Patvirtinta
VšĮ „Ars festa“
2018 m. 06 mėn. 21 d.
direktoriaus įsakymu Nr. 029A
1.1. VšĮ „Ars festa“ (toliau – „Įstaiga“) asmens duomenų tvarkymo taisyklių (toliau – „Taisyklės“) tikslas –
reglamentuoti asmens duomenų tvarkymą Įstaigoje, užtikrinant 2016 m. balandžio 27 d. Europos
Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens
duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau –
„Reglamentas (ES) 2016/679“) ir kitų teisės aktų, nustatančių asmens duomenų tvarkymą ir apsaugą,
laikymąsi ir įgyvendinimą.
1.2. Šių taisyklių paskirtis – numatyti pagrindinius ir specialiuosius asmens duomenų tvarkymo
reikalavimus, Įstaigos įgyvendinamas organizacines ir technines priemones.
1.3. Taisyklės parengtos vadovaujantis Reglamentu (ES) 2016/679, Lietuvos Respublikos asmens
duomenų teisinės apsaugos įstatymu (toliau – „ADTAĮ“) ir kitais teisės aktais, reglamentuojančiais
asmens duomenų tvarkymą ir apsaugą.
1.4. Taisyklių privalo laikytis visi Įstaigoje pagal darbo sutartis dirbantys asmenys (toliau – „Įstaigos
darbuotojai“), kuriems pavesta tvarkyti ar sužinoti asmens duomenis einant savo pareigas.
2.1. Duomenų valdytojas – VšĮ „Ars festa“, įmonės kodas 303398861, buveinės adresas Šiaulių g. 10-2,
Vilnius.
2.2. Duomenų subjektas – fizinis asmuo, kurio asmens duomenis tvarko Įstaiga.
2.3. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio
tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra
asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip
antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto
identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės,
ekonominės, kultūrinės ar socialinės tapatybės požymius.
2.4. Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su
asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai
rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava,
susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais
naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba
sunaikinimas.
2.5. Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai
atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne.
2.6. Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri
duomenų valdytojo vardu tvarko asmens duomenis.
2.7. Specialių kategorijų asmens duomenys – duomenys, atskleidžiantys rasinę ar etninę kilmę, politines
pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat sveikatos,
teistumo, genetiniai duomenys, biometriniai duomenys.
2.8. Trečioji šalis – fizinis ar juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra
duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu
duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis.
2.9. Kitos Taisyklėse vartojamos sąvokos apibrėžtos Reglamente (ES) 2016/679 ir kituose Lietuvos
Respublikos teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą ir apsaugą.
3.1. Įstaiga, tvarkydama asmens duomenis, atlieka šias funkcijas:
3.1.1. nustato asmens duomenų tvarkymo tikslus ir priemones;
3.1.2. užtikrina, kad asmens duomenys būtų renkami nustatytais, aiškiai apibrėžtais ir teisėtais
tikslais ir toliau netvarko su tais tikslais nesuderinamu būdu;
3.1.3. užtikrina, kad asmens duomenys būtų tvarkomi teisėtu, sąžiningu ir skaidriu būdu;
3.1.4. užtikrina, kad asmens duomenys būtų adekvatūs, tinkami ir tokie, kurių reikia siekiant tikslų,
dėl kurių jie tvarkomi;
3.1.5. užtikrina, kad asmens duomenys būtų tikslūs ir prireikus atnaujinami; netikslūs asmens
duomenys nedelsiant ištrinami arba ištaisomi;
3.1.6. užtikrina, kad asmens duomenys būtų laikomi tokia forma, kad Duomenų subjekto tapatybę
būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra
tvarkomi;
3.1.7. užtikrina, kad asmens duomenys tvarkomi tokiu būdu, kad taikomos techninės ir
organizacinės priemonės užtikrintų tinkamą asmens duomenų saugumą, įskaitant apsaugą
nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio
praradimo, sunaikinimo ar sugadinimo.
3.1.8. užtikrina Duomenų subjekto teisių įgyvendinimą Reglamento (ES) 2016/679 nustatyta
tvarka.
4.1. Asmens duomenys Įstaigoje tvarkomi automatizuotomis priemonėmis ir susistemintuose rinkiniuose,
asmens duomenis gaunant iš Duomenų subjektų ar trečiųjų asmenų.
4.2. Įstaiga tvarko asmens duomenis šiais tikslais:
4.2.1. Vidaus administravimo, darbo sutarčių sudarymo, vykdymo, nutraukimo ir apskaitos,
darbdavio pareigų, nustatytų teisės aktuose, tinkamo vykdymo, tinkamai komunikacijai su
darbuotojais ne darbo metu palaikyti, tinkamoms darbo sąlygoms užtikrinti:
4.2.1.1. Darbuotojų asmens duomenis: vardas, pavardė, gimimo data, asmens kodas,
telefono numeris, adresas, elektroninio pašto adresas, paso arba asmens tapatybės
kortelės numeris, darbuotojo darbo pradžios ir pabaigos Įstaigoje data, lytis,
šeimyninė padėtis, vaikų skaičius ir jų gimimo data, banko sąskaitos numeris,
duomenys, esantys gyvenimo aprašymuose (CV), asmens tapatybę patvirtinančių
dokumentų kopijos, duomenys apie darbuotojo turimą kvalifikaciją (duomenys apie
išsilavinimą, turimus sertifikatus, atestatus ir kt.).
4.2.1.2. Darbuotojų asmens duomenys saugomi Įstaigos bei Duomenų subjekto darbo
santykių metu ir 50 (penkiasdešimt) metų nuo šių santykių pasibaigimo dienos.
4.2.2. Meninės raiškos konkursų organizavimo ir dalyvavimo juose, pasirodymų eiliškumui
nustatyti, apdovanojimų ceremonijai ir tiesioginei komunikacijai telefonu ir el. paštu vykdyti,
skelbti informaciją socialiniuose tinkluose (Facebook, Instagram), Įstaigos internetinėje
svetainėje www.muzikostalentulyga.lt bei renginio reklaminiuose leidiniuose (plakatuose,
lankstinukuose ir pan.):
4.2.2.1. Dalyvių ir kitų Duomenų subjektų asmens duomenis: vardas, pavardė, telefono nr.,
el. pašto adresas, amžius, nuotraukos, video medžiaga.
4.2.2.2. Dalyvių ir kitų Duomenų subjektų asmens duomenys saugomi 5 (penkerius) metus
nuo sutikimo gavimo.
4.3. Tvarkant asmens duomenis vadovaujamasi Reglamentu (ES) 2016/679, ADTAĮ, kitais teisės aktais,
reglamentuojančiais asmens duomenų tvarkymą ir apsaugą, Lietuvos standartais LST ISO/IEC 27001
ir LST ISO/IEC 27002.
5.1. Asmens duomenys Įstaigoje renkami tik teisės aktų nustatyta tvarka, juos gaunant:
5.1.1. tiesiogiai iš Duomenų subjekto;
5.1.2. iš kitų šaltinių (esant Duomenų subjekto sutikimui).
5.2. Asmens duomenys tretiesiems asmenims gali būti teikiami pagal duomenų gavėjo prašymą
(vienkartinio teikimo atveju) arba pagal Įstaigos ir duomenų gavėjo sudarytą asmens duomenų teikimo
sutartį (daugkartinio teikimo atveju).
5.3. Asmens duomenys teikiami:
5.3.1. Lietuvos nacionaliniam radijui ir televizijai;
5.3.2. Asociacijai LATGA;
5.3.3. Lietuvos gretutinių teisių asociacijai AGATA;
5.3.4. Kitiems tretiesiems asmenims su Duomenų subjekto sutikimu.
5.4. Įstaiga gali teikti Duomenų subjektų asmens duomenis duomenų tvarkytojams, kurie teikia Įstaigai
paslaugas (atlieka darbus) ir tvarko Duomenų subjekto asmens duomenis Įstaigos, kaip duomenų
valdytojo, vardu, prieš tai sudarius su jais duomenų tvarkymo sutartį.
5.5. Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik pagal Įstaigos nurodymus ir tik ta apimtimi,
kiek tai yra būtina siekiant tinkamai vykdyti paslaugų teikimo sutartyje nustatytus įsipareigojimus.
Įstaiga pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir
organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Reglamento
(ES) 2016/679 reikalavimus ir būtų užtikrinta Duomenų subjekto teisių apsauga.
6.1. Įstaiga įgyvendina taisyklėse nurodytas organizacines ir technines priemones, siekiant užtikrinti
tinkamą asmens duomenų saugumą, įskaitant apsaugą nuo netyčinio ar neteisėto gautų, saugomų ar
kitaip tvarkomų duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos
prieigos prie jų.
6.2. Pasikeitus Duomenų subjektų asmens duomenims ir Duomenų subjektams apie tai raštu informavus
Įstaigą, Įstaiga, patikrinusi asmens duomenų tikslumą, nepagrįstai nedelsdama imasi veiksmų Įstaigos
tvarkomose informacinėse sistemose atnaujinti duomenis, ištaisius netikslius su juo susijusius asmens
duomenis ar papildžius neišsamius asmens duomenis ar ištrynus su juo susijusius asmens duomenis,
išskyrus Reglamente (ES) 2016/679 nustatytas išimtis. Pasikeitus Duomenų subjektų asmens
duomenims Įstaiga ištaiso netikslius su Duomenų subjektu susijusius asmens duomenis ar papildo
neišsamius asmens duomenis.
6.3. Asmens duomenys laikomi tokia forma, kad Duomenų subjekto tapatybę būtų galima nustatyti ne
ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi, ar reikalauja Duomenų
subjektas ir (ar) numato teisės aktai.
6.4. Įstaiga tvarko tik tuos asmens duomenis, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo
tikslui, numatytam taisyklių 4.2 punkte.
6.5. Įstaigoje turi būti užtikrintas patalpų, kuriose saugomi asmens duomenys, saugumas (apribojamas
neįgaliotų asmenų patekimas į atitinkamas patalpas ir pan.).
6.6. Dokumentai, kuriuose yra asmens duomenys, ar jų kopijos saugomi tam skirtose patalpose,
rakinamose spintose, seifuose ir pan. Dokumentai, kuriuose yra asmens duomenų, neturi būti laikomi
visiems prieinamoje matomoje vietoje, kur neturintys teisės asmenys nekliudomai galėtų su jais
susipažinti.
6.7. Dokumentai, kuriuose yra asmens duomenys, saugomi, vadovaujantis Lietuvos Respublikos
dokumentų ir archyvų įstatymu, Bendrųjų dokumentų saugojimo terminų rodykle, patvirtinta Lietuvos
vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo
terminų rodyklės patvirtinimo“. Pasibaigus saugojimo terminui, dokumentai, kuriuose yra asmens
duomenys, sunaikinami.
6.8. Naikinant dokumentus, kurių saugojimo terminas yra pasibaigęs, dokumentai, kuriuose yra asmens
duomenys, ar jų kopijos turi būti sunaikinti taip, kad jų nebūtų galima atkurti ir atpažinti turinio.
6.9. Įstaigos darbuotojai, kurių kompiuteriuose saugomi asmens duomenys arba iš kurių kompiuterių
galima patekti į vietinio tinklo sritis, kuriose yra saugomi asmens duomenys, privalo naudoti
slaptažodžius. Slaptažodžiai turi būti keičiami periodiškai ne rečiau kaip kartą per 2 (dvejus) mėnesius,
taip pat susidarius tam tikroms aplinkybėms (pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus
įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims, ir pan.). Šiuose kompiuteriuose turi būti
naudojama ekrano užsklanda su slaptažodžiu. Slaptažodžiai suteikiami, keičiami, ir saugomi
užtikrinant jų konfidencialumą. Slaptažodžiai turi būti unikalūs, sudaryti ne mažiau kaip 8 (aštuonių)
simbolių, nenaudojant asmeninio pobūdžio informacijos. Pirmojo prisijungimo metu naudotojo turi būti
privalomai keičiami.
6.10. Įstaigos darbuotojų kompiuteriuose esančios kompiuterinės bylos, kuriose kaupiami asmens
duomenys, neturi būti prieinamos kitų kompiuterių naudotojams, išskyrus naudotojus, kuriems Įstaiga
tokią teisę suteikė.
6.11. Prieiga prie asmens duomenų Įstaigos informacinėse sistemose turi būti suteikiama tik tam Įstaigos
darbuotojui, kuriam asmens duomenys yra reikalingi jo darbo funkcijoms vykdyti.
6.12. Įstaigos darbuotojai su asmens duomenimis turi atlikti tik tuos veiksmus, kuriems atlikti yra suteiktos
teisės.
6.13. Užtikrinant kompiuterinės įrangos ir joje esančių asmens duomenų apsaugą, kompiuteriuose turi būti
įdiegtos antivirusinės programos, kurios turi būti periodiškai atnaujinamos.
6.14. Įstaigoje turi būti užtikrintos duomenų saugumo priemonės, skirtos apsaugoti informacines sistemas
nuo neteisėto prisijungimo elektroninių ryšių priemonėmis, taip pat turi būti užtikrinamas saugių
protokolų ir (arba) slaptažodžių naudojimas, teikiant asmens duomenis išoriniais duomenų perdavimo
tinklais.
6.15. Įstaigoje turi būti šifruojami išorinėse duomenų laikmenose (USB atmintukai, atminties kortelės,
nešiojamieji išoriniai diskai, USB jungtys) teikiami asmens duomenys arba naudojamos saugos
priemonės, užtikrinančios, kad asmens duomenys bus perduodami saugiai ir nebus galimybės
tretiesiems asmenims jais pasinaudoti, užtikrinama asmens duomenų, esančių išorinėse duomenų
laikmenose ir elektroniniame pašte, saugos kontrolė ir ištrynimas po jų panaudojimo perkeliant į
informacines sistemas. Turi būti šifruojami elektroniniu paštu perduodami specialiųjų kategorijų
asmens duomenys.
6.16. Turi būti šifruojami atsarginėse kopijose ir archyvuose saugomi asmens duomenys ir išoriniais
duomenų perdavimo tinklais perduodami asmens duomenys.
7.1. Įstaiga užtikrina, kad prieiga prie asmens duomenų yra suteikiama tik tiems Įstaigos darbuotojams,
kuriems tokie duomenys yra reikalingi jų darbo funkcijoms vykdyti.
7.2. Įstaigos darbuotojai, tvarkantys Duomenų subjektų asmens duomenis, privalo:
7.2.1. laikytis su asmens duomenų tvarkymu susijusių principų ir saugumo reikalavimų, įtvirtintų
Reglamente (ES) 2016/679, taisyklėse ir kituose teisės aktuose, reglamentuojančiuose
asmens duomenų tvarkymą ir apsaugą;
7.2.2. laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis
susijusią informaciją, su kuria jis susipažino vykdydamas savo darbo funkcijas, nebent tokia
informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Prievolė
saugoti paslaptį galioja ir pasibaigus darbo santykiams Įstaigoje;
7.2.3. laikytis šiose taisyklėse nustatytų organizacinių ir techninių priemonių, siekiant užtikrinti
tinkamą asmens duomenų saugumą, įskaitant apsaugą nuo netyčinio ar neteisėto gautų,
saugomų ar kitaip tvarkomų duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be
leidimo ar neteisėtos prieigos prie jų;
7.2.4. neatskleisti, neperduoti ar kitu būdu nesudaryti galimybės naudotis ir (ar) susipažinti su
asmens duomenimis nė vienam asmeniui, kuriam nėra pavesta dirbti ir (ar) susipažinti su
asmens duomenimis Įstaigoje ar už jos ribų;
7.2.5. nedelsiant, bet ne vėliau kaip per 4 (keturias) darbo valandas nuo įtartintos situacijos ar
asmens duomenų saugumo pažeidimo paaiškėjimo momento, pranešti Įstaigos vadovui,
apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę Įstaigoje tvarkomų asmens duomenų
saugumui;
7.2.6. saugoti dokumentus, kuriuose yra asmens duomenys, bei duomenų rinkmenas tinkamai ir
saugiai, vengti nereikalingų kopijų darymo;
7.2.7. laikytis kitų taisyklėse ir asmens duomenų apsaugą reglamentuojančiuose teisės aktuose
nustatytų reikalavimų.
7.3. Asmens duomenų tvarkymo funkcijas vykdantys ir su Įstaigos tvarkomais asmens duomenimis galintys
susipažinti Įstaigos darbuotojai, prieš pradėdami tvarkyti asmens duomenis, turi pasirašyti nustatytos
formos konfidencialumo pasižadėjimą, kuris saugomas Įstaigos darbuotojo asmens byloje.
7.4. Įstaigos darbuotojas netenka teisės tvarkyti Duomenų subjektų asmens duomenis, kai pasibaigia
darbo santykiai Įstaigoje arba kai jam pavedama vykdyti su Duomenų subjektų asmens duomenų
tvarkymu nesusijusias funkcijas.
8.1. Duomenų subjektas yra informuojamas apie savo asmens duomenų tvarkymą:
8.1.1. Duomenų subjektų asmens duomenis tvarko duomenų valdytoja – VšĮ „Ars festa“, įmonės
kodas 303398861, buveinės adresas Šiaulių g. 10-2, Vilnius;
8.1.2. asmens duomenys Įstaigoje tvarkomi neautomatizuotomis priemonėmis susistemintuose
rinkiniuose ir (arba) automatizuotomis priemonėmis;
8.1.3. Įstaigoje tvarkomų duomenų subjektų asmens duomenų apimtis, asmens duomenų ir
tvarkymo tikslai nurodyti šių taisyklių 4 skyriuje;
8.1.4. duomenų gavėjai ir asmens duomenų gavimo šaltiniai nurodyti šių taisyklių 5 skyriuje;
8.1.5. Įstaigoje asmens duomenys saugomi taisyklių 4.2.1.2 ir 4.2.2.2 punktuose nustatytais
terminais;
8.1.6. Duomenų subjektas turi teisę prašyti, kad Įstaiga leistų susipažinti su savo asmens
duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, ir teisę nesutikti,
kad duomenys būtų tvarkomi.
8.1.7. Duomenų subjektas turi teisę bet kuriuo metu atšaukti sutikimą, kai asmens duomenų
tvarkymas grindžiamas duomenų subjekto sutikimu;
8.1.8. Duomenų subjektas turi teisę pateikti skundą priežiūros institucijai, visų pirma Valstybinei
duomenų apsaugos inspekcijai, vadovaujantis Reglamento (ES) 2016/679 77 straipsnio 1
dalimi.
8.2. Duomenų subjektams informacija apie asmens duomenų tvarkymą pateikiama Asmens Duomenų
rinkimo iš duomenų subjektų metu ir tokiu būdu, kokiu Duomenų subjektas kreipiasi į Įstaigą, išskyrus
atvejus, kai Duomenų subjektas tokią informaciją jau turi ir tiek, kiek tos informacijos jis turi.
8.3. Asmens duomenis gaunant ne iš Duomenų subjekto informacija, numatyta taisyklių 8.1 punkte,
teikiama:
8.3.1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per mėnesį,
atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;
8.3.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau
kaip pirmą kartą susisiekiant su tuo duomenų subjektu;
8.3.3. jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip
atskleidžiant duomenis pirmą kartą.
8.4. Asmens duomenis gaunant ne iš Duomenų subjekto informacija, numatyta taisyklių 8.1 punkte,
neteikiama, kai
8.4.1. Duomenų subjektas jau turi informacijos;
8.4.2. toks informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų;
8.4.3. kitais Reglamente (ES) 2016/679 nustatytais pagrindais.
8.5. Duomenų subjektas, kreipęsis į Įstaigą, turi teisę gauti patvirtinimą, ar su juo susiję asmens duomenys
yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis
ir toliau nurodyta informacija:
8.5.1. duomenų tvarkymo tikslai;
8.5.2. atitinkamų asmens duomenų kategorijos;
8.5.3. duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems buvo arba bus atskleisti
asmens duomenys, visų pirma duomenų gavėjai trečiosiose valstybėse arba tarptautinės
organizacijos;
8.5.4. kai įmanoma, numatomas asmens duomenų saugojimo laikotarpis arba, jei neįmanoma,
kriterijai, taikomi tam laikotarpiui nustatyti;
8.5.5. teisė prašyti duomenų valdytojo ištaisyti arba ištrinti asmens duomenis ar apriboti su
Duomenų subjektu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu;
8.5.6. teisė pateikti skundą priežiūros institucijai;
8.5.7. kai asmens duomenys renkami ne iš Duomenų subjekto, visa turima informacija apie jų
šaltinius.
8.6. Įstaiga pateikia tvarkomų asmens duomenų kopiją. Už bet kurias kitas Duomenų subjekto prašomas
kopijas Įstaiga gali imti pagrįstą mokestį, nustatomą pagal administracines išlaidas.
8.7. Informacija Duomenų subjektui, atsižvelgiant į jo rašytinį prašymą, gali būti suteikiama žodžiu, prieš
tai patikrinus duomenų subjekto asmens tapatybę.
8.8. Duomenų subjektas turi teisę reikalauti, kad Įstaiga nepagrįstai nedelsdama ištaisytų netikslius su juo
susijusius asmens duomenis. Atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, Duomenų
subjektas, pateikdamas papildomą pareiškimą, turi teisę reikalauti Įstaigą papildyti neišsamius asmens
duomenis.
8.9. Duomenų subjektas turi teisę reikalauti, kad Įstaiga nepagrįstai nedelsdama ištrintų su juo susijusius
asmens duomenis, o Įstaiga yra įpareigota nepagrįstai nedelsdama ištrinti asmens duomenis, jei tai
galima pagrįsti viena iš priežasčių, numatytų Reglamento (ES) 2016/679 17 straipsnio 1 dalyje:
8.9.1. jie nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;
8.9.2. duomenų subjektas atšaukia sutikimą ir nėra jokio kito teisinio pagrindo tvarkyti asmens
duomenis;
8.9.3. asmens duomenys buvo tvarkomi neteisėtai;
8.9.4. kitais Reglamente nustatytais pagrindais.
8.10. Taisyklių 8.9 punktas yra netaikomas, jeigu duomenų tvarkymas yra būtinas:
8.10.1. siekiant pasinaudoti teise į saviraiškos ir informacijos laisvę;
8.10.2. siekiant laikytis Europos Sąjungos ar Lietuvos Respublikos teise, kuri taikoma duomenų
valdytojui, nustatytos teisinės prievolės, kuria reikalaujama tvarkyti duomenis, arba siekiant
atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas
viešosios valdžios funkcijas;
8.10.3. siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.
8.11. Duomenų subjektas turi teisę reikalauti, kad Įstaiga apribotų duomenų tvarkymą, kai taikomas vienas
iš šių atvejų:
8.11.1. Duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį duomenų
valdytojas gali patikrinti duomenų tikslumą;
8.11.2. asmens duomenų tvarkymas yra neteisėtas ir Duomenų subjektas nesutinka, kad duomenys
būtų ištrinti;
8.11.3. Įstaigai nebereikia asmens duomenų tvarkymo tikslais, tačiau jų reikia Duomenų subjektui
siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;
8.11.4. Duomenų subjektas paprieštaravo jo asmens duomenų tvarkymui, kol bus patikrinta, ar
Įstaigos teisėtos priežastys yra viršesnės už Duomenų subjekto priežastis.
8.12. Kai duomenų tvarkymas yra apribotas pagal taisyklių 8.11 punktą, tokius asmens duomenis galima
tvarkyti, išskyrus saugojimą, tik gavus Duomenų subjekto sutikimą arba siekiant pareikšti, vykdyti arba
apginti teisinius reikalavimus, arba apsaugoti kito fizinio ar juridinio asmens teises, arba dėl svarbaus
Europos Sąjungos arba Lietuvos Respublikos viešojo intereso priežasčių.
8.13. Duomenų subjektą, kurio prašymas apriboti duomenų tvarkymą pagal taisyklių 8.11 punktą buvo
tenkintas, Įstaiga informuoja prieš panaikinant apribojimą tvarkyti duomenis.
8.14. Kiekvienam duomenų gavėjui, kuriam buvo atskleisti asmens duomenys, Įstaiga praneša apie bet kokį
asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą, vykdomą pagal taisyklių 8.8, 8.9 ir
8.11 punktus, nebent to padaryti nebūtų įmanoma arba tai pareikalautų neproporcingų pastangų.
Duomenų subjektui paprašius, Įstaiga informuoja Duomenų subjektą apie tuos duomenų gavėjus.
8.15. Duomenų subjektas turi teisę kreiptis į Įstaigą su prašymu gauti su juo susijusius asmens duomenis,
kuriuos Duomenų subjektas pateikė Įstaigai susistemintu, įprastai naudojamu ir kompiuterio skaitomu
formatu, taip pat Duomenų subjektas gali pateikti prašymą Įstaigai, kad Įstaiga persiųstų jo asmens
duomenis kitam duomenų valdytojui, kai tai techniškai įmanoma ir kai:
8.15.1. asmens duomenų tvarkymas yra grindžiamas Duomenų subjekto sutikimu; ir
8.15.2. asmens duomenys tvarkomi automatizuotomis priemonėmis.
8.16. Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti,
kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas pagal
Reglamento (ES) 2016/679 6 straipsnio 1 dalies e arba f punktus (kai tvarkyti duomenis būtina siekiant
atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios
valdžios funkcijas, taip pat jei tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba
trečiosios šalies interesų, išskyrus atvejus, kai tokie Duomenų subjekto interesai arba pagrindinės
teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai
Duomenų subjektas yra vaikas). Įstaiga nebetvarko asmens duomenų, išskyrus atvejus, kai Įstaiga
įrodo, kad asmens duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už
Duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius
reikalavimus.
8.17. Duomenų subjektai, siekdami įgyvendinti savo teises, Įstaigai turi pateikti rašytinį prašymą asmeniškai,
paštu ar elektroniniu būdu.
8.18. Prašymas turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodytas Duomenų subjekto vardas
(vardai), pavardė (pavardės), gyvenamoji vieta ar adresas, duomenys ryšiui palaikyti ir informacija apie
tai, kokią iš taisyklių 8.5 – 8.16 punktuose nurodytų teisių ir kokia apimtimi Duomenų subjektas
pageidauja įgyvendinti.
8.19. Pateikdamas prašymą, Duomenų subjektas privalo patvirtinti savo tapatybę:
8.19.1. pateikdamas prašymą Įstaigos darbuotojui, registruojančiam prašymą, turi pateikti asmens
tapatybę patvirtinantį dokumentą;
8.19.2. pateikdamas prašymą paštu kartu turi pateikti asmens tapatybę patvirtinančio dokumento
kopiją, patvirtintą notaro, ar šio dokumento kopiją, patvirtintą kita teisės aktų nustatyta tvarka;
8.19.3. pateikdamas prašymą elektroniniu būdu turi pasirašyti jį kvalifikuotu elektroniniu parašu arba
suformuoti elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir
nepakeičiamumą.
8.20. Duomenų subjektas savo teises Įstaigoje gali įgyvendinti pats arba per atstovą.
8.21. Jei atstovaujamo Duomenų subjekto vardu į Įstaigą kreipiasi asmens atstovas, jis savo prašyme turi
nurodyti savo vardą (vardus), pavardę (pavardes), gyvenamąją vietą ar adresą, duomenis ryšiui
palaikyti, taip pat atstovaujamo asmens vardą (vardus), pavardę (pavardes), gyvenamąją vietą ar
adresą ar buveinės adresą, informaciją apie tai, kokią iš taisyklių 8.5 – 8.6 punktuose nurodytų
Duomenų subjekto teisių ir kokia apimtimi pageidaujama įgyvendinti, ir pridėti atstovavimą patvirtinantį
dokumentą ar jo kopiją. Atstovo pateiktas prašymas turi atitikti taisyklių 8.17 – 8.19 punktų
reikalavimus.
8.22. Kai yra abejojama prašymą pateikusio Duomenų subjekto tapatybe, Įstaiga, jei įmanoma, gali
paprašyti Duomenų subjekto pateikti papildomą informaciją, reikalingą norint patvirtinti jo tapatybę.
8.23. Duomenų subjektui nepateikus prašomos papildomos informacijos per Įstaigos nurodytą terminą,
Duomenų subjekto prašymas dėl taisyklių 8.5 – 8.16 punktuose nurodytų Duomenų subjekto teisių
įgyvendinimo yra netenkinamas.
8.24. Įstaiga Duomenų subjekto prašymo, kuris pateiktas nesilaikant taisyklių 8.17 – 8.19 punktuose
nustatytų reikalavimų, nenagrinėja, jei Įstaigos vadovas nenusprendžia kitaip. Apie atsisakymo
nagrinėti prašymą motyvus Įstaiga raštu informuoja prašymą pateikusį asmenį per 5 (penkias) darbo
dienas.
8.25. Įstaiga nedelsdama, tačiau bet kuriuo atveju ne vėliau kaip per 1 (vieną) mėnesį nuo šių taisyklių
reikalavimus atitinkančio prašymo gavimo dienos, pateikia Duomenų subjektui informaciją apie
veiksmus, kurių imtasi gavus prašymą dėl Duomenų subjekto teisių įgyvendinimo atitinkamai pagal
taisyklių 8.5 – 8.16 punktus. Šis terminas prireikus Įstaigos vadovo sprendimu gali būti pratęstas dar
dviem mėnesiams, atsižvelgiant į prašymo sudėtingumą ir skaičių. Įstaiga per 1 (vieną) mėnesį nuo
prašymo gavimo dienos informuoja Duomenų subjektą apie tokį pratęsimą, kartu pateikdamas
vėlavimo priežastis.
8.26. Įstaiga atsakymą Duomenų subjektui pateikia valstybine arba anglų kalba.
8.27. Informacija pateikiama raštu, įteikiant asmeniškai arba kitomis priemonėmis, įskaitant elektronine
forma. Kai Duomenų subjektas prašymą pateikia elektroninės formos priemonėmis, informacija jam
taip pat pateikiama, jei įmanoma, elektroninėmis priemonėmis, išskyrus atvejus, kai Duomenų
subjektas paprašo ją pateikti kitaip.
8.28. Jei privati informacija Duomenų subjektui siunčiama paštu arba jei Įstaiga dėl objektyvių priežasčių
negalėdama pateikti atsakymo Duomenų subjektui jo pasirinktu būdu, ji siunčiama tik registruota pašto
siunta.
8.29. Pagal taisyklių 8.1 punktą teikiama informacija ir visi pranešimai bei visi veiksmai pagal taisyklių 8.5 –
8.16 punktus yra nemokami. Kai Duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba
neproporcingi, visų pirma dėl jų pasikartojančio turinio, Įstaiga gali imti pagrįstą mokestį,
atsižvelgdamas į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines
išlaidas, arba gali atsisakyti imtis veiksmų pagal gautą prašymą.
8.30. Teikiant Duomenų subjektui dokumentų kopijas ar kitą informaciją, turėtų būti teikiami tik su pačiu
Duomenų subjektu susiję asmens duomenys. Jeigu dokumentų kopijose ar kitoje informacijoje yra
trečiųjų asmenų asmens duomenys, jie turi būti užtušuoti arba teikiamas šių dokumentų išrašas ir pan.
pažeidimus tvarka
9.1. Asmens duomenų saugumo pažeidimo atveju Įstaiga nedelsdama ir, jei įmanoma, praėjus ne daugiau
kaip 72 (septyniasdešimt dvejoms) valandoms nuo tada, kai ji sužino apie asmens duomenų saugumo
pažeidimą, apie tai praneša priežiūros institucijai – Valstybinei duomenų apsaugos inspekcijai.
9.2. Įstaiga dokumentuoja visus asmens duomenų saugumo pažeidimus, įskaitant su asmens duomenų
saugumo pažeidimu susijusius faktus, jo poveikį, ir taikomuosius veiksmus, kurių buvo imtasi.
9.3. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų
teisėms ir laisvėms, Įstaiga nepagrįstai nedelsdama praneša apie asmens duomenų saugumo
pažeidimą duomenų subjektams.
10.1. Su šiomis taisyklėmis supažindinami visi Įstaigos darbuotojai pasirašytinai.
10.2. Už taisyklių laikymosi priežiūrą ir kontrolę atsakingi Asta Bagdonavičienė.
10.3. Šios taisyklės periodiškai, ne rečiau kaip kartą per 2 (dvejus) metus, peržiūrimos ir, reikalui esant,
atnaujinamos.
10.4. Įstaigos darbuotojai, pažeidę šių taisyklių reikalavimus, atsako Lietuvos Respublikos teisės aktų
nustatyta tvarka.