Šiame straipsnyje aptariami teisės aktai, reglamentuojantys asmens ir turto saugos teikimą, ypatingą dėmesį skiriant asmens duomenų tvarkymui ir saugumui užtikrinti.
Duomenų tvarkymo principai ir teisinis pagrindas
Aprašo tikslas - reglamentuoti asmens duomenų tvarkymą Centre užtikrinant, kad būtų laikomasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento) (toliau - Reglamentas (ES) 2016/679), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymo ir privatumo apsaugos reikalavimus, nuostatų.
Asmens duomenys gali būti tvarkomi tik tuo tikslu, kuriuo yra renkami. Jeigu asmens duomenys nėra būtini tam, kad būtų pasiektas konkretus tikslas, jie negali būti tvarkomi. Konkrečiam tikslui pasiekti yra tvarkomas kiek įmanoma mažesnis kiekis asmens duomenų.
Centras gali tvarkyti asmens duomenis ir kitais tikslais, kiek tai būtina siekiant teisėtai vykdyti veiklą, atitikti teisės aktų keliamus reikalavimus, apsiginti nuo pretenzijų, ieškinių ir siekiant teisėtų Centro interesų apsaugos.
Kai asmens duomenys yra tvarkomi sutikimo pagrindu, tvarkomi tik tie asmens duomenys, kurie nurodyti sutikime, tik tais tikslais, kurie nurodyti sutikime, ir su jais atliekamos tik tos tvarkymo operacijos (veiksmai), kurios nurodytos sutikime.
Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Duomenų subjektui atšaukus sutikimą, draudžiama tvarkyti asmens duomenis tais tikslais ir atlikti duomenų tvarkymo operacijas (veiksmus), kurios buvo atliekamos tokio sutikimo pagrindu, išskyrus atvejus, kai tokiam duomenų tvarkymui egzistuoja kitas Taisyklėse ar Bendrajame duomenų apsaugos reglamente įtvirtintas asmens duomenų tvarkymo teisinis pagrindas.
Sutikimui atšaukti yra sudaromos analogiškos sąlygos, kaip ir sutikimui duoti, draudžiama apsunkinti ar sudaryti papildomas sąlygas sutikimui atšaukti. Sutikimo atšaukimas negali sukelti duomenų subjektui neigiamų padarinių, įskaitant paslaugos kokybės sumažinimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.
Duomenų subjekto sutikimai gali būti renkami šiais būdais: raštu, įskaitant gautus elektroninėmis priemonėmis, žodžiu ar veiksmais, jeigu yra galimybė įrodyti, kad toks sutikimas buvo duotas, ir jeigu duomenų subjektas savo veiksmais aiškiai sutinka su siūlomu jo asmens duomenų tvarkymu. Pirmenybė kiekvienu atveju yra teikiama duomenų subjekto sutikimams, gautiems raštu (įskaitant gautus elektroninėmis priemonėmis), o kiti sutikimo būdai gali būti naudojami tik kiekvienu konkrečiu atveju įsitikinus, kad yra įmanoma įrodyti duomenų subjekto sutikimo davimo faktą.
Centras tvarko paslaugų, prekių, darbų tiekėjų fizinių asmenų ir juridinių asmenų darbuotojų bei atstovų asmens duomenis (vardą, pavardę, individualios veiklos pažymos ar verslo liudijimo numerį, atstovaujamo juridinio asmens pavadinimą, pareigas, adresą, telefono ryšio numerį, elektroninio pašto adresą, sutarties duomenis, informaciją, susijusią su sutarties vykdymu, kitus būtinus duomenis) sutarčių sudarymo ir vykdymo tikslais.
Centras tvarko kandidatų į darbuotojus asmens duomenis (vardą, pavardę, gimimo datą, adresą, telefono ryšio numerį, elektroninio pašto adresą, išsilavinimą, kvalifikaciją, darbo patirtį, informaciją apie buvusias darbovietes, informaciją apie pageidaujamas darbo sąlygas, kitus duomenis, kuriuos kandidatas pateikia savo gyvenimo aprašyme ar kandidato anketoje, kitus būtinus duomenis) darbuotojų atrankos tikslu.
Siekdama sudaryti sąlygas pacientams gauti paslaugas ar įgyvendinti teises per atstovą, Centras tvarko paciento atstovo asmens duomenis (vardą, pavardę, telefono ryšio numerį, adresą, elektroninio pašto adresą, kitus būtinus duomenis).
Pagrindiniai BDAR aspektai
Duomenų saugojimas ir atnaujinimas
Asmens duomenys Centre tvarkomi automatiniu būdu ir (ar) neautomatiniu būdu susistemintose rinkmenose.
Centras asmens duomenis tikslina, taiso ir atnaujina savo arba asmens, kurio duomenys yra tvarkomi, iniciatyva. Savo iniciatyva Centras turi teisę tikslinti, taisyti ir atnaujinti asmens duomenis tada, kai gaunama informacija apie pasikeitusius asmens duomenis.
Asmens duomenys Centro interneto svetainėje skelbiami vadovaujantis Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms ir mobiliosioms programoms aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. gruodžio 12 d. nutarimu Nr. 1261, kitais asmens duomenų tvarkymą reglamentuojančiais teisės aktais. Už asmens duomenų tvarkymą Centro interneto svetainėje atsakingas Centro direktoriaus tam įgaliotas asmuo.
Asmens duomenys, esantys dokumentuose, saugomi asmens duomenų saugojimo terminais, kurie nustatomi kiekvienais metais tvirtinamuose dokumentacijos planuose, vadovaujantis Bendrųjų dokumentų saugojimo terminų rodykle, patvirtinta Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. 37.
Vaizdo duomenys saugomi 14 kalendorinių dienų nuo jų užfiksavimo momento, išskyrus atvejus, kai esama pagrindo manyti, kad yra užfiksuotas nusižengimas, daroma nusikalstama veika ar kiti neteisėti veiksmai.
Informaciniuose ženkluose pateikiama informacija apie tai, kad vykdomas vaizdo stebėjimas, nurodomas vaizdo stebėjimo tikslas, duomenų valdytojo pavadinimas, kontaktinė informacija (adresas, el.
Sutikimas ir jame nurodyti asmens duomenys yra saugomi trejus metus nuo sutikimo atšaukimo arba jo galiojimo termino pabaigos, arba nuo Bendrovės sprendimo nebetvarkyti asmens duomenų sutikime nustatytais tikslais priėmimo dienos, išskyrus atvejus, kai teisės aktai numato kitokį duomenų saugojimo terminą.
Darbuotojų įsipareigojimai ir atsakomybė
Centro darbuotojai apie vykdomą vaizdo stebėjimą informuojami pasirašytinai.
Laikytis konfidencialumo principo ir laikyti paslaptyje asmens duomenis, specialios kategorijos asmens duomenis, įskaitant ir faktą, kad pacientas lankėsi Centre, ar bet kokią kitą su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami darbo funkcijas, nebent tokia informacija yra vieša pagal galiojančių teisės aktų reikalavimus.
Duomenų apsaugos pareigūnas
Duomenų tvarkymo veiklos įrašai ir priežiūra
Centre pildomi duomenų tvarkymo veiklos įrašai, Centrui tvarkant asmens duomenis kaip duomenų valdytojui.
Duomenų tvarkymo veiklos įrašuose esanti informacija patikrinama ir atnaujinama pasikeitus asmens duomenų tvarkymui, įgyvendinamoms duomenų saugumo priemonėms, bet ne rečiau kaip kartą per kalendorinius metus. Atnaujinant duomenų tvarkymo veiklos įrašus, pildoma nauja įrašo versija ir nurodoma atnaujinimo data.
Atlikus poveikio duomenų apsaugai vertinimą, surašoma ataskaita, kurioje pateikiama Reglamento (ES) 2016/679 35 straipsnio 7 dalyje nurodyta informacija.
Informacija apie asmens duomenų tvarkymą ir duomenų subjektų teisių įgyvendimą yra lengvai prieinama Centre.
Priimant sprendimus Aprašo 90 punkte nurodytais atvejais, duomenų apsaugos pareigūno nuomonę rekomenduojama gauti raštu.