Teisinė informacija

Atgal
Amens duomenų subjekto teisių įgyvendinimo tvarkos aprašas

PATVIRTINTA

VšĮ Garliavos pirminės sveikatos priežiūros                           centro direktorės 2018 m. lapkričio 2 d.

įsakymu Nr. BP-32

 

VIEŠOSIOS ĮSTAIGOS GARLIAVOS PIRMINĖS SVEIKATOS PRIEŽIŪROS CENTRO

ASMENS DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO TVARKOS APRAŠAS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

  1. Duomenų subjektų teisių įgyvendinimo tvarkos aprašas (toliau – Aprašas) reglamentuoja duomenų subjektų teisių, įtvirtintų 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB1 (toliau – Reglamentas), įgyvendinimo tvarką Viešojoje įstaigoje Garliavos pirminės sveikatos priežiūros centre (toliau – VšĮ Garliavos PSPC). Šio aprašo tikslas – nustatyti duomenų subjektų teisių įgyvendinimo tvarką, siekiant įgyvendinti atskaitomybės principą.
  2. Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente ir kituose Lietuvos Respublikos teisės aktuose:

2.1.  Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.

2.2.  Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.

2.3.   Duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Europos Sąjungos arba valstybės narės teisės, duomenų valdytojas.

2.4.  Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.

2.5.  Duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Europos Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Europos Sąjungos arba valstybės narės teise.

2.6.  Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens.

2.7.  Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne. Tačiau valdžios institucijos, kurios pagal Europos Sąjungos arba valstybės narės teisę gali gauti asmens duomenis vykdydamos konkretų tyrimą, nelaikomos duomenų gavėjais; tvarkydamos tuos duomenis, tos valdžios institucijos laikosi taikomų duomenų tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių.

2.8.  Trečioji šalis – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis.

2.9.  Duomenų subjekto sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys.

2.10.     Sveikatos duomenys – asmens duomenys, susiję su fizine ar psichine fizini asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę.

2.11.     Genetiniai duomenys – asmens duomenys, susiję su paveldėtomis ar įgytomis fizinio asmens genetinėmis savybėmis, suteikiančiomis unikalios informacijos apie to fizinio asmens fiziologiją ar sveikatą, ir kurie gauti visų pirma analizuojant biologinį atitinkamo fizinio asmens mėginį.

2.12.     Susistemintas rinkinys – bet kuris susistemintas pagal specialius kriterijus prieinamų asmens duomenų rinkinys, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu.

2.13.     Asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga.

  1. Aprašas parengtas vadovaujantis Reglamentu ir kitais asmens duomenų saugą reglamentuojančiais teisės aktais ir VšĮ Garliavos PSPC veiklą reglamentuojančiais dokumentais.
  2. Aprašas taikomas tvarkant Duomenų subjekto duomenis automatiniu būdu ir neautomatiniu būdu:

4.1.  VšĮ Garliavos PSPC duomenų subjektų asmens duomenys, esantys VšĮ Garliavos PSPC informacinėse sistemose, popierinėse formose ar kitose laikmenose, kurių tvarkymo tikslas ir baigtinis tvarkomų asmens duomenų sąrašas numatyti atitinkamos VšĮ Garliavos PSPC informacinės sistemos nuostatuose ir specifikacijose;

4.2.  esamų ir buvusių VšĮ Garliavos PSPC darbuotojų, dirbančių pagal darbo sutartis (toliau – darbuotojai), asmens duomenys (vardas, pavardė, asmens kodas, asmens socialinio draudimo numeris, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, gyvenimo ir veiklos aprašymas, parašas, šeiminė padėtis, pareigos, duomenys apie priėmimą / perkėlimą / atleidimą iš pareigų, duomenys apie išsilavinimą ir kvalifikaciją, licencijas, sertifikatus, duomenys apie mokymus, duomenys apie atostogas, duomenys apie darbo užmokestį, išeitines išmokas, kompensacijas, pašalpas, informacija apie dirbtą darbo laiką, informacija apie skatinimus ir nuobaudas, informacija apie atliktus darbus ir užduotis, Lietuvos Respublikos piliečio paso arba asmens tapatybės kortelės numeris, išdavimo data, galiojimo data, dokumentą išdavusi įstaiga, specialiųjų kategorijų asmens duomenys, susiję su sveikata, teistumu, dalyvavimu uždraustos organizacijos veikloje, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti VšĮ Garliavos PSPC įpareigoja įstatymai ir kiti teisės aktai), kurie tvarkomi vidaus administravimo (personalo valdymo, raštvedybos tvarkymo, materialinių ir finansinių išteklių naudojimo) tikslu;

4.3.  pretendentų į VšĮ Garliavos PSPC darbuotojus asmens duomenys (vardas, pavardė, asmens kodas, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, pareigos, į kurias pretenduojama, gyvenimo ir veiklos aprašymas, parašas, duomenys apie išsilavinimą ir kvalifikaciją, specialiųjų kategorijų asmens duomenys, susiję su teistumu, dalyvavimu uždraustos organizacijos veikloje, pokalbio su pretendentu į pareigas skaitmeninis garso įrašas, dokumentų registracijos data ir numeris bei kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti VšĮ Garliavos PSPC įpareigoja įstatymai ir kiti teisės aktai), kurie tvarkomi vidaus administravimo (personalo valdymo, raštvedybos tvarkymo, materialinių ir finansinių išteklių naudojimo) tikslu;

4.4.  paciento asmens duomenys (asmens kodas, gimimo data, vardas, pavardė, kūdikio motinos asmens kodas, pilietybė, adresas, telefono ryšio numeris, elektroninio pašto adresas, pirminė asmens sveikatos priežiūros įstaiga, pirminės asmens sveikatos priežiūros įstaigos gydytojas, deklaruota gyvenamoji vieta, draustumas, statusas apie nuolatinį Lietuvos Respublikos gyventoją, darbovietė, ugdymo įstaiga, socialinio draudimo numeris, išankstinės paciento kortelės duomenys, ESPBI (E. sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinė sistema) siuntimo duomenys, neįgalumo ir darbingumo duomenys ir kiti duomenys), ligos istorijos, laboratorinių, diagnostinių, patologinių, biomedicininių, genetinių, vaisingumo tyrimų, mokėjimų, draustumo, nedarbingumo, socialiniai, kvalifikacijos, šeimos, kraujo donorų tonacijų (pirminę, pakartotinę, atlygintą ir kt.), radiacinės saugos, asmenų, sergančių užkrečiamomis ligomis, genetiniai, organų donorų, organų vaizdų, nelaimingų atsitikimų, biometriniai;

4.5.  paciento atstovo asmens duomenys (vardas, pavardė, kontaktiniai duomenys, atstovavimą pagrindžiantys dokumentai ir kiti duomenys);

4.6.  kiti duomenys;

4.7.  išankstinės pacientų registracijos duomenys.

  1. Asmens duomenų, nurodytų Aprašo 4.1 – 4.7 punktuose, valdytojas yra Viešosios įstaigos Garliavos pirminės sveikatos priežiūros centras, juridinio asmens kodas 159945462, Vytauto g. 57a-2, LT-53263, Garliava, Kauno r.

 

II SKYRIUS

DUOMENŲ SUBJEKTŲ TEISĖS IR PRAŠYMŲ DĖL ŠIŲ TEISIŲ ĮGYVENDINIMO

PATEIKIMO IR NAGRINĖJIMO TVARKA

 

  1. Duomenų subjektai turi šias teises, įtvirtintas Reglamente:

6.1.  teisę žinoti (būti informuotam) apie savo asmens duomenų tvarkymą VšĮ Garliavos PSPC;

6.2.  teisę susipažinti su VšĮ Garliavos PSPC tvarkomais savo asmens duomenimis;

6.3.  teisę reikalauti ištaisyti asmens duomenis;

6.4.  teisę reikalauti ištrinti asmens duomenis („teisė būti pamirštam“);

6.5.  teisę apriboti asmens duomenų tvarkymą;

6.6.  teisę nesutikti su asmens duomenų tvarkymu;

6.7.  teisę į asmens duomenų perkeliamumą.

  1. Duomenų subjektų teisės nėra absoliučios ir gali būti ribojamos Reglamente nustatytais pagrindais.
  2. Duomenų subjektas, siekdamas įgyvendinti Aprašo 6 punkte nurodytas teises, privalo asmeniškai, paštu, per įgaliotą atstovą, pasiuntinį ar elektroninių ryšių priemonėmis (pasirašęs elektroniniu parašu) pateikti rašytinį prašymą[1] (toliau - Prašymas).
  3. Prašymas turi būti pateikiamas VšĮ Garliavos pirminės priežiūros centrui, jei asmens duomenų, dėl kurių kreipiamasi, valdytojas - VšĮ Garliavos PSPC.
  4. Prašymas turi būti įskaitomas, parašytas valstybine kalba arba turėti vertimą į valstybinę kalbą, kurio tikrumas būtų paliudytas Lietuvos Respublikos notariato įstatymo nustatyta tvarka. Prašymas turi būti duomenų subjekto pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, asmens kodas, informacija apie tai, kokią Aprašo 6 punkte nurodytą teisę ir kokios apimties pageidauja įgyvendinti bei informacija, kokiu būdu duomenų subjektas pageidauja gauti atsakymą.
  5. Prašymas pateikiamas asmeniškai, registruotu paštu, elektroninėmis priemonėmis. Jeigu duomenų subjektas Prašymą pateikia elektroninėmis ryšio priemonėmis, informacija duomenų subjektui taip pat pateikiama elektroninėmis ryšio priemonėmis, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip.
  6. Pateikdamas Prašymą, duomenų subjektas privalo patvirtinti savo tapatybę:

12.1.  jeigu Prašymas pateikiamas tiesiogiai VšĮ Garliavos PSPC darbuotojui, duomenų subjektas VšĮ Garliavos PSPC darbuotojui privalo pateikti asmens tapatybę patvirtinantį dokumentą (pasą ar asmens tapatybės kortelę);

12.2.  jeigu Prašymas pateikiamas paštu ar per pasiuntinį, kartu su Prašymu turi būti pateikiama notariškai patvirtinta asmens tapatybę patvirtinančio dokumento kopija;

12.3.  jeigu Prašymas pateikiamas elektroninių ryšių priemonėmis, Prašymas turi būti pasirašytas elektroniniu parašu.

  1. VšĮ Garliavos PSPC turi teisę atsisakyti pateikti duomenų subjektui jo prašomą informaciją, jeigu duomenų subjekto Prašymas yra nepagrįstas arba neproporcingas. VšĮ Garliavos PSPC, pateikdamas atsisakymą pateikti prašomą informaciją, privalo raštu nurodyti atsisakymo pateikti prašomą informaciją motyvus.
  2. VšĮ Garliavos PSPC duomenų subjekto Prašymą privalo išnagrinėti ir atsakymą duomenų subjektui Prašyme nurodytu būdu pateikti ne vėliau kaip per 30 kalendorinių dienų nuo Prašymo gavimo dienos[2].
  3. Aprašo 14 punkte nurodytas laikotarpis gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į Prašymo sudėtingumą ir nagrinėjamų Prašymų skaičių. VšĮ Garliavos PSPC privalo per 30 kalendorinių dienų nuo Prašymo gavimo dienos informuoti duomenų subjektą apie Prašymo nagrinėjimo termino pratęsimą ir pateikti termino pratęsimo priežastis.
  4. Duomenų subjekto teisės gali būti ribojamos, vadovaujantis kitais teisės aktais, reglamentuojančiais VšĮ Garliavos PSPC veiklą.

 

Teisės žinoti (būti informuotam) apie savo asmens duomenų tvarkymą įgyvendinimas

 

  1. VšĮ Garliavos PSPC Aprašo 6.1 papunktyje numatyta duomenų subjekto teisę įgyvendina, pateikdama duomenų subjektui šią informaciją:
  2.  asmens duomenis tvarko Viešojį įstaiga Garliavos pirminės sveikatos priežiūros centras, juridinio asmens kodas 159945462, Vytauto g. 57a-2, LT-53263, Garliava, Kauno r.

18.1.  asmens duomenys tvarkomi šiuo tikslu – asmens sveikatos priežiūros paslaugų teikimo tikslu bei vidaus administravimo tikslu;

18.2.  asmens duomenys teikiami sveikatos priežiūros įstaigoms, bet kokioms valstybinėms, priežiūros institucijoms, kitoms kontroliuojančioms institucijoms, etikos komitetams, teisėsaugos institucijoms, teismams, kitoms įstaigoms, kurios teisės aktų nustatyta tvarka turi teisę gauti duomenis. Asmens duomenys šiame Taisyklių papunktyje numatytiems asmens duomenų gavėjams teikiami tik esant vienam iš ADTAĮ 5 straipsnyje numatytų asmens duomenų teisėto tvarkymo kriterijų;

18.3.  apie asmens duomenų tvarkymą skelbiama įstaigos interneto svetainėje;

18.4.  pateikiant informaciją VšĮ Garliavos PSPC esančiuose informaciniuose stenduose;

18.5.  bendravimo su duomenų subjektu tokiu būdu, kokiu duomenų subjektas kreipiasi į VšĮ Garliavos PSPC.

  1. VšĮ Garliavos PSPC turi teisę atsisakyti įgyvendinti Aprašo 6.1 papunktyje numatytą duomenų subjekto teisę arba pateikti ne visą duomenų subjekto prašomą informaciją, jeigu:

19.1.  duomenų subjektas jau turi šią informaciją;

19.2.  duomenų subjekto prašomos informacijos pateikimas neįmanomas arba tam reikėtų neproporcingų pastangų;

19.3.  asmens duomenų gavimas ar atskleidimas aiškiai nustatytas Europos Sąjungos teisės aktuose arba Lietuvos Respublikos teisės aktuose, kuriuose nustatytos tinkamos teisėtų duomenų subjektų interesų apsaugos priemonės;

19.4.  asmens duomenys privalo išlikti konfidencialūs, laikantis Europos Sąjungos teisės aktuose arba Lietuvos Respublikos teisės aktuose reglamentuojamos profesinės paslapties prievolės.

 

 Teisės susipažinti su savo asmens duomenimis įgyvendinimas

 

  1. Duomenų subjektas, įgyvendindamas teisę susipažinti su VšĮ Garliavos PSPC tvarkomais savo asmens duomenimis, bei pateikęs VšĮ Garliavos PSPC asmens tapatybę patvirtinantį dokumentą (dokumentą teisės aktų nustatyta tvarka galima pateikti elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį), tuo patvirtindamas savo asmens tapatybę, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti bent per paskutinius vienerius metus. Neatlygintinai tokius duomenis duomenų valdytojas teikia duomenų subjektui 1 kartą per kalendorinius metus.
  2. Gavus Duomenų subjekto paklausimą dėl jo asmens duomenų tvarkymo ir patikrinus Duomenų subjekto tapatybę, Duomenų subjektui suteikiama informacija, ar su juo susiję asmens duomenys yra tvarkomi, ir pateikiami Duomenų subjektui prašomi duomenys.
  3. įgyvendinant Duomenų subjekto teisę susipažinti su savo tvarkomais asmens duomenimis, užtikrinama trečiųjų asmenų teisė į privatų gyvenimą, t. y. Duomenų subjektui susipažįstant su savo asmens duomenimis, jeigu dokumentuose matomi kitų asmenų duomenys, kurių tapatybė gali būti nustatyta, ar kita informacija, kuri gali pažeisti trečiųjų asmenų privatumą, šie įrašai turi būti retušuoti ar kitais būtais panaikinama galimybė identifikuoti trečiuosius asmenis.
  4. Atsakyme duomenų subjektui, be Aprašo 19 punkte nurodytos informacijos, privalo pateikti informaciją apie duomenų subjekto teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai, taip pat duomenų subjekto teisę prašyti ištaisyti arba ištrinti asmens duomenis, apriboti savo asmens duomenų tvarkymą arba nesutikti su asmens duomenų tvarkymu (kai šios teisės yra taikomos).
  5. Jeigu, renkant informaciją, reikalingą atsakymui parengti, nustatoma, kad:

24.1. VšĮ Garliavos PSPC tvarko didelį informacijos, susijusios su duomenų subjektu, kiekį ir nėra galimybės visos informacijos duomenų subjektui pateikti, VšĮ Garliavos PSPC turi teisę paprašyti duomenų subjekto sukonkretinti pateiktą Prašymą;

24.2.     jeigu pareiškėjas prašo pateikti didelės apimties ar specialiai adaptuotų, apdorotų ar kitaip perdirbtų dokumentų, duomenys teikiami VšĮ Garliavos PSPC direktoriaus nustatyta tvarka;

24.3.     tam tikra informacija apie duomenų subjektą yra susijusi ir su kitais asmenimis, duomenų subjektui informacijos turi būti pateikiama tiek, kad nebūtų pažeistos kitų asmenų teisės.

 

 Teisės reikalauti ištaisyti, sunaikinti arba sustabdyti, išskyrus saugojimą, asmens duomenis įgyvendinimas

 

  1. Jeigu duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra neteisingi, netikslūs ar neišsamūs, duomenų subjektas turi teisę kreiptis su Prašymu, kad VšĮ Garliavos PSPC ištaisytų arba papildytų tvarkomus netikslius asmens duomenis.
  2. VšĮ Garliavos PSPC, gavęs Aprašo 24 punkte nurodytą duomenų subjekto Prašymą, privalo nedelsdamas, bet ne vėliau kaip per 10 darbo dienų nuo Prašymo gavimo dienos, atlikti duomenų subjekto tvarkomų asmens duomenų analizę, siekdama nustatyti, ar duomenų subjekto pateiktas Prašymas yra pagrįstas.
  3. Jeigu yra nustatoma, kad duomenų subjekto pateiktas Prašymas yra pagrįstas, VšĮ Garliavos PSPC privalo:

27.1.     nedelsdamas, bet ne vėliau kaip per 5 darbo dienas, ištaisyti neišsamius ar netikslius asmens duomenis;

27.2.     jeigu nėra galimybių nedelsiant ištaisyti neišsamius ar netikslius asmens duomenis, sustabdyti duomenų subjekto asmens duomenų tvarkymo veiksmus ir šiuos asmens duomenis saugoti tol, kol jie bus ištaisyti;

27.3.     ne vėliau kaip per 5 darbo dienas nuo neišsamių ar netikslių asmens duomenų ištaisymo informuoti:

27.3.1.  duomenų subjektą apie ištaisytus neišsamius ar netikslius asmens duomenis;

27.3.2.  duomenų gavėjus apie duomenų subjekto Prašymu ištaisytus neišsamius ar netikslius asmens duomenis, jeigu duomenų subjekto asmens duomenys buvo teikiami duomenų gavėjams. Informuoti duomenų gavėjų nereikia, kai pateikti tokią informaciją neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, asmens duomenų saugojimo laikotarpio, nepagrįstai didelių sąnaudų).

  1. Jeigu Duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra tvarkomi neteisėtai, nesąžiningai, ir pats ar jo įgaliotas atstovas raštu kreipiasi į duomenų valdytoją, duomenų valdytojas nedelsdamas, ne vėliau kaip per 5 darbo dienas, neatlygintinai patikrina Duomenų subjekto asmens duomenų tvarkymo teisėtumą, sąžiningumą ir nedelsdamas sunaikina neteisėtai ir nesąžiningai sukauptus asmens duomenis ar sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.
  2. Duomenų valdytojas Duomenų subjekto ar jo įgalioto atstovo prašymu sustabdęs Duomenų subjekto asmens duomenų tvarkymo veiksmus, asmens duomenis, kurių tvarkymo veiksmai sustabdyti, saugo tol, kol jie bus ištaisyti ar sunaikinti (Duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui). Kiti tvarkymo veiksmai su tokiais asmens duomenimis gali būti atliekami tik:

29.1.  turint tikslą įrodyti aplinkybes, dėl kurių duomenų tvarkymo veiksmai buvo sustabdyti;

29.2.  jei Duomenų subjektas tiesiogiai ar per įgaliotą atstovą duoda sutikimą toliau tvarkyti savo asmens duomenis;

29.3.  jei reikia apsaugoti trečiųjų asmenų teises ar teisėtus interesus.

 

 Teisės reikalauti ištrinti asmens duomenis (teisės būti pamirštam) įgyvendinimas

 

  1. Duomenų subjektas turi teisę kreiptis su Prašymu ištrinti su juo susijusius asmens duomenis, jeigu yra vienas iš šių pagrindų:

30.1.     asmens duomenys nebėra reikalingi tikslams, kurie buvo nustatyti, prieš renkant asmens duomenis;

30.2.     atšauktas duomenų subjekto sutikimas, kuriuo vadovaujantis buvo grindžiamas duomenų subjekto asmens duomenų tvarkymas, ir nėra jokio kito teisinio pagrindo tvarkyti duomenų subjekto asmens duomenis;

30.3.     asmens duomenų subjektas nesutinka su savo asmens duomenų tvarkymu pagal Reglamento 21 straipsnio 1 dalį (Aprašo skirsnis „Teisės nesutikti su savo asmens duomenų tvarkymu įgyvendinimas“) ir nėra viršesnių teisėtų priežasčių tvarkyti asmens duomenis;

30.4.     asmens duomenys buvo tvarkomi neteisėtai;

30.5.     asmens duomenys turi būti ištrinti, laikantis Europos Sąjungos teisės aktuose arba Lietuvos Respublikos teisės aktuose nustatytos teisinės prievolės.

  1. Duomenų subjekto Prašyme turi būti išsamiai argumentuota, dėl kokių priežasčių yra prašoma ištrinti jo asmens duomenis (Prašyme turi būti nurodytas vienas iš Aprašo 6 punkte nurodytų pagrindų).
  2. Teisė reikalauti ištrinti asmens duomenis („teisė būti pamirštam“) VšĮ Garliavos PSPC neįgyvendinama, kai asmens duomenų tvarkymas yra grindžiamas:

32.1.  Europos Sąjungos ir Lietuvos Respublikos teisės aktuose nustatytų reikalavimų vykdymu;

32.2.  archyvavimo tikslais viešojo intereso labui;

32.3.  siekiant pareikšti, vykdyti arba apginti teisinius interesus.

  1. VšĮ Garliavos PSPC, gavusi Aprašo 24 punkte nurodytą duomenų subjekto Prašymą, privalo nedelsdama, bet ne vėliau kaip per 10 darbo dienų nuo Prašymo gavimo dienos, atlikti Prašymo įvertinimą, siekdama nustatyti, ar duomenų subjekto pateiktas Prašymas yra pagrįstas.
  2. Jeigu yra nustatoma, kad duomenų subjekto pateiktas Prašymas yra pagrįstas, VšĮ Garliavos PSPC privalo:

34.1. nedelsdamas, bet ne vėliau kaip per 5 darbo dienas, ištrinti su duomenų subjektu susijusius asmens duomenis;

34.2.  jeigu nėra galimybių nedelsiant ištrinti duomenų subjekto asmens duomenų, sustabdyti duomenų subjekto asmens duomenų tvarkymo veiksmus;

34.3. ne vėliau kaip per 5 darbo dienas nuo asmens duomenų ištrynimo informuoti:

34.3.1.  duomenų subjektą apie ištrintus asmens duomenis;

34.3.2.  duomenų gavėjus apie duomenų subjekto prašymu ištrintus asmens duomenis, jeigu duomenų subjekto asmens duomenys buvo teikiami duomenų gavėjams. Informuoti duomenų gavėjų nereikia, kai pateikti tokią informaciją neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, asmens duomenų saugojimo laikotarpio, nepagrįstai didelių sąnaudų).

 

 Teisės apriboti savo asmens duomenų tvarkymą įgyvendinimas

 

  1. Duomenų subjektas turi teisę kreiptis į VšĮ Garliavos PSPC su Prašymu apriboti savo asmens duomenų tvarkymą, jeigu yra vienas iš šių pagrindų:

35.1. duomenų subjektas užginčija VšĮ Garliavos PSPC tvarkomų jo asmens duomenų tikslumą. Tokiu atveju duomenų subjekto asmens duomenų tvarkymas gali būti apribotas tokiam laikotarpiui, per kurį duomenų valdytojas patikrina asmens duomenų tikslumą;

35.2. yra nustatyta, kad duomenų subjekto asmens duomenų tvarkymas buvo neteisėtas ir duomenų subjektas nesutinka, kad asmens duomenys būtų ištrinti, ir vietoje to prašo apriboti jų tvarkymą;

35.3. jeigu yra pasiektas asmens duomenų tvarkymo tikslas ir VšĮ Garliavos PSPC, kaip duomenų valdytojui, nebereikia šiam tikslui pasiekti surinktų duomenų subjekto asmens duomenų, tačiau jų reikia duomenų subjektui, siekiančiam pareikšti, vykdyti ar apginti teisinius reikalavimus;

35.4. duomenų subjektas pateikė Prašymą VšĮ Garliavos PSPC, kuriame išreiškė nesutikimą, kad VšĮ Garliavos PSPC tvarkytų jo asmens duomenis. Tokiu atveju duomenų subjekto asmens duomenų tvarkymas gali būti apribotas tokiam laikotarpiui, per kurį duomenų valdytojas patikrina, ar šis duomenų subjekto Prašymas pagrįstas;

35.5. duomenų subjektas pateikia Prašymą ištrinti jo VšĮ Garliavos PSPC tvarkomus asmens duomenis ir nustatoma, kad Prašymas yra pagrįstas, tačiau nėra techninių galimybių duomenų subjekto asmens duomenis ištrinti nedelsiant. Tokiu atveju duomenų subjekto asmens duomenų tvarkymas gali būti apribotas iki tol, kol duomenų subjekto asmens duomenys bus ištrinti.

  1. VšĮ Garliavos PSPC, gavęs Aprašo 24 punkte nurodytą duomenų subjekto Prašymą, privalo nedelsdamas, bet ne vėliau kaip per 10 darbo dienų nuo Prašymo gavimo dienos, atlikti Prašymo įvertinimą, siekdama nustatyti, ar duomenų subjekto pateiktas Prašymas yra pagrįstas.
  2. Jeigu yra nustatoma, kad duomenų subjekto pateiktas Prašymas yra pagrįstas, VšĮ Garliavos PSPC privalo:

37.1.     apriboti duomenų subjekto asmens duomenų tvarkymą;

37.2.     nedelsdamas, bet ne vėliau kaip per 5 darbo dienas nuo sprendimo dėl asmens duomenų tvarkymo apribojimo priėmimo, informuoti duomenų subjektą apie jo asmens duomenų tvarkymo apribojimą. Jeigu yra galimybė, nurodyti preliminarų laikotarpį, kurio metu bus apribotas duomenų subjekto asmens duomenų tvarkymas;

37.3.     ne vėliau kaip per 5 darbo dienas nuo sprendimo dėl asmens duomenų tvarkymo apribojimo priėmimo informuoti duomenų gavėjus apie priimtą sprendimą, jeigu duomenų subjekto asmens duomenys buvo teikiami duomenų gavėjams. Informuoti duomenų gavėjų nereikia, kai pateikti tokią informaciją neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, asmens duomenų saugojimo laikotarpio, nepagrįstai didelių sąnaudų).

  1. Kai yra priimamas sprendimas panaikinti apribojimą tvarkyti duomenų subjekto asmens duomenis, VšĮ Garliavos PSPC, prieš panaikindamas apribojimą, privalo raštu informuoti duomenų subjektą.

 

 Teisės nesutikti su savo asmens duomenų tvarkymu įgyvendinimas

 

  1. Jeigu VšĮ Garliavos PSPC duomenų subjekto asmens duomenis tvarko, siekdama įgyvendinti teisėtus VšĮ Garliavos PSPC interesus, duomenų subjektas turi teisę kreiptis į VšĮ Garliavos PSPC dėl nesutikimo, kad VšĮ Garliavos PSPC tvarkytų jo asmens duomenis.
  2. VšĮ Garliavos PSPC, gavusi Aprašo 24 punkte nurodytą duomenų subjekto Prašymą, privalo nedelsdama, bet ne vėliau kaip per 10 darbo dienų nuo Prašymo gavimo dienos, atlikti Prašymo įvertinimą, siekdama nustatyti, ar duomenų subjekto pateiktas Prašymas yra pagrįstas.
  3. Jeigu yra nustatoma, kad duomenų subjekto pateiktas Prašymas yra pagrįstas, VšĮ Garliavos PSPC privalo ne vėliau kaip per 10 darbo dienų informuoti duomenų subjektą, kad jo Prašymas bus įvykdytas.
  4. Jeigu yra nustatoma, kad duomenų subjekto Prašymas yra nepagrįstas, VšĮ Garliavos PSPC privalo atsakyme argumentuotai įrodyti, kad duomenų subjekto asmens duomenys yra tvarkomi dėl pagrįstų ir teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus.

 

Teisės į asmens duomenų perkeliamumą įgyvendinimas

 

  1. Duomenų subjektas turi teisę kreiptis į VšĮ Garliavos PSPC su Prašymu gauti su juo susijusius asmens duomenis bei turi teisę prašyti persiųsti VšĮ Garliavos PSPC tvarkomus duomenų subjekto asmens duomenis kitam duomenų valdytojui, jeigu yra šios sąlygos:

43.1. duomenų subjekto asmens duomenų tvarkymas yra grindžiamas:

43.1.1.  duomenų subjekto sutikimu arba

43.1.2.  vykdoma sutartimi tarp VšĮ Garliavos PSPC ir duomenų subjekto.

43.2.  asmens duomenys yra tvarkomi automatizuotomis priemonėmis;

43.3.  duomenų subjektas asmens duomenis, kuriuos ketina persiųsti kitam duomenų valdytojui, pateikė VšĮ Garliavos PSPC pats arba per atstovą;

43.4.  duomenų subjekto pateikti asmens duomenys yra susisteminti bei pateikti įprastai naudojamu ir kompiuteriu skaitomu formatu.

  1. Tam, kad būtų įgyvendintas Aprašo 24 punkte nurodytas duomenų subjekto Prašymas, turi būti įgyvendintos visos Aprašo 42.1–42.4 papunkčiuose nurodytos sąlygos.
  2. VšĮ Garliavos PSPC, gavusi Aprašo 24 punkte nurodytą duomenų subjekto Prašymą, privalo nedelsdama, bet ne vėliau kaip per 10 darbo dienų nuo Prašymo gavimo dienos, atlikti Prašymo įvertinimą, siekdama nustatyti, ar duomenų subjekto pateiktas Prašymas yra pagrįstas.
  3. Informacija gali būti pateikiama:

46.1. duomenų subjektui;

46.2.     kitam duomenų valdytojui, jeigu:

46.2.1.  duomenų subjektas Prašyme nurodo, kad VšĮ Garliavos PSPC asmens duomenis turėtų persiųsti kitam duomenų valdytojui;

46.2.2.  yra techninės galimybės pateikti asmens duomenis tiesiogiai kitam duomenų valdytojui.

  1. Jeigu duomenų subjekto Prašymas dėl asmens duomenų perkeliamumo įgyvendinamas, duomenų subjekto asmens duomenis perkeliant kitam duomenų valdytojui, VšĮ Garliavos PSPC nevertina, ar duomenų valdytojas, kuriam bus perkelti duomenų subjekto asmens duomenys, turi teisinį pagrindą gauti duomenų subjekto asmens duomenis ir ar šis duomenų valdytojas užtikrins tinkamas asmens duomenų saugumo priemones. VšĮ Garliavos PSPC neprisiima atsakomybės už perkeltų asmens duomenų tolimesnį tvarkymą, kurį atliks kitas duomenų valdytojas.

 

III SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

  1. Duomenų subjektų teisės VšĮ Garliavos PSPC įgyvendinamos neatlygintinai, išskyrus teisės aktuose nustatytus atvejus.
  2. Duomenų subjektai skundus dėl šio tvarkos aprašo nuostatų nevykdymo ar netinkamo vykdymo gali pateikti VšĮ Garliavos PSPC nustatyta tvarka.