LIETUVOS AGENTŪROS „SOS VAIKAI“ PANEVĖŽIO SKYRIAUS ASMENS DUOMENŲ APSAUGOS POLITIKA

BENDROSIOS NUOSTATOS

  1. Šios asmens duomenų apsaugos politikos (toliau – Politika) tikslai yra:

    1. nustatyti asmens duomenų rinkimo, naudojimo ir saugojimo Lietuvos agentūros „SOS vaikai“ Panevėžio skyriaus (toliau – Įstaiga) bendruosius principus ir taisykles;

    2. įgyvendinti Darbo kodekso reikalavimus priimti ir įprastais darbovietėje būdais paskelbti darbuotojų stebėsenos ir kontrolės darbo vietoje tvarką;

    3. įgyvendinti Bendrojo duomenų apsaugos reglamento įtvirtintus realios asmens duomenų apsaugos ir atskaitomybės principus;

    4. palengvinti tinkamą Bendrojo duomenų apsaugos reglamento, Asmens duomenų apsaugos įstatymo, Darbo kodekso, kitų Europos Sąjungos ir Lietuvos Respublikos teisės aktų asmens duomenų apsaugos srityje (toliau – ADA teisės aktai) reikalavimų įgyvendinimą;

    5. sukurti tarpusavio supratimą bei teisinį aiškumą tarp Įstaigos ir jos darbuotojų dėl veiksmų, kuriais Įstaiga siekia apsaugoti savo darbuotojų ir kitų asmenų asmens duomenis;

    6. padėti Įstaigos darbuotojams įgyvendinti ADA teisės aktų reikalavimus.

  2. Jei šioje Politikoje ir jos prieduose aiškiai nenurodyta kitaip, pirmąja didžiąja raide rašomos sąvokos turi reikšmes, nurodytas žemiau:

ADA teisės aktai - Visi galiojantys tarptautiniai, Europos Sąjungos ir Lietuvos Respublikos teisės aktai, administraciniai sprendimai, iš teismų praktikos kylantys reikalavimai, nustatantys taisykles ir/ar reikalavimus asmens duomenų tvarkymui, įskaitant bet neapsiribojant Bendruoju duomenų apsaugos reglamentu, Darbo kodeksu, Asmens duomenų teisinės apsaugos įstatymu, Elektroninių ryšių įstatymu.

Asmuo - Žmogus (fizinis asmuo), kurio asmens duomenys renkami, naudojami ir saugojami Įstaigoje ir kurio tapatybę galima nustatyti, įskaitant bet neapsiribojant Darbuotojais. ADA teisės aktuose apibrėžiamas kaip duomenų subjektas.

Duomenys - Bet kokia informacija, susijusi su Asmeniu, renkama, naudojama ar saugoma Įstaigoje.  ADA teisės aktuose apibrėžiama kaip asmens duomenys.

Asmens prašymas - Bet kuris iš žemiau nurodytų: 

  1. prašymas susipažinti su Duomenimis apie Asmenį;

  2. prašymas ištaisyti netikslius Asmens Duomenis;

  3. prašymas ištrinti Duomenis apie Asmenį;

  4. prašymas apriboti Duomenų apie Asmenį naudojimą ar trynimą;

  5. prašymas išeksportuoti Duomenis apie Asmenį;

  6. prieštaravimas dėl Duomenų apie Asmenį rinkimo, naudojimo ir saugojimo Įstaigoje, įskaitant rinkodarinių pranešimų siuntimą;

  7. prieštaravimas dėl bet kokio automatinio sprendimo priėmimo dėl Asmens ar Asmens profiliavimo Įstaigoje;

  8. bet kuris kitas prašymas ir (arba) skundas dėl bet kokio klausimo, susijusio su Duomenų apsauga Įstaigoje.

Asmenų prašymų valdymas - Procesas, kuriuo metu analizuojami, tiriami Įstaigoje gauti Asmens prašymai ir į juos atsakoma.

Įstaiga - Lietuvos agentūros „SOS vaikai“ Panevėžio skyrius atsakingas už Duomenų rinkimą, naudojimą ir saugojimą, ADA teisės aktų laikymąsi. ADA teisės aktuose apibrėžiama kaip duomenų valdytojas.

Darbuotojas - Bet kuris Įstaigos darbuotojas, praktikantas, savanoris arba komandiruotas į Įstaigą darbuotojas, turintis tiesioginę ar netiesioginę prieigą prie Duomenų.

Įgaliotas darbuotojas - Įstaigos skiriamas Darbuotojas padedantys Įstaigai užtikrinti teisinę atitiktį ADA teisės aktams, priimantis sprendimus ir konsultuojantis Darbuotojus duomenų apsaugos srityje.

Duomenų tvarkymas - Duomenų rinkimas, naudojimas, saugojimas, persiuntimas, naikinimas ar bet kuris kitas konkretus su Duomenimis atliekamas veiksmas.

IKT - Informacinės ir komunikacinės technologijos, kurias Įstaiga suteikia Darbuotojams arba kurias Darbuotojai naudoja siekdami atlikti savo pareigas Įstaigoje, įskaitant, bet neapsiribojant, kompiuteriais, planšetiniais kompiuteriais, išmaniaisiais telefonais, USB įrenginiais ar kitomis duomenų laikmenomis, nutolusiomis duomenų saugyklomis, interneto svetainėmis bei kita programine įranga.

Duomenų saugumo pažeidimas - Bet kuris iš toliau nurodytų įvykių:

  1. Įstaigos IKT, dokumentų ir (arba) kitų priemonių, kuriuose yra Duomenų praradimas, vagystė arba nesuplanuotas sunaikinimas;

  2. atsitiktinis ar tyčinis Duomenų siuntimas, įkėlimas ar dalinimasis su trečiaisiais asmenimis, neturinčiai teisės jų gauti;

  3. trečiųjų asmenų neteisėta prieiga prie Įstaigos IKT, dokumentų ir (ar) kitų priemonių, kuriose yra Duomenų;

  4. kenkėjiškos atakos prieš Įstaigos IKT ir (ar) kitas priemones, kuriose yra Duomenų;

  5. klaidos, susijusios su kuriamomis, naudojamomis ir konfigūruojamomis IKT ir (ar) kitomis priemonėmis, kurios gali kelti pavojų Duomenų saugumui;

  6. bet kokie kiti saugumo pažeidimai, lemiantys atsitiktinį ar neteisėtą Duomenų sunaikinimą, praradimą, nutekėjimą, pakeitimą, neleistiną atskleidimą arba prieigos prie Įstaigai perduodamų, saugojamų ar kitaip renkamų, naudojamų ar saugojamų Duomenų suteikimą.

Duomenų saugumo pažeidimo valdymas - Procesas, kurio metu Įstaigoje analizuojami, registruojami Duomenų saugumo pažeidimai ir, jei reikia, teikiami pranešimai Inspekcijai ar Asmenims, kurių Duomenys buvo paveikti.

Duomenų tvarkymo veiklos įrašai - Elektroninis dokumentas, išsamiai apibūdinantis Įstaigoje renkamus, naudojamus ir saugomus Duomenis.

EEE - Europos Ekonominė Erdvė (visos ES valstybės narės bei Islandija, Norvegija, Lichtenšteinas).

Inspekcija - Valstybinė duomenų apsaugos inspekcija.

Inspekcijos paklausimas - Bet kuris laiškas, pranešimas, užklausa ar kitas dokumentas, kurį pateikia Valstybinė duomenų apsaugos inspekcija, ir kuris yra adresuotas Įstaigai.

Inspekcijos paklausimų valdymas - Procesas, kurio metu nagrinėjami Inspekcijos paklausimai, renkama atsakymui reikalingai informacija ir Inspekcijai pateikiamas atsakymas.

Ypatingi duomenys - ADA teisės aktuose nurodyti duomenys, kurių tvarkymui keliami padidinti reikalavimai (pvz.: duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją, genetiniai, biometriniai identifikatoriai, duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas).

Paslaugų teikėjas - Konkretus paslaugos teikėjas ar kitas išorės juridinis ar fizinis asmuo, kuris turi prieigą prie Įstaigos Duomenų ir juos tvarko pagal Įstaigos nurodymus. ADA teisės aktuose apibrėžiamas kaip duomenų tvarkytojas.

Politika - Ši atitikties asmens duomenų apsaugos politika.

Tretieji asmenys - Visi fiziniai arba juridiniai asmenys, išskyrus Darbuotojus.

  1. Kitos šioje Politikoje neapibrėžtos sąvokos suprantamos taip, kaip jos apibrėžtos ADA teisės aktuose.

  2. Taisyklės taikomos visiems Įstaigos Darbuotojams. Darbuotojai su šia Politika yra supažindinami galiojančių Darbo tvarkos taisyklių nustatyta tvarka.

  1. DUOMENŲ TVARKYMO PRINCIPAI

    1. Įstaiga tvarkydama Duomenis vadovaujasi principais, kad asmens duomenys turi būti:

      1. tvarkomi teisėtai, sąžiningai ir skaidriai;

      2. renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu;

      3. adekvatūs, tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi;

      4. tikslūs ir prireikus atnaujinami;

      5. laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;

      6. tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas.

    2. Duomenys gali būti teisėtai tvarkomi Įstaigoje tik esant bent vienam iš šių pagrindų:

      1. Sutartis: Duomenys reikalingi siekiant sudaryti ar vykdyti rašytinę arba žodinę darbo, civilinę ar kitokią sutartį su Asmeniu, įskaitant bet neapsiribojant sutarties sąlygų vykdymą, teisės aktų atitinkamai sutarties rūšiai numatytų šalių teisių ir pareigų vykdymą ir iš sutarties esmės kylančių šalių įsipareigojimų vykdymą;

      2. Teisinė prievolė: Įstaiga teisės aktais yra įpareigota tvarkyti Duomenis mokesčių, darbo ir kitose srityse;

      3. Teisėtas interesas: Duomenys yra reikalingi ginčų nagrinėjimui, incidentų tyrimui, turto, žmonių ir IKT saugumo užtikrinimui, veiklos tęstinumui ar kitiems iš anksto nustatytiems Įstaigos interesams, jei Asmens interesai konkrečių aplinkybių kontekste nėra svarbesni.

      4. Sutikimas: Asmuo galėjo laisvai pasirinkti, ar duoti sutikimą dėl jo Duomenų tvarkymo, be jokių neigiamų pasekmių Asmeniui ir tokį sutikimą davė.

    3. Ypatingi duomenys gali būti teisėtai tvarkomi Įstaigoje:

      1. Darbuotojų ypatingi asmens duomenys, įskaitant sveikatos duomenis, – tik ta apimtimi, kiek yra būtina siekiant įgyvendinti teises ar pareigas darbo ir socialinės apsaugos teisės srityse arba pagal kolektyvines sutartis;

      2. Socialinių paslaugų gavėjų ypatingi asmens duomenys, įskaitant sveikatos duomenis – tik ta apimtimi, kiek yra būtina siekiant teikti saugias ir kokybiškas socialines paslaugas;

      3. Kitų asmenų ypatingi duomenys – tik ta apimtimi, kiek Asmuo galėjo laisvai pasirinkti, ar duoti sutikimą tvarkyti Ypatingus duomenis, be jokių neigiamų pasekmių Asmeniui bei davė tokį sutikimą raštu arba elektronine forma.

    4. Duomenys apie Asmenų teistumą gali būti tvarkomi tik, kai tai numato specialūs teisės aktai ir tik ta apimtimi, kiek tai reikalinga atitinkamų teisės aktų įgyvendinimui, pvz., prireikus tokių duomenų viešajame pirkime ar projekto konkurse, tačiau tokie duomenys turi būti (a) saugomi atskirai nuo kitų duomenų ir su jais nejungiami ir (b) sunaikinti pasibaigus viešojo pirkimo ar projekto konkurso procedūrai, jei specialūs teisės aktai nenumato specialios Įstaigos pareigos tam tikrą laiką saugoti tokius Duomenis.

  1. DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI

    1. Siekdama užtikrinti Duomenų tvarkymo teisėtumą, Įstaiga sudaro Duomenų tvarkymo veiklos įrašus, kuriuose nurodoma:

      1. Asmenų kategorijos;

      2. Duomenų kategorijos pagal kiekvieną Asmenų kategoriją;

      3. Duomenų tvarkymo tikslai ir teisinis pagrindas (Bendrojo duomenų apsaugos reglamento straipsnio nuorodą) pagal kiekvieną Duomenų kategoriją;

      4. Duomenų gavėjų kategorijos kiekvienai Asmenų kategorijai pagal Duomenų perdavimo tikslus bei teisinį pagrindą;

      5. Jei tokių yra, duomenų gavėjai, veikiantys ne EEE šalyse, ir jiems taikomos duomenų apsaugos užtikrinimo priemonės;

      6. Duomenų saugojimo terminai. 

    2. Darbuotojai supažindinami su Duomenų tvarkymo veiklos įrašais Darbo tvarkos taisyklių nustatyta tvarka.

  1. BENDROSIOS DARBUOTOJŲ PAREIGOS DUOMENŲ APSAUGOS SRITYJE

    1. Kiekvienas Darbuotojas privalo:

      1. tvarkydamas Duomenis, įsitikinti, kad yra laikomasi visų reikalavimų, numatytų Politikoje;

      2. tvarkyti Duomenis tik tam, kad atliktų savo darbo funkcijas, ir tik ta apimtimi, kiek tai reikalinga jų vykdymui;

      3. visais atvejais identifikuoti Duomenis, kurie yra tvarkomi Darbuotojo veikloje bei žinoti, kad veiklai, susijusiai su Duomenimis, yra taikomi šios Politikos, duomenų tvarkymo sutarčių ir ADA teisės aktų reikalavimai;

      4. visais atvejais įsitikinti, kad tvarkoma Duomenų kategorija yra įtraukta į Duomenų tvarkymo veiklos įrašus, o tvarkymo tikslas atitinka bent vieną iš Duomenų tvarkymo veiklos įrašuose nurodytų tikslų; apie poreikį tvarkyti naujas Duomenų kategorijas ir (ar) naujais tikslais informuoti Įgaliotą darbuotoją;

      5. visais atvejais prieš perduodant Duomenis Tretiesiems asmenims įsitikinti, kad tokia Duomenų gavėjų kategorija yra įtraukta į Duomenų tvarkymo veiklos įrašus, o jei ketinama Duomenis perduoti už EEE ribų – kad atitinkamas Duomenų gavėjas yra įtrauktas į Duomenų tvarkymo veiklos įrašus; apie poreikį perduoti Duomenis Duomenų tvarkymo veiklos įrašuose nenurodytai Duomenų gavėjų kategorijai arba už EEE ribų veikiančiam Trečiajam asmeniui, nenurodytam Duomenų tvarkymo veiklos įrašuose, informuoti Įgaliotą darbuotoją.

      6. įsitikinti, kad kiekvienas Asmuo, su kuriuo jie susiduria pirmą sykį Įstaigoje, buvo informuotas apie jo Duomenų tvarkymą, o Duomenų tvarkymo veiklos įrašuose numatytais atvejais yra davęs sutikimą Duomenų tvarkymui; jei Asmuo nebuvo informuotas apie jo Duomenų tvarkymą ir(ar) nebuvo gautas jo sutikimas, įteikti informacinį pranešimą ir (ar) paprašyti Asmens sutikimo pagal atitinkamai Asmenų kategorijai pritaikytą formą; jei konkrečiu atveju nėra tinkama nei viena iš Įstaigos naudojamų tipinių informacinių pranešimų ar sutikimų formų, Darbuotojas apie tai turi nedelsiant informuoti Įgaliotą darbuotoją;

      7. atsižvelgiant į atliekamų darbo funkcijų pobūdį imtis protingų pastangų, kad užtikrintų, jog visi Įstaigos valdomi Duomenys būtų tikslūs ir prireikus atnaujinami;

      8. tvarkydami Duomenis, elgtis rūpestingai ir atsargiai, turėdami omenyje tai, kad Darbuotojo veiksmai, susiję su Duomenimis, kelia pavojų Įstaigai ir Asmenims;

      9. įgyvendinti ir naudoti technines ir organizacines Duomenų apsaugos priemones, užtikrinančias  Duomenų apsaugą nuo neleistinos prieigos, neteisėto rinkimo, naudojimo ir saugojimo, netyčinio praradimo, sunaikinimo ar sugadinimo, kaip tai nustatyta šioje Politikoje, darbo tvarkos taisyklėse ir kituose Įstaigos dokumentuose;

      10. neatskleisti informacijos apie Įstaigos taikomas technines ir organizacines Duomenų apsaugos priemones, įskaitant bet neapsiribojant Įstaigos vidaus dokumentais, jokiems Tretiesiems asmenims, prieš tai neįsitikinus jų teise gauti tokią informaciją;

      11. nesaugoti asmens duomenų jokiose Darbuotojui priklausančiose asmeninėse atmintinėse,  kompiuterinėje ar programinėje įrangoje (internetinėse duomenų saugyklse, atmintinėse, kompiuteriuose, telefonuose ir pan.), nebent konkrečiu atveju Įstaiga leistų Darbuotojui naudoti konkrečias asmenines priemones darbo funkcijų vykdymui;

      12. kai Darbuotojui leidžiama naudoti asmenines atmintines ir/ar kompiuterinę ar programinę įrangą darbo funkcijoms vykdyti, pasibaigus darbo santykiams perduoti visus Darbuotojo bet kokiose informacijos rinkmenose (asmeninėse internetinėse saugyklose, atmintinėse, asmeniniame kompiuteryje, telefone ir pan.) esančius Duomenis Įstaigai ir sunaikinti visas tokios informacijos kopijas;

      13. kreiptis į Įgaliotą darbuotoją ir gauti jo konsultaciją:

        1. ketinant Įstaigoje pasitelkti naują Paslaugų teikėją;

        2. ketinant Įstaigoje sukurti, diegti ar naudoti kokybiškai naujas IKT ir (ar) kitus metodus Duomenų tvarkymui;

        3. esant bet kokiems netikslumams, abejonėms ar klausimams, susijusiems su Politikos taikymu, aiškinimu, pažeidimu ar atitikimu Politikai.

      14. su Asmenų prašymais elgtis rūpestingai ir atidžiai; gavę bet kokį Asmens prašymą nedelsdami, ne vėliau kaip per 1 (vieną) darbo dieną nuo Asmens prašymo gavimo, pranešti apie tai Įgaliotam darbuotojui;

      15. nedelsiant, bet ne vėliau kaip per 12 (dvylika) valandų, sužinoję apie Duomenų saugumo pažeidimą Įstaigoje:

        1. informuoti Įgaliotą darbuotoją apie Duomenų saugumo pažeidimą;

        2. pagal savo kompetenciją imtis pagrįstų veiksmų, kad Duomenų saugumo pažeidimas būtų sustabdytas;

        3. pagal savo kompetenciją imtis pagrįstų veiksmų, kad Duomenų saugumo pažeidimas nepasikartotų.

      16. bendradarbiauti su Įgaliotu darbuotoju, kitais Darbuotojais ir (ar) Paslaugų teikėjais atliekant Duomenų saugumo pažeidimo valdymą, Asmenų prašymų valdymą, Inspekcijos paklausimų valdymą ir kitas Įstaigos nustatytas su Duomenų tvarkymu susijusias procedūras;

      17. per trumpiausius galimus terminus pateikti Įgaliotam darbuotojui bet kokią prašomą informaciją;

      18. vykdyti Įgalioto darbuotojo nurodymus dėl Duomenų tvarkymo.

    2. Nė vienam Darbuotojui neturi būti suteikta prieiga prie Duomenų, jei šie Duomenys nėra reikalingi jų darbo funkcijoms atlikti.

    3. Darbuotojai gali siųsti tiesioginės rinkodaros pranešimus Asmenims ir (ar) juridiniams asmenims, jeigu Asmenys ir (ar) juridiniai asmenys, kuriems siunčiami tiesioginės rinkodaros pranešimai:

      1. yra davę sutikimą tiesioginei rinkodarai; arba

      2. yra naudojęsi Įstaigos paslaugomis (pvz., dalyvavę Įstaigos organizuojamuose renginiuose) ir:

        1. savo kontaktinius duomenis Įstaigai pateikė siekdami naudotis Įstaigos paslaugomis;

        2. kiekvieną kartą siunčiant tiesioginės rinkodaros pranešimus jiems yra suteikiama lengvai įgyvendinama, nemokama galimybė atsisakyti rinkodaros pranešimų (pvz., paspaudžiant ant aktyvios nuorodos);

        3. nė karto neprieštaravo gauti rinkodaros pranešimų iš Įstaigos;

        4. jiems reklamuojamos Įstaigos (ar panašios į Įstaigos) paslaugos.

  1. ASMENŲ TEISIŲ ĮGYVENDINIMAS

    1. Darbuotojas, gavęs Asmens prašymą, nedelsdamas, ne vėliau kaip per 1 (vieną) darbo dieną nuo Asmens prašymo gavimo dienos kreipiasi į Įgaliotą darbuotoją.

    2. Įgaliotas darbuotojas atlieka gautų Asmenų prašymų valdymą vadovaudamasis šia Politika ir ADA teisės aktais: 

      1. peržiūri prašymą;

      2. nustato prašymą pateikusio Asmens tapatybę;

      3. surenka prašymo nagrinėjimui reikalingą informaciją;

      4. įvertina prašymo teisinį pagrįstumą;

      5. paruošia ir pateikia Asmeniui atsakymą į prašymą; ir

      6. esant reikalui duoda reikiamus pavedimus Darbuotojams dėl prašymą pateikusio Asmens Duomenų tolesnio tvarkymo.

    3. Nustatęs, kad gautas Asmens prašymas yra susijęs su Įstaigos kliento pagal duomenų tvarkymo sutartį perduotais duomenimis, persiunčia tokį prašymą atitinkamam klientui ir informuoja apie tai prašymą pateikusį asmenį; šiuo atveju atsakymą į prašymą rengia Įstaigos klientas, o Įgaliotas darbuotojas suteikia klientui visą informaciją, reikalingą prašymo nagrinėjimui ir atsakymo parengimui.

    4. Įgaliotas darbuotojas užtikrina, kad:

      1. į Asmens prašymą būtų atsakyta per 1 (vieną) mėnesį nuo jo gavimo dienos; jei Asmens prašymų, pateiktų to paties Asmens, sudėtingumas ar skaičius yra didelis, Įgaliotas darbuotojas turi teisę pratęsti terminą atsakymui pateikti iki 2 (dviejų) mėnesių informuodamas apie tai Asmenį ir nurodydamas termino pratęsimo priežastis;

      2. Asmeniui būtų pateikta tik ta informacija, kuri yra susijusi su juo;

      3. Asmeniui būtų pateikiama tik tiek informacijos, kiek reikalauja ADA teisės aktai;

      4. ADA teisės aktų numatytais atvejais, kai Asmuo neturi teisės pasinaudoti savo kaip duomenų subjekto teise, Asmens prašymas nebūtų tenkinamas;

      5. Asmenims nebūtų atskleista jokia Įstaigos konfidenciali informacija, ypatingai Įstaigos komercinės paslaptys.

    5. Asmens prašymą tenkinti atsisakoma, kai:

      1. Asmens prašymas nesusijęs su ADA teisės aktų numatytomis teisėmis;

      2. Asmens prašymas susijęs su informacija, kuri nėra Duomenys;

      3. Asmens prašymas susijęs su informacija apie kitą Asmenį;

      4. Asmuo neturi teisės pasinaudoti atitinkamomis duomenų subjekto teisėmis pagal ADA teisės aktų nustatytus reikalavimus bei išimtis;

      5. Asmens prašymas yra akivaizdžiai neproporcingas, įskaitant bet neapsiribojant šiais atvejais:

        1. Asmens prašymas yra pasikartojantis – tas pats Asmuo jau yra pateikęs tokį patį Prašymą per 1 (vienus) metus iki Prašymo gavimo;

        2. Asmens prašymas susijęs su dideliu kiekiu pasikartojančių Duomenų;

        3. aplinkybės rodo, kad vienintelis Asmens prašymo tikslas yra sutrikdyti Įstaigos veiklą.

    6. Įgaliotas darbuotojas į Asmens prašymą atsako elektroninėmis priemonėmis glausta ir Asmeniui suprantama forma, vartodamas aiškią ir suprantamą kalbą, išskyrus atvejus, kai Asmuo prašo žodinio atsakymo ar ne elektroninio atsakymo raštu. 

    7. Jei Asmens prašymą tenkinti atsisakoma visiškai arba iš dalies, atsakyme turi būti nurodomos atsisakymo priežastys ir informuojama apie galimybę pateikti skundą Inspekcijai ir (ar) imtis teisminės gynybos priemonių.

    8. Jei Asmens prašymas tenkinamas, Įgaliotas darbuotojas koordinuoja ir planuoja Asmens prašymo įgyvendinimą Įstaigoje, teikia nurodymus bei konsultacijas Darbuotojams ir Paslaugų teikėjams, kurie turi dalyvauti Asmens prašymo įgyvendinime.

  1. PASLAUGŲ TEIKĖJAI

    1. Įgaliotas darbuotojas, sužinojęs apie ketinimą pasitelkti naują Paslaugų teikėją, turi:

      1. patikrinti ir įsitikinti, kad Paslaugų teikėjas imasi tinkamų techninių ir organizacinių duomenų apsaugos priemonių ir atitinka kitus ADA teisės aktų reikalavimus;

      2. pasirūpinti, kad Įstaiga prieš dalindamasi Duomenimis su Paslaugų teikėju sudarytų su juo Duomenų tvarkymo sutartį (arba įtrauktų atitinkamas nuostatas į esamas sutartis, įskaitant paslaugų teikimo sąlygas) (sutarties forma pridedama kaip Priedas Nr. 1).

    2. Jei Paslaugų teikėjas pateikia Įstaigai savo Duomenų tvarkymo sutarties formą, įskaitant paslaugų teikimo sąlygas, Įgaliotas darbuotojas, prieš Įstaigai sudarant tokią sutartį, turi įsitikinti, kad ji atitinka ADA teisės aktų nustatytus reikalavimus.

  1. DARBUOTOJŲ STEBĖSENOS IR KONTROLĖS DARBO VIETOJE TVARKA

    1. Vaizdo stebėjimo duomenys gali būti renkami išskirtinai siekiant apsaugoti Įstaigos turtą nuo vagysčių ir panašių nusikaltimo požymių turinčių veikų arba siekiant apsaugoti žmonių sveikatą ar gyvybę laikantis šių taisyklių:

      1. Vaizdo stebėjimo kameros ir jų stebima teritorija paženklinama aiškiai matomais ir suprantamais ženklais, juose turi būti nuoroda, kur galima susipažinti su stebėjimo duomenimis ir jų tvarkymo sąlygomis;

      2. Vaizdo stebėjimo duomenys yra prieinami tik specialiai Įstaigos paskirtam darbuotojui (-ams) arba Įstaigai saugos paslaugas teikiančiai įmonei; nustatęs įtariamą vagystę ar panašią nusikaltimo požymių turinčią veiką, už vaizdo stebėjimą atsakingas asmuo perduoda atitinkamą vaizdo įrašo fragmentą Įstaigos vadovui ar kitam jo paskirtam Darbuotojui; kai įtariamas Darbuotojas, jis yra supažindinamas su atitinkamu vaizdo įrašo fragmentu ir jo paprašoma pateikti paaiškinimus, kitais atvejais Įstaigos vadovo sprendimu atitinkamas vaizdo įrašo fragmentas yra perduodamas teisėsaugos institucijoms;

      3. Vaizdo stebėjimo duomenys saugomi keturiolika kalendorinių dienų, išskyrus atvejus, kai jų prireikia siekiant pareikšti reikalavimus ar gintis nuo reikalavimų, pareikštų teisme, baudžiamojo proceso, administracinėje ar kitokioje teisinėje procedūroje;

      4. Vaizdo stebėjimo duomenys gali būti panaudoti kaip įrodymas nustatant Darbuotojo darbo pareigų pažeidimus tik ta apimtimi, kiek tokie pažeidimai turi vagystės ar panašių nusikalstamų veikų požymių arba yra susiję su pavojumi žmonių sveikatai ar gyvybei.

    2. Įstaiga, siekdama valdyti savo IKT infrastruktūrą bei užtikrinti jos saugumą, suteikia nuotolinio prisijungimą prie savo IKT (kompiuterių, planšečių, telefonų ir pan.) jų techninę priežiūrą vykdantiems Darbuotojams arba išoriniams paslaugų teikėjams – programinės įrangos diegimui, atnaujinimui, gedimų šalinimui ir panašios techninės pagalbos darbams. Nors šiuo atveju nėra renkama įrenginyje saugoma informacija, teikiant techninę priežiūrą gali būti nustatyti Darbuotojo darbo pareigų pažeidimai (pvz., neteisėtai instaliuota programinė įranga) ir tokia informacija gali būti panaudota kaip įrodymas nustatant Darbuotojo darbo pareigų pažeidimus.

    3. Darbuotojo susirašinėjimo su kitais Darbuotojais ir Trečiaisiais asmenimis (klientais, tiekėjais ir pan.) naudojant Įstaigos elektroninio pašto, socialinių tinklų ar panašią paskyrą duomenys yra saugomi Įstaigos ir (ar) Įstaigos pasitelkto atitinkamų elektroninių paslaugų tiekėjo informacinėse sistemose siekiant užtikrinti Įstaigos teisėtus interesus – sudarytų sutarčių vykdymą, ypač atsižvelgiant į tai, kad toks susirašinėjimas laikomas sutarčių dalimi, informacijos pateikimą kontrahentams, efektyvų darbo organizavimą, taip pat ir paties darbuotojo darbo palengvinimui. Šie Duomenys tvarkomi laikantis tokių taisyklių:

      1. Įstaigos komunikacijos sistemos, įskaitant elektroninį paštą, socialinius tinklus ir pan., technologiškai yra sukurtos informacijos saugojimui, t.y. vien dėl techninių priežasčių jos saugo visą įkeltą informaciją, jei ji nėra specialiai ištrinama;

      2. Darbuotojai keldami bet kokią informaciją į Įstaigos IKT, įskaitant elektroninių pranešimų siuntimą naudojant Įstaigos elektroninį paštą, socialinių tinklų ir kitas panašias paskyras, gali ir privalo suprasti, kad tokia informacija neišvengiamai bus išsaugota. Įstaigos naudojamos technologijos neleidžia pažymėti keliamos informacijos, įskaitant elektroninio pašto žinutes, kaip asmeninės, todėl įkėlus asmeninio pobūdžio informaciją ji gali atsitiktinai tapti žinoma kitiems asmenims. Atitinkamai Darbuotojai neturi naudoti Įstaigos IKT asmeninėms reikmėms, o tą darydami prisiima riziką, kad asmeninio pobūdžio informacija atsitiktinai gali tapti žinoma kitiems asmenims.

      3. Darbuotojo susirašinėjimo duomenys siekiant užtikrinti Įstaigos veiklos nepertraukiamumą ir tęstinumą yra prieinami pavaduojantiems Darbuotojams jo atostogų, nedarbingumo ar panašiais laikotarpiais, o taip pat Darbuotojui nutraukus darbo sutartį bus prieinami naujam Darbuotojui, perimsiančiam atleisto Darbuotojo darbą.

      4. Laikina prieiga prie Darbuotojo susirašinėjimo duomenų gali būti suteikta kitiems Darbuotojams:

        1. kai prireikia skubiai gauti atitinkamą informaciją, o pačio Darbuotojo nėra darbo vietoje;

        2. kai to reikia informacijos surinkimui siekiant pareikšti arba ginantis nuo pareikštų reikalavimų teisme, administracinėse procedūrose, komerciniuose ginčuose su Darbuotoju ar Trečiaisiais asmenimis arba kitokiose teisinėse procedūrose.

      5. Darbuotojo susirašinėjimo duomenys gali būti panaudoti kaip įrodymas nustatant Darbuotojo darbo pareigų pažeidimus.

    4. Įstaiga nevykdo nuolatinio, sistemingo IKT stebėjimo, t.y. nerenka Darbuotojų Duomenų IKT, tačiau Įstaigos paskirti Darbuotojai turi teisę atlikti IKT patikrinimą, įskaitant bet neapsiribojant Darbuotojo elektroninio pašto, socialinių tinklų ir panašių paskyrų, Darbuotojo žinioje esančių kompiuterių, planšetinių kompiuterių ir kitos įrangos patikrinimą, šiais atvejais:

      1. kai yra nustatoma arba tiriama nusikalstama veika, kiti rimti teisės ir (ar) darbo tvarkos taisyklių pažeidimai;

      2. kai yra nustatomas arba tiriamas konfidencialios informacijos nutekėjimas, intelektinės nuosavybės pažeidimas ir (ar) nesąžiningos konkurencijos atvejis; 

      3. kai vyksta bylinėjimasis;

      4. kai reikia atlikti Duomenų saugumo pažeidimo valdymą;

      5. kai reikia užtikrinti Įstaigos IKT saugumą.

    5. Įstaiga tikrina IKT tais atvejais, kai nėra kitų priemonių 7.3 punkte nurodytiems tikslams pasiekti. Sprendimą dėl IKT tikrinimo priima Įstaigos vadovas (sprendimo forma pridedama kaip priedas Nr. 2).

    6. Tikrindami IKT, Įstaigos paskirti Darbuotojai turi kiek įmanoma labiau sumažinti renkamų, naudojamų ir saugojamų Duomenų kiekį. Tikrindami IKT, Įstaigos paskirti Darbuotojai renka, naudoja ir saugo tik tokius Duomenis, kurie yra būtini IKT tikrinimui. Jei tikrinant IKT pertekliniai Duomenys buvo surinkti, Darbuotojai nedelsdami juos ištrina.

    7. Įstaigos paskirti Darbuotojai gali pradėti tikrinti IKT po to, kai atliko žemiau išvardintus veiksmus:

      1. nustatė konkrečias priežastis, įtarimus ar informaciją, dėl kurių reikia tikrinti IKT, ir konkrečius IKT tikrinimo tikslus remdamiesi šios Politikos 7.3 punktu;

      2. nustatė, kad kitų priemonių pasiekti tikslinimo tikslams nėra arba šios priemonės yra neveiksmingos;

      3. informavo Įgaliotą darbuotoją ir gavo jo konsultaciją dėl numatomo IKT tikrinimo;

      4. reikiamais atvejais pasitelkė IKT ekspertą ir (ar) antstolį;

      5. pasirūpino, kad būtų priimtas raštiškas sprendimas dėl IKT tikrinimo (sprendimo forma pridedama kaip priedas Nr. 2).

    8. Įstaigos paskirti Darbuotojai turi informuoti konkrečius Darbuotojus, kurių IKT yra tikrinamos, ir sudaryti jiems galimybę stebėti IKT tikrinimą, nebent minėtos informacijos atskleidimas sutrukdytų pasiekti tikrinimo tikslus.

    9. Atlikę IKT patikrinimą, Įstaigos paskirti Darbuotojai turi raštu įforminti IKT tikrinimo rezultatus.

  1. DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMAS

    1. Darbuotojas, sužinojęs apie galimą Duomenų saugumo pažeidimą Įstaigoje, nedelsdamas, bet ne vėliau kaip per 12 (dvylika) valandų, turi apie tai informuoti Įgaliotą darbuotoją.

    2. Įgaliotas darbuotojas vykdo Duomenų saugumo pažeidimų valdymą vadovaudamasis šia Politika ir ADA teisės aktais ir pildo duomenų saugumo pažeidimo registrą (registro įrašo forma pridedama kaip Priedas Nr. 3).

    3. Įgaliotas darbuotojas užtikrina, kad laikomasi šios Politikos ir ADA teisės aktų nustatytų terminų. Įgaliotas darbuotojas pažeidimų registre nurodydamas pratęsimo priežastis, gali pratęsti terminus, jei tai reikalinga dėl to paties Asmens Duomenų saugumo pažeidimo sudėtingumo ar skaičiaus. 

    4. Įgaliotas darbuotojas, gavęs informaciją apie galimą Duomenų saugumo pažeidimą iš Darbuotojo ar pats jį pastebėjęs, nedelsdamas, bet ne vėliau kaip per 12 (dvylika) valandų, atlieka pirminę Duomenų saugumo pažeidimo analizę:

      1. peržiūri informaciją apie Duomenų saugumo pažeidimą;

      2. nustatoDuomenų saugumo pažeidimo valdymo (įskaitant reikalingos informacijos rinkimą, konsultavimąsi su Darbuotojais ir (arba) Paslaugų teikėjais) terminus;

      3. nustato, ar ir kokia papildoma informacija iš Darbuotojų yra reikalinga vykdant Duomenų saugumo pažeidimo valdymą, bei paprašo šios informacijos;

      4. nustato, ar ir kokie Paslaugų teikėjai, išorės Duomenų apsaugos pareigūnai, IT saugumo konsultantai ir (ar) kiti Tretieji asmenys turi būti įtraukti į Duomenų saugumo pažeidimo valdymo procesą bei prireikus prašo jų pagalbos.

    5. Įgaliotas darbuotojas, nustatęs, kad Duomenų saugumo pažeidimo valdymui reikalinga papildoma informacija, paprašo Darbuotojų ir (ar) Paslaugų teikėjų suteikti reikiamą informaciją ne vėliau kaip per 24 (dvidešimt keturias) valandas. Darbuotojai ir paslaugų teikėjai turi laiku suteikti Įgaliotam darbuotojui visą prašomą informaciją.

    6. Įgaliotas darbuotojas ne vėliau kaip per 72 (septyniasdešimt dvi) valandas nuo momento, kai sužinojo apie Duomenų saugumo pažeidimą, turi užbaigti Duomenų saugumo pažeidimo valdymą, įskaitant Duomenų saugumo pažeidimo užregistravimą ir, jei reikia, pranešimų pateikimą Inspekcijai.

    7. Įgaliotas darbuotojas vykdo Duomenų saugumo pažeidimo valdymą:

      1. pildydamas Duomenų saugumo pažeidimų registro įrašo formą ir joje aprašydamas kiekvieną Duomenų saugumo pažeidimą (forma pridedama kaip Priedas Nr. 3);

      2. teikdamas pranešimus Inspekcijai ir Asmenims apie Duomenų saugumo pažeidimus;

      3. teikdamas rekomendacijas ir nurodymus Darbuotojams dėl Duomenų saugumo pažeidimų pasekmių šalinimo ar švelninimo.

    8. Įgaliotas darbuotojas raštu pagal Inspekcijos reikalaujamą ar rekomenuojamą formą praneša Inspekcijai apie kiekvieną Duomenų saugumo pažeidimą, išskyrus atvejus, kai Duomenų saugumo pažeidimų registro įrašas rodo, jog atitinkamas Duomenų saugumo pažeidimas nekelia pavojaus Asmenims.

    9. Jei užpildytas Duomenų saugumo pažeidimų registro įrašas rodo, jog atitinkamas Duomenų saugumo pažeidimas kelia didelį pavojų Asmenims, kurių Duomenys buvo paveikti, Įgaliotas darbuotojas raštu praneša Asmenims apie Duomenų saugumo pažeidimą, išskyrus atvejus, kai Duomenų saugumo pažeidimų registro įrašas įrodo, jog Asmenys buvo apsaugoti nuo pavojaus.

    10. Jei užpildytas Duomenų saugumo pažeidimų registro įrašas pagrindžia, jog Asmenų informavimas apie jų Duomenų saugumo pažeidimą pareikalautų neproporcingų pastangų, Įgaliotas darbuotojas neprivalo pranešti Asmenims apie Duomenų saugumo pažeidimą. Šiuo atveju Įgaliotas darbuotojas, derindamas su Įstaigos vadovu, turi imtis kitų veiksmingų priemonių, skirtų informuoti Asmenis, kurių Duomenys buvo paveikti Duomenų saugumo pažeidimo (pvz., informaciją paskelbti internete ar žiniasklaidoje), bei šias priemones nurodyti Duomenų saugumo pažeidimo registro įraše.

  1. INSPEKCIJOS PAKLAUSIMAI

    1. Įgaliotas darbuotojas vykdo Inspekcijos paklausimų valdymą vadovaudamasis šia Politika ir ADA teisės aktais.

    2. Darbuotojas gavęs Inspekcijos paklausimą, nedelsiant, bet ne vėliau kaip per 1 (vieną) darbo dieną, informuoja Įgaliotą darbuotoją apie tokį paklausimą.

    3. Įgaliotas darbuotojas, gavęs Inspekcijos paklausimą, turi nedelsdamas atlikti pirminę Inspekcijos paklausimo analizę:

      1. peržiūrėti Inspekcijos paklausimą;

      2. nustatyti atsakymo į Inspekcijos paklausimą terminus (įskaitant reikalingos informacijos surinkimą, konsultacijas su Darbuotojais ir (ar) Paslaugų teikėjais);

      3. jei reikia, kreiptis į Inspekciją dėl termino pateikti atsakymą pratęsimo; 

      4. nustatyti, ar yra reikalinga papildoma informacija iš Darbuotojų ir, jei taip, - paprašyti tokią informaciją pateikti;

      5. nustatyti, ar Paslaugų teikėjai, išoriniai Duomenų apsaugos pareigūnai, IT saugumo konsultantai ir (ar) Tretieji asmenys yra susiję su Inspekcijos paklausimu ir, jei taip, paprašyti jų pagalbos rengiant atsakymą į Inspekcijos paklausimą.

    4. Surinkęs visą atsakymui į Inspekcijos paklausimą reikalingą informaciją, tačiau jokiu būdu ne vėliau kaip per Inspekcijos nustatytą terminą, Įgaliotas darbuotojas parengia ir pateikia Inspekcijai atsakymą į paklausimą.

  1. ĮGALIOTAS DARBUOTOJAS

    1. Įstaiga paskiria Įgaliotą darbuotoją, kuris padeda prižiūrėti kaip Įstaigoje laikomasi ADA teisės aktų reikalavimų ir veikia kaip Įstaigos atstovas su asmens duomenų apsauga susijusiais klausimais. 

    2. Darbuotojai darbo tvarkos taisyklių nustatyta tvarka informuojami apie paskirtą Įgaliotą darbuotoją bei jo kontaktinius duomenis. 

    3. Įstaiga padeda Įgaliotam darbuotojui vykdyti nurodytas užduotis suteikdama būtinus išteklius, taip pat suteikdama galimybę susipažinti su Duomenimis, dalyvauti duomenų tvarkymo operacijose ir išlaikyti savo ekspertines žinias.

    4. Įgaliotas darbuotojas atlieka šias užduotis:

      1. informuoja Įstaigą, jos Darbuotojus ir valdymo organų narius apie jų prievoles pagal ADA teisės aktus, taip pat apie Duomenų apsaugą Įstaigoje ir konsultuoja juos šiais klausimais;

      2. stebi, kaip Įstaigoje laikomasi ADA teisės aktų;

      3. rūpinasi Duomenų rinkimo, naudojimo ir saugojimo veikloje dalyvaujančių Darbuotojų sąmoningumo ugdymu bei mokymu;

      4. koordinuoja, atlieka ir (ar) stebi poveikio Duomenų apsaugai vertinimus Įstaigoje;

      5. stebi, ar Įstaiga kuria, diegia ir (ar) naudoja IKT Duomenų tvarkymui laikantis ADA teisės aktų reikalavimų;

      6. atlieka kontaktinio asmens funkcijas Asmenims, kurie kreipiasi į Įstaigą su Duomenų tvarkymu susijusiais klausimais;

      7. konsultuoja Darbuotojus dėl Duomenų perdavimo konkretiems Paslaugų teikėjams ar kitiems subjektams, įsisteigusiems už EEE ribų;

      8. rengia šią Politiką, Duomenų tvarkymo veiklos įrašus, kitas su Duomenų apsauga susijusias vidaus taisykles, procedūras, šablonus ir kitus dokumentus, prižiūri jų laikymąsi ir juos periodiškai peržiūri;

      9. koordinuoja, kad Įstaiga su visais Paslaugų teikėjais ir klientais, kurių perduoti duomenys bus tvarkomi to kliento vardu ir interesais,  sudarytų Duomenų tvarkymo sutartis, įskaitant sąlygas dėl paslaugų teikimo (arba sutartis su Paslaugų teikėjais atitinkamomis nuostatomis);

      10. praneša apie esamus ar galimus ADA teisės aktų pažeidimus, keliančius pavojus Įstaigos veiklai, bei konsultuoja Darbuotojus, atsakingus už šiuos pažeidimus;

      11. atlieka Duomenų saugumo pažeidimų valdymą; 

      12. atlieka Asmenų teisių įgyvendinimo valdymą;

      13. atlieka kontaktinio asmens funkcijas Inspekcijai kreipiantis į Įstaigą.

  1. POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS

    1. Darbuotojai privalo prieš protingą terminą informuoti Įgaliotą darbuotoją, kai ketinama Įstaigoje kurti, diegti ar naudoti tam tikras IKT ir (ar) kitus metodus, skirtus tvarkyti Duomenis, šiais atvejais:

      1. naujos rūšies informacinės technologijos, kurios pirmą kartą diegiamos Įstaigoje;

      2. ypatingų duomenų bazės;

      3. Asmenų automatinio vertinimo ir profiliavimo įrankiai;

      4. vaizdo stebėjimo priemonės;

      5. IKT tikrinimo priemonės;

      6. įrankiai, skirti Asmenis sekti internete;

      7. nacionalinio, regioninio ar tarptautinio pobūdžio Duomenų bazės, kuriose saugomi dideli Duomenų kiekiai;

      8. vaikų arba vyresnio amžiaus žmonių Duomenų bazės;

      9. debesų kompiuterijos įrankiai;

      10. daiktų interneto įrankiai (t.y., įrankiai, sujungiantys į interneto tinklą kasdieninius objektus ir leidžiantys jiems siųsti ir gauti Duomenis);

      11. dirbtinio intelekto įrankiai;

      12. blokų grandinės (angl. blockchain) įrankiai;

      13. socialinių tinklų įrankiai;

      14. įrankiai, dėl kurių naudojimo Duomenys tampa prieinami Paslaugų teikėjams, įsteigtiems už EEE ribų;

      15. kitos konkrečios IKT ir (arba) kiti metodai, skirti Įstaigoje tvarkyti Duomenis, jeigu jie patenka į Inspekcijos patvirtintą poveikio duomenų apsaugai reikalaujančių operacijų sąrašą;

      16. kitos konkrečios IKT ir (ar) kiti metodai, skirti Įstaigoje tvarkyti Duomenis, kurie kelia pavojų Asmenims pagal ADA teisės aktus.

    2. Įgaliotas darbuotojas, gavęs Darbuotojo pranešimą, jį išnagrinėjęs ir derindamas su Įstaigos vadovu turi nuspręsti, ar turi būti atliktas poveikio Duomenų apsaugai vertinimas dėl konkrečių IKT ir (ar) kitų metodų, skirtų tvarkyti Duomenis Įstaigoje.

    3. Įgaliotas darbuotojas, priėmęs sprendimą atlikti poveikio Duomenų apsaugai vertinimą, pagal šios Politikos ir ADA teisės aktų reikalavimus turi:

      1. nustatyti, ar ir kokia papildoma informacija iš Darbuotojų ir (ar) Paslaugų teikėjų yra reikalinga siekiant atlikti poveikio Duomenų apsaugai vertinimą, ir paprašyti tokią informaciją pateikti;

      2. nuspręsti, ar atliks poveikio Duomenų apsaugai vertinimą pats, ar paprašys Paslaugų teikėjo ar kitos kvalifikuotos trečiosios šalies atlikti tokį vertinimą bei paruošti išvadą;

      3. nustatyti, ar ir kurie Paslaugų teikėjai, išorės duomenų apsaugos pareigūnai, IT saugumo konsultantai ir (arba) kiti tretieji asmenys turi dalyvauti poveikio Duomenų apsaugai vertinime bei paprašyti šių trečiųjų asmenų įsitraukti į poveikio Duomenų apsaugai vertinimo rengimą;

      4. per protingą terminą nuo visos reikiamos informacijos gavimo pagal ADA teisės aktų reikalavimus atlikti poveikio Duomenų apsaugai vertinimą ir parengti raštišką vertinimo ataskaitą dėl kiekvienos konkrečios IKT ir (ar) metodo; o tais atvejais, kai nusprendžiama poveikio Duomenų apsaugai vertinimą pavesti atlikti Paslaugų teikėjui ar kitai kvalifikuotai trečiajai šaliai, užtikrinti, kad šiuos veiksmus atliktų atitinkamas subjektas;

      5. pateikti poveikio Duomenų apsaugai vertinimo išvadą atsakingam (-iems) Darbuotojui (-ams);

      6. jei Duomenų apsaugai vertinimo išvadoje nustatoma, kad kyla didelis pavojus Asmenų Duomenų apsaugai, Įgaliotas darbuotojas nusprendžia, ar kreiptis į Inspekciją dėl išankstinės konsultacijos, o nusprendęs – kreipiasi į Inspekciją Įstaigos vardu;

      7. Įgaliotas darbuotojas dalyvauja išankstinių konsultacijų procedūroje, bendradarbiauja su Inspekcija, analizuoja ir atsako į Inspekcijos paklausimus, Inspekcijos prašymu renka informaciją, jei reikia prašo Paslaugų teikėjų ir trečiųjų asmenų pagalbos arba kreipiasi į Inspekciją su prašymu gauti raštišką konsultaciją.

  1. BAIGIAMOSIOS NUOSTATOS

    1. Ši Politika įsigalioja nuo jos patvirtinimo dienos ir taikoma Darbuotojams nuo supažindinimo su Politika dienos.

    2. Toliau nurodyti dokumentai pridedami prie Politikos kaip priedai ir yra neatskiriama jos dalis:

      1. Duomenų tvarkymo sutarties forma;

      2. Sprendimo dėl IKT tikrinimo forma;

      3. Duomenų saugumo pažeidimų registro įrašo forma.