(846)360411



info@dpjc.lt

2024-03-28

Drauge kuriame gėrį vaikams! Skirkite 1,2 % paramą DPJC!

ASMENS DUOMENŲ RINKIMO, TVARKYMO, NAUDOJIMO IR APSAUGOS TVARKOS APRAŠAS

                                                                                 PATVIRTINTA
                                                                                 Labdaros ir paramos fondo
                                                                                 Dvasinės pagalbos jaunimui centras
                                                                                 vadovės įsakymas
                                                                                
2018 m. gruodžio 14 d.  Nr. V18/01-26

 

ASMENS DUOMENŲ RINKIMO, TVARKYMO, NAUDOJIMO IR APSAUGOS TVARKOS APRAŠAS

I SKYRIUS
BENDROSIOS NUOSTATOS

1. Asmens duomenų rinkimo, tvarkymo, naudojimo ir apsaugos tvarkos aprašo (toliau – Aprašas) paskirtis – reglamentuoti asmens duomenų rinkimo, tvarkymo, naudojimo ir apsaugos reikalavimus ir technines bei organizacines priemones, skirtas apsaugoti asmens duomenis.

2. Šis Aprašas taikomas ir yra privalomas duomenų valdytojui – Labdaros ir paramos fondo Dvasinės pagalbos jaunimui centras (toliau – DPJC) ir visiems DPJC dirbantiems asmenims, kurie tvarko asmens duomenis arba eidami savo pareigas juos sužinojo.

3. DPJC tvarkomi visų DPJC bendruomenės narių – esamų ir buvusių darbuotojų, savanorių, studentų, programų: Vaikų dienos centrą (toliau – VDC), Big Brothers / Big Sisters (toliau – BBBS) lankančių ir /ar lankiusių vaikų ir kitų asmenų, įstatymų nustatyta tvarka sutartinių ir kitų teisinių santykių pagrindu pateikusių informaciją, – asmens duomenys.

4. DPJC yra visų DPJC veiklos ir vidaus administravimo procesuose surinktų duomenų valdytojas, taip pat duomenų subjektų bei trečių šalių perduotų asmens duomenų tvarkytojas.

5. Šis Aprašas parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 94/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau – ADTAĮ), Lietuvos Respublikos darbo kodeksu ir kitais teisės aktais.

6. Šiame Apraše vartojamos pagrindinės sąvokos:

6.1. Duomenys / Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektą); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.

6.2. Atsakymas – atsižvelgiant į prašymo turinį žodžiu, raštu ar elektroniniu būdu asmeniui teisės aktų nustatyta tvarka suteikta paslauga, pateikta informacija, įteikta prašomų tvarkomų asmens duomenų kopija, nuorašas ar išrašas, išdėstyta DPJC nuomonė apie asmens kritiką, pasiūlymus ar pageidavimus.

6.3. Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys.

6.4. Duomenų subjektas – įstaigos darbuotojas, savanoris, VDC lankantis vaikas ar bet koks kitas asmuo, kurio asmens duomenis tvarko DPJC.

6.5. Duomenų teikimas – asmens duomenų atskleidimas perduodant ar kitu būdu padarant juos prieinamus (išskyrus paskelbimą visuomenės informavimo priemonėse).

6.6. Duomenų tvarkymas reiškia bet kurią operaciją ar operacijų rinkinį, automatiniais arba neautomatiniais būdais atliekamus su asmens duomenimis, tokius kaip: rinkimas, užrašymas, susipažinimas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, atgaminimas, paieška, naudojimas, atskleidimas perduodant / persiunčiant, platinant ar kitu būdu padarant juos prieinamus, išdėstymas reikiama tvarka ar sujungimas su kitais duomenimis, blokavimas, trynimas ar naikinimas.

6.7. Duomenų tvarkymas automatiniu būdu – duomenų tvarkymo veiksmai, visiškai ar iš dalies atliekami automatinėmis priemonėmis. 

6.8. Duomenų tvarkymas neautomatiniu būdu – duomenų tvarkymo veiksmai, atliekami neautomatinėmis priemonėmis (informaciją tvarkant dokumentuose).

6.9. Duomenų tvarkymas statistikos tikslais – statistinių tyrimų vykdymas, jų rezultatų teikimas ir saugojimas.

6.10. Kompiuterinė įranga – kompiuteriai, terminalai, serveriai, laikmenos, kita įstaigai teisėtu pagrindu (nuosavybės teise, nuomos ar kitais pagrindais) priklausanti kompiuterinė įranga ir joje esanti programinė įranga, tarp jų elektroninė pašto dėžutė, bendravimo interneto tinklu programos, debesų kompiuterijos paslaugos, interneto prieiga.

6.11. Duomenų subjekto sutikimas (toliau – Sutikimas) – savanoriškas rašytinis duomenų subjekto valios pareiškimas tvarkyti jo asmens duomenis jam žinomu tikslu.

6.12. Prašymas – su asmens duomenų apsaugos teisių ar teisėtų interesų pažeidimu nesusijęs asmens kreipimasis į DPJC prašant suteikti jam informaciją apie DPJC jo tvarkomus asmens duomenis bei gauti jų kopiją.

6.13. Skundas – asmens DPJC adresuotas rašytinis kreipimasis, kuriame nurodoma, kad pažeistos jo asmens duomenų apsaugos teisės ar teisėti interesai, ar pranešama apie kito asmens pažeistas asmens duomenų teises ir teisėtus interesus ir prašoma juos apginti.

6.14. Vidaus administravimas – veikla, kuria užtikrinamas duomenų valdytojo savarankiškas funkcionavimas (struktūros tvarkymas, personalo valdymas, turimų materialinių ir finansinių išteklių valdymas ir naudojimas, dokumentų valdymas).

7. Kitos vartojamos sąvokos suprantamos taip, kaip jos yra apibrėžtos Asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose.

II SKYRIUS
ASMENS DUOMENŲ RINKIMO, TVARKYMO, NAUDOJIMO TIKSLAI

8.   Asmens duomenys DPJC tvarkomi šiais tikslais:

8.1. Vidaus administravimo (struktūros tvarkymas, esamų ir buvusių darbuotojų informacijos valdymas, dokumentų valdymas, turimų materialinių ir finansinių išteklių valdymas) tikslu tvarkomi šie duomenys: vardas, pavardė, adresas, asmens kodas, gimimo data, lytis, nuotrauka, šeiminė padėtis, šeimos narių ir išlaikytinių vardai bei pavardės, asmens kodai, asmens socialinio draudimo pažymėjimo numeris, darbo užmokesčio bei socialinio draudimo įmokų sumos, savanoriško draudimo sutarčių duomenys, draudimo valstybės lėšomis datos, dalyvavimo pensijų kaupime duomenys, atsiskaitomosios sąskaitos numeris, telefono numeris, elektroninio pašto adresas, gyvenimo ir veiklos aprašymas, pareigos, duomenys apie priėmimą (perkėlimą) į pareigas, atleidimą iš pareigų, darbo stažą, pareigos, į kurias asmuo pageidauja būti paskirtas ar perkeltas, tabelinis darbuotojo identifikavimo numeris, duomenys apie išsilavinimą ir kvalifikaciją, duomenys apie atostogas, duomenys apie komandiruotes, duomenys apie atskirą darbo grafiką, duomenys apie darbo užmokestį, išmokas, kompensacijas, pašalpas, informacija apie dirbtą darbo laiką, informacija apie skatinimus ir nuobaudas, tarnybinius ar darbo pareigų pažeidimus, duomenys apie darbuotojų veiklos vertinimą, viešųjų ir privačių interesų deklaravimo duomenys, ypatingi asmens duomenys, susiję su asmens sveikata, duomenys apie asmens teistumą (nustatytoms pareigybėms), paso ir (ar) asmens tapatybės kortelės numeris (-iai), išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, dokumentų registracijos data ir numeris, ankstesnė darbovietė ir pareigos, buvusi pavardė, įgyto mokslo pažymėjimų numeriai, kiti asmens duomenys, kuriuos pateikia pats asmuo.

8.2. Atrankos į darbo vietas tikslu tvarkomi šie duomenys: duomenų subjekto vardas, pavardė, pilietybė, gyvenimo aprašymas ir juose pateikti duomenys – nuotrauka, asmeniniai telefono numeriai, elektroninio pašto adresas, esama ir buvusios darbovietės, gimimo data, studijų institucija (esama ar buvusi), pareigos, mokslo laipsnis ir kiti kandidato savanoriškai pateikti asmeniniai duomenys. Iškilus abejonių, DPJC taip pat gali pareikalauti pateikti šių dokumentų kopijas: asmens tapatybę ir pilietybę patvirtinančio dokumento; išsilavinimą patvirtinančio dokumento; dokumento, patvirtinančio įgytą pareigoms eiti reikalaujamą valstybinės kalbos mokėjimo lygį, kai iš kitų pateiktų išsilavinimą patvirtinančių dokumentų negalima nustatyti valstybinės kalbos mokėjimo lygio; darbo patirtį (stažą) patvirtinančių dokumentų, jeigu pareigybės, į kurią paskelbta atranka, aprašyme pretendentui nustatytas specialus reikalavimas turėti atitinkamą darbo patirtį (stažą), kitų dokumentų, būtinų patvirtinti pretendento atitiktį pareigybės, į kurią paskelbta atranka, aprašyme nustatytiems specialiesiems reikalavimams. Iš atranką laimėjusio kandidato DPJC gauna šiuos dokumentus (jei jie nebuvo pateikti atrankos metu) ir tvarko jų kopijas: asmens tapatybę ir pilietybę patvirtinantį dokumentą, išsilavinimą patvirtinantį dokumentą, dokumentą, patvirtinantį įgytą pareigoms eiti reikalaujamą valstybinės kalbos mokėjimo lygį (pagal valstybinės kalbos mokėjimo kategorijas, patvirtintas Lietuvos Respublikos Vyriausybės 2003 m. gruodžio 24 d. nutarimu Nr. 1688 „Dėl valstybinės kalbos mokėjimo kategorijų patvirtinimo ir įgyvendinimo“).

8.3. Teikiamos programų: Vaikų dienos centras (toliau – VDC), Big Brothers / Big Sisters (toliau– BBBS) proceso administravimo tikslu (savanorių, studentų vaikų priėmimo į VDC įforminimas, ugdymo proceso organizavimas ir vykdymas, vaikų lankomumo registravimas ir apskaita, charakteristikų rašymas, bylų pildymas) tvarkomi šie duomenys: vardas, pavardė, asmens kodas, lankoma bendrojo ugdymo mokykla, klasė, adresas. Taip pat tėvų / globėjų atstovų pagal įstatymą vardas, pavardė, telefono numeris, elektroninio pašto adresas.

8.4. DPJC veiklos informavimo bendruomenei ir visuomenei tikslu – vaikų, studentų, savanorių ir darbuotojų nuotraukos, filmuota medžiaga (jei renginys yra filmuojamas, fotografuojamas – išankstiniame renginio skelbime apie tai yra informuojama).

8.5. Renginių ir programų vykdymo tikslu – paslaugą teikiančio fizinio asmens vardas, pavardė, asmens kodas, adresas, atsiskaitomosios sąskaitos numeris, telefono numeris, elektroninio pašto adresas, paso ir (ar) asmens tapatybės kortelės numeris (-iai), išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, individualios veiklos pažymos ar verslo liudijimo data ir numeris.

8.6. Asmenų skundų, prašymų ir pareiškimų nagrinėjimo tikslu tvarkomi šie duomenys: duomenų subjekto vardas, pavardė, adresas, telefono numeris, elektroninio pašto adresas.

8.7. Komunikacijos su darbuotojais tikslu tvarkomi šie duomenys: vardas, pavardė, telefono numeris, gyvenamosios vietos adresas, elektroninio pašto adresas.

III SKYRIUS
DUOMENŲ TVARKYME DALYVAUJANČIŲ SUBJEKTŲ PAREIGOS

9. Duomenys DPJC renkami teisės aktų nustatyta tvarka juos gaunant tiesiogiai iš duomenų subjekto, oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų ar sutarčių pagrindu. Esant būtinybei asmens duomenys tvarkomi gaunant duomenų subjekto sutikimą.

10. DPJC kaip duomenų valdytojas:

10.1. užtikrina duomenų subjekto teisių įgyvendinimą ir vykdo bendruosiuose reikalavimuose organizacinėms ir techninėms asmens duomenų saugumo priemonėms ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytas asmens duomenų valdytojo pareigas;

10.2. paskiria asmenį (-is), atsakingą (-us) už asmens duomenų tvarkymą ir vykdantį asmens duomenų teisinės apsaugos reikalavimų laikymosi DPJC kontrolės funkcijas;

10.3. tvirtina asmens duomenų apsaugą ir tvarkymą reglamentuojančius teisės aktus;

10.4. užtikrina darbuotojų mokymą ir kvalifikacijos tobulinimą asmens duomenų teisinės apsaugos srityje.

11.  Tvarkydamas asmens duomenis DPJC užtikrina, kad būtų laikomasi šių duomenų tvarkymo principų:

11.1. asmens duomenys būtų tvarkomi laikantis BDAR, ADTAĮ ir kitų norminių bei DPJC teisės aktų, reglamentuojančių duomenų apsaugą;

11.2. asmens duomenys būtų renkami apibrėžtais ir teisėtais tikslais ir toliau nebūtų tvarkomi tikslais, nesuderinamais su nustatytaisiais prieš renkant asmens duomenis;

11.3. asmens duomenys būtų tvarkomi tiksliai, sąžiningai ir teisėtai; 

11.4. asmens duomenys būtų tapatūs, tinkami ir tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti;

11.5. asmens duomenys būtų tvarkomi taip, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau nei to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;

11.6. susipažindina su šiuo Aprašu padalinio darbuotojus;

11.7. užtikrina elektroninių ir (ar) popierinių dokumentų su asmens duomenimis sunaikinimą, pasibaigus nustatytiems asmens duomenų saugojimo terminams;

11.8. užtikrina tinkamų organizacinių priemonių, skirtų apsaugoti padalinio tvarkomus asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo, įgyvendinimą.

12. Darbuotojas, vykdantis asmens duomenų teisinės apsaugos reikalavimų laikymosi DPJC kontrolės funkcijas:

12.1. kontroliuoja, kaip darbuotojai vykdo šiame Apraše nustatytas asmens duomenų tvarkymo pareigas ir tvarko asmens duomenis;

12.2. DPJC vadovui ir valdybai teikia siūlymus ir išvadas dėl duomenų apsaugos ir duomenų tvarkymo priemonių nustatymo, prižiūri, kaip šios priemonės įgyvendinamos ir naudojamos;

12.3. teikia darbuotojams tiesioginius nurodymus pašalinti asmens duomenų tvarkymo pažeidimus;

12.4. informuoja DPJC vadovą apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę DPJC tvarkomų asmens duomenų saugumui;

12.5. supažindina darbuotojus, tvarkančius asmens duomenis, pasirašytinai arba kitokiu būdu (turi būti užtikrintas susipažinimo įrodomumas) supažindina su šiuo Aprašu.

13. Prieiga prie asmens duomenų gali būti suteikta tik tiems darbuotojams, kurie atsakingi už asmens duomenų tvarkymą arba kuriems tokie duomenys yra reikalingi jų funkcijoms vykdyti.

14. Su asmens duomenimis galima atlikti tik tuos veiksmus, kuriems atlikti darbuotojams yra suteiktos teisės.

15. Darbuotojai, tvarkantys duomenų subjektų asmens duomenis, privalo:

15.1. laikytis pagrindinių asmens duomenų tvarkymo ir saugumo reikalavimų, įtvirtintų Asmens duomenų teisinės apsaugos įstatyme, Reglamente (ES) 2016/679, Apraše ir kituose teisės aktuose;

15.2. laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo funkcijas, nebent tokia informacija būtų vieša pagal galiojančių teisės aktų reikalavimus (pareiga saugoti asmens duomenų paslaptį galioja ir pasibaigus darbo santykiams DPJC);

15.3. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su asmens duomenimis nė vienam asmeniui, kuris nėra įgaliotas tvarkyti asmens duomenis;

15.4. nedelsiant pranešti DPJC vadovui, o šio nesant darbe – darbuotojui, vykdančiam asmens duomenų teisinės apsaugos reikalavimų laikymosi DPJC kontrolės funkcijas, apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę tvarkomų asmens duomenų saugumui;

15.5. laikytis kitų Apraše ir asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.

16. Darbuotojai, tvarkantys asmens duomenis, turi pasirašyti konfidencialumo pasižadėjimą
(1 priedas). Pasirašytas pasižadėjimas saugomas darbuotojo asmens byloje.

17. Darbuotojai netenka teisės tvarkyti duomenų subjektų asmens duomenų, kai pasibaigia darbo santykiai su DPJC arba kai jiems pavedama vykdyti su duomenų tvarkymu nesusijusias funkcijas.

IV SKYRIUS
TECHNINĖS IR ORGANIZACINĖS ASMENS DUOMENŲ SAUGUMO PRIEMONĖS

18. Siekiant užtikrinti ne automatiniu būdu tvarkomų asmens duomenų saugumą, naudojamos tokios duomenų saugumo priemonės:

18.1. popierinės formos susisteminti duomenų rinkiniai (bylos, registrai), saugomi rakinamose patalpose;

18.2. archyviniam saugojimui perduotos DPJC darbuotojų, vaikų asmens bylos saugomos DPJC archyve rakinamoje dokumentų saugykloje. Šie duomenys tretiesiems asmenims susipažinti teikiami tik tais atvejais, kai tą leidžia teisės aktai;

18.3. DPJC užtikrina patalpų, kuriose saugomi asmens duomenys, saugumą.

19. Siekiant apsaugoti automatiniu būdu tvarkomus duomenis, naudojamos tokios techninės duomenų saugumo priemonės:

19.1. atsakingi darbuotojai kompiuteriuose esančius asmens duomenis saugo naudodami  unikalius slaptažodžius, kurie keičiami ir saugomi užtikrinant jų konfidencialumą. Slaptažodžiai turi būti keičiami susidarius tam tikroms aplinkybėms (pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims ir pan.);

19.2. DPJC darbuotojų kompiuteriuose esančios kompiuterinės bylos, kuriose kaupiami asmens duomenys, negali būti prieinamos kitų kompiuterių naudotojams. DPJC darbuotojai, kurie turi teisę jungtis prie valstybinių ir kitų duomenų registrų, asmens duomenimis gali pasinaudoti griežtai tik darbinių funkcijų atlikimui;

19.3. prieiga prie valstybinių ir kitų duomenų registrų bei teisė atlikti duomenų tvarkymo veiksmus suteikiama tik tiems darbuotojams, kuriems prieiga prie asmens duomenų reikalinga pagal užimamas pareigas ir atliekamas darbines funkcijas;

19.4. užtikrinama kompiuterinės įrangos apsauga nuo kenksmingos programinės įrangos (antivirusinių programų įdiegimas, atnaujinimas ir pan.);

19.5. kompiuterinė įranga prižiūrima pagal gamintojo rekomendacijas, priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai.

V SKYRIUS
KOMPIUTERINĖS ĮRANGOS NAUDOJIMAS

20. Kompiuterinė įranga gali būti bendrai naudojama visų duomenų valdytojo darbuotojų, jų grupės arba priskirta konkrečiam darbuotojui. Kompiuterine įranga, įprastai naudojama konkretaus darbuotojo, gali pasinaudoti ir kiti duomenų valdytojo darbuotojai, jei susiklosčiusios aplinkybės sudaro būtinybę naudotis šia kompiuterine įranga darbo funkcijų atlikimui. Darbuotojo darbo vieta, įskaitant elektroninį paštą, gali būti stebima išimtinai šiais atvejais:

20.1. atliekant asmens duomenų saugumo pažeidimo tyrimą;

20.2. darbuotojo ligos, komandiruotės ar neatvykimo į darbą dėl kitų priežasčių atvejais – tik tiesioginio vadovo leidimu;

20.3. siekiant pašalinti technines kliūtis, dėl kurių darbuotojas negali naudotis el. paštu ar kompiuterine įranga.

21. Darbuotojui draudžiama į kompiuterinę įrangą siųstis, įdiegti programinę įrangą, atidaryti nepaisant draudimo atsisiųstas ir / ar įdiegtas programas.

22. Darbuotojui suteikta elektroninio pašto dėžutė gali būti naudojama tik darbo funkcijų vykdymo tikslais.

23. Jeigu elektroninės pašto dėžutės (elektroninio laiško arba laiško prisegtuko) turinys darbuotojui yra neaiškus, nesuprantamas arba neatsidaro, darbuotojas privalo nedelsiant kreiptis į atsakingą asmenį bei nurodyti, kas neaišku, nesuprantama ar neatsidaro.

24. Naudojantis kompiuterine įranga darbuotojams griežtai draudžiama skleisti duomenų valdytojo konfidencialią informaciją internete (elektroniniuose puslapiuose, elektroniniu paštu) ar perduoti tokią informaciją tretiesiems asmenimis, kurie neturi teisės susipažinti su tokia informacija.

25. Kompiuterinės įrangos gedimai šalinami iš karto juos pastebėjus. Darbuotojams, neturintiems reikiamo parengimo, draudžiama bandyti savarankiškai šalinti kompiuterinės įrangos gedimus. Jie turi nedelsiant pranešti apie gedimą / trikdžius kompiuterinės įrangos priežiūrą atliekančiam asmeniui.

VI SKYRIUS
DUOMENŲ SAUGOJIMO TERMINAI

26. DPJC taiko skirtingus asmens duomenų saugojimo terminus priklausomai nuo duomenų tvarkymo tikslų:

26.1. darbuotojų asmens duomenys, tvarkomi su darbo santykiais susijusiais (vidaus administravimo) tikslais, saugomi iki 50 metų po darbo sutarties nutraukimo vadovaujantis Bendrųjų dokumentų saugojimo terminų rodykle;

26.2. savanorių sutartys, VDC, BBBS vaikų bylos saugomos laikantis DPJC vadovo tvirtinamuose kasmetiniuose dokumentacijos planuose nustatytų terminų;

26.3. susisteminti popierinės ir elektroninės formos duomenų rinkiniai saugomi laikantis DPJC vadovo tvirtinamuose kasmetiniuose dokumentacijos planuose nustatytų terminų.

27. Išimtys iš aukščiau nurodytų saugojimo terminų gali būti nustatomos tiek, kiek tokie nukrypimai nepažeidžia duomenų subjektų teisių, atitinka teisinius reikalavimus ir yra tinkamai dokumentuoti.

VII SKYRIUS
DUOMENŲ SUNAIKINIMAS

28. Asmens duomenys, nebereikalingi jų tvarkymo tikslams pasiekti, yra sunaikinami, išskyrus tuos, kurie teisės aktų nustatytais atvejais turi būti perduodami į tam tikrą archyvą.

29. Sunaikinimas apibrėžiamas kaip fizinis ar techninis veiksmas, kuriuo dokumente esantys duomenys padaromi neatkuriamais įprastinėmis komerciškai prieinamomis priemonėmis.

30. Elektronine forma saugomi asmens duomenys sunaikinami juos ištrinant be galimybės atkurti.

31. Popieriniai dokumentai, kuriuose yra asmens duomenų, susmulkinami, o likučiai saugiu būdu sunaikinami.

VIII SKYRIUS
DUOMENŲ SUBJEKTO TEISĖS

32.  Duomenų subjektas, kurio duomenys tvarkomi DPJC veikloje, turi šias teises:

32.1. žinoti (būti informuotas) apie savo duomenų tvarkymą (teisė žinoti);

32.2. susipažinti su savo duomenimis ir kaip jie yra tvarkomi (teisė susipažinti);

32.3. reikalauti ištaisyti arba, atsižvelgiant į asmens duomenų tvarkymo tikslus, papildyti asmens neišsamius asmens duomenis (teisė ištaisyti);

32.4. savo duomenis sunaikinti arba sustabdyti savo duomenų tvarkymo veiksmus (išskyrus saugojimą) teisė sunaikinti ir teisė būti pamirštam);

32.5. turi teisę reikalauti, kad asmens duomenų valdytojas apribotų asmens duomenų tvarkymą (teisė apriboti);

32.6. turi teisę į duomenų perkėlimą (teisė perkelti).

33. Duomenų valdytojas gali nesudaryti duomenų subjektams sąlygų įgyvendinti šių teisių, kai įstatymų numatytais atvejais, reikia užtikrinti nusikaltimų, tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą, taip pat duomenų subjekto ar kitų asmenų teisių ir laisvių apsaugą.

34. Visais klausimais, susijusiais su duomenų subjektų asmeninių duomenų tvarkymu ir duomenų subjektų teisėmis, numatytomis BDAR, ADTAĮ ir kituose susijusiuose teisės aktuose, duomenų subjektai turi teisę kreiptis tiesiogiai į DPJC vadovą arba darbuotoją, vykdantį asmens duomenų teisinės apsaugos reikalavimų laikymosi DPJC kontrolės funkcijas.

35. Duomenų subjektas turi teisę susipažinti, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti bent per pastaruosius 1 metus.

36. Duomenų subjektas turi teisę reikalauti ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir/ar Bendrojo duomenų apsaugos reglamento, kitų įstatymų nuostatų:

36.1. jeigu duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra neteisingi, neišsamūs ar netikslūs ir raštu kreipiasi į DPJC. DPJC nedelsdamas, bet ne vėliau kaip per 5 darbo dienas, patikrina asmens duomenis ir ištaiso neteisingus, neišsamius, netikslius asmens duomenis ir/ar sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą;

36.2. jeigu duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra tvarkomi neteisėtai, nesąžiningai, ir kreipiasi į DPJC, DPJC nedelsdamas, bet ne vėliau kaip per 5 darbo dienas, neatlygintinai patikrina asmens duomenų tvarkymo teisėtumą, sąžiningumą ir nedelsdamas sunaikina neteisėtai ir nesąžiningai sukauptus asmens duomenis ar sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą;

36.3. DPJC, duomenų subjekto prašymu sustabdęs jo asmens duomenų tvarkymo veiksmus, asmens duomenis, kurių tvarkymo veiksmai sustabdyti, saugo tol, kol jie bus ištaisyti ar sunaikinti (duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui). Kiti tvarkymo veiksmai su tokiais asmens duomenimis gali būti atliekami tik:

36.3.1. turint tikslą įrodyti aplinkybes, dėl kurių duomenų tvarkymo veiksmai buvo sustabdyti;

36.3.2. jei duomenų subjektas duoda sutikimą toliau tvarkyti savo asmens duomenis;

36.3.3. jei reikia apsaugoti trečiųjų asmenų teises ar teisėtus interesus;

36.3.4. jei DPJC nedelsdamas, ne vėliau kaip per 5 darbo dienas, praneša duomenų subjektui apie jo prašymu atliktą ar neatliktą asmens duomenų ištaisymą, sunaikinimą ar asmens duomenų tvarkymo veiksmų sustabdymą;

36.3.5. jei asmens duomenys taisomi ir naikinami arba jų tvarkymo veiksmai sustabdomi pagal duomenų subjekto tapatybę ir jo asmens duomenis patvirtinančius dokumentus, gavus duomenų subjekto rašytinį prašymą;

36.3.6. jei DPJC abejoja duomenų subjekto pateiktų asmens duomenų teisingumu, jis sustabdo tokių asmens duomenų tvarkymo veiksmus, duomenis patikrina ir patikslina. Tokie asmens duomenys naudojami tik jų teisingumui patikrinti;

36.3.7. jei DPJC nedelsdamas, bet ne vėliau kaip per 5 darbo dienas, informuoja duomenų  gavėjus apie duomenų subjekto prašymu ištaisytus ar sunaikintus jo asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus.

37. DPJC, siekdamas įgyvendinti duomenų subjekto teisę nesutikti, kad būtų tvarkomi jo asmens duomenys, kreipiasi į duomenų subjektą raštu ir nustato terminą, per kurį duomenų subjektas turi teisę išreikšti savo nesutikimą.

38. Jeigu duomenų subjekto nesutikimas yra teisiškai pagrįstas, DPJC nedelsdamas nutraukia asmensduomenų tvarkymo veiksmus, išskyrus teisės aktų nustatytus atvejus, ir informuoja duomenų gavėjus.

39. Jeigu duomenų subjektas per DPJC nustatytą terminą nepateikia rašytinio pranešimo apie nesutikimą, kad būtų tvarkomi jo asmens duomenys, laikoma, kad duomenų subjektas nepasinaudojo savo teise nesutikti, kad būtų tvarkomi jo asmens duomenys.

40. Duomenų subjekto prašymu DPJC raštu praneša duomenų subjektui apie jo asmens duomenų tvarkymo veiksmų nutraukimą ar atsisakymą nutraukti duomenų tvarkymo veiksmus, nurodydama motyvus.

IX SKYRIUS
PRAŠYMO DĖL DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO PATEIKIMAS

41. Duomenų subjektai, siekdami įgyvendinti savo teises, DPJC turi pateikti prašymą raštu asmeniškai, paštu ar per pasiuntinį, ar elektroninių ryšių priemonėmis.

42. Prašymas turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, gyvenamoji vieta, duomenys ryšiui palaikyti ir informacija apie tai, kokią iš Apraše nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti.

43. Pateikdamas prašymą raštu, duomenų subjektas privalo patvirtinti savo tapatybę:

43.1. DPJC darbuotojui, registruojančiam prašymą, turi pateikti asmens tapatybę patvirtinantį dokumentą;

43.2. pateikdamas prašymą paštu ar per pasiuntinį, kartu turi pateikti asmens tapatybę patvirtinančio dokumento kopiją, patvirtintą notaro, ar šio dokumento kopiją, patvirtintą kita teisės aktų nustatyta tvarka.

43.3. pateikdamas prašymą elektroninių ryšių priemonėmis, turi pasirašyti jį elektroniniu parašu.

44. Duomenų subjektas savo teises DPJC gali įgyvendinti pats arba per atstovą.

45. Jei atstovaujamo duomenų subjekto vardu į DPJC kreipiasi asmens atstovas, jis savo prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, duomenis ryšiui palaikyti, taip pat atstovaujamo asmens vardą, pavardę, gyvenamąją vietą, informaciją apie tai, kokią iš Apraše nurodytų duomenų subjekto teisę ir kokia apimtimi pageidaujama įgyvendinti, ir pridėti atstovavimą patvirtinantį dokumentą ar jo kopiją.

X SKYRIUS
PRAŠYMO DĖL DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO NAGRINĖJIMAS

46. DPJC duomenų subjekto prašymo, kuris pateiktas nesilaikant šio Aprašo 44-48 punktuose nustatytų reikalavimų, nenagrinėja, jeigu DPJC vadovas nenusprendžia kitaip. Apie atsisakymo nagrinėti prašymą motyvus DPJC raštu informuoja prašymą pateikusį asmenį.

47.  Aprašo reikalavimus atitinkantį prašymą DPJC privalo išnagrinėti ir įgyvendinti duomenų subjekto teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti:

47.1. viešąją tvarką, nusikalstamų veikų prevenciją ar tyrimą;

47.2. tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą;

47.3. duomenų subjekto ar kitų asmenų teisių ir laisvių apsaugą.

48. Duomenų subjekto prašymą įgyvendinti jo, kaip duomenų subjekto, teises DPJC išnagrinėja ir atsakymą pateikia ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi.

49. Duomenų subjekto prašymas įgyvendinti jo, kaip duomenų subjekto, teises DPJC išnagrinėjamas ir atsakymas duomenų subjektui pateikiamas ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos. Atsakymas duomenų subjektui pateikiamas valstybine kalba duomenų subjekto pasirinktu būdu (registruotu laišku, asmeniškai ar elektroninių ryšių priemonėmis). DPJC, dėl objektyvių priežasčių negalėdamas pateikti atsakymo duomenų subjektui jo pasirinktu būdu, atsakymą pateikia registruotu paštu.

50. DPJC, atsisakydamas vykdyti duomenų subjekto prašymą įgyvendinti jo, kaip duomenų subjekto, teises, duomenų subjektui pateikia tokio atsisakymo motyvus.

51. Duomenų subjektas gali skųsti DPJC veiksmus (neveikimą), susijusius su duomenų subjekto teisių įgyvendinimu Valstybinei asmens duomenų apsaugos inspekcijai per pagal Reglamento (ES) 2016/679 77 straipsnio 1 dalies nustatytus reikalavimus ir Asmens duomenų teisinės apsaugos įstatymo 23 straipsnyje nustatytus terminus.

52. Duomenų subjekto teisės DPJC įgyvendinamos neatlygintinai.

53. DPJC užtikrina, kad visa reikalinga informacija duomenų subjektui būtų pateikiama aiškiai ir suprantamai.

54.DPJC, įgyvendindamas duomenų subjekto teises, užtikrina, kad nebūtų pažeista kitų asmenų teisė į privataus gyvenimo neliečiamumą.

XI SKYRIUS
BAIGIAMOSIOS NUOSTATOS

55. Aprašas peržiūrimas ir gali būti keičiama duomenų valdytojo iniciatyva ir (arba) keičiantis teisės aktams, reguliuojantiems asmens duomenų tvarkymą.

56. Darbuotojai, kurie atsakingi už asmens duomenų tvarkymą, arba darbuotojų atliekamos funkcijos sudaro galimybę sužinoti asmens duomenis, privalo vykdyti šiose taisyklėse nustatytus asmens duomenų tvarkymo reikalavimus.

57.  DPJC vadovas turi užtikrinti, kad darbuotojai būtų informuoti apie Aprašo atnaujinimus.

58.  Aprašas skelbiamas DPJC interneto svetainėje.

59. Darbuotojams, kurie pažeidžia BDAR, VDAĮ ar kitus teisės aktus, reglamentuojančius asmens duomenų tvarkymą bei apsaugą, arba Apraše nurodytas pareigas, taikoma Lietuvos Respublikos teisės aktų nustatyta atsakomybė.