Asmens duomenu tvarkymo politika

DUOMENŲ VALDYTOJO SAULĖS MIESTAS, UAB,
VEIKIANČIO ADRESU TILŽĖS G. 109, LT-77159 ŠIAULIAI, ĮMONĖS KODAS 300073193
ASMENS DUOMENŲ TVARKYMO POLITIKA

 

PATVIRTINTA
Saulės miestas, UAB
generalinės direktorės
2018 m. gegužės 18 d.
įsakymu Nr. BV-7

1. PAGRINDINĖS POLITIKOS SĄVOKOS

1.1. ADTAĮ – Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas.
1.2. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektą); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
1.3. Atsakingas darbuotojas – Duomenų valdytojo Darbuotojas, kuris pagal užimamas pareigas ir darbo pobūdį konkrečios faktinės situacijos atveju turi teisę vykdyti konkrečias su Duomenų tvarkymu susijusias funkcijas.
1.4. BDAR – Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas).
1.5. Duomenų valdytojas – Saulės miestas, UAB, juridinis asmuo, veikiantis adresu Tilžės g. 109, LT-77159 Šiauliai, įmonės kodas 300073193, PVM mokėtojo kodas LT100001389110, atstovaujamas generalinės direktorės Dinos Bunces.
1.6. Darbuotojas reiškia asmenį, kuris su Duomenų valdytoju yra sudaręs darbo arba panašaus pobūdžio sutartį.
1.7. Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami Asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne.
1.8. Duomenų subjektas – Duomenų valdytojo Darbuotojas, Kandidatas į darbo vietą, Klientas arba bet koks kitas fizinis asmuo, kurio Asmens duomenis tvarko Duomenų valdytojas.
1.9. Duomenų tvarkymas reiškia bet kurią operaciją ar operacijų rinkinį, automatiniais arba neautomatiniais būdais atliekamus su asmens duomenimis, tokius kaip: rinkimas, užrašymas, rūšiavimas, saugojimas, adaptavimas ar keitimas, atgaminimas, paieška, naudojimas, atskleidimas perduodant, platinant ar kitu būdu padarant juos prieinamus, išdėstymas reikiama tvarka ar sujungimas derinant, blokavimas, trynimas ar naikinimas, taip pat bet kuris kitas veiksmas, kuris būtų laikomas duomenų tvarkymu pagal BDAR esmę ir tikslus.
1.10. Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri Duomenų valdytojo vardu tvarko Asmens duomenis.
1.11. Kandidatas – asmuo, dalyvaujantis ar siekiantis dalyvauti Duomenų valdytojo vykdomoje personalo atrankoje.
1.12. Klientas reiškia bet kurį Duomenų valdytojo klientą, kuris naudojasi Duomenų valdytojo teikiamomis paslaugomis ir/ar infrastruktūra.
1.13. Kompiuterinė įranga – kompiuteriai, terminalai, serveriai, saugios laikmenos, kita Duomenų valdytojui teisėtu pagrindu (nuosavybės teise, nuomos ar kitais pagrindais) priklausanti kompiuterinė įranga ir joje esanti programinė įranga, tame tarpe elektroninė pašto dėžutė, bendravimo interneto tinklu programos, debesų kompiuterijos paslaugos, interneto prieiga.
1.14. Mokymai – Duomenų valdytojo organizuojami Darbuotojams skirti mokymai, susiję su Asmens duomenų apsaugos klausimais.
1.15. Politika reiškia šią Asmens duomenų tvarkymo politiką.
1.16. Tiesioginė rinkodara – Duomenų valdytojo vykdoma veikla, kuri yra skirta paštu, telefonu ar kitokiu tiesioginiu būdu siūlyti asmenims Duomenų valdytojo prekes ir/ar paslaugas ir/ar teirautis jų nuomonės dėl siūlomų prekių ar paslaugų.
1.17. Trečioji šalis – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis.
1.18. Vaikas Asmens duomenų tvarkymo kontekste reiškia jaunesnį nei 16 metų amžiaus asmenį.
1.19. Kitos Politikoje vartojamos sąvokos atitinka BDAR ir ADTAĮ vartojamas sąvokas.

2. BENDROSIOS NUOSTATOS

2.1. Šios Politikos paskirtis – reglamentuoti Asmens duomenų tvarkymo procedūras, tvarkant Asmens duomenis visiškai ar iš dalies automatiniu būdu, taip pat neautomatiniu būdu tvarkant Asmens duomenų susistemintas rinkmenas, nustatyti Duomenų subjektų teisių įgyvendinimą ir technines bei organizacines priemones, skirtas apsaugoti Asmens duomenis pagal BDAR, ADTAĮ ir kitus teisės aktus, nustatančius Asmens duomenų apsaugą.
2.2. Duomenų valdytojas užtikrina, kad priimdamas ir įgyvendindamas šią Politiką siekia įgyvendinti šiuos esminius su Asmens duomenų tvarkymu susijusius principus:
(a) Siekiama, kad Asmens duomenys Duomenų subjekto atžvilgiu būtų tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);
(b) Siekiama, kad Asmens duomenys būtų renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; tolesnis Asmens duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais nėra laikomas nesuderinamu su pirminiais tikslais (tikslo apribojimo principas);
(c) Siekiama, kad Asmens duomenys būtų adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);
(d) Siekiama ir dedamos pastangos, kad Asmens duomenys būtų tikslūs ir esant poreikiui per protingą terminą nuo pasikeitimo fakto būtų atnaujinami; siekiama imtis visų pagrįstų priemonių užtikrinti, kad Asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba per protingą terminą ištaisomi (tikslumo principas);
(e) Siekiama, kad Asmens duomenys būtų laikomi tokia forma, kad Duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais Asmens duomenys yra tvarkomi; Asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu Asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, įgyvendinus atitinkamas technines ir organizacines priemones, reikalingas siekiant apsaugoti Duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);
(f) Siekiama, kad Asmens duomenys, atsižvelgiant į Duomenų valdytojo tvarkomų Asmens duomenų bendrinį pobūdį, būtų tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas Asmens duomenų saugumas, įskaitant apsaugą nuo Asmens duomenų tvarkymo be leidimo arba neteisėto Asmens duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas);
(g) Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi aukščiau nurodytų principų, ir turi sugebėti įrodyti, kad jų yra laikomasi (atskaitomybės principas).
2.3. Asmens duomenys tvarkomi tinkamai informavus Duomenų subjektus laikantis 6 Politikos skyriuje ir BDAR numatytų reikalavimų.
2.4. Duomenys saugomi laikotarpius, nurodytus šioje Politikoje kiekvienam Asmens duomenų tipui. Saugojimas ir trynimas atliekami pagal procedūras, numatytas 7 ir 8 Politikos skyriuose.
2.5. Prieiga prie Asmens duomenų suteikiama tik pagal rašytinį/žodinį pareiškimą sudarytų sutarčių pagrindu būtinas funkcijas vykdantiems Atsakingiems darbuotojams. Prieiga taip pat suteikiama ir Duomenų tvarkytojams, su kurias sudaryta šios Politikos 13 skyriuje numatytus bei BDAR standartus atitinkanti duomenų tvarkymo sutartis.
2.6. Duomenų valdytojo Atsakingi darbuotojai turi teisę rinkti, tvarkyti, perduoti, saugoti, naikinti ar kitaip naudoti ir tvarkyti Asmens duomenis tik atlikdami tiesiogines savo darbo funkcijas ir tik teisės aktų nustatyta tvarka.
2.7. Duomenų valdytojo Darbuotojams draudžiama savavališkai rinkti, perduoti, saugoti, naikinti ar kitaip tvarkyti Asmens duomenis bei naudoti Asmens duomenis asmeniniams, su tiesioginėmis darbinėmis funkcijomis nenusijusiems tikslams.
2.8. Atsakingi darbuotojai privalo:
(a) Tvarkyti Asmens duomenis vadovaudamiesi Europos Sąjungos ir Lietuvos Respublikos teisės aktais, taip pat šia Politika bei kitais Duomenų valdytojo vidiniais dokumentais;
(b) Neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su Asmens duomenimis asmenims, kurie nėra įgalioti tvarkyti Asmens duomenų;
(c) Nedelsiant pranešti Duomenų valdytojui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę Asmens duomenų saugumui, kitas Asmens duomenų pažeidimų rizikas, nusikalstamos veiklos požymius, neveikiančias Asmens duomenų saugos užtikrinimo priemones.
2.9. Asmens duomenų tvarkymo funkcijas vykdantys Duomenų valdytojo Atsakingi darbuotojai, siekdami užkirsti kelią atsitiktiniam ar neteisėtam Asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, turi saugoti dokumentus bei duomenų rinkmenas tinkamai ir saugiai bei vengti nereikalingų kopijų darymo. Dokumentų kopijos, kuriose nurodomi Asmens duomenys, turi būti sunaikintos taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio. Asmens dokumentų kopijos gali būti saugomos ir elektroniniu būdu.
2.10. Kilus abejonėms dėl Asmens duomenų tvarkymo, aptikus Asmens duomenų apsaugos pažeidimų, nustačius kitas galimas Asmens duomenų valdymo rizikas Atsakingi darbuotojai turi kreiptis į subordinacine prasme aukštesnes pareigas užimantį asmenį ar už Asmens duomenų tvarkymą paskirtus atsakingus asmenis ir papildomai konsultuotis dėl iškilusių Asmens duomenų tvarkymo klausimų.
2.11. Atsakingas darbuotojas netenka teisės tvarkyti Asmens duomenis, kai pasibaigia Atsakingo darbuotojo darbo sutartis su Duomenų valdytoju, arba kai pasikeitus Darbuotojo užimamoms pareigoms Asmens duomenys tampa nebereikalingi darbo funkcijoms vykdyti.
2.12. Duomenys perduodami Duomenų tvarkytojams ir Duomenų gavėjams kai teisę ir (ar) pareigą tai daryti atitinkamais pagrindais suteikia teisės aktai.
2.13. Duomenų tvarkytojo prieigos teisės prie Duomenų nedelsiant naikinamos nutraukus su Duomenų tvarkytoju sudarytą paslaugų ar kito pobūdžio sutartį, kurios pagrindu Duomenų tvarkytojas tvarko Asmens duomenis, ar šiai sutarčiai nustojus galioti.
2.14. Tuo atveju, kai tam tikros techninės/organizacinės ar bet kokios kitos objektyvios kliūtys trukdo nedelsiant panaikinti prieigas ar šios prieigos paliekamos laikinai pratęsiant atskirus susitarimus dėl perduodamų Asmens duomenų saugumo, kaip tai nurodyta šios Politikos 2 punkte, Duomenų valdytojas imasi priemonių užtikrinti, kad Duomenų tvarkytojas laikytųsi BDAR ir/ar laikinai pratęstuose atskiruose susitarimuose dėl perduodamų Asmens duomenų saugumo įtvirtintų įsipareigojimų.
2.15. Asmens duomenys Duomenų valdytojo gali būti pateikti ikiteisminio tyrimo įstaigai, prokurorui ar teismui dėl administracinių, civilinių, baudžiamųjų bylų, kaip įrodymai ar kitais įstatymų nustatytais
2.16. Taip pat Asmens duomenys Duomenų valdytojo gali būti pateikti kitiems asmenims (advokatams, konsultantams, auditoriams ir pan.), kuriuos Duomenų valdytojas pasitelkia Duomenų valdytojui ir/ar Duomenų subjektui būtinų paslaugų teikimui, taip pat kitiems tretiesiems asmenims, jeigu Asmens duomenys perduodami pagal teisės aktų reikalavimus.
2.17. Asmens duomenys gali būti teikiami šiais būdais: raštu, elektroninių ryšių priemonėmis, prisijungus prie atskirus Asmens duomenis kaupiančių duomenų bazių ar informacinių sistemų ar kitu Duomenų valdytojo suderintu būdu.
2.18. Neautomatizuotas Asmens duomenų teikimas, kai Asmens duomenys teikiami ne pačiam Duomenų subjektui tiesiogiai, turi būti patvirtintas Duomenų valdytojo vadovo, išskyrus atvejus, kai Asmens duomenys teikiami priežiūros institucijai.
2.19. Duomenų subjektas savo Asmens duomenis gali pateikti atvykus į Duomenų valdytojo buveinę, atsiuntus registruotu laišku taip pat elektroniniu paštu ar Duomenų valdytojo internetinėje svetainėje, taip pat bet kokiu kitu praktikoje taikomu būdu. Taip pat Duomenų subjektas gali perduoti savo Asmens duomenis atliekant mokėjimo pavedimą, kartu perduodant savo asmens kodą ir kitus mokėjimo duomenis. Asmens duomenys iš juridinių asmenų gaunami pateikus užklausimus į jų administruojamas duomenų bazes.
2.20. Asmens duomenys gali būti gaunami iš Lietuvos banko; komercinių bankų; Valstybinio socialinio draudimo fondo valdybos; Valstybės įmonės Registrų centro; viešojo negaliojančių asmens dokumentų registro, viešojo ieškomų asmenų registro, ar kitų viešų registrų, jeigu tokie Asmens duomenys yra būtini priimant sprendimą susijusius su Duomenų valdytojo veikla.
2.21. Duomenų subjektų Asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas gali būti tvarkomi tik tuo atveju, jei Duomenų valdytojui konkretus teisės aktas numato galimybę tvarkyti tokius Asmens duomenis. Duomenų valdytojas tokių Asmens duomenų negali tvarkyti Duomenų subjekto sutikimo pagrindu.

3. DARBUOTOJŲ DUOMENŲ TVARKYMAS

3.1. Darbuotojų Asmens duomenys yra tvarkomi šiais su darbo santykiais susijusiais tikslais:
(a) Duomenų valdytojo darbo sutarčių sudarymo, vykdymo ir apskaitos tikslais;
(b) Duomenų valdytojo pareigų, nustatytų teises aktuose, tinkamam vykdymui bei nustatytos mokestinės lengvatos pritaikymui;
(c) tinkamai komunikacijai su Darbuotojais ne darbo metu palaikyti;
(d) tvarkant Asmens duomenis profilaktinės ar darbo medicinos tikslais;
(e) Duomenų valdytojui siekiant užtikrinti Darbuotojų saugumą;
(f) Duomenų valdytojui siekiant užtikrinti visuomenės saugumą, viešą tvarką, apginti asmenų gyvybę, sveikatą, turtą ir kitas asmenų teises bei laisves;
(g) Vidaus administravimo tikslais.
3.2. Darbo sutarčių sudarymo, vykdymo ir apskaitos tikslais, yra tvarkomi šie Darbuotojų Asmens duomenys:
(a) Vardai ir pavardės;
(b) Gimimo datos;
(c) Banko sąskaitų numeriai, į kurias yra pervedamas darbo užmokestis;
(d) Socialinio draudimo numeris.
3.3. Duomenų valdytojo pareigų, nustatytų teisės aktuose, tinkamo vykdymo tikslu, nustatytos mokestinės lengvatos pritaikymo tikslu yra tvarkomi:
(a) Darbuotojų asmens kodai;
(b) Informacija apie Darbuotojų įgytą išsilavinimą;
(c) Informacija apie Darbuotojų šeiminę padėtį (Darbuotojui pageidaujant, kad jam būtų pritaikyta mokestinė lengvata).
3.4. Tinkamos komunikacijos su Darbuotojais ne darbo metu tikslu yra tvarkomi Darbuotojų:
(a) Gyvenamosios vietos adresai;
(b) Asmeniniai telefono numeriai;
(c) Asmeniniai elektroninio pašto adresai.
3.5. Tvarkant Asmens duomenis profilaktinės ar darbo medicinos tikslais, Duomenų valdytojas gali tvarkyti informaciją, susijusią su Darbuotojo sveikatos būkle, kuri tiesiogiai daro įtaką Darbuotojo darbo funkcijoms ir galimybei jas vykdyti teisės aktų nustatyta tvarka.
3.6. Visuomenės saugumo, viešosios tvarkos užtikrinimo tikslais, siekiant apginti asmenų gyvybę, sveikatą, turtą ir kitas asmenų teises bei laisves, Duomenų valdytojas gali vykdyti vaizdo stebėjimą ir tvarkyti vaizdo stebėjimo duomenis, susijusius su Darbuotojais, kaip tai numatyta Duomenų valdytojo patvirtintose Vaizdo duomenų tvarkymo taisyklėse.
3.7. Vidaus administravimo veiklai užtikrinti Darbuotojo sutikimu (personalo valdymas, raštvedybos tvarkymas) gali būti tvarkomas Darbuotojo asmens atvaizdas.
3.8. Darbuotojo sutikimu gali būti tvarkomi ir kiti Darbuotojo Asmens duomenys. Tais atvejais, kai Darbuotojo Asmens duomenų tvarkymui reikalingas Darbuotojo sutikimas, Darbuotojas turi teisę duoti arba atsisakyti duoti sutikimą, taip pat bet kada atšaukti duotą sutikimą nepatirdamas jokių neigiamų tiesioginių ar netiesioginių pasekmių, susijusių su jo tolimesniu darbu. Tokiu atveju Duomenų valdytojas nutraukia tokių Asmens duomenų tvarkymą, jei nėra kito teisinio pagrindo tvarkyti Asmens duomenis.
3.9. Politikos 1 – 3.7 punktuose nurodyti Asmens duomenys iki dalykinių santykių pradžios (darbo sutarties sudarymo) tvarkomi Duomenų subjekto sutikimo pagrindu arba Duomenų valdytojui siekiant Kandidato prašymu imtis veiksmų prieš sudarant sutartį; po dalykinių santykių pradžios – sudarytos sutarties pagrindu siekiant įvykdyti sutartį, taip pat kai tai būtina Duomenų valdytojo teisinei prievolei įvykdyti.
3.10. Darbuotojų Asmens duomenys gaunami tiesiogiai iš Duomenų subjektų, Valstybinės mokesčių inspekcijos prie Lietuvos Respublikos finansų ministerijos, Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos (toliau – Sodra).
3.11. Darbuotojų Asmens duomenys gali būti susistemintai tvarkomi visiškai ir iš dalies automatizuotomis priemonėmis bei ne automatiniu būdu.
3.12. Nuolatiniu Darbuotojų Duomenų gavėju yra Valstybinė mokesčių inspekcija prie Lietuvos Respublikos finansų ministerijos ir Sodra. Asmens duomenys Sodrai teikiami per Elektroninę draudėjų aptarnavimo sistemą (EDAS).
3.13. Kitiems Duomenų gavėjams Darbuotojų Asmens duomenys gali būti perduodami tik šių prašymu ar gavus Darbuotojų sutikimą šios Politikos 10 skyriuje numatyta tvarka arba vykdant teisės aktų įtvirtintas pareigas ar prisiimtus įsipareigojimus pagal sudarytas sutartis ir tik esant teisėtam perdavimo pagrindui.
3.14. Darbuotojai apie jų Asmens duomenų tvarkymą informuojami pasirašytinai juos supažindinant su šia Politika.

4. KANDIDATŲ DUOMENŲ TVARKYMAS

4.1. Kandidatų Asmens duomenys yra tvarkomi Kandidatų atrankos į darbo vietas tikslais.
4.2. Duomenų valdytojas atrankos į darbo vietas tikslais tvarko tokius Kandidatų pateiktus Asmens duomenis:
(a) Vardas, pavardė;
(b) Gimimo data;
(c) Telefono numeris;
(d) Elektroninio pašto adresas;
(e) Gyvenamosios vietos adresas;
(f) Išsilavinimas;
(g) Darbovietė;
(h) Išklausyti kursai;
(i) Mokamos kalbos;
(j) Darbo kompiuteriu įgūdžiai;
(k) Rekomendacijos;
(l) Kiti Kandidato savanoriškai pateikti jo gyvenimo aprašyme ir/ar kituose pateiktuose dokumentuose esantys Asmens duomenys.
4.3. Šie Asmens duomenys tvarkomi Kandidato sutikimo pagrindu arba Duomenų valdytojui siekiant Kandidato prašymu imtis veiksmų prieš sudarant darbo sutartį.
4.4. Asmens duomenys gaunami tiesiogiai iš Kandidatų.
4.5. Visa ar dalis 2 punkte nurodytų Asmens duomenų gali būti tvarkomi šiuos Asmens duomenis gavus Lietuvos darbo biržos ir/ar jos teritorinių padalinių ir tik tokia apimtimi, kuri reikalinga personalo atrankos tikslui pasiekti.
4.6. Duomenų valdytojas gali rinkti Kandidato, pretenduojančio eiti pareigas arba dirbti darbus, asmens duomenis, susijusius su kvalifikacija, profesiniais gebėjimais ir dalykinėmis savybėmis, iš buvusio darbdavio prieš tai informavęs kandidatą, o iš esamo darbdavio – tik kandidato sutikimu.
4.7. Kai Duomenys gaunami ne iš Kandidato, Duomenų subjektas informuojamas Politikos 9 skyriuje nustatyta tvarka.
4.8. Kandidatų Asmens duomenys gali būti susistemintai tvarkomi visiškai ir iš dalies automatizuotomis priemonėmis bei ne automatiniu būdu.
4.9. Tinkamas Kandidatų informavimas šios Politikos 6 skyriaus pagrindu užtikrinamas skirtingais būdais priklausomai nuo to, kaip buvo pateiktas prašymas priimti į darbą:
(a) Jei prašymas pateikiamas elektroniniu paštu arba užpildžius anketą portale, kuriame yra patalpintas Duomenų valdytojo skelbimas, Kandidatui į jo elektroninį paštą išsiunčiamas automatinis pranešimas su Politikos 6 skyriuje nurodyta reikiama informacija bei sutikimo forma.
(b) Jei prašymas pateikiamas asmeniškai, Politikos 6 skyriuje nurodyta informacija kartu su sutikimo forma turi būti pateikta prašymą priimančio Darbuotojo pateikimo metu.
4.10. Duomenys apie Kandidatus nėra perduodami tretiesiems asmenims.
4.11. Tuo atveju, jei Lietuvos Respublikos teisės aktai numato papildomų apribojimų dėl to, kokia informacija apie Kandidatus gali būti tvarkoma, Duomenų valdytojas užtikrina, kad būtų tvarkomi tik leidžiami tvarkyti Kandidatų Asmens duomenys.

5. KLIENTŲ DUOMENŲ TVARKYMAS

5.1. Klientų Asmens duomenys yra tvarkomi šiais Duomenų valdytojo veiklos organizavimo tikslais:
(a) Sutarčių sudarymo, vykdymo bei paslaugų teikimo tikslu;
(b) Tiesioginės rinkodaros tikslu;
(c) Lojalumo programoms vykdyti;
(d) Reklaminėms ir kitoms su Duomenų valdytojo veikla susijusiomis akcijoms (viktorinoms, žaidimams) vykdyti;
(e) Renginių organizavimo ir reklamavimo tikslu;
(f) Prašymų ir atsiliepimų administravimo tikslu;
(g) WIFI nemokamo ryšio suteikimo tikslu;
(h) Statistikos ir Klientų elgsenos analizei vykdyti;
(i) Siekiant užtikrinti visuomenės saugumą, viešą tvarką, apginti asmenų gyvybę, sveikatą, turtą ir kitas asmenų teises bei laisves.
(j) Kitais tikslais, kuriais Duomenų valdytojas gali tvarkyti Asmens duomenis Klientui išreiškus sutikimą, taip pat kai Kliento Asmens duomenys yra tvarkomi teisėto Duomenų valdytojo ar trečiojo asmens interesu arba kai Asmens duomenys tvarkomi siekiant įvykdyti Duomenų valdytojo teisinę prievolę.
5.2. Duomenų valdytojas sutarčių sudarymo, vykdymo bei paslaugų teikimo tikslu gali tvarkyti tokius Klientų Asmens duomenis:
(a) Vardas;
(b) Pavardė;
(c) Banko sąskaitos numeris;
(d) Telefono numeris;
(e) Gyvenamosios vietos adresas;
(f) Elektroninio pašto adresas.
5.3. Šie Asmens duomenys tvarkomi Kliento sutikimo pagrindu, siekiant įvykdyti sutartį arba siekiant Kliento prašymu imtis veiksmų prieš sudarant sutartį.
5.4. Duomenų valdytojas tiesioginei rinkodarai vykdyti gali tvarkyti tokius Klientų Asmens duomenis:
(a) Vardas;
(b) Pavardė;
(c) Telefono numeris;
(d) Gyvenamosios vietos adresas;
(e) Elektroninio pašto adresas.
5.5. Šie Asmens duomenys tvarkomi Kliento sutikimo arba teisėto Duomenų valdytojo ar trečiojo asmens intereso pagrindu.
5.6. Duomenų valdytojas lojalumo programoms vykdyti gali tvarkyti tokius sutikimą davusių Klientų Asmens duomenis:
(a) Vardas;
(b) Pavardė;
(c) Gimimo data;
(d) Lytis;
(e) Elektroninio pašto adresas;
(f) Telefono numeris;
(g) Gyvenamosios vietos adresas.
5.7. Duomenų valdytojas reklaminėms ir kitoms akcijoms (viktorinoms, žaidimams) vykdyti tvarko tokius sutikimą davusių Klientų Asmens duomenis:
(a) Vardas;
(b) Pavardė;
(c) Telefono numeris;
(d) Elektroninio pašto adresas.
5.8. Duomenų valdytojas renginių organizavimo ir reklamavimo tikslu tvarko tokius Klientų Asmens duomenis:
(a) Atvaizdas.
5.9. Šie Asmens duomenys tvarkomi Kliento sutikimo arba teisėto Duomenų valdytojo ar trečiojo asmens intereso pagrindu.
5.10. Duomenų valdytojas prašymų ir atsiliepimų administravimo tikslu tvarko tokius sutikimą davusių Klientų Asmens duomenis:
(a) Vardas;
(b) Pavardė;
(c) Miestas;
(d) Telefono numeris;
(e) Elektroninio pašto adresas.
5.11. Duomenų valdytojas WIFI nemokamo ryšio suteikimo tikslu tvarko tokius sutikimą davusių Klientų Asmens duomenis:
(a) Telefono numeris.
5.12. Duomenų valdytojas statistinei ir Klientų elgsenos analizei vykdyti tvarko tokius sutikimą davusių Klientų Asmens duomenis:
(a) Vardas;
(b) Pavardė;
(c) Lytis;
(d) Asmens pomėgiai ir įpročiai;
(e) Gyvenamosios vietos adresas;
(f) Telefono numeris;
(g) Elektroninio pašto adresas.
5.13. Visuomenės saugumo, viešosios tvarkos užtikrinimo tikslais, siekiant apginti asmenų gyvybę, sveikatą, turtą ir kitas asmenų teises bei laisves, Duomenų valdytojas gali vykdyti vaizdo stebėjimą ir tvarkyti vaizdo stebėjimo duomenis, susijusius su Klientais, kaip tai numatyta Duomenų valdytojo patvirtintose Vaizdo duomenų tvarkymo taisyklėse. Šie duomenys tvarkomi teisėto Duomenų valdytojo ar trečiojo asmens intereso pagrindu.
5.14. Kai Duomenų valdytojas Asmens duomenis tvarko kitais tikslais Klientui išreiškus sutikimą, Duomenų valdytojas gali tvarkyti tik tokius Asmens duomenis, kurių reikia šiam tikslui pasiekti ir tik tokia apimtimi, kuria gautas Kliento sutikimas.
5.15. Kai Duomenų valdytojas Kliento Asmens duomenis tvarko kitais tikslais remiantis teisėtu Duomenų valdytojo ar trečiojo asmens interesu, Duomenų valdytojas gali tvarkyti tik tokius Asmens duomenis, kurių reikia šiam tikslui pasiekti ir tik tokia apimtimi, kokia būtina šiam tikslui pasiekti.
5.16. Kai Duomenų valdytojas Kliento Asmens duomenis tvarko kitais tikslais siekiant įvykdyti teisinę prievolę, Duomenų valdytojas gali tvarkyti tik tokius Asmens duomenis, kurių reikia šiam tikslui pasiekti ir tik tokia apimtimi, kiek to reikalauja teisinė prievolė.
5.17. Kai Klientas yra Vaikas, jo Asmens duomenys gali būti tvarkomi tik vieno iš tėvų ar globėjų sutikimu.
5.18. Atsižvelgiant į tai, kad Vaikams turi būti užtikrinta ypatinga jų interesų apsauga, informacija ir pranešimai, kai Asmens duomenų tvarkymas orientuotas į Vaiką, turėtų būti suformuluoti Vaikui lengvai suprantama aiškia ir paprasta kalba.
5.19. Duomenų valdytojas užtikrina, kad tuo atveju, kai Klientas yra Vaikas, jo Asmens duomenų atžvilgiu nebus atliekami profiliavimo veiksmai.
5.20. Tvarkant Kliento Asmens duomenis, kai Klientas yra Vaikas, teisėto Duomenų valdytojo ar trečiojo asmens intereso pagrindu, Duomenų valdytojas privalo įvertinti Vaiko interesų, jo pagrindinių teisių ir laisvių viršenybę, bei Asmens duomenis šiuo pagrindu tvarkyti tik išimtiniais atvejais, kai atitinkamas Duomenų valdytojo interesas yra akivaizdžiai viršesnis už Vaiko interesus, jo pagrindines teises ir laisves.
5.21. Klientų Asmens duomenys gali būti susistemintai tvarkomi visiškai ir iš dalies automatizuotomis priemonėmis bei ne automatiniu būdu.

6. TINKAMAS DUOMENŲ SUBJEKTŲ INFORMAVIMAS

6.1. Duomenų valdytojas, prieš pradėdamas tvarkyti Asmens duomenis, privalomai raštu arba kitomis priemonėmis, įskaitant, prireikus, elektronine forma, pateikia Duomenų subjektams šią informaciją:
(a) Duomenų valdytojo pavadinimą, rekvizitus ir kontaktinius duomenis;
(b) Duomenų tvarkymo tikslus;
(c) Informacija apie atitinkamų Asmens duomenų kategorijas;
(d) Asmens duomenų tvarkymo teisinį pagrindą;
(e) Asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;
(f) Teisę prašyti, kad Duomenų valdytojas leistų susipažinti su Duomenų subjekto Asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisę nesutikti, kad Asmens duomenys būtų tvarkomi, taip pat teisę į Duomenų perkeliamumą;
(g) Teisę pateikti skundą priežiūros institucijai;
(h) Jei yra, Asmens duomenų gavėjus arba Asmens duomenų gavėjų kategorijas;
(i)Kai taikoma, apie Duomenų valdytojo ketinimą Asmens duomenis perduoti į trečiąją valstybę arba tarptautinei organizacijai;
(j) Kai taikoma, kad esama automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio Duomenų tvarkymo reikšmę ir numatomas pasekmes Duomenų subjektui.
6.2. Tuo atveju, jei Asmens duomenų teisinio tvarkymo pagrindu yra teisinė prievolė ar sutartis, Duomenų subjektui taip pat pateikiama ši informacija:
(a) Informacija apie tai, ar Duomenų subjektas privalo pateikti Asmens duomenis ir galimas pasekmes nepateikus tokių Asmens duomenų;
(b) Informacija apie tai, ar Asmens duomenų pateikimas yra teisės aktais arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina įvykdyti norint sudaryti sutartį.
6.3. Tuo atveju, jei Asmens duomenų tvarkymo teisiniu pagrindu yra Duomenų valdytojo ar trečiųjų asmenų teisėtu interesas, Duomenų subjektui taip pat nurodomi teisėti Duomenų valdytojo arba trečiosios šalies interesai.
6.4. Tuo atveju, jei Asmens duomenys tvarkomi remiantis Duomenų subjekto sutikimu, šiam taip pat pateikiama informacija apie teisę atsiimti savo sutikimą bet kuriuo metu.
6.5. Tuo atveju, jei Asmens duomenys gauti ne iš Duomenų subjekto, turi būti pateikiama aukščiau išvardyta informacija, išskyrus nurodytąją 2 punkte, bei papildomai ši informacija:
(a) Asmens duomenų kategorijos, kurias planuojama tvarkyti;
(b) Koks yra asmens duomenų kilmės šaltinis ir ar duomenys gauti iš viešai prieinamų šaltinių.
6.6. 1 – 6.5 punktai netaikomi, jeigu Duomenų subjektas jau turi informaciją, ir tokia apimtimi, kiek tos informacijos jis turi.
6.7. Asmens duomenų gavimo ne iš Duomenų subjekto atveju, kai Duomenų subjekto informavimas nereikalauja neproporcingų pastangų, informacija pateikiama Duomenų subjektui per:
(a) Vieną mėnesį nuo Asmens duomenų gavimo;
(b) Jei Asmens duomenys bus naudojami ryšiams su Duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo Duomenų subjektu; arba
(c) Jeigu numatoma Asmens duomenis atskleisti kitam Duomenų gavėjui – ne vėliau kaip atskleidžiant Asmens duomenis pirmą kartą.
6.8. Visais atvejais 1 – 6.5 punktuose paminėta informacija turi būti pateikiama glausta, skaidria, aiškia ir lengvai prieinama forma, aiškia ir paprasta kalba.
6.9. Informacija pateikiama raštu arba kitomis priemonėmis, įskaitant, prireikus, elektronine forma. Duomenų subjekto prašymu informacija gali būti suteikta žodžiu, tačiau visais atvejais apie konkretų asmenį renkama informacija pateikiama tik Duomenų subjektui įrodžius savo tapatybę.
6.10. Pareiga pateikti aukščiau nurodytą informaciją netaikoma tiek, kiek:
(a) Tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų, finansinių, ekonominių, intelektinių resursų. Tokiais atvejais Duomenų valdytojas imasi tinkamų priemonių Duomenų subjekto teisėms ir laisvėms bei teisėtiems interesams apsaugoti, įskaitant viešą informacijos paskelbimą;
(b) Asmens duomenų gavimas ar atskleidimas aiškiai nustatytas Europos Sąjungos arba nacionalinėje teisėje, ir kurie taikomi Duomenų valdytojui ir kuriuose nustatytos tinkamos teisėtų Duomenų subjekto interesų apsaugos priemonės;
(c) Kai Asmens duomenys privalo išlikti konfidencialūs laikantis Europos Sąjungos ar valstybės narės teise reglamentuojamos profesinės paslapties prievolės.

7. DUOMENŲ SAUGOJIMO TERMINAI

7.1. Duomenų valdytojas taiko skirtingus Asmens duomenų saugojimo terminus priklausomai nuo tikslo, kuriuo remiantis tvarkomi konkretūs Asmens duomenys.
7.2. Duomenų valdytojas taiko šiuos Asmens duomenų saugojimo terminus:

Nr. Asmens duomenų tvarkymo tikslas Saugojimo terminas
1. Darbo santykių administravimas Iki 50 metų po darbo sutarties nutraukimo vadovaujantis Bendrųjų dokumentų saugojimo terminų rodykle, išskyrus vaizdo duomenų stebėjimą, kuomet įrašai, jei jie daromi, ištrinami po 30 dienų
2. Kandidatų į darbo vietas atranka Iki atrankos į darbo vietą pabaigos (Gavus Kandidato sutikimą, pastarojo gyvenimo aprašymas (CV) ir jame esantys duomenys tvarkomi 3 metus po atrankos į darbo vietą pabaigos)
3. Duomenų valdytojo veiklos organizavimas Iki 3 metų nuo paskutinio kontakto su Duomenų subjektu dienos, išskyrus (i) vaizdo duomenų stebėjimą, kuomet įraišai, jei jie daromi, ištrinami po 30 dienų; (ii) reklaminių akcijų vykdymą, kuomet Asmens duomenys pašalinami pasiekus reklaminių akcijų tikslus, nebent Duomenų subjektas davė raštišką sutikimą pateiktus Asmens duomenis tvarkyti Tiesioginės rinkodaros tikslais

7.3. Išimtys iš aukščiau nurodytų saugojimo terminų gali būti nustatomos tiek, kiek tokie nukrypimai nepažeidžia Duomenų subjektų teisių, atitinka teisinius reikalavimus, yra tinkamai dokumentuoti ir kiek tai yra pateisinama teisėtu Duomenų valdytojo ar trečiojo asmens interesu.
7.4. Duomenys, reikalingi siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus saugomi tiek, kiek šie yra būtini tokiems tikslams pasiekti pagal teisminę, administracinę arba neteisminę procedūrą.

8. DUOMENŲ SUNAIKINIMAS

8.1. Asmens duomenys saugomi tiek, kiek to reikalauja Asmens duomenų tvarkymo terminai ir tikslai. Kai Asmens duomenys nebereikalingi jų tvarkymo tikslais ir/ar kai sueina Politikoje numatytas Asmens duomenų tvarkymo terminas, jie turi būti neatkuriamai sunaikinami.
8.2. Sunaikinimas apibrėžiamas kaip fizinis ar techninis veiksmas, kuriuo dokumente esantys Asmens duomenys padaromi neatkuriamais įprastinėmis komerciškai prieinamomis priemonėmis.
8.3. Elektronine forma saugomi Asmens duomenys sunaikinami juos ištrinant be galimybės atkurti.
8.4. Popieriniai dokumentai, kuriuose yra Asmens duomenų, susmulkinami, o likučiais saugiu būdu atsikratoma.

9. DUOMENŲ SUBJEKTŲ TEISĖS

9.1. Duomenų subjektas BDAR nustatyta tvarka gali įgyvendinti šias teises:
(a) Teisė būti informuotam;
(b) Prieigos prie Asmens duomenų teisė;
(c) Asmens duomenų ištrynimo teisė;
(d) Teisė į Asmens duomenų patikslinimą;
(e) Teisė apriboti Asmens duomenų tvarkymą;
(f) Teisė į Asmens duomenų perkeliamumą;
(g) Teisė prieštarauti Asmens duomenų tvarkymui;
(h) Teisė nesutikti su automatiniu sprendimų priėmimu ir profiliavimu.
9.2. Teisės, nurodytos Politikos 1(b) – 9.1(h) punktuose, įgyvendinamos pagal Reagavimo į duomenų subjektų prašymus procedūrą, kuri sudaro geresnes sąlygas būtinus veiksmus atlikti per BDAR nustatytus laikotarpius, kurie yra tokie:

Duomenų subjekto prašymas Laikotarpis
Teisė būti informuotam

 

Kai duomenys surenkami (jei pateikti Duomenų subjekto) arba per vieną mėnesį (jei pateikti ne Duomenų subjekto)
Prieigos teisė Vienas mėnuo
Teisė į patikslinimą Vienas mėnuo
Ištrynimo teisė Vienas mėnuo
Teisė apriboti Asmens duomenų tvarkymą Vienas mėnuo
Teisė į Asmens duomenų perkeliamumą Vienas mėnuo
Teisė prieštarauti Asmens duomenų tvarkymui Gavus prieštaravimą, arba nepagrįstai nedelsiant, kai Duomenų valdytojas turi pagrindą atisakyti tenkinti Duomenų subjekto prašymą esant įtikinamoms teisėtoms priežastims tvarkyti Asmens duomenis, kurios viršesnės už Duomenų subjekto interesus, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus
Teisės, susijusios su automatiniu sprendimų priėmimu ir profiliavimu Vienas mėnuo

9.3. Nepaisant 9.2 punkto, Duomenų valdytojas siekia užtikrinti, kad Duomenų subjektų prašoma informacija būtų pateikiama per kuo trumpesnį terminą.
9.4. 9.2 punkte nurodyti terminai prireikus gali būti pratęsti dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir skaičių.
9.5. Standartizuotai Duomenų subjektų prašymai dėl susipažinimo su Asmens duomenimis gaunami šiems užpildžius Subjektų prašymų leisti susipažinti su asmens duomenimis formą.
9.6. Duomenų valdytojas negali formaliai remtis minėtos formos nesilaikymu kaip pagrindu atsisakyti priimti Duomenų subjekto prašymą ar vilkinti jo nagrinėjimą.
9.7. Duomenų valdytojas turi informuoti Duomenų subjektus apie jų teises aiškia, glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba.
9.8. Duomenų valdytojas turi teisę motyvuotai atsisakyti leisti Duomenų subjektui įgyvendinti jo teises arba imti pagrįstą mokestį esant BDAR 12 straipsnio 5 dalies (b) punkte numatytoms aplinkybėms.

10. SUTIKIMAS

10.1. Jei tvarkymui nėra kito pagrindo, nustatyto BDAR arba ADTAĮ, iš Duomenų subjekto turi būti gautas laisva valia, aiškiai išreikštas sutikimas tam, kad būtų galima rinkti ir tvarkyti jo Asmens duomenis.
10.2. Tuo atveju, jei Asmens duomenys tvarkomi Duomenų subjekto sutikimo pagrindu, Duomenų valdytojas, prieš gaudamas tokį sutikimą Asmens duomenų tvarkymui, Duomenų subjektui privalo pateikti 6.1 ir 6.4 punktuose nurodytą informaciją. Sutikimas, gautas Duomenų subjektui pirmiausia nepateikus privalomos pateikti informacijos, nėra laikomas tinkamu.
10.3. Duomenų valdytojas turi turėti galimybę įrodyti, kad Duomenų subjektas davė nedviprasmišką (o Specialių kategorijų asmens duomenų tvarkymo atveju – ir aiškiai išreikštą) sutikimą tvarkyti jo Asmens duomenis.
10.4. Duomenų valdytojas turi turėti galimybę įrodyti, kad Duomenų subjekto sutikimas yra paremtas jo tikru ir laisvu pasirinkimu. Tai reiškia, kad sutarties vykdymas, įskaitant paslaugos teikimą, nebus paremtas sąlyga duoti sutikimą Duomenų tvarkymui, kuris nėra reikalingas tos sutarties vykdymui.
10.5. Duomenų valdytojas turi turėti galimybę įrodyti, kad Duomenų subjektas davė sutikimą tvarkyti jo Asmens duomenis vienu ar daugiau konkrečių tikslų.
10.6. Duomenų valdytojo iš anksto suformuluotas Duomenų subjekto sutikimo pareiškimas pateikiamas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba.
10.7. Duomenų valdytojas turi turėti galimybę įrodyti, kad Asmens duomenų tvarkymas yra ribojamas pagal aiškiai išreikštą Duomenų subjekto sutikimą.
10.8. Tuo atveju, jei Duomenų valdytojas negali užtikrinti, kad Duomenų subjekto sutikimas atitiks šioje Politikoje ir/ar BDAR nurodytus reikalavimus, pasirenkamas alternatyvus teisėto Duomenų tvarkymo pagrindas.

11. DUOMENŲ PERDAVIMAS Į TREČIĄSIAS VALSTYBES AR TARPTAUTINĖMS ORGANIZACIJOMS

11.1. Asmens duomenys gali būti perduodami į trečiąją valstybę arba tarptautinei organizacijai, kurios teisinis reglamentavimas Europos Komisijos pripažintas užtikrinančiu adekvatų Asmens duomenų apsaugos lygį. Perdavimas adekvatų Asmens duomenų apsaugos lygi užtikrinančiam subjektui gali vykti be jokio papildomo Europos Komisijos ar valstybių narių leidimo.
11.2. Asmens duomenys į trečiąsias valstybes arba tarptautinėms organizacijoms taip pat gali būti perduodami pritaikius vieną ar daugiau iš žemiau nurodytų tinkamų apsaugos priemonių:
(a) Kompetentingos institucijos patvirtintas įmonėms privalomos taisyklės, jei jos taikomos.
(b) Standartinės sutarčių sąlygos dėl duomenų apsaugos, priimtos Europos Komisijos.
(c) Standartinės sutarčių sąlygos dėl duomenų apsaugos, priimtos Priežiūros institucijos, arba Priežiūros institucijos pripažintos sutarties sąlygos.
(d) Asociacijų ir kitų įstaigų, atstovaujančių įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams, patvirtintas elgesio kodeksas, apibrėžiantis tarptautinį duomenų perdavimą.
(e) Sertifikavimas, apsaugos ženklai ir/arba žymenys, kuriuos galima panaudoti pademonstruoti duomenų tvarkytojo ar valdytojo laikymąsi nustatytų duomenų apsaugos priemonių.
11.3. Nepaisant 11.2 punkto, Duomenų valdytojas gali pasitelkti ir kitas būtinas ir rūpestingumo standartus atitinkančias apsaugos priemones.
11.4. Nesant Duomenų valdytojo priimto sprendimo dėl tinkamumo pagal 1 punktą arba nenustačius tinkamų 11.2 punkte nurodytų apsaugos priemonių, Duomenų valdytojas atlieka Asmens duomenų perdavimą į trečiąją valstybę arba tarptautinei organizacijai arba tokių perdavimų seką atlieka tik su viena iš šių sąlygų:
(a) Duomenų subjektas aiškiai sutiko su siūlomu Asmens duomenų perdavimu po to, kai buvo informuotas apie galimus tokių perdavimų pavojus Duomenų subjektui dėl to, kad nepriimtas sprendimas dėl tinkamumo ir nenustatytos tinkamos apsaugos priemonės;
(b) Asmens duomenų perdavimas yra būtinas Duomenų subjekto ir Duomenų valdytojo sutarčiai vykdyti arba ikisutartinėms priemonėms, kurių imtasi Duomenų subjekto prašymu, įgyvendinti;
(c) Asmens duomenų perdavimas yra būtinas, kad būtų sudaryta arba įvykdyta Duomenų subjekto interesais sudaroma Duomenų valdytojo ir kito fizinio ar juridinio asmens sutartis;
(d) Asmens duomenų perdavimas yra būtinas siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus.
11.5. Aukščiau nurodytos apsaugos priemonės yra detalizuojamos BDAR, ir šios detalizuotos informacijos Duomenų valdytojas privalomai laikosi.

12. ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO IR REAGAVIMO Į TOKIUS PAŽEIDIMUS TVARKA

12.1. Duomenų valdytojas yra parengęs Reagavimo į duomenų saugumo pažeidimus procedūrą ir jos privalomai laikosi.
12.2. Duomenų valdytojo Darbuotojai, turintys prieigos teisę prie Asmens duomenų, pastebėję Asmens duomenų saugumo pažeidimus (asmenų neveikimą ar veiksmus, galinčius sukelti ar sukeliančius grėsmę Asmens duomenų saugumui), turi informuoti Atsakingą darbuotoją ir (ar) savo tiesioginį vadovą.
12.3. Įvertinę Asmens duomenų apsaugos pažeidimo rizikos veiksnius, pažeidimo poveikio laipsnį, žalą ir padarinius, vadovaudamiesi Duomenų valdytojo vadovo įsakymu patvirtinta Reagavimo į duomenų saugumo pažeidimus procedūra, Atsakingi darbuotojai priima sprendimus dėl priemonių, reikiamų Duomenų apsaugos pažeidimui ir jo padariniams pašalinti.

13. ASMENS DUOMENŲ TVARKYMO SUTARTIMS KELIAMI REIKALAVIMAI

13.1. Duomenų valdytojas, sudarydamas duomenų tvarkymo sutartį su Duomenų tvarkytoju, į šią sutartį privalomai įtraukia nuostatas, apimančias šią informaciją:
(a) Asmens duomenų tvarkymo dalykas;
(b) Asmens duomenų tvarkymo trukmė;
(c) Asmens duomenų pobūdis;
(d) Asmens duomenų tvarkymo tikslai;
(e) Asmens duomenų rūšys;
(f) Duomenų subjektų kategorijos;
(g) Šalių teisės ir pareigos, kylančios iš Asmens duomenų apsaugos teisinio reguliavimo;
(h) Duomenų tvarkytojo įsipareigojimas veikti tik pagal rašytinius Duomenų valdytojo nurodymus. Duomenų tvarkytojui paliekama teisė priimti veiklos ir organizacinius sprendimus, būtinus sutartos paslaugos suteikimui tiek, kiek tai nepakeičia Asmens duomenų tvarkymo tikslų;
(i) Duomenų tvarkytojo darbuotojų konfidencialumo įsipareigojimai. Sutartyje turi būti numatyta, kad tvarkytojas užtikrina, jog darbuotojai, tvarkantys Asmens duomenis, yra įsipareigoję užtikrinti konfidencialumą, išskyrus atvejus, kai tokią pareigą jie jau turi pagal teisės aktus;
(j) Asmens duomenų tvarkymo saugumo priemonės. Duomenų tvarkytojas sutartimi turi įsipareigoti užtikrinti saugumo lygį, atitinkantį Asmens duomenų pobūdį ir su jais siejamos grėsmės lygį;
(k) Kitų Duomenų tvarkytojų pasitelkimas. Duomenų tvarkytojas turi būti įpareigotas pasitelkti kitus duomenų tvarkytojus tik gavęs išankstinį Duomenų valdytojo sutikimą ir sudaręs su kitu tvarkytoju rašytinę sutartį, kuriai keliami tokie patys reikalavimai kaip ir sutarčiai, sudaromai su pagrindiniu Duomenų tvarkytoju;
(l) Pagalba įgyvendinant Duomenų subjektų teises;
(m) Pagalba teikiant pranešimus apie Asmens duomenų saugumo pažeidimus. Duomenų tvarkytojas turi įsipareigoti nedelsdamas informuoti Duomenų valdytoją sužinojęs apie bet kokį Asmens duomenų saugumo pažeidimą;
(n) Pagalba atliekant poveikio Asmens duomenų apsaugai vertinimą;
(o) Pagalba konsultuojantis su priežiūros institucija;
(p) Asmens duomenų ištrynimo ir grąžinimo tvarka. Sutartyje būtina numatyti, kas nutinka pas duomenų tvarkytoją esantiems duomenims nutraukus sutartį, nes tvarkytojas juos toliau saugoti gali tik tada, jei tai nustato Europos Sąjungos arba nacionalinė teisė;
(q) Atitikties įrodinėjimo būdas(-ai);
(r) Pagalba Duomenų valdytojui arba kitam Duomenų valdytojo įgaliotam auditoriui atliekant auditą, įskaitant patikrinimus.
13.2. Aukščiau nurodytos nuostatos gali būti tiek įtraukiamos į pagrindinę sutartį, tiek ir aptariamos atskirame susitarime dėl perduodamų Asmens duomenų saugumo.

14. PRITAIKYTOSIOS IR STANDARTIZUOTOSIOS DUOMENŲ APSAUGOS GAIRĖS

14.1. Duomenų valdytojas, tiek nustatydamas Duomenų tvarkymo priemones, tiek paties Duomenų tvarkymo metu, įgyvendina tinkamas technines ir organizacines priemones, skirtas apsaugoti Asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.
14.2. Duomenų valdytojas turi veikti atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei Asmens duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į Asmens duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms.
14.3. Pritaikytoji Asmens duomenų apsauga reiškia, kad kiekviena nauja programa ar sistema naudojanti Asmens duomenis turi būti kuriama atsižvelgiant į tokių Asmens duomenų apsaugą. Į privatumą turi būti atsižvelgiama per visą programos ar sistemos gyvavimo laiką.
14.4. Kaip priemonės, kuriomis turėtų būti vadovaujamasi siekiant pritaikytosios Asmens duomenų apsaugos principo įgyvendinimo, paminėtini:
(a) Surinkto Asmens duomenų kiekio ribojimas;
(b) Kontrolės galimybė;
(c) Skaidrumas;
(d) Vartotojui draugiškų sistemų diegimas;
(e) Asmens duomenų konfidencialumo ir kokybės užtikrinimas;
(f) Pseudonimų suteikimas;
(g) Kuo skubesnis Asmens duomenų anonimizavimas;
(h) Galimybės stebėti Asmens duomenų tvarkymą suteikimas Duomenų subjektams;
(i) Galimybės tobulinti ir įgyvendinti naujas apsaugos priemones užsitikrinimas;
(j) Tinkamas Darbuotojų mokymas;
(k) Auditų ir Politikos peržiūrų vykdymas;
(l) Asmens duomenų naudojimo ribojimas.
14.5. Standartizuotoji Asmens duomenų apsauga kelia reikalavimą taikyti griežčiausius privatumo nustatymus tam tikrai programai ar sistemai kai tik ta programa ar sistema tampa prieinama.
14.6. Kaip priemonių, skirtų standartizuotajai Asmens duomenų apsaugai įgyvendinti, pavyzdžiai paminėtini:
(a) Standartizuotai tvarkomi tik tie Asmens duomenys, kurie yra būtini konkrečiam Duomenų tvarkymo tikslui;
(b) Technologinės priemonės turi būti suprojektuotos taip, kad būtų galima išvengti nereikalingo Asmens duomenų tvarkymo;
(c) Asmens duomenų apsaugai palankūs numatytieji nustatymai;
(d) Funkcijos, kurios nėra būtinos, turi būti konfigūruojamos.
14.7. Šiomis priemonėmis siekiama veiksmingai įgyvendinti Asmens duomenų apsaugos principus, kaip antai Asmens duomenų kiekio mažinimo principą, ir į Asmens duomenų tvarkymą integruoti būtinas apsaugos priemones, kad jis atitiktų BDAR reikalavimus ir apsaugotų Duomenų subjektų teises.
14.8. Šiame skyriuje aprašytų tikslų siekiama, be kitą ko, taikant Poveikio duomenų apsaugai vertinimo procedūrą.

15. TECHNINĖS IR ORGANIZACINĖS ASMENS DUOMENŲ SAUGUMO PRIEMONĖS

15.1. Duomenų valdytojo įgyvendinamos organizacinės ir techninės Asmens duomenų saugumo priemonės užtikrina tokį saugumo lygį, kuris atitinka Duomenų valdytojo valdomų Asmens duomenų pobūdį ir jų tvarkymo keliamą riziką.
15.2. Duomenų valdytojas paskiria asmenį, atsakingą už Asmens duomenų tvarkymo veiklos priežiūrą.
15.3. Duomenų valdytojas paskiria asmenį ar Duomenų tvarkytoją, atsakingą už vaizdo stebėjimo vykdymą.
15.4. Darbuotojai turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su Asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas.
15.5. Popierinės formos Darbuotojų asmens bylos, Kandidatų, Klientų ir kitų asmenų dokumentų rinkiniai, kuriuose yra pakankamai jautraus pobūdžio Asmens duomenų, saugomi rakinamoje patalpoje.
15.6. Užtikrinamas patalpų, kuriose saugomi Asmens duomenys, saugumas (apribojamas neįgaliotų asmenų patekimas į atitinkamas patalpas), jas rakinant, naudojant praėjimo korteles, įrengiant signalizacijos sistemą, vykdant patalpų stebėjimą.
15.7. Prieiga prie Kompiuterinėje įrangoje saugomų skaitmenine forma fiksuotų Asmens duomenų kopijų yra apsaugoma slaptažodžiu.
15.8. Prieiga prie Asmens duomenų bei teisė atlikti Asmens duomenų tvarkymo veiksmus suteikiama tik tiems Atsakingiems darbuotojams, kuriems prieiga prie Asmens duomenų reikalinga pagal užimamas pareigas ir atliekamas darbines funkcijas.
15.9. Siekiant apsaugoti automatiniu būtu tvarkomus Asmens duomenis, naudojamos tokios techninės duomenų saugumo priemonės:
(a) Atsakingi darbuotojai prieigai prie Asmens duomenų naudoja unikalius slaptažodžius, kurie keičiami ir saugomi užtikrinant jų konfidencialumą;
(b) Užtikrinama tvarkomų Asmens duomenų apsauga nuo neteisėto prisijungimo prie vidinio kompiuterinio tinklo elektroninių ryšių priemonėmis;
(c) Užtikrinamas saugių protokolų ir slaptažodžių naudojimas, kai Asmens duomenys perduodami išoriniais Asmens duomenų perdavimo tinklais;
(d) Užtikrinama kompiuterinės įrangos apsauga nuo kenksmingos programinės įrangos (antivirusinių programų įdiegimas, atnaujinimas ir pan.);
(e) Ne rečiau kaip kartą per mėnesį paskirtas Atsakingas darbuotojas ar kitas atsakingas asmuo daro kompiuteriuose esančių Asmens duomenų kopijas.
15.10. Asmens duomenys, esantys išorinėse laikmenose ir elektroniniame pašte ar kitose padidinto pavojaus laikmenose privalo būti tinkamai apsaugoti.
15.11. Asmens duomenų, kaupiamų, sisteminamų ir tvarkomų internetinės debesijos serverių pagalba, apsauga garantuojama prieigą prie šių internetinės debesijos serverių apsaugant slaptažodžiais, taip pat pasitelkiant saugius protokolus.
15.12. Duomenų valdytojas taip pat imasi visų techninių ir organizacinių priemonių, siekdamas užtikrinti, kad Darbuotojo prisijungimo prie internetinės debesijos serverių metu tvarkomi Asmens duomenys būtų apsaugoti nuo neteisėto trečiųjų asmenų įsikišimo. Tokių priemonių pavyzdžiais galėtų būti virtualaus privataus tinklo (VPN) naudojimas jungiantis prie internetinės debesijos serverių nesaugių tinklų pagalba.
15.13. Duomenų valdytojas siekia įgyvendinti tinkamas technines ir organizacines priemones, kuriomis užtikrintų, kad standartizuotai būtų tvarkomi tik tie Asmens duomenys, kurie yra būtini kiekvienam konkrečiam Duomenų tvarkymo tikslui. Ši prievolė taikoma surinktų Asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su Asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.
15.14. Duomenų valdytojas imasi reikiamų atsargumo priemonių išsaugoti Duomenų subjektų Asmens duomenų vientisumą ir neleisti, kad šie Asmens duomenys būtų sugadinti ar prarasti, įskaitant rūpinimąsi reikiamu Asmens duomenų atstatymu.

16. DARBUOTOJŲ MOKYMAS

16.1. Duomenų valdytojas esant poreikiui vykdo tinkamus mokymus Darbuotojams, turintiems teisę nuolat ar reguliariai susipažinti su Asmens duomenimis.
16.2. Mokymai turėtų atitikti Darbuotojų veiklos realijas.
16.3. Mokymų turinys turi padėti Darbuotojams vykdyti savo darbines pareigas laikantis BDAR ir kituose Asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų. Kiek to reikalauja BDAR, kitų teisės aktų ir šios Politikos tikslai ir paskirtis, Darbuotojai turi dėti visas įmanomas pastangas, kad Duomenų valdytas galėtų tinkamai įgyvendinti iš BDAR ir kitų Asmens duomenų apsaugą reglamentuojančių teisės aktų kylančius įpareigojimus.
16.4. Mokymai yra dokumentuojami, nurodant, be kita ko, jų datą, temą, dalyvavusius darbuotojus ir paskesnio tyrimo rezultatus (jei šis buvo atliekamas).

17. KOMPIUTERINĖS ĮRANGOS NAUDOJIMAS

17.1. Kompiuterinė įranga gali būti bendrai naudojama visų Duomenų valdytojo Darbuotojų, jų grupės arba priskirta konkrečiam Darbuotojui. Kompiuterine įranga, įprastai naudojama konkretaus Darbuotojo, gali pasinaudoti ir kiti Duomenų valdytojo Darbuotojai, jei susiklosčiusios aplinkybės sudaro būtinybę naudotis šia Kompiuterine įranga darbo funkcijų atlikimui.
17.2. Darbuotojui draudžiama ardyti, išmontuoti ar kitaip keisti kompiuterinę įrangą. Darbuotojui taip pat draudžiama į Kompiuterinę įrangą siųstis, įdiegti programinę įrangą, atidaryti nepaisant draudimo atsisiųstas ir/ar įdiegtas programas.
17.3. Griežtai draudžiama Kompiuterinę įrangą naudoti bet kokiais tikslais, nesusijusiais su tiesioginiu darbo funkcijų vykdymu, tiek darbo metu, tiek po darbo (įskaitant, bet neapsiribojant asmeninės informacijos, kitų failų, nesusijusių su darbo funkcijomis (muzikos, žaidimų, vaizdo įrašų, paveikslėlių ir kt.) saugojimu kompiuteryje). Kompiuterinė įranga, tame tarpe Darbuotojui suteikta elektroninio pašto dėžutė, gali būti naudojama tik darbo funkcijų vykdymo tikslais.
17.4. Darbuotojui draudžiama suteiktu elektroniniu paštu bei kitomis elektroninės komunikacijos priemonėmis naudotis asmeninėms reikmėms, t. y. į suteiktą elektroninio pašto adresą Darbuotojas negali gauti su darbo funkcijomis nesusijusių ir/arba asmeninių laiškų bei failų. Taip pat Darbuotojui draudžiama iš suteikto elektroninio pašto adreso siųsti su darbo funkcijomis nesusijusią ir (arba) asmeninę bei privačią informaciją, ar kitokią informaciją, susijusią su Darbuotojo šeimos nariais ar kitais giminaičiais, jeigu tai nesusiję su tinkamu darbo funkcijų atlikimu.
17.5. Darbuotojams draudžiama naudotis Kompiuterine įranga sukčiavimo, su darbo funkcijomis nesusijusios reklamos ir asmeninės finansinės naudos tikslais, žiūrėti, kaupti, platinti, atsisiųsti nelegalius įrašus, programas ir informaciją, naudotis dokumentų mainų programomis, parsisiųsti ar žaisti kompiuterinius žaidimus, naudotis bendravimo internetu ar socialinių tinklų programomis ar tinklapiais.
17.6. Jeigu elektroninės pašto dėžutės (elektroninio laiško arba laiško prisegtuko) turinys Darbuotojui yra neaiškus, nesuprantamas arba neatsidaro, Darbuotojas privalo nedelsiant kreiptis į Atsakingą asmenį bei nurodyti, kas neaišku, nesuprantama ar neatsidaro. Darbuotojas neturi teisės darbo metu ar po darbo, naudodamasis Kompiuterine įranga, tikrinti savo asmeninio elektroninio pašto ar kitų elektroninės komunikacijos programų, priemonių.
17.7. Darbuotojas privalo naudoti Kompiuterinę įrangą atsižvelgdamas į asmens atsakingo už kompiuterių priežiūrą ir/ar Duomenų valdytojo Kompiuterinę įrangą aptarnaujančio paslaugų teikėjo atstovo rekomendacijas bei nurodymus. Apie gedimus ar trikdžius, kurie buvo patirti naudojant Kompiuterinę įrangą, nedelsiant turi būti pranešama.
17.8. Duomenų valdytojui pareikalavus arba kai darbo sutartis yra nutraukiama (pastaruoju atveju ne vėliau kaip darbo sutarties nutraukimo dieną), Darbuotojas privalo nedelsdamas grąžinti Duomenų valdytojui visą Kompiuterinę įrangą. Įranga ją grąžinant privalo būti geros būklės (atsižvelgiant į normalų nusidėvėjimą), įskaitant ir nematerialų turtą (tame tarpe ir informaciją, susijusią su Kompiuterine įranga arba joje esančią).
17.9. Naudojantis Kompiuterine įranga Darbuotojams griežtai draudžiama skleisti Duomenų valdytojo konfidencialią informaciją ar komercinę paslaptį internete (elektroniniuose puslapiuose, elektroniniu paštu) ar perduoti tokią informaciją tretiesiems asmenimis, kurie neturi teisės susipažinti su tokia informacija. Bet kokie iš aukščiau nurodytų veiksmų, taip pat tokios informacijos persiuntimas į savo asmeninį elektroninį paštą, tokios informacijos nusikopijavimas asmeninėms reikmėms ar kitoks platinimas neturint Duomenų valdytojo leidimo, laikomas šiurkščiu darbo pareigų pažeidimu.
17.10. Nustačius konfidencialios informacijos ar komercinės paslapties atskleidimo faktą ar kitus darbo santykių pažeidimus, Duomenų valdytojas teisėto intereso pagrindu gali tvarkyti Darbuotojo Asmens duomenis tokia apimtimi, kokia yra būtina pažeidimui nustatyti, likviduoti pažeidimo padarinius ar sustabdyti tęstinio pažeidimo vykdymą.
17.11. Už kompiuterinės įrangos būklės kontrolę atsakingas Duomenų valdytojo vadovo paskirtas asmuo. Nuomojamos kompiuterinės įrangos priežiūros ir remonto organizavimo tvarka nustatoma šios įrangos nuomos sutartyse.
17.12. Už Kompiuterinės įrangos kasdienę priežiūrą atsakingas šią įrangą naudojantis Darbuotojas.
17.13. Kompiuterinės įrangos gedimai šalinami iš karto juos pastebėjus. Darbuotojams, neturintiems reikiamo parengimo, draudžiama bandyti savarankiškai šalinti kompiuterinės įrangos gedimus. Jie turi nedelsiant pranešti apie gedimą/trikdžius Kompiuterinės įrangos priežiūrą atliekančiam asmeniui.
17.14. Kompiuterinės įrangos draudimą ir apžiūrą organizuoja Duomenų valdytojo paskirtas asmuo.
17.15. Apžiūros metu paskirstas asmuo patikrina kompiuterinės įrangos bei būtinos programinės įrangos veikimą.
17.16. Darbuotojai turi būti supažindinti su informacinių ir komunikacinių technologijų naudojimo tvarka.

18. ATSAKOMYBĖ

18.1. Darbuotojams, kurie pažeidžia BDAR, VDAĮ ar kitus teisės aktus, reglamentuojančius Asmens duomenų tvarkymą bei apsaugą, arba Politikoje nurodytas pareigas, taikoma Lietuvos Respublikos teisės aktų nustatyta atsakomybė.

19. BAIGIAMOSIOS NUOSTATOS

19.1. Politika peržiūrima ir gali būti keičiama Duomenų valdytojo iniciatyva ir (arba) keičiantis teisės aktams, reguliuojantiems Asmens duomenų tvarkymą.
19.2. Politika ir jos pakeitimai įsigalioja nuo jų patvirtinimo dienos. Darbuotojai su Politika ir jos pakeitimais supažindinami pasirašytinai.