DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO TVARKA

VŠĮ „Sveikatos teisės institutas“
DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO TVARKA
    1. BENDROSIOS NUOSTATOS
      • Duomenų subjektų teisių įgyvendinimo VŠĮ „Sveikatos teisės institutas“, juridinio asmens kodas 305838238, buveinė adresu Ulonų g. 5-303, Vilnius, Lietuvos Respublika (toliau – Įstaiga), tvarkos (toliau – Tvarka) tikslas – nustatyti duomenų subjektų teisių įgyvendinimo Įstaigoje tvarką principą.
      • Įgyvendinant duomenų subjekto teises vadovaujamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.
      • Tvarkoje vartojamos sąvokos atitinka Reglamente (ES) 2016/679 vartojamas sąvokas.
      • Taisyklės parengtos vadovaujantis Reglamentu (ES) 2016/679.
    2. TEISĖ GAUTI INFORMACIJĄ APIE DUOMENŲ TVARKYMĄ
      • Informacija apie Įstaigos atliekamą duomenų subjekto asmens duomenų tvarkymą, nurodyta Reglamento (ES) 2016/679 13 ir 14 straipsniuose, pateikiama raštu asmens duomenų gavimo metu arba Įstaigos skelbiamoje Privatumo politikoje.
      • Informacija apie duomenų subjektų asmens duomenų tvarkymą pateikiama asmens duomenų gavimo metu.
      • Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto, apie šio duomenų subjekto asmens duomenų tvarkymą informuojama:
    • per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per 1 (vieną) mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;
    • jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba
    • jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.
    1. TEISĖ SUSIPAŽINTI SU DUOMENIMIS
      • Duomenų subjektui turi būti suteikiama teisė susipažinti su apie jį surinktais asmens duomenimis ir galimybė šia teise lengvai ir pagrįstais laiko tarpais pasinaudoti, kad duomenų subjektas žinotų apie asmens duomenų tvarkymą ir galėtų patikrinti jo teisėtumą. Kiekvienas duomenų subjektas turi teisę žinoti ir būti informuotas, visų pirma, apie tai, kokiais tikslais asmens duomenys tvarkomi ir, jei įmanoma, – kokiu laikotarpiu jie tvarkomi bei kas yra duomenų gavėjai.
      • Įstaiga, esant duomenų subjekto prašymui įgyvendinti teisę susipažinti su savo asmens duomenimis, turi pateikti:
    • informaciją, ar duomenų subjekto asmens duomenys tvarkomi, ar ne;
    • su asmens duomenų tvarkymu susijusią informaciją, numatytą Reglamento (ES) 2016/679 15 straipsnio 1 ir 2 dalyse, jeigu duomenų subjekto asmens duomenys tvarkomi;
    • tvarkomų asmens duomenų kopiją.
      • Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta tvarkomų asmens duomenų kopija ir kita forma, nei Įstaiga pateikia, tačiau už tai imamas mokestis, apskaičiuotas pagal administracines išlaidas.
    1. TEISĖ REIKALAUTI IŠTAISYTI DUOMENIS
      • Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 16 straipsniu, turi teisę reikalauti, kad bet kokie jo tvarkomi netikslūs asmens duomenys būtų ištaisyti, o neišsamūs papildyti.
      • Siekiant įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, Įstaiga gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus.
      • Jeigu duomenų subjekto asmens duomenys (ištaisyti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Įstaiga šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
    2. TEISĖ REIKALAUTI IŠTRINTI DUOMENIS („TEISĖ BŪTI PAMIRŠTAM“)
      • Duomenų subjekto teisė ištrinti jo asmens duomenis („teisė būti pamirštam“) įgyvendinama Reglamento (ES) 2016/679 17 straipsnyje numatytais atvejais.
      • Duomenų subjekto teisė reikalauti ištrinti asmens duomenis („teisė būti pamirštam“) gali būti neįgyvendinta Reglamento (ES) 2016/679 17 straipsnio 3 dalyje numatytais atvejais.
      • Jeigu duomenų subjekto asmens duomenys (ištrinti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Įstaiga šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
    3. TEISĖ APRIBOTI DUOMENŲ TVARKYMĄ
      • Reglamento (ES) 2016/679 18 straipsnio 1 dalyje numatytais atvejais Įstaiga privalo įgyvendinti duomenų subjekto teisę apriboti jo asmens duomenų tvarkymą.
      • Asmens duomenys, kurių tvarkymas apribotas, yra saugomi, o prieš tokio apribojimo panaikinimą duomenų subjektas elektroninių ryšių priemonėmis yra informuojamas.
      • Jeigu duomenų subjekto asmens duomenys (kurių tvarkymas apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Įstaiga šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
    4. TEISĖ Į DUOMENŲ PERKELIAMUMĄ
      • Naudodamasis savo teise į asmens duomenų perkeliamumą, duomenų subjektas turi teisę, kad vienas duomenų valdytojas asmens duomenis tiesiogiai persiųstų kitam, kai tai techniškai įmanoma.
      • Duomenų subjektas turi teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė Įstaigai susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui, o duomenų valdytojas, kuriam asmens duomenys buvo pateikti, turi nesudaryti tam kliūčių, kai:
    • duomenų tvarkymas yra grindžiamas sutikimu arba sutartimi;
    • duomenys yra tvarkomi automatizuotomis priemonėmis.
      • Duomenų subjektas teisės į duomenų perkeliamumą neturi tų asmens duomenų atžvilgiu, kurie tvarkomi neautomatiniu būdu susistemintose rinkmenose, pavyzdžiui, popierinėse bylose.
      • Asmens duomenys gali būti pateikiami internetu arba įrašyti į CD, DVD ar kitą duomenų laikmeną. Įstaiga asmens duomenis gali pateikti naudojant atvirus formatus, tokius kaip XML, JSON, CSV, kartu su atitinkamais metaduomenimis.
      • Jeigu perkeliamuose asmens duomenyse yra trečiųjų asmenų duomenų, siekiant išvengti neigiamo poveikio jų interesams, Įstaiga asmens duomenis perkelti gali tik tada, kai jie yra kontroliuojami išimtinai duomenų subjekto, kurio prašymas vykdomas, ir tik dėl asmeninių ar namų ūkio poreikių.
      • Duomenų subjektas, kreipdamasis dėl teisės į duomenų perkeliamumą, turi nurodyti, ar pageidauja, kad jo asmens duomenys būtų persiųsti jam ar kitam duomenų valdytojui.
      • Vykdant duomenų subjekto prašymą perkeliami tik su duomenų subjektu susiję bei jo duomenų valdytojui pateikti duomenys ir tik tie, kuriuos tvarko Įstaiga. Į šios teisės sritį nepatenka asmens duomenys, gauti jau apdorojus, išanalizavus tiesiogiai duomenų subjekto pateiktą informaciją bei fiksuotus duomenis, pavyzdžiui, vartotojo profilis, sukurtas remiantis išanalizuotais duomenimis.
      • Savo teise į asmens duomenų perkeliamumą duomenų subjektas turi teisę naudotis nedarydamas poveikio jokiai kitai teisei (tai galioja ir bet kurioms kitoms Bendrajame duomenų apsaugos reglamente numatytoms teisėms). Duomenų subjektas gali ir toliau naudotis Įstaigos teikiamomis paslaugomis ir pasinaudoti jos teikiamais pranašumais net ir po asmens duomenų perkėlimo operacijos.
      • Pagal duomenų subjekto prašymą perkelti jo asmens duomenys nėra automatiškai ištrinami. Jeigu duomenų subjektas to pageidauja, turi kreiptis į duomenų valdytoją dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) įgyvendinimo.
    1. TEISĖ NESUTIKTI SU DUOMENŲ TVARKYMU
      • Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 21 straipsniu, turi teisę dėl su juo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad Įstaiga tvarkytų jo asmens duomenis:
    • kai asmens duomenys tvarkomi tiesioginės rinkodaros tikslais; tiesiogine rinkodara laikoma veikla, kuri skirta tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir / arba teirautis jų nuomonės dėl siūlomų prekių ar paslaugų;
    • kai tvarkyti asmens duomenis būtina siekiant teisėtų duomenų valdytojo ar trečiosios šalies interesų.
      • Duomenų subjektui išreiškus nesutikimą su asmens duomenų tvarkymu, toks tvarkymas atliekamas tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių atliekamas asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus.
    1. TEISĖ REIKALAUTI, KAD NEBŪTŲ TAIKOMAS TIK AUTOMATIZUOTU DUOMENŲ TVARKYMU, ĮSKAITANT PROFILIAVIMĄ, GRINDŽIAMAS SPRENDIMAS
    • Ši teisė nėra įgyvendinama Įstaigos atliekamo duomenų tvarkymo atžvilgiu.
    1. PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES PATEIKIMAS
      • Kreiptis dėl duomenų subjekto teisių įgyvendinimo duomenų subjektas turi teisę raštu, pateikiant prašymą asmeniškai, paštu ar elektroninėmis priemonėmis asmeniui, atsakingam už duomenų apsaugą Įstaigoje el. paštu info@sti.lt, arba Įstaigos buveinės adresu. Žodiniai prašymai nenagrinėjami.
      • Siekiant užtikrinti Reglamento (ES) 2016/679 38 straipsnio 5 dalyje įtvirtintą konfidencialumą, kreipiantis į duomenų apsaugos pareigūną paštu, ant voko užrašoma, kad korespondencija skirta duomenų apsaugos pareigūnui.
      • Prašymas įgyvendinti duomenų subjekto teises turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyti duomenų subjekto vardas, pavardė, adresas ir (ar) kiti kontaktiniai duomenys ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo.
      • Jeigu dėl duomenų subjekto teisių įgyvendinimo prašymas pateiktas raštu asmeniškai, duomenų subjektas turi patvirtinti savo tapatybę pateikdamas asmens tapatybę patvirtinantį dokumentą. To nepadarius, duomenų subjekto teisės nėra įgyvendinamos. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.
      • Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi raštu, pateikiant prašymą paštu, kartu turi būti pateikti teisės aktų nustatyta tvarka patvirtinta asmens tapatybės dokumento kopija. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.
      • Savo teises duomenų subjektas gali įgyvendinti pats arba per atstovą. Jei prašymas įteikiamas per atstovą – atsižvelgiant į prašymo pateikimo būdą, be aukščiau nurodytų dokumentų, atstovas turi nurodyti savo vardą, pavardę, adresą ir (ar) kitus kontaktinius duomenis ryšiui palaikyti, kuriais asmens atstovas pageidauja gauti atsakymą ir pateikti atstovavimą patvirtinantį dokumentą (ar teisės aktų nustatyta tvarka patvirtintą įgaliojimo kopiją).
      • Esant abejonių dėl duomenų subjekto tapatybės, Įstaiga prašo papildomos informacijos, reikalingos ja įsitikinti. Įstaiga turi dėti protingas pastangas nustatyti prašymą susipažinti su asmens duomenimis pateikusio asmens tapatybę, kadangi gali būti taikomos sankcijos už neteisėtą asmens duomenų atskleidimą tretiesiems asmenimis.
      • Kreipiantis raštu dėl duomenų subjekto teisių įgyvendinimo, rekomenduojama pateikti Taisyklių 1 priede nurodytos formos prašymą.
    2. PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES NAGRINĖJIMAS
      • Gavus duomenų subjekto prašymą, ne vėliau kaip per 1 (vieną) mėnesį nuo prašymo gavimo, jam pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Jeigu bus vėluojama pateikti informaciją, per nurodytą terminą duomenų subjektas informuojamas apie tai, nurodant vėlavimo priežastis ir apie galimybę pateikti skundą Valstybinei duomenų apsaugos inspekcijai.
      • Jeigu prašymas pateiktas nesilaikant Taisyklių 10 skyriuje nustatytos tvarkos ir reikalavimų, jis nenagrinėjamas, ir nedelsiant, bet ne vėliau kaip per 10 darbo dienų, duomenų subjektas apie tai informuojamas nurodant priežastis.
      • Duomenų valdytojas turėtų būti įpareigotas į duomenų subjekto prašymus atsakyti nepagrįstai nedelsdamas ir ne vėliau kaip per 1 (vieną) mėnesį ir nurodyti priežastis, kai jis neketina patenkinti bet kurių tokių prašymų.
      • Šis laikotarpis prireikus gali būti pratęstas dar 2 (du) mėnesius, atsižvelgiant į prašymų sudėtingumą ir skaičių. Tokiu atveju, privaloma per 1 (vieną) mėnesį nuo prašymo gavimo raštu informuoti Duomenų subjektą apie tokį pratęsimą ir nurodyti vėlavimo priežastis.
      • Jeigu nusprendžiama nesiimti veiksmų pagal duomenų subjekto prašymą, privaloma nedelsiant, tačiau ne vėliau kaip per 1 (vieną) mėnesį nuo prašymo gavimo, raštu informuoti duomenų subjektą apie neveikimo priežastis (pvz., prašymą teikiantis asmuo nepatikslino savo tapatybės) ir apie galimybę pateikti skundą priežiūros institucijai. Privaloma tinkamai informuoti duomenų subjektą apie atsisakymą tenkinti jo prašymą.
      • Jeigu prašymo nagrinėjimo metu nustatoma, jog duomenų subjekto teisės yra apribotos Reglamento (ES) 2016/679 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.
      • Duomenų subjekto prašomą pateikti informaciją apie asmens duomenų tvarkymą pateikiama tokia pačia forma, kokia buvo gautas duomenų subjekto prašymas (nebent pats duomenų subjektas paprašė ją pateikti kitu būdu), t. y. jeigu prašymas pateikiamas elektroninėmis priemonėmis (pvz., el. paštu), informacija pateikiama įprastai naudojama elektronine forma. Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba.
      • Informaciją ir pranešimai teikiami bei kiti veiksmai, susiję su duomenų subjektų teisių įgyvendinimu, atliekami nemokamai, išskyrus atvejus, jeigu duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio pobūdžio, tokiu atveju Įstaiga gali imti pagrįstą mokestį už informacijos ar pranešimo teikimą arba prašomų veiksmų vykdymą (tokiu atveju, duomenų subjektas informuojamas apie nustatytą atlyginimo dydį (pavyzdžiui, už CD, DVD ar kitos laikmenos, kurioje yra vaizdo įrašo kopija, gavimą, dokumentų rengimą ir t. t.) ir duomenų teikimo apmokėjimo tvarką) arba atsisakyti imtis veiksmų pagal prašymą. Mokesčio dydis neturi viršyti informacijos ar pranešimo teikimo ar veiksmų atlikimo sąnaudų. Mokesčio dydį Įstaiga nustato ir tvirtina atsižvelgdama į darbo ir materialines sąnaudas, kurių reikia informacijai ar pranešimui pateikti ar veiksmams atlikti.
      • Ar prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, kiekvienu atveju reikia vertinti individualiai. Jeigu duomenų subjekto prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, tai pareiga įrodyti tai tenka Įstaigai.
      • Tais atvejais, kai Įstaiga tvarko labai didelį kiekį asmens duomenų, neproporcingu gali būti laikomas prašymas pateikti informaciją apie visus tvarkomus asmens duomenis už visą jų tvarkymo laikotarpį. Vis dėlto, ir gavus neproporcingą prašymą, visų pirma, rekomenduojama paprašyti duomenų subjekto jį patikslinti, nurodant, dėl kokios priežasties duomenų subjektui yra būtina gauti tokį didelį kiekį informacijos, o jei tokios priežasties nėra – susiaurinti prašomų pateikti asmens duomenų apimtį.
      • Įstaigos veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento (ES) 2016/679 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai (kontaktai adresu www.vdai.lrv.lt), taip pat kompetentingam teismui.
      • Dėl duomenų subjekto teisių pažeidimo patyrus materialinę ar nematerialinę žalą, duomenų subjektas turi teisę į kompensaciją, dėl kurios priteisimo turi teisę kreiptis į teismą kompetentingą nagrinėti tokius ginčus.

Duomenų subjekto teisių įgyvendinimo tvarkos 
1 Priedas