ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

UAB “IT MEDIA” direktoriaus

2018 m. balandžio 26 d. įsakymu Nr.01

ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

I.PAGRINDINĖS SĄVOKOS

 

  1. Bendrovė – reiškia UAB “IT MEDIA”, pagal Lietuvos Respublikos įstatymus įsteigtą bendrovę, kurios registruota buveinė yra Reikjaviko g. 4-2, Klaipėda, Lietuvos Respublika, įmonės kodas 302494999, duomenys apie kurią kaupiami ir saugomi Juridinių asmenų registre.

 

  1. Duomenų subjektas – yra fizinis asmuo, kuris ketina pradėti arba yra pradėjęs dalykinius arba darbo santykius su Bendrove, arba dalykiniai ar darbo santykiai yra pasibaigę, tačiau duomenų subjekto duomenis Bendrovė tvarko pagal imperatyvias teisės aktų nuostatas, arba kuris nėra savo iniciatyva pradėjęs dalykinių santykių su Bendrove, tačiau Bendrovė tvarko jo asmens duomenis pagal imperatyvias teisės aktų nuostatas. Į šią sąvoką įeina Bendrovės darbuotojai, kandidatai į darbuotojus, potencialūs, esami ir buvę Bendrovės klientai bei partneriai.

 

  1. Duomenų subjekto sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais, kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys.

 

  1. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba ją tiesiogiai arba netiesiogiai galima nustatyti pagal identifikatorių, pavyzdžiui, pagal vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.

 

  1. Asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga.

 

  1. Asmens duomenų tvarkymas – reiškia bet kurį su Asmens duomenimis atliekamą automatizuotomis ar neautomatizuotomis priemonėmis veiksmą: rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas (papildymas ar taisymas), susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.

 

  1. Automatinis būdas - reiškia veiksmus, visiškai ar iš dalies atliekamus automatinėmis priemonėmis.

 

  1. Duomenų tvarkytojas - reiškia juridinį ar fizinį asmenį, valdžios instituciją, agentūrą ar kitą įstaigą, kurie yra Bendrovės įgalioti tvarkyti asmens duomenis.

 

  1. Duomenų gavėjas - reiškia juridinį ar fizinį asmenį, valdžios instituciją, agentūrą ar kitą įstaigą, kuriai atskleidžiami ir teikiami Asmens duomenys, nesvarbu ar tai trečioji šalis ar ne.

 

  1. Inspekcija – Lietuvos Respublikos Valstybinė duomenų apsaugos inspekcija.

 

II.BENDROSIOS NUOSTATOS

11.Asmens duomenų tvarkymo taisyklės (toliau – Taisyklės) reglamentuoja Bendrovės potencialių, esamų, buvusių klientų ir partnerių, kandidatų į Bendrovės darbuotojus ir darbuotojų (toliau – Duomenų subjektai) asmens duomenų rinkimo, tvarkymo ir saugojimo principus, nustato asmens duomenų tvarkymo tikslus ir priemones, nustato, kas ir kokiais tikslais, gali susipažinti su asmens duomenimis bei tokių duomenų apsaugos užtikrinimo priemones.

III.ASMENS DUOMENŲ APSAUGOS PRINCIPAI

12.Bendrovė vadovaujasi šiais pagrindiniais asmens duomenų tvarkymo principais:

12.1.Asmens duomenys renkami apibrėžtais ir teisėtais tikslais ir toliau nėra tvarkomi tikslais, nesuderinamais su nustatytaisiais prieš renkant Asmens duomenis;

12.2.Asmens duomenys tvarkomi tiksliai, sąžiningai ir teisėtai;

12.3.Asmens duomenys yra tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami, o netikslūs ar neišsamūs duomenys yra ištaisomi, papildomi, sunaikinami arba sustabdomas jų tvarkymas;

12.4.Asmens duomenys yra tapatūs, tinkami ir tik tokios apimties, kuri yra būtina jiems rinkti ir toliau tvarkyti;

12.5.Duomenų subjekto asmens duomenys yra saugomi Bendrovės nustatytą laiką, bet ne ilgiau nei Lietuvos Respublikos teisės aktuose nustatyti terminai, o pasibaigus asmens duomenų saugojimo terminui, yra sunaikinami;

12.6.Duomenų subjekto asmens duomenų informacija yra laikoma konfidencialia ir gali būti atskleidžiama trečiosioms šalims tik remiantis tvarka, numatyta šiose Taisyklėse ir Lietuvos Respublikos teisės aktuose.

IV.KANDIDATŲ IR DARBUOTOJŲ ASMENS DUOMENYS, JŲ TVARKYMO TIKSLAI IR TEISINIS PAGRINDAS

13.Kandidatų į darbuotojus asmens duomenys (vardas, pavardė, duomenys, susiję su šio asmens kvalifikacija, profesiniais gebėjimais ir dalykinėmis savybėmis, darbovietės ir kiti duomenys) yra tvarkomi darbuotojų atrankos tikslais. Kandidatų asmens duomenys gali būti surenkami iš asmens dokumento, pateikto aprašymo ar/ir užpildytos nustatytos formos anketos, ar/ir gaunami iš kandidato kitu būdu.

14.Darbuotojų asmens duomenys (darbuotojų vardai, pavardės, asmens, kodai, adresai, gimimo data, finansų įstaigos sąskaitos, į kurią pervedamas darbo užmokestis, socialinio draudimo numeris, asmens duomenys, susiję su šio asmens kvalifikacija, profesiniais gebėjimais ir dalykinėmis savybėmis, buvusios ar kitos darbovietės, informacija apie šeiminę padėtį, asmeniniai telefono numeriai, el. pašto adresai, informacija susijusi su darbuotojų sveikatos būkle, kuri tiesiogiai daro įtaką darbuotojo darbo funkcijoms ir galimybei jas vykdyti, darbuotojui sutikus, tokie duomenys kaip šeimos narių vardai, gimimo dienos, pomėgiai ir kiti duomenys) tvarkomi teisės aktų bei šiose Taisyklėse nurodytais tikslais ir tvarka.

15.Darbuotojų asmens duomenys tvarkomi šiais tikslais:

15.1.darbuotojų priėmimui, darbo sutarčių sudarymui, vykdymui, apskaitai;

15.2.darbdavio pareigų, nustatytų teisės aktuose, tinkamam vykdymui;

15.3.tinkamai komunikacijai su darbuotojais ne darbo metu palaikyti;

15.4.tinkamoms darbo sąlygoms užtikrinti;

16.Darbuotojų asmens duomenys, darbo sutarties kopija ir / ar duomenys apie Darbuotojo darbą Bendrovėje gali būti perduoti valstybės institucijoms, įstaigoms, organizacijoms, teismams ir kitiems tretiesiems asmenims, kai to įsakmiai reikalauja taikyti teisės aktai, ar su tokiais asmenimis sudarytos sutartys bei darbuotojo sutikimu trečiosioms šalims.

V.KLIENTŲ IR PARTNERIŲ ASMENS DUOMENYS, JŲ TVARKYMO TIKSLAI IR TEISINIS PAGRINDAS

 

  1. Asmens duomenys Bendrovėje tvarkomi, kai Klientas ar Partneris davė sutikimą ir/arba kai tvarkyti duomenis būtina, siekiant įvykdyti Sutartį, kurios šalimi yra Klientas ar Partneris arba siekiant imtis veiksmų Kliento ar Partnerio prašymu prieš sudarant sutartį ir/arba tvarkyti duomenis būtina, kad būtų įvykdyta Bendrovei taikoma teisinė prievolė.

  2. Asmens duomenų tvarkymo tikslas yra sutarčių sudarymas ir vykdymas.

  3. Bendrovė Taisyklių 18 punkte nurodytu tikslu tvarko šiuos Duomenų subjektų asmens duomenis:

    1. Klientų (fizinių asmenų) – vardas; pavardė; adresas; mobilaus telefono numeris; elektroninio pašto adresas, parašas, finansų įstaigos sąskaitos numeris, debeto/kredito kortelės numeris, klientų IP adresai, klientų atliekamų mokėjimų data, mokėjimų suma;

    2. Klientų (juridinių asmenų) atstovų duomenys - vardas, pavardė, pareigos, atstovavimo pagrindas, parašas, mobilaus telefono numeris, elektroninio pašto adresas.

  4. Asmens duomenys, nurodyti šių Taisyklių 19 punkte yra gaunami tiesiogiai iš Duomenų subjekto ir/arba jo atstovaujamo juridinio asmens. 

  5. Asmens duomenys, nurodyti šių Taisyklių 20 punkte, gali būti perduodami:

    1. tretiesiems asmenims, gavus Duomenų subjekto sutikimą kiekvienu konkrečiu tokio duomenų teikimo atveju;

    2. sutarties vykdymo tikslais;

    3.  kitais atvejais, kai tai yra būtina siekiant tinkamai vykdyti galiojančius teisės aktus.

 

VI.ASMENS DUOMENŲ SUBJEKTO TEISĖS

22.Bendrovė įsipareigoja užtikrinti Duomenų subjektų, teises, garantuoja, kad jos bus tinkamai įgyvendinamos, o visa informacija bus pateikiama tinkamai ir laiku.

23.Duomenų subjektai turi:

23.1.teisę sužinoti kokie asmens duomenys yra tvarkomi, kokiu tikslu atitinkami duomenys yra renkami, kam ir kokiu tikslu jie gali būti teikiami;

23.2.reikalauti ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti savo asmens duomenų tvarkymą, kai jie tvarkomi nesilaikant taikytinų ir galiojančių teisės aktų nuostatų.

23.3.ir kitas teises, numatytas teisės aktuose.

24.Duomenų subjektas, manydamas, kad Bendrovė tvarkydama Duomenų subjekto asmens duomenis pažeidė Duomenų subjekto teises, gali teikti prašymą ištaisyti tokį pažeidimą. Bendrovė gavusi tokį Duomenų subjekto prašymą, patvirtina prašymo gavimą ir nurodo terminą, per kurį bus pateiktas atsakymas į gautą prašymą. Tokius prašymus nagrinėja Bendrovės įgaliotas Darbuotojas.  Bendrovė išnagrinėjusi gautą prašymą, informuoja Duomenų subjektą apie rezultatus ir veiksmus, kurių bus imtasi. Tokiu atveju, jeigu Duomenų subjektas nesutinka su pateiktu atsakymu į prašymą, jis turi teisę kreiptis į Inspekciją ar kompetentingą Lietuvos teismą.

VII.ASMENS DUOMENŲ SAUGUMO UŽTIKRINIMO PRIEMONĖS

25.Su Duomenų subjektų asmens duomenimis turi teisę susipažinti tik Bendrovės darbuotojai ar įgalioti/pasitelkti asmenys, kurie buvo įgalioti susipažinti su tokiais duomenimis ir kuriems jie yra būtini pavestų funkcijų vykdymui ir tik tuomet, kai tai yra būtina aukščiau numatytiems tikslams pasiekti.

26.Bendrovė imasi atitinkamų techninių ir organizacinių priemonių, siekiant užtikrinti asmens duomenų tvarkymo saugumą, siekiant apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo, įskaitant, bet neapsiribojant:

26.1.supažindinti darbuotojus, kurie tvarko asmens duomenis su Bendrovėje nustatytomis asmens duomenų apsaugos taisyklėmis ir vidiniais teisės aktais, skirtais reglamentuoti tinkamą asmens duomenų apsaugą;

26.2.suteikti prieigą prie Bendrovės valdomų Asmens duomenų tik tam asmeniui, kuriam tokie asmens duomenys yra reikalingi jo funkcijoms vykdyti, suteikiant prieigą užtikrinti, jog prieiga yra apsaugota naudojant slaptažodžius, priskirtus asmeniškai tik konkrečiam asmeniui;

26.3.užtikrinti patalpų apsaugą, kuriose saugomi Asmens duomenys, taip, kad pašaliniai asmenys į jas negalėtų patekti;

26.4.užtikrinti kompiuterinės įrangos apsaugą nuo kenksmingos programinės įrangos (antivirusinių programų įdiegimas, atnaujinimas ir pan.);

26.5.imtis ir  kitų asmens duomenų apsaugos techninių ir programinių priemonių.

27.Visi darbuotojai, turintys teisę tvarkyti asmens duomenis ar organizuoti ir vykdyti jų apsaugą, privalo:

27.1.griežtai laikytis Bendrovėje nustatytų asmens duomenų apsaugos priemonių ir atitinkamų taisyklių, instrukcijų ar tvarkų reikalavimų;

27.2.laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti asmens duomenų paslaptį galioja pasikeitus pareigoms ir pasibaigus darbo ar sutartiniams santykiams;

27.3.siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugoti dokumentus bei duomenų rinkmenas tinkamai ir saugiai bei vengti nereikalingų kopijų darymo;

27.4.nedelsiant pranešti Bendrovės vadovui ar jo įgaliotam asmeniui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę asmens duomenų saugumui ir imtis priemonių tokiai situacijai išvengti, įskaitant ir  slaptažodžių ar prisijungimo vardų prie vidinės Bendrovės informacinės elektroninės sistemos praradimą arba įtariamus pažeistus prieigos duomenis arba slaptažodžius.

28.Asmens duomenų apsaugos techninės ir programinės priemonės turi būti parenkamos taip, kad atitiktų asmens duomenų apsaugos principus, teisės aktų numatytus asmens duomenų apsaugos reikalavimus.

VIII.ASMENS DUOMENŲ SAUGUMO PAŽEIDIMO NUSTATYMAS IR PRANEŠIMŲ APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ PATEIKIMAS

 

  1. Bendrovės Darbuotojas (-ai), turintis (-ys) prieigos prie asmens duomenų teisę, pastebėjęs (-ę) Asmens duomenų saugumo pažeidimus (veiksmus ar neveikimą, galinčius sukelti ar sukeliančius grėsmę asmens duomenų saugumui), turi nedelsiant informuoti Bendrovės vadovą ar paskirtą atsakingą asmenį.

  2.  Tokiu atveju, jeigu įvyksta Asmens duomenų apsaugos pažeidimas ir dėl šio pažeidimo gali kilti didelis pavojus Duomenų subjektų teisėms ir laisvėms, Bendrovė nepagrįstai nedelsdama praneša Inspekcijai ne vėliau negu per 72 val. nuo šio fakto sužinojimo.

  3. Įvykus asmens duomenų saugumo pažeidimui, Bendrovė turi įvertinti asmens duomenų saugumo pažeidimo priežastis, esamų techninių ir organizacinių priemonių, skirtų asmens duomenų saugumui užtikrinti, veiksmingumų įvertinimą, asmens duomenų saugumo pažeidimo esamos ir galimos pasekmės.

32.Bendrovė įsipareigoja pranešti apie Asmens duomenų saugumo pažeidimą Duomenų subjektui (-ams), tokiu atveju, kai dėl šio pažeidimo gali kilti didelis pavojus Duomenų subjekto teisėms ir laisvėms kaip nurodyta šių Taisyklių 33 punkte.

IX.ASMENS DUOMENŲ PERDAVIMAS DUOMENŲ TVARKYTOJAMS

 

  1. Asmens duomenys Duomenų tvarkytojui gali būti perduodami tik sutarties (įskaitant ir elektronines sutartis) tarp Bendrovės ir Duomenų Tvarkytojo pagrindu. Šioje sutartyje turi būti numatyti minimalūs reikalavimai, įskaitant, bet neapsiribojant, apimantys Asmens duomenų tvarkymo dalyką ir trukmę, Asmens duomenų tvarkymo pobūdį ir tikslą, Asmens duomenų rūšis ir Duomenų subjektų kategorijas, Bendrovės ir Duomenų tvarkytojo teises ir pareigas.  

 

  1. Bendrovėje yra vedamas duomenų tvarkymo veiklos sąrašas, kuriame be privalomos informacijos yra nurodyta, Bendrovės valdomų Asmens Duomenų tvarkytojai, jų kontaktiniai duomenys bei bendra informacija apie sutartis sudarytas su Duomenų tvarkytojais, kurios pagrindu galima rasti informaciją koks konkrečiai Duomenų tvarkytojas, nuo kada ir kokius Asmens duomenis tvarko.