ASMENS DUOMENŲ TVARKYMO TAISYKLĖS
- Bendrosios nuostatos
- UAB „Vandens Filtravimo Sistemos“ (toliau – „Bendrovė“) asmens duomenų tvarkymo taisyklių (toliau – „Taisyklės“) tikslas – reglamentuoti asmens duomenų tvarkymą Bendrovėje, užtikrinant 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – „Reglamentas (ES) 2016/679“) ir kitų teisės aktų, nustatančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.
- Šių taisyklių paskirtis – numatyti pagrindinius ir specialiuosius asmens duomenų tvarkymo reikalavimus, Bendrovės įgyvendinamas organizacines ir technines priemones.
- Taisyklės parengtos vadovaujantis Reglamentu (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau – „ADTAĮ“) ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir apsaugą.
- Taisyklių privalo laikytis visi Bendrovėje pagal darbo sutartis dirbantys asmenys (toliau – „Bendrovės darbuotojai“), kuriems pavesta tvarkyti ar sužinoti asmens duomenis einant savo pareigas.
- Sąvokos
- Duomenų valdytojas – UAB „Vandens Filtravimo Sistemos“, įmonės kodas 15835005, buveinės adresas Sierakausko 15A, Vilnius.
- Duomenų subjektas – fiziniai asmenys, kurių asmens duomenis tvarko Bendrovė: darbuotojai, klientai ir kiti fiziniai asmenys, kurių asmens duomenis tvarko Bendrovė.
- Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
- Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.
- Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne.
- Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis.
- Sveikatos duomenys – asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę.
- Tiesioginė rinkodara – veikla, kurios tikslas paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir (arba) teirautis jų nuomonės dėl siūlomų prekių ar paslaugų.
- Kitos Taisyklėse vartojamos sąvokos apibrėžtos Reglamente (ES) 2016/679, Lietuvos Respublikos elektroninių ryšių įstatyme ir kituose Lietuvos Respublikos teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą ir apsaugą.
- Asmens duomenų tvarkymo principai
- Bendrovė, tvarkydama asmens duomenis, atlieka šias funkcijas:
- nustato asmens duomenų tvarkymo tikslus ir priemones;
- užtikrina, kad asmens duomenys būtų renkami nustatytais, aiškiai apibrėžtais ir teisėtais tikslais ir toliau netvarko su tais tikslais nesuderinamu būdu;
- užtikrina, kad asmens duomenys būtų tvarkomi teisėtu, sąžiningu ir skaidriu būdu;
- užtikrina, kad asmens duomenys būtų adekvatūs, tinkami ir tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi;
- užtikrina, kad asmens duomenys būtų tikslūs ir prireikus atnaujinami; netikslūs asmens duomenys nedelsiant ištrinami arba ištaisomi;
- užtikrina, kad asmens duomenys būtų laikomi tokia forma, kad Duomenų subjekto tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;
- užtikrina, kad asmens duomenys tvarkomi tokiu būdu, kad taikomos techninės ir organizacinės priemonės užtikrintų tinkamą asmens duomenų saugumą, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo.
- užtikrina Duomenų subjekto teisių įgyvendinimą Reglamento (ES) 2016/679 nustatyta tvarka.
- Bendrovė, tvarkydama asmens duomenis, atlieka šias funkcijas:
- Asmens duomenų tvarkymo tikslai ir tvarkomų asmens duomenų sąrašas
- Asmens duomenys Bendrovėje tvarkomi automatizuotomis priemonėmis ir susistemintuose rinkiniuose, asmens duomenis gaunant iš Duomenų subjektų ar trečiųjų asmenų.
- Bendrovė tvarko asmens duomenis šiais tikslais:
- Prekių užsakymo/pardavimo administravimo tikslais tvarko šiuos klientų asmens duomenis:
- asmens, perkančio prekes per Bendrovės interneto svetainę, asmens duomenis: vardas, pavardė, el. paštas, telefono numeris, adresas (-ai), slaptažodis, banko sąskaitos numeris ir banko pavadinimas.
- Asmens, perkančio prekes su pristatymu asmens duomenis: vardas, pavardė, adresas, telefono numeris, el. paštas.
- Asmens, pateikusio užklausą Bendrovės interneto svetainėje, asmens duomenis: vardas, pavardė, miestas, telefono numeris, el. paštas.
- Vidaus administravimo, personalo valdymo tikslais tvarko šiuos asmens duomenis:
- darbuotojų asmens duomenis: asmens vardas, pavardė, asmens kodas, gyvenamoji vieta ar adresas, kontaktiniai duomenys (telefono numeris ir/ar el. pašto adresas); banko sąskaitos numeris ir banko pavadinimas; specialiųjų kategorijų asmens duomenys: sveikatos duomenys, asmens medicininė knygelė; kiti duomenys.
- Tiesioginės rinkodaros tikslais tvarko šiuos asmens duomenis:
- asmens vardas, kontaktiniai duomenys (telefono numeris ir / ar el. pašto adresas).
- Prekių užsakymo/pardavimo administravimo tikslais tvarko šiuos klientų asmens duomenis:
- Pagrindiniai asmens duomenų tvarkymo ir apsaugos reikalavimai
- Asmens duomenys Bendrovėje renkami tik teisės aktų nustatyta tvarka, juos gaunant:
- tiesiogiai iš Duomenų subjekto ar iš kitų šaltinių (esant Duomenų subjekto sutikimui);
- pagal asmens duomenų teikimo sutartį, sudarytą tarp duomenų valdytojo ir duomenų teikėjo, kurioje turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis (daugkartinio asmens duomenų rinkimo atveju);
- duomenų valdytojui pateikiant prašymą, kuriame turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis (vienkartinio asmens duomenų rinkimo atveju).
- Asmens duomenys gali būti atskleisti tretiesiems asmenims, jeigu to reikia sutarčiai su Duomenų subjektu vykdyti arba dėl kitų teisėtų priežasčių. Informacija taip pat gali būti suteikta kitoms šalims Duomenų subjekto prašymu arba atsižvelgiant į Duomenų subjekto sutartinius įsipareigojimus kitoms šalims, pvz., bankams ar kitoms finansinėms institucijoms.
- Asmens duomenys tretiesiems asmenims gali būti teikiami pagal duomenų gavėjo prašymą (vienkartinio teikimo atveju) arba pagal Bendrovės ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį (daugkartinio teikimo atveju).
- Asmens duomenys teikiami:
- Valstybinio socialinio draudimo fondo valdybai;
- Asmens duomenys Bendrovėje renkami tik teisės aktų nustatyta tvarka, juos gaunant:
- Bendrovė gali teikti Duomenų subjekto asmens duomenis duomenų tvarkytojams, kurie teikia Bendrovei paslaugas (atlieka darbus) ir tvarko Duomenų subjekto asmens duomenis Bendrovės, kaip duomenų valdytojo, vardu, prieš tai sudarius su jais duomenų tvarkymo sutartį.
- Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik pagal Bendrovės nurodymus ir tik ta apimtimi, kiek tai yra būtina siekiant tinkamai vykdyti paslaugų teikimo sutartyje nustatytus įsipareigojimus. Bendrovė pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Reglamento (ES) 2016/679 reikalavimus ir būtų užtikrinta Duomenų subjekto teisių apsauga.
- Duomenų tvarkytojai yra:
- informacinių technologijų kompanijos – kurios asmens duomenis tvarko, kad užtikrintų informacinių sistemų kūrimą, tobulinimą ir palaikymą.
- Specialieji asmens duomenų tvarkymo reikalavimai
- Bendrovė įgyvendina taisyklėse nurodytas organizacines ir technines priemones, siekiant užtikrinti tinkamą asmens duomenų saugumą, įskaitant apsaugą nuo netyčinio ar neteisėto gautų, saugomų ar kitaip tvarkomų duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų.
- Pasikeitus Duomenų subjektų asmens duomenims ir Duomenų subjektams apie tai raštu informavus Bendrovę, Bendrovė, patikrinusi asmens duomenų tikslumą, nepagrįstai nedelsdama imasi veiksmų Bendrovės tvarkomose informacinėse sistemose atnaujinti duomenis, ištaisius netikslius su juo susijusius asmens duomenis ar papildžius neišsamius asmens duomenis ar ištrynus su juo susijusius asmens duomenis, išskyrus Reglamente (ES) 2016/679 nustatytas išimtis.
- Asmens duomenys laikomi tokia forma, kad Duomenų subjekto tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi, ar reikalauja Duomenų subjektas ir (ar) numato teisės aktai.
- Bendrovė tvarko tik tuos asmens duomenis, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui, numatytam taisyklių 2 punkte.
- Bendrovėje turi būti užtikrintas patalpų, kuriose saugomi asmens duomenys, saugumas (apribojamas neįgaliotų asmenų patekimas į atitinkamas patalpas ir pan.).
- Dokumentai, kuriuose yra asmens duomenys, ar jų kopijos saugomi tam skirtose patalpose, rakinamose spintose, seifuose ir pan. Dokumentai, kuriuose yra asmens duomenų, neturi būti laikomi visiems prieinamoje matomoje vietoje, kur neturintys teisės asmenys nekliudomai galėtų su jais susipažinti.
- Dokumentai, kuriuose yra asmens duomenys, saugomi, vadovaujantis Lietuvos Respublikos dokumentų ir archyvų įstatymu, Bendrųjų dokumentų saugojimo terminų rodykle, patvirtinta Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“. Pasibaigus saugojimo terminui, dokumentai, kuriuose yra asmens duomenys, sunaikinami.
- Naikinant dokumentus, kurių saugojimo terminas yra pasibaigęs, dokumentai, kuriuose yra asmens duomenys, ar jų kopijos turi būti sunaikinti taip, kad jų nebūtų galima atkurti ir atpažinti turinio.
- Bendrovės darbuotojai, kurių kompiuteriuose saugomi asmens duomenys arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis, kuriose yra saugomi asmens duomenys, privalo naudoti slaptažodžius. Slaptažodžiai turi būti keičiami periodiškai ne rečiau kaip kartą per 2 (dvejus) mėnesius, taip pat susidarius tam tikroms aplinkybėms (pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims, ir pan.). Šiuose kompiuteriuose turi būti naudojama ekrano užsklanda su slaptažodžiu. Slaptažodžiai suteikiami, keičiami, ir saugomi užtikrinant jų konfidencialumą. Slaptažodžiai turi būti unikalūs, sudaryti ne mažiau kaip 8 (aštuonių) simbolių, nenaudojant asmeninio pobūdžio informacijos. Pirmojo prisijungimo metu naudotojo turi būti privalomai keičiami.
- Bendrovės darbuotojų kompiuteriuose esančios kompiuterinės bylos, kuriose kaupiami asmens duomenys, neturi būti prieinamos kitų kompiuterių naudotojams, išskyrus naudotojus, kuriems Bendrovė tokią teisę suteikė.
- Prieiga prie asmens duomenų Bendrovės informacinėse sistemose turi būti suteikiama tik tam Bendrovės darbuotojui, kuriam asmens duomenys yra reikalingi jo darbo funkcijoms vykdyti.
- Bendrovės darbuotojai su asmens duomenimis turi atlikti tik tuos veiksmus, kuriems atlikti yra suteiktos teisės.
- Užtikrinant kompiuterinės įrangos ir joje esančių asmens duomenų apsaugą, kompiuteriuose turi būti įdiegtos antivirusinės programos, kurios turi būti periodiškai atnaujinamos.
- Bendrovėje turi būti užtikrintos duomenų saugumo priemonės, skirtos apsaugoti informacines sistemas nuo neteisėto prisijungimo elektroninių ryšių priemonėmis.
- Turi būti šifruojami atsarginėse kopijose ir archyvuose saugomi asmens duomenys ir išoriniais duomenų perdavimo tinklais perduodami asmens duomenys.
- Reikalavimai bendrovės darbuotojams, tvarkantiems asmens duomenis
- Bendrovė užtikrina, kad prieiga prie asmens duomenų yra suteikiama tik tiems Bendrovės darbuotojams, kuriems tokie duomenys yra reikalingi jų darbo funkcijoms vykdyti.
- Bendrovės darbuotojai, tvarkantys Duomenų subjektų asmens duomenis, privalo:
- laikytis su asmens duomenų tvarkymu susijusių principų ir saugumo reikalavimų, įtvirtintų Reglamente (ES) 2016/679, taisyklėse ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą ir apsaugą;
- laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jis susipažino vykdydamas savo darbo funkcijas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Prievolė saugoti paslaptį galioja ir pasibaigus darbo santykiams Bendrovėje;
- laikytis šiose taisyklėse nustatytų organizacinių ir techninių priemonių, siekiant užtikrinti tinkamą asmens duomenų saugumą, įskaitant apsaugą nuo netyčinio ar neteisėto gautų, saugomų ar kitaip tvarkomų duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų;
- neatskleisti, neperduoti ar kitu būdu nesudaryti galimybės naudotis ir (ar) susipažinti su asmens duomenimis nė vienam asmeniui, kuriam nėra pavesta dirbti ir (ar) susipažinti su asmens duomenimis Bendrovėje ar už jos ribų;
- nedelsiant, bet ne vėliau kaip per 4 (keturias) darbo valandas nuo įtartintos situacijos ar asmens duomenų saugumo pažeidimo paaiškėjimo momento, pranešti Bendrovės vadovui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę Bendrovėje tvarkomų asmens duomenų saugumui, ar apie asmens duomenų saugumo pažeidimą;
- saugoti dokumentus, kuriuose yra asmens duomenys, bei duomenų rinkmenas tinkamai ir saugiai, vengti nereikalingų kopijų darymo;
- laikytis kitų šiose taisyklėse ir asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.
- Asmens duomenų tvarkymo funkcijas vykdantys ir su Bendrovės tvarkomais asmens duomenimis galintys susipažinti Bendrovės darbuotojai, prieš pradėdami tvarkyti asmens duomenis, turi pasirašyti nustatytos formos konfidencialumo pasižadėjimą, kuris saugomas Bendrovės darbuotojo asmens byloje.
- Bendrovės darbuotojas netenka teisės tvarkyti Duomenų subjektų asmens duomenis, kai pasibaigia darbo santykiai Bendrovėje arba kai jam pavedama vykdyti su Duomenų subjektų asmens duomenų tvarkymu nesusijusias funkcijas.
- Tiesioginė rinkodara
- Duomenų subjekto asmens duomenys gali būti tvarkomi tiesioginės rinkodaros tikslais, jam išreiškus sutikimą ar nesutikimą tvarkyti asmens duomenis tiesioginės rinkodaros tikslais.
- Duomenų subjektas turi teisę bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi tokios rinkodaros tikslais.
- Bendrovė nebetvarko (nedelsiant sunaikina) Duomenų subjekto asmens duomenų tiesioginės rinkodaros tikslais, kai tik Duomenų subjektas paprieštarauja duomenų tvarkymui tokiu tikslu.
- Tiesioginės rinkodaros tikslais Bendrovė tvarko Duomenų subjekto asmens duomenis 5 metus nuo sutikimo davimo momento arba iki tos dienos, kai Duomenų subjektas paprieštarauja jo asmens duomenų tvarkymui tiesioginės rinkodaros tikslu.
- Naudoti elektroninių ryšių paslaugas, įskaitant elektroninio pašto pranešimų siuntimą, tiesioginės rinkodaros tikslu leidžiama tik gavus išankstinį abonento ar registruoto elektroninių ryšių paslaugų naudotojo (Duomenų subjekto) sutikimą. Šiais atvejais Duomenų subjekto sutikimas turi būti gautas iš anksto, t. y. prieš skambinant ar siunčiant elektroninį laišką.
- Bendrovė gali naudoti kliento (Duomenų subjekto) turimą elektroninio pašto adresą savo paties panašių prekių ar paslaugų rinkodarai, jei klientams (Duomenų subjektams) yra suteikiama aiški, nemokama ir lengvai įgyvendinama galimybė nesutikti arba atsisakyti tokio kontaktinių duomenų naudojimo pirmiau nurodytais tikslais, kai šie duomenys yra renkami ir, jei klientas (Duomenų subjektas) iš pradžių neprieštaravo dėl tokio duomenų naudojimo, siunčiant kiekvieną žinutę.
- Duomenų subjektų teisių įgyvendinimo tvarka
- Duomenų subjekto teisės Bendrovėje įgyvendinamos vadovaujantis Reglamentu (ES) 2016/679.
- Baigiamosios nuostatos
- Su šiomis taisyklėmis supažindinami visi Bendrovės darbuotojai pasirašytinai.
- Už taisyklių laikymosi priežiūrą ir kontrolę atsakingi [ ].
- Šios taisyklės periodiškai, ne rečiau kaip kartą per 2 (dvejus) metus, peržiūrimos ir, reikalui esant, atnaujinamos.
- Bendrovės darbuotojai, pažeidę šių taisyklių reikalavimus, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.