ASMENS DUOMENŲ APSAUGOS POLITIKA
I. BENDROJI INFORMACIJA
| Versija: | V1
| Versijos data: | 2023 08 31
| Politikos patvirtinimo data: | 2023 08 31
| Politikos įgyendinimo data | 2023 09 14
II. TIKSLAI, TAIKYMO SRITIS IR NAUDOTOJAI
3.1. UAB "Pickvibe" (juridinio asmens kodas 303144763, registruotos buveinės adresas Lazdynų g. 21, Vilnius) (toliau – Bendrovė) siekia laikytis visų galiojančių įstatymų ir kitų teisės aktų, susijusių su asmens duomenų apsauga toje valstybėje, kurioje veikia Bendrovė. Ši politika nustato pagrindinius tikslus ir principus, kuriais Bendrovė tvarko fizinių asmenų asmens duomenis, reglamentuoja šių asmenų asmens duomenų rinkimą ir naudojimą, šių asmenų, kaip duomenų subjektų, teisių įgyvendinimo tvarką Bendrovėje, saugumo užtikrinimo priemones, taip pat nurodo atsakomybę tvarkant asmens duomenis.
3.2. Ši politika taikoma kartu su kitomis politikomis, taisyklėmis, procedūromis ir (arba) gairėmis, kurias priima arba įdiegia Bendrovė bei tarptautiniais ir (ar) nacionaliniais teisės aktais.
3.3. Šios politikos naudotojai yra visi Bendrovės nuolatiniai ar laikini darbuotojai ir visi asmenys, veikiantys Bendrovės vardu, kurie gali turėti prieigą prie Bendrovėje tvarkomų asmens duomenų. Bendrovė turi pareigą minėtus asmenis pasirašytinai supažindinti su šia politika ar jos pakeitimais, kartu pateikiant jos kopiją, o minėti asmenys – jos laikytis.
3.4. Tuo atveju, jeigu kuriam nors iš šios politikos naudotojų yra neaiškios ar nesuprantamos šios politikos nuostatos ar viena iš jų, toks asmuo turėtų siekti pašalinti neaiškumus ir nedelsdamas kreiptis į Bendrovės vadovą ir (ar) jo įgaliotą asmenį duomenų apsaugos klausimais ir (ar) Bendrovėje paskirtą duomenų apsaugos pareigūną Evaldą Aleksaitį, el.paštas:
[email protected].
III. SUSIJĘ DOKUMENTAI
4.1. Ši politika parengta vadovaujantis:
4.1.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Reglamentas (ES) 2016/679);
4.1.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau – ADTAĮ);
4.1.3. kitais teisės aktais, reglamentuojančiais saugų asmens duomenų tvarkymą ir jų tvarkymo teisėtumą.
IV. APIBRĖŽTYS
5.1. Toliau šioje politikoje pateikiami vartojamų sąvokų apibrėžimai, kurie suprantami taip, kaip apibrėžta Reglamente (ES) 2016/679 ir ADTAĮ:
5.1.1. Asmens duomenys
– bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (Duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
5.1.2. Asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga.
5.1.3. Duomenų tvarkytojas
– fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis.
5.1.4. Duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones. Šios politikos taikymo atžvilgiu – Bendrovė.
5.1.5. Neskelbtini asmens duomenys
– asmens duomenys, kurie pagal savo pobūdį yra ypač neskelbtini pagrindinių teisių ir laisvių atžvilgiu, kuriems turi būti užtikrinta ypatinga apsauga, kadangi atsižvelgiant į jų tvarkymo kontekstą galėtų kilti didelis pavojus pagrindinėms teisėms ir laisvėms. Tie asmens duomenys turėtų apimti asmens duomenis, kuriais atskleidžiama rasinė ar etninė kilmė, politinės pažiūros, religija ar filosofiniai įsitikinimai, ar priklausymas profesinėms sąjungoms, genetiniai duomenys, biometriniai duomenys pagal kuriuos galima konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys ar duomenys apie lytinį gyvenimą ar seksualinę orientaciją.
5.1.6. Priežiūros institucija – yra valstybės narės, kurioje yra Bendrovės pagrindinė buveinė, priežiūros institucija. Lietuvos Respublikos atveju tokia institucija yra Lietuvos Respublikos Valstybinė duomenų apsaugos inspekcija, juridinio asmens kodas 188607912, registruotos buveinės adresas A. Juozapavičiaus g. 6, Vilnius, internetinis tinklalapis
www.ada.lt.
5.1.7. Sveikatos duomenys
– asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę
. 5.1.8. Trečioji šalis – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis.
5.2. Kitos šioje politikoje vartojamos sąvokos, nenurodytos 5.1 punkte, suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679 ir ADTAĮ.
V. PAGRINDINIAI ASMENS DUOMENŲ TVARKYMO PRINCIPAI
6.1. Bendrovė, tvarkydama fizinių asmenų asmens duomenis, vadovaujasi žemiau nurodomais su asmens duomenų tvarkymu susijusiais principais.
TEISĖTUMO, SĄŽININGUMO IR SKAIDRUMO PRINCIPAS
6.2. Asmens duomenys duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu, kuris reiškia tai, kad asmens duomenys yra Bendrovėje tvarkomi turint teisinį pagrindą, nepažeidžiant įstatymų, teisės aktų, kitų teisiškai privalomų pareigų ar apribojimų.
6.3. Asmens duomenis duomenų subjekto atžvilgiu Bendrovė tvarko tik teisėtiems ir šioje politikoje apibrėžtiems tikslams pasiekti.
6.4. Bendrovė tvarko neskelbtinų asmens duomenis, tik kai toks duomenų tvarkymas yra suderinamas, teisėtas ir reikalaujamas ar leidžiamas taikytinos teisės, dėl ko, tokiu atveju, duomenys gali būti tvarkomi pagal taikytinos teisės nuostatas.
6.5. Bendrovė informuoja duomenų subjektus apie su asmens duomenų tvarkymu susijusias taisykles, apsaugos priemones bei teises ir apie tai, kaip naudotis savo teisėmis tokio asmens duomenų tvarkymo srityje.
TIKSLŲ APRIBOJIMAI
6.6. Bendrovė asmens duomenis renka nustatytais, aiškiai apibrėžtais bei teisėtais šioje politikoje apibrėžtais tikslais. Asmens duomenys toliau netvarkomi su tais tikslais nesuderinamu būdu.
6.7. Siekdama tvarkyti asmens duomenis kitu, šioje politikoje nenurodytu, tikslu, Bendrovė duomenų subjektui pateiks informaciją apie tikslą ir su tuo susijusią papildomą informaciją.
DUOMENŲ KIEKIO MAŽINIMO PRINCIPAS
6.8. Bendrovės tvarkomi asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi. Bendrovė apsiriboja tik tais duomenimis, kurie būtini duomenų tvarkymo tikslams, įtvirtintiems šioje politikoje, pasiekti ir netvarko asmens duomenų, kurie nėra reikalingi šiems tikslams pasiekti.
TIKSLUMO PRINCIPAS
6.9. Bendrovė asmens duomenis tvarko taip, kad asmens duomenys būtų tikslūs, ir esant jų pasikeitimui nuolat atnaujinami. Bendrovė imasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, įtvirtintus šioje politikoje, būtų nedelsiant ištrinami arba ištaisomi.
SAUGOJIMO TRUKMĖS APRIBOJIMO PRINCIPAS
6.10. Bendrovė asmens duomenis saugo tokia forma, kad asmens tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie asmens duomenys buvo surinkti ir tvarkomi. Jei duomenų saugojimo laikotarpis teisės aktuose nenustatytas, asmens duomenys saugomi pagrįstą jų saugojimo laikotarpį arba nustatant jų periodinės peržiūros terminą.
VIENTISUMO IR KONFIDENCIALUMO PRINCIPAS
6.11. Bendrovė asmens duomenis tvarko tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo.
ATSKAITOMYBĖS PRINCIPAS
6.12. Bendrovė atsako, kad būtų laikomasi šioje politikoje ir pagal taikytiną teisę reikalaujamų su asmens duomenų tvarkymu susijusių principų ir, kad gebės tą įrodyti jei to reikalaujama pagal taikytiną teisę kompetentingoms institucijoms ir (ar) duomenų subjektams.
VI. ASMENS DUOMENŲ APSAUGOS ĮGYVENINIMAS BENDROVĖJE
7.1. Kad būtų laikomasi šioje politikoje ir pagal taikytiną teisę reikalaujamų su asmens duomenų tvarkymu susijusių principų, asmens duomenų apsauga Bendrovėje įgyvendinama šiame skyriuje žemiau nurodomomis priemonėmis.
7.2. Bendrovėje tvarkomų asmens duomenų tvarkymo tikslus nustato Bendrovės vadovas.
7.3. Bendrovėje fizinių asmenų asmens duomenis tvarko Bendrovės vadovas ir (arba) jo įgalioti asmenys. Su Bendrovėje tvarkomais fizinių asmenų asmens duomenimis turi teisę susipažinti tie asmenys, kuriems jie yra būtini pareigų (funkcijų) vykdymui, ir tik tuomet, kai tai yra būtina atitinkamiems tikslams pasiekti.
VII.1. Atskirų kategorijų Asmens duomenų tvarkymas Bendrovėje DARBUOTOJŲ IR PRETENDENTŲ DIRBTI ASMENS DUOMENŲ TVARKYMAS 7.4. Bendrovės samdomų pagal sutartis (darbo/savanoriškos praktikos) darbuotojų (nuolatinių ir laikinų), įskaitant buvusius darbuotojus (toliau – Darbuotojas), bei siekiančių įsidarbinti Bendrovėje asmenų (toliau – Pretendentas dirbti) asmens duomenų tvarkymas Bendrovėje atskirai detalizuotas darbuotojų ir pretendentų dirbti asmens duomenų apsaugos politikoje, kuri yra šios politikos
priedas Nr. 1, ir kurioje Bendrovė reglamentuoja šių asmenų asmens duomenų tvarkymą, šių asmenų, kaip duomenų subjektų, teisių įgyvendinimo tvarką Bendrovėje, saugumo užtikrinimo priemones bei kitus klausimus, susijusius su asmens duomenų tvarkymu ir tvarkymo teisėtumu. Šios politikos nuostatos Bendrovės Darbuotojams ir Pretendentams dirbti taikomos tiek, kiek tokių klausimų nereglamentuoja darbuotojų ir pretendentų dirbti asmens duomenų apsaugos politika.
VERSLO PARTNERIŲ ARBA POTENCIALIŲ VERSLO PARTNERIŲ DARBUOTOJŲ AR ATSTOVŲ ASMENS DUOMENŲ TVARKYMAS 7.5. Verslo partnerių arba potencialių verslo partnerių darbuotojų ar atstovų asmens duomenis Bendrovė tvarko šiais tikslais:
7.5.1. sutarčių sudarymo ir tinkamo vykdymo tikslu;
7.5.2. atsiskaitymo bei kitų mokėjimų įforminimo ir apskaitos taisyklių laikymosi tikslu;
7.5.3. Bendrovės teisėtų interesų gynimo tikslu.
7.6. Bendrovė, priklausomai nuo asmens duomenų tvarkymo tikslų, tvarko verslo partnerių arba potencialių verslo partnerių darbuotojų ar atstovų šiuos asmens duomenis: vardas, pavardė, asmens kodas, gimimo data, pilietybė, gyvenamoji vieta (adresas), kontaktinis telefono numeris, elektroninio pašto adresas, asmens tapatybės dokumento duomenys, parašas, kiti asmens duomenys, jeigu tokius duomenis tvarkyti Bendrovę įpareigoja teisės aktai, ir tik tokia apimtimi, kokia privaloma pagal teisės aktų reikalavimus.
7.7. Bendrovės verslo partnerių arba potencialių verslo partnerių darbuotojų ar atstovų asmens duomenų tvarkymo teisinis pagrindas:
7.7.1. sutarties įvykdymas, kurios šalis yra duomenų subjektas, arba siekimas imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį (ikisutartiniai santykiai);
7.7.2. duomenų subjekto sutikimas arba tvarkomi asmens duomenys, kuriuos duomenų subjektas yra paskelbęs viešai;
7.7.3. siekimas pareikšti, vykdyti arba apginti teisinius reikalavimus;
7.7.4. Bendrovės ar trečiosios šalies teisėti interesai.
BENDROVĖS DALYVIŲ IR VALDYMO ORGANŲ NARIŲ ASMENS DUOMENŲ TVARKYMAS 7.8. Bendrovė savo dalyvių ir valdymo organų narių asmens duomenis Bendrovė tvarko šiais tikslais:
7.8.1. Bendrovės dalyvių ir (ar) valdymo organų pareigų, nustatytų teisės aktuose, tinkamo vykdymo (įgyvendinimo) tikslu;
7.8.2. Bendrovės veiklos tikslu;
7.8.3. atsiskaitymo bei kitų mokėjimų įforminimo ir apskaitos taisyklių laikymosi tikslu;
7.8.4. sutarčių ir (ar) kitų Bendrovės dalyvių ir (ar) valdymo organų priimtų dokumentų tinkamo vykdymo tikslu;
7.8.5. Bendrovės teisėtų interesų gynimo tikslu.
7.9. Bendrovė, priklausomai nuo asmens duomenų tvarkymo tikslų, tvarko savo dalyvių ir valdymo organų narių šiuos asmens duomenis: vardas, pavardė, asmens kodas, gimimo data, pilietybė, gyvenamoji vieta (adresas), kontaktinis telefono numeris, elektroninio pašto adresas, asmens tapatybės dokumento duomenys, parašas, kiti asmens duomenys, jeigu tokius duomenis tvarkyti Bendrovę įpareigoja teisės aktai, ir tik tokia apimtimi, kokia privaloma pagal teisės aktų reikalavimus.
7.10. Bendrovės dalyvių ir valdymo organų narių asmens duomenų tvarkymo teisinis pagrindas:
7.10.1. Bendrovei taikoma teisinė prievolė;
7.10.2. sutarties įvykdymas, kurios šalis yra duomenų subjektas;
7.10.3. Bendrovės ar trečiosios šalies teisėti interesai.
BENDROVĖS KLIENTŲ (VYSTOMŲ PRODUKTŲ NAUDOTOJŲ) ASMENS DUOMENŲ TVARKYMAS 7.11. Bendrovės klientų, kurie naudojasi Bendrovės teikiamomis paslaugomis, o būtent, Bendrovės vystomais MobyTime ir pickVibe produktais, kurie sujungti į bendrą sprendimą „Pickvibe” platformoje, kurios internetinė svetainė
www.pickvibe.lt , asmens duomenų tvarkymas atskirai detalizuotas šios internetinės svetainės asmens duomenų apsaugos politikoje, ir kurioje pateikiama visa aktuali informacija, susijusi su Bendrovės klientų asmens duomenų tvarkymu ir apsauga, ir kurią Bendrovė tvarko „Pickvibe” platformoje teikiamiems produktams ir funkcijoms palaikyti, taip pat informacija, kaip klientai, kaip duomenų subjektai, gali įgyvendinti savo teises, susijusias su jų tvarkomais asmens duomenimis. Šios politikos nuostatos Bendrovės klientams (vystomų produktų naudotojų) taikomos tiek, kiek tokių klausimų nereglamentuoja internetinės svetainės asmens duomenų apsaugos politika.
VII. 2. DUOMENŲ SUBJEKTŲ TEISĖS IR JŲ ĮGYVENDINIMO BENDROVĖJE TVARKA 7.12. Asmenys, kurių asmens duomenis Bendrovė tvarko, vadovaujantis Reglamentu (ES) 2016/679 (12-18, 20-22 straipsniai), turi šias teises:
7.12.1. žinoti (būti informuotam) apie savo asmens duomenų tvarkymą Bendrovėje;
7.12.2. susipažinti su savo asmens duomenimis, tvarkomais Bendrovėje, ir tuo, kaip jie yra tvarkomi;
7.12.3. reikalauti ištaisyti arba, atsižvelgiant į asmens duomenų tvarkymo tikslus Bendrovėje, papildyti su asmeniu susijusius neišsamius asmens duomenis;
7.12.4. reikalauti ištrinti su asmeniu susijusius asmens duomenis;
7.12.5. reikalauti, kad Bendrovė apribotų asmens duomenų tvarkymą;
7.12.6. gauti su asmeniu susijusius asmens duomenis, kuriuos jis pateikė Bendrovei susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir (ar) juos persiųsti kitam duomenų valdytojui;
7.12.7. nesutikti su asmeniu susijusių asmens duomenų tvarkymu, kai toks duomenų tvarkymas vykdomas viešo intereso labui arba tvarkyti duomenis būtina siekiant teisėtų Bendrovės arba trečiosios šalies interesų, kai asmens interesai nėra svarbesni;
7.12.8. jei taikoma, reikalauti, kad asmens atžvilgiu nebūtų taikomas tik automatizuotu asmens duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, ir toks sprendimas būtų peržiūrėtas;
7.12.9. pateikti skundą Priežiūros institucijai.
7.13. Asmenų, kaip duomenų subjektų, teisių įgyvendinimo eiga ir tvarka Bendrovėje yra atskirai detalizuota ir pateikta duomenų subjektų teisių įgyvendinimo taisyklėse, kurios pridedamos prie šios politikos kaip
priedas Nr. 2. VII.3. ASMENS DUOMENŲ SAUGUMO UŽTIKRINIMO PRIEMONĖS BENDROVĖJE 7.14. Bendrovė, tvarkydama asmens duomenis, įgyvendina ir užtikrina tinkamas organizacines ir technines priemones, skirtas apsaugoti fizinių asmenų, kurių asmens duomenis Bendrovė tvarko, asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.
7.15. Viena iš tokių priemonių yra informacijos, kurioje yra asmens duomenų, konfidencialumo lygių Bendrovėje nustatymas atskiru dokumentu – informacijos klasifikavimo taisyklėmis, kurios pridedamos prie šios politikos kaip
priedas Nr. 3, tam, jog būtų išlaikytas Bendrovėje tvarkomų asmens duomenų vientisumas, prieinamumas, konfidencialumas ir tinkamas naudojimas
7.16. Bendrovėje su duomenų subjektų asmens duomenimis turi teisę susipažinti tik tie asmenys, kurie buvo Bendrovės įgalioti susipažinti su tokiais duomenimis, ir tik tuomet, kai tai yra būtina šioje politikoje numatytiems tikslams pasiekti. Prieigos prie automatiniu būdu tvarkomų asmens duomenų suteikiamos tik įgaliotiems tvarkyti asmens duomenis Bendrovės darbuotojams ar kitiems atsakingiems asmenims.
7.17. Darbuotojai ar kiti atsakingi asmenys, kuriems yra suteikta teisė tvarkyti duomenų subjektų asmens duomenis, laikosi konfidencialumo principo ir laiko paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti asmens duomenų paslaptį galioja taip pat ir perėjus dirbti į kitas pareigas, pasibaigus darbo ar sutartiniams santykiams.
7.18. Bendrovės darbuotojai ar kiti atsakingi asmenys, kuriems yra suteikta teisė tvarkyti duomenų subjektų asmens duomenis, turi užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugodami dokumentus tinkamai ir saugiai, bei vengiant nereikalingų kopijų darymo. Dokumentų kopijos, kuriose nurodomi asmens duomenys, turi būti sunaikinamos tokiu būdu, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio.
7.19. Jei Bendrovės darbuotojas ar kitas atsakingas asmuo, kuris automatiniu būdu tvarko asmens duomenis, abejoja įdiegtų saugumo priemonių patikimumu, jis turi kreiptis į Bendrovės vadovą, kad būtų įvertintos turimos saugumo priemonės ir, jei reikia, inicijuotas papildomų priemonių įsigijimas ir įdiegimas.
7.20. Bendrovės darbuotojai ar kiti atsakingi asmenys, kurie automatiniu būdu tvarko asmens duomenis arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis, kuriose yra saugomi asmens duomenys, naudoja pagal atitinkamas taisykles sukurtus slaptažodžius. Darbuotojas, dirbantis konkrečiu kompiuteriu, gali žinoti tik savo slaptažodį. Slaptažodžiai yra keičiami periodiškai, taip pat susidarius tam tikroms aplinkybėms (pvz.: pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims, ir pan.).
7.21. Bendrovė reaguodama į bet kokius (įskaitant ir galimus) asmens duomenų saugumo pažeidimus, vadovaujasi Bendrovės asmens duomenų incidentų valdymo taisyklėmis, kuriose detaliai aptartos Bendrovės pareigos, susijusios nustačius, kad galimai ir (ar) buvo padarytas asmens duomenų saugumo pažeidimas, taip pat asmens duomenų saugumo pažeidimo pobūdžio įvertinimo tvarka, pranešimų apie asmens duomenų saugumo pažeidimus formos ir jų pateikimo tvarka bei aptarti kiti su asmens duomenų saugumo pažeidimu susiję klausimai, kurios pridedamos prie šios politikos kaip
priedas Nr. 4.
VII.4. PRANEŠIMAS DUOMENŲ SUBJEKTAMS 7.22. Bendrovė privatumo pareiškimu informuoja duomenų subjektus tais atvejais, jei Bendrovė savo tinklalapyje ar kitomis interneto priemonėmis tvarko asmens duomenis. Bendrovė užtikrina, kad toks pranešimas duomenų subjektams dėl duomenų, susijusių su tų asmens duomenų tvarkymu, būtų lengvai prieinamas ir nuolat matomas, kompiuteriu skaitomas, sudarant galimybę jį tiesiogiai pasiekti, taip pat suprantamas, pateikiamas aiškia ir paprasta kalba.
7.23. Bendrovė pagrindines asmens duomenų tvarkymo taisykles ir sąlygas, kurių privalo laikytis visi interneto svetainės
www.pickvibe.lt lankytojai apibrėžia šios internetinės svetainės asmens duomenų apsaugos politikoje.
VII.5. DUOMENŲ SUBJEKTO LAISVA VALIA IR SUTIKIMAS 7.24. Bendrovė remiasi duomenų subjekto sutikimu, kaip teisiniu pagrindu tvarkyti asmens duomenis, tik įsitikinusi, kad jis atitinka Reglamento (ES) 2016/679 numatytas sąlygas. Sutikimas pateikiami laisva valia, raštu, įskaitant elektronines priemones, ir laikantis taikytinos teisės reikalavimų.
7.25. Bendrovė tvarko neskelbtinus asmens duomenis tik kai duomenų subjektas su tuo aiškiai sutinka, nebent egzistuoja tokių duomenų tvarkymo išimtys pagal taikytinos teisės nuostatas.
7.26. Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą.
VII.6. ASMENS DUOMENŲ SAUGOJIMAS IR SAUGOJIMO TERMINAI 7.27. Bendrovė užtikrina patalpų, kuriose laikomi asmens duomenys, saugumą, tinkamą techninės įrangos išdėstymą ir peržiūrą, tinkamą tinklo valdymą, informacinių sistemų priežiūrą bei kitų techninių ir (ar) organizacinių priemonių, būtinų asmens duomenų apsaugai užtikrinti, įgyvendinimą.
7.28. Bendrovė asmens duomenis saugo tokia forma, kad asmens tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie asmens duomenys buvo surinkti ir tvarkomi. Jei duomenų saugojimo laikotarpis teisės aktuose nenustatytas, asmens duomenys saugomi pagrįstą jų saugojimo laikotarpį arba nustatant jų periodinės peržiūros terminą.
7.29. Bendrovėje tvarkomų asmens duomenų saugojimo terminai ir pagrindiniai su saugojimu susiję reikalavimai yra detalizuoti Bendrovės asmens duomenų saugojimo taisyklėse, kurios pridedamos prie šios politikos kaip
priedas Nr. 5. Bendrovė, Bendrovėje tvarkomų asmens duomenų saugojimo terminus, kiek jie nedetalizuoti Bendrovės asmens duomenų saugojimo taisyklėse, gali nurodyti ir kituose dokumentuose, kaip pavyzdžiui, Bendrovės internetinėje svetainėje ar Bendrovės vystomo produkto internetinėje svetainėje paskelbtame privatumo pareiškime.
VII. DUOMENŲ TVARKYTOJAI
8.1. Bendrovės vadovas asmens duomenų tvarkymui vykdyti pagal šią politiką gali pasitelkti duomenų tvarkytojus, kaip pavyzdžiui, informacinių technologijų ir elektroninių ryšių paslaugų teikėjus, patarėjus, auditorius, konsultantus, saugos tarnybas ir kitus asmenis, kurie Bendrovės tvarkomus asmens duomenis tvarkytų šioje politikoje nustatytais tikslais ir pagal Bendrovės nurodymus, laikantis visiško asmens duomenų tvarkymo konfidencialumo.
8.2. Prieš pasitelkiant duomenų tvarkytoją turi būti įvertintas jo patikimumas. Patikimais laikomi tokie duomenų tvarkytojai, kurie garantuoja, jog turi pakankamai ekspertinių žinių, išteklių, patikimumo tam, kad galėtų užtikrinti asmens duomenų tvarkymo saugumą.
8.3. Su duomenų tvarkytojais Bendrovė sudaro rašytines sutartis, kuriose numatoma, kad duomenų tvarkytojai asmens duomenis tvarko tik pagal Bendrovės nurodymus ir laikantis konfidencialumo įsipareigojimų. Šiose sutartyse taip pat turi būti nurodytas Bendrovės duomenų apsaugai taikomas saugumo lygis ir (ar) reikalavimai, jeigu Bendrovėje tokie taikytini. Sutartyje privalo būti nurodyta tvarka, kuria remiantis Bendrovės atstovui suteikiami įgaliojimai patikrinti kaip duomenų tvarkytojas laikosi įsipareigojimų, taip pat, numatyta duomenų tvarkytojo atsakomybė už sutarties ir (ar) asmens duomenų tvarkymo pažeidimus.
8.4. Bendrovės pasitelkiami ir įgalioti duomenų tvarkytojai, jeigu tokių būtų, nurodomi Bendrovės asmens duomenų tvarkymo veiklos įrašų registre. Sudarius kiekvieną naują sutartį su duomenų tvarkytoju, duomenų tvarkytojų sąrašas Bendrovės vadovo iniciatyva turi būti papildomas naujo duomenų tvarkytojo duomenims. Nutraukus sutartį su duomenų tvarkytoju, Bendrovės vadovo iniciatyva yra padaromi reikiami pokyčiai minėtuose duomenų tvarkymo veiklos įrašuose.
8.5. Apie visus duomenų tvarkytojų sąrašo pakeitimus Bendrovės vadovas informuoja susijusius Bendrovės darbuotojus Bendrovėje įprastais būdais ne vėliau kaip per 3 (tris) darbo dienas nuo duomenų tvarkytojų sąrašo pakeitimo.
VIII. DUOMENŲ GAVĖJAI
IX.1. TREČIOSIOS ŠALYS
9.1. Asmens duomenys renkami, tvarkomi ir teikiami valstybinėms institucijoms ir (ar) kitiems asmenims remiantis Lietuvos Respublikos įstatymais ir teisės aktais bei gavus pagrįstą raštišką prašymą ir tik esant tokių duomenų teikimo teisiniam pagrindui ir (arba) duomenų subjekto sutikimui. Duomenų subjektų asmens duomenys gali būti perduodami tretiesiems asmenims tik Lietuvos Respublikos įstatymuose ir kituose teisės aktuose numatytais atvejais ir tvarka.
9.1.1. nuolat – Bendrovės darbuotojų asmens duomenys: Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos, Valstybinei mokesčių inspekcijai prie Lietuvos Respublikos finansų ministerijos; Lietuvos darbo biržai prie Socialinės apsaugos ir darbo ministerijos, Lietuvos Respublikos valstybinei darbo inspekcijai prie Socialinės apsaugos ir darbo ministerijos;
9.1.2. vienkartiniais atvejais - kitiems tretiesiems asmenims kai Bendrovės pareigą pateikti asmens duomenis numato įstatymai ar kiti teisės aktai, kitais Lietuvos Respublikos įstatymuose ir kituose teisės aktuose numatytais atvejais ir tvarka (kaip pavyzdžiui, Bendrovės tam tikrų (atskirų) darbuotojų asmens duomenys gali būti perduodami antstoliams ir pan.).
9.2. Trečiųjų asmenų, kuriems Bendrovė teikia asmens duomenis, sąrašas pateikiamas ir esant poreikiui, atnaujinamas nurodant tai Bendrovės asmens duomenų tvarkymo veiklos įrašų registre.
9.3. Apie visus gautus prašymus teikti asmens duomenis (vienkartinius ir daugkartinius) tretiesiems asmenims yra informuojamas Bendrovės vadovas iki asmens duomenų teikimo pradžios arba atsisakymo teikti asmens duomenis išsiuntimo. Dėl asmens duomenų teikimo teisinio pagrindo ir tikslo buvimo visais atvejais sprendžia Bendrovės vadovas.
9.4. Nesant teisinio pagrindo teikti Bendrovės tvarkomus asmens duomenis tretiesiems asmenims, Bendrovės vadovo motyvuotu rašytiniu atsakymu į prašymą apie tai informuojamas prašymą pateikęs asmuo ar institucija.
X.2. TREČIOSIOS VALSTYBĖS ARBA TARPTAUTINĖS ORGANIZACIJOS
9.5. Bendrovė perduoda asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai tik tuo atveju, jeigu Bendrovė bus nustačiusi tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis ir neegzistuoja nukrypti leidžiančių nuostatų pagal taikytiną teisę.
9.6. Bendrieji principai ir procedūros, susijusios su Bendrovėje tvarkomų asmens duomenų perdavimu į trečiąją valstybę arba tarptautinei organizacijai, yra detalizuotos Bendrovės asmens duomenų perdavimo trečiosioms valstybėms arba tarptautinėms organizacijoms taisyklėse, kurios pateikiamos prie šios politikos kaip priedas Nr. 6.
IX. DUOMENŲ APSAUGOS PAREIGŪNAS
10.1. Atsižvelgiant į Reglamento (ES) 2016/679 nuostatas, Bendrovėje yra paskirtas duomenų apsaugos pareigūnas [Evaldas Aleksaitis,
[email protected]].
10.2. Kartu su šia politika, kaip
priedas Nr. 7, yra pateikiami duomenų apsaugos pareigūno rekomendaciniai pareiginiai nuostatai, kuriuose aptarti duomenų apsaugos pareigūno, kaip Bendrovės darbuotojo, pavaldumas, bendrieji reikalavimai, funkcijos, teisės bei atsakomybės nuostatos.
X. GAIRĖS NUSTATANT VADOVAUJANČIĄ PRIEŽIŪROS INSTITUCIJĄ
11.1. Bendrovės kompetentinga vadovaujanti priežiūros institucija yra valstybės narės, kurioje yra Bendrovės pagrindinė buveinė, priežiūros institucija. Lietuvos Respublikos atveju tokia institucija yra Lietuvos Respublikos valstybinė duomenų apsaugos inspekcija, juridinio asmens kodas 188607912, registruotos buveinės adresas A. Juozapavičiaus g. 6, Vilnius.
XI. BENDROVĖ IR ATSAKOMYBĖ
12.1. Bendrovės nuolatiniai ar laikini darbuotojai ir visi asmenys, veikiantys Bendrovės vardu, atsako už šios politikos nuostatų vykdymą bei tinkamą asmens duomenų tvarkymą ir gali būti traukiami atsakomybėn už jų pažeidimą teisės aktų nustatyta tvarka.
3.5. Visi klausimai, susiję su duomenų subjektų asmens duomenų apsauga Bendrovėje, kurių neapima ši politika, nukreipiami Bendrovės vadovui ir (arba) jo įgaliotam asmeniui duomenų apsaugos klausimais ir (arba) Bendrovės paskirtam duomenų apsaugos pareigūnui Evaldui Aleksaičiui, el.paštas:
[email protected].
12.2.
XII. POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS IR KONTROLĖ
13.1. Bendrovė, Reglamente (ES) 2016/679 nustatytais atvejais, atlieka poveikio duomenų apsaugai vertinimą. Poveikio duomenų apsaugai vertinimo taisyklėse, kurios pridedamos prie šios politikos kaip priedas Nr. 8, yra nurodomi bendrieji principai ir procedūros, kuriomis turėtų būti Bendrovėje vadovaujamasi nustatant duomenų tvarkymo operacijas, kurioms taikytinas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, atliekant poveikio asmens duomenų apsaugai vertinimą, gaunant duomenų subjektų ar jų atstovų nuomonę apie numatytą duomenų tvarkymą bei kokių veiksmų ir kam, kada reikia imtis.
13.2. Bendrovės vadovas ir (arba) jo įgaliotas asmuo ir (arba) duomenų apsaugos pareigūnas ne rečiau kaip vieneri metai turi peržiūrėti šios politikos atitikimą išorės įstatymų ir poįstatyminių aktų reikalavimams, atlikti duomenų subjektų asmens duomenų apsaugos įgyvendinimo Bendrovės verslo procesuose veiksmingumą ir, atsižvelgiant į rezultatus, ją atnaujinti.
13.3. Esant būtinybei, Bendrovė gali priimti vidaus teisės aktus, kurie arba papildo ir (ar) įgyvendina šios politikos nuostatas arba nukrypsta nuo jos. Tokie vidaus teisės aktai patvirtinami Bendrovėje nustatyta tvarka.
XIII. ŠIO DOKUMENTO PAGRINDU LAIKOMŲ ĮRAŠŲ VALDYMAS
14.1. Bendrovė, siekdama laikytis Reglamento (ES) 2016/679, tvarko duomenų tvarkymo veiklos, už kurią yra atsakinga, įrašus, elektronine forma vesdama įrašų duomenų registrą, kuris atitinka Reglamente (ES) 2016/679 nustatytus turinio reikalavimus, ir kuris pridedamas prie šios politikos kaip priedas Nr. 9.
14.2. Duomenų tvarkymo veiklos įrašų registru yra užtikrinama Bendrovės atitiktis pagrindiniams Reglamento (ES) 2016/679 atskaitomybės reikalavimams, t.y.:
14.2.1. visų duomenų tvarkymo veiksmų įrašų valdymas;
14.2.2. duomenų tvarkytojo susitarimų įrašų valdymas;
14.2.3. duomenų saugumo pažeidimų, įskaitant pranešimus apie pažeidimus Priežiūros institucijai ir duomenų subjektams, įrašų valdymas.
XIV. PRIEDAI
15.1. Su šia politika, kaip neatskiriama jos dalimi, kartu taikytini šie priedai:
15.1.1. Darbuotojų ir pretendentų dirbti asmens duomenų apsaugos politika.
15.1.2. Duomenų subjektų teisių įgyvendinimo taisyklės.
15.1.3. Informacijos klasifikavimo taisyklės.
15.1.4. Asmens duomenų incidentų valdymo taisyklės.
15.1.5. Asmens duomenų saugojimo taisyklės.
15.1.6. Asmens duomenų perdavimo trečiosioms valstybėms ar tarptautinėms organizacijoms taisyklės.
15.1.7. Duomenų apsaugos pareigūno pareiginiai nuostatai.
15.1.8. Poveikio duomenų apsaugai vertinimo taisyklės.
15.1.9. Asmens duomenų tvarkymo veiklos įrašų registras.
15.2. Esant poreikiui, Bendrovė gali priimti papildomus priedus.