ASMENS DUOMENŲ TVARKYMO NUOSTATOS

 Patvirtintos Lietuvos vyskupų konferencijos 

2018 06 12 dekretu Nr. 1-154/18 

Lietuvos vyskupų konferencijos

asmens duomenų apsaugos ir tvarkymo taisyklės

BENDROSIOS NUOSTATOS 

PIRMAS SKIRSNIS 

BENDROSIOS NUOSTATOS 

1.Lietuvos vyskupų konferencijos asmens duomenų apsaugos taisyklių (toliau – Taisyklės) tikslas–sureguliuoti, kokiais būdais, priemonėmis bei procedūromis Katalikų Bažnyčia Lietuvojeužtikrina asmenų duomenų apsaugą pagal 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos, tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (toliau – Bendrasis duomenų apsaugos reglamentas). Bendruoju duomenų apsaugos reglamentu gerbiamas ir nepažeidžiamas pagal galiojančią Lietuvos konstitucinę teisę nustatytas Bažnyčios statusas. 

2.Teisiniai santykiai tarp Katalikų Bažnyčios ir Lietuvos Respublikos yra reguliuojami ŠventojoSosto ir Lietuvos Respublikos Sutartimi dėl santykių tarp Katalikų Bažnyčios ir Valstybėsteisinių aspektų, Šventojo Sosto ir Lietuvos Respublikos sutartimi dėl bendradarbiavimošvietimo ir kultūros srityje, Šventojo Sosto ir Lietuvos Respublikos sutartimi dėl kariuomenėjetarnaujančių katalikų sielovados, taip pat atitinkamomis Konstitucijos bei kitų teisės aktųnuostatomis.

3.Bažnyčia ir jos juridiniai asmenys asmens duomenis tvarko pagal LR asmens duomenų apsaugosįstatymą (toliau – ADTAĮ) bei kitas galiojančias teisės nuostatas, ypač pagal Bendrąjį duomenųapsaugos reglamentą, nepažeidžiant LR Konstitucijos 43 straipsnyje įtvirtintos Bažnyčios teisėslaisvai tvarkytis pagal savo kanonus ir statutus.

4.Bažnyčia ir jos juridiniai asmenys tvarko asmens duomenis ir specialias asmens duomenųkategorijas tais tikslais ir pagrindais, kurie yra apibrėžti šiame dokumente.

ANTRAS SKIRSNIS 

SĄVOKOS 

5.Duomenų subjektas – fizinis asmuo, kurio duomenys yra tvarkomi;

6.Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arbakurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo - tai asmuo, kurio tapatybętiesiogiai arba netiesiogiai galima nustatyti visų pirma pagal identifikatorių, kaip antai vardą irpavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatoriųarba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės,ekonominės, kultūrinės ar socialinės tapatybės požymius;

7.Bažnyčios teisė – 1983 m. Kanonų teisės kodeksas, bendrieji bei specialieji teisės aktai,paskelbti Kanonų teisės kodekso nustatyta tvarka ir saistantys Bažnyčią;

8.Duomenų subjekto sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškastinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiaisveiksmais, kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys;

4 

9.Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga,kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis, ar ne. Valdžios institucijos,kurios pagal valstybės teisę gali gauti asmens duomenis, vykdydamos konkretų tyrimą,nelaikomos duomenų gavėjais; tvarkydamos tuos duomenis, jos laikosi duomenų apsaugostaisyklėse nustatytų duomenų tvarkymo tikslų;

10.Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis suasmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaipantai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas,išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarantgalimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas,ištrynimas arba sunaikinimas;

11.Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kitaįstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis;

12.Duomenų valdytojas – fizinis arba juridinis asmuo, kuris vienas ar drauge su kitais nustatoasmens duomenų tvarkymo tikslus ir priemones. Jeigu duomenų tvarkymo tikslus nustatoįstatymai ar kiti teisės aktai, duomenų valdytojo skyrimo tvarka gali būti nustatyta tuoseįstatymuose ar teisės aktuose;

13.Profiliavimas – bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmensduomenys naudojami siekiant įvertinti, išanalizuoti ir/ar numatyti tam tikrus su fiziniu asmeniususijusius asmeninius aspektus, tokius kaip to fizinio asmens darbo rezultatai, ekonominėsituacija, sveikatos būklė, asmeniniai pomėgiai, interesai, patikimumas, elgesys, buvimo vietaarba judėjimas;

14.Specialiųjų kategorijų asmens duomenys – tai duomenys, atskleidžiantys rasinę ar etninękilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose,taip pat genetiniai, biometriniai duomenys, naudojami siekiant konkrečiai nustatyti fizinioasmens tapatybę, sveikatos duomenys, duomenys apie fizinio asmens lytinį gyvenimą ir lytinęorientaciją (pastaba: ADTAĮ specialių kategorijų asmens duomenys yra vadinamiypatingaisiais duomenimis);

15.Kitos Taisyklėse vartojamos sąvokos atitinka Kanonų kodekse, LR Religinių bendruomenių irbendrijų įstatyme, Bendrajame duomenų apsaugos reglamente bei ADTAĮ vartojamas sąvokas.

TREČIAS SKIRSNIS 

DUOMENŲ VALDYTOJAI IR DUOMENŲ TVARKYTOJAI 

16.Duomenų valdytojas ir duomenų tvarkytojas

16.1. Lietuvos vyskupų konferencija asmens duomenų apsaugos tikslais laikoma duomenųvaldytoju arba tvarkytoju, priklausomai nuo tvarkomų asmens duomenų pobūdžio;

16.2. Kiti Bažnyčiai priklausantys juridiniai asmenys asmens duomenų apsaugos tikslais,priklausomai nuo tvarkomų asmens duomenų pobūdžio, laikomi duomenų valdytojais arbatvarkytojais;

16.3. Santykiai tarp atskiro duomenų valdytojo ir atskiro duomenų tvarkytojo yra reguliuojamišiuos subjektus saistančiomis Bažnyčios teisės normomis. Jeigu duomenys perduodami į5 

užsienio valstybę, įskaitant Vatikaną, tai turi būti atliekama su duomenų valdytojo žinia. Bet kuris duomenų perdavimas į kitą valstybę turi vykti tik Bažnyčios viduje, nebent teisės aktai nustatytų kitaip. 

KETVIRTAS SKIRSNIS 

BENDRIEJI REIKALAVIMAI ASMENS DUOMENŲ TVARKYMUI 

17.Asmens duomenys turi būti:

17.1. duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo,sąžiningumo ir skaidrumo principas);

17.2. renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su taistikslais nesuderinamu būdu. Tolesnis duomenų tvarkymas archyvavimo tikslais viešojo interesolabui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais nėra laikomas nesuderinamusu pirminiais tikslais;

17.3. adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenųkiekio mažinimo principas);

17.4. tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kadasmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus bei pobūdį, būtųnedelsiant ištrinami arba ištaisomi (tikslumo principas);

17.5. laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, neibūtina tais tikslais, kuriais asmens duomenys yra tvarkomi; ilgiau asmens duomenis galimasaugoti tik Bažnyčios kanonuose nurodytais tikslais, taip pat archyvavimo viešojo intereso labui,mokslinių ar istorinių tyrimų, statistiniais tikslais, įgyvendinus atitinkamas technines irorganizacines priemones siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimotrukmės apribojimo principas);

17.6. tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtųužtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo beleidimo arba neteisėto duomenų tvarkymo, taip pat nuo netyčinio praradimo, sunaikinimo arsugadinimo (vientisumo ir konfidencialumo principas).

18.Duomenų valdytojas yra atsakingas už anksčiau paminėtų reikalavimų bei principų laikymąsi.Valdytojas yra taip pat atsakingas už tinkamą Bažnyčios teisės reikalavimų laikymąsi beibendradarbiavimą su kompetentingomis Bažnyčios ir valstybės institucijomis.

PENKTAS SKIRSNIS 

BENDRIEJI ASMENS DUOMENŲ TVARKYMO TEISĖTUMO PAGRINDAI 

19.Katalikų Bažnyčiai priklausančių juridinių asmenų veikloje asmens duomenų tvarkymas yraleistinas tik jei:

19.1. duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais; 

19.2. tvarkyti duomenis būtina, siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;6 

19.3. tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė; 

19.4. tvarkyti duomenis būtina, siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus; 

19.5. tvarkyti duomenis būtina, siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas; 

19.6. tvarkyti duomenis būtina, siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų. 

20.Specialiųjų kategorijų asmens duomenų tvarkymas laikantis visų būtinų saugumo priemoniųleistinas tik pakrikštytų asmenų (Bažnyčios narių) atžvilgiu, įskaitant asmenis, kurie pagalBažnyčios vidinę tvarką padarė pareiškimą dėl išstojimo iš Bažnyčios (buvę Bažnyčios nariai),taip pat asmenų, kurie nuolat palaiko ryšį su Bažnyčia ir prisideda prie Bažnyčios tikslųįgyvendinimo. Šie duomenys negali būti atskleisti už Bažnyčios ribų be duomenų subjektorašytinio sutikimo.

7 

II SKYRIUS 

SPECIALIOSIOS NUOSTATOS, TAIKYTINOS ATSKIRŲ KATEGORIJŲ DUOMENŲ SUBJEKTAMS 

ŠEŠTAS SKIRSNIS 

SPECIALIOSIOS NUOSTATOS DĖL DVASININKŲ, PAŠVĘSTOJO GYVENIMO ASMENŲ, SEMINARISTŲ, VIENUOLYNŲ KANDIDATŲ ASMENS DUOMENŲ TVARKYMO 

21.Duomenų tvarkymo tikslai ir teisiniai pagrindai –

21.1. Bažnyčia, kaip asmens duomenų valdytojas, veikdama per atskirus duomenų tvarkytojus, tvarko asmens duomenis, taip pat ir specialiųjų kategorijų asmens duomenis, tarnaujančių dvasinėje tarnystėje asmenų, vadovaujantis Bažnyčios teisės nuostatomis. Atsižvelgiant į tarptautinę Šventojo Sosto ir Lietuvos Respublikos sutartį dėl teisinių aspektų, Bažnyčia tvarko asmens duomenis Bažnyčios teisės nuostatas atitinkantiems tikslams, vadovaujantis šiais teisiniais pagrindais: 

21.1.1. asmens duomenų tvarkymas yra būtinas, siekiant užtikrinti LR Konstitucijoje įtvirtintą Bažnyčios teisę laisvai tvarkytis pagal jos kanonus ir statutus (Bažnytinę teisę); 

21.1.2. tvarkyti asmens duomenis yra būtina, siekiant įgyvendinti su Šventuoju Sostu sudarytoje tarptautinėje sutartyje, kurios šalimi yra Lietuvos Respublika, nurodytus tikslus; 

21.1.3. tvarkyti duomenis būtina, siekiant apsaugoti asmenis, jų turtą ir teisėtus interesus; 

21.1.4. asmens duomenys tvarkomi archyvavimo, istorinių bei kitų mokslinių tyrimų, taip pat statistiniais tikslais. 

22.Duomenų valdytojo ir tvarkytojo teisės ir pareigos –

22.1. Vadovaujantis Bažnyčios teise duomenų valdytojas turi ir išsaugo teisėtą interesątvarkyti šiuos duomenis net ir pasibaigus asmens dvasinei tarnystei, atsižvelgiant įgaliojančias Bažnyčios teisės nuostatas.

22.2. Asmens duomenys, įskaitant ir specialių kategorijų šių asmenų asmens duomenis,tvarkomi ir naudojami tik Bažnyčios vidinėms reikmėms. Tvarkomi asmens duomenys,įskaitant ir specialiųjų kategorijų duomenis, gali būti teikiami tik Katalikų Bažnyčiaipriklausantiems juridiniams asmenims ir tik dėl Bažnyčios kanonuose nurodytų tikslų.

22.3. Tvarkomi šių asmenų asmens duomenys, taip pat ir specialių kategorijų asmensduomenys, gali būti perduodami į trečiąsias valstybes, jeigu išlaikomos teisėtumo sąlygos,kaip apibrėžta 22.4 punkte.

22.4. Tvarkomi šių asmenų asmens duomenys, įskaitant ir specialiųjų kategorijų asmensduomenis, gali būti profiliuojami.8 

22.5. Tvarkomi šių asmenų asmens duomenys, įskaitant ir specialių kategorijų asmens duomenis, yra gaunami iš duomenų subjektų. Iš kitų asmenų gali būti gaunami šie duomenys tik esant teisėtam pagrindui, kylančiam iš Bažnyčios teisės ir išskirtinai tik dėl Bažnyčios teisėje nurodytų tikslų. 

22.6. Šios kategorijos asmens duomenys yra saugomi ir tvarkomi neribotą laiką. 

22.7. Duomenų valdytojas privalo įrašyti į administracinius dokumentus nuo pirmojo kreipimosi tapti dvasininku tokį sutikimo tekstą: „Mes, pasirašę šiame dokumente, patvirtiname, kad esame susipažinę su Asmens duomenų apsaugos ir tvarkymo Katalikų Bažnyčioje Lietuvoje taisyklėse nustatytais asmens duomenų tvarkymo tikslais, pagrindais, informacija apie tvarkomus duomenis ir duomenų subjekto teisėmis.“. 

SEPTINTAS SKIRSNIS 

SPECIALIOSIOS NUOSTATOS DĖL BAŽNYČIOS IR JAI PRIKLAUSANČIŲ JURIDINIŲ ASMENŲ DARBUOTOJŲ ASMENS DUOMENŲ IR SPECIALIŲ KATEGORIJŲ ASMENS DUOMENŲ TVARKYMO 

23.Duomenų tvarkymo tikslai ir teisinai pagrindai –

23.1. Bažnyčios juridiniai asmenys yra savo darbuotojų asmens duomenų valdytojai darbosantykių, juos atitinkančių kitų santykių ir socialinės apsaugos duomenų tvarkymo tikslais:

23.1.1. atvejais, kai asmens duomenų tvarkymas yra būtinas darbo sutarties, kurios šalimi yra duomenų subjektas, vykdymui; prašant duomenų subjektui, gali būti tvarkomi ir duomenys apie ikisutartinius darbo teisinius santykius; 

23.1.2. atvejais, kai asmens duomenų tvarkymas yra būtinas vykdant specialų Bažnyčią saistantį reguliavimą ar tarptautinę sutartį, kurios šalimi yra Lietuvos Respublika; 

23.1.3. atvejais, kai asmens duomenų tvarkymas yra būtinas apsaugoti asmenis, jų gyvybę, sveikatą bei turtą; 

23.1.4. tais atvejais, kai duomenys tvarkomi archyvavimo, istorinių bei kitų mokslinių tyrimų, statistikos tikslais, jie turi būti proporcingi siekiamam tikslui ir nepažeisti esminių teisės į duomenų apsaugą nuostatų. Juose turi būti numatytos atitinkamos duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės. 

23.2. Specialiųjų kategorijų asmens duomenys tvarkomi vadovaujantis teisėtu pagrindu tiek, kiek tai reikalinga tinkamai vykdyti duomenų tvarkytojo prievoles bei duomenų subjekto teises socialinės apsaugos, darbo teisės, sveikatos apsaugos ir kitose srityse. 

24.Duomenų valdytojo ir tvarkytojo teisės bei pareigos –

24.1. Tvarkomi subjektų asmens duomenys, įskaitant ir specialiųjų kategorijų asmensduomenis, negali būti atskleisti trečiosioms šalims ar kitiems gavėjams, nebent duomenųsubjektas yra davęs rašytinį sutikimą. Ši nuostata netaikoma, kai asmens duomenys teisės aktų9 

nustatyta tvarka teikiami valdžios institucijoms. 

24.2. Duomenų valdytojas, kai jis yra duomenų subjekto darbdavys, turi teisę teikti šią subjekto asmeninę informaciją trečiosioms šalims: pareigų pavadinimą, vardą, pavardę, darbo vietą, darbo fakso numerį, darbo el. pašto adresą. Valdytojas gali teikti tik tiek šio pobūdžio informacijos, kiek tai yra būtina ir kiek tai yra susiję su duomenų subjekto darbo pareigų atlikimu. Toks duomenų teikimas ar atskleidimas negali pažeisti duomenų subjekto žmogiškojo orumo, kelti grėsmės jo saugumui. 

24.3. Šios kategorijos asmens duomenų saugojimo ir tvarkymo trukmė nustatoma vadovaujantis teisės aktais. 

24.4. Duomenų valdytojas privalo darbo sutartyse įrašyti tokius žodžius: „Pasirašydamas šią sutartį patvirtinu, kad esu susipažinęs su Lietuvos vyskupų konferencijos asmens duomenų apsaugos ir tvarkymo taisyklėse nustatytais asmens duomenų tvarkymo tikslais, pagrindais, informacija apie tvarkomus duomenis ir duomenų subjekto teisėmis“. 

24.5. Duomenų valdytojas iš duomenų subjekto nereikalauja asmens kodo, išskyrus tuos atvejus, kai ši informacija yra būtina pagal Lietuvos Respublikos galiojančius teisės aktus. 

AŠTUNTAS SKIRSNIS 

SPECIALIOSIOS NUOSTATOS DĖL ASMENŲ, NENUOLAT DALYVAUJANČIŲ BAŽNYČIOS VEIKLOJE, ASMENS DUOMENŲ TVARKYMO 

25.Duomenų tvarkymo tikslas ir teisinis pagrindas –

25.1. Šios kategorijos asmens duomenys, įskaitant ir specialiųjų kategorijų asmens duomenis,tvarkomi siekiant Bažnyčios sielovadinių, karitatyvinių, socialinių, švietimo ir ugdymo,bendruomenės veiklos organizavimo tikslų bei vadovaujantis šiais teisiniai pagrindais:

25.1.1. duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais; 

25.1.2. asmens duomenų tvarkymas yra būtinas, siekiant užtikrinti Lietuvos Respublikos Konstitucijoje įtvirtintą Bažnyčios teisę laisvai tvarkytis pagal jos kanonus ir statutus; 

25.1.3. tvarkyti asmens duomenis yra būtina, siekiant įgyvendinti su Šventuoju Sostu sudarytoje tarptautinėje sutartyje, kurios šalimi yra Lietuvos Respublika, nurodytus tikslus; 

25.1.4. kai tvarkyti duomenis būtina, siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas.10 

26.Duomenų valdytojo ir tvarkytojo teisės ir pareigos –

26.1. Jei asmens duomenų tvarkymo pagrindas yra duomenų subjekto sutikimas ir nėra kitųaplinkybių, aiškiai patvirtinančių, jog asmuo davė sutikimą tvarkyti jo asmens duomenis,asmens duomenys, įskaitant ir specialiųjų kategorijų asmens duomenis, gali būti tvarkomi tikesant rašytiniam duomenų subjekto sutikimui ir tik tokia apimtimi bei tikslais, kurie yranurodyti rašytiniame sutikime.

26.2. Duomenų valdytojas užtikrina apsaugą jam pateiktiems asmens duomenims, įskaitant jųneviešinimą, išskyrus atvejus, kai duomenų subjektas yra davęs rašytinį sutikimą viešinti joasmens duomenis.

26.3. Duomenų valdytojas tvarko tik tuos asmens duomenis ir tik tokiais tikslais, kuriemsduomenų subjektas yra davęs sutikimą.

26.4. Valdytojas turi teisę subjekto asmens duomenis perduoti trečiosioms šalims tik tokiuatveju, kai duomenų subjektas tam yra davęs aiškų sutikimą.

26.5. Valdytojas tvarko asmens duomenis tik tokį laikotarpį, kuris yra būtinas asmensduomenų tvarkymo tikslams pasiekti.

26.6. Valdytojas iš duomenų subjekto nereikalauja asmens kodo, išskyrus tuos atvejus, kaiši informacija yra būtina pagal Lietuvos Respublikos galiojančius teisės aktus ar asmensduomenų tvarkymo tikslus.11 

III SKYRIUS 

DUOMENŲ SUBJEKTŲ TEISĖS 

DEVINTAS SKIRSNIS 

TEISĖ Į INFORMACIJĄ, SUSIJUSIĄ SU DUOMENŲ TVARKYMU 

27.Duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmensduomenys yra tvarkomi, o jei jie yra tvarkomi, turi teisę susipažinti su jais ir su šia informacija:

27.1. asmens duomenų tvarkymo tikslai;

27.2. tvarkomų asmens duomenų kategorijos;

27.3. duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems buvo arba bus atskleistiasmens duomenys;

27.4. kai įmanoma – numatomas asmens duomenų saugojimo laikotarpis arba, jei neįmanoma,kriterijai, taikomi tam laikotarpiui nustatyti;

27.5. teisė prašyti duomenų valdytojo ištaisyti arba ištrinti asmens duomenis ar apriboti suduomenų subjektu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu;

27.6. teisė pateikti skundą priežiūros institucijai;

27.7. visa turima informacija apie jų šaltinius, kai asmens duomenys renkami ne iš duomenųsubjekto;

27.8. jei asmens duomenys perduodami bažnytiniam viešajam juridiniam asmeniui užLietuvos Respublikos ribų, duomenų subjektas turi teisę būti informuojamas apie atitinkamassaugumo priemones, susijusias su duomenų perdavimu.

28.Duomenų valdytojas duomenų subjekto prašymu privalo pateikti tvarkomų asmens duomenųkopiją.

29.Kiekvienas asmuo turi teisę asmeniškai arba per tinkamai įgaliotą atstovą prašyti ir gautitvarkomų asmens duomenų pažymėjimus, išrašus ar kopijas. Duomenys, kurie nėra gauti išpareiškėjo ir kuriems pagal įstatymą ar Bažnyčios teisę nustatytas slaptumas, arba kurie negalibūti atskirti nuo trečiųjų šalių duomenų yra konfidencialūs ir nėra atskleidžiami pareiškėjui.

30.Dokumentų, nurodytų 29 punkte, išdavimo išlaidoms padengti duomenų valdytojas gali nustatyti pagrįsto dydžio mokestį.

DEŠIMTAS SKIRSNIS 

TEISĖ REIKALAUTI IŠTAISYTI DUOMENIS 

31.Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas laiku ištaisytų su juosusijusius asmens duomenis, jei tokie duomenys yra neteisingi.

32.Prašymas ištaisyti duomenis turi būti pateiktas duomenų valdytojui raštu arba asmeniškai,arba per įgaliotą atstovą, pridedant įgaliojimą patvirtinančius dokumentus.

33.Jei duomenų valdytojas atsisako patenkinti prašymą ištaisyti duomenis, jis privalo raštu

12 

informuoti pareiškėją, kad jis vėl gali pateikti prašymą vietos ordinarui. 

34. Duomenų apie veiksmus ir faktus, susijusius su kanoniniu asmenų statusu, ištaisymas gali būti atliekamas tik gavus vietos ordinaro leidimą. 

VIENUOLIKTAS SKIRSNIS 

TEISĖ PRAŠYTI UŽREGISTRUOTI ANOTACIJAS IR DUOMENŲ PAPILDYMUS 

35. Atsižvelgiant į duomenų tvarkymo tikslą, dėl pagrįstų aplinkybių duomenų subjektas turi teisę prašyti įtraukti į duomenų rinkmeną anotaciją ar deklaraciją. 

36. Prašymas įrašyti papildomus duomenis turi atitikti sąlygas, nurodytas 39 punkte. 

37. Anotacija, padaryta dokumento įrašo krašte, yra neatskiriama jo dalis. Jos turinys turi būti perrašytas ant kiekvieno dokumento ištraukos ar kopijos. 

38. Duomenų valdytojas raštu praneša pareiškėjui apie anotacijos įrašymą. 

39. Atsisakius tenkinti prašymą dėl anotacijos ar papildymų įrašymo, informacija apie prašymą bus įrašyta ir saugoma atitinkamos duomenų bylos priede. Atsisakius tenkinti prašymą dėl anotacijos ar duomenų papildymo, duomenų valdytojas raštu apie tai praneša suinteresuotam asmeniui, kuris gali vėl pateikti prašymą vietos ordinarui. 

DVYLIKTAS SKIRSNIS 

TEISĖ REIKALAUTI IŠTRINTI DUOMENIS 

40. Duomenų subjektas turi teisę paprašyti duomenų valdytojo nedelsiant ištrinti asmens duomenis, o duomenų valdytojas privalo ištrinti asmens duomenis be nepagrįsto delsimo esant vienai iš šių aplinkybių: 

40.1. kai asmens duomenys nebėra reikalingi tam, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi; 

40.2. kai asmens duomenų subjektas atšaukė sutikimą, kuriuo grindžiamas duomenų tvarkymas ir nėra kitų teisinių pagrindų duomenų tvarkymui; 

40.3. kai asmens duomenys buvo tvarkomi neteisėtai. 

41. Kai duomenų valdytojas viešai paskelbė asmens duomenis ir privalo juos ištrinti, jis, priklausomai nuo turimų technologijų ir įgyvendinimo sąnaudų, imasi pagrįstų veiksmų, įskaitant technines priemones, kad informuotų duomenis tvarkančius duomenų valdytojus, jog duomenų subjektas paprašė duomenų valdytojus ištrinti visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus. 

42. Nuostatos, išdėstytos 42 ir 43 punktuose, netaikomos, jei duomenų tvarkymas yra būtinas: 1) siekiant pasinaudoti teise į saviraiškos ir informacijos laisvę; 2) siekiant laikytis duomenų valdytojui nustatytos teisinės prievolės, kuria reikalaujama tvarkyti duomenis arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas; 3) archyvavimo tikslais viešojo intereso labui, istorinių bei kitų mokslinių tyrimų, statistikos tikslais, jeigu dėl 1 papunktyje nurodytos teisės taptų neįmanoma pasiekti tvarkymo tikslų arba ji labai kliudytų šių tikslų siekimui; 4) siekiant pareikšti, vykdyti 

13 

arba apginti teisinius reikalavimus; 

43. Teisė prašyti ištrinti duomenis netaikoma tais atvejais, kai duomenys susiję su suteiktais sakramentais arba kitaip nurodo į asmens kanoninį statusą. Informacija apie prašymą ištrinti tokio pobūdžio duomenis turi būti nurodyta duomenų byloje. Duomenų valdytojas įpareigojamas nenaudoti prašyme nurodytų duomenų be vietos ordinaro leidimo. 

TRYLIKTAS SKIRSNIS 

TEISĖ APRIBOTI DUOMENŲ TVARKYMĄ 

44. Duomenų subjektas turi teisę prašyti duomenų valdytoją apriboti duomenų tvarkymą šiais atvejais: 

44.1. kai asmens duomenų subjektas užginčija duomenų tikslumą už tokį laikotarpį, per kurį duomenų valdytojas gali šį tikslumą patikrinti; 

44.2. kai asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad duomenys būtų ištrinti, vietoj to prašydamas apriboti jų naudojimą; 

44.3. kai duomenų valdytojui asmens duomenys tvarkymo tikslais jau nebereikalingi, tačiau jų reikia duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus; 

44.4. kai duomenų tvarkymas yra apribotas 46 papunkčiu, išskyrus saugojimą, juos galima tvarkyti tik gavus duomenų subjekto sutikimą arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus, arba apsaugoti kito fizinio ar juridinio asmens teises, arba dėl svarbaus Europos Sąjungos arba valstybės narės viešojo intereso priežasčių. 

45. Prieš panaikinant duomenų subjekto, prašiusio, kad būtų apribotas duomenų tvarkymas pagal 46 papunktį, duomenis, duomenų valdytojas jį apie tai informuoja. 

KETURIOLIKTAS SKIRSNIS 

PAREIGA PRANEŠTI 

46. Kiekvienam duomenų gavėjui, kuriam buvo atskleisti asmens duomenys, duomenų valdytojas praneša apie bet kokį tokių duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą, nebent to padaryti nebūtų įmanoma arba tai pareikalautų neproporcingų pastangų. Duomenų subjektui paprašius, duomenų valdytojas informuoja subjektą apie minėtus duomenų gavėjus. 

14 

KETVIRTAS SKYRIUS 

DUOMENŲ SAUGOJIMAS 

PENKIOLIKTAS SKIRSNIS 

DUOMENŲ SAUGOJIMO BENDRIEJI REIKALAVIMAI 

47. Asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas). 

48. Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas ir duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas. 

49. Nustatant tinkamo lygio saugumą atsižvelgiama į pavojus, kurie kyla dėl duomenų tvarkymo, visų pirma dėl netyčinio arba neteisėto persiųstų, saugomų ar kitaip tvarkomų duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų. 

50. Duomenų valdytojas ir duomenų tvarkytojas imasi priemonių, siekdami užtikrinti, kad bet kuris duomenų valdytojui arba tvarkytojui pavaldus fizinis asmuo, galintis susipažinti su asmens duomenimis, jų netvarkytų, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tas asmuo privalo tai daryti pagal Europos Sąjungos arba valstybės narės teisę. 

51. Duomenų valdytojas, sudarydamas rašytinę ar kitokią sutartį su fiziniu ar juridiniu asmeniu, kuris yra tretysis asmuo ir, vykdydamas pastarąją sutartį, gali sužinoti duomenų valdytojo tvarkomus duomenų subjektų asmens duomenis, privalo sudaryti su juo konfidencialumo susitarimą. 

ŠEŠIOLIKTAS SKIRSNIS 

DUOMENŲ BYLŲ, KNYGŲ IR ĮRAŠŲ SAUGOJIMAS 

52. Duomenų bylos, knygos, įrašai turi būti saugojami tam skirtoje saugioje patalpoje, į kurią gali patekti tik duomenų valdytojas, tvarkytojas ar jų įgalioti asmenys. 

53. Tuo atveju, kai nėra anksčiau minėtus reikalavimus atitinkančios patalpos, duomenų bylos, knygos, įrašai turi būti saugomi rakinamoje spintoje, esančioje duomenų valdytojui ar tvarkytojui priklausančioje patalpoje, imantis visų reikalingų priemonių, kad asmens duomenys netaptų prieinami neįgaliotiems asmenims. 

15 

SEPTYNIOLIKTAS SKIRSNIS 

DUOMENŲ SAUGOJIMAS ARCHYVE 

54. Ypatingas dėmesys turi būti skiriamas archyvų saugumui ir duomenų prieinamumo kontrolei. 

55. Archyvas privalo turėti užrakto sistemą ir būti apsaugotas nuo vagystės ir įsilaužimo. 

56. Duomenų valdytojas, tvarkytojas ar jų įgaliotas asmuo turi užtikrinti, kad archyvas nebūtų prieinamas pašaliečiams. 

AŠTUONIOLIKTAS SKIRSNIS 

DUOMENŲ SAUGOJIMAS SKAITMENINIAME ARCHYVE 

57. Skaitmeniniuose archyvuose esantys duomenys turi būti tvarkomi naudojant licencijuotą programinę įrangą. Prieiga prie skaitmeniniuose archyvuose esančių duomenų turi būti apsaugota slaptažodžiais. 

58. Duomenų valdytojas privalo užtikrinti siunčiamų duomenų saugumą, pasitelkdamas neprieinamumą tretiesiems asmenims užtikrinančias priemones. 

59. Įrenginiai ir laikmenos su asmens duomenimis turi būti laikomi rakinamose patalpose ir apsaugoti nuo neteisėtos prieigos. 

DEVYNIOLIKTAS SKIRSNIS 

PAREIGA PRANEŠTI APIE DUOMENŲ APSAUGOS PAŽEIDIMĄ 

60. Duomenų tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, apie tai praneša duomenų valdytojui. 

61. Duomenų valdytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo tada, kai sužinojo apie pažeidimą, apie tai praneša priežiūros institucijai, nebent asmens duomenų saugumo pažeidimas nekeltų pavojaus duomenų subjektų teisėms ir laisvėms. 

62. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, duomenų valdytojas apie pažeidimą praneša asmens duomenų subjektui. Duomenų subjektui pranešti nereikia, jeigu įvykdomos bet kurios iš toliau išvardintų sąlygų: 

62.1. duomenų valdytojas tinkamai apsaugojo asmens duomenis, kurie buvo pažeisti, ir užtikrino, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, užšifruoti; 

62.2. duomenų valdytojas ėmėsi priemonių užtikrinti, kad daugiau nebegalėtų kilti didelis pavojus duomenų subjektų teisėms ir laisvėms; 

62.3. pranešimas duomenų subjektui pareikalautų neproporcingai daug pastangų. Tokiu atveju vietoj pranešimo duomenų subjektui apie tai viešai paskelbiama arba kitaip efektyviai informuojama. 16 

PENKTAS SKYRIUS 

DUOMENŲ PAREIGŪNAS 

63. Duomenų valdytojas ir duomenų tvarkytojas užtikrina, kad duomenų apsaugos pareigūnas būtų tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą. 

64. Duomenų apsaugos pareigūnas privalo užtikrinti slaptumą arba konfidencialumą, susijusį su jo užduočių vykdymu, laikydamasis Europos Sąjungos ar Sąjungos valstybės narės teisės. 

65. Duomenų apsaugos pareigūnas gali vykdyti kitas užduotis ir pareigas. Duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad šių ir panašių užduočių ir pareigų atlikimo nekiltų interesų konfliktas.