Paroda „Ką pasėsi …2019“ VVG atstovo akimis
2019 8 balandžio
Teritorinio bendradarbiavimo projekto „Dzūkijos piliakalnių kelias“ edukacijų savaitė Alytaus rajono ir Trakų krašto VVG Teritorijose
2019 8 balandžio
2019 m. balandžio 4 d. Alytaus rajono vietos veiklos grupės (VVG ) atstovai dalyvavo Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos bei VšĮ Europos socialinio fondo agentūra (toliau – ESFA) organizuotoje diskusijoje „Projektų įgyvendinimo sėkmė ir iššūkiai Alytaus ir Marijampolės apskrityse“ (toliau – diskusija).
VVG visada svarbu atstovauti VVG narius ir apginti jų pozicijas kai VVG nariai dalyvaudami projektuose patiria problemas. Šiuo atveju VVG nariams tapo sudėtinga dėl projekto dalyvių anketavimo ESFA projektuose po to kai Bendrasis duomenų apsaugos reglamentas (ES) 2016/679 sugriežtėjo ir tuo pagrindu buvo sugriežtintas LR Asmens duomenų teisinės apsaugos įstatymas.
VVG raštu užklausė Asmens duomenų inspekciją dėl VšĮ Europos socialinio fondo agentūra (toliau – ESFA) anketavimo ir asmens duomenų kaupimo. VVG atstovai dalyvaudami diskusijoje Lietuvos Respublikos socialinės apsaugos ir darbo ministerijai siūlė mažinti anketų apimtis (asmens duomenų kiekius) bei naudoti dalyviams naudoti elektroninį registravimąsi projekte. Buvo pateikta ir kitų pasiūlymų dėl ESFA projektų efektyvumo užtikrinimo.
Cituojame 2019 m. balandžio 3 d. gautą Asmens duomenų inspekcijos atsakymą:
„vadovaujantis Valstybinės duomenų apsaugos inspekcijos (toliau – Inspekcija) darbo reglamento, patvirtinto Valstybinės duomenų apsaugos inspekcijos direktoriaus 2014 m. gegužės 16 d. įsakymu Nr. 1T-33(1.12.), 83 punktu, teikiant konsultacijas elektroniniu paštu pateikiama įgalioto teikti konsultacijas valstybės tarnautojo, kaip asmens duomenų apsaugos specialisto, nuomonė.
Informuojame, kad jog asmens duomenų tvarkymas laikomas teisėtu, jeigu jis atitinka asmens duomenų tvarkymo principus, įtvirtintus 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Reglamentas 5 straipsnyje, ir yra pagrįstas bent viena asmens duomenų tvarkymo sąlyga, įtvirtinta Reglamento 6 ir (ar) 9 straipsnyje, atsižvelgiant į tvarkomų asmens duomenų kategoriją. Tuo atveju, jei nėra nei vienos iš Reglamente nurodytos asmens duomenų teisėto tvarkymo sąlygos ir teisėto asmens duomenų tvarkymo tikslo, asmens duomenys negali būti tvarkomi.
Reglamento 5 straipsnio 1 dalies c punkte nustatyta, jog asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas).
Dėl VšĮ Europos socialinio fondo agentūros (toliau – ESFA) reikalavimų pateikti išsamias asmens duomenų anketas teisėtumo, informuojame, kad tuo atveju, jei ESFA veikia pagal Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos parengtas taisykles, aprašus ir tvarkas, vadovaudamasi juose suteiktais įgaliojimais ar reikalaudama duomenų, kuriuos įpareigoja surinkti teisės aktai arba kai tokie duomenys turi būti įtraukti į valstybės informacines sistemas ar registrus, kurių veikimą, jų naudojimo tvarką ir kitus susijusius klausimus reguliuoja teisės aktai, tokių duomenų reikalavimas būtų pagrįstas ir teisėtas, kol duomenų valdytojui taikyti teisės aktai, konkretų projektą įgyvendinantys teisės aktai ar minėtas informacines sistemas (registrus) reguliuojantys teisės aktai yra galiojantys.
Pastebėtina, kad tuo atveju, jei duomenų valdytojas savarankiškai pasirenka, kokius asmens duomenis rinkti jo veikloje, t. y. tai nėra nustatyta teisės aktuose ar su paramos gavėjais pasirašytose sutartyse ir siekiama duomenis įtraukti į teisės aktais nereguliuojamus vidinius duomenų valdytojo (duomenų tvarkytojo) registrus, toks duomenų valdytojas privalo laikytis visų Reglamente nustatytų reikalavimų, įpareigojančių įvertinti, ar duomenų valdytojo veikloje yra būtina rinkti konkrečius duomenis ir, jei taip, tuomet rinkti tik tuos duomenis, kurie yra būtini siekiamam tikslui pasiekti duomenų rinkimo veiksmus.
Pastebėtina, kad ESFA savo veikloje turi užtikrinti, kad asmens duomenų tvarkymas būtų pagrįstas Reglamentu ir sugebėti įrodyti, kad laikosi Reglamente nustatytų reikalavimų, kaip to reikalauja Reglamento 5 straipsnio 2 dalis. Tai apima ir pareigą sugebėti įrodyti, kad ESFA laikosi ir duomenų kiekio mažinimo principo ir kad asmens duomenys tvarkomi užtikrinant tinkamas organizacines ir technines priemones. Todėl taip pat siūlytume kreiptis į duomenų valdytoją – ESFA, dėl jos atliekamo asmens duomenų tvarkymo.
Atkreipiame Jūsų dėmesį į tai, kad, ar duomenų valdytojas (ESFA) turėtų apmokyti kitus duomenų valdytojus ar duomenų tvarkytojus dėl dalyvavimo projekte ar sprendžiant kitus su projektų įgyvendinimu ar skirtų lėšų panaudojimo įrodinėjimu, kaip minėtus subjektus apmokyti, turi nuspręsti pati ESFA, nes Reglamentas tokios pareigos duomenų valdytojui apmokyti kitus duomenų valdytojus nenustato.
Dėl duomenų apsaugos pareigūno
Atkreipiame Jūsų dėmesį, kad Reglamento 37 straipsnyje nustatyta, kad duomenų valdytojas privalo paskirti duomenų apsaugos pareigūną, jei:
- Duomenis tvarko valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas;
- Duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus; arba
- Duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu pagal 9 straipsnį ir 10 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu
Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ) 2 straipsnio 2 dalyje nurodyta, kad valdžios institucijos ir įstaigos – valstybės ir savivaldybių institucijos ir įstaigos, įmonės ir viešosios įstaigos, finansuojamos iš valstybės ar savivaldybių biudžetų bei valstybės pinigų fondų ir Lietuvos Respublikos viešojo administravimo įstatymo nustatyta tvarka įgaliotos atlikti viešąjį administravimą arba teikiančios asmenims viešąsias ar administracines paslaugas ar vykdančios kitas viešąsias funkcijas.
Taigi, organizacija privalo paskirti duomenų apsaugos pareigūną, jei atitinka aukščiau nurodytas sąlygas. Tuo atveju, jei tokia pareiga duomenų valdytojui nekyla, duomenų valdytojas turėtų įvertinti, ar, atsižvelgiant į duomenų valdytojo veiklą, nebūtų tikslinga duomenų apsaugos pareigūno paskirti ir nesant tokio reikalavimo Reglamente“.
Alytaus rajono vietos veiklos grupės informacija
