Tel./faks (8 5) 247 8447
S. Stanevičiaus g. 98, LT-07103 Vilnius
El. p. rastine@ateities.vilnius.lm.lt
Kraunasi...

Asmens duomenų tvarkymo taisyklės

PATVIRTINTA

Vilniaus „Ateities“ mokyklos 

Direktoriaus

2020 m. rugsėjo mėn __ d.

įsakymu Nr. _____

 

 

VILNIAUS „ATEITIES“ MOKYKLOS ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

 

I. BENDROSIOS NUOSTATOS

 

1. Vilniaus „Ateities“ mokyklos Asmens duomenų tvarkymo taisyklės (toliau – Taisyklės) reguliuoja fizinių asmenų (toliau — Duomenų subjektas) asmens duomenų tvarkymo tikslus, nustato Duomenų subjekto teisių įgyvendinimo tvarką, įtvirtina organizacines, technines ir fizines duomenų apsaugos priemones, reguliuoja asmens duomenų tvarkytojo pasitelkimo atvejus ir kitus pagrindinius asmens duomenų apsaugos klausimus.

 

2. Šios Taisyklės parengtos vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau —  ADTAĮ) bei kitais Lietuvos Respublikos teisės aktais, susijusiais su asmens duomenų tvarkymu ir apsauga.

 

3. Šios Taisyklės taikomos automatiniu ir neautomatiniu būdu tvarkant Vilniaus „Ateities“ mokyklos darbuotojų, įstaigoje praktiką atliekančių asmenų, kandidatų į darbuotojus asmens duomenis. Mokinių ir jų tėvų (vaiko tėvų pareigų turėtojų) asmens duomenų tvarkymo atveju, šios Taisyklės taikomos kartu su Vilniaus „Ateities“ mokyklos mokinių asmens duomenų tvarkymo taisyklėmis. Šios Taisyklės taip pat nustato Vilniaus „Ateities“ mokyklos darbuotojų teises, pareigas ir atsakomybę tvarkant asmens duomenis.

 

4. Šių Taisyklių reikalavimai privalomi visiems Vilniaus „Ateities“ mokyklos darbuotojams (toliau - Darbuotojai), kurie tvarko Vilniaus „Ateities“ mokykloje esančius asmens duomenis arba eidami savo pareigas juos sužino. 

 

II. PAGRINDINĖS SĄVOKOS

 

5. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius. Skirtinga informacija, kuri surinkta kartu gali atskleisti konkretaus asmens tapatybę, taip pat yra asmens duomenys.

 

6. Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne. Tačiau valdžios institucijos, kurios pagal Sąjungos arba valstybės narės teisę gali gauti asmens duomenis vykdydamos konkretų tyrimą, nelaikomos duomenų gavėjais; tvarkydamos tuos duomenis, tos valdžios institucijos laikosi taikomų duomenų tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių;

 

7. Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip  pavyzdžiui rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.

 

8. Duomenų valdytojas – Vilniaus „Ateities“ mokykla, juridinio asmens kodas: 190003666, adresas: S. Stanevičiaus g. 98, LT-07103 Vilnius, tel. (8 5) 247 8447, elektroninio pašto adresas: rastine@ateities.vilnius.lm.lt (toliau - Duomenų valdytojas);

 

9. Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis.

 

10. Duomenų subjektas - fizinis asmuo, kurio asmens duomenys yra tvarkomi.

 

11. Kandidatas - asmuo, dalyvaujantis ar ketinantis dalyvauti Duomenų valdytojo vykdomoje personalo atrankoje.

 

12. Sutikimas – savanoriškas Duomenų subjekto valios pareiškimas tvarkyti jo asmens duomenis jam žinomu tikslu.

 

13. Duomenų apsaugos pareigūnas – Duomenų valdytojo paskirtas darbuotojas ar išorinis paslaugų teikėjas, tvarkomų duomenų atžvilgiu atliekantis pareigas, nustatytas duomenų apsaugos pareigūnui Reglamente ir ADTAĮ.

 

14. Vidaus administravimas - veikla, kuria užtikrinamas duomenų valdytojo savarankiškas funkcionavimas (struktūros tvarkymas, personalo valdymas, dokumentų valdymas, turimų materialinių ir finansinių išteklių valdymas ir naudojimas, raštvedybos tvarkymas ir pan.)

 

15. Asmens duomenys tvarkomi neautomatiniu būdu susistemintose rinkmenose ir (arba) automatiniu būdu.

 

16. Kitos šiose Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente ir kituose Lietuvos Respublikos teisės aktuose.

 

III. ASMENS DUOMENŲ TVARKYMO PRINCIPAI, TIKSLAI IR APIMTIS

 

17. Asmens duomenys tvarkomi vadovaujantis šiais principais:

 

17.1. asmens duomenys renkami apibrėžtais ir teisėtais tikslais ir toliau negali būti tvarkomi tikslais, nesuderinamais su nustatytaisiais prieš renkant asmens duomenis;

 

17.2. asmens duomenys tvarkomi tiksliai, sąžiningai ir teisėtai;

 

17.3. asmens duomenys turi būti tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymą;

 

17.4. asmens duomenys turi būti tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti;

 

17.5. renkant ir tvarkant asmens duomenis laikomasi tikslingumo ir proporcingumo principų, nekaupiami ir netvarkomi pertekliniai duomenys;

 

17.6. asmens duomenys saugomi tokia forma, kad Duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;

 

17.7. asmens duomenys tvarkomi tokiu būdu, kad taikant atitinkamas technines, fizines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas);

 

17.8. asmens duomenys tvarkomi pagal Reglamento, ADTAĮ ir kituose atitinkamą veiklą reglamentuojančiuose įstatymuose nustatytus aiškius ir skaidrius asmens duomenų tvarkymo reikalavimus.

 

18. Vilniaus „Ateities“ mokykla Duomenų subjektų asmens duomenis tvarko šiais tikslais:

 

18.1. vidaus administravimo  tikslu (Taisyklių 1 Priedas);

 

18.2. darbuotojų atrankos vykdymo tikslu (Taisyklių 2 Priedas);

 

18.3. tinkamos komunikacijos su darbuotojais ne darbo metu palaikymo tikslu (Taisyklių 3 Priedas);

 

18.4. bendruomenės ir visuomenės informavimo apie Vilniaus „Ateities“ mokyklos veiklą ir bendruomenės narių pasiekimus tikslu (bendruomenės narių kūrybinių darbų, informacijos apie mokymosi pasiekimus, dalyvavimą renginiuose, nuotraukų, filmuotos medžiagos ir pan. skelbimas Vilniaus „Ateities“ mokyklos internetiniame puslapyje, socialinio tinklo paskyroje, skelbimų lentoje) (Taisyklių 4 Priedas);

 

18.5. skundų, prašymų ar pranešimų nagrinėjimo ir raštvedybos tvarkymo tikslu (Taisyklių 5 Priedas);

 

18.6. kt. atv.

 

19. Tikslai, kurių siekiama tvarkant mokinių ir jų tėvų asmens duomenis, yra nurodyti Vilniaus „Ateities“ mokyklos mokinių duomenų tvarkymo taisyklėse.

 

20. Konkretūs asmens duomenų saugojimo terminai yra įtvirtinti Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 patvirtintoje Bendrųjų dokumentų saugojimo terminų rodyklėje, Lietuvos Respublikos švietimo ir mokslo ministro ir Lietuvos archyvų departamento prie Lietuvos Respublikos Vyriausybės generalinio direktoriaus 2005 m. rugpjūčio 29 d. įsakymu Nr. ISAK-1776/V-83 patvirtintoje Bendrojo lavinimo mokyklų dokumentų saugojimo terminų rodyklėje ir kituose teisės aktuose. Nesant teisės aktuose įtvirtinto duomenų saugojimo termino, konkretų asmens duomenų saugojimo terminą nustato pats Duomenų valdytojas. 

 

IV. DUOMENŲ VALDYTOJO IR TVARKYTOJO FUNKCIJOS, TEISĖS IR PAREIGOS

 

21. Duomenų valdytojas turi šias teises:

 

21.1. rengti ir priimti vidinius teisės aktus, reglamentuojančius asmens duomenų tvarkymą;

 

21.2. paskirti už asmens duomenų apsaugą atsakingą asmenį;

 

21.3. parinkti įgalioti duomenų tvarkytojus tvarkyti asmens duomenis;

 

21.4. spręsti dėl tvarkomų asmens duomenų teikimo;

 

21.5. tvarkyti asmens duomenis;

 

22. Duomenų valdytojas turi šias pareigas:

 

22.1. užtikrinti, kad būtų laikomasi Reglamento, ADTAĮ ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą;

 

22.2. įgyvendinti Duomenų subjekto teises šiose Taisyklėse nustatyta tvarka;

 

22.3. užtikrinti asmens duomenų saugumą įgyvendinant technines, organizacines ir fizines asmens duomenų saugumo priemones;

 

22.4. tvarkyti duomenų tvarkymo veiklos įrašus ir užtikrinti duomenų veiklos įrašų pakeitimų atsekamumą;

 

22.5. vertinti poveikį duomenų apsaugai;

 

22.6. konsultuotis su Valstybine duomenų apsaugos inspekcija;

 

22.7. skirti duomenų apsaugos pareigūną (jei tai yra reikalinga);

 

22.8. pranešti apie duomenų saugumo pažeidimą.

 

23. Duomenų valdytojas atlieka šias funkcijas:

 

23.1. analizuoja technologines, metodologines ir organizacines asmens duomenų tvarkymo problemas ir priima sprendimus, reikalingus tinkamam asmens duomenų saugumo užtikrinimui;

 

23.2. teikia metodinę pagalbą darbuotojams ir duomenų tvarkytojams asmens duomenų tvarkymo tikslais;

 

23.3. organizuoja darbuotojų mokymus asmens duomenų teisinės apsaugos klausimais;

 

23.4. organizuoja duomenų tvarkymą;

 

23.5. vykdo kitas funkcijas, reikalingas Duomenų valdytojo teisėms ir pareigoms įgyvendinti.

 

24. Jeigu duomenų tvarkymo veiksmams pasitelkiamas ir įgaliojamas duomenų tvarkytojas, jisturi teises ir pareigas bei vykdo funkcijas, numatytas duomenų tvarkymo sutartyje. Su Duomenų tvarkytoju Duomenų valdytojas sudaro rašytinę sutartį dėl asmens duomenų tvarkymo, kurioje numatoma, kokius duomenų tvarkymo veiksmus privalo atlikti Duomenų tvarkytojas. Duomenų valdytojas privalo parinkti tokį Duomenų tvarkytoją, kuris garantuotų reikiamas technines, organizacines ir fizines duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi.

 

25. Jei pasitelkiamas duomenų tvarkytojas, jis turi šias teises:

 

25.1. teikti duomenų valdytojui pasiūlymus dėl duomenų tvarkymo techninių ir programinių priemonių gerinimo;

 

25.2.  tvarkyti asmens duomenis, kiek tam yra įgaliotas duomenų valdytojo.

 

26. Jei pasitelkiamas duomenų tvarkytojas, jis turi šias pareigas:

 

26.1. įgyvendinti tinkamas organizacines, technines ir fizines duomenų saugumo priemones, skirtas asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo apsaugoti;

 

26.2. supažindinti naujai priimtus savo darbuotojus su šiomis Taisyklėmis;

 

26.3. užtikrinti, kad prieiga prie asmens duomenų būtų suteikta tik Taisyklėse nustatyta tvarka  įgaliotiems asmenims;

 

26.4. užtikrinti, kad asmens duomenys būtų saugomi Taisyklėse nustatytais terminais;

 

26.5. užtikrinti, kad asmens duomenys būtų tvarkomi vadovaujantis Taisyklėmis, Reglamentu, ADTAI ir kitais asmens duomenų apsaugą reglamentuojančiais teisės aktais;

 

26.6.saugoti asmens duomenų paslaptį, neatskleisti, neperduoti tvarkomos informacijos ir nesudaryti sąlygų jokiomis priemonėmis su ja susipažinti nei vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija, tiek įstaigoje, tiek už jos ribų;

 

26.7. tvarkyti duomenų tvarkymo veiklos įrašus ir užtikrinti duomenų veiklos įrašų pakeitimų atsekamumą;

 

26.8. padėti duomenų valdytojui užtikrinti jam numatytas prievoles;

 

26.9. skirti duomenų apsaugos pareigūną (jei tai yra reikalinga);

 

26.10. pranešti duomenų valdytojui apie duomenų saugumo pažeidimą;

 

26.11. laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su Duomenų subjekto duomenimis, susijusią informaciją, su kuria susipažino atlikdami duomenų tvarkymo veiksmus.

 

26.12. Dėl tvarkomų Duomenų valdytojo duomenų konsultuotis su paskirtu Duomenų valdytojo duomenų apsaugos pareigūnu ar kitu atsakingu asmeniu;

 

27. Jei pasitelkiamas duomenų tvarkytojas, jis atlieka šias funkcijas:

 

27.1. įgyvendina asmens duomenų saugumo priemones;

 

27.2. tvarko asmens duomenis pagal Duomenų valdytojo nurodymus.

 

V. DUOMENŲ SUBJEKTO TEISĖS

 

28. Duomenų subjektas, kurio duomenys tvarkomi Duomenų valdytojo veikloje, turi šias teises:

 

28.1. žinoti (būti informuotas) apie savo duomenų tvarkymą (teisė žinoti)

 

28.2. susipažinti su savo duomenimis ir kaip jie yra tvarkomi (teisė susipažinti);

 

28.3. reikalauti ištaisyti arba, atsižvelgiant į asmens duomenų tvarkymo tikslus, papildyti asmens neišsamius asmens duomenis (teisė ištaisyti);

 

28.4. savo duomenis sunaikinti arba sustabdyti savo duomenų tvarkymo veiksmus (išskyrus saugojimą) (teisė sunaikinti ir teisė „būti pamirštam“);

 

28.5. turi teisę reikalauti, kad asmens Duomenų valdytojas apribotų asmens duomenų tvarkymą esant vienai iš teisėtų priežasčių (teisė apriboti);

 

28.6. teisę į duomenų perkėlimą (teisė perkelti);

 

28.7. nesutikti, kad būtų tvarkomi asmens duomenys, kai šie duomenys tvarkomi ar ketinami tvarkyti tiesioginės rinkodaros tikslais, įskaitant profiliavimą, kiek jis susijęs su tokia tiesiogine rinkodara;

 

28.8. pateikti skundą Lietuvos Respublikos Valstybinei duomenų apsaugos inspekcijai.

 

29. Informacija apie Vilniaus „Ateities“ mokyklos atliekamą duomenų subjekto asmens duomenų tvarkymą pateikiama viešai skelbiamoje Vilniaus „Ateities“ mokyklos privatumo politikoje, šiose Taisyklėse, mokinių asmens duomenų tvarkymo taisyklėse.

 

30. Duomenų valdytojas esant duomenų subjekto prašymui įgyvendinti teisę susipažinti su savo asmens duomenimis pagal Reglamento 16 straipsnį, turi pateikti:

 

30.1. informaciją, ar duomenų subjekto asmens duomenys tvarkomi ar ne;

 

30.2. jeigu duomenų subjekto asmens duomenys tvarkomi, su asmens duomenų tvarkymu susijusią informaciją, numatytą Reglamento 15 straipsnio 1 ir 2 dalyse;

 

30.3. tvarkomų asmens duomenų kopiją.

 

31. Duomenų subjektas, vadovaudamasis Reglamento 16 straipsniu, turi teisę reikalauti, kad bet kokie jo tvarkomi netikslūs asmens duomenys būtų ištaisyti, o neišsamūs papildyti.

 

32. Siekiant įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, Duomenų valdytojas gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus.

 

33. Jeigu duomenų subjekto asmens duomenys (ištaisyti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Duomenų valdytojas šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

 

34. Duomenų subjekto teisė ištrinti jo asmens duomenis („teisė būti pamirštam“) įgyvendinama Reglamento 17 straipsnyje numatytais atvejais tik dėl šių asmens duomenų, tvarkomų žemiau nurodytais tikslais:

 

34.1. bendruomenės ir visuomenės informavimo apie įstaigos veiklą ir bendruomenės narių pasiekimus tikslas – kai Duomenų subjektas pageidauja, kad įstaiga nebetvarkytų ir ištrintų informaciją apie jo kūrybinius darbus ar  pasiekimus, nuotraukas ar vaizdo medžiagą. Tokiu ištrynimu įstaiga nepažeistų nei kokio nors įstatymo reikalavimo, nei nukentėtų jos veikla].

 

35. Duomenų subjekto teisė reikalauti ištrinti asmens duomenis („teisė būti pamirštam“) gali būti neįgyvendinta Reglamento 17 straipsnio 3 dalyje numatytais atvejais.

 

36. Jeigu duomenų subjekto asmens duomenys (ištrinti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Duomenų valdytojas šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

 

37. Reglamento 18 straipsnio 1 dalyje numatytais atvejais Duomenų valdytojas privalo įgyvendinti duomenų subjekto teisę apriboti jo asmens duomenų tvarkymą.

 

38. Asmens duomenys, kurių tvarkymas apribotas, yra saugomi, o prieš tokio apribojimo panaikinimą duomenų subjektas telefonu, tiesiogiai žodžiu ar elektroninių ryšių priemonėmis yra informuojamas.

 

39. Jeigu duomenų subjekto asmens duomenys (kurių tvarkymas apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Duomenų valdytojas šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

 

40. Duomenų subjekto teisę į duomenų perkeliamumą, numatytą Reglamento 20 straipsnyje, Duomenų valdytojas įgyvendina tik dėl šių asmens duomenų, tvarkomų žemiau nurodytais tikslais

 

40.1. nurodyti tikslus, kada švietimo įstaiga, gavusi Duomenų subjekto prašymą perkelti jo duomenis kitam duomenų valdytojui; kaip atšviestą darbo sutartį, med. knygelę, vaikų tėvų darboviečių atšviestus duomenis ir pan.

 

41. Ši teisė gali būti įgyvendinta tada, kai duomenys tvarkomi Duomenų subjekto sutikimo pagrindu arba vykdant sutartį, kurios šalis yra Duomenų subjektas, ir tik tada, kai duomenys tvarkomi automatizuotomis priemonėmis. Duomenų subjekto teisė į duomenų perkeliamumą negali daryti neigiamo poveikio kitų teisėms ir laisvėms.

 

42. Jeigu Duomenų subjektas pageidauja gauti ir/ar persiųsti kitam duomenų valdytojui savo asmens duomenis, kuriuos jis pats pateikė Duomenų valdytojui, prašyme Duomenų valdytojui jis turi nurodyti, kokius jo asmens duomenis ir kokiam duomenų valdytojui pageidauja perkelti.

 

43. Jei tai techniškai įmanoma, Duomenų valdytojas Duomenų subjektui ir/ar kitam duomenų valdytojui prašymą pateikusio Duomenų subjekto asmens duomenis susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu (duomenys gali būti pateikiami internetu arba įrašyti į CD, DVD ar kitą duomenų laikmeną).

 

44. Pagal duomenų subjekto prašymą perkelti jo asmens duomenys nėra automatiškai ištrinami. Jeigu duomenų subjektas to pageidauja, turi kreiptis į duomenų valdytoją dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) įgyvendinimo.

 

45. Duomenų subjektas, vadovaudamasis Reglamento 21 straipsniu, turi teisę dėl su juo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad Duomenų valdytojas tvarkytų jo asmens duomenis.

 

46. Apie duomenų subjekto teisę nesutikti su asmens duomenų tvarkymu Duomenų valdytojas informuoja viešai skelbiamoje Vilniaus „Ateities“ mokyklos privatumo politikoje, šiose Taisyklėse, mokinių asmens duomenų tvarkymo taisyklėse.

 

47. Duomenų subjektui išreiškus nesutikimą su asmens duomenų tvarkymu, toks tvarkymas atliekamas tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių atliekamas asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus.

 

VI. ASMENS DUOMENŲ APSAUGOS PAREIGŪNAS

 

48. Įstaiga tvarko ypatingus paslaugų gavėjų asmens duomenis, be ko būtų neįmanomas tinkamas įstaigos funkcionavimas ir socialinių paslaugų teikimas.

 

49. Įstaigos direktoriaus įsakymu, Pareigūnu gali būti paskirtas vienas iš esamų įstaigos darbuotojų, naujas darbuotojas arba asmuo, su kuriuo būtų sudaroma paslaugų teikimo sutartis.

 

50. Skirdamas Pareigūną, įstaigos direktorius privalo įvertinti ir įgyvendinti tai, kad:

 

50.1. Pareigūnas turėtų tinkamų Asmens duomenų teisinės apsaugos praktinių ir ekspertinių žinių;

 

50.2. Pareigūnas būtų įtraukiamas į visų su Asmens duomenų apsauga ir privatumu susijusių klausimų nagrinėjimą įstaigoje;

 

50.3. Pareigūnas būtų tiesiogiai pavaldus įstaigos direktoriui;

 

50.4. Pareigūnas neturėtų jokių kitų pareigų, neatliktų funkcijų, kurios galėtų sukelti interesų konfliktą su jo atliekamomis Pareigūno funkcijomis.

 

51. Pareigūnas privalo:

 

51.1. Užtikrinti, kad įstaigoje vykdomas Asmens duomenų tvarkymas atitiktų BDAR, kitų, asmens duomenų teisinę apsaugą reglamentuojančių teisės aktų reikalavimus, tinkamai įvertinant duomenų tvarkymo operacijas, duomenų tvarkymo pobūdį, aprėptį, kontekstą, tikslus, potencialų pavojų;

 

51.2. Stebėti, kaip laikomasi BDAR, kitų, Asmens duomenų teisinę apsaugą reglamentuojančių teisės aktų reikalavimų, šių Taisyklių, kitų vidinių dokumentų, susijusių su Asmens duomenų apsauga;

 

51.3. Konsultuoti ir stebėti, kaip atliekamas poveikio duomenų apsaugai vertinimas.

 

51.4. Informuoti įstaigos direktorių ir kitus darbuotojus apie jų pareigas pagal BDAR ir kitus, asmens duomenų teisinę apsaugą reglamentuojančius, teisės aktus ir juos konsultuoti dėl konkrečių pareigų vykdymo;

 

51.5. Informuoti įstaigos direktorių apie bet kokius neatitikimus, pažeidimus asmens duomenų apsaugos srityje, kuriuos Pareigūnas nustato vykdydamas savo funkcijas;

 

51.6. Mokyti įstaigos darbuotojus, dirbančius su Asmens duomenimis, asmens duomenų teisinės apsaugos klausimais;

 

51.7. Bendradarbiauti, būti kontaktiniu asmeniu santykiuose su Valstybine duomenų apsaugos inspekcija.

 

52. Įstaigos direktorius paskyręs arba sudaręs su Pareigūnu paslaugų teikimo sutartį, privalo užtikrinti, kad Pareigūno kontaktiniai duomenys per protingą terminą nuo jo paskyrimo / paslaugų sutarties sudarymo būtų tinkamai paskelbti Duomenų subjektams bei pranešti Valstybinei duomenų apsaugos inspekcijai.

 

VII. POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS

 

53. Poveikio duomenų apsaugai vertinimas (PDAV) – tai procesas, kurio metu vertinamas pavojus fizinių asmenų teisėms ir laisvėms, vertinant netinkamo duomenų valdymo ir jų praradimo įvykio tikimybę ir galimas pasekmes.

 

54. Įstaigai pradėjus vykdyti naują (-as) duomenų tvarkymo operaciją (-as), ji privalo atlikti poveikio duomenų apsaugai vertinimą, jei Duomenų tvarkymas:

 

54.1. Keltų didelį pavojų Duomenų subjektų teisėms ir laisvėms (pavyzdžiui, atvejai, kai duomenų subjektas neturi galimybės nesutikti su Duomenų tvarkymu, duomenys perduodami už ES ribų, būtų pradėti tvarkyti duomenys, kurie gauti juos sujungus su duomenimis iš kitų šaltinių, būtų tvarkomi jautrūs duomenys tokie kaip sveikata, būtų pradėti naudoti nauji technologiniai sprendimai, pavyzdžiui, veido atpažinimo sistemos, kt.);

 

54.2. Automatizuotai būtų tvarkomi asmeniniai aspektai, vykdomas profiliavimas ir priimami teisiniai ar kiti didelio poveikio (pavyzdžiui, asmenų suskirstymas į grupes, kuris gali turėti jiems įtakos) sprendimai;

 

54.3. Būtų pradėtas vykdyti sistemingas vaizdo stebėjimas dideliu mastu;

 

54.4. Būtų pradėti tvarkyti ypatingi Asmens duomenys dideliu mastu.

 

55. Jei įstaiga, atlikdama poveikio duomenų apsaugai vertinimą nustatytų, kad Duomenų subjektų teisėms ir laisvėms gali kilti didelis pavojus, ji privalo konsultuotis su Valstybine duomenų apsaugos inspekcija dėl tinkamų saugumo ir kitų priemonių įgyvendinimo.

 

56. Atliekant poveikio duomenų apsaugai vertinimą, įstaiga privalo nustatyti:

 

56.1. Kokia bus atliekama duomenų tvarkymo operacija (-os);

 

56.2. Kiek konkreti duomenų tvarkymo operacija yra reikalinga ir proporcinga;

 

56.3. Koks gali būti poveikis Duomenų subjektams;

 

56.4. Kokios yra galimos potencialių pavojų šalinimo, saugumo užtikrinimo priemonės.

 

57. Įstaiga privalo užtikrinti, kad įstaigos numatytais atvejais atliekamas poveikio duomenų apsaugai vertinimas būtų tinkamai dokumentuotas ir saugomas.

 

58. Poveikio duomenų apsaugai vertinimas gali būti atliekamas ir esamoms duomenų tvarkymo operacijoms (t. y. vykdomoms iki BDAR įsigaliojimo), jei tose operacijose atsirastų reikšmingų pokyčių, pavyzdžiui, būtų pradėtos naudoti naujos technologijos, duomenys būtų pradėti tvarkyti kitu tikslu nei iki tol, atsirastų naujos rizikos, susijusios su įvykdytomis kibernetinėmis, atakomis, įsilaužimais į įstaigos sistemą, duomenys būtų pradėti teikti naujiems duomenų gavėjams, tvarkytojams už ES ribų, kt.

 

59. Poveikio duomenų apsaugai vertinimas taip pat gali būti atliekamas ir šiame skyriuje neaptartais atvejais, bet esant įstaigos direktoriaus, Pareigūno ar Valstybinės duomenų apsaugos inspekcijos rekomendacijai tai atlikti.

 

60. Atliekant PDAV galima naudoti pateiktą PDAV formą (Taisyklių priedas Nr. 6);

 

VIII. ASMENS DUOMENŲ TVARKYTOJO PASITELKIMAS

 

61. Tais atvejais, kai įstaiga įgalioja Duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp įstaigos ir Duomenų tvarkytojo turi būti sudaroma rašytinė asmens duomenų tvarkymo sutartis.

 

62. Sprendimą perduoti Duomenų subjekto Duomenų tvarkymą asmens duomenų tvarkytojui priima įstaigos direktorius.

 

63. Įstaiga parenka Duomenų tvarkytoją, kuris užtikrina, kad būtų įgyvendintos techninės ir organizacinės duomenų apsaugos priemonės ir užtikrintas tokių priemonių laikymasis.

 

64. Įstaiga, sutartimi įgaliodama Duomenų tvarkytoją tvarkyti Asmens duomenis, nurodo, kad Asmens duomenys būtų tvarkomi atsižvelgiant į Asmens duomenų tvarkymą reglamentuojančius teisės aktus, įstaigos nurodymus, taip pat nurodant, kokius Asmens duomenų tvarkymo veiksmus privalo atlikti Duomenų tvarkytojas įstaigos vardu, Duomenų tvarkytojo įsipareigojimai įstaigai, įskaitant įsipareigojimą laikytis BDAR įtvirtintų reikalavimų, duomenų tvarkymo trukmė, pobūdis, Asmens duomenų rūšis, duomenų subjektų kategorijos, Duomenų tvarkytojo pareiga ištrinti arba grąžinti įstaigai Asmens duomenis, jų kopijas, pabaigus įstaigai teikti paslaugas.

 

65. Įstaiga, sudarydama sutartį su Duomenų tvarkytoju, be kita ko, nurodo, kad Duomenų tvarkytojas privalo užtikrinti įstaigos perduodamų tvarkyti duomenų konfidencialumą, o ketindamas tvarkymui pasitelkti trečiuosius asmenis (kitus Duomenų tvarkytojus), Duomenų tvarkytojas privalo gauti išankstinį rašytinį įstaigos pritarimą.

 

66. Įstaigos Pareigūnas privalo saugoti, peržiūrėti, esant poreikiui inicijuoti sutarčių ir bendradarbiavimo su Duomenų tvarkytojais atnaujinimą/pakeitimą/nutraukimą.

 

67. Šios Taisyklės gali būti pridedamos kaip priedas prie sutarties su Duomenų tvarkytoju.

 

IX. ASMENS DUOMENŲ INCIDENTAI

 

68. Asmens duomenų incidentu yra laikomas toks pažeidimas, dėl kurio netyčia arba neteisėtais veiksmais būtų:

 

68.1. Sunaikinami, prarandami, pakeičiami Asmens duomenys;

 

68.2. Be leidimo atskleidžiami Asmens duomenys;

 

68.3. Be leidimo asmenys, neturintys tam teisės, gautų prieigą prie Asmens duomenų.

 

69. Jei dėl įvykdyto asmens duomenų incidento kyla pavojus Duomenų subjektų teisėms ir laisvėms, Pareigūnas ar kitas direktoriaus paskirtas darbuotojas privalo nedelsiant, bet ne vėliau nei kaip per 72 val. pranešti Valstybinei duomenų apsaugos inspekcijai apie įvykusį incidentą. Kilus ypatingai dideliam pavojui Duomenų subjektų teisėms ir laisvėms, informacija apie įvykusį incidentą nedelsiant taip pat turi būti pateikta Duomenų subjektams. Nesant galimybės informuoti visus Duomenų subjektus dėl jų didelio kiekio ar kitų priežasčių, Pareigūnas kartu su įstaigos direktoriumi apsvarsto ir priima sprendimą šią informaciją pateikti per visuomenės informavimo kanalus (spauda, televizija, kt.).

 

70. Pranešime dėl įvykusio Asmens duomenų incidento Valstybinei duomenų apsaugos inspekcijai, Duomenų subjektams privalo būti trumpai aprašytas asmens duomenų incidento pobūdis, nurodant apytikslį Duomenų subjektų skaičių, kurių asmens teisės ir laisvės galėjo būti pažeistos, Pareigūno ar kito atsakingo darbuotojo kontaktai, trumpai aprašytos tikėtinos incidento pasekmės bei priemonės, kurių įstaiga imasi/imsis, kad būtų pašalintos neigiamos pasekmės, susijusios su įvykusiu incidentu.

 

71. Nustatant, ar būtina vykdyti informavimo pareigą, Pareigūnas ar kitas įstaigos direktoriaus paskirtas atsakingas darbuotojas privalo įvertinti, ar dėl įvykusio incidento:

 

71.1. Įvyko konfidencialumo pažeidimas (pavyzdžiui, atskleisti duomenys ir jie tapo prieinami tretiesiems asmenims, suteikiant prieigą, tinkamai nešifruojant, kt.);

 

71.2. Įvyko duomenų pasiekiamumo pažeidimas (pavyzdžiui, prarasti duomenys ir neturima atsarginių kopijų);

 

71.3. Įvyko duomenų vientisumo pažeidimas (pavyzdžiui, prarastos mokinių bylos, turima tik dalis atsarginių kopijų, dėl ko neįmanoma „atkurti“ visos paslaugų gavėjo istorijos).

 

72. Jei Pareigūnas ar kitas įstaigos direktoriaus paskirtas atsakingas darbuotojas nustato, kad yra bent vienas iš numatytų pažeidimų, nedelsiant vykdo informavimo pareigą. Informavimas gali vykti ir esant kitiems pagrindams, jei tokius nustato įstaiga ir/ar Pareigūnas.

 

73. Pareigūnas ar kitas įstaigos direktoriaus paskirtas atsakingas darbuotojas privalo užtikrinti, kad visi asmens duomenų apsaugos incidentai, įskaitant ir tuos, dėl kurių nevykdoma informavimo pareiga, būtų tinkamai dokumentuoti ir saugomi.

 

74. Įvykus asmens duomenų incidentui, Pareigūnas ar kitas direktoriaus paskirtas atsakingas darbuotojas informuoja įstaigos darbuotojus ir duoda atitinkamas instrukcijas konkretiems darbuotojams dėl jų pareigų, funkcijų atlikimo, susijusio su asmens duomenų incidento valdymu.

 

75. Įvykus asmens duomenų incidentui, Pareigūnas, be kitų aptartų pareigų, taip pat sudaro veiksmų planą su prevenciniais veiksmais, kuriais būtų siekiama ateityje užkirsti kelią pasikartoti analogiškam ar panašiam incidentui ir pateikia jį įstaigos direktoriui.

 

X. PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES PATEIKIMAS

 

76. Duomenų subjektas dėl savo teisių įgyvendinimo į Duomenų valdytoją gali kreiptis raštu, valstybine kalba elektroniniu paštu adresu rastine@ateities.vilnius.lm.lt įteikiant prašymą asmeniškai arba paštu adresu S. Stanevičiaus g. 98, LT-07103 Vilnius.

 

77. Duomenų subjektas su savo prašymu Duomenų valdytojui taip pat pateikia asmens tapatybę patvirtinantį dokumentą. To nepadarius, duomenų subjekto teisės nėra įgyvendinamos. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento 13 ir 14 straipsnius. Duomenų subjektas savo prašyme turi nurodyti pageidaujamą bendravimo būdą.

 

78. Prašymas įgyvendinti duomenų subjekto teises turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyti duomenų subjekto vardas, pavardė, adresas ir kontaktiniai duomenys ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo.

 

79. Savo teises duomenų subjektas gali įgyvendinti pats arba per atstovą.

 

80. Asmens atstovas prašyme turi nurodyti savo vardą, pavardę, adresą ir kontaktinius duomenis ryšiui palaikyti, kuriais asmens atstovas pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę, gimimo datą, reikalingus duomenų subjekto identifikavimui, bei pateikti atstovavimą patvirtinantį dokumentą ar jo kopiją.

 

81. Esant abejonių dėl duomenų subjekto tapatybės, duomenų valdytojas prašo papildomos informacijos, reikalingos ja įsitikinti.

 

82. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis ir į duomenų apsaugos pareigūną  Siekiant užtikrinti konfidencialumą, kreipiantis į duomenų apsaugos pareigūną paštu, ant voko užrašoma, kad korespondencija skirta duomenų apsaugos pareigūnui.

 

XI. PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES NAGRINĖJIMAS

 

83. Gavus duomenų subjekto prašymą, ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, jam pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Jeigu bus vėluojama pateikti informaciją, per nurodytą terminą duomenų subjektas informuojamas apie tai, nurodant vėlavimo priežastis ir apie galimybę pateikti skundą Valstybinei duomenų apsaugos inspekcijai.

 

84. Jeigu prašymas pateiktas nesilaikant Šiose Taisyklėse nustatytos tvarkos ir reikalavimų, jis nenagrinėjamas, ir nedelsiant, bet ne vėliau kaip per 5 darbo dienų terminą duomenų subjektas apie tai informuojamas nurodant priežastis.

 

85. Jeigu prašymo nagrinėjimo metu nustatoma, jog duomenų subjekto teisės yra apribotos Reglamento 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.

 

86. Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba.

 

87. Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai.

 

88. Duomenų valdytojas įgyvendindamas duomenų subjekto teises, užtikrina, kad nebūtų pažeista kitų asmenų teisė į privataus gyvenimo neliečiamumą.

 

XII. ASMENS DUOMENŲ SAUGUMO UŽTIKRINIMO PRIEMONĖS

 

89. Siekiant apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio kito neteisėto tvarkymo įgyvendinamos šiose Taisyklėse nurodomos techninės, fizinės ir organizacinės asmens duomenų saugumo priemonės.

 

90. Vilniaus „Ateities“ mokykloje užtikrinamas tinkamas techninės įrangos išdėstymas ir priežiūra, informacinių sistemų priežiūra, tinklo valdymas, naudojimosi internetu saugumo užtikrinimas ir kitos informacinių technologijų priemonės. Už šių priemonių įgyvendinimą ir priežiūrą atsako direktoriaus įsakymu paskirtas atsakingas asmuo.

 

91. Vilniaus „Ateities“ mokykloje užtikrinamas griežtas priešgaisrinės apsaugos tarnybos nustatytų normų laikymasis. Už priemonės įgyvendinimą ir priežiūrą atsako direktoriaus įsakymu paskirtas atsakingas asmuo.

 

92. Vilniaus „Ateities“ mokykloje užtikrinamas tinkamas darbo organizavimas ir kitos administracinės priemonės. Už priemonės įgyvendinimą ir priežiūrą atsako direktoriaus įsakymu paskirtas atsakingas asmuo.

 

93. Vilniaus „Ateities“ mokykloje už asmens duomenų apsaugą atsako direktoriaus įsakymu paskirtas atsakingas asmuo.

 

94. Šios taisyklės ir kiti Vilniaus „Ateities“ mokyklos dokumentai, reglamentuojantys asmens duomenų apsaugą, peržiūrimi ir tikslinami esant poreikiui ir pasikeitus teisės aktų nuostatoms, reglamentuojančioms asmens duomenų tvarkymą, bet ne rečiau kaip kartą per 2 metus.

 

95. Darbuotojai, kurie tvarko Duomenų subjekto duomenis, turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su Duomenų subjekto duomenimis susijusią informaciją, su kuria jie susipažino vykdydami pareigas. Ši pareiga išlieka galioti perėjus dirbti į kitas pareigas ar pasibaigus darbo ar sutartiniams santykiams. Šis reikalavimas įgyvendinamas darbuotojams pasirašant įsipareigojimą saugoti asmens duomenų paslaptį.

 

96. Siekiant apsaugoti asmens duomenis užtikrinama prieigos prie asmens duomenų apsauga, valdymas ir kontrolė.

 

97. Darbuotojai automatiniu būdu tvarkyti asmens duomenis gali tik po to, kai jiems suteikiama prieigos teisė prie atitinkamos informacinės sistemos. Prieiga prie asmens duomenų gali būti suteikta tik tam asmeniui, kuriam asmens duomenys yra reikalingi jo funkcijoms vykdyti.

 

98. Darbuotojai su asmens duomenimis gali atlikti tik tuos veiksmus, kuriuos atlikti jiems yra suteikta teisė. Darbuotojai, vykdantys duomenų tvarkymo funkcijas, turi užkirsti kelią atsitiktiniam ir neteisėtam duomenų tvarkymui, turi saugoti dokumentus tinkamai ir saugiai (pvz., vengiant nereikalingų kopijų su Duomenų subjekto duomenimis kaupimo ir kt.). Dokumentų kopijos, kuriose nurodomi Duomenų subjekto duomenys, turi būti sunaikinamos tokiu būdu, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio.

 

99. Darbuotojai, kurių kompiuteriuose saugomi Duomenų subjektų duomenys arba iš kurių kompiuterių galima pateikti Vilniaus „Ateities“ mokyklos informacines sistemas, kuriose yra Duomenų subjektų duomenys, savo kompiuteriuose naudoja slaptažodžius, užtikrinant jų konfidencialumą, kurie yra unikalūs, sudaryti iš ne mažiau kaip 8 simbolių, nenaudojant asmeninio pobūdžio informacijos, keičiami ne rečiau kaip kartą per 2 mėnesius, pirmojo prisijungimo metu naudotojo privalomai keičiami. „Svečio“ (angl. – „guest“) tipo, t. y. neapsaugoti slaptažodžiais, vartotojai yra draudžiami. Šiuose kompiuteriuose taip pat reikia naudoti ekrano užsklandą su slaptažodžiu.

 

100. Darbuotojai slaptažodžiais turi naudotis asmeniškai ir neatskleisti jų tretiesiems asmenims.

 

101. Darbuotojų kompiuteriai, kuriuose saugomos rinkmenos su Duomenų subjektų duomenimis, negali būti laisvai prieinami iš kitų tinklo kompiuterių. Šių kompiuterių antivirusinė programinė įranga turi būti nuolat atnaujinama.

 

102. Nesant būtinybės rinkmenos su Duomenų subjekto duomenimis neturi būti dauginamos skaitmeniniu būdu, t. y. kuriamos rinkmenų kopijos vietiniuose kompiuterių diskuose, nešiojamose laikmenose, nuotolinėse rinkmenų talpyklose ir kt.

 

103. Jei asmens duomenys tvarkomi vidiniame kompiuteriniame tinkle, užtikrinama asmens duomenų apsauga nuo neteisėto prisijungimo elektroninių ryšių priemonėmis naudojant ugniasienę;

 

104. Asmens duomenys (dokumentai, kuriuose yra asmens duomenys, ar jų kopijos), esantys išorinėse duomenų laikmenose ir elektroniniame pašte, turi būti ištrinti nedelsiant nuo jų panaudojimo ir (ar) perkėlimo į saugojimo vietas, tačiau ne vėliau kaip per 5 darbo dienas.

 

105. Prieigos prie asmens duomenų kontrolė užtikrinama atliekant šiuos veiksmus:

 

105.1. kompiuteriai, kuriuose laikomi asmens duomenys yra užrakinti, prie jų prisijungti gali tik tas darbuotojas, kuriam suteiktą prisijungimo teisė. Prie užšifruotų asmens duomenų, esančių serveryje gali prisijunti tik prisijungimo teisę turintys darbuotojai;

 

105.2. .prisijungimai, bandymai prisijungti prie asmens duomenų: prisijungimo identifikatorius, data, laikas, trukmė, jungimosi rezultatas (sėkmingas, nesėkmingas),  atlikti veiksmai su asmens duomenimis yra fiksuojami kompiuterių žurnaluose (ang. – „logs“);

 

106. Siekiant apsaugoti asmens duomenis taikomos fizinės asmens duomenų saugumo priemonės:

 

106.1. .Patalpos, kuriose saugomi kompiuteriai, dokumentai su asmens duomenimis, yra rakinamos, pašaliniai asmenys be Vilniaus „Ateities“ mokyklos darbuotojų priežiūros į jas patekti negali;

 

106.2. Asmens duomenys (dokumentai, kuriuose yra asmens duomenys, ar jų kopijos) saugomi tam skirtose patalpose, rakinamose spintose, seifuose ar pan. Asmens duomenys (dokumentai, kuriuose yra asmens duomenys, ar jų kopijos) negali būti laikomi visiems prieinamoje matomoje vietoje, kur neturintys teisės asmenys nekliudomai galėtų su jais susipažinti.

 

106.3. Darbuotojai privalo taip organizuoti savo darbą, kad atsitiktiniai asmenys neturėtų galimybės sužinoti tvarkomus asmens duomenis (pavyzdžiui, nepalikti be priežiūros dokumentų ar kompiuterio su tvarkomais asmens duomenimis, dokumentus ar kompiuterį su tvarkomais asmens duomenimis laikyti taip, kad jų ar jų fragmentų negalėtų perskaityti atsitiktiniai asmenys).

 

107. Siekiant apsaugoti asmens duomenis vykdoma kompiuterinės ir programinės įrangos priežiūra:

 

107.1. Užtikrinama kompiuterinės įrangos apsauga nuo kenksmingos programinės įrangos (įdiegiamos ir atnaujinamos antivirusinės programos);

 

107.2. Užtikrinama, kad informacinių sistemų testavimas nebūtų vykdomas su realiais asmens duomenimis.

 

108. Kai sueina atitinkamų asmens duomenų saugojimo terminai arba Duomenų valdytojo nuožiūra saugomi duomenys/ informacija tampa nebereikalinga jo veikloje, tokie duomenys/ informacija ištrinama, visos jos kopijos sunaikinamos, o su atitinkamos informacijos/ duomenų tvarkymu susiję darbuotojai atitinkamai informuojami apie jų pareigą ištrinti/ sunaikinti duomenis, kurių jiems nebereikia darbinių funkcijų vykdymui.

 

XIII. ASMENS DUOMENŲ SAUGUMO UŽTIKRINIMO PRIEMONĖS

 

109. Duomenų valdytojo ar duomenų tvarkytojo darbuotojai, turintys prieigos prie asmens duomenų teisę, pastebėję duomenų saugumo pažeidimus ar bet kokią įtartiną situaciją (veiksmus ar neveikimą, galinčius sukelti ar sukeliančius grėsmę asmens duomenų saugumui), turi imtis priemonių tokiai situacijai išvengti ir apie tai informuoti Duomenų valdytojo vadovą, duomenų apsaugos pareigūną ar kitą paskirtą atsakingą asmenį.

 

110. Įvertinus duomenų apsaugos pažeidimo rizikos veiksnius, pažeidimo poveikio laipsnį, žalą ir padarinius, kiekvienu konkrečiu atveju Vilniaus „Ateities“ mokyklos vadovas priima sprendimus dėl priemonių, reikiamų duomenų apsaugos pažeidimui ir jo padariniams pašalinti.

 

111. Prireikus, Vilniaus „Ateities“ mokyklos vadovas, duomenų apsaugos pareigūnas ar kitas paskirtas atsakingas asmuo imasi pareigos užtikrinti, kad apie duomenų/ informacijos saugumo pažeidimus būtų pranešta (ne vėliau kaip per 72 val. nuo sužinojimo apie pažeidimą) Asmens duomenų apsaugos inspekcijai ir/ar teisėsaugos institucijoms ir susijusiems asmenims, laikantis Reglamento, ADTAĮ ir kitų teisės aktų reikalavimų.

 

XIV. ASMENS DUOMENŲ TEIKIMAS TRETIESIEMS ASMENIMS

 

112. Jokie asmens duomenys negali būti siunčiami, perduodami arba bet kokiu kitu būdu pateikiami tretiesiems, su Duomenų valdytoju nesusijusiems, asmenims, nebent tai yra būtina darbuotojo darbo funkcijoms įvykdyti ir tik tokia apimtimi, kokia reikalinga darbo funkcijų vykdymui.

 

113. Duomenų teikimas tretiesiems asmenims galimas tik šiais atvejais:

 

113.1. Neįgaliotų trečiųjų asmenų elektroninius ar kitokia forma (išskyrus telefonu) pateiktus prašymus suteikti jiems informaciją apie Duomenų subjektus turi būti atsakoma tik jeigu rašytiniame prašyme yra nurodytas Duomenų subjekto duomenų naudojimo tikslas, tinkamas teikimo bei gavimo teisinis pagrindas ir prašomų pateikti Duomenų subjektų duomenų apimtis.

 

114. Konfidencialumo reikalavimas netaikomas ir Duomenų subjekto asmens duomenys gali būti suteikti teismui, prokuratūrai, ikiteisminio tyrimo įstaigoms bei kitoms institucijoms, kurioms teisinį pagrindą reikalauti pateikti asmens duomenis suteikia Lietuvos Respublikos įstatymai.

 

XV. BAIGIAMOSIOS NUOSTATOS

 

115. Darbuotojai, kurie yra įgalioti tvarkyti asmens duomenis arba eidami savo pareigas juos sužino, privalo laikytis šių Taisyklių, kitų Vilniaus „Ateities“ mokyklos vidinių dokumentų nuostatų, reglamentuojančių asmens duomenų tvarkymą, konfidencialumo ir saugumo reikalavimų, Reglamento, ADTAĮ ir kitų teisės aktų reikalavimų. Darbuotojai pažeidę aukščiau nurodytų teisės aktų reikalavimus atsako teisės aktų nustatyta tvarka.

 

116. Patvirtinus Taisykles, darbuotojai su jomis supažindinami pasirašytinai. Priėmus naują darbuotoją, jis su Taisyklėmis privalo būti supažindintas pirmąją jo darbo dieną. Už supažindinimą su Taisyklėmis atsakingas Vilniaus „Ateities“ mokyklos direktorius arba jo įgaliotas asmuo.

 

117. Vilniaus „Ateities“ mokykla užtikrina darbuotojų mokymus ir galimybę kelti kvalifikaciją asmens duomenų apsaugos srityje.

 

118. Už Taisyklių nuostatų laikymosi priežiūrą ir jose reglamentuotų nuostatų vykdymo kontrolę atsakingas duomenų apsaugos pareigūnas ar kitas Vilniaus „Ateities“ mokyklos direktoriaus įsakymu paskirtas atsakingas asmuo, įvertinęs Taisyklių taikymo praktiką, esant poreikiui, inicijuoja Taisyklių atnaujinimą.

 

1 PRIEDAS. VILNIAUS „ATEITIES“ MOKYKLOS ASMENS DUOMENŲ SĄRAŠAS VIDAUS ADMINISTRAVIMO TIKSLU

 

2 PRIEDAS. VILNIAUS „ATEITIES“ MOKYKLOS ASMENS DUOMENŲ SĄRAŠAS DARBUOTOJŲ ATRANKOS VYKDYMO TIKSLU

 

3 PRIEDAS. VILNIAUS „ATEITIES“ MOKYKLOS ASMENS DUOMENŲ SĄRAŠAS TINKAMOS KOMUNIKACIJOS

SU DARBUOTOJAIS NE DARBO METU PALAIKYMO TIKSLU

 

4 PRIEDAS. VILNIAUS „ATEITIES“ MOKYKLOS ASMENS DUOMENŲ SĄRAŠAS BENDRUOMENĖS IR VISUOMENĖS INFORMAVIMO APIE VILNIAUS „ATEITIES“ MOKYKLOS VEIKLĄ IR BENDRUOMENĖS NARIŲ PASIEKIMUS TIKSLU

 

5 PRIEDAS. VILNIAUS „ATEITIES“ MOKYKLOS SKUNDŲ, PRAŠYMŲ IR PRANEŠIMŲ NAGRINĖJIMO IR RAŠTVEDYBOS TIKSLU

 

6 PRIEDAS. POVEIKIO DUOMENŲ APSAUGAI VERTINIMO FORMA

 

7 PRIEDAS. VILNIAUS „ATEITIES“ MOKYKLOS ASMENS DUOMENŲ TVARKYMO REGISTRAVIMO ŽURNALAS

 

8 PRIEDAS. KONFIDENCIALUMO PASIŽADĖJIMAS