Interneto svetainės privatumo taisyklės

BENDROSIOS NUOSTATOS

1. Apskričių viešųjų bibliotekų asociacijos (toliau AVBA) projektas „Vasara su knyga“ (toliau – Vasara su knyga) asmens duomenų tvarkymo taisyklės (toliau − Taisyklės) nustato fizinių asmenų (toliau − duomenų subjektas) asmens duomenų tvarkymo principus ir atitikties užtikrinimo priemones, asmens duomenų tvarkymo atskirais tikslais tvarką ir sąlygas, asmens duomenų tvarkyme dalyvaujančių subjektų ir duomenų apsaugos pareigūno pareigas, duomenų subjekto teisių įgyvendinimo tvarką, asmens duomenų saugumo priemones, pranešimo apie asmens duomenų saugumo pažeidimą.

2. Asmens duomenys Vasara su knyga tvarkomi vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendruoju duomenų apsaugos reglamentu) (toliau − Reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais asmens duomenų apsaugą reglamentuojančiais teisės aktais.

3. Taisyklių privalo laikytis visi Vasara su knyga dirbantys bei deleguoti į komandą, kurie tvarko asmens duomenis (toliau – Komanda), ir sutartiniais pagrindais ar teisės aktų nustatyta tvarka Vasara su knyga paslaugas teikiantys fiziniai ir (ar) juridiniai asmenys (saugos, informacinių sistemų priežiūros paslaugų teikėjai ir pan.), kurie atlieka asmens duomenų tvarkymo veiksmus (toliau – Komandos įgalioti duomenų tvarkytojai).

4. Taisyklėse vartojamos sąvokos atitinka Reglamente, Asmens duomenų teisinės apsaugos įstatyme vartojamas sąvokas.

ASMENS DUOMENŲ TVARKYMO PRINCIPAI IR ATITIKTIES UŽTIKRINIMO PRIEMONĖS

5. Vasara su knyga komandos įgalioti duomenų tvarkytojai bei jų darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo užtikrinti, kad būtų laikomasi šių pagrindinių principų:

5.1. teisėtumo, sąžiningumo ir skaidrumo – asmens duomenys tvarkomi tik tuo atveju, jei apie tai informuotas duomenų subjektas ir tam yra teisinis pagrindas;

5.2. tikslo apribojimo – asmens duomenys renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir netvarkomi su šiais tikslais nesuderinamu būdu;

5.3. duomenų kiekio mažinimo – tvarkomi asmens duomenys yra adekvatūs, tinkami ir tik tokios apimties, kuri būtina siekiant tikslų, dėl kurių jie tvarkomi;

5.4. tikslumo – asmens duomenys turi būti tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs asmens duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas;

5.5. saugojimo trukmės apribojimo – asmens duomenys saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tais tikslais, kuriais asmens duomenys buvo surinkti ir tvarkomi;

5.6. konfidencialumo – asmens duomenys tvarkomi tokiu būdu, kad taikant atitinkamas technines ir organizacines priemones būtų užtikrintas jų saugumas, įskaitant apsaugą nuo asmens duomenų tvarkymo be leidimo arba neteisėto asmens duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;

5.7. atskaitomybės – Vasara su knyga komandos atsako už tai, kad būtų laikomasi Taisyklių 5.1–5.6 papunkčiuose nurodytų principų, ir turi visas reikiamas priemones įrodyti, kad jų laikomasi.

6. Atitiktį Reglamentui Vasara su knyga komandos išreiškia laikydamasi šių Taisyklių, taikydama organizacines ir technines asmens duomenų saugumo priemones, atlikdama poveikio asmens duomenų apsaugai vertinimo procedūrą, įgyvendindama asmens duomenų saugumo pažeidimų nustatymo procedūrą bei dokumentuodama jos eigą, užtikrindama pritaikytąją ir standartizuotąją asmens duomenų apsaugą.

ASMENS DUOMENŲ TVARKYMO ATSKIRAIS TIKSLAIS TVARKA IR SĄLYGOS

7. Asmens duomenys Vasara su knyga komandos renkami teisės aktų nustatyta tvarka juos gaunant tiesiogiai iš duomenų subjekto, oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų ar sutarčių bei teisės aktų pagrindu prisijungiant prie atskirus duomenis kaupiančių duomenų bazių, registrų ir informacinių sistemų.

8. Teisės aktų nustatytais atvejais ir tvarka Vasara su knyga komandos tvarkomi asmens duomenys teikiami Valstybinei mokesčių inspekcijai prie Finansų ministerijos, Valstybinei ligonių kasai prie Sveikatos apsaugos ministerijos, Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos, Viešųjų pirkimų tarnybai ir kitiems tretiesiems asmenims pagal prašymą (vienkartinio asmens duomenų rinkimo atveju) arba pagal asmens duomenų teikimo sutartį (daugkartinio asmens duomenų rinkimo atveju).

9. Vasara su knyga komandos laikydamasi Reglamento nuostatų, surinktus asmens duomenis gali tvarkyti archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų ir statistiniais tikslais.

10. Vasara su knyga komandos tvarko asmens duomenis ne ilgiau, negu to reikalauja jų tvarkymo tikslai:

10.1. dokumentai, kuriuose yra asmens duomenų, nurodyti Bendrųjų dokumentų saugojimo terminų rodyklėje, patvirtintoje Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“ ir Bibliotekos dokumentacijos plane, saugomi Lietuvos vyriausiojo archyvaro nustatyta tvarka ir terminais;

10.2. dokumentai, kuriuose yra asmens duomenų, ar duomenys, kaupiami informacinėse sistemose, programose ir kt., yra saugomi 3 mėnesius nuo dienos, kai yra atlikti visi veiksmai, kuriems atlikti buvo naudojami asmens duomenys, išskyrus atvejus, kai šie dokumentai reikalingi teisminiams ginčams spręsti arba ilgesnė asmens duomenų saugojimo trukmė nustatyta kituose teisės aktuose;

ASMENS Duomenų tvarkyme dalyvaujančių subjektų pareigos

12. Duomenų valdytoja ir tvarkytoja yra Vasara su knyga komanda, kuri užtikrina, kad asmens duomenys būtų tvarkomi laikantis Reglamente, Asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose nustatytų asmens duomenų tvarkymo reikalavimų. Šiose Taisyklėse nurodytus asmens duomenis teisės aktais nustatytais atvejais ir tvarka gali tvarkyti ir kiti subjektai.

13. Vasara su knyga komandos, kaip duomenų valdytojos, pareigos:

13.1. nustatyti asmens duomenų tvarkymo tikslus ir priemones;

13.2. užtikrinti, kad asmens duomenys būtų tvarkomi laikantis Asmens duomenų teisinės apsaugos įstatymo 3 straipsnyje nustatytų asmens duomenų tvarkymo reikalavimų;

13.3. rengti ir priimti vidinius asmens duomenų apsaugos ir tvarkymo reikalavimus reglamentuojančius teisės aktus;

13.4. kontroliuoti, kaip Vasara su knyga komandos įgalioti duomenų tvarkytojai vykdo Taisyklių 14 punkte nustatytas pareigas;

13.5. įgyvendinti tinkamas technines ir organizacines priemones asmens duomenų apsaugai užtikrinti;

13.6. organizuoti Vasara su knyga komandos mokymus asmens duomenų teisinės apsaugos srityje;

13.7. ne rečiau kaip kartą per dvejus metus peržiūrėti Taisyklėse nustatytus reikalavimus ir, jei reikia, inicijuoti Taisyklių pakeitimus;

13.8. užtikrinti duomenų subjekto teisių įgyvendinimą ir vykdyti kitas teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytas asmens duomenų valdytojo pareigas.

14. Vasara su knyga komandos, kaip duomenų tvarkytojos, įgaliotų duomenų tvarkytojų pareigos:

14.1. užtikrinti, kad asmens duomenis tvarkytų tik tie asmenys, kuriems tai būtina savo užduočių funkcijoms atlikti, ir tik tokios apimties, kuri būtina numatytiems tikslams pasiekti;

14.2. vykdyti teisėtą asmens duomenų tvarkymą, duomenų subjektų teisių ir reikiamų techninių duomenų apsaugos priemonių įgyvendinimą Vasara su knyga valdomų ir (ar) tvarkomų informacinių sistemų priemonėmis;

14.3. taikyti technines priemones, užtikrinančias asmens duomenų saugojimą tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau nei to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;

15. Prieiga prie asmens duomenų gali būti suteikta tik tiems Komandos nariams, kuriems asmens duomenys reikalingi projekto užduočių funkcijoms atlikti. Jei nariai laikinai eina kito nario pareigas ar atlieka kito nario užduočių funkciją, teisė tvarkyti asmens duomenis suteikiama pareigų arba funkcijos atlikimo laikotarpiui.

16. Komandos narių, tvarkančių asmens duomenis, pareigos:

16.1. laikytis pagrindinių asmens duomenų tvarkymo ir saugumo reikalavimų, įtvirtintų Reglamente, Asmens duomenų teisinės apsaugos įstatyme, šiose Taisyklėse ir kituose teisės aktuose;

16.2. saugoti asmens duomenų paslaptį visą Vasara su knyga projekto laiką ir pasibaigus darbo santykiams, jei šie asmens duomenys neskirti skelbti viešai. Komanda pasirašo šių Taisyklių 2 priede nustatytos formos konfidencialumo pasižadėjimą, kuris saugomas darbo Komandoje laiką ir pasibaigus darbo santykiams;

16.3. taikyti Taisyklėse nustatytas organizacines ir technines asmens duomenų saugumo priemones, saugoti dokumentus, duomenų rinkmenas bei duomenų bazėse, informacinėse sistemose saugomus asmens duomenis ir vengti perteklinių jų kopijų darymo;

16.4. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su asmens duomenimis asmenims, kurie nėra įgalioti tvarkyti asmens duomenų;

16.5. nedelsiant pranešti Vasara su knyga projekto vadovui apie bet kokią įtartiną situaciją, galinčią kelti grėsmę Vasara su knyga tvarkomų asmens duomenų saugumui;

16.6. laikytis kitų šiose Taisyklėse ir asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.

Duomenų Apsaugos pareigūnas

17. Vasara su knyga komandos skiria tais metais Vasara su knyga koordinuojančios bibliotekos komandos atstovą Duomenų apsaugos pareigūnu.

18. Duomenų apsaugos pareigūnas privalo:

18.1. informuoti Vasara su knyga komandos vadovą ir asmens duomenis tvarkančius darbuotojus apie jų prievoles pagal Reglamentą ir kitus teisės aktus, reglamentuojančius asmens duomenų apsaugą, ir konsultuoti dėl konkrečių pareigų vykdymo;

18.2. stebėti, kaip laikomasi Reglamento, kitų teisės aktų, reglamentuojančių asmens duomenų teisinę apsaugą, šių Taisyklių ir kitų dokumentų, susijusių su asmens duomenų apsauga, reikalavimų;

18.3. dalyvauti nagrinėjant klausimus, susijusius su asmens duomenų tvarkymu Vasara su knyga veikloje;

18.4. pranešti Vasara su knyga komandos vadovui apie bet kokius neatitikimus, pažeidimus asmens duomenų apsaugos srityje, kuriuos duomenų apsaugos pareigūnas nustato vykdydamas savo funkcijas;

DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO TVARKA

19. Duomenų subjektas turi šias teises:

19.1. teisę gauti informaciją apie duomenų tvarkymą:

19.1.1. informacija apie Vasara su knyga atliekamą asmens duomenų tvarkymą gali būti pateikiama:

19.1.1.1. interneto svetainėje www.vasarasuknyga.lt  

19.2. teisę susipažinti su duomenimis:

19.2.1. Komanda, gavusi duomenų subjekto prašymą įgyvendinti šią teisę, turi pateikti:

19.2.1.1. informaciją, ar duomenų subjekto asmens duomenys tvarkomi ar ne;

19.2.1.2. informaciją, iš kokių šaltinių ir kokie asmens duomenys yra surinkti, kokiu tikslu jie tvarkomi, kiek laiko saugomi, kokiems duomenų gavėjams teikiami ar buvo teikti;

19.2.1.3. tvarkomų asmens duomenų kopiją;

19.3. teisę reikalauti ištaisyti duomenis:

19.3.1. siekiant įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, Komanda gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus;

19.4. teisę reikalauti ištrinti asmens duomenis („teisė būti pamirštam“):

19.4.1. duomenų subjekto teisė įgyvendinama, jei:

19.4.1.1. asmens duomenys nebereikalingi tikslams, kuriems jie buvo renkami ir tvarkomi;

19.4.1.2. duomenų subjektas atšaukia savo sutikimą, kuriuo grindžiamas jo asmens duomenų tvarkymas, ir nėra kito teisinio pagrindo duomenis tvarkyti;

19.4.1.3. duomenų subjektas nesutinka su asmens duomenų tvarkymu ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis;

19.4.1.4. asmens duomenys buvo tvarkomi neteisėtai;

19.4.2. duomenų subjekto teisė gali būti neįgyvendinta, jei Vasara su knyga įpareigota tvarkyti asmens duomenis pagal teisės aktus siekiant atlikti užduotį, vykdomą viešojo intereso labui, ir jei asmens duomenys tvarkomi mokslinių ar istorinių tyrimų, statistiniais tikslais bei siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;

19.4.3. jeigu duomenų subjekto asmens duomenys (ištrinti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Komanda šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus;

19.5. teisę apriboti duomenų tvarkymą:

19.5.1. asmens duomenų tvarkymo ribojimas gali būti įgyvendinimas šiais būdais: atrinkti duomenys perkeliami į kitą tvarkymo sistemą ir padaromi neprieinamais naudotojams, laikinai išimami iš interneto svetainės, jei jie yra paskelbti. Automatiniuose susistemintuose rinkiniuose asmens duomenų tvarkymo ribojimas užtikrinamas techninėmis priemonėmis taip, kad asmens duomenys nebūtų toliau tvarkomi ir jų nebūtų galima pakeisti;

19.5.2. asmens duomenys, kurių tvarkymas apribotas, yra saugomi, o prieš tokio apribojimo panaikinimą duomenų subjektas yra informuojamas raštiškai;

19.5.3. jeigu duomenų subjekto asmens duomenys (kurių tvarkymas apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Biblioteka šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus;

19.6. teisę nesutikti su duomenų tvarkymu:

19.6.1. įgyvendinama tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių atliekamas asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus;

19.7. teisę į duomenų perkeliamumą:

19.7.3. duomenų subjekto asmens duomenys kitam duomenų valdytojui gali būti persiųsti, jei yra techninės galimybės pateikti asmens duomenis tiesiogiai kitam duomenų valdytojui ir užtikrinamas saugus elektroninių duomenų ir informacijos perdavimas;

19.7.4. jeigu duomenų subjekto prašymas dėl asmens duomenų perkeliamumo patenkinamas, Komanda nevertina, ar duomenų valdytojas, kuriam bus persiųsti duomenų subjekto asmens duomenys, turi teisinį pagrindą gauti duomenų subjekto asmens duomenis ir ar šis duomenų valdytojas užtikrins tinkamas asmens duomenų saugumo priemones. Vasara su knyga komanda neprisiima atsakomybės už persiųstų asmens duomenų tolimesnį tvarkymą, kurį atliks kitas duomenų valdytojas;

19.7.5. pagal duomenų subjekto prašymą perkelti jo duomenys nėra automatiškai ištrinami. Jeigu duomenų subjektas to pageidauja, turi kreiptis į Vasara su knyga, kaip duomenų valdytoją, dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) įgyvendinimo.

20. Duomenų subjektas, siekdamas įgyvendinti šių taisyklių 19 punkte nurodytas teises (išskyrus teisę, nurodytą 19.1 papunktyje), privalo asmeniškai, paštu, per pasiuntinį ar elektroninėmis priemonėmis pateikti rašytinį prašymą, kurio pavyzdinė forma nustatyta šių Taisyklių 3 priede.

21. Rašytinis prašymas teikiamas valstybine kalba, turi būti aiškus ir suprantamas, parašytas įskaitomai, duomenų subjekto pasirašytas. Jame turi būti nurodytas duomenų subjekto vardas, pavardė, gyvenamoji vieta, duomenys ryšiui palaikyti, informacija apie tai, kurią iš šių Taisyklių 19.2–19.7 papunkčiuose nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti, bei informacija, kokiu būdu duomenų subjektas pageidauja gauti atsakymą. Nevalstybine kalba pateikti duomenų subjektų prašymai gali būti priimami ir nagrinėjami tik išimtiniais atvejais Vasara su knyga Komandos sprendimu.

22. Duomenų subjektas, pateikdamas prašymą, privalo patvirtinti savo tapatybę:

22.1. jei prašymas pateikiamas tiesiogiai Vasara su knyga Komandos nariui, pateikti asmens tapatybę patvirtinantį dokumentą;

22.2. jei prašymas pateikiamas paštu arba per pasiuntinį, kartu su prašymu pateikti notaro patvirtintą asmens tapatybę patvirtinančio dokumento kopiją;

22.3. jei prašymas pateikiamas elektroninėmis priemonėmis, prašymą pasirašyti kvalifikuotu elektroniniu parašu arba suformuoti elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą.

23. Duomenų subjektas šių taisyklių 26 punkte nurodytas savo teises gali įgyvendinti pats arba per notariškai įgaliotą atstovą. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiasi duomenų subjekto atstovas, jis prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, duomenis ryšiui palaikyti, taip pat atstovaujamo asmens vardą, pavardę, gyvenamąją vietą, informaciją apie tai, kokią iš šių Taisyklių 19.2–19.7 papunkčiuose nurodytų teisių ir kokia apimtimi pageidaujama įgyvendinti, bei informaciją, kokiu būdu pageidauja gauti atsakymą, ir pridėti atstovavimą patvirtinantį dokumentą ar teisės aktų nustatyta tvarka patvirtintą jo kopiją.

24. Duomenų subjekto prašymas, pateiktas nesilaikant Taisyklių 21–22 punktuose nustatytų reikalavimų, nenagrinėjamas. Duomenų subjektas apie tai informuojamas nurodant priežastis ne vėliau kaip per 5 darbo dienas nuo prašymo gavimo.

25. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis į Vasara su knyga pagrindinį koordinatorių.

26. Ne vėliau kaip per vieną mėnesį nuo duomenų subjekto prašymo gavimo duomenų subjektui pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Šis vieno mėnesio terminas gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į gautų prašymų sudėtingumą ir jų skaičių. Tokiu atveju per vieną mėnesį nuo prašymo gavimo dienos duomenų subjektas informuojamas apie tokį pratęsimą, nurodant vėlavimo priežastis.

27. Jeigu prašymo nagrinėjimo metu nustatoma, kad duomenų subjekto teisės yra apribotos Reglamento 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.

28. Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai, išskyrus atvejus, kai gaunami akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, duomenų subjekto prašymai.

29. Jei duomenų subjekto teisių įgyvendinimo nereglamentuoja Taisyklės ir Taisyklių 2 punkte nurodyti teisės aktai, taikomos Prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklės, patvirtintos Lietuvos Respublikos Vyriausybės 2007 m. rugpjūčio 22 d. nutarimu Nr. 875 „Dėl prašymų ir skundų nagrinėjimo ir asmenų aptarnavimo viešojo administravimo subjektuose taisyklių patvirtinimo“.

30. Vasara su knyga veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai (el. paštas ada@ada.lt, interneto svetainė www.ada.lt), taip pat teismui.

ASMENS DUOMENŲ SAUGUMO PRIEMONĖS

31. Automatiniu būdu surinkti duomenys sunaikinami ištrinant nebereikalingas asmens duomenų bylas iš saugojimo laikmenos taip, kad jų nebūtų galima atgaminti.

32. Vasara su knyga Komandos nariai, kurių kompiuteriuose saugomi asmens duomenys, arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis ar informacines sistemas, kuriose yra saugomi asmens duomenys, savo kompiuteriuose privalo naudoti slaptažodžius. Slaptažodžiai turi būti keičiami periodiškai, ne rečiau kaip kartą per 2 mėnesius, taip pat susidarius tam tikroms aplinkybėms (pavyzdžiui, pasikeitus darbuotojui, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims ir pan.). Šiuose kompiuteriuose rekomenduojama naudoti ekrano užsklandą su slaptažodžiu.

33. Vasara su knyga Komandos nariai, atsakingi už asmens duomenų tvarkymą, organizuodami savo darbą privalo užtikrinti, kad nebūtų sudaryta jokių sąlygų kitiems darbuotojams ar tretiesiems asmenims sužinoti duomenų subjektų asmens duomenis. Pavyzdžiui, nepalikti be priežiūros dokumentų su tvarkomais asmens duomenimis ar kompiuterio, kuriuo naudojantis būtų galima atidaryti rinkmenas su asmens duomenimis, ir laikyti juos taip, kad juose esančios informacijos negalėtų perskaityti darbuotojai, neturintys teisės dirbti su asmens duomenimis, ar atsitiktiniai asmenys; dokumentus, perduodamus kitiems darbuotojams, padaliniams, įstaigoms per paštą, kurjerį ar kitus asmenis, pateikti užklijuotame nepermatome voke ir pan.

34. Vasara su knyga informacinėse sistemose tvarkomų vartotojų asmens duomenų saugumas užtikrinamas vadovaujantis bibliotekų informacinių sistemų nuostatų reikalavimais ir saugos politikos įgyvendinamaisiais dokumentais: saugos nuostatais, saugaus elektroninės informacijos tvarkymo taisyklėmis, informacinės sistemos veiklos tęstinumo valdymo planu, informacinės sistemos naudotojų administravimo taisyklėmis.

35. Vasara su knyga gali taikyti ir kitas asmens duomenų apsaugos organizacines ir technines priemones.

PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ TVARKA

36. Vasara su knyga komandos nariai įgalioti duomenų tvarkytojai, pastebėję asmens duomenų saugumo pažeidimą, ne vėliau kaip per 2 darbo valandas nuo pažeidimo pastebėjimo informuoja Vasara su knyga projekto vadovą ar jo įgaliotą atsakingą asmenį.

37. Vasara su knyga projekto vadovas ar jo įgaliotas atsakingas asmuo, sužinojęs apie galimą asmens duomenų saugumo pažeidimą, organizuoja pažeidimo tyrimą, kurio metu nustatomas pažeidimo pobūdis, tipas (asmens duomenų konfidencialumo, vientisumo ir (ar) prieinamumo pažeidimas), aplinkybės, apytikslis duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius, asmens duomenų, kurių saugumas pažeistas, kategorijos (asmens tapatybę patvirtinantys asmens duomenys, prisijungimo duomenys ir kt.) ir apimtis, tikėtinos asmens duomenų saugumo pažeidimo pasekmės, pavojus fizinių asmenų teisėms ir laisvėms, priemonės pažeidimui pašalinti ir (ar) neigiamoms pažeidimo pasekmėms sumažinti.

38. Vasara su knyga projekto vadovas ar jo įgaliotas atsakingas asmuo užtikrina, kad ne vėliau kaip per 72 valandas nuo pranešimo apie asmens duomenų saugumo pažeidimą būtų pranešta Valstybinei duomenų apsaugos inspekcijai, nebent asmens duomenų saugumo pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms. Jeigu Valstybinei duomenų apsaugos inspekcijai nepranešama per 72 valandas, pranešime nurodomos vėlavimo priežastys. Pranešimas apie asmens duomenų saugumo pažeidimą teikiamas Valstybinės duomenų apsaugos inspekcijos nustatyta tvarka.

39. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, Vasara su knyga projekto vadovas ar jo įgaliotas atsakingas asmuo užtikrina, kad apie asmens duomenų saugumo pažeidimą nedelsiant būtų pranešta duomenų subjektui: duomenų subjektui aiškia ir paprasta kalba aprašomas duomenų saugumo pažeidimo pobūdis, nurodomas duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas, pavardė, telefono numeris, elektroninio pašto adresas, aprašomos tikėtinos asmens duomenų saugumo pažeidimo pasekmės ir priemonės, kurių buvo imtasi arba pasiūlyta imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas, taip pat priemonės galimoms neigiamoms jo pasekmėms sumažinti bei pagal galimybes atitinkamam fiziniam asmeniui skirtos rekomendacijos, kaip sumažinti galimą neigiamą poveikį (pavyzdžiui, pasikeisti prisijungimo slaptažodžius neteisėtos prieigos prie asmens duomenų atveju ir kt.).

40. Esant pažeidimui, pranešimo duomenų subjektams teikti nereikia, jeigu:

40.1. Vasara su knyga komanda įgyvendino tinkamas technines ir organizacines apsaugos priemones ir jos taikytos asmens duomenims, kuriems pažeidimas turėjo poveikio;

40.2. iš karto po asmens duomenų saugumo pažeidimo Vasara su knyga komanda ėmėsi priemonių, kuriomis užtikrino, kad nebegalėtų kilti didelis pavojus duomenų subjektų teisėms ir laisvėms;

40.3. reikalingos neproporcingai didelės pastangos susisiekti su asmenimis (pvz., dėl pažeidimo prarasti jų kontaktiniai duomenys arba jie nežinomi). Tokiu atveju apie asmens duomenų saugumo pažeidimą paskelbiama viešai arba taikomos kitos informavimo priemonės.

41. Vasara su knyga projekto vadovas ar jo įgaliotas atsakingas asmuo užtikrina, kad būtų fiksuojami visi asmens duomenų saugumo pažeidimų atvejai ir kaupiama informacija apie tokių pažeidimų priežastis, jų poveikį ir pasekmes, priemones, kurių buvo imtasi, sprendimų dėl pranešimo (nepranešimo) Valstybinei duomenų apsaugos inspekcijai ir (ar) duomenų subjektui motyvus, vėlavimo pateikti pranešimą priežastis bei kitokio pobūdžio informaciją, kuri leistų patikrinti, kaip buvo laikomasi šio Taisyklių skyriaus nuostatų.

BAIGIAMOSIOS NUOSTATOS

42. Patvirtinus ar pakeitus Taisykles, Vasara su knyga Komanda su jomis supažindinami pasirašytinai. Priėmus į komandą naują narį, jis su Taisyklėmis privalo būti supažindintas pirmąją dieną. Už nario supažindinimą atsakingas Vasara su knyga koordinuojančios bibliotekos atstovas.

43. Narys, pažeidęs Reglamente, Asmens duomenų teisinės apsaugos įstatyme, šiose Taisyklėse ir kituose teisės aktuose nustatytus asmens duomenų tvarkymo ir apsaugos reikalavimus, taikoma teisės aktuose nustatyta atsakomybė.

44. Taisyklėse įtvirtintos nuostatos gali būti papildomos ir išsamiau reglamentuojamos kituose Vasara su knyga veiklą reglamentuojančiuose vidaus dokumentuose. Visais atvejais turi būti vadovaujamasi Taisyklėmis.

45. Taisyklės skelbiamos Vasara su knyga interneto ir svetainėje.