UAB “THINKING ORGANISATIONS” ASMENS DUOMENŲ TVARKYMO POLITIKA

1. PAGRINDINĖS POLITIKOS SĄVOKOS

 

1.1. ADTAĮ – Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas.

1.2. Atsakingas darbuotojas – Duomenų valdytojo Darbuotojas, kuris pagal užimamas pareigas ir darbo pobūdį turi teisę vykdyti konkrečias su Duomenų tvarkymu susijusias funkcijas.

1.3. Atstovas – asmuo atstovaujantis Duomenų valdytojo partnerius (paslaugų tiekėjus), tiek fizinius, tiek juridinius asmenis.

1.4. BDAR – Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas).

1.5. Besikreipiantis asmuo – fizinis asmuo besidomintis Duomenų valdytojo teikiamomis paslaugomis, ar norintis susisiekti su Duomenų valdytoju kitais klausimais.

1.6. Duomenų valdytojas – UAB “Thinking organisations”, juridinio asmens kodas 303342072, buveinės adresas – Genio g. 15-1, LT-00169, Palanga.

1.7. Darbuotojas – asmuo, kuris su Duomenų valdytoju yra sudaręs darbo arba panašaus pobūdžio sutartį.

1.8. Duomenys/Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektą); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.

1.9. Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami Asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne.

1.10. Duomenų subjektas – Atstovas, Besikreipiantis asmuo, Klientas, Kandidatas, Skambinantieji telefonu arba bet koks kitas fizinis asmuo, kurio asmens duomenis tvarko Duomenų valdytojas.

1.11. Duomenų tvarkymas reiškia bet kurią operaciją ar operacijų rinkinį, automatiniais arba neautomatiniais būdais atliekamus su asmens duomenimis, tokius kaip: rinkimas, užrašymas, rūšiavimas, saugojimas, adaptavimas ar keitimas, atgaminimas, paieška, naudojimas, atskleidimas perduodant, platinant ar kitu būdu padarant juos prieinamus, išdėstymas reikiama tvarka ar sujungimas derinant, blokavimas, trynimas ar naikinimas.

1.12. Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri Duomenų valdytojo vardu ar naudai tvarko Asmens duomenis.

1.13. Kandidatas – asmuo, dalyvaujantis ar siekiantis dalyvauti Duomenų valdytojo vykdomoje personalo atrankoje.

1.14. Klientas – asmuo, sudaręs sutartį su Duomenų valdytoju dėl Platformos paslaugų teikimo.

1.15. Kompiuterinė įranga – kompiuteriai, terminalai, serveriai, laikmenos, kita Duomenų valdytojui teisėtu pagrindu (nuosavybės teise, nuomos ar kitais pagrindais) priklausanti kompiuterinė įranga ir joje esanti programinė įranga, tame tarpe elektroninė pašto dėžutė, bendravimo interneto tinklu programos, debesų kompiuterijos paslaugos, interneto prieiga.

1.16. Politika reiškia šią Asmens duomenų tvarkymo politiką.

1.17. Platforma – reiškia Unlock testų platformą (esančią www.app.unlocktest.com), kurioje sudaroma galimybė užsiregistravus ir apmokėjus už paslaugas registruotiems klientams ir jų darbuotojams arba kandidatams įdarbinimo atrankoje (arba, Duomenų valdytojui suteikus ribotą laike galimybę naudotis paslaugomis nemokamai – be paslaugų apmokėjimo) jų pasirinktuose įrenginiuose pildyti klausimynus ir testus asmenybės savybių įvertinimui.

1.18. Priežiūros institucija – Valstybinė duomenų apsaugos inspekcija.

1.19. Profiliavimas – bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma siekiant išanalizuoti ar numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu.

1.20. Trečioji šalis – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis.

1.21. Skambinantysis telefonu – asmuo skambinantis Duomenų valdytojo viešai paskelbtu kontaktiniu telefono numeriu dėl paslaugų teikimo ir/ar kitais klausimais.

1.22 Kitos Politikoje vartojamos sąvokos atitinka BDAR ir ADTAĮ vartojamas sąvokas.

 

2. BENDROSIOS NUOSTATOS

 

2.1. Šios Politikos paskirtis – reglamentuoti asmens duomenų tvarkymo procedūras, duomenų subjektų teisių įgyvendinimą ir technines bei organizacines priemones, skirtas apsaugoti asmens duomenis pagal BDAR, ADTAĮ ir kitus teisės aktus, nustatančius asmens duomenų apsaugą.

2.2.  Duomenų valdytojas užtikrina, kad jis atitinka šiuos esminius su asmens duomenų tvarkymu susijusius principus:

2.2.1. Asmens duomenys turi būti Duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);

2.2.2. Asmens duomenys turi būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais nėra laikomas nesuderinamu su pirminiais tikslais (tikslo apribojimo principas);

2.2.3. Asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

2.2.4. Asmens duomenys turi būti tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);

2.2.5. Asmens duomenys turi būti laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, įgyvendinus atitinkamas technines ir organizacines priemones, reikalingų siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);

2.2.6. Asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas);

2.2.7. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi aukščiau nurodytų principų, ir turi sugebėti įrodyti, kad jų yra laikomasi (atskaitomybės principas).

2.3. Duomenys tvarkomi tinkamai informavus Duomenų subjektus laikantis Politikoje ir BDAR numatytų reikalavimų.

2.4. Duomenys saugomi laikotarpius, nurodytus šioje Politikoje, kurie gali skirtis kiekvienam Asmens duomenų tipui. Saugojimas ir naikinimas atliekami pagal procedūras šioje Politikoje.

2.5. Siekdamas tinkamai įgyvendinti atskaitomybės principą, Duomenų valdytojas paskiria Darbuotoją, atsakingą už tinkamą Duomenų tvarkymo veiklos įrašų pildymą registruojant tvarkymo operacijas Duomenų valdytojo atsakomybe.

2.6. Prieiga prie Duomenų suteikiama tik Atsakingiems darbuotojams ir duomenų tvarkytojams.

2.7. Duomenų tvarkytojo prieigos teisės prie Duomenų naikinamos nutraukus asmens duomenų tvarkymo sutartį, sudarytą su Duomenų valdytoju, ar šiai sutarčiai nustojus galioti.

2.8. Atsakingi darbuotojai privalo:

2.8.1. Tvarkyti Asmens duomenis vadovaudamiesi Europos Sąjungos ir Lietuvos Respublikos teisės aktais, taip pat šia Politika ir jos priedais;

2.8.2. Neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su duomenimis asmenims, kurie nėra įgalioti tvarkyti Duomenų;

2.8.3. Nedelsiant pranešti Duomenų valdytojui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę duomenų saugumui.

2.9. Atsakingas darbuotojas netenka teisės tvarkyti Asmens duomenis, kai pasibaigia Atsakingo darbuotojo darbo sutartis su Duomenų valdytoju, arba kai pasikeitus Darbuotojo užimamoms pareigoms Asmens duomenys tampa nebereikalingi darbo funkcijoms vykdyti.

2.10. Duomenys perduodami duomenų tvarkytojams ir duomenų gavėjams, kai teisę ir (ar) pareigą tai daryti atitinkamais pagrindais suteikia teisės aktai arba sutartis.

2.11. Asmens duomenys Duomenų valdytojo gali būti pateikti ikiteisminio tyrimo įstaigai, prokurorui ar teismui dėl administracinių, civilinių, baudžiamųjų bylų, kaip įrodymai ar kitais įstatymų nustatytais atvejais.

 

3. DUOMENŲ TVARKYMO TIKSLAI IR APIMTIS

 

3.1. Asmens duomenų tvarkymo tikslus nustato Duomenų valdytojo vadovas. Duomenų valdytojo vadovas, prieš priimdamas sprendimą dėl naujo duomenų tvarkymo tikslo, konsultuojasi su duomenų apsaugos pareigūnu ar/ir su už duomenų apsaugą Atsakingu darbuotoju.

3.2. Siekiant mažinti Duomenų valdytojo tvarkomų duomenų apimtį, kiekvieno skyriaus vadovai, arba jų paskirti kompetentingi darbuotojai, kartą per metus atlieka savo skyriaus žinioje tvarkomų duomenų analizę, siekdami išsiaiškinti, ar nėra tvarkomi duomenys, kurie nėra aprašyti šioje Politikoje, taip pat ar nėra duomenų, kurie tapo nebereikalingi arba kurių tvarkymui nebeliko teisinio pagrindo (pvz. sutikimo, įstatymo prievolės, teisėto intereso, sutarties).

3.3. Identifikavus perteklinius, nebenaudojamus duomenis, arba duomenis, kurių tvarkymui nebeliko teisinio pagrindo, skyriaus vadovai apie juos nedelsdami įprastomis Bendrovėje komunikavimo priemonėmis praneša Bendrovės vadovui ir/arba duomenų apsaugos pareigūnui.

3.4. Gavę skyriaus vadovo pranešimą apie perteklinius duomenis Bendrovės vadovas ir/arba duomenų apsaugos pareigūnas imasi atitinkamų priemonių pašalinti galimam duomenų tvarkymo neatitikimui Reglamento ir kitų teisės aktų nuostatoms, taip pat pakoreguoja Bendrovės tvarkomų duomenų veiklos įrašus.

 

4. DARBUOTOJŲ DUOMENŲ TVARKYMAS VIDAUS ADMINISTRAVIMO TIKSLAIS

 

4.1. Vidaus administravimo tikslais Duomenų valdytojas tvarko tokius Darbuotojų Asmens duomenis:

4.1.1. Vardas;

4.1.2. Pavardė;

4.1.3. Asmens kodas;

4.1.4. Gyvenamosios vietos adresas;

4.1.5. Gimimo data;

4.1.6. Banko sąskaitos numeris;

4.1.7. Darbo užmokesčio dydis;

4.1.8. Socialinio draudimo numeris;

4.1.9. Asmens tapatybės dokumentų duomenys;

4.1.10. Asmeninis telefono numeris;

4.1.11. El. pašto adresas;

4.1.12. Informacija apie šeiminę padėtį (kiek tai būtina darbo santykių įforminimui ir vykdymui, pvz. gimimo liudijimai);

4.1.13. Išsilavinimą patvirtinantys dokumentai;

4.1.14. Duomenys apie sveikatą;

4.1.15. Kita su darbo santykiais susijusiame kontekste būtina tvarkyti informacija.

4.2. Darbuotojų Duomenys gaunami tiesiogiai iš Duomenų subjektų, Valstybinės mokesčių inspekcijos prie Lietuvos Respublikos finansų ministerijos (toliau – VMI), Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos (toliau – SODRA).

4.3. Darbuotojų Duomenys susistemintai tvarkomi ne automatiniu būdu specialiai pažymėtuose segtuvuose ir laikomi spintoje bei automatiniu būdu – pasitelkiant apskaitos programą.

4.4. Nuolatiniu Darbuotojų Duomenų gavėju yra VMI. Duomenys VMI teikiami per Elektroninę aptarnavimo sistemą (EDS).

4.5. Nuolatiniu Darbuotojų Duomenų gavėju yra SODRA. Duomenys Sodrai teikiami per Elektroninę draudėjų aptarnavimo sistemą (EDAS).

4.6. Kitiems Duomenų gavėjams Darbuotojų Duomenys gali būti perduodami tik šių prašymu esant teisėtam perdavimo pagrindui arba gavus privalomą vykdymui įgaliotos institucijos nurodymą (pvz. antstoliams konkrečioje vykdomojoje byloje).

4.7. Darbuotojai apie jų duomenų tvarkymą informuojami pasirašytinai juos supažindinant su šia Politika.

4.8. Darbuotojų Asmens duomenų administravimo tikslais tvarkymo pagrindais yra: BDAR 6 straipsnio 1 dalies b punktas (tvarkymas reikalingas su Darbuotojais sudarytos sutarties vykdymui), c punktas (tvarkymas reikalingas vykdyti Duomenų valdytojui taikomas teisines prievoles), f punktas (tvarkymas reikalingas siekiant teisėtų Duomenų valdytojo interesų).

 

5. ASMENS DUOMENŲ TVARKYMAS KANDIDATŲ Į DARBO VIETAS ATRANKOS TIKSLAIS

 

5.1. Duomenų valdytojas atrankos į darbo vietas tikslais tvarko tokius Kandidatų pateiktus Asmens duomenis:

5.1.1. Vardas, pavardė;

5.1.2. Gimimo data;

5.1.3. Telefono numeris;

5.1.4. El. pašto adresas;

5.1.5. Gyvenamosios vietos adresas;

5.1.6. Išsilavinimas;

5.1.7. Darbovietė;

5.1.8. Išklausyti kursai;

5.1.9. Mokamos kalbos;

5.1.10. Darbo kompiuteriu įgūdžiai;

5.1.11. Rekomendacijos;

5.1.12. Kiti Kandidato savanoriškai pateikti jo gyvenimo aprašyme ir/ar kituose pateiktuose dokumentuose esantys Duomenys.

5.2. Tinkamas Kandidatų informavimas užtikrinamas skirtingais būdais priklausomai nuo to, kaip buvo pateiktas prašymas priimti į darbą:

5.2.1. Jei prašymas pateikiamas el. paštu arba užpildžius anketą portale, kuriame yra patalpintas Duomenų valdytojo skelbimas, Kandidatui į jo el. paštą išsiunčiamas automatinis pranešimas su pranešimu apie jo Asmens duomenų tvarkymą. Alternatyva: Duomenų valdytojo skelbime informuoti Kandidatus apie jų duomenų tvarkymą;

5.2.2. Jei prašymas pateikiamas asmeniškai, informacija turi būti pateikta prašymą priimančio Darbuotojo prašymo pateikimo metu.

5.3. Duomenys gaunami tiesiogiai iš Kandidatų ir nėra perduodami tretiesiems asmenims.

5.4. Tuo atveju, jei Lietuvos Respublikos teisės aktai numato papildomų apribojimų dėl to, kokia informacija apie Kandidatus gali būti tvarkoma, Duomenų valdytojas užtikrina, kad būtų tvarkomi tik leidžiami tvarkyti Kandidatų Asmens duomenys.

5.5. Asmens duomenų personalo atrankos tikslais tvarkymo pagrindais yra: BDAR 6 straipsnio 1 dalies a punktas, b punktas (sutikimas, išreikštas pateikiant savo duomenis ir įvertinant Kandidato duomenų pateikimą kaip aktyvų sutikimą tvarkyti jo asmens duomenis konkrečios personalo atrankos (paskelbtos ar kitu būdu tapusios žinomos Kandidatui) metu ir/ar prašymas prieš sudarant sutartį).

6. ASMENS DUOMENŲ TVARKYMAS UŽKLAUSOS VYKDYMO TIKSLAIS

 

6.1. Besikreipiančiųjų asmenų, įskaitant Skambinančiuosius telefonu, į Duomenų valdytoją paslaugų teikimo ar/ir kitais klausimais tikslu asmens duomenų tvarkymas. Duomenų valdytojas tvarko tokius Besikreipiančiųjų, įskaitant Skambinančiuosius telefonu, asmens duomenis:

6.1.1. Vardas;

6.1.2. Pavardė;

6.1.3. Telefono numeris;

6.1.4. El. pašto adresas.

6.2. Besikreipiančiųjų konsultacijų, užklausų tikslais į Duomenų valdytoją Duomenų subjektų Asmens duomenys nėra perduodami tretiesiems asmenims.

6.3. Asmens duomenų konsultacijos, užklausos pateikimo tikslais tvarkymo pagrindu yra: BDAR 6 straipsnio 1 dalies a punktas (sutikimas, išreikštas pateikiant savo duomenis).

 

7. ASMENS DUOMENŲ TVARKYMAS UNLOCK  TESTŲ PLATFORMOS IR UNLOCK MOKYTOJAMS PLATFORMOS PASLAUGŲ TEIKIMO TIKSLU

 

7.1. Duomenų valdytojas vykdydamas Klientų (jų Atstovų) ir jų nurodytų darbuotojų arba asmenų, kurie dalyvauja atrankoje dėl įdarbinimo asmens duomenų tvarkymas. Kai duomenys tvarkomi pagal Kliento nurodymą – jo darbuotojų arba asmenų, kurie dalyvauja Kliento atrankoje dėl įdarbinimo, tokius duomenis UAB „Thinking Organisations“ tvarko kaip duomenų tvarkytojas. Kitais atvejais, kai tvarkomi duomenys sutarties sudarymo ir vykdymo tikslais, duomenys tvarkomi kaip Duomenų valdytojo. Tvarkomi šie duomenys:

  • Vardas;
  • Pavardė;
  • Atstovaujamas asmuo (ryšys su atstovaujamu asmeniu);
  • Darbovietė (tik Atstovų);
  • Telefono numeris;
  • El. pašto adresas;
  • Mokėjimo duomenys (įskaitant informaciją apie mokėtojo asmens kodą, jeigu mokėtojas pasirenka jį pateikti);
  • Duomenys, pateikiami pildant klausimynus ir testus;

7.2. Kita informacija susijusi su Platformos naudojimo ir jos aptarnavimo paslaugomis.

7.3. Duomenys gaunami tiesiogiai iš Klientų, jų darbuotojų, Klientų atrankose dalyvaujančių asmenų ar jų atstovų, turint jų sutikimą, vykdant sutartį su Klientu, ar/ir įstatymo nustatyta tvarka pagal poreikį perduodami šiems gavėjams:

7.3.1. VMI;

7.3.2. Sodra;

7.3.3. Statistikos departamentas;

7.3.4. VĮ Registrų centras;

7.3.5. Kitoms valstybinėms, savivaldybių institucijoms ar privatiems juridiniams ar fiziniams asmenims (pvz. kliento tiekėjams, pirkėjams, bankams, notarams, auditoriams), kurie turi teisę pateikti privalomus nurodymus teikti informaciją arba kliento pavedimu.

7.4. Duomenų valdytojas gali pateikti Klientų ir kitų Duomenų subjektų asmens duomenis šioje Politikoje nenurodytiems Duomenų tvarkytojams, kurie teikia paslaugas (atlieka darbus) Duomenų valdytojui ir tvarko Klientų ir Duomenų subjektų asmens duomenis Duomenų valdytojo vardu. Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik pagal Duomenų valdytojo nurodymus ir tik ta apimtimi, kiek tai yra būtina siekiant tinkamai vykdyti sutartyje nustatytus įsipareigojimus. Pasitelkdamas duomenų tvarkytojus Duomenų valdytojas imasi visų reikiamų priemonių, siekdamas užtikrinti, kad duomenų tvarkytojai būtų įgyvendinę tinkamas organizacines ir technines saugumą užtikrinančias priemones bei išlaikytų asmens duomenų paslaptį.

7.5. Asmens duomenų paslaugų teikimo tikslais tvarkymo pagrindais yra: BDAR 6 straipsnio 1 dalies a punktas (sutikimas) ir/ar b punktas (sutarties vykdymas), c punktas (duomenų valdytojo teisinė prievolė).

 

8. ASMENS DUOMENŲ TVARKYMAS MOKSLINIŲ TYRIMŲ TIKSLU

 

8.1. Mokslinių tyrimų, statistinių ataskaitų tikslu gali būti naudojami tik anonimizuoti duomenys ir nėra naudojami asmens duomenys, kurie galėtų būti susieti su konkrečiais Duomenų subjektais.

9. ASMENS DUOMENŲ TVARKYMAS SUTARČIŲ SU PARTNERIAIS VYKDYMO TIKSLU

 

9.1. Duomenų valdytojas bendradarbiaudamas su partneriais (paslaugų teikėjais) tvarko tokius fizinių ar juridinių asmenų Atstovų asmens duomenis:

9.1.1. Vardas;

9.1.2. Pavardė;

9.1.3. Asmens kodas;

9.1.4. Adresas;

9.1.5. Įgaliojimas;

9.1.6. Įgaliojimo laikas;

9.1.7. Atstovaujamas asmuo (ryšys su atstovaujamuoju asmeniu);

9.1.8. Pareigos;

9.1.9. Telefono numeris;

9.1.10. El. paštas.

9.2. Duomenys gaunami tiesiogiai iš Atstovų ir nėra perduodami tretiesiems asmenims.

9.3. Atstovų duomenų sutarčių su partneriais vykdymo tikslu tvarkymo pagrindu yra: BDAR 6 straipsnio 1 dalies f punktas (Duomenų valdytojo teisėtas interesas).

10. ASMENS DUOMENŲ TVARKYMAS TIESIOGINĖS RINKODAROS TIKSLAIS

 

10.1. Tiesioginės rinkodaros vykdymo tikslu Duomenų valdytojas tvarko tokius sutikimą davusių Klientų, jų darbuotojų ir kitų Duomenų subjektų Asmens duomenis:

10.1.1. Vardas;

10.1.2. Pavardė;

10.1.3. Telefono numeris;

10.1.4. El. pašto adresas.

10.2. Duomenys, tvarkomi tiesioginės rinkodaros tikslu, Duomenų valdytojo gaunami tiesiogiai iš Klientų, jų darbuotojų, kitų Duomenų subjektų ir nėra perduodami tretiesiems asmenims.

10.3. Asmens duomenų tiesioginės rinkodaros tikslais tvarkymo pagrindu yra: BDAR 6 straipsnio 1 dalies a punktas (Duomenų subjekto sutikimas).

11. DUOMENŲ SAUGOJIMO TERMINAI

 

11.1. Duomenų valdytojas taiko skirtingus Asmens duomenų saugojimo terminus priklausomai nuo tikslo, kuriuo remiantis tvarkomi konkretūs Asmens duomenys.

11.2.      Duomenų valdytojas taiko šiuos Asmens duomenų saugojimo terminus:

Nr. Asmens duomenų tvarkymo tikslas Saugojimo terminas
1. Personalo Asmens duomenų tvarkymas administravimo tikslais 50 metų po darbo sutarties nutraukimo vadovaujantis Bendrųjų dokumentų saugojimo terminų rodykle
2. Duomenų subjektų Asmens duomenų tvarkymas užklausų įvykdymo tikslais 3 metai nuo užklausos įvykdymo dienos. Išskyrus atvejus, kai Duomenų subjektas kreipiasi dėl Duomenų valdytojo prekių pirkimo ar paslaugų  teikimo. Tuomet taikomas bendrasis 10 metų terminas
3. Klientų Asmens duomenų tvarkymas Platformos paslaugų teikimo tikslais 10 metų nuo paskutinio kontakto
4. Atstovų asmens duomenų tvarkymas sutarčių su partneriais vykdymo tikslu Sutarties galiojimo metu ir 10 metų po sandorio pasibaigimo
5. Kandidatų Asmens duomenų tvarkymas personalo atrankos tikslais 4 mėnesiai po to, kai Kandidatas yra priimamas į darbą. Ilgesniam Kandidatų gyvenimo aprašymo ir kitų duomenų saugojimui reikalingas Kandidato sutikimas
6. Duomenų subjektų Asmens duomenų tvarkymas tiesioginės rinkodaros tikslu 5 metus nuo sutikimo gavimo dienos, išskyrus atvejus, jei Duomenų subjektas pageidauja, šį terminą pratęsti

 

11.3.      Išimtys iš aukščiau nurodytų saugojimo terminų gali būti nustatomos tiek, kiek tokie nukrypimai nepažeidžia Duomenų subjektų teisių, atitinka teisinius reikalavimus ir yra tinkamai dokumentuoti.

11.4.      Duomenys, reikalingi siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus saugomi tiek, kiek šie yra būtini tokiems tikslams pasiekti pagal teisminę, administracinę arba neteisminę procedūrą.

 

12. DUOMENŲ SUNAIKINIMAS

12.1.      Sunaikinimas apibrėžiamas kaip fizinis ar techninis veiksmas, kuriuo dokumente esantys duomenys sunaikinami taip, kad jie tampa neatkuriamais.

12.2.      Elektronine forma saugomi Asmens duomenys sunaikinami juos ištrinant be galimybės atkurti.

12.3.      Popieriniai dokumentai, kuriuose yra Asmens duomenų, sunaikinami (pvz. susmulkinami dokumentų smulkintuvu).

 

13. DUOMENŲ SUBJEKTŲ TEISĖS

 

13.1.      Duomenų subjektas, kurio duomenys tvarkomi Duomenų valdytojo veikloje, turi šias teises:

13.1.1.  Teisė būti informuotam;

13.1.2.  Prieigos teisė;

13.1.3.  Ištaisymo ir ištrynimo teisė;

13.1.4.  Teisė apriboti duomenų tvarkymą;

13.1.5.  Teisė į duomenų perkeliamumą;

13.1.6.  Teisė prieštarauti duomenų tvarkymui;

13.1.7.  Teisė nesutikti, kad būtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas.

13.2.      Duomenų valdytojas gali nesudaryti Duomenų subjektams sąlygų įgyvendinti BDAR nustatytų teisių, kai įstatymų numatytais atvejais, reikia užtikrinti nusikaltimų, tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą, taip pat Duomenų subjekto ar kitų asmenų teisių ir laisvių apsaugą.

 

14. DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO TVARKA

 

14.1.      Gavę bet kokį Duomenų subjekto prašymą, Duomenų valdytojo Darbuotojai privalo arba jį perduoti kitam darbuotojui, kompetentingam nagrinėti tą konkretų prašymą, arba, jei jie turi tokią kompetenciją, nagrinėti prašymą patys.

14.2.      Jei prašymą pateikia Duomenų subjekto atstovas, Atsakingas darbuotojas turi imtis atitinkamų veiksmų siekdamas įsitikinti šio teise atstovauti tą konkretų asmenį.

14.3.      Informacija teikiama ir reikalavimai vykdomi tik prašymą teikiančiam asmeniui patvirtinus savo tapatybę ir pateikus pasirašytą prašymą ar jo kopiją.

14.4.      Duomenų valdytojo darbuotojai privalo žodžiu informuoti Asmens duomenų subjektus, kurie kreipėsi su prašymais įgyvendinti Asmens duomenų subjekto teises, apie aukščiau paminėtus reikalavimus ir tapatybės nustatymo būdus.

 

15. TEISĖS BŪTI INFORMUOTAM ĮGYVENDINIMO TVARKA

 

15.1.      Duomenų subjektams prieš pradedant tvarkyti jų Asmens duomenis būtina pateikti šią informaciją:

15.1.1.  Duomenų valdytojo pavadinimą, rekvizitus ir kontaktinius duomenis;

15.1.2.  Duomenų tvarkymo tikslus;

15.1.3.  Duomenų tvarkymo teisinį pagrindą;

15.1.4.  Duomenų apsaugos pareigūno, jei taikoma, kontaktinius duomenis;

15.1.5.  Asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;

15.1.6.  Teisę prašyti, kad Duomenų valdytojas leistų susipažinti su Duomenų subjekto Asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisę nesutikti, kad Duomenys būtų tvarkomi, taip pat teisę į Duomenų perkeliamumą;

15.1.7.  Teisę pateikti skundą Priežiūros institucijai;

15.1.8.  Jei yra, Asmens duomenų gavėjus arba Asmens duomenų gavėjų kategorijas;

15.1.9.  Teisėtus duomenų valdytojo arba trečiosios šalies interesus, kai duomenys tvarkomi siekiant teisėtų Duomenų valdytojo ar trečiosios šalies interesų;

15.1.10.        Kai taikoma, apie duomenų valdytojo ketinimą Asmens duomenis perduoti į trečiąją valstybę arba tarptautinei organizacijai;

15.1.11.        Kai taikoma, kad esama automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio Duomenų tvarkymo reikšmę ir numatomas pasekmes Duomenų subjektui.

15.2.      Tuo atveju, jei duomenų teisinio tvarkymo pagrindu yra teisinė prievolė ar sutartis, Duomenų subjektui pateikiama ši informacija:

15.2.1.  Informacija apie tai, ar Duomenų subjektas privalo pateikti Asmens duomenis ir galimas pasekmes nepateikus tokių duomenų;

15.2.2.  Informacija apie tai, ar duomenų pateikimas yra teisės aktuose arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina įvykdyti norint sudaryti sutartį.

15.3.      Tuo atveju, jei Asmens duomenys tvarkomi remiantis Duomenų subjekto sutikimu, šiam pateikiama tokia informacija:

15.3.1.  Informacija apie teisę atsiimti savo sutikimą bet kuriuo metu, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;

15.3.2.  Informacija apie teisę pareikalauti skaitmeninio dokumento su savo asmenine informacija, kai Duomenų subjektas informaciją Duomenų valdytojui pateikia susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu.

15.4.      Tuo atveju, jei Asmens duomenys gauti ne iš Duomenų subjekto, turi būti pateikiama aukščiau išvardyta informacija, išskyrus nurodytąją 15.2. punkte, bei papildomai ši informacija:

15.4.1. Asmens duomenų kategorijos, kurias planuojama tvarkyti;

15.4.2.Koks yra asmens duomenų kilmės šaltinis ir ar duomenys gauti iš viešai prieinamų šaltinių.

15.5.      15.1 – 15.4 punktai netaikomi, jeigu Duomenų subjektas jau turi informaciją, ir tiek, kiek tos informacijos jis turi.

15.6.      Duomenų gavimo ne iš Duomenų subjekto atveju, informacija pateikiama per:

15.6.1.  Vieną mėnesį nuo Duomenų gavimo;

15.6.2.  Jei Duomenys bus naudojami ryšiams su Duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo Duomenų subjektu;

15.6.3.  Jeigu numatoma Asmens duomenis atskleisti kitam Duomenų gavėjui – ne vėliau kaip atskleidžiant Duomenis pirmą kartą.

15.7.      Informacija turi būti pateikiama glausta, skaidria, aiškia ir lengvai prieinama forma, aiškia ir paprasta kalba.

15.8.      Informacija pateikiama raštu arba kitomis priemonėmis, įskaitant, prireikus, elektronine forma. Duomenų subjekto prašymu informacija gali būti suteikta žodžiu, tačiau visais atvejais apie konkretų asmenį renkama informacija pateikiama tik Duomenų subjektui įrodžius savo tapatybę.

15.9.      Pareiga pateikti informaciją netaikoma tiek, kiek:

15.9.1.  Tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų reminatis BDAR 12 str. 5 d. Tokiais atvejais Duomenų valdytojas imasi tinkamų priemonių Duomenų subjekto teisėms ir laisvėms bei teisėtiems interesams apsaugoti, įskaitant viešą informacijos paskelbimą;

15.9.2.  Duomenų gavimas ar atskleidimas aiškiai nustatytas Europos Sąjungos arba nacionalinėje teisėje įtvirtintuose teisės aktuose, ir kurie taikomi Duomenų valdytojui ir kuriuose nustatytos tinkamos teisėtų Duomenų subjekto interesų apsaugos priemonės;

15.9.3.  Kai Asmens duomenys privalo išlikti konfidencialūs laikantis Europos Sąjungos ar valstybės narės teise reglamentuojamos profesinės paslapties prievolės.

15.10.   Sutikimas nėra laikomas tinkamu, jei jis gautas Duomenų subjektui nepateikus privalomos pateikti informacijos apie jo asmens duomenų tvarkymą.

 

16. PRIEIGOS TEISĖS ĮGYVENDINIMO TVARKA

 

16.1.      Duomenų subjektas tiesiogiai arba per atstovą turi teisę iš Duomenų valdytojo gauti patvirtinimą, ar su juo susiję Asmens duomenys yra tvarkomi, o jei tokie Asmens duomenys yra tvarkomi, turi teisę susipažinti su Asmens duomenimis ir gauti informaciją, nurodytą 16.8 šios Politikos punkte.

16.2.      Teisę gauti informaciją apie Duomenų valdytojo tvarkomus Asmens duomenis Duomenų subjektas gali įgyvendinti pateikdamas laisvos formos prašymą arba užpildydamas Darbuotojo pateiktą Prašymo leisti susipažinti su duomenimis formą (Politikos priedas Nr. 2).

16.3.      Darbuotojas esant galimybei turi pasiūlyti besikreipiančiam Duomenų subjektui užpildyti nurodytą formą, nes šios laikymasis gali reikšmingai palengvinti pareigos pateikti reikalingą informaciją įgyvendinimą.

16.4.      Tikslas įprastai naudoti standartizuotas formas neturi būti suprantamas kaip teisė atsisakyti priimti nustatytos formos neatitinkantį Duomenų subjekto prašymą ar vilkinti jo nagrinėjimą, jei šis leidžia nustatyti Duomenų subjekto tapatybę.

16.5.      Atsakingas darbuotojas, nustatęs Duomenų subjekto tapatybę, nedelsdamas turi imtis veiksmų siekdamas išsiaiškinti, kokius Duomenų subjekto Asmens duomenis tvarko Duomenų valdytojas ir surenka 16.8 punkte nurodytą informaciją.

16.6.      Atsakingas darbuotojas pateikia tvarkomų Asmens duomenų kopiją arba suteikia prieigą prie šių Duomenų. Už bet kurias kitas Duomenų subjekto prašomas kopijas Duomenų valdytojas gali imti pagrįstą mokestį, nustatomą pagal administracines išlaidas.

16.7.      Teisė gauti kopiją negali daryti neigiamo poveikio kitų teisėms ir laisvėms, todėl prašymą vykdantis Atsakingas darbuotojas privalo uždengti ar pašalinti informaciją, susijusią su kitais fiziniais asmenimis. Be to, Atsakingas darbuotojas privalo užtikrinti, kad šios teisės neigiamai nepaveiktų kitų asmenų teisių ir laisvių, įskaitant komercines paslaptis arba intelektinės nuosavybės teises, ypač autorių teises, kuriomis saugoma programinė įranga.

16.8.      Kartu su Duomenų kopija (arba atskirai jei kopija nėra teikiama), prašymą vykdantis Atsakingas darbuotojas Duomenų subjektui pateikia šią informaciją:

16.8.1.  Duomenų tvarkymo tikslai;

16.8.2.  Atitinkamų Asmens duomenų kategorijos;

16.8.3.  Duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems buvo arba bus atskleisti Asmens duomenys, visų pirma duomenų gavėjai trečiosiose valstybėse arba tarptautinės organizacijos;

16.8.4.  Asmens duomenų saugojimo laikotarpis arba, jei neįmanoma jo nurodyti, kriterijai, taikomi tam laikotarpiui nustatyti;

16.8.5.  Teisė prašyti Duomenų valdytojo ištaisyti arba ištrinti Asmens duomenis ar apriboti su Duomenų subjektu susijusių Asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu;

16.8.6.  Teisė pateikti skundą Priežiūros institucijai;

16.8.7.  Kai Asmens duomenys renkami ne iš Duomenų subjekto, visa turima informacija apie jų šaltinius;

16.8.8.  Tai, ar taikomas automatizuotas sprendimų priėmimas, įskaitant profiliavimą, ir, bent tais atvejais, prasminga informacija apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes Duomenų subjektui.

16.9.      Kai Asmens duomenys perduodami į trečiąją valstybę arba tarptautinei organizacijai, Duomenų subjektas turi teisę būti informuotas apie tinkamas su Duomenų perdavimu susijusias apsaugos priemones.

16.10.   Kai Duomenų subjektas prašymą pateikia elektroninėmis priemonėmis ir Duomenų subjektas neprašo ją pateikti kitaip, informacija pateikiama įprastai naudojama elektronine forma.

 

17. TEISĖS IŠTAISYTI ARBA IŠTRINTI DUOMENIS ĮGYVENDINIMO TVARKA

 

17.1.      Duomenų subjektas turi teisę reikalauti, kad Duomenų valdytojas nepagrįstai nedelsdamas ištaisytų netikslius su juo susijusius Asmens duomenis. Atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, Duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs Asmens duomenys, be kita ko, pateikdamas papildomą pareiškimą.

17.2.      Duomenų subjektas turi teisę reikalauti, kad Duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius Asmens duomenis, o Duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti Asmens duomenis, jei tai galima pagrįsti viena iš šių priežasčių:

17.2.1.  Asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;

17.2.2.  Duomenų subjektas atšaukia sutikimą, kuriuo yra grindžiamas duomenų tvarkymas, ir nėra jokio kito teisinio pagrindo tvarkyti duomenis;

17.2.3.  Duomenų subjektas nesutinka su duomenų tvarkymu pagal šios Politikos 20.1 punktą ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis arba Duomenų subjektas nesutinka su duomenų tvarkymu pagal šios Politikos 20.2 punktą;

17.2.4.  Asmens duomenys buvo tvarkomi neteisėtai;

17.2.5.  Asmens duomenys turi būti ištrinti laikantis Europos Sąjungos arba nacionalinėje teisėje nustatytos teisinės prievolės.

17.3.      Kai Duomenų valdytojas viešai paskelbė Asmens duomenis ir pagal 17.1 ir 17.2. punktus privalo Asmens duomenis ištrinti, Duomenų subjekto prašymą nagrinėjantis Atsakingas darbuotojas, atsižvelgdamas į turimas technologijas ir įgyvendinimo sąnaudas, imasi pagrįstų veiksmų, įskaitant technines priemones, kad informuotų Duomenis tvarkančius duomenų valdytojus, jog Duomenų subjektas paprašė, kad tokie duomenų valdytojai ištrintų visas nuorodas į tuos Asmens duomenis arba jų kopijas ar dublikatus.

17.4.      17.1 ir 17.2 punktai netaikomi, jeigu duomenų tvarkymas yra būtinas:

17.4.1.  Siekiant pasinaudoti teise į saviraiškos ir informacijos laisvę;

17.4.2.  Siekiant laikytis Europos Sąjungos ar nacionalinėje teisėje nustatytos teisinės prievolės, kuria reikalaujama tvarkyti duomenis, arba siekiant atlikti užduotį, vykdomą viešojo intereso labui;

17.4.3.  Dėl viešojo intereso priežasčių visuomenės sveikatos srityje;

17.4.4.  Archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, jeigu dėl nurodytos teisės gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus; arba

17.4.5.  Siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.

17.5.      Prašymą nagrinėjantis Atsakingas darbuotojas informuoja Duomenų subjektą apie priimtą sprendimą ištaisyti ar ištrinti Duomenis, o tuo atveju, jei atsisakoma tai padaryti – tokio sprendimo motyvus.

 

18. TEISĖS APRIBOTI DUOMENŲ TVARKYMĄ ĮGYVENDINIMO TVARKA

 

18.1.      Duomenų subjekto reikalavimą nagrinėjantis Atsakingas darbuotojas turi imtis reikiamų veiksmų siekdamas apriboti Duomenų tvarkymą esant bet kurioms iš šių aplinkybių:

18.1.1.  Duomenų subjektas užginčija Duomenų tikslumą tokiam laikotarpiui, per kurį Duomenų valdytojas gali patikrinti Asmens duomenų tikslumą;

18.1.2.  Asmens duomenų tvarkymas yra neteisėtas ir Duomenų subjektas nesutinka, kad Duomenys būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;

18.1.3.  Duomenų valdytojui nebereikia Asmens duomenų tvarkymo tikslais, tačiau jų reikia Duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus; arba

18.1.4.  Duomenų subjektas pagal 20.1 punktą paprieštaravo duomenų tvarkymui, kol bus patikrinta, ar Duomenų valdytojo teisėti interesai yra viršesni už Duomenų subjekto interesus.

18.2.      Kai duomenų tvarkymas yra apribotas pagal 18.1 punktą, tokius Asmens duomenis galima tvarkyti, išskyrus saugojimą, tik gavus Duomenų subjekto sutikimą arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus, arba apsaugoti kito fizinio ar juridinio asmens teises, arba dėl svarbaus Europos Sąjungos arba Lietuvos Respublikos viešojo intereso priežasčių.

18.3.      Kai nusprendžiama panaikinti apribojimą tvarkyti Duomenis, tokį sprendimą įgyvendinantis Atsakingas darbuotojas privalo informuoti Duomenų subjektą prieš panaikindamas apribojimą tvarkyti Duomenis.

 

19. TEISĖS Į DUOMENŲ PERKELIAMUMĄ ĮGYVENDINIMO TVARKA

19.1.      Atsakingas darbuotojas, gavęs Duomenų subjekto prašymą, turi surinkti ir pateikti su prašymo teikėju susijusius Asmens duomenis, kuriuos šis pateikė Duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu. Atsakingas darbuotojas tokį prašymą vykdo tik esant šioms aplinkybėms:

19.1.1.  Duomenų tvarkymas yra grindžiamas sutikimu arba sutartimi; ir

19.1.2.  Duomenys yra tvarkomi automatizuotomis priemonėmis.

19.2.      Tuo atveju, jei turintis teisę į Duomenų perkeliamumą pagal 19.1 punktą Duomenų subjektas pageidauja, kad vienas Duomenų valdytojas Asmens duomenis tiesiogiai persiųstų kitam, prašymą nagrinėjantis Atsakingas darbuotojas įvertina, ar tai techniškai įmanoma.

19.3.      Teisė į duomenų perkeliamumą nebus taikoma tada, kai tvarkymas būtinas siekiant atlikti užduotį, vykdomą viešojo intereso labui.

19.4.      19.1 punkte nurodyta teisė neturi daryti neigiamo poveikio kitų teisėms ir laisvėms.

 

20. TEISĖS PRIEŠTARAUTI DUOMENŲ TVARKYMUI ĮGYVENDINIMO TVARKA

 

20.1.      Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję Asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas remiantis teisėtu Duomenų valdytojo ar trečiojo asmens interesu kaip duomenų tvarkymo teisiniu pagrindu. Nesutikimą nagrinėjantis Atsakingas darbuotojas privalo imtis veiksmų, kad Duomenų valdytojas nebetvarkytų to subjekto Asmens duomenų.

20.2.      Nagrinėdamas nesutikimą, Atsakingas darbuotojas įvertina, ar Duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už Duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus. Tokiu atveju nesutikimas atmetamas ir Atsakingas darbuotojas pateikia atsakymą Duomenų subjektui, paaiškindamas nesutikimo motyvus.

20.3.      Kai Duomenų subjektas prieštarauja duomenų tvarkymui tiesioginės rinkodaros tikslais, tokį prieštaravimą nagrinėjantis Darbuotojas nedelsdamas turi imtis veiksmų, kad Asmens duomenys tokiais tikslais nebebūtų tvarkomi. Tokiu atveju 20.2.  punktas netaikytinas.

20.4.      Kai Asmens duomenys yra tvarkomi statistiniais tikslais, Duomenų subjektas dėl su jo konkrečiu atveju susijusių priežasčių turi teisę nesutikti, kad su juo susiję Asmens duomenys būtų tvarkomi, išskyrus atvejus, kai duomenis tvarkyti yra būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso priežasčių.

 

21. TEISĖS NESUTIKTI SU ATSKIRŲ SPRENDIMŲ PRIĖMIMU, ĮSKAITANT PROFILIAVIMĄ, ĮGYVENDINIMO TVARKA

21.1.      Duomenų subjektas turi teisę reikalauti, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, dėl kurio jam kyla teisinės pasekmės arba kuris jam panašiu būdu daro didelį poveikį, išskyrus atvejus, kai sprendimas yra:

21.1.1.  Būtinas siekiant sudaryti arba vykdyti sutartį tarp Duomenų subjekto ir Duomenų valdytojo;

21.1.2.  Leidžiamas Sąjungos arba valstybės narės teisėje, kurie taikomi duomenų valdytojui ir kuriais taip pat nustatomos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti; arba

21.1.3.  Yra pagrįstas aiškiu duomenų subjekto sutikimu.

21.2.      Kai sprendimas  būtinas siekiant sudaryti arba vykdyti sutartį tarp Duomenų subjekto ir Duomenų valdytojo ar pagrįstas aiškiu duomenų subjekto sutikimu Duomenų valdytojas įgyvendina tinkamas priemones, kad būtų apsaugotos duomenų subjekto teisės bei laisvės ir teisėti interesai, bent teisė iš duomenų valdytojo reikalauti žmogaus įsikišimo, pareikšti savo požiūrį ir užginčyti sprendimą.

21.3.      Aukščiau nurodytos teisės įgyvendinamos per BDAR nustatytus laikotarpius:

Duomenų subjekto prašymas Laikotarpis
Teisė būti informuotam Duomenų gavimo metu (jei Duomenys pateikti Duomenų subjekto) arba per vieną mėnesį (jei pateikti ne Duomenų subjekto)
Prieigos teisė (teisė susipažinti) Nepagrįstai nedelsiant, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo
Teisė į patikslinimą (teisė ištaisyti) Nepagrįstai nedelsiant, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo
Ištrynimo teisė (teisė sunaikinti duomenis ir teisė “būti pamirštam”) Nepagrįstai nedelsiant, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, išskyrus teisės aktų nustatytus atvejus
Teisė apriboti duomenų tvarkymą Nepagrįstai nedelsiant, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo
Teisė į duomenų perkeliamumą Nepagrįstai nedelsiant, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo
Teisė prieštarauti duomenų tvarkymui Nepagrįstai nedelsiant, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo *Kai duomenų subjektas prieštarauja duomenų tvarkymui tiesioginės rinkodaros tikslais, įskaitant profiliavimą, kiek jis susijęs su tokia tiesiogine rinkodara, asmens duomenys tokiais tikslais nebetvarkomi.
Teisės, susijusios su automatiniu sprendimų priėmimu ir profiliavimu Nepagrįstai nedelsiant, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo

 

21.4.      Standartizuotai Duomenų subjektų prašymai dėl susipažinimo su duomenimis gaunami šiems užpildžius Subjektų prašymų leisti susipažinti su asmens duomenimis formą (Politikos priedas Nr. 2).

21.5.      Duomenų valdytojas negali formaliai remtis minėtos formos nesilaikymu kaip pagrindu atsisakyti priimti Duomenų subjekto prašymą ar vilkinti jo nagrinėjimą.

21.6.      Duomenų valdytojas turi informuoti Duomenų subjektus apie jų teises aiškia,  glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba.

21.7.      Duomenų valdytojas turi teisę motyvuotai atsisakyti leisti Duomenų subjektui įgyvendinti jo teises arba imti pagrįstą mokestį,  kai Duomenų̨ subjekto prašymai yra akivaizdžiai nepagristi arba neproporcingi, Duomenų subjektas piktnaudžiauja, visų pirma dėl jų pasikartojančio turinio, Duomenų valdytojas gali arba:

21.7.1.  imti pagrįstą mokestį, atsižvelgdamas į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines išlaidas; arba

21.7.2.  gali atsisakyti imtis veiksmų pagal prašymą.

21.8.      Duomenų̨ valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagristas arba neproporcingas.

 

22. DUOMENŲ TVARKYMO VEIKLOS ĮRAŠŲ RENGIMO PROCESAS

 

22.1.      Kiekvienas Duomenų valdytojas ir, kai taikoma, Duomenų valdytojo atstovas tvarko duomenų tvarkymo veiklos, už kurią jis atsako, įrašus. Tame įraše pateikiama visa toliau nurodyta informacija:

22.1.1.  Duomenų valdytojo ir, jei taikoma, Bendro duomenų valdytojo, Duomenų valdytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

22.1.2.  Duomenų tvarkymo tikslai;

22.1.3.  Duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas;

22.1.4.  Duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas, kategorijos;

22.1.5.  Kai taikoma, asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą, ir BDAR 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai;

22.1.6.  Kai įmanoma, numatomi įvairių kategorijų duomenų ištrynimo terminai;

22.1.7.  Kai įmanoma, bendras techninių ir organizacinių saugumo priemonių aprašymas (įskaitant, jei reikia, pseudonimų suteikimą Asmens duomenims ir jų šifravimą, gebėjimą užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą; gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju; reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą).

22.2.      Veiklos (duomenų tvarkymo) įrašai privalomi:

22.2.1.  Kai Bendrovėje dirba virš 250 darbuotojų; arba

22.2.2.  Dėl duomenų tvarkymo gali kilti pavojus duomenų subjektų teisėms ir laisvėms;

22.2.3.  Duomenų tvarkymas yra reguliarus;

22.2.4.  Tvarkomi specialiųjų kategorijų asmens duomenys.

22.3.      Veiklos įrašai tvarkomi raštu, įskaitant elektronine forma (gali būti tvarkomi ir tik elektronine forma).

 

23. DUOMENŲ SUBJEKTŲ SUTIKIMAS

 

23.1.      Jei tvarkymui nėra kito pagrindo, nustatyto BDAR arba ADTAĮ, iš Duomenų subjekto turi būti gautas laisva valia aiškiai išreikštas sutikimas tam, kad būtų galima rinkti ir tvarkyti jo Asmens duomenis.

23.2.      Kai duomenys tvarkomi remiantis sutikimu, Duomenų valdytojas turi galėti įrodyti, kad Duomenų subjektas davė sutikimą, kad būtų tvarkomi jo Asmens duomenys.

23.3.      Jeigu Duomenų subjekto sutikimas duodamas rašytiniu pareiškimu, susijusiu ir su kitais klausimais, prašymas duoti sutikimą pateikiamas tokiu būdu, kad jis būtų aiškiai atskirtas nuo kitų klausimų, pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba.

23.4.      Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie tai informuojamas prieš jam duodant sutikimą. Atšaukti sutikimą turi būti taip pat lengva kaip jį duoti.

23.5.      Vertinant, ar sutikimas duotas laisva valia, labiausiai atsižvelgiama į tai, ar, inter alia, sutarties vykdymui, įskaitant paslaugos teikimą, yra nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti.

 

24. DUOMENŲ PERDAVIMAS Į TREČIĄSIAS VALSTYBES AR TARPTAUTINES ORGANIZACIJAS

 

24.1.      Perduoti Asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai galima, jeigu Europos Komisija nusprendė, kad atitinkama trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečiojoje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamo lygio apsaugą. Tokiam duomenų perdavimui specialaus Europos Komisijos ar valstybių narių leidimo nereikia.

24.2.      Komisija Europos Sąjungos oficialiajame leidinyje ir savo interneto svetainėje paskelbia trečiųjų valstybių, teritorijų ir nurodyto vieno ar kelių sektorių trečiojoje valstybėje, taip pat tarptautinių organizacijų, kurios, kaip ji nusprendė, užtikrina tinkamą apsaugos lygį arba jo nebeužtikrina, sąrašą.

24.3.      Jeigu nėra priimtas Europos Komisijos sprendimas perduoti Duomenis atitinkamai trečiajai valstybei, Duomenų valdytojas arba Duomenų tvarkytojas gali perduoti Asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai tik tuo atveju, jeigu Duomenų valdytojas arba Duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis Duomenų subjektų teisėmis ir veiksmingomis Duomenų subjektų teisių gynimo priemonėmis.

24.4.      Asmens duomenys į trečiąsias valstybes arba tarptautinėms organizacijoms gali būti perduodami pritaikius vieną ar daugiau iš žemiau nurodytų tinkamų apsaugos priemonių:

24.4.1.  Priežiūros institucijos patvirtintos, įmonėms privalomos taisyklės;

24.4.2.  Standartinės sutarčių sąlygos dėl Duomenų apsaugos, priimtos Komisijos;

24.4.3.  Standartinės sutarčių sąlygos dėl Duomenų apsaugos, priimtos Priežiūros institucijos, arba Priežiūros institucijos pripažintos sutarties sąlygos;

24.4.4.  Patvirtintas elgesio kodeksas, apibrėžiantis tarptautinį Duomenų perdavimą;

24.4.5.  Sertifikavimas, apsaugos ženklai ir/arba žymenys, kuriuos galima panaudoti pademonstruoti Duomenų tvarkytojo ar valdytojo laikymąsi nustatytų Duomenų apsaugos priemonių.

24.5.      Jeigu nepriimtas sprendimas dėl tinkamumo pagal 24.1 punktą arba nenustatytos tinkamos apsaugos priemonės pagal 24.2 punktą, Duomenų valdytojas atlieka Asmens duomenų perdavimą į trečiąją valstybę arba tarptautinei organizacijai arba tokių perdavimų seka atlieka tik su viena iš šių sąlygų:

24.5.1.  Duomenų subjektas aiškiai sutiko su siūlomu Duomenų perdavimu po to, kai buvo informuotas apie galimus tokių perdavimų pavojus Duomenų subjektui dėl to, kad nepriimtas sprendimas dėl tinkamumo ir nenustatytos tinkamos apsaugos priemonės;

24.5.2.  Duomenų perdavimas yra būtinas Duomenų subjekto ir Duomenų valdytojo sutarčiai vykdyti arba ikisutartinėms priemonėms, kurių imtasi Duomenų subjekto prašymu, įgyvendinti;

24.5.3.  Duomenų perdavimas yra būtinas, kad būtų sudaryta arba įvykdyta Duomenų subjekto interesais sudaroma Duomenų valdytojo ir kito fizinio ar juridinio asmens sutartis;

24.5.4.  Duomenų perdavimas yra būtinas siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus;

24.5.5.  Duomenų perdavimas yra būtinas, kad būtų apsaugoti gyvybiniai Duomenų subjekto arba kitų asmenų interesai, jeigu Duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo.

24.6.      Aukščiau aprašytos asmens duomenų perdavimo priemonės ir procedūros detaliai aprašytos BDAR V skyriuje.

 

25. DUOMENŲ APSAUGOS PAREIGŪNAS

 

25.1.      Pagal BDAR 37 str. 1 dalį Duomenų valdytojas privalo paskirti duomenų apsaugos pareigūną, jei Duomenų valdytojo arba Duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus, arba pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu, arba kai duomenis tvarko valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas. Kadangi Duomenų valdytojas nevykdo nei vienos iš šių veiklų, Duomenų apsaugos pareigūnas neskiriamas.

 

26. POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS

 

26.1.      Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, apimtį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus, Duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą. Panašius didelius pavojus keliančių duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną vertinimą.

26.2.      Kai duomenų tvarkymas tikėtinai gali kelti didelę riziką fizinių asmenų teisėms ir laisvėms, Poveikio duomenų apsaugai vertinimas turėtų būti atliekamas prieš asmens duomenų tvarkymą. Duomenų valdytojas turi atlikti poveikio duomenų apsaugai vertinimą tam, kad būtų įvertinta visų pirma to pavojaus kilmė, pobūdis, specifika ir rimtumas. Poveikio duomenų apsaugai vertinimas turėtų prasidėti taip anksti, kaip yra praktiška kuriant tvarkymo operaciją, net jei tam tikri jos aspektai vis dar nėra žinomi. Tai, kad gali prireikti atlikti pakartotinį poveikio duomenų apsaugai vertinimą kai tvarkymas jau bus prasidėjęs nėra pateisinama priežastis atidėti ar nevykdyti poveikio duomenų apsaugai vertinimo.

26.3.      Vienas Poveikio duomenų apsaugai vertinimas gali įvertinti keletą panašių tvarkymo operacijų, keliančių panašias dideles rizikas.

26.4.      Sistemoms, kurios niekaip neidentifikuoja asmenų, įprastai nekeliamas reikalavimas atlikti Poveikio duomenų apsaugai vertinimo. Tačiau būtina atsižvelgti į tai, kad tai, kas gali atrodyti nuasmenintais duomenimis, iš tikro gali būti identifikuojantys naudojant juos kartu su kita informacija, taigi nuasmeninti duomenys turėtų būti atidžiai įvertinti siekiant įsitikinti, kad jais nebus identifikuojami Duomenų subjektai.

26.5.      Nustačius poreikį atlikti poveikio duomenų apsaugai vertinimą, Duomenų valdytojas sprendžia, kam pavesti minėto vertinimo atlikimą. Jeigu Duomenų valdytojo sprendimu, yra samdoma konsultacines paslaugas teikianti įmonė, duomenų apsaugos pareigūnas (paskirtas Duomenų valdytojo ar samdomas iš išorės) ar už asmens duomenų apsaugą įmonėje Atsakingas darbuotojas bendradarbiauja su šia įmone teikdamas jai visą susijusių informaciją, reikalingą vertinimui atlikti.

26.6.      Tuo atveju, jei poveikio duomenų apsaugai vertinimą atlieka Duomenų valdytojo paskirtas duomenų apsaugos pareigūnas, poveikio duomenų apsaugai vertinimą atlieka vadovaudamasis BDAR, nacionaliniais teisės aktais ir šioje Politikoje aprašytomis procedūromis.

 

27. POREIKIO ATLIKTI POVEIKIO DUOMENŲ APSAUGAI VERTINIMĄ NUSTATYMAS

27.1.      Remiantis BDAR 35 str., Duomenų valdytojas privalo atlikti Poveikio duomenų apsaugai vertinimą, kuris atliekamas pagal šioje politikoje nurodytą metodiką.

27.2.      Poveikio duomenų apsaugai vertinimo procedūra turi būti atlikta pakartotinai, jei yra atliekami esminiai vertinto duomenų tvarkymo pakeitimai.

 

28. POVEIKIO DUOMENŲ APSAUGAI VERTINIMO METODIKA

 

28.1.      Pateikiamas sistemingas Duomenų tvarkymo operacijų aprašymas (BDAR 35(7)(a) str.):

28.1.1.  Įvertinami Duomenų tvarkymo pobūdis, aprėptis, kontekstas ir tikslai (Reglamento Įžangos 90 punktas);

28.1.2.  Aprašomi Asmens duomenys, jų gavėjai ir saugojimo terminas;

28.1.3.  Pateikiamas funkcinis duomenų tvarkymo operacijų aprašymas;

28.1.4.  Identifikuoti įrankiai (turtas), iš kurių kildinami Asmens duomenys (kompiuterinė aparatinė įranga, programinė įranga, žmonės, dokumentai ar dokumentų perdavimo kanalai);

28.1.5.  Įvertinamas atitikimas patvirtintiems elgesio kodeksams (BDAR 40 str.).

28.2.      Įvertinamas Asmens duomenų tvarkymo reikalingumas ir proporcingumas (BDAR 35(7)(b) str.) remiantis šia metodika:

28.2.1.  Nustatomos priemonės, kuriomis numatoma atitikti BDAR (BDAR 35(7)(d) str. ir Įžangos 90 p.), atsižvelgiant į:

28.2.1.1.               Priemones, prisidedančias prie tvarkymo proporcingumo ir reikalingumo remiantis:

28.2.1.1.1.  Nustatytais, aiškiai apibrėžtais bei teisėtais tikslais (BDAR 5(1)(b) str.);

28.2.1.1.2.  Tvarkymo teisėtumo (BDAR 6 str.);

28.2.1.1.3.  Tvarkomi adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, duomenys (BDAR 5 (1)(c) str.);

28.2.1.1.4.  Saugojimo trukmės apribojimu (BDAR 5(1)(e) str.);

28.2.1.2.               Priemones, prisidedančias prie Duomenų subjektų teisių užtikrinimo:

28.2.1.2.1.  Duomenų Subjektui teikiama informacija (BDAR 12, 13 ir 14 str.);

28.2.1.2.2.  Teisė susipažinti su duomenimis ir teisė į Duomenų perkeliamumą (BDAR 15 ir 20 str.);

28.2.1.2.3.  Teisė ištaisyti duomenis ir teisė reikalauti ištrinti duomenis (BDAR 16, 17 ir 19 str.);

28.2.1.2.4.  Teisė nesutikti ir teisė apriboti duomenų tvarkymą (BDAR 18, 19 ir 21 str.);

28.2.1.2.5.  Santykiai su duomenų tvarkytojais (BDAR 28 str.);

28.2.1.2.6.  Apsaugos priemonės susijusios su tarptautiniu Duomenų perdavimu (BDAR V skyrius);

28.2.1.2.7.  Išankstinės konsultacijos (BDAR 36 str.).

28.3.      Duomenų subjektų teisėms ir laisvėms kylančių pavojų valdymas (BDAR 35(7)(c) str.):

28.3.1.  pavojaus kilmė, pobūdis, specifika ir rimtumas (Įžangos 84 punktas) arba, dar detaliau, kiekvieno pavojaus (neteisėtos prieigos, nepageidautino modifikavimo ar duomenų dingimo) iš Duomenų subjekto pozicijos:

28.3.1.1.               Atsižvelgiama į pavojaus šaltinius (Įžangos 90 punktas);

28.3.1.2.               Potencialus poveikis Duomenų subjekto teisėms ir laisvėms yra nustatyti, įskaitant neteisėtą prieigą, nepageidaujamus pakeitimus ar duomenų dingimą;

28.3.1.3.               Nustatyti pavojai, kurie gali nulemti neteisėtą prieigą, nepageidaujamus pakeitimus ar Duomenų dingimą;

28.3.1.4.               Įvertinami konkreti tikimybė ir rimtumas (Įžangos 90 punktas);

28.3.2.  Nustatytos priemonės, skirtos suvaldyti šias rizikas (BDAR 35(7)(d) str. ir Įžangos 90 punktas);

28.4.      Suinteresuotosios šalys yra įtrauktos:

28.4.1.  Atsižvelgiama į duomenų apsaugos pareigūno patarimus (BDAR 35(2) str.);

28.4.2.  Kur tinkama, atsižvelgiama į Duomenų subjektų ar jų atstovų nuomones (BDAR 35(9) str.).

 

29. POVEIKIO DUOMENŲ APSAUGAI VERTINIMO ATASKAITA

 

29.1.      Atlikus poveikio duomenų apsaugai vertinimą parengiama poveikio duomenų apsaugai vertinimo ataskaita, kurioje aprašoma parengiama poveikio duomenų apsaugai vertinimo eiga ir rezultatai, nurodomi konkretūs veiksmai, kurių reikia imtis siekiant suvaldyti kylančias grėsmes, jei esamų rizikos valdymo priemonių tam nepakanka.

29.2.      Jeigu atlikus Poveikio duomenų apsaugai vertinimą, iš jo ataskaitos paaiškėja, kad pavojus Duomenų subjektų teisėms bei laisvėms yra didelis, Bendrovės vadovas gali priimti sprendimą atsisakyti poveikio vertinimo ataskaitoje vertintos duomenų tvarkymo veiklos.

29.3.      Jeigu atikus poveikio vertinimą, iš jo ataskaitos paaiškėja, kad reikalingos konsultacijos su Valstybine duomenų apsaugos inspekcija, duomenų apsaugos pareigūnas ir/ar Atsakingas darbuotojas inicijuoja šias konsultacijas ne vėliau kaip per 1 mėnesį, nuo ataskaitos patvirtinimo dienos.

29.4.      Konsultacijų metu duomenų apsaugos pareigūnas Valstybinei duomenų apsaugos inspekcijai pateikia šiuos dokumentus bei informaciją:

29.4.1.  Duomenų tvarkymo procese dalyvaujančių Duomenų valdytojo, bendrų Duomenų valdytojų ir Duomenų tvarkytojų atsakomybės sritis;

29.4.2.  Numatyto Duomenų tvarkymo tikslus;

29.4.3.  Nustatytas apsaugos priemones Duomenų subjektų teisėms ir laisvėms apsaugoti pagal Reglamentą bei įstatymus;

29.4.4.  Duomenų apsaugos pareigūno kontaktinius duomenis;

29.4.5.  Poveikio vertinimo dokumentaciją;

29.4.6.  Kitą informaciją, kurios pareikalauja Valstybinės duomenų apsaugos inspekcijos pareigūnai.

29.5.      Prireikus Duomenų valdytojas atlieka poveikio vertinimo ataskaitos peržiūrą, kad įvertintų, ar Duomenys tvarkomi laikantis poveikio duomenų apsaugai vertinimo.

 

30. ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO IR REAGAVIMO Į TOKIUS PAŽEIDIMUS TVARKA

 

30.1.      Duomenų valdytojo Darbuotojai, turintys prieigos teisę prie Duomenų, pastebėję Duomenų saugumo pažeidimus (asmenų neveikimą ar veiksmus, galinčius sukelti ar sukeliančius grėsmę Duomenų saugumui), turi informuoti Duomenų apsaugos pareigūną ir/ar Atsakingą darbuotoją, ir/ar savo tiesioginį vadovą.

30.2.      Įvertinę Duomenų apsaugos pažeidimo rizikos veiksnius, pažeidimo poveikio laipsnį, žalą ir padarinius, vadovaudamiesi Reagavimo į asmens duomenų saugumo pažeidimus procedūra (Politikos priedas Nr. 6), Duomenų apsaugos pareigūnas ir/ar Atsakingi darbuotojai priima sprendimus dėl priemonių, reikiamų Duomenų apsaugos pažeidimui ir jo padariniams pašalinti.

 

31. ASMENS DUOMENŲ TVARKYMO SUTARTIMS KELIAMI REIKALAVIMAI

31.1.      Sudarydamas sutartį su Duomenų tvarkytoju, Duomenų valdytojas turi įtraukti nuostatas, apimančias šią informaciją:

31.1.1.  Duomenų tvarkymo dalykas ir trukmė;

31.1.2.  Duomenų tvarkymo pobūdis ir tikslai;

31.1.3.  Duomenų rūšys ir Duomenų subjektų kategorijos;

31.1.4.  Šalių teisės ir pareigos, kylančios iš Asmens duomenų apsaugos teisinio reguliavimo;

31.1.5.  Duomenų tvarkytojo įsipareigojimas veikti tik pagal rašytinius Duomenų valdytojo nurodymus. Duomenų tvarkytojui paliekama teisė priimti veiklos ir organizacinius sprendimus, būtinus sutartos paslaugos suteikimui tiek, kiek tai nepakeičia Duomenų tvarkymo tikslų;

31.1.6.  Duomenų tvarkytojo darbuotojų konfidencialumo įsipareigojimai. Sutartyje turi būti numatyta, kad tvarkytojas užtikrina, jog darbuotojai, tvarkantys asmens duomenis, yra įsipareigoję užtikrinti konfidencialumą, išskyrus atvejus, kai tokią pareigą jie jau turi pagal teisės aktus;

31.1.7.  Duomenų tvarkymo saugumo priemonės. Duomenų tvarkytojas sutartimi turi įsipareigoti užtikrinti saugumo lygį, atitinkantį Duomenų pobūdį ir su jais siejamos grėsmės lygį. BDAR 32 str. kaip tokių priemonių pavyzdžius nurodo pseudonimų suteikimą, šifravimą, duomenų tvarkymo sistemų bei paslaugų konfidencialumo užtikrinimą ir kt.

31.1.8.  Kitų Duomenų tvarkytojų pasitelkimas. Duomenų tvarkytojas turi būti įpareigotas pasitelkti kitus Duomenų tvarkytojus tik gavęs išankstinį Duomenų valdytojo sutikimą ir sudaręs su kitu tvarkytoju rašytinę sutartį, kuriai keliami tokie patys reikalavimai kaip ir sutarčiai, sudaromai su pagrindiniu tvarkytoju;

31.1.9.  Pagalba įgyvendinant Duomenų subjektų teises;

31.1.10.        Pagalba teikiant pranešimus apie Duomenų saugumo pažeidimus. Duomenų tvarkytojas turi įsipareigoti nedelsdamas informuoti Duomenų valdytoją sužinojęs apie bet kokį asmens duomenų saugumo pažeidimą;

31.1.11.        Pagalba atliekant poveikio duomenų apsaugai vertinimą;

31.1.12.        Pagalba konsultuojantis su Priežiūros institucija;

31.1.13.        Duomenų ištrynimo ir grąžinimo tvarka. Sutartyje būtina numatyti, kas nutinka pas Duomenų tvarkytoją esantiems duomenims nutraukus sutartį, nes tvarkytojas juos toliau saugoti gali tik tada, jei tai nustato Europos Sąjungos arba nacionalinė teisė;

31.1.14.        Atitikties įrodinėjimo būdai. T. y. pateikti visą informaciją, įrodančią su duomenų tvarkymu susijusių pareigų laikymąsi;

31.1.15.        Auditavimo bei patikrinimų galimybė. Pagalba Duomenų valdytojui arba kitam Duomenų valdytojo įgaliotam auditoriui atliekant auditą, įskaitant patikrinimus.

31.2.      Aukščiau nurodytos nuostatos gali būti tiek įtraukiamos į pagrindinę sutartį, tiek ir aptariamos atskirame susitarime dėl perduodamų Asmens duomenų saugumo.

 

32. ‘PRIVACY BY DESIGN’, ‘PRIVACY BY DEFAULT’ PRINCIPŲ TAIKYMO GAIRĖS

 

32.1.      Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, Duomenų valdytojas, tiek nustatydamas Duomenų tvarkymo priemones, tiek paties Duomenų tvarkymo metu, įgyvendina tinkamas technines ir organizacines priemones.

32.2.      Pritaikytoji duomenų apsauga (‘privacy by design’) reiškia, kad kiekviena nauja programa ar sistema naudojanti Asmens duomenis turi būti kuriama atsižvelgiant į tokių Duomenų apsaugą. Į privatumą turi būti atsižvelgiama per visą programos ar sistemos gyvavimo laiką.

32.3.      Kaip priemonės, kuriomis turėtų būti vadovaujamasi siekiant pritaikytosios duomenų apsaugos principo įgyvendinimo, paminėtini:

32.3.1.  Surinkto duomenų kiekio ribojimas;

32.3.2.  Kontrolės galimybė;

32.3.3.  Skaidrumas;

32.3.4.  Vartotojui draugiškų sistemų diegimas;

32.3.5.  Duomenų konfidencialumo ir kokybės užtikrinimas;

32.3.6.  Pseudonimų suteikimas;

32.3.7.  Kuo  skubesnis Duomenų anonimizavimas;

32.3.8.  Galimybės stebėti Duomenų tvarkymą suteikimas Duomenų subjektams;

32.3.9.  Galimybės tobulinti ir įgyvendinti naujas apsaugos priemones užsitikrinimas;

32.3.10.        Tinkamas darbuotojų mokymas;

32.3.11.        Auditų ir Politikos peržiūrų vykdymas;

32.3.12.        Duomenų naudojimo ribojimas.

32.4.      Standartizuotoji duomenų apsauga (“privacy by default”) kelia reikalavimą taikyti griežčiausius privatumo nustatymus tam tikrai programai ar sistemai, kai tik ta programa ar sistema tampa prieinama.

32.5.      Kaip priemonių, skirtų standartizuotajai duomenų apsaugai įgyvendinti, pavyzdžiai paminėtini:

32.5.1.  Standartizuotai tvarkomi tik tie Duomenys. kurie yra būtini konkrečiam Duomenų tvarkymo tikslui;

32.5.2.  Technologinės priemonės turi būti suprojektuotos taip, kad būtų galima išvengti nereikalingo Duomenų tvarkymo;

32.5.3.  Duomenų apsaugai palankūs numatytieji nustatymai;

32.5.4.  Funkcijos, kurios nėra būtinos, turi būti konfigūruojamos.

32.6.      Šiomis priemonėmis siekiama veiksmingai įgyvendinti Duomenų apsaugos principus, tokius kaip Duomenų kiekio mažinimo principą, ir į Duomenų tvarkymą integruoti būtinas apsaugos priemones, kad jis atitiktų BDAR reikalavimus ir apsaugotų Duomenų subjektų teises.

32.7.      Šiame skyriuje aprašytų tikslų siekiama, kai to reikia taikant aukščiau aprašytą poveikio duomenų apsaugai vertinimo procedūrą.

 

33. TECHNINĖS IR ORGANIZACINĖS ASMENS DUOMENŲ SAUGUMO PRIEMONĖS

33.1.      Duomenų valdytojo įgyvendinamos organizacinės ir techninės duomenų saugumo priemonės užtikrina tokį saugumo lygį, kuris atitinka Duomenų valdytojo valdomų duomenų pobūdį ir jų tvarkymo keliamą riziką.

33.2.      Popierinės formos Darbuotojų asmens bylos, Kandidatų, Klientų pateikti dokumentai ir informacija, kitų asmenų dokumentų rinkiniai, kuriuose yra pakankamai jautraus pobūdžio Asmens duomenų, saugomi rakinamoje spintoje ir/ar rakinamoje patalpoje.

33.3.      Siekiant apsaugoti automatiniu būtu tvarkomus Duomenis, naudojamos tokios organizacinės ir techninės duomenų saugumo priemonės:

33.3.1.  Užtikrinama prieigos prie asmens duomenų apsauga, valdymas ir kontrolė;

33.3.2.  Prieiga prie asmens duomenų gali būti suteikta tik tam asmeniui, kuriam asmens duomenys yra reikalingi jo funkcijoms vykdyti;

33.3.3.  Su asmens duomenimis galima atlikti tik tuos veiksmus, kuriems atlikti naudotojui yra suteiktos teisės;

33.3.4.  Prieigos prie asmens duomenų slaptažodžiai:

33.3.4.1.               Suteikiami, keičiami ir saugomi užtikrinant jų konfidencialumą;

33.3.4.2.               Unikalūs, sudaryti iš ne mažiau kaip 8 simbolių, nenaudojant asmeninio pobūdžio informacijos;

33.3.4.3.               Keičiami ne rečiau kaip kartą per 2 mėnesius;

33.3.4.4.               Pirmojo prisijungimo metu naudotojo privalomai keičiami;

33.3.5.  Užtikrinama asmens duomenų apsauga nuo neteisėto prisijungimo prie vidinio kompiuterinio tinklo elektroninių ryšių priemonėmis;

33.3.6.  Užtikrinamas patalpų, kuriose saugomi asmens duomenys, saugumas (apribojamas neįgaliotų asmenų patekimas į atitinkamas patalpas ir pan.);

33.3.7.  Užtikrinama kompiuterinės įrangos apsauga nuo kenksmingos programinės įrangos (antivirusinių programų įdiegimas, atnaujinimas ir pan.).

33.3.8.  Kontroliuojama prieiga prie asmens duomenų tokiomis organizacinėmis ir techninėmis asmens duomenų saugumo priemonėmis, kurios fiksuoja ir kontroliuoja registravimosi bei teisių gavimo pastangas;

33.3.9.  Nustatomas leistinų nepavykusių prisijungimų prie programinės įrangos skaičius;

33.3.10.        Fiksuojami šie prisijungimų prie asmens duomenų įrašai: prisijungimo identifikatorius, data, laikas, trukmė, jungimosi rezultatas (sėkmingas, nesėkmingas). Šie įrašai turi būti saugomi ne trumpiau kaip 1 metus;

33.3.11.        Teikiamų asmens duomenų paieškos užklausoje nurodomas asmens duomenų naudojimo tikslas (-ai);

33.3.12.        Užtikrinamas saugių protokolų ir (arba) slaptažodžių naudojimas, kai asmens duomenys perduodami išoriniais duomenų perdavimo tinklais;

33.3.13.        Užtikrinama asmens duomenų, esančių išorinėse duomenų laikmenose ir elektroniniame pašte, saugos kontrolė ir ištrynimas po jų panaudojimo perkeliant į duomenų bazes ir pan.;

33.3.14.        Registruojami asmens duomenų kopijavimo, jei jis daromas, ir atkūrimo jų avarinio praradimo atveju veiksmai (kada ir kas atliko šiuos veiksmus);

33.3.15.        Užtikrinama, kad informacinių sistemų testavimas nebūtų vykdomas su realiais asmens duomenimis, išskyrus būtinus atvejus, kurių metu būtų naudojamos organizacinės ir techninės asmens duomenų saugumo priemonės, užtikrinančios realių asmens duomenų saugumą.

33.4.      Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie Asmens duomenys, kurie yra būtini kiekvienam konkrečiam Duomenų tvarkymo tikslui. Ši prievolė taikoma surinktų Asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su Asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.

33.5.      Duomenų valdytojas imasi reikiamų atsargumo priemonių išsaugoti Duomenų subjektų Asmens duomenų vientisumą ir neleisti, kad šie duomenys būtų sugadinti ar prarasti, įskaitant rūpinimąsi reikiamu duomenų atstatymu.

 

34. DARBUOTOJŲ MOKYMAS

 

34.1.      Duomenų valdytojas esant poreikiui vykdo mokymus darbuotojams, turintiems teisę nuolat ar reguliariai susipažinti su Asmens duomenimis. Mokymų skaičius neribojamas.

34.2.      Visiems naujiems Duomenų valdytojo darbuotojams pirmosiomis jų realaus darbo dienomis yra vedami mokymai Duomenų valdytojo tvarkomų asmens duomenų tema.

34.3.      Mokymų turinys turi padėti darbuotojams vykdyti savo darbines pareigas laikantis BDAR ir kituose Asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų. Mokymai apima, bet neapsiriboja, supažindinimu pasirašytinai su šia Politika, Konfidencialumo deklaracija, kuri yra pridedama kaip Priedas Nr. 4 prie šios Politikos. Taip pat darbuotojai, jei reikia, supažindinami su Privatumo taisyklėmis, kurios taikomos interneto svetainėms ir internetinėms parduotuvėms, kitais vidaus tvarkos dokumentais, kurie yra susiję su elgesiu internetinėje erdvėje, techninėmis ir administracinėmis priemonėmis, kurių turi imtis kiekvienas konkretus darbuotojas pagal jo pareigybes ir kita susijusia informacija bei gerąja praktika. Mokymai, be kita ko, apima ir pagrindinių sąvokų (Duomenų valdytojas, Duomenų tvarkytojas, Duomenų subjektas, Asmens duomenys, Duomenų tvarkymas, Ypatingi asmens duomenys) išaiškinimą.

34.4.      Mokymai yra dokumentuojami, nurodant, be kita ko, jų datą, temą, dalyvavusius darbuotojus.

34.5.      Duomenų valdytojo darbuotojai turi laikytis konfidencialumo pareigos ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino eidami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas.

34.6.      Duomenų valdytojo darbuotojus Duomenų saugos klausimais konsultuoja, informuoja ir jų apmokymus organizuoja duomenų apsaugos pareigūnas (jei toks yra paskirtas) ir/ar Atsakingas už duomenų apsaugą darbuotojas, ir/ar samdomas iš išorės specialistas ar įmonė, atsižvelgdami į Duomenų valdytojo realius poreikius.

34.7.      Remiantis LR Darbo kodekso 27 str. 3 d. darbuotojai prieš pradėdami eiti pareigas taip pat yra supažindinami su Informacinių ir komunikacinių technologijų naudojimo bei darbuotojų stebėsenos ir kontrolės darbo vietoje tvarka, Priedas Nr. 9.

34.8.      Darbuotojai, į kurių darbo funkcijas įeina internetinių puslapių administravimas, privalo susipažinti ir laikytis minėtuose puslapiuose patalpintos Privatumo politikos.

34.9.      Bet kuris darbuotojas, kuris turi įtarimą, jog esamos Bendrovėje  techninės ir organizacinės saugumo priemonės neužtikrina duomenų saugumo, apie tai nedelsiant informuoja Duomenų apsaugos pareigūną (jei toks yra paskirtas) ir Duomenų valdytoją.

 

35. KOMPIUTERINĖS ĮRANGOS IR PROGRAMŲ NAUDOJIMAS

35.1.      Kompiuterinė įranga gali būti bendrai naudojama visų Duomenų valdytojo Darbuotojų, jų grupės arba priskirta konkrečiam darbuotojui. Kompiuterine įranga, įprastai naudojama konkretaus Darbuotojo, gali pasinaudoti ir kiti Duomenų valdytojo Darbuotojai, jei susiklosčiusios aplinkybės sudaro būtinybę naudotis šia Kompiuterine įranga darbo funkcijų atlikimui.

35.2.      Darbuotojui draudžiama ardyti, išmontuoti ar kitaip keisti kompiuterinę įrangą. Darbuotojui taip pat draudžiama į Kompiuterinę įrangą siųstis, įdiegti programinę įrangą, atidaryti nepaisant draudimo atsisiųstas ir/ar įdiegtas programas.

35.3.       Griežtai draudžiama Kompiuterinę įrangą naudoti bet kokiais tikslais, nesusijusiais su tiesioginiu darbo funkcijų vykdymu, tiek darbo metu, tiek po darbo (įskaitant, bet neapsiribojant asmeninės informacijos, kitų failų, nesusijusių su darbo funkcijomis (muzikos, žaidimų, vaizdo įrašų, paveikslėlių ir kt.) saugojimu kompiuteryje). Draudžiama Kompiuterinę įrangą naudoti naršymui interneto svetainėse, nesusijusiose su tiesioginių darbo funkcijų vykdymu. Kompiuterinė įranga, tame tarpe Darbuotojui suteikta elektroninio pašto dėžutė, gali būti naudojama tik darbo funkcijų vykdymo tiksliais.

35.4.      Darbuotojui draudžiama suteiktu el. paštu bei kitomis elektroninės komunikacijos priemonėmis naudotis asmeninėms reikmėms, t.y. į suteiktą el. pašto adresą Darbuotojas negali gauti su darbo funkcijomis nesusijusių ir/arba asmeninių laiškų bei failų. Taip pat Darbuotojui draudžiama iš suteikto el. pašto adreso siųsti su darbo funkcijomis nesusijusią ir (arba) asmeninę bei privačią informaciją, ar kitokią informaciją, susijusią su darbuotojo šeimos nariais ar kitais giminaičiais, jeigu tai nesusiję su tinkamu darbo funkcijų atlikimu.

35.5.      Darbuotojams draudžiama naudotis Kompiuterine įranga sukčiavimo, su darbo funkcijomis nesusijusios reklamos ir asmeninės finansinės naudos tikslais, žiūrėti, kaupti, platinti, atsisiųsti nelegalius įrašus, programas ir informaciją, naudotis dokumentų mainų programomis, parsisiųsti ar žaisti kompiuterinius žaidimus, naudotis bendravimo internetu ar socialinių tinklų programomis ar tinklapiais.

35.6.      Jeigu elektroninės pašto dėžutės (elektroninio laiško arba laiško prisegtuko) turinys Darbuotojui yra neaiškus, nesuprantamas arba neatsidaro, Darbuotojas privalo nedelsiant kreiptis į Atsakingą asmenį bei nurodyti, kas neaišku, nesuprantama ar neatsidaro.

35.7.      Darbuotojas neturi teisės darbo metu ar po darbo, naudodamasis Kompiuterine įranga, tikrinti savo asmeninio el. pašto ar kitų elektroninės komunikacijos programų, priemonių.

35.8.      Darbuotojas privalo naudoti Kompiuterinę įrangą atsižvelgdamas į asmens atsakingo už kompiuterių priežiūrą ir/ar Duomenų valdytojo Kompiuterinę įrangą aptarnaujančio paslaugų teikėjo atstovo rekomendacijas bei nurodymus. Apie gedimus ar trikdžius, kurie buvo patirti naudojant Kompiuterinę įrangą, nedelsiant turi būti pranešama.

35.9.      Duomenų valdytojui pareikalavus arba kai darbo sutartis yra nutraukiama (pastaruoju atveju ne vėliau kaip darbo sutarties nutraukimo dieną), Darbuotojas privalo nedelsdamas grąžinti Duomenų valdytojui visą Kompiuterinę įrangą. Įranga ją grąžinant privalo būti geros būklės (atsižvelgiant į normalų nusidėvėjimą), įskaitant ir nematerialų turtą (tame tarpe ir informaciją, susijusią su Kompiuterine įranga arba joje esančią).

35.10.   Naudojantis Kompiuterine įranga Darbuotojams griežtai draudžiama skleisti Duomenų valdytojo konfidencialią informaciją ar komercinę paslaptį internete (elektroniniuose puslapiuose, elektroniniu paštu) ar perduoti tokią informaciją tretiesiems asmenimis, kurie neturi teisės susipažinti su tokia informacija. Bet kokie iš aukščiau nurodytų veiksmų, taip pat tokios informacijos persiuntimas į savo asmeninį el. paštą, tokios informacijos nusikopijavimas asmeninėms reikmėms ar kitoks platinimas neturint Duomenų valdytojo leidimo, laikomas šiurkščiu darbo pareigų pažeidimu.

35.11.   Už kompiuterinės įrangos būklės kontrolę atsakingas Duomenų valdytojo vadovo paskirtas asmuo. Nuomojamos kompiuterinės įrangos priežiūros ir remonto organizavimo tvarka nustatoma šios įrangos nuomos sutartyse.

35.12.   Už Kompiuterinės įrangos kasdienę priežiūrą atsakingas šią įrangą naudojantis Darbuotojas.

35.13.   Kompiuterinės įrangos gedimai šalinami iš karto juos pastebėjus. Darbuotojams, neturintiems reikiamo parengimo, draudžiama bandyti savarankiškai šalinti kompiuterinės įrangos gedimus. Jie turi nedelsiant pranešti apie gedimą/trikdžius Kompiuterinės įrangos priežiūrą atliekančiam asmeniui.

35.14.   Kompiuterinės įrangos draudimą (jei taikoma) ir apžiūrą organizuoja Duomenų valdytojo paskirtas asmuo.

35.15.   Apžiūros metu paskirstas asmuo patikrina kompiuterinės įrangos bei būtinos programinės įrangos veikimą.

 

36. ATSAKOMYBĖ

 

36.1.      Darbuotojams, kurie pažeidžia BDAR, VDAĮ ar kitus teisės aktus, reglamentuojančius Asmens duomenų tvarkymą bei apsaugą, arba Politikoje nurodytas pareigas, taikoma Lietuvos Respublikos teisės aktų nustatyta atsakomybė.

 

37. BAIGIAMOSIOS NUOSTATOS

 

37.1.      Už Politikos patvirtinimą atsakingas Duomenų valdytojo vadovas. Už Politikos, įgyvendinimą, jų vykdymo kontrolę, atnaujinimą, kitų šioje Politikoje įvardintų veiksmų atlikimą yra atsakingas Duomenų apsaugos pareigūnas (jei toks yra paskirtas) ar/ir už duomenų apsaugą Atsakingas Duomenų valdytojo darbuotojas savo kompetencijos ribose.

37.2.      Politika peržiūrima ir gali būti keičiama kartą per kalendorinius metus Duomenų valdytojo iniciatyva ir (arba) keičiantis teisės aktams, reguliuojantiems Asmens duomenų tvarkymą.

37.3.      Politika ir jos pakeitimai įsigalioja nuo jų patvirtinimo dienos. Darbuotojai su Politika ir jos pakeitimais supažindinami pasirašytinai.

 

SUSISIEKITE:

Jei turite klausimų, susijusių su šios Privatumo politikos nuostatomis, maloniai prašome su mumis susisiekti:

Mob.: +370 68717664

El. p.: [email protected]

Adresas: UAB „Thinking Organisations“, Genio g. 15-1, LT-00169, Palanga, Lietuva

Atnaujinta 2022 m. spalio 27 d.