Asmens duomenų apsauga

VIEŠOSIOS ĮSTAIGOS „LIETUVOS ANTIDOPINGO AGENTŪRA“ DIREKTORIAUS ĮSAKYMAS DĖL ASMENS DUOMENŲ APSAUGOS VIEŠOJOJE ĮSTAIGOJE LIETUVOS ANTIDOPINGO AGENTŪRA TAISYKLIŲ PATVIRTINIMO

2018 m. gegužės 3 d. Nr. V18-3

Vilnius
Vadovaudamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) 32 straipsnio 1 ir 4 dalimis, t v i r t i n u Asmens duomenų apsaugos viešojoje įstaigoje „Lietuvos antidopingo agentūra“ taisykles (pridedama).

L. e. p. direktorė Kristina Jagminienė

PATVIRTINTA

VšĮ „Lietuvos antidopingo agentūros“ direktoriaus 2018 m. gegužės 3 d. įsakymu Nr. V18-3

ASMENS DUOMENŲ APSAUGOS VIEŠOJOJE ĮSTAIGOJE LIETUVOS ANTIDOPINGO AGENTŪRA TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Asmens duomenų apsaugos VšĮ „Lietuvos antidopingo agentūra“ taisyklių (toliau –
Taisyklės) tikslas – reglamentuoti asmens duomenų tvarkymą VšĮ „Lietuvos antidopingo
agentūra“ (toliau – Agentūra), užtikrinant 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos
reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių
duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Reglamentas (ES) 2016/679),
Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ), kitų įstatymų
bei teisės aktų, nustatančių asmens duomenų tvarkymo ir apsaugos reikalavimus, laikymąsi ir
įgyvendinimą.

2. Taisyklių privalo laikytis visi Agentūros darbuotojai (toliau – darbuotojai), kurie tvarko
Agentūroje esančius asmens duomenis arba eidami savo pareigas juos sužino. Prieiga prie asmens
duomenų gali būti suteikiama tik tiems Agentūros darbuotojams, kuriems asmens duomenys yra
reikalingi jų funkcijoms vykdyti. Darbuotojai, atlikdami savo pareigas ir tvarkydami asmens
duomenis, privalo laikytis pagrindinių asmens duomenų tvarkymo principų bei konfidencialumo ir
saugumo reikalavimų, įtvirtintų Reglamente (ES) 2016/679, ADTAĮ ir šiose Taisyklėse.

3. Taisyklėse vartojamos sąvokos atitinka Bendrajame duomenų apsaugos reglamente ir
ADTAĮ nustatytas sąvokas.

4. Taisyklės parengtos vadovaujantis Reglamentu (ES) 2016/679, ADTAĮ ir kitais teisės
aktais, reglamentuojančiais asmens duomenų tvarkymą ir apsaugą.

5. Šiose Taisyklėse nurodytų asmens duomenų valdytoja ir tvarkytoja yra Agentūra, kuri
užtikrina, kad asmens duomenys Agentūroje būtų tvarkomi laikantis Reglamente (ES) 2016/679,
ADTAĮ ir kituose teisės aktuose nustatytų asmens duomenų tvarkymo reikalavimų. Šiose Taisyklėse
nurodytus asmens duomenis teisės aktų nustatytais atvejais ir tvarka gali tvarkyti ir kiti subjektai
(asmens duomenų valdytojai ir tvarkytojai).

6. Asmens duomenys Agentūroje tvarkomi automatiniu būdu ir neautomatiniu būdu tvarkant
asmens duomenų susistemintas rinkmenas.

7. Agentūra, kaip asmens duomenų valdytoja, atlikdama 2005 m. spalio 19 d. Tarptautinėje
konvencijoje prieš dopingo vartojimą sporte, ratifikuotoje Lietuvos Respublikos 2006 m. gegužės 2
d. įstatymu Nr. X591 „Dėl Tarptautinės konvencijos prieš dopingo vartojimą sporte ratifikavimo“ ir
Pasaulinio antidopingo kodekse ir kituose teisės aktuose nustatytas funkcijas, turi teisę gauti iš
tarptautinių ir nacionalinių federacijų, Lietuvos tautinio olimpinio komiteto, kitų valstybės ir
savivaldybių institucijų, įstaigų, organizacijų ir trečiųjų asmenų informaciją Agentūros kompetencijai
priskirtais klausimais ir teisės aktų nustatyta tvarka tvarkyti asmens duomenis.

II SKYRIUS

ASMENS DUOMENŲ TVARKYMAS

8. Agentūra naudojasi Antidopingo administravimo ir valdymo sistema (toliau – ADAMS),
kurios valdytojas yra Pasaulinė antidopingo agentūra. Šioje sistemoje esantys asmens duomenys
saugomi tiek laiko, kiek nustatyta šios sistemos nuostatuose, duomenų saugos nuostatuose bei kituose
duomenų saugos politiką įgyvendinančiuose teisės aktuose. Kompiuterinėse laikmenose esantys
asmens duomenys turi būti sunaikinami ir ištrinami tuojau pat po to, kai jų tvarkymas tampa
netikslingas.

9. Asmens duomenys Agentūroje tvarkomi vidaus administravimo tikslais ir įstatymų
priskirtų funkcijų įgyvendinimo tikslais. Asmens duomenys Agentūroje renkami tik teisės aktų
nustatyta tvarka, juos gaunant tiesiogiai iš duomenų subjekto, sutarčių bei teisės aktų pagrindu
prisijungiant prie ADAMS ar oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę
ją teikti subjektų.

10. Agentūroje vidaus administravimo tikslais tvarkomi tokie darbuotojų asmens duomenys:
asmens vardas ir pavardė, gimimo data, asmens kodas, pilietybė, gyvenamoji vieta, telefono numeris,
elektroninio pašto adresas, šeimyninė padėtis, asmens tapatybę patvirtinančio dokumento numeris,
socialinio draudimo pažymėjimo numeris, gyvenimo aprašymo duomenys, gyvenimo aprašymo
faktus pagrindžiantys dokumentai (įgytą išsilavinimą pagrindžiantys diplomai, atestatai, pažymėjimai,
pažymos, kt.), darbo užmokesčio dydis, mokamų mokesčių dydis ir rūšis, socialinių išmokų dydis ir
rūšis, informacija, nurodyta privačių interesų deklaracijoje.

11. Agentūra įstatymų ir kitų teisės aktų priskirtų funkcijų įgyvendinimo tikslais – atlikdama
dopingo kontrolę, rezultatų valdymą – tvarko tokius duomenų subjektų asmens duomenis: asmens
vardas ir pavardė, gimimo data, pilietybė, gyvenamoji vieta, telefono numeris, elektroninio pašto
adresas, duomenis dėl sveikatos, kurie reikalingi išduoti Leidimą vartoti gydimui pagal Pasaulinį
antidopingo kodeksą.

12. Duomenų subjektų asmens duomenys saugomi asmens bylose ir atitinkamose Agentūros
tvarkomose duomenų bazėse.

13. Duomenų subjektų asmens duomenys taisomi, tikslinami ar atnaujinami:
13.1. pagal duomenų subjektų rašytinį prašymą;
13.2. darbuotojams nustačius techninių asmens duomenų klaidų;
13.3. institucijoms, teikiančioms asmens duomenis informavus apie asmens duomenų
patikslinimą.

14. Agentūros darbuotojai, pasikeitus jų asmens duomenims, raštu informuoja apie tai
Agentūros direktorių, o šis patikslina ir atnaujina duomenis.

15. Duomenų subjektas gali skųsti Agentūros, kaip duomenų valdytojo, veiksmus (neveikimą)
Valstybinei duomenų apsaugos inspekcijai.

16. Asmens duomenų gavėjai:
16.1. fiziniai ir juridiniai asmenys, pateikę prašymą pateikti asmens duomenis Reglamente
(ES) 2016/679 ir ADTAĮ nustatyta tvarka;
16.2. asmenys nurodyti, kurie turi teisę gauti asmens duomenis pagal Pasaulinio antidopingo
kodekso ir Antidopingo taisykles, patvirtintas viešosios įstaigos „Lietuvos antidopingo
agentūra“ direktoriaus 2014 m. gruodžio 23 d. įsakymu Nr. V-3;
16.3. bendrosios kompetencijos ir administraciniai teismai, administracinių ginčų komisijos
ir teisėsaugos institucijos.

III SKYRIUS

PAGRINDINIAI ASMENS DUOMENŲ TVARKYMO IR APSAUGOS REIKALAVIMAI

17. Agentūros darbuotojai, atlikdami savo funkcijas ir tvarkydami asmens duomenis, privalo
laikytis pagrindinių asmens duomenų tvarkymo reikalavimų:
17.1. asmens duomenys renkami šių Taisyklių 10 ir 11 punktuose apibrėžtais tikslais ir
tvarkomi su šiais tikslais suderintais būdais;
17.2. asmens duomenys duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu
būdu;
17.3. asmens duomenys turi būti tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat
atnaujinami; netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, ištrinti (sunaikinti) arba
sustabdytas jų tvarkymas;
17.4. asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų,
dėl kurių jie tvarkomi;
17.5. asmens duomenys turi būti laikomi (saugomi) tokia forma, kad duomenų subjektų
tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo
surinkti ir tvarkomi;
17.6. asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ir
organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo
duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo,
sunaikinimo ar sugadinimo;
17.7. asmens duomenys tvarkomi pagal Reglamente (ES) 2016/679, ADTĮ ir kituose
atitinkamą veiklą reglamentuojančiuose teisės aktuose nustatytus asmens duomenų tvarkymo
reikalavimus.

18. Asmens duomenys Agentūroje renkami tik teisės aktų nustatyta tvarka, juos gaunant
tiesiogiai iš duomenų subjekto, gaunant iš kitų asmenų nustatyta tvarka ir pagrindais, taip pat
oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų pagal
prašymą (vienkartinio asmens duomenų rinkimo atveju).

19. Asmens duomenų saugojimo terminus ir veiksmus, kurie atliekami pasibaigus šiam
terminui, nustato teisės aktai, reglamentuojantys atitinkamų asmens duomenų tvarkymą. Asmens
duomenys saugomi ne ilgiau, negu to reikalauja duomenų tvarkymo tikslai. Asmens duomenys,
esantys dokumentuose, yra saugomi teisės aktų, reglamentuojančių šių dokumentų saugojimą,
nustatyta tvarka ir terminais. Elektroninės informacijos (duomenų) atsarginės kopijos saugomos
informacinės sistemos valdytojo tvirtinamuose informacinės sistemos saugos nuostatuose nustatyta
tvarka ir terminais. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie yra sunaikinami,
išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti Lietuvos valstybės naujajam
archyvui.

20. Agentūra užtikrina, kad visa reikalinga informacija, susijusi su duomenų tvarkymu,
duomenų subjektui būtų pateikiama aiškiai ir suprantamai.

21. Teisės aktų nustatytais atvejais ir tvarka Agentūra teikia jos tvarkomus asmens duomenis
valstybės, įstaigoms, organizacijoms ir kitiems asmenims, kuriems asmens duomenis teikti Agentūrą
įpareigoja įstatymai ar kiti teisės aktai arba kuriems Agentūra, teisės aktų nustatyta tvarka vykdydama
savo funkcijas, teikia asmens duomenis, taip pat pagal duomenų gavėjų prašymus (vienkartinio
teikimo atveju). Prašyme turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo
teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis. Kai asmens duomenys tvarkomi
automatiniu būdu ir taikomos tinkamos duomenų saugumą užtikrinančios priemonės, teikiant asmens
duomenis pagal duomenų gavėjo prašymą, prioritetas taikomas duomenų teikimui elektroninėmis
priemonėmis.

IV SKYRIUS

SPECIALIEJI ASMENS DUOMENŲ TVARKYMO AGENTŪROJE REIKALAVIMAI

22. Agentūra įgyvendina šiose Taisyklėse nurodytas organizacines ir technines asmens
duomenų saugumo priemones, skirtas užtikrinti tinkamą asmens duomenų saugumą, taip pat apsaugą
nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo,
sunaikinimo ar sugadinimo.

23. Pasikeitus duomenų subjektų asmens duomenims ir duomenų subjektams apie tai raštu
informavus Agentūrą, toks duomenų subjekto raštas įdedamas į bylą, o automatinėse duomenų
rinkmenose ir duomenų bazėse duomenys atnaujinami.

24. Personalo, finansų, buhalterinės apskaitos ir atskaitomybės bylos, taip pat kitos archyvinės
bylos ir atitinkamos elektroninės bylos, keičiantis atitinkamus dokumentus ir bylas tvarkantiems
Agentūros darbuotojams ar jų įgaliojimams, perduodamos naujai priimtam ir asmens duomenis
tvarkyti paskirtam Agentūros darbuotojui perdavimo-priėmimo aktu.

25. Naikinant dokumentus, kurių saugojimo terminas yra pasibaigęs, Agentūros dokumentai,
kuriuose nurodomi asmens duomenys, bei jų kopijos turi būti sunaikinti taip, kad šių dokumentų
nebūtų galima atkurti ir atpažinti jų turinio.

26. Duomenų subjektų pateikti dokumentai bei jų kopijos, finansavimo, buhalterinės apskaitos
ir atskaitomybės, archyvinės ar kitos bylos, kuriose yra asmens duomenų, saugomos rakinamose
spintose, seifuose arba patalpose. Dokumentai, kuriuose yra asmens duomenų, neturi būti laikomi
taip, kad neturintys teisės asmenys nekliudomai galėtų su jais susipažinti.

27. Archyviniam saugojimui perduoti dokumentai (bylos) iki perdavimo Lietuvos valstybės
naujajam archyvui saugomos Agentūroje.

28. Vietinio tinklo sritys, kuriose yra saugomi asmens duomenys, privalo būti apsaugotos
prieigos prie asmens duomenų slaptažodžiais arba turi būti apribotos prieigos teisės prie jų. Prieigos
prie asmens duomenų teisės suteikiamos ir redaguojamos, slaptažodžiai suteikiami, keičiami ir
naikinami duomenų valdytojo nustatyta tvarka.

29. Agentūros interneto svetainėje turi būti maksimaliai apribotos galimybės viešai
veikiančioms interneto paieškos sistemoms bei paieškos variklių robotams kopijuoti Agentūros
svetainėje esančią informaciją ir maksimaliai apribota galimybė šioms sistemoms ir robotams surasti
ankščiau skelbtos, bet iš Agentūros interneto svetainės jau pašalintos, informacijos kopijų.
Kompiuterinė įranga turi būti apsaugota nuo kenksmingos programinės įrangos (antivirusinių
programų įdiegimas, atnaujinimas ir pan.). Asmens duomenų tvarkymo keliamos rizikos vertinimo
atlikimo tvarka ir saugumo pažeidimų valdymas, reagavimo į šiuos pažeidimus veiksmai, duomenų
atsarginių kopijų darymo, saugojimo ir duomenų atkūrimo iš atsarginių duomenų kopijų tvarka
nustatoma informacinių sistemų valdytojo tvirtinamuose informacinės sistemos saugos nuostatuose
bei kituose saugos politiką įgyvendinančiuose teisės aktuose.

V SKYRIUS

REIKALAVIMAI ASMENIMS, TVARKANTIEMS ASMENS DUOMENIS

30. Prieiga prie asmens duomenų gali būti suteikta tik tam Agentūros darbuotojui, kuriam
asmens duomenys yra reikalingi jo funkcijoms vykdyti.

31. Su asmens duomenimis galima atlikti tik tuos veiksmus, kuriems atlikti Agentūros
darbuotojui yra suteiktos teisės.

32. Prieigos prie asmens duomenų teisės Agentūros darbuotojams suteikiamos, redaguojamos
Agentūros vidaus tvarkos taisyklės nustatyta tvarka.

33. Agentūros darbuotojas, tvarkantis duomenų subjektų asmens duomenis, privalo:
33.1. laikytis pagrindinių asmens duomenų tvarkymo reikalavimų ir saugumo reikalavimų,
įtvirtintų Reglamente (ES) 2016/679, ADTAĮ, Pasauliniame antidopingo kodekse, Privatumo ir
asmens duomenų apsaugos stantarte, patvirtintame Pasaulinės antidopingo agentūros, šiose
Taisyklėse ir kituose teisės aktuose;
33.2. laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis
susijusią informaciją, su kuria jis susipažino vykdydamas savo funkcijas, išskyrus, jeigu tokia
informacija buvo vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti
asmens duomenų paslaptį galioja ir perėjus dirbti į kitas pareigas ar pasibaigus įgaliojimams, darbo
santykiams Agentūroje;
33.3. laikytis šiose Taisyklėse nustatytų organizacinių ir techninių asmens duomenų saugumo
priemonių, siekiant užkirsti kelią netyčiniam ar neteisėtam tvarkomų asmens duomenų sunaikinimui,
praradimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugoti
dokumentus, duomenų rinkmenas bei duomenų bazėse saugomus duomenis ir vengti perteklinių jų
kopijų darymo;
34.4. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su
asmens duomenimis asmeniui, kuris nėra įgaliotas tvarkyti asmens duomenų;
34.5. nedelsiant pranešti Agentūros direktoriui ar jo įgaliotam atsakingam asmeniui ir
duomenų apsaugos pareigūnui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę Agentūros
tvarkomų asmens duomenų saugumui;
34.6. domėtis asmens duomenų apsaugos aktualijomis ir problemomis, esant galimybei, kelti
kvalifikaciją asmens duomenų teisinės apsaugos srityje;
34.7. laikytis kitų šiose Taisyklėse ir asmens duomenų apsaugą reglamentuojančiuose teisės
aktuose nustatytų reikalavimų.

35. Agentūros darbuotojas netenka teisės tvarkyti duomenų subjektų asmens duomenų, kai
pasibaigia darbuotojo įgaliojimai ar darbo santykiai su Agentūra, arba kai jam pavedama vykdyti su
duomenų tvarkymu nesusijusias funkcijas.

VI SKYRIUS

DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO TVARKA

36. Duomenų subjektas turi šias teises:
36.1. gauti informaciją apie duomenų tvarkymą;
36.2. susipažinti su duomenimis;
36.3. reikalauti ištaisyti duomenis;
36.4. reikalauti ištrinti duomenis („teisė būti pamirštam“);
36.5. apriboti duomenų tvarkymą;
36.6. nesutikti su duomenų tvarkymu;
36.7. į duomenų perkeliamumą.

37. Teisė gauti informaciją apie duomenų tvarkymą:
37.1. Informacija apie Agentūros atliekamą duomenų subjekto asmens duomenų tvarkymą,
nurodyta Reglamento (ES) 2016/679 13 ir 14 straipsniuose, pateikiama:
37.1.1. interneto svetainėje www.antidopingas.lt;
37.1.2. informacinio pobūdžio lentelėse ir (arba) lipdukuose apie vaizdo stebėjimą Agentūros
teritorijoje ir patalpose;
37.1.3. bendravimo su duomenų subjektu metu tokiu būdu, kokiu duomenų subjektas kreipiasi
į Agentūrą.
37.2. Informacija apie duomenų subjektų asmens duomenų tvarkymą pateikiama asmens
duomenų gavimo metu.
37.3. Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto,
apie šio duomenų subjekto asmens duomenų tvarkymą informuojama:
37.3.1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną
mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;
37.3.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne
vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu;
37.3.3. jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip
atskleidžiant duomenis pirmą kartą.

38. Teisė susipažinti su duomenimis:
39.1. Agentūra, gavusi duomenų subjekto prašymą įgyvendinti teisę susipažinti su savo
asmens duomenimis, turi pateikti:
39.1.1. informaciją, ar duomenų subjekto asmens duomenys tvarkomi ar ne;
39.1.2. su asmens duomenų tvarkymu susijusią informaciją, numatytą Reglamento (ES)
2016/679 15 straipsnio 1 ir 2 dalyse, jeigu duomenų subjekto asmens duomenys tvarkomi;
39.1.3. tvarkomų asmens duomenų kopiją.
39.2. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta tvarkomų asmens duomenų
kopija ir kita forma, nei Agentūra pateikia, tačiau už tai gali būti imamas mokestis, apskaičiuotas
pagal administracines išlaidas.

40. Teisė reikalauti ištaisyti duomenis:
40.1. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 16 straipsniu, turi
teisę reikalauti, kad bet kokie jo tvarkomi netikslūs asmens duomenys būtų ištaisyti, o neišsamūs
papildyti.
40.2. Siekiant įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar
neišsamūs, Agentūra gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus.
40.3. Jeigu duomenų subjekto asmens duomenys (ištaisyti pagal duomenų subjekto prašymą)
buvo perduoti duomenų gavėjams, Agentūra šiuos duomenų gavėjus apie tai informuoja, nebent tai
būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad
jam būtų pateikta informacija apie tokius duomenų gavėjus.

41. Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“):
42.1. Duomenų subjekto teisė ištrinti jo asmens duomenis („teisė būti pamirštam“)
įgyvendinama Reglamento (ES) 2016/679 17 straipsnyje numatytais atvejais.
42.2. Duomenų subjekto teisė reikalauti ištrinti asmens duomenis („teisė būti pamirštam“) gali
būti neįgyvendinta Reglamento (ES) 2016/679 17 straipsnio 3 dalyje numatytais atvejais.
42.3. Jeigu duomenų subjekto asmens duomenys (ištrinti pagal duomenų subjekto prašymą)
buvo perduoti duomenų gavėjams, Agentūra šiuos duomenų gavėjus apie tai informuoja, nebent tai
būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad
jam būtų pateikta informacija apie tokius duomenų gavėjus.

43. Teisė apriboti duomenų tvarkymą:
44.1. Reglamento (ES) 2016/679 18 straipsnio 1 dalyje numatytais atvejais Agentūra privalo
įgyvendinti duomenų subjekto teisę apriboti jo asmens duomenų tvarkymą.
44.2. Asmens duomenys, kurių tvarkymas apribotas, yra saugomi, o prieš tokio apribojimo
panaikinimą duomenų subjektas yra informuojamas.
44.3. Jeigu duomenų subjekto asmens duomenys (kurių tvarkymas apribotas pagal duomenų
subjekto prašymą) buvo perduoti duomenų gavėjams, Agentūra šiuos duomenų gavėjus apie tai
informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas
turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

45. Teisė nesutikti su duomenų tvarkymu:
45.1. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 21 straipsniu, turi
teisę dėl su juo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad Agentūra tvarkytų
jo asmens duomenis tais atvejais, kai asmens duomenų tvarkymas vykdomas pagal Reglamento (ES)
2016/679 6 straipsnio 1 dalies e ir (arba) f punktus.
45.2. Duomenų subjektui išreiškus nesutikimą su asmens duomenų tvarkymu, toks tvarkymas
atliekamas tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių atliekamas
asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu
asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus.

46. Teisė į duomenų perkeliamumą:
46.1. Duomenų subjekto teisę į duomenų perkeliamumą, numatytą Reglamento (ES)
2016/679 20 straipsnyje, Agentūra įgyvendina tik dėl tų asmens duomenų, kurie tvarkomi
automatizuotomis priemonėmis remiantis duomenų subjekto sutikimu arba sutartimi, kurios šalis yra
duomenų subjektas.
46.2. Duomenų subjektas teisės į duomenų perkeliamumą neturi tų asmens duomenų atžvilgiu,
kurie tvarkomi neautomatiniu būdu susistemintose rinkmenose, pavyzdžiui, popierinėse bylose.
46.3. Duomenų subjektas, kreipdamasis dėl teisės į duomenų perkeliamumą įgyvendinimo,
turi nurodyti, ar pageidauja, kad jo asmens duomenys būtų persiųsti jam ar kitam duomenų valdytojui.
46.4. Duomenų subjekto asmens duomenys kitam duomenų valdytojui gali būti persiųsti, jei
yra techninės galimybės pateikti asmens duomenis tiesiogiai kitam duomenų valdytojui ir
užtikrinamas saugus elektroninių duomenų ir informacijos perdavimas.
46.5. Jeigu duomenų subjekto prašymas dėl asmens duomenų perkeliamumo patenkinamas,
duomenų subjekto asmens duomenis persiunčiant kitam duomenų valdytojui Agentūra nevertina, ar
duomenų valdytojas, kuriam bus persiųsti duomenų subjekto asmens duomenys, turi teisinį pagrindą
gauti duomenų subjekto asmens duomenis ir ar šis duomenų valdytojas užtikrins tinkamas asmens
duomenų saugumo priemones. Agentūra neprisiima atsakomybės už persiųstų asmens duomenų
tolimesnį tvarkymą, kurį atliks kitas duomenų valdytojas.
46.6. Pagal duomenų subjekto prašymą perkelti jo asmens duomenys nėra automatiškai
ištrinami. Jeigu duomenų subjektas to pageidauja, jis turi kreiptis į Agentūrą, kaip duomenų valdytoją,
dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) įgyvendinimo.

47. Duomenų subjektas, siekdamas įgyvendinti šių Taisyklių 36 punkte nurodytas teises
(išskyrus šių Taisyklių 36.1 papunktyje nurodytą teisę), privalo asmeniškai, paštu, per pasiuntinį ar
elektroninėmis priemonėmis pateikti rašytinį prašymą dėl duomenų subjekto teisių įgyvendinimo.
Žodžiu elektroninėmis priemonėmis (telefonu ar garso ir vaizdo nuotolinio perdavimo ir įrašymo
priemonėmis) gali būti teikiami tokie prašymai, kurie yra nesusiję su duomenų subjekto teisių,
nurodytų šių Taisyklių 36.3–36.7 papunkčiuose, įgyvendinimu ir kuriuos pateikiant asmuo neprivalo
patvirtinti savo tapatybės (pavyzdžiui, telefonu prašoma pateikti bendro pobūdžio informaciją). Jei
pokalbio metu galima įsitikinti duomenų subjekto tapatybe (pavyzdžiui, duomenų subjektas nurodo
savo vardą, pavardę, asmens kodą ir (ar) dokumento registravimo Agentūroje datą ir (ar) numerį ir
pan.), duomenų subjektui gali būti suteikta papildoma, su šių Taisyklių 36.2 papunktyje nurodytos
teisės įgyvendinimu susijusi, informacija.

48. Rašytinis prašymas teikiamas valstybine kalba, turi būti aiškus ir suprantamas, parašytas
įskaitomai, duomenų subjekto pasirašytas, jame turi būti nurodytas duomenų subjekto vardas,
pavardė, asmens kodas, gyvenamoji vieta, duomenys ryšiui palaikyti, informacija apie tai, kokią iš
šių Taisyklių 36.2–36.7 papunkčiuose nurodytų teisių ir kokia apimtimi duomenų subjektas
pageidauja įgyvendinti, bei informacija, kokiu būdu duomenų subjektas pageidauja gauti atsakymą.
Nevalstybine kalba pateikti duomenų subjektų prašymai gali būti priimami ir nagrinėjami tik
išimtiniais atvejais Agentūros direktoriaus sprendimu.

49. Pateikdamas prašymą, duomenų subjektas privalo patvirtinti savo tapatybę:
49.1. jeigu prašymas pateikiamas tiesiogiai Agentūros darbuotojui, duomenų subjektas
Agentūros darbuotojui privalo pateikti asmens tapatybę patvirtinantį dokumentą;
49.2. jeigu prašymas pateikiamas paštu arba per pasiuntinį, kartu su prašymu turi būti
pateikiama teisės aktų nustatyta tvarka patvirtinta asmens tapatybę patvirtinančio dokumento kopija;
49.3. jeigu prašymas pateikiamas elektroninėmis priemonėmis, prašymas turi būti pasirašytas
kvalifikuotu elektroniniu parašu arba suformuotas elektroninėmis priemonėmis, kurios leidžia
užtikrinti teksto vientisumą ir nepakeičiamumą.

50. Esant abejonių dėl duomenų subjekto tapatybės, Agentūra paprašo
papildomos informacijos, reikalingos ja įsitikinti. Duomenų subjektui nepatvirtinus savo tapatybės jo
teisės yra neįgyvendinamos. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl
informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.

51. Duomenų subjektas šių Taisyklių 36 punkte nurodytas teises turi teisę įgyvendinti pats
arba per atstovą. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiasi duomenų subjekto
atstovas, jis savo prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, duomenis ryšiui
palaikyti, taip pat atstovaujamo asmens vardą, pavardę, asmens kodą, gyvenamąją vietą, informaciją
apie tai, kokią iš šių Taisyklių 36.2–36.7 papunkčiuose nurodytų teisių ir kokia apimtimi
pageidaujama įgyvendinti, bei informaciją, kokiu būdu pageidauja gauti atsakymą, ir pridėti
atstovavimą patvirtinantį dokumentą ar teisės aktų nustatyta tvarka patvirtintą jo kopiją.

52. Informacija duomenų subjektui, atsižvelgiant į jo prašymą, gali būti pateikiama žodžiu,
leidžiant susipažinti su dokumentu, pateikiant pažymą, dokumento išrašą ar popierinę dokumento
kopiją, elektroninę laikmeną, garso, vaizdo ar garso ir vaizdo įrašą, prieigą prie informacijos
rinkmenos. Jei prašyme nenurodyta informacijos pateikimo forma, Agentūra jį pateikia tokia pačia
forma kaip gauto prašymo.

53. Jeigu duomenų subjektas prašymą pateikia elektroninėmis priemonėmis, informacija
duomenų subjektui taip pat pateikiama elektroninėmis priemonėmis, išskyrus atvejus, kai duomenų
subjektas paprašo ją pateikti kitaip.

54. Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo teikiama
valstybine kalba. Duomenų subjektui Agentūros turima informacija nevalstybine kalba gali būti
pateikta tuo atveju, kai informacija šia kalba yra tvarkoma.

55. Agentūra turi teisę atsisakyti pateikti duomenų subjektui jo prašomą informaciją, jeigu
nustato, kad duomenų subjekto prašymas yra akivaizdžiai nepagrįstas arba neproporcingas. Agentūra,
atsisakydama pateikti prašomą informaciją, privalo raštu nurodyti atsisakymo pateikti prašomą
informaciją motyvus.

56. Agentūra ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, pateikia duomenų
subjektui informaciją, kokių veiksmų buvo imtasi pagal gautą prašymą. Šiame punkte nurodytas
terminas prireikus gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir
skaičių. Agentūra per vieną mėnesį nuo prašymo gavimo informuoja duomenų subjektą apie tokį
pratęsimą, nurodydama vėlavimo priežastis.

57. Jeigu prašymas pateiktas nesilaikant šiame Taisyklių skyriuje nustatytos tvarkos ir
reikalavimų, jis nenagrinėjamas, ir nedelsiant, bet ne vėliau kaip per 5 darbo dienas, duomenų
subjektas apie tai informuojamas nurodant priežastis.

58. Jeigu prašymo nagrinėjimo metu nustatoma, jog duomenų subjekto teisės yra apribotos
Reglamento (ES) 2016/679 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai
informuojamas.

59. Visi veiksmai pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo atliekami ir
informacija teikiama nemokamai. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba
neproporcingi, visų pirma dėl jų pasikartojančio turinio, Agentūra gali imti pagrįstą mokestį,
atsižvelgdama į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines
išlaidas.

60. Agentūros veiksmai ar neveikimas, susiję su duomenų subjekto teisių įgyvendinimu, gali
būti skundžiami Valstybinei duomenų apsaugos inspekcijai Lietuvos Respublikos asmens duomenų
teisinės apsaugos įstatyme nustatyta tvarka. Tuo atveju, kai galimai neteisėtai tvarkomi asmens
duomenys, Agentūros veiksmai ar neveikimas gali būti skundžiami Valstybinei duomenų apsaugos
inspekcijai arba Vilniaus apygardos administraciniam teismui.

61. Agentūra, įgyvendindama duomenų subjekto teises, užtikrina, kad nebūtų pažeista kitų
asmenų teisė į privataus gyvenimo neliečiamumą.

VII SKYRIUS

PRANEŠIMAS APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ

62. Agentūros direktorius ar jo įgaliotas atsakingas asmuo, sužinojęs apie asmens duomenų
saugumo pažeidimą, nedelsiant organizuoja pažeidimo tyrimą, kad būtų nustatytas pažeidimo
pobūdis, tipas (asmens duomenų konfidencialumo, vientisumo ir (arba) prieinamumo pažeidimas)
aplinkybės, apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius,
asmens duomenų, kurių saugumas pažeistas, kategorijos (asmens tapatybę patvirtinantys asmens
duomenys, specialių kategorijų asmens duomenys, duomenys apie apkaltinamuosius nuosprendžius
ir nusikalstamas veikas, prisijungimo duomenys ir (arba) asmens identifikaciniai numeriai ir kt.) ir
apimtis, tikėtinos asmens duomenų saugumo pažeidimo pasekmės, pavojus fizinių asmenų teisėms ir
laisvėms, imasi priemonių pažeidimui pašalinti ir (arba) neigiamoms pažeidimo pasekmėms
sumažinti bei atlieka atitinkamus veiksmus, numatytus šiame Taisyklių skyriuje.

63. Agentūros direktorius ar jo įgaliotas atsakingas asmuo užtikrina, kad nepagrįstai
nedelsiant ir, jei įmanoma, ne vėliau kaip per 72 valandas nuo sužinojimo apie asmens duomenų
saugumo pažeidimą, apie tai būtų pranešta Valstybinei duomenų apsaugos inspekcijai, nebent asmens
duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Jeigu
Valstybinei duomenų apsaugos inspekcijai nepranešama per 72 valandas, pranešime nurodomos
vėlavimo priežastys. Pranešimas apie asmens duomenų saugumo pažeidimą pateikiamas Valstybinės
duomenų apsaugos inspekcijos nustatyta tvarka.

64. Šių Taisyklių 63 punkte nurodytame pranešime aprašomas asmens duomenų saugumo
pažeidimo pobūdis, duomenų subjektų kategorijos ir apytikslis skaičius, asmens duomenų įrašų
kategorijos ir apytikslis skaičius, nurodomas duomenų apsaugos pareigūno arba kito kontaktinio
asmens, galinčio suteikti daugiau informacijos, vardas, pavardė ir kontaktiniai duomenys (telefono
numeris, elektroninio pašto adresas), aprašomos tikėtinos asmens duomenų saugumo pažeidimo
pasekmės bei priemonės, kurių buvo imtasi arba pasiūlyta imtis, kad būtų pašalintas asmens duomenų
saugumo pažeidimas, taip pat priemonės galimoms neigiamoms jo pasekmėms sumažinti bei kita
svarbi su asmens duomenų saugumo pažeidimu susijusi informacija.

65. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų
teisėms ir laisvėms (gali būti padarytas kūno sužalojimas, turtinė ar neturtinė žala, gali kilti
diskriminacija, būti pavogta ar suklastota tapatybė, būti padaryta finansinių nuostolių, pakenkta
reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas,
padaryta didelė ekonominė ar socialinė žala, kai duomenų subjektai gali netekti galimybės naudotis
savo teisėmis ir laisvėmis ar jiems užkertamas kelias kontroliuoti savo asmens duomenis, gali būti
paviešinti specialių kategorijų, pažeidžiamų fizinių asmenų asmens duomenys ir (ar) asmens
duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas arba susijusias saugumo
priemones ir kt.) Agentūros direktorius ar jo įgaliotas atsakingas asmuo užtikrina, kad apie asmens
duomenų saugumo pažeidimą nepagrįstai nedelsiant būtų pranešta duomenų subjektui: duomenų
subjektui aiškia ir paprasta kalba aprašomas duomenų saugumo pažeidimo pobūdis, nurodomas
duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos,
vardas, pavardė ir kontaktiniai duomenys (telefono numeris, elektroninio pašto adresas), aprašomos
tikėtinos asmens duomenų saugumo pažeidimo pasekmės ir priemonės, kurių buvo imtasi arba
pasiūlyta imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas, taip pat priemonės
galimoms neigiamoms jo pasekmėms sumažinti bei pagal galimybes atitinkamam fiziniam asmeniui
skirtos rekomendacijos, kaip sumažinti galimą neigiamą poveikį (pasikeisti prisijungimo
slaptažodžius neteisėtos prieigos prie asmens duomenų atveju ir kt.).

66. Apie asmens duomenų saugumo pažeidimą duomenų subjektui pranešti neprivaloma, jei:
66.1. Agentūra įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos
priemonės taikytos asmens duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo
poveikio;
66.2. iš karto po asmens duomenų saugumo pažeidimo Agentūra ėmėsi priemonių, kuriomis
užtikrinama, kad nebegalėtų kilti didelis pavojus duomenų subjektų teisėms ir laisvėms;
66.3. tai pareikalautų neproporcingai daug pastangų. Tokiu atveju vietoj to apie asmens
duomenų saugumo pažeidimą paskelbiama viešai arba taikoma panaši priemonė, kuria duomenų
subjektai būtų informuojami taip pat efektyviai.

67. Agentūros direktorius ar jo įgaliotas atsakingas asmuo užtikrina, kad būtų fiksuojami visi
asmens duomenų saugumo pažeidimų atvejai ir kaupiama informacija apie tokių pažeidimų priežastis,
jų poveikį ir pasekmes, priemones, kurių buvo imtasi, sprendimų dėl pranešimo (nepranešimo)
Valstybinei duomenų apsaugos inspekcijai ir (ar) duomenų subjektui motyvus, vėlavimo pateikti
pranešimą priežastis bei kitokio pobūdžio informaciją, kuri leistų patikrinti, kaip buvo laikomasi šio
Taisyklių skyriaus nuostatų.

VIII SKYRIUS

ASMENS DUOMENŲ SAUGUMO NUOSTATOS

68. Tvarkomų asmens duomenų saugumas užtikrinamas vadovaujantis Bendraisiais
reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms.
Agentūra įgyvendina tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens
duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio
kito neteisėto tvarkymo.

69. Darbuotojai turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su
asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, išskyrus
atvejus, kai tokia informacija yra vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas.
Konfidencialumo principo Agentūros darbuotojai turi laikytis ir pasibaigus darbo santykiams.

70. Asmens duomenų tvarkymo funkcijas vykdantys ir su Agentūros tvarkomais asmens
duomenimis galintys susipažinti Agentūros darbuotojai privalo laikytis šių Taisyklių reikalavimų ir
saugoti asmens duomenų paslaptį, jei šie asmens duomenys neskirti skelbti viešai. Naujus Agentūros
darbuotojus su šiomis Taisyklėmis ir atsakomybe už Taisyklių reikalavimų nesilaikymą supažindina
Agentūros direktorius.

71. Asmens duomenų tvarkymo funkcijas vykdantys Agentūros darbuotojai, siekdami užkirsti
kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet
kokiam kitam neteisėtam tvarkymui, turi saugoti dokumentus bei duomenų rinkmenas tinkamai ir
saugiai bei vengti nereikalingų kopijų darymo. Dokumentų, kuriuose yra asmens duomenų, kopijos
turi būti sunaikintos taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio.

72. Duomenų subjektų dokumentai bei jų kopijos, finansavimo, buhalterinės apskaitos ir
atskaitomybės, archyvinės ar kitos bylos, kuriose yra asmens duomenų, saugomos rakinamose
spintose. Dokumentai, kuriuose yra asmens duomenų, neturi būti laikomi visiems prieinamoje
matomoje vietoje.

73. Agentūros darbuotojai, kurių kompiuteriuose saugomi asmens duomenys, privalo naudoti
slaptažodžius. Slaptažodžiai turi būti keičiami periodiškai ne rečiau kaip kartą per
2 mėnesius, taip pat susidarius tam tikroms aplinkybėms (pasikeitus Agentūros darbuotojui, iškilus
įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims, ir pan.).
Kompiuteriuose rekomenduojama naudoti ekrano užsklandą su slaptažodžiu.

74. Agentūros darbuotojų kompiuteriuose esančios kompiuterinės bylos, kuriose kaupiami
asmens duomenys, neturi būti prieinamos kitų kompiuterių naudotojams.

75. Kompiuteriuose turi būti nuolat atnaujinama antivirusinė programa.

76. Agentūros interneto svetainė turi būti sukurta taip, kad maksimaliai apribotų galimybes
viešai veikiančioms interneto paieškos sistemoms bei paieškos variklių robotams kopijuoti Agentūros
svetainėje esančią informaciją, taip pat neleistų šioms sistemoms ir robotams surasti anksčiau skelbtos,
bet iš Agentūros interneto svetainės jau pašalintos informacijos kopijų.

77. Agentūros darbuotojams draudžiama kitiems asmenims prieinamoje vietoje laikyti ar
kitaip atskleisti prieigos prie kompiuterių, elektroninio pašto sistemų, ADAMS, kuriose tvarkomi
asmens duomenys, slaptažodžius.

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

78. Už šių Taisyklių pažeidimus Agentūros darbuotojams gali būti taikomos drausminės
nuobaudos Lietuvos Respublikos darbo kodekso ir kitų teisės aktų nustatyta tvarka.
__________________

PROTECTION OF PRIVACY AND PERSONAL INFORMATION (PDF In English)