No Result
View All Result
No Result
View All Result

1. Asmens duomenų tvarkymo taisyklės

Atsisiųsti: 1. Asmens duomenų tvarkymo taisyklės

—–

PATVIRTINTA
Raseinių specialiosios
mokyklos direktoriaus
2020 m. birželio 5 d.
įsakymu Nr. V-24

ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

 

BENDROSIOS NUOSTATOS

  1. Asmens duomenų tvarkymo taisyklių (toliau – Taisyklės) tikslas – reglamentuoti asmenų, kurių duomenis tvarko Raseinių specialioji mokykla asmens duomenų tikslus, nustatyti duomenų subjektų teises ir jų įgyvendinimo tvarką, įtvirtinti organizacines ir technines duomenų apsaugos priemones, reguliuoti asmens duomenų tvarkytojo pasitelkimo atvejus bei užtikrinti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ), Bendrojo duomenų apsaugos reglamento (ES) 2016/679 (toliau – BDAR), kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.
  2. Pagrindinės taisyklėse vartojamos sąvokos:
    1. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas) tiesiogiai arba netiesiogiai, visų pirma pagal identifikatorių, pavyzdžiui vardą ir pavardę, asmens kodą, buvimo vietos duomenis arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius. Pavyzdžiui: vaizdo įrašas, garso įrašas ir pan.
    2. Duomenų subjektas – fizinis asmuo, kurio asmens duomenis tvarko duomenų valdytojas ar duomenų tvarkytojas.
    3. Asmens duomenų tvarkymas (toliau – duomenų tvarkymas) – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, pavyzdžiui rinkimas, įrašymas, rūšiavimas, kaupimas, klasifikavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.
    4. Duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones.
    5. Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis. Pavyzdžiui: personalo apskaitos sistemos tiekėjas, informacinių technologijų, serverio paslaugos tiekėjas ir pan.
    6. Duomenų valdytojas ir tvarkytojas (toliau – Mokykla)Raseinių specialioji mokykla, 290986160, Raseiniai, Kalnų g. 15A.
    7. Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis, ar ne. Valdžios institucijos, kurios pagal valstybės narės teisės aktus gali gauti asmens duomenis vykdydamos konkretų tyrimą, nelaikomos duomenų gavėjais; tvarkydamos tuos duomenis tos valdžios institucijos laikosi taikomų duomenų tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių.
    8. Trečioji šalis – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis. Pavyzdžiui: partneriai, tiekėjai, nuomotojai, Valstybinė mokesčių inspekcija, bankai ir pan.
    9. Specialių kategorijų asmens duomenys – asmens duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat genetiniai duomenys, biometriniai duomenys, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys (asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę) arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją.
    10. Duomenų apsaugos pareigūnas (toliau – Pareigūnas) – Mokyklos vadovo paskirtas darbuotojas ar paslaugų teikėjas, atliekantis BDAR nustatytas duomenų apsaugos pareigūno funkcijas.
    11. Duomenų subjekto sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys.
    12. Įgalioti tvarkyti asmens duomenis darbuotojai – duomenų valdytojo darbuotojai (t. y. asmenys tarp kurių ir duomenų valdytojo yra sudarytos darbo sutartys) ir / arba kiti fiziniai asmenys, kurie sutarčių ar kitu pagrindu turi teisę tvarkyti duomenų valdytojo tvarkomus asmens duomenis.
    13. Interneto svetainė – Mokyklos svetainė, kurioje yra pristatoma Mokyklos veikla.
    14. Techninės ir organizacinės saugumo priemonės – tai priemonės, kuriomis siekiama apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo ar netyčinio praradimo, pakeitimo, neteisėto atskleidimo ar prieigos, ypač tais atvejais, kai tvarkymas susijęs su duomenų perdavimu tinkle, ir visos kitos neteisėtos tvarkymo formos.
    15. Duomenų bazė – yra organizuotas (susistemintas, metodiškai sutvarkytas) duomenų rinkinys, kuriuo galima individualiai naudotis elektroniniu ar kitu būdu.
    16. Duomenų tvarkymo veiklos įrašas (toliau – DTVĮ) – dokumentas, kuriame fiksuojama Mokyklos vykdomų duomenų tvarkymo veiklų tikslai, duomenų subjektai, duomenų gavėjai, duomenų ištrynimo terminai ir kita reikalaujama arba reikšminga informacija apie duomenų tvarkymo veiklas.
    17. Priežiūros institucija – Valstybinė duomenų apsaugos inspekcija (toliau – VDAI).
  3. Kitos, aukščiau nenurodytos Taisyklėse vartojamos sąvokos atitinka ADTAĮ ir BDAR vartojamas sąvokas.
  4. Taisyklės taikomos tvarkant fizinių asmenų duomenis tiek automatiniu būdu, tiek neautomatiniu būdu tvarkant asmens duomenų susistemintas rinkmenas: mokinių bylas ir kita.
  5. Taisyklės privalomos visiems Mokyklos pagal darbo sutartis dirbantiems darbuotojams (toliau – Darbuotojai), kurie yra įgalioti tvarkyti Mokykloje esančius asmens duomenis arba eidami savo pareigas juos sužino, bei kitiems sutartiniais pagrindais paslaugas teikiantiems asmenims, kurie gali tvarkyti arba sužino asmens duomenis.
  6. Duomenų valdytojas turi šias teises:
    1. rengti ir priimti vidinius teisės aktus, reglamentuojančius duomenų tvarkymą;
    2. spręsti dėl tvarkomų asmens duomenų teikimo;
    3. paskirti už asmens duomenų apsaugą atsakingus asmenis;
    4. įgalioti duomenų tvarkytojus tvarkyti asmens duomenis;
    5. kitas teisės aktuose nustatytas teises.
  7. Duomenų valdytojas turi šias pareigas:
    1. užtikrinti ADTAĮ ir kituose teisės aktuose, reglamentuojančiose asmens duomenų tvarkymą, nustatytų asmens duomenų tvarkymo reikalavimų laikymąsi;
    2. įgyvendinti duomenų subjekto teises ADTAĮ ir šiose Taisyklėse nustatyta tvarka;
    3. užtikrinti asmens duomenų saugumą, įgyvendinant tinkamas organizacines ir technines asmens duomenų saugumo priemones;
    4. parinkti tik tokį duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines asmens duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi;
    5. teisės aktų nustatytais atvejais paskirti duomenų apsaugos pareigūną;
    6. teisės aktų nustatytais atvejais pildyti duomenų tvarkymo veiklos įrašus;
    7. teisės aktų nustatytais atvejais atlikti poveikio duomenų apsaugai vertinimą;
    8. valdyti asmens duomenų saugumo pažeidimus ir teisės aktuose nustatytais atvejais pranešti apie juos priežiūros institucijai ir duomenų subjektams;
    9. kitas teisės aktuose nustatytas pareigas.
  8. Duomenų valdytojas atlieka šias funkcijas:
    1. nustato duomenų tvarkymo tikslus ir priemones;
    2. organizuoja duomenų tvarkymą;
    3. analizuoja technologines, metodologines ir organizacines duomenų tvarkymo problemas ir priima sprendimus, reikalingus tinkamam duomenų tvarkymui užtikrinti;
    4. teikia metodinę pagalbą darbuotojams duomenų tvarkymo klausimais;
    5. organizuoja darbuotojų mokymus asmens duomenų teisinės apsaugos klausimais;
    6. užtikrina duomenų subjekto teisių įgyvendinimą;
    7. kitas teisės aktuose nustatytas funkcijas.

PAGRINDINIAI ASMENS DUOMENŲ TVARKYMO PRINCIPAI

  1. Mokykloje asmens duomenys tvarkomi laikantis šių asmens duomenų tvarkymo ir apsaugos principų:
    1. Asmens duomenis tvarkyti teisėtai, sąžiningai ir skaidriai (teisėtumo, sąžiningumo ir skaidrumo principas);
    2. Asmens duomenis rinkti nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkyti tikslais, nesuderinamais su nustatytaisiais prieš renkant asmens duomenis (tikslo apribojimo principas); Tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais nėra laikomas nesuderinamu su pirminiais tikslais. Mokyklos darbuotojai turi teisę rinkti, tvarkyti, perduoti, saugoti, naikinti ar kitaip naudoti asmens duomenis tik atlikdami savo tiesiogines funkcijas, apibrėžtas pareigybės aprašyme ar kitame Mokyklos lokaliniame teisės akte arba Mokyklos vadovo pavedimu ir tik teisės aktų nustatyta tvarka. Mokyklos darbuotojams draudžiama savavališkai rinkti, tvarkyti, perduoti, saugoti, naikinti ar kitaip naudoti asmens duomenis;
    3. Tvarkomi asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);
    4. Tvarkomi asmens duomenys turi būti tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);
    5. Tvarkomus asmens duomenis laikyti tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, įgyvendinus atitinkamas technines ir organizacines priemones, kurių reikalaujama BDAR siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);
    6. Tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas);
    7. Duomenų valdytojas yra atsakingas ir turi sugebėti įrodyti, kad yra laikomasi aukščiau nurodytų principų (atskaitomybės principas).
  2. Asmens duomenų tvarkymo principų laikymąsi užtikrina Mokyklos vadovas ir jo įgalioti darbuotojai, imdamiesi atitinkamų organizacinių priemonių (įsakymai, nurodymai, rekomendacijos, pavedimai ir pan.), kad būtų įgyvendintos Duomenų valdytojui priskirtos prievolės. Pavyzdžiui: įpareigoti nutraukti neteisėtus ar asmens duomenų apsaugos reikalavimus pažeidžiančius duomenų tvarkymo veiksmus, sunaikinti dokumentų, kuriuose yra nurodyti asmens duomenys, kopijas ir pan.).
  3.  

ASMENS DUOMENŲ TVARKYMO TEISINIAI PAGRINDAI

  1. Mokykla asmens duomenis tvarko tik esant bent vienam iš šių teisinių pagrindų:
    1. Duomenų subjektas duoda sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais (pavyzdžiui, Mokyklos bendruomenės ir visuomenės informavimo apie Mokyklos veiklą ir bendruomenės pasiekimus tikslu);
    2. Duomenų tvarkymas yra būtinas siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;
    3. Tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;
    4. Tvarkyti duomenis būtina, siekiant apsaugoti duomenų subjekto ar kito asmens gyvybinius interesus (pavyzdžiui, Mokykla tvarko darbuotojo artimųjų kontaktinius duomenis, su kuriais galėtų susisiekti įvykus nelaimei ar ekstremaliam įvykiui);
    5. Duomenų tvarkymas yra būtinas viešojo intereso labui arba vykdant pavestas viešosios valdžios funkcijas;
    6. Tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo ar trečiosios šalies interesų, išskyrus atvejus, kai duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už šiuos duomenų valdytojo teisėtus interesus viršesni, ypač kai duomenų subjektas yra vaikas (pavyzdžiui, Mokykla vykdo vaizdo stebėjimą darbuotojų, kitų duomenų subjektų ir turto saugumo užtikrinimo tikslu.
  2. Mokykla specialių kategorijų asmens duomenis tvarko tik esant bent vienam iš šių pagrindų:
    1. Tvarkyti duomenis būtina, kad duomenų valdytojas arba duomenų subjektas galėtų įvykdyti prievoles ir naudotis specialiomis teisėmis darbo ir socialinės apsaugos teisės srityje, kiek tai leidžiama Europos Sąjungos arba valstybės narės teisėje arba pagal valstybės narės teisę sudaryta kolektyvine sutartimi, kuriuose nustatytos tinkamos duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės;
    2. Tvarkyti duomenis būtina, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito fizinio asmens interesai, kai duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo;
    3. Tvarkomi asmens duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai;
    4. Tvarkyti duomenis būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;
    5. Tvarkyti duomenis būtina dėl svarbių viešojo intereso priežasčių, vadovaujantis Europos Sąjungos arba valstybės narės teise, kurie turi būti proporcingi tikslui, kurio siekiama, nepažeisti esminių teisės į duomenų apsaugą nuostatų;
    6. Tvarkyti duomenis būtina profilaktinės arba darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą;
    7. Tvarkyti duomenis būtina dėl viešojo intereso priežasčių visuomenės sveikatos srityje, pavyzdžiui, siekiant apsisaugoti nuo rimtų tarpvalstybinio pobūdžio grėsmių sveikatai.
  3.  

ASMENS DUOMENŲ TVARKYMO TIKSLAI, SAUGOJIMO TERMINAI IR DUOMENŲ TEIKIMAS TRETIESIEMS ASMENIMS

  1. Asmens duomenys Mokykloje tvarkomi šiais tikslais (įskaitant, bet neapsiribojant atvejais kai gaunamas atskiras duomenų subjekto sutikimas dėl duomenų tvarkymo):
    1. Darbdavio teisinių prievolių vykdymas: darbo sutarčių sudarymas, tinkamas vykdymas, apskaita (darbo užmokesčio ir kitų išmokų administravimas) ir nutraukimas; Mokymai; Duomenų valdytojo kaip darbdavio pareigų, nustatytų teisės aktuose, tinkamas vykdymas; Tinkamos komunikacijos su darbuotojais ne darbo metu palaikymas; Tinkamų darbo sąlygų užtikrinimas (struktūros tvarkymas, esamų ir buvusių darbuotojų informacijos valdymas, dokumentų valdymas, turimų materialinių ir finansinių išteklių valdymas) (Taisyklių priedas Nr. 1);
    2. Bendruomenės ir visuomenės informavimas apie Mokyklos veiklą ir pasiekimus, dalyvavimą renginiuose, nuotraukų, filmuotos medžiagos skelbimas Mokyklos internetiniame puslapyje, socialinio tinklo paskyroje, skelbimų lentoje ir pan. (Taisyklių priedas Nr. 2). Mokinių ir jų tėvų (kitų įstatyminių atstovų) tvarkomų asmens duomenų apimties ir saugojimo terminų sąrašas pateikiamas Mokinių ir jų tėvų (kitų įstatyminių atstovų) asmens duomenų tvarkymo tvarkoje, skelbiamoje Mokyklos interneto svetainės skiltyje „Asmens duomenų apsauga“;
    3. Mokyklos veiklos užtikrinimo ir tęstinumo vykdymas: sutarčių sudarymo bei vykdymo, pirkimų procedūrų organizavimas ir vykdymas (Taisyklių priedas Nr. 3);
    4. Komunikacija su duomenų subjektais (užklausos, komentarai, prašymai, skundai ir pan.) (Taisyklių priedas Nr. 4).
    5. Mokyklos darbuotojų, mokinių ir kitų duomenų subjektų bei jų turto saugumo užtikrinimas (vaizdo stebėjimas) (Taisyklių priedas Nr. 5); Vaizdo stebėjimo tvarkos aprašas skelbiamas Mokyklos interneto svetainės skiltyje „Asmens duomenų apsauga“.
  2. Kiekvienu asmens duomenų tvarkymo tikslu atskirai, Mokykloje sudaromas DTVĮ, kuriame nurodomas duomenų saugojimo terminas, duomenų gavėjų kategorijos ir kita papildoma informacija.
  3. Asmens duomenys saugomi ne ilgiau, negu to reikalauja duomenų tvarkymo tikslai.
  4. Pasibaigus duomenų saugojimo terminui asmens duomenys yra visam laikui ištrinami, sunaikinami, išskyrus, jei teisės aktai nenumato kitaip.
  5. Sunaikinimas apibrėžiamas kaip fizinis ar techninis veiksmas, kuriuo duomenys padaromi neatkuriamais:
    1. elektronine forma saugomi asmens duomenys sunaikinami juos ištrinant be galimybės atkurti;
    2. popieriniai dokumentai, kuriuose yra asmens duomenų, susmulkinami, o likučiai saugiu būdu sunaikinami.
  6. Jeigu duomenys naudojami kaip įrodymai civilinėje, administracinėje ar baudžiamojoje byloje ar kitais teisės aktų nustatytais atvejais, duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams pasiekti ir sunaikinami nedelsiant, kai tampa nebereikalingi.
  7. Asmens duomenų perdavimas Mokyklos viduje vyksta darbuotojams susirašinėjant darbo el. paštu, perduodant rašytinius dokumentus, naudojantis kitomis informacinėmis sistemomis.
  8. Mokyklos tvarkomus asmens duomenis, Mokykla gali perduoti tretiesiems asmenims vykdant teisės aktuose įtvirtintas Mokyklos pareigas, valstybės ir (ar) savivaldos institucijų nurodymus bei kitų teisės aktų nustatytais atvejais ir tvarka.
  9. Asmens duomenys Mokyklos gali būti pateikti ikiteisminio tyrimo įstaigai, prokurorui ar teismui dėl administracinių, civilinių, baudžiamųjų bylų kaip įrodymai arba kitais teisės aktų nustatytais atvejais. Mokykla gali pateikti asmens duomenis savo duomenų tvarkytojams, kurie teikia Mokyklai paslaugas ir tvarko asmens duomenis Mokyklos vardu. Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik pagal Mokyklos nurodymus ir tik ta apimtimi, kiek tai yra būtina siekiant tinkamai vykdyti sutartyje nustatytus įsipareigojimus. Mokykla pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų BDAR reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.
  10.  

DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI

  1. Teisės aktų nustatytais atvejais, Mokykla privalo sudaryti ir tvarkyti DTVĮ, kurie būtini tam, kad Mokykla turėtų nuolatinę ir aktualią informaciją apie savo vykdomos duomenų tvarkymo veiklos apimtis, joje dalyvaujančius asmenis, naudojamas tvarkymo priemones.
  2. DTVĮ sudarymo formą ir formatą parengia Pareigūnas arba įgaliotas Mokyklos darbuotojas, atsižvelgdamas į Priežiūros institucijos rekomendacijas.
  3. DTVĮ yra Mokyklos vidaus dokumentai, kuriuose gali būti konfidencialios informacijos. Todėl DTVĮ negali būti viešinami ir turi būti saugomi kaip ir kita Mokyklos konfidenciali informacija.
  4. Siekiant užtikrinti Mokyklos atitikties BDAR įrodymus, už DTVĮ sudarymo, keitimo ir atnaujinimo organizavimą ir centralizuotą jų tvarkymą atsakingas Pareigūnas arba įgaliotas Mokyklos darbuotojas. Mokyklos vadovo įgaliotas darbuotojas yra tiesiogiai atsakingas už informacijos, reikalingos DTVĮ sudaryti, pakeisti ar atnaujinti, surinkimą, jų projektų paruošimą bei pateikimą Pareigūnui, jeigu Pareigūnas būtų atsakingas už DTVĮ vedimą.
  5. Kai Mokykloje pradedamas ar keičiamas veiklos procesas ar funkcija susiję su duomenų tvarkymu, Mokyklos vadovas turi užtikrinti, kad apie tokį procesą ar jų pokyčius būtų surinkta visa informacija, reikalinga DTVĮ parengti ar pakeisti.
  6. DTVĮ yra tvarkomi raštu. Rašytinei formai yra prilyginama ir elektroninė forma, saugoma kompiuteryje.
  7. Tvarkant DTVĮ turi būti užtikrinamas jų pakeitimų atsekamumas, tam kad būtų galima nustatyti, kokie pakeitimai buvo daromi DTVĮ, kada jie buvo atlikti ir dėl kokių priežasčių.
  8. DTVĮ yra tikrinami ir atnaujinami pagal poreikį, kad atitiktų realią asmens duomenų tvarkymo situaciją Mokykloje.
  9. DTVĮ turi būti pateikiami Priežiūros institucijai gavus jos prašymą. Už DTVĮ pateikimą atsakingas Pareigūnas arba Mokyklos vadovo įgaliotas darbuotojas.
  10.  
  11. REIKALAVIMAI DARBUOTOJAMS, TVARKANTIEMS ASMENS DUOMENIS IR JŲ ATSAKOMYBĖ
  12. Darbuotojas, tvarkantis duomenų subjektų asmens duomenis, privalo:
    1. laikytis su asmens duomenų tvarkymu susijusių principų ir saugumo reikalavimų, įtvirtintų BDAR, ADTAĮ, šiose Taisyklėse ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą ir privatumo apsaugą;
    2. laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jis susipažino vykdydamas savo funkcijas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Mokyklos darbuotojai, kurie tvarko asmens duomenis arba kuriems Mokyklos vadovo įsakymo pagrindu suteikti įgaliojimai ir / arba prieiga prie asmens duomenų, privalo pasirašyti Darbuotojo įsipareigojimą saugoti asmens duomenis (Taisyklių priedas Nr. 6) ir duomenis tvarkyti tik tokia apimtimi, kiek tai susiję su jų darbo funkcijomis. Pareiga saugoti asmens duomenų paslaptį galioja ir perėjus dirbti į kitas pareigas ar pasibaigus darbo santykiams; Konfidencialumo taisyklė taikoma tiek tais atvejais, kuomet darbuotojui prieigą prie asmens duomenų suteikė Mokykla, tiek tais atvejais, kuomet darbuotojas pats sužinojo asmens duomenis.
    3. laikytis Taisyklėse nustatytų techninių ir organizacinių asmens duomenų saugumo priemonių, kad būtų užkirstas kelias atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugoti dokumentus, duomenų rinkmenas bei duomenų bazėse saugomus duomenis ir vengti nereikalingų kopijų darymo; Dokumentų kopijos, kuriose nurodomi duomenų subjekto duomenys, turi būti sunaikinamos tokiu būdu, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio;
    4. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su asmens duomenimis nė vienam asmeniui, kuris nėra įgaliotas tvarkyti asmens duomenis (švaraus stalo politika); Jeigu darbuotojui kyla abejonių, ar konkretus duomenų subjektas turi teisę gauti asmens duomenis, jis privalo konsultuotis su Pareigūnu arba Mokyklos vadovo įgaliotu darbuotoju ir tik gavęs teigiamą atsakymą turi teisę pateikti asmens duomenis;
    5. darbuotojai turi teisę ir pareigą nedelsiant pranešti tiesioginiam vadovui, Pareigūnui arba Mokyklos vadovo įgaliotam darbuotojui, apie bet kokią įtartiną situaciją, pastebėtus neteisėto asmens duomenų tvarkymo atvejus (įskaitant šių Taisyklių pažeidimus) kurie gali kelti grėsmę Mokyklos tvarkomų asmens duomenų saugumui;
    6. laikytis kitų Taisyklėse ir asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.
  13. Darbuotojas netenka teisės tvarkyti asmens duomenis, kai pasibaigia jo darbo santykiai su Mokykla arba kai jam pavedama vykdyti su duomenų tvarkymu nesusijusias funkcijas.
  14.  

TECHNINĖS IR ORGANIZACINĖS DUOMENŲ SAUGUMO PRIEMONĖS

  1. Mokykla, saugodama asmens duomenis, įgyvendina ir užtikrina tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Nustačius asmens duomenų saugumo pažeidimus, Mokykla imasi neatidėliotinų priemonių užkirsti kelią neteisėtam asmens duomenų tvarkymui.
  2. Mokykla, atsižvelgiant į darbuotojo einamas pareigas, savo nuožiūra darbuotojams suteikia darbo priemones. Mokyklai priklausančios Informacinės ir komunikacinės technologijos, t. y. kompiuteriai, mobilieji telefonai, prieiga prie interneto, elektroninis paštas, spausdintuvai, duomenų laikmenos ir kiti prietaisai, yra skirtos išimtinai darbuotojų darbo funkcijoms vykdyti, jeigu Mokykla su darbuotoju nesusitaria kitaip.
  3. Siekiant apsaugoti duomenų subjekto duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio kito neteisėto tvarkymo turi būti taikomos tokios organizacinės ir techninės priemonės:
    1. Infrastruktūrinės priemonės: tinkamas techninės įrangos išdėstymas ir priežiūra, informacinių duomenų saugojimo priemonių fizinių ir programinių saugumo priemonių įgyvendinimas, griežtas priešgaisrinės apsaugos tarnybų nustatytų normų laikymasis ir kt.;
    2. Administracinės priemonės: tinkamas darbo organizavimas, informacinių sistemų priežiūra;
    3. Telekomunikacinės priemonės: tinklo valdymas, naudojimosi internetu saugumo užtikrinimas ir kt.
  4. Darbuotojai privalo taip organizuoti savo darbą, kad kiek įmanoma apribotų galimybę kitiems asmenims (kitiems Mokyklos darbuotojams ar kitiems tretiesiems asmenims) sužinoti tvarkomus asmens duomenis. Ši nuostata įgyvendinama:
    1. nepaliekant dokumentų, su tvarkomais asmens duomenimis ar kompiuterio, kuriuo naudojantis galima atidaryti rinkmenas su asmens duomenimis, be priežiūros taip, kad juose esančią informaciją galėtų perskaityti darbuotojai, neturintys teisės dirbti su konkrečiais asmens duomenimis ar kiti asmenys;
    2. dokumentus laikant taip, kad jų (ar jų fragmentų) negalėtų perskaityti atsitiktiniai asmenys;
    3. jei dokumentai, kuriose yra asmens duomenų, kitiems darbuotojams, įstaigoms perduodami per asmenis, kurie neturi teisės tvarkyti asmens duomenis, arba per paštą ar kurjerį, jie privalo būti perduodami užklijuotame nepermatomame voke. Šis punktas netaikomas, jeigu minėti pranešimai įteikiami klientams, kitiems interesantams asmeniškai ir konfidencialiai.
  5. Darbuotojams, naudojantiems elektroninį paštą, interneto prieigą ir kitą informacinių technologijų ir telekomunikacijų įrangą, draudžiama:
    1. siųsti elektroninio pašto žinutes, naudojantis kito asmens arba neegzistuojančiu elektroninio pašto adresu;
    2. siųsti elektroninio pašto žinutes, nuslepiant savo tapatybę;
    3. negavus Mokyklos vadovo sutikimo, siųsti elektroninius laiškus, kuriuose yra informacija pripažįstama konfidencialia informacija ar Mokyklos komercine paslaptimi, išskyrus, jei informacija siunčiama asmeniui, kuris turi teisę gauti šią informaciją;
    4. negavus Mokyklos vadovo sutikimo perduoti, platinti, atskleisti tretiesiems asmenims darbui su technine ir programine įranga jiems suteiktus prieigos vardus, slaptažodžius ar kitus duomenis;
    5. kurti ar platinti laiškus, skatinančius gavėją siųsti laiškus kitiems. Laiškai su perspėjimais dėl kompiuterinių virusų, telefonų pasiklausymų ar kitų tariamų reiškinių, kuriuose prašoma nusiųsti gautą laišką visiems savo kolegoms, draugams ar pažįstamiems, turi būti nedelsiant ištrinami. Jei pranešimas sukelia įtarimų, prieš jį pašalinant, pranešti Mokyklos vadovui;
    6. naudoti interneto prieigą ir elektroninį paštą asmeniniams tikslams, Lietuvos Respublikos įstatymais draudžiamai veiklai, šmeižiančio, įžeidžiančio, grasinančiojo pobūdžio ar visuomenės dorovės ir moralės principams prieštaraujančiai informacijai, kompiuterių virusams, masinei nepageidaujamai informacijai „spam“ siųsti ar kitiems tikslams, galintiems pažeisti Mokyklos ar kitų asmenų teisėtus interesus;
    7. atlikti veiksmus, pažeidžiančius fizinio ar juridinio asmens teises, kurias saugo autorių, gretutinių ir intelektinės nuosavybės teisių apsaugos įstatymai. Tarp tokių veiksmų yra programinės įrangos diegimas, naudojimas, saugojimas arba platinimas neturint licencijos, neleistinas autorių teisėmis apsaugotų kūrinių kopijavimas;
    8. parsisiųsti arba platinti tiesiogiai su darbu nesusijusią grafinę, garso ir vaizdo medžiagą, žaidimus ir programinę įrangą, siųsti duomenis, kurie užkrėsti virusais, turi įvairius kitus programinius kodus, bylas, galinčias sutrikdyti kompiuterinių ar telekomunikacinių įrenginių bei programinės įrangos funkcionavimą ir saugumą;
    9. atskleisti prisijungimo prie Mokyklos sistemų informaciją (prisijungimo vardą, slaptažodį) arba leisti naudotis savo prisijungimo vardu kitiems asmenims; Dirbant su slaptažodžiais reikia laikytis taisyklių:
      1. saugoti slaptažodį. Neužrašinėti jo ant popieriaus skiaučių, kalendorių ir pan. Nepalikti lapelio su slaptažodžiu priklijuoto prie vaizduoklio arba prie apatinės darbo stalo pusės;
      2. nenaudoti trumpų ir elementarių slaptažodžių sudarytų iš reikšminių žodžių;
    10. apeiti ar kitaip pažeisti bet kurio kompiuterio, tinklo ar paskyros autentifikacijos arba saugumo sistemas;
    11. ardyti ar išmontuoti ar kitaip keisti kompiuterinę įrangą;
    12. perkopijuoti programinę įrangą;
    13. savarankiškai šalinti kompiuterinės įrangos gedimus;
    14. parsisiųsti ar žaisti internetinius ar kitus kompiuterinius žaidimus;
    15. savavališkai blokuoti antivirusines programas ar kitas programas;
    16. sutrikdyti kompiuterinės sistemos darbą arba panaikinti galimybę naudotis teikiama paslauga ar informacija;
    17. dalyvauti interneto lažybose ir azartiniuose lošimuose;
    18. naudoti Mokyklos išteklius komercinei veiklai vystyti ar naudai gauti;
    19. savavališkai keisti kompiuterių ar kitų prietaisų tinklo parametrus (IP adresą ir pan.), savarankiškai keisti, taisyti informacinių technologijų ir telekomunikacijų techninę ir programinę įrangą;
    20. pažeisti kitų tinklų, kurių paslaugomis naudojamasi, naudojimo arba ekvivalentiškas taisykles;
    21. savavališkai keisti interneto naršyklės ir elektroninio pašto programinės įrangos parametrus, susijusius su apsauga arba prisijungimo būdu, nepaisyti bet kurio iš įdiegtų saugumo mechanizmų;
    22. atlikti bet kokius kitus su darbo funkcijų vykdymu nesusijusius ir teisės aktams prieštaraujančius veiksmus;
    23. neįgaliotiems asmenimis Mokykloje ar už Mokyklos ribų naudoti ir perduoti slaptažodžius ir kitus duomenis, kuriais pasinaudojus programinėmis ir techninėmis priemonėmis galima sužinoti Mokyklos duomenis ar kitaip sudaryti sąlygas susipažinti su Mokyklos duomenimis.
  6. Keitimosi informacija politika:
    1. Perduodant informaciją elektroniniu paštu, būtina:
      1. atidžiai užrašyti adresato elektroninio pašto adresą, kad informacija nebūtų perduota kitam asmeniui;
      2. už organizacijos ribų siunčiamiems laiškams naudoti el. pašto programoje numatytą el. laiško parašą (angl. ,,signature“) ir jo nekeisti;
      3. priimant sprendimus pagal elektroniniu paštu gautą informaciją, būtina įsitikinti šios informacijos tikrumu (kitas asmuo gali apsimesti tikruoju siuntėju). Kilus įtarimui bei svarbiais atvejais rekomenduojama susisiekti su siuntėju ir įsitikinti ar gautas laiškas buvo jo išsiųstas;
    2. Neatverti pridėtų (angl. „attached“) failų, kurie yra gauti iš nepažįstamų asmenų, arba nėra galimybės įsitikinti šių failų turiniu;
    3. Už pašalinių asmenų naudojimąsi internetu kompiuteryje ir informacijos perdavimą elektroniniu paštu yra atsakingas kompiuterio naudotojas.
  7. Bendros apsaugos nuo virusų taisyklės:
    1. prieš naudojant nežinomas išorines duomenų laikmenas arba kurios buvo naudojamos kitame kompiuteryje, būtina atlikti jų antivirusinę profilaktiką;
    2. kilus įtarimui patikrinti kompiuterį nuo virusų;
    3. siekiant išvengti kompiuterinių virusų, nepaleisti nežinomų programų. Gavus nežinomų siuntėjų atsiųstų elektroninių laiškų priedus, kuriuose gali būti kompiuterinių virusų, darbuotojas privalo neatidaryti gautų elektroninių laiškų priedų ir informuoti tiesioginį arba Mokyklos vadovą;
    4. darbuotojas, pastebėjęs virusų atakos požymius, privalo išjungti kompiuterį ir kreiptis į tiesioginį arba Mokyklos vadovą.
  8. Mokykla pasilieka teisę be atskiro darbuotojo įspėjimo riboti prieigą prie atskirų interneto svetainių ar programinės įrangos. Nepakankant minėtų priemonių, Mokykla gali tikrinti, kaip darbuotojas laikosi elektroninio pašto ir interneto resursų naudojimo reikalavimų nurodytais tikslais, tiriant incidentus, atiduoti darbuotojų naudojamą įrangą tirti tretiesiems asmenims, kurie teisės aktų nustatyta tvarka turi teisę tokius duomenis gauti.
  9. Mokykla neužtikrina darbuotojų asmeninės informacijos konfidencialumo darbuotojams, naudojantiems elektroninį paštą ir interneto resursus asmeniniais tikslais. Mokykla turi teisę neįspėjus darbuotojo atidaryti šiam priskirtą darbinę elektroninio pašto dėžutę ir skaityti elektroninius laiškus tada, jei yra pagrindo manyti, kad darbuotojo elektroninio pašto dėžutėje yra netinkamo, įstatymus ar Mokyklos teisės interesus pažeidžiančio turinio informacija arba egzistuoja teisėta su darbo santykiais susijusi priežastis atlikti šiuos veiksmus.
  10. Mokyklos vadovas neužtikrina, kad bus išsaugotas privatumas to, ką Centro darbuotojai sukuria, siunčia ar gauna Mokyklos informacinėje sistemoje.
  11. Jeigu Mokyklos darbuotojas abejoja įdiegtų saugumo priemonių patikimumu, jis turi kreiptis į tiesioginį arba Mokyklos vadovą, kad būtų įvertintos turimos saugumo priemonės ir, jei reikia, inicijuotas papildomų priemonių įsigijimas ir įdiegimas.
  12.  

ASMENS DUOMENŲ TVARKYMUI TAIKOMŲ SAUGUMO PRIEMONIŲ SĄRAŠAS

  1. Asmens duomenų tvarkymui taikomų saugumo priemonių sąrašas:
    1. nedarbo metu Mokyklos patalpos rakinamos;
    2. tam tikruose kabinetuose įrengta patalpų signalizacijos sistema;
    3. prieiga prie duomenų suteikiama tik tam asmeniui, kuriam duomenys yra reikalingi jo funkcijoms vykdyti (būtinumo žinoti principas);
    4. kontroliuojamas darbuotojų prisijungimas prie vidinio tinklo;
    5. kontroliuojamas trečiųjų šalių vartotojų prisijungimas;
    6. apribota programinė prieiga prie duomenų;
    7. darbuotojų kompiuteriuose naudojami slaptažodžiai. Darbuotojas, dirbantis konkrečiu kompiuteriu, gali žinoti tik savo slaptažodį, privalo saugoti suteiktą slaptažodį ir neatskleisti jo tretiesiems asmenims. Slaptažodžiai esant būtinybei (pasikeitus darbuotojui, iškilus įsilaužimo grėsmei ir pan.) turi būti keičiami periodiškai, ne rečiau kaip kartą per tris mėnesius, o taip pat susidarius tam tikroms aplinkybėms (pvz.: pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims, ir pan.). Slaptažodžiai neturi sutapti su darbuotojo ar su jo šeimos narių asmeniniais duomenimis;
    8. naudojama sertifikuota programinė įranga;
    9. programinė įranga atnaujinama, laikantis nustatytos tvarkos;
    10. kompiuteriuose įdiegtos antivirusinės programos, kurios nuolat atnaujinamos;
    11. darbuotojai supažindinti su tvarka, kaip elgtis piktavališkų programų antplūdžio atveju;
    12. darbuotojams nesuteiktos teisės savavališkai keisti jam priskirtos kompiuterinės įrangos (monitoriai, skeneriai, spausdintuvai bei kopijavimo aparatų spausdinimo valdikliai, klaviatūros, pelės, kolonėlės, ausinės, vaizdo kameros bei fotokameros, multimedijos projektoriai ir pan.) ir įdiegtos programinės įrangos;
    13. nesant būtinybės, rinkmenos su fizinių asmenų duomenimis neturi būti dauginamos skaitmeniniu būdu, t. y. kuriamos rinkmenų kopijos vietiniuose kompiuterių diskuose, nešiojamose laikmenose, nuotolinėse rinkmenų talpyklose ir kt.;
    14. už Mokyklos duomenų bazėse ir IT sistemose esančių duomenų sunaikinimą atsakingi šias sistemas administruojantys darbuotojai;
    15. už elektronine forma saugomų asmens duomenų rinkmenų sunaikinimą atsako konkrečiu kompiuteriu, kuriame saugomos asmens duomenų rinkmenos, dirbantis darbuotojas;
    16. darbuotojai mokomi dirbti su programine įranga;
    17. ne rečiau kaip 1 (vieną) kartą per kalendorinius metus numatytas darbuotojų mokymas duomenų saugos klausimais;
    18. daromos atsarginės duomenų kopijos;
    19. įranga prižiūrima pagal gamintojo rekomendacijas;
    20. priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai;
    21. stebima duomenų perdavimo tinklo būklė;
    22. patalpose yra ugnies gesintuvų;
    23. pastato patalpose įrengti dūmų ir temperatūros jutikliai;
    24. stebima elektros srovės tiekimo būklė;
    25. kabeliai yra izoliaciniuose vamzdžiuose;
    26. elektros ir duomenų kabeliai saugiai atskirti.
  2.  

ASMENS DUOMENŲ TVARKYTOJAI IR GAVĖJAI

  1. Tais atvejais, kai Mokykla įgalioja duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp Mokyklos ir duomenų tvarkytojo turi būti sudaroma duomenų tvarkymo sutartis.
  2. Sprendimą perduoti duomenų subjekto duomenų tvarkymą asmens duomenų tvarkytojui priima Mokyklos vadovas.
  3. Mokykla parenka duomenų tvarkytoją, kuris užtikrina, kad būtų įgyvendintos techninės ir organizacinės duomenų apsaugos priemonės, skirtos apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo, įgyvendinant ir užtikrinant tokių priemonių laikymąsi.
  4. Mokykla, sutartimi įgaliodama duomenų tvarkytoją tvarkyti asmens duomenis, nurodo, kad asmens duomenys būtų tvarkomi atsižvelgiant į asmens duomenų tvarkymą reglamentuojančius teisės aktus, Mokyklos nurodymus, taip pat nurodant, kokius asmens duomenų tvarkymo veiksmus privalo atlikti duomenų tvarkytojas Mokyklos vardu, duomenų tvarkytojo įsipareigojimai Mokyklai, įskaitant įsipareigojimą laikytis ADTAĮ įtvirtintų reikalavimų, duomenų tvarkymo trukmė, pobūdis, asmens duomenų rūšis, duomenų subjektų kategorijos, duomenų tvarkytojo pareiga ištrinti arba grąžinti Mokyklai asmens duomenis, jų kopijas, pabaigus Mokyklai teikti paslaugas.
  5. Mokykla, sudarydama sutartį su duomenų tvarkytoju, be kita ko, nurodo, kad duomenų tvarkytojas privalo užtikrinti Mokyklos perduodamų tvarkyti duomenų konfidencialumą, o ketindamas tvarkymui pasitelkti trečiuosius asmenis (kitus duomenų tvarkytojus), duomenų tvarkytojas privalo gauti išankstinį rašytinį Mokyklos pritarimą.
  6. Duomenų valdytojo tvarkomi duomenys duomenų gavėjams, kurie po duomenų perdavimo asmens duomenis tvarko savarankiškais tikslais, o ne pagal duomenų valdytojo nurodymus, teikiami tokią pareigą teikti duomenis numatant teisės aktui, esant duomenų subjekto sutikimui arba kitam teisėto duomenų teikimo (tvarkymo) pagrindui.
  7. Duomenų teikimas duomenų gavėjui turi būti būtinas pasiekti duomenų tvarkymo tikslui, nustatytam prieš renkant duomenis, arba turi egzistuoti tinkamas teisinis pagrindas duomenis tvarkyti ir teikti nauju tikslu.
  8. Duomenų valdytojo įgaliotų duomenų tvarkytojų ir jų atliekamų funkcijų, taip pat duomenų gavėjų sąrašas pateikiamas DTVĮ. Pasitelkus naują duomenų tvarkytoją ar pradėjus teikti duomenis naujam duomenų gavėjui, DTVĮ papildomas nauja informacija. Atitinkamai, atsisakius duomenų tvarkytojo paslaugų ar pasikeitus duomenų gavėjui, taip pat padaromi atitinkami pokyčiai DTVĮ.

X SKYRIUS

  1. POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS (PDAV) IR IŠANKSTINĖS KONSULTACIJOS SU PRIEŽIŪROS INSTITUCIJA
  2. Poveikio duomenų apsaugai vertinimas (toliau – PDAV) – tai procesas, kurio metu vertinamas pavojus fizinių asmenų teisėms ir laisvėms, vertinant netinkamo duomenų valdymo ir jų praradimo įvykio tikimybę ir galimas pasekmes.
  3. Pavojaus vertinimo tikslas yra nustatyti ir įvertinti esamą ar galimą pavojų, susijusį su vertinamu procesu, jį pašalinti, o jei negalima pašalinti, taikyti prevencijos priemones, kad vertinamas procesas būtų apsaugotas nuo pavojaus arba jis būtų kiek įmanoma sumažintas.
  4. Mokyklai pradėjus vykdyti naują (-as) duomenų tvarkymo operaciją (-as), yra privaloma atlikti PDAV, jei duomenų tvarkymas:
    1. keltų didelį pavojų duomenų subjektų teisėms ir laisvėms (pavyzdžiui, atvejai, kai duomenų subjektas neturi galimybės nesutikti su duomenų tvarkymu, duomenys perduodami už ES ribų, būtų pradėti tvarkyti duomenys, kurie gauti juos sujungus su duomenimis iš kitų šaltinių, būtų tvarkomi jautrūs duomenys, tokie kaip sveikata, būtų pradėti naudoti nauji technologiniai sprendimai, pavyzdžiui, veido atpažinimo sistemos, ar kitų biometrinių duomenų atpažinimo ir kt.);
    2. automatizuotai būtų tvarkomi asmeniniai aspektai, vykdomas profiliavimas ir priimami teisiniai ar kiti didelio poveikio (pavyzdžiui, asmenų suskirstymas į grupes, kuris gali turėti jiems įtakos) sprendimai;
    3. būtų pradėtas vykdyti sistemingas vaizdo stebėjimas dideliu mastu;
    4. būtų pradėti tvarkyti specialių kategorijų asmens duomenys dideliu mastu.
  5. PDAV taip pat gali būti atliekamas ir šiame skyriuje neaptartais atvejais, bet esant Mokyklos vadovo sprendimu tai atlikti.
  6. PDAV atlieka Mokyklos vadovo įsakymu sudaroma darbo grupė iš Mokyklos darbuotojų arba PDAV atlieka asmenys pagal paslaugų teikimo sutartį.
  7. Mokyklos vadovo įsakymu sudaromai darbo grupei paskiriamas jos vadovas atlikti PDAV. Į jos sudėtį gali būti įtrauktas ir Pareigūnas arba gali būti konsultuojamasi su Pareigūnu.
  8. Darbo grupė PDAV metu pildo Priežiūros institucijos rekomenduojamą PDAV formą (toliau – Forma) (Taisyklių priedas Nr. 7).
  9. Užpildyta ir pasirašyta Forma teikiama Mokyklos vadovui, kuris priima sprendimus dėl tolimesnio asmens duomenų tvarkymo.
  10. Kai iš PDAV paaiškėja, kad duomenų tvarkymo operacijos kelia didelį pavojų duomenų subjektų teisėms ir laisvėms, o Mokykla negali jo sumažinti tinkamomis rizikos valdymo priemonėmis (turimomis technologijomis ir įgyvendinimo sąnaudomis), prieš pradedant asmens duomenų tvarkymą turi būti iš anksto konsultuojamasi su Priežiūros institucija.
  11. Konsultavimasis su Priežiūros institucija atliekamas pagal Priežiūros institucijos nustatytą procedūrą ir reikalavimus.

XI SKYRIUS

ASMENS DUOMENŲ APSAUGOS PAREIGŪNAS

  1. Mokykloje yra paskirtas Pareigūnas.
  2. Pareigūno kontaktiniai duomenys skelbiami Mokyklos interneto svetainėje duomenų subjektams lengvai prieinamoje vietoje, tam skirtoje skiltyje „Asmens duomenų apsauga“.
  3. Pareigūnas privalo:
    1. užtikrinti, kad Mokykloje vykdomas asmens duomenų tvarkymas atitiktų BDAR, kitų, asmens duomenų teisinę apsaugą reglamentuojančių teisės aktų reikalavimus, tinkamai įvertinant duomenų tvarkymo operacijas, duomenų tvarkymo pobūdį, aprėptį, kontekstą, tikslus, potencialų pavojų;
    2. stebėti, kaip laikomasi BDAR, kitų, asmens duomenų teisinę apsaugą reglamentuojančių teisės aktų reikalavimų, šių Taisyklių, kitų vidinių dokumentų, susijusių su asmens duomenų apsauga;
    3. konsultuoti ir stebėti, kaip Mokykloje atliekamas poveikio duomenų apsaugai vertinimas;
    4. informuoti Mokyklos vadovą ir kitus darbuotojus apie jų pareigas pagal BDAR ir kitus, asmens duomenų teisinę apsaugą reglamentuojančius, teisės aktus ir juos konsultuoti dėl konkrečių pareigų vykdymo;
    5. informuoti Mokyklos vadovą apie bet kokius neatitikimus, pažeidimus asmens duomenų apsaugos srityje, kuriuos Pareigūnas nustato, vykdydamas savo funkcijas;
    6. mokyti Mokyklos darbuotojus, dirbančius su asmens duomenimis, asmens duomenų teisinės apsaugos klausimais;
    7. bendradarbiauti, būti kontaktiniu asmeniu santykiuose su VDAI.
  4. Pareigūnas savo pareigas ir užduotis atlieka nepriklausomai. Mokyklos vadovas, ir jokie kiti Mokyklos darbuotojai Pareigūnui negali teikti jokių nurodymų dėl jo užduočių vykdymo.
  5. Pareigūnas turi teisę naudotis Mokyklos personalo pagalba, prašyti ir gauti iš jų informaciją, reikalingą jo funkcijoms vykdyti.
  6.  

BAIGIAMOSIOS NUOSTATOS

  1. Darbuotojai su Taisyklėmis bei jos pakeitimais supažindinami pasirašytinai ir privalo laikytis jose nustatytų įpareigojimų bei atlikdami savo darbo funkcijas vadovautis Taisyklėse nustatytais principais. Priėmus naują darbuotoją, jis su Taisyklėmis privalo būti supažindintas pirmąją jo darbo dieną.
  2. Šiose Taisyklėse esančios nuostatos gali būti papildomos ar išsamiau įtvirtinamos kituose Mokyklos veiklą reguliuojančiuose vidaus dokumentuose. Rengiant vidaus dokumentus, visais atvejais turi būti vadovaujamasi Taisyklėmis. Jeigu duomenų apsaugos klausimais yra prieštaravimų tarp Taisyklių ir kitų Mokyklos vidaus dokumentų, turi būti vadovaujamasi Taisyklių nuostatomis. Tuo atveju, jeigu klausimai, susiję su asmens duomenų apsauga nėra reglamentuoti Taisyklėse, turi būti taikomi kiti Mokyklos vidaus dokumentai.
  3. Mokyklos darbuotojai, pažeidę Taisykles, ADTAĮ ir (ar) BDAR, atsako teisės aktų nustatyta tvarka.
  4. Pasikeitus asmens duomenų tvarkymą reglamentuojantiems teisės aktams, Taisyklės yra peržiūrimos ir atnaujinamos.
  5. Taisyklės skelbiamos Mokyklos interneto svetainės skiltyje „Asmens duomenų apsauga“.
  6. Taisyklių priedai, jeigu tokių yra, tampa neatsiejama šių Taisyklių dalimi.

____________________________

Asmens duomenų tvarkymo taisyklių

1 Priedas

DARBDAVIO TEISINIŲ PRIEVOLIŲ VYKDYMO TIKSLU

Duomenų subjektų grupė Tvarkomi asmens duomenys Duomenų gavėjai ir gavėjų grupės Duomenų saugojimo terminas
Mokyklos esami ir buvę darbuotojai Vardas, pavardė, nuotrauka, asmens kodas, gimimo data (amžius), parašas, pilietybė, asmens tapatybės kortelės / paso duomenys: numeris, išdavimo data, išdavimo vieta, informacija apie vardo/pavardės keitimą: įsakymo numeris, įsakymo data, vardas, pavardė, pagrindas. Darbo mobilus telefono numeris, mobilus telefono numeris (asmeninis), darbo el. pašto adresas, asmeninis el. pašto adresas, gyvenamoji nuolatinė vieta, banko sąskaitos numeris. Duomenys apie išsilavinimą. Duomenys apie išsilavinimą, duomenys apie kvalifikacijos kėlimą. Priėmimo / atleidimo į / iš darbo duomenys, duomenys apie nedarbingumą. Nepilnamečių vaikų skaičius ir gimimo data, mirties liudijimo duomenys bei kiti asmens duomenys, kuriuos įpareigoja tvarkyti Lietuvos Respublikos įstatymai ir kiti teisės aktai. Bankai;

Valstybinio socialinio draudimo fondo valdyba prie Socialinės apsaugos ir darbo ministerijos (SODRA);

Valstybinė darbo inspekcija prie Socialinės apsaugos ir darbo ministerijos (VDI);

Valstybinė mokesčių inspekcija prie Lietuvos Respublikos finansų ministerijos (VMI);

Antstoliai;

Mokymus ir renginius organizuojančios įmonės;

Audito įmonės;

Policija, teismai;

Visi kiti asmenys, turintys teisėtą pagrindą įstatymų nustatytais atvejais gauti, reikalauti asmens duomenų nustatytoms funkcijoms vykdyti.

 Lietuvos vyriausiojo archyvaro 2011 m. kovo 9

d. įsakymu Nr. V-100 patvirtintoje Bendrųjų dokumentų saugojimo terminų rodyklėje.

Asmens duomenų tvarkymo taisyklių

2 Priedas

BENDRUOMENĖS IR VISUOMENĖS INFORMAVIMO TIKSLU

Duomenų subjektų grupė Tvarkomi asmens duomenys Duomenų gavėjai ir gavėjų grupės Duomenų saugojimo terminas
Mokyklos darbuotojai;

Mokyjlos mokiniai ir jų tėvai (kiti įstatyminiai atstovai);

Mokyklos renginiuose dalyvaujantys tretieji asmenys.

 Nufotografuotas ar nufilmuotas darbuotojo, mokinio ir jo tėvų (kitų įstatyminių atstovų) Mokyklos renginiuose dalyvaujančių trečiųjų asmenų atvaizdas, vardas (-ai), pavardė (-ės), įvykio apibūdinimas, vieta, laikas. Visuomenė
  1. Asmens duomenys interneto svetainėje skelbiami 10 metų nuo įvykio datos;
  2. Tam tikrais atvejais asmens duomenys interneto svetainėje skelbiami neterminuotai, Mokyklos istorijos įvykiams fiksuoti.

Asmens duomenų tvarkymo taisyklių

3 Priedas

MOKYKLOS VEIKLOS UŽTIKRINIMO IR TĘSTINUMO VYKDYMO TIKSLU

Duomenų subjektų grupė Tvarkomi asmens duomenys Duomenų gavėjai ir gavėjų grupės Duomenų saugojimo terminas
Prekių ir paslaugų tiekėjai (iš kurių Mokykla įsigyja prekes, paslaugas ir/ar darbus);

juridinio asmens atstovai.

 Sutarčių sudarymo bei vykdymo tikslu gali būti tvarkomi tiekėjų (fizinių asmenų) asmens duomenys: vardas (-ai), pavardė (-ės), asmens kodas arba gimimo data, gyvenamoji vieta (adresas), telefono numeris, elektroninio pašto adresas, darbovietė, pareigos, banko atsiskaitomoji sąskaita ir bankas, kuriame ši sąskaita yra, piniginės operacijos ar sandorio atlikimo data, suma, valiuta bei kiti duomenys, kuriuos pateikia pats asmuo, kuriuos Mokykla gauna pagal teisės aktus vykdydama Mokyklos veiklą ir (arba) kuriuos tvarkyti Mokyklą įpareigoja įstatymai ir (arba) kiti teisės aktai.

Kai partneris yra juridinis asmuo, gali būti tvarkomi jo darbuotojų arba atstovų: vardas, pavardė, telefono numeris, elektroninio pašto adresas, įmonės pavadinimas, adresas, pareigos, įgaliojimų duomenys (numeris, data, įgaliotinio asmens gimimo data.

Organizuojant ir vykdant viešųjų pirkimų procedūrą/-as gali būti tvarkomi tiekėjų (fizinių asmenų) asmens duomenys: vardas (-ai), pavardė (-ės), asmens kodas, išsilavinimas, darbovietė, pareigos, adresas, telefono numeris, elektroninio pašto adresas bei kiti asmens duomenys, kuriuos pateikia pats asmuo, kuriuos Mokykla gauna pagal teisės aktus vykdydama darbdavio teisines prievoles ir (arba) kuriuos tvarkyti Mokyklą įpareigoja įstatymai ir (arba) kiti
    1. Valstybinė mokesčių inspekcija;
    2. Asmenys, turintys teisėtą pagrindą įstatymų nustatytais atvejais gauti, reikalauti asmens duomenų, nustatytoms funkcijoms vykdyti.
 10 metų po sutartinių santykių pasibaigimo dienos.

 

Asmens duomenų tvarkymo taisyklių

4 Priedas

KOMUNIKACIJOS SU DUOMENŲ SUBJEKTAIS TIKSLU

Duomenų subjektų grupė Tvarkomi asmens duomenys Duomenų gavėjai ir gavėjų grupės Duomenų saugojimo terminas
Mokyklai užklausą, komentarą, prašymą, skundą ir pan. pateikę asmenys Vardas (-ai), ryšių duomenys (elektroninio pašto adresas), užklausoje, komentare, prašyme, skunde ir pan. nurodyta informacija, Mokyklos atsakymo data ir numeris, užklausos, komentaro, prašymo, skundo ir pan. nagrinėjimo rezultatas. Teismui, prokuratūrai,

ikiteisminio tyrimo įstaigoms bei kitoms institucijoms,

turinčioms teisinį pagrindą nagrinėti užklausoje, komentare, prašyme, skunde ir pan. nurodytą

klausimą.

 Duomenys saugomi 3 kalendorinius metus nuo jų pateikimo dienos.

 

Asmens duomenų tvarkymo taisyklių

5 Priedas

MOKYKLOS DARBUOTOJŲ, MOKINIŲ IR KITŲ DUOMENŲ SUBJEKTŲ BEI JŲ TURTO SAUGUMO UŽTIKRINIMO TIKSLU (VAIZDO STEBĖJIMAS)

Duomenų subjektų grupė Tvarkomi asmens duomenys Duomenų gavėjai ir gavėjų grupės Duomenų saugojimo terminas
Mokyklos darbuotojai;

Mokyklos mokiniai ir jų tėvai (kiti įstatyminiai atstovai);

Mokykloje ir jo filialuose besilankantys tretieji asmenys.

 Darbuotojo, mokinio ir jo tėvų (kitų įstatyminių atstovų), Mokykloje ir jo filialuose besilankančių trečiųjų asmenų atvaizdas. Teismui, prokuratūrai,

ikiteisminio tyrimo įstaigoms bei kitoms institucijoms,

turinčioms teisinį pagrindą gauti vaizdo įrašą, jeigu jis išsaugotas.

 Duomenys saugomi iki 30 (trisdešimt) kalendorinių dienų nuo jų įrašymo dienos.

Asmens duomenų tvarkymo taisyklių

6 Priedas

DARBUOTOJO ĮSIPAREIGOJIMAS SAUGOTI ASMENS DUOMENIS

20…..-………-……..

Raseiniai

  1. Suprantu, kad:
    1. dirbdamas (-a) Raseinių specialioji mokykla, kodas 290986160 (toliau – Mokykla) naudosiu ir tvarkysiu asmens duomenis, kurie negali būti atskleisti ar perduoti neįgaliotiems asmenims ar institucijoms;
    2. draudžiama perduoti ar dalintis su kitais asmenimis Mokyklos viduje ar už jos ribų slaptažodžiais ir kitais duomenimis, leidžiančiais programinėmis ir techninėmis priemonėmis naudotis bet kokios formos asmens duomenimis;
  2. Įsipareigoju:
    1. saugoti asmens duomenų paslaptį;
    2. tvarkyti asmens duomenis, vadovaujantis LR asmens duomenų teisinės apsaugos įstatymu (toliau – ADTAĮ), Bendruoju duomenų apsaugos reglamentu (toliau – BDAR) ir kitais teisės aktais, pareigybės aprašymu ir Mokyklos lokaliniais teisės aktais, reglamentuojančiais funkcijas, kurias vykdant man bus patikėtas asmens duomenų tvarkymas, apibrėžtais ir teisėtais tikslais;
    3. neatskleisti, neperduoti ir nesudaryti sąlygų jokiomis priemonėmis susipažinti su tvarkoma informacija nė vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija, tiek Mokyklos viduje, tiek už jos ribų;
    4. pranešti savo tiesioginiam vadovui ir (ar) už duomenų saugą atsakingiems asmenims apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę asmens duomenų saugumui.
  3. Žinau, kad:
    1. už šio įsipareigojimo nesilaikymą ir asmens duomenų apsaugą reglamentuojančių teisės aktų pažeidimus turėsiu atsakyti pagal galiojančius Lietuvos Respublikos įstatymus;
    2. asmuo, patyręs žalą dėl neteisėto asmens duomenų tvarkymo arba kitų duomenų valdytojo ar duomenų tvarkytojo, taip pat kitų asmenų veiksmų ar neveikimo, pažeidžiančių ADTAĮ, BDAR nuostatas, turi teisę reikalauti atlyginti jam padarytą turtinę ir neturtinę žalą pagal Lietuvos Respublikos įstatymus;
    3. asmens duomenų tvarkymas pažeidžiant ADTAĮ, BDAR ir duomenų subjekto teisių pažeidimas užtraukia atsakomybę pagal galiojančius LR teisės aktus;
    4. šis įsipareigojimas galioja tiek darbo laiku, tiek ir po darbo santykių pasibaigimo.
         
(pareigų pavadinimas)   (parašas)   (vardas ir pavardė)

 

Asmens duomenų tvarkymo taisyklių

7 Priedas

POVEIKIO DUOMENŲ APSAUGAI VERTINIMO FORMA

  1. Priežastys, dėl kurių būtina atlikti poveikio duomenų apsaugai vertinimą
Planuojamos vykdyti veiklos aprašymas, jos tikslai ir planuojamos atlikti asmens duomenų tvarkymo operacijos. Paaiškinimas, kodėl būtina atlikti poveikio duomenų apsaugai vertinimą. Jei reikia, prie formos pridedami susiję dokumentai.
 
  1. Asmens duomenų tvarkymo aprašymas
Aprašomi asmens duomenų rinkimo, naudojimo, saugojimo ir naikinimo veiksmai, nurodoma, iš kokių šaltinių bus renkami duomenys, kam bus teikiami (galima pateikti asmens duomenų tvarkymo veiksmų schemą). Aprašoma, kokie asmens duomenų tvarkymo veiksmai gali kelti pavojų fizinių asmenų teisėms ir laisvėms.
 
Aprašomas tvarkymo mastas: kokių kategorijų asmens duomenys bus tvarkomi; ar bus tvarkomi specialių kategorijų asmens duomenys arba duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas; kiek duomenų, kaip dažnai bus renkama ir naudojama; kaip ilgai bus saugomi asmens duomenys; nurodomas apytikslis duomenų subjektų skaičius bei geografinė duomenų tvarkymo aprėptis.
 
Aprašomas duomenų tvarkymo pobūdis: kokio pobūdžio santykiai sieja Jūsų Įstaigą su duomenų subjektais; ar duomenų subjektai turės galimybę kontroliuoti duomenų tvarkymą; ar duomenų subjektai gali numatyti, kad jų asmens duomenys bus tvarkomi šiuo būdu; ar bus tvarkomi vaikų ir kitų pažeidžiamų asmenų duomenys; įvertinama, ar toks duomenų tvarkymas yra saugus; ar duomenų tvarkymo technologijos yra naujos, ar egzistuojančios technologijos bus panaudotos kitokiu būdu; koks yra technologijų išsivystymo lygis šioje srityje; ar yra kokių nors visuomeninių ar pan. problemų ar klausimų, į kuriuos būtina atsižvelgti; nurodoma, ar yra įsipareigojimas laikytis patvirtinto elgesio kodekso ar patvirtinto sertifikavimo mechanizmo.
 
Aprašomi asmens duomenų tvarkymo tikslai: kokį rezultatą siekiama gauti; kokį poveikį tai turės fiziniams asmenims; kokia yra tokio duomenų tvarkymo nauda Jūsų Įstaigai bei kitiems asmenims.
 
  1. Konsultacijos
Aprašoma, kaip planuojama sužinoti suinteresuotų asmenų nuomonę arba pagrindžiama, kodėl to daryti nebūtina: kokių asmenų nuomonę planuojama gauti; kokie asmenys bus pasitelkti Jūsų Įstaigoje, ar bus pasitelkti duomenų tvarkytojai; ar planuojama konsultuotis su duomenų saugos ekspertais ar kitokių sričių ekspertais.
 
  1. Būtinumo ir proporcingumo įvertinimas
Aprašomas asmens duomenų tvarkymo teisėtumas ir tvarkymo proporcingumas: nurodomas teisėto tvarkymo pagrindas; įvertinama, ar tvarkant asmens duomenis bus pasiektas Jūsų tikslas; ar tą patį rezultatą įmanoma pasiekti kitokiu būdu; kokiu būdu bus išvengta veiklos sutrikimų; kaip bus užtikrinta duomenų kokybė ir įgyvendintas duomenų kiekio mažinimo principas; kokia informacija bus pateikta duomenų subjektams; kaip Jūsų Įstaiga planuoja įgyvendinti duomenų subjektų teises; kokiu būdu bus užtikrinta, kad duomenų tvarkytojas laikytųsi reikalavimų; kokiu būdu bus užtikrintas į užsienio valstybes teikiamų asmens duomenų saugumas.
 
  1. Pavojų nustatymas ir įvertinimas
Aprašomas pavojaus ir poveikio fiziniam asmeniui pobūdis. Jei būtina, aprašoma susijusi verslo rizika. Žalos tikimybė Žalos sunkumas Bendras pavojaus lygis
  Mažai tikėtina,

tikėtina ar labai tikėtina

 Minimali,

reikšminga ar sunki

 Žemas,

vidutinis ar aukštas
  1. Priemonių sumažinti nustatymas
Nurodomos papildomos priemonės, kurių galima imtis siekiant sumažinti ar panaikinti aukšto ar vidutinio lygio pavojus.
Pavojus Priemonės sumažinti ar pašalinti pavojų Priemonės pritaikymo rezultatas Likęs pavojus Priemonė patvirtinta
    Pašalinta,

sumažinta, priimtina rizika

 Žemas,

vidutinis ar aukštas

 Taip, ne
  1. Išvados ir sprendimai
Nurodomos priemonės ir įvardijamas likęs pavojus Vardas, pavardė, data, parašas Pastabos
Priemonės patvirtintos:   Įtraukti numatytas priemones į veiklos planą, nustatant atlikimo terminą ir atsakingus asmenis
Likęs pavojus pripažintas priimtina rizika:   Jei priimtina rizika pripažintas aukšto lygio pavojus priimtinas, privaloma kreiptis dėl išankstinės konsultacijos į Valstybinę duomenų apsaugos inspekciją

Duomenų apsaugos pareigūno nuomonė

Duomenų apsaugos pareigūno nuomonė turi būti pateikta dėl asmens duomenų tvarkymo teisėtumo, planuojamų priemonių pavojams mažinti ar pašalinti bei dėl galimybės toliau tvarkyti asmens duomenis.

Nurodoma duomenų apsaugos pareigūno nuomonė:
  Vardas, pavardė, data, parašas

Nurodoma, ar atsižvelgta į duomenų apsaugos pareigūno nuomonę

Jeigu atmesta, pagrindžiama, kodėl.
  Vardas, pavardė, data, parašas

Gautos kitų asmenų nuomonės

Trumpai aprašomos kitų asmenų nuomonės ir nurodoma, ar į jas atsižvelgta. Jeigu sprendimas skiriasi nuo susijusių asmenų nuomonės, pagrindžiama, kodėl.
  Vardas, pavardė, data, parašas

Už šio poveikio duomenų apsaugai vertinimo priežiūrą paskirtas atsakingas asmuo

Pastaba. Duomenų apsaugos pareigūnas turi prižiūrėti asmens duomenų tvarkymo atitiktį Poveikio duomenų apsaugai vertinime nurodytoms išvadoms ir sprendimams.

 
  Vardas, pavardė, data, parašas
   

 

No Result
View All Result

© 2022 Raseiniuspindulys.lt - Raseinių specialioji mokykla.

Skip to content