Asmens duomenų apsaugos ir tvarkymo taisyklės

Patvirtintos
Vilniaus ir Lietuvos metropolito Inokentijaus
2017 09 01 dekretu Nr.172/A

                                                                             

Stačiatikių Bažnyčia Lietuvoje
Lietuvos stačiatikių arkivyskupijos
asmens duomenų apsaugos ir tvarkymo taisyklės

I SKYRIUS. BENDROSIOS NUOSTATOS

1 SKIRSNIS. Bendrosios nuostatos 

2 SKIRSNIS. Sąvokos

3 SKIRSNIS. Duomenų valdytojai ir duomenų tvarkytojai

4 SKIRSNIS. Bendrieji reikalavimai asmens duomenų tvarkymui

5 SKIRSNIS. Bendrieji asmens duomenų tvarkymo teisėtumo pagrindai

II SKYRIUS. SPECIALIOSIOS NUOSTATOS, TAIKYTINOS ATSKIRŲ KATEGORIJŲ DUOMENŲ SUBJEKTAMS

6 SKIRSNIS. Specialiosios nuostatos dėl dvasininkų, pašvęstojo gyvenimo asmenų, seminaristų, vienuolynų kandidatų asmens duomenų tvarkymo

7 SKIRSNIS. Specialiosios nuostatos dėl Bažnyčios ir jai priklausančių juridinių asmenų darbuotojų asmens duomenų ir specialių kategorijų asmens duomenų tvarkymo

8 SKIRSNIS. Specialiosios nuostatos dėl asmenų, nenuolat dalyvaujančių Bažnyčios veikloje, asmens duomenų tvarkymo

III SKYRIUS. DUOMENŲ SUBJEKTŲ TEISĖS

9 SKIRSNIS. Teisė į informaciją, susijusią su duomenų tvarkymu 

10 SKIRSNIS. Teisė reikalauti ištaisyti duomenis

11 SKIRSNIS. Teisė prašyti užregistruoti anotacijas ir duomenų papildymus

12 SKIRSNIS. Teisė reikalauti ištrinti duomenis

13 SKIRSNIS. Teisė apriboti duomenų tvarkymą

14 SKIRSNIS. Pareiga pranešti

IV SKYRIUS. DUOMENŲ SAUGOJIMAS

15 SKIRSNIS. Duomenų saugojimo bendrieji reikalavimai

16 SKIRSNIS. Duomenų bylų, knygų ir įrašų saugojimas

17 SKIRSNIS. Duomenų saugojimas archyve

18 SKIRSNIS. Duomenų saugojimas skaitmeniniame archyve

19 SKIRSNIS. Pareiga pranešti apie duomenų apsaugos pažeidimą

V SKYRIUS. DUOMENŲ PAREIGŪNAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1 SKIRSNIS. BENDROSIOS NUOSTATOS

1. Lietuvos stačiatikių arkivyskupijos asmens duomenų apsaugos taisyklių (toliau – Taisyklės) tikslas – sureguliuoti, kokiais būdais, priemonėmis bei procedūromis Stačiatikių Bažnyčia Lietuvoje užtikrina asmenų duomenų apsaugą pagal 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos, tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (toliau – Bendrasis duomenų apsaugos reglamentas). Bendruoju duomenų apsaugos reglamentu gerbiamas ir nepažeidžiamas pagal galiojančią Lietuvos konstitucinę teisę nustatytas Bažnyčios statusas.
2. Teisiniai santykiai tarp Stačiatikių Bažnyčios Lietuvoje ir Lietuvos Respublikos yra reguliuojami 1995-10-04 LR Religinių bendruomenių ir bendrijų įstatymu Nr. I-1057, taip pat atitinkamomis Konstitucijos bei kitų teisės aktų nuostatomis.
3. Bažnyčia ir jos juridiniai asmenys asmens duomenis tvarko pagal LR asmens duomenų apsaugos įstatymą (toliau – ADTAĮ) bei kitas galiojančias teisės nuostatas, pagal Bendrąjį duomenų apsaugos reglamentą, nepažeidžiant LR Konstitucijos 43 straipsnyje įtvirtintos Bažnyčios teisės laisvai tvarkytis pagal savo kanonus ir statutus.
4. Bažnyčia ir jos juridiniai asmenys tvarko asmens duomenis ir specialias asmens duomenų kategorijas tais tikslais ir pagrindais, kurie yra apibrėžti šiame dokumente.

• SKIRSNIS. SĄVOKOS

1. Duomenų subjektas – fizinis asmuo, kurio duomenys yra tvarkomi;
2. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo – tai asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;
3. Duomenų subjekto sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais, kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys;

• Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis, ar ne. Valdžios institucijos, kurios pagal valstybės teisę gali gauti asmens duomenis, vykdydamos konkretų tyrimą, nelaikomos duomenų gavėjais; tvarkydamos tuos duomenis, jos laikosi duomenų apsaugos taisyklėse nustatytų duomenų tvarkymo tikslų;
• Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;
• Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis;
• Duomenų valdytojas – fizinis arba juridinis asmuo, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones. Jeigu duomenų tvarkymo tikslus nustato įstatymai ar kiti teisės aktai, duomenų valdytojo skyrimo tvarka gali būti nustatyta tuose įstatymuose ar teisės aktuose;
• Profiliavimas – bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti, išanalizuoti ir/ar numatyti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, tokius kaip to fizinio asmens darbo rezultatai, ekonominė situacija, sveikatos būklė, asmeniniai pomėgiai, interesai, patikimumas, elgesys, buvimo vieta arba judėjimas;
• Specialiųjų kategorijų asmens duomenys – tai duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat genetiniai, biometriniai duomenys, naudojami siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys, duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją (pastaba: ADTAĮ specialių kategorijų asmens duomenys yra vadinami ypatingaisiais duomenimis);
• Kitos Taisyklėse vartojamos sąvokos atitinka LR Religinių bendruomenių ir bendrijų įstatyme, Bendrajame duomenų apsaugos reglamente bei ADTAĮ vartojamas sąvokas.

3 SKIRSNIS. DUOMENŲ VALDYTOJAI IR DUOMENŲ TVARKYTOJAI

1. Duomenų valdytojas ir duomenų tvarkytojas
   1. Lietuvos stačiatikių arkivyskupija asmens duomenų apsaugos tikslais laikoma duomenų valdytoju arba tvarkytoju, priklausomai nuo tvarkomų asmens duomenų pobūdžio;
   1. Kiti Bažnyčiai priklausantys juridiniai asmenys asmens duomenų apsaugos tikslais, priklausomai nuo tvarkomų asmens duomenų pobūdžio, laikomi duomenų valdytojais arba tvarkytojais;
   1. Santykiai tarp atskiro duomenų valdytojo ir atskiro duomenų tvarkytojo yra reguliuojami šiuos subjektus saistančiomis Bažnyčios teisės normomis. Jeigu duomenys perduodami į užsienio valstybę, tai turi būti atliekama su duomenų valdytojo žinia. Bet kuris duomenų perdavimas į kitą valstybę turi vykti tik Bažnyčios viduje, nebent teisės aktai nustatytų kitaip.

4 SKIRSNIS. BENDRIEJI REIKALAVIMAI ASMENS DUOMENŲ TVARKYMUI

1. Asmens duomenys turi būti:
   1. duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);
   1. renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu. Tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais nėra laikomas nesuderinamu su pirminiais tikslais;
   1. adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);
   1. tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus bei pobūdį, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);
   1. laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; ilgiau asmens duomenis galima saugoti tik Bažnyčios kanonuose nurodytais tikslais, taip pat archyvavimo viešojo intereso labui, mokslinių ar istorinių tyrimų, statistiniais tikslais, įgyvendinus atitinkamas technines ir organizacines priemones siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);
   1. tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo, taip pat nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).
2. Duomenų valdytojas yra atsakingas už anksčiau paminėtų reikalavimų bei principų laikymąsi. Valdytojas yra taip pat atsakingas už tinkamą Bažnyčios teisės reikalavimų laikymąsi bei bendradarbiavimą su kompetentingomis Bažnyčios ir valstybės institucijomis.

5 SKIRSNIS. BENDRIEJI ASMENS DUOMENŲ TVARKYMO TEISĖTUMO PAGRINDAI

1. Stačiatikių Bažnyčiai Lietuvoje priklausančių juridinių asmenų veikloje asmens duomenų tvarkymas yra leistinas tik jei:
   1. duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;
   1. tvarkyti duomenis būtina, siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;
   1. tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;
   1. tvarkyti duomenis būtina, siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;
   1. tvarkyti duomenis būtina, siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;
   1. tvarkyti duomenis būtina, siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų.
2. Specialiųjų kategorijų asmens duomenų tvarkymas laikantis visų būtinų saugumo priemonių leistinas tik pakrikštytų asmenų (Bažnyčios narių) atžvilgiu, įskaitant asmenis, kurie pagal Bažnyčios vidinę tvarką padarė pareiškimą dėl išstojimo iš Bažnyčios (buvę Bažnyčios nariai), taip pat asmenų, kurie nuolat palaiko ryšį su Bažnyčia ir prisideda prie Bažnyčios tikslų įgyvendinimo. Šie duomenys negali būti atskleisti už Bažnyčios ribų be duomenų subjekto rašytinio sutikimo.

II SKYRIUS

SPECIALIOSIOS NUOSTATOS, TAIKYTINOS ATSKIRŲ KATEGORIJŲ DUOMENŲ SUBJEKTAMS

6 SKIRSNIS. SPECIALIOSIOS NUOSTATOS DĖL DVASININKŲ, PAŠVĘSTOJO GYVENIMO ASMENŲ, SEMINARISTŲ, VIENUOLYNŲ KANDIDATŲ ASMENS DUOMENŲ TVARKYMO

1. Duomenų tvarkymo tikslai ir teisiniai pagrindai –
   1. Bažnyčia, kaip asmens duomenų valdytojas, veikdama per atskirus duomenų tvarkytojus, tvarko asmens duomenis, taip pat ir specialiųjų kategorijų asmens duomenis, tarnaujančių dvasinėje tarnystėje asmenų, vadovaujantis Bažnyčios teisės nuostatomis. Bažnyčia tvarko asmens duomenis Bažnyčios teisės nuostatas atitinkantiems tikslams, vadovaujantis šiais teisiniais pagrindais:
      1. asmens duomenų tvarkymas yra būtinas, siekiant užtikrinti LR Konstitucijoje įtvirtintą Bažnyčios teisę laisvai tvarkytis pagal jos kanonus ir statutus (Bažnytinę teisę);
      1. tvarkyti duomenis būtina, siekiant apsaugoti asmenis, jų turtą ir teisėtus interesus;
      1. asmens duomenys tvarkomi archyvavimo, istorinių bei kitų mokslinių tyrimų, taip pat statistiniais tikslais.

• Duomenų valdytojo ir tvarkytojo teisės ir pareigos –
  • Vadovaujantis Bažnyčios teise duomenų valdytojas turi ir išsaugo teisėtą interesą tvarkyti šiuos duomenis net ir pasibaigus asmens dvasinei tarnystei, atsižvelgiant į galiojančias Bažnyčios teisės nuostatas.
  • Asmens duomenys, įskaitant ir specialių kategorijų šių asmenų asmens duomenis, tvarkomi ir naudojami tik Bažnyčios vidinėms reikmėms. Tvarkomi asmens duomenys, įskaitant ir specialiųjų kategorijų duomenis, gali būti teikiami tik Stačiatikių Bažnyčiai priklausantiems juridiniams asmenims ir tik dėl Bažnyčios kanonuose nurodytų tikslų.
  • Tvarkomi šių asmenų asmens duomenys, taip pat ir specialių kategorijų asmens duomenys, gali būti perduodami į trečiąsias valstybes, jeigu išlaikomos teisėtumo sąlygos.
  • Tvarkomi šių asmenų asmens duomenys, įskaitant ir specialiųjų kategorijų asmens duomenis, gali būti profiliuojami.
  • Tvarkomi šių asmenų asmens duomenys, įskaitant ir specialių kategorijų asmens duomenis, yra gaunami iš duomenų subjektų. Iš kitų asmenų gali būti gaunami šie duomenys tik esant teisėtam pagrindui, kylančiam iš Bažnyčios teisės ir išskirtinai tik dėl Bažnyčios teisėje nurodytų tikslų.
  • Šios kategorijos asmens duomenys yra saugomi ir tvarkomi neribotą laiką.
  • Duomenų valdytojas privalo įrašyti į administracinius dokumentus nuo pirmojo kreipimosi tapti dvasininku tokį sutikimo tekstą: „Mes, pasirašę šiame dokumente, patvirtiname, kad esame susipažinę su Asmens duomenų apsaugos ir tvarkymo Stačiatikių Bažnyčioje Lietuvoje taisyklėse nustatytais asmens duomenų tvarkymo tikslais, pagrindais, informacija apie tvarkomus duomenis ir duomenų subjekto teisėmis ir sutinkame, kad jie bus tvarkomi, saugomi, profiliuojami pagal Bažnyčios kanonus ir Lietuvos stačiatikių arkivyskupijos asmens duomenų apsaugos ir tvarkymo taisykles, taip pat sutinkame, jei duomenys kinta ar atsinaujina, tokius duomenis nuolat teikti“.

7 SKIRSNIS. SPECIALIOSIOS NUOSTATOS DĖL BAŽNYČIOS IR JAI PRIKLAUSANČIŲ JURIDINIŲ ASMENŲ DARBUOTOJŲ ASMENS DUOMENŲ IR SPECIALIŲ KATEGORIJŲ ASMENS DUOMENŲ TVARKYMO

1. Duomenų tvarkymo tikslai ir teisiniai pagrindai –
   1. Bažnyčios juridiniai asmenys yra savo darbuotojų asmens duomenų valdytojai darbo santykių, juos atitinkančių kitų santykių ir socialinės apsaugos duomenų tvarkymo tikslais:
      1. atvejais, kai asmens duomenų tvarkymas yra būtinas darbo sutarties, kurios šalimi yra duomenų subjektas, vykdymui; prašant duomenų subjektui, gali būti tvarkomi ir duomenys apie ikisutartinius darbo teisinius santykius;
      1. atvejais, kai asmens duomenų tvarkymas yra būtinas vykdant specialų Bažnyčią saistantį reguliavimą ar tarptautinę sutartį, kurios šalimi yra Lietuvos Respublika;
      1. atvejais, kai asmens duomenų tvarkymas yra būtinas apsaugoti asmenis, jų gyvybę, sveikatą bei turtą;
      1. tais atvejais, kai duomenys tvarkomi archyvavimo, istorinių bei kitų mokslinių tyrimų, statistikos tikslais, jie turi būti proporcingi siekiamam tikslui ir nepažeisti esminių teisės į duomenų apsaugą nuostatų. Juose turi būti numatytos atitinkamos duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės.
   1. Specialiųjų kategorijų asmens duomenys tvarkomi vadovaujantis teisėtu pagrindu tiek, kiek tai reikalinga tinkamai vykdyti duomenų tvarkytojo prievoles bei duomenų subjekto teises socialinės apsaugos, darbo teisės, sveikatos apsaugos ir kitose srityse.

• Duomenų valdytojo ir tvarkytojo teisės bei pareigos –
  • Tvarkomi subjektų asmens duomenys, įskaitant ir specialiųjų kategorijų asmens duomenis, negali būti atskleisti trečiosioms šalims ar kitiems gavėjams, nebent duomenų subjektas yra davęs rašytinį sutikimą. Ši nuostata netaikoma, kai asmens duomenys teisės aktų nustatyta tvarka teikiami valdžios institucijoms.
  • Duomenų valdytojas, kai jis yra duomenų subjekto darbdavys, turi teisę teikti šią subjekto asmeninę informaciją trečiosioms šalims: pareigų pavadinimą, vardą, pavardę, darbo vietą, darbo fakso numerį, darbo el. pašto adresą. Valdytojas gali teikti tik tiek šio pobūdžio informacijos, kiek tai yra būtina ir kiek tai yra susiję su duomenų subjekto darbo pareigų atlikimu. Toks duomenų teikimas ar atskleidimas negali pažeisti duomenų subjekto žmogiškojo orumo, kelti grėsmės jo saugumui.
  • Šios kategorijos asmens duomenų saugojimo ir tvarkymo trukmė nustatoma vadovaujantis teisės aktais.
  • Duomenų valdytojas privalo darbo sutartyse įrašyti tokius žodžius: „Pasirašydamas šią sutartį patvirtinu, kad esu susipažinęs su Stačiatikių Bažnyčios Lietuvoje asmens duomenų apsaugos ir tvarkymo taisyklėse nustatytais asmens duomenų tvarkymo tikslais, pagrindais, informacija apie tvarkomus duomenis ir duomenų subjekto teisėmis“.
  • Duomenų valdytojas iš duomenų subjekto nereikalauja asmens kodo, išskyrus tuos atvejus, kai ši informacija yra būtina pagal Lietuvos Respublikos galiojančius teisės aktus.

8 SKIRSNIS. SPECIALIOSIOS NUOSTATOS DĖL ASMENŲ, NENUOLAT DALYVAUJANČIŲ BAŽNYČIOS VEIKLOJE, ASMENS DUOMENŲ TVARKYMO

1. Duomenų tvarkymo tikslas ir teisinis pagrindas –
   1. Šios kategorijos asmens duomenys, įskaitant ir specialiųjų kategorijų asmens duomenis, tvarkomi siekiant Bažnyčios sielovadinių, karitatyvinių, socialinių, švietimo ir ugdymo, bendruomenės veiklos organizavimo tikslų bei vadovaujantis šiais teisiniai pagrindais:
      1. duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;
      1. asmens duomenų tvarkymas yra būtinas, siekiant užtikrinti Lietuvos Respublikos Konstitucijoje įtvirtintą Bažnyčios teisę laisvai tvarkytis pagal jos kanonus ir statutus;
      1. kai tvarkyti duomenis būtina, siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas.

• Duomenų valdytojo ir tvarkytojo teisės ir pareigos –
  • Jei asmens duomenų tvarkymo pagrindas yra duomenų subjekto sutikimas ir nėra kitų aplinkybių, aiškiai patvirtinančių, jog asmuo davė sutikimą tvarkyti jo asmens duomenis, asmens duomenys, įskaitant ir specialiųjų kategorijų asmens duomenis, gali būti tvarkomi tik esant rašytiniam duomenų subjekto sutikimui ir tik tokia apimtimi bei tikslais, kurie yra nurodyti rašytiniame sutikime.
  • Duomenų valdytojas užtikrina apsaugą jam pateiktiems asmens duomenims, įskaitant jų neviešinimą, išskyrus atvejus, kai duomenų subjektas yra davęs rašytinį sutikimą viešinti jo asmens duomenis.
  • Duomenų valdytojas tvarko tik tuos asmens duomenis ir tik tokiais tikslais, kuriems duomenų subjektas yra davęs sutikimą.
  • Valdytojas turi teisę subjekto asmens duomenis perduoti trečiosioms šalims tik tokiu atveju, kai duomenų subjektas tam yra davęs aiškų sutikimą.
  • Valdytojas tvarko asmens duomenis tik tokį laikotarpį, kuris yra būtinas asmens duomenų tvarkymo tikslams pasiekti.
  • Valdytojas iš duomenų subjekto nereikalauja asmens kodo, išskyrus tuos atvejus, kai ši informacija yra būtina pagal Lietuvos Respublikos galiojančius teisės aktus ar asmens duomenų tvarkymo tikslus.

III SKYRIUS

DUOMENŲ SUBJEKTŲ TEISĖS

9 SKIRSNIS. TEISĖ Į INFORMACIJĄ, SUSIJUSIĄ SU DUOMENŲ TVARKYMU

1. Duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei jie yra tvarkomi, turi teisę susipažinti su jais ir su šia informacija:
   1. asmens duomenų tvarkymo tikslai;
   1. tvarkomų asmens duomenų kategorijos;
   1. duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems buvo arba bus atskleisti asmens duomenys;
   1. kai įmanoma – numatomas asmens duomenų saugojimo laikotarpis arba, jei neįmanoma, kriterijai, taikomi tam laikotarpiui nustatyti;
   1. teisė prašyti duomenų valdytojo ištaisyti arba ištrinti asmens duomenis ar apriboti su duomenų subjektu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu;
   1. teisė pateikti skundą priežiūros institucijai;
   1. visa turima informacija apie jų šaltinius, kai asmens duomenys renkami ne iš duomenų subjekto;
   1. jei asmens duomenys perduodami bažnytiniam viešajam juridiniam asmeniui už Lietuvos Respublikos ribų, duomenų subjektas turi teisę būti informuojamas apie atitinkamas saugumo priemones, susijusias su duomenų perdavimu.
2. Duomenų valdytojas duomenų subjekto prašymu privalo pateikti tvarkomų asmens duomenų kopiją.
3. Kiekvienas asmuo turi teisę asmeniškai arba per tinkamai įgaliotą atstovą prašyti ir gauti tvarkomų asmens duomenų pažymėjimus, išrašus ar kopijas. Duomenys, kurie nėra gauti iš pareiškėjo ir kuriems pagal įstatymą ar Bažnyčios teisę nustatytas slaptumas, arba kurie negali būti atskirti nuo trečiųjų šalių duomenų yra konfidencialūs ir nėra atskleidžiami pareiškėjui.
4. Dokumentų, nurodytų 10 skirsnio 1 punkte, išdavimo išlaidoms padengti duomenų valdytojas gali nustatyti pagrįsto dydžio mokestį.

10 SKIRSNIS. TEISĖ REIKALAUTI IŠTAISYTI DUOMENIS

1. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas laiku ištaisytų su juo susijusius asmens duomenis, jei tokie duomenys yra neteisingi.
2. Prašymas ištaisyti duomenis turi būti pateiktas duomenų valdytojui raštu arba asmeniškai, arba per įgaliotą atstovą, pridedant įgaliojimą patvirtinančius dokumentus.
3. Duomenų apie veiksmus ir faktus, susijusius su kanoniniu asmenų statusu, ištaisymas gali būti atliekamas tik gavus vyskupo leidimą.

11 SKIRSNIS. TEISĖ PRAŠYTI UŽREGISTRUOTI ANOTACIJAS IR DUOMENŲ PAPILDYMUS

1. Atsižvelgiant į duomenų tvarkymo tikslą, dėl pagrįstų aplinkybių duomenų subjektas turi teisę prašyti įtraukti į duomenų rinkmeną anotaciją ar deklaraciją.
2. Prašymas įrašyti papildomus duomenis turi atitikti sąlygas, nurodytas šio skirsnio 5 punkte.
3. Anotacija, padaryta dokumento įrašo krašte, yra neatskiriama jo dalis. Jos turinys turi būti perrašytas ant kiekvieno dokumento ištraukos ar kopijos.
4. Duomenų valdytojas raštu praneša pareiškėjui apie anotacijos įrašymą.
5. Atsisakius tenkinti prašymą dėl anotacijos ar papildymų įrašymo, informacija apie prašymą bus įrašyta ir saugoma atitinkamos duomenų bylos priede.

12 SKIRSNIS. TEISĖ REIKALAUTI IŠTRINTI DUOMENIS

1. Duomenų subjektas turi teisę paprašyti duomenų valdytojo nedelsiant ištrinti asmens duomenis, o duomenų valdytojas privalo ištrinti asmens duomenis be nepagrįsto delsimo esant vienai iš šių aplinkybių:
   1. kai asmens duomenys nebėra reikalingi tam, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;
   1. kai asmens duomenų subjektas atšaukė sutikimą, kuriuo grindžiamas duomenų tvarkymas ir nėra kitų teisinių pagrindų duomenų tvarkymui;
   1. kai asmens duomenys buvo tvarkomi neteisėtai.
2. Kai duomenų valdytojas viešai paskelbė asmens duomenis ir privalo juos ištrinti, jis, priklausomai nuo turimų technologijų ir įgyvendinimo sąnaudų, imasi pagrįstų veiksmų, įskaitant technines priemones, kad informuotų duomenis tvarkančius duomenų valdytojus, jog duomenų subjektas paprašė duomenų valdytojus ištrinti visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus.
3. Nuostatos, išdėstytos šio skirsnio 3 ir 4 punktuose, netaikomos, jei duomenų tvarkymas yra būtinas: 1) siekiant pasinaudoti teise į saviraiškos ir informacijos laisvę; 2) siekiant laikytis duomenų valdytojui nustatytos teisinės prievolės, kuria reikalaujama tvarkyti duomenis arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas; 3) archyvavimo tikslais viešojo intereso labui, istorinių bei kitų mokslinių tyrimų, statistikos tikslais, jeigu dėl 1 papunktyje nurodytos teisės taptų neįmanoma pasiekti tvarkymo tikslų arba ji labai kliudytų šių tikslų siekimui; 4) siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;
4. Teisė prašyti ištrinti duomenis netaikoma tais atvejais, kai duomenys susiję su suteiktais sakramentais arba kitaip nurodo į asmens kanoninį statusą. Informacija apie prašymą ištrinti tokio pobūdžio duomenis turi būti nurodyta duomenų byloje. Duomenų valdytojas įpareigojamas nenaudoti prašyme nurodytų duomenų be vyskupo leidimo.

13 SKIRSNIS. TEISĖ APRIBOTI DUOMENŲ TVARKYMĄ

1. Duomenų subjektas turi teisę prašyti duomenų valdytoją apriboti duomenų tvarkymą šiais atvejais:
   1. kai asmens duomenų subjektas užginčija duomenų tikslumą už tokį laikotarpį, per kurį duomenų valdytojas gali šį tikslumą patikrinti;
   1. kai asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad duomenys būtų ištrinti, vietoj to prašydamas apriboti jų naudojimą;
   1. kai duomenų valdytojui asmens duomenys tvarkymo tikslais jau nebereikalingi, tačiau jų reikia duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;
   1. kai duomenų tvarkymas yra apribotas 14 skirsnio 1 punktu, išskyrus saugojimą, juos galima tvarkyti tik gavus duomenų subjekto sutikimą arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus, arba apsaugoti kito fizinio ar juridinio asmens teises, arba dėl svarbaus Europos Sąjungos arba valstybės narės viešojo intereso priežasčių.
2. Prieš panaikinant duomenų subjekto, prašiusio, kad būtų apribotas duomenų tvarkymas pagal 14 skirsnio 1 punktą, duomenis, duomenų valdytojas jį apie tai informuoja.

14 SKIRSNIS. PAREIGA PRANEŠTI

1. Kiekvienam duomenų gavėjui, kuriam buvo atskleisti asmens duomenys, duomenų valdytojas praneša apie bet kokį tokių duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą, nebent to padaryti nebūtų įmanoma arba tai pareikalautų neproporcingų pastangų. Duomenų subjektui paprašius, duomenų valdytojas informuoja subjektą apie minėtus duomenų gavėjus.

IV SKYRIUS

DUOMENŲ SAUGOJIMAS

15 SKIRSNIS. DUOMENŲ SAUGOJIMO BENDRIEJI REIKALAVIMAI

1. Asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).
2. Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas ir duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas.
3. Nustatant tinkamo lygio saugumą atsižvelgiama į pavojus, kurie kyla dėl duomenų tvarkymo, visų pirma dėl netyčinio arba neteisėto persiųstų, saugomų ar kitaip tvarkomų duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų.
4. Duomenų valdytojas ir duomenų tvarkytojas imasi priemonių, siekdami užtikrinti, kad bet kuris duomenų valdytojui arba tvarkytojui pavaldus fizinis asmuo, galintis susipažinti su asmens duomenimis, jų netvarkytų, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tas asmuo privalo tai daryti pagal Europos Sąjungos arba valstybės narės teisę.
5. Duomenų valdytojas, sudarydamas rašytinę ar kitokią sutartį su fiziniu ar juridiniu asmeniu, kuris yra tretysis asmuo ir, vykdydamas pastarąją sutartį, gali sužinoti duomenų valdytojo tvarkomus duomenų subjektų asmens duomenis, privalo sudaryti su juo konfidencialumo susitarimą.

16 SKIRSNIS. DUOMENŲ BYLŲ, KNYGŲ IR ĮRAŠŲ SAUGOJIMAS

1. Duomenų bylos, knygos, įrašai turi būti saugojami tam skirtoje saugioje patalpoje, į kurią gali patekti tik duomenų valdytojas, tvarkytojas ar jų įgalioti asmenys.
2. Tuo atveju, kai nėra anksčiau minėtus reikalavimus atitinkančios patalpos, duomenų bylos, knygos, įrašai turi būti saugomi rakinamoje spintoje, esančioje duomenų valdytojui ar tvarkytojui priklausančioje patalpoje, imantis visų reikalingų priemonių, kad asmens duomenys netaptų prieinami neįgaliotiems asmenims.

17 SKIRSNIS. DUOMENŲ SAUGOJIMAS ARCHYVE

1. Ypatingas dėmesys turi būti skiriamas archyvų saugumui ir duomenų prieinamumo kontrolei.
2. Archyvas privalo turėti užrakto sistemą ir būti apsaugotas nuo vagystės ir įsilaužimo.
3. Duomenų valdytojas, tvarkytojas ar jų įgaliotas asmuo turi užtikrinti, kad archyvas nebūtų prieinamas pašaliečiams.

18 SKIRSNIS. DUOMENŲ SAUGOJIMAS SKAITMENINIAME ARCHYVE

1. Skaitmeniniuose archyvuose esantys duomenys turi būti tvarkomi naudojant licencijuotą programinę įrangą. Prieiga prie skaitmeniniuose archyvuose esančių duomenų turi būti apsaugota slaptažodžiais.
2. Duomenų valdytojas privalo užtikrinti siunčiamų duomenų saugumą, pasitelkdamas neprieinamumą tretiesiems asmenims užtikrinančias priemones.
3. Įrenginiai ir laikmenos su asmens duomenimis turi būti laikomi rakinamose patalpose ir apsaugoti nuo neteisėtos prieigos.

19 SKIRSNIS. PAREIGA PRANEŠTI APIE DUOMENŲ APSAUGOS PAŽEIDIMĄ

1. Duomenų tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, apie tai praneša duomenų valdytojui.
2. Duomenų valdytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo tada, kai sužinojo apie pažeidimą, apie tai praneša priežiūros institucijai, nebent asmens duomenų saugumo pažeidimas nekeltų pavojaus duomenų subjektų teisėms ir laisvėms.
3. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, duomenų valdytojas apie pažeidimą praneša asmens duomenų subjektui. Duomenų subjektui pranešti nereikia, jeigu įvykdomos bet kurios iš toliau išvardintų sąlygų:
   1. duomenų valdytojas tinkamai apsaugojo asmens duomenis, kurie buvo pažeisti, ir užtikrino, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, užšifruoti;
   1. duomenų valdytojas ėmėsi priemonių užtikrinti, kad daugiau nebegalėtų kilti didelis pavojus duomenų subjektų teisėms ir laisvėms;
   1. pranešimas duomenų subjektui pareikalautų neproporcingai daug pastangų. Tokiu atveju vietoj pranešimo duomenų subjektui apie tai viešai paskelbiama arba kitaip efektyviai informuojama.

V SKYRIUS

DUOMENŲ PAREIGŪNAS

1. Duomenų valdytojas ir duomenų tvarkytojas užtikrina, kad duomenų apsaugos pareigūnas būtų tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą.
2. Duomenų apsaugos pareigūnas privalo užtikrinti slaptumą arba konfidencialumą, susijusį su jo užduočių vykdymu, laikydamasis Europos Sąjungos ar Sąjungos valstybės narės teisės.
3. Duomenų apsaugos pareigūnas gali vykdyti kitas užduotis ir pareigas. Duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad šių ir panašių užduočių ir pareigų atlikimo nekiltų interesų konfliktas.