Privatumo politika

I SKYRIUS

I SKYRIUS

BENDROSIOS NUOSTATOS

 

  1. Asmens duomenų tvarkymo taisyklių (toliau – Taisyklės) tikslas

reglamentuoti asmenų, kurių duomenis tvarko UAB „ROVALTRA“ (toliau – Įmonė) asmens duomenų tvarkymo tikslus, nustatyti jų teisių įgyvendinimo tvarką, įtvirtinti organizacines ir technines duomenų apsaugos priemones, reguliuoti asmens duomenų tvarkytojo pasitelkimo atvejus bei užtikrinti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ), Bendrojo duomenų apsaugos reglamento (ES) 2016/679 (toliau – BDAR), kitų įstatymų bei teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.

2. Pagrindinės taisyklėse vartojamos sąvokos:

Sąvoka

Apibrėžimas

Asmens duomenys

bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas) tiesiogiai arba netiesiogiai, visų pirma pagal identifikatorių, pavyzdžiui vardą ir pavardę, asmens kodą, buvimo vietos duomenis arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.

Duomenų subjektas

fizinis asmuo, kurio asmens duomenis tvarko duomenų valdytojas ar duomenų tvarkytojas (darbuotojas, klientas, vartotojas ir pan.).

Asmens duomenų tvarkymas (duomenų tvarkymas)

bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, pavyzdžiui rinkimas, įrašymas, rūšiavimas, kaupimas, klasifikavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.

Duomenų valdytojas

fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones.

Duomenų valdytojas (Įmonė)

UAB „ROVALTRA“

Duomenų tvarkytojas

fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis.

Duomenų gavėjas

fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis, ar ne. Valdžios institucijos, kurios pagal valstybės narės teisės aktus gali gauti asmens duomenis vykdydamos konkretų tyrimą, nelaikomos duomenų gavėjais; tvarkydamos tuos duomenis tos valdžios institucijos laikosi taikomų duomenų tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių.

Trečioji šalis

fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis.

Duomenų subjekto sutikimas

bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys.

Įgalioti tvarkyti asmens duomenis darbuotojai

duomenų valdytojo darbuotojai (t. y. asmenys, tarp kurių ir duomenų valdytojo yra sudarytos darbo sutartys) ir / arba kiti fiziniai asmenys, kurie sutarčių ar kitu pagrindu turi teisę tvarkyti duomenų valdytojo tvarkomus asmens duomenis.

Vaizdo stebėjimas

vaizdo duomenų, susijusių su fiziniu asmeniu, tvarkymas naudojant automatizuotas vaizdo stebėjimo priemones (vaizdo ir fotokameras ar pan.), nepaisant to, ar šie duomenys yra išsaugomi laikmenoje.

Vaizdo įrašas

vaizdo stebėjimo kameromis užfiksuoti ir vaizdo duomenų įrašymo įrenginiuose išsaugoti vaizdo duomenys.

Prieiga prie vaizdo įrangos

fizinė prieiga ar prieiga elektroninio ryšio priemonėmis, suteikianti asmeniui galimybę keisti, šalinti ar atnaujinti techninės vaizdo įrangos komponentes ar programinę įrangą, nustatyti vaizdo įrangos veikimo parametrus.

Asmens duomenų įrašymo įrenginiai

Įmonėje esantys skaitmeniniai įrenginiai, skirti vaizdo duomenų, GPS koordinačių signalams įrašyti, saugoti, peržiūrėti ir kopijuoti.

Techninės ir organizacinės saugumo priemonės

tai priemonės, kuriomis siekiama apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo ar netyčinio praradimo, pakeitimo, neteisėto atskleidimo ar prieigos, ypač tais atvejais, kai tvarkymas susijęs su duomenų perdavimu tinkle ir visos kitos neteisėtos tvarkymo formos.

Duomenų bazė

yra organizuotas (susistemintas, metodiškai sutvarkytas) duomenų rinkinys, kuriuo galima individualiai naudotis elektroniniu ar kitu būdu.

Neatitiktis

bet koks įvykis, turėjęs ar galintis turėti įtakos asmnes duomenų saugumui.

Informacijos saugumo įvykis

nustatytas sistemos, tarnybos ar tinklo įvykis, rodantis, kad yra galima saugumo užtikrinimo spraga ar apsaugos priemonių trikdis arba anksčiau nenumatyta situacija, kuri gali būti svarbi saugumui.

Informacijos saugumo incidentas

vienas ar daugiau nepageidaujamų ir netikėtų informacijos saugumo įvykių, turinčių didelę tikimybę pakenkti veiklai ir keliančių grėsmę informacijos saugumui.

Korekcinis veiksmas

veiksmas, atliekamas siekiant pašalinti nustatytos neatitikties ar kitos nepageidaujamos situacijos priežastį.

Asmens duomenų tvarkymo registravimo žurnalas

Įmonės įgalioto (-ų) asmens (-ų) pildomas žurnalas, skirtas Įmonėje pateiktų skundų, prašymų ir pan., susijusių su asmens duomenų tvarkymu, registracijai ir administravimui. Duomenų subjektų prašymus dėl tvarkomų asmens duomenų priima ir Įmonės Asmens duomenų tvarkymo registravimo žurnale užregistruoja Įmonės vadovo įgaliotas darbuotojas (-ai).

Priežiūros institucija

Valstybinė duomenų apsaugos inspekcija (toliau – VDAI).

3. Taisyklėse vartojamos sąvokos atitinka ADTAĮ ir BDAR vartojamas sąvokas. Taisyklių nuostatos negali plėsti ar siaurinti ADTAĮ ir BDAR taikymo srities bei prieštarauti ADTAĮ ir BDAR nustatytiems asmens duomenų tvarkymo reikalavimams ir kitiems asmens duomenų tvarkymą reglamentuojantiems teisės aktams.
4. Taisyklės taikomos tvarkant fizinių asmenų duomenis tiek automatiniu būdu, tiek neautomatiniu būdu tvarkant asmens duomenų susistemintas rinkmenas: klientų sąrašus, kartotekas, bylas, sąvadus ir kita. Taisyklės taip pat nustato Įmonės darbuotojų teises, pareigas ir atsakomybę tvarkant asmens duomenis.
5. Taisyklių, pagrindinių asmens duomenų tvarkymo principų, konfidencialumo ir saugumo reikalavimai, įtvirtinti ADTAĮ ir (ar) BDAR bei šiose Taisyklėse, privalomi visiems Įmonėje pagal darbo sutartis dirbantiems darbuotojams (toliau – Darbuotojai), kurie yra įgalioti tvarkyti Įmonėje esančius asmens duomenis arba eidami savo pareigas juos sužino, bei kiti sutartiniais pagrindais paslaugas teikiantys asmenys, kurie gali tvarkyti asmens duomenis.
 6. Duomenų valdytojas turi šias teises:

6.1. rengti ir priimti vidinius teisės aktus, reglamentuojančius duomenų tvarkymą;

6.2. spręsti dėl tvarkomų asmens duomenų teikimo;

6.3. paskirti už asmens duomenų apsaugą atsakingus asmenius;

6.4. įgalioti duomenų tvarkytojus tvarkyti asmens duomenis.

7. Duomenų valdytojas turi šias pareigas:

7.1. užtikrinti ADTAĮ ir kituose teisės aktuose, reglamentuojančiose asmens duomenų tvarkymą, nustatytų asmens duomenų tvarkymo reikalavimų laikymąsi;

7.2. įgyvendinti duomenų subjekto teises ADTAĮ ir šiose Taisyklėse nustatyta tvarka;

7.3. užtikrinti asmens duomenų saugumą, įgyvendinant tinkamas organizacines ir technines asmens duomenų saugumo priemones;

7.4. parinkti tik tokius asmens duomenų tvarkymo įrangos priežiūros paslaugų teikėjus, kurie garantuotų reikiamas technines ir organizacines asmens duomenų apsaugos priemones.

8. Duomenų valdytojas atlieka šias funkcijas:

8.1. nustato duomenų tvarkymo tikslą ir apimtį;

8.2. organizuoja duomenų tvarkymą;

8.3. analizuoja technologines, metodologines ir organizacines duomenų tvarkymo problemas ir priima sprendimus, reikalingus tinkamam duomenų tvarkymui užtikrinti;

8.4. teikia metodinę pagalbą darbuotojams duomenų tvarkymo klausimais;

8.5. organizuoja darbuotojų mokymus asmens duomenų teisinės apsaugos klausimais;

8.6. vykdo kitas funkcijas, reikalingas įgyvendinti asmens duomenų apsaugą.

 

II SKYRIUS

ASMENS DUOMENŲ TVARKYMO PRINCIPAI

 

1. Duomenų valdytojo darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo laikytis šių asmens duomenų tvarkymo ir apsaugos principų:

1.1. Asmens duomenis tvarkyti teisėtai, sąžiningai ir skaidriai (teisėtumo, sąžiningumo ir skaidrumo principas);

1.2. Asmens duomenis rinkti nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkyti tikslais, nesuderinamais su nustatytaisiais prieš renkant asmens duomenis (tikslo apribojimo principas); Tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais nėra laikomas nesuderinamu su pirminiais tikslais. Įmonės darbuotojai turi teisę rinkti, tvarkyti, perduoti, saugoti, naikinti ar kitaip naudoti asmens duomenis tik atlikdami savo tiesiogines funkcijas, apibrėžtas pareigybės aprašyme ar kitame Įmonės lokaliniame teisės akte arba Įmonės vadovo pavedimu ir tik teisės aktų nustatyta tvarka. Įmonės darbuotojams draudžiama savavališkai rinkti, tvarkyti, perduoti, saugoti, naikinti ar kitaip naudoti asmens duomenis;

1.3. Tvarkomi asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

1.4. Tvarkomi asmens duomenys turi būti tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);

1.5. Tvarkomus asmens duomenis laikyti tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, įgyvendinus atitinkamas technines ir organizacines priemones, kurių reikalaujama BDAR siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);

1.6. Tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).

2. Duomenų valdytojas yra atsakingas ir turi sugebėti įrodyti, kad yra laikomasi principų (atskaitomybės principas).

  

III SKYRIUS

ASMENS DUOMENŲ TVARKYMO TIKSLAI, DUOMENŲ APIMTIS, DUOMENŲ SUBJEKTAI, SAUGOJIMAS IR DUOMENŲ GAVĖJAI

 

1 tikslas. Vidaus administravimas: darbo sutarčių sudarymas, tinkamas vykdymas, apskaita (darbo užmokesčio ir kitų išmokų administravimas) ir nutraukimas; praktikos, stažuotės sutarčių sudarymas; mokymai; Duomenų valdytojo kaip darbdavio pareigų, nustatytų teisės aktuose, tinkamas vykdymas; tinkamos komunikacijos su darbuotojais ne darbo metu palaikymas; tinkamų darbo sąlygų užtikrinimas. 

ASMENS DUOMENŲ APIMTIS

DUOMENŲ SUBJEKTŲ GRUPĖ

IŠ KO GAUNAMI DUOMENYS

Darbo sutarčių sudarymo, vykdymo ir apskaitos tikslais:

1. Vardas (-ai), pavardės (-ės)

2. Asmens kodas, jeigu jo nėra – gimimo data

3. Gyvenamosios vietos adresas

4. Banko sąskaitos duomenys

5. Duomenys apie darbo užmokestį ir kitas išmokas

6. Išsilavinimo ir kvalifikacijos duomenys

7. Paso, asmens tapatybės kortelės duomenys

8. Ryšių duomenys (telefono numeris, elektroninio pašto adresas)

9. Sutuoktinio, artimųjų giminaičių telefono numeris, elektroninio pašto adresas

10. Šeiminė padėtis

11. Nepilnamečių vaikų duomenys

12. Vairavimo įgūdžiai

13. Duomenys apie sveikatos būklę (Asmens medicininė kortelė)

14. Asmens nuotrauka darbo pažymėjime ir asmens medicininėje knygelėje

15. Duomenys apie atostogas

16. Informacija apie dirbtą darbo laiką

17. Informacija apie atliktus darbus ir užduotis

18. Rūbų, batų dydis

Tinkamos komunikacijos su darbuotojais ne darbo metu tikslu:

1. Gyvenamosios vietos adresas

2. Ryšių duomenys (telefono numeris, elektroninio pašto adresas)

Darbdavio pareigų, nustatytų teisės aktuose, tinkamo vykdymo tikslu, nustatytos mokestinės lengvatos pritaikymo tikslu:

1. Vardas (-ai), pavardės (-ės)

2. Asmens kodas, jeigu jo nėra – gimimo data

Tinkamų darbo sąlygų užtikrinimo tikslu:

1. Informacija, susijusi su darbuotojo sveikatos būkle (kuri tiesiogiai daro įtaką darbuotojo darbo funkcijoms ir galimybei jas vykdyti teisės aktų nustatyta tvarka)

Vidaus administravimo veiklos tikslu:

1. Asmens atvaizdas

2. Kiti asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio ar socialinio pobūdžio duomenys, turintys įtaką darbuotojų darbo funkcijoms ir galimybei jas vykdyti, kuriuos reikia tvarkyti dėl Įmonės siekiamų teisėtų interesų, jei duomenų subjekto interesai nėra svarbesni

Darbuotojo sutikimu gali būti tvarkomi ir kiti darbuotojo asmens duomenys:

Tais atvejais, kai darbuotojo asmens duomenų tvarkymui reikalingas darbuotojo sutikimas, darbuotojas turi teisę duoti arba atsisakyti duoti sutikimą, taip pat bet kada atšaukti duotą sutikimą nepatirdamas jokių neigiamų tiesioginių ar netiesioginių pasekmių, susijusių su jo tolimesniu darbu Įmonėje. Tokiu atveju privaloma nutraukti tokių duomenų tvarkymą, jei nėra kito teisinio pagrindo tvarkyti duomenis.

Praktikos, stažuotės sutarties sudarymas:

1. Vardas (-ai), pavardės (-ės)

2. Gyvenamosios vietos adresas

1. Darbuotojai, sudarę su Įmone darbo sutartis.

2. Asmenys, sudarę su Įmone praktikos, stažuotės sutartį.

 

Tiesiogiai iš duomenų subjekto pateikto asmens dokumento (asmens tapatybės kortelės ar paso), pateiktų prašymų, gyvenimo aprašymo (CV), kitų duomenų subjekto pateiktų dokumentų.

 

 

SAUGOJIMO TERMINAS IR NAIKINIMAS

1. Darbuotojų asmens duomenys yra saugomi tik ta apimtimi ir tiek laiko, kiek yra reikalinga nustatytiems tikslams pasiekti. Kai darbuotojo asmens duomenų nebereikia tvarkyti, priimamas sprendimas dėl jų sunaikinimo, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti suarchyvuoti pagal teisės aktų ar Įmonės vidinius lokalinius teisės aktus.

2. Darbuotojų asmens duomenys, kurie yra atitinkamų dokumentų (sutartyse, įsakymuose, prašymuose ir kt.) tekstuose (elektroninėje erdvėje, popieriniame dokumente ar kitokio pavidalo laikmenoje), yra saugomi vadovaujantis Bendrųjų dokumentų saugojimo rodyklėje, patvirtintoje Lietuvos vyriausiojo archyvaro įsakymu ar Įmonės patvirtintame vidiniame lokaliniame teisės akte nurodytais terminais. Kiti darbuotojų ir buvusių darbuotojų asmens duomenys yra saugomi ne ilgiau nei tai yra reikalinga šiose taisyklėse numatytiems tikslams pasiekti.

3. Pretendentų ir / arba neatrinktų kandidatų pateikti asmens duomenys gyvenimo aprašyme (CV), po duomenų valdytojo įvykusios atrankos ir / arba konkurso į konkrečią darbo vietą, nėra saugomi duomenų valdytojo duomenų bazėje.

DUOMENŲ GAVĖJŲ GRUPĖ

(Įmonės tvarkomus duomenis gali gauti)

Įmonės tvarkomus asmens duomenis gali gauti:

1. Mokymo paslaugas teikiantys juridiniai asmenys;

2. Įmonė, konsultuojanti darbuotojų saugos ir sveikatos klausimais;

3. Valstybinė darbo inspekcija (VDI);

4. Valstybinė mokesčių inspekcija (VMI);

5. Valstybinio socialinio draudimo fondo valdyba (Sodra);

6. Visi kiti asmenys, turintys teisėtą pagrindą įstatymų nustatytais atvejais gauti, reikalauti asmens duomenų, nustatytoms funkcijoms vykdyti.

DARBUOTOJAI TURINTYS TEISĘ TVARKYTI, NAUDOTI ASMENS DUOMENIS

Darbuotojai, kuriems asmens duomenys yra būtini darbo funkcijoms vykdyti, ir tik tuomet, kai tai būtina atitinkamiems tikslams pasiekti. Įmonės darbuotojams draudžiama tvarkyti duomenų subjekto duomenis kitais nei Taisyklėse numatytais tikslais.

ASMENS DUOMENŲ SAUGOJIMO, LAIKYMO VIETA

1. Popierinės darbuotojų asmens bylos, dokumentai, jų kopijos laikomos Personalo skyriuje, rakinamose patalpose.

2. Popierinės darbo užmokesčio apskaitos bylos laikomos Buhalterijoje, rakinamose patalpose.

3. Skaitmeniniai darbuotojų asmens duomenys laikomi atitinkamose Įmonės tvarkomose duomenų bazėse prie kurių gali prisijungti darbuotojai turintys teisę su šia informacija dirbti.

4. Suarchyvuoti popieriniai dokumentai, kuriuose minimi asmens duomenys, saugomi Įmonės archyve (rakinamoje patalpoje).

1.  Įmonės darbuotojai, pasikeitus jų asmens duomenims, informuoja apie tai Įmonės paskirtą darbuotoją, vykdantį personalo administravimo Įmonėje funkcijas, kuris ne vėliau kaip per 5 (penkias) darbo dienas patikslina ir atnaujina duomenis darbuotojų asmens bylose bei tam skirtose informacinėse sistemose bei duomenų bazėse.

2. Dėl Taisyklėse įvardintų duomenų subjekto teisių, susijusių su personalo valdymo dokumentais tvarkant darbuotojų asmens duomenis, darbuotojas gali kreiptis į Įmonės paskirtą darbuotoją, vadovaujantis skyriaus Duomenų subjektų teisės ir jų įgyvendinimo tvarkos nuostatomis.

 

2 tikslas. Įmonės teikiamų, gaunamų paslaugų, prekių sutarčių su duomenų subjektu sudarymas ir vykdymas; kontaktų išsaugojimas, užtikrinant galimybę susisiekti su jais; Mokesčių apskaita ir įmokų kontrolė 

ASMENS DUOMENŲ

APIMTIS

DUOMENŲ SUBJEKTŲ

GRUPĖ

IŠ KO GAUNAMI

DUOMENYS

1. Vardas (-ai), pavardė (-ės)

2. Ryšių duomenys (telefono numeris, elektroninio pašto adresas)

3. Darbovietė ir pareigos (jei informacija teikiama kaip juridinio asmens atstovas)

4. Gyvenamosios vietos adresas

5. Banko sąskaitos duomenys (jeigu Įmonei paslaugas teikia fizinis asmuo)

Klientai, tiekėjai, juridinio asmens atstovai.

Tiesiogiai iš duomenų subjekto.

SAUGOJIMO TERMINAS IR NAIKINIMAS

Asmens duomenys yra saugomi tik ta apimtimi ir tiek laiko, kiek yra reikalinga nustatytiems tikslams pasiekti. Kai darbuotojo asmens duomenų nebereikia tvarkyti, priimamas sprendimas dėl jų sunaikinimo, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti suarchyvuoti pagal teisės aktų ar Įmonės vidinius lokalinius teisės aktus.

DUOMENŲ GAVĖJŲ GRUPĖ

(Įmonės tvarkomus duomenis gali gauti)

Asmenys, turintys teisėtą pagrindą įstatymų nustatytais atvejais gauti, reikalauti asmens duomenų, nustatytoms funkcijoms vykdyti.

DARBUOTOJAI TURINTYS TEISĘ TVARKYTI, NAUDOTI ASMENS DUOMENIS

Darbuotojai, kuriems asmens duomenys yra būtini darbo funkcijoms vykdyti, ir tik tuomet, kai tai būtina atitinkamiems tikslams pasiekti. Įmonės darbuotojams draudžiama tvarkyti duomenų subjekto duomenis kitais nei Taisyklėse numatytais tikslais.

ASMENS DUOMENŲ SAUGOJIMO, LAIKYMO VIETA

1. Užsakymai, paraiškos ar kiti dokumentai, sutartys ir jas lydintys dokumentai, sukurti produktai laikomi administracijoje, rakinamose patalpose.

2. PVM sąskaitos – faktūros, kiti buhalteriniai dokumnetai laikomi Buhalterijoje, rakinamose patalpose.

3. Skaitmeniniai asmens duomenys laikomi atitinkamose Įmonės tvarkomose duomenų bazėse prie kurių gali prisijungti darbuotojai turintys teisę su šia informacija dirbti.

4. Suarchyvuoti popieriniai dokumentai, kuriuose minimi asmens duomenys, saugomi Įmonės archyve (rakinamoje patalpoje).

Duomenų subjekto asmens duomenys tvarkomi siekiant:

1. susisiekti su klientu;

2. teikti Įmonės paslaugas arba pirkti paslaugas; pateikti sąskaitą už suteiktas paslaugas;

3. gauti sąskaitą už suteiktas paslaugas;

4. identifikuoti produkto kūrėją, kai produktas yra autorinis kūrinys;

5. identifikuoti paslaugos gavėją;

6. siųsti pasiūlymus savo klientų, kuriems teikia paslaugas, gautais el. pašto adresais tik savo paties panašių prekių ar paslaugų rinkodarai. Klientui yra sudaryta galimybė atsisakyti gauti iš Įmonės papildomus pasiūlymus, nesusijusius su tiesioginių paslaugų teikimu.

 

3 tikslas. Įmonės turto, technologinių procesų užtikrinimo, darbuotojų bei Įmonės svečių apsauga 

ASMENS DUOMENŲ APIMTIS

DUOMENŲ SUBJEKTŲ GRUPĖ

IŠ KO GAUNAMI DUOMENYS

Vaizdo duomenys

 

Asmenys patenkantys į vaizdo stebėjimo lauką.

Vaizdo stebėjimo kamerų.

VAIZDO DUOMENŲ SAUGOJIMO TERMINAS, NAIKINIMAS IR ĮRAŠYMAS

1. Vaizdo duomenų įrašymo įrenginiuose vaizdo stebėjimo kamerų užfiksuoti vaizdo duomenys skaitmeniniu būdu įrašomi į šių įrenginių vidinius kietuosius diskus.

2. Vaizdo duomenys vaizdo duomenų įrašymo įrenginiuose saugomi 30 (trisdešimt) kalendorinių dienų, o nustačius pažeidimą – iki tyrimo pabaigos.

3. Pasibaigus duomenų saugojimo terminui asmens duomenys yra sunaikinami automatiniu būdu, juos ištrinant iš vaizdo įrašymo įrenginių (laikmenos), o į atsilaisvinusią vietą įrašomas naujausias vaizdo srautas.

4. Vaizdo įrašymo įrenginys leidžia atlikti vaizdo įrašų paiešką pagal datą ir laiką.

5. Įmonės patalpų ir teritorijos vaizdo stebėjimas yra nenutrūkstamas, vykdomas visą parą.

DUOMENŲ GAVĖJŲ GRUPĖ

(Įmonės tvarkomus duomenis gali gauti)

1. Vaizdo duomenys tretiesiems asmenims neteikiami, išskyrus tuos duomenų gavėjus, kurie turi įstatyme numatytą teisę gauti šiuos duomenis ir tik Įmonės vadovo sprendimu.

2. Vaizdo įrašai gali būti pateikti ikiteisminio tyrimo įstaigai, prokurorui ar teismui dėl jų žinioje esančių administracinių, civilinių, baudžiamųjų bylų, kaip įrodymai ar kitais įstatymų nustatytais atvejais.

ASMENS DUOMENŲ SAUGOJIMO, LAIKYMO VIETA

Asmens duomenys laikomi atitinkamose Įmonės tvarkomose duomenų bazėse prie kurių gali prisijungti darbuotojai turintys teisę su šia informacija dirbti.

Vaizdo stebėjimas vykdomas adresu (-ais):

Kalvarijų g. 125-602, Vilnius

1. Duomenų subjekto asmens duomenys tvarkomi siekiant:

1.1. užfiksuoti informaciją;

1.2. identifikuoti asmenį.

2. Vykdant vaizdo stebėjimą draudžiama:

2.1. įrengti ir eksploatuoti įrengtas vaizdo stebėjimo priemones, kad į jų stebėjimo lauką patektų gyvenamoji patalpa ir (arba) jai priklausanti privati teritorija ar įėjimas į ją;

2.2. stebėti vaizdą:

2.3. Įmonės darbuotojų darbo vietose, išskyrus Įmonės darbuotojų, vykdančių specifines darbo funkcijas, darbo vietas viešai prieinamas asmenims, kurie nėra Įmonės darbuotojai;

2.4. Įmonės patalpose, kuriose duomenų subjektas pagrįstai tikisi absoliučios privatumo apsaugos ir kur toks vaizdo stebėjimas žemintų žmogaus orumą;

2.5. slaptomis vaizdo kameromis.

3. Vaizdo duomenys fiksuojami vaizdo stebėjimo kameromis, kurios yra nurodytos vaizdo stebėjimo kamerų išdėstymo plane, kuris yra neatsiejama šių Taisyklių dalis.

4. Duomenų subjekto teisės ir jų įgyvendinimo tvarka

 

4.1. Duomenų subjektas turi teisę:

4.1.1. žinoti (būti informuotas) apie savo vaizdo duomenų tvarkymą;

4.1.2. duomenų subjektai, kurie nėra duomenų valdytojo darbuotojai ir kurių vaizdo duomenys tvarkomi, vykdant vaizdo stebėjimą, apie vykdomą vaizdo stebėjimą yra informuojami iškabinant informacines lenteles ir (ar) lipdukus prieš patenkant į teritorijų ir patalpas, kuriose vykdomas vaizdo stebėjimas. Juose nurodant, kad yra vykdomas vaizdo stebėjimas, duomenų valdytojo juridinio asmens pavadinimą ir kodą, kontaktinę informaciją (adresą arba telefono ryšio numerį), kitą papildomą informaciją (pvz., vaizdo stebėjimo tikslą);

4.1.3. susipažinti su savo vaizdo duomenimis ir kaip jie yra tvarkomi;

4.1.4. reikalauti sunaikinti savo vaizdo duomenis arba sustabdyti, išskyrus saugojimą, savo vaizdo duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant šių Taisyklių ir įstatymų nuostatų;

4.1.5. nesutikti, kad būtų tvarkomi jo vaizdo duomenys;

4.1.6. reikalauti ištrinti vaizdo duomenis (teisė būti pamirštam);

4.1.7. peržiūrėti vaizdo įrašą;

4.1.8. gauti vaizdo įrašo kopijas (nuotraukas);

4.1.9. gauti vaizdo įrašą laikmenoje, jeigu Įmonei pateikia rašytinį prašymą bei patvirtina savo tapatybę.

5. Vaizdo stebėjimo kameromis užfiksuotas vaizdas gali būti išduodamas:

5.1. jeigu jis yra išsaugotas;

5.2. jeigu jame nėra užfiksuoti tretieji asmenys arba yra trečiųjų asmenų rašytinis sutikimas tokį vaizdo įrašą išduoti. Jeigu vaizdo įraše matomi kiti asmenys, kurių tapatybė gali būti nustatyta, ar kita informacija, kuri gali pažeisti trečiųjų asmenų privatumą, šie vaizdai yra retušuojami ar kitais būtais panaikinama galimybė identifikuoti trečiuosius asmenis. Teisėsaugos institucijų prašymu vaizdo stebėjimo kameromis užfiksuotas vaizdas gali būti išduodamas be vaizde užfiksuotų asmenų sutikimo.

6. Dėl Taisyklėse įvardintų duomenų subjekto teisių, tvarkant vaizdo duomenis, duomenų subjektas gali kreiptis į Įmonės vadovo įgaliotą tvarkyti vaizdo duomenis darbuotoją.

7. Dėl duomenų subjekto teisių įgyvendinimo, sprendimą priima:

Įmonės vadovas.

8. Peržiūrėti vaizdo duomenų įrašus pagal kompetenciją turi teisę:

8.1. Įmonės vadovo įgaliotas tvarkyti vaizdo duomenis darbuotojas;

8.2. Įmonės vadovas;

8.3. padalinių vadovai;

8.4. sargai;

8.5. teisėsaugos institucijų atstovai.

9. Įmonės vadovo įgaliotas tvarkyti vaizdo duomenis darbuotojas privalo:

9.1. užtikrinti, kad į stebimą erdvę nepatektų gyvenamosios patalpos, įėjimai į jas, joms priklausančios teritorijos, patalpos, kuriose asmenys pagrįstai tikisi absoliučios privatumo apsaugos ir kur toks stebėjimas žemintų žmogaus orumą;

9.2. užtikrinti, kad vaizdo stebėjimo sistema būtų techniškai tvarkinga, techniniai šios sistemos sutrikimai būtų šalinami operatyviai, panaudojant visus turimus techninius resursus;

9.3. užtikrinti kompiuterinės įrangos apsaugą nuo kenksmingos programinės įrangos;

9.4. imtis priemonių, kad būtų užkirstas kelias atsitiktiniam ar neteisėtam vaizdo duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui;

9.5. saugoti vaizdo duomenų įrašymo įrenginiuose esančius duomenis;

9.6. užtikrinti, kad stebėjimo priemonių vaizdas nebūtų prieinamas pašaliniams asmenims;

9.7. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su vaizdo duomenimis tam teisės neturintiems asmenims;

9.8. nedelsdamas pranešti Įmonės vadovui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę Įmonės tvarkomų vaizdo duomenų saugumui;

9.9. laikytis kitų šiose Taisyklėse ir asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.

10. Įmonės vadovo įgaliotas tvarkyti vaizdo duomenis darbuotojas turi teisę:

10.1. tiek stebėti tiesioginį kamerų vaizdą, tiek peržiūrėti įrašytus vaizdo įrašus, taip pat ištrinti, perkelti, nukopijuoti vaizdo įrašus, peržiūrėti darbuotojų judėjimo po Įmonės teritorijų ir patalpas duomenis;

10.2. atlikti vaizdo stebėjimo sistemos priemonių techninę priežiūrą bei tikrinti įrašų kokybę. Šią teisę taip pat turi ir techninę priežiūrą atliekantys duomenų tvarkytojo darbuotojai;

10.3. kontroliuoti vaizdo stebėjimą, išskyrus atvejus, kai sistemoje yra techniniai gedimai arba atliekami profilaktiniai darbai.

11. Tiesioginį vaizdo įrašą gali stebėti:

11.1. Įmonės vadovo įgaliotas tvarkyti vaizdo duomenis darbuotojas;

11.2. Įmonės vadovas;

11.3. padalinių vadovai;

11.4. sargai;

11.5. apsaugos paslaugas teikianti įmonė.

12. Vaizdo stebėjimo duomenys negali būti naudojami kitiems nei Taisyklėse numatytiems tikslams.

 

IV SKYRIUS

REIKALAVIMAI ASMENIMS, TVARKANTIEMS ASMENS DUOMENIS

 

  1. Darbuotojas, tvarkantis duomenų subjektų asmens duomenis, privalo:

1.1.        laikytis pagrindinių asmens duomenų tvarkymo reikalavimų ir saugumo reikalavimų, įtvirtintų Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, šiose taisyklėse ir kituose teisės aktuose;

1.2.        laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jis susipažino vykdydamas savo funkcijas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti asmens duomenų paslaptį galioja ir perėjus dirbti į kitas pareigas ar pasibaigus darbo santykiams;

1.3.        laikytis Taisykėse nustatytų organizacinių ir techninių asmens duomenų saugumo priemonių, kad būtų užkirstas kelias atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugoti dokumentus, duomenų rinkmenas bei duomenų bazėse saugomus duomenis ir vengti nereikalingų kopijų darymo;

1.4.        neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su asmens duomenimis nė vienam asmeniui, kuris nėra įgaliotas tvarkyti asmens duomenis;

1.5.        nedelsiant pranešti tiesioginiam vadovui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę Įmonės tvarkomų asmens duomenų saugumui;

1.6.        laikytis kitų taisyklėse ir asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.

  1. Darbuotojas netenka teisės tvarkyti asmens duomenis, kai pasibaigia jo darbo santykiai su arba kai jam pavedama vykdyti su duomenų tvarkymu nesusijusias funkcijas.

 

V SKYRIUS

DUOMENŲ SUBJEKTŲ TEISĖS IR JŲ ĮGYVENDINIMO TVARKA

 

1. Įmonė imasi tinkamų priemonių, jog informacija susijusi su duomenų tvarkymu, duomenų subjektui būtų pateikta glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba.

2. Visais atvejais, Įmonė privalo suteikti duomenų subjektui šią informaciją:

2.1. duomenų valdytojo tapatybė (pavadinimas, juridinio asmens kodas ir buveinė) ir kontaktiniai duomenys;

2.2. kokiais tikslais ir teisiniu pagrindu tvarkomi duomenų subjekto asmens duomenys;

2.3. duomenų apsaugos pareigūno kontaktinius duomenis, jei toks yra;

2.4. jeigu yra, duomenų gavėjus arba asmens duomenų gavėjų kategorijas;

2.5. duomenų valdytojo ar trečiosios šalies teisėti interesai, jeigu duomenys tvarkomi šiuo pagrindu;

2.6. duomenų valdytojo ketinimą asmens duomenis perduoti į trečiąją valstybę arba tarptautinei organizacijai sprendimo dėl tinkamumo buvimą / nebuvimą arba tinkamas / pritaikytas apsaugos priemones ir būdus bei instrukcija kaip gauti jų kopiją arba kur suteikiama galimybė su jomis susipažinti.

3. Kita informacija, būtina duomenų tvarkymo sąžiningumui ir skaidrumui užtikrinti (duomenų valdytojas papildomai ją pateikia duomenų subjektui):

3.1. duomenų saugojimo laikotarpį arba kriterijus, taikomus tam laikotarpiui nustatyti;

3.2. teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, ir teisę nesutikti, kad duomenys būtų tvarkomi;

3.3. jeigu duomenys tvarkomi sutikimo pagrindu, teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;

3.4. teisę pateikti skundą priežiūros institucijai;

3.5. kai asmens duomenys renkami ne iš duomenų subjekto – visa turima informacija apie jų šaltinius;

3.6. jeigu tvarkant asmens duomenis yra priimami automatizuoti sprendimai – informacija apie automatizuoto sprendimų priėmimo priežastis ir galimas pasekmes duomenų subjektui.

4. Duomenų subjektas turi šias teises:

4.1. susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi;

4.2. duomenų subjektas turi teisę susipažinti su jo tvarkomais duomenimis, tvarkymo tikslais, saugojimo laikotarpiu, savo teisėmis, informacija ar naudojamas automatizuotas sprendimų priėmimas, įskaitant profiliavimą bei jo loginį pagrindimą;

4.3. duomenų subjektui turi būti atskleisti visi duomenų gavėjai ar jų kategorijos, kuriems jau buvo arba bus atskleisti duomenys;

4.4. tvarkomus duomenis duomenų subjektui teikti raštu ir neatlygintinai. Tam tikrais atvejais (kai duomenų subjektas akivaizdžiai piktnaudžiauja savo teisėmis, nepagrįstai arba neproporcingai, pakartotinai teikia prašymus dėl jų pasikartojančio turinio pateikti informaciją, išrašus, dokumentus), toks informacijos ir duomenų teikimas duomenų subjektui gali būti apmokestintas, t. y. duomenų valdytojas gali imti pagrįstą mokestį, atsižvelgdamas į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines išlaidas; arba gali atsisakyti imtis veiksmų pagal prašymą. Duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas;

4.5. informaciją pateikti įprastai naudojama elektronine forma, nebent prašoma informaciją pateikti kitaip.

4.6. reikalauti ištaisyti savo asmens duomenis;

4.7. duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištaisytų netikslius su juo susijusius asmens duomenis. Atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys pateikdamas papildomą prašymą;

4.8. kiekvienam duomenų gavėjui, kuriam buvo atskleisti asmens duomenys, duomenų valdytojas praneša apie bet kokį asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą, nebent to padaryti nebūtų įmanoma arba tai pareikalautų neproporcingų pastangų. Duomenų subjektui paprašius, duomenų valdytojas informuoja duomenų subjektą apie tuos duomenų gavėjus;

4.9. nesutikti, kad būtų tvarkomi jo asmens duomenys;

4.10. duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, įskaitant profiliavimą. Duomenų valdytojas nebetvarko asmens duomenų, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus;

4.11. kai asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turi teisę bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi tokios rinkodaros tikslais, įskaitant profiliavimą, kiek jis susijęs su tokia tiesiogine rinkodara;

4.12. kai duomenų subjektas prieštarauja duomenų tvarkymui tiesioginės rinkodaros tikslais, asmens duomenys tokiais tikslais nebetvarkomi;

4.13. duomenų subjektas apie teisę nesutikti aiškiai informuojamas ne vėliau kaip pirmą kartą susisiekiant su duomenų subjektu, ir ši informacija pateikiama aiškiai ir atskirai nuo visos kitos informacijos.

5. Papildomos duomenų subjektų teisės:

5.1. Reikalauti ištrinti duomenis („Teisė būti pamirštam“):

5.2. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jei tai galima pagrįsti viena iš šių priežasčių:

5.3. kai asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;

5.4. kai asmens duomenų subjektas atšaukia sutikimą ir nėra jokio kito teisinio pagrindo tvarkyti duomenis;

5.5. kai asmens duomenų subjektas nesutinka su duomenų tvarkymu ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis;

5.6. kai asmens duomenys buvo tvarkomi neteisėtai;

5.7. kai asmens duomenys turi būti ištrinti dėl duomenų valdytojui nustatytos teisinės prievolės;

5.8. kai asmens duomenys buvo surinkti informacinės visuomenės paslaugų siūlymo kontekste;

5.9. kai duomenų valdytojas viešai paskelbė asmens duomenis ir privalo asmens duomenis ištrinti, duomenų valdytojas, atsižvelgdamas į turimas technologijas ir įgyvendinimo sąnaudas, imasi pagrįstų veiksmų, įskaitant technines priemones, kad informuotų duomenis tvarkančius duomenų valdytojus, jog duomenų subjektas paprašė, kad tokie duomenų valdytojai ištrintų visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus;

5.10. kai asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi ir kai asmens duomenų subjektas atšaukia sutikimą ir nėra jokio kito teisinio pagrindo tvarkyti duomenis netaikoma, jeigu duomenų tvarkymas yra būtinas siekiant pasinaudoti teise į saviraiškos ir informacijos laisvę; siekiant laikytis nustatytos teisinės prievolės, kuria reikalaujama tvarkyti duomenis, arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas; dėl viešojo intereso priežasčių visuomenės sveikatos srityje; archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais; siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.

5.11. teisė į duomenų perkeliamumą:

5.12. Duomenų subjektas turi teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui, o duomenų valdytojas, kuriam asmens duomenys buvo pateikti, turi nesudaryti tam kliūčių, kai:

5.13. duomenų tvarkymas yra grindžiamas sutikimu arba sutartimi;

5.14. duomenys tvarkomi automatizuotomis priemonėmis.

5.15. Naudodamasis savo teise į duomenų perkeliamumą, duomenų subjektas turi teisę, kad vienas duomenų valdytojas asmens duomenis tiesiogiai persiųstų kitam, kai tai techniškai įmanoma.

5.16. Šia teise naudojamasi nedarant poveikio teisei reikalauti ištrinti duomenis („teisei būti pamirštam“).

5.17. Teisė į duomenų perkeliamumą negali daryti neigiamo poveikio kitų teisėms ir laisvėms.

5.18. teisė apriboti asmens duomenų tvarkymą:

5.19. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas apribotų duomenų tvarkymą kai taikomas vienas iš šių atvejų:

5.20. asmens duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį duomenų valdytojas gali patikrinti asmens duomenų tikslumą;

5.21. asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad duomenys būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;

5.22. duomenų valdytojui nebereikia asmens duomenų tvarkymo tikslais, tačiau jų reikia duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus; arba

5.23. duomenų subjektas paprieštaravo duomenų tvarkymui, kol bus patikrinta, ar duomenų valdytojo teisėtos priežastys yra viršesnės už duomenų subjekto priežastis.

5.24. Kai duomenų tvarkymas yra apribotas pagal aukščiau išvardintus punktus, tokius asmens duomenis galima tvarkyti, išskyrus saugojimą, tik gavus duomenų subjekto sutikimą arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus, arba apsaugoti kito fizinio ar juridinio asmens teises, arba dėl valstybės narės viešojo intereso priežasčių;

5.25. Duomenų subjektą, kuris pasiekė, kad būtų apribotas duomenų tvarkymas pagal aukščiau išvardintus punktus, duomenų valdytojas informuoja prieš panaikinant apribojimą tvarkyti duomenis.

6. Duomenų subjektas dėl jo teisių įgyvendinimo privalo pateikti Įmonei rašytinį prašymą, kuris turi būti:

6.1. įskaitomas ir duomenų subjekto pasirašytas;

6.2. prašyme turi būti nurodyta: asmens vardas, pavardė, kontaktiniai duomenys ir informacija, kokią iš aukščiau nurodytų teisių jis pageidauja įgyvendinti, bei informacija, kokiu būdu pageidaujama gauti atsakymą.

7. Prašymą galima pateikti:

7.1. asmeniškai;

7.2. paštu ar per pasiuntinį;

7.3. per atstovą;

7.4. elektroninių ryšių priemonėmis.

8. Pateikdamas prašymą, asmuo privalo patvirtinti savo tapatybę:

8.1. jei prašymas įteikiamas tiesiogiai atvykus į Įmonę – pateikti asmens tapatybę patvirtinantį dokumentą ar Lietuvos Respublikos teisės aktų nustatyta tvarka patvirtintą kopiją;

8.2. jei prašymas pateikiamas paštu ar per pasiuntinį – pateikti Lietuvos Respublikos teisės aktų nustatyta tvarka patvirtinto asmens tapatybės dokumento kopiją;

8.3. jei prašymas įteikiamas per atstovą - pateikti Lietuvos Respublikos teisės aktų nustatyta tvarka atstovavimą patvirtinantį dokumentą;

8.4. jei prašymas pateikiamas elektroninių ryšių priemonėmis – pasirašyti elektroniniu parašu.

9. Duomenų subjektai dėl nurodytų teisių įgyvendinimo, turi teisę kreiptis

į Įmonės paskirtą darbuotoją (asmuo į kurį gali kreiptis darbuotojai yra nurodyta prie vidaus administravimo tikslų).

10. Duomenų subjektų teisių įgyvendinimo tvarka:

10.1. Duomenų valdytojas privalo suteikti duomenų subjektui informaciją:

10.1.1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį nuo duomenų subjekto prašymo gavimo, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;

10.1.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba

10.1.3. jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.

10.2. Duomenų valdytojas nepagrįstai nedelsdamas, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, pateikia duomenų subjektui informaciją (atsakymą) apie veiksmus, kurių imtasi gavus prašymą. Šis laikotarpis prireikus gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir skaičių. Duomenų valdytojas per vieną mėnesį nuo prašymo gavimo informuoja duomenų subjektą apie tokį pratęsimą, kartu pateikdamas vėlavimo priežastis. Kai duomenų subjektas prašymą pateikia elektroninės formos priemonėmis, informacija jam taip pat pateikiama, jei įmanoma, elektroninėmis priemonėmis, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip.

10.3. Jei duomenų valdytojas nesiima veiksmų pagal duomenų subjekto prašymą, duomenų valdytojas nedelsdamas, tačiau ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, informuoja duomenų subjektą apie neveikimo priežastis ir apie galimybę pateikti skundą priežiūros institucijai bei pasinaudoti teisių gynimo priemone.

10.4. Duomenų subjektų prašymus dėl teisių įgyendinimo Įmonės paskirtas asmuo privalo registruoti Asmens duomenų tvarkymo registravimo žurnale.

11. Gavus duomenų subjekto kreipimąsi dėl jo asmens duomenų neteisingumo, neišsamumo, netikslumo Įmonės atsakingas asmuo nedelsdamas patikrina asmens duomenis ir duomenų subjekto rašytiniu prašymu, pateiktu asmeniškai, paštu ar elektroninių ryšių priemonėmis, patikrinus / įsitikinus Duomenų subjekto tapatybę ir Asmens duomenis patvirtinančių dokumentų atitiktį / atitiktimi teisės aktų reikalavimams, nedelsdamas privalo ištaisyti neteisingus, neišsamius, netikslius Asmens duomenis arba sustabdo tokių duomenų tvarkymo veiksmus, išskyrus saugojimą.

12. Gavus duomenų subjekto kreipimąsi dėl jo duomenų tvarkymo neteisėtumo, nesąžiningumo Įmonės atsakingas asmuo nedelsdamas patikrina duomenų tvarkymo teisėtumą, nesąžiningumą ir, gavus rašytinį prašymą, patikrinus / įsitikinus asmens dokumentų atitiktį / atitiktimi teisės aktų reikalavimams, nedelsdamas sunaikina neteisėtai ir nesąžiningai sukauptus asmens duomenis ar sustabdo tokių duomenų tvarkymo veiksmus, išskyrus saugojimą. Duomenų subjekto pateikta informacija bei visi atlikti tolimesni veiksmai su šia informacija dokumentuojami „Neatitikčių registravimo žurnale“ šių Taisyklių XI skyriuje „Neatitikčių, incidentų ir korekcinių veiksmų valdymas“ nustatyta tvarka.

13. Duomenų subjektas turi teisę įgalioti ne pelno įstaigą, organizaciją ar asociaciją, kuri tinkamai įsteigta pagal valstybės narės teisę ir kurios įstatais nustatyti tikslai atitinka viešąjį interesą, kuri veikia duomenų subjekto teisių bei laisvių apsaugos srityje, kiek tai susiję su jų asmens duomenų apsauga, jo vardu pateikti skundą ir jo vardu naudotis jam tam tikromis BDAR numatytomis teisėmis.

 

VI SKYRIUS

TECHNINĖS IR ORGANIZACINĖS ASMENS DUOMENŲ SAUGUMO PRIEMONĖS

 

1. Įmonė, saugodama asmens duomenis, įgyvendina ir užtikrina tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Nustačius asmens duomenų saugumo pažeidimus, Įmonė imasi neatidėliotinų priemonių užkirsti kelią neteisėtam asmens duomenų tvarkymui.

2. Organizacinės ir techninės priemonės turi užtikrinti saugumo lygį, atitinkantį saugomų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką. Siekiant apsaugoti duomenų subjekto duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio kito neteisėto tvarkymo turi būti taikomos tokios organizacinės ir techninės priemonės:

2.1. Infrastruktūrinės priemonės: tinkamas techninės įrangos išdėstymas ir priežiūra, informacinių duomenų saugojimo priemonių fizinių ir programinių saugumo priemonių įgyvendinimas, griežtas priešgaisrinės apsaugos tarnybų nustatytų normų laikymasis ir kt.;

2.2. Administracinės priemonės: tinkamas darbo organizavimas, informacinių sistemų priežiūra;

2.3. Telekomunikacinės priemonės: tinklo valdymas, naudojimosi internetu saugumo užtikrinimas ir kt.

3. Įmonėje užtikrinamas patalpų, kuriose laikomi asmens duomenys saugumas ir priežiūra, priešgaisrinės saugos taisyklių laikymasis, įvairių techninių priemonių, būtinų asmens duomenų apsaugai užtikrinti, įgyvendinimas.

4. Už šiame skyriuje numatytų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimą, kontrolę, užtikrinimą yra atsakingas

Įmonės vadovas.

5. Jeigu Įmonės darbuotojas abejoja įdiegtų saugumo priemonių patikimumu, jis turi kreiptis į tiesioginį savo vadovą, kad būtų įvertintos turimos saugumo priemonės ir, jei reikia, inicijuotas papildomų priemonių įsigijimas ir įdiegimas.

6. Įmonės darbuotojai, kurie tvarko asmens duomenis arba kuriems Įmonės vadovo įsakymo pagrindu suteikti įgaliojimai ir / arba prieiga prie asmens duomenų, privalo pasirašyti Darbuotojo įsipareigojimą saugoti asmens duomenis ir laikytis konfidencialumo principo – laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti asmens duomenų paslaptį galioja taip pat ir perėjus dirbti į kitas pareigas, pasibaigus darbo ar sutartiniams santykiams.

7. Dokumentai, kuriuose yra asmens duomenų, nėra ir negali būti laikomi visiems prieinamoje matomoje vietoje. Dokumentų kopijos, kuriose nurodomi darbuotojų asmens duomenys, yra ir turi būti sunaikintos taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio.

8. Darbuotojai gali perduoti dokumentus, kuriuose nurodyti asmens duomenys, tik tiems darbuotojams, kurie pagal pareigas ar atskirus pavedimus turi teisę dirbti su asmens duomenimis.

9. Darbuotojai, vykdantys duomenų subjekto duomenų tvarkymo funkcijas, turi užkirsti kelią atsitiktiniam ar neteisėtam tvarkymui, turi saugoti dokumentus saugiai (vengiant nereikalingų kopijų su duomenų subjekto duomenimis kaupimo ir kt.). Dokumentų kopijos, kuriose nurodomi duomenų subjekto duomenys, turi būti sunaikinamos tokiu būdu, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio.

10. Darbuotojai, kurie automatiniu būdu tvarko asmens duomenis arba iš kurių kompiuterių galima patekti į Įmonės informacines sistemas, kuriose yra saugomi asmens duomenys (klientų, kitų interesantų duomenys ir pan.), savo kompiuteriuose naudoja slaptažodžius.

11. Kiekvienam Įmonės darbuotojui suteikiamas unikalus prisijungimo prie Įmonės tinklo resursų vardas ir slaptažodis. Darbuotojas, dirbantis konkrečiu kompiuteriu, gali žinoti tik savo slaptažodį, privalo saugoti suteiktą slaptažodį ir neatskleisti jo tretiesiems asmenims.

12. Slaptažodžiai esant būtinybei (pasikeitus darbuotojui, iškilus įsilaužimo grėsmei ir pan.) turi būti keičiami periodiškai, ne rečiau kaip kartą per tris mėnesius, o taip pat susidarius tam tikroms aplinkybėms (pvz.: pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims, ir pan.).

13. Darbuotojų kompiuteriai, kuriuose saugomos rinkmenos su klientų, kitų fizinių asmenų duomenimis, negali būti laisvai prieinami iš kitų tinklo kompiuterių. Šių kompiuterių antivirusinė programinė įranga turi būti nuolat atnaujinama (ne rečiau kaip kartą per savaitę).

14. Nesant būtinybės, rinkmenos su klientų, kitų fizinių asmenų duomenimis neturi būti dauginamos skaitmeniniu būdu, t. y. kuriamos rinkmenų kopijos vietiniuose kompiuterių diskuose, nešiojamose laikmenose, nuotolinėse rinkmenų talpyklose ir kt.

15. Darbuotojai privalo taip organizuoti savo darbą, kad kiek įmanoma apribotų galimybę kitiems asmenims (kitiems Įmonės darbuotojams, praktikantams, savanorišką praktiką atliekantiems ar kitiems tretiesiems asmenims) sužinoti tvarkomus asmens duomenis. Ši nuostata įgyvendinama:

15.1. nepaliekant dokumentų su tvarkomais asmens duomenimis ar kompiuterio, kuriuo naudojantis galima atidaryti rinkmenas su asmens duomenimis, be priežiūros taip, kad juose esančią informaciją galėtų perskaityti darbuotojai, neturintys teisės dirbti su konkrečiais asmens duomenimis ar kiti asmenys;

15.2. dokumentus laikant taip, kad jų (ar jų fragmentų) negalėtų perskaityti atsitiktiniai asmenys;

15.3. jei dokumentai, kuriose yra asmens duomenų, kitiems darbuotojams, padaliniams, įstaigoms perduodami per asmenis, kurie neturi teisės tvarkyti asmens duomenis, arba per paštą ar kurjerį, jie privalo būti perduodami užklijuotame nepermatomame voke. Šis punktas netaikomas, jeigu minėti pranešimai įteikiami klientams, kitiems interesantams asmeniškai ir konfidencialiai.

16. Už asmens duomenų saugumo pažeidimų valdymą ir reagavimą į šiuos pažeidimus atsako

Įmonės vadovas.

17. Patalpų apsaugos signalizacijos kodų ir elektroninių raktų sistema

17.1. Įmonės patalpose yra įrengta patalpų apsaugos ir priešgaisrinė signalizacija, kuri yra prijungta prie apsaugos įmonės 24 val. per parą stebėjimo pulto.

17.2. Ant pastato įrengta pasyvios žaibosaugos sistema.

17.3. Patekimui į saugomas patalpas Įmonė naudoja patalpų apsaugos signalizacijos kodus ir elektroninių raktų sistemą.

17.4. Darbuotojas privalo laikyti paslaptyje jam asmeniškai suteiktus patekimo į patalpas signalizacijos įjungimo / išjungimo kodus ir neleisti kitiems asmenims jais naudotis. Iškilus įtarimui, kad suteikti kodai tapo žinomi kitam asmeniui, darbuotojas privalo apie tai nedelsiant pranešti Įmonės vadovui.

17.5. Darbuotojas privalo laikyti kitiems asmenis neprieinamoje vietoje asmeniškai jam suteiktą patekimo į patalpas raktą ir elektroninį raktą ir neleisti kitiems asmenims juo  naudotis. Darbuotojas, praradęs jam suteiktą elektroninį raktą, privalo apie tai nedelsiant pranešti Įmonės vadovui.

18. Apsaugos priemonių neefektyvumo nustatymas

18.1. Apsaugos priemonės gali būti neefektyvios dėl tokių pagrindinių priežasčių:

18.1.1. dėl netinkamo apsaugos priemonių parinkimo. To priežastys gali būti rizikos vertinimo ir rizikos priežiūros sprendimų trūkumai, resursų, skiriamų apsaugai, trūkumas;

18.1.2. dėl netinkamos apsaugos priemonių įdiegimo;

18.1.3. dėl netinkamo apsaugos priemonių naudojimo. Gali būti nesilaikoma procedūrų, IT sistemų konfigūracija gali būti netinkama;

18.1.4. pasikeitusios aplinkos. Gali pasikeisti vidinė ir išorinė organizacijos aplinka: informacinės vertybės ir technologija, veiklos tikslai, procesai, organizacijos struktūra, teisiniai ir sutartiniai reikalavimai, grėsmių veiksmingumas.

 

VII SKYRIUS

ASMENS DUOMENŲ TVARKYMO IR SAUGOJIMO ĮGYVENDINIMO PRIEMONIŲ SĄRAŠAS

 

Asmens duomenų tvarkymo ir saugojimo rizika

Priemonės

Neteisėta fizinė prieiga prie kompiuterinės įrangos

patalpos rakinamos

įrengta patalpų signalizacijos sistema

veikia asmenų įėjimo į patalpas kontrolės sistema (fizinė arba elektroninė)

Neteisėtas vartotojų prisijungimas prie tinklo

vidinis tinklas apsaugotas ugnies sienomis

kontroliuojamas darbuotojų prisijungimas prie vidinio tinklo

kontroliuojamas trečiųjų šalių vartotojų prisijungimas

Vagystė

apribota programinė prieiga prie duomenų

šifruojami saugomi duomenys

Programinės įrangos klaidos

naudojama sertifikuota programinė įranga

programinė įranga atnaujinama, laikantis nustatytos tvarkos

Piktavališkos programos

kompiuteriuose įdiegtos antivirusinės programos

darbuotojai supažindinti su tvarka, kaip elgtis piktavališkų programų antplūdžio atveju

Neteisėtos programinės įrangos naudojimas

naudojama tik teisėta programinė įranga

darbuotojams nesuteiktos teisės patiems diegti programinę įrangą

Vartotojų klaidos

darbuotojai mokomi dirbti su programine įranga

daromos atsarginės duomenų kopijos

Duomenų perdavimo tinklo įrangos gedimai

įranga prižiūrima pagal gamintojo rekomendacijas

priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai

stebima duomenų perdavimo tinklo būklė

Kompiuterių techninės įrangos gedimai

įranga prižiūrima pagal gamintojo rekomendacijas

priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai

svarbiausia kompiuterinė įranga dubliuota

svarbiausios kompiuterinės įrangos techninė būklė nuolat stebima

Užliejimas vandeniu

 

tinkamai suplanuotos ir įrengtos svarbiausios kompiuterinės įrangos laikymo patalpos

įrengta vandens nutekėjimo sistema

Ugnis

 

patalpose yra ugnies gesintuvų

pastato patalpose įrengti dūmų ir karščio davikliai

Stichinė nelaimė

parengtas veiklos atkūrimo planas

Elektros srovės tiekimo sutrikimai

svarbiausiai kompiuterinei įrangai skirti nenutrūkstamo maitinimo šaltiniai

stebima elektros srovės tiekimo būklė

Maitinimo ir ryšio linijų gedimai

kabeliai yra izoliaciniuose vamzdžiuose

elektros ir duomenų kabeliai saugiai atskirti

 

VIII SKYRIUS

INFORMACINIŲ IR KOMUNIKACINIŲ TECHNOLOGIJŲ NAUDOJIMO BEI DARBUOTOJŲ STEBĖSENOS IR KONTROLĖS DARBO VIETOJE TVARKA

 

1. Tvarkos tikslas – užtikrinti darbuotojo privataus gyvenimo neliečiamumo teisę tvarkant asmens duomenis.

2. Įmonė, atsižvelgiant į darbuotojo einamas pareigas, savo nuožiūra darbuotojams suteikia darbo priemones. Įmonei priklausančios Informacinės ir komunikacinės technologijos, t. y. kompiuteriai, mobilieji telefonai, prieiga prie interneto, elektroninis paštas, spausdintuvai, duomenų laikmenos ir kiti prietaisai, – yra skirtos išimtinai darbuotojų darbo funkcijoms vykdyti, jeigu Įmonė su darbuotoju nesusitaria kitaip.

3. Visuose kompiuteriuose, kurie jungiami į kompiuterinį tinklą, turi nuolat veikti antivirusinė programa su naujausia virusų aprašymų duomenų baze.

4. Darbuotojas, palikdamas savo darbo vietą ilgesniam nei 60 minučių laikui, privalo išjungti visas programas, duomenų bazes. Galima palikti tik operacinės sistemos darbalaukį.

5. Darbuotojas, palikdamas savo darbo vietą ilgesniam nei 30 minučių laikui, privalo įjungti ekrano užsklandą su slaptažodžiu.

6. Bendros apsaugos nuo virusų taisyklės:

6.1. prieš naudojant nežinomas išorines duomenų laikmenas arba kurios buvo naudojamos kitame kompiuteryje, būtina atlikti jų antivirusinę profilaktiką;

6.2. kilus įtarimui patikrinti kompiuterį nuo virusų;

6.3. siekiant išvengti kompiuterinių virusų, nepaleisti nežinomų programų. Gavus nežinomų siuntėjų atsiųstų elektroninių laiškų priedus, kuriuose gali būti kompiuterinių virusų, darbuotojas privalo neatidaryti gautų elektroninių laiškų priedų ir informuoti tiesioginį arba Įmonės vadovą;

6.4. darbuotojas, pastebėjęs virusų atakos požymius, privalo išjungti kompiuterį ir kreiptis į tiesioginį arba Įmonės vadovą.

7. Įmonei priklausančiuose kompiuteriuose, mobiliuosiuose telefonuose ir kituose prietaisuose esanti visa informacija ir programinė įranga gali būti bet kada patikrinta ar peržiūrėta.

8. Darbuotojas neturi teisės savavališkai keisti jam priskirtos kompiuterinės įrangos (monitoriai, skeneriai, spausdintuvai bei kopijavimo aparatų spausdinimo valdikliai, klaviatūros, pelės, kolonėlės, ausinės, vaizdo kameros bei fotokameros, multimedijos projektoriai ir pan.) ir įdiegtos programinės įrangos.

9. Darbuotojams, naudojantiems elektroninį paštą, interneto prieigą ir kitą informacinių technologijų ir telekomunikacijų įrangą, draudžiama:

9.1. siųsti elektroninio pašto žinutes, naudojantis kito asmens arba neegzistuojančiu elektroninio pašto adresu;

9.2. siųsti elektroninio pašto žinutes, nuslepiant savo tapatybę;

9.3. negavus Įmonės vadovo sutikimo, siųsti elektroninius laiškus, kuriuose yra informacija pripažįstama konfidencialia informacija ar Įmonės komercine paslaptimi, išskyrus, jei informacija siunčiama asmeniui, kuris turi teisę gauti šią informaciją;

9.4. negavus Įmonės vadovo sutikimo perduoti, platinti, atskleisti tretiesiems asmenims darbui su technine ir programine įranga jiems suteiktus prieigos vardus, slaptažodžius ar kitus duomenis;

9.5. kurti ar platinti laiškus, skatinančius gavėją siųsti laiškus kitiems. Laiškai su perspėjimais dėl kompiuterinių virusų, telefonų pasiklausymų ar kitų tariamų reiškinių, kuriuose prašoma nusiųsti gautą laišką visiems savo kolegoms, draugams ar pažįstamiems, turi būti nedelsiant ištrinami. Jei pranešimas sukelia įtarimų, prieš jį pašalinant, pranešti tiesioginiam arba Įmonės vadovui;

9.6. naudoti interneto prieigą ir elektroninį paštą asmeniniams tikslams, Lietuvos Respublikos įstatymais draudžiamai veiklai, šmeižiančio, įžeidžiančio, grasinančiojo pobūdžio ar visuomenės dorovės ir moralės principams prieštaraujančiai informacijai, kompiuterių virusams, masinei nepageidaujamai informacijai „spam“ siųsti ar kitiems tikslams, galintiems pažeisti Įmonės ar kitų asmenų teisėtus interesus;

9.7. atlikti veiksmus, pažeidžiančius fizinio ar juridinio asmens teises, kurias saugo autorių, gretutinių ir intelektinės nuosavybės teisių apsaugos įstatymai. Tarp tokių veiksmų yra programinės įrangos diegimas, naudojimas, saugojimas arba platinimas neturint licencijos, neleistinas autorių teisėmis apsaugotų kūrinių kopijavimas;

9.8. parsisiųsti arba platinti tiesiogiai su darbu nesusijusią grafinę, garso ir vaizdo medžiagą, žaidimus ir programinę įrangą, siųsti duomenis, kurie užkrėsti virusais, turi įvairius kitus programinius kodus, bylas, galinčias sutrikdyti kompiuterinių ar telekomunikacinių įrenginių bei programinės įrangos funkcionavimą ir saugumą;

9.9. atskleisti prisijungimo prie Įmonės sistemų informaciją (prisijungimo vardą, slaptažodį) arba leisti naudotis savo prisijungimo vardu kitiems asmenims; Dirbant su slaptažodžiais reikia laikytis taisyklių:

9.9.1. saugoti slaptažodį. Neužrašinėti jo ant popieriaus skiaučių, kalendorių ir pan. Nepalikti lapelio su slaptažodžiu priklijuoto prie vaizduoklio arba prie apatinės darbo stalo pusės;

9.9.2. nenaudoti trumpų ir elementarių slaptažodžių sudarytų iš reikšminių žodžių.

9.10. apeiti ar kitaip pažeisti bet kurio kompiuterio, tinklo ar paskyros autentifikacijos arba saugumo sistemas;

9.11. sutrikdyti kompiuterinės sistemos darbą arba panaikinti galimybę naudotis teikiama paslauga ar informacija;

9.12. dalyvauti interneto lažybose ir azartiniuose lošimuose;

9.13. naudoti Įmonės išteklius komercinei veiklai vystyti ar naudai gauti;

9.14. savavališkai keisti kompiuterių ar kitų prietaisų tinklo parametrus (IP adresą ir pan.), savarankiškai keisti, taisyti informacinių technologijų ir telekomunikacijų techninę ir programinę įrangą;

9.15. pažeisti kitų tinklų, kurių paslaugomis naudojamasi, naudojimo arba ekvivalentiškas taisykles;

9.16. savavališkai keisti interneto naršyklės ir elektroninio pašto programinės įrangos parametrus, susijusius su apsauga arba prisijungimo būdu, nepaisyti bet kurio iš įdiegtų saugumo mechanizmų;

9.17. atlikti bet kokius kitus su darbo funkcijų vykdymu nesusijusius ir teisės aktams prieštaraujančius veiksmus;

9.18. neįgaliotiems asmenimis Įmonėje ar už Įmonės naudoti ir perduoti slaptažodžius ir kitus duomenis, kuriais pasinaudojus programinėmis ir techninėmis priemonėmis galima sužinoti Įmonės duomenis ar kitaip sudaryti sąlygas susipažinti su Įmonės duomenimis.

10. Keitimosi informacija politika

10.1. Perduodant informaciją elektroniniu paštu, būtina:

10.1.1. atidžiai užrašyti adresato elektroninio pašto adresą, kad informacija nebūtų perduota kitam asmeniui;

10.1.2. už organizacijos ribų siunčiamiems laiškams naudoti el. pašto programoje numatytą el. laiško parašą (signature) ir jo nekeisti;

10.1.3. priimant sprendimus pagal elektroniniu paštu gautą informaciją, būtina įsitikinti šios informacijos tikrumu (kitas asmuo gali apsimesti tikruoju siuntėju). Kilus įtarimui bei svarbiais atvejais rekomenduojama susisiekti su siuntėju ir įsitikinti ar gautas laiškas buvo jo išsiųstas.

10.2. Neatverti pridėtų (angl. „attached“) failų, kurie yra gauti iš nepažįstamų asmenų, arba nėra galimybės įsitikinti šių failų turiniu.

10.3. Už pašalinių asmenų naudojimąsi internetu kompiuteryje ir informacijos perdavimą elektroniniu paštu yra atsakingas kompiuterio naudotojas.

11. Darbuotojai, naudojantys Įmonės kompiuterinę techninę ir programinę įrangą privalo:

11.1. kompiuterinę techninę ir programinę įrangą, elektroninio pašto ir interneto paslaugas naudoti tik darbo funkcijoms atlikti;

11.2. kompiuterines programas naudoti vadovaujantis konkrečių kompiuterinių programų licencijų reikalavimais bei šia tvarka.

12. Nuotolinio darbo politika

12.1. Nuotoliniam Įmonės darbuotojų prisijungimui prie Įmonės kompiuterių tinklo yra taikomi tokie pat saugumo standartai kaip ir lokaliam prisijungimui.

12.2. Asmenys, atliekantys nuotolinį prisijungimą turi užtikrinti, kad jų šeimos nariai ar pašaliniai asmenys neprieitų prie organizacijos duomenų ir kompiuterinės įrangos, nepažeistų organizacijos informacijos saugumo valdymo sistemos nuostatų.

12.3. Nuotoliniu būdu dirbantis darbuotojas turi laikytis šių reikalavimų:

12.3.1. niekam neatskleisti prisijungimo ir kitų slaptažodžių;

12.3.2. užtikrinti, kad kompiuterinė įranga nuotolinio prisijungimo prie organizacijos tinklo metu nėra prisijungusi prie kitų išorinių tinklų;

12.3.3. nenaudoti organizacijos informacinių resursų su darbu nesusijusiai veiklai;

12.3.4. nekeisti nuotolinio prisijungimo įrangos parametrų;

12.3.5. užtikrinti, kad nuotoliniu būdu prijungtame kompiuteryje naudojama operacinė sistema ir antivirusinė programinė įranga būtų reguliariai atnaujinama.

13. Nešiojamųjų kompiuterių naudojimo tvarka

13.1. Nešiojamojo kompiuterio negalima palikti be priežiūros viešose vietose ir transporto priemonėse.

13.2. Keliaujant draudžiama nešiojamąjį kompiuterį atiduoti į lėktuvo, autobuso, traukinio ar kitos transporto priemonės bagažo skyrių, nebent vežėjo taisyklės reikalauja kitaip.

13.3. Dirbant viešose vietose, nešiojamasis kompiuteris turi būti tokioje padėtyje, kad pašaliniai asmenys negalėtų matyti ekrane rodomos informacijos.

13.4. Nesinaudojant nešiojamuoju kompiuteriu jį būtina išjungti, išregistruoti iš naudotojo paskyros arba užrakinti operacinę sistemą taip, kad jungiantis iš naujo reikėtų įvesti naudotojo vardą ir slaptažodį.

13.5. Draudžiama leisti naudotis nešiojamaisiais kompiuteriais pašaliniams asmenims. Draudžiama perduoti tretiems asmenims nešiojamame kompiuteryje esančios informacijos kopijas. Draudžiama naudoti nešiojamąjį kompiuterį neteisėtai veiklai vykdyti.

13.6. Draudžiama keisti nešiojamojo kompiuterio, jame esančios programinės įrangos techninius parametrus.

13.7. Nešiojamame kompiuteryje draudžiama diegti su darbu nesusijusią programinę įrangą.

13.8. Praradus nešiojamąjį kompiuterį, apie tai reikia nedelsiant pranešti tiesioginiam vadovui.

13.9. Visi aukščiau išvardinti reikalavimai yra taikomi (kiek tai techniškai yra įmanoma) ir kitiems organizacijoje naudojamiems nešiojamiems prietaisams, galintiems talpinti ir apdoroti informaciją (pvz.: delniniai kompiuteriai, mobilūs telefonai ir pan.).

14. Įmonės vadovas neužtikrina, kad bus išsaugotas privatumas to, ką Įmonės darbuotojai sukuria, siunčia ar gauna Įmonės informacinėje sistemoje.

15. Įmonė neužtikrina darbuotojų asmeninės informacijos konfidencialumo darbuotojams, naudojantiems elektroninį paštą ir interneto resursus asmeniniais tikslais. Darbuotojų elektroniniai laiškai gali būti tikrinami iš anksto jų neįspėjus, jeigu Įmonės vadovas mano tai esant reikalinga.

16. Organizuojant stebėseną laikomasi proporcingumo, tikslingumo, skaidrumo, saugumo, tikslumo ir duomenų išsaugojimo bei būtinumo principų, ir stebėsenos priemonės taikomos tik tais atvejais, kai iškeltų tikslų kitomis, mažiau darbuotojų privatumą ribojančiomis priemonėmis, pasiekti neįmanoma arba, Įmonės vertinimu, yra nepraktiška.

17. Stebėsenos ir kontrolės darbo vietoje tikslai:

17.1. apsaugoti konfidencialius Įmonės duomenis nuo atskleidimo tretiesiems asmenims;

17.2. apsaugoti Įmonės klientų ir darbuotojų asmens duomenis nuo neteisėto perdavimo tretiesiems asmenims;

17.3. apsaugoti Įmonės informacines sistemas nuo įsilaužimų ir duomenų vagysčių, virusų, pavojingų interneto puslapių, kenkėjiškų programų;

17.4. apsaugoti Įmonės turtą ir užtikrinti asmenų saugumą Įmonės patalpose ar teritorijoje;

17.5. apsaugoti Įmonės turtinius interesus ir užtikrinti darbo pareigų laikymąsi.

18. Įmonėje naudojamos specialios programos, kuriomis yra automatiniu būdu išsaugoma informacija apie darbuotojų interneto naršymo istoriją, kuri yra saugoma 30 (trisdešimt) kalendorinių dienų. Saugomi duomenys apie darbuotojų naršymo istoriją nėra nuolatos stebimi, jų peržiūrėjimas vykdomas tik tada, kai kyla pagrįstas įtarimas dėl teisės aktų ar darbo pareigų pažeidimo, ir peržiūrima tik su galimu pažeidimu susiję duomenys. Duomenų peržiūrėjimo procedūroje visais atvejais dalyvauja ir pats darbuotojas, kurio duomenys yra peržiūrimi.

19. Įmonė gali patikrinti darbuotojams priskirtuose kompiuteriuose įdiegtų komunikacijos programų (pavyzdžiui, Skype) turinį ar kitokį elektroninį susirašinėjimą tiek, kiek tai yra būtina numatytiems tikslams pasiekti.

20. Įmonė pasilieka teisę be atskiro darbuotojo įspėjimo riboti prieigą prie atskirų interneto svetainių ar programinės įrangos. Nepakankant minėtų priemonių, Įmonė gali tikrinti, kaip darbuotojas laikosi elektroninio pašto ir interneto resursų naudojimo reikalavimų nurodytais tikslais, tiriant incidentus, atiduoti darbuotojų naudojamą įrangą tirti tretiesiems asmenims, kurie teisės aktų nustatyta tvarka turi teisę tokius duomenis gauti.

 

IX SKYRIUS

DOKUMENTŲ IR DUOMENŲ ĮRAŠŲ VALDYMAS

 

1. Gaunamieji dokumentai ir duomenys

1.1. Elektroniniu, popieriniu būdu gaunamieji dokumentai yra registruojami, išskyrus siunčiamus gyvenimo aprašymus (CV), reklaminius pranešimus, asmeninius darbuotojams ne su darbo santykiais siunčiamus pranešimus.

1.2. Atsakingas asmuo už gaunamuosius dokumentus ar kitą informaciją turi juos perduoti tik, turintiems teisę juos gauti ar susipažintinti darbuotojams.

1.3. Gaunami laiškai, ant kurių vokų nurodyta „konfidencialu“ arba vardas, pavardė, perduodami adresatui neatplėšti. Gavėjas pateikia registracijai būtinus duomenis.

2. Siunčiamieji dokumentai

2.1. Siunčiamiesiems dokumentams priskiriami: siunčiami raštai, prašymai, pareiškimai, pretenzijos, skundai, informaciniai pranešimai ir panašūs dokumentai.

2.2. Siunčiamieji dokumentai forminami Įmonės firminiame blanke. Siunčiamasis dokumentas yra adresuojamas įstaigos struktūriniam padaliniui, juridiniam ar fiziniam asmeniui.

3. Tvarkomieji dokumentai

Tvarkomiesiems dokumentams priskiriami įsakymai, sutartys, įgaliojimai, Įmonės vadovo patvirtintos vidaus tvarkos ir panašūs dokumentai.

4. Archyvavimas

Dokumentų archyvavimas vykdomas pagal galiojančius teisinius reikalavimus.

5. Dokumentų valdymas

5.1. Dokumentų valdymas yra veikla, kuria nustatomi ir vykdomi reikalavimai išvardintiems veiksmams su dokumentais:

5.1.1. sukūrimas;

5.1.2. identifikacija (žymėjimas);

5.1.3. peržiūra;

5.1.4. tvirtinimas ir registravimas;

5.1.5. platinimas ir išdavimas;

5.1.6. kopijavimas;

5.1.7. saugojimas;

5.1.8. keitimas.

5.2. Dirbant su dokumentais, būtina imtis priemonių nuo vagysčių, informacijos nutekėjimo, dingimo, neteisingo traktavimo, pasenusių dokumentų ir duomenų naudojimo.

6. Elektroninių dokumentų ir duomenų valdymas

Kaip nurodyta šio dokumento VIII skyriuje „Informacinių ir komunikacinių technologijų naudojimo bei darbuotojų stebėsenos ir kontrolės darbo vietoje tvarka.

 

X SKYRIUS

ASMENS DUOMENŲ APSAUGOS PAREIGŪNAS

 

1. Įmonės vadovo įsakymu, asmens duomenų apsaugos pareigūnas (toliau – Pareigūnas) gali būti paskirtas iš esamų Įmonės darbuotojų, naujas darbuotojas arba asmuo, su kuriuo būtų sudaroma paslaugų teikimo sutartis.

2. Įmonės vadovas paskyręs arba sudaręs su Pareigūnu paslaugų teikimo sutartį, privalo užtikrinti, kad Pareigūno kontaktiniai duomenys per protingą terminą nuo jo paskyrimo / paslaugų sutarties sudarymo būtų tinkamai paskelbti duomenų subjektams bei pranešti VDAI.

3. Skirdamas Pareigūną, Įmonės vadovas privalo įvertinti ir įgyvendinti tai, kad:

3.1. Pareigūnas turėtų tinkamų asmens duomenų teisinės apsaugos praktinių ir ekspertinių žinių;

3.2. Pareigūnas būtų įtraukiamas į visų su asmens duomenų apsauga ir privatumu susijusių klausimų nagrinėjimą Įmonėje;

3.3. Pareigūnas būtų tiesiogiai pavaldus Įmonės vadovui;

3.4. Pareigūnas neturėtų jokių kitų pareigų, neatliktų funkcijų, kurios galėtų sukelti interesų konfliktą su jo atliekamomis Pareigūno funkcijomis.

4. Pareigūnas privalo:

4.1. užtikrinti, kad Įmonėje vykdomas asmens duomenų tvarkymas atitiktų BDAR, kitų, asmens duomenų teisinę apsaugą reglamentuojančių teisės aktų reikalavimus, tinkamai įvertinant duomenų tvarkymo operacijas, duomenų tvarkymo pobūdį, aprėptį, kontekstą, tikslus, potencialų pavojų;

4.2. stebėti, kaip laikomasi BDAR, kitų, asmens duomenų teisinę apsaugą reglamentuojančių teisės aktų reikalavimų, šių Taisyklių, kitų vidinių dokumentų, susijusių su asmens duomenų apsauga;  

4.3. konsultuoti ir stebėti, kaip Įmonėje atliekamas poveikio duomenų apsaugai vertinimas;

4.4. informuoti Įmonės vadovą ir kitus darbuotojus apie jų pareigas pagal BDAR ir kitus, asmens duomenų teisinę apsaugą reglamentuojančius, teisės aktus ir juos konsultuoti dėl konkrečių pareigų vykdymo;

4.5. informuoti Įmonės vadovą apie bet kokius neatitikimus, pažeidimus asmens duomenų apsaugos srityje, kuriuos Pareigūnas nustato, vykdydamas savo funkcijas;

4.6. mokyti Įmonės darbuotojus, dirbančius su asmens duomenimis, asmens duomenų teisinės apsaugos klausimais;

4.7. bendradarbiauti, būti kontaktiniu asmeniu santykiuose su VDAI.

 

XI SKYRIUS

NEATITIKČIŲ, INCIDENTŲ IR KOREKCINIŲ VEIKSMŲ VALDYMAS

 

1. Neatitikčių identifikavimas:

1.1. Neatitiktys gali būti identifikuotos:

1.1.1. vykdant kasdieninę veiklą;

1.1.2. kontroliuojančių intitucijų patikrinimo metu;

1.1.3. gavus informaciją iš asmens duomenų subjektų;

1.1.4. kitu būdu.

1.2. Neatitiktis gali nustatyti / informaciją apie neatitiktis gali gauti bet kuris Įmonės darbuotojas.

 

2. Neatitikties tipai:

2.1. Suinteresuotų šalių skundai. dėl galimai netinkamai tvarkomų asmens duomenų Suinteresuotos šalys – tai visi duomenų subjektai, kurių asmens duomenis Įmonė tvarko.

2.2. Neatitiktys susijusios su programine įranga ir jos gedimais.

2.3. Neatitiktys susijusios su technine įranga.

2.4. Informacijos saugumo įvykiai ir incidentai.

2.5. Kontroliuojančių institucijų radiniai – valstybinės duomenų apsaugos inspekcijos, priešgaisrinės saugos departamento ar kitų kontroliuojančių institucijų pastebėti trūkumai.

2.6. Kita – aukščiau nepaminėtos neatitiktys susijusios su asmens duomenų tvarkymu, kurias sąlygoja darbuotojų kompetencijos stoka, ar kitos priežastys nepaminėtos Taisyklėse.

3. Informacijos apie neatitiktis perdavimas tolimesniam neatitikčių valdymui:

Informacija apie neatitiktis / galimas neatitiktis perduodama asmens duomenų pareigūnui, tais atvejais kai jo nėra – Įmonės vadovo įgaliotam darbuotojui.

4. Neatitikčių valdymas

4.1. Informaciją apie neatitiktį gavęs ar neatitiktį pastebėjęs darbuotojas perduoda informaciją Įmonės vadovui, asmens domenų pareigūnui ar Įmonės vadovo įgaliotam asmeniui tvarkyti asmens duomenis, kuris:

4.1.1. įvertina neatitikties įtaką Įmonei ir Įmonės tvarkomų asmens duomenų saugumui, jos sprendimo sudėtingumą;

4.1.2. paskiria atsakingus asmemis neatitikties priežasčiai bei neatitikčių šalinimo veiksmas nustatyti ir įgyvendinti, kartu su atsakingais asmenimis aptaria neatitikties šalinimo veiksmus bei terminus, duoda atitinkamas instrukcijas paskirtiems darbuotojams dėl jų pareigų, funkcijų atlikimo, susijusio su asmens duomenų incidento valdymu.

4.2. Įgyvendinus suplanuotus veiksmus, asmens duomenų pareigūnas ar Įmonės vadovas įgaliotas tvarkyti asmens duomenis patikrina atliktų veiksmų rezultatyvumą. Tais atvejais kai atlikti veiksmai yra rezutatyvūs, „Neatitkčių registravimo žurnale“ fiksuojamas neatitikties statusas „uždaryta“. Jeigu atlikti veiksmai nėra rezultatyvūs, paskirti atsakingi darbuotojai toliau planuoja ir įgyvendina neatitikčių šalinimo veikmus, iki jie bus rezultatyvūs.

4.3. Apie visus įgyvendintus neatitikčių valdymo veiksmus ir jų rezultatyvumą asmens duomenų apsaugos pareigūnas ar Įmonės vadovo įgaliotas asmuo tvarkyti asmens duomenis, informuoja Įmonės vadovą.

4.4. Asmens duomenų apsaugos pareigūnas ar kitas Įmonės vadovo įgaliotas asmuo tvarkyti asmens duomenis kartu su nustatytos neatitikties šalinime dalyvavusiais darbuotojais parengia planą su prevenciniais veiksmais, kuriais būtų siekiama ateityje užkirsti kelią pasikartoti analogiškam ar panašiam incidentui ir pateikia jį Įmonės vadovui, kuris toliau priima sprendimą dėl numatytų priemonių įgyvendinimo.

5. Jei dėl įvykdyto asmens duomenų incidento kyla pavojus duomenų subjektų teisėms ir laisvėms, Pareigūnas ar kitas Įmonės vadovo paskirtas darbuotojas privalo nedelsiant, bet ne vėliau nei kaip per 72 val. pranešti VDAI apie įvykusį incidentą. Kilus ypatingai dideliam pavojui duomenų subjektų teisėms ir laisvėms, informacija apie įvykusį incidentą nedelsiant taip pat turi būti pateikta duomenų subjektams. Nesant galimybės informuoti visus duomenų subjektus dėl jų didelio kiekio ar kitų priežasčių, Pareigūnas ar kitas Įmonės vadovo paskirtas darbuotojas kartu su Įmonės vadovu apsvarsto ir priima sprendimą šią informaciją pateikti per visuomenės informavimo kanalus (spauda, televizija, kt.).

6. Teikiant pranešimą dėl įvykusio asmens duomenų incidento, VDAI, duomenų subjektams privalo būti trumpai aprašytas asmens duomenų incidento pobūdis, nurodant apytikslį duomenų subjektų skaičių, kurių asmens teisės ir laisvės galėjo būti pažeistos, Pareigūno ar kito atsakingo darbuotojo kontaktai, trumpai aprašytos tikėtinos incidento pasekmės bei priemonės, kurių Įmonė imasi / imsis, kad būtų pašalintos neigiamos pasekmės, susijusios su įvykusiu incidentu.

7. Nustatant, ar būtina vykdyti informavimo pareigą, Pareigūnas ar kitas Įmonės vadovo paskirtas atsakingas darbuotojas privalo įvertinti, ar dėl įvykusio incidento:

7.1. įvyko konfidencialumo pažeidimas (pavyzdžiui, atskleisti duomenys ir jie tapo prieinami tretiesiems asmenims, suteikiant prieigą, tinkamai nešifruojant, kt.);

7.2. įvyko duomenų pasiekiamumo pažeidimas (pavyzdžiui, prarasti duomenys ir neturima atsarginių kopijų);

7.3. įvyko duomenų vientisumo pažeidimas (pavyzdžiui, prarasti klientų duomenys, turima tik dalis atsarginių kopijų, dėl ko neįmanoma „atkurti“ visos su klientu bendravimo istorijos).

8. Informavimas gali vykti ir esant kitiems pagrindams, jei tokius nustato Įmonė ir / ar Pareigūnas.

9. Pareigūnas ar kitas Įmonės vadovo paskirtas atsakingas darbuotojas privalo užtikrinti, kad visos neatitiktys, įskaitant ir asmens duomenų apsaugos incidentus būtų tinkamai dokumentuotos ir saugomos.

 

XII SKYRIUS

POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS (PDAV)

 

1. Įmonei pradėjus vykdyti naują (-as) duomenų tvarkymo operaciją (-as), yra privaloma atlikti poveikio duomenų apsaugai vertinimą, jei duomenų tvarkymas:

1.1. keltų didelį pavojų duomenų subjektų teisėms ir laisvėms (pavyzdžiui, atvejai, kai duomenų subjektas neturi galimybės nesutikti su duomenų tvarkymu, duomenys perduodami už ES ribų, būtų pradėti tvarkyti duomenys, kurie gauti juos sujungus su duomenimis iš kitų šaltinių, būtų tvarkomi jautrūs duomenys tokie kaip sveikata, būtų pradėti naudoti nauji technologiniai sprendimai, pavyzdžiui, veido atpažinimo sistemos, ar kitų bimetrinių duomenų atpažinimo ir kt.);

1.2. automatizuotai būtų tvarkomi asmeniniai aspektai, vykdomas profiliavimas ir priimami teisiniai ar kiti didelio poveikio (pavyzdžiui, asmenų suskirstymas į grupes, kuris gali turėti jiems įtakos) sprendimai;

1.3. būtų pradėtas vykdyti sistemingas vaizdo stebėjimas dideliu mastu;

1.4. būtų pradėti tvarkyti specialių kategorijų asmens duomenys dideliu mastu.

2. PDAV nereikia atlikti šiais atvejais:

2.1. kai duomenų tvarkymas negali kelti didelio pavojaus fizinių asmenų teisėms bei laisvėms;

2.2. kai duomenų tvarkymo pobūdis, aprėptis, kontekstas ir tikslai yra labai panašūs į duomenų tvarkymą, kurio PDAV buvo atliktas;

2.3. kai duomenų tvarkymas teisės aktuose įtrauktas į neprivalomą duomenų tvarkymo operacijų sąrašą;

2.4. kitais teisės aktuose nustatytais atvejais.

3. Atlikus PDAV ir nustačius, kad duomenų subjektų teisėms ir laisvėms gali kilti didelis pavojus, yra privaloma konsultuotis su VDAI dėl tinkamų saugumo ir kitų priemonių įgyvendinimo.

4. PDAV privaloma nustatyti:

4.1. kokia bus atliekama duomenų tvarkymo operacija (-os);

4.2. kiek konkreti duomenų tvarkymo operacija yra reikalinga ir proporcinga;

4.3. koks gali būti poveikis duomenų subjektams;

4.4. kokios yra galimos potencialių pavojų šalinimo, saugumo užtikrinimo priemonės.

5. Įmonė privalo užtikrinti, kad šiame skyriuje aprašytas ir Įmonės numatytais atvejais atliekamas PDAV, būtų tinkamai dokumentuotas ir saugomas.

6. PDAV gali būti atliekamas ir esamoms duomenų tvarkymo operacijoms (t. y. vykdomoms iki BDAR įsigaliojimo), jeigu tose operacijose atsirastų reikšmingų pokyčių, pavyzdžiui, būtų pradėtos naudoti naujos technologijos, duomenys būtų pradėti tvarkyti kitu tikslu nei iki tol, atsirastų naujos rizikos, susijusios su įvykdytomis kibernetinėmis, atakomis, įsilaužimais į Įmonės sistemą, duomenys būtų pradėti teikti naujiems duomenų gavėjams, tvarkytojams už ES ribų, kt.

7. PDAV taip pat gali būti atliekamas ir šiame skyriuje neaptartais atvejais, bet esant Įmonės vadovo, Pareigūno ar VDAI rekomendacijai tai atlikti.

 

XIII SKYRIUS

ASMENS DUOMENŲ TVARKYTOJO PASITELKIMAS

 

1. Tais atvejais, kai Įmonė įgalioja duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp Įmonės ir duomenų tvarkytojo turi būti sudaroma duomenų tvarkymo sutartis.

2. Sprendimą perduoti duomenų subjekto duomenų tvarkymą asmens duomenų tvarkytojui priima Įmonės vadovas.

3. Įmonė parenka duomenų tvarkytoją, kuris užtikrina, kad būtų įgyvendintos techninės ir organizacinės duomenų apsaugos priemonės, skirtos apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo, įgyvendinant ir užtikrinant tokių priemonių laikymąsi. Priemonės turi užtikrinti tokį saugumo lygį, kuris atitiktų saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką.

4. Įmonė, sutartimi įgaliodama duomenų tvarkytoją tvarkyti asmens duomenis, nurodo, kad asmens duomenys būtų tvarkomi atsižvelgiant į asmens duomenų tvarkymą reglamentuojančius teisės aktus, Įmonės nurodymus, taip pat nurodant, kokius asmens duomenų tvarkymo veiksmus privalo atlikti duomenų tvarkytojas Įmonės vardu, duomenų tvarkytojo įsipareigojimai Įmonei, įskaitant įsipareigojimą laikytis ADTAĮ įtvirtintų reikalavimų, duomenų tvarkymo trukmė, pobūdis, asmens duomenų rūšis, duomenų subjektų kategorijos, duomenų tvarkytojo pareiga ištrinti arba grąžinti Įmonei asmens duomenis, jų kopijas, pabaigus Įmonei teikti paslaugas.

5. Įmonė, sudarydama sutartį su duomenų tvarkytoju, be kita ko, nurodo, kad duomenų tvarkytojas privalo užtikrinti Įmonės perduodamų tvarkyti duomenų konfidencialumą, o ketindamas tvarkymui pasitelkti trečiuosius asmenis (kitus duomenų tvarkytojus), duomenų tvarkytojas privalo gauti išankstinį rašytinį Įmonės pritarimą.

 

XIV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

1. Darbuotojai su Taisyklėmis bei jos pakeitimais supažindinami pasirašytinai arba elektroninėmis priemonėmis, ir privalo laikytis jose nustatytų įpareigojimų bei atlikdami savo darbo funkcijas vadovautis Taisyklėse nustatytais principais. Priėmus naują darbuotoją, jis su Taisyklėmis privalo būti supažindintas pirmąją jo darbo dieną.

2. Įmonės darbuotojai, pažeidę Taisykles, ADTAĮ ir (ar) BDAR, atsako teisės aktų nustatyta tvarka.

3. Pasikeitus asmens duomenų tvarkymą reglamentuojantiems teisės aktams, Taisyklės yra peržiūrimos ir atnaujinamos.

4. Taisyklių priedai, jeigu tokių yra, tampa neatsiejama šių Taisyklių dalimi.

 

_______________

 

Norėdami atsisakyti savo sutikimo tvarkyti jūsų duomenis arba pateikti prašymą dėl kaupiamos informacijos apimties, norėdami ištaisyti mūsų turimą informaciją ar kitais susijusiais klausimais prašome kreiptis el. pašto adresu viktorija@rovaltra.lt

 

Facebook YouTube Agco Finance Ūkis Ūkininko patarėjas Valstietis