PATVIRTINTA
UAB „Mūsų sportas“, įm. k. 303090109
2022  m. Rugpjūčio 1d. įsakymu
Nr.2022-08-01/01

 

ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

I SKYRIUS
BENDROSIOS NUOSTATOS

  1. Asmens duomenų tvarkymo taisyklės (toliau – Taisyklės) reglamentuoja asmens duomenų tvarkymą UAB Mūsų sportas, įm. k. 303090109 (toliau – Bendrovė), užtikrinant 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ) ir kitų teisės aktų, nustatančių asmens duomenų tvarkymą ir apsaugą, nuostatų laikymąsi ir įgyvendinimą.
  2. Taisyklių paskirtis – numatyti pagrindines asmens duomenų tvarkymo ir asmens duomenų saugos organizacines priemones, Bendrovės funkcijas, teises ir pareigas tvarkant Asmens duomenis.
  3. Taisyklės taikomos Bendrovės Darbuotojams, Bendrovės paskirtiems Duomenų tvarkytojams ir jų darbuotojams, tvarkantiems asmens duomenis, nepriklausomai nuo jų priėmimo į darbą sąlygų. Taisyklės taip pat taikomos visiems Bendrovės paskirtiems ekspertams (konsultantams) ir kitiems asmenims, kurie, eidami savo pareigas, sužino Bendrovės tvarkomus Asmens duomenis.
  4. Bendrovės direktoriaus paskirtas darbuotojas yra atsakingas už Taisyklių įgyvendinimo priežiūrą. Asmens, atsakingo už Taisyklių įgyvendinimo priežiūrą, paskyrimas nepanaikina kiekvieno darbuotojo, kuris tvarko asmens duomenis, eidamas savo pareigas, juos sužino arba turi bet kokio pobūdžio prieigą prie asmens duomenų, pareigos ir atsakomybės už Taisyklių laikymąsi ir įgyvendinimą bei asmens duomenų tvarkymo teisėtumą. Bendrovės Darbuotojai, įgalioti tvarkyti asmens duomenis bei Duomenų tvarkytojų darbuotojai, turi būti supažindinti su Taisyklėmis ir privalo laikytis šių Taisyklių.
  5. Bendrovės Darbuotojai, atlikdami savo pareigas ir tvarkydami Asmens duomenis, privalo laikytis bendrųjų Asmens duomenų tvarkymo principų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų teisės aktuose ir šiose Taisyklėse.
  6. Taisyklėse vartojamos sąvokos suprantamos taip, kaip jas apibrėžia Bendrasis duomenų apsaugos reglamentas (toliau – Reglamentas) ir ADTAĮ ir atskirai įvardijamos sekančiai:

5.1. Asmens duomenys – reiškia bet kokią informaciją apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (Duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

5.2.    Asmens duomenų saugumo pažeidimas – reiškia bet kokį saugumo pažeidimą, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiunčiami, saugomi arba kitaip tvarkomi Asmens duomenys arba prie jų be leidimo gaunama prieiga;

5.3. Asmens duomenų tvarkymas – reiškia bet kokią automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekamą operaciją ar operacijų seką, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

5.4.  Darbuotojas – reiškia asmenį, kuris su Bendrove yra sudaręs darbo sutartį, įskaitant Bendrovės vadovą;

5.5.   Duomenų subjektas – reiškia fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti, ir kurio duomenis tvarko Bendrovė;

5.6.   Duomenų tvarkymo veiklos įrašai – reiškia Saugumo pareigūno pildomą formą, kurioje pateikiama visa informacija apie Bendrovės tvarkomus Asmens duomenis, tvarkymo tikslus, teisinį pagrindą ir kitą tesės aktų reikalaujamą pateikti informaciją. Jei Bendrovės Duomenų tvarkymo veiklos įrašuose nurodyta informacija skiriasi nuo tos, kuri nurodyta šiose Taisyklėse, vadovaujamasi Duomenų tvarkymo veiklos įrašuose nurodyta informacija;

5.7.   Duomenų tvarkytojas – reiškia fizinį arba juridinį asmenį, valdžios instituciją, agentūrą ar kitą įstaigą, kuri Bendrovės vardu tvarko Asmens duomenis;

5.8.   Duomenų valdytojas – reiškia fizinį arba juridinį asmenį, valdžios instituciją, agentūrą ar kitą įstaigą, kuri viena ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones;

5.9.   Kandidatas – reiškia fizinį asmenį, pageidaujantį atlikti praktiką, ir (ar) įsidarbinti Bendrovėje ir sudaryti darbo sutartį;

5.10.  Priežiūros institucija – reiškia Lietuvos Respublikos Valstybinę duomenų apsaugos inspekciją;

5.11.   Saugumo pareigūnas – pagal Bendrojo duomenų apsaugos reglamento 4 skirsnį paskirtas duomenų apsaugos pareigūnas, o jei jis nepaskirtas – kitas Bendrovės vadovo įsakymu paskirtas asmuo, atsakingas už Asmens duomenų apsaugą Bendrovėje;

5.12. Specialių kategorijų asmens duomenys – reiškia Asmens duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat genetinius, biometrinius duomenis, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją;

5.13.  Trečiasis asmuo – reiškia juridinį ar fizinį asmenį, valdžios instituciją, agentūrą ar kitą įstaigą, išskyrus Bendrovę, Darbuotojus, Duomenų subjektą, Duomenų tvarkytoją, arba asmenis, kuriems tiesioginiu Bendrovės ar Duomenų tvarkytojo įgaliojimu leidžiama tvarkyti Asmens duomenis;

5.14. Trečioji šalis – reiškia ne Europos Sąjungos valstybę narę ir ne Europos ekonominės erdvės valstybę.

II SKYRIUS
ASMENS DUOMENŲ TVARKYMO BENDROSIOS NUOSTATOS

  1. Bendrovėje visi asmens duomenys yra tvarkomi vadovaujantis Reglamento 5 straipsnio 1 dalyje nustatytais teisėtumo, sąžiningumo ir skaidrumo, tikslo apribojimo, duomenų kiekio mažinimo, tikslumo, saugojimo trukmės apribojimo, vientisumo ir konfidencialumo principais.
  2. Asmens duomenys gali būti tvarkomi tik tuo tikslu, kuriuo yra renkami. Jeigu asmens duomenys nėra būtini tam, kad būtų pasiektas konkretus tikslas, jie negali būti tvarkomi. Konkrečiam tikslui pasiekti yra tvarkomas kiek įmanoma mažesnis kiekis asmens duomenų. Asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, turi būti nedelsiant ištrinami arba ištaisomi – Bendrovėje imamasi visų pagrįstų priemonių užtikrinti, kad būtų laikomasi Reglamento 5 straipsnio 1 dalyje nustatytų principų.
  3. Asmens duomenys tvarkomi ir saugomi ne ilgiau, negu nustatytas jų saugojimo terminas, kuris turi būti ne ilgesnis, negu yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.
  4. Bendrovėje asmens duomenys gali būti tvarkomi tik tada, jeigu yra bent viena iš Reglamento 6 straipsnio 1 dalyje įtvirtintų teisėto tvarkymo sąlygų.
  5. Konkretūs tvarkomi asmens duomenys, jų tvarkymo tikslai, saugojimo terminai bei tvarkymo teisiniai pagrindai yra numatyti duomenų tvarkymo veiklos įrašuose, kuriais privalo vadovautis darbuotojai.
  6. Siekiant užtikrinti, kad asmens duomenys Bendrovėje būtų saugomi tik nustatytą terminą, visi Bendrovės tvarkomi asmens duomenys yra fiksuojami duomenų tvarkymo veiklos įrašuose. Asmens duomenų saugojimo terminai yra nurodyti duomenų tvarkymo veiklos įrašuose.
  7. Pasibaigus asmens duomenų saugojimo terminui, jis gali būti pratęstas, jeigu Bendrovė nustato, kad saugoti asmens duomenis toliau yra būtina, ypač atsižvelgiant į būtinybę panaudoti asmens duomenis kaip įrodymą ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos (toliau – Inspekcija) vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais teisės aktų nustatytais atvejais.

13. Bendrovė tvarko Asmens duomenis vadovaujantis šiais principais:

a)  Duomenų subjekto atžvilgiu Asmens duomenys tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);

b)  Asmens duomenys renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau nebetvarkomi su tais tikslais nesuderinamu būdu (tikslo apribojimo principas);

c)   Asmens duomenys adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų mažinimo principas);

d)  Asmens duomenys tikslūs ir prireikus atnaujinami (tikslumo principas);

e)   Asmens duomenys laikomi tokia forma, kad Duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi (saugojimo trukmės apribojimo principas);

f)   Asmens duomenys tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas Asmens duomenų saugumas, įskaitant apsaugą nuo Asmens duomenų tvarkymo be leidimo arba neteisėto Asmens duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas);

g)   Bendrovė įgyvendina Asmens duomenų apsaugos teisinius reikalavimus, stebi jų laikymąsi ir kaupia duomenis Bendrojo duomenų apsaugos reglamento reikalavimų atitikčiai įrodyti (atskaitomybės principas).

13.1.   Bendrovė tvarko Darbuotojų Asmens duomenis, vadovaujantis šiais pagrindiniais principais:

a)Darbuotojas yra silpnesnioji darbo santykio šalis, jo sutikimas negali būti pakankamas teisinis pagrindas tvarkyti daugumą duomenų rūšių;

b)Darbuotojo Asmens duomenų tvarkymas gali būti reikalingas darbo sutarčiai vykdyti ir tam, kad Bendrovė galėtų įgyvendinti savo įsipareigojimus;

c)Bendrovei, kaip darbdaviui, gali būti nustatyti teisiniai įsipareigojimai, pagal kuriuos Darbuotojo Asmens duomenų tvarkymas yra neišvengiamas;

d)     jei Bendrovė deklaruoja teisėtą interesą tvarkyti Darbuotojo Asmens duomenis, Duomenų tvarkymo tikslas turi būti teisėtas; pasirinktas metodas ir (ar) specifinė technologija turi būti būtini, proporcingi ir įgyvendinami su kuo mažesniu poveikiu;

e)Asmens duomenų tvarkymo operacijos turi atitikti skaidrumo reikalavimus, o Darbuotojai turi aiškiai ir išsamiai informuoti apie jų Asmens duomenų tvarkymą, įskaitant bet kokios stebėsenos egzistavimą;

f) imamasi techninių ir organizacinių priemonių saugiam Darbuotojų Asmens duomenų tvarkymui užtikrinti.

III.  ASMENS DUOMENŲ TVARKYMAS, BENDROVEI VEIKIANT KAIP DUOMENŲ VALDYTOJUI ir kaip duomenų tvarkytojui

14. Baigtinis Bendrovės tvarkomų Asmens duomenų sąrašas yra pateikiamas Duomenų tvarkymo veiklos įrašuose, kuriuose pateikiama nuolat atnaujinama informacija apie Asmens duomenų tvarkymo tikslus, Asmens duomenų tvarkymo tvarką, apimtis ir terminus, kita informacija, nurodyta Bendrojo duomenų apsaugos reglamento 30 straipsnyje. Už Duomenų tvarkymo veiklos įrašų pildymą yra atsakingas Saugumo pareigūnas.

15. Bendrovė tvarko Asmens duomenis esant bent vienam šių pagrindų:

15.1. Duomenų subjekto sutikimas;

15.2. Bendrovės sudarytų sutarčių vykdymas, arba siekis imtis veiksmų Duomenų subjekto prašymu prieš sudarant sutartį;

15.3.Bendrovei taikomų teisinių prievolių, įskaitant bet neapsiribojant Bendrovės teisines prievoles darbo teisės ir socialinės apsaugos srityje, vykdymas;

15.4.Teisėtų Bendrovės arba trečiosios šalies interesų užtikrinimas.

16.  Šių Taisyklių tvirtinimo metu Bendrovė tvarko Asmens duomenis šiais tikslais:

16.1. atsirinkti Darbuotoją;

16.2.sudaryti ir vykdyti darbo sutartį;

16.3.suteikti tėvystes atostogas;

16.4.suteikti vaiko auginimo atostogas;

16.5.suteikti neapmokamas atostogas;

16.6. suteikti neapmokamas, mokymosi atostogas;

16.7.suteikti papildomą poilsio dieną auginant vaikus;

16.8.atlikti darbo mokesčių apskaičiavimą ir deklaravimą;

16.9.identifikuoti Darbuotoją;

16.10.  kontakto palaikymo su Darbuotoju ne darbo valandomis;

16.11.  darbo sutarties nutraukimo ir įforminimo (Darbuotojo prašymu);

16.12.  darbo sutarties nutraukimo ir įforminimo (darbdavio iniciatyva);

16.13.  darbo sutarties nutraukimo ir įforminimo (abipusiu susitarimu);

16.14.  praėjimo kontrolės (Bendrovės Darbuotojų patekimo į patalpas);

16.15.  prieigos prie IT sistemų ir biuro vietų, reikalingų darbui, administravimo;

16.16.  siekiant apsaugoti asmeninį turtą (prekes, įrangą) nuo vagysčių ar sugadinimo, kitokių pažeidimų;

16.17.  nemokamo apsilankymo registravimo;

16.18.  mokamo vienkartinio apsilankymo registravimo;

16.19.  narystės registracijos;

16.20.  tiesioginė rinkodara (SMS, el. laiškai);

16.21.  asmenų patekimo į sporto klubą kontrolės, klientų identifikavimo;

16.22.  sutarties sudarymo, paslaugų pardavimo ir teikimo;

16.23.  darbo laiko bei krūvio paskirstymo;

16.24.  konfidencialios informacijos apsaugos ir veiklos tęstinumo užtikrinimo;

16.25.  sutarčių su klientais juridiniais asmenimis sudarymo ir vykdymo, įskaitant bet neapsiribojant Bendrovės teisėto turtinio intereso užtikrinimui, skolos (-ų) ar kitų kreditorinių reikalavimų;

16.26.  įgyvendinti įstatymų numatytas prievoles, susijusias su Bendrovės veiklos organizavimu.

17.Bendrovės, kaip duomenų tvarkytojos, duomenų tvarkymo veikla yra fiksuojama duomenų tvarkymo veiklos įrašų registre.

  1. Bendrovė turi teisę tvarkyti kitų duomenų valdytojų duomenis tik tada, jeigu duomenų valdytojas yra aiškiai nustatęs ir nurodęs duomenų tvarkymo dalyką ir trukmę, duomenų tvarkymo pobūdį ir tikslą, asmens duomenų rūšis ir duomenų subjektų kategorijas bei duomenų valdytojo prievoles ir teises.
  2. Tais atvejais, kai Bendrovė tvarko duomenis kaip duomenų tvarkytoja, Bendrovė privalo laikytis duomenų valdytojo nustatyto duomenų tvarkymo tikslo, priemonių ir kitų duomenų tvarkymo sąlygų, taip pat privalo tvarkyti tik tokį kiekį duomenų ir tik tokią trukmę, kaip nurodyta duomenų valdytojo.
  3. Benhdrovė turi teisę tvarkyti asmens duomenis kaip duomenų tvarkytoja tik esant bent vienam iš šių teisinių pagrindų:

20.1.sudaryta sutartis su duomenų valdytoju. Gali būti sudaryta atskira duomenų tvarkymo sutartis arba atskiros duomenų tvarkymo veiklos nuostatos įtrauktos į kitą sutartį;

20.2. pareiga tvarkyti duomenis nustatyta teisės aktuose.

21.Bendrovė nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus arba bendro rašytinio duomenų valdytojo leidimo išskyrus atvejus, kai kito duomenų tvarkytojo pasirinkimas padeda užtikrinti Bendrovės teisėtus interesus.

22.Kai Bendrovė konkrečiai duomenų tvarkymo veiklai duomenų valdytojo vardu atlikti pasitelkia kitą duomenų tvarkytoją, sutartimi ar kitu teisės aktu tam kitam duomenų tvarkytojui nustatomos tos pačios duomenų apsaugos prievolės, kaip ir prievolės, nustatytos Bendrovei teisės aktų bei duomenų valdytojo, visų pirma prievolė pakankamai užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos taip, kad duomenų tvarkymas atitiktų Reglamento reikalavimus.

23.Visais atvejais, be duomenų valdytojo nustatytų papildomų pareigų, Bendrovė, tvarkydama duomenis kaip duomenų tvarkytoja, turi šias pareigas:

23.1. tvarkyti asmens duomenis tik pagal duomenų valdytojo dokumentais įformintus nurodymus, išskyrus atvejus, kai tai daryti reikalaujama pagal teisės aktų reikalavimus, kurie yra taikomi Bendrovei. Tokiu atveju Bendrovė, prieš pradėdama tvarkyti duomenis, praneša apie tokį teisinį reikalavimą duomenų valdytojui, išskyrus atvejus, kai pagal teisės aktus toks pranešimas yra draudžiamas dėl svarbių viešojo intereso priežasčių;

23.2. užtikrinti, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą;

23.3. imtis visų techninių ir organizacinių priemonių, kad būtų užtikrintas tvarkomų duomenų saugumas;

23.4. laikytis Taisyklėse nustatytų kito duomenų tvarkytojo pasitelkimo sąlygų;

23.5. atsižvelgdama į duomenų tvarkymo pobūdį, padėti duomenų valdytojui, taikydama tinkamas technines ir organizacines priemones, kiek tai įmanoma, kad būtų įvykdyta duomenų valdytojo prievolė atsakyti į prašymus, susijusius su duomenų subjektų teisių įgyvendinimu;

23.6. padėti duomenų valdytojui įgyvendinti jo prievoles pranešti apie asmens duomenų saugumo pažeidimus bei atlikti poveikio duomenų apsaugai vertinimą, atsižvelgiant į duomenų tvarkymo pobūdį ir Bendrovės turimą informaciją;

23.7. užbaigus teikti su duomenų tvarkymu susijusias paslaugas, ištrinti arba grąžinti duomenų valdytojui visus asmens duomenis ir ištrinti esamas jų kopijas, išskyrus atvejus, kai teisės aktai nustato reikalavimą asmens duomenis saugoti;

IV. DUOMENŲ SUBJEKTŲ TEISĖS IR JŲ ĮGYVENDINIMO TVARKA

  1. Duomenų subjektai turi visas Reglamento III skyriuje įtvirtintas teises, pagrindinės iš jų:

24.1.  teisė žinoti ir susipažinti su tvarkomais duomenimis ir tuo, kaip jie yra tvarkomi;

24.2.  teisė reikalauti ištaisyti duomenis;

24.3.  teisė reikalauti ištrinti duomenis;

24.5.  teisė į duomenų perkeliamumą;

24.6.  teisė nesutikti su duomenų tvarkymu;

24.7.  teisė nebūti automatizuotai vertinami ir profiliuojami.

  1. Bendrovė imasi visų būtinų priemonių, kad būtų užtikrintos visos duomenų subjektų teisės. Duomenų subjektų teisių įgyvendinimo tvarka įtvirtinta:

25.1.  Reglamente;

25.2.  Duomenų subjekto teisių įgyvendinimo Bendrovėje  taisyklėse. 

V. ASMENS DUOMENŲ TVARKYMO  TVARKYMO TEISINIAI PAGRINDAI, TERMINAI IR ASMENS DUOMENŲ SAUGOJIMAS

26.  Bendrovė tvarko Asmens duomenis vadovaudamasi Bendrųjų dokumentų saugojimo terminų rodyklėje, patvirtintoje Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V 100 nustatytais duomenų saugojimo terminais ir Asmens duomenų tvarkymo veiklos įrašuose nustatytais terminais, atsižvelgdama į Asmens duomenų tvarkymo tikslus. Jei yra prieštaravimų tarp nurodyto teisės norminio akto ir Duomenų tvarkymo veiklos įrašų, privaloma vadovautis duomenų tvarkymo veiklos įrašais.

27.  Pasibaigus nustatytam Asmens duomenų tvarkymo terminui Asmens duomenys sunaikinami šių Taisyklių nustatyta tvarka. Taip pat Asmens duomenys nedelsiant yra sunaikinami, jeigu Duomenų subjektas atšaukia savo sutikimą tvarkyti Asmens duomenis, nesutinka su Asmens duomenų tvarkymu ir Bendrovė neturi kito teisėto pagrindo Asmens duomenų tvarkymui arba Bendrovė turi pagrįstą įtarimą manyti, kad reikia užkirsti kelią neteisėtam Asmens duomenų naudojimui.

28.  Asmens duomenys Bendrovės sprendimu gali būti saugomi ilgesnį terminą teisės aktų nustatyta tvarka ir sąlygomis, pavyzdžiui, jei yra pagrindo manyti, kad Asmens duomenų gali prireikti tiriant Bendrovės patalpose, ar pastate, kuriame yra patalpos, įvykdytą nusikalstamą veiką, ar kitokį incidentą. Tokiu atveju Asmens duomenys saugomi iki bus priimtas galutinis atitinkamas teisėsaugos institucijų ar teismo sprendimas, susijęs su nusikalstama veika, ar kitoks asmenų, tiriančių/nagrinėjančių incidentą (pavyzdžiui, stichinių nelaimių atveju – draudikų), ar kitų asmenų, tiriančių/nagrinėjančių Bendrovei žalos sukėlusį įvykį, sprendimas ar išvada.

29.  Popieriniai dokumentai sunaikinami tokiu būdu, kad būtų išlaikytas konfidencialumo principas. Konfidencialūs įrašai turėtų būti dedami į konfidencialias šiukšlių dėžes arba dedami į konfidencialius maišus, kuriuos surenka specialias dokumentų naikinimo paslaugas teikiančios įmonės.

30.  Elektroninių įrašų ištrynimą prižiūri Saugumo pareigūnas, jei reikia, pasitelkdamas IT specialisto pagalbą. Bet kokia sunaikinimui skirta kompiuterinė įranga taip pat turėtų būti sunaikinama su IT specialisto priežiūra, siekiant užtikrinti, kad visos laikmenos būtų fiziškai sunaikintos.

31. Asmens duomenys sutikimo pagrindu tvarkomi:

31.1. kai tai tiesiogiai numatyta Taisyklėse, Reglamente, ADTAĮ arba kituose teisės aktuose;

31.2.  kai, atsižvelgiant į duomenų tvarkymo tikslą ar duomenų kiekį, Bendrovė neturi kito teisinio pagrindo tvarkyti asmens duomenis ar įvykdyti kitus Reglamente nustatytus įpareigojimus visa apimtimi. Jeigu asmens duomenys, atsižvelgiant į jų kiekį ir tvarkymo tikslus, gali būti tvarkomi bent vienu Reglamente įtvirtintų pagrindų, duomenų subjekto sutikimas papildomai nėra prašomas pateikti;

31.3. kai tai labiausiai atitinka Bendrovės interesus ir padidintos rizikos atvejais sumažina asmens duomenų tvarkymo neteisėtumo riziką.

  1. Duomenų subjekto sutikimai gali būti renkami šiais būdais: raštu, įskaitant gautus elektroninėmis priemonėmis, įskaitant pažymimus laukus, kai jų nuoroda aiškiai ir efektyviai nukreipia į duomenų teises reglamentuojančius Bendrovės ir/ar valstybės aktus, žodžiu ar veiksmais, jeigu yra galimybė įrodyti, kad toks sutikimas buvo duotas, ir jeigu duomenų subjektas savo veiksmais aiškiai sutinka su siūlomu jo asmens duomenų tvarkymu. Pirmenybė kiekvienu atveju yra teikiama duomenų subjekto sutikimams, gautiems raštu (įskaitant gautus elektroninėmis priemonėmis), o kiti sutikimo būdai gali būti naudojami tik kiekvienu konkrečiu atveju įsitikinus, kad yra įmanoma įrodyti duomenų subjekto sutikimo davimo faktą. Duomenų subjekto tylėjimas, arba neveikimas nelaikomi duomenų subjekto sutikimu.
  2. Visais atvejais, kai asmens duomenys yra tvarkomi duomenų subjekto sutikimo pagrindu, Bendrovė privalo kaupti ir turėti įrodymus, kad duomenų subjektas davė nustatytos formos ir turinio sutikimą.
  3. Kai asmens duomenys yra tvarkomi sutikimo pagrindu, tvarkomi tik tie asmens duomenys, kurie nurodyti sutikime, tik tais tikslais, kurie nurodyti sutikime, ir su jais atliekamos tik tos tvarkymo operacijos (veiksmai), kurios nurodytos sutikime. Jeigu keičiasi tvarkomų duomenų kiekis, tvarkymo tikslas ar tvarkymo operacijos (veiksmai), privaloma gauti papildomą sutikimą tokiam duomenų tvarkymui arba turi egzistuoti kitas Taisyklėse ar Reglamente įtvirtintas asmens duomenų tvarkymo teisinis pagrindas.
  4. Sutikimas gali būti asmens duomenų tvarkymo pagrindas, jei atitinka šiuos reikalavimus:

duotas laisva duomenų subjekto valia. Vertinant, ar sutikimas duotas laisva valia, atsižvelgiama į šias aplinkybes:

  • ar sutarties vykdymui nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti (tokiu atveju nelaikoma, kad sutikimas duotas laisva valia);
  • ar duomenų subjektas yra verčiamas duoti sutikimą, neturi realaus pasirinkimo dėl sutikimo davimo, patiria spaudimą, negali realiai kontroliuoti sutikimo davimo bei asmens duomenų ar gali susilaukti neigiamų pasekmių (tiesioginių ir netiesioginių), jeigu sutikimas nebus duotas (tokiais atvejais nelaikoma, kad sutikimas duotas laisva valia);
  • jeigu sutikimas yra neatsiejamai susietas su sąlygomis, dėl kurių duomenų subjektas neturi galimybės derėtis ar jas pakeisti, preziumuojama, kad toks sutikimas nėra duotas laisva valia. Tokiu atveju Bendrovė imasi papildomų priemonių šiai prezumpcijai paneigti ir užtikrinti, kad sutikimas būtų duodamas laisva valia;
  • jeigu yra aiški Bendrovės ir duomenų subjekto padėties neatitiktis ir dėl to tikėtina, kad sutikimas, atsižvelgiant į visas to konkretaus atvejo aplinkybes, gali nebūti duotas laisva valia. Tokiu atveju Bendrovė imasi papildomų priemonių užtikrinti, kad sutikimas būtų duodamas laisva valia;
  • jeigu sutikimas yra siejamas su keliais duomenų tvarkymo tikslais ar keliomis duomenų tvarkymo operacijomis (veiksmais), duomenų subjektams turi būti sudaryta galimybė sutikti ne su visais tikslais ar operacijomis (veiksmais), o tik su atskirais tikslais ar operacijomis (veiksmais), jeigu jie nėra tarpusavyje tiesiogiai susiję. Priešingu atveju nelaikoma, kad sutikimas duotas laisva valia;
  1. sutikimas yra konkretus ir išsamus. Laikoma, kad sutikimas yra konkretus ir išsamus, jeigu jis atitinka šiuos reikalavimus:

36.1. aiškiai ir išsamiai nurodytas konkretus ir teisėtas asmens duomenų tvarkymo tikslas;

36.2. nurodyti konkretūs asmens duomenys, kurie bus tvarkomi konkrečiais duomenų tvarkymo tikslais;

36.3. nurodytos duomenų tvarkymo operacijos (veiksmai), kurios bus atliekamos sutikimo pagrindu;

36.4. duomenų subjektui sudaroma galimybė sutikti tik su atskirais duomenų tvarkymo tikslais, jeigu sutikimas duodamas keliems duomenų tvarkymo tikslams, taip pat tik su konkrečiomis duomenų tvarkymo operacijomis (veiksmais);

36.5. sutikimą duomenų subjektas davė tinkamai informuotas. Tam, kad šis reikalavimas būtų įvykdytas, prieš duomenų subjektui pasirašant sutikimą jam turi būti pateikta Reglamento 13 straipsnyje nurodyta informacija bei informuojama apie duomenų subjekto teisę bet kuriuo metu atšaukti savo sutikimą. Informacija gali būti pateikta raštu, žodžiu, audiovizualinėmis žinutėmis, tačiau visais atvejais tokiu būdu, kad Bendrovė turėtų galimybę įrodyti, jog informacija duomenų subjektui buvo pateikta ir kad ji atitinka Reglamento 13 straipsnyje įtvirtintą turinį;

36.6.  sutikimas yra nedviprasmiškas duomenų subjekto valios išreiškimas, kad su juo susiję duomenys būtų tvarkomi. Sutikimas turi būti duodamas aktyviais veiksmais;

36.7. sutikimas turi būti parašytas paprasta, aiškia, duomenų subjektui suprantama kalba.

36.8.  Visais atvejais sutikimas turi būti gaunamas prieš atliekant duomenų tvarkymo operacijas (veiksmus), dėl kurių renkamas sutikimas.

  1. Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Duomenų subjektui atšaukus sutikimą, draudžiama tvarkyti asmens duomenis tais tikslais ir atlikti duomenų tvarkymo operacijas (veiksmus), kurios buvo atliekamos tokio sutikimo pagrindu, išskyrus atvejus, kai tokiam duomenų tvarkymui egzistuoja kitas Taisyklėse ar Reglamente įtvirtintas asmens duomenų tvarkymo teisinis pagrindas. Sutikimui atšaukti yra sudaromos analogiškos sąlygos, kaip ir sutikimui duoti, draudžiama apsunkinti ar sudaryti papildomas sąlygas sutikimui atšaukti. Sutikimo atšaukimas negali sukelti duomenų subjektui neigiamų padarinių, įskaitant paslaugos kokybės sumažinimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie šiame punkte išdėstytas nuostatas privalo būti informuojamas prieš jam duodant sutikimą.
  2. Bendrovė imasi priemonių, kad sutikimai, kiek tai yra įmanoma atsižvelgiant į asmens duomenų tvarkymo tikslus ir apimtį, galiotų apibrėžtą terminą.
  3. Sutikimas galioja iki jo atšaukimo momento arba iki sutikime nurodyto jo galiojimo termino pabaigos.
  4. Sutikimas ir jame nurodyti asmens duomenys yra saugomi trejus metus nuo sutikimo atšaukimo arba jo galiojimo termino pabaigos, arba nuo Bendrovės sprendimo nebetvarkyti asmens duomenų sutikime nustatytais tikslais priėmimo dienos, išskyrus atvejus, kai teisės aktai numato kitokį duomenų saugojimo terminą. Jei sutikimo duomenys naudojami kaip įrodymai ikiteisminiame ar kitokiame tyrime, įskaitant ir Inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje arba kitais įstatymų nustatytais atvejais, asmens duomenys gali būti saugomi tiek, kiek reikia šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
  5. Darbuotojai privalo užtikrinti, kad Bendrovės iš duomenų subjektų gaunami sutikimai atitiktų šių Taisyklių reikalavimus.

42.  Teisinė prievolė, kaip asmens duomenų tvarkymo pagrindas:

42.1. Bendrovė tvarko Asmens duomenis, siekdama įgyvendinti Bendrovei nustatytas prievoles, įskaitant bet neapsiribojant, darbo teisės ir socialinės apsaugos srityje, kurias nustato taikytini teisės aktai.

42.2.Asmens duomenų tvarkymo tikslus, apimtis, terminus, kitas sąlygas nustato galiojantys teisės aktai.

43.  Teisėtas interesas, kaip asmens duomenų tvarkymo pagrindas:

43.1.Bendrovei tvarkant Asmens duomenis teisėto intereso pagrindu Asmens duomenų tvarkymo tikslas turi būti teisėtas, o Asmens duomenų tvarkymo metodas ar technologija turi būti reikalinga Bendrovės interesams pasiekti. Asmens duomenų tvarkymas taip pat turi būti proporcingas verslo poreikiams, t.y. tikslui, kurio siekiama tvarkant Asmens duomenis.

43.2  . Prieš pradedant tvarkyti asmens duomenis teisėto intereso pagrindu visada turi būti   įvertintas konkretus teisėtas interesas. Teisėto intereso vertinimo pagalba nustatomas Asmens duomenų tvarkymo tikslas, jo teisėtumas, Asmens duomenų tvarkymo priemonės bei metodai, o taip pat  yra įvertinamas poveikis Duomenų subjektui, jo teisėms. Kaip turi būti atliktas teisėto intereso vertinimas, yra nurodyta Teisėto intereso įvertinimo procedūroje, kurią tvirtina Bendrovės vadovas. Saugumo pareigūnas yra atsakingas už teisėto intereso vertinimo atlikimą kiekvienos duomenų tvarkymo operacijos atžvilgiu, kai duomenys tvarkomi teisėto intereso pagrindu.

44.  ASMENS DUOMENŲ TVARKYMAS TIESIOGINĖS RINKODAROS TIKSLAIS

44.1.Bendrovėje taikomos Asmens duomenų tvarkymo tiesioginės rinkodaros tikslais taisyklės ir tvarka aptartos Duomenų tvarkymo veiklos įrašuose, Bendrovės privatumo politikoje (toliau – Privatumo politika). Privatumo politika tvirtinama Bendrovės vadovo įsakymu.

44.2.Naudoti elektroninių ryšių paslaugas, įskaitant elektroninio pašto pranešimų siuntimą, tiesioginės rinkodaros tikslu leidžiama tik gavus išankstinį Duomenų subjekto sutikimą, išskyrus, kai tvarkomi Bendrovės klientų, neprieštaravusių tiesioginės rinkodaros pranešimų siuntimui, el. pašto adresai, siūlant tas pačias ar panašias į įsigytas Bendrovės prekes ar paslaugas. Detalios gairės kaip vykdyti tiesioginę rinkodarą yra pateikiamos Atmintinėje dėl tiesioginės rinkodaros, kuri yra tvirtinama vadovo įsakymu.

44.3.Bet kokia komunikacija (pvz., elektroninio laiško siuntimas, skambinimas), siekiant gauti sutikimą teikti tiesioginės rinkodaros pasiūlymus, yra negalima komunikacijos metu neturint Duomenų subjekto sutikimo. Griežtai draudžiama siųsti elektroninius laiškus ar skambinti Duomenų subjektui klausiant, ar jis sutinka gauti tiesioginės rinkodaros pasiūlymus. Duomenų subjekto išankstinis sutikimas dėl Asmens duomenų naudojimo tiesioginės rinkodaros tikslais turi būti gaunamas kitais būdais (pvz., išreiškiant sutikimą interneto svetainėje (jei tokia forma naudojama), sudarant sutartį, užpildant įvairias formas).

44.4.Jeigu Asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, Duomenų subjektas turėtų turėti teisę nesutikti su tokiu duomenų tvarkymu, o jį davęs, bet kada nemokamai atšaukti, nesvarbu, ar tai yra pirminis ar tolesnis duomenų tvarkymas. Apie tokią teisę Duomenų subjektas turi būti aiškiai informuojamas.

44.5. Bendrovė, gavusi Duomenų subjekto sutikimo atšaukimą arba nesutikimą tvarkyti Asmens duomenis, nedelsiant ištrina Duomenų subjekto Asmens duomenis ir nebesiunčia tiesioginės rinkodaros pranešimų. Šios teisės įgyvendinimas ribojamas, jei Asmens duomenų tvarkymas  yra būtinas siekiant laikytis Europos Sąjungos ar valstybės narės teisės, kuri taikoma Bendrovei, nustatytos teisinės prievolės ir (ar) siekiant pareikšti, vykdyti arba apginti teisėtus interesus. Bet kuriuo atveju, sutikimo atšaukimas ir/arba nesutikimas tvarkyti Asmens duomenis nedarys poveikio Asmens duomenų tvarkymo, atlikto iki atšaukimo, teisėtumui.

45.  DARBUOTOJŲ ASMENS DUOMENŲ TVARKYMO YPATUMAI

45.1.Darbuotojų asmens duomenys yra tvarkomi šiais pagrindais: darbo sutarties ar kitos su darbuotoju sudarytos sutarties sudarymas ir vykdymas, valstybės tarnybos teisinių santykių pagrindas, teisės aktuose nustatytų teisinių prievolių vykdymas, Bendrovės ar trečiųjų asmenų teisėtas interesas (pavyzdžiui, Bendrovės materialinės nuosavybės apsauga, darbuotojų produktyvumo ir komunikacijos gerinimas, konfidencialios informacijos apsauga, asmens duomenų, už kuriuos atsakinga Bendrovė, apsauga, turto ir interesų apsauga, darbuotojų bei kitų subjektų teisių ir saugumo užtikrinimas ir kt.).

45.2.  Bendrovėje gali būti tvarkomi tik tie darbuotojų asmens duomenys, kurie yra būtini darbo sutarčiai / valstybės tarnybos teisinių santykių ar kitai su darbuotoju sudarytai sutarčiai sudaryti ir vykdyti, teisės aktuose nustatytoms Bendrovės teisinėms prievolėms vykdyti, konkrečiam Bendrovės teisėtam interesui apsaugoti. Darbuotojų duomenų tvarkymo tikslai numatyti duomenų tvarkymo veiklos įrašuose.

45.3. Bendrovėje draudžiama tvarkyti su darbu / valstybės tarnyba ir jų teisių įgyvendinimu nesusijusius (perteklinius) darbuotojų asmens duomenis, taip pat pateikti darbuotojo asmens duomenis tretiesiems asmenims, išskyrus Reglamente ir įstatymuose nustatytus atvejus.

45.4. Draudžiama tvarkyti pretendento eiti pareigas arba dirbti darbus ir darbuotojo asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, išskyrus atvejus, kai šie asmens duomenys būtini patikrinti, ar asmuo atitinka įstatymuose ir (ar) įgyvendinamuosiuose teisės aktuose nustatytus reikalavimus pareigoms eiti arba darbams dirbti ir atsakomybei teisės aktų nustatyta tvarka taikyti.

45.5. Pretendento eiti pareigas arba dirbti darbus asmens duomenis, susijusius su kvalifikacija, profesiniais gebėjimais ir dalykinėmis savybėmis, galima rinkti iš buvusio darbdavio / valstybės ir savivaldybių įstaigų, kurioje pretendentas dirbo pagal darbo sutartis, prieš tai informavus pretendentą, o iš esamo darbdavio / valstybės ir savivaldybės įstaigos, kurioje pretendentas dirba pagal darbo sutartis, – tik pretendento sutikimu.

45.6.Viešai prieinami asmens duomenys apie pretendentą, pretenduojantį eiti pareigas arba dirbti darbus, ar darbuotojus gali būti renkami tik tiek ir tik tokia apimtimi, kiek tie asmens duomenys yra tiesiogiai reikalingi ir aktualūs darbo / valstybės tarnybos pareigoms ir funkcijoms, į kurias pretenduojama, vykdyti. Apie šią galimybę pretendentai yra informuojami darbo skelbime / priėmimo į valstybės tarnybą paskelbimo pranešime.

45.7.Pretendento eiti pareigas arba dirbti darbus, neatrinkto eiti pareigas arba dirbti darbus, asmens duomenys saugomi ne ilgiau nei 3 mėnesius nuo momento, kai pretendentui buvo pranešta, kad su juo nebus sudaryta darbo sutartis / pretendentas nebuvo atrinktas į valstybės tarnautojus. Ilgesnį terminą tokie asmens duomenys gali būti saugomi tik tada, jeigu yra gaunamas pretendento sutikimas, atitinkantis Taisyklėse įtvirtintus reikalavimus, arba atsiranda kitas teisinis pagrindas ilgiau saugoti duomenis.

45.8.Pasibaigus darbo / valstybės tarnybos teisiniams santykiams, nauji duomenys apie darbuotoją gali būti renkami tik esant teisiniam pagrindui ir tik tiek, kiek jie yra susiję ir būtini remiantis konkrečiu teisiniu pagrindu pagrįstam tikslui pasiekti. Apie tokį duomenų rinkimą darbuotojai yra informuojami.

45.9.  Darbuotojas Bendrovės funkcijoms vykdyti suteiktą kompiuterį, elektroninį paštą ir kitus Bendrovės įrenginius, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą naudoja tik su darbu susijusiais tikslais ir tik darbo funkcijoms vykdyti. Darbuotojams yra draudžiama naudoti kompiuterius, telefonus ir kitą Bendrovės suteiktą įrangą, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą asmeniniais tikslais, juose kaupti asmeninio pobūdžio informaciją, asmens duomenis.

45.10.  Darbuotojai, turintys nuotolinę prieigą prie Bendrovės infrastuktūros, privalo imtis visų priemonių, kad būtų užtikrintas informacijos ir duomenų saugumas bei konfidencialumas, o Bendrovė privalo padėti darbuotojui įgyvendinti šią pareigą.

45.11.  Nuolatinį Bendrovės darbuotojui suteikto kompiuterio, elektroninio pašto ir kitų Bendrovės įrenginių, prietaisų, įtaisų, informacijos ir ryšių technologijų, programinės įrangos stebėjimą ar tikrinimą vykdyti draudžiama. Bendrovės darbuotojams suteiktos darbo priemonės, įranga, įskaitant elektroninius paštus, kompiuterius, mobiliuosius telefonus, juose esantys asmens duomenys, kiti duomenys bei informacija gali būti tikrinami tik esant visoms šioms sąlygoms.

45.12.  Vaizdo stebėjimas ir garso įrašymas darbuotojų darbo vietose gali būti vykdomas tik tada, kai dėl darbo specifikos būtina užtikrinti asmenų, turto ar visuomenės saugumą, ir kitais atvejais, kai kiti būdai ar priemonės yra nepakankami ir (arba) netinkami siekiant išvardytų tikslų, išskyrus atvejus, kai tiesiogiai siekiama kontroliuoti darbo kokybę ir mastą. Apie vaizdo stebėjimą ir garso įrašymą konkrečioje vietoje informuojama vaizdiniu žymeniu matomoje vietoje.

46.  ASMENS DUOMENŲ TVARKYMAS INTERNETINĖJE SVETAINĖJE, SOCIALINĖS ŽINIASKLAIDOS PASKYROSE

46.1.Informaciją, kuri yra susijusi su Asmens duomenų rinkimu, naudojimu, susipažinimu, tvarkymu, Asmens duomenų tvarkymo mastu, Bendrovė pateikia Duomenų subjektams savo Privatumo politikoje.

46.2.Bendrovė, skelbdama Bendrovės Darbuotojų Asmens duomenis internetinėje svetainėje, socialinės žiniasklaidos paskyrose privalo gauti Darbuotojų išankstinį sutikimą, išskyrus tuos atvejus, kai Asmens duomenys yra tvarkomi vidaus administravimo tikslais.

47.  SPECIALIŲ KATEGORIJŲ ASMENS DUOMENŲ TVARKYMAS

47.1.Bendrovė neturi teisės tvarkyti Specialių kategorijų asmens duomenų, išskyrus atvejus, kai:

· Duomenų subjektas aiškiai sutiko, kad tokie Asmens duomenys būtų tvarkomi vienu ar keliais nurodytais tikslais, išskyrus teisės aktais numatytas išimtis;

· tvarkyti Specialių kategorijų asmens duomenis būtina, kad Bendrovė arba Duomenų subjektas galėtų įvykdyti prievoles ir naudotis specialiomis teisėmis darbo ir socialinės apsaugos teisės srityje;

· tvarkyti Specialių kategorijų asmens duomenis būtina, kad būtų apsaugoti gyvybiniai Duomenų subjekto arba kito fizinio asmens interesai, kai Duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo;

· tvarkomi Asmens duomenys, kuriuos Duomenų subjektas yra akivaizdžiai paskelbęs viešai;

· tvarkyti Specialių kategorijų asmens duomenis būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;

· tvarkyti Specialių kategorijų asmens duomenis būtina dėl svarbaus viešojo intereso priežasčių;

· tvarkyti Specialių kategorijų asmens duomenis būtina dėl viešojo intereso priežasčių visuomenės sveikatos srityje, siekiant užtikrinti aukštus sveikatos priežiūros standartus.

47.2. Specialių kategorijų asmens duomenys turi būti šifruojami.

48.  ASMENS DUOMENŲ TVARKYMAS BENDROVĖS TEISIŲ IR INTERESŲ APSAUGOS ĮGYVENDINIMUI

48.1.Bendrovė, siekdama apsaugoti savo interesus, gali Asmens duomenis perduoti teismui, ikiteisminį išieškojimą vykdančiai ir Bendrovės inetresus atstovaujančiai įmonei, antstoliui, Bendrovei atstovaujantiems teisininkams ar kitiems Bendrovės interesams atstovaujantiems asmenims.

49.  ASMENS DUOMENŲ TVARKYMAS, BENDROVEI VEIKIANT KAIP DUOMENŲ TVARKYTOJUI

49.1.Bendrovė, vykdydama veiklą, gali veikti taip pat kaip Asmens Duomenų tvarkytojas, kai Duomenų valdytojo nurodymu, tvarko Asmens duomenis.

49.2.Bendrovė, tvarkydama Asmens duomenis kaip Duomenų tvarkytojas, vadovaujasi su Duomenų valdytoju sudaryta Asmens duomenų tvarkymo sutartimi. Kiti Bendrovei, kaip Duomenų tvarkytojui keliami reikalavimai, numatyti Bendrojo duomenų apsaugos reglamento 28 straipsnyje.

49.3.Bendrovės darbuotojai, tvarkydami Duomenų valdytojo perduotus Asmens duomenis, visais atvejais privalo įsitikinti ketinamų atlikti veiksmų teisėtumu, vadovaujantis Bendrovės ir Duomenų valdytojo sudaryta sutartimi ir joje aptartais Asmens duomenų tvarkymo ribojimais ir tvarka.

49.4. Bendrovės Asmens duomenų tvarkymo funkcijas atliekantys asmenys, siekdami užkirsti kelią atsitiktiniam ar neteisėtam Asmens duomenų tvarkymui, turi saugoti dokumentus ir duomenų rinkmenas, vengti nereikalingų Asmens duomenų kopijų darymo.

50.  POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS

50.1.Tais atvejais, kai, atsižvelgiant į asmens duomenų ir duomenų subjektų kategoriją, duomenų tvarkymo pobūdį, aprėptį, kontekstą, tikslus, duomenų subjektų teisėms bei laisvėms gali kilti didelis pavojus, Bendrovė, prieš pradėdama vykdyti duomenų tvarkymo operacijas (veiksmus) ir tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimą.

50.2. Poveikis duomenų apsaugai vertinamas, kai:

50.2.1.  duomenų tvarkymo operacija patenka į Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą, patvirtintą Valstybinės duomenų apsaugos inspekcijos direktoriaus 2019 m. kovo 14 d. įsakymu Nr. 1T-35 (1.12. E) „Dėl Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašo patvirtinimo“ (toliau – Duomenų tvarkymo operacijų sąrašas), kurioms poveikio duomenų apsaugai vertinimas yra privalomas.

50.2.2.   duomenų tvarkymo operacija nepatenka į Duomenų tvarkymo operacijų sąrašą, kurioms poveikio duomenų apsaugai vertinimo reikalavimas yra privalomas, tačiau Bendrovė įvertina, kad duomenų tvarkymo operacija, atsižvelgiant į Taisyklių 79 punkte įtvirtintus kriterijus, duomenų subjektų teisėms bei laisvėms gali kelti didelį pavojų.

50.2.3.  pasikeitus duomenų tvarkymo operacijų (veiksmų) įgyvendinimo sąlygoms ir kai tai gali lemti didelį pavojų duomenų subjektų teisėms ir laisvėms;

50.2.4.  kitais Taisyklėse įtvirtintais atvejais.

50.3. Ar duomenų tvarkymo operacijos (veiksmai) gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms, sprendžiama kiekvieną kartą atsižvelgiant į šiuos kriterijus:

50.3.1. sisteminga asmens duomenų ar duomenų subjektų stebėsena;

50.3.2.  neskelbtini duomenys arba labai asmeniški duomenys, pavyzdžiui, specialių kategorijų asmens duomenys;

50.3.3.   didelio masto duomenų tvarkymas (susijusių duomenų subjektų skaičius, tvarkomų duomenų kiekis, tvarkomų duomenų įvairovė, duomenų tvarkymo veiklos trukmė ir pastovumas, geografinis duomenų tvarkymo mastas);

50.3.4.  duomenų rinkinių siejimas ir derinimas;

50.3.5.  su pažeidžiamais duomenų subjektais susiję duomenys (pavyzdžiui, vaikų, darbuotojų, pažeidžiamų subjektų, kuriems reikalinga speciali apsauga, duomenys, kiti segmentai, kai galima nustatyti nelygiaverčius duomenų subjekto ir duomenų valdytojo santykius;

50.3.6.  naujų technologijų ar organizacinių sprendimų būdų taikymas;

50.3.7.   dėl duomenų tvarkymo duomenų subjektams užkertamas kelias naudotis savo teisėmis, paslaugomis arba sudaryti sutartis;

50.3.8.   kitos aplinkybės, rodančios galimą didelį pavojų subjektų teisėms ir laisvėms.

50.4. Kuo daugiau čia įtvirtintų kriterijų atitinka konkreti duomenų tvarkymo operacija (veiksmai), tuo didesnė tikimybė, kad duomenų tvarkymo operacija (veiksmai) gali kelti didelį pavojų duomenų subjektų teisėms ir laisvėms. Dėl poveikio duomenų apsaugai atlikimo būtinybės visais atvejais konsultuojamasi su Bendrovės duomenų apsaugos pareigūnu.

50.5.  Poveikio duomenų apsaugai vertinimas turi būti atliktas prieš pradedant įgyvendinti duomenų tvarkymo operacijas (veiksmus).

44. ASMENS DUOMENŲ SAUGUMO PRIEMONĖS

44.3. ORGANIZACINĖS IR TECHNINĖS SAUGUMO PRIEMONĖS

44.3.2.  Siekdama užtikrinti Asmens duomenų apsaugą, Bendrovė įgyvendina arba numato įgyvendinti šias Asmens duomenų apsaugos priemones:

  • organizacines (Darbuotojų supažindinimas su dokumentais, reglamentuojančiais duomenų saugą, dokumentų, reglamentuojančių duomenų saugą, periodinis peržiūrėjimas, prireikus atnaujinimas, kontroliuojamas jų vykdymas ir kt.);
  • techninės apsaugos priemones;
  • fizinės apsaugos priemonės.

44.3.3.  Be kitų priemonių Bendrovė įgyvendina šias organizacines saugumo priemones:

  • Bendrovės vadovas patvirtina Informacinių ir komunikacinių technologijų naudojimo ir darbuotojų stebėsenos bei kontrolės darbo vietoje tvarkos aprašą;
  • Bendrovės vadovas patvirtina Poveikio duomenų apsaugai vertinimo procedūrą;
  • Bendrovės vadovas patvirtina Teisėto intereso vertinimo procedūrą;
  • vedamas IT išteklių, naudojamų asmens duomenims tvarkyti, registras (techninės, programinės ir tinklo įrangos), kuris ne rečiau, kaip kartą per pusmetį peržiūrimas ir atnaujinamas;
  • visi Bendrovės IT sistemų pakeitimai stebimi ir registruojami Saugumo pareigūno arba kito Bendrovės vadovo įsakymu paskirto asmens;
  • Bendrovės naudojamos programinės įrangos kūrimas, kai įmanoma, atliekamas specialioje aplinkoje, kuri nėra prijungta prie IT sistemų, naudojamų tvarkant asmens duomenis;
  • Bendrovėje yra vadovo patvirtinta išsami reagavimo į incidentus ir jų padarinių likvidavimo tvarka bei veiklos tęstinumo planas.

44.3.4.  Be kitų priemonių Bendrovė įgyvendina šias technines saugumo priemones:

  • naudojamas centralizuotas įrankis kompiuterinėms darbo vietoms valdyti;
  • nuolat diegiamos atnaujintos antivirusinės programos, o jų diegimas kontroliuojamas centralizuotai;
  • mobiliuosiuose įrenginiuose įdiegiamas mobiliųjų įrenginių valdymo sprendimas (MDM) su darbinės ir asmeninės aplinkos atskyrimu, privalomu įrenginio šifravimu, patikra;
  • privalomos antivirusinės programos mobiliuosiuose įrenginiuose;
  • visi nešiojamieji kompiuteriai šifruojami;
  • nuolatos daromos nešiojamųjų kompiuterių rezervinės kopijos;
  • įgyvendinami USB blokavimo sprendimai, o tais atvejais, kai USB naudojami – leidžiama naudoti tik šifruotus įrenginius;
  • naudojama tik viena kontroliuojama debesijos programa;
  • kai jungiamasi per internetą, ryšys perduodamas užšifruotu pavidalu naudojant kriptografinius protokolus (TLS/SSL);
  • duomenų srautas į ir iš IT sistemos stebimas ir kontroliuojamas naudojant ugniasienes ir įsilaužimų aptikimo sistemas;
  • prieiga prie IT sistemų atliekama tik iš anksto sankcionuotų prietaisų;
  • privalomai vykdomas IT sistemų, kuriose tvarkomi duomenys rezervinis kopijavimas, periodinis rezervinių kopijų testavimas, privaloma rezervinė kopija į išorinį duomenų centrą, rezervinės kopijos šifruojamos, atliekamas Office 635 rezervinis kopijavimas;
  • įdiegta centralizuota logging sistema;
  • sudaryta kompiuterių tinklo ir IT resursų topologija, nustatyti visi išoriniai IP adresai;
  • video medžiaga saugojama šifruotoje saugykloje.

44.4.  REIKALAVIMAI DARBUOTOJAMS, TVARKANTIEMS ASMENS DUOMENIS

44.4.2.  Prieiga prie Asmens duomenų gali būti suteikta tik tam Darbuotojui, kuriam Asmens duomenys yra reikalingi jo funkcijoms vykdyti. Darbuotojas automatiškai netenka teisės tvarkyti Asmens duomenų, kai pasibaigia darbo santykiai su Bendrove.

44.4.3.  Su Asmens duomenimis galima atlikti tik tuos veiksmus, kuriems atlikti Darbuotojui yra suteiktos teisės.

44.4.4.  Darbuotojas, tvarkantis Asmens duomenis, privalo:

(i) laikytis pagrindinių Asmens duomenų tvarkymo reikalavimų ir saugumo reikalavimų, įtvirtintų Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, šiose Taisyklėse, Bendrajame duomenų apsaugos reglamente ir kituose teisės aktuose;

(ii)laikytis konfidencialumo susitarimo nuostatų;

(iii)    laikytis šiose Taisyklėse ir kitų Bendrovės nustatytų organizacinių ir techninių asmens duomenų saugumo priemonių;

(iv)     neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su Asmens duomenimis nė vienam asmeniui, kuris nėra įgaliotas tvarkyti Asmens duomenų;

(v)domėtis Asmens duomenų apsaugos aktualijomis ir problemomis, esant galimybei kelti kvalifikaciją asmens duomenų teisinės apsaugos srityje.

 

44.4.5.  Tinkamo Asmens duomenų tvarkymo tikslais Bendrovė privalo užtikrinti duomenų tvarkymo mokymus visiems Darbuotojams, kurie tvarko Asmens duomenis, vykdydami savo tiesiogines funkcijas. Mokymai vykdomi ne rečiau kaip kartą per kalendorinius metus.

44.5. PRIEIGOS KONTROLĖ

44.5.2.  Prieigos teisės prie Bendrovės informacinių sistemų, kuriose tvarkomi Asmens duomenys, tvirtinamos Bendrovės vadovo įsakymu, Saugumo pareigūno siūlymu. Šios teisės yra nustatomos, atsižvelgiant į kiekvieno Darbuotojo pareigas, vykdomas funkcijas. Saugumo pareigūnas turi užtikrinti, kad tik Darbuotojai, kuriems suteiktas leidimas naudotis Bendrovės informacinėmis sistemose, kuriose tvarkomi Asmens duomenys, turėtų prieigą tik prie tų Asmens duomenų, kuriems taikomas jų prieigos leidimas (prieigos duomenų kontrolė). Tais atvejais, kai būtina nukrypti nuo Bendrovės vadovo patvirtintų prieigos teisių taisyklių, arba reikia pavaduoti konkretų Darbuotoją, prieigos teises suteikia Saugumo pareigūnas, tiesioginio konkretaus darbuotojo vadovo siūlymu.

44.5.3.  Bendrovė, suteikdama prieigą prie informacijos, vadovaujasi šiais principais:

(i)    būtinumo žinoti principas – leidimas susipažinti su informacija gali būti duodamas tik tais atvejais, kai tai yra būtina veiklai vykdyti;

(ii)  mažiausių privilegijų principas – naudotojams suteikti leidimai turi atitikti paskirtį, kuriai informacija bus naudojama; ir

(iii)pareigų atskyrimo principas – sprendimai dėl prieigos teisių turi būti priimami atsižvelgiant į galimus interesų konfliktus.

44.5.4.  IT administratorius funkcijos turi būti atliekamos naudojant atskirą tam skirtą paskyrą, kuri negali būti naudojama kasdienėms naudotojo funkcijoms atlikti.

44.6. ASMENS DUOMENŲ SAUGUMO PAŽEIDIMAS

44.6.2.  Saugumo pareigūnas nuolat stebi Bendrovės vykdomų Asmens duomenų tvarkymo procesų atitiktį Taisyklėms bei galiojantiems taikomiems teisės aktams.

44.6.3.  Įvykus bet kokiam Asmens duomenų saugumo pažeidimui, dėl kurio Duomenų subjektas gali patirti kūno sužalojimą, turtinę ar neturtinę žalą, pavyzdžiui, prarasti savo Asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, pakenkta reputacijai, prarasti asmens duomenys, kurie saugomi profesine paslaptimi, konfidencialumas, padaryta kita ekonominė ar socialinė žala atitinkamam Duomenų subjektui, Bendrovė privalo pranešti Priežiūros institucijai ir/ar pačiam Duomenų subjektui nepagrįstai nedelsdama ir, jei įmanoma, nuo to laiko, kai apie tai buvo sužinota, praėjus ne daugiau kaip 72 valandoms, laikantis reikalavimų ir tvarkos, kuri yra numatyta Bendrovės vadovo patvirtintame Asmens duomenų saugumo pažeidimų reagavimo tvarkos apraše, naudojant Priežiūros institucijos patvirtintą rekomenduojamą pranešimo formą.

44.6.4.  Įvykus elektroninės informacijos saugos incidentui, privaloma vadovautis Bendrovės duomenų tvarkymo informacinės sistemos veiklos tęstinumo valdymo planu, kuris tvirtinamas Bendrovės vadovo.

45.    DUOMENŲ TVARKYMO veiKLOS ĮRAŠAI

45.3.Bendrovė tvarko duomenų tvarkymo veiklos įrašus.

45.4.Duomenų tvarkymo veiklos įrašuose pateikiama aktuali informacija dėl Bendrovėje tvarkomų Asmens duomenų.

45.5.Bendrovė, gavusi Priežiūros institucijos prašymą, Duomenų tvarkymo veiklos įrašus pateikia nedelsiant.

46.    SAUGUMO pareigŪnas

46.3.Bendrovės vadovo įsakymu yra paskiriamas Saugumo pareigūnas.

46.4.Saugumo pareigūnas yra atsakingas už Bendrovės atitiktį teisės aktams, reglamentuojantiems duomenų apsaugą.

46.5. Darbuotojai ir Duomenų subjektai turi teisę tiesiogiai kreiptis į Saugumo pareigūną visais su jų asmens duomenų tvarkymu susijusiais klausimais.

46.6. Tais atvejais, kai Saugumo pareigūnas laikinai negali eiti savo pareigų, jį pavaduoja Bendrovės personalo vadovas.

47.    ATSAKOMYBĖ

47.3. Bendrovės vadovui ir/ar vadovo įgaliotiems Darbuotojams, tvarkantiems Asmens duomenis Lietuvos Respublikoje, kurie pažeidžia Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, kituose teisės aktuose, reglamentuojančiuose Asmens duomenų tvarkymą ir apsaugą, numatytus reikalavimus arba šias Taisykles, taikomos Lietuvos Respublikos įstatymuose numatytos atsakomybės priemonės.

48.    BAIGIAMOSIOS NUOSTATOS

48.3. Taisyklių laikymosi priežiūra ir, esant poreikiui, peržiūra, patikima Saugumo pareigūnui. Taisyklės yra peržiūrimos (esant poreikiui, atnaujinamos) kasmet, arba tada, kai pasikeičia teisės aktai, reglamentuojantys Asmens duomenų tvarkymą ir apsaugą.

 

 

REGISTERED MEMBER

Sign in and exercise freely!

LOG IN

NEW MEMBER

Register and excercise freely!

REGISTER