinti);
- reikalauti ištaisyti arba, atsižvelgiant į asmens duomenų tvarkymo tikslus, papildyti neišsamius asmens duomenis (teisė ištaisyti);
- reikalauti ištrinti asmens duomenis (teisė būti pamirštam);
- reikalauti, kad asmens duomenų valdytojas apribotų asmens duomenų tvarkymą (teisė apriboti);
- prašyti duomenų valdytojo atlikti duomenų perkėlimo veiksmus (teisė perkelti).
- Duomenų subjektas, įgyvendindamas teisę susipažinti su Centre tvarkomais savo asmens duomenimis, turi teisę gauti informaciją apie:
- asmens duomenų tvarkymo tikslus;
- atitinkamas asmens duomenų kategorijas;
- duomenų gavėjus arba jų kategorijas;
- numatomą asmens duomenų saugojimo laikotarpį arba kriterijus, pagal kuriuos nustatomas asmens duomenų saugojimo laikotarpis, jei tai yra įmanoma;
- asmens duomenų šaltinius.
- Duomenų subjektas, siekdamas įgyvendinti savo teises, teikia Centro direktoriui adresuotą laisvos formos rašytinį prašymą ar skundą asmens duomenų tvarkymo klausimais. Prašymas turi būti įskaitomas, pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, adresas ir kiti kontaktiniai duomenys pageidaujamos formos ryšiui palaikyti, informacija apie tai, kokią iš duomenų subjekto teisių ir kokia apimtimi pageidaujama įgyvendinti.
- Gavus duomenų subjekto prašymą dėl asmens duomenų subjekto teisių įgyvendinimo, ne vėliau kaip per vieną mėnesį nuo prašymo gavimo dienos jam pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Reglamente numatytais atvejais atsakymo pateikimas gali būti atidėtas iki dviejų mėnesių informuojant apie tai duomenų subjektą.
- Jeigu prašymo nagrinėjimo metu nustatoma, kad duomenų subjekto teisės yra apribotos reglamento 23 straipsnio 1 dalyje numatytais pagrindais, apie tai informuojamas duomenų subjektas.
- Centras turi teisę atsisakyti pateikti duomenų subjektui jo prašomą informaciją, jeigu nustatoma, kad duomenų subjekto prašymas yra akivaizdžiai nepagrįstas. Atsisakyme pateikti prašomą informaciją privalo būti raštu nurodyta atsisakymo pateikti prašomos informacijos motyvai.
- Jeigu duomenų subjektas prašymą pateikia elektroninėmis ryšio priemonėmis, informacija duomenų subjektui taip pat pateikiama elektroninėmis priemonėmis, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip.
- Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo teikiama valstybine kalba. Duomenų subjektui Centro turima informacija nevalstybine kalba gali būti pateikta tuo atveju, kai informacija yra tvarkoma šia kalba.
- Visi veiksmai pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo atliekami ir informacija teikiama nemokamai.
- Duomenų subjektas turi teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai dėl Centro veiksmų (neveikimo).
- Duomenų subjektas turi teisę reikalauti atlyginti Centro jam padarytą turtinę ir neturtinę žalą dėl neteisėto asmens duomenų tvarkymo (neveikimo).
- Duomenų subjektas gali įgyvendinti savo teises tik suteikus Centrui galimybę patikrinti jo tapatybę.
- Centras turi užtikrinti, kad duomenų subjekto teisės būtų tinkamai įgyvendintos ir visa informacija duomenų subjektui būtų pateikiama aiškiai, suprantamai ir priimtina forma.
VI skyrius: Asmens duomenų saugumo užtikrinimo priemonės
- Asmens duomenys (dokumentai, kuriuose yra asmens duomenys, ar jų kopijos) saugomi tam skirtose patalpose, vietinio tinklo srityse, kompiuterių standžiuosiuose diskuose. Asmens duomenys (dokumentai, kuriuose yra asmens duomenys, ar jų kopijos) neturi būti laikomi visiems prieinamoje matomoje vietoje, kur neturintys teisės asmenys nekliudomai galėtų su jais susipažinti.
- Centras, saugodamas asmens duomenis, įgyvendina ir užtikrina tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.
- Jei darbuotojas ar kitas atsakingas asmuo abejoja įdiegtų saugumo priemonių patikimumu, jis turi kreiptis į Centro vadovą, kad būtų įvertintos turimos saugumo priemonės ir, jei reikia, inicijuotas papildomų priemonių įsigijimas ir įdiegimas.
- Darbuotojai, kurie automatiniu būdu tvarko asmens duomenis arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis, kuriose yra saugomi asmens duomenys, naudoja slaptažodžius (remiantis techniniais kibernetinio saugumo reikalavimais). Slaptažodžiai yra keičiami periodiškai arba nedelsiant, susidarius tam tikroms aplinkybėms (pvz. pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims).
- Darbuotojas yra atsakingas už naudojamų slaptažodžių apsaugą, Centrui suteikiant pakankamas technines ir (ar) programines apsaugos priemones. Visos Centro darbo vietos bei sistemos yra apsaugotos antivirusinėmis programomis.
- Darbuotojas neturi žinoti kitų Centro darbuotojų kompiuterizuotų darbo vietų vartotojų slaptažodžių. Esant neatidėliotinai priežasčiai prisijungti prie tokių darbuotojų kompiuterių (darbuotojo atostogos, nedarbingumas), tai atliekama su Centro įgaliotų darbuotojų žinia ir pagalba.
- Nustačius asmens duomenų saugumo pažeidimus, Centras imasi neatidėliotinų priemonių užkertant kelią neteisėtam asmens duomenų tvarkymui.
VII skyrius: Asmens duomenų saugumo pažeidimai
- Centro darbuotojai, turintys prieigos teisę prie duomenų, pastebėję duomenų saugumo pažeidimus (asmenų neveikimą ar veiksmus, galinčius sukelti ar sukeliančius grėsmę duomenų saugumui), turi informuoti Centro vadovą.
- Įvertinę duomenų apsaugos pažeidimo rizikos veiksnius, pažeidimo poveikio laipsnį, žalą ir padarinius, atsakingi darbuotojai priima sprendimus dėl priemonių, reikiamų duomenų apsaugos pažeidimui ir jo padariniams pašalinti.
- Apie duomenų saugumo pažeidimą, kuris gali kelti pavojų asmens teisėms ir laisvėms Centras turi pranešti Valstybinei duomenų apsaugos inspekcijai nepagrįstai nedelsdamas ir nuo to laiko, kai apie jį buvo sužinota, praėjus ne daugiau kaip 72 valandoms.
- Šio aprašo nesilaikymas atsižvelgiant į pažeidimo sunkumą laikomas darbo drausmės pažeidimu, už kurį darbuotojams gali būti taikoma atsakomybė, numatyta Lietuvos Respublikos darbo kodekse.
VIII skyrius: Baigiamosios nuostatos
- Šis aprašas peržiūrimas ir atnaujinamas pasikeitus teisės aktams, kurie reglamentuoja asmens duomenų tvarkymą.
- Darbuotojai privalo laikytis apraše nustatytų įpareigojimų bei atlikdami savo darbo funkcijas vadovautis šiame apraše nustatytais principais.
- Centras turi teisę iš dalies arba visiškai pakeisti šį aprašą. Su pakeitimais darbuotojai yra supažindinami pasirašytinai.