ПОЛИТИКА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
I. ОБЩАЯ ИНФОРМАЦИЯ
| Версия: | V1
| Дата версии: | 2023 08 31
| Дата принятия Политики: | 2023 08 31
| Дата принятия политики | 2023 09 14
II. ЦЕЛИ, ОБЛАСТЬ ПРИМЕНЕНИЯ И ПОЛЬЗОВАТЕЛИ
3.1. ЗАО "Pickvibe" (код юридического лица 303144763, юридический адрес Lazdynų g. 21, Vilnius) (далее - "Компания") стремится соблюдать все действующие законы и нормативные акты, касающиеся защиты персональных данных в стране, в которой работает Компания. Настоящая Политика определяет основные цели и принципы обработки Компанией персональных данных физических лиц, регламентирует сбор и использование персональных данных этих лиц, порядок реализации в Компании прав этих лиц как субъектов данных, меры безопасности, а также ответственность за обработку персональных данных.
3.2. Настоящая Политика применяется в совокупности с другими политиками, правилами, процедурами и/или руководствами, принятыми или реализуемыми Компанией, а также с международным и/или национальным законодательством.
3.3. Пользователями настоящей Политики являются все постоянные или временные сотрудники Компании, а также все лица, действующие от имени Компании, которые могут иметь доступ к персональным данным, обрабатываемым Компанией. Компания обязана ознакомить таких лиц с настоящей Политикой или любыми изменениями к ней, предоставив им подписанную копию настоящей Политики, и потребовать от них ее соблюдения.
3.4. В случае если кому-либо из пользователей настоящей Политики неясны или непонятны положения настоящей Политики или какие-либо из них, такое лицо должно попытаться разрешить неясность и незамедлительно обратиться к генеральному директору Компании и/или его уполномоченному лицу по вопросам защиты данных и/или к ответственному за защиту данных Компании Эвалдасу Алексайтису, e-mail:
[email protected].
III. СООТВЕТСТВУЮЩИЕ ДОКУМЕНТЫ
4.1. Данная политика основывается на:
4.1.1. Регламенте (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46/EC (далее - Регламент (ЕС) 2016/679);
4.1.2. Законе Литовской Республики "О правовой защите персональных данных" (далее - ADTAĮ);
4.1.3. иных нормативных правовых актах, регламентирующих безопасную обработку персональных данных и правомерность их обработки.
IV. ОПРЕДЕЛЕНИЯ
5.1. Приведенные ниже определения терминов, используемых в настоящей Политике, следует понимать так, как они определены в Регламенте (ЕС) 2016/679 и ADTAĮ:
5.1.1. Персональные данные - это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (Субъекту данных); идентифицируемое физическое лицо - это лицо, которое может быть прямо или косвенно идентифицировано, в частности, по идентификатору, такому как имя, персональный идентификационный номер, данные о местоположении и онлайн-идентификатор, или по одному или нескольким факторам, характерным для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности этого физического лица.
5.1.2. "Нарушение безопасности персональных данных" означает нарушение безопасности, повлекшее за собой непреднамеренное или несанкционированное уничтожение, потерю, изменение, несанкционированное раскрытие, несанкционированный доступ к персональным данным, их несанкционированную передачу, несанкционированное хранение или несанкционированную обработку.
5.1.3. Обработчик данных - физическое или юридическое лицо, орган государственной власти, агентство или иной орган, осуществляющий обработку персональных данных по поручению контролера.
5.1.4. "Контроллер" означает физическое или юридическое лицо, орган государственной власти, агентство или иной орган, который самостоятельно или совместно с другими определяет цели и способы обработки. Для целей настоящей Политики - Компания.
5.1.5. Под чувствительными персональными данными понимаются персональные данные, которые по своей природе являются особенно чувствительными по отношению к основным правам и свободам и которым должна быть предоставлена особая защита, поскольку контекст их обработки может привести к серьезному риску для основных прав и свобод. К таким персональным данным следует отнести персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзе, генетические данные, биометрические данные, которые могут быть использованы для индивидуальной идентификации физического лица, данные о состоянии здоровья или данные, касающиеся половой жизни или сексуальной ориентации.
5.1.6. "Контролирующий орган" означает контролирующий орган государства-участника, в котором находится головной офис Компании. В случае Литовской Республики таким органом является Государственная инспекция по защите данных Литовской Республики, код юридического лица 188607912, юридический адрес A. Juozapavičiaus g. 6, Вильнюс, веб-сайт www.ada.lt.
5.1.7. Данные о здоровье - персональные данные, относящиеся к физическому или психическому здоровью физического лица, в том числе данные, связанные с оказанием медицинских услуг, раскрывающие информацию о состоянии здоровья этого физического лица.
5.1.8. "Третья сторона" означает физическое или юридическое лицо, орган государственной власти, агентство или иной орган, не являющийся субъектом данных, контролером, обработчиком или лицами, уполномоченными на обработку персональных данных по прямому указанию контролера или обработчика.
5.2. Иные термины, используемые в настоящей Политике и не упомянутые в п. 5.1, имеют значение, указанное в Регламенте (ЕС) 2016/679 и ADTAĮ.
V. ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. При обработке персональных данных физических лиц Компания руководствуется следующими принципами, относящимися к обработке персональных данных.
ПРИНЦИП ЗАКОННОСТИ, СПРАВЕДЛИВОСТИ И ПРОЗРАЧНОСТИ
6.2. Персональные данные должны обрабатываться законным, справедливым и прозрачным по отношению к субъекту данных образом, что означает, что персональные данные обрабатываются Компанией на законном основании, без нарушения законов, нормативных правовых актов, иных юридически значимых обязательств или ограничений.
6.3. Компания осуществляет обработку персональных данных в отношении субъекта данных только для целей, которые являются законными и указаны в настоящей Политике.
6.4. Компания обрабатывает чувствительные персональные данные только в тех случаях, когда такая обработка совместима, законна и требуется или разрешена действующим законодательством, в этом случае данные могут обрабатываться в соответствии с положениями действующего законодательства.
6.5. Компания информирует субъектов персональных данных о правилах, гарантиях и правах, связанных с обработкой персональных данных, а также о том, как реализовать свои права в отношении такой обработки.
ОГРАНИЧЕНИЯ НА ЦЕЛИ
6.6. Компания собирает персональные данные для конкретных, четко определенных и законных целей, указанных в настоящей Политике. Персональные данные не подлежат дальнейшей обработке способом, несовместимым с этими целями.
6.7. Для обработки персональных данных с целью, отличной от изложенной в настоящей Политике, Компания предоставит субъекту персональных данных информацию о цели и любую дополнительную информацию, связанную с ней.
ПРИНЦИП МИНИМИЗАЦИИ ДАННЫХ
6.8. Персональные данные, обрабатываемые Компанией, должны быть адекватными, актуальными и необходимыми только для целей, для которых они обрабатываются. Компания ограничивает свою обработку теми данными, которые необходимы для достижения целей обработки, изложенных в настоящей Политике, и не обрабатывает персональные данные, которые не являются необходимыми для достижения этих целей.
ПРИНЦИП ТОЧНОСТИ
6.9. Компания обрабатывает персональные данные таким образом, чтобы обеспечить точность персональных данных и поддерживать их в актуальном состоянии в случае каких-либо изменений. Компания принимает все разумные меры для незамедлительного удаления или исправления персональных данных, которые не являются точными по отношению к целям их обработки, изложенным в настоящей Политике.
ПРИНЦИП ОГРАНИЧЕНИЯ ВРЕМЕНИ ХРАНЕНИЯ
6.10. Компания хранит персональные данные в такой форме, которая позволяет идентифицировать личность, не дольше, чем это необходимо для целей, для которых персональные данные были собраны и обработаны. Если срок хранения не определен законом, то персональные данные хранятся в течение разумного срока или в течение периода периодического пересмотра.
ПРИНЦИП ЦЕЛОСТНОСТИ И КОНФИДЕНЦИАЛЬНОСТИ
6.11. Компания обрабатывает персональные данные таким образом, чтобы обеспечить с помощью соответствующих технических или организационных мер надлежащую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения.
ПРИНЦИП ПОДОТЧЕТНОСТИ
6.12. Компания несет ответственность за обеспечение соблюдения принципов обработки персональных данных, предусмотренных настоящей Политикой и действующим законодательством, и за возможность продемонстрировать компетентным органам и/или субъектам данных такое соблюдение, если это требуется в соответствии с действующим законодательством.
VI. ВНЕДРЕНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМПАНИИ
7.1. Для соблюдения принципов в отношении обработки персональных данных, требуемых настоящей Политикой и действующим законодательством, защита персональных данных в Компании осуществляется способами, изложенными ниже в настоящем разделе.
7.2. Цели обработки персональных данных, обрабатываемых Компанией, определяются руководителем Компании.
7.3. Персональные данные физических лиц в Обществе обрабатываются руководителем Общества и/или уполномоченными им лицами. Доступ к персональным данным физических лиц, обрабатываемым в Компании, имеют те лица, для которых это необходимо для выполнения их обязанностей/функций, и только тогда, когда это необходимо для достижения соответствующих целей.
VII.1. Обработка Компанией отдельных категорий персональных данных ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ СОТРУДНИКОВ И СОИСКАТЕЛЕЙ 7.4. Обработка персональных данных сотрудников Компании (постоянных и временных), работающих в Компании на договорной основе, в том числе бывших сотрудников (далее - "Сотрудник") и лиц, ищущих работу в Компании (далее - "Соискатель"), а также обработка персональных данных Сотрудников и Соискателей, как указано в Политике по защите персональных данных Сотрудников и Соискателей, которая прилагается
к настоящей Политике в качестве
Приложения №. 1, которая регламентирует обработку персональных данных этих лиц, порядок реализации прав этих лиц как субъектов данных в Компании, меры безопасности и другие вопросы, связанные с обработкой персональных данных и правомерностью их обработки. Положения настоящей Политики распространяются на Сотрудников и Соискателей работы Компании в той мере, в какой эти вопросы не регулируются Политикой по защите персональных данных Сотрудников и Соискателей работы.
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ СОТРУДНИКОВ ИЛИ ПРЕДСТАВИТЕЛЕЙ ДЕЛОВЫХ ПАРТНЕРОВ ИЛИ ПОТЕНЦИАЛЬНЫХ ДЕЛОВЫХ ПАРТНЕРОВ 7.5. Компания обрабатывает персональные данные сотрудников или представителей деловых партнеров или потенциальных деловых партнеров для следующих целей:
7.5.1. в целях заключения и надлежащего исполнения договоров;
7.5.2. для целей проведения расчетов и других платежей, а также соблюдения правил бухгалтерского учета;
7.5.3. Для защиты законных интересов компании.
7.6. В зависимости от целей обработки персональных данных Компания обрабатывает следующие персональные данные сотрудников или представителей деловых партнеров или потенциальных деловых партнеров: фамилия, имя, персональный идентификационный номер, дата рождения, гражданство, место жительства (адрес), контактный телефон, адрес электронной почты, данные документа, удостоверяющего личность, подпись, иные персональные данные, если обработка таких данных является для Компании обязательной в силу правовых актов и только в той мере, в какой это необходимо в соответствии с требованиями правовых актов.
7.7. Правовое основание для обработки персональных данных сотрудников или представителей деловых партнеров или потенциальных деловых партнеров Компании:
7.7.1. выполнение договора, стороной которого является субъект данных, или стремление действовать по просьбе субъекта данных до заключения договора (преддоговорные отношения);
7.7.2. согласие субъекта данных или обработка персональных данных, которые субъект данных обнародовал;
7.7.3. для предъявления, исполнения или защиты судебных исков;
7.7.4. Законные интересы Компании или третьей стороны.
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ УЧАСТНИКОВ И ЧЛЕНОВ ОРГАНОВ УПРАВЛЕНИЯ КОМПАНИИ 7.8. Компания обрабатывает персональные данные своих участников и членов руководящих органов для следующих целей:
7.8.1. в целях надлежащего исполнения (реализации) обязанностей участников и/или органов управления общества, установленных законодательством;
7.8.2. в цели деятельности Компании;
7.8.3. для целей проведения расчетов и других платежей, а также соблюдения правил бухгалтерского учета;
7.8.4. в целях надлежащего исполнения договоров и/или иных документов, принятых участниками и/или органами управления Общества;
7.8.5. Для защиты законных интересов Компании.
7.9. В зависимости от целей обработки персональных данных, Компания обрабатывает следующие персональные данные своих участников и членов органов управления: фамилию, имя, персональный идентификационный номер, дату рождения, гражданство, место жительства (адрес), контактный телефон, адрес электронной почты, данные документа, удостоверяющего личность, подпись, иные персональные данные, если Компания обязана обрабатывать такие данные в силу правовых актов, и только в том объеме, который требуется в соответствии с правовыми актами.
7.10. Правовое основание для обработки персональных данных участников и членов органов управления Компании:
7.10.1. На Компанию возлагается юридическое обязательство;
7.10.2. выполнение договора, стороной которого является субъект данных;
7.10.3. Законные интересы Компании или третьей стороны.
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ КОМПАНИИ (ПОЛЬЗОВАТЕЛЕЙ РАЗРАБАТЫВАЕМЫХ ПРОДУКТОВ) 7.11. клиенты Компании, пользующиеся услугами Компании, а именно продуктами Компании MobyTime и pickVibe, которые интегрированы в единое решение на платформе Pickvibe, сайт которой
www.pickvibe.ltОбработка персональных данных отдельно описана в политике защиты персональных данных данного сайта, которая содержит всю необходимую информацию, касающуюся обработки и защиты персональных данных клиентов Компании, которые обрабатываются Компанией для поддержки продуктов и функциональных возможностей, предоставляемых на платформе Pickvibe, а также информацию о том, как клиенты, как субъекты данных, могут реализовать свои права в отношении обрабатываемых персональных данных. Положения настоящей политики распространяются на клиентов Компании (пользователей разрабатываемых продуктов) в той мере, в какой эти вопросы не регулируются политикой защиты персональных данных сайта.
VII. 2. ПРАВА СУБЪЕКТОВ ДАННЫХ И ПОРЯДОК ИХ РЕАЛИЗАЦИИ В КОМПАНИИ 7.12. Физические лица, чьи персональные данные обрабатываются Компанией в соответствии с Регламентом (ЕС) 2016/679 (статьи 12-18, 20-22), имеют следующие права:
7.12.1. знать (быть информированным) об обработке Компанией Ваших персональных данных;
7.12.2. иметь доступ к своим персональным данным, обрабатываемым Компанией, и к тому, как они обрабатываются;
7.12.3. требовать исправления или, с учетом целей обработки персональных данных Компанией, дополнения неполных персональных данных, относящихся к данному лицу;
7.12.4. требовать удаления персональных данных, относящихся к данному лицу;
7.12.5. требовать от Компании ограничения обработки персональных данных;
7.12.6. получать персональные данные физического лица, которые оно предоставило Компании в структурированном, общепринятом и машиночитаемом формате, и/или передавать их другому оператору данных;
7.12.7. возражать против обработки персональных данных, относящихся к физическому лицу, если такая обработка осуществляется в общественных интересах или необходима для удовлетворения законных интересов Компании или третьей стороны, когда интересы физического лица не преобладают;
7.12.8. в соответствующих случаях требовать, чтобы решение, основанное исключительно на автоматизированной обработке персональных данных, включая профилирование, не применялось в отношении данного лица и чтобы такое решение было пересмотрено;
7.12.9. подать жалобу в надзорный орган.
7.13. Процесс и процедура реализации прав физических лиц как субъектов данных в Компании отдельно детализированы и изложены в Правилах реализации прав субъектов данных, которые приведены в
Приложении 2 к настоящей Политике.
VII.3. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМПАНИИ 7.14. При обработке персональных данных Компания принимает и обеспечивает надлежащие организационные и технические меры для защиты персональных данных физических лиц, чьи персональные данные обрабатываются Компанией, от случайного или неправомерного уничтожения, изменения, раскрытия или любой другой неправомерной обработки.
7.15. Одной из таких мер является установление уровней конфиденциальности информации, содержащей персональные данные, в Компании с помощью отдельного документа - Правил классификации информации, которые приведены в
Приложении 3 к настоящей Политике, в целях обеспечения целостности, доступности, конфиденциальности и надлежащего использования персональных данных, обрабатываемых в Компании.
7.16. Компания предоставляет доступ к персональным данным субъектов персональных данных только тем лицам, которые уполномочены Компанией на доступ к таким данным, и только тогда, когда это необходимо для достижения целей, изложенных в настоящей Политике. Доступ к персональным данным, обрабатываемым автоматизированным способом, имеют только сотрудники Компании или иные ответственные лица, уполномоченные на обработку персональных данных.
7.17. Сотрудники или другие ответственные лица, уполномоченные обрабатывать персональные данные субъектов данных, должны соблюдать принцип конфиденциальности и сохранять в тайне любую информацию, касающуюся персональных данных, которая стала им известна при исполнении своих обязанностей, за исключением случаев, когда такая информация является открытой в соответствии с положениями действующих законов или нормативных актов. Обязательство по сохранению конфиденциальности персональных данных распространяется также на передачу обязанностей, трудовые или договорные отношения.
7.18. Работники Компании или иные ответственные лица, уполномоченные на обработку персональных данных субъектов персональных данных, обязаны предотвращать случайное или неправомерное уничтожение, изменение, разглашение или иную неправомерную обработку персональных данных путем надлежащего и безопасного хранения документов и исключения их ненужного копирования. Копии документов, содержащих персональные данные, должны быть уничтожены таким образом, чтобы их невозможно было воспроизвести и определить их содержание.
7.19. Если сотрудник Компании или иное ответственное лицо, осуществляющее автоматизированную обработку персональных данных, сомневается в надежности принимаемых мер безопасности, он должен обратиться к руководителю Компании для оценки принимаемых мер безопасности и, при необходимости, инициировать приобретение и внедрение дополнительных мер.
7.20. Сотрудники Компании или другие ответственные лица, осуществляющие автоматическую обработку персональных данных или имеющие доступ с компьютеров к участкам локальной сети, где хранятся персональные данные, должны использовать пароли, созданные в соответствии с действующими правилами. Сотрудник, работающий на конкретном компьютере, может знать только свой собственный пароль. Пароли меняются периодически и при определенных обстоятельствах (например, смена сотрудника, угроза взлома, подозрение, что пароль скомпрометирован, и т.д.).
7.21. При реагировании на любые (в том числе потенциальные) нарушения персональных данных Компания руководствуется Политикой Компании по управлению инцидентами с персональными данными, которая подробно описывает обязанности Компании в связи с выявлением потенциального и/или фактического нарушения персональных данных, а также порядок оценки характера нарушения персональных данных, формы и порядок сообщения о нарушении персональных данных и обсуждения иных вопросов, связанных с нарушением персональных данных, и приводится в
Приложении 4 к настоящему документу.
VII.4. УВЕДОМЛЕНИЕ СУБЪЕКТОВ ДАННЫХ 7.22. Компания информирует субъектов данных посредством заявления о конфиденциальности в случаях, когда Компания обрабатывает персональные данные на своем веб-сайте или иным способом в режиме онлайн. Компания должна обеспечить, чтобы такое уведомление субъектов данных об обработке персональных данных, относящихся к этим персональным данным, было легкодоступным и постоянно видимым, читаемым на компьютере, непосредственно доступным и понятным, а также написанным простым и понятным языком.
7.23. Компания определяет основные правила и условия обработки персональных данных, которым должны следовать все посетители сайта
www.pickvibe.lt, в политике защиты персональных данных данного сайта.
VII.5. СВОБОДНОЕ ВОЛЕИЗЪЯВЛЕНИЕ И СОГЛАСИЕ СУБЪЕКТА ДАННЫХ 7.24. Компания полагается на согласие субъекта данных в качестве правового основания для обработки персональных данных только после того, как убедится, что оно соответствует условиям, изложенным в Регламенте (ЕС) 2016/679. Согласие дается свободно, в письменной форме, в том числе с использованием электронных средств, и в соответствии с требованиями применимого законодательства.
7.25. Компания обрабатывает чувствительные персональные данные только в том случае, если субъект данных дал явное согласие на такую обработку, за исключением случаев, когда существуют исключения из обработки таких данных в соответствии с положениями действующего законодательства.
7.26. Субъект данных имеет право в любое время отозвать свое согласие.
VII.6. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ И СРОКИ ХРАНЕНИЯ 7.27. Компания обеспечивает безопасность помещений, в которых хранятся персональные данные, надлежащее размещение и обзор технических средств, надлежащее управление сетью, обслуживание информационных систем и осуществление других технических и/или организационных мер, необходимых для обеспечения защиты персональных данных.
7.28. Компания хранит персональные данные в такой форме, которая позволяет идентифицировать лицо, не дольше, чем это необходимо для целей, для которых персональные данные были собраны и обработаны. Если срок хранения не определен законом, персональные данные хранятся в течение разумного срока или периодически пересматриваются.
7.29. Сроки хранения персональных данных, обрабатываемых Компанией, и основные требования к хранению подробно изложены в Правилах хранения персональных данных Компании, которые приведены в
Приложении 5 к настоящей Политике. Компания также может указать сроки хранения персональных данных, обрабатываемых Компанией, в других документах, например, в заявлении о конфиденциальности, опубликованном на сайте Компании или на сайте продукта, разработанного Компанией, в той мере, в какой они не указаны в Правилах хранения персональных данных Компании.
VII. ОБРАБОТЧИКИ ДАННЫХ
8.1. Руководитель Компании может использовать обработчиков данных, таких как поставщики услуг в области информационных технологий и электронных коммуникаций, советники, аудиторы, консультанты, службы безопасности и другие лица для обработки персональных данных, обрабатываемых Компанией в соответствии с настоящей Политикой, в целях, предусмотренных настоящей Политикой, и в соответствии с указаниями Компании, сохраняя при этом полную конфиденциальность обработки персональных данных.
8.2. Надежность обработчика данных должна быть оценена до начала его использования. Обработчики данных считаются заслуживающими доверия, если они гарантируют, что обладают достаточным опытом, ресурсами и надежностью для обеспечения безопасности обработки персональных данных.
8.3. Компания заключает письменные договоры с обработчиками данных, которые предусматривают, что обработчики данных будут обрабатывать персональные данные только в соответствии с инструкциями Компании и обязательствами по соблюдению конфиденциальности. В этих договорах также должен быть указан уровень безопасности и/или требования, если таковые имеются, применяемые к защите данных Компании. В договоре должен быть указан порядок, в соответствии с которым представитель Компании имеет право проверять соблюдение процессором своих обязательств, а также ответственность процессора за нарушение договора и/или обработку персональных данных.
8.4. Используемые и уполномоченные Компанией обработчики данных, если таковые имеются, должны быть идентифицированы в реестре записей о деятельности по обработке персональных данных Компании. При заключении каждого нового договора с обработчиком список обработчиков по инициативе руководителя Компании обновляется с указанием сведений о новом обработчике. В случае расторжения договора с обработчиком необходимые изменения вносятся в вышеуказанные записи о деятельности по обработке по инициативе руководителя Компании.
8.5. Руководитель Компании обязан информировать соответствующих сотрудников Компании о любых изменениях в списке обработчиков данных обычным для Компании способом не позднее 3 (трех) рабочих дней после внесения изменений в список обработчиков данных.
VIII. ПОЛУЧАТЕЛИ ДАННЫХ
IX.1. ТРЕТЬИ СТОРОНЫ
9.1. Сбор, обработка и предоставление персональных данных органам государственной власти и/или другим лицам осуществляется на основании законов и правовых актов Литовской Республики, а также после получения мотивированного письменного запроса и только при наличии законных оснований для предоставления таких данных и/или согласия субъекта данных. Персональные данные субъектов данных могут быть переданы третьим лицам только в случаях и в порядке, предусмотренных законами и иными правовыми актами Литовской Республики.
9.1.1. персональные данные работников Компании: в Управление государственной кассы социального страхования при Министерстве социальной защиты и труда, в Государственную налоговую инспекцию при Министерстве финансов Литовской Республики, на Биржу труда при Министерстве социальной защиты и труда Литовской Республики и в Государственную инспекцию труда при Министерстве социальной защиты и труда Литовской Республики;
9.1.2. в разовых случаях - другим третьим лицам, когда обязанность Компании предоставлять персональные данные предусмотрена законами или иными правовыми актами, в иных случаях и в порядке, предусмотренном законами и иными правовыми актами Литовской Республики (например, персональные данные отдельных (индивидуальных) работников Компании могут быть переданы судебным приставам и т.д.).
9.2. Перечень третьих лиц, которым Компания предоставляет персональные данные, должен быть предоставлен и, при необходимости, обновлен путем указания на это в записи Компании о деятельности по обработке персональных данных.
9.3. Руководитель Компании должен быть проинформирован обо всех полученных запросах на предоставление персональных данных (однократных и многократных) третьим лицам до начала предоставления персональных данных или направления отказа в предоставлении персональных данных. Правовое основание и цель предоставления персональных данных во всех случаях определяются Руководителем Компании.
9.4. При отсутствии правовых оснований для предоставления персональных данных, обрабатываемых Компанией, третьим лицам, лицо или организация, обратившиеся с запросом, информируются об этом мотивированным письменным ответом на запрос руководителя Компании.
X.2. ТРЕТЬИ СТРАНЫ ИЛИ МЕЖДУНАРОДНЫЕ ОРГАНИЗАЦИИ
9.5. Компания будет передавать персональные данные в третью страну или международную организацию только в том случае, если Компания установит соответствующие гарантии, при условии, что будут обеспечены права субъекта данных и эффективные средства правовой защиты, а также не будет никаких отступлений в соответствии с действующим законодательством.
9.6. Общие принципы и процедуры, связанные с передачей персональных данных, обрабатываемых Компанией, в третью страну или международную организацию, подробно изложены в Правилах Компании по передаче персональных данных в третьи страны или международные организации, которые приведены в Приложении 6 к настоящей Политике.
IX. СОТРУДНИК ПО ЗАЩИТЕ ДАННЫХ
10.1. В соответствии с положениями Регламента (ЕС) 2016/679 в Компании назначен ответственный за защиту данных [Эвалдас Алексайтис,
[email protected]].
10.2. К настоящей Политике прилагается Положение о сотруднике по защите данных (
Приложение 7), в котором определены обязанности, общие требования, функции, права и ответственность сотрудника по защите данных как работника Компании.
X. УКАЗАНИЯ ПО ОПРЕДЕЛЕНИЮ ВЕДУЩЕГО НАДЗОРНОГО ОРГАНА
11.1. Компетентным ведущим надзорным органом Компании является надзорный орган государства-члена, в котором находится головной офис Компании. В случае Литовской Республики таким органом является Государственная инспекция по защите данных Литовской Республики, код юридического лица 188607912, юридический адрес A. Juozapavičiaus g. 6, Vilnius.
XI. КОМПАНИЯ И ОТВЕТСТВЕННОСТЬ
12.1. Постоянные или временные работники Компании, а также все лица, действующие от имени Компании, несут ответственность за соблюдение положений настоящей Политики и надлежащую обработку персональных данных и могут быть привлечены к ответственности за их нарушение в установленном законом порядке.
12.2. Все вопросы, связанные с защитой персональных данных субъектов данных в Компании, не охваченные настоящей Политикой, следует адресовать генеральному директору Компании и/или его уполномоченному лицу по вопросам защиты данных и/или назначенному ответственному за защиту данных в Компании г-ну Эвалдасу Алексайтису, e-mail:
[email protected].
XII. ОЦЕНКА И КОНТРОЛЬ ВОЗДЕЙСТВИЯ НА ЗАЩИТУ ДАННЫХ
13.1. Компания обязана проводить оценку воздействия на защиту данных в случаях, предусмотренных Регламентом (ЕС) 2016/679. Правила оценки воздействия на защиту данных, приведенные в Приложении 8 к настоящей Политике, устанавливают общие принципы и процедуры, которым должна следовать Компания при определении операций обработки, в отношении которых требуется проведение оценки воздействия на защиту данных, при проведении оценки воздействия на защиту данных, при получении мнения субъектов данных или их представителей о предполагаемой обработке, а также при определении того, какие действия, кем и когда должны быть предприняты.
13.2. Руководитель Компании и/или его заместитель и/или ответственный за защиту данных не реже одного раза в год рассматривает соответствие настоящей Политики требованиям внешних законов и нормативных актов, проводит оценку эффективности реализации защиты персональных данных субъектов персональных данных в бизнес-процессах Компании и актуализирует ее с учетом полученных результатов.
13.3. При необходимости Компания может принимать внутренние нормативные документы, дополняющие и/или реализующие положения настоящей Политики или отступающие от них. Такие внутренние документы принимаются в соответствии с установленными в Компании процедурами.
XIII. УПРАВЛЕНИЕ ЗАПИСЯМИ, ВЕДУЩИМИСЯ НА ОСНОВЕ ДАННОГО ДОКУМЕНТА
14.1. В целях соблюдения Регламента (ЕС) 2016/679 Компания должна вести учет деятельности по обработке данных, за которую она несет ответственность, путем ведения электронной записи записей, которая должна соответствовать требованиям к содержанию, изложенным в Регламенте (ЕС) 2016/679, и которая прилагается к настоящей Политике в качестве Приложения 9.
14.2. Журнал учета действий по обработке данных обеспечивает выполнение Компанией ключевых требований Регламента (ЕС) 2016/679 к отчетности, а именно:
14.2.1. ведение учета всех операций по обработке данных;
14.2.2. ведение учета соглашений с обработчиком данных;
14.2.3. ведение записей о нарушениях данных, включая уведомления о нарушениях, направляемые в надзорный орган и субъектам данных.
XIV. ПРИЛОЖЕНИЯ
15.1. Следующие Приложения применяются совместно с настоящей Политикой и являются ее неотъемлемой частью:
15.1.1. Политика защиты персональных данных сотрудников и соискателей.
15.1.2. Правила реализации прав субъектов данных.
15.1.3. Правила классификации информации.
15.1.4. Правила управления инцидентами с персональными данными.
15.1.5. Правила хранения персональных данных.
15.1.6. Правила передачи персональных данных третьим странам или международным организациям.
15.1.7. Должностная инструкция сотрудника по защите данных.
15.1.8. Правила оценки воздействия на защиту данных.
15.1.9. Регистр записей о деятельности по обработке персональных данных.
15.2. При необходимости Компания может принять дополнительные дополнения.