- Atnaujinta 2023 m. kovo 14 d.
PATVIRTINTA
Marijampolės Petro Kriaučiūno viešosios bibliotekos Direktoriaus
2018 m. spalio 8 d. įsakymu Nr. V- 46
ASMENS DUOMENŲ TVARKYMO MARIJAMPOLĖS PETRO KRIAUČIŪNO VIEŠOJOJE BIBLIOTEKOJE TVARKOS APRAŠAS
1. Asmens duomenų tvarkymo Marijampolės Petro Kriaučiūno viešosios bibliotekoje tvarkos aprašas (toliau – Aprašas) nustato asmens duomenų tvarkymo ir apsaugos reikalavimus, asmens (toliau – Aprašas) duomenų tvarkymo tikslus, duomenų subjektų teises ir jų įgyvendinimo tvarką, duomenų apsaugos technines ir organizacines priemones.
2. Šis Aprašas parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau – ADTAĮ), Lietuvos Respublikos darbo kodeksu ir kitais teisės aktais.
3. Aprašo nuostatomis privalo laikytis visi Bibliotekoje dirbantys bei joje praktiką atliekantys ir (ar) savanoriaujantys asmenys, kurie tvarko asmens duomenis ir asmens duomenų tvarkymo paslaugas teikiantys fiziniai ir (ar) juridiniai asmenys (saugos, informacinių sistemų priežiūros, buhalterinės apskaitos paslaugų teikėjai ir pan.).
4. Pagrindinės Aprašo sąvokos apibrėžtos Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme (ADTAĮ) ir Bendrajame duomenų apsaugos reglamente (BDAR):
- 4.1. Asmens duomenų valdytojas – Biblioteka, kuri nustato duomenų tvarkymo tikslus ir priemones
- 4.2. Asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu (toliau – darbuotojas), kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai.
- 4.3. Atsakymas – atsižvelgiant į prašymo turinį, žodžiu, raštu ar elektroniniu būdu asmeniui teisės aktų nustatyta tvarka suteikta paslauga, pateikta informacija, įteikta prašomų tvarkomų asmens duomenų kopija, nuorašas ar išrašas, išdėstyta bibliotekos nuomonė apie asmens kritiką, pasiūlymus ar pageidavimus.
- 4.4. Duomenų apsaugos pareigūnas – Bibliotekos paskirtas darbuotojas, valdomų ir (ar) tvarkomų Bibliotekos duomenų atžvilgiu atliekantis pareigas, nustatytas duomenų apsaugos pareigūnui BDAR ir ADTĮ.
- 4.5. Duomenų gavėjas – juridinis ar fizinis asmuo, kurio asmens duomenis tvarko duomenų valdytojas ar tvarkytojas.
- 4.6. Duomenų subjektas – fizinis asmuo, kurio asmens duomenis tvarko duomenų valdytojas ar tvarkytojas.
- 4.7. Duomenų tvarkymas – bet kuris su asmens duomenimis atliekamas veiksmas: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas, loginės ir (arba) aritmetinės operacijos, paieška, skleidimas, naikinimas ar kitoks veiksmas arba veiksmų rinkinys.
- 4.8. Duomenų tvarkymas automatiniu būdu – duomenų tvarkymo veiksmai, visiškai ar iš dalies atliekami automatinėmis priemonėmis (IT).
- 4.9. Duomenų tvarkymas neautomatiniu būdu – duomenų tvarkymo veiksmai atliekami neautomatinėmis priemonėmis (informaciją tvarkant dokumentuose).
- 4.10. Duomenų subjekto sutikimas (toliau – Sutikimas – savanoriškas rašytinis duomenų subjekto valios pareiškimas tvarkyti jo asmens duomenis jam žinomu tikslu.
- 4.11. Duomenų tvarkytojas – asmens duomenų valdytojo įgaliotas Bibliotekos darbuotojas tvarkyti asmens duomenis.
- 4.12. Prašymas – su asmens duomenų apsaugos teisių ar teisėtu interesų pažeidimu nesusijęs asmens keipimasis į Biblioteką prašant pagal Bibliotekos nustatyti tvarką suteikti jam informaciją apie Bibliotekoje jo tvarkomus asmens duomenis bei gauti jų kopiją.
- 4.13. Prašymo nagrinėjimas – Bibliotekos veikla, apimanti asmens prašymo priėmimą, įregistravimą, esmės nustatymą, atsakymo parengimą ir išsiuntimą asmeniui.
- 4.14. Skundas – asmens Bibliotekai adresuotas rašytinis kreipimasis, kuriame nurodoma, kad pažeistos jo asmens duomenų apsaugos teisės ar teisėti interesai, ar pranešama apie kito asmens pažeistas asmens duomenų teises ir teisėtus interesus ir prašoma juos apginti.
- 4.15. Susisteminta rinkmena – bet kuris prieinamų asmens duomenų rinkinys, sistemingai sutvarkytas pagal specialius kriterijus, leidžiančius lengviau surasti arba pateikti asmens duomenis.
5. Darbuotojų asmens duomenys tvarkomi šiais tikslais:
- 5.1. vidaus administravimo (esamų ir buvusių darbuotojų informacijos valdymas – darbo sutarčių sudarymas, vykdymas ir apskaita, asmens bylų tvarkymas, viešųjų ir privačiųjų interesų administravimas, turimų materialinių ir finansinių išteklių valdymas, finansiniai atsiskaitymai);
- 5.2. Bibliotekos, kaip darbdavio pareigų, nustatytų teisės aktuose, tinkamo vykdymo;
- 5.3. komunikacijos su darbuotojais ne darbo metu palaikymo;
- 5.4. darbuotojų saugos ir sveikatos bei tinkamų darbo sąlygų užtikrinimo;
- 5.5. Bibliotekos vartotojams teikiamų paslaugų administravimo, informavimo apie Bibliotekos paslaugas, informacijos išteklius, organizuojamus renginius, darbo laiko pakeitimus ir kitą informaciją, kurią Biblioteka laiko aktualia, asmens tapatybės nustatymo (identifikavimo), vartotojų apskaitos, vartotojo pažymėjimo funkcionavimo bendros vartotojų registravimo duomenų pagrindu, vartotojų informavimo, anketinių tyrimų atlikimo, bendro skaitytojo bilieto Lietuvos integralios bibliotekų informacijos sistemoje (LIBIS) funkcionavimo (bendroje skaitytojų registravimo duomenų bazėje), teikiamų paslaugų kokybės vertinimo;
- 5.6. Bibliotekos lankytojų, vartotojų ir turto saugumo užtikrinimo;
6. Bibliotekoje renkami ir tvarkomi darbuotojo asmens duomenys (darbuotojui sutikus ir užpildžius Bibliotekos nustatytos formos sutikimą – Sutikimas dėl asmens duomenų tvarkymo): darbuotojo vardas, pavardė, asmens kodas, asmens tapatybės kortelės numeris, socialinio draudimo pažymėjimo numeris, gyvenamosios vietos adresas, telefono numeris, el. pašto adresas, asmeninės banko sąskaitos numeris, į kurią vedamas darbo užmokestis, gyvenimo ir veiklos aprašas (išsilavinimo dokumentai, pažymėjimai, pažymos), informacija apie darbuotojo šeiminę padėtį, asmens medicininė knygelė, išieškojimų pagal vykdomuosius raštus dydi s ir pobūdis, informacija apie sveikatos būklę, taip pat kiti asmeniui būdingi ekonominio ar socialinio pobūdžio duomenys, kuriuos būtina tvarkyti užtikrinant tinkamą vidaus administravimą.
7. Darbuotojo asmens duomenys tikslinami, taisomi ir atnaujinami Bibliotekos arba darbuotojo iniciatyva.
8. Visi darbuotojo nurodyti ir gauti asmens duomenys yra kaupiami, saugomi ir tvarkomi pagal Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme numatytus reikalavimus bei kitus Lietuvos Respublikoje asmens duomenų apsaugą reglamentuojančius teisės aktus. Darbuotojų asmens duomenys, kurie yra atitinkamų dokumentų (sutarčių, įsakymų, prašymų ir pan.) tekstuose, saugomi vadovaujantis Lietuvos vyriausiojo archyvaro 2011-03-09 įsakymu Nr. V-100 patvirtintais Bendrųjų dokumentų saugojimo terminų rodyklės nurodytais terminais. Duomenų valdytojas užtikrina gautų duomenų apsaugą ir įsipareigoja šią informaciją panaudoti tik esant darbuotojo sutikimui ir tik įstatymo numatytais atvejais.
9. Duomenys Bibliotekoje renkami teisės aktų nustatyta tvarka juos gaunant tiesiogiai iš duomenų subjekto, oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų ar sutarčių pagrindu. Esant būtinybei asmens duomenys tvarkomi gaunant duomenų subjekto sutikimą
10. Biblioteka, kaip duomenų valdytoja:
- 10.1. užtikrina duomenų subjekto teisių įgyvendinimą ir vykdo bendruosiuose reikalavimuose organizacinėms ir techninėms asmens duomenų saugumo priemonėms ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytas asmens duomenų valdytojo pareigas;
- 10.2. paskiria duomenų apsaugos pareigūną ir kitus asmenis, atsakingus už asmens duomenų tvarkymą Bibliotekoje;
- 10.3. užtikrina, kad duomenų apsaugos pareigūnas būtų įgaliotas atsakyti į duomenų subjektų prašymus ir skundus, tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą;
- 10.4. užtikrina būtinus išteklius, kurie reikalingi duomenų apsaugos pareigūnui vykdant jam pavestas užduotis;
- 10.5. suteikia galimybę duomenų apsaugos pareigūnui išlaikyti savo žinias asmens duomenų apsaugos srityje;
- 10.6. užtikrina, kad duomenų apsaugos pareigūnas negautų jokių nurodymų dėl jam pavestų asmens duomenų tvarkymo užduočių vykdymo, ir neskiria užduočių ir pareigų, galinčių sukelti interesų konfliktą;
- 10.7. užtikrina darbuotojų mokymą ir kvalifikacijos tobulinimą asmens duomenų teisinės apsaugos srityje.
11. Bibliotekos informacinių sistemų inžinierius:
- 11.1. įgyvendina Bibliotekoje tvarkomų informacinių sistemų technines duomenų apsaugos priemones;
- 11.2. užtikrina teisėtą asmens duomenų tvarkymą, duomenų subjektų teisių ir reikiamų techninių duomenų apsaugos priemonių įgyvendinimą valdomų ir (ar) tvarkomų informacinių sistemų priemonėmis;
- 11.3. užtikrina technines priemones, įgalinančias asmens duomenų saugojimą tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau nei to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;
12. Tvarkydami asmens duomenis Bibliotekos padaliniai užtikrina, kad asmens duomenys būtų tvarkomi laikantis BDAR, ADTĮ ir kitų norminių bei Bibliotekos teisės aktų, reglamentuojančių duomenų apsaugą.
13. Už Bibliotekoje vykdomą duomenų tvarkymo veiklą savo kompetencijos ribose atsakingas duomenų apsaugos pareigūnas.
14. Duomenų apsaugos pareigūnas:
- 14.1. kontroliuoja, kaip Bibliotekos darbuotojai – valdomų asmens duomenų tvarkytojai vykdo šiame Apraše nustatytas asmens duomenų tvarkymo pareigas ir tvarko asmens duomenis;
- 14.2. Bibliotekos direktoriui teikia siūlymus ir išvadas dėl duomenų apsaugos ir duomenų tvarkymo priemonių nustatymo, prižiūri, kaip šios priemonės įgyvendinamos ir naudojamos;
- 14.3. teikia darbuotojams tiesioginius nurodymus pašalinti asmens duomenų tvarkymo pažeidimus;
- 14.4. supažindina darbuotojus, įgaliotus tvarkyti asmens duomenis, su teisės aktai, reglamentuojančiais asmens duomenų apsaugą;
- 14.5. inicijuoja ir organizuoja poveikio tvarkant asmens duomenis vertinimus;
- 14.6. padeda duomenų subjektams įgyvendinti jų teises;
- 14.7. konsultuoja asmens duomenų tvarkytojus asmens duomenų tvarkymo ir apsaugos klausimais;
- 14.8. atsako už duomenų tvarkymo veiklos įrašų parengimą;
- 14.9. įvykus asmens duomenų incidentui imasi įmanomų priemonių siekiant atstatyti prarastus asmens duomenis ir (ar) sumažinti asmens duomenims padarytą žalą;
- 14.10. užtikrina slaptumą ir konfidencialumą, susijusį su jo užduočių vykdymu, laikydamasis Lietuvos respublikos teisės aktuose nustatytų reikalavimų;
- 14.11. ne rečiau kaip kartą per dvejus metus atlieka asmens duomenų tvarkos rizikos vertinimą, parengia ataskaitą ir prireikus imasi priemonių rizikai pašalinti arba sumažinti;
- 14.12. vykdo kitas teisės aktuose priskirtas užduotis ir pareigas.
15. Asmens duomenys Bibliotekoje tvarkomi automatiniu arba neautomatiniu (susistemintuose dokumentuose – bylose, kartotekose, sąrašuose ir pan.) būdu.
16. Asmens duomenų apsaugą ir tvarkymą organizuoja, užtikrina ir vykdo Bibliotekos direktorius arba jo paskirtas asmuo, kuris:
- 16.1. privalo saugoti asmens duomenų paslaptį ir laikytis asmens duomenų apsaugos teisės aktų reikalavimų;
- 16.2. privalo tvarkyti asmens duomenis vadovaujantis BDAR, ADTĮ ir kitais teisės aktais reglamentuojančiais duomenų apsaugą;
- 16.3. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su asmens duomenimis nei vienam asmeniui, kuris nėra įgaliotas tvarkyti asmens duomenų;
- 16.4. siekiant, kad būtų užkirstas kelias atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, turi saugoti dokumentus bei duomenų rinkmenas tinkamai ir saugiai bei vengti nereikalingų kopijų darymo. Dokumentų kopijos, kuriose nurodomi asmens duomenys, turi būti sunaikintos taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio;
- 16.5. siekiant užtikrinti asmens duomenų saugumą, būtina užtikrinti patalpų, kuriose laikomi asmens duomenys, saugumą, tinkamą techninės įrangos išdėstymą ir priežiūrą, gaisrinės saugos taisyklių laikymąsi, informacinių sistemų bei kitų techninių priemonių priežiūrą;
- 16.6. nedelsiant pranešti Bibliotekos direktoriui ar jo paskirtam asmeniui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę asmens duomenų saugumui ir imtis priemonių tokiai situacijai išvengti.
17. Asmens duomenų valdytojas, rūpindamasis ir gerbdamas asmens privatumą bei vertindamas jo pasitikėjimą, įsipareigoja:
- 17.1. asmens duomenis tvarkyti tik teisėtiems ir šiame Apraše numatytiems tikslams pasiekti;
- 17.2. asmens duomenis tvarkyti tiksliai, sąžiningai, laikantis teisės aktų reikalavimų;
- 17.3. asmens duomenis tvarkyti taip, kad jie būtų tikslūs ir esant jų pasikeitimui, nuolat atnaujinami;
- 17.4. asmens duomenų tvarkymą atlikti tik ta apimtimi, kuri yra reikalinga asmens duomenų tvarkymo tikslams pasiekti;
- 17.5. neatskleisti asmens duomenų tretiesiems asmenims, išskyrus įstatymuose numatytus atvejus arba jei tai atlikti duomenų valdytoją įpareigoja pats darbuotojas;
- 17.6. nenaudoti ir neatskleisti ypatingos asmeninės informacijos, tokios kaip informacija apie sveikatą, rasinę kilmę, religinius įsitikinimus ar politines pažiūras ir pan., be duomenų subjekto raštiško sutikimo, išskyrus atvejus, kai to reikalauja ar tai leidžia įstatymai.
18. Asmens duomenys tvarkomi naudojant Bibliotekoje įdiegtas asmens duomenų tvarkymo priemones.
19. Asmens duomenis turi teisę tvarkyti tik tie asmenys, kuriems jie yra būtini funkcijų vykdymui ir tik tuomet, kai tai yra būtina atitinkamiems tikslams pasiekti.
20. Asmens duomenis Bibliotekoje turi teisę tvarkyti:
- 20.1. bibliotekos personalo vadybininkas;
- 20.2. vyriausiasis buhalteris;
- 20.3. buhalteris;
- 20.4. darbo saugos specialistas;
- 20.5. LIBIS administratorius;
- 20.6. darbuotojai, dirbantys LIBIS programine įranga;
- 20.7. vaikų ir jaunimo edukacijos centro vedėjas.
21. Bibliotekos vidaus administravimo (esamų ir buvusių darbuotojų informacijos valdymas – darbo sutarčių sudarymas, vykdymas ir apskaita, asmens bylų tvarkymas, viešųjų ir privačiųjų interesų administravimas, turimų materialinių ir finansinių išteklių valdymas, finansiniai atsiskaitymai) tikslu tvarkomi darbuotojų asmens duomenys:
- 21.1. darbuotojo vardas, pavardė;
- 21.2. darbuotojo asmens kodas;
- 21.3. asmens tapatybės dokumento numeris;
- 21.4. socialinio draudimo numeris;
- 21.5. gyvenamosios vietos adresas, asmeninis telefono numeris, elektroninio pašto adresas;
- 21.6. asmeninių banko sąskaitų, į kurias yra vedamas darbo užmokestis, numeriai;
- 21.7. gyvenimo ir veiklos aprašas (išsilavinimo dokumentai, kvalifikacijos dokumentai)
- 21.8. asmens medicininė knygelė;
- 21.9. išieškojimų pagal vykdomuosius raštus dydis ir pobūdis;
- 21.10. kiti duomenys, kuriuos pateikia pats asmuo ir kuriuos tvarkyti įpareigoja įstatymai ir kiti teisės aktai.
22. Bibliotekos, kaip darbdavio pareigų, nustatytų teisės aktuose, tinkamo vykdymo tikslu yra tvarkomi:
22.1. darbuotojo asmens kodas;
22.2. informacija apie darbuotojo šeiminę padėtį.
23. Tinkamos komunikacijos su darbuotojais ne darbo metu tikslu (sutikus darbuotojui) yra tvarkomi:
- 23.1. darbuotojo vardas, pavardė;
- 23.2. gyvenamosios vietos adresas;
- 23.3. asmeninis telefono numeris;
- 23.4. asmeninis elektroninio pašto adresas.
24. Darbuotojų saugos ir sveikatos bei tinkamų darbo sąlygų užtikrinimo tikslu darbdavys tvarko informaciją, susijusią su darbuotojo sveikatos būkle, kuri tiesiogiai daro įtaką darbuotojo darbo funkcijoms ir galimybei jas vykdyti teisės aktų nustatyta tvarka. Yra tvarkomi:
- 24.1. darbuotojo vardas, pavardė;
- 24.2. darbuotojo asmens kodas;
- 24.3. darbuotojo gyvenamosios vietos adresas;
- 24.4. darbuotojo pareigos, darbo stažas;
- 24.5. darbuotojo nuotrauka.
25. Bibliotekos vartotojams teikiamų paslaugų administravimo, apskaitos,informavimo apie Bibliotekos paslaugas, informacijos išteklius, organizuojamus renginius, darbo laiko pakeitimus ir kitą informaciją, kurią Biblioteka laiko aktualia, asmens tapatybės nustatymo (identifikavimo), vartotojų apskaitos, vartotojo pažymėjimo funkcionavimo bendros vartotojų registravimo duomenų pagrindu, vartotojų informavimo, anketinių tyrimų atlikimo, bendro skaitytojo bilieto Lietuvos integralios bibliotekų informacijos sistemoje (LIBIS) funkcionavimo (bendroje skaitytojų registravimo duomenų bazėje), teikiamų paslaugų kokybės vertinimo tikslu yra tvarkomi:
- 25.1. asmens vardas, pavardė;
- 25.2. asmens kodas;
- 25.3. asmens gyvenamosios vietos adresas, telefono numeris, elektroninio pašto adresas;
- 25.4. duomenys apie neįgalumą;
- 25.5. informacija apie išslavinimą (mokymosi įstaiga, įgytas išsilavinimas, mokslo laipsnis);
- 25.6. profesija, darbovietė, mokymosi vieta (klasė, kursas);
- 25.7. vaiko iki 16 m. tėvų ar globėjų vardas, pavardė;
- 25.8. vaiko iki 16 m. tėvų ar globėjų gyvenamosios vietos adresas;
- 25.9. vaiko iki 16 m. tėvų ar globėjų telefono numeris, elektroninio pašto numeris).
26. Bibliotekos lankytojų ir turto saugumo užtikrinimo tikslu tvarkomi:
- 26.1. vardas, pavardė;
- 26.2. asmens kodas;
- 26.3. asmens gyvenamosios vietos adresas;
- 26.4. asmens telefono numeris;
- 26.5. asmens elektroninio pašto kodas.
27. Naujai priimto darbuotojo tvarkoma gyvenamosios vietos adresas, atsiskaitomosios sąskaitos numeris, asmeninis kontaktinis telefono numeris ir elektroninio pašto adresas yra surenkami iš darbuotojo jam pateikus užpildyti nustatytos formos anketos.
28. Asmens duomenys (dokumentai, kuriuose yra asmens duomenys ar jų kopijos) saugomi asmens bylose ir atitinkamose duomenų bazėse (automatinėmis priemonėmis) tik ta apimtimi ir tiek laiko, kiek yra reikalinga nustatytiems tikslams pasiekti.
29. Bibliotekos darbuotojai, kuriems yra suteikta teisė tvarkyti asmens duomenis, kiti atsakingi asmenys, kurie turi teisę susipažinti su asmens duomenimis laikosi konfidencialumo principo ir laiko paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti asmens duomenų paslaptį taip pat galioja perėjus dirbti į kitas pareigas, pasibaigus darbo santykiams.
30. Bibliotekos darbuotojai, kurie tvarko darbuotojų asmens duomenis arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis, kuriose yra saugomi darbuotojų asmens duomenys, privalo naudoti pagal atitinkamas taisykles sukurtus slaptažodžius. Šiuose kompiuteriuose taip pat turi būti naudojama ekrano užsklanda su slaptažodžiu. Slaptažodžiai neturi sutapti su darbuotojo ar jo šeimos narių asmeniniais duomenimis. Slaptažodžiai turi būti keičiami periodiškai, taip pat susidarius tam tikroms aplinkybėms (pvz.: pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims, ir pan.).
31. Darbuotojas, dirbantis konkrečiu kompiuteriu, gali žinoti tik savo slaptažodį.
32. Darbuotojų kompiuteriuose esančios kompiuterinės bylos, kuriose kaupiami darbuotojų asmens duomenys, neturi būti prieinamos kitų kompiuterių naudotojams.
33. Duomenų valdytojas taiko priemones, kurios užkerta kelią neteisėtai prieigai arba neteisėtam asmens duomenų panaudojimui. Duomenų valdytojas užtikrina, jog asmens pateikiami duomenys yra apsaugoti nuo bet kokių neteisėtų veiksmų: neteisėto asmens duomenų pakeitimo, atskleidimo ar sunaikinimo, asmens tapatybės vagystės, sukčiavimo.
34. Su asmens duomenimis Bibliotekoje turi teisę susipažinti tik tie asmenys, kurie buvo įgalioti susipažinti su tokiais dokumentais ir tik tada, kai tai yra būtina šiame Apraše numatytiems tikslams pasiekti.
35. Darbuotojų asmens duomenys saugomi tokia forma, kad darbuotojo tapatybę būtų galima nustatyti ne ilgesnį laikotarpį, nei to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi.
36. Už kompiuterių priežiūrą atsakingas darbuotojas:
- 36.1. privalo užtikrinti, kad asmens duomenų rinkmenos nebūtų „matomos“ (shared) iš kitų kompiuterių, o antivirusinės programos atnaujinamos periodiškai;
- 36.2. turi daryti kompiuteriuose esančių asmens duomenų rinkmenų kopijas ne rečiau kaip kartą per mėnesį. Praradus ar sugadinus šias rinkmenas, darbuotojas turi jas atstatyti ne vėliau kaip per kelias darbo dienas.
37. Asmens duomenis tvarkantys darbuotojai netenka teisės tvarkyti asmens duomenis, kai pasibaigia jų darbo sutartis arba kai Bibliotekos direktorius atšaukia jų paskyrimą tvarkyti asmens duomenis.
38. Keičiantis asmens duomenis tvarkantiems darbuotojams, asmens duomenys (dokumentai, kuriuose yra asmens duomenys ar jų kopijos) perduodami naujai priimtiems ir asmens duomenis tvarkyti paskirtiems darbuotojams perdavimo – priėmimo aktu.
39. Asmuo, tvarkantis asmens duomenis, privalo:
- 39.1. susipažinti su šiuo Aprašu, pasirašyti Įsipareigojimą saugoti asmens duomenų paslaptį (pridedama);
- 39.2. laikytis šio Aprašo ir Įsipareigojimo saugoti asmens duomenų paslaptį nuostatų;
- 39.3. laikytis konfidencialumo reikalavimų ir neatskleisti tretiesiems asmenims bet kokios
- 39.4. su asmens duomenimis susijusios informacijos, su kuria jis susipažino vykdydamas savo funkcijas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas; ši pareiga galioja ir pasibaigus darbo ar sutartiniams santykiams;
- 39.5. nedelsiant pranešti apie bet kokius asmens duomenų pažeidimus Bibliotekos direktoriui ir duomenų apsaugos pareigūnui;
- 39.6. nedelsiant pranešti apie elektroninės informacijos saugos incidentus Bibliotekos direktoriui ir duomenų apsaugos pareigūnui;
- 39.7. nedelsiant pakeisti slaptažodį, jeigu kilo įsilaužimo į kompiuterį su saugomais asmens duomenimis grėsmė ar kilo įtarimas, kad slaptažodis tapo žinomas tretiesiems asmenims;
- 39.8. vengti perteklinių dokumentų su asmens duomenimis kopijų darymo, nelaikyti šių dokumentų visiems prieinamoje matomoje vietoje, tinkamai juos saugoti.
40. Asmens duomenys, kurie nebereikalingi jų tvarkymo tikslams, turi būti sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti valstybės archyvams.
41. Asmens duomenys, kurie yra atitinkamų dokumentų (sutarčių, įsakymų, prašymų it t.t.) tekstuose yra saugomi, Bendrųjų dokumentų saugojimo terminų rodyklėje nurodytais terminais.
42. Darbuotojų dokumentai bei jų kopijos, finansavimo, buhalterinės apskaitos ir atskaitomybės, archyvinės ar kitos bylos, kuriose yra asmens duomenų, saugomos rakinamose spintose arba seifuose. Dokumentai, kuriuose yra asmens duomenų, neturi būti laikomi visiems prieinamoje matomoje vietoje, kur neturintys teisės asmenys nekliudomai galėtų su jais susipažinti.
43. Duomenų subjektas, pateikdamas duomenų valdytojui asmens tapatybę patvirtinantį dokumentą, turi teisę gauti informaciją apie savo asmens duomenų tvarkymą, gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu ir kaip jie tvarkomi, kam ir kokiu tikslu jie gali būti teikiami ir kokios asmens duomenų nepateikimo pasekmės.
44. Duomenų valdytojas, gavęs asmens paklausimą raštu dėl jo asmens duomenų tvarkymo, turi atsakyti, ar su juo susiję asmens duomenys yra tvarkomi, ir pateikti prašomus duomenis ne vėliau kaip per 30 (trisdešimt) kalendorinių dienų nuo asmens kreipimosi dienos. Informacija pateikiama raštu nurodytu adresu ar el. pašto adresu. Vieną kartą per metus ši informacija pateikiama nemokamai.
45. Galimybė ištaisyti pastebėtas klaidas, sunaikinti savo asmens duomenis arba sustabdyti savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant ADTAĮ, asmeniui sudaroma pateikus duomenų valdytojui rašytinį prašymą. Gavus tokį prašymą duomenų apsaugos pareigūnas sustabdo tokių asmens duomenų tvarkymo veiksmus, ir ne vėliau kaip per 5 darbo dienas patikrinęs asmens duomenis imasi priemonių, kad būtų ištaisyti neteisingi, netikslūs, neišsamūs asmens duomenys.
46. Duomenų valdytojas turi nedelsiant pranešti asmeniui apie jo prašymu atliktą ar neatliktą asmens duomenų ištaisymą, sunaikinimą.
47. Duomenų subjektas turi teisę atsisakyti pateikti asmens duomenis. Tokia teisė gali būti išreiškiama raštu. Jeigu asmens nesutikimas yra teisiškai pagrįstas, privaloma nedelsiant nutraukti asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus. Atsisakius asmens duomenų tvarkymo, asmuo automatiškai atsisako savo pretenzijos dėl duomenų valdytojo teikiamų paslaugų kokybės, kadangi prašomi pateikti duomenys gali būti būtini siekiant tinkamai suteikti darbuotojo pageidaujamas/užsakytas paslaugas.
48. Duomenų subjektas, siekdamas įgyvendinti savo teises, teikia Bibliotekos direktoriui adresuotą laisvos formos rašytinį prašymą ar skundą asmens duomenų tvarkymo klausimais registruotu laišku arba atvykstant į Biblioteką kartu su prašymu, pateikiant asmens tapatybę patvirtinantį dokumentą.
49. Siųsdamas prašymą registruotu laišku, duomenų subjektas kartu turi pateikti asmens tapatybę patvirtinančio dokumento kopiją, patvirtintą notaro, arba kita tvarka, patvirtinta Lietuvos Respublikos civiliniame kodekse. Neregistruotu laišku pateikti ar atgalinio adreso neturintys prašymai ir skundai nagrinėjami bendra tvarka, tačiau raštu neatsakoma.
50. Prašymą ar skundą priimantis darbuotojas privalo patikrinti asmens tapatybę.
51. Prašymas turi būti įskaitomas, pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, adresas ir kiti kontaktiniai duomenys pageidaujamos formos ryšiui palaikyti, informacija apie tai, kokią iš duomenų subjekto teisių ir kokia apimtimi pageidaujama įgyvendinti.
52. Jei atstovaujamo duomenų subjekto vardu kreipiasi asmens atstovas, jis savo prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, duomenis ryšiui palaikyti, taip pat atstovaujamo asmens vardą, pavardę, gyvenamąją vietą, informaciją apie tai, kokią iš Apraše nurodytų duomenų subjekto teisių ir kokia apimtimi pageidaujama įgyvendinti, ir pridėti atstovavimą patvirtinantį dokumentą ar jo dokumento kopiją, patvirtintą teisės aktų nustatyta tvarka. Atstovo pateiktas prašymas turi atitikti tuos pačius reikalavimus kaip ir atstovaujamojo.
53. Visi duomenų subjektų prašymai ir skundai asmens duomenų tvarkymo klausimais bei atsakymai į juos turi būti užregistruoti Bibliotekos dokumentų valdymo sistemoje.
54. Duomenų subjekto prašymas ar skundas, kuris pateiktas nesilaikant šiame Apraše nustatytų reikalavimų, nenagrinėjamas, išskyrus atvejus, jei duomenų apsaugos pareigūnas nusprendžia kitaip. Apie atsisakymo nagrinėti prašymą ar skundą motyvus duomenų apsaugos pareigūnas raštu informuoja prašymą ar skundą pateikusį asmenį.
55. Į asmenų prašymus ir skundus atsakoma valstybine kalba ir tokiu būdu, kokiu pateiktas prašymas ar skundas, jeigu asmuo nepageidauja gauti atsakymo kitu būdu.
56. Atsakymo į prašymą ar skundą parengimą koordinuoja ir padalinius konsultuoja ir atsakymą duomenų subjektui pateikia duomenų apsaugos pareigūnas.
57. Atsakymą duomenų subjektui pasirašo duomenų apsaugos pareigūnas arba kitas Bibliotekos direktoriaus įpareigotas asmuo.
58. Atsakymai į prašymą parengiami atsižvelgiant į jo turinį:
- 58.1. į prašymą išduoti dokumentą, jo kopiją, nuorašą ar išrašą atsakoma suteikiant prašomą paslaugų arba nurodomos atsakymo tai padaryti priežastys;
- 58.2. į skundą atsakoma informuojant apie ištirtas aplinkybes arba nurodomos atsisakymo tai padaryti priežastys;
- 58.3. į kreipimąsi, kuriame išdėstoma asmens nuostata tam tikru klausimu, pranešama apie Bibliotekos ar jos padalinio veiklos trūkumus ir teikiami siūlymai kaip juos ištaisyti, atkreipiamas dėmesys į tam tikrą padėtį, informuojama apie darbuotojų piktnaudžiavimą ar neteisėtus veiksmus, nesusijusius su konkretaus asmens teisėtų interesų ir teisių pažeidimu, ar kitokį asmens kreipimąsi atsakoma laisvos formos raštu.
59. Į prašymą ar skundą atsakoma aiškiai ir argumentuotai, nurodant visas prašymo ar skundo nagrinėjimui įtakos turėjusias aplinkybes ir konkrečias teisės aktų nuostatas, kuriomis remtasi vertinant prašymo ar skundo turinį.
60. Į gautus prašymus ar skundus atsakoma per 30 (trisdešimt) kalendorinių dienų nuo duomenų subjekto kreipimosi dienos.
61. Duomenų apsaugos pareigūno sprendimu, BDAR numatytais atvejais atsakymo pateikimas gali būti atidėtas iki 60 (šešiasdešimt) kalendorinių dienų informuojant apie tai duomenų subjektą.
62. Nagrinėdami prašymus ir skundus Bibliotekos darbuotojai privalo vadovautis pagarbos žmogaus teisėms, teisingumo, sąžiningumo ir protingumo principais.
63. Draudžiama atsisakyti nagrinėti prašymus ir skundus dėl to, kad nėra šią funkciją atliekančio darbuotojo. Minėto darbuotojo atostogų, komandiruočių ir kitais nebuvimo darbe atvejais prašymus ir skundus nagrinėti turi būti pavedama kitiems darbuotojams.
64. Gautų su duomenų subjekto prašymu arba skundu asmens dokumentų kopijos naikinamos per 6 (šešis) mėnesius nuo skundo nagrinėjimo pabaigos. Skundai, prašymai ir jų nagrinėjimo dokumentai saugomi vienerius metus ir naikinami pasibaigus nustatytam saugojimo terminui teisės aktų nustatyta tvarka.
65. Dokumentai, kuriuose yra asmens duomenų, ar tų dokumentų kopijos, esantys išorinėse duomenų laikmenose ar elektroniniame pašte, turi būti ištrinti nedelsiant nuo jų panaudojimo ir (ar) perkėlimo į saugojimo vietas, tačiau ne vėliau kaip per 5 (penkias) darbo dienas įvykdžius prašymą arba skundą.
66. Dokumentai, kuriuose yra asmens duomenų, ar tų dokumentų kopijos turi būti sunaikinti taip, kad jų nebūtų galima atkurti ir atpažinti turinio.
67. Biblioteka turi užtikrinti, kad duomenų subjekto teisės būtų tinkamai įgyvendintos ir visa informacija duomenų subjektui būtų pateikiama aiškiai, suprantamai ir priimtina forma.
68. Visais klausimais, susijusiais su duomenų subjektų asmens duomenų tvarkymu ir duomenų subjektų teisėmis, numatytomis BDAR, ADTAĮ, kituose susijusiuose teisės aktuose, duomenų subjektai turi teisę kreiptis tiesiogiai į Bibliotekos direktorių arba duomenų apsaugos pareigūną.
69. Duomenų valdytojas užtikrina ir visas kitas Lietuvos Respublikos įstatymų ir kitų teisės aktų garantuojamas asmens teises, garantijas ir interesus.
70. Darbuotojams, kurie pažeidžia Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, kituose teisės aktuose numatytus reikalavimus, reglamentuojančiuose asmens duomenų tvarkymą ir apsaugą, arba šį Aprašą, taikomos BDAR bei Lietuvos Respublikos įstatymuose numatytos atsakomybės priemonės.
71. Darbuotojas privalo pateikti išsamius ir teisingus savo asmens duomenis bei informuoti apie atitinkamus asmens duomenų pasikeitimus. Bibliotekos direktorė nebus atsakinga už žalą, atsiradusią darbuotojui ir/ar tretiesiems asmenims dėl to, jog darbuotojas nurodė neteisingus ir/ar neišsamius savo asmens duomenis arba tinkamai ir laiku neinformavo apie jų pasikeitimus.
72. Aprašas periodiškai peržiūrimas ne rečiau kaip kartą per dvejus metus ir prireikus atnaujinamas.
73. Informavimą apie Aprašo atnaujinimus inicijuoja duomenų apsaugos pareigūnas.
74. Darbuotojai ir kiti atsakingi asmenys, supažindinami su šiuo Aprašu ir (ar) jo pakeitimais pasirašytinai arba elektroninėmis priemonėmis.
75. Visi nesutarimai, kilę dėl šio Aprašo vykdymo, sprendžiami derybų būdu. Nepavykus susitarti, ginčai sprendžiami Lietuvos Respublikos teisės aktų nustatyta tvarka.